《黑客攻防》模擬試題

《計算機網絡安全》模擬題一、單選題（每題1分，共10分）各種通信網和TCP/IP之間的接口是TCP/IP分層結構中的（b）數(shù)據(jù)鏈路層B.網絡層C.傳輸層 D.應用層下面不屬于木馬特征的是（D）自動更換文件名，難于被發(fā)現(xiàn)B.程序執(zhí)行時不占太多系統(tǒng)資源不需要服務端用戶的允許就能獲得系統(tǒng)的使用權造成緩沖區(qū)的溢出，破壞程序的堆棧下面不屬于端口掃描技術的是（C）TCPconnect（）掃描 B.TCPFIN掃描C.IP包分段掃描 D.Land掃描負責產生、分配并管理PKI結構下所有用戶的證書的機構是（D）LDAP目錄服務器 B.業(yè)務受理點C.注冊機構RA D.認證中心CA5?防火墻按自身的體系結構分為（B）軟件防火墻和硬件防火墻 B.包過濾型防火墻和雙宿網關C.百兆防火墻和千兆防火墻 D.主機防火墻和網絡防火墻下面關于代理技術的敘述正確的是（C）能提供部分與傳輸有關的狀態(tài)能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息能處理和管理信息ABC都正確7?下面關于ESP傳輸模式的敘述不正確的是（A ）A.并沒有暴露子網內部拓撲 B.主機到主機安全C.IPSEC的處理負荷被主機分擔 D.兩端的主機需使用公網IP&下面關于網絡入侵檢測的敘述不正確的是（D）A.占用資源少 B.攻擊者不易轉移證據(jù)C.容易處理加密的會話過程 D.檢測速度快基于SET協(xié)議的電子商務系統(tǒng)中對商家和持卡人進行認證的是（BA.收單銀行 B.支付網關C.認證中心 D.發(fā)卡銀行下面關于病毒的敘述正確的是（AA?病毒可以是一個程序 B.病毒可以是一段可執(zhí)行代碼C.病毒能夠自我復制 D.ABC都正確下面不屬于按網絡覆蓋范圍的大小將計算機網絡分類的是（CA.互聯(lián)網 B.廣域網C.通信子網 D.局域網下面不屬于SYNFLOODING攻擊的防范方法的是（D）A.縮短SYNTimeout（連接等待超時）時間B.利用防火墻技術C.TCP段加密 D.根據(jù)源IP記錄SYN連接下面不屬于木馬偽裝手段的是（A）A.自我復制 B.隱蔽運行C.捆綁文件 D.修改圖標負責證書申請者的信息錄入、審核以及證書發(fā)放等工作的機構是（BA. LDAP目錄服務器 B.業(yè)務受理點C.注冊機構RA D.認證中心CA5?下面哪種信任模型的擴展性較好（C）A.單CA信任模型 B.網狀信任模型C.嚴格分級信任模型D.Web信任模型下面關于包過濾型防火墻協(xié)議包頭中的主要信息敘述正確的是（A ）包括IP源和目的地址包括內裝協(xié)議和TCP/UDP目標端口包括ICMP消息類型和TCP包頭中的ACK位ABC都正確下面關于LAN-LAN的敘述正確的是（C ）增加WAN帶寬的費用不能使用靈活的拓撲結構新的站點能更快、更容易地被連接不可以延長網絡的可用時間&下面關于ESP隧道模式的敘述不正確的是（C）安全服務對子網中的用戶是透明的子網內部拓撲未受到保護網關的IPSEC集中處理對內部的諸多安全問題將不可控下面關于入侵檢測的組成敘述不正確的是（A）事件產生器對數(shù)據(jù)流、日志文件等進行追蹤響應單元是入侵檢測系統(tǒng)中的主動武器事件數(shù)據(jù)庫是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分事件分析器將判斷的結果轉變?yōu)榫嫘畔⑾旅骊P于病毒校驗和檢測的敘述正確的是（B）無法判斷是被哪種病毒感染對于不修改代碼的廣義病毒無能為力容易實現(xiàn)但虛警過多ABC都正確二、填空題（每空1分，共25分）IP協(xié)議提供了 盡力而為 的傳遞服務。TCP/IP鏈路層安全威脅有：以太網共享信道的偵聽，MAC,ARP。