信息安全测试题答案.doc

简答题1，信息及信息系统的安全属性可以分解为具体哪些，简单说明其含义1、物理安全：是指对网络与信息系统的物理装备的保护。2、运行安全：是指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等；所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等；主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。 3、数据安全：是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等；所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等；主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。 4、内容安全：是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。在此，被阻断的对象可以是通过内容可以判断出来的可对系统造成威胁的脚本病毒；因无限制扩散而导致消耗用户资源的垃圾类邮件；导致社会不稳定的有害信息，等等。主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等；所面对的难题包括信息不可识别（因加密）、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等；主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制等。 5、信息对抗：是指在信息的利用过程中，对信息熵的真实性的隐藏与保护，或者攻击与分析。主要涉及信息熵的机密性、完整性、特殊性等；所面对的主要问题包括多角度综合分析、攻击或压制信息的传递、用无用信息来干扰信息熵的本质；主要的处置手段是消隐重要的局部信息、加大信息获取能力、消除信息的不确定性等2，举例说明凯撒密码和Vigenere密码，比较其抗密码分析攻击的能力凯撒密码原理：明文：A B C D E F G H I L K L M N O P Q R S T U V W X Y Z密文：d e f g h i j k l m n o p q r s t u v w x y z a b c 如果这份指令被敌方截获，也将不会泄密，因为字面上看不出任何意义。 这种加密方法还可以依据移位的不同产生新的变化，如将每个字母左19位，就产生这样一个明密对照表： 明文:a b c d e f g h i j k l m n o pq r s t u v w x y z 密文:T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 在这个加密表下，明文与密文的对照关系就变成： 明文：b a i d u 密文：UTB WNVigenere密码原理：比如明文为JACKOZOO, 秘匙为LOVE, 则我们的密文是这样得到的:J对应的密文我们查秘匙为L, 则在第L行中, 找到与第一行中的J对应的字母为 U.A对应的密文我们查秘匙为O, 则在第O行中, 找到与第一行中的A对应的字母为 O.C对应的密文我们查秘匙为V, 则在第V行中, 找到与第一行中的C对应的字母为 X.K对应的密文我们查秘匙为E, 则在第E行中, 找到与第一行中的K对应的字母为 O.O对应的密文我们查秘匙为L, 则在第L行中, 找到与第一行中的O对应的字母为 Z. (如果秘匙不够了,我们就循环使用秘匙, LOVELOVELO . )Z对应的密文我们查秘匙为O, 则在第O行中, 找到与第一行中的Z对应的字母为 N.O对应的密文我们查秘匙为V, 则在第V行中, 找到与第一行中的O对应的字母为 J.O对应的密文我们查秘匙为E, 则在第E行中, 找到与第一行中的O对应的字母为 S.由此得到JACKOZOO在以LOVE作为秘匙的情况下, 其密文为: UOXOZNJS.比较：维吉尼亚密码（类似于今天我们所说的置换密码）引入了“密钥”的概念，即根据密钥来决定用哪一行的密表来进行替换，以此来对抗字频统计。 恺撒系统的密码是自己选的一个单词。凯撒密码的密度是很低的，只需简单地统计字频就可以破译。这种方法比简单移位系统安全，可以在你的日记中使用。但是，如果加密的文字有（大约）400字符以上，那么攻击者手工花费1天时间即可破解，因为英文和其它语言中每个字母都有一定的使用频率，破解者根据这些频率就可以破译3，简要说明公钥密码体制的思想，其相对于对称密码体制的优点是什么？公开密钥密码体制是现代密码学的最重要的发明和进展。一般理解密码学(Cryptography)就是保护信息传递的机密性。开密钥密码体制对这两方面的问题都给出了出色的解答，并正在继续产生许多新的思想和方案。在公钥体制中，加密密钥不同于解密密钥。人们将加密密钥公之于 众，谁都可以使用；而解密密钥只有解密人自己知道。迄今为止的所有公钥密码体系中，RSA系统是最著名、使用最广泛的一种。相对于对称密码体制的优点：(1) 发送者用加密密钥 PK 对明文 X 加密后，在接收者用解密密钥 SK 解密，即可恢复出明文(2) 加密密钥是公开的，但不能用它来解密(3) 在计算机上可容易地产生成对的 PK 和 SK。 (4) 从已知的 PK 实际上不可能推导出 SK，即从 PK 到 SK 是“计算上不可能的”。 (5) 加密和解密算法都是公开的4，举例说明RSA算法，根据其密码生成和加解密计算过程，说明RSA算法抗密码分析的原理。RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。 RSA的算法涉及三个参数，n、e1、e2。 其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。 