网络安全技术习题及答案第章网络攻击与防范

第2章网络攻击与防范
练习题
1. 单项选择题
（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。

A．机密性 B．完整性
C．可用性 D．可控性
（2）有意避开系统访问控制机制，对网络设备及资源进行非正常使用属于（ B ）。

A．破环数据完整性 B．非授权访问
C．信息泄漏 D．拒绝服务攻击 （3）( A )利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息。

A．嗅探程序 B．木马程序
C．拒绝服务攻击 D．缓冲区溢出攻击 （4）字典攻击被用于( D )。

A．用户欺骗B．远程登录
C．网络嗅探 D．破解密码
（5）ARP属于( A )协议。

A．网络层B．数据链路层
C．传输层D．以上都不是
（6）使用FTP协议进行文件下载时（ A ）。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密
B．包括用户名和口令在内，所有传输的数据都会被自动加密
C．用户名和口令是加密传输的，而其它数据则以文明方式传输
D．用户名和口令是不加密传输的，其它数据则以加密传输的
（7）在下面4种病毒中，( C )可以远程控制网络中的计算机。

A．worm.Sasser.f B．Win32.CIH
C．Trojan.qq3344 D．Macro.Melissa
2. 填空题
（1）在以太网中，所有的通信都是____广播____________的。

（2）网卡一般有4种接收模式：单播、_____组播___________、_______广播_________、______混杂__________。

（3）Sniffer的中文意思是_____嗅探器___________。

（4）____DDoS____________攻击是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，
（5）完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

中了木马就是指安装了木马的_______服务器端_________程序。

3. 综合应用题
木马发作时，计算机网络连接正常却无法打开网页。

由于ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。

根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

（1） （2） （3） （4） （5） （6） （7） （8） （9） （10） （11） C C A B C A D D B A C
【问题1】
ARP木马利用（1）协议设计之初没有任何验证功能这一漏洞而实施破坏。

（1）A．ICMP B．RARP C．ARP D．以上都是
【问题2】
在以太网中，源主机以（2）方式向网络发送含有目的主机IP地址的ARP请求包；目的主机或另一个代表该主机的系统，以（3）方式返回一个含有目的主机IP地址及其MAC
地址对的应答包。

源主机将这个地址对缓存起来，以节约不必要的ARP通信开销。

ARP协议（4）必须在接收到ARP请求后才可以发送应答包。

备选答案：
（2）A．单播B．多播C．广播D．任意播
（3）A．单播B．多播C．广播D．任意播
（4）A．规定B．没有规定
【问题3】
ARP木马利用感染主机向网络发送大量虚假ARP报文，主机（5）导致网络访问不稳定。

例如：向被攻击主机发送的虚假ARP报文中，目的IP地址为（6）。

目的MAC地址为（7）。

这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器，并抓包截取用户口令信息。

备选答案：
（5）A．只有感染ARP木马时才会B．没有感染ARP木马时也有可能
C．感染ARP木马时一定会D．感染ARP木马时一定不会
（6）A．网关IP地址B．感染木马的主机IP地址
C．网络广播IP地址D．被攻击主机IP地址
（7）A．网关MAC地址
B．被攻击主机MAC地址
C．网络广播MAC地址
D．感染木马的主机MAC地址
【问题4】
网络正常时，运行如下命令，可以查看主机ARP缓存中的IP地址及其对应的MAC地址。

C:\> arp（8）
备选答案：
（8）A．-sB．-dC．-allD．-a
假设在某主机运行上述命令后，显示如图2.51中所示信息：
图2.51查看主机ARP缓存
00-10-db-92-aa-30是正确的MAC地址，在网络感染ARP木马时，运行上述命令可能显示如图2。

52中所示信息：
图2.52查看感染木马后的主机ARP缓存
当发现主机ARP缓存中的MAC地址不正确时，可以执行如下命令清除ARP缓存： C:\> arp（9）
备选答案：
（9）A．-sB．-dC．-allD．-a
之后，重新绑定MAC地址，命令如下：
（10）（11）
C:\> arp -s
（10）A．
C．00-10-db-92-aa-30D．00-10-db-92-00-31
C．00-10-db-92-aa-30 D．00-10-db-92-00-31
第9章入侵检测系统
1。

单项选择题
1) B
2) D
3) D
4) C
5) A
6) D
2、简答题
（1）什么叫入侵检测，入侵检测系统有哪些功能?
入侵检测系统（简称“IDS") 就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

入侵检测系统功能主要有:
识别黑客常用入侵与攻击手段
监控网络异常通信
鉴别对系统漏洞及后门的利用
完善网络安全管理
（2）根据检测对象的不同,入侵检测系统可分哪几种?
根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种.主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。

