《(中职)电子商务与安全第5章习题答案.doc》由会员分享,可在线阅读,更多相关《(中职)电子商务与安全第5章习题答案.doc(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、习题答案一、填空题1.截获、中断、篡改、伪造2.被动攻击、主动攻击3.链路加密、结点加密、端到端加密4.屏蔽路由器5.双宿主主机(Dual Homed)体系结构6.异常检测、误用检测7.TKIP二、单选题1.D 2.A 3.A 4.C 5.A 6.A 7.B 8.B 9.B 10.A 11.A 12.B 13.D14.D 15.B 16.C 17.B 18.B 19.A 20.B 21.B 22.B 23.B 24.B 25.C 26.B 27.C 28.D 29.C 30.B 31.D三、多选题1.AB 2.ABD 3.AB 4.ABCD 5. BCD 6.ABC 7.ABC 8.BCD四、
2、简答题1 Nimda是病毒还是蠕虫,为什么?Nimda是蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播,利用IIS漏洞,通过网络传播,造成网络拥塞直至瘫痪。同时它也是一个感染本地文件的新型病毒。其工作原理为:随机选择一定范围的IP地址并对之进行刺探,尝试找到该IP的机器上存在于IIS的弱点。一个具有漏洞的IIS Web服务器的系统会读取包含了植入式JavaScript的网页并自动执行它,在该服务器上所有的网页里生成相同的代码。当使用IE5.01或者更早版本的IE浏览器的用户访文被感染Web服务器的时候,他们就会不知不觉得下载带有自动执行JavaScript的页面,导致病毒
3、被随机地发送到连接在因特网上的其他计算机。Nimda也能感染Web服务器所在的网络里的有网络共享的用户。最后,Nimda会让一个被感染系统发送带有readme.exe附件的电子邮件给本地Windows地址簿里列出的地址。打开或者预览这一附件的用户将继续传播这个病毒。2. 木马有哪些伪装方式、隐藏方式和自启动方式?在受害者机器上运行的木马的服务器端为了避免被发现,要进行伪装和隐藏处理。隐藏方式有两种:真隐藏和伪隐藏。伪隐藏即程序的进程仍然存在,只不过不显示在进程列表中。真隐藏则是让程序彻底消失,不是以一个进程或服务的方式工作。对于木马来说,自启动功能是必不可少的,这样可以保证木马不会因为用户的一
4、次关机操作而彻底失去作用。如加载程序到启动组、写程序启动路径到注册表的自启动项、修改文件关联、捆绑文件等。3. 比较基于网络和基于主机的入侵检测系统的优缺点。许多发生在应用进程级别的攻击行为可以被基于主机的入侵检测系统检测到,而无法被基于网络的入侵检测检测到。基于主机的入侵检测系统依赖于特定的操作系统平台,对于不同的平台系统是无法移植的;而基于网络的入侵检测系统其分析的对象是网络协议,是标准化的、独立于主机操作系统类型的,因此没有移植性的问题。基于主机的入侵检测系统运行在所保护的主机上,会影响宿主机的性能,特别是当宿主机是服务器的情况;基于网络的入侵检测系统通常采取独立主机和被动监听的工作模式
5、,因此它的运行不会影响主机或服务器自身的运行。基于主机的入侵检测系统通常无法对网络环境下发生的大量攻击行为做出及时的反应;基于网络的入侵检测系统能够实时监控网络中的数据流量,并发现潜在的攻击行为和做出迅速的响应。4. 结合实际谈一谈对防火墙技术发展趋势的看法。略5. 如何扫描探测目标主机的开放端口? 使用端口扫描技术。目前端口扫描技术有很多,如TCP connect Scan(TCP连接扫描)、TCP SYN Scan(TCP同步序列号扫描)、TCP FIN Scan(TCP结束标志扫描)、IP Scan(IP协议扫描)、TCP Xmas Tree Scan等。6. 简述DoS和DDoS的攻击
6、原理。DoS和DDoS攻击主要是采用以下三种方式进行攻击的:利用错误配置或软件漏洞。利用协议漏洞,也称杀手包或剧毒包(Killer Packet)型攻击。它主要是利用协议本身或者其软件实现中的漏洞,通过一些非正常的(畸形的)数据包使得目标受害者系统在处理时出现异常,导致目标系统崩溃。利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这种攻击称为风暴型(Flood Type)攻击。攻击者通过大量的无用数据包占用过多的资源以达到拒绝服务的目的。风暴型DoS攻击并不依靠畸形数据包,而是依靠数据包的总量来达到攻击的目的,它需要向目标发送大量的数据包,而单个攻击者的力量是有限的,
7、因此,如果集聚多个攻击者的力量,同时向一个受害者发动攻击,则效果会更明显,这就是分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。7解释以下术语: DDoS、Worm、IP Spoof、SYN Flood、ShellCode。分布式拒绝服务攻击DDoS指攻击的发出点是分布在不同地方的,处于不同位置的多个攻击者同时向一个或数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。蠕虫(Worm),通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。IP欺骗(IP Spoof)就是通过伪造其他系统
