网络攻防题答案

评阅教师得分四川⼤学期末考试试题（开卷）（2013~2014学年第2学期）课程号：课程名称：（A卷）任课教师：屈⽴笳适⽤专业年级：软件⼯程 2011级学号：姓名：

2. 请将答案全部填写在本试题纸上；

3. 考试结束，请将试题纸、添卷纸和草稿纸⼀并交给监考⽼师。⼀、简答题

1、从狭义⾓度阐述信息收集。

信息收集是指通过各种⽅式获取所需要的信息。2、信息收集的来源有那⼏个⽅⾯？

实物型信息源、⽂献型信息源，电⼦型信息源，⽹络信息源3、信息收集的范围是什么？内容、时间、地域范围4、信息收集的⽅法有哪些？

调查法，观察法，实验法，⽂献检索，⽹络信息收集5、 ICMP扫描

ICMP Echo扫描精度相对较⾼。通过简单地向⽬标主机发送ICMP Echo Request 数据包，并等待回复的ICMP Echo Reply包，如Ping。

ICMP Sweep 扫描：sweep这个词的动作很像机扫射，icmp进⾏扫射式的扫描，就是并发性扫描，使⽤ICMP注：试题字迹务必清晰，书写⼯整。本题共5页，本页为第1页

Echo Request⼀次探测多个⽬标主机。通常这种探测包会并⾏发送，以提⾼探测效率，适⽤于⼤范围的评估。6、 ICMP扫描防范

选择合适的防⽕墙，配置防⽕墙以预防攻击7、路由追踪的⽬的是什么？

帮⽹络管理员了解⽹络通⾏情况，同时也是⽹络管理⼈员很好的辅助⼯具！通过路由器追踪可以轻松的查处从我们电脑所在地到⽬标地之间所经常的⽹络节点，并可以看到通过各个节点所花费的时间。8、使⽤⼯具Netstat能检验什么？

Netstat⽤于显⽰与IP、TCP、UDP和ICMP协议相关的统计数据，⼀般⽤于检验本机各端⼝的⽹络连接情况。9、 TCP Connect()扫描的原理、优点和缺点会什么？

原理：直接连接到⽬标端⼝并完成⼀个完整的三次握⼿过程（SYN，SYN/ACK，和ACK）。优点：1.不需要任何权限，速度快2.可以打开多个套接字加速扫描

缺点：服务器可以记录下客户的连接⾏为，如果同⼀个客户轮流对⼀个端⼝发起连接，则⼀定在扫描10、操作系统识别的防范措施有哪些？1.端⼝扫描监测⼯具监视操作系统检测活动。2.让操作系统识别失效的补丁。3.防⽕墙和路

由器的规则配置。4.使⽤⼊侵检测系统。11、简述病毒的定义及其破坏性的主要表现。病毒的定义：

病毒是指编制或者在计算机程序中插⼊的破坏计算机功能或者毁坏数据，影响计算机使⽤，并能够⾃我复制的⼀组计算机指令或者程序代码。

病毒的破坏性的主要表现：直接破坏计算机上的重要信息；抢占系统资源，降低系统性能；窃取主机上的重要信息；破坏计算机硬件；导致⽹络阻塞，甚⾄瘫痪；使邮件服务器、Web服务器不能提供正常服务。12、系统弱点分类是指那⼏个⽅⾯？系统漏洞，应⽤软件漏洞，病毒13、什么是IP欺骗

隐藏你的IP地址，⽅法是通过创建伪造的IP地址包，这样当你发送信息的时候，对⽅就⽆法确定你的真实IP了，该技术很普遍，通常被垃圾邮件制造者以及⿊客⽤来误导追踪者到错误的信息来源处.因为⽤的是伪造的，就跟你拿别⼈的⾝份证去开房⼀样

14、DNS欺骗的定义和原理是什么？

定义：DNS欺骗就是攻击者冒充域名服务器的⼀种欺骗⾏为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，⽤户上⽹就只能看到攻击者的主页，⽽不是⽤户想要取得的⽹站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“⿊掉”了对⽅的⽹站，⽽是冒名顶替、招摇撞骗罢了。15、简单描述跨站脚本攻击（XSS）

⽤户在浏览⽹站、使⽤即时通讯软件、甚⾄在阅读电⼦邮件时，通常会点击其中的链接。攻击者通过在链接中插⼊恶意代码，就能够盗取⽤户信息。攻击者通常会⽤⼗六进制（或其他编码⽅式）将链接编码，以免⽤户怀疑它的合法性。⽹站在接收到包含恶意代码的请求之后会产成⼀个包含恶意代码的页⾯，⽽这个页⾯看起来就像是那个⽹站应当⽣成的合法页⾯⼀样。许多流⾏的留⾔本和论坛程序允许⽤户发表包含HTML和javascript的帖⼦。假设⽤户甲发表了⼀篇包含恶意脚本的帖⼦，那么⽤户⼄在浏览这篇帖⼦时，恶意脚本就会执⾏，盗取⽤户⼄的session信息。有关攻击⽅法的详细情况将在下⾯阐述。16、将蠕⾍与常说的病毒作⼀个简单⽐较分析

蠕⾍：⼀种能够利⽤系统漏洞通过⽹络进⾏⾃我传播的恶意程序。它不需要附着在其他程序上，⽽是独⽴存在的。当形成规模、传播速度过快时会极⼤地消耗⽹络资源导致⼤⾯积⽹络拥塞甚⾄瘫痪。

病毒：是编制者在计算机程序中插⼊的破坏计算机功能或者数据的代码，能影响计算机使⽤，能⾃我复制的⼀组计算机指令或者程序代码。蠕⾍也是⼀种病毒17、隐藏的动机是什么?

