第12章 网络安全防范课后参考答案

（自己整理经供参考）

1.      网络常见危害中病毒的传染性最快、最大

2.      木马是一种基于远程控制的黑客工具，它具有隐蔽性和非授权的特点

3.      目前网络中最主要的威胁主要有（病毒、黑客、木马）

4.      Windows2003操作系统补丁的安装方法主要有（手动安装系统补丁和上网自动更新补丁）

5.      病毒和木马有什么区别？

计算机病毒是人为编制的一种特殊程序，能够搅乱、改变或摧毁计算机中的软件，能进行复制并感染其他程序，当计算机按照这些错误的命令执行后，便破坏了用户数据，或使计算机停止工作。计算机病毒具有很强的传染性，危害性很大、能通过计算机硬盘、软盘以及互联网进行传染。

木马也称特洛伊木马，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权型性的特点。木马本身不带伤害性，也没有感染力，但是它可以对计算机系统进行强有力的远程控制和进行窃取密码、控制系统操作、进行文件操作等破坏性操作。一般的木马都有客户端和服务端俩个执行程序，被植入木马的一端称为木马的服务端，而黑客控制的一端称为木马客户端。

6.      卡巴斯基和天网防火墙是否是同一类型的软件，他们有什么区别？

在许多人的思想中，特别是电脑的初学者，都对防火墙有一种错误的认识。即分不清什么是防火墙以及杀毒软件，认为杀毒软件就可以代替防火墙，所以就掉以轻心，成了网络的受害者。其实杀毒软件和防火墙有很大的不同。下面，我就从这两种防火墙的工作原理谈起，再谈谈它们的区别和选择。

　　首先，我从杀毒软件的原理谈起。杀毒软件主要是针对计算机病毒而设计的，它的防毒原理是：在病毒进入系统前，先取得系统的控制权，并监视一切程序的运行，做到实时监控。正是因为这个原理，所以在安装了杀毒软件的系统里，最先被加载的程序往往就是杀毒软件程序。例如金山毒霸的kavdex.exe和VRV的bav2000.exe等。而且基本上都要加载两次。（这可以在WINDOWS里运行msconfig就可以看见具体加载的程序）我想这应该是对DOS和WINDOWS分别加载的吧（这是我的猜测，如果有不正确的地方还请各位指正）就以windows和金山毒霸为例，我对杀毒软件的加载流程作一个介绍：其实WIN98也是DOS下的应用程序。它还是要靠DOS7.0来启动。在开机自检完成后，DOS开始启动。然后执行config.sys和autoexec.bat。这时，在autoexec.bat中，第一个被执行的就是KAVDX.EXE这个防毒程序。这样，就保证了DOS下无毒。然后再加载一些DOS下的应用程序和需要实模式驱动的驱动程序，在这些程序完成后，Windows的启动文件Win.com才被加载，随后就进入了Windows的界面，这时KAVDX.EXE又会被加载一遍，此时就是为了在病毒之前获得系统的控制权。然后再加载其它的启动程序，比如Explorer等。怎样获得系统的控制权？我只知道VRV是以.VXD（虚拟设备驱动）这种方式来取得控制权的。其他的我想也是类似这样。在Windows启动后，杀毒软件便常驻内存，监视系统的一举一动。当我们要运行一个程序时，防火墙便被激活，对这个程序进行扫描，如果发现这个程序含有病毒特征码，就拦截该程序，使之不能运行。然后根据预先设定的内容进行杀毒或删除或等待用户确认等；如果没有检测到病毒特征码，就进行智能分析，以判断是否含有未知病毒，若含有，就按前面那样处理，若没有，就让该程序运行。这里提到了病毒特征码和智能分析，也就顺带说说杀毒程序判断是否染毒的方法。其方法有两种：1、根据病毒特征码判断：每一种病毒都有不同的病毒特征码，这些通过一定的组合就形成了病毒程序。杀毒软件多有一个叫病毒库的文件，这个文件其实是一个文本文件，里面就写着不同病毒的特征码，杀毒软件就是通过对比这些特征码来判断是否带毒的。但是，这种方法一旦遇到新病毒就不行了，于是就产生了第二种方法：智能分析、判断是否带毒，这是通过分析病毒发作特征来查毒的，由于现在计算机的普及率及性能的不断提高，每天都有很多新病毒被制造出来，所以智能判断病毒这个功能也越来越重要，其判断的准确程度也是衡量一个防毒软件好坏的重要依据。

