信息安全第 1 章信息安全概述一、选择题1. 信息安全的基本属性是（D）。

A. 机密性B. 可用性C. 完整性D. 上面3项都是2. “会话侦听和劫持技术”是属于（）的技术。

A. 密码分析还原B. 协议漏洞渗透C. 应用漏洞分析与渗透D. DOS攻击4. 从安全属性对各种网络攻击进行分类，阻断攻击是针对（）的攻击。

A. 机密性B. 可用性C. 完整性D. 真实性5. 从安全属性对各种网络攻击进行分类，截获攻击是针对（）的攻击。

A. 机密性B. 可用性C. 完整性D. 真实性6. 从攻击方式区分攻击类型，可分为被动攻击和主动攻击。

被动攻击难以（），然而（）这些攻击是可行的；主动攻击难以（），然而（）这些攻击是可行的。

A. 阻止,检测,阻止,检测B. 检测,阻止,检测,阻止C. 检测,阻止,阻止,检测D. 上面3项都不是8. 拒绝服务攻击的后果是（）。

A. 信息不可用B. 应用程序不可用C. 系统宕机D. 阻止通信E. 上面几项都是10．最新的研究和统计表明，安全攻击主要来自（）。

A. 接入网B. 企业内部网C. 公用IP网D. 个人网11．攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（）。

A. 拒绝服务攻击B. 地址欺骗攻击C. 会话劫持D. 信号包探测程序攻击12．攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（）。

A. 中间人攻击B. 口令猜测器和字典攻击C. 强力攻击D. 回放攻击二、问答题1.请解释5种“窃取机密攻击”方式的含义。

1）网络踩点（Footprinting）攻击者事先汇集目标的信息，通常采用Whois、Finger、Nslookup、Ping等工具获得目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵所做的第一步工作。

2）扫描攻击（Scanning）这里的扫描主要指端口扫描，通常采用Nmap等各种端口扫描工具，可以获得目标计算机的一些有用信息，比如机器上打开了哪些端口，这样就知道开设了哪些网络服务。

黑客就可以利用这些服务的漏洞，进行进一步的入侵。

这往往是黑客入侵所做的第二步工作。

3）协议栈指纹（Stack Fingerprinting）鉴别（也称操作系统探测）黑客对目标主机发出探测包，由于不同OS厂商的IP协议栈实现之间存在许多细微差别，因此每种OS都有其独特的响应方法，黑客经常能够确定目标主机所运行的OS。

这往往也可以看作是扫描阶段的一部分工作。

4）信息流嗅探（Sniffering）通过在共享局域网中将某主机网卡设置成混杂（Promiscuous）模式，或在各种局域网中某主机使用ARP欺骗，该主机就会接收所有经过的数据包。

基于这样的原理，黑客可以使用一个嗅探器（软件或硬件）对网络信息流进行监视，从而收集到帐号和口令等信息。

这是黑客入侵的第三步工作。

5）会话劫持（Session Hijacking）所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。

这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。

2.请解释5种“非法访问”攻击方式的含义。

1）口令破解攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令，也可通过猜测或窃听等方式获取口令，从而进入系统进行非法访问，选择安全的口令非常重要。

这也是黑客入侵中真正攻击方式的一种。

*&@$NDFD122) IP欺骗攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任，这主要针对Linux UNIX下建立起IP地址信任关系的主机实施欺骗。

这也是黑客入侵中真正攻击方式的一种。

3) DNS欺骗当DNS服务器向另一个DNS服务器发送某个解析请求（由域名解析出IP地址）时，因为不进行身份验证，这样黑客就可以冒充被请求方，向请求方返回一个被篡改了的应答（IP地址），将用户引向黑客设定的主机。

这也是黑客入侵中真正攻击方式的一种。

4) 重放（Replay）攻击在消息没有时间戳的情况下，攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来，过一段时间后再发送出去。

5) 特洛伊木马（Trojan Horse）把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，而一旦用户触发正常程序，黑客代码同时被激活，这些代码往往能完成黑客早已指定的任务（如监听某个不常用端口，假冒登录界面获取帐号和口令等）。

3.请解释下列各种“恶意攻击DoS”的方式：Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS攻击1）Ping of Death在早期操作系统TCP/IP协议栈实现中，对单个IP报文的处理过程中通常是设置有一定大小的缓冲区（65535Byte），以应付IP分片的情况。

接收数据包时，网络层协议要对IP 分片进行重组。

但如果重组后的数据报文长度超过了IP报文缓冲区的上限时，就会出现溢出现象，导致TCP/IP协议栈的崩溃。

2）泪滴（Teardrop）协议栈在处理IP分片时，要对收到的相同ID的分片进行重组，这时免不了出现一些重叠现象，分片重组程序要对此进行处理。

对一个分片的标识，可以用offset表示其在整个包中的开始偏移，用end表示其结束偏移。

对于其他一些重叠情况，分片重组程序都能很好地处理，但对于一种特殊情况，分片重组程序就会出现致命失误，即第二个分片的位置整个包含在第一个分片之内。

分片重组程序中，当发现offset2小于end1时，会将offset2调整到和end1相同，然后更改len2：len2=end2-offset2，在这里，分片重组程序想当然地认为分片2的末尾偏移肯定是大于其起始偏移的，但在这种情况下，分片2的新长度len2变成了一个负值，这在随后的处理过程中将会产生致命的操作失误。

