网络攻击与防御复习题

一、选择题（单选）1、历史上，Morris和Thompson对Unix系统的口令加密函数Crypt()进行了下列哪一种改进措施，使得攻击者在破解Unix系统口令时增加了非常大的难度。（A

）A.引入了Salt机制

B.

引入了Shadow变换C.改变了加密算法D.增加了加密次数2、下列哪一种网络欺骗技术是实施交换式（基于交换机的网络环境）嗅探攻击的前提?（C）

A.IP欺骗B.DNS欺骗C.ARP欺骗D.路由欺骗

3、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（D）

A.端口扫描攻击B.ARP欺骗攻击C.网络监听攻击D.TCP会话劫持攻击

4、目前常见的网络攻击活动隐藏不包括下列哪一种？（A

）A.网络流量隐藏B.网络连接隐藏C.进程活动隐藏D.目录文件隐藏

.5、在Windows系统中可用来隐藏文件（设置文件的隐藏属性）的命令是____。（B）

A.dir

B.

attrib

C.ls

D.

move

6、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户，包括登录/退出时间、终端、登录主机IP地址。（B）

A.utmp/utmpx文件

B.wtmp/wtmpx文件

C.

lastlog文件

D.

attc文件

7、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。（A）

A.utmp/utmpx文件

B.

wtmp/wtmpx文件

C.

lastlog文件

D.

attc文件8、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?（D）

A.防火墙系统攻击痕迹清除

B.

入侵检测系统攻击痕迹清除

C.Windows

NT系统攻击痕迹清除

D.

Unix系统攻击痕迹清除

9、Brutus是一个常用的Windows平台上的远程口令破解工具，它不支持以下哪一种类型的口令破解（A）

A.

SMTP

B.

POP3

C.

Telnet

D.

FTP

10、在大家熟知的病毒、蠕虫之中，下列哪一项不具备通过网络复制传播的特性？（D）

A.红色代码B.尼姆达（Nimda）C.狮子王（SQL

Slammer）D.

CIH

11、网络监听（嗅探）的这种攻击形式破坏了下列哪一项内容？（B）

A.网络信息的抗抵赖性

B.网络信息的保密性C.网络服务的可用性D.网络信息的完整性

12、会话劫持的这种攻击形式破坏了下列哪一项内容？（D）

A.网络信息的抗抵赖性B.网络信息的保密性C.网络服务的可用性D.网络信息的完整性

13、拒绝服务攻击的这种攻击形式破坏了下列哪一项内容？（A）

A.网络服务的可用性B.网络信息的完整性C.网络信息的保密性D.网络信息的抗抵赖性

14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能?（C）

A.防火墙系统攻击痕迹清除

B.WWW服务攻击痕迹清除C.Windows

NT系统攻击痕迹清除

D.Unix系统攻击痕迹清除

15、为了清除攻击Apache

WWW服务时的访问记录，攻击者需要读取下列Apache的哪一种配置文件来确定日志文件的位置和文件名。（B）

A.access.conf

B.

httpd.conf

C.

srm.conf

D.

http.conf

16、目前大多数的Unix系统中存放用户加密口令信息的配置文件是____，而且该文件默认只有超级用户root才能读取。（C）

A./etc/password

B.

/etc/passwd

C./etc/shadow

D./etc/group

17、在缓冲区溢出攻击技术中，以下哪一种方法不能用来使得程序跳转到攻击者所安排的地址空间上执行攻击代码？（D）

A.激活记录

B.

函数指针

C.长跳转缓冲区

D.短跳转缓冲区

18、恶意大量消耗网络带宽属于拒绝服务攻击中的哪一种类型？（C）

A.配置修改型

B.基于系统缺陷型

C.资源消耗型

D.物理实体破坏型19、

现今，网络攻击与病毒、蠕虫程序越来越有结合的趋势，病毒、蠕虫的复制传播特点使得攻击程序如虎添翼，这体现了网络攻击的下列哪种发展趋势？（C）

A.网络攻击人群的大众化

B.网络攻击的野蛮化C.网络攻击的智能化D.网络攻击的协同化

20、通过设置网络接口（网卡）的____，可以使其接受目的地址并不指向自己的网络数据包，从而达到网络嗅探攻击的目的。（C）

A.共享模式

B.交换模式

C.混杂模式

D.随机模式

21、现今，适用于Windows平台常用的网络嗅探的函数封装库是____。（A）

A.Winpcap

B.Libpcap

C.Libnet

D.

Windump

22、下列哪一种扫描技术属于半开放（半连接）扫描？（B）

A.TCP

Connect扫描

B.TCP

SYN扫描

C.TCP

FIN扫描

D.TCP

ACK扫描

23、假冒网络管理员，骗取用户信任，然后获取密码口令信息的攻击方式被称为___（B）_。

A.密码猜解攻击B.社会工程攻击C.缓冲区溢出攻击D.网络监听攻击

24、下列哪一项软件工具不是用来对网络上的数据进行监听的？（D）

A.XSniff

B.TcpDump

C.Sniffit

D.UserDump

26、下列哪一项软件工具不是用来对安全漏洞进行扫描的？（B）

A.Retina

B.SuperScan

C.

