一、 填空題1、網(wǎng)絡(luò)安全監(jiān)管對(duì)（網(wǎng)絡(luò)設(shè)備監(jiān)控、網(wǎng)絡(luò)行為）異常分析和取證審計(jì)的理論和技術(shù)。 2、物理安全是保障網(wǎng)絡(luò)設(shè)備可靠和安全運(yùn)行的基礎(chǔ)，其威脅包括（設(shè)備失竊，設(shè)備干擾、設(shè)備代理）。 3、網(wǎng)絡(luò)安全威脅

一、 填空題

1、網(wǎng)絡(luò)安全監(jiān)管對(duì)（網(wǎng)絡(luò)設(shè)備監(jiān)控、網(wǎng)絡(luò)行為）異常分析和取證審計(jì)的理論和技術(shù)。 2、物理安全是保障網(wǎng)絡(luò)設(shè)備可靠和安全運(yùn)行的基礎(chǔ)，其威脅包括（設(shè)備失竊，設(shè)備干擾、設(shè)備代理）。 3、網(wǎng)絡(luò)安全威脅有（釣魚(yú)）等。 4、網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)互通互聯(lián)，其必要條件是通信雙方都知道對(duì)方的地址。在互聯(lián)網(wǎng)環(huán)境，可以標(biāo)志通信實(shí)體的地址有（ip 地址、域名、端口）等。 5、NA T （Network Address Translation）技術(shù)分為兩種：（靜態(tài)NAT 、動(dòng)態(tài)NAT ）。 6、列出四種常見(jiàn)TCP 服務(wù)及其端口號(hào)（二、 名詞解釋 1、 ARP 欺騙:ARP（Address Resolution Protocol）是地址解析協(xié)議，將網(wǎng)絡(luò)層的IP 地址解析為數(shù)據(jù)鏈路層的物理地址(不一定指MAC 地址) 。局域網(wǎng)中，黑客經(jīng)過(guò)收到ARP Request 廣播包，能夠偷聽(tīng)到其它節(jié)點(diǎn)的 (IP, MAC) 地址, 黑客就偽裝為A ，告訴B (受害者) 一個(gè)假地址，使得B 在發(fā)送給A 的數(shù)據(jù)包都被黑客截取，而A, B 渾然不知。預(yù)防方法：1. 定位ARP 攻擊源頭；2. 應(yīng)用NBTSCAN ，有“ARP 攻擊”時(shí)，可以找到裝有ARP 攻擊的PC 的IP 、機(jī)器名和MAC 地址。 3. 防御方法：(1)使用可防御ARP 攻擊的核心交換機(jī)，綁定端口-MAC-IP ，限制ARP 流量，及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP 攻擊端口，合理劃分VLAN ，徹底阻止盜用IP 、MAC 地址，杜絕ARP 的攻擊。 (2)對(duì)于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，進(jìn)行Internet 訪問(wèn)控制，限制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。(3)在發(fā)生ARP 攻擊時(shí)，及時(shí)找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢(shì)科技的SIC2.0，同時(shí)收集可疑的病毒樣本文件，一起提交到趨勢(shì)科技的TrendLabs 進(jìn)行分析，TrendLabs 將以最快的速度提供病毒碼文件，從而進(jìn)行ARP 病毒的防御。 三、 簡(jiǎn)答題 1、 兩個(gè)距離相近的無(wú)線設(shè)備希望互相通信，但他們沒(méi)有任何共享的秘密作為認(rèn)證信息。試給出一種安全通信的思路，并討論其可行性。（10分） ：見(jiàn)網(wǎng)絡(luò)安全監(jiān)管ppt: 020-Good Neighbor- Ad hoc Pairing of Nearby Wireless Devices by Multiple Antennas 2、 節(jié)點(diǎn)D1（IP 地址為192.12.15.100）和D2（IP 地址為192.12.15.200）位于同一個(gè)子網(wǎng)（子網(wǎng)掩碼為255.255.255.0）內(nèi)，網(wǎng)關(guān)G 的地址為192.12.15.1，D1、D2、G 的硬件地址分別為HW1/HW2/HWG。試描述D1通過(guò)Ping 測(cè)試D2是否開(kāi)機(jī)的通信數(shù)據(jù)包或數(shù)據(jù)幀（假設(shè)所有節(jié)點(diǎn)的ARP cache為空）。（10分） ：自己抓包看吧 3、 在（2）的環(huán)境下，D1想讓D2通過(guò)網(wǎng)關(guān)訪問(wèn)www.whu.edu.cn 的流量都經(jīng)過(guò)D1，試設(shè)計(jì)一種攻擊實(shí)現(xiàn)D1的目標(biāo)，以及討論如何檢測(cè)該攻擊。（10分）

