网络攻防复习资料 16页

.一、单项选择题1.TCP/IP的层次模型只有B层。四2.IP位于A层。网络3.TCP位于B层。传输4.大部分网络接口有一个硬件地址，如以太网的硬件地址是一个B48位的十六进5.逻辑上防火墙是A过滤器、限制器、分析器6.在被屏蔽主机的体系结构中，堡垒主机位于A，所有的外部连接都由过滤路由器路由到它上面去。内部网络7.在屏蔽的子网体系结构中，堡垒主机被放置在C上，它可以被认为是应用网关，是这种防御体系的核心。周边网络8.外部路由器和内部路由器一般应用B规则。相同9.外部数据包过滤路由器只能阻止一种类型的IP欺骗，即D，而不能阻止DNS欺骗。外部主机伪装成内部主机的IP10.最简单的数据包过滤方式是按照B进行过滤。源地址11.不同的防火墙的配置方法也不同，这取决于C、预算及全面规划。安全策略12.堡垒主机构造的原则是A；随时作好准备，修复受损害的堡垒主机。使主机尽可能的简单13.加密算法若按照密匙的类型划分可以分为A两种。公开密匙加密算法和对称密匙加密算法14.Internet/Intranet采用的安全技术有E和内容检查。A.防火墙B.安全检查C.加密D.数字签名E.以上都是15.下面的三级域名中只有D符合《中国互连网域名注册暂行管理办法》中的命名原则。WWW.SHENG001.NET.CN16.代理服务器与数据包过滤路由器的不同是B。代理服务器在应用层筛选，而路由器在网络层筛选17.关于防火墙的描述不正确的是C。防火墙可以防止伪装成外部信任主机的IP地址欺骗18.关于以太网的硬件地址和IP地址的描述，不正确的是C。数据传输过程中，目标硬件地址不变，目标IP地址随网段不同而改变19.关于被屏蔽子网中内部路由器和外部路由器的描述，不正确的是B。外部路由器和内部路由器都可以防止声称来自周边网的IP地址欺骗20.不属于代理服务器缺点的是D。一般无法提供日志21.关于堡垒主机上伪域名服务器不正确的配置是D。可使因特网上的任意机器查询内部主机信息22.口令管理过程中，应该B。设置口令有效期，以此来强迫用户更换口令23.WWW服务中，B。研究\n.CGI程序可对服务器端产生安全隐患，Javaapplet程序可对客户端产生安全隐患1.ICMP数据包的过滤主要基于C。消息类型代码2.屏蔽路由器能D。根据IP地址、端口号阻塞数据通过3.DNS服务器到服务器的询问和应答A。使用UDP时，用的都是端口534.提供不同体系间的互连接口的网络互连设备是D网关5.下列不属于流行局域网的是D。ATM6.网络安全的特征应具有保密性、完整性、D4个万面的特征。可用性和可控性7.B负责整个消息从信源到信宿的传递过程，同时保证整个消息的无差错，按顺序地到达目的地，并在信源和信宿的层次上进行差错控制和流量控制。传输层8.在网络信息安全模型中，A是安全的基石，它是建立安全管理的标准和方法。A.政策，法律，法规9.下列操作系统能达到C2级的是C。WindowsNT10.在建立口令时最好不要遵循的规则是C使用名字，自己的名字和家人的名字11.网络信息安全中，A包括访问控制，授权，认证，加密以及内容安全。A.基本安全类12.病毒扫描软件由C组成。代码库和扫描程序13.C总是含有对文档读写操作的宏命令；在·doc文档和·dot模板中以·BFF(二进制文件格式)存放宏病毒14.防火墙工作在OSI模型的A。应用层15.在选购防火墙软件时，不应考虑的是一个好的防火墙应该B为使用者提供惟一的平台16.包过滤工作在OSI模型的B。网络层和传输层17.与电子邮件有关的两个协议是：A。SMTP和POP18.网络上为了监听效果最好，监听设备不应放在C。中继器19.关于堡垒主机上的域名服务，不正确的描述是A。关闭内部网上的全部服务20.关于摘要函数，叙述不正确的是C输入消息申的任何变动都不会对输出摘要产生影响21.对于回路级代理描述不正确的是D。不为源地址和目的地址提供连接22.关于加密密钥算法，描述不正确的是A。通常是不公开的，只有少数几种加密算法23.网络进行嗅探，做嗅探器的服务器的网卡必须设置成D。混杂方式24.下面利用TCP的三次握手原理进行的攻击是B。SYNFlood25.