第1章 网络安全概述与环境配置
- 网络攻击和防御分别包括哪些内容?
答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。 - 从层次上,网络安全可以分成哪几层?每层有什么特点?
答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。。) - 为什么要研究网络安全?
答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。(可详细展开)
第2章 网络安全协议基础
- 简述OSI参考模型的结构
答:OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层,自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。 - 简述常用的网络服务及提供服务的默认端口。
答:
常见服务及提供服务的默认端口和对应的协议如下表所示
端 口 协 议 服 务
21 TCP FTP服务
25 TCP SMTP服务
53 TCP/UDP DNS服务
80 TCP Web服务
135 TCP RPC服务
137 UDP NetBIOS域名服务
138 UDP NetBIOS数据报服务
139 TCP NetBIOS会话服务
443 TCP 基于SSL的HTTP服务
445 TCP/UDP Microsoft SMB服务
3389 TCP Windows终端服务 - 简述ping指令、ipconfig指令、netstat指令、net指令和at指令的功能和用途。
答:(1)ping指令:ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。应答消息的接收情况将和往返过程的次数一起显示出来。ping指令用于检测网络的连接性和可到达性。
(2)ipconfig指令:ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)和域名系统(DNS)设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。
(3)netstat指令:netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP 路由表、IPv4统计信息(IP,ICMP,TCP和UDP协议)。使用“netstat -an”命令可以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被入侵的最简单方法。
(4)net指令:net指令的功能非常的强大,在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。
(5)at指令:使用at命令建立一个计划任务,并设置在某一时刻执行。
第4章 网络扫描与网络监听
- 简述黑客的分类,以及黑客需要具备哪些基本素质。
答:目前将黑客分成3类:第1类为破坏者,第2类为红客,第3类为间谍。
要成为一名好的黑客,需要具备4种基本素质:“Free”精神,探索与创新精神,反传统精神和合作精神。 - 黑客在进攻的过程中需要经过哪些步骤?目的是什么?
答:黑客一次成攻的攻击,可以归纳成基本的五个步骤:
第一, 隐藏IP;
第二, 踩点扫描;
第三, 获得系统或管理员权限;
第四, 种植后门;
第五, 在网络中隐身。
以上几个步骤根据实际情况可以随时调整。 - 简述黑客攻击和网络安全的关系。
答:黑客攻击和网络安全是紧密结合在一起的,研究网络安全不研究黑客攻击技术等同于纸上谈兵,研究攻击技术不研究网络安全等同于闭门造车。某种意义上说没有攻击就没有安全,系统管理员可以利用常见的攻击手段对系统进行检测,并对相关的漏洞采取措施。
网络攻击有善意也有恶意的,善意的攻击可以帮助系统管理员检查系统漏洞,恶意的攻击可以包括:为了私人恩怨而攻击,为了商业或个人目的获得秘密资料而攻击,为了民族仇恨而攻击,利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙,以及一些无目的攻击。 - 扫描分成哪两类?每类有什么特点?可以使用哪些工具进行扫描、各有什么特点?
答:扫描,一般分成两种策略:一种是主动式策略,另一种是被动式策略。被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查,不会对系统造成破坏。主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。
常见的扫描工具包括:
第一,系统自带的扫描工具如windows和linux中的ping,linux中的namp。这类工具操作简单,大多工作在命令行模式下。
第二,开源的和免费的扫描工具如Nessus,X-scan,Netcat,X-port以及Google在2010年新推出的Skipfish等。这类扫描工具一般具有单一、独特的功能,因此扫描速度极快、更新速度快、容易使用,由于其开源、免费的特点,使其具有更广泛的影响力。
第三,商用的扫描工具,如eEye公司的Retina,Network Associates的CyberCop Scanner以及Symantec 的NetRecon等。基本上大部分商业扫描器都工作在黑盒模式,在这种模式下无法看到源代码,以一个近似于渗透者或攻击者的身份去看待需要评估的。在商业化应用中,对误报、漏报的容忍程度比较低。商用扫描器在精确扫描之后,会给出一些建议和手段来屏蔽。最初是提供一些修补建议,这种方式对专业人员来说有相当价值,但对于一些较薄弱或者比较懒惰的用户,修补建议的作用就被忽略了。在新一代的商用扫描器中,提出了修补联动的概念,通过发送注册表去提示用户,用户双击注册表,就可以导入需要修改、升级补丁的信息,并且还可以和WSUS进行联动。这样就可以基本上达到自动化的修补。
第5章 网络入侵
- 简述社会工程学攻击的原理。
答:社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。研究一个站点的策略,就是尽可能多地了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。 - 简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码?针对暴力攻击应如何防御?