D1欺騙D2自己是網(wǎng)關(guān)，欺騙G （網(wǎng)關(guān)）自己是D1，然后D1要實(shí)現(xiàn)轉(zhuǎn)發(fā)功能。 4、 攻擊者可能通過(guò)郵件方式發(fā)送含木馬和病毒的郵件附件，而且該附件中的文件還可以自動(dòng)執(zhí)行。試分析該攻擊的原理，并給出一種防御技術(shù)。（10分） 利用郵件客戶端的漏洞 5、 DDoS 攻擊是一種常見(jiàn)的網(wǎng)絡(luò)拒絕服務(wù)攻擊，其發(fā)生的攻擊基本原因在于網(wǎng)絡(luò)設(shè)備沒(méi)有審計(jì)數(shù)據(jù)報(bào)文的源地址。試從網(wǎng)絡(luò)流的角度設(shè)計(jì)一種檢測(cè)DDoS 攻擊的算法，并給出一種部署方案，討論該方案的可行性。（10分） 利用SYN 代理，標(biāo)記惡意源ip 四、 分析題 1、 DNSPod 免費(fèi)為暴風(fēng)影音等提供域名服務(wù)。18

日，DNSPod 遭受DDoS 攻擊，DNSPod 管理員關(guān)閉其域名服務(wù)。19日，暴風(fēng)影音用戶大量訪問(wèn)DNSPod 的域名服務(wù)，導(dǎo)致互聯(lián)網(wǎng)絡(luò)癱瘓。試分析該事件產(chǎn)生的原因，以及如何預(yù)防該類事件的發(fā)生。

2、 網(wǎng)絡(luò)過(guò)濾技術(shù)或互聯(lián)網(wǎng)防火墻。作為一個(gè)企業(yè)信息管理系統(tǒng)的主管，試設(shè)計(jì)一種網(wǎng)絡(luò)資源過(guò)濾算法，同時(shí)討論該算法的效率和可能存在的攻擊。如果存在該攻擊，試給出其解決降低威脅的措施。 3、 APT 攻擊、防御和檢測(cè)

定義：APT(Advanced Persistent Threat)高級(jí)持續(xù)性威脅。1、極強(qiáng)的隱蔽能力，利用企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來(lái)形成攻擊者所需C&C網(wǎng)絡(luò)；2、很強(qiáng)的針對(duì)性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，針對(duì)被攻擊環(huán)境的各類0day 收集。 典型的APT 攻擊途徑：

u 通過(guò)SQL 注入突破面向外網(wǎng)的Web Server;

u 通過(guò)被入侵的Web Server 掃描內(nèi)網(wǎng)的其他服務(wù)器或桌面終端，并為進(jìn)一步入侵做準(zhǔn)備; u 通過(guò)密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳

號(hào)，最終突破AD 服務(wù)器或核心開(kāi)發(fā)環(huán)境;

u 被攻擊者私人郵箱自動(dòng)發(fā)郵件副本給攻擊者; u 植入木馬、后門(mén)、Downloader 等惡意軟件，回傳敏感文件(WORD、PPT 、PDF 、CAD 文件等); u 通過(guò)高層主管郵件，發(fā)送帶有惡意程序的附件，

