绿盟笔试资料整理

分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。

单一的DOS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大了——目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果这时侯分布式的拒绝服务攻击手段（DDOS）就应运而生了。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDOS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

通常，被攻击的服务器有以下症状：1、被攻击主机上有大量等待的TCP连接；2、网络中充斥着大量的无用的数据包，源地址为假；3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；4、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求；5、严重时会造成系统死机……
Worm
蠕虫病毒是计算机病毒的一种。

它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

IP Spoof
IP spoof即IP 地址欺骗，我们可以说是一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术。

3.IP spoof的实现原理
我们知道，IP是网络层的一个非面向连接的协议，IP数据包的主要内容由源IP地址，目地IP 地址，所传数据构成，IP的任务就是根据每个数据报文的目的地址，路由完成报文从源地址到目的地址的传送。

至于报文在传送过程中是否丢失或出现差错，IP不会考虑。

对IP来讲，源设备与目的设备没有什么关系，它们是相互独立的。

IP包只是根据数据报文中的目的地址发送，因此借助高层协议的应用程序来伪造IP地址是比较容易实现的。

与此同时，TCP作为保障两台通讯设备之间数据有保证的顺序传输的协议，是面向连接的，它需要连接双方?quot;同意"才能进行通讯。

TCP传输双方传送的每一个字节都伴随着一个序列号（SEQ），它期待对方在接收到后产生一个应答（ACK），应答一方面通知对方数据成功收到，另一方面告知对方希望接收的下一个字节。

同时，任何两台设备之间欲建立TCP连接都需要一个两方确认的起始过程，称三次握手，可分解如下面来表示: 第一步:请求方向服务方发送SYN，表示想发起一次TCP连接。

我们假定这次的序列号是某个数值XTrust ->TargetSYNSEQ:X
第二步:服务方产生SYN，ACK响应，并向请求方发送ACK，ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。

同时，服务方向请求方发送自己的SEQ，我们假定它的序列号是某个数值Y。

Target -> TrustSYN，ACKSEQ:YACK:X+1
第三步: 请求方向服务方发送ACK，表示接收到服务方的回应。

这次它的SEQ值为X+1，同时它的ACK值为Y+1，原理同上。

Trust ->TargetACKSEQ:X+1ACK:Y+1
完成这一步以后，请求方与服务方之间的连接开放，数据可以进行传输了。

第二部分上面是标准TCP连接建立的过程，我们来看IP Spoof状态下的三次握手会是什么一
第一步、Hack假冒Trust主机IP向服务方Target发送SYN，告诉Target 来自他所信任的Trust 主机想发起一次TCP连接，序列号为数值X，这一步实现比较简单，Hack将IP包的源地址伪造为Trust主机IP地址即可。

Hack ->TargetSYNSEQ:X
要注意的是，在攻击的整个过程中，必须使Trust主机与网络的正常连接中断。

因为SYN请求中IP包源地址是Trust主机的，当Target收到SYN请求时，将根据IP包中源地址反馈ACK，SYN 给Trust主机，但事实上Trust并未向Target发送SYN请求，所以Trust收到后会认为这是一次错误的连接，从而向Target回送RST，中断连接。

这可不是我们所企求的。

为了解决这个问题，在整个攻击过程中我们需要设法停止Trust主机的网络功能，这一实现很简单，用现在威力很强大的tfn2k 之类的分布式拒绝服务软件攻击Trust主机，使之拒绝服务即可，（可参考作者另一篇文章《分布式拒绝服务软件》见的网络学院部分）这里就不介绍了。

第二步、服务方Target产生SYN，ACK响应，并向请求方Trust主机（注意:是Trust，不是Hack，因为Target收到的IP包的源地址是Trust）发送ACK，ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。

同时，Target向请求方Trust发送自己的SEQ，注意，这个数值对Hack是不可见的！！Target -> TrustSYN，ACKSEQ:?ACK:X+1
第三步、Hack再次向服务方发送ACK，表示接收到服务方的回应——虽然实际上他并没有收到服务方Targe的SYN，ACK响应。

这次它的SEQ值为X+1，同时它必须猜出ACK的值！！并加一后回馈给Target。

Hack ->TargetACKSEQ:X+1ACK:?+1
如果Hack能成功的猜出Target 的ACK值，那么TCP的三次握手就宣告成功，Target会将Hack看作Trust主机，IP spoof最关键的技术部分得到解决！但有一点要清楚，Hack 主机这种连接是“盲人”式的，Hack永远不会收到来自Target的包，因为这些反馈包都被路由到Trust主机那里了(除非黑客能将相关骨干点的路由表内容做改动，记住：IP是独立的，它只是根据源地址，目的地址在互联网上路由传送。

