复习题选择以及判断题

网络攻防与入侵检测期末复习

1、TELNET协议主要应用于哪一层（A ）

A、应用层

B、传输层

C、Internet层

D、网络层

2、一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于（ A ）基本原则。

A、最小特权

B、阻塞点

C、失效保护状态

D、防御多样化

3、不属于安全策略所涉及的方面是（D ）。

A、物理安全策略

B、访问控制策略

C、信息加密策略

D、防火墙策略

4、对文件和对象的审核，错误的一项是（D）

A、文件和对象访问成功和失败

B、用户及组管理的成功和失败

C、安全规则更改的成功和失败

D、文件名更改的成功和失败

5、WINDOWS主机推荐使用（A ）格式

A、NTFS

B、FAT32

C、FAT

D、LINUX

6、UNIX系统的目录结构是一种（A ）结构

A、树状

B、环状

C、星状

D、线状

7、在每天下午5点使用计算机结束时断开终端的连接属于（A ）

A、外部终端的物理安全

B、通信线的物理安全

C、窃听数据

D、网络地址欺骗

8、检查指定文件的存取能力是否符合指定的存取类型，参数3是指（B ）

A、检查文件是否存在

B、检查是否可写和执行

C、检查是否可读

D、检查是否可读和执行

9、（D ）协议主要用于加密机制

A、HTTP

B、FTP

C、TELNET

D、SSL

10、不属于WEB服务器的安全措施的是（ D ）

A、保证注册帐户的时效性

B、删除死帐户

C、强制用户使用不易被破解的密码

D、所有用户使用一次性密码

11、DNS客户机不包括所需程序的是（D ）

A、将一个主机名翻译成IP地址

B、将IP地址翻译成主机名

C、获得有关主机其他的一公布信息

D、接收邮件

12、下列措施中不能增强DNS安全的是（C ）

A、使用最新的BIND工具

B、双反向查找

C、更改DNS的端口号

D、不要让HINFO记录被外界看到

13、为了防御网络监听，最常用的方法是（B ）

A、采用物理传输（非网络）

B、信息加密

C、无线网

D、使用专线传输

14、监听的可能性比较低的是（B ）数据链路。

A、Ethernet

B、电话线

C、有线电视频道

D、无线电

15、NIS的实现是基于（C ）的。

A、FTP

B、TELNET

C、RPC

D、HTTP

16、NIS/RPC通信主要是使用的是（B ）协议。

A、TCP

B、UDP

C、IP

D、DNS

17、向有限的空间输入超长的字符串是（A ）攻击手段。

A、缓冲区溢出

B、网络监听

C、端口扫描

D、IP欺骗

18、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（A）漏洞

A、拒绝服务

B、文件共享

C、BIND漏洞

D、远程过程调用

19、不属于黑客被动攻击的是（A ）

A、缓冲区溢出

B、运行恶意软件

C、浏览恶意代码网页

D、打开病毒附件

20、Windows NT/2000 SAM存放在（D ）。

A、WINNT C、WINNT/SYSTEM32

B、WINNT/SYSTEM D、WINNT/SYSTEM32/config

21、输入法漏洞通过（D ）端口实现的。

A、21

B、23

C、445

D、3389

22、使用Winspoof软件，可以用来（C ）

A、显示好友QQ的IP

B、显示陌生人QQ的IP

C、隐藏QQ的IP

D、攻击对方QQ端口

23、属于IE共享炸弹的是（B ）

A、net use \\192.168.0.1\tanker$ “” /user:””

B、\\192.168.0.1\tanker$\nul\nul

C、\\192.168.0.1\tanker$

D、net send 192.168.0.1 tanker

24、抵御电子邮箱入侵措施中，不正确的是（D ）

A、不用生日做密码

B、不要使用少于5位的密码

C、不要使用纯数字

D、自己做服务器

25、网络精灵的客户端文件是（ D ）

A、UMGR32.EXE

B、Checkdll.exe

C、KENRNEL32.EXE

D、netspy.exe

26、不属于常见把入侵主机的信息发送给攻击者的方法是（D）

A、E-MAIL

B、UDP

C、ICMP

D、连接入侵主机

27、http://IP/scripts/..%255c..%255winnt/system32/cmd.exe?/c+del+c:\tanker.txt可以（C ）

