一、 填空題1、網絡安全監(jiān)管對（網絡設備監(jiān)控、網絡行為）異常分析和取證審計的理論和技術。 2、物理安全是保障網絡設備可靠和安全運行的基礎，其威脅包括（設備失竊，設備干擾、設備代理）。 3、網絡安全威脅

一、 填空題

1、網絡安全監(jiān)管對（網絡設備監(jiān)控、網絡行為）異常分析和取證審計的理論和技術。 2、物理安全是保障網絡設備可靠和安全運行的基礎，其威脅包括（設備失竊，設備干擾、設備代理）。 3、網絡安全威脅有（釣魚）等。 4、網絡協(xié)議實現(xiàn)互通互聯(lián)，其必要條件是通信雙方都知道對方的地址。在互聯(lián)網環(huán)境，可以標志通信實體的地址有（ip 地址、域名、端口）等。 5、NA T （Network Address Translation）技術分為兩種：（靜態(tài)NAT 、動態(tài)NAT ）。 6、列出四種常見TCP 服務及其端口號（二、 名詞解釋 1、 ARP 欺騙:ARP（Address Resolution Protocol）是地址解析協(xié)議，將網絡層的IP 地址解析為數(shù)據鏈路層的物理地址(不一定指MAC 地址) 。局域網中，黑客經過收到ARP Request 廣播包，能夠偷聽到其它節(jié)點的 (IP, MAC) 地址, 黑客就偽裝為A ，告訴B (受害者) 一個假地址，使得B 在發(fā)送給A 的數(shù)據包都被黑客截取，而A, B 渾然不知。預防方法：1. 定位ARP 攻擊源頭；2. 應用NBTSCAN ，有“ARP 攻擊”時，可以找到裝有ARP 攻擊的PC 的IP 、機器名和MAC 地址。 3. 防御方法：(1)使用可防御ARP 攻擊的核心交換機，綁定端口-MAC-IP ，限制ARP 流量，及時發(fā)現(xiàn)并自動阻斷ARP 攻擊端口，合理劃分VLAN ，徹底阻止盜用IP 、MAC 地址，杜絕ARP 的攻擊。 (2)對于經常爆發(fā)病毒的網絡，進行Internet 訪問控制，限制用戶對網絡的訪問。(3)在發(fā)生ARP 攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs 進行分析，TrendLabs 將以最快的速度提供病毒碼文件，從而進行ARP 病毒的防御。 三、 簡答題 1、 兩個距離相近的無線設備希望互相通信，但他們沒有任何共享的秘密作為認證信息。試給出一種安全通信的思路，并討論其可行性。（10分） ：見網絡安全監(jiān)管ppt: 020-Good Neighbor- Ad hoc Pairing of Nearby Wireless Devices by Multiple Antennas 2、 節(jié)點D1（IP 地址為192.12.15.100）和D2（IP 地址為192.12.15.200）位于同一個子網（子網掩碼為255.255.255.0）內，網關G 的地址為192.12.15.1，D1、D2、G 的硬件地址分別為HW1/HW2/HWG。試描述D1通過Ping 測試D2是否開機的通信數(shù)據包或數(shù)據幀（假設所有節(jié)點的ARP cache為空）。（10分） ：自己抓包看吧 3、 在（2）的環(huán)境下，D1想讓D2通過網關訪問www.whu.edu.cn 的流量都經過D1，試設計一種攻擊實現(xiàn)D1的目標，以及討論如何檢測該攻擊。（10分）

D1欺騙D2自己是網關，欺騙G （網關）自己是D1，然后D1要實現(xiàn)轉發(fā)功能。 4、 攻擊者可能通過郵件方式發(fā)送含木馬和病毒的郵件附件，而且該附件中的文件還可以自動執(zhí)行。試分析該攻擊的原理，并給出一種防御技術。（10分） 利用郵件客戶端的漏洞 5、 DDoS 攻擊是一種常見的網絡拒絕服務攻擊，其發(fā)生的攻擊基本原因在于網絡設備沒有審計數(shù)據報文的源地址。試從網絡流的角度設計一種檢測DDoS 攻擊的算法，并給出一種部署方案，討論該方案的可行性。（10分） 利用SYN 代理，標記惡意源ip 四、 分析題 1、 DNSPod 免費為暴風影音等提供域名服務。18

