浅析计算机网络安全的风险及防范技术.doc

1、浅析计算机网络安全的风险及防范技术优质资料(可以直接使用，可编辑 优质资料，欢迎下载）浅析计算机网络安全的风险及防范技术汤祖军摘要：随着计算机的飞速发展，计算机网络的应用已经涉及到了社会的方方面面，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性。人们可以通过互联网进行网上购物、银行转账等许多商业活动。开放的信息系统必然存在众多潜在的安全隐患：木马程序攻击、电子邮件欺骗、间谍恶意代码软件、安全漏洞和系统后门等，本文针对目前计算机网络存在的主要威胁和隐患进行了分析，并重点阐述了几种常用的网络安全防范技术。关键词：网络安全、网络攻击、安全风险、防范技

2、术1.引言计算机的广泛应用把人类带入了一个全新的时代，特别是计算机网络的普及化，已经成为了信息时代的主要推动力。开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，可能来自对电磁泄漏的攻击、可能来自对网络通信协议实施的攻击，可能对系统软件漏洞实施的攻击等等。在诸多不安全因素的背景下，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。进入21世纪以来，网络安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。确保信息的保密性、完整性、可用性 、可控性就成了关

3、键因素。为了解决这些安全问题，各种安全机制、安全策略和安全工具被开发和应用。2.网络安全 由于早期网络协议对安全问题的忽视，以及在平时运用和管理上的不重视态度，导致网络安全造到严重的风险，安全事故频频发生。网络安全是对网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，更改、泄露，系统连续可靠正常地运行。目前影响网络安全的因素主要包括病毒软件、蠕虫病毒、木马软件和间谍软件等。病毒软件：是可执行代码，它们可以破坏计算机系统，通常伪装成合法附件通过电子邮件发送，有的还通过即时信息网络发送。蠕虫病毒：与病毒软件类似，但比病毒更为普遍，蠕虫经常利用受感染系统的文件传输功能自

4、动进行传播，从而导致网络流量大幅增加。木马程序：可以捕捉密码和其它个人信息，使未授权远程用户能够访问安装了特洛伊木马的系统。间谍软件：则是恶意病毒代码，它们可以监控系统性能，并将用户数据发送给间谍软件开发者。网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件；运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。目前，操作系统和应用软件中通常都会存在一些BUG，别有心计的员工或客户都可能利用这些漏洞向网络发起进攻，导致某个程序或网络丧失功能。有甚者会盗窃机密数据，直接威胁网络和数据的安全。即便是安全防范设

5、备也会存在这样的问题。几乎每天都有新的BUG被发现和公布，程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用，而且这种攻击通常不会产生日志，也无据可查。现有的软件和工具BUG的攻击几乎无法主动防范。3.网络安全的风险因素网络安全是一个非常关键而又复杂的问题。计算机网络安全指计算机信息系统资产的安全，即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。计算机网络之所以存在着脆弱性，主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等；计算机网络受到的威胁和攻击除自然灾害外，主要来自软件漏洞、计算机病毒、黑客攻击、配置不当和安全意识不强

6、等。计算机网络的安全威胁主要来自于以下几个方面：（1）软件漏洞。每一版本的操作系统或网络软件的出现都不可能是完美无缺和无漏洞的。大多数IT安全事件(如补丁程序或网络攻击等)都与软件漏洞有关，黑客利用编程中的细微错误或者上下文依赖关系，让它做任何他们想让它做的事情。缓冲区溢出是一种常见的软件漏洞，也是一种牵扯到复杂因素的错误。开发人员经常预先分配一定量的临时内存空间，称为一个缓冲区，用以保存特殊信息。如果代码没有仔细地把要存放的数据大小同应该保存它的空间大小进行对照检查，那么靠近该分配空间的内存就有被覆盖的风险。熟练的黑客输入仔细组织过的数据就能导致程序崩溃、数据丢失。（2）黑客的威胁和攻击。由