答:
暴力攻击的原理:黑客使用枚举的方法,使用运算能力较强的计算机,尝试每种可能的字符破解密码,这些字符包括大小写、数字和通配符等。
字典文件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则显示密码。
邮箱的密码一般需要设置为8位以上,7位以下的密码容易被破解。尤其7位全部是数字的密码,更容易被破解。使用相应暴力破解软件可以每秒50到100个密码的速度进行匹配。
破解Word文档的密码方法与破解邮箱密码相似。
进行适宜的安全设置和策略,通过结合大小写字母、数字和通配符组成健壮的密码可以防御暴力攻击。
4.简述拒绝服务的种类与原理。
一:什么是UNICODE漏润NSFOCUS安全小组发现IIS4.0和IS5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。(1)如果系统包含某个可执行目录,就可能执行任意系统命令。
二.骇客是如何利用UNICODE漏洞来入侵使用Unicode漏洞的攻击方式,书上介绍两种:入侵到对方的操作系统和删除对方站点主页。
1.首先我们的来寻找一台存在UNICODE漏洞的主机,这里我们可以使用的工具非常多,只要是能扫CGI漏洞的都可以,不过我更喜欢流光,因为流光的功能是非常强大的。注意:
我们这里是的目的是通过入侵方法来学会防范,所以以下我们使用的主机都是假设的。
建议简单解决方案:
1.限制网络用户访问和调用cmd的权限。
2.在Scripts、Msadc目录没必要使用的情况下,删除该文件夹或者改名。
3.安装NT系统时不要使用默认WINNT路径,比方说,可以改名为lucky或者其他名字。
临时解决方法:
NSFOCUS建议您再没有安装补丁之前,暂时采用下列方法临时解决问题:
1、如果不需要可执行的CGI,可以删除可执行虚拟目录例如/scripts等等。
2、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区 - 简述缓冲区溢出攻击的原理。
答:当目标操作系统收到了超过了它的能接收的最大信息量时,将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改,经过这种修改的结果将在系统上产生一个后门。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其他命令,如果该shell有管理员权限,就可以对系统进行任意操作。
6.简述拒绝服务的种类与原理。
凡是造成目标计算机拒绝提供服务的攻击都成为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的信息量冲击网络,是网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。
比较著名的拒绝服务攻击包括:SYN风暴、Smurf攻击和利用处理程序错误进行攻击。
SYN风暴:它是通过创建大量“半连接”来进行攻击,任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。针对不同的系统,攻击的结果可能不同,但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。攻击者通常伪造主机D不可达的IP地址作为源地址。为了使拒绝服务的时间长于超时所用的时间,攻击者会持续不断地发送SYN包,故称为“SYN风暴”。
Smurf攻击:这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法是大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务,属于间接、借力攻击方式。任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。
利用处理程序错误进行攻击:SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点,通过强行引入大量的网络包来占用带宽,迫使目标受害主机拒绝对正常的服务请求响应。利用TCP/IP协议实现中的处理程序错误进行攻击,即故意错误地设定数据包头的一些重要字段。
第6章 网络后门与网络隐身
-
留后门的原则是什么?
答:后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员看了没有感觉、没有任何特别的地方。 -
如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络攻击经过踩点、扫描、入侵以后,如果攻击成功,一般就可以拿到管理员密码或者得到管理员权限。
第一,Login后门。在Unix里,login程序通常用来对telnet来的用户进行口令验证。入侵者获取login。c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何账号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,便用“strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。所以更多的管理员是用MD5校验和检测这种后门的。
第二,线程插入后门。这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设!这种后门本身的功能比较强大,是现在非常主流的一种,对它的查杀比较困难,很让防护的人头疼。
第三,网页后门。网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
防御后门的方法主要有:建立良好的安全习惯,关闭或删除系统中不需要的服务,经常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解一些反病毒资讯,安装专业的防毒软件进行全面监控等。 -
简述终端服务的功能,如何连接到终端服务器上?如何开启对方的终端服务?