誘騙員工點(diǎn)擊并入侵內(nèi)網(wǎng)終端。

檢測(cè)：密切關(guān)注功能、0day 信息、命令與控制、社工手法、受害人、攻擊活動(dòng)頻率等信息 ? 靜態(tài)檢測(cè)方式

l 從攻擊樣本中提取攻擊特征與功能特性; l 對(duì)攻擊樣本逆向分析; ? 動(dòng)態(tài)檢測(cè)方式

l 模擬用戶環(huán)境，執(zhí)行APT 代碼段，捕獲并記錄APT 攻擊的所有行為;

l 審計(jì)網(wǎng)絡(luò)中應(yīng)用程序的帶寬占用情況; l APT攻擊溯源;

? 產(chǎn)業(yè)鏈跟蹤

l 實(shí)時(shí)跟蹤分析網(wǎng)絡(luò)犯罪團(tuán)伙的最新動(dòng)向。

防御

u 動(dòng)態(tài)的安全分析

? 提取并審核執(zhí)行文件體、Shellcode 以及PE 文件頭; ? 分析文件中的對(duì)象和異常結(jié)構(gòu)

u 動(dòng)態(tài)的安全分析

? 模擬系統(tǒng)環(huán)境安裝各類執(zhí)行文件體;

? 實(shí)施掃描系統(tǒng)內(nèi)存與CPU 中資源異常調(diào)要; ? 檢測(cè)關(guān)鍵位置的代碼注入或各類API 鉤子;

? 檢測(cè)任意已知的代碼分片;

? 檢測(cè)Rootkit 、KeyLogger 、Anti-A V 等惡意程序; ? 檢測(cè)郵件、域、IP 地址、URL 中可疑的字符串。

4、 DNS 劫持：（域名劫持），就是劫持DNS 服務(wù)器，取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對(duì)該域名的訪問(wèn)由原IP 地址轉(zhuǎn)入到修改后的指定IP ，其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址，從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。DNS 劫持通過(guò)篡改DNS 服務(wù)器上的數(shù)據(jù)返回給用戶一個(gè)錯(cuò)誤的查詢結(jié)果來(lái)實(shí)現(xiàn)的。

用戶：主DNS 服務(wù)器為更可靠的114.114.114.114地址，備用DNS 服務(wù)器為8.8.8.8。公司：準(zhǔn)備兩個(gè)以上的域名；修訂應(yīng)急預(yù)案，強(qiáng)化對(duì)域名服務(wù)商的協(xié)調(diào)流程；域名注冊(cè)商和代理機(jī)構(gòu)特定時(shí)期可能成為集中攻擊目標(biāo)，需要加以防范；國(guó)內(nèi)有關(guān)機(jī)構(gòu)快速建立與境外有關(guān)機(jī)構(gòu)的協(xié)調(diào)和溝通，協(xié)助企業(yè)快捷及時(shí)處理

5、 電信運(yùn)營(yíng)商廣告嵌入

6、 網(wǎng)關(guān)上部署防火墻

防火墻經(jīng)常部署在網(wǎng)關(guān)的位置，就是網(wǎng)內(nèi)和網(wǎng)外的一個(gè)" 中間分隔點(diǎn)" 上。

“長(zhǎng)城”防火墻結(jié)合了狀態(tài)包過(guò)濾和應(yīng)用代理兩種主要的防火墻技術(shù)，從網(wǎng)絡(luò)層到應(yīng)用層都提供了完善的防護(hù)機(jī)制；雙向NAT 功能能夠隱藏局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)拓?fù)?，并解決IP 不足的問(wèn)題；強(qiáng)大的身份認(rèn)證功能使授權(quán)用戶能夠安全地使用防火墻提供的服務(wù)；DMZ 功能可對(duì)公用服務(wù)器進(jìn)行保護(hù)；完善的日志管理和報(bào)警機(jī)制為管理員提供了有效的監(jiān)控手段，防止非法入侵行為的發(fā)生。

7、 不可信環(huán)境下構(gòu)建安全可靠網(wǎng)絡(luò)通信