DRDoS與DDoS的不同之處在干：攻擊端不需要占領大量傀儡機 。證書的作用是：用來向系統(tǒng)和其他實體證明自己的身份和攻法功鑰。SSL協(xié)議中雙方的主密鑰是在其 協(xié)議產生的。VPN的兩種實現(xiàn)形式：Client-LAN 和LAN-LAN 。IPSec是為了在IP層提供通信安全而制定的一套協(xié)議簇，是一個應用廣泛、開放的VPN。&根據(jù)檢測原理，入侵檢測系統(tǒng)分為—,誤用。病毒技術包括：寄生_技術，駐留技術,加密變形技術和隱藏技術。電子商務技術體系結構的三個層次是網絡平臺，安全基礎結構和電子商務業(yè)務,一個支柱是公共基礎部分。防火墻的兩種姿態(tài)拒絕沒有特別與許的任何事情和允許沒有特別拒絕的任何事情。TCP/IP層次劃分為 數(shù)據(jù)鏈路層、網絡層、傳輸層、應用層。TCP協(xié)議的滑動窗口協(xié)議的一個重要用途是流量控制 。誘騙用戶把請求發(fā)送到攻擊者自己建立的服務器上的應用戻攻擊方法是一DNS欺騙 。身份認證分為：單向認證和雙向認證。X.509證書包括：認證內容簽名算法和使用簽名算法對證書所作的簽名一三部分。防火墻主要通過服務控制，方向控制，用戶控制和行為控制四種手段來執(zhí)行安全策略和實現(xiàn)網絡控制訪問。SOCKS只能用于TCP服務，而不能用于UDP服務。典型的VPN組成包括一VPN服務器,VPN客戶機, 隧道和VPN連接。IPSec定義的兩種通信保護機制分別是：ESP機制和UDP機制。電子現(xiàn)金支付系統(tǒng)是一種—的支付系統(tǒng)。22?—是SET中的一個重要的創(chuàng)新技術。23.三、 判斷題（每題1分,共15分）TOC\o"1-5"\h\z1．以太網中檢查網絡傳輸介質是否已被占用的是沖突監(jiān)測。（ ）主機不能保證數(shù)據(jù)包的真實來源，構成了IP地址欺騙的基礎。（X）3．掃描器可以直接攻擊網絡漏洞。（ ）DNS欺騙利用的是DNS協(xié)議不對轉換和信息性的更新進行身份認證這一弱點。（ ）DRDoS攻擊是與DDoS無關的另一種拒絕服務攻擊方法。（ ）公鑰密碼比傳統(tǒng)密碼更安全。（）身份認證一般都是實時的，消息認證一般不提供實時性。（J）每一級CA都有對應的RA。（ ）加密/解密的密鑰對成功更新后，原來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰進行歸檔管理。（）防火墻無法完全防止傳送已感染病毒的軟件或文件。（ ）所有的協(xié)議都適合用數(shù)據(jù)包過濾。（ ）構建隧道可以在網絡的不同協(xié)議層次上實現(xiàn)。（V）蜜網技術（Honeynet）不是對攻擊進行誘騙或檢測。（ ）病毒傳染主要指病毒從一臺主機蔓延到另一臺主機。（ ）電子商務中要求用戶的定單一經發(fā)出，具有不可否認性。（ ）設計初期，TCP/IP通信協(xié)議并沒有考慮到安全性問題。（V）目前沒有理想的方法可以徹底根除IP地址欺騙。（ ）非盲攻擊較盲攻擊的難度要大。（）緩沖區(qū)溢出并不是一種針對網絡的攻擊方法。（V）DDoS攻擊破壞性大，難以防范，也難以查找攻擊源,被認為是當前最有效的攻擊手法。（V身份認證只證實實體的身份，消息認證要證實消息的合法性和完整性。（TOC\o"1-5"\h\z網狀信任模型單個CA安全性的削弱不會影響到整個PKI。（ ）防火墻將限制有用的網絡服務。（V應用代理不能解決合法IP地址不夠用的問題。（ ）VPN中用戶需要擁有實際的長途數(shù)據(jù)線路。（ ）對通信實體的身份進行認證的是IPSec的安全協(xié)議。（ ）ESP頭插在IP報頭之后，TCP或UDP等傳輸協(xié)議報頭之前。（ ）入侵檢測系統(tǒng)能夠完成入侵檢測任務的前提是監(jiān)控,分析用戶和系統(tǒng)的活動。（V蜜罐（Honeypot技術不會修補任何東西，只為使用者提供額外的、有價值的關于攻擊的信息。（V電子商務中要求用戶的定單一經發(fā)出，具有不可否認性。（V）四、 簡答題（每題5分，共30分TCP/IP的分層結構以及它與OSI七層模型的對應關系。TCP/IP層析劃分OSI層次劃分應用層應用層會話層傳輸層會話層

