入侵檢測與漏洞掃描試題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上入侵檢測與漏洞掃描試卷一、選擇題（共20分，每題1分）12345678910 A D AA ABDCCDB11121314151617181920DBBBCBAAAB【試題1】按照檢測數(shù)據(jù)的來源可將入侵檢測系統(tǒng)（IDS）分為_。A基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDSB基于主機(jī)的IDS和基于域控制器的IDSC基于服務(wù)器的IDS和基于域控制器的IDSD基于瀏覽器的IDS和基于網(wǎng)絡(luò)的IDS【試題2】一般來說入侵檢測系統(tǒng)由3部分組成，分別是事件產(chǎn)生器、事件分析器和_。A控制單元 B檢測單元 C解釋單元 D響應(yīng)單元【試題3】按照技術(shù)分類可將入侵檢測分為_。A基于標(biāo)識(shí)和基于異常情況

2、B基于主機(jī)和基于域控制器C服務(wù)器和基于域控制器D基于瀏覽器和基于網(wǎng)絡(luò)【試題4】不同廠商的IDS系統(tǒng)之間需要通信，這種通信格式是_。AIDMEF BIETF CIEEE DIEGF【試題5】入侵檢測的基礎(chǔ)是 （1）A ，入侵檢測的核心是 （2） B。（1）（2） A. 信息收集 B. 信號(hào)分析 C. 入侵防護(hù) D. 檢測方法【試題6】信號(hào)分析有模式匹配、統(tǒng)計(jì)分析和完整性分析等3種技術(shù)手段，其中_用于事后分析。A信息收集 B統(tǒng)計(jì)分析 C模式匹配 D完整性分析【試題7】網(wǎng)絡(luò)漏洞掃描系統(tǒng)通過遠(yuǎn)程檢測_TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答。A源主機(jī) B服務(wù)器 C目標(biāo)主機(jī) D以上都不對(duì)【試題8】

3、_系統(tǒng)是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。A入侵檢測 B防火墻 C漏洞掃描 D入侵防護(hù)【試題9】下列選項(xiàng)中_不屬于CGI漏洞的危害。A緩沖區(qū)溢出攻擊 B數(shù)據(jù)驗(yàn)證型溢出攻擊C腳本語言錯(cuò)誤 D信息泄漏【試題10】基于網(wǎng)絡(luò)低層協(xié)議，利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)時(shí)的漏洞來達(dá)到攻擊目的，這種攻擊方式稱為_。A服務(wù)攻擊 B拒絕服務(wù)攻擊 C被動(dòng)攻擊 D非服務(wù)攻擊【試題11】特洛伊木馬攻擊的威脅類型屬于_。A授權(quán)侵犯威脅 B植入威脅 C滲入威脅 D旁路控制威脅【試題12】在網(wǎng)絡(luò)安全中，截取是指未授權(quán)的實(shí)體得到了資源的訪問權(quán)。這是對(duì)_。A可用性的攻擊 B完整性的攻擊C保密性的攻擊 D真實(shí)性的攻擊【試題13】

4、有一種攻擊不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)顯影減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種攻擊叫做_攻擊。A可用性攻擊 B拒絕性攻擊C保密性攻擊 D真實(shí)性攻擊【試題14】提高網(wǎng)絡(luò)安全性可以從以下兩方面入手：一是從技術(shù)上對(duì)網(wǎng)絡(luò)資源進(jìn)行保護(hù)；二是要求網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)用戶嚴(yán)格遵守網(wǎng)絡(luò)管理規(guī)定與使用要求。要做到這一點(diǎn)，就必須加強(qiáng)對(duì)網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)用戶的技術(shù)培訓(xùn)和網(wǎng)絡(luò)_。A使用方法培訓(xùn) B安全教育C軟件開發(fā)培訓(xùn) D應(yīng)用開發(fā)教育【試題15】下列說法錯(cuò)誤的是_。A服務(wù)攻擊是針對(duì)某種特定網(wǎng)絡(luò)的攻擊B非服務(wù)攻擊是針對(duì)網(wǎng)絡(luò)層協(xié)議而進(jìn)行的C主要的