3）SYN Flood一个正常的TCP连接，需要经过三次握手过程才能真正建立。

但是如果客户端不按常规办事（假定源IP根本就是一个不会产生响应的虚假地址），并不向服务器最终返回三次握手所必须的ACK包，这种情况下服务器对于未完成连接队列中的每个连接表项都设置一个超时定时器，一旦超时时间到，则丢弃该表项。

但黑客并不会只发送一次这样的SYN包，如果他源源不断发送，每个SYN包的源IP都是随机产生的一些虚假地址（导致受害者不可能再进行IP过滤或追查攻击源），受害者的目标端口未完成队列就不断壮大，因为超时丢弃总没有新接收的速度快，所以直到该队列满为止，正常的连接请求将不会得到响应。

4）Land Attack如果向Windows 95的某开放端口（例如139端口）发送一个包含SYN标识的特殊的TCP 数据包，将导致目标系统立即崩溃。

做法很简单，就是设置该SYN包的源IP为目标主机的IP，源端口为目标主机受攻击的端口。

5）Smurf Attack黑客以受害主机的名义向某个网络地址发送ICMP echo请求广播，收到该ICMPecho请求的网络中的所有主机都会向“无辜”的受害主机返回ICMP echo响应，使得受害主机应接不暇，导致其对正常的网络应用拒绝服务。

6）DDoS攻击DDoS攻击是DoS攻击的一种延伸，它之所以威力巨大，是因为其协同攻击的能力。

黑客使用DDoS工具，往往可以同时控制成百上千台攻攻击源，向某个单点目标发动攻击，它还可以将各种传统的DoS攻击手段结合使用。

了解下列各种攻击方式：UDP Flood、 Fraggle Attack、电子邮件炸弹、缓冲区溢出攻击、社交工程1）UDP Flood有些系统在安装后，没有对缺省配置进行必要的修改，使得一些容易遭受攻击的服务端口对外敞开着。

Echo服务（TCP7和UDP7）对接收到的每个字符进行回送；Chargen （TCP19和UDP19）对每个接收到的数据包都返回一些随机生成的字符（如果是与Chargen服务在TCP19端口建立了连接，它会不断返回乱字符直到连接中断）。

黑客一般会选择两个远程目标，生成伪造的UDP数据包，目的地是一台主机的Chargen 服务端口，来源地假冒为另一台主机的Echo服务端口。

这样，第一台主机上的Chargen服务返回的随机字符就发送给第二台主机的Echo服务了，第二台主机再回送收到的字符，如此反复，最终导致这两台主机应接不暇而拒绝服务，同时造成网络带宽的损耗。

2）Fraggle Attack它对Smurf Attack做了简单的修改，使用的是UDP应答消息而非ICMP。

3）电子邮件炸弹黑客利用某个“无辜”的邮件服务器，持续不断地向攻击目标（邮件地址）发送垃圾邮件，很可能“撑破”用户的信箱，导致正常邮件的丢失。

4）缓冲区溢出攻击十多年来应用非常广泛的一种攻击手段，近年来，许多著名的安全漏洞都与缓冲区溢出有关。

所谓缓冲区溢出，就是由于填充数据越界而导致程序原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权。

5）社交工程（Social Engineering）一种低技术含量破坏网络安全的有效方法，但它其实是高级黑客技术的一种，往往使得处在看似严密防护下的网络系统出现致命的突破口。

这种技术是利用说服或欺骗的方式，让网络内部的人（安全意识薄弱的职员）来提供必要的信息，从而获得对信息系统的访问。

第 2 章信息安全体系结构一、选择题1. 网络安全是在分布网络环境中对（）提供安全保护。

A. 信息载体B. 信息的处理、传输C. 信息的存储、访问D. 上面3项都是4. 用于实现身份鉴别的安全机制是（）。

A. 加密机制和数字签名机制B. 加密机制和访问控制机制C. 数字签名机制和路由控制机制D. 访问控制机制和路由控制机制8. ISO安全体系结构中的对象认证服务，使用（）完成。

A. 加密机制B. 数字签名机制C. 访问控制机制D. 数据完整性机制9. CA属于ISO安全体系结构中定义的（）。

A. 认证交换机制B. 通信业务填充机制C. 路由控制机制D. 公证机制10. 数据保密性安全服务的基础是（）。

A. 数据完整性机制B. 数字签名机制C. 访问控制机制D. 加密机制11. 可以被数据完整性机制防止的攻击方式是（）。

A. 假冒源地址或用户的地址欺骗攻击B. 抵赖做过信息的递交行为C. 数据中途被攻击者窃听获取D. 数据在途中被攻击者篡改或破坏三、问答题1.了解ISO/OSI中定义的8种特定的安全机制以及各种安全机制和安全服务的关系。

安全服务可以单个使用，也可以组合起来使用，上述的安全服务可以借助以下的安全机制来实现：（1）加密机制：借助各种加密算法对存储和传输的数据进行加密；（2）数字签名：使用私钥签名，公钥进行证实；（3）访问控制机制：根据访问者的身份和有关信息，决定实体的访问权限；（4）数据完整性机制：判断信息在传输过程中是否被篡改过；（5）鉴别交换机制：用来实现对等实体的鉴别；（6）通信业务填充机制：通过填充冗余的业务流量来防止攻击者对流量进行分析；（7）路由选择控制机制：防止不利的信息通过路由，如使用网络层防火墙；（8）公证机制：由第三方参与数字签名，它基于通信双方对第三方都绝对相信。