網路攻擊與防禦技術期末習題

1、簡述防火牆的基本概念和應達到的目標。

在網路中，所謂「防火牆」,是指一種將內部網和公眾訪問網如internet)分開的方法，它實際上是一種隔離技術，在兩個網路通訊時執行的一種訪問控制尺度，它能允許使用者「同意」的人和資料進人該使用者的網路，同時將使用者「不同意」的人和資料拒之門外,最大限度地阻止網路中的黑客來訪問使用者的網路。防火牆是在兩個網路之間執行控制策略的協同(包括硬體和軟體)，目的是保護網路不被可疑人員人侵。本質上,它遵從的是一種允許組織之間往來的網路通訊安全機制，提供可控的過濾網通訊，或者只允許授權的通訊。通常,防火牆的物理載體可以是位於內部網或web站點與internet之間的乙個路由器和一台計算機(通常稱為堡壘主機，或是它們的組合,其目的如同乙個安全門，或工作在門前的安全衛士，控制並檢查站點的訪問者。

2、簡單描述防火牆的雙宿主主機體系結構。

雙宿主機是一台具備兩塊nic的計算機，每一塊nic各有乙個ip位址，它採用nat和**兩種安全機制。對從一塊網絡卡上送來的ip包，經過乙個安全檢查模組檢查後，如果合法，就**到另一塊網絡卡上，以實現網路正常通訊;如果不合法，則阻止通訊。兩個網路之間的資料流完全由雙宿主機控制。

雙宿主機防火牆採用主機取代路由器執行安全控制功能，與包過濾防火牆類似。雙宿主機防火牆的最大特點是ip層的通訊被阻止,兩個網路之間的通訊可通過應用層資料共享或應用層**服務來完成,不能直接通訊。內部網和外部網通過應用層資料共享來實現對外部網的訪問。

3、簡單描述防火牆的堡壘主機過濾體系結構。

堡壘主機過濾體系結構的防火牆包括堡壘主機和包過濾路由器。堡壘主機是乙個中心主機，它是連線及隔離內部網和外部網的唯一通道，它有兩個網路介面，分別與內部網路和外部網路相連。包過濾路由器位於內部網路和外部網路之間,過濾規則的配置使得外部主機只能訪問堡壘主機，發往內部網的其他業務則全部被阻塞。對於內部主機來說，由於內部主機和堡壘主機同在乙個內部網路上，所以機構的安全策略可以決定內部系統允許直接訪問外部網,還要求使用配置在堡壘主機上的**服務。當配置路由器的過濾規則,使其僅僅接收來自堡壘主機的內部業務流時，內部使用者就不得不使用**服務了。主機過濾防火牆具有雙重保護，從外網來的訪問只能訪問到堡壘主機，而不允許訪問被保護網路的其他資源，有較高的安全可靠性。並且主機過濾網關能有選擇地允許那些可以信賴的應用程式通過路由器,是一種非常靈活的防火牆。

4、簡單描述防火牆的過濾子網體系結構。

在某些防火牆配置中,設定乙個專門的分離網路，讓外部不可信網路和內部網路都可以訪問,但網路的流量卻不能通過該分離網路在外部網路和內部網路之間流動。這個分網路由內部過濾路由器、外部過濾路由器和堡壘主機構成，該分離網路稱為過濾子網。

5、簡述入侵檢測的概念。

人侵檢測技術是安全設計中的核心技術之一，是網路安全防護的重要組成部分。它是一種主動保護網路和系統免遭非法攻擊的網路安全技術。通過對在計算機和網路上收集到的資料進行分析,檢測到對系統的闖人或闖入的企圖，檢測計算機網路中違反安全策略的行為。

人侵(intrusion)是指潛在的、有預謀的、違背授權的使用者試圖「接入資訊、操縱資訊、致使系統不可靠或不可用」的企圖或可能性。美國國際計算機安全協會(icas)對人侵檢測定義的描述為：通過計算機網路或計算機系統中的若干關鍵點收集資訊並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。違反安全策略的行為有：入侵——非法使用者的違規行為;濫用——使用者的違規行為。進行入侵檢測的軟體與硬體的組合稱為人侵檢測系統(intrusion detection system,ids),它能夠主動保護計算機資訊網路系統免受攻擊，是防火牆、虛擬專用網的進一步深化。它構成乙個主動的、智慧型的網路安全檢測體系,在保護網路安全執行的同時,簡化了系統的管理。

6、簡述入侵檢測系統ids的功能。

人侵檢測系統(ids)一般都具有以下功能:

(1)監測並分析使用者和系統的行為。

(2)檢查系統和網路的漏洞。

(3)評估系統關鍵資源和資料檔案的完整性。

(4)識別已知的攻擊。

(5)分析統計異常行為。

(6)進行日誌管理分析，識別違反安全策略的行為。

7、基於主機的ids有哪些優勢和不足。

基於主機的ids具有以下的優點:

(1)針對某種特定的作業系統設計，有更詳細的特徵資料。基於主機的ids可以設計為專門執行在特定的作業系統上.保護特定的應用程式.由於自標集中,使開發著再考慮影響要保護的特定系統環境的因索，設計出更加具體的特徵，以便準確地識別惡意通訊流。

(2) 非常適用於被加密的和交換的環境。根據加密程式在協議棧中的位置，它可能讓基於網路的ids無法檢測到某些攻擊。基於主機的ids並不具有這個限制。因為當操作(因而也包括了基於主機的ids)接收到來的資料報時,資料序列已經被解密了）。

