网络攻防题录集

文章目录

第一章网络攻防概述
第二章密码学
第三章网络协议脆弱性分析
第四自测题三
第五章自测题五
第六章自测题六
第七章自测题七
第八章自测题八
第九章自测题九
第十章自测题十
第十一章自测题十一
第十二章自测题十二
第十三章自测题十三

第一章网络攻防概述

第一代安全技术：以“保护”为目的，主要针对系统的保密性和完整性。方法技术：用户鉴别和认证，访问控制、权限管理和信息加解密。
第二代安全技术：以检测技术为核心，以恢复技术为后盾，融合保护、检测、响应、恢复四大技术。方法技术：虚拟专用网、入侵检测技术、防火墙。
第三代安全技术：信息生存技术，即系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成全部或关键使命的能力。方法技术：入侵容忍技术、可生存技术。

信息在传送过程中,通信量分析破坏了信息的（机密性）

ISO/OSI 安全体系结构中的通信对象认证安全服务,使用( 数字签名)机制来完成。

最能代表网络战攻击水平的是（APT 攻击）

安全属性“CIA”包括（完整性、可用性、机密性）

主要针对机密性的攻击（截获）

主要针对可用性的攻击是（中断）

主要针对完整性的攻击是（篡改）

P2DR 模型中的“D”指的是（检测）,“P2”指的是策略(Policy)、保护(Protection)

P2DR模型：策略(Policy)、保护(Protection)、检测(Detection)、响应(Response)、备份(Recovery)、检测(Detection)
PDRR模型：防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）

简述网络攻击的一般过程

窥探设施：踩点、扫描、查点
攻击目标：获取访问、权限提升、拒绝服务

简述网络空间安全的基本安全属性

网络安全属性包括：机密性、完整性和可用性
机密性：不让不应知晓的人知道秘密。保护措施主要包括：信息加密、解密
完整性：包括系统完整性和数据完整性。保护措施主要包括：严格控制对系统中数据的操作访问。
可用性：主要指系统的可用性。保护措施主要有：为用户提供方便的访问接口，提供安全的访问工具。
可靠性：在规定条件下和规定时间内，能够有效地执行其预期功能的能力。
不可否认性：通信双方在通信过程中，对于自己所发送或接收的消息不可抵赖。保护措施主要包括：数字签名、可信第三方认证技术

数字签名可保护的安全属性（完整性）（不可抵赖性）（真实性）

ISO 7498-2 5 种可选的安全服务：鉴别服务、访问控制、数据完整性、数据机密性、抗抵赖

ISO 7496-2 从体系结构的角度描述了 5 种普遍性的安全机制,这 5 种安全机制不包括(数据完整性机制)
在这里插入图片描述

8种安全服务：加密、数字签名、访问控制、数据完整性保护、认证交换、通信业务填充、路由选择机制、公证。
元属性“可用性”不包括的子属性是( A)。

A可控性

B稳定性

C可生存性

D可靠性
信息在传送过程中,如果接收方接收到的信息与发送方发送的信息不同,则信息的 ( 完整性)遭到了破坏
身份鉴别一般用提供双向认证
针对通信的主动攻击：中断，伪造、重放、修改（或篡改）
针对网络或信息的主动攻击：扫描、缓冲区溢出、恶意代码
属于被动攻击只有（截获）
数字签名主要解决操作的（不可否认性）
重放攻击破坏了信息的(可鉴别性)

第二章密码学

PKI 体系中,负责产生、分配并管理证书的机构是（签证机构 CA）
密码分析者只知道一些消息的密文,试图恢复尽可能多的消息明文,在这种条件下的密码分析方法属于（唯密文攻击）
对称加密算法：DES、3DES、AES；非对称加密算法：RSA
RSA 密码的安全性基于（大的整数因子分解的困难性）
数据加密标准 DES 采用的密码类型是（分组密码）
安全性依赖于计算离散对数的难度的是（Diffie-Hellman 算法）
根据密码分析者所掌握的分析资料的不同,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是(选择密文攻击)
通信过程中,如果仅采用数字签名,能解决(数据的完整性、数据的抗抵赖性、数据的防篡改)
现代密码系统的安全性取决于对（密钥的保护）
把明文中的字母重新排列,字母本身不变,但位置改变，这样编成的密码称为（置换密码）
在非层次结构的组织中,实现多个 CA 之间交叉认证方法不包括( A)。

A：上级给下级签发证书

B：由用户自己决定信任哪个 CA用户或拒绝哪个 CA用户

C：由桥接 CA 控制的交叉认证

D：各 PKI 的 CA 之间互相签发证书
PKIX 标准中,支持用户查询和下载数字证书的协议的是（LDAP）
在 RSA 的公钥密码体制中,假设公钥为 (e, n) = (13, 35),则私钥 d 等于（13）

n = 35，我们可以很容易地找到 p = 5 和 q = 7

φ(n) = (p-1)(q-1) = (5-1)(7-1) = 4 * 6 = 24。

(13 * d) % 24 = 1

d=13
在具有层次结构的组织中,最合适的多个 CA 的组织结构模型是（树模型）
在数字证书中加入公钥所有人信息的目的是（确定公钥是否真的隶属于它所声称的用户）
目前公开密钥密码主要用来进行数字签名,或用于保护传统密码的密钥,而不是主要用于数据加密,主要因为（公钥密码的效率比较低）
“公开密钥密码体制”的含义是（将公开密钥公开,私有密钥保密）
现代密码学中很多应用包含散列运算,下列应用中不包含散列运算的是( A)。

A消息加密

B消息完整性保护

C消息认证码

D数字签名
计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是（计算安全）
散列函数具有单向性是指（对任意给定的散列值 h,找到满足 H(x) = h 的 x 在计算上是不可行的。）
数字签名通常要先使用单向哈希函数进行处理的原因是(缩小签名消息的长度,加快数字签名和验证签名的运算速度)

请简要评述以 DES 为代表的对称密钥密码系统的优点和缺点。

优点：具有很高的安全性，加、解密的速度都很快。

缺点：密钥管理成本高；密钥量大，管理困难。
请简要评述以 RSA 为代表的公开密钥密码系统的优点和缺点。

优点：解决对称密钥密码系统密钥分发困难的问题，密钥管理简单

缺点：加密操作和解密操作的速度比对称密钥密码系统慢
比较分析唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击等四种密码攻击方法的破解思路和破解难度。

