课程《网络攻击与防御》期末复习大纲详解【仅供参考】
题型:选择题(单选)20%、判断题10%、名词解释20%、简答题30%、综合论述题20%(以简答题和综合论述题为主)
1. TTL值的特性
在IP数据包从源到目的整个转发路径上,每经过一个路由器,TTL的值减1
2. Finger作用
用来获取一个指定主机的所有用户的详细信息(如注册名、电话号码、最后注册时间及有没有未读电子邮件等)
3.死亡之ping
发送大于最大允许大小的数据包来破坏目标计算机
4. L0phtCrack(简称LC)支持的破解方式
(1) 字典攻击
(2) Hybrid
(3) 暴力破解
5.网络嗅探
在网络中截获传输的数据包,被动地进行数据收集的技术,主要应用于局域网环境
6. John the Ripper提供的破解功能
(1)字典模式:在这种模式下,用户只需要提供字典和密码列表用于破解。
(2)单一破解模式:这是john作者推荐的首选模式。John会使用登录名、全名和家庭通讯录作为候选密码。
(3)递增模式:在该模式下john会尝试所有可能的密码组合。这是最具威力的一种。
(4)外部模式:在这种模式下,用户可以使用john的外部破解模式。使用之前,需要创建一个名为(list.external : mode)的配置文件,其中mode有用户分配。
7. DDoS攻击
分布式拒绝服务攻击
8. 被动攻击
被动攻击主要是收集信息而不是进行访问
9. 主动攻击
主动攻击包含攻击者访问他所需信息的故意行为
10. OS指纹识别
识别远程主机的操作系统类型、版本
11. 漏洞的定义及防范
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
12. whois协议信息探测
该协议的服务信息能提供所有DNS域和相关的管理参数
13. Nmap工具功能
检测存活主机、端口扫描、检测运行的服务类型及版本信息、操作系统与设备类型等信息
14. XSS攻击
跨站脚本攻击的实质是在网页中注入含有恶意脚本的HTML
15. Web服务器指纹识别
识别该网站在哪个中间件上运行
16. TCP序号猜测
受害主机不能接到信任主机应答确认时,入侵者通过猜测序列号来建立连接,从而可以伪装成信任主机与目的主机通话。
17. 存放用户加密口令信息的配置文件
Windows:c:\windows\system32\config\SAM
Linux:/etc/shadow
18.木马与病毒区别
1.病毒会传染,而木马不会传染;
2病毒入侵电脑后会有感觉,而木马不会,主要原因是便其开展后续“工作”;
3病毒主要是以“破坏”著称,而木马主要是用来盗取用户信息。
19.泪滴
泪滴攻击(TearDrop)指的是向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷。
20. 《国家网络安全事件应急预案》
将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。通知明确,网络安全事件应急处置工作实行责任追究制。
21. CSRF攻击发生的根本原因
采用了隐式的认证方式
22. 一句话木马
一句话木马是基于B/S结构的网页脚本,通常由ASP、PHP、JSP、JavaScript等脚本语言编写,常用的ASP一句话木马有<%execute request (“value”)%>、<%eval request (“value”)%>等,其中value是值,由入侵者自己定义。木马既可以插入类似ASP类型的数据库中,也可以插入网站的某个页面或单独的一个网页脚本中,通常结合客户端使用。
23.恶意代码
恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
24.网络安全(通用定义)
网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的原因而遭到破坏、更改或泄露,并且网络系统能够进行连续、可靠、正常的运行。
25.网络空间(国际电信联盟的定义)
是计算机、计算机系统、网络以及软件支持、计算机数据、流量数据、内容数据所组成的领域
26. 社会工程学
社会工程学是指利用人类的心理弱点/本能反应、好奇心、信任、贪婪等心理陷阱,采用诸如欺骗、伤害等手段取得自身利益的技术
27. 网络(根据《网络安全法》附则)
由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统
28. 网络嗅探器
网络中的窃听器,是能够进行嗅探的软件或硬件设备。其用途就是捕获分析网络中的数据包,帮助网络管理员发现入侵、分析网络问题等
29 会话劫持
