《黑客攻防》模擬試題

《計算機網(wǎng)絡安全》模擬題單項選擇題（每題1分，共10分）1．多種通信網(wǎng)和TCP/IP之間的接口是TCP/IP分層構(gòu)造中的（b）A.數(shù)據(jù)鏈路層B.網(wǎng)絡層C.傳播層D.應用層2.下面不屬于木馬特性的是（D）A.自動更換文獻名，難于被發(fā)現(xiàn)B.程序執(zhí)行時不占太多系統(tǒng)資源C.不需要服務端顧客的容許就能獲得系統(tǒng)的使用權(quán)D.導致緩沖區(qū)的溢出，破壞程序的堆棧3.下面不屬于端口掃描技術(shù)的是（C）A.TCPconnect()掃描B.TCPFIN掃描C.IP包分段掃描D.Land掃描4.負責產(chǎn)生、分派并管理PKI構(gòu)造下所有顧客的證書的機構(gòu)是（D）A.LDAP目錄服務器B.業(yè)務受理點C.注冊機構(gòu)RAD.認證中心CA5．防火墻按自身的體系構(gòu)造分為（B）A.軟件防火墻和硬件防火墻B.包過濾型防火墻和雙宿網(wǎng)關(guān)C.百兆防火墻和千兆防火墻D.主機防火墻和網(wǎng)絡防火墻6．下面有關(guān)代理技術(shù)的論述對的的是（C）A．能提供部分與傳播有關(guān)的狀態(tài)B．能完全提供與應用有關(guān)的狀態(tài)和部分傳播方面的信息C．能處理和管理信息D．ABC都對的7．下面有關(guān)ESP傳播模式的論述不對的的是（A）A．并沒有暴露子網(wǎng)內(nèi)部拓撲B．主機到主機安全C．IPSEC的處理負荷被主機分擔D．兩端的主機需使用公網(wǎng)IP8.下面有關(guān)網(wǎng)絡入侵檢測的論述不對的的是（D）A．占用資源少B．襲擊者不易轉(zhuǎn)移證據(jù)C．輕易處理加密的會話過程D．檢測速度快9.基于SET協(xié)議的電子商務系統(tǒng)中對商家和持卡人進行認證的是（B）A．收單銀行B．支付網(wǎng)關(guān)C．認證中心D．發(fā)卡銀行10.下面有關(guān)病毒的論述對的的是（A）A．病毒可以是一種程序B．病毒可以是一段可執(zhí)行代碼C．病毒可以自我復制D．ABC都對的1．下面不屬于按網(wǎng)絡覆蓋范圍的大小將計算機網(wǎng)絡分類的是（C）A.互聯(lián)網(wǎng)B.廣域網(wǎng)C.通信子網(wǎng)D.局域網(wǎng)2.下面不屬于SYNFLOODING襲擊的防備措施的是（D）A.縮短SYNTimeout（連接等待超時）時間B.運用防火墻技術(shù)C.TCP段加密D.根據(jù)源IP記錄SYN連接3.下面不屬于木馬偽裝手段的是（A）A.自我復制B.隱蔽運行C.捆綁文獻D.修改圖標4.負責證書申請者的信息錄入、審核以及證書發(fā)放等工作的機構(gòu)是（B）A.LDAP目錄服務器B.業(yè)務受理點C.注冊機構(gòu)RAD.認證中心CA5．下面哪種信任模型的擴展性很好（C）A.單CA信任模型B.網(wǎng)狀信任模型C.嚴格分級信任模型D.Web信任模型6．下面有關(guān)包過濾型防火墻協(xié)議包頭中的重要信息論述對的的是（A）A．包括IP源和目的地址B．包括內(nèi)裝協(xié)議和TCP/UDP目的端口C．包括ICMP消息類型和TCP包頭中的ACK位D．ABC都對的7．下面有關(guān)LAN-LAN的論述對的的是（C）A．增長WAN帶寬的費用B．不能使用靈活的拓撲構(gòu)造C．新的站點能更快、更輕易地被連接D．不可以延長網(wǎng)絡的可用時間8.下面有關(guān)ESP隧道模式的論述不對的的是（C）A．安全服務對子網(wǎng)中的顧客是透明的B．子網(wǎng)內(nèi)部拓撲未受到保護C．網(wǎng)關(guān)的IPSEC集中處理D．對內(nèi)部的諸多安全問題將不可控9.下面有關(guān)入侵檢測的構(gòu)成論述不對的的是（A）A．事件產(chǎn)生器對數(shù)據(jù)流、日志文獻等進行追蹤B．響應單元是入侵檢測系統(tǒng)中的積極武器C．事件數(shù)據(jù)庫是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分D．事件分析器將判斷的成果轉(zhuǎn)變?yōu)榫嫘畔?0.下面有關(guān)病毒校驗和檢測的論述對的的是（B）A．無法判斷是被哪種病毒感染B．對于不修改代碼的廣義病毒無能為力C．輕易實現(xiàn)但虛警過多D．ABC都對的填空題（每空1分，共25分）IP協(xié)議提供了竭力而為的傳遞服務。TCP/IP鏈路層安全威脅有：以太網(wǎng)共享信道的偵聽，MAC，ARP。DRDoS與DDoS的不一樣之處在于：襲擊端不需要占領(lǐng)大量傀儡機。證書的作用是：用來向系統(tǒng)和其他實體證明自己的身份和攻法功鑰。SSL協(xié)議中雙方的主密鑰是在其握手協(xié)議產(chǎn)生的。VPN的兩種實現(xiàn)形式：Client-LAN和LAN-LAN。IPSec是為了在IP層提供通信安全而制定的一套協(xié)議簇，是一種應用廣泛、開放的VPN。根據(jù)檢測原理，入侵檢測系統(tǒng)分為，誤用。病毒技術(shù)包括：寄生技術(shù)，駐留技術(shù)，加密變形技術(shù)和隱藏技術(shù)。電子商務技術(shù)體系構(gòu)造的三個層次是網(wǎng)絡平臺，安全基礎構(gòu)造和電子商務業(yè)務，一種支柱是公共基礎部分。防火墻的兩種姿態(tài)拒絕沒有尤其與許的任何事情和容許沒有尤其拒絕的任何事情。TCP/IP層次劃分為_數(shù)據(jù)鏈路__層、__網(wǎng)絡__層、__傳播_層、_應用__層。TCP協(xié)議的滑動窗口協(xié)議的一種重要用途是流量控制。誘騙顧客把祈求發(fā)送到襲擊者自己建立的服務器上的應用層襲擊措施是DNS欺騙。身份認證分為：單向認證和雙向認證。X.509證書包括：認證內(nèi)容簽名算法和使用簽名算法對證書所作的簽名三部分。防火墻重要通過服務控制，方向控制，顧客控制和行為控制四種手段來執(zhí)行安全方略和實現(xiàn)網(wǎng)絡控制訪問。SOCKS只能用于TCP服務，而不能用于UDP服務。經(jīng)典的VPN構(gòu)成包括VPN服務器，VPN客戶機，隧道和VPN連接。IPSec定義的兩種通信保護機制分別是：ESP機制和UDP機制。電子現(xiàn)金支付系統(tǒng)是一種的支付系統(tǒng)。是SET中的一種重要的創(chuàng)新技術(shù)。判斷題(每題1分，共15分)以太網(wǎng)中檢查網(wǎng)絡傳播介質(zhì)與否已被占用的是沖突監(jiān)測。（）主機不能保證數(shù)據(jù)包的真實來源，構(gòu)成了IP地址欺騙的基礎。（×）掃描器可以直接襲擊網(wǎng)絡漏洞。（）DNS欺騙運用的是DNS協(xié)議不對轉(zhuǎn)換和信息性的更新進行身份認證這一弱點。（）DRDoS襲擊是與DDoS無關(guān)的另一種拒絕服務襲擊措施。（）公鑰密碼比老式密碼更安全。（）身份認證一般都是實時的，消息認證一般不提供實時性。（√）每一級CA均有對應的RA。（）加密/解密的密鑰對成功更新后，本來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰進行歸檔管理。（）防火墻無法完全防止傳送已感染病毒的軟件或文獻。（）所有的協(xié)議都適合用數(shù)據(jù)包過濾。（）構(gòu)建隧道可以在網(wǎng)絡的不一樣協(xié)議層次上實現(xiàn)。（√）蜜網(wǎng)技術(shù)（Honeynet）不是對襲擊進行誘騙或檢測。（）病毒傳染重要指病毒從一臺主機蔓延到另一臺主機。（）電子商務中規(guī)定顧客的定單一經(jīng)發(fā)出，具有不可否認性。（）設計初期，TCP/IP通信協(xié)議并沒有考慮到安全性問題。（√）目前沒有理想的措施可以徹底根除IP地址欺騙。（）非盲襲擊較盲襲擊的難度要大。（）緩沖區(qū)溢出并不是一種針對網(wǎng)絡的襲擊措施。（√）DDoS襲擊破壞性大，難以防備，也難以查找襲擊源,被認為是目前最有效的襲擊手法。（√）身份認證只證明實體的身份，消息認證要證明消息的合法性和完整性。（）網(wǎng)狀信任模型單個CA安全性的減弱不會影響到整個PKI。（）防火墻將限制有用的網(wǎng)絡服務。（√）應用代理不能處理合法IP地址不夠用的問題。（）VPN中顧客需要擁有實際的長途數(shù)據(jù)線路。（）對通信實體的身份進行認證的是IPSec的安全協(xié)議。（）ESP頭插在IP報頭之后，TCP或UDP等傳播協(xié)議報頭之前。（）入侵檢測系統(tǒng)可以完畢入侵檢測任務的前提是監(jiān)控,分析顧客和系統(tǒng)的活動。（√）蜜罐（Honeypot）技術(shù)不會修補任何東西，只為使用者提供額外的、有價值的有關(guān)襲擊的信息。（√）電子商務中規(guī)定顧客的定單一經(jīng)發(fā)出，具有不可否認性。（√）簡答題（每題5分，共30分）TCP/IP的分層構(gòu)造以及它與OSI七層模型的對應關(guān)系。TCP/IP層析劃分OSI層次劃分應用層應用層會話層傳播層會話層傳播層網(wǎng)絡層網(wǎng)絡層數(shù)據(jù)鏈路層鏈路層物理層簡述拒絕服務襲擊的概念和原理。拒絕服務襲擊的概念：廣義上講，拒絕服務（DoS，Denialofservice）襲擊是指導致服務器不能正常提供服務的襲擊。確切講，DoS襲擊是指故意襲擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過多種手段耗盡被襲擊對象的資源，目的是讓目的計算機或網(wǎng)絡無法提供正常的服務，使目的系統(tǒng)停止響應，甚至瓦解。拒絕服務襲擊的基本原理是使被襲擊服務器充斥大量規(guī)定答復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)超負荷，以至于癱瘓而停止提供正常的網(wǎng)絡服務。簡述交叉認證過程首先，兩個CA建立信任關(guān)系。雙方安全互換簽名公鑰，運用自己的私鑰為對方簽發(fā)數(shù)字證書，從而雙方均有了交叉證書。另一方面，運用CA的交叉證書驗證最終顧客的證書。對顧客來說就是運用本方CA公鑰來校驗對方CA的交叉證書，從而決定對方CA與否可信；再運用對方CA的公鑰來校驗對方顧客的證書，從而決定對方顧客與否可信。簡述SSL安全協(xié)議的概念及功能。SSL全稱是：SecureSocketLayer(安全套接層)。在客戶和服務器兩實體之間建立了一種安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一種共享的秘密，SSL提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳播層之上，應用層之下，做到與應用層協(xié)議無關(guān)，幾乎所有基于TCP的協(xié)議稍加改動就可以在SSL上運行。簡述好的防火墻具有的5個特性。(1)所有在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳播的數(shù)據(jù)都必須通過防火墻；(2)只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全方略容許的數(shù)據(jù)，可以通過防火墻；(3)防火墻自身不受多種襲擊的影響；(4)使用目前新的信息安全技術(shù)，如一次口令技術(shù)、智能卡等；(5)人機界面良好，顧客配置使用以便，易管理，系統(tǒng)管理員可以對發(fā)防火墻進行設置，對互連網(wǎng)的訪問者、被訪問者、訪問協(xié)議及訪問權(quán)限進行限制。簡述電子數(shù)據(jù)互換（EDI）技術(shù)的特點。特點：使用對象是不一樣的組織之間；所傳送的資料是一般業(yè)務資料；采用共同原則化的格式；盡量防止人工的介入操作，由收送雙方的計算機系統(tǒng)直接傳送、互換資料。簡述TCP協(xié)議的三次握手機制。簡述VPN隧道的概念和分類。VPN隧道的概念：隧道實質(zhì)是一種數(shù)據(jù)封裝技術(shù)，即將一種協(xié)議封裝在另一種協(xié)議中傳播，從而實現(xiàn)被封裝協(xié)議對封裝協(xié)議的透明性，保持被封裝協(xié)議的安全特性。