唯密文攻击：攻击者除了截获的密文外，没有其他任何辅助信息； (难度最大) 利用统计分析或已知的密文模式来尝试破解

已知明文攻击：攻击者除了掌握密文，还掌握了部分明文和密文的对应关系；推断加密密钥或解密其他密文

选择明文攻击：攻击者知道加密算法，同时能够选择明文并得到相应明文所对应的密文；推断加密密钥或解密其他密文

选择密文攻击：攻击者知道加密算法，同时可以选择密文并得到对应的明文，攻击者的攻击目标通常是加密所使用的密钥。利用这些信息推断解密密钥或解密其他密文

考虑 RSA 密码体制：设 n=35，已截获发给某用户的密文 C = 10，并查到该用户的公钥 e = 5，求出明文 M。

分解 n = 35 = 7×5，于是 p = 7, q = 5。φ(n) = 6×4 = 24。因为 e = 5，根据 ed = 1 mod φ(n)，求出 d=5。根据 $M = C^d \ mod \ n$ , $M = 10^5 \ mod \ 35$ , 求出 M＝5。
考虑RSA密码体制:令p=3, q=11, d=7, m=5,给出密文C的计算过程。

n = p * q = 3 * 11 = 33

φ(n) = (p - 1) * (q - 1) = (3 - 1) * (11 - 1) = 2 * 10 = 20

ed mod 20 =1 =>7e mod 10 =1

e=3

加密密文C = (M^e)%n = (5^3)%20 = 5

解密明文M = (C^d)%n = (5^7)%20 = 5

第三章网络协议脆弱性分析

下列认证方式中,属于 OSPF 协议定义的认证方法是（MD5 加密认证、NULL 认证、简单口令认证）
2011 年出现的一种针对路由协议的攻击方法,俗称“数字大炮”,这种攻击利用路由器正常工作过程中路由表更新机制,通过在网络上制造某些通信链路的时断时续的震荡效应,导致网络中路由器频繁地更新路由表,最终当网络上震荡路径数量足够多、震荡频率足够高时,网络上所有路由器都处于瘫痪状态。该攻击利用了(BGP)路由协议存在的安全缺陷。
攻击者在攻击一个目标时,经常用伪造的 IP 地址来发送攻击数据包(数据包的源 IP 地址是伪造的),这样做之所以能成功的原因是(路由器在转发 IP 包时不检查 IP 源地址)
TCP 协议报文中,与 TCP 连接建立和释放过程有关的标志位是(FIN、SYN、ACK)
互联网中大量存在的“中间盒子”不符合互联网设计之初提出的(端到端)原则, 导致了大量网络攻击事件的发生。
路由协议中,安全性最高的是(RIPng)
交换方式中,最容易被攻击的是(分组交换)
路由协议中,使用 TCP 作为传输协议的是(BGP)
UDP协议可被攻击者用来进行(风暴型拒绝服务攻击)

在UDP协议中,源端口号1024属于哪一种端口域。( 注册端口域)

知名端口域：0 - 1023，这些端口通常由系统分配给特定的服务，如HTTP（端口80）、FTP（端口21）等。
注册端口域：1024 - 49151，这些端口通常由IANA注册给特定的应用程序，但不像知名端口那样固定。
动态端口域或临时端口域：49152 - 65535，这些端口通常由客户端应用程序在建立连接时动态分配，用于临时通信。

ICMP协议由IP协议承载
(IP)位于所有通信的中心,是唯一被所有应用程序所公用的协议
目前,全球共有 (13)个根域名服务器
从整个Internet的观点出发,(路由聚合)方法可以有效的减少路由表的规模。
ARP请求报文属于(多播)，ARP响应报文属于（单播）
某校园网的地址是202.100.192.0/18,要把该网络分成30个子网,则子网掩码应该(255.255.254.0)
相邻路由器之间的网络通信方式是(点到点通信)
TCP连接使用(复位比特)来执行异常关闭
HTTP是一种超文本传输的数据格式协议
本地代理到远程邮件服务器用SMTP,邮件服务器到接收代理使用POP3
下面WAN或LAN网络中关于主机数量论述不正确的是(A)。

A网络中划分的广播区域越多,网络中的主机数就越少;

B网络中使用2层交换机越多,网络中的主机数就越少;

C网络中使用的协议类型越多,网络中的主机数就越少;

D网络中划分的物理区域越多,网络中的主机数就越少;
发送方向回应方发送Configure-Request报文,发起PPP链路建立和配置过程,对于回应方,若所有选项都可识别,但只有部分被接受,则返回(否认(Configure-Nak))
在计算机网络中,主机及主机上运行的程序可以用(IP地址,端口号)来标识。
在进行网络IP地址配置时,有时会发生IP地址冲突,TCP/IP协议族中检查IP地址是否冲突的网络协议是(ARP)
IP首部的最大长度是(60字节)
UDP协议数据报中保存应用层服务和方法端口的位置是（UDP报文首部）
在IPCP协商阶段,可以协商的参数不包括( B)。

AIP地址

B主机名

C主DNS

D主NBNS

19.下面关于WWW论述不正确的是(D )。

AWWW提供服务的方式是基于C/S架构;

BWWW是因特网提供的一种服务;

CWWW是全球最大的分布式数据资源系统;

DWWW是全球最大的互联网络;

某端口的IP地址为172.16.7.131/26,则该IP地址所在网络的广播地址是（172.16.7.191）
IP协议在网络层,UDP协议在传输层,都是唯一的无连接TCP/IP协议
计算机网络体系结构在逻辑功能构成上存在有两个边界,它们是(协议地址边界和操作系统边界)
FTP客户端与服务器建立连接后,用PORT命令向服务器通告本地IP地址和端口号:PORT 192.168.0.10,13,128,则客户端开放的端口号为(3456)

IP地址是192.168.0.10
端口号的高位字节p1是13（十进制）
端口号的低位字节p2是128（十进制）
端口号 = (13 * 256) + 128=3456

TCP会话截击攻击的目的是(伪装成合法用户进行攻击)
下列对DNS记录的描述不正确的是( )

A A记录将主机名映射为IP地址
B NS记录规定主机的别名
C MX记录标识域的邮件交换服务
D PTR记录将IP地址指向主机名

A. A记录（Address Record）将主机名映射为IP地址。
B. NS记录（Name Server Record）指定负责一个域的权威DNS服务器的主机名。
C. MX记录（Mail Exchange Record）标识域的邮件交换服务，即指定处理该域邮件的邮件服务器。
D. PTR记录（Pointer Record）将IP地址指向主机名，通常用于反向DNS查找。

TFTP协议传输的数据长度固定，为（512字节）、
ICMP报文中,用以向主机通告更优路由的是(C)

A源站抑制报文

B路由器通告报文

C重定向报文

D地址掩码请求报文

在ICMP（Internet Control Message Protocol）报文中，用以向主机通告更优路由的是重定向报文（Redirect Message）。当路由器检测到主机使用了一个非最优的路径发送数据包时，它会发送一个重定向报文给主机，告诉主机有一个更优的路径可以到达目标网络。

A. 源站抑制报文（Source Quench Message）：用于拥塞控制，当路由器或主机由于拥塞而丢弃数据包时，会向源站发送源站抑制报文，要求其降低发送速率。
B. 路由器通告报文（Router Advertisement Message）：通常与ICMPv6（IPv6的ICMP）相关，用于路由器向主机通告自己的存在和配置信息。
C. 重定向报文（Redirect Message）：用于向主机通告更优的路由。
D. 地址掩码请求报文（Address Mask Request Message）：用于主机向路由器请求子网掩码信息。

28.下面关于SMTP协议论述不正确的是(C)

A:SMTP缺陷是大量的网上垃圾邮件肆虐的原因。
B:SMTP协议是一种简化的电子邮件协议;
C:SMTP协议提供了人身份认证功能;
D:SMTP协议允许发信人伪造绝大多数的发信人特征信息;

