安全常识99问

J_Pig

Q1\r\n问：什么是网络安全?\r\n答：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。\r\n\r\nQ2\r\n问：什么是计算机病毒?\r\n答：计算机病毒（Computer Virus）是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。\r\n\r\nQ3\r\n问：什么是木马?\r\n答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端（client）和服务器端（server）。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。\r\n\r\nQ4\r\n问：什么是Java恶意程序码?\r\n答：Java applet是一种内嵌在HTML网页中的小程序，会在使用者浏览网页时被执行，原本是供Web开发人员建立含有功能更丰富的互动式Web网页。不过恶意攻击者会使用Java恶意程序代码当做武器攻击使用者的系统，如修改注册表、运行DOS命令。可将浏览器安全设定为“高”来禁止执行这些Applet。\r\n\r\nQ5\r\n问：什么是ActiveX恶意程序码?\r\n答：ActiveX恶意程序码是利用ActiveX控制项在网页中生成的一段具有攻击性的程序代码。ActiveX控制项是一种内嵌在Web网页的组件，可供Web开发人员建立含有功能更丰富的互动式动态Web网页，当使用者浏览网页时便会被启动。但是如果这个网页中被嵌入了ActiveX恶意控制码，攻击程序也同样会自动运行。我们可以通过在IE中对安全性的设置来限制ActiveX控制项的运行。\r\n\r\nQ6\r\n问：什么是恶意网页?它有什么危害？\r\n答：网页恶意代码可以说是一种广义上的病毒，但是它又不同于传统意义上的病毒。网页恶意代码不具有传染性，但是它具有极强的破坏性与欺骗性，每个上网用户都有可能遇见，而且没有很好的办法来识别它。恶意网页大多是在一些个人站点的页面上，访问的绝对数量不小，相对数量较少，一般不具备传染性，危害性没有电子邮件病毒那么大。用户在受到恶意网页的攻击时，会出现注册表被修改、IE默认主页被修改、系统文件丢失、无法正常浏览其他网页等情况。\r\n\r\nQ7\r\n问：什么是网络安全中常说的黑软?\r\n答：黑软就是带有网络攻击性的软件。这些软件通常是针对特定的操作系统或应用程序来编写的，通过操作系统和应用程序自身的漏洞来对电脑进行恶意攻击，以窃取隐私、删改数据等。\r\n\r\nQ8\r\n问：什么是宏病毒?\r\n答：所谓宏，就是软件设计者为了让人们在使用软件工作时，避免一再地重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏。在工作时，可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。为了方便人们的使用，Word定义出一种文件格式，将文档以及该文档所需要的宏一起放在后缀为.dot的文件之中，而不同于以往的软件将资料和宏分开储存的方法。正因为这种既是宏亦是资料的文档格式，便产生了被宏感染的可能性。因为文档资料的携带性极高，如果宏亦随着文档被分派到不同的工作平台，只要能被执行，也就类似于计算机病毒的传染了。\r\n\r\nQ9\r\n问：什么是防火墙?它是如何确保网络安全的？\r\n答：使用防火墙（Firewall）是一种确保网络安全的方法。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。\r\n\r\nQ10\r\n问：什么是Cookies？它会导致怎样的安全隐患？\r\n答：HTML是一种无记忆的协议，也就是说用户目前正在浏览的主页对在此之前浏览过的主页没有丝毫记忆和了解。而实际上我们可能希望浏览器能够记住一些信息，但又不希望让使用者看到，这个需求由HTML本身无法解决，于是引入了Cookies的概念。当你访问一个网站时，Cookies将自动储存于你的IE内。其间包含了用户访问该网站的种种活动、个人资料、浏览习惯、消费习惯甚至信用记录等。这些信息用户无法看到，当浏览器向此网址的其他主页发出GET请求时，此Cookies信息也会随之发送过去，供该主页使用，这样就实现了一定程度上的HTML的记忆能力。这本该是只能由原设置Cookies的网站才能读取的内容，但是却可以被不怀好意的人利用某些非法手段获得。为了让个人隐私得到安全保障，可以在IE设置中对Cookies的使用做出限制。\r\n\r\nQ11\r\n问：什么是IP扫描?\r\n答：IP扫描是指利用某些特定工具对网络中的用户进行扫描，获取对方的IP地址。IP扫描通常是网络攻击的前奏，因此阻止别人对自己电脑进行IP扫描是防范网络攻击的重要手段之一。\r\n\r\nQ12\r\n问：什么是端口扫描?它有什么作用？\r\n答：端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。\r\n\r\nQ13\r\n问：听说各种软件都有漏洞，那么什么叫漏洞?