💡
1.在Linux操作系统中,所有用户密码都存储在/etc/passwd和/etc/shadow文件中,只有root priviledge可以读取和写入这两个文件。但是一个普通用户可以修改他的密码密码保存在上面的两个文件中。
请解释Linux操作系统如何在允许用户更改密码的同时保护系统文件安全。
answer:
Linux系统 将 用户修改密码的执行程序/bin/passwd的权限中SetUID 置位, 该
执行程序的属主是root.
那么当任何用户执行该程序时, 权限自动升为 root, 也因此可以访问任何文件, 也因此将新口令写入 /etc/passwd 和 /etc/shadow
2.
👋
Q1:解释为什么这段代码容易受到控制劫持攻击。简要说明你的攻击是如何工作的。
Q2: 假设程序易受缓冲区溢出攻击。请分别简要描述一种在不编译此程序和编译此程序的情况下针对此攻击的防御技术。
回答:1.*ss[5]只有5个项目,即ss[0]...ss[4],但是源代码允许m=5,导致控制劫持攻击。
2.编译时防御包括:使用现代高级程序语言不容易受到缓冲区溢出攻击;使用安全编码技术验证缓冲区的使用;使用语言安全扩展和/或安全库实现;或使用堆栈保护机制。为现有易受攻击的程序提供一些保护的运行时防御包括:使用“可执行地址空间保护”,阻止堆栈、堆或全局数据上的代码执行;使用“地址空间随机化”来操作关键数据结构的位置,如进程地址空间中的堆栈和堆;或者在进程地址空间的关键内存区域之间放置保护页面
3.
🔔
Q1.列出我们需要保护的四项资产
Q2.威胁和攻击的区别是什么?
Q3.描述主动攻击和被动攻击的区别。
Q4.分别简要列出被动攻击和主动攻击的类别。
Q5.列出基本的安全设计原则
回答:Q1计算机系统的资产可分为以下类别:硬件:包括计算机系统和其他数据处理、数据存储和数据通信设备软件:包括操作系统、系统实用程序和应用程序。•数据:包括文件和数据库,以及与安全相关的数据,如密码文件。•通信设施和网络:局域网和广域网通信链路、网桥器、路由器等。
Q2威胁一种违反安全的可能性,当存在一种情况、能力、行动或事件时,可能违反安全并造成伤害。也就是说,威胁是一种可能利用漏洞的危险。攻击来自智能威胁的对系统安全的攻击;也就是说,一种智能行为,是一种故意的企图(特别是在一种方法或技术的意义上)来逃避安全服务和违反系统的安全策略。
Q3被动攻击的本质是窃听或监视传输。攻击者的目标是获取正在传输的信息。被动攻击很难被检测到,因为它们不涉及对数据的任何更改。主动攻击呈现出与被动攻击相反的特征。另一方面,要绝对防止主动攻击是相当困难的,因为这样做将需要始终对所有通信设施和路径进行物理保护。相反,其目标是检测它们,并从它们造成的任何中断或延迟中恢复过来。由于检测具有威慑作用,它也可能有助于预防。
Q4被动攻击:发布消息内容和流量分析。主动攻击:伪装、回放、修改消息和拒绝服务。
4.
👋
Q1.区分网络攻击面和软件攻击面
Q2.什么是安全策略? 实现安全策略时涉及哪些操作?
Q3.PDRR指的是什么?
Q4.定义拒绝服务 (DoS) 攻击
回答:Q1.网络攻击表面:在企业网络、广域网或互联网软件攻击表面上的漏洞:应用程序、实用程序或操作系统代码中的漏洞
Q2.安全策略是对规则和实践的正式声明,它指定或规范系统或组织如何提供安全服务,以保护敏感和关键的系统资源。需要考虑的因素:1.受保护资产的价值2.系统的漏洞3.潜在威胁和攻击的可能性权衡:易用性、安全成本与故障和恢复成本
Q3
Q4.对某些服务的可用性的一种攻击形式
5.