下列那一项不是防范网络监听的手段D。身份验证26.TELNET协议主要应用于哪一层AA、应用层        研究\n.1.一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于A基本原则。 A、最小特权     2.不属于安全策略所涉及的方面是D。 D、防火墙策略3.对文件和对象的审核，错误的一项是DD、文件名更改的成功和失败4.WINDOWS主机推荐使用A格式。  A、NTFS    5.UNIX系统的目录结构是一种A结构.A、树状         6.在每天下午5点使用计算机结束时断开终端的连接属于A、外部终端的物理安全             7.检查指定文件的存取能力是否符合指定的存取类型，参数3是指B。B、 检查是否可写和执行8.D协议主要用于加密机制。 D、SSL9.不属于WEB服务器的安全措施的是DD、 所有用户使用一次性密码10.DNS客户机不包括所需程序的是D。D、 接收邮件11.下列措施中不能增强DNS安全的是C。C、 更改DNS的端口号12.为了防御网络监听，最常用的方法是B。B、 信息加密13.监听的可能性比较低的是B数据链路。B、电话线    14.NIS的实现是基于C的。C、RPC     15.NIS/RPC通信主要是使用的是B协议。B、UDP        16.向有限的空间输入超长的字符串是A攻击手段。A、缓冲区溢出   17.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于A漏洞A、拒绝服务       18.不属于黑客被动攻击的是A。A、缓冲区溢出  19.WindowsNT/2000SAM存放在D。D、WINNT/SYSTEM32/config20.输入法漏洞通过D端口实现的。  D、338921.使用Winspoof软件，可以用来C。C、 隐藏QQ的IP22.属于IE共享炸弹的是B。B、 \\192.168.0.1\tanker$\nul\nul23.抵御电子邮箱入侵措施中，不正确的是D。    D、自己做服务器24.网络精灵的客户端文件是D。D、netspy.exe25.不属于常见把入侵主机的信息发送给攻击者的方法是D    D、连接入侵主机26.http://IP/scripts/..%255c..%255winnt/system32/cmd.exe?/c+del+c:\tanker.txt可以 删除文件27.不属于常见的危险密码是D。    D、10位的综合型密码28.不属于计算机病毒防治的策略的是D。D、 整理磁盘29.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是D防火墙的特点。  D、代理服务型30.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于A攻击类型?A、拒绝服务31.为了防御网络监听，最常用的方法是：B。B、信息加密32.一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于A基本原则？A、最小特权;33.向有限的空间输入超长的字符串是A攻击手段？A、缓冲区溢出;研究\n.1.使用Windows2000的组策略,可以限制用户对系统的操作权限,该实例是B功能的应用？B、执行控制列表;2.主要用于加密机制的协议是：D。D、SSL3.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于B攻击手段？B、钓鱼攻击;4.WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止：B。B、暴力攻击;5.在以下认证方式中，最常用的认证方式是：A。A基于账户名／口令认证;6.以下哪项不属于防止口令猜测的措施？B。B、确保口令不在终端上再现;7.下列不属于系统安全的技术是：B。B、加密狗;8.以下哪项技术不属于预防病毒技术的范畴？A。A、加密可执行程序;9.电路级网关是以下哪一种软/硬件的类型?A。