\r\n答：漏洞（Bug）是指操作系统和应用软件中存在的各种缺陷。\r\n\r\nQ14\r\n问：什么是后门?为什么会存在后门？\r\n答：后门（Back Door）是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。\r\n\r\nQ15\r\n问：什么叫入侵检测？\r\n答：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象\r\n\r\nQ16\r\n问：什么是网络监听?\r\n答：网络监听是黑客们常用的一种方法。当黑客成功地登录进一台网络上的主机、并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。在网络上，监听效果最好的是网关、路由器、防火墙一类的设备，这些设备通常由网络管理员来操作。\r\n\r\nQ17\r\n问：什么叫安全区域？它有什么作用？\r\n答：在Windows NT和Windows 95/98 中，当你使用网络或访问已认为是可信的Web 站点时，“安全区”提供对你的计算机和隐私的保护，而不用重复地收到警告。根据指定Web站点的安全区域，Internet Explorer可提供不同级别的安全。例如，你很可能信任公司Intranet中的站点，想允许所有类型的活动内容在此处运行。你可能对Internet中站点感觉不太信任，那么可以指定它们到“未信任”区，防止活动内容运行和防止代码下载到自己的计算机。\r\n\r\nQ18\r\n问：什么叫数据包监测?它有什么作用？\r\n答：数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页，这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。\r\n\r\nQ19\r\n问：什么是嗅探器，它有什么作用?\r\n答：嗅探器的英文写法是Sniff，可以理解为是一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释一部电话的窃听装置可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。\r\n\r\nQ20\r\n问：什么叫本地攻击？它是如何发生的？\r\n答：当我们在本地共享一个文件夹后，不管是否把它设置为隐藏或密码访问，都有可能被人采用不法的手段访问到。这种非法删改数据、窃取文件等攻击就被称为本地攻击。\r\n\r\nQ21\r\n问：什么叫远程攻击？它的攻击对象是什么？\r\n答：远程攻击的攻击对象是攻击者还无法控制的计算机。也可以说，远程攻击是一种专门攻击除攻击者自己计算机以外的计算机（无论被攻击的计算机和攻击者位于同一地点还是有千里之遥）。“远程计算机”此名词最确切的定义是：“一台远程计算机是这样一台机器，它不是你正在其上工作的平台，而是能利用某协议通过Internet或任何其他网络介质被访问的计算机”。\r\n\r\nQ22\r\n问：什么是缓冲区溢出攻击?\r\n答：缓冲区溢出攻击是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，以达到攻击的目的。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。造成缓冲区溢出的原因是程序没有仔细检查用户输入的参数。\r\n\r\nQ23\r\n问：什么叫欺骗攻击?它有哪些攻击方式？\r\n答：网络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有：IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。\r\n\r\nQ24\r\n问：什么是OOB攻击?它会导致什么后果？\r\n答：OOB的意思是“束缚数据脱离”，这是一种破坏Windows系统的过程。它通过向TCP端口139发送随机数来攻击操作系统，从而让中央处理器（CPU）一直处于繁忙状态。\r\n\r\nQ25\r\n问：什么是拒绝服务DoS?它是如何发生的？\r\n答：拒绝服务DoS是Denial of Service的缩写，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。\r\n连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。\r\n\r\nQ26\r\n问：什么是DDoS？它会导致什么后果？\r\n答：DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。\r\n\r\nQ27\r\n问：局域网内部的ARP攻击是指什么？\r\n答：ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。\r\n基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：\r\n1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。