e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1)*(q-1)互质；再选择e2，要求(e2*e1)mod(p-1)*(q-1)=1。 (n及e1),(n及e2)就是密钥对。 RSA加解密的算法完全相同,设A为明文，B为密文，则：A=Be1 mod n；B=Ae2 mod n； e1和e2可以互换使用，即： A=Be2 mod n；B=Ae1 mod n;RSA的选择密文攻击: RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装 (Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信 息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保 留了输入的乘法结构： ( XM )d = Xd *Md mod nRSA的公共模数攻击。 若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险 的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互 质，那末该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥 为e1和e2，公共模数是n，则： C1 = Pe1 mod n C2 = Pe2 mod n 密码分析者知道n、e1、e2、C1和C2，就能得到P。 因为e1和e2互质，故用Euclidean算法能找到r和s，满足： r * e1 + s * e2 = 1 假设r为负数，需再用Euclidean算法计算C1(-1)，则 ( C1(-1) )(-r) * C2s = P mod n5，说明设计散列函数（Hash）的目标要求及其应用。 散列函数的选择有两条标准：简单和均匀。简单指散列函数的计算简单快速；均匀指对于关键字集合中的任一关键字，散列函数能以等概率将其映射到表空间的任何一个位置上。也就是说，散列函数能将子集K随机均匀地分布在表的地址集0，1，m-1上，以使冲突最小化。Hash算法在信息安全方面的应用主要体现在以下的3个方面：1， 文件校验：2， 数字签名3， 鉴权协议6，图示说明数字签名的方法，并分析其有效性。Hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢，所以在数字签名协议中，单向散列函数扮演了一个重要的角色。在这种签名协议中，双方必须事先协商好双方都支持的Hash函数和签名算法。签名方先对该数据文件进行计算其散列值，然后再对很短的散列值结果-如Md5是16个字节，SHA1是20字节，用非对称算法进行数字签名操作。对方在验证签名时，也是先对该数据文件进行计算其散列值，然后再用非对称算法验证数字签名。对 Hash 值，又称数字摘要进行数字签名，在统计上可以认为与对文件本身进行数字签名是等效的。而且这样的协议还有其他的优点： 首先，数据文件本身可以同它的散列值分开保存，签名验证也可以脱离数据文件本身的存在而进行。 再者，有些情况下签名密钥可能与解密密钥是同一个，也就是说，如果对一个数据文件签名，与对其进行非对称的解密操作是相同的操作，这是相当危险的，恶意的破坏者可能将一个试图骗你将其解密的文件，充当一个要求你签名的文件发送给你。因此，在对任何数据文件进行数字签名时，只有对其Hash值进行签名才是安全的。7，说明数字证书的结构和PKI的基本构成 数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、 可信赖的第三方，其作用是至关重要的。数字证书的结构：1.Certificate(证书)：(1).Common Name(证书所有人姓名，简称CN，其实就是证书的名字，如第一幅图看到的：ABA.ECOMRoot.)(2).Version(版本，现在一般是V3了)(3).Issuer(发证机关)(4).Validity(有效日期)(5).Subject(证书信息，你会发现它和Issuer里面的内容是一样的)(6).Subjects Public Key Info(证书所有人公钥，刚才所说的公钥就是这个!)(7).Extension(扩展信息)(8).Certificate Signature Algorithm(公钥加密算法)、以上这几项就是上面所说的证书内容(F)。2.Certificate Signature Algorithm: 这是描述证书的加密算法，就是上所说的加密算法(A)，看它的Fireld Value，一般会写：PKCS #1 SHA-1 With RSA Encryption3.Certificate Signature Value: PKI的基本构成：完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。 但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。 通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公 钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是 数字证书机制。8，比较说明自主访问控制、强制访问控制、基于角色访问控制策略的差别和适用场景。自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限 强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。