网络信息对抗重点知识点

1、精选优质文档-倾情为你奉上1、简述ping命令是如何利用ICMP实现程序功能的？ 答案：ping命令用于从一台主机向另一台主机发送ICMP数据报，它使用ICMP_ECHO_REQUEST命令传送数据报，并对每个发送的数据报都期望得到一个ICMP_ECHO_REPLY响应。Ping命令被用于网络测试和管理，它有多种选择项。通过使用这些不同的选择项来帮助确定连接中的各种问题。按照缺省设置，Windows上运行的ping命令发送4个ICMP回送请求，每个32字节数据，若一切正常，则得到4个回送应答。ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。若应答时间短，表示数据报不必通过太

2、多的路由器或网络连接速度比较快。ping还能显示ttl值，可通过ttl值推算数据包已通过了多少个路由器：源地点ttl起始值-返回时ttl值。若返回ttl值为119，则可推算数据报离开源地址的ttl起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；若返回ttl值为246，ttl起始值就是256，源地点到目标地点要通过9个路由器网段。正常情况下，当使用ping命令来查找问题所在或检验网络运行情况时，需要使用许多ping命令，若所有都运行正确，就可相信基本的连通性和配置参数没问题；若某些ping命令出现运行故障，它也可指明到何处去查找问题。eg： ping

3、这个ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。若没做到这一点表示TCP/IP的安装或运行存在某些最基本的问题。2 、系统安全漏洞：也称为漏洞或脆弱性，是指在系统硬件、软件、协议的具体实现或系统安全策略上存在某种形式的安全方面脆弱性，即安全缺陷。该缺陷存在的直接后果是允许非法用户未经授权获得访问权或提升其访问权限。入侵者利用这些安全缺陷可达到控制目标主机或造成一些更具破坏性的目的。漏洞与系统环境是相互联系的，漏洞问题与时间也紧密相关。3 、风险分析与评估：一个系统安全的周期包括审计、校正、监控3个动态循环过程。 审计：对网络系统的访问记录进行审计分析可用来寻找网络的漏洞。在

4、网络安全审计基础上进行风险分析，并由此构造网络安全策略，就形成了原始的安全基准；校正：对网络系统中被审计出的安全漏洞部分需加以校正，故应常对系统进行审计以保证新漏洞不再出现，老漏洞不再重现；监控：利用监控工具来监视新出现的网络攻击手段或滥用老漏洞的企图，这可使网络管理员始终掌握网络最新动态。4 、简述风险评估的方法与步骤，BPL公式的要素及其相互关系是什么？答案：风险评估的方法有：树形分析法、历史分析法、风险概率评估法、失误模型及后果分析法；具体为:确定各种威胁可能发生的频率及其可能产生的损失的大小，然后依据BPL公式规定的原则来确定是否需要增加或改进安全防护措施；当损失发生的概率与损失本身造

5、成的影响的乘积大于防止该损失的代价时（即B<PL）就应该采用防止损失的策略，反之则不必；风险评估的步骤：确定受保护对象、确定威胁、确定保护措施。 BPL公式的要素：B是防止某一个特定损失的代价，P是该特定损失发生的概率，L是该特定损失造成的影响。风险分析的基本公式：B>PL，它表明在风险分析中各要素的关系。5、 eg:假设一个部门的网络遭受攻击的损失概率大约为5%，部门存储在系统上的信息价值大约为￥5000万美元。从被攻击后被耽误的代价大约￥2000/h，这样，如果系统遭到成功的攻击，管理员估计，系统恢复需要花费5h，支付的恢复费用为￥6200，如果进行系统的改进工作，编写修改程序

6、的时间、重新启动机器的时间加上损失的系统计算时间将花费￥1400，因为修改系统软件、帮助和培训用户而损失的网络服务代价是大约￥3500，试根据BPL公式原理进行计算，并给出相应的结论。 解：P=5% L1=￥ L2=￥2000*5h=10000 L3=￥6200 B1=14000 B2=3500 使用BPL公式，计算PL=5%*（+10000+6200）=5%*= B=17500 PL>B 所以，该系统确实应该进行修改。注：若遇见B略大于PL时，为了减少产生风险后所带来的损失与麻烦，所以采用软件安全措施是一种值得考虑的解决方案。6 、网络信息对抗的定义：以网络基础设施为支撑，在网络空间内

