计算机等级考试三级信息安全技术章节习题4

#NCRE #笔记

四、网络安全

简述 TCP/IP 协议架构的层次架构和各层包含的主要协议

简述 ARP 协议欺骗的原理

ARP 协议主要完成从 IP 地址到 MAC 地址的转换,主机中的 ARP 缓存表都有更新机制,每台主机在收到 ARP 数据包时就会更新自己的 ARP 缓存表。ARP 欺骗的原理就是恶意主机伪装并发送欺骗性的 ARP 数据包,致使其他主机收到欺骗性的 ARP 数据包后,更新其 ARP 缓存表,从而建立错误的 IP 地址与 MAC 地址的对应关系。

简述 ICMP 协议的功能

Internet 控制报文协议(Internet Control Message Protocol , ICMP)主要的作用是在 TCP/IP 网路中发送出错和控制消息,允许主机或网络设备报告差错或异常情况,从而提供一个错误侦测与反馈机制

主要功能是差错报告和查询

简述 TCP 协议的三次握手过程

请求包 SYN

应答包 ACK

说明 TCP 全连接扫描、TCP SYN 扫描和 TCP FIN 扫描的原理和不同之处

简述网络漏洞扫描和主机漏洞扫描的区别

介绍基于 DNS服务器的欺骗技术原理

欺骗目标是 DNS 服务器。攻击者首先向 DNS 服务器发送域名对应 IP 地址的查询请求, DNS 服务器在没有此域名的条件下会向更高级别的 DNS 服务器上传查询请求。此时,攻击者可以 伪造更高级别 DNS 服务器返回的 DNS 应答包 ,告知此 DNS 服务器要查询域名的 IP 地址,这个 IP 地址往往被设置为攻击者自己服务器的 IP 地址。被欺骗的 DNS 服务器收到 DNS 应答数据包后,将域名和对应的虚假 IP 地址记录到自身缓存中,当网络中有查询此域名时,就从缓存中找到虚假 IP 地址返回给用户,使用户访问的虚假 IP 地址对应的攻击者的服务器

说明网站挂马的概念及原理

网站中的网页被攻击者恶意修改后,添加了可以触发并下载恶意程序链接以及恶意程序代码和脚本

挂马的前提是入侵网站服务器,具有网站中网页的修改权限,攻击者对网站中的网页进行修改,通过 iframe 内嵌框架、跨站脚本链接等内嵌链接机制,将恶意链接添加到网页中。恶意网页是被攻击者篡改或恶意构建的其他网站的网页,在恶意网页中往往被攻击者挂载了含有漏洞利用代码的文件或脚本,文件和脚本在用户访问恶意网页时会自动下载并执行,用户计算机中浏览器及插件漏洞会被利用并导致文件和脚本中指向或包括的木马病毒自动被下载和运行

说明 Dos 攻击的3种实现方式

介绍 SYN-Flood 攻击的原理

攻击者向目标主机发送第一次 SYN 握手请求数据包,伪造了此数据包的源 IP 地址为不存在或网络不可达的一个 IP 地址,地址不存在或网络不可达,所以没用第三次握手的响应数据包,主机就要等一段时间后才丢弃未完成的连接,这会占用一定的 CPU 和内存资源,攻击者通过大量伪造的 SYN 数据包,形成大量的半开连接,直至资源耗尽

介绍 ACK-Flood 攻击的原理

利用握手过程,在发送 SYN 数据包给目标主机之前,将该数据包的源地址和目标地址都设置成目标主机的 IP 地址。这会导致目标主机向自己的 IP 地址响应 SYN+ACK 数据包,结果又向自己发送 ACK 消息并创建一个空连接,每个空连接都会保留至超时,当这样的连接数量很多时,系统资源将会被耗尽

介绍应用层脚本洪水攻击的原理

应用层 DoS 攻击是脚本洪水攻击,攻击者利用代理服务器对 Web 服务器发送大量的 HTTP Get 请求,如果目标服务器的动态 Web 服务器,大量的 HTTP Get 请求主要是查询动态网页,这些请求会给后台的数据库服务器制造极大负载直至无法正常响应,从而使正常用户的访问也无法进行了