A、显示目标主机目录

B、显示文件内容

C、删除文件

D、复制文件的同时将该文件改名

28、不属于常见的危险密码是（D ）

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位的综合型密码

29、不属于计算机病毒防治的策略的是（D ）

A、确认您手头常备一张真正“干净”的引导盘

B、及时、可靠升级反病毒产品

C、新购置的计算机软件也要进行病毒检测

D、整理磁盘

30、针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（ D ）防火墙的特点。

A、包过滤型

B、应用级网关型

C、复合型防火墙

D、代理服务型

1．下列对计算机网络的攻击方式中，属于被动攻击的是( A )

A．口令嗅探B．重放

C．拒绝服务D．物理破坏

2．OSI 安全体系结构中定义了五大类安全服务，其中，数据机密性服务主要针对的安全威胁是( B )

A．拒绝服务B．窃听攻击

C．服务否认D．硬件故障

3．为了提高电子设备的防电磁泄漏和抗干扰能力，可采取的主要措施是( B )

A．对机房进行防潮处理B．对机房或电子设备进行电磁屏蔽处理

C．对机房进行防静电处理D．对机房进行防尘处理

4．为保证计算机网络系统的正常运行，对机房内的三度有明确的要求。其三度是指

( A )

A．温度、湿度和洁净度B．照明度、湿度和洁净度

C．照明度、温度和湿度D．温度、照明度和洁净度

5．下列加密算法中，属于双钥加密算法的是( D )

A．DES B．IDEA

C．Blowfish D．RSA

6．公钥基础设施(PKI)的核心组成部分是( A )

A．认证机构CA B．X.509 标准

C．密钥备份和恢复D．PKI 应用接口系统

7．下面关于防火墙的说法中，正确的是( C )

A．防火墙可以解决来自内部网络的攻击

B．防火墙可以防止受病毒感染的文件的传输

C．防火墙会削弱计算机网络系统的性能

D．防火墙可以防止错误配置引起的安全威胁

8．包过滤技术防火墙在过滤数据包时，一般不. 关心( D )

A．数据包的源地址B．数据包的目的地址

C．数据包的协议类型D．数据包的内容

9．不. 属于CIDF 体系结构的组件是( C )

A．事件产生器B．事件分析器

C．自我防护单元D．事件数据库

10．阈值检验在入侵检测技术中属于( B )

A．状态转换法B．量化分析法

C．免疫学方法D．神经网络法

11．由于系统软件和应用软件的配置有误而产生的安全漏洞，属于( C )

A．意外情况处置错误B．设计错误

C．配置错误D．环境错误

12．采用模拟攻击漏洞探测技术的好处是( D )

A．可以探测到所有漏洞B．完全没有破坏性

C．对目标系统没有负面影响D．探测结果准确率高

13．下列计算机病毒检测手段中，主要用于检测已知病毒的是( A )

A．特征代码法B．校验和法

C．行为监测法D．软件模拟法

14．在计算机病毒检测手段中，校验和法的优点是( D )

A．不会误报B．能识别病毒名称

C．能检测出隐蔽性病毒D．能发现未知病毒

15．一份好的计算机网络安全解决方案，不仅要考虑到技术，还要考虑的是( C )