而在Hack向Target发送的三次握手IP包中源地址是宣称为Trust主机的) 我们可以不恰当的举个简单例子，Hack在Target上执行ls -l /，在Hack的屏幕上不会看到任何反馈，尽管事实上Target列出了根目录下的所有内容——Target将ls -l /结果送到了Trust主机。

由上我们可以看出，IP spoof成功的关键在于猜出在第二步服务方所回应的SEQ值，有了这个值，TCP连接方可成功的建立。

在早期，这是个令人头疼的问题，但随着IP spoof攻击手段的研究日益深入，一些专用的算法，技术得到应用，并产生了一些专用的c程序，如SEQ-scan,yaas等。

当黑客得到这些c程序时，一切问题都将迎刃而解。

SYN Flood
TCP SYN Flood是一种常见，而且有效的远程拒绝服务(Denial of Service)攻击方式，它通过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。

问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP 连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

僵尸网络跟踪工具
HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序，可以捕获和记录入侵和袭击企图。

它运行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的产品。

ShellCode
Shellcode实际是一段代码（也可以是填充数据），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。

另外，Shellcode一般是作为数据发送给受攻击服务的。

Windows方面
a) NT最新SP版本、Windows 2000最新SP版本
参考答案：WinNT最后一次SP更新为SP6a版本，之后微软对其停止了更新服务，经常有人会把NT系统与2000混为一谈，注意他们不是同一版本。

Windows 2000最后一次SP更新为SP4，之后微软同样对其停止了维护。

b) Windows用的组策略编辑器是哪个
参考答案：组策略（Group Policy），以一个MMC管理单元形式存在，可通过开始运行中输入gpedit.msc或控制面板--管理工具方式进入。

c) 使用IIS应如何进行相应的安全设置。

参考答案：
1.仅安装必要的IIS 组件。

（禁用不需要的如FTP 和SMTP 服务）
2.仅启用必要的服务和Web Service 扩展
3. 将IIS目录＆数据与系统磁盘分开，保存在专用磁盘空间内
4. 在IIS管理器中删除必须之外的任何没有用到的映射
5. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
6. 对Web站点权限进行详细设定
7. 使用W3C扩充日志文件格式记录更多信息
8.配置主机防火墙和防病毒软件
9.加强数据备份
10.配置IPSEC筛选
修改文件的宿主、组和其他用户的读写权限，两种方法。

Chmod 777 filename
Chmod a+rw filename
如何禁用linux的root用户登陆FTP
/etc/ftpusers 列出来的就是禁止用FTP登录的帐号
A、B、C三类的私有IP地址范围
A类保留的私有地址范围10.0.0.0—10.255.255.255B类保留的私有地址范围172.16.0.0—172.31.255.255C类保留的私有地址范围192.168.0.0—192.168.255.255
Cisco中line配置的远程登陆密码是明文显示的，哪条命令可以使其显示为暗文。

service password klfsdklafj
使用Linux的安全风险有哪些
参考答案：多用户系统带来的账户及权限安全。

包括多用户带来的账户权限、文件归属管理的难度。

Linux自身安全性及上端应用程序所面临的威胁。

未经过专业人员安全加固过的初始linux系统在攻击者面前依旧那么脆弱，运行在上端的开源应用程序同样有着更新维护不及时，存在可利用漏洞的情况。

系统自身服务安全性，运行在linux上的默认服务有着相互依存，安全设置又相互独立的现象，对于广大普通用户来说，根本无法制定出适合且有效的安全策略。

关于分区, Linux分区溢出的恶意攻击
关于BIOS
关于口令口令是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度，至少等于8。

为此，需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。

同时应限制口令使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS(口令使用时间)。

关于Ping 既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。

你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行，这样就可以阻止你的系统响应任何从外部/内部来的ping请求。

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
关于Telnet
关于特权账号
关于账户注销
关于系统文件
对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通用户查看。

如将inetd文件属性改为600:
关于用户资源
对你的系统上所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数，内存数量等。