7、于用户越来越多地依赖计算机网络提供各种服务，完成日常业务，计算机网络上的黑客攻击事件越演越烈，造成的破坏影响越来越大。由于攻击技术的进步，攻击者可以较容易地利用分布式攻击工具能够有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。 黑客攻击的技术根源是软件和系统的安全漏洞，正是一些别有用心的人利用了这些漏洞，才造成了网络安全问题。因为操作系统、应用软件等安全漏洞每年都会被发现，需要网络管理员不断的用最新的软件补丁修复这些漏洞，然而黑客经常能够抢在厂商修补这些漏洞之前发现这些漏洞并发起攻击，非法侵入重要信息系统，窃听、获取、攻击侵人网的有关敏感性重要信息，修改和破坏信息网络的正常使

8、用状态，造成数据丢失或系统瘫痪，给社会造成重大影响和经济损失。（3）计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下，能自我复制或运行的计算机程序；计算机病毒往往会影响受感染计算机的正常运作。病毒一般会自动利用电子邮件传播，利用对象为某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。（4）垃圾邮件和间谍软件。一些有心人会从网上多个BBS论坛、新闻组等收集网民的计算机地址，再售予广告商，从而把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受

9、赚钱信息、商业或个人网站广告、电子杂志、连环信息等。垃圾邮件可以分为良性和恶性的。良性垃圾邮件是各种宣传广告等对收件人影响不大的信息邮件。恶性垃圾邮件是指具有破坏性的电子邮件。例如具有攻击性的广告：夸张不实，包括情色、钓鱼网站。间谍软件是一种能够在在用户不知情或未经用户准许的情况下收集用户的个人数据。间谍软件采用一系列技术来纪录用户的个人信息，例如键盘录制、录制用户访问Internet的行为，以及扫描用户计算机上的文件。间谍软件的用途也多种多样，从盗窃用户的网上账户（主要是银行信用卡账户）和密码到统计用户的网络行为意作为广告用途。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设

10、置，威胁用户隐私和计算机安全，并尽可能小的程度影响系统性能，以免被发现。（5）配置不当。安全产品防护策略配置不当造成安全隐患，例如，防火墙设备的访问控制策略配置不正确，那么它根本起不到安全防护作用；再如有些特定的网络应用程序，当它启动运行时，就同步会打开一系列的安全缺口，许多与该软件捆绑在一起的应用软件也会被同时启用，这样就造成在不知情的情况下给不法分子留下后门或漏洞。除非用户禁止该程序或对其进行正确配置，否则，安全隐患无法避免。（6）安全意识不强。人为的无意失误是造成网络不安全的重要原因之一。网络管理员在这方面不但肩负重任，还面临越来越大的压力。稍有考虑不周，安全配置不当，就会造成安全漏洞。

11、另外，用户安全意识不强，不按照安全规定操作，如口令选择不慎，将自己的账户随意转借他人或与别人共享，都会对网络安全带来威胁用户口令选择不慎，或将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。4. 网络安全防范技术计算机网络安全从技术上来说，主要由防病毒、VPN网关、防火墙、入侵检测等多个安全产品组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术、漏洞扫描技术等，以下就针对此几项技术分别进行简要分析：防火墙技术防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用

12、措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。根据环境不同，主要接入部署方式分三类：（1）核心数据区安全防护；（2）网络边界安全防护；（3）网络出口安全防护。图（1）防火墙部署位置防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。防火墙技术可以起到如下防护作用网络安全的屏障：防火墙在一个内部网络和外部网络间建立一个检查点。这种实现要求所

13、有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。监控审计：防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非

14、常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。数据包过滤：包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。网络上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源端口号和目标端口号等。地址转换：通过此项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作