使用IP協(xié)議作為封裝協(xié)議的隧道協(xié)議稱為IP隧道協(xié)議。VPN隧道技術(shù)的分類：第二層隧道：先把多種網(wǎng)絡層協(xié)議（如IP、IPX等）封裝到數(shù)據(jù)鏈路層的PPP幀里，再把整個PPP幀裝入隧道協(xié)議里。第三層隧道：把多種網(wǎng)絡層協(xié)議直接裝入隧道協(xié)議中。簡述IPSec的定義，功能和構(gòu)成。IPSec是IETFIPSec工作組為了在IP層提供通信安全而制定的一套協(xié)議簇，是一種應用廣泛、開放的VPN安全協(xié)議體系。功能：提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，進行透明的安全通信。IPSec協(xié)議包括安全協(xié)議和密鑰協(xié)商兩部分。簡述異常入侵檢測和誤用入侵檢測。異常入侵檢測，可以根據(jù)異常行為和使用計算機資源的狀況檢測出來的入侵。用定量的方式描述可接受的行為特性，對超過可接受的行為認為是入侵。誤用入侵檢測，運用已知系統(tǒng)和應用軟件的弱點襲擊模型來檢測入侵。誤用入侵檢測直接檢測不可接受性為。簡述病毒的定義及其破壞性的重要體現(xiàn)。病毒的定義：病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并可以自我復制的一組計算機指令或者程序代碼。病毒的破壞性的重要體現(xiàn)：直接破壞計算機上的重要信息；搶占系統(tǒng)資源，減少系統(tǒng)性能；竊取主機上的重要信息；破壞計算機硬件；導致網(wǎng)絡阻塞，甚至癱瘓；使郵件服務器、Web服務器不能提供正常服務。簡述消息認證和身份認證的概念及兩者的差異。消息認證是一種證明收到的消息來自可信的源點且未被篡改的過程。身份認證是指證明客戶的真實身份與其所聲稱的身份與否相符的過程。身份認證與消息認證的差異：(1)身份認證一般都是實時的，消息認證一般不提供實時性。(2)身份認證只證明實體的身份，消息認證要證明消息的合法性和完整性。(3)數(shù)字簽名是實現(xiàn)身份認證的有效途徑。綜述題（20分）1.簡述ARP的工作過程及ARP欺騙。（10分）ARP的工作過程：(1)主機A不懂得主機B的MAC地址，以廣播方式發(fā)出一種具有主機B的IP地址的ARP祈求；(2)網(wǎng)內(nèi)所有主機受到ARP祈求后，將自己的IP地址與祈求中的IP地址相比較，僅有B做出ARP響應，其中具有自己的MAC地址；(3)主機A收到B的ARP響應，將該條IP-MAC映射記錄寫入ARP緩存中，接著進行通信。ARP欺騙：ARP協(xié)議用于IP地址到MAC地址的轉(zhuǎn)換，此映射關(guān)系存儲在ARP緩存表中。當ARP緩存表被他人非法修改將導致發(fā)送給對的主機的數(shù)據(jù)包發(fā)送給此外一臺由襲擊者控制的主機，這就是所謂的“ARP欺騙”。2.簡述包過濾型防火墻的概念、優(yōu)缺陷和應用場所。（10分）包過濾型防火墻的概念：包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做容許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。包過濾型防火墻的優(yōu)缺陷：包過濾防火墻的長處：處理包的速度快；費用低，原則的路由器均具有包過濾支持；包過濾防火墻對顧客和應用講是透明的。無需對顧客進行培訓，也不必在每臺主機上安裝特定的軟件。包過濾防火墻的缺陷：維護比較困難；只能制止外部主機偽裝成內(nèi)部主機的IP欺騙；任何直接通過路由器的數(shù)據(jù)包均有被用作數(shù)據(jù)驅(qū)動式襲擊的潛在危險；普遍不支持有效的顧客認證；安全日志有限；過濾規(guī)則增長導致設備性能下降；包過濾防火墻無法對網(wǎng)絡上流動的信息提供全面的控制。包過濾型防火墻的應用場所：非集中化管理的機構(gòu)；沒有強大的集中安全