基于角色的访问控制，是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所 有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担 任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。自主访问控制（DAC） 自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。自主访问控制中，用户可以针对被保护对象制定自己的保护策略。 每个主体拥有一个用户名并属于一个组或具有一个角色 每个客体都拥有一个限定主体对其访问权限的访问控制列表（ACL） 每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制在商业环境中，你会经常遇到自主访问控制机制，由于它易于扩展和理解。大多数系统仅基于自主访问控制机制来实现访问控制，如主流操作系统(Windows NT Server, UNIX 系统)，防火墙（ACLs）等。强制访问控制（MAC） 用来保护系统确定的对象， 对此对象用户不能进行更改。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据 和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事 用途。 在强制访问控制系统中，所有主体（用户，进程）和客体（文件，数据）都被分配了安全标签，安全标签标识一个安全等级。 主体 (用户, 进程) 被分配一个安全等级 客体 (文件, 数据) 也被分配一个安全等级 访问控制执行时对主体和客体的安全级别进行比较9，结合Windows7操作系统，说明其所实现的安全机制及其作用。Windows 7中增加或改进的十大安全功能。1、Action Center 在Vista中，我们可以通过控制面板中的安全中心，对系统的安全特性进行设置。而在Windows 7中已经没有了安全中心的影子。这是因为安全中心已经融入到了全新的Action Center之中了。Action Center中除了包括原先的安全设置，还包含了其它管理任务所需的选项，如Backup, Troubleshooting And Diagnostics以及 Windows Update等功能。2、UAC的改变 UAC（User Account Control），中文翻译为用户帐户控制，是微软在Windows Vista和Windows7中引用的新技术，主要功能是进行一些会影响系统安全的操作时，会自动触发UAC，用户确认后才能执行。因为大部分的恶意软 件、木马病毒、广告插件在进入计算机时都会有如：将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作，而这些操作都会触发UAC，用户都可以在UAC提示时来禁止这些程序的运行。能够触发UAC的操作包括：修改Windows Update配置；增加或删除用户帐户；改变用户的帐户类型；改变UAC设置；安装ActiveX；安装或卸载程序；安装设备驱动程序；修改和设置家长控制；增加或修改注册表；将文件移动或复制到Program Files或是Windows目录；访问其他用户目录 UAC在Windows 7中的完善，在Windows 7中，加入了UAC的等级设置功能，分别对应4个级别： 最高级别：在高级级别下，“始终通知”(即完全开启)，在该级别下，用户安装应用程序、对软件进行升级、应用程序在任何情况下对操作系统进行更改、更改 Windows设置等情况，都会弹出提示窗口(并启用安全桌面)，请求用户确认。由此可见该级别是最安全的级别，但同时也是最“麻烦”的级别，适用于多人 共用一台电脑的情况下，限制其他标准用户，禁止其随意更改系统设置。 默认级别：在默认级别下，只有在应用程序试图改变计算机设置时才会提示用户，而用户主动对Windows进行更改设置则不会提示。同时，在该模式下将启用 安全 桌面，以防绕过UAC更改系统设置。可以看出，默认级别可以既不干扰用户的正常操作，又可以有效防范恶意程序在用户不知情的情况下修改系统设置。一般的用 户都可以采用该级别设置。 比默认级别稍低的级别：与默认级别稍有不同的是该级别将不启用安全桌面，也就是说有可能产生绕过UAC更改系统设置的情况。不过一般情况下，如果使用户启动某些程序而 需要 对系统进行修改，可以直接运行，不会产生安全问题。但如果用户没有运行任何程序却弹出提示窗口，则有可能是恶意程序在试图修改系统设置，此时应果断选择阻 止。该级别适用于有一定系统经验的用户。 最低的级别：最低的级别则是关闭UAC功能(必须重新启动后才能生效)。在该级别下，如果是以管理员登录，则所有操作都将直接运行而不会有任何通知，包括病 毒或 木马对系统进行的修改。在此级别下，病毒或木马可以任意连接访问网络中的其他电脑、甚至与互联网上的电脑进行通信或数据传输。可见如果完全关闭UAC并以 管理员身份登录，将严重降低系统安全性。此外，如果是以标准用户登录，那么安装、升级软件或对系统进行修改和设置，将直接被拒绝而不弹出任何提示，用户只 有获得管理员权限才能进行。可见完全关闭UAC并以标准用户登录，各种操作和设置也非常不方便，因此建议不要选择该级别。 UAC虽然经常安装软件的人很烦，但UAC的作用却不容小觑。不得不承认微软对于操作系统的理念是很超前的，所以经常会搞出一些虽然很棒却很尴 尬的 东西，就好像当年的VISTA，在人们开始接受Windows 7的今天，再回头去看Vista，才越来越意识到VISTA其实是一个很不错的操作系统，只 不过是生不逢时。 在木马病毒变种越来越多，越来越快的今天，杀毒软件对系统安全的作用越来 越有限，我们越来越需要一些全方位的系统防护软件，如目前很多杀毒软件已经加入的防火墙、防间谍、保护敏感数据、文件粉碎机等等。微软在Windows 7更好的完善了安全机制，提供了Windows Update、内置防火 墙、Windows Defender、UAC、MSE、Bitlocker等安全功能组件。