A、防火墙;10.DES是一种block（块）密文的加密算法，是把数据加密成B的块?B、64位;11.按密钥的使用个数，密码系统可以分为：CC、对称密码系统和非对称密码系统;12.以下有关数据包过滤局限性描述正确的是D。D、有些协议不适合包过滤13.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。这是对A。A、可用性的攻击;14.B为应用层提供一种面向连接的、可靠的字节流服务。B、TCP15.D是指计算机系统具有的某种可能被入侵者恶意利用的属性。D、计算机安全漏洞16.端口扫描最基本的方法是C。C、TCFconnet()扫描17.主机文件检测的检测对象不包括A。A、数据库日志18.关于基于网络的入侵检测系统的优点描述不正确的是D、检测性能不受硬件条件限制二、填空题1.数据包过滤用在和之间，过滤系统一般是一台路由器或是一台主机。内部主机；外部主机2.用于过滤数据包的路由器被称为，和传统的路由器不同，所以人们也称它为。屏蔽路由器；包过滤网关3.代理服务是运行在防火墙上的，防火墙的主机可以是一个具有两个网络接口的，也可以是一个堡垒主机。一种服务程序；双重宿主主机4.代理服务器运行在层，它又被称为。应用；应用级网关5.内部路由器又称为，它位于和之间。阻塞路由器；内部网络；周边网络研究\n.1.UDP的返回包的特点是：目标端口是请求包的；目标地址是请求包的；源端口是请求包的；源地址是请求包的。源端口；源地址；目标端口；目标地址2.FTP传输需要建立两个TCP连接：一个是；另一个是。命令通道；数据通道3.屏蔽路由器是一种根据过滤规则对数据包进行的路由器。阻塞和转发4.代理服务器是一种代表客户和通信的程序。真正服务器，5.ICMP建立在IP层上，用于主机之间或之间传输差错与控制报文。主机与路由器6.防火墙有多重宿主主机型、被屏蔽型和被屏蔽型等多种结构。主机；子网7.在TCP/IP的四层模型中，NNTP是属于层的协议，而FDDI是属于层的协议。应用；网络8.重宿主主机有两个连接到不同网络上的。网络接口9.域名系统DNS用于之间的解析。IP地址和主机10.防火墙把出站的数据包的源地址都改写成防火墙的IP地址的方式叫做。网络地址转换或NAT11.安全网络和不安全网络的边界称为。安全边界12.网络文件系统NFS向用户提供了一种访问其他机器上文件的方式。透明地13.SNMP是基于，的网络管理协议。UDP；简单的14.在逻辑上，防火墙是过滤器；限制器；分析器15.屏蔽路由器是可以根据对数据报进行和的路由器。过滤原则；阻塞；转发16.数据完整性包括的两种形式是和。数据单元或域的完整性；数据单元或域的序列的完整性17.计算机网络安全受到的威胁主要有：、、和。黑客的攻击；计算机病毒；拒绝服务访问攻击18.对一个用户的认证，其认证方式可以分为三类：、和。用生物识别技术进行鉴别；用所知道的事进行鉴别；使用用户拥有的物品进行鉴别19.恢复技术大致分为：纯以备份为基础的恢复技术，和基于多备份的恢复技术3种。对数据库构成的威胁主要有：篡改，损坏和。以备份和运行日志为基础的恢复技术20.防火墙就是位于或WEB站点与因特网之间的一个或一台主机，典型的防火墙建立在一个服务器或主机的机器上，也称为。内部网；路由器；堡垒主机21.是运行在防火墙上的一些特定的应用程序或者服务程序。代理服务22.防火墙有、主机过滤和子网过滤三种体系结构。双重宿主主机23.包过滤路由器依据路由器中的做出是否引导该数据包的决定。包过滤规则研究\n.1.双重宿主主机通过连接到内部网络和外部网络上。两个网络接口2.回路级代理能够为各种不同的协议提供服务，不能解释应用协议，所以只能使用修改的。客户程序三、判断题1.网络安全应具有以下四个方面的特征：保密性、完整性、可用性、可查性。F2.最小特权、纵深防御是网络安全原则之一。3.安全管理从范畴上讲，涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。4.用户的密码一般应设置为16位以上。5.开放性是UNIX系统的一大特点。6.密码保管不善属于操作失误的安全隐患。F7.