主机型入侵检测系统保护的一般是所在的系统。

网络型入侵检测系统的数据源是网络上的数据包。

一般网络型入侵检测系统担负着保护整个网段的任务。

混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补,还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测.
（3）常用的入侵检测系统的技术有哪几种?其原理分别是什么？
常用的入侵检测系统的技术有两种,一种基于误用检测（Anomal Detection),另一种基
于异常检测(Misuse Detection）。

对于基于误用的检测技术来说，首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中，说明是入侵行为，此方法非常类似杀毒软件.基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新.
基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义所谓的正常情况.异常检测只能识别出那些与正常过程有较大偏差的行为，无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

(4）入侵检测系统弥补了防火墙的哪些不足？
网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统.
防火墙也存在以下不足之处:
防火墙可以阻断攻击，但不能消灭攻击源。

入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙;
防火墙不能抵抗最新的未设置策略的攻击漏洞。

防火墙的并发连接数限制容易导致拥塞或者溢出。

而当防火墙溢出
的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了;
防火墙对待内部主动发起连接的攻击一般无法阻止；
防火墙本身也会出现问题和受到攻击；
防火墙不处理病毒。

普通防火墙虽然扫描通过他的信息，但一般只扫描源地址、目的地址端口号，不扫描数据的确切内容，对于病毒来说，防火墙不能防范。

防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者.
综合以上可以看出，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。

入侵攻击已经见怪不怪，对付这些入侵者的攻击，可以通过身份鉴别技术，使用严格的访问控制技术，还可以对数据进行加密保护等，但这并不完全可行。

所以静态安全措施并不足以保护安全对象。

因此，一种动态的方法是必要的。

比如行为跟踪、入侵检测技术。

但是，完全防止入侵目前看是不现实的.人们可以尽力检测出这些入侵，以便采取措施或者以后修补.
（5）简述基于主机的入侵检测系统的优点。

基于主机的入侵检测系统优点:
能够监视特定的系统活动，可以精确的根据自己的需要定制规则。

不需要额外的硬件，HIDS驻留在现有的网络基础设施上，其包括文件服务器、Web
服务器和其它的共享资源等。

减少了以后维护和管理硬件设备的负担.
适用于被加密的和交换的环境。

可以克服NIDS在交换和加密环境中所面临的一些困难。

缺点：
依赖于特定的操作系统平台，对不同的平台系统而言，它是无法移植的，因此必须针对各不同主机安裝各种HIDS.
在所保护主机上运行，将影响到宿主机的运行性能，特别是当宿主机为服务器的情况；通常无法对网络环境下发生的大量攻击行为,做出及时的反应。

（6）简述基于网络的入侵检测系统的优点与缺点。

基于网络的入侵检测系统的优点：
成本较低，NIDS系统并不需要在各种各样的主机上进行安装，大大减少了安全和管理的复杂性.
实时检测和响应，一旦发生恶意访问或攻击,NIDS检测可以随时发现它们，因此能够很快地作出反应。

可监测到未成功或恶意的入侵攻击:一个放在防火墙外面的NIDS可以检测到旨在利用防火墙后面的资源的攻击。

与操作系统无关：并不依赖主机的操作系统作为检测资源，而HIDS需要特定的操作系统才能发挥作用。

缺点：
要采集大型网络上的流量并加以分析，往往需要更有效率的CPU处理速度,以及更大的内存空间.
只检查它直接相连的网段的通信，不能检测其他网段的包。

处理加密的会话较困难。

目前通过加密通道的攻击尚不多，但随着IPV6
的普及，这个问题会越来越突出。

(7）评价一个入侵检测系统的优劣，技术角度看主要从哪几方面来考虑.
从技术的角度看，一个好的入侵检测系统，应该具有以下特点:
检测效率高。

一个好的入侵检测系统，应该有比较高的效率，也就是它可以快速处 理数据包,不会出现漏包、丢包或网络拥塞现象。

资源占用率小。

一个好的入侵检测系统应该尽量少地占用系统的资源，比如内存、 对于CPU的使用等。

开放性一个好的入侵检测系统应该是开放式结构，允许第三方和用户对系统进行 扩展和维护。

完备性.一个好的入侵检测系统,应该具备自学习、事后推理、策略反馈等能力，
以使得入侵检测系统具有一定的智能,从而能较好地识别未知攻击。

安全性。

一个好的入侵检测系统，应该保证自身的安全，使自己不会轻易被攻破。

（8）简述IDS的发展趋势
分布式入侵检测
智能化入侵检测
基于内核的入侵检测
全面的安全防御方案
3、思考题
观察一下自己所在院校的校园网，总结一下该校校园网的安全漏洞,假设你们学校要购买IDS产品，而你是学校的网络管理员，请思考一下你会选择市场上的哪种产品?说出你选择产品的依据以及产品如何实施？
此题可根据实际情况作答。