例如，对所有用户的限制
关于NFS服务器
由于NFS服务器漏洞比较多，你一定要小心。

如果要使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount 成只读文件系统。

关于开启的服务
默认的linux就是一个强大的系统，运行了很多的服务。

但有许多服务是不需要的，很容易引起安全风险。

这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个:telnet和ftp
关于日志
所有的日志都在/var/log下(仅对linux系统而言)，默认情况下linux的日志就已经很强大了，但除ftp外。

因此我们可以通过修改/etc/ftpaccess 或者/etc/inetd.conf，来保证每一个ftp连接日志都能够纪录下来
c) 国内外的不同linux产品（各列举3个）
参考答案：Linux：red-hat 9.0、red-flag 5.0、centos 5.5、ubuntu 8.04……
d) 139端口和445端口的区别是什么？
参考答案：TCP 139端口为基于NETBIOS/SMB协议的连接局域网共享通讯端口
TCP 445端口为基于CIFS协议的局域网共享通讯端口。

在windows 2K and 2003中他们发挥
e) 主流的防病毒厂商和产品（国内、外各列举3个）
参考答案：国外Mcafee、AVAST、BitDefender、Kaspersky、ESET Nod32、Symantec、AVIRA （小红伞）Checkpoint firewall-1 Cisco cisco pix Netscreen netscreen
国内：金山、江民、微点、瑞星、360、VRV北信源、安铁诺、可牛、
中网黑客愁天融信网络卫士联想网御
f) 使用过的主流漏扫产品，其优缺点有哪些？
参考答案：本地漏洞扫描器（Host Scanner）有COPS、tripewire、tiger 只能扫描本机存在的漏洞
网络漏洞扫描器（Network Scanner）有nsfocus绿盟的极光远程安全评估系统（作为答题者，我想这个还是要捧一捧的吧）优点：硬件设备，扫描不占系统资源，快速高效准确，缺点：付费产品且较贵。

使用select 查询语句的不安全之处在哪
例如db_datareader，它授予对数据库里面所有对象的SELECT权限。

虽然你可以用db_datareader 角色授予SELECT权限，然后有选择地对个别用户或组拒绝SELECT权限，但使用这种方法时，你可能忘记为某些用户或者对象设置权限
安全方面
a) 防火墙的常用三种技术
参考答案：包状态检查技术、应用代理技术（应用层网关）、电路层网关技术、自适应代理技术。

第一题：描述tcp的三次握手，写出syn ack的关系。

三次握手：
握手过程的第一个段的代码位设置为SYN，序列号为x，表示开始一次握手。

接收方收到这个段后，向发送者回发一个段。

代码位设置为SYN和ACK，序列号设置为y，确认序列号设置为x+1。

发送者在受到这个段后，知道就可以进行TCP数据发送了，于是，它又向接收者发送一个ACK段，表示，双方的连接已经建立。

Client --> 置SYN标志序列号= J，确认号= 0 ----> Server
Client <-- 置SYN标志置ACK标志序列号= K, 确认号= J + 1 <-- Server
Clinet --> 置ACK标志序列号= J + 1，确认号= K + 1 --> Server
a 发起方b接受方
a发送一个SYN包给b，b回一个[SYN,ACK]给b，a再回一个ACK包给b；
a ----》b
a 发送数据完毕，（PSH,ACK）aseq = x，ack=y，datalen = z
b 接受到以后发送（ACK）bseq = aack，back = aseq + alen，datalen=blen
b 发送数据完毕（PSH,ACK）bseq = bseq + blen，back = back，datalen = blen
a 确认接受（ACK）aseq = back ，aack = bseq + blen
注：PSH标志指示接收端应尽快将数据提交给应用层。

从我协议分析的经历来看，在数据传输阶段，几乎所有数据包的发送都置了PSH位；而ACK标志位在数据传输阶段也是一直是置位的
在数据传输阶段，按照常理应用层数据的传输是这样的：(我们假定建立连接阶段Client端最后的确认包中序列号= 55555, 确认号= 22222)
Client --> 置PSH标志，置ACK标志序列号= 55555, 确认号= 22222，数据包长度= 11 ---> Server
Client <-- 置ACK标志，序列号= 22222, 确认号= 55566 (=55555 + 11)，数据包长度= 0 <--- Server
Client <-- 置PSH标志，置ACK标志序列号= 22223, 确认号= 55566，数据包长度= 22 <--- Server
Client --> 置ACK标志，序列号= 55566, 确认号= 22244(=22222+22)，数据包长度= 0 ---> Server
第二题：描述tcp/udp的区别及优劣。