针对动态脚本页面的网站服务器,脚本洪水攻击的效果很明显,由于这些网站大量前端脚本程序会调用后台数据库。而针对静态页面的网站服务器,由于不会调用后台数据库中的数据,攻击效果就不明显。由于脚本洪水攻击需要和网站服务器建立正常的 TCP 连接,因而会暴露攻击者的 IP 地址

举例说明 SQL 注入的原理

Web应用程序在接收到用户的请求参数后,如果咩有对请求参数进行严格的过滤或检查,而直接将用户的请求参数作为拼接 SQL 语句的一部分进行解释执行,则攻击者就可以通过构造一段 SQL 代码片段作为请求参数提交给 Web 应用程序,从而使这段 SQL 代码得到后台数据库程序的解释执行,使攻击者能查询操作后台数据库

举例说明跨站脚本攻击的原理

利用网站程序对 Web 页面中输入的数据过滤不严格或未做过滤的漏洞,攻击者往 Web 页面中恶意脚本代码,当用户浏览页面时,使用户的浏览器会自动加载并执行页面中插入的恶意脚本代码,从而实现在用户浏览器中显示攻击者的恶意脚本、控制用户浏览器或窃取用户资料的目的

<? php
    $user=$_GET['user'];
    echo "Hello" .$user;
 ?>

如果用户提交请求 xxx.com/xss.php?user=<scropt>alert(/xss/)</scropt> 代码将被返回给客户端比嗯执行后显示在浏览器中

解释说明跨站请求伪造攻击的概念及原理

跨站请求伪造攻击(Cross Site Request Forgery,CSRF)属于伪造客户端请求,让用户访问攻击者构造的网页,执行网页中的恶意脚本,伪造用户的请求,对用户有登录权限的网站空间实施攻击。通过攻击者的站点对用户可登录的站点发起的攻击,而且攻击脚本利用的是伪造的用户请求,因此被称为跨站点请求伪造攻击。

当用户通过用户名和口令完成对目标 Web 应用服务器的登录验证后,用户的浏览器会存储登录验证后由 Web 应用服务器返回给浏览器的会话认证信息,即 Cookie 数据。用户针对该 Web 应用服务器的 HTTP 请求,用户的浏览器都会自动通过保存的 Cookie 通过验证,而不用输入用户名和口令。

攻击者可以在自己控制网站的页面中编写对用户的 Web 应用空间发起的伪造 HTTP 表单的恶意代码,然后诱骗用户浏览攻击者构造的页面,执行页面中嵌入的恶意代码。恶意代码在受害用户不知道的情况下,通过保存在用户浏览器中的 Cookie 通过用户 Web 应用空间的验证后,以用户的身份执行 HTTP 表单请求操作,泄漏 Web 应用中用户的敏感数据或是篡改 Web 应用中的相关数据。

解释说明木马的端口反弹技术

木马的服务端程序从内网主动发起对外连接请求,连接到外网木马的客户端。反弹式木马是服务端主动发起连接请求,而客户端是被动的等待连接,木马服务端通过设置固定的客户端 IP 地址和连接端口,直接回连木马的客户端程序。还有动态 IP 地址的木马客户端,利用一台被控制的代理服务器保存每次改变后的客户端的 IP 地址和待连接的端口,木马服务端每次启动时,先连接代理服务器获取客户端的动态 IP 地址和端口信息

说明防火墙的 NAT 原理

网络地址翻译技术(Network Address Translation , NAT)能将单位内网只用的内部 IP 地址翻译为合法的公网 IP 地址,这使内网使用内部 IP 地址的计算机无线变动也能与外网连接。

