发布时间 : 星期三 文章网络安全复习题2012.更新完毕开始阅读5637c79877a20029bd64783e0912a21615797f51
网络安全课程测试题
1.简述防火墙的实现技术。
答:所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用
网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
2. 说明奇虎360系列桌面安全软件与其他杀毒软件(举例一种,如卡巴斯基、金山毒霸)的区别,包括技术和商业模式等方面。
3. 简述PKI体系下数字签名的机制,用示意图说明其原理。
PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽,是一个被很多人接受的概念。这个定义说明,任何以公钥技术为基础的安全基础设施都是PKI。
PKI是用公钥概念和技术实施的,支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证
书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
使用公开密钥算法的用户同时拥有公钥和私钥。私钥不能通过公钥计算出来。私钥由用户自己持有,公钥可以明文发送给任何人,公开密钥理论解决了对称加密系统的密钥交换问题。
公开密钥算法的速度比对称算法慢得多,并且由于任何人都可以得到公钥,公开密钥算法对选择明文攻击很脆弱,因此公钥加密/私钥解密不适用于数据的加密传输。为了实现数据的加密传输,公开密钥算法提供了安全的对称算法密钥交换机制,数据使用对称算法加密传输。两个用户(A和B)使用公开密钥理论进行密钥交换的过程如下:
A使用B的公钥加密A随即产生密钥1发送给BB使用B的私钥解密得到A生成的密钥1A使用B的私钥加密得到B生成的密钥1发送给AB使用A的公钥解密B随机生成的密钥2A使用“密钥1+密钥2”作为对称算法的密钥使用协商的密钥进行加密传输B使用“密钥1+密钥2”作为对称算法的密钥
在对称算法密钥的协商过程中,密钥数据使用公钥加密。在保证私钥安全的前提下,攻击者即使截获传输的信息也不能得到加密算法的密钥,这就保证了对称算法密钥协商的安全性。
4. 简述蠕虫的传播特点与检测机制。
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄
生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
对蠕虫在网络中产生的异常,有多种的的方法可以对未知的蠕虫进行检测,比较通用的方法有对流量异常的统计分析,对tcp连接异常的分析,网威入侵检测在这两种分析的基础上,又使用了对ICMP数据异常分析的方法,可以更全面的检测网络中的未知蠕虫。 当一台主机向一个不存在的主机发起连接时,中间的路由器会产生一个ICMP-T3(目标不可达)包返回给蠕虫主机(如图4)。
图 4路由器返回ICMP-T3包
在蠕虫的扫描阶段,蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描,探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址,从而在一段时间里,蠕虫主机会接收到大量的来自不同路由器的ICMP-T3数据包(如图5)。网威的VDS通过对这些数据包进行检测和统计,在蠕虫的扫描阶段将其发现,然后对蠕虫主机进行隔离,对
蠕虫其进行分析,进而采取防御措施。
图5蠕虫的随机扫描行为
如图6所示,将ICMP-T3数据包进行收集、解析,并根据源和目的地址进行分类,如果一个IP在一定时间(T)内对超过一定数量(N)的其它主机的同一端口(P)进行了扫描,则产生一个发现蠕虫的报警(同时还会产生其它的一些报警)。
图6 检测扫描
这种方法可以检测出具有高速,大规模传染模型的网络蠕虫。
5. 简述僵尸网络的组成及运行原理。
僵尸网络(botnet ):通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。
在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中即聊天)协议进行控制的Botnet中,就是指提供IRC聊天服务的服务器。僵尸网络是一种由引擎驱动的恶意因特网行为:DDoS 攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以