　　"木马算病毒吗？"这个问题至今还在争论中。可据我所知，许多杀毒软件对木马却无能为力，或者只杀得了几种木马。比如VRV查不出"冰河"（至少我做这个实验时杀不了），金山毒霸就可以。好了，谈了那么久的杀毒软件后，也该让防火墙出面了，防火墙，顾名思义，就是面向网络的防火墙，它使专门针对木马和各种攻击而开发出来的防御软件。其原理和杀毒软件有类似的地方，但也有很大的不同。下面，我就谈谈防火墙的原理，在这里要提到一个概念，就是OSI参考模型，它是由国标标准组织ISO所制定的，OSI的全称是开放系统连接（OpenSystemInterconnection）。OSI模型将网络通信系统作层次划分，由低层的通信物件到高层的网络应用，分为七个层次，分别使：Layer1,物理层：规定在网络通信介质中，如何使通信的两端得以正确的接收比特流；Layer2,数据链路层：规定取得通信介质的方式。同时也必须与通信的对方建立起收发数据的默契，以便数据能可靠地传至接收端；Layer3,网络层：规定在同一网络中，传输路径的选择及建立方式，以便数据能由起点通过可能的中间点而到达终点。在TCP/IP协议中，网络层中的协议有两个：IP（InternatProtocol）和ICMP(InternetControlMessageProtocol)，负责传输路径的建立（IP协议），并将Layer4的TPDU(TransportProtocolDataUnit)切成小段，形成数据包（packet），并在网络路由器或接收端，将其重组起来；Layer4,传输层：在TCP/IP中，该层的协议有TCP（TransmissionControlProtocol.传输控制协议）和UDP(UserDatagramProtocol)两种。负责传送数据。TCP与UDP的区别是：前者是连接式服务，而后者是非连接式服务；Layer5,会话层：提供控制机能，将下四层的信息流控制成会话形式；Layer6,表示层：以建立连接，传送数据，控制会话及活动的同步为主，防火墙就位于这一层；Layer7,应用层：提供三种协议以便与下层通信，并提供软件的应用的平台。OSI模型就简单地介绍完了，现在继续接着前面谈，防火墙运行后，其会监视Layer6的活动，对每一个通过的数据包进行检测，同时也会守住每一个端口。端口位于Layer4，使在传输层中建立的数据传输虚拟通道，作用和门一样，每一个程序要在网络上传送数据，就要开一个"门"（端口），就这样通过"门"对"门"进行数据传输的。网上的额数据也是通过端口进入计算机的，一个计算机最多有65536个端口，重1到65536，程序就是通过这即端口进行一对一的通信，例如OICQ,其默认的端口就是4000，当4000这个端口没有被其它程序占用时，OICQ就通过这个端口收发讯息，如果该端口被占用了，就会另外选一个空闲的断口进行通讯。用netstat-a就可以看见开了那些端口，当然也可以用软件来看，我的主页上就有这一类的软件，大家可以来看看（http://networms.yeah.net/）。一般...。比如20端口就是FtpData、21端口就是FTPOpenServer、23端口就是Telnet服务、137~139端口是用于netbios的，等等。防火墙就是守住这些门的卫士，它可以过滤掉一些有害的数据包。

　　什么是有害的数据包？在前面的OSI模型中的Layer3和Layer4中，我们提到了几种数据传输协议，分别是ICMP、TCP、UDP、IGMP等，这些传输协议都有一些漏洞（准确地说是设计时的缺陷），如果利用这些漏洞进行攻击，则有可能让被攻击者泄密，或者远程共享等，许多攻击软件就是利用这些漏洞来设计的，危害很大。防火墙拦截到这些有害数据后，就会把它过滤掉。是这些数据包不再进入上层中去，也就不会对计算机形成危害了。但是，有些攻击也不是利用这些漏洞来攻击的，比如古老的PING攻击。这种攻击简单地说就是不断地发送ICMP数据包，是对方的机器瘫痪从而造成破坏我们设攻击者为A，被攻击者为B。PING的原理是A向B发送一个ICMP数据包，B在受到这个数据包时给A一个回应，告诉A该数据包已收到。A就可以以此判断出网络已经连通，否则网络就有问题，所以PING这个命令是用来监测网络连通的软件。而PING攻击就是A不断地PINGB，使B不断地回复数据，从而是B的系统资源耗尽而死掉，这就是PING攻击的原理。因为linux的发包速度比win9x快得多，所以PING攻击者常常是用的linux。当然这也要攻击者的机器够快才行，否则他也会因为来不及处理B返回的数据而死掉。有的防火墙也能过滤掉ICMP数据包，比如天网防火墙。使攻击者收到的是TimeOut（超时）,从而也就无法攻击了。