其中：l Windows Update可以更新系统补丁，及时修复系统漏洞；l 防火墙可以阻止一些网络攻击和信息泄露；l Windows Defender可以清除一些已被定义的恶意软件；l UAC可以协助用户阻止一些未定义的恶意软件、木马的运行；l MSE是微软官方提供的免费杀毒软件，可以清除病毒；l Bitlocker是微软给企业用户及Windows Ultimate（旗舰版）用户提供的专业级加密系统，可以对敏感数据进行加密，防止资料和数据外泄。Windows7自带的如系统还原和备份、策略组、PowerShell等功能，都可以对系统安全起到很好的作用。3、改进的BitLocker 在Vista 中我很少用BitLocker。因为第一，这种技术只能加密操作系统分区。这对于笔记本来说很好，但是对于我的台式机来说没有什么用处，因为台式机所处的 位置非常安全。Service Pack 1 增加了加密其它磁盘的功能，效果也不错，但是只能用于硬盘。而我所需的是加密移动硬盘或者U盘的功能，因为这种存储介质具有移动性，更容易丢失。 在Windows 7中我们看到了喜人的改进。 BitLocker已经可以对移动磁盘进行加密了，并且操作起来很简单。我们只需要在控制面板中打开BitLocker ,选择我们需要加密的磁盘，然后点击Turn On BitLocker即可。可移动存储设备会显示在BitLocker To Go 分类中。4、DirectAccess Windows 7带给我们的一个全新功能是DirectAccess，它可以让远程用户不借助VPN就可以通过互联网安全的接入公司的内网。管理员可以通过应用组策略设 置以及其它方式管理远程电脑，甚至可以在远程电脑接入互联网时自动对其进行更新，而不管这台电脑是否已经接入了企业内网。DirectAccess 还支持多种认证机制的智能卡以及IPsec和IPv6用于加密传输。5、Biometric安全特性 毫无疑问，最安全的身份鉴定方法是采用生物学方法，或者说采用指纹，视网膜扫描，DNA以及其它独特的物理特征进行验证。虽然Windows 目前还没有计划内置DNA样本检测功能，但是它确实加入了指纹读取功能。Windows 支持用户通过指纹识别的方式登陆系统，而且当前很多预装 Vista 的笔记本电脑都带有指纹扫描器，不过在Vista中，指纹识别功能都是通过第三方程序实现的。而在Windows 7中已经内置的指纹识别功能。6、AppLocker 在XP 和Vista中都带有软件限制策略，这是一个很不错的安全措施。管理员可以使用组策略防止用户运行某些可能引发安全风险的特定程序。不过在这两个系统中，软件限制策略的使用频率很低，因为使用起来并不简单。 Windows 7 将这种概念得以改良，发展出了名为AppLocker的功能。 AppLocker 也被植入在 Windows Server 2008 R2中。它使用简单，并且给予管理员更灵活的控制能力。管理员可以结合整个域的组策略使用AppLocker ，也可以在单机上结合本地安全策略使用这一功能。Win7 同时还支持传统的软件限制策略，因为AppLocker并不是集成在所有版本的Windows 7中的。7、Windows Filtering Platform (WFP) Windows Filtering Platform (WFP)是在Vista中引入的API集。在Windows 7中，开发人员可以通过这套API集将Windows防火墙嵌入他们所开发的软件中。 这种情况使得第三方程序可以在恰当的时候关闭Windows 防火墙的某些设置。8、PowerShell v2 Windows 7 集成了PowerShell v2，这个命令行界面可以让管理员通过命令行的形式管理多种设置，包括组策略安全设置。管理员还可以将多个命令行结合起来组成脚本。对于同一任务来说，使用命令行的方式要比图形界面更节省步骤。9、DNSSec Windows 7支持DNSSec (域名系统安全),它将安全性扩展到了 DNS平台。有了DNSSec，一个DNS区域就可以使用数字签名技术，并通过这种技术鉴定所收到的数据的可信度。DNS 客户端并不在自身实施DNS 授权，而是等待服务器返回授权结果。10、Internet Explorer 8 Windows 7 所带的浏览器是IE8，其所提供的安全性包括：n *SmartScreen Filter 代替/扩展了IE7中的网络钓鱼过滤器。n *The XSS Filter 防御跨界脚本攻击 。n 域名高亮 对 URL 的重点部分进行强调，从而让用户更清楚自己所访问的站点是否正确。n *更好的针对 ActiveX 的安全控制。n *数据执行保护 (DEP)默认为开启状态。10，说明X-Scan扫描器进行端口扫描和弱口令扫描的原理 scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初 学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本 看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以 支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入 211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范 围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进 行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高 了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。