8、的IP地址,使得攻击者能够获得未被授权访问的信息,它利用主机间的信任关系发动。其攻击过程为: 攻击者使被信任主机的网络功能暂时瘫痪,以免对攻击造成干扰。 攻击者连接到目标主机的某个端口来猜测ISN基值和增加规律。 攻击者发送带有SYN标志的数据段给目标主机请求建立连接,该数据段的源IP地址被伪装成被信任主机的IP。 攻击者等待目标主机发送SYN+ACK包给已经瘫痪的被信任主机。 攻击者伪装成被信任的主机向目标主机发送ACK,此时发送的数据段带有预测的目标机的ISN+1。 连接建立,发送命令请求。SYN Flood攻击是最常见的一种风暴型DoS攻击。攻击者不停地向受害者发送连接请求,而又不按协议
9、规定完成握手过程,则服务器的半开连接栈可能会用完,从而不再接受其他的连接请求。ShellCode即攻击者要执行的完成某种特定功能的二进制代码。8. 在实际应用中应怎样防范口令破译? 选择安全的口令,设置口令过期时间和口令历史。9. 防火墙不能解决的问题有哪些? 防火墙无法防范不经过防火墙的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet,从而形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由于病毒的类型繁多,操作系统也有多种,编码与压缩二进制文件的方法也各不相同,所以不能期
10、望采用防火墙扫描所有进入的文件、电子邮件和报文来查找病毒。10.简述缓冲区溢出攻击的原理。所谓缓冲区溢出,指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量,溢出的数据覆盖到了合法数据上。缓冲区溢出攻击利用的就是其覆盖缓冲区的数据是“黑客”或者病毒的入侵程序代码,从而使得多余字节被编译执行,“黑客”或者病毒就有可为所欲为,获得系统的控制权。11.假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取那些措施来构建网络安全体系。 (1)在网关的出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么,可以使用包过滤防火墙或硬件防火墙。(2)在内网使用IDS
11、,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。(3)如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。(4)对于内网安全,可以使用域环境,统一管理帐号和密码,针对不同的用户和组设置不同的权限。12. 简要分析Web应用体系的脆弱性。(1)Web客户端的脆弱性Web客户端即浏览器,负责将网站返回的页面展现给用户,并将用户输入的数据传输给服务器。浏览器的安全性直接影响到客户端主机的安全。利用浏览器漏洞渗透目标主机已成为主流的攻击方式。目前广为使用的IE浏览器出现过大量的安全漏洞,是攻击者首选的目标。(2)Web服务器的脆弱性Web服务器运行Web应用程序,其安全
12、直接影响到服务器主机和Web应用程序的安全。流行的IIS服务器、Apache服务器、Tomcat服务器都出现过一些严重的安全漏洞。攻击着通过这些漏洞,不仅可以对目标主机发起拒绝服务攻击,严重的还能获得目标系统的权限、数据库访问权限,从而窃取大量有用信息。(3)Web应用程序的脆弱性Web应用程序是用户编写的网络应用程序,可能存在安全漏洞。网站攻击事件中有很大一部分是由于Web应用程序的安全漏洞引起的。Web应用程序的编写语言种类多、灵活性高,一般程序员不易深入理解及正确利用,导致了安全漏洞。例如,常见的SQL注入攻击就是利用Web应用程序检查不严,从而获取Web应用数据库中的内容。(4)HTT
13、P的脆弱性HTTP是一种简单的、无状态的应用层协议 。无状态使得HTTP简单高效,但HTTP的无状态性也会被攻击者利用。攻击者不需要计划多个阶段的攻击来模拟一个会话保持机制,一个简单的HTTP请求就能攻击Web服务器或应用程序。此外,由于HTTP是基于ASCII码的协议,因此不需要弄清楚复杂的二进制编码机制,攻击者就可以了解HTTP中传输的所有铭文信息。绝大多数HTTP运行在80端口,这一点也可以被攻击者利用。因为许多防火墙或其他安全设备被配置成允许80端口的内容通过,攻击者可以利用这一点渗透到内网中。(5)Cookie的脆弱性Cookie是为了克服HTTP无状态的缺点,用来保存客户服务器之间
14、的一些状态信息,主要是用于辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据。Cookie一般由服务器端升城,发送给客户端浏览器,浏览器将其保存在某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器。Cookie的典型应用如判定注册用户是否已经登录网站,购物车等。由于Cookie中包含了一些敏感信息,如用户名、计算机名、使用的浏览器和曾经访问的网站等,攻击者可以利用它进行窃密和欺骗攻击。(6)数据库的安全脆弱性大多数的Web应用程序使用数据库来保存数据。由于数据库中保存了大量的应用数据,因此它常常成为攻击者的目标。最常见的网站数据库攻击手段就是SQL注入攻击。13.