(OSPF)是在自治系统之间传播路由的协议
用于无盘工作站中发现其IP地址的协议是(RARP)
IP报文中TTL的最大值为（255）
UDP和TCP两种协议端口号，两者的服务对象多数端口号相同,少数不同。
为了提高传输效率,TCP通常采用(窗口控制机制)
IP协议可能将源主机的IP数据报分片后进行传输,在到达目的主机之前,分片后的IP数据报(可能再次分片,但不进行重组)
下面关于ICMP协议论述不正确的是(A)。

A：ICMP协议可以被黑客用来探查主机的开放端口;

B：Traceroute和Ping命令进行网络检测时使用ICMP报文;

C：ICMP协议可以完成主机重定向功能。

D：ICMP协议同IP协议一样位于网络层;
内部网关协议RIP是一种广泛使用的基于(距离矢量算法)的协议。
PPP协议中基于口令的认证方法所使用的协议是（PAP）
帧的数据字段内容是（网络层PDU）
B类网络172.16.0.0的广播地址是(172.16.255.255)
必须要由网络管理员手动配置的是(静态路由)
下面对DHCP协议描述不正确的是( )

A：DHCP建立在BOOTP的基础上,但保持一些反向相容性;

B：DHCP是动态主机配置协议;

C：DHCP允许新入网的主机动态的分配网络地址和配置;

D：DHCP客户机可以通过DHCP协议更新其DNS入口。

DHCP（Dynamic Host Configuration Protocol）主要用于自动分配IP地址和其他网络配置参数给网络上的设备，但它本身并不负责更新DNS（Domain Name System）入口。DNS入口的更新通常是由设备本身或专门的DNS更新协议（如DNS Update Protocol）来完成的。

一个数据报总长度为5000字节(含首部长度20字节)。现在经过一个网络传送,但此网络能够传送的最大数据长度为1500字节。试问: (1) 该数据报应分为几片? (2) 各数据报分片的数据长度为多少? (3) 各数据报分片的片偏移字段值为多少? (4) 各数据报分片MF标志位的值是多少?

（1）数据报总长度为 5000 字节，首部长度 20 字节，所以数据部分长度为 4980 字节。网络能够传送的最大数据长度为 1500 字节，其中首部 20 字节，所以最大数据长度为 1480 字节。
4980÷1480 = 3…540
所以该数据报应分为 4 片。
（2）第一片数据长度为 1480 字节，第二片和第三片数据长度也为 1480 字节，第四片数据长度为 540 字节。
（3）片偏移字段是以 8 字节为单位的。
第一片的片偏移为 0，因为它是第一个分片。
第二片的片偏移为 1480÷8 = 185。
第三片的片偏移为 1480×2÷8 = 370 。
第四片的片偏移为 1480×3÷8 = 555 。
（4）MF 标志位（More Fragment），除了最后一个分片，其他分片的 MF 标志位都为 1，最后一个分片的 MF 标志位为 0。
所以第一片、第二片和第三片的 MF 标志位为 1，第四片的 MF 标志位为 0。

Traceroute程序用来获取由源端到达目的端所经过路由器的IP地址,它利用的是IP首部的TTL字段以及ICMP超时报文。试叙述其原理。

Traceroute 程序的工作原理如下：
Traceroute 发送一系列的 IP 数据包，每个数据包的 IP 首部中的 TTL（Time To Live，生存时间）字段值依次递增。
当一个数据包经过路由器时，路由器会将 TTL 值减 1。如果 TTL 减为 0，路由器就会丢弃该数据包，并向源端发送一个 ICMP 超时报文。
源端通过发送 TTL 从 1 开始逐步递增的数据包，当第一个数据包的 TTL 为 1 时，它到达第一个路由器就会被丢弃，然后源端收到该路由器返回的 ICMP 超时报文，从而得知第一个路由器的 IP 地址。
接着发送 TTL 为 2 的数据包，它会经过第一个路由器到达第二个路由器，由于 TTL 减为 0 被第二个路由器丢弃并返回 ICMP 超时报文，源端就知道了第二个路由器的 IP 地址。
依此类推，不断增加 TTL 值，直到数据包最终到达目的端。当数据包到达目的端后，由于目的端主机不是路由器，它不会返回 ICMP 超时报文，而是返回一个 ICMP 端口不可达的报文，从而源端知道已经到达了最终的目的端。
通过这种方式，Traceroute 程序就能够获取从源端到目的端所经过的路由器的 IP 地址，从而追踪数据包在网络中的路径。

第四自测题三

元安全属性“可用性”主要包括以下安全属性( 可生存性、可靠性、稳定性、可维护性），不包括的子属性是（可控性）
不可抵赖服务需要使用的安全机制包括（认证交换、公证、加密、数字签名）
IATF 定义的与信息安全有关的核心要素包括（人、操作、技术)
以保护信息为主的安全元属性包括（可鉴别性、机密性）
通信业务流机密性服务需要使用的安全机制包括（路由控制、流量填充、加密）
ISO 7496-2 从体系结构的角度描述了 5 种普遍性的安全机制,这 5 种安全机制不包括( 数据完整性机制)
重放攻击破坏了信息的（可鉴别性）
P2DR 模型中的“D”指的是（检测）

安全机制与安全服务的区别与联系：
- 安全机制是指实现安全策略的技术手段和管理措施，它们是具体的安全技术实现，如加密、认证、访问控制等。
- 安全服务则是指通过这些安全机制提供的安全功能，以保护信息系统免受威胁和攻击，如保密性、完整性、可用性等。
- 安全机制是实现安全服务的手段，安全服务是安全机制的目标和结果。
网络攻击过程的六个阶段及其主要任务：
（1）侦查：收集目标系统的信息，如IP地址、操作系统类型等。
（2）武器化：开发或获取攻击工具，准备攻击。
（3）交付：将攻击工具传递到目标系统，如通过电子邮件附件、恶意网站等。
（4）利用：利用漏洞或弱点，使攻击工具在目标系统上执行。
（5）安装：在目标系统上安装后门、木马等，以便长期控制。
（6）命令与控制：通过已安装的恶意软件控制目标系统，进行数据窃取或其他恶意活动。
网络或信息系统的安全属性：
（1）保密性：确保信息只能被授权的用户访问。
（2）完整性：确保信息在存储、传输过程中不被未授权修改。
（3）可用性：确保信息和系统资源在需要时对授权用户可用。
（4）可追溯性：能够追踪和记录系统中的活动，以便于审计和调查。
（5）认证：确保用户或系统的身份是真实的。
（6）不可否认性：确保用户不能否认其执行的操作。

提高本单位网络安全的措施：
（1）技术措施：部署防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、加密通信、定期更新和打补丁、使用安全认证机制等。
（2）非技术措施：制定和实施安全政策、进行安全培训和意识提升、定期进行安全审计和风险评估、建立应急响应计划、加强物理安全措施等。
P2DR安全模型中的响应时间计算：

P2DR模型包括策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）四个部分。在这个模型中，系统的安全取决于响应时间。为了确保系统安全，响应时间必须小于攻击时间减去检测时间。

