计算机网络安全教程（第三版）第六章简答题答案

第 6 章 网络后门与网络隐身

1. 留后门的原则是什么？
   答：
   只要是能不通过正常登录进入系统的途径都称为网络后门，后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，就是让管理员看了感觉不到有任何特别的地方。
2. 如何留后门程序？列举三种后门程序，并阐述原理及如何防御
   答：
   网络攻击经过踩点、扫描、入侵以后，如果攻击成功，一般就可以拿到管理员密码或者得到管理员权限。
   第一， Login 后门。在 Unix 里，login 程序通常用来对 telnet 来的用户进行口令验证。入侵者获取 login。c 的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何账号，甚至是root。由于后门口令是在用户真实登录并被日志记录到 utmp 和 wtmp 前产生一个访问的，所以入侵者可以登录获取 shell 却不会暴露该账号。管理员注意到这种后门后，便用“ strings”命令搜索 login 程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使 strings 命令失效。所以更多的管理员是用 MD5 校验和检测这种后门的。
   第二，线程插入后门。这种后门在运行时没有进程，所有网络操作均播入到其他应用程序的进程中完成。也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设！这种后门本身的功能比较强大，是现在非常主流的一种，对它的查杀比较困难，很让防护的人头疼。
   第三，网页后门。网页后门其实就是一段网页代码，主要以 ASP和 PHP 代码为主。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。防御后门的方法主要有：建立良好的安全习惯，关闭或删除系统中不需要的服务，经常升级安全补丁，设置复杂的密码，迅速隔离受感染的计算机，经常了解一些反病毒资讯，安装专业的防毒软件进行全面监控等。
3. 简述终端服务的功能，如何连接到终端服务器上？如何开启对方的终端服务？
   答：
   终端服务是 Windows 操作系统自带的，可以通过图形界面远程操纵服务器。
   可通过以下三种方式连接到终端服务器上：
   第一，利用 Windows 2000 自带的终端服务工具 mstsc.exe。该工具中只需设置要连接主机的 IP 地址和连接桌面的分辨率即可。
   第二，使用 Windows XP 自带的终端服务连接器 mstsc.exe。它的界面比较简单，只要输入对方主机的 IP 地址就可以了。
   第三，使用 Web 方式连接，该工具包含几个文件，需要将这些文件配置到 IIS 的站点中去。
   假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件，使用工具软件 djxyxs.exe 可以给对方安装并开启该服务。
4. 简述木马由来，并简述木马和后门的区别。
   答：
   “木马”一词来自于“特洛伊木马”，英文名称为 Trojan Horse。传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中，部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似，故而得名。本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。
5. 简述网络代理跳板的功能。
   答：
   网络代理跳板作用如下：当从本地入侵其他主机时，本地 IP 会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的 IP 地址而有效地保护自己的安全。本地计算机通过两级代理入侵某一台主机，这样在被入侵的主机上，就不会留下自己的信息。可以选择更多的代理级别，但是考虑到网络带宽的问题，一般选择两到三级代理比较合适。
6. 系统日志有哪些？如何清楚这些日志？
   答：
   系统日志包括 IIS 日志，应用程序日志、安全日志和系统日志等。
   清除日志最简单的方法是直接到该目录下删除这些文件夹，但是文件全部删除以后，一定会引起管理员的怀疑。一般入侵的过程是短暂的，只会保存到一个 Log 文件，只要在该 Log 文件删除所有自己的记录就可以了。
   使用工具软件 CleanIISLog.exe 可以删除 IIS 日志。使用工具软件 clearel.exe可以方便地清除系统日志， 首先将该文件上载到对方主机， 然后删除这 3 种主机日志。清除命令有 4 种：Clearel System，Clearel Security，Clearel Application 和 Clearel All 。
7. 利用三种方法在对方计算机种植后门程序。 （上机完成）
   答：（略）
8. 在对方计算机上种植“冰河”程序，并设置“冰河”的服务端口是“ 8999 ”，连接的密码是“ 0987654321 ”。（上机完成）
   答：（略）
9. 使用二级网络跳板对某主机进行入侵。 （上机完成）
   答：（略）
10. 编程实现当客户端连接某端口的时候，自动在目标主机上建立一个用户“ Hacker ”，密码为“ HackerPWD ”，并将该用户添加到管理员组。
    答：（略）