1、什么是主动攻击？什么是被动攻击？答：主动攻击：攻击者伪装、重放、篡改信息流，甚至造成DoS攻击，试图改写或者添加数据流，改变系统资源或影响系统操作。

被动攻击：攻击者只是观察和分析观察和分析某个协议数据单元，试图窃听或监听数据流，而不篡改信息资源。

2、电子邮件存在哪些安全性问题？答：电子邮件安全问题如下：（1 ）垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。

垃圾邮件会增加网络负荷，影响网络传输速度，占用邮件服务器的空间。

（2 ）诈骗邮件通常指那些带有恶意的欺诈性邮件。

利用电子邮件的快速、便宜，发信人能迅速让大量受害者上当。

（3）邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为，信箱不能承受时就会崩溃。

（4）通过电子邮件传播的病毒通常用VBScript编写，且大多数采用附件的形式夹带在电子邮件中。

当收信人打开附件后，病毒会查询他的通讯簿，给其上所有或部分人发信，并将自身放入附件中，以此方式继续传播扩散。

3、简述包过滤防火墙的过滤原理是什么？答：包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。

这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。

包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则执行丢弃该数据包操作。

在制定数据包过滤规则时，数据包是双向的。

4、答：数字签名通过如下的流程进行：(1) 采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(Message Digest)，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的。

在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性。

(2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。

(3) 这个数字签名将作为报文的附件和报文一起发送给接收方。

(4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。

答：灰鸽子就是一款远程控制和管理计算机的工具。

它的功能有：(1 )对远程计算机文件管理：模枋Win dows资源管理器，可以对文件进行复制、粘贴、删除，重命名、远程运行等，可以上传下载文件或文件夹，操作简单易用。

(2)远程控制命令：查看远程系统信息、剪切板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理、代理服务。

（3）捕获屏幕：不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘传动作送到远程实现实时控制功能！（4 ）视频监控，可以监控远程控制头！,还有语音监听和发送功能！（5）命令广播：可以对自动上线主机进行命令播，如关机、重启、打开网页，筛选符合条件的机等，点一个按钮就可以让N 台机器同时关机或其它操作。

（6 ）键盘记录：可以记录远程计算机通过键盘输入的所有信息。

（7 ）代理服务：可以让服务端开放Socks5 和http 代理服务器。

四、简答题1、简述 IP 欺骗的原理及过程。

答：角色设定：攻击者X、攻击目标A、冒充对象B; A基于IP地址信任B。

IP 欺骗过程为：1）X对B实施巨拒绝服务攻击，使其暂时丧失反应能力；2）X连接A 的某个端口（例如SMTP 等），试探其ISN 变化规律，以估算下一次连接时A 的ISN 值；。

3）X连接A的服务端口，发送SYN数据包，源IP伪装成B，X的ISN为m；4）A向B返回SYN+ACK，A的ISN为n，应答号为m+1 ；5）等待恰当的时间，X向A发送ACK，源IP为B，X的应答号为n+1，其中A的ISN值n是X估算出来的。

2 、、什么是蜜罐？蜜罐的主要技术有哪些？（ 5 分）蜜罐是一种在互联网上运行的计算机系统。

它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

蜜罐的主要技术有网络欺骗、端口重定向、报警、数据控制和数据捕获等。

答：洪泛攻击时利用TCP的三次握手过程实现的，攻击者伪造大量的源IP地址不存在的TCP SYN数据包发送给攻击目标，攻击目标在收到SYN数据包后，会回复SYN+ACK，并等待对方的ACK数据包，因为源IP地址是不存在的，故不会有ACK数据包的到达，连接处于等待状态，并消耗服务器内存及网络资源，导致目标主机无法处理正常请求。

4•一般病毒、木马程序、蠕虫病毒在定义上的区别。

答：(1)计算机病毒的定义为：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

(2) 木马程序的定义为：木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。

(3) 蠕虫病毒的定义为：蠕虫病毒是自包含的程度，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中，蠕虫不将自身附着到宿主程序，它是一种独立只能程度，对网络造成拒绝服务 5.简述异常入侵检测的原理。