A．软件和硬件B．机房和电源

C．策略和管理D．加密和认证

【试题1】按照检测数据的来源可将入侵检测系统（IDS）分为_____A_____。

A．基于主机的IDS和基于网络的IDS

B．基于主机的IDS和基于域控制器的IDS

C．基于服务器的IDS和基于域控制器的IDS

D．基于浏览器的IDS和基于网络的IDS

【试题2】一般来说入侵检测系统由3部分组成，分别是事件产生器、事件分析器和_D_______。

A．控制单元B．检测单元C．解释单元D．响应单元

【试题3】按照技术分类可将入侵检测分为_______A___。

A．基于标识和基于异常情况

B．基于主机和基于域控制器

C．服务器和基于域控制器

D．基于浏览器和基于网络

【试题4】不同厂商的IDS系统之间需要通信，这种通信格式是____A____。

A．IDMEF B．IETF C．IEEE D．IEGF

【试题5】入侵检测的基础是______AB ___

（1）A ，入侵检测的核心是（2）B。

（1）（2）A. 信息收集 B. 信号分析C. 入侵防护D. 检测方法

【试题6】信号分析有模式匹配、统计分析和完整性分析等3种技术手段，其中_D______用于事后分析。

A．信息收集B．统计分析C．模式匹配D．完整性分析

【试题7】网络漏洞扫描系统通过远程检测_______C___TCP/IP不同端口的服务，记录目标给予的回答。

A．源主机B．服务器C．目标主机D．以上都不对

【试题8】__C______系统是一种自动检测远程或本地主机安全性弱点的程序。

A．入侵检测B．防火墙C．漏洞扫描D．入侵防护

【试题9】下列选项中_______D__不属于CGI漏洞的危害。

A．缓冲区溢出攻击B．数据验证型溢出攻击

C．脚本语言错误D．信息泄漏

【试题10】基于网络低层协议，利用协议或操作系统实现时的漏洞来达到攻击目的，这种攻击方式称为_________B_。

A．服务攻击B．拒绝服务攻击C．被动攻击D．非服务攻击

【试题11】特洛伊木马攻击的威胁类型属于___D______。

A．授权侵犯威胁B．植入威胁C．渗入威胁D．旁路控制威胁

【试题12】在网络安全中，截取是指未授权的实体得到了资源的访问权。这是对____B____。A．可用性的攻击B．完整性的攻击

C．保密性的攻击D．真实性的攻击

【试题13】有一种攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统显影减慢甚至瘫痪。它影响正常用户的使用，甚至使合法用户被排斥而不能得到服务。这种攻击叫做__B________攻击。

A．可用性攻击B．拒绝性攻击

C．保密性攻击D．真实性攻击

【试题14】提高网络安全性可以从以下两方面入手：一是从技术上对网络资源进行保护；二是要求网络管理员与网络用户严格遵守网络管理规定与使用要求。要做到这一点，就必须加强对网络管理人员和网络用户的技术培训和网络__B_______。

A．使用方法培训B．安全教育

C．软件开发培训D．应用开发教育

【试题15】下列说法错误的是______C___。

A．服务攻击是针对某种特定网络的攻击

B．非服务攻击是针对网络层协议而进行的

C．主要的渗入威胁有特洛伊木马和陷井

D．潜在的网络威胁主要包括窃听、通信量分析、人员疏忽和媒体清理等

【试题16】从网络高层协议角度看，网络攻击可以分为__B________。

A．主动攻击与被动攻击B．服务攻击与非服务攻击

C．病毒攻击与主机攻击D．侵入攻击与植入攻击

【试题17】在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。这是对____A_____。

A．可用性的攻击B．保密性的攻击

C．完整性的攻击D．真实性的攻击

【试题18】对网络的威胁包括：

Ⅰ. 假冒Ⅱ. 特洛伊木马

Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯

在这些威胁中，属于渗入威胁的为____A______。

A．Ⅰ、Ⅲ和ⅤB. Ⅲ和Ⅳ

C．Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ

【试题19】如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法的用户的请求，这种手段属于_A________攻击。

A．拒绝服务B．口令入侵C．网络监听D．IP哄骗

【试题20】有一种攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统显影减慢甚至瘫痪。它影响正常用户的使用，甚至使合法用户被排斥而不能得到服务。这种攻击叫做_____B_____攻击。

