入侵檢測與漏洞掃描試題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上入侵檢測與漏洞掃描試卷一、選擇題（共20分，每題1分）12345678910 A D AA ABDCCDB11121314151617181920DBBBCBAAAB【試題1】按照檢測數(shù)據(jù)的來源可將入侵檢測系統(tǒng)（IDS）分為_。A基于主機的IDS和基于網(wǎng)絡(luò)的IDSB基于主機的IDS和基于域控制器的IDSC基于服務(wù)器的IDS和基于域控制器的IDSD基于瀏覽器的IDS和基于網(wǎng)絡(luò)的IDS【試題2】一般來說入侵檢測系統(tǒng)由3部分組成，分別是事件產(chǎn)生器、事件分析器和_。A控制單元 B檢測單元 C解釋單元 D響應(yīng)單元【試題3】按照技術(shù)分類可將入侵檢測分為_。A基于標識和基于異常情況

2、B基于主機和基于域控制器C服務(wù)器和基于域控制器D基于瀏覽器和基于網(wǎng)絡(luò)【試題4】不同廠商的IDS系統(tǒng)之間需要通信，這種通信格式是_。AIDMEF BIETF CIEEE DIEGF【試題5】入侵檢測的基礎(chǔ)是 （1）A ，入侵檢測的核心是 （2） B。（1）（2） A. 信息收集 B. 信號分析 C. 入侵防護 D. 檢測方法【試題6】信號分析有模式匹配、統(tǒng)計分析和完整性分析等3種技術(shù)手段，其中_用于事后分析。A信息收集 B統(tǒng)計分析 C模式匹配 D完整性分析【試題7】網(wǎng)絡(luò)漏洞掃描系統(tǒng)通過遠程檢測_TCP/IP不同端口的服務(wù)，記錄目標給予的回答。A源主機 B服務(wù)器 C目標主機 D以上都不對【試題8】

3、_系統(tǒng)是一種自動檢測遠程或本地主機安全性弱點的程序。A入侵檢測 B防火墻 C漏洞掃描 D入侵防護【試題9】下列選項中_不屬于CGI漏洞的危害。A緩沖區(qū)溢出攻擊 B數(shù)據(jù)驗證型溢出攻擊C腳本語言錯誤 D信息泄漏【試題10】基于網(wǎng)絡(luò)低層協(xié)議，利用協(xié)議或操作系統(tǒng)實現(xiàn)時的漏洞來達到攻擊目的，這種攻擊方式稱為_。A服務(wù)攻擊 B拒絕服務(wù)攻擊 C被動攻擊 D非服務(wù)攻擊【試題11】特洛伊木馬攻擊的威脅類型屬于_。A授權(quán)侵犯威脅 B植入威脅 C滲入威脅 D旁路控制威脅【試題12】在網(wǎng)絡(luò)安全中，截取是指未授權(quán)的實體得到了資源的訪問權(quán)。這是對_。A可用性的攻擊 B完整性的攻擊C保密性的攻擊 D真實性的攻擊【試題13】

4、有一種攻擊不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)顯影減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種攻擊叫做_攻擊。A可用性攻擊 B拒絕性攻擊C保密性攻擊 D真實性攻擊【試題14】提高網(wǎng)絡(luò)安全性可以從以下兩方面入手：一是從技術(shù)上對網(wǎng)絡(luò)資源進行保護；二是要求網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)用戶嚴格遵守網(wǎng)絡(luò)管理規(guī)定與使用要求。要做到這一點，就必須加強對網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)用戶的技術(shù)培訓(xùn)和網(wǎng)絡(luò)_。A使用方法培訓(xùn) B安全教育C軟件開發(fā)培訓(xùn) D應(yīng)用開發(fā)教育【試題15】下列說法錯誤的是_。A服務(wù)攻擊是針對某種特定網(wǎng)絡(luò)的攻擊B非服務(wù)攻擊是針對網(wǎng)絡(luò)層協(xié)議而進行的C主要的

