软考:信息安全工程师3

1.输入法漏洞是一个基于widows98/2000/win8等系统中的一个通过全拼输入法可以绕过身份认证直接启动目标系统上的IE。要想实现在远程系统上直接使用输入法漏洞必须要先能远程登录到目标系统的登录界面因此使用的远程桌面是3389端口。

2.木马攻击是一种典型的植入威胁，攻击者首先要通过种植木马到目标系统才能使木马发挥功能。

3.黑客通常扫描目标机的445端口只要是为了发现并获得目标计算机上的文件和打印机共享，Windows系统中的445号端口是文件和打印机共享服务所使用的端口。

4.ping of death是一种畸形报文攻击，方法是由攻击者故意发送大于65535字节的ip数据包。当一个碎片包可以将整个ip包的大小增加到ip协议允许的65535比特以上时候。当许多操作系统收到一个特大号的ip包时候，服务器会宕机或重新启动

5.Trinoo是黑客用来实施DDOS攻击的工具。

LC5破解hash密码

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

iceword冰刃是一个集文件粉碎，杀毒，清理于一身的超级工具，真是一把杀毒于无型的利刃。。。

6.网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。

7.攻击工具包括：
用户命令：攻击者在命令行状态下或者以图形用户接口方式输入攻击命令
脚本或程序：利用脚本和程序挖掘弱点
自治主体：攻击者初始化一个程序或者程序片段，独立执行漏洞挖掘
电磁泄露：通过电子信号分析方法，实施电磁泄露攻击

8.网络攻击是指损害网络系统安全属性的危害行为。网络攻击效果包括以下几种：
破坏信息：删除或修改系统中存储的信息或者网络中传送的信息
信息泄密：窃取或公布敏感信息
窃取服务：未授权使用计算机或网络服务
拒绝服务：干扰系统和网络的正常服务，降低系统和网络性能，甚至使系统和网络崩溃

9.攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析，后扩展为软件故障树，用于辅助识别软件设计和实现中的错误。Schneier首先基于软件故障树方法提出了攻击树的概念，用and-or形式的树结构对目标对象进行网络安全威胁分析。

10.网络攻击过程模型
隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。
收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。
挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。
获取目标访问权限。获取目标系统的普通或特权账户的权限。
隐蔽攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。
实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
开辟后门。在目标系统中开辟后门，方便以后入侵。
清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。

11.隐藏技术有：
连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用 IP SPOOF技术等。
进程隐藏，如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。
文件隐藏，如利用字符串相似麻痹系统管理员，或修改文件属性使得普通显示方法无法看到；利用操作系统可加在模块特性，隐瞒攻击时所产生的信息。

12.泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络中传输时，会被分解成许多不同的片传送，并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

13.SSH的服务进程端口通常为22

14.信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的简介读取，通过信息流分析以发现隐蔽通道，阻止信息泄露途径。

15.SET中采用的公钥加密算法是RSA的公钥密码体制，私钥加密算法采用的是DES数据加密标准，消息首先以56位DES密钥加密，然后装入使用1024位RSA公钥加密的数字信封在通信双方传输。

16.SYN Flood攻击者假造源网址发送多个同步数据包给服务器，服务器因无法收到确认数据包，使TCP/IP协议的三次握手无法顺利完成，因而无法建立连接。其原理是发送大量半连接状态的服务请求，使服务主机无法处理正常的连接请求，因而影响正常运作。

17.SM3杂凑值长度256比特。

18.PDRR改进了传统的只有保护的单一安全防御思想，强调信息安全保障的四个重要环节。保护的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。恢复的内容有数据备份、数据修复、系统恢复等。响应的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估。

19.网络生存模型：P87

20.硬件木马检测方法P128

21.常用于进行入侵检测的工具:
网络协议分析器：Tcpdump、wireshark
入侵检测系统：Snort，Suricata，Bro
Windows系统注册表监测：regedit
恶意代码检测：RootkitRevealer，ClamAV
文件完整性检查：Tripwire,MD5sumo

22.陷门：是在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。
授权侵犯：又称内部威胁，授权用户将其权限用于其他未授权的目的。
旁路控制：攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”，利用这些“特征”，攻击者绕过防线守卫者渗入系统内部。

23.蠕虫病毒具有信息搜集、漏洞利用、复制传播、目标选择等能力，其中“红色代码”、“冲击波”，“永恒之蓝”，等网络蠕虫可以在网络信息系统中自动扩散。

24.网络安全设备一般至少有内网区域trust、外网区域untrust、军事缓冲区DMZ，安全级别trust>DMZ>untrust,而有些设备设置了本地区域，本地区域的安全级别一般最高。

25.VPN分为数据链路层VPN（PPTP，L2TP），网络层VPN（IPSec），传输层VPN（SSL）。

26.常见的误用检测方法：基于条件概率的误用检测方法、基于状态迁移的误用检测方法、基于键盘监控的误用检测方法、基于规则的误用检测方法

常见的异常检测方法：基于统计的异常检测方法、基于模式预测的异常检测方法、基于文本分类的异常检测方法、基于贝叶斯推理的异常检测方法。

27.单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC，使得单台计算机在某一时刻只能连接到内部网或外部网。

28.漏洞分为2类：
非技术性安全漏洞：这方面的漏洞来自制度、管理流程、人员、组织机构等。包括网络安全责任主体不明确、网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备

技术性安全漏洞：这方面的漏洞来源有设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等

29.恶意代码的分析方法：
静态分析方法：反恶意代码软件的检查、字符串分析和静态反汇编分析等
动态分析方法：文件检测、进程检测、注册表检测、动态反汇编分析等

30.AAA：认证、授权、记账

31.端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。

32.桌面虚拟化之后，每个用户都会获得较充分的计算、存储资源，但存在共用网络带宽的问题，因此会对网络传输带宽有一定的要求。

33.入侵检测系统部署过程：
1）确定检测对象、网段；
2）依据对应的安全需求，指定安全检测策略
3）依据安全检测策略，选定IDS结构
4）在检测对象、网段上，安装IDS探测器采集信息
5）配置IDS
6）验证安全检测策略是否正常
7）运维ids

34.解决重放攻击的根本是保证消息的新鲜性，可以采用时间戳、序列号、挑战-应答机制等。
序列号机制是接收方通过比较消息中的序列号以判断消息是新产生的还是重放的。
挑战应答机制是消息的时间变量参数由接收方在该消息传递前明确地向消息发送方说明。
消息的新旧是由消息上盖的时间戳决定的，只有当消息上的时间戳与当前本地时间的差值在一定范围内，接收方才接收这个消息。

35