A．可用性攻击B．拒绝性攻击

C．保密性攻击D．真实性攻击

判断题

31、网络安全应具有以下四个方面的特征：保密性、完整性、可用性、可查性。（错）

32、最小特权、纵深防御是网络安全原则之一。（对）

33、安全管理从范畴上讲，涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。（对）

34、用户的密码一般应设置为16位以上。（对）

35、开放性是UNIX系统的一大特点。（对）

36、密码保管不善属于操作失误的安全隐患。（错）

37、防止主机丢失属于系统管理员的安全管理范畴。（错）

38、我们通常使用SMTP协议用来接收E-MAIL。（错）

39、在堡垒主机上建立内部DNS服务器以供外界访问，可以增强DNS服务器的安全性。（错）

40、TCP FIN属于典型的端口扫描类型。（对）

41、为了防御网络监听，最常用的方法是采用物理传输。（错）

42、NIS的实现是基于HTTP实现的。（对）

43、文件共享漏洞主要是使用NetBIOS协议。（对）

44、使用最新版本的网页浏览器软件可以防御黑客攻击。（对）

45、WIN2000系统给NTFS格式下的文件加密，当系统被删除，重新安装后，原加密的文件就不能打开了。（对）

46、通过使用SOCKS5代理服务器可以隐藏QQ的真实IP。（对）

47、一但中了IE窗口炸弹马上按下主机面板上的Reset键，重起计算机。（错）

48、禁止使用活动脚本可以防范IE执行本地任意程序。（对）

49、只要是类型为TXT的文件都没有危险。（错）

50、不要打开附件为SHS格式的文件。（对）

51、BO2K的默认连接端口是600。（错）52、发现木马，首先要在计算机的后台关掉其程序的运行。（对）

53、限制网络用户访问和调用cmd的权限可以防范Unicode漏洞。（对）

54、解决共享文件夹的安全隐患应该卸载Microsoft网络的文件和打印机共享。（对）

55、不要将密码写到纸上。（对）

56、屏幕保护的密码是需要分大小写的。错）

57、计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。（对）

58、木马不是病毒。（对）

59、复合型防火墙防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能。（对）

60、非法访问一旦突破数据包过滤型防火墙，即可对主机上的软件和配置漏洞进行攻击。（错）

老师的作业

作业一：S Y N F l o o d攻击

S Y N F l o o d的效用：是当前最流行的D o S（拒绝服务攻击）与D D o S（分布式拒绝服务攻击）的方式之一。

造成S Y N F l o o d的原因：这是一种利用T C P协议缺陷，发送大量伪造

的T C P连接请求，从而使得被攻击方资源耗尽（C P U满负荷或内存不足）的攻击方式。

T C P的缺陷：T C P与U D P不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送T C P数据，必须先建立一个虚拟电路，也就是T C P连接，建立T C P连接的标准过程是这样的：首先，请求端（客户端）发送一个包含S Y N标志的T C P报文，S Y N即同步（S y n c h r o n i z e），同步报文会指明客户端使用的端口以及T C P连接的初始序号；第二步，服务器在收到客户端的S Y N报文后，将返回一个S Y N+A C K的报文，

表示客户端的请求被接受，同时T C P序号被加一，A C K即确认

（A c k n o w l e d g e m e n t）。第三步，客户端也返回一个确认报文A C K给服务器端，同样T C P序列号被加一，到此一个T C P连接完成。以上的连接过程在T C P协议中被称为三次握手（T h r e e-w a y H a n d s h a k e）。

问题就出在T C P连接的三次握手中，假设一个用户向服务器发送了S Y N 报文后突然死机或掉线，那么服务器在发出S Y N+A C K应答报文后是无法收到客户端的A C K报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送S Y N+A C K给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为S Y N Ti m e o u t，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源——数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的C P U时间和内存，何况还要不断对这个

列表中的I P进行S Y N+A C K的重试。实际上如果服务器的T C P/I P栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的T C P连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况下，服务器端受到了S Y N F l o o d 攻击。