答:终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。可通过以下三种方式连接到终端服务器上:第一,利用Windows 2000自带的终端服务工具mstsc.exe。该工具中只需设置要连接主机的IP地址和连接桌面的分辨率即可。第二,使用Windows XP自带的终端服务连接器mstsc.exe。它的界面比较简单,只要输入对方主机的IP地址就可以了。第三,使用Web方式连接,该工具包含几个文件,需要将这些文件配置到IIS的站点中去。假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件,使用工具软件djxyxs.exe可以给对方安装并开启该服务。 -
简述木马由来,并简述木马和后门的区别。
答:“木马”一词来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中,部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似,故而得名。本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机。 -
简述网络代理跳板的功能。
答:网络代理跳板作用如下:当从本地入侵其他主机时,本地IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址而有效地保护自己的安全。本地计算机通过两级代理入侵某一台主机,这样在被入侵的主机上,就不会留下自己的信息。可以选择更多的代理级别,但是考虑到网络带宽的问题,一般选择两到三级代理比较合适。 -
系统日志有哪些?如何清楚这些日志?
答:系统日志包括IIS日志,应用程序日志、安全日志和系统日志等。
清除日志最简单的方法是直接到该目录下删除这些文件夹,但是文件全部删除以后,一定会引起管理员的怀疑。一般入侵的过程是短暂的,只会保存到一个Log文件,只要在该Log文件删除所有自己的记录就可以了。
使用工具软件CleanIISLog.exe可以删除IIS日志。使用工具软件clearel.exe可以方便地清除系统日志,首先将该文件上载到对方主机,然后删除这3种主机日志。清除命令有4种:Clearel System,Clearel Security,Clearel Application和Clearel All。
7.利用三种方法在对方计算机种植后门程序。
1)利用工具RTCS.vbe远程启动Telnet服务:利用主机上的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。
2)利用工具Win2kPass.exe记录修改的新密码。
3)建立Web服务和Telnet服务:使用工具软件wnc.exe可以在对方的主机上开启两个服务:Web服务和Telnet服务其中Web服务的端口是808,Telnet服务的端口是707执行很简单,只要在对方的命令行下执行一下wnc.exe就可以
8.在对方计算机上种植“冰河”程序,并设置“冰河”的服务端口是“8999”,连接的密码是“0987654321”。
首先将win32.exe文件在远程计算机上执行后,通过Y_Clinet.exe文件来控制远程服务器。然后在冰河界面处设置端口为8999。选择菜单栏“设置”下的菜单项“配置服务器程序”,将访问口令设置为0987654321.
9.使用二级网络跳板对某主机进行入侵。
使用snake代理跳板。
首先将“sksockserver -install”安装主机中。然后运行“sksockserver –config port 1122”并设置端口为1122.再执行“sksockserver –config starttype 2”将服务的启动方式设置为自动启动。然后执行“net start skserver”启动代理服务。其后,使用“nerstat -an”命令查看1122端口是否开放。然后设置完毕后再在网络上其他主机设置二级代理。跟本机同样的的代理配置。使用SkServerGUI.exe。选择主菜单“配置”下的菜单项目“经过的SkServer”,将复选框“允许”勾上。然后打开“客户端”选项,设置子网掩码“255.255.255.255”并勾上“允许”。再点“开始”。然后安装sc32r231.exe再安装补丁HBC-SC32231-Ronnier.exe。出现了“SocksCap”设置代理服务器为本地IP地址,端口1913,选择SOCKS版本5作为代理。然后添加需要代理的应用程序。然后“运行”。
10.编程实现当客户端连接某端口的时候,自动在目标主机上建立一个用户“Hacker”,密码“HackerPWD”,并将该用户添加到管理员组。
第7章 恶意代码分析与防治
- 简述研究恶意代码的必要性。
答:在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。如今,恶意代码已成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。 - 简述恶意代码长期存在的原因。
答:在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。 - 恶意代码是如何定义,可以分成哪几类?
