计算机网络安全复习题

（1）简述现代攻击者的特点？答案：技术化；年轻化；社会化；地点复杂化。攻防技术的发展背景（简述黑客滋生与存在的条件与基础。）答案：信息技术的迅猛发展，是黑客产生的基础；互联网缺乏安全控制机制，是黑客存在的条件；互联网资源为黑客滋生提供了技术条件。对安全的攻击的方式。答案：中断；阻断；截获；篡改；伪造；重放；流量分析。

（2）何谓对安全的攻击的中断；阻断方式？答案：中断：该系统的资源被破坏或变得不可利用或不能使用，这是对可用性的攻击。例子包括部分硬件(如一个硬盘)的毁坏、一条通信线路的切断或某文件系统的失效。阻断：延迟信息的实时到达而实现某种意图。

（3）何谓对安全的攻击的截获；篡改方式？答案：截获：一个未授权方获取了对某个资产的访问，这是对机密性的攻击。该未授权方可以是一个人、一个程序或一台计算机。篡改：未授权方不仅获得了访问而且篡改了某些资源，这是对完整性的攻击。例如改变数据文件的值，改变程序使得他的执行结果不同，篡改在网络中传输的消息的内容等。

（4）何谓对安全的攻击的伪造；重放与流量分析方式？答案：伪造：未授权方将伪造的对象插入系统，这是对真实性的攻击。例子包括在网络中插入伪造的消息或为文件增加记录。重放：非法用户截获信息，然后再传送给接收者。流量分析：非法用户对通讯双方交换的信息进行分析，试图判断或还原原信息。

（5）何谓被动攻击和主动攻击？答案：被动攻击本质上是在传输中的偷听或监视，其目的是分析出消息内容和进行通信量分析。主动攻击涉及某些数据流的篡改或一个虚假流的产生。可进一步划分为四类：伪装、重放、篡改和拒绝服务。网络攻击主要方法有哪些？答案：有电子欺骗攻击；嗅探器Sniffer；漏洞扫描；口令破解；特洛伊木马；缓冲区溢出攻击；拒绝服务攻击等。

（6）何谓电子欺骗攻击？答案：电子欺骗(Spoofing)是攻击者通过伪造一个网络数据包，该数据包的源地址被设为目标主机的可信任地址，从而得到目标主机的认证(许可)以访问目标主机上的资源。

（7）何谓特洛伊木马攻击？答案：特洛伊木马是驻留在目标主机的一个程序。在系统启动时或其宿主程序执行时，木马程序以后台方式(不被觉察)自动启动。运行在目标主机的这部分程序作为服务器端，在某一端口进行侦听，攻击者使用木马的客户端程序向目标主机的这个端口发送数据时，木马程序的服务器端程序收到数据，将这些数据解释为一系列的命令，在目标主机上执行一些操作。比如窃取口令，拷贝或删除文件或重新启动计算机等。

（8）计算机病毒的主要特征有哪些？

答案：感染性：计算机病毒可以从一个程序传染到另一个程序，从一台计算机到另一台计算机，从一个计算机网络到另一个计算机网络或在网络内各个系统上传染、蔓延，同时使被感染的程序、计算机、网络成为计算机病毒的生存环境及新的传染源。流行性：一种计算机病毒出现之后，可以影响一类计算机程序、计算机系统、计算机网络，并且这种影响在一定的地域内或者一定的应用领域内是广泛的。繁殖性：计算机病毒在传染系统之后，可以利用系统环境进行繁殖或称之为自我复制，使得自身数量增多。变种性：计算机病毒在发展、演化过程中可以产生变种。潜伏性：计算机病毒在感染计算机系统后，感染条件满足前，病毒可能在系统中没有表现症状，不影响系统的正常使用。针对性：一种计算机病毒并不是能感染所有的计算机系统或程序，如：有的感染IBM PC及兼容机的，有感染APPLEII微机的，有感染 或 EXE。表现性：计算机病毒感染系统后，被传染的系统在病毒表现及破坏部分被触发时，表现出一定的症状，如：显示屏异常、系统速度慢、文件被删除、死机等。

（9）计算机病毒的构成部分有哪些？答案：计算机病毒代码的结构一般来说包括3大功能模块：引导模块将病毒由外存引入内存，使后两个模块处于活动状态。传染模块显然用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用，如删除文件，格式化磁盘等。（10）计算机病毒的状态有那几种？答案：计算机病毒有两种状态，即静态病毒和动态病毒。静态病毒没有处于加载状态，不能执行病毒的传染或破坏作用。病毒的传染和破坏主要是由动态病毒进行的。内存中处于活动状态的病毒时将监视系统的运行，一旦传染条件或破坏条件被触发，即调用其传染代码段或破坏代码段，使病毒得以扩散，系统蒙受损失。

（11）简述计算机病毒的传染过程。答案：驻入内存。病毒停留在内存中，监视系统的运行，选择机会进行传染。这一步通常由引导模块实现，如没引导模块，则这一步也不会有。判断传染条件。传染模块被激活后，会马上对攻击目标进行判断，以决定是否传染之。传染。