　　防火墙还有一个重要的作用，就是防止木马的连接。因为木马通常由两个程序组成：客户端和服务器端。受害者的电脑上运行的就是服务器端的程序。当计算机运行了服务器端的程序后，这个程序就会打开一个端口，这个端口可以用客户端的程序设置。客户端程序找这些中了木马的计算机的方法是：PING这些计算机的端口（就是设定的木马端口），并发送一个连接请求，如果是没有中木马的计算机，就不会理会这个请求，也就不会与客户端连接。而中了木马的计算机，在收到这个请求时，就会产生回应，并于之相连。使客户端可以共享主机（也就是中了木马的计算机）的资源，权限就和NT例的Administrator一样。可以看到一切东西，包括帐号和密码等信息。这也就是木马的危害之处。防火墙的作用就是拦截这个请求，并过滤掉，使计算机不响应，也就不能连接上客户端了。

　　防火墙与杀毒软件也正是这些区别，由于杀毒软件不具有端口监控的能力，所以不能防止木马的连接，最多也就是杀木马而已。而且也不能对数据包进行过滤，并不能防止网络上的攻击。所以，杀毒软件并不能代替防火墙。说了这么多，大家也应该对这两种防火墙有一个比较清醒的认识了。

　　还有一点错误的认识，就是不要以为装了一个防火墙就可以防止一切入侵。各个防火墙都有一定的弱点，比如大名鼎鼎的lockdown2000，它可是防火墙中的佼佼者，能防的木马也最多，但是…………"冰河"这个国产精品，它就不能防，不信吗？试试就知道了。其实"冰河"这个软件做得可真不错，用来作局域网的管理好得很，作者也正是基于这个目的而开发的，现在却成了木马中的"精品"，真实令作者始料不及，其作者也停止了对这个软件的开发。天网，也是国货精品，就能防止"冰河"的连接。这也算是符合中国国情吧。

7.      黑客一般通过什么工具入侵计算机

木马

8.      计算机主要面临什么威胁

病毒、木马、黑客

9.      局域网中的安全如何设置

（1）    删除不需要的协议

（2）    禁用不必要的服务

（3）    及时系统更新和打补丁

（4）    禁用NetBIOS

（5）    禁用文件和打印共享服务

（6）    启用TCP/IP筛选

10.   天网防火墙和系统自带的防火墙有什么区别

★Windows XP SP2防火墙的工作原理 对于只使用浏览、电子邮件等系统自带的网络应用程序， Windows防火墙根本不会产生影响。也就是说，用IE、 OutlookExpress等系统自带的程序进行网络连接， 防火墙是默认不干预的。微软在设置防火墙内置规则时， 已经为自家的应用程序开了“绿色通道”，所以装上SP2后，即使打开其防火墙并且启用“不允许例外”，无需将IE加到“ 例外”就能上网，而防火墙也不会询问是否要允许IE通过。 ★SP2防火墙与第三方防火墙软件的区别 仅就防火墙功能而言， Windows防火墙只阻截所有传入的未经请求的流量， 对主动请求传出的流量不作理会。 而第三方病毒防火墙软件一般都会对两个方向的访问进行监控和审核，这一点是它们之间最大的区别。 如果入侵已经发生或间谍软件已经安装，并主动连接到外部网络， 那么Windows防火墙是束手无策的。不过由于攻击多来自外部， 而且如果间谍软件偷偷自动开放端口来让外部请求连接， 那么Windows防火墙会立刻阻断连接并弹出安全警告，所以普通用户不必太过担心这点。这就好像宾馆里的房门一样?? 外面的人要进入必须用钥匙开门，而屋里的人要出门， 只要拉一下门把手就可以了。