\r\n2.计算机不能正常上网，出现网络中断的症状。\r\n因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。\r\n\r\nQ28\r\n问：什么叫加总比对法（Check-sum）？\r\n答：加总比对法根据每个程序的文件名称、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用Check－sum系统追踪并记录每个程序的检查码是否被更改，以判断是否中毒。这种技术可侦察到各种病毒，但最大的缺点就是误判断几率高，且无法确认是哪种病毒感染的。\r\n\r\nQ29\r\n问：什么是人工智能陷阱？它有什么作用？\r\n答：人工智能陷阱是一种监测计算机行为的常驻式扫描技术。\r\n它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会有所警觉，并告知使用者。\r\n这种技术的优点是执行速度快、手续简便，且可以侦察到各式病毒;其缺点就是程序设计难，且不容易考虑周全。\r\n\r\nQ30\r\n问：什么是软件仿真扫描法？它有什么作用？\r\n答：该技术专门用来对付千面人病毒。千面人病毒在每次传染时，都以不同的随机数加密于每个中毒的档案中，用传统病毒码比对的方式根本就无法找到这种病毒。\r\n软件仿真技术则能成功地仿真CPU执行，在其设计的DOS虚拟机器（VirtualMachine）下假执行病毒的变体引擎译码程序，安全并确实地将多型体病毒解开，使其显露原本的面目，再加以扫描。\r\n\r\nQ31\r\n问：什么是TCP/IP序列号攻击？\r\n答：就是猜测TCP/IP的序列号，然后进行IP欺骗。\r\n\r\nQ32\r\n问：轻微破坏病毒的定义是什么?\r\n答：文件备份是人们用于对抗病毒的一种常用的方法，这种病毒就是针对备份而设计的。它每次只破坏一点点数据，用户难以察觉。而当用户发觉到数据被破坏时，可能所有备份的数据均是被破坏的。\r\n\r\nQ33\r\n问：什么叫Windows病毒?\r\n答：主要指针对Windows操作系统的病毒。现在的电脑用户一般都安装Windows操作系统。Windows病毒一般感染Windows操作系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略使用Windows NT和Windows 2000操作系统的计算机。一些Windows病毒不仅在Win9x上正常感染，还可以感染WinNT上的其他文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。\r\n\r\nQ34\r\n问：什么叫DOS病毒?\r\n答：指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Windows病毒的出现，DOS病毒几乎绝迹。但DOS病毒在Windows环境中仍可以进行感染活动，因此若执行染毒文件，Windows用户也会被感染。我们使用的杀毒软件能够查杀的病毒中一半以上都是DOS病毒。\r\n\r\nQ35\r\n问：什么叫入侵型病毒?\r\n答：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下难以发现，清除起来较困难。\r\n\r\nQ36\r\n问：什么叫嵌入式病毒?\r\n答：这种病毒将自身代码嵌入到被感染文件中，当文件被感染后，查杀和清除病毒都非常不易。不过编写嵌入式病毒比较困难，所以这种病毒数量不多。\r\n\r\nQ37\r\n问：什么叫外壳类病毒?\r\n答：这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多，大多感染文件的病毒都是这种类型。\r\n\r\nQ38\r\n问：什么是病毒生成工具?它有什么作用？\r\n答：通常是以菜单形式驱动，只要是具备一点计算机知识的人，利用病毒生成工具就可以轻易地制造出计算机病毒，而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。\r\n\r\nQ39\r\n问：什么叫隐蔽性病毒?\r\n答：隐蔽性病毒是检测病毒技术发展到一定时期的产物。当人们越来越了解电脑病毒，并有了一套成熟的检测病毒方法的时候，病毒要想广泛传播开来，就必须躲避现有的病毒检测技术，不让人发现。隐蔽自己不被发现的病毒技术叫做隐蔽性病毒技术，\r\n隐蔽性病毒技术是与电脑病毒检测技术相对应的。一般来说，有什么样的病毒检测技术，就有相应的隐蔽性病毒技术。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，那么隐蔽性病毒能先于检测工具将被查文件中的病毒代码剥去，检测工具检查到的会是一个虚假的″好文件″，从而被隐蔽性病毒所蒙骗。\r\n\r\nQ40\r\n问：什么是操作系统型病毒?它有什么危害？