计算过程如下：
攻击时间 = 100单位时间
检测时间 = 40单位时间
响应时间 = 攻击时间 - 检测时间 = 100 - 40 = 60单位时间

因此，响应时间必须小于或等于60单位时间，被防护的系统才是安全的。
数据完整性服务需要使用的安全机制包括(数据完整性、数字签名、加密)
不属于这 8 种安全机制的是( 安全标记机制)
以保护信息系统为主的安全元属性包括（可用性、可控性）
对等实体认证需要使用的安全机制包括(加密、认证交换、数字签名)
数据源认证服务需要使用的安全机制包括（加密、数字签名）
机密性主要通过（加密机制、访问控制控制 )来保证。
网络空间(用户)要保护的核心对象中,在社会层面反映“空间(操作)”属性的对象包括
信息在传送过程中,通信量分析破坏了信息的(机密性)

第五章自测题五

因特网的体系结构不足之处
- 分组交换：基于分组交换的，容易受攻击
- InInternet：没有认证机制，导致IP欺骗
- 尽力而为：因特网采取尽力而为策略
- 对全球网络基础实施的依赖：全球网络基础设施不提供可靠性、安全性保证，这使攻击者可以放大其攻击效力。
- 匿名与隐私：普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息
TCP协议的可被攻击字段或特性
1. 序列号预测：攻击者可以通过预测序列号来伪造TCP连接，进行会话劫持。
2. SYN Flood攻击：利用TCP三次握手的特性，发送大量伪造的SYN请求，耗尽服务器资源。
3. RST攻击：通过发送RST包，攻击者可以强制关闭合法的TCP连接。
IP协议的可被攻击字段或特性
1. IP欺骗：攻击者可以伪造源IP地址，进行欺骗攻击。
2. TTL字段：通过修改TTL字段，攻击者可以进行一些特定的攻击，如指纹识别。
3. 分片攻击：攻击者可以利用IP分片机制，发送异常的分片数据包，导致目标系统处理异常。
ARP协议的可被攻击字段或特性

ARP欺骗：攻击者可以发送伪造的ARP响应，将自己的MAC地址与目标IP地址关联，进行中间人攻击

未认证的ARP回复、广播性质
ICMP协议的可被攻击字段或特性

ICMP重定向攻击：攻击者可以发送伪造的ICMP重定向消息，改变目标主机的路由表

Ping Flood攻击：利用ICMP Echo请求，发送大量请求，消耗目标带宽和处理资源。
软件安全漏洞出现的原因
1. 编程错误：如缓冲区溢出、逻辑错误等。
2. 设计缺陷：系统设计时未充分考虑安全性。
3. 配置错误：系统或应用的错误配置可能导致安全漏洞。
4. 第三方库漏洞：使用的第三方库存在安全漏洞。
5. 社会工程学：通过欺骗手段获取敏感信息。
在某大型计算机网络的网络管理部门中，对于 ICMP 协议存在两种观点：一种观点认为应该关闭 ICMP 协议。如，用防火墙过滤掉 ICMP 协议报文；而另一种观点则认为应该保留。试给出他们各自的依据。
关闭ICMP协议的观点：
- 安全性：ICMP协议可能被用于DDoS攻击或信息收集，关闭它可以减少这些风险。
- 隐私保护：ICMP消息可能泄露网络结构和配置信息。
保留ICMP协议的观点：
- 网络诊断：ICMP是进行网络诊断的重要工具，如ping和traceroute都依赖于ICMP。
- 网络稳定性：ICMP用于报告网络错误和状态，有助于维护网络的稳定运行。
很多单位的安全管理员会在防火墙的设置中禁用因特网控制管理协议ICMP,主要原因是攻击者常常使用 ICMP 进行(拒绝服务攻击、主机扫描)
DNS 协议易遭受的网络攻击包括（缓存投毒、拒绝服务攻击、域名解析劫持）
下列攻击中,针对 OSPF 协议的攻击包括(ABC )。

A：LSA 报文重放攻击

B：最大序列号攻击

C：最大年龄(Max Age attack)攻击

D：篡改 IP 包中的协议字段
下列协议中,使用 UDP 作为传输协议的是(ABC)。

A：RIP

B：SNMP

C：DNS

D：FTP

A. RIP（路由信息协议）通常使用UDP作为传输协议，但也有版本使用TCP。

B. SNMP（简单网络管理协议）使用UDP作为传输协议。

C. DNS（域名系统）在查询时通常使用UDP，但在某些情况下也会使用TCP。

D. FTP（文件传输协议）使用TCP作为传输协议。

使用 TCP 作为传输协议的是（BGP）

A. BGP（边界网关协议）使用TCP作为传输协议，通常使用TCP端口179进行通信。

B. OSPF（开放最短路径优先）使用IP协议内的协议号89。

C. RIPng（下一代路由信息协议）是RIP的IPv6版本，它使用UDP作为传输协议。

D. RIP（路由信息协议）使用UDP作为传输协议。

IP 协议可以被攻击者用来进行()

A：网络端口扫描

B：源路由攻击

C：拒绝服务攻击

D：绕过防火墙

Web 浏览器和服务器使用 HTTPS 协议进行通信,可确保通信的（机密性、完整性、服务器的真实性）

第六章自测题六

如果要查询 henu.edu.cn 是在哪个域名注册机构注册的,最合适的 Whois 数据库是（CNNIC 的 Whois 数据库）
攻击者如果想查找互联网上某个地方的联网摄像头,最合适的搜索引擎是（ZoomEye）
查询河南开封某小区住户家里通过宽带接入互联网的电脑的 IP 地址的相关信息,最合适的 Whois 数据库是（APNIC 的 Whois 数据库）
查询英国牛津大学校园内的一个 IP 地址的相关信息,最合适的 Whois 数据库是（RIPE 的 Whois 数据库）

A. ARIN（American Registry for Internet Numbers）的 Whois 数据库主要负责北美、部分加勒比地区和撒哈拉以南非洲的IP地址分配信息。

B. RIPE（Réseaux IP Européens）的 Whois 数据库——欧洲、中东和中亚地区的IP地址分配信息。

C. LACNIC（Latin American and Caribbean Internet Addresses Registry）的 Whois 数据库——拉丁美洲和加勒比地区的IP地址分配信息。

D. APNIC（Asia Pacific Network Information Centre）的 Whois 数据库——亚洲和太平洋地区的IP地址分配信息。
支持域名的 IP 及其所有者信息查询的是（Whois 数据库）
想了解一个域名注册机构是不是合法的,则应该在(InterNIC)的网站上查询
最有可能查询到一个后缀为.com 的域名的拥有者的相关信息(如联系人电话、邮箱等)的是（MarkMonitor Inc.的 Whois 数据库）

许多大型企业和品牌会选择通过MarkMonitor这样的专业服务来注册和管理他们的.com域名。因此，通过MarkMonitor Inc.的Whois数据库，最有可能查询到.com域名的拥有者的详细联系信息，如电话、邮箱等。
不属于 Shodan 搜索引擎网络服务类过滤词的是(IP)
查询 yahoo.com 是在哪个域名注册机构注册的,最合适的 Whois 数据库是（InterNIC 的 Whois 数据库）

侦察.com, .net, .org和.edu域站点：查询互联网网络信息中心（Internet Network Information Center，简称InterNIC）的whois数据库

第七章自测题七

假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用的进攻手段（地址欺骗）
为了防止网络扫描行为被网络安全系统发现,不应当采用(连续端口快速扫描)策略
端口扫描的原理是向目标主机的(TCP/UDP)端口发送探测数据包,并记录目标主机的响应。
对于TCP SYN扫描,如果发送一个SYN标志置1的请求包后,对方返回(SYN和ACK标志置1 )的响应包则表明目标端口处于打开状态。
（漏洞分析）的目的是发现目标系统中存在的安全隐患,分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。
如果ICMP协议被防火墙封锁,则下列扫描方式很可能不准确（UDP 扫描、ping扫描）
TCP SYN扫描中,利用的标志位包括（SYN、RST、ACK）
用可用操作系统识别的特征包括(ABCD)。

A开放网络端口信息

B旗标(banner)

CTCP协议可选项

D网络协议指纹
下列扫描方式中,使用ICMP协议的是(ping扫描)
可用于进行网络主机或端口扫描的TCP/IP协议有(TCP、UDP、ICMP)
用ping探测目标主机,如果得不到其响应,可能的原因有（目标主机路由不可达、目标主机没开机、防火墙阻止了ping请求）
黑客拟获取远程主机的操作系统类型,则可以选用的工具是（nmap）
想发现到达目标网络需要经过哪些路由器,应该使用( tracert)命令
网络扫描一般不会使用(DNS)进行。
网络扫描包括(主机扫描、漏洞扫描、端口扫描、操作系统识别）
端口扫描的主要功能是（探测目标主机上开放了哪些网络服务）
漏洞扫描能够识别的漏洞类型是（已知漏洞）

主机扫描的目的是什么?请简述主机扫描方法。

主机扫描：向目标主机发送探测数据包，根据是否收到响应来判断主机的工作状态。
端口扫描的目的是什么？请简述端口扫描方法及扫描策略
端口扫描：向目标端口发送探测数据包，根据收到的响应来判断端口的状态

TCP 扫描、FTP代理扫描、UDP扫描。
- 随机端口扫描（Random Port Scan）：随机选择端口进行扫描，可降低被检测的可能性，但扫描效率较低
- 慢扫描（Slow Scan）：在较长时间内缓慢地执行扫描操作，目的是尽量减少在短时间内产生的流量，避免触发警报。
- 分布式协调扫描（Coordinated Scans）：通过多个源从不同的地理位置发起扫描，可以更好地规避单点检测，提高扫描的隐蔽性。
- 操作系统探测（OS Detection）：通过分析响应的特征（如TCP/IP栈的特定行为）来推测目标系统的操作系统类型和版本，对于选择攻击手段具有指导意义。
ICMP协议可以在哪些类型的网络扫描中被利用，具体如何利用？
- 主机扫描（Ping扫描）：ping命令，发送ICMP Echo Request到目标主机并等待Echo Reply。如果收到回复，就表示该主机在线。
- 路径检测（Traceroute）：traceroute工具发送具有逐步增加的TTL（Time to Live）的探测数据包。显示从源主机到目标主机的路径。
- 操作系统识别：基于ICMP的操作系统识别可以通过分析目标主机对特定ICMP请求的响应来推断其操作系统类型。
操作系统识别的目的是什么？简述操作系统识别方法。

目的通过扫描技术识别操作系统的信息。

根据使用的信息可分为三类：通过获取旗标信息，利用端口信息，通过TCP/IP协议栈指纹
简述漏洞扫描对于网络安全的意义
- 识别和修复漏洞：漏洞扫描能够检测系统中的已知漏洞。通过定期进行漏洞扫描，可以及时发现安全隐患，减少被攻击的风险。
- 提高安全意识：定期进行漏洞扫描可以提高整个组织的安全意识。
- 风险评估：漏洞扫描提供了对系统和网络中潜在安全风险的评估。
- 监控和维护：漏洞扫描工具可以自动化地监控网络和系统的安全状况，帮助安全团队及时发现新的漏洞和安全威胁。
- 减少攻击面：漏洞扫描能够识别并帮助修复系统中的安全弱点，从而减少攻击者可以利用的攻击面。

第八章自测题八

可用于检测拒绝服务攻击的有（DoS 攻击工具的特征、网络异常流量特征）
拒绝服务攻击导致攻击目标瘫痪的根本原因是（网络和系统资源是有限的）
对DNS实施拒绝服务攻击,主要目的是导致DNS瘫痪进而导致网络瘫痪,但有时也是为了（假冒目标DNS）
下列攻击中,不属于拒绝服务攻击的是（SQL Injection）
2018 年2月,知名代码托管网站GitHub遭遇了大规模Memcached DDoS 攻击,攻击者利用大量暴露在互联网上的Memcached服务器实施攻击,这种攻击最有可能属于（反射型DDoS）
在网络中安装Sniffer,将会损害信息的（保密性）
下列属于常用的漏洞扫描工具有(ABCD)。

A：Nessus

B：SSS

C：Retina

D：流光
下列安全机制中,主要用于缓解拒绝服务攻击造成的影响的是(流量清洗)
很多单位的网络安全管理员在配置网络防火墙时,会阻止ICMP协议通过,这样做的主要目的是防止攻击者对单位网络实施(拒绝服务攻击、主机扫描)。
DNS 经常被用作反射式DDoS攻击的反射源,主要原因包括（区传送或递归查询过程中DNS响应报文数量远大于请求报文数量、因特网上有很多DNS 服务器、DNS 查询的响应包远大于请求包）
当拒绝服务攻击发生时,被攻击目标的网络安全人员通常可采取的措施包括(用流量清洗设备对攻击流量进行清洗、断开网络,待攻击停止后再连通)
2016 年10 月21日,美国东海岸地区遭受大面积网络瘫痪,其原因为美国域名解析服务提供商Dyn公司当天受到强力的DDoS攻击所致,攻击流量的来源之一是感染了 (Mirai)僵尸的设备。
反射型拒绝服务攻击在选择用作攻击流量的网络协议时,通常依据以下原则 ( )。

A：互联网上有很多可探测到的支持该协议的服务器

B：协议具有无连接特性

C：协议具有有连接特性

D：部分协议的请求报文大小远小于响应报文的大小
在风暴型拒绝服务攻击中,如果攻击者直接利用控制的僵尸主机向攻击目标发送攻击报文,则这种拒绝服务攻击属于( 直接型拒绝服务攻击)。
某单位联在公网上的Web服务器的访问速度突然变得比平常慢很多,甚至无法访问到, 这台 Web服务器最有可能遭到的网络攻击是（拒绝服务攻击）
近几年,物联网设备大量被攻击者控制,成为僵尸网络的一部分。从攻击者的角度来看,选择物联网设备作为控制对象的主要因素包括（物联网设备数量大、物联网设备安全漏洞多、物联网设备安全防护弱）
拒绝服务攻击除了瘫痪目标这一直接目的外,在网络攻防行动中,有时是为了 (重启目标系统),帮助安装的后门生效或提升权限。
反射型拒绝服务攻击的包括是（NTP、SSDP）
下列协议中,可用作拒绝服务攻击的有（TCP、ICMP、HTTP、UDP）

拒绝服务攻击的核心思想是什么?

向目标系统发流大量请求或恶意流量使其无法正常提供服务
哪些协议可被攻击者用来进行风暴型 DDoS 攻击?攻击者在选择用做 DDoS 攻击流量的协议时，主要考虑哪些因素？

TCP、ICMP、HTTP、UDP

协议的易用性，协议的普及程度，协议的传输效率
简述僵尸网络有几种类型，并分析每种类型的优缺点。
中心型僵尸网络（也称为集中式僵尸网络）和去中心型僵尸网络（也称为分布式或P2P僵尸网络）
1. 中心型僵尸网络（Centralized Botnet）：僵尸网络有一个中央控制服务器（），所有僵尸主机都与这个中央服务器通信。
- 优点：
  - 控制简单：中央服务器可以有效地发送命令和接收数据。
  - 易于管理：僵尸主机的数量和活动可以由中央服务器集中管理。
- 缺点：
  - 单点故障：中央服务器是整个网络的关键，一旦被关闭或被安全机构控制，整个僵尸网络就会失效。
  - 易于被检测：由于所有通信都通过中央服务器，安全研究人员可以通过监控或关闭这个服务器来破坏僵尸网络。
1. 去中心型僵尸网络（Decentralized or P2P Botnet）：僵尸网络没有中央控制服务器，僵尸主机之间通过P2P网络相互通信，每个节点都可以是命令的接收者和发送者。
- 优点：
  - 鲁棒性高：没有单点故障。
  - 隐蔽性强：由于没有固定的控制中心，这种网络难被检测和关闭。
- 缺点：
  - 控制复杂：管理和协调多个节点可能需要更复杂的算法和协议。
  - 效率问题：P2P网络中的通信可能不如中心型网络高效，特别是在大规模网络中。
为了应对攻击者利用分片来穿透防火墙，防火墙在检测时进行数据包的重组，仅当重组后的数据包符合通行规则时，数据包片段才可放行。攻击者如何利用防火墙这一处理机制对防火墙进行攻击？
- 攻击者发送特制的数据包片段欺骗防火墙，绕过防火墙和阻止机制。
- 攻击者故意发送重组后的数据包，使其符号通信规则，从而绕过防火墙检测，对目标系统进行攻击。
直接风暴型拒绝服务攻击与反射式风暴型拒绝服务攻击的区别是什么？有哪些网络协议被攻击者用来进行风暴型拒绝服务攻击？如果你是一个攻击者，你在选择用作风暴型拒绝服务攻击的网络协议时主要考虑哪些因素？
- 主要区别在于攻击的执行方式和利用的网络资源。
- 直接风暴型拒绝服务攻击（DDoS）：攻击者直接向目标服务器发送大量无用的网络流量，以耗尽服务器的资源
- 反射式风暴型拒绝服务攻击（RDoS）：攻击者某些网络协议的特性，向第三方服务器发送请求，并将请求的源IP地址伪造成目标服务器的IP地址。第三方服务器响应这些请求时，将大量的响应数据发送到目标服务器，从而放大了攻击流量。

第九章自测题九

木马为了提高通信的隐蔽能力,通常采取的策略是（少量多次回传窃取的数据）
“冲击波”蠕虫利用Windows系统漏洞是（RPC漏洞）
进程隐藏技术包括(A,B,C,D)

A：API Hook

B：修改显示进程的命令

C：DLL注入

D：将自身进程从活动进程链表上摘除
计算机病毒的特征之一是（非授权可执行性）
计算机木马在运行过程中的隐藏方法有(A,B,C)。

A：远程线程插入

B：木马 DLL

C：进程列表欺骗
下列恶意代码中,传播速度最快的是（计算机蠕虫）
利用电子邮件进行攻击的恶意代码是（Mydoom）

Mydoom 是一种著名的电子邮件蠕虫，它在2004年初迅速传播，成为当时传播速度最快的电子邮件蠕虫之一
感染木马可能性最小的是（txt 文件）
关于80年代Morris蠕虫危害的描述(窃取用户的机密信息,破坏计算机数据文件)
冰河木马是比较典型的一款木马程序,该木马具备以下特征(BCD)。

A：采用了进程注入技术

B：在系统目录下释放木马程序

C：默认监听 7626端口

D：进程默认名为 Kernel32.exe
同计算机木马和蠕虫相比,计算机病毒最重要的特点是( 自我复制)。
用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段(钓鱼攻击)
关闭网络端口( 445)可阻止勒索病毒 WannaCry 传播
网络钓鱼邮件附件中常用来携带木马的文档文件类型有(ABCD )。

A：PDF

B：PPT/PPTX

C：XLS/XLSX

D：DOC/DOCX
病毒扫描软件由( 特征库和扫描程序)组成
一般来说,个人计算机的防病毒软件对(DDoS)是无效的。
计算机蠕虫的主要传播途径是(网络系统漏洞)
对木马的可执行文件 readme.exe(EXE 文件),为了诱骗用户双击执行,下列选项中, 最好的隐藏方式是( 文件全名为 readme.txt.exe,文件图标为 TXT 文档默认图标）

远程控制型木马与远程控制软件之间存在什么区别？
- 目的：远程控制型木马是恶意的，目的是未经授权地控制目标计算机，进行非法活动。而远程控制软件（如TeamViewer、VNC等）是合法的，用于远程协助。
- 合法性：远程控制软件是合法的软件产品，而木马是非法的恶意软件。
- 安全性：远程控制软件通常具有安全措施，如加密通信、身份验证等，以保护用户的安全和隐私。木马则可能包含恶意代码，用于绕过安全措施。
简述黑客利用远程控制型木马进行网络入侵的六个步骤。
1. 侦察：黑客首先会对目标进行侦察，收集有关目标系统的信息，如操作系统类型、开放端口、存在的漏洞等。
2. 植入木马：黑客通过各种手段（如钓鱼邮件、恶意网站、漏洞利用等）将木马植入目标系统。
3. 启动木马：一旦木马被植入，它会尝试在目标系统上运行，并可能通过反向连接等方式与黑客控制的服务器建立连接。
4. 建立控制：木马成功运行后，黑客可以通过控制服务器发送指令，实现对目标系统的远程控制。
5. 执行恶意操作：黑客利用木马执行各种恶意操作，如窃取敏感信息、安装其他恶意软件、发起DDoS攻击等。
6. 清理痕迹：在完成攻击后，黑客可能会尝试清理木马和其他恶意活动的痕迹，以避免被发现。
远程控制型木马采用反向连接技术有何优点？
- 绕过防火墙：反向连接是由内部发起的，因此更容易绕过这些防御措施。
- 隐蔽性：在目标系统上保持隐蔽，因为连接是由目标系统发起的
- 稳定性：即使在目标系统上存在网络地址转换（NAT）或动态IP地址，反向连接也能确保稳定的通信。
简述木马可以采用哪些手段实现进程的隐藏？
- 进程注入：木马可以将自己的代码注入到合法进程中，使其运行在合法进程的上下文中，从而隐藏自己。
- 命名伪装：木马使用与系统进程相似的名称，以欺骗用户和安全软件。
- 隐藏窗口：木马设置窗口为隐藏状态，使其在任务栏或任务管理器中不可见。
在某攻防项目中需要设计一个运行于 Windows 系统的木马，有哪些方法将木马植入攻击目标？木马有哪些技术可以用来隐藏自己。
- 植入方法：
- 钓鱼邮件：通过发送带有恶意附件的钓鱼邮件，诱导用户下载并运行木马。
- 恶意网站：在用户访问恶意网站时自动下载并运行木马。
- 物理访问：通过移动设备，如U盘，直接安装木马。
- 社会工程学：通过欺骗用户，诱导用户安装木马。
- 隐藏技术：
- 自启动：将木马设置为系统启动时自动运行，如添加到注册表启动项或计划任务中。
- 文件隐藏：使用Windows的文件隐藏功能或修改文件属性，使木马文件对用户不可见。
- 进程隐藏：通过进程注入、命名伪装等手段隐藏木马进程。
- 通信隐蔽：使用加密和隧道技术隐藏木马与控制服务器之间的通信。

