全部科目 > 电子商务设计师 >
2020年下半年 上午试卷 综合知识
第 4 题
知识点 计算机网络安全   拒绝服务   拒绝服务攻击  
章/节 电子商务信息安全威胁与防范  
 
 
以下关于拒绝服务攻击的叙述中,不正确的是( )。
 
  A.  拒绝服务攻击的目的是使计算机或者网络无法提供正常的服务
 
  B.  拒绝服务攻击是通过不断向计算机发起请求来实现的
 
  C.  拒绝服务攻击会造成用户密码的泄露
 
  D.  DDoS是一种拒绝服务攻击形式
 
 




 
 
相关试题     计算机网络安全 

  第59题    2019年下半年  
ARP协议是将(59)的协议。

  第27题    2019年下半年  
在计算机网络安全中,不属于物理安全威胁的是(27)。

  第58题    2011年下半年  
DDoS攻击的目的是(58)。

 
知识点讲解
· 计算机网络安全
· 拒绝服务
· 拒绝服务攻击
 
        计算机网络安全
        常见的计算机网络安全威胁有:
        (1)黑客攻击。黑客非法进入网络,非法使用网络资源。例如,通过网络监听获取网上用户的账号和密码,非法获取网上传输的数据,破坏防火墙等。
        (2)计算机病毒。计算机病毒侵入网络,破坏资源,使网络不能正常工作,甚至造成网络瘫痪。
        (3)拒绝服务。典型的拒绝服务如“电子邮件炸弹”,它的破坏方式是让用户在很短的时间内收到大量的无用邮件,从而影响正常业务,严重时造成系统关闭、网络瘫痪等。
        (4)身份窃取。用户的身份在通信时被他人非法截取。
        (5)非授权访问。对网络设备及信息资源进行非正常使用或越权使用。
        (6)冒充合法用户。利用各种假冒或欺骗手段非法获取合法用户资源的使用权限,以达到占用合法用户资源的目的。
        (7)数据窃取。非法用户截取通信网络中的某些重要信息。
        (8)物理安全。网络的物理安全是整个网络系统安全的前提,包括计算机、网络设备的功能失常,电源故障,由于电磁泄漏引起的信息失密,搭线窃听等,还有自然灾害的威胁(如雷电、地震、火灾等),操作失误(如删除文件、格式化硬盘、线路拆除等),都是造成计算机网络不安全的因素。
        (9)软件的漏洞和“后门”。程序设计者为了后期便于维护或是疏漏,在操作系统、应用软件设计时往往会留有一些安全漏洞或“后门”,这也是网络安全的主要威胁之一。例如,大家熟悉的Windows操作系统、UNIX操作系统几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等都被发现过存在安全隐患。
        (10)网络协议的安全漏洞。网络安全协议也会产生漏洞,成为黑客攻击的目标。如一些路由协议漏洞、DNS协议漏洞、ARP协议漏洞等都对网络安全造成了威胁。
        计算机网络安全是一个复杂和多面性的问题,除上述讲到的影响网络安全的因素外,计算机犯罪等人为因素都会使网络面临安全威胁。解决这些问题,涉及很多的网络安全技术,如防火墙技术、虚拟专用网技术、各种反黑客技术和漏洞检测技术等。此外,网络行为的规范化管理及安全意识也是很重要的方面。
 
        拒绝服务
        拒绝服务攻击是指攻击者利用系统的缺陷,执行一些恶意的操作,使得合法的系统用户不能及时得到应得的服务或系统资源,如CPU处理时间、存储器、网络带宽等。拒绝服务攻击往往造成计算机或网络无法正常工作,进而会使一个依赖于计算机或网络服务的企业不能正常运转。拒绝服务攻击最本质的特征是延长服务等待时间。当服务等待时间超过某个阈值时,用户因无法忍耐而放弃服务。拒绝服务攻击延迟或者阻碍合法的用户使用系统提供的服务,对关键性和实时性服务造成的影响最大。拒绝服务攻击与其他的攻击方法相比较,具有以下特点:①难确认性,拒绝服务攻击很难判断,用户在自己的服务得不到及时响应时,并不认为自己(或者系统)受到攻击,反而可能认为是系统故障造成一时的服务失效。②隐蔽性,正常请求服务隐藏拒绝服务攻击的过程。③资源有限性,由于计算机资源有限,容易实现拒绝服务攻击。④软件复杂性,由于软件所固有的复杂性,设计实现难以确保软件没有缺陷。因而攻击者有机可乘,可以直接利用软件缺陷进行拒绝服务攻击,例如泪滴攻击。
               同步包风暴(SYN Flood)
               攻击者假造源网址(Source IP)发送多个同步数据包(Syn Packet)给服务器(Server),服务器因无法收到确认数据包(Ack Packet),使TCP/IP协议的三次握手(Three-Way Hand-Shacking)无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使Unix等服务主机无法处理正常的连接请求,因而影响正常运作。
               UDP洪水(UDP Flood)
               利用简单的TCP/IP服务,如用Chargen和Echo传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次UDP连接,回复地址指向开放Echo服务的一台主机,生成在两台主机之间的足够多的无用数据流。
               Smurf攻击
               一种简单的Smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包,使该网络的所有主机都对此ICMP应答请求作出应答,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf攻击是将源地址改为第三方的目标网络,最终导致第三方网络阻塞。
               垃圾邮件
               攻击者利用邮件系统制造垃圾信息,甚至通过专门的邮件炸弹(mail bomb)程序给受害用户的信箱发送垃圾信息,耗尽用户信箱的磁盘空间,使用户无法应用这个信箱。
               消耗CPU和内存资源的拒绝服务攻击
               利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的CPU或内存资源耗尽,从而使目标系统瘫痪,如Hash DoS。
               死亡之ping(ping of death)
               早期,路由器对包的最大尺寸都有限制,许多操作系统在实现TCP/IP堆栈时,规定ICMP包小于等于64KB,并且在对包的标题头进行读取之后,要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过ICMP上限的包,即加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,使接收方停机。
               泪滴攻击(Teardrop Attack)
               泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络中传输时,会被分解成许多不同的片传送,并借由偏移量字段(Offset Field)作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果。
               分布式拒绝服务攻击(Distributed Denial of Service Attack)
               分布式拒绝服务攻击是指植入后门程序从远程遥控攻击,攻击者从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对已控制的代理攻击主机激活干扰命令,对受害主机大量攻击。分布式拒绝服务攻击程序,最著名的有Trinoo、TFN、TFN2K和Stacheldraht四种。
 
        拒绝服务攻击
        DoS是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
               拒绝服务攻击的方式
               (1)SYN Flood。SYN Flood是当前最流行的DoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
               (2)IP欺骗DOS攻击。这种攻击利用RST位来实现。假设现在有一个合法用户(202.197.120.2)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为202.197.120.2,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从202.197.120.2发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户202.197.120.2再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
               (3)UDP洪水攻击。攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
               (4)Ping洪流攻击。由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
               (5)泪滴(Teardrop)攻击。泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括Service Pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
               (6)Land攻击。Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
               (7)Smurf攻击。一个简单的Smurf攻击原理就是,通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
               (8)Fraggle攻击。Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
               分布式拒绝服务
               分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
               拒绝服务预防
               防止拒绝服务攻击可以通过各种办法来预防:
               (1)主机的设置:关闭不必要的服务;限制同时打开的SYN半连接数目;缩短SYN半连接的time out时间;及时更新系统补丁。
               (2)防火墙的设置:禁止对主机的非开放服务的访问;限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DoS的属性;严格限制对外开放的服务器向外访问。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有