反侦测技术：能够使得专家分析判断新的攻击更加困难和费事。18、⽹络连接隐藏有哪⼏种⽅式？（答对⼀个1分，满分3分）

⽹络连接进程名称替换；替换⽹络连接显⽰命令；替换操作系统的⽹络连接管理模块。

19、什么是缓冲区溢出攻击？

缓冲区溢出攻击是利⽤缓冲区溢出漏洞所进⾏的攻击⾏动。缓冲区溢出是⼀种⾮常普遍、⾮常危险的漏洞，在各种操作系统、应⽤软件中⼴泛存在。利⽤缓冲区溢出攻击，可以导致程序运⾏失败、系统关机、重新启动等后果。20、下⾯代码中那句能出现能出现基于栈的缓冲区溢出？21、简单描述毒药包攻击

许攻击者执⾏中间⼈攻击以获取对数据库服务器的完全控制：它的严重程度取决于对它的攻击深度22、简单描述Smurf攻击

Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击⽅法结合使⽤了IP欺骗和ICMP回复⽅法使⼤量⽹络传输充斥⽬标系统，引起⽬标系统拒绝为正常系统进⾏服务。23、简单描述SQL注⼊攻击

SQL注⼊攻击是⿊客对数据库进⾏攻击的常⽤⼿段之⼀。随着B/S模式应⽤开发的发展，使⽤这种模式编写应⽤程序的程序员也越来越多。但是由于程序员的⽔平及经验也参差不齐，相当⼤⼀部分程序员在编写代码的时候，没有对⽤户输⼊数据的合法性进⾏判断，使应⽤程序存在安全隐患。⽤户可以提交⼀段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注⼊。24、简单病毒与⽊马程序

⽊马（Trojan）来源于古希腊传说，它是指通过⼀段特定的程序（⽊马程序）来控制另⼀台计算机。⽊马通常有两个可执⾏程序：⼀个是客户端，即控制端，另⼀个是服务端，即被控制端。⽊马的设计者为了防⽌⽊马被发现，⽽采⽤多种⼿段隐藏⽊马。⽊马的服务⼀旦运⾏并被控制端连接，其控制端将享有服务端的⼤部分操作权限，例如给计算机增加⼝令，浏览、移动、复制、删除⽂件，修改注册表，更改计算机配置等。⼆、问答题评阅教师得分评阅教师得分

1．描述ARP 的⼯作过程及ARP 欺骗。

地址解析协议是建⽴在⽹络中各个主机互相信任的基础上的，⽹络上的主机可以⾃主发送ARP 应答消息，其他主机收到应答报⽂时不会检测该报⽂的真实性就会将其记⼊本机ARP 缓存；由此攻击者就可以向某⼀主机发送伪ARP 应答报⽂，使其发送的信息⽆法到达预期的主机或到达错误的主机，这就构成了⼀个ARP 欺骗。 2. 描述拒绝服务攻击的概念和原理。

概念：拒绝服务攻击即攻击者想办法让⽬标机器停⽌提供服务，是⿊客常⽤的攻击⼿段之⼀。 原理：语义攻击利⽤⽬标系统实现时的缺陷和漏洞，对⽬标主机进⾏的拒绝服务攻击。暴⼒攻击指的是不需

要⽬标系统存在漏洞或缺陷，⽽是仅仅靠发送超过⽬标系统服务能⼒的服务请求数量来达到攻击的⽬的。3、⽹络监听的危害有哪些、怎样进⾏防范？

当⿊客登录⽹络主机并取得超级⽤户权限后，若要登录其它主机，使⽤⽹络监听便可以有效截获⽹络上的数据，⽹络监听也经常⽤来获取⽤户密码等。 防范措施：1.采⽤⽹络⼯具防御，如SATAN 2.安装防⽕墙 3.对⽹络上传输的信息进⾏加密。三、分析题

1．主动栈指纹识别技术的原理是什么，有哪些⽅法？

原理：寻找不同操作系统之间在处理⽹络数据包上的差异，并且把⾜够多的差异组合起来，以便精确的识别出⼀个系统的OS版本。 ⽅法：发送FIN 包；发送⾮正常数据包；ACK 值；TCP 初始化窗⼝；DF 位 2．描述计算机病毒的危害性和主要症状。 危害：1.删除数据；2.阻塞⽹络；3.信息泄露

症状：计算机系统运⾏速度减慢；计算机系统中的⽂件长度发⽣变化；计算机系统经常⽆故死机；计算机存储的容量异常减少；系统引导速度减慢；丢失⽂件或者⽂件损坏；计算机屏幕上出现异常显⽰；计算机系统的蜂鸣出现异常声响；磁盘卷发⽣变化；⽂件⽆法正确读取，复制，或者打开；命令执⾏出现错误；windows 操作系统⽆故频繁出现错误；系统异常重新启动。