第十章自测题十

用于自动化检测口令文件或数据库泄露的方法（Honeywords）
专用于窃听网上传输的口令信息的工具是（dsniff）
黑客利用IP地址进行攻击的方法有（IP欺骗）
下列身份认证方法中,简单易实现、成本较低的认证方法是（静态口令认证）
2014 年12 月25日,12306网站部分用户信息在因特网上疯传,黑客获得这些用户信息的最可能方式是(撞库)
下列口令维护措施中,不合理的是(怕把口令忘记,将其记录在本子上)
利用掌握的某网络应用账号的用户名和口令,在互联网上尝试登录其它网络应用的行为称为(撞库)
在建立口令时最好要遵循的规则是(尽量选择长的口令)
现有研究表明,人类构建的口令服从(Zipf 分布)
使用漏洞库匹配的扫描方法,能发现(已知的漏洞)
用于检查Windows系统中弱口令的安全软件工具是（L0phtCrack）
英文网站Rootkit用户的口令使用个人信息相较于中文网站12306的用户口令要少很多,最可能的原因是（Rootkit 网站是黑客论坛,用户的安全意识强且具有更丰富的安全专业知识）
如果一个网站的口令数据库中,长度为11位数字串的用户口令中,有大量的口令包含手机号,则这个网站很可能是（中文网站）
用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段（钓鱼攻击）
建立口令不正确的方法是（选择相同的口令访问不同的系统）
用于提取Windows 2000系统中用户帐号信息的工具是(pwdump2)
如果一个网站中有高达99.5 %的用户口令由字母和数字共同构成,就意味着该网站在运行不久就执行了( 数字+ 字母)的口令策略
下列口令攻击算法中,需要使用用户个人信息的是(Targeted-Markov 算法)
网络漏洞扫描能够(测试系统是否存在安全漏洞)
下列国民口令中,对于中文网民而言破解较容易,而对英文网民而言破解难度较大的是(woaini1314)

分析静态口令的安全威胁
- 字典攻击：攻击者使用包含大量常用密码的“字典”进行自动化尝试。
- 暴力破解：攻击者使用所有可能的字符组合进行尝试，直到找到正确的密码。
- 社会工程学：攻击者通过欺骗手段直接从用户那里获取密码。
- 存储泄露：如果密码在服务器端以明文或弱加密形式存储，一旦数据库被泄露，所有用户的密码都可能被获取。
在集中式对称密钥分配协议 Needham—Schroeder 中，什么是通信方 A、B 的主密钥？这些主密钥和会话密钥 Ks 各有什么用途？主密钥如何进行安全分配？会话密钥如何进行安全分配？
- 主密钥：在Needham-Schroeder协议中，主密钥是通信双方A和B预先共享的秘密密钥，用于确保双方通信的安全性。
- 主密钥：用于加密和解密会话密钥，确保会话密钥的安全传输。
- 会话密钥 Ks：用于加密和解密双方在特定会话中的通信内容。
- 安全分配
  主密钥：通常通过安全的方式在通信双方之间预先分配。
  会话密钥：在每次会话开始时，使用主密钥加密后通过网络传输给对方。
设计一个破解某公网用户邮箱 wangxiaodong@163.com 密码的方案。
- 社会工程学攻击
- 暴力破解
- 字典攻击
设计需要输入图形识别码的网站注册用户口令的破解方案
- 密码猜测
  字典攻击：使用包含常用密码和单词组合的字典进行自动化尝试。
  暴力破解：尝试所有可能的字符组合，直到找到正确的密码。
  基于用户信息的猜测：分析用户的公开信息（如社交媒体资料），使用这些信息来猜测密码。
- 绕过图形识别码（CAPTCHA）
  使用CAPTCHA破解服务：有些在线服务声称能够自动解决CAPTCHA，攻击者可以使用这些服务来绕过图形识别码。
  社会工程学：攻击者可能诱导用户或不相关的第三方（如通过付费的CAPTCHA解决服务）来解决CAPTCHA。
  自动化工具：开发或使用自动化工具尝试识别和解决CAPTCHA。

第十一章自测题十一

“Windows 环境下安装和使用 Wireshark”实施过程中, 用 Wireshark 可以抓到使用 WebMail 登录学校邮箱时输入的用户名和口令,但却看不到登录QQ邮箱时输入的用户名和口令,最可能的原因是(QQ 邮箱服务器只允许 HTTPS 协议登录 )。
为了防御网络监听,最常用的方法是（信息加密）
虚假的MAC地址记录充满交换机的 MAC 地址表,这是(MAC攻击)攻击的表现形式。
攻击者无法窃听其通信内容的协议包括（HTTPS、IPsec、TLS）
下列网络攻击行为中,破坏通信的机密性的有（网络监听、通信量分析）
为了实现网络监听,需要将网卡置为（混杂模式）
网络监听的主要攻击目标是通信的（机密性）
网卡工作在(混杂)模式时,对于接收到的数据帧,不会检查其帧头信息,而是一律产生硬件中断,通知操作系统进行处理。
ARP 木马利用感染主机向网络发送大量虚假ARP报文,导致网络访问不稳定。例如: 向被攻击主机发送的虚假 ARP 报文中,源 IP 地址为( 网关IP地址),源 MAC 地址为( 感染木马的主机MAC地址)。这样会将同网段内其他主机发往网关的数据引向发送虚假 ARP 报文的机器,并抓包截取用户口令信息。
下列措施中,(通信加密、交换机端口绑定)可用于防范中间人网络监听。
在交换式网络环境中,网络管理员通常通过(端口镜像)技术实施网络监听。
在网络上,为了监听效果最好,监听设备应放在（内外主机）
为了监听 Wi-Fi 通信,攻击者可采用的方法包括（破解无线路由器的后台管理员口令、无线热点钓鱼）
在交换式网络环境中,攻击者可以通过(ABCD)等技术实施网络流量劫持。