在图形界面下我们看到了程序连接地址“.xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关 参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络 上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如 下： Initialize dynamic library succeed. Scanning 211.100.8.87 . 211.100.8.87: Scaning port state . 211.100.8.87: Port 21 is listening! 211.100.8.87: Port 25 is listening! 211.100.8.87: Port 53 is listening! 211.100.8.87: Port 79 is listening! 211.100.8.87: Port 80 is listening! 211.100.8.87: Port 110 is listening! 211.100.8.87: Port 3389 is listening! 211.100.8.87: Port scan completed, found 7. 211.100.8.87: All done.这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有 21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解 释会在后续给出)然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80 端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。11，比较说明计算机病毒、蠕虫、木马、恶意移动代码的特征病毒：病毒一般都具有自我复制的功能，同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中，当被感染文件执行操作的时候，病毒就会自我繁殖（例如：打开一个文件，运行一个程序，点击邮件的附件等）。由于设计者的目的不同，病毒也拥有不同的功能，一些病毒只是用于恶作剧，而另一些则是以破坏为目的，还有一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功能。蠕虫：是一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副 本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输 （在几秒中内从地球的一端传送到另一端）。木马：这类病毒是根据古希腊神话中的木马来命名的，这种程序从表面上看没有什么，但是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。特洛伊木马可以分为以下三个模式： * 通常潜伏在正常的程序应用中，附带执行独立的恶意操作 * 通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作 * 完全覆盖正常的程序应用，执行恶意操作 大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器端客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马所具备的另一个是发动DdoS(拒绝服务)攻击。还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹，例如使恶意进程不在进程列表中显示出来。另一些木马用于收集信息，例如被感染电脑的密码；木马还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。恶意移动代码：移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，javascript，和VBScript。12，简要说明防火墙的作用及其技术途径防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等个人防火墙的两种技术实现：墙的工作是监控网络进出的数据流，对用户认为危险或者有害的数据流向进行禁止或者监控，其核心功能是网络数据包的监控于分析过滤。从底层 看，NDIS的中间驱动由于是在网卡驱动程序和传输驱动程序之间插入了一层，所以可以截获较为底层的封包，可以完成更为低级(最底层的是在网卡驱动程序层 截获，但前面阐述过在网卡驱动程序层做网络数据包截获没有实现价值)的操作，不会有网络数据包从这里旁路，因此其最大的优点是安全系数高，但需要指出的 是，NDIS层次上的网络操作不采用标准的I/O模式(IRP)形式，因此不能确定某个网络操作是由哪个进程引起的。个人用户看不到网络数据是源于哪个进 程，就不容易让用户自定义过滤包规则，这是个非常大的遗憾和缺陷。当然。越靠近底层的驱动程序编写可移植性和健壮性越难保证，编码复杂也是其一个缺点。 过滤驱动程序，由于采用标准的Windows I/O请求(IRP)，它没有NDIS中间层驱动的不能得到进程信息的缺点，但由于它工作在传输驱动程序Tcpip.sys之上，由Tepip.sys接 收后直接处理的数据包是不会传递到上层TDI过滤驱动程序的，如ICMP协议的应答包。Ping和Traeert就是利用ICMP来探测网络的可达性和跟 踪路由。NDIS中间驱动和TDI过滤驱动，都是32位Windows平台上才提供的方法。