我们通常使用SMTP协议用来接收E-MAIL。F8.在堡垒主机上建立内部DNS服务器以供外界访问，可以增强DNS服务器的安全性。F9.TCPFIN属于典型的端口扫描类型。10.为了防御网络监听，最常用的方法是采用物理传输。F11.NIS的实现是基于HTTP实现的。12.文件共享漏洞主要是使用NetBIOS协议。13.使用最新版本的网页浏览器软件可以防御黑客攻击。14.WIN2000系统给NTFS格式下的文件加密，当系统被删除，重新安装后，原加密的文件就不能打开了。15.通过使用SOCKS5代理服务器可以隐藏QQ的真实IP。16.一但中了IE窗口炸弹马上按下主机面板上的Reset键，重起计算机。F17.禁止使用活动脚本可以防范IE执行本地任意程序。18.只要是类型为TXT的文件都没有危险。F19.不要打开附件为SHS格式的文件。20.BO2K的默认连接端口是600。F21.发现木马，首先要在计算机的后台关掉其程序的运行。22.限制网络用户访问和调用cmd的权限可以防范Unicode漏洞。23.解决共享文件夹的安全隐患应该卸载Microsoft网络的文件和打印机共享。24.不要将密码写到纸上。25.屏幕保护的密码是需要分大小写的。F26.计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。27.木马不是病毒。28.复合型防火墙防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能。29.非法访问一旦突破数据包过滤型防火墙，即可对主机上的软件和配置漏洞进行攻击。F30.VPN的主要特点是通过加密使信息能安全的通过Internet传递。四、简答题1、保证计算机网络安全的主要措施有哪些？计算机网络安全的主要措施有预防、检测和恢复三类。研究\n.1）预防。是一种行之有效的、积极主动的安全措施，它可以排除各种预先能想到的威胁。2）检测。也是一种积极主动的安全措施，它可预防那些较为隐蔽的威胁。3）恢复。是一种消极的安全措施，它是在受到威胁后采取的补救措施。2、计算机信息安全技术的基本策略有哪些？1)操作系统的安全更新2)应用程序的安全更新3)合理设置网络4)监听与入侵检测5)审计与记账6)人员问题7)事故响应策略3、对木马的防治要制定出一个有效的策略，通常可以采用如下几个步骤：1）不要轻易地下载、运行不安全的程序。2）定期对系统进行扫描。可以采用专用的木马防治工具，如木马克星。这是一款国产的软件，可以查杀5021种国际木马，112种电子邮件木马，保证查杀冰河类文件关联木马，OICQ类寄生木马，ICMP类幽灵木马，网络神偷类反弹木马。TrojanHunter也是一个很好的选择。3）使用防火墙。对现有硬盘的扫描是不够的，应该从根本上制止木马的入侵。使用专用的防火墙可以在木马试图连接到网络时就可以将其屏蔽。木马克星和TrojanHunter都可以起到防火墙的屏蔽作用，当然也可以使用NortonInternetSecurity。4、什么叫入侵检测系统？入侵检测主要有哪3种方式？入侵检测（IntrusionDetection）是对入侵行为的发现。它从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。负责入侵的软/硬件组合体称为入侵检测系统入侵检测系统是根据入侵行为与正常访问行为的差别来识别入侵的，根据入侵识别采用的原理不同，可以分为异常检测、误用检测和特征检测3种。5、数字签名机制需要确定哪两个过程？签名机制的本质特征是什么？数字签名机制需要确定两个过程：一个是对数据单元签名；另一个是验证签过名的数据单元。第一个过程中的所有规程和信息是公开的，但是不能够由它们推断出该签名者的私有信息。这个私有信息是被用来验证数据单元的。签名机制的本质特征是：该签名只有使用签名者的私有信息才能产生出来。因而当答名得到验证后，它能够在事后的任何时候向第三方（如法官或仲裁人）证明：只有那个私有信息的唯一拥有者才能产生这个签名。6、Web的安全体系结构主要包括哪几个方面？