会话劫持就是接管一个现存动态会话的过程,攻击者可以在双方会话当中进行监听,也可以在正常的数据包中插入恶意数据,甚至可以替代某一方主机接管会话
30. DoS攻击
拒绝服务攻击
31. 目录遍历
目录遍历是HTTP的安全漏洞之一,使攻击者能够访问受限的目录,并在Web服务器的根目录以外执行命令。目录遍历漏洞是程序中没有过滤用户输入的“…/”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
32. 远程证明技术
远程证明技术是一种可以有效地对物联网智能设备进行安全检测的技术。通过挑战-响应的机制,它使可信的验证者能够及时了解远程的、可能被恶意感染的设备的状态。
33.验证码
是一种区分用户是计算机还是人的公共全自动程序
34.僵尸网络
僵尸网络是被感染主机(僵尸主机)的一个集合。僵尸网络由单一的实体控制,通常由一个称为僵尸控制器的计算机作为服务器。僵尸网络会尽可能多地感染计算机,进而传播恶意代码或蠕虫,也可以用于执行分布式拒绝服务攻击(DDoS)。
35.蜜罐
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而获取攻击方的攻击手段以及相关信息。
36.DoS泛洪攻击
攻击者在短时间内向目标系统发送大量的虚假请求,导致路由器疲于应付无用信息,而无法为合法用户提供正常服务,如SYN洪水攻击、UDP洪水攻击等
37.ARP欺骗
当主机收到一个ARP响应包后,它不会验证自己是否发送过这个ARP请求,也不会验证这个ARP应答包是否可信,而是直接将响应包里的MAC地址与IP地址对应以替换原来的MAC地址。
38.HIPS
基于主机的入侵防御系统
39.NIDS
基于网络的入侵检测系统
40.反向社会工程
反向社会工程是指迫使目标人员反过来向攻击者求助的技术手段。攻击者通过技术或非技术手段,给网络或者计算机应用制造“问题”,引诱受害者或者相关管理人员透露或者泄露攻击者需要的信息。
41篡改
非法破坏计算机系统
42. 《网络安全法》的6个亮点
(1)明确了网络空间主权的原则
(2)明确了网络产品和服务提供者的安全义务
(3)明确了网络运营者的安全义务
(4)进一步完善了个人信息保护规则
(5)建立了关键信息基础设施安全保护制度
(6)确立了关键信息基础设施重要数据跨境传输的规则
43. 常见的TCP端口扫描技术
(1)TCP connect扫描
(2)TCP SYN扫描
(3)TCP FIN扫描
(4)TCP ACK扫描
(5)TCP NULL扫描
(6)TCP XMAS扫描
44. 用网卡的4种接收模式
(1)广播模式:网卡能够接收网络中所有类型为广播报文的数据帧。
(2)组播模式:网卡能够接收特定的组播数据。
(3)直接模式:网卡在工作时只接收目的地址匹配本机MAC地址的数据帧。
(4)混杂模式:该模式下的网卡对数据帧中的目的MAC地址不加任何检查,并将其全部接收。
45. 高效可靠的防火墙应具有哪些基本功能
(1)监控并限制访问。
(2)控制协议和服务。
(3)保护内部网络。
(4)网络地址转换(Network Address Translation,NAT)。
(5)日志记录与审计。
46. 强度较高的口令或多重口令认证的破解方法
(1)遍历攻击
(2)击键记录
(3)屏幕记录
(4)网络嗅探器
(5)网络钓鱼
47. DNS欺骗攻击的防御方法
(1)使用最新版本的DNS服务器软件,并及时安装补丁。目前,大多数DNS服务器软件都有防御DNS欺骗的措施。
(2)关闭DNS服务器的递归功能。DNS服务器利用缓存表中的记录信息回答查询请求或通过查询其他服务获得查询信息并将其发送给客户机,这两种查询称为递归查询。递归查询方式容易导致DNS欺骗。
(3)保护内部设备。大多数DNS欺骗都是从网络内部执行攻击的,如果你的网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
(4)直接使用IP地址访问,对少数信息安全级别要求高的网站直接输入IP地址进行访问,这样可以避开DNS协议对域名的解析过程,也就避开了DNS欺骗攻击。
48. 防御ARP欺骗攻击方法
(1)设置静态的ARP缓存表,不让主机刷新设置好的缓存表,手动更新缓存表中的记录。
(2)将IP和MAC两个地址绑定在一起,不能更改。
(3)划分多个范围较小的VLAN,一个VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信,缩小ARP欺骗攻击影响的范围。
(4)一旦发现正在进行ARP欺骗攻击的主机,及时将其隔离。
(5)使用具有防御ARP欺骗攻击的防火墙进行监控。
49. 完整的DDoS攻击体系所包含的4个部分
(1)攻击者。操纵整个攻击过程,并向主控端发送攻击命令。