5、滲入威脅有特洛伊木馬和陷井D潛在的網(wǎng)絡(luò)威脅主要包括竊聽、通信量分析、人員疏忽和媒體清理等【試題16】從網(wǎng)絡(luò)高層協(xié)議角度看，網(wǎng)絡(luò)攻擊可以分為_。A主動攻擊與被動攻擊 B服務(wù)攻擊與非服務(wù)攻擊C病毒攻擊與主機攻擊 D侵入攻擊與植入攻擊【試題17】在網(wǎng)絡(luò)安全中，中斷指攻擊者破壞網(wǎng)絡(luò)系統(tǒng)的資源，使之變成無效的或無用的。這是對_。A可用性的攻擊 B保密性的攻擊C完整性的攻擊 D真實性的攻擊【試題18】對網(wǎng)絡(luò)的威脅包括：. 假冒 . 特洛伊木馬. 旁路控制 . 陷井 . 授權(quán)侵犯在這些威脅中，屬于滲入威脅的為_。A、和 B. 和C和 D. 、和【試題19】如果使用大量的連接請求攻擊計算機，使得所有可用的系統(tǒng)

6、資源都被消耗殆盡，最終計算機無法再處理合法的用戶的請求，這種手段屬于_攻擊。A拒絕服務(wù) B口令入侵 C網(wǎng)絡(luò)監(jiān)聽 DIP哄騙【試題20】有一種攻擊不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)顯影減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種攻擊叫做_攻擊。A可用性攻擊 B拒絕性攻擊C保密性攻擊 D真實性攻擊二、簡答題（共20分，每題5分）1、什么是P2DR模型？答：P2DR模型是可適應(yīng)網(wǎng)絡(luò)安全理論或稱為動態(tài)信息安全理論的主要模型。P2DR模型是TCSEC模型的發(fā)展，也是目前被普遍采用的安全模型。P2DR模型包含四個主要部分：Policy（安全

7、策略）、Protection（防護）、Detection（檢測）和Response （響應(yīng)）。防護、檢測和響應(yīng)組成了一個所謂的“完整的、動態(tài)”的安全循環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)的安全。網(wǎng)絡(luò)安全防范體系應(yīng)該是動態(tài)變化的。安全防護是一個動態(tài)的過程， P2DR是安氏推崇的基于時間的動態(tài)安全體系。2、常見的幾種攻擊的原理有哪些，試舉例？ 答:沒有設(shè)置任何標志的TCP報文攻擊-正常情況下，任何TCP報文都會設(shè)置SYN，F(xiàn)IN，ACK，RST，PSH五個標志中的至少一個標志，第一個TCP報文（TCP連接請求報文）設(shè)置SYN標志，后續(xù)報文都設(shè)置ACK標志。有的協(xié)議棧基于這樣的假設(shè)，沒有針對不設(shè)置

8、任何標志的TCP報文的處理過程，因此，這樣的協(xié)議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標計算機進行攻擊。設(shè)置了FIN標志卻沒有設(shè)置ACK標志的TCP報文攻擊-正常情況下，ACK標志在除了第一個報文（SYN報文）外，所有的報文都設(shè)置，包括TCP連接拆除報文（FIN標志設(shè)置的報文）。但有的攻擊者卻可能向目標計算機發(fā)送設(shè)置了FIN標志卻沒有設(shè)置ACK標志的TCP報文，這樣可能導(dǎo)致目標計算機崩潰。死亡之PING-TCP/IP規(guī)范要求IP報文的長度在一定范圍內(nèi)（比如，064K），但有的攻擊計算機可能向目標計算機發(fā)出大于64K長度的PING報文，導(dǎo)致目標計算機IP協(xié)議棧崩潰。 地址

9、猜測攻擊-跟端口掃描攻擊類似，攻擊者通過發(fā)送目標地址變化的大量的ICMP ECHO報文，來判斷目標計算機是否存在。如果收到了對應(yīng)的ECMP ECHO REPLY報文，則說明目標計算機是存在的，便可以針對該計算機進行下一步的攻擊。淚滴攻擊-對于一些大的IP包，需要對其進行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個4500字節(jié)的IP包，在MTU為1500的鏈路上傳輸?shù)臅r候，就需要分成三個IP包。在IP報頭中有一個偏移字段和一個分片標志（MF），如果MF標志設(shè)置為1，則表面這個IP包是一個大IP包的片斷，其中偏移字段指出了這個片斷在整個IP包中的位置。例如，對一個4500

10、字節(jié)的IP包進行分片（MTU為1500），則三個片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據(jù)這些信息成功的組裝該IP包。如果一個攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開的情況，就可能導(dǎo)致目標操作系統(tǒng)崩潰。比如，把上述偏移設(shè)置為0，1300，3000。這就是所謂的淚滴攻擊。 帶源路由選項的IP報文-為了實現(xiàn)一些附加功能，IP協(xié)議規(guī)范在IP報頭中增加了選項字段，這個字段可以有選擇的攜帶一些數(shù)據(jù)，以指明中間設(shè)備（路由器）或最終目標計算機對這些IP報文進行額外的處理。源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導(dǎo)中間設(shè)備（

11、路由器）如何轉(zhuǎn)發(fā)該數(shù)據(jù)報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經(jīng)過三臺路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的接口地址，這樣不論三臺路由器上的路由表如何，這個IP報文就會依次經(jīng)過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸?shù)倪^程中，其源地址不斷改變，目標地址也不斷改變，因此，通過合適的設(shè)置源路由選項，攻擊者便可以偽造一些合法的IP地址，而蒙混進入網(wǎng)絡(luò)。帶記錄路由選項的IP報文-記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經(jīng)過一臺路由器，該路由器便把自己的接口地址填在選項字段里面。這樣這些報文在到達目的地的時候，選項數(shù)據(jù)里面便

12、記錄了該報文經(jīng)過的整個路徑。通過這樣的報文可以很容易的判斷該報文經(jīng)過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。3、典型拒絕服務(wù)攻擊的手段有哪些，試舉例？答：TCP SYN拒絕服務(wù)攻擊1、 攻擊者向目標計算機發(fā)送一個TCP SYN報文；2、 目標計算機收到這個報文后，建立TCP連接控制結(jié)構(gòu)（TCB），并回應(yīng)一個ACK，等待發(fā)起者的回應(yīng)；3、 而發(fā)起者則不向目標計算機回應(yīng)ACK報文，這樣導(dǎo)致目標計算機一致處于等待狀態(tài)?？梢钥闯?，目標計算機如果接收到大量的TCP SYN報文，而沒有收到發(fā)起者的第三次ACK回應(yīng)，會一直等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會把目標計算機的資源（TCB控制

13、結(jié)構(gòu)，TCB，一般情況下是有限的）耗盡，而不能響應(yīng)正常的TCP連接請求。ICMP洪水為了對網(wǎng)絡(luò)進行診斷，一些診斷程序，比如PING等，會發(fā)出ICMP響應(yīng)請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO后，會回應(yīng)一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機發(fā)送大量的ICMP ECHO報文（產(chǎn)生ICMP洪水），則目標計算機會忙于處理這些ECHO報文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報文，這也是一種拒絕服務(wù)攻擊（DOS）UDP洪水原理與ICMP洪水類似，攻擊者通過發(fā)送大量的UDP報

14、文給目標計算機，導(dǎo)致目標計算機忙于處理這些UDP報文而無法繼續(xù)處理正常的報文。分片IP報文攻擊為了傳送一個大的IP報文，IP協(xié)議棧需要根據(jù)鏈路接口的MTU對該IP報文進行分片，通過填充適當(dāng)?shù)腎P頭中的分片指示字段，接收計算機可以很容易的把這些IP分片報文組裝起來。目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然后一直等待后續(xù)的分片報文，這個過程會消耗掉一部分內(nèi)存，以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu)。如果攻擊者給目標計算機只發(fā)送一片分片報文，而不發(fā)送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內(nèi)部計時器到時），如果攻擊者發(fā)送了大量的分片報文，就會消耗掉目標計算機的資源，而導(dǎo)

15、致不能相應(yīng)正常的IP報文，這也是一種DOS攻擊。Land攻擊LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發(fā)送一個TCP SYN報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文后，就會向該報文的源地址發(fā)送一個ACK報文，并建立一個TCP連接控制結(jié)構(gòu)（TCB），而該報文的源地址就是自己，因此，這個ACK報文就發(fā)給了自己。這樣如果攻擊者發(fā)送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，最終不能正常服務(wù)。這也是一種DOS攻

16、擊。4、分別敘述誤用檢測與異常檢測原理？答： 誤用檢測（Misuse Detection）基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特征。指標：誤報低、漏報高。攻擊特征庫：當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。 異常檢測（Anomaly Detection）基于統(tǒng)計分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加