描述p2p机制，及其发展前景。

1、UDP支持单播、组播和广播，而TCP不支持广播
2、基于连接与无连接
3。

对系统资源的要求（TCP较多，UDP少）
4。

UDP程序结构较简单
5。

流模式与数据报模式
6。

TCP保证数据正确性，UDP可能丢包，TCP保证数据顺序，UDP不保证另外结合GPRS网络的情况具体的谈一
对等网络(P2P)有3种主要的组织结构：分布式哈希表(DHT)结构、树形结构、网状结构。

P2P 技术已经延伸到几乎所有的网络应用领域，如分布式科学计算、文件共享、流媒体直播与点播、语音通信及在线游戏支撑平台等方面。

现在人们已经开始将重心转入到覆盖层网络的节点延时聚集研究、覆盖网之间(Inter-Overlay)优化研究、P2P支撑平台研究以及P2P安全研究等方面。

第三题：排序，用冒泡法或快速排序法，并分析时间/空间复杂度。

稳定的
冒泡排序（bubble sort）— O(n2) sort, 双向的冒泡排序) — O(n2) 插入排序（insertion sort）— O(n2) 桶排序（bucket sort）— O(n); 需要 O(k) 额外记忆体
sort) — O(n+k); 需要 O(n+k) 额外记忆体merge sort）— O(n log n); 需要 O(n) 额外记忆体原地归并排序— O(n2) 二叉树排序（Binary tree sort）—
O(n log n); 需要 O(n) 额外记忆体— O(n+k); 需要 O(k) 额外记
忆体基数排序（radix sort）— O(n·k); 需要 O(n) 额外记忆体Gnome sort — O(n2) Library sort — O(n log n) with high probability, 需要 (1+ε)n 额外记忆体
不稳定
选择排序（selection sort）— O(n2) 希尔排序（shell sort）— O(n log n) 如果使用最佳的现在版本Comb sort — O(n log n) 堆排序（heapsort）— O(n log n) Smoothsort —O(n log n) 快速排序（quicksort）— O(n log n) 期望时间, O(n2) 最坏情况; 对於大的、乱数串列一般相信是最快的已知排序
第四题：树的深度优先遍历。

深度优先搜索法是树的先根遍历的推广，
广度优先搜索是树的按层次遍历的推广，二叉树的深度优先遍历的非递归的通用做法是采用栈，广度优先遍历的非递归的通用做法是采用队列。

a) 经常使用的搜索引擎（至少三个）。

参考答案：
b) 经常访问的国内外网络安全方面的网站和URL（至少四个）
参考答案：（必须的）（邪恶八进制，非常专业的网络安全网站）（黑白前线） （同样的老牌网安站点）
名词解释
DDoS、Worm、IP Spoof、SYN Flood、Brute Attack、Social Engineering、Honeybot、ShellCode Ddos：Distributed Denial of service (分布式拒绝服务攻击)
Worm：蠕虫，网络传播类计算机恶意代码
IP Spoof：IP欺骗，伪装成可信任IP地址，对目标实施信息欺骗以达到通讯目的
SYN Flood：SYN洪水攻击，拒绝服务攻击的一种。

通过大量伪造TCP三次握手中的SYN包达到对目标拒绝服务攻击的目的
Brute Attack：强力攻击（仅从字面意思理解）
Social Engineering：社会工程学，通过非技术的其他任意手段达到最终目的
Honeybot：蜜罐系统，通常指通过对不设防的虚拟主机（蜜罐）进行监控，达到追踪攻击者（蜜蜂）的目的。

ShellCode：溢出代码，通常指能针对某系统溢出漏洞获取特定权限的指针位代码。

系统知识
Windows方面
a) NT最新SP版本、Windows 2000最新SP版本
参考答案：WinNT最后一次SP更新为SP6a版本，之后微软对其停止了更新服务，经常有人会把NT系统与2000混为一谈，注意他们不是同一版本。