\r\n答：这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了操作系统，这种病毒在运行时，会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。同时，这种病毒对系统中文件的感染性也很强。\r\n\r\nQ41\r\n问：什么是良性电脑病毒?它真的无害吗？\r\n答：良性病毒是指其不包含有立即对电脑系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台电脑传染到另一台，并不破坏电脑内的数据。\r\n良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，导致整个系统死锁，给正常操作带来麻烦。而且整个电脑系统也由于多种病毒寄生于其中而无法正常工作。\r\n\r\nQ42\r\n问：什么是恶性病毒?它有什么危害？\r\n答：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统 死机、崩溃、无法重启。这些就是恶性病毒对系统造成的危害，当它们传染时会引起无法预料的和灾难性的破坏。这类病毒的破坏性都很强，所以对这类病毒要特别小心。\r\n\r\nQ43\r\n问：什么叫伴随型病毒?它有什么特点？\r\n答：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），利用DOS加载文件的优先顺序进行工作。例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。\r\n这类病毒的特点是不改变原来的文件内容、日期及属性。解除病毒时只要将其伴随体删除即可。\r\n\r\nQ44\r\n问：莫里斯蠕虫是指什么?它有什么特点？\r\n答：它的编写者是美国康乃尔大学一年级研究生罗特•莫里斯。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。\r\n最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。\r\n\r\nQ45\r\n问：病毒的传染性是指什么?\r\n答：计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，就会搜寻其他符合传染条件的程序，确定目标后再将自身代码插入其中，达到自我繁殖的目的。或者它会潜伏在计算机上的某个位置，静静地等待感染其他程序的机会来临。当病毒感染一台计算机后，只要有机会，它就会在这台计算机上迅速扩散，大量文件会被感染。而被感染的文件又成了新的传染源。通过与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。\r\n\r\nQ46\r\n问：什么叫病毒的隐蔽性?\r\n答：病毒一般是具有很高编程技巧、短小精悍的程序。它的身材一般只有几百或1K字节，而计算机对文件的存取速度可达每秒几十MB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，非常不易被人察觉。在没有防护措施的情况下，病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。\r\n\r\nQ47\r\n问：什么叫病毒的潜伏性?\r\n答：病毒发作一般都需要条件，如同一颗定时炸弹，不到时间决不爆炸一样。它会长期隐藏在系统中，默默地等待发动破坏时机的来临。只有在满足其特定条件时才启动其表现模块，而且很多病毒在展现它们的破坏性时，对计算机用户而言，那也就是灾难发生的时刻了。\r\n\r\nQ48\r\n问：什么是加密型病毒?\r\n答：现在的病毒越来越狡猾，其中有一种病毒自身含有非常特殊的程序，并用该程序将病毒码本身加密来躲避各种防、杀病毒软件的侦测。不过，如今流行的防毒产品都更新很快，已经具有了对病毒码本身解密以及侦测这种“加密型病毒”的能力。\r\n\r\nQ49\r\n问：什么叫可执行文件型病毒?\r\n答：可执行文件型病毒会感染执行文件（通常是指扩展名为.com或.exe的文件）。这种病毒大部分都只是企图以感染其他主机程序的方式进行复制散播，不过有些会因为覆盖原始程序代码而导致原始程序被破坏。这种病毒有一小部分非常具有破坏性，而且会在预设的时间企图将硬盘格式化或执行一些其他恶意操作。\r\n\r\nQ50\r\n问：什么是破坏性病毒?\r\n答：该类病毒除了自我复制外，还具有非常强大的将病毒通过互联网传播出去的能力（现在网上流行的大部分病毒都是这样的情况）。此类病毒具有的破坏性是按病毒会对用户的系统所执行的破坏现象区分的，例如破坏或删除文件、将硬盘格式化以及进行拒绝服务（也就是我们常看到的DoS攻击）等攻击。

happy-idiot

好好学习一下！！！！1

ynhnqlzyh

受教了 理论上好好补了下

peter11888

受教了 理论上好好补了下

peter11888

受教了 理论上好好补了下

mmx0915

好好学习:shui: :shui:

halls2009

我大概可以发个1000问的。:hei2: