《黑客攻防》模拟试题

一、单选题（每题1分，共10分）

1．各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的（ b　）

A. 数据链路层　B. 网络层　C. 传输层       D. 应用层

2. 下面不属于木马特征的是（D　）

A. 自动更换文件名，难于被发现     B. 程序执行时不占太多系统资源

C. 不需要服务端用户的允许就能获得系统的使用权        

D. 造成缓冲区的溢出，破坏程序的堆栈

3. 下面不属于端口扫描技术的是（　C）

A. TCP connect()扫描          B. TCP FIN扫描

C. IP包分段扫描              D. Land扫描

4. 负责产生、分配并管理PKI结构下所有用户的证书的机构是（D　）

A. LDAP目录服务器          B. 业务受理点

C. 注册机构RA              D. 认证中心CA

5．防火墙按自身的体系结构分为（B　）

A. 软件防火墙和硬件防火墙         B.包过滤型防火墙和双宿网关        

C. 百兆防火墙和千兆防火墙        D. 主机防火墙和网络防火墙  

6．下面关于代理技术的叙述正确的是（   C ）

A．能提供部分与传输有关的状态       

B．能完全提供与应用相关的状态和部分传输方面的信息

C．能处理和管理信息     

D．ABC都正确

7．下面关于ESP传输模式的叙述不正确的是（A    ）

A．并没有暴露子网内部拓扑        B．主机到主机安全       

C．IPSEC的处理负荷被主机分担    D．两端的主机需使用公网IP  

8. 下面关于网络入侵检测的叙述不正确的是（D    ）

A．占用资源少                 B．攻击者不易转移证据       

C．容易处理加密的会话过程     D．检测速度快

9. 基于SET 协议的电子商务系统中对商家和持卡人进行认证的是（  B  ）

A．收单银行           B．支付网关

C．认证中心           D．发卡银行

10. 下面关于病毒的叙述正确的是（  A  ）

A．病毒可以是一个程序     B．病毒可以是一段可执行代码

C．病毒能够自我复制       D． ABC都正确

1．下面不属于按网络覆盖范围的大小将计算机网络分类的是（ C　）

A. 互联网　　            B. 广域网　　

C. 通信子网              D. 局域网

2. 下面不属于SYN FLOODING攻击的防范方法的是（D　）

A. 缩短SYN Timeout（连接等待超时）时间    B. 利用防火墙技术

C.  TCP段加密                D. 根据源IP记录SYN连接

3. 下面不属于木马伪装手段的是（A　）

A. 自我复制             B. 隐蔽运行

C. 捆绑文件             D. 修改图标

4. 负责证书申请者的信息录入、审核以及证书发放等工作的机构是（　B）

A. LDAP目录服务器        B. 业务受理点

C. 注册机构RA            D. 认证中心CA

5．下面哪种信任模型的扩展性较好（C　）

A. 单CA信任模型          B. 网状信任模型        

C. 严格分级信任模型        D. Web信任模型               

6．下面关于包过滤型防火墙协议包头中的主要信息叙述正确的是（A   ）

A．包括IP源和目的地址      

B．包括内装协议和TCP/UDP目标端口  

C．包括ICMP消息类型和TCP包头中的ACK位     

D．ABC都正确

7．下面关于LAN-LAN的叙述正确的是（ C   ）

A．增加WAN带宽的费用       

B．不能使用灵活的拓扑结构       

C．新的站点能更快、更容易地被连接         

D．不可以延长网络的可用时间  

8. 下面关于ESP隧道模式的叙述不正确的是（ C   ）

A．安全服务对子网中的用户是透明的       

B．子网内部拓扑未受到保护       

C．网关的IPSEC集中处理           

D．对内部的诸多安全问题将不可控

9. 下面关于入侵检测的组成叙述不正确的是（ A  ）

A．事件产生器对数据流、日志文件等进行追踪  

B．响应单元是入侵检测系统中的主动武器  

C．事件数据库是入侵检测系统中负责原始数据采集的部分  

D．事件分析器将判断的结果转变为警告信息

10. 下面关于病毒校验和检测的叙述正确的是（ B  ）

A．无法判断是被哪种病毒感染  

B．对于不修改代码的广义病毒为力

C．容易实现但虚警过多  

D．ABC都正确

二、填空题（每空1分，共25分）

1.IP协议提供了      尽力而为       的传递服务。

2.TCP/IP链路层安全威胁有：以太网共享信道的侦听 ，MAC ，ARP  。

3.DRDoS与DDoS的不同之处在于：攻击端不需要占领大量傀儡机   。