15、用。NAT又分“SNAT ”和“DNAT ”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非常用户对内部主机的攻击更加困难，同时可以节省有限的公网IP资源，通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。入侵检测技术入侵检测系统(Intrusion Detection System简称IDS)作为对计算机和网络资源的恶意使用行为进行识别

16、和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术手段。部署的方法有很多种，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。入侵检测通过执行如下任务来实现：1、 监视、分析用户及系统活动；2、 系统构造和弱点的审计 ；3、 识别反映已知进攻的活动模式并向相关人士报警；4、 异常行为模式的统计分析；5、 评估重要系统和数据文件的完整性；6、 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。图（2）入侵检测攻防示意图入侵检测技术的主要功

17、能：监视分析用户及系统活动，查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；识别反映已知进攻的活动模式并向相关人士报警；对异常行为模式的统计分析；能够实时地对检测到的入侵行为进行反应；评估重要系统和数据文件的完整性；可以发现新的攻击模式。入侵检测系统所采用的技术可分为误用检测模型与异常检测模型两种。误用检测模型 (Misuse detection)：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起报警。收集非正常操作的行为特征，监理相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认

18、为这种行为是入侵。异常检测模型 (Anomaly detection)：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离是即被认为是入侵。数据加密技术数据加密就是将数据通过一定的加密技术转换成为表面上杂乱无章的数据，只有合法的使用者才能恢复数据的原来面目，而对于非法窃取使用者来说，转换后的数据是一些毫无意义的数据。我们把原始数据称为明文，将经过加密的数据称为密文，把从明文变成密文的过程叫做加密，而把密文还原成明文的过程叫做解密。加密过程和解密过程都是需要有密钥和相对应的算法，

19、一般密钥是一串数字，加解密算法是作用于明文或密文以及相对应密钥的一个数学函数。图（3）数据加密与解密技术的工作流程图密码算法是作用于加密和解密的数学函数，一般情况下有两个相关的函数：一个用于加密，另一个用于解密。这些算法的安全性都基于密钥的安全性，而不是基于算法细节的安全性。就意味着算法可以公开，可以被分析，也可以大量生产使用算法的产品，即使窃听者知道算法也没有关系。只要他不知道你使用的具体密钥，就不可能阅读你的数据。基于密钥的算法通常有两类：对称密码算法和非对称密码算法：对称算法又叫传统密码算法：是指加密和解密使用相同的密钥，即使不同，也可以由一个经过计算推导出另一个来，反过来也是成立的。但

20、在大多数对称算法中，加密解密密钥是相同的。这些算法也叫单密钥算法或秘密密钥算法，它要求发送者和接收者在安全通信之前，确定一个密钥，当需给对方发送信息时，用自己的加密密钥进行加密得到密文，而在接受方收到数据后，用对方所给的密钥进行解密得到明文。非对称密码算法也被称之为公开密码体制：密钥是由公开密钥和私有密钥两部分组成的密钥对，分别用于对数据的加密工作和解密工作，即如果使用私有密钥对数据进行加密，那么只有用相对应的公开密钥才能够解密；反之，使用公开密钥对数据进行加密，那么只有用相对应的私有密钥才能够进行解密，如图 2-3 所示。公开密钥无须保密，可以公开，因为由公开密钥是无法推算出私有密钥，所以公

21、开的密钥并不会损害私有密钥的安全性。但私有密钥就必须进行保密。防病毒技术防病毒技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。但是随着Internet技术的发展，以及E-mail和一批网络工具的出现，在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加，扩散速度也大大加快，计算机病毒的传播方式迅速突破地域的限制，由以往的单机之间的介质传染转换为网络系统间的传播。现在，计算机病毒已经可以通过移动磁盘、光盘、局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。只有通过将病毒检测产品部署在网络的入口或整个网络中，才能真正将病毒抵御于网络之外，保证数据的真正安全。常见的病毒检测

