武大计算机学院网络安全监管 12年试卷

一、 填空题1、网络安全监管对（网络设备监控、网络行为）异常分析和取证审计的理论和技术。 2、物理安全是保障网络设备可靠和安全运行的基础，其威胁包括（设备失窃，设备干扰、设备代理）。 3、网络安全威胁

一、 填空题

1、网络安全监管对（网络设备监控、网络行为）异常分析和取证审计的理论和技术。 2、物理安全是保障网络设备可靠和安全运行的基础，其威胁包括（设备失窃，设备干扰、设备代理）。 3、网络安全威胁有（钓鱼）等。 4、网络协议实现互通互联，其必要条件是通信双方都知道对方的地址。在互联网环境，可以标志通信实体的地址有（ip 地址、域名、端口）等。 5、NA T （Network Address Translation）技术分为两种：（静态NAT 、动态NAT ）。 6、列出四种常见TCP 服务及其端口号（二、 名词解释 1、 ARP 欺骗:ARP（Address Resolution Protocol）是地址解析协议，将网络层的IP 地址解析为数据链路层的物理地址(不一定指MAC 地址) 。局域网中，黑客经过收到ARP Request 广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A ，告诉B (受害者) 一个假地址，使得B 在发送给A 的数据包都被黑客截取，而A, B 浑然不知。预防方法：1. 定位ARP 攻击源头；2. 应用NBTSCAN ，有“ARP 攻击”时，可以找到装有ARP 攻击的PC 的IP 、机器名和MAC 地址。 3. 防御方法：(1)使用可防御ARP 攻击的核心交换机，绑定端口-MAC-IP ，限制ARP 流量，及时发现并自动阻断ARP 攻击端口，合理划分VLAN ，彻底阻止盗用IP 、MAC 地址，杜绝ARP 的攻击。 (2)对于经常爆发病毒的网络，进行Internet 访问控制，限制用户对网络的访问。(3)在发生ARP 攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs 进行分析，TrendLabs 将以最快的速度提供病毒码文件，从而进行ARP 病毒的防御。 三、 简答题 1、 两个距离相近的无线设备希望互相通信，但他们没有任何共享的秘密作为认证信息。试给出一种安全通信的思路，并讨论其可行性。（10分） ：见网络安全监管ppt: 020-Good Neighbor- Ad hoc Pairing of Nearby Wireless Devices by Multiple Antennas 2、 节点D1（IP 地址为192.12.15.100）和D2（IP 地址为192.12.15.200）位于同一个子网（子网掩码为255.255.255.0）内，网关G 的地址为192.12.15.1，D1、D2、G 的硬件地址分别为HW1/HW2/HWG。试描述D1通过Ping 测试D2是否开机的通信数据包或数据帧（假设所有节点的ARP cache为空）。（10分） ：自己抓包看吧 3、 在（2）的环境下，D1想让D2通过网关访问www.whu.edu.cn 的流量都经过D1，试设计一种攻击实现D1的目标，以及讨论如何检测该攻击。（10分）

D1欺骗D2自己是网关，欺骗G （网关）自己是D1，然后D1要实现转发功能。 4、 攻击者可能通过邮件方式发送含木马和病毒的邮件附件，而且该附件中的文件还可以自动执行。试分析该攻击的原理，并给出一种防御技术。（10分） 利用邮件客户端的漏洞 5、 DDoS 攻击是一种常见的网络拒绝服务攻击，其发生的攻击基本原因在于网络设备没有审计数据报文的源地址。试从网络流的角度设计一种检测DDoS 攻击的算法，并给出一种部署方案，讨论该方案的可行性。（10分） 利用SYN 代理，标记恶意源ip 四、 分析题 1、 DNSPod 免费为暴风影音等提供域名服务。18

日，DNSPod 遭受DDoS 攻击，DNSPod 管理员关闭其域名服务。19日，暴风影音用户大量访问DNSPod 的域名服务，导致互联网络瘫痪。试分析该事件产生的原因，以及如何预防该类事件的发生。

2、 网络过滤技术或互联网防火墙。作为一个企业信息管理系统的主管，试设计一种网络资源过滤算法，同时讨论该算法的效率和可能存在的攻击。如果存在该攻击，试给出其解决降低威胁的措施。 3、 APT 攻击、防御和检测

定义：APT(Advanced Persistent Threat)高级持续性威胁。1、极强的隐蔽能力，利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络；2、很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，针对被攻击环境的各类0day 收集。 典型的APT 攻击途径：

u 通过SQL 注入突破面向外网的Web Server;

u 通过被入侵的Web Server 扫描内网的其他服务器或桌面终端，并为进一步入侵做准备; u 通过密码爆破或者发送欺诈邮件，获取管理员帐

号，最终突破AD 服务器或核心开发环境;

u 被攻击者私人邮箱自动发邮件副本给攻击者; u 植入木马、后门、Downloader 等恶意软件，回传敏感文件(WORD、PPT 、PDF 、CAD 文件等); u 通过高层主管邮件，发送带有恶意程序的附件，

诱骗员工点击并入侵内网终端。

检测：密切关注功能、0day 信息、命令与控制、社工手法、受害人、攻击活动频率等信息 Ø 静态检测方式

l 从攻击样本中提取攻击特征与功能特性; l 对攻击样本逆向分析; Ø 动态检测方式

l 模拟用户环境，执行APT 代码段，捕获并记录APT 攻击的所有行为;

l 审计网络中应用程序的带宽占用情况; l APT攻击溯源;

Ø 产业链跟踪

l 实时跟踪分析网络犯罪团伙的最新动向。

防御

u 动态的安全分析

Ø 提取并审核执行文件体、Shellcode 以及PE 文件头; Ø 分析文件中的对象和异常结构

u 动态的安全分析

Ø 模拟系统环境安装各类执行文件体;

Ø 实施扫描系统内存与CPU 中资源异常调要; Ø 检测关键位置的代码注入或各类API 钩子;

Ø 检测任意已知的代码分片;

Ø 检测Rootkit 、KeyLogger 、Anti-A V 等恶意程序; Ø 检测邮件、域、IP 地址、URL 中可疑的字符串。

4、 DNS 劫持：（域名劫持），就是劫持DNS 服务器，取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP 地址转入到修改后的指定IP ，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS 劫持通过篡改DNS 服务器上的数据返回给用户一个错误的查询结果来实现的。

用户：主DNS 服务器为更可靠的114.114.114.114地址，备用DNS 服务器为8.8.8.8。公司：准备两个以上的域名；修订应急预案，强化对域名服务商的协调流程；域名注册商和代理机构特定时期可能成为集中攻击目标，需要加以防范；国内有关机构快速建立与境外有关机构的协调和沟通，协助企业快捷及时处理

5、 电信运营商广告嵌入

6、 网关上部署防火墙

防火墙经常部署在网关的位置，就是网内和网外的一个" 中间分隔点" 上。

“长城”防火墙结合了状态包过滤和应用代理两种主要的防火墙技术，从网络层到应用层都提供了完善的防护机制；双向NAT 功能能够隐藏局域网内部的网络拓扑，并解决IP 不足的问题；强大的身份认证功能使授权用户能够安全地使用防火墙提供的服务；DMZ 功能可对公用服务器进行保护；完善的日志管理和报警机制为管理员提供了有效的监控手段，防止非法入侵行为的发生。

7、 不可信环境下构建安全可靠网络通信