Windows 2000最后一次SP更新为SP4，之后微软同样对其停止了维护。

b) Windows用的组策略编辑器是哪个
参考答案：组策略（Group Policy），以一个MMC管理单元形式存在，可通过开始运行中输入gpedit.msc或控制面板?管理工具方式进入。

c) 使用IIS应如何进行相应的安全设置。

参考答案：
1.仅安装必要的IIS 组件。

（禁用不需要的如FTP 和SMTP 服务）
2.仅启用必要的服务和Web Service 扩展
3. 将IIS目录＆数据与系统磁盘分开，保存在专用磁盘空间内
4. 在IIS管理器中删除必须之外的任何没有用到的映射
5. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
6. 对Web站点权限进行详细设定
7. 使用W3C扩充日志文件格式记录更多信息
8.配置主机防火墙和防病毒软件
9.加强数据备份
10.配置IPSEC筛选
UNIX/Linux方面
a)列举Unix、Linux、Sun、FreeBSD各版本的历史发行版本（各1种以上）
参考答案：HP-Unix 10.0、10.20、11.00、11i=11.11、11iv1.6=11.22 (for 安腾)、11iv2=11.23(for 安腾)
Linux：red-hat 9.0、red-flag 5.0、centos 5.5、ubuntu 8.04……
Sun：solaris 2.5.1、2.6、7、8、9（kernel:SunOS 5.5-5.10）
FreeBSD:386BSD-FreeBSD 7.3
b)描述sendmail原理及通讯机制
sendmail程序接受到待发邮件后，通过关键字符@判断邮件格式是否符合要求，匹配成功后提取邮件后缀域名信息并查询DNS数据库相关MX（邮件专用）记录，若有匹配信息且多于一条，选择优先级更高的主机IP进行投递，如没有查询到相关域名的MX记录则常识与其根域名（如）25端口通讯并投递邮件，成功连接则投递信件，失败则将邮件打包退还发件者。

c) 修改文件的宿主、组和其他用户的读写权限，两种方法。

参考答案：root权限或文件创建者权限下chmod 文件名umask（反掩码如777）
Chown 参数宿主名所属组文件名
d) 如何禁用linux的root用户登陆FTP。

参考答案：linux下默认禁止root用户远程登录FTP或telnet
相关控制文件默认在/etc/vsftpd/ftpusers和/etc/vsftpd/user_list中
网络方面
a) A、B、C三类的私有IP地址范围。

参考答案：A类地址10.0.0.0 --10.255.255.255
B类地址172.16.0.0--172.31.255.255
C类192.168.0.0--192.168.255.255
进一步范围控制通过子网掩码实现
b) Cisco中line配置的远程登陆密码是明文显示的，哪条命令可以使其显示为暗文。

参考答案：#services password-encryption
网络安全
a) 防火墙的三种技术
参考答案：应用代理技术、电路层网关技术、自适应代理技术
b) 使用Linux的安全风险有哪些
参考答案：多用户系统带来的账户及权限安全。

包括多用户带来的账户权限、文件归属管理的难度。

Linux自身安全性及上端应用程序所面临的威胁。

未经过专业人员安全加固过的初始linux系统在攻击者面前依旧那么脆弱，运行在上端的开源应用程序同样有着更新维护不及时，存在可利用漏洞的情况。

系统自身服务安全性，运行在linux上的默认服务有着相互依存，安全设置又相互独立的现象，对于广大普通用户来说，根本无法制定出适合且有效的安全策略。

c) 国内外的不同linux产品（各列举3个）
参考答案：Linux：red-hat 9.0、red-flag 5.0、centos 5.5、ubuntu 8.04……
d) 139端口和445端口的区别是什么？
参考答案：TCP 139端口为基于NETBIOS/SMB协议的连接局域网共享通讯端口
TCP 445端口为基于CIFS协议的局域网共享通讯端口。

在windows 2K and 2003中他们发挥的作用相同
e) 主流的防病毒厂商和产品（国内、外各列举3个）
参考答案：国外Mcafee、AVAST、BitDefender、Kaspersky、ESET Nod32、Symantec、AVIRA （小红伞）
国内：金山、江民、微点、瑞星、360、VRV北信源、安铁诺、可牛、超级巡警
f) 使用过的主流漏扫产品，其优缺点有哪些？
参考答案：本地漏洞扫描器（Host Scanner）有COPS、tripewire、tiger 只能扫描本机存在的漏洞
网络漏洞扫描器（Network Scanner）有nsfocus绿盟的极光远程安全评估系统（作为答题者，我想这个还是要捧一捧的吧）优点：硬件设备，扫描不占系统资源，快速高效准确，缺点：付费产品且较贵。