22、产品有防毒墙、网络防病毒软件等。防毒墙：通过防毒墙对数据包进行状态检测过滤，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防毒墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。同时防毒墙能拦截攻击操作系统和应用软件安全漏洞的新型蠕虫，而传统的防火墙集成的防病毒功能是无法检测和清除该类蠕虫的；在新病毒的传播事件中，病毒检测产品能够有效防止网络攻击，不会消耗大部分资源用于拦截病毒。防病毒软件：防病毒软件则主要

23、注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。可有效地保障内部网络不受病毒侵扰。产品由以下几部分组成： 系统中心 管理员控制台 杀毒软件服务器端 杀毒软件客户端系统中心可以很容易地在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效的管理，严密的保护，杜绝病毒的入侵。管理员控制台，管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了管理员，又最大程度的减少了整个网络中的安全漏洞，有效保障了整个网络的系统安全。图（4）分布式部署结构漏洞扫描技术每年都有数以千计的

24、网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。漏洞扫描就是通过针对常见黑客攻击手法的检查策略，定期对网络系统进行扫描分析，及时发现问题、给出相关安全措施和建议并进行相应的修补和配置。这项技术的具体实现就是安全扫描程序，在很短的时间内查出现存的安全脆弱点。智能识别：能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、 IP地址等关键字对主机信息

25、进行查询并能将查询结果保存。高效快捷：支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，方便进行多个扫描任务或多个IP风险对比，能够在多个历史任务中，很快的检索到需要关注的资产IP点。脚本依赖：扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执行，从而提高了扫描准确性。信息输出：漏洞分析报告应提供在线浏览报告和离线打印报告；离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。断点恢复：在扫描程序运行到一半的时候如果系统意外掉电等，可以通过查看扫描状态进行重新扫描或者继续扫描，如果选择继续扫描的话，前面扫描到的结果会保留下来和后面的结果一起合并生成结果文件。

26、5.结束语计算机网络的安全问题越来越受到大家的关注，本文简要的分析了计算机网络存在的几点常见的安全隐患，并探讨了计算机网络的几种安全防范技术。总的来说，网络安全不仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑各种安全因素，制定合理的建设目标、设计方案、管理制度和相关的配套法规文献等。计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用。网络安全孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略意义，相信未来网络安全技术将会取得更加长足的发展。参考文献1 李军义.计算机网络技术与应用M.北方交通大

27、学出版社2 蔡立军.计算机网络安全技术M.北京:中国水利水电出版社3 陈斌.计算机网络安全于防御.信息技术与网络服务4阎慧.防火墙原理与技术M.北京：机械工业出版社5 梅杰/许榕生. Internet防火墙技术新发展6王宏伟. 网络安全威胁与对策.应用技术第1章 网络安全概述与环境配置一、选择题1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。2. 信息安全从总体上可以分成5个层次，密码技术 是信息安全中研究的关键点。3. 信息安全的目标CIA指的是机密性，完整性，可用性。4. 1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保

28、护划分为以下5个级别。二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React），恢复（Restore）。2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform，以提高整体的安全性。3. 从1998年到2006年，平均年增长幅度达50左右，使这些安全事件的主要因素是系统和网络安全脆弱性（Vulnerability）层出不穷，这些安全威胁事件给Internet带来巨大的经济损失。4. B2级，又叫结构保护（Structured Protectio

29、n）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。三、简答题1. 网络攻击和防御分别包括哪些内容？答：攻击技术：网络扫描，网络监听，网络入侵，网络后门，网络隐身防御技术：安全操作系统和操作系统的安全配置，加密技术，防火墙技术，入侵检测，网络安全协议。2. 从层次上，网络安全可以分成哪几层？每层有什么特点？答：从层次体系上，可以将网络安全分为4个层次上的安全：（1）物理安全特点：防火，防盗，防静电，防雷击和防电磁泄露。（2）逻辑安全特点：计算机的逻辑安全需要用口令、文

