1.TCP/IP安全体系结构各个层次可采取的安全措施?
应用层——用户身份认证、授权与代理服务器防火墙如CA
系统层(容灾备份,系统加固,漏洞扫描,系统防毒)和应用层安全(数据库加固,安全身份认证统一授权,安全监控,使用防病毒软件)(不确定)
传输层——安全协议SSL/TLS、PCT、SSH、SOCKS
网络层——包过滤、防火墙、入侵检测、VPN、网络蜜罐
网络接口层——子网划分、VLAN、物理隔绝
物理层安全:通信线路(防火、水、磁泄露、防震),设备(防盗,物理隔离系统的设置,双网隔离设备),机房安全(防盗)
2.常见访问控制模型有哪些?
传统的访问控制模型(DAC\MAC\ACL)
基于角色的访问控制(RBAC) 模型
基于任务和工作流的访问控制(TBAC) 模型
基于任务和角色的访问控制(T-RBAC) 模型等
3.入侵对方系统的常见方法有哪些?
1、口令攻击:通过获取被攻击者的账号口令,获取其操作权限
2、社会工程学(Social Engineering)攻击
3、猜测攻击
4、穷举攻击
5、混合攻击
6、木马入侵
7、字典攻击
8、ipc$共享入侵
9、数据驱动攻击
10、SQL注入攻击
SQL注入方法是网络罪犯最常用的注入手法。此类攻击方法直接针对网站和服务器的数据库。
11、DDoS攻击
DDoS攻击就是用大量请求压垮目标服务器,攻击者再利用DDoS攻击吸引安全系统火力,从暗中利用漏洞入侵系统。
4. Dos、DDoS技术的要领及防范措施?
DoS是指攻击者在一定时间内向网络发送大量的服务请求,消耗系统资源或网络带宽,占用及超越被攻击主机的处理能力,导致网络或系统不胜负荷,停止对合法用户提供正常的网络服务。
DDos分布式拒绝服务攻击,以Dos攻击为基础,使用网络上两个或两个以上被攻陷的计算机作为僵尸向特定的目标发动Dos攻击。
一个完整的DDoS攻击体系一般包含四个部分:攻击控制台、攻击服务器、攻击傀儡机和攻击目标。
Dos攻击的防范主要使用防火墙,通过封掉相应的IP来禁止攻击。
DDos防范措施:
(1)定期扫描,清查可能存在的安全漏洞。
(2)加强骨干节点上的防火墙的配置信息。
(3)用足够的机器承受黑客攻击。
(4)充分利用网络设备保护网络资源。
(5)过滤不必要的服务和端口。
(6)检查访问者的来源。
(7)过滤所有虚假内部IP地址。
(8)限制SYN/ICMP流量。
5.如何检查系统中是否有木马或病毒?恶意代码的攻击原理是什么?
特征匹配
误用入侵检测:建立正常行为模式库,不属于这个库的行为被视为异常行为。
异常入侵检测:依赖于入侵特征的模式库。
混合型入侵检测:可以从网络和系统日志中发现异常情况。
离线检测系统、在线检测系统
所谓恶意代码,是指网页中使用了利用WSH漏洞来修改系统的一段代码。利用各种欺骗手段向攻击目标注射计算机病毒或木马。程序通过自启动或渗透技术感染可执行程序、分区表和数据文件。除此之外,它们还通过系统调用修改浏览器的默认主页,修改注册表,添加系统启动程序,设置监视进程等。
步骤:漏洞、特征匹配、复制/传染、植入脚本
技术:
渗透技术:保证恶意代码能够植入到目标主机中
自启动技术:保证恶意代码在受害主机下一次开机启动后也被激活
自我保护技术:使常用的工具检测不到恶意代码的存在,即使检测到也无法进行分析和清楚,主要分为三大类:反静态分析,反动态追踪以及反制
隐蔽通信:利用隧道等技术进行通信,增强隐蔽性
攻击技术:使用相应的攻击技术来危害攻击目标
6.计算机网络安全策略模型有哪些?
安全策略模型包括了建立安全环境的三个重要组成部分:威严的法律、先进的技术和严格的管理。
(1)严格的法规。安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法,即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
(2)先进的技术。先进的安全技术是信息安全的根本保障。
(3)有效的管理。各网络使用机构、企事业单位应建立相应的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
7.对称加密算法和公开密钥算法的基本特点,分析他们的异同点?
- 对称加密算法:
使用的密钥只有一个,发送方和接收方都使用这个密钥进行加密、解密。其核心是位置的代换和字母的替换。
a) 优点:算法公开、计算量小,效率高。
缺点:密钥分配以及数字签名问题。密钥管理比较困难,在分布式网络系统上难以使用。 举例:EDS算法,AES算法 - 公钥加密算法:
使用一对独立的公钥和私钥,并基于陷门单向函数来完成加密解密工作。
a) 优点:公钥加密算法可以进行密钥交换和数字签名(前者不具备)。
缺点:计算量大,加密速度慢,加密效率不高
举例:RSA算法,ECC算法。
8、防火墙的分类及常见防火墙的模型,并解释防火墙的基本原理?
