入侵检测与漏洞扫描试题.docx
《入侵检测与漏洞扫描试题.docx》由会员分享,可在线阅读,更多相关《入侵检测与漏洞扫描试题.docx(7页珍藏版)》请在冰点文库上搜索。
入侵检测与漏洞扫描试题
入侵检测与漏洞扫描试题
入侵检测与漏洞扫描试卷
一、选择题(共20分,每题1分)
1
2
3
4
5
6
7
8
9
10
A
D
A
A
AB
D
C
C
D
B
11
12
13
14
15
16
17
18
19
20
D
B
B
B
C
B
A
A
A
B
【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDS
B.基于主机的IDS和基于域控制器的IDS
C.基于服务器的IDS和基于域控制器的IDS
D.基于浏览器的IDS和基于网络的IDS
【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元
【试题3】按照技术分类可将入侵检测分为__________。
A.基于标识和基于异常情况
B.基于主机和基于域控制器
C.服务器和基于域控制器
D.基于浏览器和基于网络
【试题4】不同厂商的IDS系统之间需要通信,这种通信格式是________。
A.IDMEFB.IETFC.IEEED.IEGF
【试题5】入侵检测的基础是
(1)A,入侵检测的核心是
(2)B。
(1)
(2)A.信息收集B.信号分析C.入侵防护D.检测方法
【试题6】信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析
【试题7】网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对
【试题8】________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测B.防火墙C.漏洞扫描D.入侵防护
【试题9】下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击
C.脚本语言错误D.信息泄漏
【试题10】基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击B.拒绝服务攻击C.被动攻击D.非服务攻击
【试题11】特洛伊木马攻击的威胁类型属于_________。
A.授权侵犯威胁B.植入威胁C.渗入威胁D.旁路控制威胁
【试题12】在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击
C.保密性的攻击D.真实性的攻击
【试题13】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击
C.保密性攻击D.真实性攻击
【试题14】提高网络安全性可以从以下两方面入手:
一是从技术上对网络资源进行保护;二是要求网络管理员与网络用户严格遵守网络管理规定与使用要求。
要做到这一点,就必须加强对网络管理人员和网络用户的技术培训和网络_________。
A.使用方法培训B.安全教育
C.软件开发培训D.应用开发教育
【试题15】下列说法错误的是_________。
A.服务攻击是针对某种特定网络的攻击
B.非服务攻击是针对网络层协议而进行的
C.主要的渗入威胁有特洛伊木马和陷井
D.潜在的网络威胁主要包括窃听、通信量分析、人员疏忽和媒体清理等
【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击
C.病毒攻击与主机攻击D.侵入攻击与植入攻击
【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击
C.完整性的攻击D.真实性的攻击
【试题18】对网络的威胁包括:
Ⅰ.假冒Ⅱ.特洛伊木马
Ⅲ.旁路控制Ⅳ.陷井Ⅴ.授权侵犯
在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB.Ⅲ和Ⅳ
C.Ⅱ和ⅣD.Ⅰ、Ⅱ、Ⅲ和Ⅳ
【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗
【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击
C.保密性攻击D.真实性攻击
二、简答题(共20分,每题5分)
1、什么是P2DR模型?
答:
P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:
Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
2、常见的几种攻击的原理有哪些,试举例?
答:
没有设置任何标志的TCP报文攻击-----正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。
有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。
攻击者利用了这个特点,对目标计算机进行攻击。
设置了FIN标志却没有设置ACK标志的TCP报文攻击-----正常情况下,ACK标志在除了第一个报文(SYN报文)外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文)。
但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标计算机崩溃。
死亡之PING------TCP/IP规范要求IP报文的长度在一定范围内(比如,0-64K),但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。
地址猜测攻击-----跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMPECHO报文,来判断目标计算机是否存在。
如果收到了对应的ECMPECHOREPLY报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
泪滴攻击-------对于一些大的IP包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元)的要求。
比如,一个4500字节的IP包,在MTU为1500的链路上传输的时候,就需要分成三个IP包。
在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个4500字节的IP包进行分片(MTU为1500),则三个片断中偏移字段的值依次为:
0,1500,3000。
这样接收端就可以根据这些信息成功的组装该IP包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。
比如,把上述偏移设置为0,1300,3000。
这就是所谓的泪滴攻击。
带源路由选项的IP报文-----为了实现一些附加功能,IP协议规范在IP报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器)或最终目标计算机对这些IP报文进行额外的处理。
源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(路由器)如何转发该数据报文的,即明确指明了报文的传输路径。
比如,让一个IP报文明确的经过三台路由器R1,R2,R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP报文就会依次经过R1,R2,R3。
而且这些带源路由选项的IP报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的IP地址,而蒙混进入网络。
带记录路由选项的IP报文----记录路由选项也是一个IP选项,携带了该选项的IP报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。
这样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。
3、典型拒绝服务攻击的手段有哪些,试举例?
答:
TCPSYN拒绝服务攻击―1、攻击者向目标计算机发送一个TCPSYN报文;2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
可以看出,目标计算机如果接收到大量的TCPSYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。
ICMP洪水――为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMPECHO),接收计算机接收到ICMPECHO后,会回应一个ICMPECHOReply报文。
而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。
这样如果攻击者向目标计算机发送大量的ICMPECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)
UDP洪水――原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。
分片IP报文攻击――为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。
如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。
Land攻击―― LAND攻击利用了TCP连接建立的三次握手过程,通过向一个目标计算机发送一个TCPSYN报文(连接建立请求报文)而完成对目标计算机的攻击。
与正常的TCPSYN报文不同的是,LAND攻击报文的源IP地址和目的IP地址是相同的,都是目标计算机的IP地址。
这样目标计算机接收到这个SYN报文后,就会向该报文的源地址发送一个ACK报文,并建立一个TCP连接控制结构(TCB),而该报文的源地址就是自己,因此,这个ACK报文就发给了自己。
这样如果攻击者发送了足够多的SYN报文,则目标计算机的TCB可能会耗尽,最终不能正常服务。
这也是一种DOS攻击。
4、分别叙述误用检测与异常检测原理?
答:
误用检测(MisuseDetection)―――基于模式匹配原理。
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
前提:
所有的入侵行为都有可被检测到的特征。
指标:
误报低、漏报高。
攻击特征库:
当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点:
采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。
攻击特征的细微变化,会使得误用检测无能为力。
异常检测(AnomalyDetection)―――基于统计分析原理。
首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
前提:
入侵是异常活动的子集。
指标:
漏报率低,误报率高。
特点:
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
5、分别叙述主动响应与被动响应?
答:
主动响应----系统(自动或与用户配合)为阻止或影响正在发生的攻击进程而采取行动。
被动响应-----系统仅简单的记录和报告所检测出的问题。
升级会员 