SSS（Shadow

Security

Scanner）D.Nessus

27、猜解用户弱口令的情况不会发生在下列哪一项应用服务系统的弱点挖掘之中？（A）

A.域名服务漏洞挖掘B.邮件服务漏洞挖掘C.路由服务漏洞挖掘D.FTP服务漏洞挖掘

28、现今非常流行的SQL（数据库语言）注入攻击属于下列哪一项漏洞的利用？（C）

A.域名服务的欺骗漏洞B.邮件服务器的编程漏洞

破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。2、问：列举并解释ISO/OSI中定义的5种标准的安全服务。（1）鉴别：用于鉴别实体的身份和对身份的证实，包括对等实体鉴别和数据原发鉴别两种。（2）访问控制：提供对越权使用资源的防御措施。（3）数据机密性：针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。（4）数据完整性：防止非法篡改信息，如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。（5）抗否认：是针对对方否认的防范措施，用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。3、问：简述常见的黑客攻击过程。目标探测和信息攫取：先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。获得访问权（GainingAccess）：通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。特权提升（EscalatingPrivilege）：在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解如用L0phtcrack破解NT的SAM文件、利用已知的漏洞或脆弱点等技术。窃取（Stealing）：对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。掩盖踪迹（CoveringTracks）：此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。创建后门（CreatingBookdoor）：在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。4、问：什么是扫描（Scanning）使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。5、问：信息流嗅探（Sniffering）答：通过在共享局域网中将某主机网卡设置成混杂（Promiscuous）模式，或在各种局域网中某主机使用ARP欺骗，该主机就会接收所有经过的数据包。基于这样的原理，黑客可以使用一个嗅探器（软件或硬件）对网络信息流进行监视，从而收集到帐号和口令等信息。这是黑客入侵的第三步工作。6、问：什么是口令破解答：攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令，也可通过猜测或窃听等方式获取口令，从而进入系统进行非法访问，选择安全的口令非常重要。这也是黑客入侵中真正攻击方式的一种。7、问：什么是会话劫持（SessionHijacking）答：所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。8、问：什么是IP欺骗答：攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任，这主要针对LinuxUNIX下建立起IP地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。9、问：什么是DNS欺骗答：当DNS服务器向另一个DNS服务器发送某个解析请求（由域名解析出IP地址）时，因为不进行身份验证，这样黑客就可以冒充被请求方，向请求方返回一个被篡改了的应答（IP地址），将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一种。10、问：什么是拒绝服务攻击答：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接11、问：什么是缓冲区溢出攻击答：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。12、问：列举出Web攻击的其中五个原因？一、桌面漏洞：InternetExplorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞，黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。二、服务器漏洞：由于存在漏洞和服务器管理配置错误，InternetInformationServer（IIS）和Apache网络服务器经常被黑客用来攻击。三、Web服务器虚拟托管：同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。四、显性/开放式代理：被黑客控制的计算机可以被设置为代理服务器，躲避URL过滤对通信的控制，进行匿名上网或者充当非法网站数据流的中间人。五、HTML可以从网页内完全不同的服务器嵌入对象：用户可以从特定网站请求浏览网页，只自动地从Google分析服务器等合法网站下载对象；广告服务器；恶意软件下载网站；或者被重新导向至恶意软件网站。六，普通用户对安全状况不了解：多数用户不了解三种SSL浏览器检查的原因；不了解如何验证所下载程序的合法性；不了解计算机是否不正常；在家庭网络内不使用防火墙；也不知道如何区分钓鱼网页和合法网页。七、移动代码在网站上的广泛使用：JavaScript、Javaapplets、.NET应用、Flash、ActiveX为编码糟糕的Web应用开启了大门，它们接受用户输入并使用Cookies，就像在跨站点脚本（XSS）中一样。八、宽带接入的广泛使用：多数企业网络都受防火墙的保护，而无NAT防火墙的家庭用户很容易受到攻击而丢失个人信息；充当DDoS的僵尸计算机；安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。九、对HTTP和HTTPS的普遍访问：访问互联网必须使用Web，所有计算机都可以通过防火墙访问HTTP和HTTPS。很多程序都通过HTTP访问互联网，例如IM和P2P软件。十、在邮件中采用嵌入式HTML：电子邮件中的HTML被用于从Web上获取恶意软件代码，而用户可能根本不知道已经向可以网站发送了请求。13、问：什么是特洛伊木马（TrojanHorse）答：把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，而一旦用户触发正常程序，黑客代码同时被激活，这些代码往往能完成黑客早已指定的任务（如监听某个不常用端口，假冒登录界面获取帐号和口令等）。14、问：什么是防火墙，为什么需要有防火墙？答：防火墙是一种装置，它是由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须达到一致的高度安全水平，这在实际操作时非常困难。而防火墙被设计为只运行专用