(3)可以針對某種應用程式。在主機的層次上,ids可以經過設計、修改或者調整有針對性地在主機特定版本的伺服器、ftp伺服器郵件伺服器以及任何其他應用程式上建立特徵資料，而不需分析甚至儲存那些不執行在本系統中的其他應用程式的特徵資料。

(4)可以判斷某種報警是否真的會影響系統。判定某種活動或者模式是否真正影響被保護系統的能力，極大地減少報警的次數。由於ids駐留在系統上，它可以在分析資料流量的同時驗證諸如系統補丁級別、特定檔案是否存在以及系統狀態等資訊。根據系統狀態，ids可以更加準確地判定某種行為是否對系統構成潛在的威脅。

基於主機的ids具有以下的缺點:

(1)基於主機的ids必須在每個被監控的系統中執行乙個ids程序或者 ids應用程

序，對人侵行為的分析工作量將隨著主機數目的增加而增加。

(2) ids使用本地系統的資源。基於主機的ids的執行會消耗主機系統的cpu時間和儲存空間，必然會影響伺服器效能。

(3) ids的關注範圍較窄，不關心固圍的行為。基於主機的ids只能報告它所保護的主機是否被攻擊，根本不監測網路上的情況。

(4) ids本身容易受到攻擊。如果基於主機的ids在本地系統中記錄了報警的資訊，闖人系統的攻擊者就可能有許可權更改和盟途這些資訊。使得安全人員難以發現人侵者以及進行事後處理。

8、基於網路的ids有哪些優勢和不足。

基於網路的ids具有以下的優點:

(1)成本低，它們的部署對現有網路的影響很小。基於網路的ids允許部署在乙個或多個點來檢查所有經過的網路通訊。不需要在各種主機上裝載並管理軟體,大大減少了安全管理的複雜性。

(2)實時檢測和響應。基於網路的ids可以在發生惡意訪問或攻擊的同時將其檢測出來,並很快做出通知和響應。

(3)檢測基於主機系統漏洞的攻擊。它可以看到整個網路的流量，能夠把多個系統受到的攻擊關聯起來。檢測所有流經網路的包的頭部，發現惡意的和可疑的行動跡象。

(4)能夠檢測未成功的攻擊和不良企圖。置於防火牆外面的基於網路的ids可以檢測到利用防火牆後面資源的攻擊,儘管防火牆本身可能會拒絕這些攻擊企圖。基於主機的系

統併不能發現未能到達受防火牆保護的主機的攻擊企圖，而這些資訊對於評估和改進安全策略是十分有意義的。

(5)作業系統無關性。基於網路的ids不依賴主機的作業系統作為檢測資源，而基於主機的系統需要特定的、沒有遭到破壞的作業系統才能正常工作，發揮作用。

基於網路的ids具有以下的缺點:

(1)對加密通訊流量無效。當應用程式之間或者系統之間的網路通訊被加密時,基於網路的ids就不能檢查這些流量了。隨著對通訊流的加密越來越廣泛，這個問題正在成為ids有效操作的乙個突出問題。

(2)對於不通過它的流量無能為力。

(3)必須處理很大數量的資料。隨著網路速度的不斷提高，網路感測器必須能夠跟上網路速度增長的步伐。

(4)對自身主機的情況一無所知。基於網路的ids把注意力集中於網路通訊流，而忽視了發生在主機內部的事件。

9、簡述網路誘騙的概念和作用。

網路誘騙，顧名思義，就是通過誘導和欺騙的方式對網路人侵行為進行牽制、轉移甚至控制。其目的是用特有的特徵吸引人侵者,使人侵者相信系統存在有價值的、可利用的安全弱點,而且具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的),並將人侵者引向這些錯誤的資源,同時對入侵者的各種攻擊行為進行監控、分析並找到有效的對付方法。相對於傳統的防禦方法，網路誘騙是種主動的防禦手段，能夠對攻擊者造成威脅和損害，它可以:

●消耗攻擊者所擁有的資源、加重攻擊者的工作量和迷惑攻擊者;

●掌握攻擊者的行為，跟蹤攻擊者;

●有效地制止攻擊者的破壞行為。

10、簡述網路誘騙系統的體系結構和工作原理。

網路誘騙系統由決策、誘導、欺騙分析等模組組成。決策模組實時地監聽各種事件，包括人侵檢測系統的報警訊號，如某位址收到埠掃瞄；某位址被攻擊等。普通的網路訪問事件，如收到某位址的icmp echo request報文，某位址某埠的發起連線報文等。當決策模組監聽到某事件後,將其與欺騙、誘導資訊庫中的記錄進行比較，先判斷目的位址是否在被保護的範圍內,若是,則根據欺騙、誘導策略決定進行誘導或欺騙。誘導將攻擊者的連線轉向蜜罐系統;欺騙則由欺騙主機生成虛假資訊，傳送給攻擊者，使攻擊者得不到正確的網路資料。系統所作的欺騙和誘導事件都記錄到日誌檔案中，由分析模組進行分析，調整欺騙誘導策略。

網路攻擊與防禦技術期末習題

CSRF攻擊與防禦

xss攻擊與防禦

xss攻擊與防禦

網路攻擊與防禦技術期末習題

CSRF攻擊與防禦

xss攻擊與防禦

xss攻擊與防禦

相關推薦