Web的安全体系结构非常复杂，主要包括以下几个方面：1）客户端软件（即Web浏览器软件）的安全；2）运行浏览器的计算机设备及其操作系统的安全（主机系统的安全）；3）客户端的局域网（LAN）；研究\n.4）Internet；5）服务器端的局域网（LAN）；6）服务器端的计算机设备及操作系统的安全（主机系统的安全）；7）服务器上的Web服务器软件。在分析Web服务器的安全怀时，要充分考虑上述影响Web服务器安全性的几个方面，其中安全性最差的将决定Web服务器的安全级别。影响Web安全的最直接的因素，主要是Web服务器软件及支撑服务器运行的操作系统的安全。7、网络监听的基本原理是什么？网络监听是基于共享式以太网通信环境，共享式以太网的通信是基于广播的，在同一个网段的所有网络接口都可以访问到物理媒体上的数据，而每一个接口都有一个唯一的硬件地址MAC地址，一般来说一个网络接口可以响应两种数据帧，一个是广播帧，另一个是目标地址于自己MAC地址相匹配的帧，但是如果网卡的工作模式处于“混杂模式”，那么它将接受一切通过它的数据，而不管数据是否是传给它的，那么接受的所有数据帧都将交给上层协议软件处理，这构成了“网络监听”。防范网络监听：1)从逻辑或物理上对网络分段2)以交换式集线器代替共享式集线器3)使用加密技术4)划分VLAN8、简述VPN工作过程①.客户机向VPN服务器发出请求②.VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器③.VPN服务器根据用户数据库检查该响应，如果帐户有效，VPN服务器将检查该用户是否具有远程访问权限；如果该用户具有远程访问权限，VPN服务器接收此连接④.最后VPN服务器将在身份验证过程中产生的客户机和服务器共享密钥用于数据加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。五、论述题1.结合你对本课程的学习体会谈谈为保证网络安全应该如何构造网络，对网络进行设置？1、(1)外部网络的设置外部网络是连接内部网络与Internet的通道，也是抵御攻击和端口扫描的首要屏障。用户可能会通过拨号、远程网络或其他的方式连接到外部网络。图1给出了外部网络设置的一个例子，它包含如下的几个服务器：l防火墙：该防火墙具有状态包过滤功能，能有效阻止诸如死亡之Ping、包洪水等攻击，也可以防止Nmap等工具的端口扫描；l拨入服务器：对远程的拨号连接进行处理；lAAA服务器：对远程用户的访问进行认证、授权与记账；l入侵检测服务器：检测是否有入侵。研究\n.图1.1外部网络设置举例图1.3内部网络与外部网络的连接(2)内部网络的设置内部网络主要用于企业内部的数据访问，但也不能忽视了其安全性。图2给出了一个内部网络设置的例子，采用分段的方式将内部网络划分成不同的子网：l域名服务器；l入侵检测服务器；l邮件服务器；l数据库服务器；lSyslog服务器：用于记录日志信息；lAAA服务器。图1.2内部网络设置举例(3)有效隔离外部网络与内部网络在外部网络与内部网络间还要架设一个防火墙作为代理服务，用于内、外网的衔接，如图3所示。网络攻防技术复习大纲一、选择、判断、填空题。1、管理员常用的网络命令PING基于的协议基础是SMTP。WICMP2、管理员常用的网络命令TRACEROUTE基于的协议基础是SMTP。ICMP3、DNS的域名空间结构是树状结构。R倒置的树状结构研究\n.4、在IP地址动态分配的时候，可以作为法庭上的重要证据来使用的是DHCP日志。r5、IPv6提供的地址空间是128位。r6、最通用的电子邮件传输协议是SMTP。r7、在各种电子邮件传输协从中，网际消息访问协议是IMAP4。r8、在各种电子邮件传输协从中，因特网电子邮件的第1个离线协议标准是POP3。r9、称为安全套接字协议的是SSL。r10、一般来说，信息安全的基本目标是:保密性；完整性；可用性。可审计性不可否认性11、特洛伊木马是一种基于远程控制的黑客工具，其实质是C/S结构的网络程序。r12、安全威胁中的基本安全威胁有信息泄露；完整性破坏；拒绝服务；非法使用。13、主要的可实现威胁包括渗入威胁；植入威胁。