7、围绕信息而进行的争斗，对抗的双方通过攻击与防护手段进行对抗。在对抗过程中，攻击方利用各种攻击手段获取对方网络空间的控制权，进而获取信息或破坏对方信息系统的正常运行；防守方则采用各种防护手段与措施加固自己网络空间的安全性，确保自己信息系统的正常运行和网络信息的安全性。7、网络攻击的基本步骤是什么？ 答案：调查、收集和判断出目标系统计算机网络的拓扑结构以及其他信息；对目标系统安全的脆弱性进行探测与分析；对目标系统实施攻击。8、常见的漏洞攻击：缓冲区溢出攻击、UNICODE漏洞攻击、输入法漏洞。漏洞攻击中最常用、使用最频繁的就是利用缓冲区溢出漏洞进行的缓冲区溢出攻击。9、电子欺骗：是指通过伪造源于可

8、信任地址的数据包以使一台机器认证另一台机器的复杂技术。电子欺骗攻击是网络入侵者常使用的一种攻击手段，电子欺骗可发生在IP系统的所有层次上，电子欺骗攻击得以进行的必要条件是须存在某类信任关系； 10、电子欺骗有哪些类型？其工作原理如何？常用的电子欺骗有：IP欺骗、ARP欺骗、DNS欺骗、路由欺骗。 IP欺骗就是伪造合法用户主机的IP地址与目标主机建立连接关系，以便能蒙混过关而访问目标主机，而目标主机或者服务器原本禁止入侵者的主机访问。ARP欺骗的原理：ARP即地址转换协议，它用来将IP地址转换为物理地址。 DNS欺骗原理：以一个假的IP地址来响应域名请求，但它的危害性却大于其他的电子欺骗方式。

9、路由欺骗：有多种形式，但所有形式都涉及迫使Internet主机往不应该的地方发送IP数据报。分为基于ICMP的路由欺骗和基于RIP的路由欺骗。11 、拒绝服务攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源、使服务器崩溃或资源耗尽无法对外继续提供服务。常见的有：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹。 12、 DoS是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。以这种方式攻击的后果常表现为：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件；扭曲

10、系统的资源状态，使系统的处理速度降低； 13、在大多数情况下，DoS没有表现出侵入系统的危险。即攻击者通过这种攻击手段并不会破坏数据的完整性或获得未经授权的访问权限，他们的目的只是捣乱而非破坏。DoS并没有一个固定的方法和程式，它以多种形式体现出来。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 14、分布式拒绝服务攻击：DDoS是目前黑客经常采用且难以防范的攻击手段。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS就是利用更多的傀儡机来发起进攻。以比以前更大的规模来进攻受害者。 15、被DDoS攻击时会产生：被攻击主机

11、上有大量等待的TCP连接；网络中充斥着大量的无用的数据包，源地址为假；制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信；利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求；严重时会造成系统死机。16、分布式拒绝服务攻击分为哪几步？其实现的基本原理是什么？ 答案：DDoS攻击步骤：收集了解目前的情况、占领主控端和代理端主机、实际攻击；DDoS的攻击原理：DDoS分为两级：主控端和代理端。主控端主机和代理端主机都是因特网上具有某些安全缺陷的主机攻击者首先寻找具有某些安全缺陷的主机作为攻击的主控端主机并上传主控端程序；攻击者或主控

12、端寻找代理端主机并上传攻击程序，攻击程序最简单的是发包程序；某个特定时刻，攻击者发送命令给主控端主机，主控端主机控制代理端主机向受害者发起分布式攻击。 分布式拒绝服务攻击原理17、主动防护定义：网络主动防御技术属于网络防护范畴。网络防护可以分为被动防护和主动防护。被动防护包括路由器过滤、防火墙等内容，主动防护在充分利用被动防护技术的基础上，还包括攻击预警、入侵检测、网络攻击诱骗和反向攻击等内容。网络主动防御技术就是在增强和保证本地网络安全性的同时，及时发现正在遭受的攻击并及时采用各种措施使攻击者不能达到目的，使己方的损失降到最低的各种方法与技术。18、防火墙的基本原理与应用规则是什么？ 答案：