通过适当的方式把病毒写入磁盘，同时保证被攻击的对象（引导记录、原执行文件）仍可正常运行，即进行的是传染而非破坏，因为病毒要以一个特洛伊木马的形式寄生。

（12）按病毒存在的媒体可分为那几类？答案：根据病毒存在的媒体，病毒可以划分为:网络病毒、文件病毒和引导型病毒。

（13）按病毒破坏的能力可分为那几类？答案：根据病毒破坏的能力可划分为以下几种：无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息

（14）按病毒特有的算法可分为那几类？答案：根据病毒特有的算法，病毒可以划分为：伴随型病毒；“蠕虫”型病毒；寄生型病毒。（15）病毒检测的主要方法有哪些？答案：检测病毒方法有：特征代码法；校验和法；行为监测法；软件模拟法等。这些方法依据的原理不

同，实现时所需开销不同，检测范围不同，各有所长。

（16）特征代码法的实现步骤有哪些？答案：采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM 型病毒样本和EXE型病毒样本。在病毒样本中，遵从一定的原则抽取特征代码。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。

（17）简述特征代码法的特点。答案：速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。误报警率低。不能检查多态性病毒。特征代码法是不可能检测多态性病毒的。不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗

（18）何谓行为监测法？答案：利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。作为监测病毒的行为特征如下：占有INT 13H；改DOS系统为数据区的内存总量；对COM、EXE文件做写入动作；病毒程序与宿主程序的切换等。

（19）计算机病毒发展的主要动向有哪些？答案：病毒的多形化。这类病毒可使以往的搜索病毒程序失去搜索效能，常常产生漏杀现象；病毒产生的自动化。“病毒生产机”的出现，导致了“同族”病毒数量巨增，增加了反病毒的难度；病毒的智能化。未来的病毒将通过变化自身代码来对抗反病毒产品，这种变形技术，是智能化病毒的首要基本特征；病毒的政治化。未来的病毒将成为国际恐怖活动主要手段之一，通过病毒诈骗、勒索，实施政治及人身攻击等；病毒的军用化。

（20）计算机病毒传播蔓延的主要原因有哪些？答案：计算机系统硬件和软件的脆弱性：现代计算机系统，尤其是微机系统是安全性、开放性及制造成本的一种折中。同时，就软件环境而言，计算机操作系统又是经过多年开发研制成功的，是在不断应用的过程中逐渐成熟的，是在实际应用中发现问题、解决问题进而得以完善的，所以操作系统在一定程度上存在“漏洞”。正是这种硬件的折中和操作系统的不尽完善使得计算机本身在安全方面必然存在着脆弱性。无疑，这种脆弱性是当今计算机病毒蔓延的主要原因人为因素：安全意识淡薄，安全制度不健全。安全技术防范措施薄弱，系统安全防御能力不强。

（21）简述病毒检测软件的作用原理。答案：计算机病毒检测软件，通常从2个方面起作用，有效检测带毒文件。a．严密监控内存RAM区。

b．监控磁盘引导扇区.

（22）简述宏病毒的特点。答案：传播极快;制作、变种方便 ;破坏可能性极大.

（23）简述对称密码体制的缺点。答案：如果没有事先的约定，则不可能与他人通信; 对于一个完备的通信网，需要密钥数量很大，n个通信方需要n(n-1)/2个密钥; 不能提供法律证据，不具备签名功能.简述公开密码体制的优点。答案：密钥分发简单。秘密保存的密钥量减小。在两个互不信任的双方之间，可以采用验证技术验证对方的身份。可以实现数字签名.

（24）简述信息隐藏和信息加密的区别。答案：信息隐藏和信息加密都是为了保护秘密信息的存储和传输，使之免遭敌手的破坏和攻击，但两者之间有着显著的区别。信息加密所保护的是信息的内容。信息隐藏则不同，秘密信息被嵌入表面上看起来无害的宿主信息中，攻击者无法直观地判断他所监视的信息中是否含有秘密信息。信息隐藏的目的是使敌手不知道哪里有秘密，它隐藏了信息的存在形式。（25）简述数字签名的作用。答案：数字签名(Digital Signature)是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题：冒充；否认；伪造；公证等。

（26）简述防火墙的主要作用。答案：保护脆弱的服务；控制对系统的访问；集中的安全管理；增强私有信息的保密性；记录和统计网络利用数据以及非法使用数据；策略执行；网络地址转换。

（27）简述防火墙的局限性。答案：尽管利用防火墙可以保护安全网免受外部黑客的攻击，但其目的只是能够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。

（28）简述网络中的主要安全威胁答案：身份窃取，指用户身份在通信时被非法截取；假冒，指非法用户假冒合法用户身份获取敏感信息的行为；数据窃取，指非法用户截获通信网络的数据；否认，指通信方事后否认曾经参与某次活动的行为；非授权访问；拒绝服务，指合法用户的正当申请被拒绝、延迟、更改等错误路由等。

（29）解决网络信息安全问题的主要途径答案：密码技术，用于隐蔽传输信息、认证用户身份等。信息隐藏技术，将传输信息存储在其它信息中。网络访问控制技术，用于对系统进行安全保护，抵抗各种外来攻击