5、滲入威脅有特洛伊木馬和陷井D潛在的網(wǎng)絡(luò)威脅主要包括竊聽、通信量分析、人員疏忽和媒體清理等【試題16】從網(wǎng)絡(luò)高層協(xié)議角度看，網(wǎng)絡(luò)攻擊可以分為_。A主動(dòng)攻擊與被動(dòng)攻擊 B服務(wù)攻擊與非服務(wù)攻擊C病毒攻擊與主機(jī)攻擊 D侵入攻擊與植入攻擊【試題17】在網(wǎng)絡(luò)安全中，中斷指攻擊者破壞網(wǎng)絡(luò)系統(tǒng)的資源，使之變成無效的或無用的。這是對(duì)_。A可用性的攻擊 B保密性的攻擊C完整性的攻擊 D真實(shí)性的攻擊【試題18】對(duì)網(wǎng)絡(luò)的威脅包括：. 假冒 . 特洛伊木馬. 旁路控制 . 陷井 . 授權(quán)侵犯在這些威脅中，屬于滲入威脅的為_。A、和 B. 和C和 D. 、和【試題19】如果使用大量的連接請(qǐng)求攻擊計(jì)算機(jī)，使得所有可用的系統(tǒng)

6、資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法的用戶的請(qǐng)求，這種手段屬于_攻擊。A拒絕服務(wù) B口令入侵 C網(wǎng)絡(luò)監(jiān)聽 DIP哄騙【試題20】有一種攻擊不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)顯影減慢甚至癱瘓。它影響正常用戶的使用，甚至使合法用戶被排斥而不能得到服務(wù)。這種攻擊叫做_攻擊。A可用性攻擊 B拒絕性攻擊C保密性攻擊 D真實(shí)性攻擊二、簡答題（共20分，每題5分）1、什么是P2DR模型？答：P2DR模型是可適應(yīng)網(wǎng)絡(luò)安全理論或稱為動(dòng)態(tài)信息安全理論的主要模型。P2DR模型是TCSEC模型的發(fā)展，也是目前被普遍采用的安全模型。P2DR模型包含四個(gè)主要部分：Policy（安全

7、策略）、Protection（防護(hù)）、Detection（檢測）和Response （響應(yīng)）。防護(hù)、檢測和響應(yīng)組成了一個(gè)所謂的“完整的、動(dòng)態(tài)”的安全循環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)的安全。網(wǎng)絡(luò)安全防范體系應(yīng)該是動(dòng)態(tài)變化的。安全防護(hù)是一個(gè)動(dòng)態(tài)的過程， P2DR是安氏推崇的基于時(shí)間的動(dòng)態(tài)安全體系。2、常見的幾種攻擊的原理有哪些，試舉例？ 答:沒有設(shè)置任何標(biāo)志的TCP報(bào)文攻擊-正常情況下，任何TCP報(bào)文都會(huì)設(shè)置SYN，F(xiàn)IN，ACK，RST，PSH五個(gè)標(biāo)志中的至少一個(gè)標(biāo)志，第一個(gè)TCP報(bào)文（TCP連接請(qǐng)求報(bào)文）設(shè)置SYN標(biāo)志，后續(xù)報(bào)文都設(shè)置ACK標(biāo)志。有的協(xié)議?；谶@樣的假設(shè)，沒有針對(duì)不設(shè)置

8、任何標(biāo)志的TCP報(bào)文的處理過程，因此，這樣的協(xié)議棧如果收到了這樣的報(bào)文，可能會(huì)崩潰。攻擊者利用了這個(gè)特點(diǎn)，對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行攻擊。設(shè)置了FIN標(biāo)志卻沒有設(shè)置ACK標(biāo)志的TCP報(bào)文攻擊-正常情況下，ACK標(biāo)志在除了第一個(gè)報(bào)文（SYN報(bào)文）外，所有的報(bào)文都設(shè)置，包括TCP連接拆除報(bào)文（FIN標(biāo)志設(shè)置的報(bào)文）。但有的攻擊者卻可能向目標(biāo)計(jì)算機(jī)發(fā)送設(shè)置了FIN標(biāo)志卻沒有設(shè)置ACK標(biāo)志的TCP報(bào)文，這樣可能導(dǎo)致目標(biāo)計(jì)算機(jī)崩潰。死亡之PING-TCP/IP規(guī)范要求IP報(bào)文的長度在一定范圍內(nèi)（比如，064K），但有的攻擊計(jì)算機(jī)可能向目標(biāo)計(jì)算機(jī)發(fā)出大于64K長度的PING報(bào)文，導(dǎo)致目標(biāo)計(jì)算機(jī)IP協(xié)議棧崩潰。 地址

