网络安全 答案5-11

第五章：缓冲区

1、什么是缓冲区？

缓冲区是计算机内存中的一个连续块，保存了给定类型的数据。

3、简述缓冲区溢出攻击的基本原理：

向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。

4、缓冲区溢出攻击的一般目标是什么？

5、要让程序跳转到安排好的地址空间执行，一般有哪些方法？

函数指针激活记录

长跳转缓冲区植入码和流程控制

6、为什么缓冲区溢出会成为操作系统、数据库等应用程序最普遍的漏洞之一？

大多数操作系统、数据库的开发都依赖于C语言，而C程序本身存在不安全性，使得缓冲区溢出攻击利用了程序中边界条件、函数指针等设计不当的漏洞。

10、UNIX系统下，怎样使黑客即使成功溢出也不能获得root权限？

第六章：

1、程序攻击方法有哪些？试说明什么叫逻辑炸弹？什么叫病毒？什么叫后门？什么叫特洛伊木马？

答：方法：逻辑炸弹攻击、植入后门、病毒攻击、特洛伊木马攻击、其他程序攻击（邮件炸弹、IE攻击等）

病毒：编制或在电脑程序中插入的破坏功能或者破坏数据，影响电脑使用并且能够自我复制的一组电脑指令或程序代码

逻辑炸弹：是一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码。（以特定方式触发：时间、特定操作等）

后门：是计算机入侵者攻击网上其他计算机成功后，为方便下次再进入而采取的一些欺骗手段和程序。

特洛伊木马：是指附着在应用程序中或者单独存在的一些恶意程序，它利用网络远程响应网络另一端的控制程序的控制命令，实现对感染木马程序的计算机的控制或者窃取其机密资料。

2、逻辑炸弹与病毒有哪些相同点和不同点？

答：共同点：1）都具有隐蔽性，用户一般不会察觉；

2）具有攻击性，发作后会干扰屏幕显示，或降低电脑运行速度，或删除程序，或破坏数据。

不同点：1、病毒具有“传染性”，而逻辑炸弹是没有“传染性”的。

2、逻辑炸弹的逻辑条件具有不可控制的意外性，逻辑炸弹本身虽然不具备传播性，但是诱因的传播是不可控的，由于逻辑炸弹还原和清除更加困难。

3、蠕虫与病毒有哪些相同点和不同点?

4、试画出模拟Morris蠕虫病毒主题程序代码的工作流程图

5、后门的作用是什么？常用的后门制作方法有哪些？你能否试验性的在自己的计算机上制作后门？

作用：入侵后方便下次然后远程登录到这台计算机，然后消除留在计算机上的操作踪迹，从而不被用户和管理员察觉。留下后门的计算机可以很方便的被攻击者反复入侵。

7、按照特洛伊木马的发展过程可把特洛伊木马分为哪几类？这几类木马的主要特点是什么？

8、为什么后来的木马制作者制作出反弹式木马？反弹式木马工作原理？画出其工作流程图

11嵌入式木马不同于主动性木马和反弹式木马的主要特点是什么？为什么这种木马更有破坏性，更难清除？

12、木马技术包含哪些?这些技术的特点？

（1）自动启动技术：

（2）隐藏技术：

（3）远程监控技术；

第九章

1、访问控制包含的内容？

用户身份的识别和认证、对访问的控制、审计跟踪

2、身份认证包含哪些信息？

用户所知道的

用户所拥有的

用户本身的特征

根据特定时间（地点）

通过信任的第三方

3、简述口令认证技术的认证方法？提高口令认证技术的安全性方法？

提高方法：采用通行短语代替通行字，通过密码碾压技术，可将易于记忆的足够长的短语变换成较短的随机性密钥

4、网络的物理隔离技术包含哪些方面？他们各自采用什么技术？

客户端的物理隔离：

集线器级的物理隔离:

服务器端的物理隔离：

5、什么叫自主访问控制?自主房访问控制的方法有哪些？类型？

含义：由客体自主的来确定各个主体对他的直接访问权限

方法：基于行的DAC

基于列的DAC

类型：等级型、有主型、自由型

6、为什么自主访问控制无法抵御木马攻击？举例

木马是一段计算机程序，镶嵌在合法用户的应用程序中，当用户运行这个应用程序的时候，它就悄无声息运行非法操作，一般察觉不到，使得DAC无法识别。

7、什么是强制访问控制方式?如何防止木马的非法访问？

强制访问控制是通过无法回避的访问限制来防止某些对系统的非法入侵。

强制访问控制一般与自主访问控制结合使用，并实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制访问控制检查后，才能访问某个客体。用户利用自主访问控制来防范其他用户对客体的攻击。强制访问控制则提供一个不可逾越的、更强的防护，以防止其他用户偶然或故意滥用自主访问控制。强制访问控制不可避免的对用户的客体十佳一些严格的限制，使得用户无意泄漏机密信息的可能性大大减少

8、简述bell-la padual 模型的安全策略，举例

BLP中，密级分为绝密、机密、秘密、公开。BLP模型给每个用户分配一个安全属性，它反映了对用户不将敏感信息泄漏给不持有相应安全属性用户的置信度。用户激活的进程也将授予此安全属性。BLP对系统中的每个客体也分配一个安全属性，它反映了客体信息的敏感度，也反映了未经授权向不允许访问该信息的用户泄漏这些信息所造成的签字威胁。例子：军队、企业部门

第十章

1、经典安全模型中的参考监视器的基本功能是什么？

（1）参考功能：用于评价由主体发出的访问请求，而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求。

（2）控制对授权数据库改变的授权功能，通过改变对授权数据库的配置来改变主体的访问权限

2、防火墙规则的处理方式中，“reject”和“drop”的区别？

Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止

Drop：直接将数据包丢弃，并且不通知信息源

3、防火墙产品的两条基本原则？（只采用其中一种）

（1）一切未被允许的就是禁止的（安全性高，但限制了用户能使用的服务种类，缺乏方便性）

（2）一起未被禁止的就是允许的（使用方便、规则配置灵活、安全性低）

4、源IP=192.168.1.1 目的IP=192.168.2.1 协议=TCP 源端口>1024 目的端口=80 表示怎样的数据包？

表示该数据包是由IP地址为192.168.1.1的主机发送、由IP为192.168.2.1的主机接收的一个tcp包，其产生的数据包应用程序占用1024以上端口，需要传递至80号端口的应用程序。（小于1024表示传递到系统端口）