整个NDIS规范和TDI的概念，是在Win.dows NT平台上提出和得到发展的，以后的Windows 2000，Windows XP都支持，但以前的Windows 98和WindOWS Me都不支持。因此如果要开发一个通用的Windows平台下的个人防火墙软件，这两种方法是不适合的。对于用户态下的SPI方法，它使用DLL监控使用Winsock调用进行网络通信的网络数据包。它工作在TDI客户之上，所有的用户进程之下， 因此对于用户进程交给它的网络请求和意图非常清楚在经过底层的分段(IP分段)之前，对用户进程的行为，目的可以更直观的了解，非常适合做内容过滤。 并且其截获的所有Winsock调用广泛地被所有Windows平台支持。另外编程相对简单，平台适应性好。其最大的缺点是有的网络程序使用TDI接口提 供的一些函数例程直接发起通信的发送和接收，用户态的数据包截获技术对此类程序无能为力。另外，和TDI方法一样，对那些由Tcpip.sys接收后直接 处理的数据包，如利用ICMP协议的应答包进行探测网络可达性的Ping和Tracert等，由于它位于TDI的更上层，用户态的数据包截获技术对此旁路 无能为力。合项目目标，要实现通用于Windows平台的个人防火墙系统只有采用SPI包过滤技术路线进行开发。另外，个人防火墙系统应能详细记录各种 进程的访问网络信息，而应用层截获能最早得到应用层进程的发送数据包信息，能得到最完整的接收方发送的数据包信息，因而能实现记录最丰富网络访问信息的个 人防火墙系统。或者可以认为，若须记录最详细的进程访网信息，必须使用SPI包过滤技术。千兆防火墙的两种技术实现要实现真正的千兆防火墙，目前的技术途径基本上有两条：一种是采用网络处理器，另一种是采用ASIC。下面我们来分析一下这两种技术架构各自的特点。网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分组数 据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结 构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。它具有以下几个方面的 特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。基于网络处理器架构的防火墙与基 于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙 所需要的大量资金和技术积累，最近在国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。第二种方案是采用基于ASIC技术的架构。Netscreen是采用该技术的代表厂家。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水 线，优化存储器等资源的利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干级应用的技术方案。Netscreen公司也因此取得了令人瞩目的成功。但 ASIC技术开发成本高、开发周期长且难度大，一般的防火墙厂商难以具备相应的技术和资金实力。13，说明入侵检测系统的部署模式、数据来源和检测方法。 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的 IntrusionDetectionWorkingGroup（IDWG）和 CommonIntrusionDetectionFramework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。 CIDF阐述了一个入侵检测系统（IDS）的通用模型。 它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表 示；响应单元（Responseunits），用R盒表示；事件数据库（Eventdatabases），用D盒表示。 CIDF模型的结构如下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D 盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（generalizedIntrusiondetectionobjects，通用入侵检 测对象）和CISL（commonintrusionspecificationlanguage，通用入侵规范语言）。如果想在不同种类的A、E、D及 R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。技术划分： （1）异常检测模型（AnomalyDetection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受 的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。 因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 （2）误用检测模型（MisuseDetection）：检测与已知的不可接受 行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的 用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。 基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。 混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。数据来源：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。检测方法：特征检测，统计检测