异常入侵检测的基本思想是：假定所有的入侵行为都是异常的。

首先建立系统或用户的“正常” 行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为轮廓来判断是否发生了入侵。

6.SQL 注入攻击的过程。

答：寻找注入点，判断数据库类型，构造查询语句，猜解表名、字段名、字段值，寻找后台登陆界面，获取管理员权限。

7. 简述利用 ARP 欺骗进行中间人攻击的过程答：假设通信双方为 A和B。

中间人为M。

中间人攻击的过程为： M冒充B向A发送虚假的 ARP 响应报文，报文内容为 IP B 对应得物理地址为 MAC M，A 受到该报文后更新 ARP 缓存。

同理， M 冒充 A 向 B 发送虚假的 ARP 响应报文，报文内容为 IP A 对应得物理地址为 MAC M ，B 受到该报文后更新 ARP 缓存。

A 向 B 发送数据报时，数据报首部封装的物理地址为MAC M，数据报发送给了 M , M截获数据报内容，再转发给 B。

同理，B向A发送数据报时，数据报首部封装的物理地址为 MAC M，数据报发送给了 M , M截获数据报内容，再转发给A。

A和B之间的通信都经过了中间人M。

论述：就你学过的网络安全知识，综合分析网络上某大的网络安全事件中的安全隐患有哪些？在我们的日常网络行为中，我们自己该如何保护个人信息的安全性？答：我们看到的安全隐患主要有网络安全隐患、物理安全隐患和网络设备自身安全三大类，在进行细分的话可以有设备后门、操作不规范隐患、弱口令、病毒、黑客安全隐患、数据下载和数据存储安全隐患、文件共享和用户权限安全隐患等等在日常网络行为中，要保护个人信息的安全性，我们尽量做到以下几点：（1）经常清理浏览器缓存（2）设置受限站点（3）加密重要的邮件（4）经常更换密码（5）使用加密软件保护硬盘上的重要信息（6）不透露过多的个人信息（7）检查您的电脑是否具有足够的安全措施4、简述分布式拒绝服务攻击的步骤。

对付DDOS 的攻击的方法有哪些？结合实际情况，如果你的系统正在遭受DDOS 攻击，你准备怎么做？答：分布式拒绝服务攻击的步骤：（1）攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。

（2）黑客设法入侵有安全漏洞的主机并获取控制权。

这些主机将被用于放置后门、sniffer 或守护程序甚至是客户程序。

（3）黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。

（4）Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击（5）主机发送攻击信号给被控制计算机开始对目标系统发起攻击。

（6）目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS 攻击成功。

对付DDOS 的攻击的方法：（1）定期扫描现有的网络主节点，清查可能存在的安全漏洞。

对新出现的漏洞及时进行清理。

骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。

（2）在骨干节点上的防火墙的配置至关重要。

防火墙本身能抵御DDOS 攻击和其它一些攻击。

在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。

（3）用足够的机器承受黑客攻击。

这是一种较为理想的应对策略。

如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。

（4 ）使用Inexpress 、Express Forwarding 过滤不必要的服务和端口，即在路由器上过滤假IP。

比如Cisco公司的CEF （Cisco Express Forwarding ）可以针对封包Source IP 和Routing Table 做比较，并加以过滤。

（5 ）充分利用网络设备保护网络资源。

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。

当网络被攻击时最先死掉的是路由器，但其他机器没有死。

死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。

若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。

（6）使用Unicast Reverse Path Forwarding 检查访问者的来源。

它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以精选文档屏蔽。

许多黑客攻击常采用假IP 地址方式迷惑用户，很难查出它来自何处，因此，利用Unicast Reverse Path Forwarding 可减少假IP 地址的出现，有助于提高网络安全性。

（7）限制SYN/ICMP 流量。

用户应在路由器上配置SYN/ICMP 的最大流量来限制SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。