14、主要的渗入类型的威胁有假冒；旁路控制；授权侵犯。15、主要的植入类型的威胁有特洛伊木马、陷阱门。16、不考虑主要的可实现威胁，潜在威胁主要有窃听；流量分析；操作人员的不慎所导致的信息泄露；媒体废弃物所导致的信息泄露。17、下面属于主动攻击类型的是：伪装攻击；重发攻击；消息篡改；拒绝服务。18、IPv6提供了地址自动配置机制，其中包括无状态地址自动配置；状态地址自动配置。19、移动IPv6的基本操作包括移动检测；家乡代理注册；三角路由；路由优化。20、暴库通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。21、文件传输协议FTP支持的功能有文本文件的传输；二进制文件的传输；字符集翻译。22、对于单钥加密体制来说，可以按照加解密运算的特点将其分为流密码；分组密码。23、古典密码基本的工作原理是代换；换位。24、密钥流生成器的主要组合部分有驱动部分；组合部分。25、分组密码的工作模式有电码本模式；密码分组链接模式；输出反馈模式；密码反馈模式；计数器模式。26、按照密码协议的功能来分类，把密码协议分为密钥建立协议；认证建立协议；认证的密钥建立协议。27、密钥认证的种类有隐式密钥认证；密钥确认；显式密钥认证。28、对密码协议进行分析的方法有攻击检验方法；形式语言逻辑证明方法。29、公开密钥基础设施PKI主要包括的内容有安全策略；认证系统；密钥管理中心。30、绝大多数的访问控制应用都能抽象成一般的权限管理模型，其中包括对象；权限声称者；权限验证者。31、权限验证者决定访问的通过与失败根据的条件是权限声明者的权限；适当的权限策略；当前环境变量。32、在权限管理基础设施PMI中，策略规则主要包含的基本因素是访问者；目标；动作；权限信任源；访问规则。33、在安全应用系统中实现访问控制使用的方式主要有基于应用的方式；服务器插件方式；代理方式。34、相对于软件加密来说，硬件加密的优点是加密速度快；硬件安全性好；硬件易于安装。35、相对于硬件加密来说，软件加密的优点是灵活；方便；可安装于多种机器上。36、从一般通信网的应用来看，密钥主要分为基本密钥；会话密钥；密钥加密密钥；主机主密钥。37、密钥存储时必须保证密钥的机密性；认证性；完整性；防止泄露；防止修改。38、密钥的生存期有下面哪几个阶段组成预运行阶段；运行阶段；后运行阶段；报废阶段。39、访问控制的三个要素：主体、客体、保护规则。40、访问控制一般分为：自主访问控制、强制访问控制、基于角色的访问控制。41、从程序的角度，缓冲区就是应用程序用来保存用户输入数据、程序临时数据的内存空间。研究\n.42、缓冲区溢出种类：栈溢出、堆溢出、整型溢出、格式化字符串溢出、其他溢出。43、网络蠕虫是一种智能化、自动化的攻击程序或代码，它综合了网络攻击、密码学和计算机病毒技术。二、简答、问答题1、信息收集任务是什么？主要方法有那些？任务与目的：尽可能多地收集目标的相关信息，为后续的“精确”攻击建立基础。主要方法：利用公开信息服务、主机扫描与端口扫描、操作系统探测与应用程序类型识别。2、缓冲区溢出？缓冲区溢出的危害？缓冲区溢出：如果用户输入的数据长度超出了程序为其分配的内存空间，这些数据就会覆盖程序为其它数据分配的内存空间，形成所谓的缓冲区溢出。危害：应用程序异常；系统不稳定甚至崩溃；程序跳转到恶意代码，控制权被窃。3、XSS和CSS人们经常将跨站脚本攻击(CrossSiteScripting)缩写为CSS，但这会与层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说“我发现了一个XSS漏洞”，显然他是在说跨站脚本攻击。4、网络攻击步骤信息收集；获取用户权限；安装后门；扩大影响；清除痕迹。5、信息收集的内容？域名和IP地址、操作系统类型、端口、应用程序类型、防火墙、入侵检测等安全防范措施内部网络结构、域组织。6、缓冲区溢出种类？栈溢出、堆溢出、整型溢出、格式化字符串溢出、其他溢出。7、蠕虫的攻击行为可以分为四个阶段：信息收集；扫描探测；攻击渗透；自我推进。9、暴库将对方数据库的物理路径暴露出来。