第2章网络攻击与防范
练习题
1. 单项选择题
（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C )。

A．机密性 B．完整性
C．可用性 D．可控性
(2）有意避开系统访问控制机制，对网络设备及资源进行非正常使用属于（ B ）.
A．破环数据完整性 B．非授权访问
C．信息泄漏 D．拒绝服务攻击 （3）( A )利用以太网的特点，将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息.
A．嗅探程序 B．木马程序
C．拒绝服务攻击 D．缓冲区溢出攻击 （4)字典攻击被用于（ D )。

A．用户欺骗B．远程登录
C．网络嗅探 D．破解密码
(5）ARP属于( A )协议。

A．网络层B．数据链路层
C．传输层D．以上都不是
（6)使用FTP协议进行文件下载时（ A )。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密
B．包括用户名和口令在内,所有传输的数据都会被自动加密
C．用户名和口令是加密传输的,而其它数据则以文明方式传输
D．用户名和口令是不加密传输的，其它数据则以加密传输的
（7）在下面4种病毒中,( C )可以远程控制网络中的计算机.
A．worm.Sasser。

f B．Win32.CIH
C．Trojan.qq3344 D．Macro。

Melissa
2。

填空题
（1）在以太网中，所有的通信都是____广播____________的。

（2）网卡一般有4种接收模式:单播、_____组播___________、_______广播_________、______混杂__________。

（3）Sniffer的中文意思是_____嗅探器___________。

（4）____DDoS____________攻击是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,
（5)完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

中了木马就是指安装了木马的_______服务器端_________程序.
3。

综合应用题
木马发作时，计算机网络连接正常却无法打开网页。

由于ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。

根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

（1） （2） (3） （4） （5） （6) （7） (8） （9） （10） （11） C C A B C A D D B A C
【问题1】
ARP木马利用(1)协议设计之初没有任何验证功能这一漏洞而实施破坏。

（1)A．ICMP B．RARP C．ARP D．以上都是
【问题2】
在以太网中，源主机以(2)方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以(3）方式返回一个含有目的主机IP地址及其MAC地址对的应答包。

源主机将这个地址对缓存起来，以节约不必要的ARP通信开销.ARP协议（4)必须在接收到ARP请求后才可以发送应答包。

备选答案：
（2）A．单播B．多播C．广播D．任意播
（3）A．单播B．多播C．广播D．任意播
（4）A．规定B．没有规定
【问题3】
ARP木马利用感染主机向网络发送大量虚假ARP报文，主机（5）导致网络访问不稳定。

例如：向被攻击主机发送的虚假ARP报文中，目的IP地址为（6）。

目的MAC地址为（7）。

这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器，并抓包截取用户口令信息。

备选答案：
(5）A．只有感染ARP木马时才会B．没有感染ARP木马时也有可能
C．感染ARP木马时一定会D．感染ARP木马时一定不会
(6)A．网关IP地址B．感染木马的主机IP地址
C．网络广播IP地址D．被攻击主机IP地址
（7）A．网关MAC地址
B．被攻击主机MAC地址
C．网络广播MAC地址
D．感染木马的主机MAC地址
【问题4】
网络正常时，运行如下命令，可以查看主机ARP缓存中的IP地址及其对应的MAC地址.
C：\> arp(8)
备选答案：
（8）A．—sB．—dC．-allD．-a
假设在某主机运行上述命令后，显示如图2.51中所示信息：
图2。

51查看主机ARP缓存
00-10—db-92-aa—30是正确的MAC地址,在网络感染ARP木马时，运行上述命令可能显示如图2.52中所示信息：
图2.52查看感染木马后的主机ARP缓存
当发现主机ARP缓存中的MAC地址不正确时，可以执行如下命令清除ARP缓存： C：\> arp（9）
备选答案:
(9)A．—sB．—dC．-allD．-a
之后,重新绑定MAC地址，命令如下：
C:\〉 arp —s（10）(11）
（10)A．B．172.30。

1.13
C．00-10-db-92—aa—30D．00—10—db-92-00—31
（11）A．172.30。

0。

1B．172.30。

1。

13
C．00—10-db—92-aa—30 D．00-10-db—92-00—31。