13、1）基本原理：防火墙并不是对每一台主机系统进行自我保护，而是让所有对系统的访问通过网络中的某一点。通过保护这一点，尽可能地对外界屏蔽，保护内部网络的信息和结构。防火墙是设置在可信网络和外部不可信的网络之间的一道屏障，可以实施比较广泛的安全策略来控制信息流进入可信网络，防止不可预料的潜在的入侵破坏；另一方面能够限制可信网络中的用户对外部网络的非授权访问。2）防火墙的使用必须遵循的规则：进出网络的双向通信信息必须通过防火墙；只能允许经过本地安全策略授权的信息流通过；防火墙本身不能影响网络合法信息的流通。19、防火墙概论：Internet防火墙的主要目标是控制可信网络和因特网之间的连接。防火墙允许访

14、问服务并保护这些服务的用户。防火墙可以看成保护内部网边界的哨卡，阻塞进出防火墙的恶意信息流。在对付各种网络攻击的技术中，防火墙技术是有效的且先进的防御技术。防火墙实质上就是在网络的不同层次上所设置的电子屏障。设计和建造一个防火墙是在网络上正确应用防火墙技术的一门艺术，而不是简单地把防火墙产品添加到网络上去。20、防火墙有哪几类型？它们的原理是什么？答案：1）类型：按防火墙工作在网络中的层次为依据，可将防火墙分为网络层防火墙、应用层防火墙。网络层防火墙主要类型有：简单过滤路由器、堡垒主机防火墙、过滤主机防火墙、过滤子网防火墙；应用层防火墙主要类型有代理服务器主机防火墙、双宿网关防火墙、电路网关防

15、火墙。2）原理：网络层防火墙工作在IP包一级，对IP包进行处理而达到流量控制的目的。网络层防火墙至少有一个到非信任网络的IP接口和一个到可信任网络的IP接口。它利用自身设置的访问控制策略对进网和出网的IP数据包进行分析，从而达到流量过滤的目的。 网络层防火墙的访问控制策略可以基于在每一个IP数据包内的源地址、目的地址、TCP端口；应用层防火墙就是在外部网络和可信任网络之间运行代理服务器的主机。从用户一方来看，代理服务器是一个应用服务进程，该服务进程通过模拟目标资源，为网络资源的请求进行服务。应用层防火墙不允许网络之间的流量直接通过，而且对网络流量要进行精确登录和审核。应用层防火墙也被用作网络地

16、址转换器。数据包从防火墙的一端进入，通过一个代理应用进程后，从防火墙的另一端输出。应用层防火墙要比网络层防火墙的安全措施更严，它能提供更详细的审计报告、跟踪用户、应用进程、IP包参数。21、虚拟专用网（VPN）：VPN是架构于公共网络上的私有网络，是专用网的扩展。其通信两端之间是公用传输介质，如因特网。VPN允许用户在两台计算机之间通过公共传输介质进行安全的通信，就好像是自己的端到端的专用网一样。据服务类型或服务区域，VPN被分为：Intranet VPN、Rrmote Access VPN、Extranet VPN和Intracompany VPN；VPN主要采用隧道技术、加解密技术、密钥管

17、理技术、使用者与设备身份认证技术和访问控制技术来保证信息安全。22、隧道技术：隧道是构建VPN的基础，它代替了传统的WAN互联的“专线”。隧道的示意图为：（教材P195页自己添上去吧）图中以因特网为公共传输媒介。通过隧道，就可构建一个VPN。图中隧道的两边可是Intranet；也可一边是单个的主机，另一边是Intranet；甚至两边都是单个的主机。从图可看出，隧道需对进入其中的数据加以处理。即两个基本的过程：加密和封装。加密很必要，若流经隧道的数据不加密，则整个隧道就暴露在了因特网上。这样VPN所体现的“私有性”就没了，VPN也就不会有何发展前景。通信双方数据的加密涉及加密方法的选择、密钥的交

18、换、密钥的管理等。封装是构建隧道的基本手段，用来创建、维持和撤销一个隧道。封装使得隧道能够实现信息的隐蔽和信息的抽象。23、蜜罐的作用与种类有哪些？它们的实现方法是什么？ 答：1）作用：蜜罐是一种信息系统伪资源，它的作用是通过吸引攻击者对这些资源访问与使用，达到保护信息系统资源的目的；2）种类：据蜜罐同攻击者之间交互的程度，蜜罐可分为：低交互蜜罐（通常又被称为产品型蜜罐）、高交互蜜罐（通常又被称为研究型蜜罐）。 常见的低交互蜜罐包括Specter、Honeyd、KfSensor，常见的高交互蜜罐包括Symantec、Decoy、Honeynet；3）实现方法：蜜罐被设计成一种易被非法用户进入，