NAT 将内部 IP 地址翻译为公网 IP 地址。当外部公网响应的数据包返回给 NAT 后,NAT 再将其翻译为内网 IP 地址发给内网的主机,从而实现内网主机与外网的正常通信,解决了 IPv4 地址不足的问题。同时因为外网主机只能看到数据包来自 NAT 翻译后的公网 IP 地址,而看不到内网主机的内部 IP 地址,所以 NAT 可保护及隐藏内网计算机。

说明防火墙的包过滤技术和动态检测技术的区别

内外网之间传输的数据包按照某些特征事先设置一系列的安全规则(或安全策略)进行过滤或筛选。包过滤防火墙检查每一条规则。如果发现数据包中的信息与某规则相符,则允许或拒绝这个数据包穿过防火墙进行传输。如果没有规则能符合,则防火墙会使用默认规则。一般情况默认规则就是要求防火墙丢弃该包

状态检测技术也称动态包过滤技术,不像包过滤防火墙仅靠设置静态的包过滤规则来镜像数据包的过滤拦截,而是增加对数据包连接状态变化的额外考虑。防火墙的核心部分建立数据的连接状态表,对在内外网间传输的数据包以会话角度进行检测,利用状态表跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话

和包过滤防火墙相比,状态检测防火墙动态记录连接的各种状态,可以在连接终止后及时阻断后续连接,防止伪造流量通过;可有效阻止更多伪造网络地址的 DoS 攻击,而且不用为了大量的正常访问请求而长久地开放大量端口。

说明入侵检测系统和入侵防御系统功能的区别

入侵检测系统(Intrusion Detection System , IDS)工作在计算机网络系统中的关键节点上,通过实时收集和分析计算机网络或系统中的信息来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。是对防火墙有益的补充,它对网络和主机行为进行检测,提供内部攻击、外部攻击和误操作的实施监控,增强了网络的安全性。入侵检测系统可以实现事前警告、事中防护和事后取证。

入侵防御系统(Intrusion Prevention System , IPS)作为一种在线部署的产品,能够提供主动的、实时的防护,其设计目标在与准确监测网络流量,自动分析对各类网络攻击行为,并对应用层的威胁和攻击进行实时阻断,而入侵检测系统只是在监测到恶意流量的同时或之后才简单地告警。

入侵防御系统的检测技术和入侵检测系统是相似的,可以在网络层、传输层和应用层进行攻击行为的检测和防御。和入侵检测系统在网络中旁边部署不同的是,入侵防御系统是通过直接串联到网络链路中实现其防御功能的。当入侵防御系统接收到外部数据流量时,如果检测到数据包中的攻击特征,就会自动地将此数据包丢掉或采取措施将攻击源阻断,从而将攻击数据包挡在网络边界之外。

说明防火墙和入侵防御系统功能的区别

防火墙位于可惜和不可信网络间,通过检测和过滤网络交换的信息,达到保护内部可信网络的目的

入侵防御系统采用串联方式部署在网络中,实现网络层、传输层和应用层的全面检测和拦截,具有拦截恶意流量、实现对传输内容的深度检测和安全防护、对网络流量检测的同时进行过滤等功能

介绍 PKI 中基于数字证书的信任链传递关系原理

公共密钥基础设施(Public Key Infrastructure , PKI)

证书认证机构(Certificate Authority , CA)

证书注册机构(Registration Authority , RA)

证书办法系统(Certificate Distribution System , CDS)

通过真实的数字证书来相信网络用户身份的真实性是通过信任链的传递关系来保证的。证书是由证书认证机构颁发的,证书认证机构颁发证书之前要对申请证书者的身份进行确认,只有经过身份核实的才签发证书。且证书中含有证书认证机构的数字签名。如果证书中的信息被篡改,则可通过证书认证机构公钥验证出来。在可以信任证书认证机构的条件下,证书认证机构又信任证书拥有者,因此给证书拥有者颁发来数字证书。如果能验证数字证书是真实的没有被篡改过,则借由这个信任链的传递关系就可以通过真实的数字证书确认并相信在数字证书中证书拥有者的身份。简而言之,证书拥有者可以通过数字证书向网络系统中的其他实体证明自己的身份。

介绍 SSL 协议的连接过程