30、件许可等方法实现。（3）操作系统特点：操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。（4）联网安全特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。3、为什么要研究网络安全？ 答：目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域，并影响到社会的稳定。第2章 网络安全协议基础一、选择题1. OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子

31、网络的根据。4. 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。5. 常用的网络服务中，DNS使用 UDP协议。二、 填空题1. 网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。2. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议（SMTP）和邮局协议（POP）。4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过程的次数一起显示出来。5. 使用“ne

32、t user”指令查看计算机上的用户列表。三、简答题1、简述OSI参考模型的结构。答：（1）物理层：物理层是最底层，这一层负责传送比特流，它从第二层数据链路层接收数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。（2）数据链路层：它肩负两个责任：发送和接收数据，还要提供数据有效传输的端到端连接。 （3）网络层：主要功能是完成网络中主机间的报文传输。 （4）传输层：主要功能是完成网络中不同主机上的用户进程之间可靠的数据通信。（5）会话层：允许不同机器上的用户之间建立会话关系。会话层允许进行类似传输层的普通数据的传送，在某些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系

33、统上登录，或者在两台机器间传递文件。会话层提供的服务之一是管理对话控制。（6）表示层：表示层完成某些特定的功能，这些功能不必由每个用户自己来实现。表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。 （7）应用层：包含大量人们普遍需要的协议。2. 简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。答：讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层.1.物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2.数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3.网络层:针对IP包的攻击是很多的,主

34、要是因为IPv4的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4.传输层:针对TCP的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5.应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的;6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令、tracert指令的功能和用途。答：ping是用来侦测网络上的远端主机是否存在,并判断网络状况是否正常的网络侦测工具 校验与远程计算机或本地计算机的连接。只有在安

35、装 TCP/IP 协议之后才能使用该命令。ipconfig，查看当前电脑的ip配置，显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置,使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令；tracert，用来追踪路由，用户确定IP数据访问目标所采取的路径。Tracert指令用IP生存时间字段和ICMP错误信息来确定一个主机到网络上其他主机的路由；netstat，用来查看当前电脑的活动会话；net，在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或

36、者停止某网络服务等。at,使用at命令建立一个计划任务，并设置在某一刻执行，但是必须首先与对方建立信任连接。第3章 网络安全编程基础一、选择题1. 进程就是应用程序的执行实例（或称一个执行程序），是程序动态的描述。2. 在main（）函数中定义两个参数argc和argv，其中argc存储的是命令行参数的个数argc存储的是命令行各个参数的值。3. 凡是基于网络应用的程序都离不开Scoket。4. 由于多线程并发运行，用户在做一件事情时还可以做另外一件事。特别是在多个CPU的情况下，可以更充分地利用硬件资源的优势。二、填空题1. 目前流行两大语法体系：Basic语系和C语系，同一个语系下语言的基

37、本语法是一样的。2. 句柄是一个指针，可以控制指向的对象。3. 注册表中存储了Windows操作系统的所有配置。4. 由于使用多线程技术编程有两大优点：（1）提高CPU的利用率（2）可以设置每个线程的优先级，调整工作的进度。5.在iostream.h文件中定义了cout的功能是输出，endl的功能是回车换行。6.DOS命令行下使用命令“net user Hacker/add”添加体格用户Hacker，同样可以在程序中实现。第4章 网络扫描与网络监听一、选择题1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。2. 对

38、非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描。二、 填空题1. 扫描方式可以分成两大类：慢速扫描和乱序扫描。2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。3. 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身。三、 简答题1.简述黑客的分类，以及黑客需要具备的基本素质？：分3类，破坏者、红客、间谍。4种基本素质：“Free”精神，探索与创新精神，反传统精神、合作精神。2. 黑客在进

39、攻的过程中需要经过哪些步骤？目的是什么？答：（1）隐藏IP：实现IP的隐藏使网络攻击难以被侦破。（2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点，扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。（4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。（5）在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。3简述黑客攻击和网络安全的关系。答：黑客攻击和网络安全是紧密结合在一起的，研究网