日，DNSPod 遭受DDoS 攻擊，DNSPod 管理員關閉其域名服務。19日，暴風影音用戶大量訪問DNSPod 的域名服務，導致互聯(lián)網絡癱瘓。試分析該事件產生的原因，以及如何預防該類事件的發(fā)生。

2、 網絡過濾技術或互聯(lián)網防火墻。作為一個企業(yè)信息管理系統(tǒng)的主管，試設計一種網絡資源過濾算法，同時討論該算法的效率和可能存在的攻擊。如果存在該攻擊，試給出其解決降低威脅的措施。 3、 APT 攻擊、防御和檢測

定義：APT(Advanced Persistent Threat)高級持續(xù)性威脅。1、極強的隱蔽能力，利用企業(yè)或機構網絡中受信的應用程序漏洞來形成攻擊者所需C&C網絡；2、很強的針對性，攻擊觸發(fā)之前通常需要收集大量關于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息，針對被攻擊環(huán)境的各類0day 收集。 典型的APT 攻擊途徑：

u 通過SQL 注入突破面向外網的Web Server;

u 通過被入侵的Web Server 掃描內網的其他服務器或桌面終端，并為進一步入侵做準備; u 通過密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳

號，最終突破AD 服務器或核心開發(fā)環(huán)境;

u 被攻擊者私人郵箱自動發(fā)郵件副本給攻擊者; u 植入木馬、后門、Downloader 等惡意軟件，回傳敏感文件(WORD、PPT 、PDF 、CAD 文件等); u 通過高層主管郵件，發(fā)送帶有惡意程序的附件，

誘騙員工點擊并入侵內網終端。

檢測：密切關注功能、0day 信息、命令與控制、社工手法、受害人、攻擊活動頻率等信息 ? 靜態(tài)檢測方式

l 從攻擊樣本中提取攻擊特征與功能特性; l 對攻擊樣本逆向分析; ? 動態(tài)檢測方式

l 模擬用戶環(huán)境，執(zhí)行APT 代碼段，捕獲并記錄APT 攻擊的所有行為;

l 審計網絡中應用程序的帶寬占用情況; l APT攻擊溯源;

? 產業(yè)鏈跟蹤

l 實時跟蹤分析網絡犯罪團伙的最新動向。

防御

u 動態(tài)的安全分析

? 提取并審核執(zhí)行文件體、Shellcode 以及PE 文件頭; ? 分析文件中的對象和異常結構

u 動態(tài)的安全分析

? 模擬系統(tǒng)環(huán)境安裝各類執(zhí)行文件體;

? 實施掃描系統(tǒng)內存與CPU 中資源異常調要; ? 檢測關鍵位置的代碼注入或各類API 鉤子;

? 檢測任意已知的代碼分片;

? 檢測Rootkit 、KeyLogger 、Anti-A V 等惡意程序; ? 檢測郵件、域、IP 地址、URL 中可疑的字符串。

4、 DNS 劫持：（域名劫持），就是劫持DNS 服務器，取得某域名的解析記錄控制權，進而修改此域名的解析結果，導致對該域名的訪問由原IP 地址轉入到修改后的指定IP ，其結果就是對特定的網址不能訪問或訪問的是假網址，從而實現(xiàn)竊取資料或者破壞原有正常服務的目的。DNS 劫持通過篡改DNS 服務器上的數(shù)據返回給用戶一個錯誤的查詢結果來實現(xiàn)的。

用戶：主DNS 服務器為更可靠的114.114.114.114地址，備用DNS 服務器為8.8.8.8。公司：準備兩個以上的域名；修訂應急預案，強化對域名服務商的協(xié)調流程；域名注冊商和代理機構特定時期可能成為集中攻擊目標，需要加以防范；國內有關機構快速建立與境外有關機構的協(xié)調和溝通，協(xié)助企業(yè)快捷及時處理

5、 電信運營商廣告嵌入

6、 網關上部署防火墻

防火墻經常部署在網關的位置，就是網內和網外的一個" 中間分隔點" 上。

“長城”防火墻結合了狀態(tài)包過濾和應用代理兩種主要的防火墻技術，從網絡層到應用層都提供了完善的防護機制；雙向NAT 功能能夠隱藏局域網內部的網絡拓撲，并解決IP 不足的問題；強大的身份認證功能使授權用戶能夠安全地使用防火墻提供的服務；DMZ 功能可對公用服務器進行保護；完善的日志管理和報警機制為管理員提供了有效的監(jiān)控手段，防止非法入侵行為的發(fā)生。

7、 不可信環(huán)境下構建安全可靠網絡通信