19、而不是用来提供正常服务的系统。根据设计原理，任何进入和离开蜜罐的行为都是被怀疑的。任何源于外部网络对蜜罐的行为都被认为更可能是探测、入侵或其他攻击性的行为。而任何源于蜜罐内部对外的行为都表明系统可能已经处于危险之中。蜜罐是一种希望被探测、攻击和入侵的信息系统资源，但这种资源不是真实有用的。蜜罐通过精心的设计和构造，模拟某些服务、操作系统或是采用某些特征以吸引攻击者攻击，并尽可能同其进行长时间交互。但是对于攻击者的探测和入侵，蜜罐通常不会做出任何抵抗，而是监视和记录所有同其交互的行为，收集有价值的信息。蜜罐希望通过诱骗攻击者同其长时间交互，以消耗攻击者的时间和资源，达到保护其他正常系统的目的，另

20、外，通过对收集到的有价值的信息的分析，找到有效的抵御这种攻击的方法，可以增强正常系统的防护能力。低交互蜜罐最大的特点就是模拟。通常低交互蜜罐通过模拟某些特定的服务或是操作系统，使攻击者行为被限制在被模拟的范围内。高交互蜜罐最大的特点就是真实。除了系统中信息是假的外，其余系统功能或软件都是真的。安装在蜜罐上的系统和应用程序都是能在网络上发现的真正的系统和应用程序，没有模拟也没有故意的不安全设置。若想在Linux系统蜜罐上运行一个FTP服务器，就要建立一个在Linux系统上运行的真正的FTP服务器。24、低交互蜜罐的优点：简单、容易配置和维护，具有更小的危险性。Honeyd，是主要运行在UNIX系

21、统上的一种功能强大的开放源代码的低交互蜜罐，Honeyd的工作原理是监控未使用的IP地址，当发现有对未使用IP地址的连接企图，通过ARP欺骗模拟服务并同攻击者进行交互。通常情况下，Honeyd检测和记录对所以UDP和TCP端口的连接。蜜罐只有被设计成易遭受非法或是非授权的使用，才能发挥出其价值。 25、 高低交互蜜罐的特点比较：低交互蜜罐模拟操作系统和服务高交互蜜罐真正的操作系统和服务安装、配置和维护容易安装、配置和维护复杂引入风险小，模拟服务可以控制攻击者行为引入风险大提供攻击者真正操作环境去交互捕捉有限信息，主要包括一些有限的处理和交互信息能捕捉更多的信息，包括新的工具、通信和攻击者键入命

22、令蜜罐的价值分别体现在对攻击的防护、检测和响应。蜜罐可阻碍或阻止自动的或人为的攻击。蜜罐在检测新的未知的和更为隐蔽的攻击的方面有较强的功能。蜜罐不仅可用来保护系统，且可用来收集其他安全策略无法得到的更广泛的网络安全信息。26、什么叫入侵检测系统？答：监测计算机网络和系统以发现违反安全策略事件的过程。IDS是实现入侵监测的系统，一般位于内部网的入口处，安装在防火墙的后面，用于检测外部入侵者的入侵和内部用户的非法活动。一般的入侵检测系统按检测方法可分为：基于异常的入侵检测系统、基于误用的入侵检测系统；前者是通过检测异常行为和计算机异常使用情况来检测入侵行为，后者是利用已知系统和应用软件的脆弱性攻击

23、模式来检测入侵行为。27、过滤路由器：基于协议类型、某一特殊协议类型的源地址和目的地址字段以及将协议部分的控制字段作为数据包取舍规则的路由器。过滤路由器可控制网络流量类型和网络服务方式，对不符合网络安全规则的那些数据包和服务则丢掉或被严格限制。28、基于协议特定的标准，过滤路由器在其端口能够区分包和限制包的能力称为包过滤。故过滤路由器也称为包过滤路由器。Eg：基于TCP/IP的过滤路由器可以基于：源端口、目的端口和TCP标志（如SYN和ACK标志）进行包过滤。过滤路由器主要工作在OSI模型的网络层和传输层，它也能够工作在数据链路层和物理层。29、包过滤的功能：通过在出口路由器上进行过滤设置，可以在较大程度上改善网络安全，而且