答:恶意代码的定义随着计算机网络技术的发展逐渐丰富,Grimes 将恶意代码定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。
它可以分成以下几种类型:计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(Malicious Scripts)和恶意ActiveX 控件。
第9章 密码学与信息加密
- 密码学包含哪些概念?有什么功能?
答:
密码学(Cryptology)是研究信息系统安全保密的科学,密码编码学(Cryptography)主要研究对信息进行编码,实现对信息的隐藏。密码分析学(Cryptanalytics)主要研究加密消息的破译或消息的伪造。
密码学主要包含以下几个概念:
1)密码学的目标:保护数据的保密性、完整性和真实性。保密性就是对数据进行加密,使非法用户无法读懂数据信息,而合法用户可以应用密钥读取信息。完整性是对数据完整性的鉴别,以确定数据是否被非法纂改,保证合法用户得到正确、完整的信息。真实性是数据来源的真实性、数据本身真实性的鉴别,可以保证合法用户不被欺骗。
2)消息的加密与解密:消息被称为明文,用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密。
3)密码学的功能:提供除机密性外,密码学还提供鉴别、完整性和抗抵赖性等重要功能。这些功能是通过计算机进行社会交流至关重要的需求。
鉴别:消息的接收者应该能够确认消息的来源;入侵者不可能伪装成他人。
完整性:消息的接收者应该能够验证在传送过程中消息没有被修改;入侵者不可能用假消息代替合法消息。
抗抵赖性:发送消息者事后不可能虚假地否认他发送的消息。
4)密码算法和密钥:
密码算法也叫密码函数,是用于加密和解密的数学函数。通常情况下,有两个相关的函数:一个用做加密,另一个用做解密。
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的数据。基于密钥的算法通常有两类:对称算法和公开密钥算法。
对称密钥加密,又称公钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
非对称密钥加密,又称私钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。私钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。 - 简述公开密钥算法的基本原理。
答:
公开密钥算法,加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
公开密钥K1加密表示为:EK1(M)=C。公开密钥和私人密钥是不同的,用相应的私人密钥K2解密可表示为:DK2(C)=M。
第10章 防火墙与入侵检测
- 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别?
答:防火墙的本义原指古代人们的房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋。现今防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。可见,不管古代和今天的防火墙,在安全意义上都是在防范某种特定的风险。 - 简述防火墙的分类,并说明分组过滤防火墙的基本原理。
答:常见的防火墙有3种类型:分组过滤防火墙,应用代理防火墙,状态检测防火墙。
分组过滤防火墙基本原理如下:
数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据包。通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃。
分组过滤防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议(TCP,UDP或ICMP)、TCP、UDP目的端口和ICMP消息类型等。如果包的信息匹配所允许的数据包,那么该数据包便会按照路由表中的信息被转发。如果不匹配规则,用户配置的默认参数会决定是转发还是丢弃数据包。 - 编写防火墙规则:禁止除管理员计算机(IP为172.18.25.110)外任何一台计算机访问某主机(IP为172.18.25.109)的终端服务(TCP端口3389)。
答:规则集如下:
组 序 号 动 作 源 IP 目 的 IP 源 端 口 目 的 端 口 协 议 类 型
1 允许 172.18.25.110 172.18.25.109 * 3389 TCP
2 禁止 * 172.18.25.109 * 3389 TCP
第1条规则:主机172.18.25.110可以以任何端口访问任何主机172.18.25.109的3389端口,基于TCP协议的数据包都允许通过。第2条规则:任何主机的端口访问主机172.18.25.109的任何端口,基于TCP协议的数据包都禁止通过。
这样写对吗?组序号优先级怎么判定? - 什么是入侵检测系统?简述入侵检测系统目前面临的挑战。
答:
入侵检测系统(Intrusion Detection System,IDS)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有:主机与入侵检测系统缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。另外攻击可以来自四方八面,特别是技术高超、由一群人组织策划的攻击。攻击者要花费长时间准备及在全球性发动攻击。时至今日,找出这样复杂的攻击也是一件难事。有着不同种类漏洞的广泛分布异构计算机系统,使入侵检测系统很难对付,尤其是这样的系统有大量未经处理的流动数据,而实体之间又缺乏通信及信任机制。