10、跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。11、列出嗅探器Windows：Sniffer_pro、NetxrayUnix：Sniffit、Snort、Tcpdump12、ARP欺骗的攻击过程？攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关受害者将数据包发送给假网关（攻击者），假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包），假网关再把数据包转发给真正的网关。13、DDoS是什么攻击？是怎么实施的？攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。研究\n.主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。14、PDRR模型—网络安全模型一个最常见的安全模型就是PDRR模型。PDRR模型就是4个英文单词的头字符：Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期，如图：15、APPDRR网络安全模型APPDRR模型:风险评估（Assessment）安全策略（Policy）系统防护（Protection）动态检测（Detection）实时响应（Reaction）灾难恢复（Restoration）六部分完成。网络安全的动态特性在DR模型中得到了一定程度的体现，其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律，人们对DR模型进行了修正和补充，在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估（Assessment）、安全策略（Policy）、系统防护（Protection）、动态检测（Detection）、实时响应（Reaction）和灾难恢复（Restoration）六部分完成16、个人主机安全原则是什么？运用主要的安全技术是什么？把握安全原则：相对性原则安全是相对的，不是绝对的。没有任何一种技术是可以提供100％的安全性最小化原则不必要的功能一概不要，必要的功能也要加以严格的限制隐蔽性原则不要“诱惑”攻击者。最好的安全防护是隐藏终端的信息价值主要的安全技术：防火墙补丁管理使用一种杀毒软件“谨慎”浏览、下载做好备份17、什么是SQL注入攻击？SQLInjection，就是向网站提交精心构造的SQL查询语句，导致网站将关键数据信息返回。18、安全领域存在有多种类型的防护措施。除了采用密码技术的防护措施之外，还有其他哪些类型的安全防护措施？（1）物理安全（2）人员安全（3）管理安全（4）媒体安全（5）辐射安全（6）生命周期控制19、访问控制系统建立后的工作流程有哪些？（1）访问者发出对某个目标的访问请求，被策略实施点截获（2）策略实施点对请求进行处理，根据用户信息、请求操作和目标信息等形成决策请求，发给策略决策点。（3）策略决策点根据用户的权限，策略规则对决策请求进行判断，并将决策的结果返回给策略执行点。该结果只是允许或拒绝。研究\n.（1）策略招执行点根据决策结果执行访问或者拒绝访问。简述网络攻击的一般步骤1)隐藏IP2)踩点扫描3)获得系统或管理员权限4)种植后门5)清除痕迹画出一般网络攻击的路线图简述5种攻击阶段使用的攻击方法1)缓冲区溢出攻击2)脚本程序漏洞攻击3)口令攻击4)错误及弱配置攻击研究\n.1)网络欺骗与劫持攻击简述5种提权方式1)社会工程学2)漏洞溢出3)口令破解4)SQL注入5)木马简述木马攻击的一般步骤答：1)配置木马2)传播木马3)运行木马4)信息泄露5)建立连接6)远程控制木马分别有哪些植入技术和加载技术？主动植入：本地安装、远程安装（利用系统漏洞和第三方软件漏洞）被动植入：n网页浏览植入n利用电子邮件植入n利用网络下载植入n利用即时通工具植入n与其它程序捆绑n利用移动存储设备植入在Windows系统中木马程序的自动加载技术主要有：n修改系统文件n修改系统注册表n添加系统服务n修改文件打开关联属性n修改任务计划n修改组策略n利用系统自动运行的程序n修改启动文件夹n替换系统DLL简述TCPSYN扫描的原理Halfopenscan在3次握手完成前终止连接。