9、猜測攻擊-跟端口掃描攻擊類似，攻擊者通過發(fā)送目標(biāo)地址變化的大量的ICMP ECHO報(bào)文，來判斷目標(biāo)計(jì)算機(jī)是否存在。如果收到了對(duì)應(yīng)的ECMP ECHO REPLY報(bào)文，則說明目標(biāo)計(jì)算機(jī)是存在的，便可以針對(duì)該計(jì)算機(jī)進(jìn)行下一步的攻擊。淚滴攻擊-對(duì)于一些大的IP包，需要對(duì)其進(jìn)行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個(gè)4500字節(jié)的IP包，在MTU為1500的鏈路上傳輸?shù)臅r(shí)候，就需要分成三個(gè)IP包。在IP報(bào)頭中有一個(gè)偏移字段和一個(gè)分片標(biāo)志（MF），如果MF標(biāo)志設(shè)置為1，則表面這個(gè)IP包是一個(gè)大IP包的片斷，其中偏移字段指出了這個(gè)片斷在整個(gè)IP包中的位置。例如，對(duì)一個(gè)4500

10、字節(jié)的IP包進(jìn)行分片（MTU為1500），則三個(gè)片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據(jù)這些信息成功的組裝該IP包。如果一個(gè)攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開的情況，就可能導(dǎo)致目標(biāo)操作系統(tǒng)崩潰。比如，把上述偏移設(shè)置為0，1300，3000。這就是所謂的淚滴攻擊。 帶源路由選項(xiàng)的IP報(bào)文-為了實(shí)現(xiàn)一些附加功能，IP協(xié)議規(guī)范在IP報(bào)頭中增加了選項(xiàng)字段，這個(gè)字段可以有選擇的攜帶一些數(shù)據(jù)，以指明中間設(shè)備（路由器）或最終目標(biāo)計(jì)算機(jī)對(duì)這些IP報(bào)文進(jìn)行額外的處理。源路由選項(xiàng)便是其中一個(gè)，從名字中就可以看出，源路由選項(xiàng)的目的，是指導(dǎo)中間設(shè)備（

11、路由器）如何轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文的，即明確指明了報(bào)文的傳輸路徑。比如，讓一個(gè)IP報(bào)文明確的經(jīng)過三臺(tái)路由器R1，R2，R3，則可以在源路由選項(xiàng)中明確指明這三個(gè)路由器的接口地址，這樣不論三臺(tái)路由器上的路由表如何，這個(gè)IP報(bào)文就會(huì)依次經(jīng)過R1，R2，R3。而且這些帶源路由選項(xiàng)的IP報(bào)文在傳輸?shù)倪^程中，其源地址不斷改變，目標(biāo)地址也不斷改變，因此，通過合適的設(shè)置源路由選項(xiàng)，攻擊者便可以偽造一些合法的IP地址，而蒙混進(jìn)入網(wǎng)絡(luò)。帶記錄路由選項(xiàng)的IP報(bào)文-記錄路由選項(xiàng)也是一個(gè)IP選項(xiàng)，攜帶了該選項(xiàng)的IP報(bào)文，每經(jīng)過一臺(tái)路由器，該路由器便把自己的接口地址填在選項(xiàng)字段里面。這樣這些報(bào)文在到達(dá)目的地的時(shí)候，選項(xiàng)數(shù)據(jù)里面便