分类:
根据技术分类分为:包过滤防火墙,应用层代理防火墙,状态检测防火墙
模型:
常见体系结构:包过滤结构防火墙(包过滤路由器),双重宿主主机防火墙(双重宿主主机),屏蔽主机防火墙(包过滤路由器+堡垒主机),屏蔽子网防火墙(外部路由器,内部路由器,堡垒主机)
包过滤防火墙的原理:作用在网络层,通过检查数据流中每一个数据包的信息(源IP地址、目的IP地址,源端口号,目的端口号……)来确定是否允许该数据包通过。
应用层代理防火墙的原理:这种防火墙实际上就是一套小型的带有数据检测过滤功能的透明代理服务器。应用代理 运行于内部网络和外部网络之间的防火墙系统中,建立两条连接:一条介于客户机和代理服务器之间,一条介于代理服务器和目标主机之间。
状态检测防火墙的原理:主要是在进行包过滤的同时,检查数据包之间的关联性和数据包中动态变化的状态码,从而判断数据包中有没有攻击。
9、常见防火墙类型(后半部分)的各种特点和分类?
防火墙模型:
包过滤结构防火墙(包过滤路由器)
双重宿主主机防火墙:双重宿主主机至少有两个网络接口,它位于内部网络和外部网络之间,充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。
屏蔽主机防火墙:使用一个屏蔽路由器把内部网络和外部网络隔离开。
屏蔽子网防火墙(外部路由器,内部路由器,堡垒主机,周边网络)
10、如何使用个人防火墙来禁止一个IP?如何使用个人防火墙来关闭一个端口?
IP:设置网络防护、IP安全策略、IE 分级审查功能。
端口:关闭相应的服务、使用TCP/IP端口筛选、使用IPSEC安全策略。
11、漏洞挖掘的方法有哪些?
补丁比较:是指通过比较安装补丁前后文件的差异来定位漏洞的方法。主要包括源码补丁比较和二进制补丁比较两种。
测试技术:软件测试技术根据是否可以访问源代码分为白盒测试、黑盒测试和灰盒测试。
12、常用网络命令,并给出相应的功能介绍?
net user:查看主机中的所有账户
net start:查看已经启动的服务
ipconfig:查看ip信息
netstat -n:以数字形式显示地址和端口号
netstat -an:以数字形式显示所有已建立的有效链接
regedit :打开注册表
tracert :追踪路由
arp -a:查看arp表
ping……
Net
NET HELP SERVICES 列出用户可以启动的网络服务。
NET HELP SYNTAX 解释如何阅读 NET HELP 语法行。
NET HELP command | MORE 用于逐屏显示帮助
Ipconfig:显示当前的TCP/IP配置的设置值
ipconfig /all:显示已配置且所有使用的附加信息,并且能够显示内置于本地网卡中的物理地址
ipconfig /release:归还IP地址。
Netstat:帮助网络管理员了解网络的整体使用情况。
–a:显示所有的有效连接信息列表
-e:显示关于以太网的统计数据
-r:显示路由表信息
-n:以数字表格形式显示地址和端口
Arp:显示和设置Internet到以太网的地址转换表内容。
-a :列出ARP表中的所有条目
-d :host 从ARP表中删除某个主机的对应条目
-f :file 读一个给定名字的文件,根据文件中的主机名创建ARP表的条目
ping IP 地址 -t–连续对 IP 地址执行 Ping 命令,直到被用户以 Ctrl+C 中断。
-a 以 IP 地址格式来显示目标主机的网络地址
-l 2000–指定 Ping 命令中的数据长度为 2000 字节,而不是缺省的 323 字节。
-n–执行特定次数的 Ping 命令
-f 在包中发送“不分段”标志。该包将不被路由上的网关分段。
-i ttl 将“生存时间”字段设置为 ttl 指定的数值。
-v tos 将“服务类型”字段设置为 tos 指定的数值。
-r count 在“记录路由”字段中记录发出报文和返回报文的路由。指定的 Count 值最
小可以是 1,最大可 9 。
-s count 指定由 count 指定的转发次数的时间邮票。
Regedit:用于打开注册表。
Tracert:显示数据包到达目标主机所经过的路径,并显示到达每个节点的时间。
13、黑客进行网络入侵的“五步曲”,并对每个步骤进行简要说明。
a.(来无影)预攻击探测:收集信息:网络信息、系统信息、用户信息等。
b.(漏洞扫描)发现漏洞,采取攻击行为:通过扫描工具对目标主机或网络进行扫描。
c.(获取控制权)获得攻击目标的系统控制权:获取系统账号并提升为root权限;
d.(植入后门)安装系统后门:方便以后使用,后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
e.(去无踪)消除踪迹:如清除日志文件等。
14、Windows操作系统安全配置策略有哪些?
a) 操作系统安装补丁;
b) 设置Windows自带防火墙;
c) 安装第三方杀毒软件和其它安全软件;
d) 保护系统帐号安全
e) 操作系统设置安全的账号密码:谐音混合型、6步密码设置法、造句法等;
f) 设置屏幕保护:设置-个性化-锁屏界面-屏幕保护程序;
g) 关闭系统默认共享:服务-Server-停止-手动启动
h) 禁止TTL判断主机类型;
i) 常用文件加密:word:开始-信息-保护文档-为文档加密
j) 备份重要资料:U盘等存储介质、服务器、网盘、电子邮箱等;
15、入侵对方系统的方法有哪些?
漏洞扫描、植入木马、传播病毒、暴力破解、跨站攻击等
16、入侵检测的基本步骤包含哪些?
- 信息收集:收集内容主要包括系统、网络、数据及用户活动的状态和行为。
- 信息分析:将收集的信息送到入侵检测引擎。一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。
- 结果处理:按照预先定义的响应采取相应措施。