网络攻防题答案

评阅教师得分四川大学期末考试试题（开卷）（2013~2014学年第2学期）

课程号：课程名称：（A卷）任课教师：屈立笳

适用专业年级：软件工程 2011级学号：姓名：

2. 请将答案全部填写在本试题纸上；

3. 考试结束，请将试题纸、添卷纸和草稿纸一并交给监考老师。

一、简答题

1、从狭义角度阐述信息收集。

信息收集是指通过各种方式获取所需要的信息。

2、信息收集的来源有那几个方面？

实物型信息源、文献型信息源，电子型信息源，网络信息源

3、信息收集的范围是什么？

内容、时间、地域范围

4、信息收集的方法有哪些？

调查法，观察法，实验法，文献检索，网络信息收集

5、 ICMP扫描

ICMP Echo扫描精度相对较高。通过简单地向目标主机发送ICMP Echo Request 数据包，并等待回复的ICMP Echo Reply 包，如Ping。

ICMP Sweep 扫描：sweep这个词的动作很像机枪扫射，icmp进行扫射式的扫描，就是并发性扫描，使用ICMP

注：试题字迹务必清晰，书写工整。本题共5页，本页为第1页

Echo Request一次探测多个目标主机。通常这种探测包会并行发送，以提高探测效率，适用于大范围的评估。

6、 ICMP扫描防范

选择合适的防火墙，配置防火墙以预防攻击

7、路由追踪的目的是什么？

帮网络管理员了解网络通行情况，同时也是网络管理人员很好的辅助工具！通过路由器追踪可以轻松的查处从我们电脑所在地到目标地之间所经常的网络节点，并可以看到通过各个节点所花费的时间。

8、使用工具Netstat能检验什么？

Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

9、 TCP Connect()扫描的原理、优点和缺点会什么？

原理：直接连接到目标端口并完成一个完整的三次握手过程（SYN，SYN/ACK，和ACK）。

优点：1.不需要任何权限，速度快2.可以打开多个套接字加速扫描

缺点：服务器可以记录下客户的连接行为，如果同一个客户轮流对一个端口发起连接，则一定在扫描

10、操作系统识别的防范措施有哪些？

1.端口扫描监测工具监视操作系统检测活动。

2.让操作系统识别失效的补丁。

3.防火墙和路

由器的规则配置。4.使用入侵检测系统。

11、简述病毒的定义及其破坏性的主要表现。

病毒的定义：

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。

病毒的破坏性的主要表现：直接破坏计算机上的重要信息；抢占系统资源，降低系统性能；窃取主机上的重要信息；破坏计算机硬件；导致网络阻塞，甚至瘫痪；使邮件服务器、Web服务器不能提供正常服务。

12、系统弱点分类是指那几个方面？

系统漏洞，应用软件漏洞，病毒

13、什么是IP欺骗

隐藏你的IP地址，方法是通过创建伪造的IP地址包，这样当你发送信息的时候，对方就无法确定你的真实IP了，该技术很普遍，通常被垃圾邮件制造者以及黑客用来误导追踪者到错误的信息来源处.因为用的是伪造的，就跟你拿别人的身份证去开房一样

14、DNS欺骗的定义和原理是什么？

定义：DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

15、简单描述跨站脚本攻击（XSS）

用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

16、将蠕虫与常说的病毒作一个简单比较分析

蠕虫：一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它不需要附着在其他程序上，而是独立存在的。当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。

病毒：是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

蠕虫也是一种病毒

17、隐藏的动机是什么?

反侦测技术：能够使得专家分析判断新的攻击更加困难和费事。

18、网络连接隐藏有哪几种方式？（答对一个1分，满分3分）

网络连接进程名称替换；替换网络连接显示命令；替换操作系统的网络连接管理模块。

19、什么是缓冲区溢出攻击？

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。

20、下面代码中那句能出现能出现基于栈的缓冲区溢出？

21、简单描述毒药包攻击

许攻击者执行中间人攻击以获取对数据库服务器的完全控制：它的严重程度取决于对它的攻击深度

22、简单描述Smurf攻击

Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

23、简单描述SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

24、简单病毒与木马程序

木马（Trojan）来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

二、问答题

评阅教师得分