作业二：H T T P和E m a i l代理服务器的工作原理

二者都是应用层代理服务器。原理基本类似：当客户在浏览器中设置佳P r o x y S e r v e r后，使用浏览器访问一切W W W站点的请求都不会直接发

给目标主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器的主机收出请求，并接收的主机的数据，存于代理服

务器的硬盘中，然后再由代理服务器将客户请求的数据发给客户。

用h t t p代理上网。过程是机器和代理服务器建立T C P连接。机器发出

G E T命令。这时G E T命令中包含U R L或I P地址，明文。代理服务器将

其中的U R L转换为I P地址，可能会有D N S。将源数据包中的数据拷贝

下来。去掉U R L，重新组包，再发出去。

邮件代理服务器专用于电子邮件的收发传递，其中用于邮件发送的称为

S M T P代理，用于邮件接收的称为P O P3代理。电子邮件的收发分别采

用S M T P和P O P3协议，邮件客户端程序和邮件服务器之间通过一系列

约定的命令序列和相应的应答信息，完成邮件收发。应用型邮件代理对

邮件收发过程实施监控，必须对邮件的协议、编码等进行具体处理；而

路由型代理只负责邮件请求和回应的中转，实现较为简单。

作业三：I D S与I P S的区别

1、入侵检测系统I D S

I D S（I n t r u s i o n D e t e c t i o n S y s t e m s）是入侵检测系统。就是依照一

定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻

击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整

性和可用性。

I D S是一个旁路监听设备，没有也不需要跨接在任何链路上，无须

网络流量流经它便可以工作。因此，对I D S的部署的唯一要求是：I D S

应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注

流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网

络报文。

I D S在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可

能靠近受保护资源。这些位置通常是：服务器区域的交换机上；I n t e r n e t 接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

2、入侵防御系统I P S

I P S（I n t r u s i o n P r e v e n t i o n S y s t e m）是入侵防御系统。随着网络攻

击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统

I D S的技术，已经无法应对一些安全威胁。在这种情况下，I P S技术应

运而生，I P S技术可以深度感知并检测流经的数据流量，对恶意报文进

行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的I P S，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计

分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根

据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次T C P连接。

I P S是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，I P S会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。

而I D S只是存在于你的网络之外起到报警的作用，而不是在你的网络前

面起到防御的作用。

I P S检测攻击的方法也与I D S不同。一般来说，I P S系统都依靠对

数据包的检测。I P S将检查入网的数据包，确定这种数据包的真正用途，

然后决定是否允许这种数据包进入你的网络。

目前无论是从业于信息安全行业的专业人士还是普通用户，都认为

入侵检测系统和入侵防护系统是两类产品，并不存在入侵防护系统要替

代入侵检测系统的可能

作业四：W i n d o w s远程攻击技术分类

答：主要可分为三大类：

1、远程口令字猜测与破解攻击。包括口令暴力破解，基于字典的猜测

以及中间人身份认证欺骗攻击技术。

2、攻击W i n d o w s网络服务。包括攻击W i n d o w s自身独有的S M B、M S R P C、N E T B I O S等网络服务的漏洞，以及攻击I I S、M S S Q L等各种互联网在

W i n d o w s系统上的具体服务实例的漏洞。

3、攻击Wi n d o w s客户端及用户。目前的主要方式为针对We b浏览器、第三方应用软件的客户端渗透攻击。

作业五：恶意代码

恶意代码的种类和特点：

1、计算机病毒：通过感染文件或磁盘引导扇区进行传播

2、蠕虫：通过网络传播，自动复制

3、恶意移动代码：从远程主机下载到本地执行的轻量级恶意代码

4、后门：绕过正常的安全机制，从而为攻击者提供访问途径

5、特洛伊木马：伪装成有用软件，隐藏恶意目的

6、僵尸程序：使用一对多的命令与控制机制组成僵尸网络

7、内核套件：通过替换和修改关键可执行文件，或通过控制操作系统

内核，用以获取并保持最高控制权

8、融合型恶意代码：融合上述多种恶意代码技术，构成更具有破坏性

的恶意代码形态