40、络安全不研究黑客攻击技术等同于纸上谈兵，研究攻击技术不研究网络安全等同于闭门造车，某种意义上说没有攻击就没有安全。4.为什么需要网络踩点？答：只有通过各种途径探查对方的各方面情况才能确定攻击的时机，为下一步入侵提供良好的策略。5.扫描分成哪两类？每类有什么特点？可以使用哪些工具进行扫描、各有什么特点？答：（1）网络扫描一般分为两种策略：一种是主动式策略；另外一种是被动式策略。 （2）被动式策略特点：基于主机之上的，对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查，被动式扫描不会对系统造成破坏。工具及特点：GetNTUser：系统用户扫描；PortScan：开放端口扫描；Sh

41、ed：共享目录扫描。（3）主动式策略特点：基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏。工具及特点：X-Scan-v2.3 ：对指定IP地址段（单机）进行安全漏洞检测。6. 网络监听技术的原理是什么？答：网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。监听器Sniffer的原理是：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受

42、数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包，不能监听不同网段的计算机传输的信息。第5章 网络入侵一、选择题1. 打 请求密码属于社会工程学攻击方式。2. 一次字典攻击能否成功，很大因素上决定于字典文件。3. SYN风暴属于拒绝服务攻击攻击。4. 下面不属于DoS攻击的是TFN攻击。二、 填空题1. 字典攻击是最常见的一种暴力攻击。2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器

43、上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。三简答题-！重点！1. 简述社会工程学攻击的原理。答：社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。2.3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应当如何防御？答 ：原理：使用枚举的方法，使用运算能力较强的计算机，尝试每种可能的字符破解密

44、码。1）破解电子邮箱密码，一个比较著名的工具软件是，黑雨POP3邮箱密码暴力破解器，该软件分别对计 算机和网络环境进行优化的攻击算法:深度算法，多线程深度算法，广度算法和多线程广度算法。该程序可以以每秒50到100个密码的速度进行匹配。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字，字母和特殊字符的组合就可以有效地抵抗暴力攻击。2） 使用工具软件，Advanced Office XP Password Recovery 可以快速破解Word文档密码。点击工具栏按钮“Open file”,打开刚刚建立的Word文档，设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破

45、解密码，大约两秒钟后，密码就被破解了。防范这种暴力攻击，可以加长密码。3）程序首先通过扫描得到系统的用户，然后利用字典镇南关每一个密码来登录系统，看是否成功，如果成功则将密码显示。4、简述缓冲区溢出攻击的原理 答：当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。5. 简述缓冲区溢出攻击的原理。答：当目标操作系统收到了超过它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。这种溢出使目标系统的

46、程序被修改，经过这种修改的结果将在系统上产生一个后门。缓冲区溢出原理用代码表示为：Void function(char * szParal) Char Buff16; Strcpy(buffer ,szParal) 6. 简述拒绝服务的种类与原理。答：原理：凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击，其目的是使目标计算机或网络无法提供正常的服务。种类：最常见的Dos攻击是计算机网络带宽攻击和连通性攻击；带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最终导致合法用户的请求无法通过；连通性攻击是指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求；比较著

47、名的拒绝服务攻击还包括SYN风暴、Smurf攻击和利用处理程序错误进行攻击。9. 简述DDos的特点以及常用的攻击手段，如何防范？答：拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务；最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。第6章 网络后门与网络隐身一、选择题1. 网络后门的功能是保持对目标主机长久控制。2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。3. 木马是一种可以驻留在对方服务器系统中的一种程序。二、 填空题1. 后门的好坏取决于被管理员发现的概率。2. 木马程序一般由两部分组成：服务器端程序和客户端程序。3. 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能， 后门程序功能比较单一。三、 简答题-！重点！1.留后门的原则是什么？答：只要