(2)主控端。攻击者非法侵入并控制的一些主机,这些主机分别控制大量的代理攻击主机。接收攻击者发来的特殊指令后,会将这些指令发送给代理攻击端的主机。
(3)代理攻击端。它也是攻击者侵入并控制的一批主机,可以运行攻击程序,并接收和运行主控端发来的命令。代理攻击端主机是攻击的执行者,由它向受害者主机发送攻击。
(4)受害者。被攻击的目标主机。
50. 慢速连接攻击的3种攻击方式
(1)Slow headers(Slowloris)是最具代表性的慢速连接攻击。HTTP规定,HTTP Request以rnrn(0d0a0d0a)结尾表示客户端发送结束,服务端开始处理。那么,如果永远不发送rnrn会如何呢?Slowloris就是利用这点来进行DDoS攻击的。攻击者在HTTP请求头中将connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟就发送一个key-value格式的数据到服务端,如a:brn,导致服务端认为HTTP头部没有接收完而会一直等待。如果攻击者使用多线程或傀儡机来进行同样的操作,Web服务器很快就会被攻击者占满了TCP连接,而不再接受新的请求。
(2)Slow body是Slowloris的变种,称为Slow HTTP POST。在POST提交方式中,允许在HTTP的头中声明content-length,也就是POST内容的长度。在提交了头以后,将后面的body部分卡住不发送,这时服务器在接受了content-length以后,就会等待客户端发送POST的内容,攻击者保持连接并且以10s~100s每字节的速度去发送,就达到了消耗资源的效果。因此,不断地增加这样的链接,就会使得服务器的资源被消耗,最后可能停机。
(3)Slow read是指客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器,然后一直保持这个连接,以很低的速度读取response,如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取1字节,以消耗服务器的连接和内存资源。
51. Web环境下,安全攻击技术的发展阶段
(1)Web1.0时代:此时Web应用主要是以静态页面方式展现,针对Web服务器的攻击主要与服务器软件和系统漏洞相关,攻击者通过篡改站点内容来传播恶意信息。
(2)Web2.0时代:此时动态脚本语言得到普及,Web应用逐渐成熟,其实现
框架得到了扩展,包含许多二次开发或自定义代码,这些技术使Web的服务能力进一步增强,但是从代码的编写和构建技术上很难防范攻击者的攻击。时至今日,某些脚本语言仍然只能通过较好的代码规范来减少漏洞。
(3)结构化查询语言(Structured Query Language,SQL)出现:SQL语句堪称Web安全史上一个重要的里程碑,它使数据库和Web前端融为一体,但是针对SQL的注入攻击也成了黑客攻击Web服务的一个着力点。20世纪90年代起,SQL注入使黑客能够轻易获取目标站点的敏感数据,甚至获得系统的访问权限,其破坏性不亚于直接攻击目标的操作系统。
(4)跨站脚本攻击(Cross Site Scripting,XSS)出现:该漏洞可以将恶意的HTML、JavaScript代码注入用户浏览的网页中,从而劫持用户的会话或盗取用户的敏感数据。
52. 加壳技术,软件的壳的分类
在计算机中,壳是用于保护软件不被反编译的程序。“壳”这段代码会先于原始程序运行,并把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始程序代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类型,它们都是为了隐藏程序真正的OEP(入口点),以防止程序被破解。
(1)压缩壳
压缩壳的功能是减小软件的体积,而加密保护不是其重点。目前,常用的压缩壳有UPX、ASPack、PECompact等。
(2)加密壳
加密壳的功能侧重于保护程序,其中的一些壳仅用于保护程序,另一些壳提供额外的功能,如提供注册机制、使用限制等。ASProtect、EXECryptor是两种常见的加密壳。
53. 目录遍历攻击的防御措施
(1)对用户的输入数据进行验证,特别是路径替代字符“…/”。
(2)尽可能采用白名单的形式。
(3)验证所有输入合理配置Web服务器的目录权限。
(4)当程序出错时,不要显示内部相关细节。
54. 实施文件上传攻击,必须满足的条件
(1)可以上传任意脚本文件,且上传的文件能够被Web服务器解析执行,具体来说就是存放上传文件的目录要有执行脚本的权限。
(2)用户能够通过Web访问这个文件。
(3)要知道文件上传到服务器后的存放路径和文件名称,因为许多Web应用都会修改上传文件的文件名称,那么就要利用其他漏洞去获取到这些信息。