发SYN，如果收到RST，说明端口关闭。如果收到SYNACK，说明端口开放，发送RST。研究\n.被扫描主机开放的端口不提供服务的端口防火墙过滤的端口扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他列举网络欺骗的一般方法DNS欺骗邮件欺骗IP欺骗arp欺骗网络钓鱼（web欺骗）Metasploit渗透测试步骤1.创建项目2.发现设备3.获取对主机的访问权限4.控制会话5.从目标主机收集证据6.清除会话7.生成报告使用Metasploit的某攻击过程如下，简述各步骤的主要功能。1.searchms08_0672.usewindows/smb/ms08_067_netapi3.showpayloads4.setPAYLOADwindows/shell_bind_tcp5.showoptions6.setRHOST192.168.1.1087.Exploit溢出成功后8.Ipconfig/all9.Netuserabc123/add10.Netlocalgroupadministratorsabc/add常用扫描工具的主要功能研究\n.运行在VMware虚拟机软件上操作系统的网络连接方式有三种VMWare提供了三种工作模式，它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们，你就应该先了解一下这三种工作模式。　　1.bridged(桥接模式)　　在这种模式下，VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机，它可以访问网内任何一台机器。在桥接模式下，你需要手工为虚拟系统配置IP地址、子网掩码，而且还要和宿主机器处于同一网段，这样虚拟系统才能和宿主机器进行通信。同时，由于这个虚拟系统是局域网中的一个独立的主机系统，那么就可以手工配置它的TCP/IP配置信息，以实现通过局域网的网关或路由器访问互联网。　　使用桥接模式的虚拟系统和宿主机器的关系，就像连接在同一个Hub上的两台电脑。想让它们相互通讯，你就需要为虚拟系统配置IP地址和子网掩码，否则就无法通信。　　如果你想利用VMWare在局域网内新建一个虚拟服务器，为局域网用户提供网络服务，就应该选择桥接模式。　　2.host-only(主机模式)　　在某些特殊的网络调试环境中，要求将真实环境和虚拟环境隔离开，这时你就可采用host-only模式。在host-only模式中，所有的虚拟系统是可以相互通信的，但虚拟系统和真实的网络是被隔离开的。　　提示:在host-only模式下，虚拟系统和宿主机器系统是可以相互通信的，相当于这两台机器通过双绞线互连。　　在host-only模式下，虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等)，都是由VMnet1(host-only)虚拟网络的DHCP服务器来动态分配的。　　如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统，进行某些特殊的网络调试工作，可以选择host-only模式。　　3.NAT(网络地址转换模式)　　使用NAT模式，就是让虚拟系统借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。也就是说，使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的，无法进行手工修改，因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单，你不需要进行任何其他的配置，只需要宿主机器能访问互联网即可。如果你想利用VMWare安装一个新的虚拟系统，在虚拟系统中不用进行任何手工配置就能直接访问互联网，建议你采用NAT模式。研究