试题一

阅读下列说明，回答问题1至问题4。

    【说明】恶意代码是指为达到恶意目地专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。

1、【问题1】

    按照恶意代码分类，此次爆发的恶意软件属于哪种类型?

2、【问题2】

    此次勒索软件针对的软件攻击目标是Windows还是Linux类系统?

3、【问题3】

    恶意代码具有的共同特征是什么?

4、【问题4】

    由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写下面防火墙过滤规则表中的第一小题到第五小题，使该过滤规则完整。

    注：假设本机IP地址为：1.2.3.4，*表示通配符。

规则号

源地址

目地地址

源端口

目地端口

……此处隐藏13249个字…… 、属于拒绝服务攻击，其名字为SYN flood攻击。

[考点] 本题考查拒绝服务攻击的基本原理。

18、可采用误用检测技术进行检测。因为SYN flood攻击具有固定的攻击行为，攻击特征明显。

[解析] 异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差较大，则认为有异常情况发生。

    误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工编写相应的检测规则和特征模型。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。

    SYN flood攻击具有固定的攻击行为，攻击特征明显，所以可以使用误用检测的方法进行检测。

19、Snort的配置有3种主要模式：嗅探、包记录和网络入侵检测。

[解析] Snort是基于C语言的入侵检测系统，具有多平台、实时流量分析、网络IP数据包记录等特性。

    Snort有三种工作模式：嗅探器、包记录、网络入侵检测模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。包记录模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的，可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。