👋
Q1.这种DoS攻击的目标是什么类型的资源?
Q2.泛洪攻击通常使用哪种类型的数据包?
Q3简要描述TCPSYN欺骗和TCPSYN洪泛攻击
Q4.针对TCP SYN欺骗攻击有哪些防御措施?
Q5.假设攻击者开始了TCPSYN欺骗攻击。攻击者的目标是淹没系统上的TCP连接请求表,使其无法响应合法的连接请求。
考虑一个服务器系统,它有一个用于记录连接请求信息的表。该表只能包含连接的极限数量 (定义为N,一个整数)。当它没有收到应答的ACK包时,这个svs stem将重试发送SYN-ACK包四次间隔30秒,然后从它的表中清除请求。假设没有针对此攻击使用额外的对策,并且攻击者已经用初始的大量连接请求填充了此表。假设攻击者以每秒30个连接继续向此系统发送TCP连接请求。
问题:假设TCP SYN分组大小为 4 0字节 (忽略成开销),攻击者和服务器之间的带宽为1Kbps,N设置为1500字节。桌子能坐满吗? 为什么呢?
回答:Q1.网络带宽,系统资源、应用资源
Q2.ICMP,UDP,TCP SYN,TCP ACK。
Q3.TCP SYN洪水向目标系统发送TCP数据包,数据包的总量是攻击的目标,而不是系统代码
Q4.SYN欺骗防御: SYN Cookie
6.
🔔
Q1.有哪些防御措施可以抵御DNS放大攻击? 这些必须在哪里实施? 哪些是这种攻击所特有的?
Q2.为了实现DNS放大攻击,攻击者必须触发从中介体创建足够大容量的DNS响应数据包,以超过到目标组织的链接的容量。考虑一种攻击,其中DNS响应数据包大小为500字节 (忽略开销) 。攻击者每秒必须触发多少个这样的数据包,才能使用0.5 Mbps链路淹没目标组织?
Q3.什么样的防御措施可以防止一个组织的系统被用作广播放大攻击的中介?
Q4.什么是安全入侵?
Q5.列出并简要描述入侵者攻击系统时通常使用的步骤
Q6.描述IDS的三个逻辑组件
Q7.描述基于主机的IDS和基于网络的IDS之间的区别
回答:Q3禁用广播功能
Q4未经授权的行为绕过系统的安全机制
Q5步骤通常使用入侵者攻击系统时:目标采集和信息收集:攻击者识别和描述目标系统使用公开信息,技术和非技术,和使用网络探索工具来映射目标资源;•初始访问:通常通过利用远程网络漏洞,通过猜测远程服务中使用的弱身份验证凭据,或通过使用某种形式的社会工程或驱动下载攻击在系统上安装恶意软件;特权升级:是在系统上采取的行动,通常通过本地访问漏洞增加攻击者可用的特权,使其在目标系统上的目标;8信息收集或系统利用:是攻击者访问或修改系统上的信息或资源,或导航到其他目标系统的行为;维护访问:指安装后门或其他恶意软件或添加
Q6传感器:传感器负责收集数据。传感器的输入可以是系统中可能包含入侵证据的任何部分。传感器的输入类型包括网络数据包、日志文件和系统调用跟踪。传感器会收集并将这些信息转发给分析仪。分析仪:分析仪接收来自一个或多个传感器或其他分析仪的输入。分析仪负责确定是否发生了入侵。此组件的输出表明已经发生了入侵。输出可能包括支持入侵发生的结论的证据。分析仪可以提供关于入侵导致的采取什么行动的指导。用户界面:到IDS的用户界面使用户能够查看系统的输出或控制系统的行为。在某些系统中,用户界面可能等同于管理器、控制器或控制台组件。
Q7基于主机的IDS:监控单个主机的特征和该主机内发生的事件。基于网络的IDS:监控特定网络段或设备的网络流量,并分析网络、传输和应用程序协议,以识别可疑活动
1285
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
