信息安全工程师是软考中级考试科目之一,为方便考生对所学知识点的检测,编程学习网小编为考生带来软考信息安全工程师考试知识点填空检测的内容,本文为软考信息安全工程师考试知识点填空检测(2)。
为方便软考考生对信息安全工程师考试知识点的检测,编程学习网小编为考生带来软考信息安全工程师考试知识点填空检测的内容(完整版可在本文的资料下载栏目下载)。
软考信息安全工程师考试知识点填空检测(2)内容如下:
第2章网络攻击原理与常用方法
1.1网络攻击概述
网络攻击原理表
| 攻击者 | 攻击工具 | 攻击访问 | 攻击效果 | 攻击意图 |
| ( ) ( ) 恐怖主义者 公司职员 职业犯罪分子 破坏者 |
用户命令 脚本或程序 自治主体 电磁泄露 |
本地访问 远程访问 |
( ) ( ) ( ) ( ) |
挑战 好奇 获取情报 经济利益 恐怖事件 恐怖事件 报复 |
4.网络攻击模型
(1)网络杀伤链(Kill Chain)模型
该模型将网络攻击活动分成( )、( )、( )、( )、( )、( )、( )等七个阶段。
1.2网络攻击一般过程
网络攻击过程主要分为以下几个步骤:
( )。隐藏黑客主机位置使得系统管理无法追踪。
( )。确定攻击目标并收集目标系统的有关信息。
( )。从收集到的目标信息中提取可使用的漏洞信息。
( )。获取目标系统的普通或特权账户的权限。
( )。隐蔽在目标系统中的操作,防止入侵行为被发现。
( )。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
( )。在目标系统中开辟后门,方便以后入侵。
( )。避免安全管理员的发现、追踪以及法律部门取证。
1.3网络攻击常见方法
1.端口扫描
端口扫描的目的是找出目标系统上提供的服务列表。根据端口扫描利用的技术,扫描可以分为多种类型:
| 扫描名称 | 说明 |
| ( ) | 完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。 |
| ( ) | 半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。 |
| ( ) | 首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表明目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。 |
| ( ) | 首先由源主机A向dumb主机B发出连续的PING数据包,并且查看主机B返回的数据包的ID头信息(一般每个顺序数据包的ID头的值会增加1)。然后由源主机A假冒主机B的地址向目的主机C的任意端口(1-65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种可能的结果: 1、SYN|ACK表示该端口处于监听状态; 2、RSTIACK表示该端口处于非监听状态; 后续的PING数据包响应信息的ID头信息可以看出,如果主机C的某个端口是开放的,则主机B返回A的数据包中,ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。 |
| ( ) | 隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。 |
| ( ) | 由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。由于这一方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而报错。 如果目标主机的该端口没有开放,则会返回RST信息。如果目标主机的该端口开放,则不会返回任何信息,而是直接将数据包抛弃掉。 |
| ( ) | 源主机A向目标主机B发送FIN数据包,然后查看反馈信息。如果端口返回RESET信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。 |
| ( ) | 首先由主机A向主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64:开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。 |
| ( ) | 将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。 |
| ( ) | XMAS扫描的原理和NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置成1。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。 |
2.拒绝服务
拒绝服务攻击的种类:
| DoS攻击名称 | 说明 |
| ( ) | 利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次(SYN)(SYN/ACK),不进行第三次握手(ACK),连接队列处于等待状态,大量的这样的等待,占满全部队列空间,系统挂起。 |
| ( ) | 攻击者故意发送大于65535字节的ip数据包给对方,导致内存溢出,这时主机就会出现内存分配错误而导致TCP/P堆栈崩溃,导致死机! |
| ( ) | 分段攻击。伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各个分段重叠来使目标系统崩溃或挂起。 |
| ( ) | 利用简单的TCP/IP服务,如用Chargen和Echo传送毫无用处的占满宽带的数据。通过伪造与某一主机的Chargen服务之间的一次UDP连接,回复地址指向开放Echo服务的一台主机,生成在两台主机之间的足够多的无用数据流。 |
| ( ) | 攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP ECHO请求,这些包被放大,并发送到被欺骗的地址,大量的计算机向一台计算机回应ECHO包,目标系统将会崩溃。 |
| ( ) | 针对服务端口(SMTP端口,即25端口)的攻击方式,攻击者通过连接到邮件服务器的25端口,按照SMTP协议发送几行头信息加上一堆文字垃圾,反复发送形成邮件袭炸。 |
| ( ) | 利用目标系统的计算算法漏洞,构造恶意数据集,导致目标系统的CPU或内存资源耗尽,从而使目标系统瘫痪,如Hash DoS。 |
| ( ) | 引入了分布式攻击和C/S结构,客户端运行在攻击者的主机上,用来发起控制代理端:代理端运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。 |
| ( ) | 利用C/S技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。 |
1.4黑客常用工具
| 工具名称 | 说明 |
| ( ) | NMAP网络地图 Nessus远程安全扫描器 SuperScan |
| ( ) | 常见的远程监控工具有冰河、网络精灵、Netcat. |
| ( ) | John the Ripper:用于检查Unix/Linux系统的弱口令 LOphtCrack:常用于破解Windows系统口令 |
| ( ) | Tepdump/WireShark DSniff |
| ( ) | Metasploit BackTrack5 |
