网络安全技术及应用第3版 主编贾铁军等——教材习题 期末重点 复习题 知识提炼（第4章 黑客攻防与检测防御）

参考教材：网络安全技术及应用 第3版 主编贾铁军等

填空题

（1）端口扫描的 防范也称为 系统“加固”，主要有 防止IP地址的扫描 和（关闭 闲置及有潜在危险 端口）。

（2）（分布式拒绝服务攻击DDoS）就是利用更多的傀儡机对目标发起进攻，以比从前更大的规模进攻受害者。

（3）按数据来源和系统结构分类，入侵检测系统分为 基于主机、基于网络 和（分布式）3类。

简答题

（1）黑客的攻击五部曲是？

隐藏IP、踩点扫描、获得特权攻击、种植后门、隐身退出

（2）黑客攻击计算机的手段可分为破坏性攻击和非破坏性攻击。常见的黑客行为有哪些？

盗窃资料、攻击网站、恶作剧。

论述题

（1）通常 按端口号分布 将端口分为哪几部分?并简单说明。

1）公认端口：又称常用端口，为已经公认定义或将要公认定义的软件保留的。
2）注册端口：又称保留端口，这些端口松散绑定一些服务。
3）动态/私有端口：理论上不应该为服务器分配 这些特殊专用的 端口。

（2）请论述 TCP connect、TCP SYN、TCP FIN 三种端口扫描的优缺点。

TCP connect扫描：
最基本最简单的扫描方式，如果目标主机某个端口处于监听， connect（）成功返回并与其建立连接，否则返回RST包
优点：简单方便，不需用用户特权
缺点：容易被发现，日志文件会有一连串的记录信息

TCP SYN扫描
发送一个SYN数据包，等待目标主机应答。如果目标主机返回SYN|ACK数据包，表示处于监听状态，如果返回RST数据包，表示没有被监听。如果收到SYN|ACK数据包，会立即发送一个RST包来终止连接（不建立完全连接，又称半连接扫描）
优点：不会在目标主机日志文件中留下记录
缺点：需要有root权限

TCP FIN扫描
TCP SYN扫描仍可能被防火墙记录，TCP FIN扫描向目标主机发送FIN包，端口打开不返回任何信息，端口关闭返回 RST包
优点：不建立TCP连接，更加隐蔽
缺点：有些系统不管是打开还是关闭 都返回RST包，这种方法就不适应了。