55.网络攻击的三个阶段(详细分析)
攻击准备阶段、攻击实施阶段、攻击善后阶段。
56. DoS攻击分为3种类型,说明这三种类型的分类依据和主要攻击形式。
(1)攻击系统资源
攻击系统资源的DoS攻击分为攻击TCP连接和攻击SSL连接两种类型。它利用网络协议中的漏洞进行攻击,或者构造某种特殊的数据包,使系统停止对正常用户的访问请求或使操作系统、应用程序崩溃。它的主要攻击形式有SYN洪水攻击、Land洪水攻击、THC SSL DoS攻击、SSL洪水攻击等。
(2)攻击网络带宽资源
攻击网络带宽资源的DoS攻击分为3类:直接攻击、反射和放大攻击及攻击链路。攻击者利用比被攻击网络更大的带宽,生成大量发向被攻击网络的数据包,从而耗尽被攻击网络的有效带宽,使被攻击网络发生拥塞。它的主要攻击形式有ICMP/IGMP洪水攻击、UDP洪水攻击、ACK反射攻击、DNS放大攻击、链路洪水攻击等。
(3)攻击应用资源
攻击应用资源的DoS攻击分为两类:攻击DNS服务和攻击Web服务。攻击者将提交给服务器大量请求,使服务器处理不过来而导致瘫痪,拒绝为正常用户服务。由于在网络层行为表现正常,应用层DoS攻击能够有效逃避应用层级的检测和过滤。它的主要攻击形式有DNS QUERY洪水攻击、DNS NXDOMAIN洪水攻击、HTTP(S)洪水攻击、慢速连接攻击等。
57. 分布式拒绝服务攻击的防御方法及步骤
1.评估加固
由于DDoS攻击主要是通过消耗占用系统的正常处理性能而导致系统的拒绝服务,因此,通过对系统进行必要的优化、加固等,就可以提高系统对DDoS攻击的承受能力,并屏蔽掉部分DDoS攻击。要优化和加固的系统部件主要包括主机、网络设备、网络结构等。
(1)网络结构优化、加固。好的网络结构设计和配置,能够消除网络结构不合理带来的被DDoS攻击的安全隐患,也能够实施更高层次的安全规划。
(2)主机加固。完整全面地发现并修补网内系统主机的漏洞和安全隐患,杜绝基于漏洞传播的蠕虫和DDoS攻击。
(3)网络设备加固。完整全面地发现并修补网内路由器、交换机、防火墙等网络设备的漏洞和安全隐患,优化安全配置,增强网络设备抗DDoS攻击的能力。
2.分布检测
由于御防DDoS攻击的技术有限,而且针对不同的DDoS攻击其防御的措施不同,因此,在第一时间发现DDoS攻击的行为,定位其来源和攻击特征是解决问题的首要条件。
(1)异常流量分析系统。当网络的通信量突然急剧增长或充斥一些异常流量,导致正常业务受影响时,可以对这些通信流量进行检测和分析,及时发现问题,防患未然。
(2)使用DDoS检测工具。攻击者首先要探测和扫描目标系统的情况,然后利用一些相应的手段和技术进行攻击。网络入侵检测系统可以截获及分析系统中的数据流量,检查到攻击者的扫描行为,并能识别出典型的DDoS攻击行为及工具。扫描器或防病毒工具可以发现攻击者植入系统的代理程序,并将其从系统中删除,可避免自己的系统被他人用作非法攻击的僵尸主机。
3.积极防御、主动处理
随着DDoS攻击事件的愈演愈烈,针对一些典型的DDoS攻击手段已有了解决方案和产品。
(1)网关级DDoS防护(企业、部门用户)
很多企业及部门级用户都有外连互访及对外提供Web、Mail、FTP等服务的需求,而这些关键应用及服务往往会成为黑客DDoS攻击的典型目标。大多数企业及部门都会考虑在外部互联网络出口及这些关键服务器前部署防火墙等产品进行主动防护。目前,一些主流的硬件防火墙产品都具备一定的DDoS防护能力,因此,对此类用户而言,通过DDoS防护功能网关类防护产品来提高系统的抗DDoS攻击能力是个不错的选择。
(2)蜜罐/蜜网-DDoS攻击主动防护体系(运营商)
蜜罐是被放置在网络中伪装成运行着某些重要服务的主机,对于合法用户,蜜罐是不可见的,它并不提供任何实际的服务。如果入侵者通过扫描端口之类的方法探测到蜜
罐的存在,蜜罐就成功吸引了入侵者的注意力,并记录下其入侵行为,起到了解入侵手段的作用。
(3)异常流量检测及清洗系统(运营商)
通过在网络中部署异常流量分析检测及过滤设备,可极大地净化网络流量,提高网络利用效率。尤其对于骨干网络运营提供商而言,这是一个比较不错的防御DDoS攻击所导致的异常流量的方案。
58. 对XSS攻击的防御措施(从网站开发人员和普通用户角度)
网站开发人员
(1)过滤输入的特殊字符。
(2)对动态生成页面的字符进行编码。
(3)使用HTTP头指定类型,使输出的内容避免被作为HTML解析。
(4)限制输入长度。
(5)限制服务器的响应。
(6)使用HTTP POST,禁用HTTP GET。
(7)cookie检查。
(8)使用URL会话标识符。
普通用户
(1)慎重单击网站上的链接。
(2)禁止脚本解释执行。
(3)经常对浏览器进行升级。