傳輸層網絡層網絡層數(shù)據(jù)鏈路層鏈路層物理層簡述拒絕服務攻擊的概念和原理。拒絕服務攻擊的概念：廣義上講，拒絕服務（DoS,Denialofservice）攻擊是指導致服務器不能正常提供服務的攻擊。確切講，DoS攻擊是指故意攻擊網絡協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務，使目標系統(tǒng)停止響應，甚至崩潰。拒絕服務攻擊的基本原理是使被攻擊服務器充斥大量要求回復的信息，消耗網絡帶寬或系統(tǒng)資源，導致網絡或系統(tǒng)超負荷，以至于癱瘓而停止提供正常的網絡服務。簡述交叉認證過程首先，兩個CA建立信任關系。雙方安全交換簽名公鑰，利用自己的私鑰為對方簽發(fā)數(shù)字證書，從而雙方都有了交叉證書。其次，利用CA的交叉證書驗證最終用戶的證書。對用戶來說就是利用本方CA公鑰來校驗對方CA的交叉證書，從而決定對方CA是否可信；再利用對方CA的公鑰來校驗對方用戶的證書，從而決定對方用戶是否可信。4.簡述SSL安全協(xié)議的概念及功能。SSL全稱是：SecureSocketLayer（安全套接層）。在客戶和服務器兩實體之間建立了一個安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，SSL提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳輸層之上，應用層之下，做到與應用層協(xié)議無關，幾乎所有基于TCP的協(xié)議稍加改動就可以在SSL上運行。簡述好的防火墻具有的5個特性。（1）所有在內部網絡和外部網絡之間傳輸?shù)臄?shù)據(jù)都必須經過防火墻；（2）只有被授權的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；（3）簡述好的防火墻具有的5個特性。（1）所有在內部網絡和外部網絡之間傳輸?shù)臄?shù)據(jù)都必須經過防火墻；（2）只有被授權的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；（3）防火墻本身不受各種攻擊的影響；（4）使用目前新的信息安全技術，如一次口令技術、智能卡等；（5）人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對發(fā)者、訪問協(xié)議及訪問權限進行限制。 山速接請求簡述電子數(shù)據(jù)交換（EDI）JJf.墻進行設置，對互連網的訪問者、被訪問技術的特點。連諼請求特點：使用對象是不同的組織之間「所傳送的資料是一般業(yè)務資料；采用共同標準化的格式；盡量避免人工的介入操作，由收送雙方的計算機系統(tǒng)直接傳送、交換資料。連接確認｛初始序號=F?確認WO數(shù)據(jù)簡述tCp協(xié)議的三次握手數(shù)據(jù)（序號=兀確認=門8.簡述VPN隧道的概念和分類;