12、記錄了該報(bào)文經(jīng)過的整個(gè)路徑。通過這樣的報(bào)文可以很容易的判斷該報(bào)文經(jīng)過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點(diǎn)。3、典型拒絕服務(wù)攻擊的手段有哪些，試舉例？答：TCP SYN拒絕服務(wù)攻擊1、 攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN報(bào)文；2、 目標(biāo)計(jì)算機(jī)收到這個(gè)報(bào)文后，建立TCP連接控制結(jié)構(gòu)（TCB），并回應(yīng)一個(gè)ACK，等待發(fā)起者的回應(yīng)；3、 而發(fā)起者則不向目標(biāo)計(jì)算機(jī)回應(yīng)ACK報(bào)文，這樣導(dǎo)致目標(biāo)計(jì)算機(jī)一致處于等待狀態(tài)。可以看出，目標(biāo)計(jì)算機(jī)如果接收到大量的TCP SYN報(bào)文，而沒有收到發(fā)起者的第三次ACK回應(yīng)，會(huì)一直等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會(huì)把目標(biāo)計(jì)算機(jī)的資源（TCB控制

13、結(jié)構(gòu)，TCB，一般情況下是有限的）耗盡，而不能響應(yīng)正常的TCP連接請(qǐng)求。ICMP洪水為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，比如PING等，會(huì)發(fā)出ICMP響應(yīng)請(qǐng)求報(bào)文（ICMP ECHO），接收計(jì)算機(jī)接收到ICMP ECHO后，會(huì)回應(yīng)一個(gè)ICMP ECHO Reply報(bào)文。而這個(gè)過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時(shí)候。這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMP ECHO報(bào)文（產(chǎn)生ICMP洪水），則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO報(bào)文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)攻擊（DOS）UDP洪水原理與ICMP洪水類似，攻擊者通過發(fā)送大量的UDP報(bào)

14、文給目標(biāo)計(jì)算機(jī)，導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些UDP報(bào)文而無法繼續(xù)處理正常的報(bào)文。分片IP報(bào)文攻擊為了傳送一個(gè)大的IP報(bào)文，IP協(xié)議棧需要根據(jù)鏈路接口的MTU對(duì)該IP報(bào)文進(jìn)行分片，通過填充適當(dāng)?shù)腎P頭中的分片指示字段，接收計(jì)算機(jī)可以很容易的把這些IP分片報(bào)文組裝起來。目標(biāo)計(jì)算機(jī)在處理這些分片報(bào)文的時(shí)候，會(huì)把先到的分片報(bào)文緩存起來，然后一直等待后續(xù)的分片報(bào)文，這個(gè)過程會(huì)消耗掉一部分內(nèi)存，以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu)。如果攻擊者給目標(biāo)計(jì)算機(jī)只發(fā)送一片分片報(bào)文，而不發(fā)送所有的分片報(bào)文，這樣攻擊者計(jì)算機(jī)便會(huì)一直等待（直到一個(gè)內(nèi)部計(jì)時(shí)器到時(shí)），如果攻擊者發(fā)送了大量的分片報(bào)文，就會(huì)消耗掉目標(biāo)計(jì)算機(jī)的資源，而導(dǎo)

15、致不能相應(yīng)正常的IP報(bào)文，這也是一種DOS攻擊。Land攻擊LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個(gè)目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN報(bào)文（連接建立請(qǐng)求報(bào)文）而完成對(duì)目標(biāo)計(jì)算機(jī)的攻擊。與正常的TCP SYN報(bào)文不同的是，LAND攻擊報(bào)文的源IP地址和目的IP地址是相同的，都是目標(biāo)計(jì)算機(jī)的IP地址。這樣目標(biāo)計(jì)算機(jī)接收到這個(gè)SYN報(bào)文后，就會(huì)向該報(bào)文的源地址發(fā)送一個(gè)ACK報(bào)文，并建立一個(gè)TCP連接控制結(jié)構(gòu)（TCB），而該報(bào)文的源地址就是自己，因此，這個(gè)ACK報(bào)文就發(fā)給了自己。這樣如果攻擊者發(fā)送了足夠多的SYN報(bào)文，則目標(biāo)計(jì)算機(jī)的TCB可能會(huì)耗盡，最終不能正常服務(wù)。這也是一種DOS攻

16、擊。4、分別敘述誤用檢測與異常檢測原理？答： 誤用檢測（Misuse Detection）基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特征。指標(biāo)：誤報(bào)低、漏報(bào)高。攻擊特征庫：當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測無能為力。 異常檢測（Anomaly Detection）基于統(tǒng)計(jì)分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加