4.证书的作用是：用来向系统和其他实体证明自己的身份 和 攻法功钥   。 

5.SSL协议中双方的主密钥是在其 握手         协议产生的。

6.VPN的两种实现形式： Client-LAN             和 LAN-LAN              。

7.IPSec是为了在IP层提供通信安全而制定的一套 协议簇 ，是一个应用广泛、开放的 VPN 。

8.根据检测原理，入侵检测系统分为     ，误用   。

9.病毒技术包括：寄生 技术， 驻留 技术， 加密变形  技术和 隐藏   技术。

10.电子商务技术体系结构的三个层次是 网络平台 ，安全基础结构 和电子商务业务，一个支柱是公共基础部分。

11.防火墙的两种姿态 拒绝没有特别与许的任何事情 和 允许没有特别拒绝的任何事情。

12.TCP/IP层次划分为 _ 数据链路__层、__网络__层、__传输_层、_应用__层。

13.TCP协议的滑动窗口协议的一个重要用途是 流量控制   。

14.诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法是 DNS欺骗   。

15.身份认证分为： 单向认证  和  双向认证 。

16.X.509证书包括： 认证内容  签名算法和 使用签名算法对证书所作的签名 三部分。

17.防火墙主要通过  服务控制 ，方向控制，用户控制 和 行为控制 四种手段来执行安全策略和实现网络控制访问。

18.SOCKS只能用于 TCP  服务，而不能用于  UDP 服务。

19.典型的VPN组成包括  VPN服务器  ，  VPN客户机，  隧道  和 VPN连接  。

20.IPSec定义的两种通信保护机制分别是： ESP  机制和 UDP 机制。

21.电子现金支付系统是一种  的支付系统。

22.  是SET中的一个重要的创新技术。

23.

三、判断题(每题1分，共15分)

1．以太网中检查网络传输介质是否已被占用的是冲突监测。（　　）

2．主机不能保证数据包的真实来源，构成了IP地址欺骗的基础。（　×　）

3．扫描器可以直接攻击网络漏洞。（　　）

4．DNS欺骗利用的是DNS协议不对转换和信息性的更新进行身份认证这一弱点。（　　）

5．DRDoS攻击是与DDoS无关的另一种拒绝服务攻击方法。（　　）

6．公钥密码比传统密码更安全。（　　）

7．身份认证一般都是实时的，消息认证一般不提供实时性。（√　　）

8．每一级CA都有对应的RA。（　　）

9．加密/解密的密钥对成功更新后，原来密钥对中用于签名的私钥必须安全销毁，公钥进行归档管理。（　　）

10．防火墙无法完全防止传送已感染病毒的软件或文件。（　　）

11．所有的协议都适合用数据包过滤。（　　）

12．构建隧道可以在网络的不同协议层次上实现。（　√　）

13．蜜网技术（Honeynet）不是对攻击进行诱骗或检测。（　　）

14．病毒传染主要指病毒从一台主机蔓延到另一台主机。（　　）

15．电子商务中要求用户的定单一经发出，具有不可否认性。（　　）

16．设计初期，TCP/IP通信协议并没有考虑到安全性问题。（　√　）

17．目前没有理想的方法可以彻底根除IP地址欺骗。（　　）

18．非盲攻击较盲攻击的难度要大。（　　）

19．缓冲区溢出并不是一种针对网络的攻击方法。（√　　）

20．DDoS攻击破坏性大，难以防范，也难以查找攻击源,被认为是当前最有效的攻击手法。（　√　）

21．身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性。（　　）

22．网状信任模型单个CA安全性的削弱不会影响到整个PKI。（　　）

23．防火墙将有用的网络服务。（　√　）

24．应用代理不能解决合法IP地址不够用的问题。（　　）

25．VPN中用户需要拥有实际的长途数据线路。（　　）

26．对通信实体的身份进行认证的是IPSec的安全协议。（　　）

27．ESP头插在IP报头之后，TCP或UDP等传输协议报头之前。（　　）

28．入侵检测系统能够完成入侵检测任务的前提是监控,分析用户和系统的活动。（　√　）

29．蜜罐（Honeypot）技术不会修补任何东西，只为使用者提供额外的、有价值的关于攻击的信息。（　√　）

30．电子商务中要求用户的定单一经发出，具有不可否认性。（√　　）

四、简答题（每题5分，共30分）

1．TCP/IP的分层结构以及它与OSI七层模型的对应关系。

拒绝服务攻击的概念：

广义上讲，拒绝服务（DoS，Denial of service）攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。

拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务。

3．简述交叉认证过程

首先，两个CA建立信任关系。双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。其次，利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。