數(shù)據(jù)（序號=兀確認=門VPN隧道的概念：隧道實質是一種數(shù)據(jù)封裝技術，即將一種協(xié)議封裝在另一種協(xié)議中傳輸，從而實現(xiàn)被封裝協(xié)議對封裝協(xié)議的透明性，保持被封裝協(xié)議的安全特性。使用IP協(xié)議作為封裝協(xié)議的隧道協(xié)議稱為IP隧道協(xié)議。VPN隧道技術的分類：第二層隧道：先把各種網絡層協(xié)議(如IP、IPX等)封裝到數(shù)據(jù)鏈路層的PPP幀里，再把整個ppp幀裝入隧道協(xié)議里。第三層隧道：把各種網絡層協(xié)議直接裝入隧道協(xié)議中。9.簡述IPSec的定義，功能和組成。IPSec是IETFIPSec工作組為了在IP層提供通信安全而制定的一套協(xié)議簇，是一個應用廣泛、開放的VpN安全協(xié)議體系。功能：提供所有在網絡層上的數(shù)據(jù)保護，進行透明的安全通信。IPSec協(xié)議包括安全協(xié)議和密鑰協(xié)商兩部分。10.簡述異常入侵檢測和誤用入侵檢測。異常入侵檢測，能夠根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。用定量的方式描述可接受的行為特征，對超出可接受的行為認為是入侵。誤用入侵檢測，利用已知系統(tǒng)和應用軟件的弱點攻擊模型來檢測入侵。誤用入侵檢測直接檢測不可接受性為。簡述病毒的定義及其破壞性的主要表現(xiàn)。病毒的定義：病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能夠自我復制的一組計算機指令或者程序代碼。病毒的破壞性的主要表現(xiàn)：直接破壞計算機上的重要信息；搶占系統(tǒng)資源，降低系統(tǒng)性能；竊取主機上的重要信息；破壞計算機硬件；導致網絡阻塞，甚至癱瘓；使郵件服務器、Web服務器不能提供正常服務。簡述消息認證和身份認證的概念及兩者的差別。消息認證是一個證實收到的消息來自可信的源點且未被篡改的過程。身份認證是指證實客戶的真實身份與其所聲稱的身份是否相符的過程。身份認證與消息認證的差別：(1)身份認證一般都是實時的，消息認證一般不提供實時性。(2)身份認證只證實實體的身份，消息認證要證實消息的合法性和完整性。(3)數(shù)字簽名是實現(xiàn)身份認證的有效途徑。五、綜述題(20分)1?簡述ARP的工作過程及ARP欺騙。(10分)ARP的工作過程：(1)主機A不知道主機B的MAC地址，以廣播方式發(fā)出一個含有主機B的IP地址的ARP請求；(2)網內所有主機受到ARP請求后，將自己的IP地址與請求中的IP地址相比較，僅有B做出ARP響應，其中含有自己的MAC地址；(3)主機A收到B的ARP響應，將該條IP-MAC映射記錄寫入ARP緩存中，接著進行通信。ARP欺騙：ARP協(xié)議用于IP地址到MAC地址的轉換，此映射關系存儲在ARP緩存表中。當ARP緩存表被他人非法修改將導致發(fā)送給正確主機的數(shù)據(jù)包發(fā)送給另外一臺由攻擊者控制的主機，這就是所謂的“ARP欺騙”。2.簡述包過濾型防火墻的概念、優(yōu)缺點和應用場合。(10分)包過濾型防火墻的概念：包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。包過濾型防火墻的優(yōu)缺點：包過濾防火墻的優(yōu)點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包過濾防火墻對用戶和應用講是透明的。無需對用戶進行培訓，也不必在每臺主機上安裝特定的軟件。包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內部主機的IP欺騙；任何直接經過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅動式攻擊的潛在危險；普遍不支持有效的用戶認證；安全日志有限；過濾規(guī)則增加導致設備性能下降；包過濾防火墻無法對網絡上流動的信息提供全面的控制。包過濾型防火墻的應用場合：非集中化管理的機構；沒有強大的集中安全策略的機構；網絡的主機數(shù)比較少；主要依靠于主機來防止入侵，但當主機數(shù)增加到一定程度的時候，依靠主機