15、如果你是一个Web应用程序员,应该采取哪些措施以减少Web应用程序被SQL注入攻击?在编写Web应用程序时,应遵循以下原则,以减少SQL注入漏洞。(1)过滤单引号防范SQL注入攻击最有效的方法是对用户的输入进行检查,确保用户输入数据的安全性。在具体检查用户输入或提交的变量时,根据参数的类型,可对单引号、双引号、分号、逗号、冒号、连接号等进行转换或过滤,这样就可以防止很多SQL注入攻击。(2)禁止将敏感性数据以明文存放在数据库中,这样即使数据库被SQL注入攻击,也会减少泄密的风险。(3)遵循最小特权原则。只给访问数据库的Web应用所需的最低权限。例如,如果Web应用不需要访问某些表,那么应确认它
16、没有访问这些表的权限;如果Web应用只需要读权限,则应确认已禁止它对此表的插入、更新、删除等权限。14.Land攻击利用的是什么安全漏洞? Land攻击利用的是主机在处理TCP连接请求上的安全漏洞。15.什么IRC僵尸网络,有什么优缺点?IRC僵尸网络是指控制和通信方式为利用IRC协议的僵尸网络。IRC僵尸网络结构简单,每个僵尸主机都与IRC服务器直接相连,因此IRC僵尸网络具有非常高的效率。但它同时也有致命的弱点:如果IRC服务器被关闭,则僵尸主人就完全失去了僵尸网络。蜜罐(Honeypot)和蜜网(Honeynet)技术就对该弱点加以利用。16. 为什么要设置DMZ?什么设备要放置在DMZ
17、中? 通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置在DMZ中,这样就可以为应用系统安全提供保障。17. IP的哪些字段或特性能被攻击者利用? (1)IP协议没有认证机制。由于IP没有来源认证,因此IP包中的所有字段几乎都可以伪造。例如,IP中没有相应的控制以防止数据包被篡改,攻击者可以伪造首部校验和字段,或重新计算校验和以使网络节点不会丢弃数据包。由于IP本身对IP数据包是否来自真正的源地址不提供任何保障,因此攻击者可以进行IP源地址假冒。许多需要重写IP首部的攻击都要用到IP欺骗,主要的攻击包括:拒绝服务攻
18、击、中间人攻击、源路由攻击、客户端攻击和服务器端攻击等。(2)数据报分片。由于底层协议MTU值的限制,IP数据报可能需要分片,到达目的地后再重组。这一机制可能被攻击者利用。例如,用于攻击那些不能正确处理数据报分片异常(例如,分片重叠)的主机;通过在首片中不包含传输层信息来绕过防火墙等安全防护策略,产生大量分片使得防火墙耗费大量资源实现重组,或者发送不完整的分片报文迫使防火墙长时间等待集合中的其他分片。(3)寻址与协议选项。数据报的寻址信息以及协议选项的信息泄露了部分网络拓扑信息。记录路由或时间戳的协议选项可能被攻击者用于网络侦察。(4)访问控制与带宽控制。IP没有访问控制机制,使得攻击者可以查看上层协议(如TCP、UDP等)的内容;攻击者还可以利用IP没有带宽控制的缺陷,进行包风暴攻击来消耗带宽、系统资源,从而导致拒绝服务攻击。五、操作题1.防火墙能防止病毒、木马等恶意软件的传播吗?研究和配置你自己计算机的单机版防火墙,写出配置过程。防火墙不能防止病毒、木马等恶意软件的传播。配置过程略。2-8题略。