西南大学网络与继续教育学院课程考试试题卷类别：网教 专业：计算机应用技术 课程名称【编号】： 信息安全 【0836】 A 卷大作业 满分：100 分一、大作业题目1.网络攻击可分为主动攻击和被动攻击两大类，请比较、分析这两类攻击的差异，并分别列举 2 种具体的攻击形式进行说明。答：网络攻击可以分为主动攻击和被动攻击两大类型。主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口 25 找出公司运行的邮件服务器的信息；伪造无效 IP 地址去连接服务器，使接受到错误 IP 地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。 多数情况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不一定包括可被跟踪的行为，因此更难被发现。从另一个角度看，主动攻击容易被发现但多数都没有发现，所以发现被动攻击的机会几乎是零。2. 拒绝服务（DoS）是较常见的一种网络攻击方式，请总结 DoS 攻击的基本原理和方法。3. 基于社会工程学的网络攻击近年来愈演愈烈，请全面分析该攻击的特点（通过具体实例说明），并总结防范该类攻击的方法。答：社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化，不仅能够利用系统的弱点进行入侵还能通过人性的弱点进行入侵，当黑客攻击与社会工程学攻击融为一体时，将根本不存在所谓安全的系统。一、常见黑客社会工程学攻击方式- 1 - 随着网络安全防护技术及安全防护产品应用的越来越成熟，很多常规的黑客入侵手段越来越难。在这种情况下，更多的黑客将攻击手法转向了社会工程学攻击，同时利用社会工程学的攻击手段也日趋成熟，技术含量也越来越高。黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能，以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段，我们可以将其主要概述为以下几种方式：1. 结合实际环境渗透对特定的环境实施渗透，是黑客社会工程学攻击为了获取所需要的敏感信息经常采用的手段之一。黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相关的资料，如个人姓名、生日、电话号码、电子邮箱地址等，通过对这些搜集的信息进行综合利用，进而判断被攻击的账号密码等大致内容，从而获取敏感信息。2. 伪装欺骗被攻击者伪装欺骗被攻击者也是黑客社会工程学攻击的主要手段之一。我们在前几期中介绍的电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪造欺骗被攻击者，可以实现诱惑被攻击者进入指定页面下载并运行恶意程序，或者是要求被攻击者输入敏感账号密码等信息进行“验证”等，黑客利用被攻击者疏于防范的心理引诱用户进而实现伪装欺骗的目的。据网络上的调查结果显示，在所有的网络伪装欺骗的用户中，有高达 5%的人会对黑客设好的骗局做出响应。3. 说服被攻击者说服是对互联网信息安全危害较大的一种黑客社会工程学攻击方法，它要求被攻击者与攻击者达成某种一致，进而为黑客攻击过程提供各种便利条件，当被攻击者的利益与黑客的利益没有冲突时，甚至与黑客的利益一致时，该种手段就会非常有效。4. 恐吓被攻击者黑客在实施社会工程学攻击过程中，常常会利用被攻击目标管理人员对安全、漏洞、病毒等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的消息，使用危言耸听的伎俩恐吓、欺骗被攻击者，并声称不按照他们的方式去处理问题就会造成非常严重的危害和损失，进而借此方式实现对被攻击者敏感信息的获取。- 2 - 5. 恭维被攻击者社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能，善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱，实施欺骗，并控制他人意志为己服务。他们通常十分友善，讲究说话的艺术，知道如何借助机会去恭维他人，投其所好，使多数人友善地做出回应。6. 反向社会工程学攻击反向社会工程学是指黑客通过技术或者非技术手段给网络或者计算机制造故障，使被攻击者深信问题的存在，诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。这种方法比较隐蔽，危害也特别大，不容易防范。二、黑客社会工程学攻击的防范防范社会工程学攻击，可以从以下几方面做起：1. 保护个人信息资料不外泄。目前网络环境中，论坛、博客、新闻系统、电子邮件系统等多种应用中都包含了用户个人注册的信息，其中也包含了很多包括用户名账号密码、电话号码、通讯地址等私人敏感信息，尤其是目前网络环境中大量的社交网站，它无疑是网民用户无意识泄露敏感信息的最好地方，这些是黑客最喜欢的网络环境。因此网民在网络上注册信息时，如果需要提供真实信息的，需要查看注册的网站是否提供了对个人隐私信息的保护功能，是否具有一定的安全防护措施，尽量不要使用真实的信息提高注册过程中使用密码的复杂度，尽量不要使用与姓名、生日等相关的信息作为密码以防止个人资料泄露或被黑客恶意暴力破解利用。2. 时刻提高警惕。在网络环境中，利用社会工程学进行攻击的手段复杂多变，网络环境中充斥着各种诸如伪造邮件、中奖欺骗等攻击行为，通过我们近几期的了解，网页的伪造是很容易实现的，收发的邮件中收件人的地址也是很容易伪造的，因此要求网民用户要时刻提高警惕，不要轻易相信网络环境中的所看到的信息。3. 保持理性思维。很多黑客在利用社会工程学进行攻击时，利用的方式大多数是利用人感性的弱点，进而施加影响。当我们网民用户在与陌生人沟通时，应尽量保持理性思维，减少上当受骗的概率。4. 不要随意丢弃废物。日常生活中，很多的垃圾废物中都会包含用户的敏感信息，如发票、取款机凭条等，这些看似无用的废弃物可能会被有心的黑客利用实施社会工程- 3 - 学攻击，因此在丢弃废物时，需小心谨慎，将其完全销毁后再丢弃到垃圾桶中，以防止因未完全销毁而被他人捡到造成个人信息的泄露。4.Hash 函数在网络安全技术中一直有着重要应用，请列举其主要应用领域和在其中所起的作用。5.假设用户 A 通过网络传给用户 B 一份机密文件，但该文件未采取任何安全措施，请全面分析该行为可能导致的所有可能后果。答：1）保密性威胁：文件内容被其他未授权人阅读，可采取加密机制来保障；2）完整性威胁：文件被他人篡改后重新发送给 B，而 B 无法判断文件是否被篡改，可采取哈希函数结合数字签名技术来保障；3）源鉴别问题：其他未授权人伪造一份假文件，冒充 A 将文件发送给 C，即 C 无法判断文件的真实来源，可采取数字签名技术来保障；4）否认性威胁：A 否认曾发送给 B 这一机密文件，或 B 伪造一份假文件却声称是 A发送的，可采取数字签名技术来防范。5）密钥传送问题：A 和 B 在进行密钥交换过程中，存在密钥泄露威胁，对对称密钥的传送可使用数字信封技术来保障，对非对称密钥的传送可采用公钥证书技术来保障。二、大作业要求大作业共需要完成三道题：第 1-2 题选作一题，满分 30 分；第 3-4 题选作一题，满分 30 分；第 5 题必做，满分 40 分。- 4 -