4．简述SSL安全协议的概念及功能。

SSL全称是：Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下，做到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。

5．简述好的防火墙具有的5个特性。

(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行。

6．简述电子数据交换（EDI）技术的特点。

特点：使用对象是不同的组织之间；所传送的资料是一般业务资料；采用共同标准化的格式；尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。

7．简述TCP协议的三次握手机制。

8．简述VPN隧道的概念和分类。

VPN隧道的概念：

隧道实质是一种数据封装技术，即将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。使用IP协议作为封装协议的隧道协议称为IP隧道协议。

VPN隧道技术的分类：

第二层隧道：先把各种网络层协议（如IP、IPX等）封装到数据链路层的PPP帧里，再把整个PPP帧装入隧道协议里。第三层隧道：把各种网络层协议直接装入隧道协议中。

9．简述IPSec的定义，功能和组成。

IPSec是IETF IPSec工作组为了在IP层提供通信安全而制定的一套协议簇，是一个应用广泛、开放的VPN安全协议体系。功能：提供所有在网络层上的数据保护，进行透明的安全通信。IPSec协议包括安全协议和密钥协商两部分。

10．简述异常入侵检测和误用入侵检测。

异常入侵检测，能够根据异常行为和使用计算机资源的情况检测出来的入侵。用定量的方式描述可接受的行为特征，对超出可接受的行为认为是入侵。误用入侵检测，利用已知系统和应用软件的弱点攻击模型来检测入侵。误用入侵检测直接检测不可接受性为。

11．简述病毒的定义及其破坏性的主要表现。

病毒的定义：

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。

病毒的破坏性的主要表现：直接破坏计算机上的重要信息；抢占系统资源，降低系统性能；窃取主机上的重要信息；破坏计算机硬件；导致网络阻塞，甚至瘫痪；使邮件服务器、Web服务器不能提供正常服务。

12．简述消息认证和身份认证的概念及两者的差别。

消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程。

身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。

身份认证与消息认证的差别：

 (1)身份认证一般都是实时的，消息认证一般不提供实时性。(2)身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性。(3)数字签名是实现身份认证的有效途径。

五、综述题（20分）

1.简述ARP的工作过程及ARP欺骗。（10分）

ARP的工作过程：

(1)主机A不知道主机B的MAC地址，以广播方式发出一个含有主机B的IP地址的ARP请求；(2)网内所有主机受到ARP请求后，将自己的IP地址与请求中的IP地址相比较，仅有B做出ARP响应，其中含有自己的MAC地址；(3)主机A收到B的ARP响应，将该条IP-MAC映射记录写入ARP缓存中，接着进行通信。

ARP欺骗：

ARP协议用于IP地址到MAC地址的转换，此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机，这就是所谓的“ARP欺骗”。

2.简述包过滤型防火墙的概念、优缺点和应用场合。（10分）

包过滤型防火墙的概念：

包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。

包过滤型防火墙的优缺点：

包过滤防火墙的优点：处理包的速度快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。

包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的IP欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。

包过滤型防火墙的应用场合：

非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP这样的动态IP地址分配协议。

3.简述证书的概念、作用、获取方式及其验证过程。（10分）

证书的概念：是一个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。

证书的作用：用来向系统中其他实体证明自己的身份；分发公钥。

证书的获取方式：

 (1)发送者发送签名信息时附加发送证书；(2) 单独发送证书信息；(3) 访问证书发布的目录服务器；(4) 从证书相关实体获得。

证书的验证过程：

 (1) 将客户端发来的数据解密；(2) 将解密后的数据分解成原始数据、签名数据、客户证书3部分；(3) 用CA根证书验证客户证书的签名完整性；(4) 检查客户证书是否有效；(5)检查客户证书是否作废；(6)验证客户证书结构中的证书用途；(7)客户证书验证原始数据的签名完整性；(8)如以上各项均验证通过，则接收该数据。

4.简述电子商务技术体系结构。（10分）

电子商务技术体系结构由三个层次和一个支柱构成。三个层次是：网络平台；安全基础结构；电子商务业务。一个支柱是：公共基础部分。

网络平台：网络平台处在底层，是信息传送的载体和用户接入的手段，也是信息的主要通道。

安全基础结构：安全基础结构包括各种加密算法、安全技术、安全协议及CA认证体系，为电子商务平台提供了安全保障。

电子商务业务：包括支付型业务和非支付型业务 。

公共基础部分始终贯穿于上述3个层次中，对电子商务的推广、普及和应用起着重要的制约作用，是创造一个适应电子商务发展的社会环境的基础