A：端口镜像

B：ARP 欺骗

C：端口盗用

D：MAC 攻击
如果攻击者要利用 ARP 欺骗成功地实现中间人攻击,必须（必须同时污染发送者和接收者的 ARP 缓存）

请简述黑客采用网络监听技术能够获取哪些信息？

用户名和密码，电子邮件内容，访问的网页内容

各种协议的数据，如HTTP,FTP,SMTP

网络中传输的文件，IP地址和MAC地址
如何采用端口镜像的方法在交换式环境中实施网络监听？
- 通过配置交换机的端口镜像功能来实现。首先，登录交换机管理界面，找到端口镜像配置选项。然后，设置源端口为需要监听的网络接口，目标端口为连接监听工具的接口。配置镜像方向，选择监听流入、流出或双向流量。保存配置后，将监听工具如Wireshark连接到目标端口，启动工具即可捕获数据包。此方法需确保交换机支持端口镜像，且目标端口带宽足够，以避免数据丢失。
MAC 攻击针对交换机的 MAC 地址表进行，请简述这种攻击技术的实现方法。
- 利用交换机的工作机制，通过发送大量的虚假 MAC 地址数据帧，使交换机的 MAC 地址表达到或超过其容量上限。这样，交换机就无法正常学习和维护有效的 MAC 地址与端口的对应关系，从而被迫进入一种称为“失效开放”（fail-open）的模式，即开始像集线器一样广播所有接收到的数据帧到所有端口，而不是仅转发到目标 MAC 地址对应的端口。
为了防范网络中有主机实施网络监听，可以采用哪些技术手段。
1. 使用加密手段：HTTPS、SSL
2. 采用强认证和访问控制
3. 网络分段和Vlan：将网络化分为多个VLAN，限制广播域
简述 ARP 欺骗的基本原理。

攻击者发送伪造的ARP回复，目的主机收到伪造的ARP回复后，更新其ARP缓存，将伪造的MAC地址和目标IP地址相关联。然后，目的主机将数据包发送到攻击者设置的MAC地址，攻击者截获、修改或伪装通信数据，进而进行中间人攻击
假定某局域网中，主机 A 的 IP 地址是 192.168.1.1，MAC 地址是 aa:bb:cc:dd:ee:01，主机B的IP地址是192.168.1.2，MAC地址是aa:bb:cc:dd:ee:02，攻击者的IP地址是192.168.1.3， MAC 地址是 aa:bb:cc:dd:ee:03。如果攻击者想通过 ARP 欺骗监听主机 A 和主机 B 之间的通信，他应该向主机 A 和主机 B 发送什么报文（要求写出报文的关键内容）。

第十二章自测题十二

如果堆栈不可执行,则为了利用堆栈溢出漏洞,首先必须（在程序中植入攻击参数）
堆栈之所以能够发生溢出,一个重要的原因是（栈是向低地址方向增长）
微软编号MS06-040的漏洞的描述为（Windows 系统的 MSDTC 进程处理畸形的DCE-RPC 请求时存在漏洞, 远程攻击者可能利用此漏洞对服务器执行拒绝服务攻击）
溢出攻击的核心是（修改堆栈记录中进程的返回地址）
某病毒利用RPCDCOM缓冲区溢出漏洞进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe,添加注册表项,使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为(网络蠕虫病毒)。
通过 malloc 类函数分配的内存来自于（堆）
缓冲区溢出不包括（数组溢出）
下列进程的内存区域中,不会发生缓冲区溢出的是（文本段(Text)）

简要描述 Windows 系统中的进程内存布局，并分析这种布局有什么安全缺陷。
- Windows 系统中的进程内存布局：代码段、数据段、BSS段、堆、栈、内核空间
- 安全缺陷：缓存区溢出、代码段保护不足、堆管理漏洞
举例说明堆栈溢出攻击原理及防范措施。

攻击原理：构造溢出数据、攻击者覆盖关键控制信息、将程序的执行流重定向到恶意代码

防范措施：使用高级编程语言、代码审计和测试、启用编译器保护
如何防范缓冲区溢出攻击？
1. 边界检查：严格检查数据的长度和范围
2. 使用安全函数：采用安全库函数替代不安全版本
3. 内存保护：使用操作系统提供的内存保护机制

第十三章自测题十三

可污染缓存服务器的 Web 攻击方法是（HTTP 消息头注入）
下列 Web 应用攻击方法中,不属于跨站被动攻击的是（SQL 注入）属于跨站被动攻击的是（XSS、HTTP 头注入、CSRF）
利用已登录网站的受信任用户身份来向第三方网站发送交易转账请求的攻击方法是（CSRF）
某单位联在公网上的 Web 服务器经常遭受到网页篡改、网页挂马、SQL 注入等黑客攻击,请从下列选项中为该 Web 服务器选择一款最有效的防护设备(WAF)
在 Web 用户登录界面上,某攻击者在输入口令的地方输入’ or ‘a’ = 'a 后成功实现了登录,则该登录网页存在(SQL 注入)漏洞。
某单位联在公网上的 Web 服务器的访问速度突然变得比平常慢很多,甚至无法访问到,这台 Web 服务器最有可能遭到的网络攻击是(拒绝服务攻击)。
为了防范跨站脚本攻击,需要对用户输入的内容进行过滤,下列字符中,不应被过滤的是( o)。
Web 浏览器和服务器使用 HTTPS 协议,而不是 HTTP 协议进行通信,不能确保通信的(可靠性)
下列方法中,不能防止 CSRF 攻击的是(B)。

A：嵌入令牌

B：过滤特殊字符

C：再次输入密码

D：校验 HTTP 头中的 Referer
如果路由器有支持内部网络子网的两个接口,很容易受到IP欺骗,从这个意义上讲,将Web服务器放在防火墙 (外面) 有时更安全些。
(CSRF )不属于 Web 应用在输出过程中产生的安全漏洞
下列选项中,( B)不属于 Web 应用在输出过程中产生的安全漏洞。

A HTTP 头注入

B CSRF

C OS 命令注入

DSQL 注入

A. HTTP 头注入 - 这是一种输出过程中的安全漏洞，攻击者通过在 HTTP 头中注入恶意代码，可能导致信息泄露或其他安全问题。

B. CSRF（跨站请求伪造）- 这是一种攻击类型，它利用用户在已经认证的 Web 应用中的身份，诱使用户执行非预期的操作。CSRF 通常发生在用户输入或交互过程中，而不是输出过程中。

C. OS 命令注入 - 这是一种输出过程中的安全漏洞，攻击者通过注入操作系统命令，可能导致执行任意系统命令。

D. SQL 注入 - 这是一种输出过程中的安全漏洞，攻击者通过在 SQL 查询中注入恶意代码，可能导致数据库信息泄露或被篡改。

简要分析 Web 应用体系的脆弱性。
1. HTTP协议简单，基于ASCII码传输数据
2. Cookie中包含敏感信息，如用户名、计算机名、易造成泄露
如果你是一个 Web 应用程序员，应该采取哪些措施减少 Web 应用程序被 SQL 注入攻击的可能性？
- 使用waf(web应用防火墙)，方式sql注入
- 对用户输入的信息进行严格检测和过滤
- 为数据库用户分配合适的最小的权限
简述 XSS 攻击的前提条件。
1. 输入未充分验证：Web 应用程序没有对用户输入的数据进行充分的验证和过滤，允许用户输入恶意脚本代码。
2. 输出未正确编码：Web 应用程序在将用户输入的数据输出到网页时，没有对这些数据进行适当的编码，导致恶意脚本代码能够在浏览器中执行。
3. 浏览器执行脚本：现代浏览器通常会执行网页中的脚本代码，包括那些由用户输入并嵌入到网页中的脚本。
如果想进入某网站管理后台，可采取哪些攻击方法？
1. SQL注入攻击获取管理员信息
2. Cookie欺骗使用Cookie进行跨站请求
3. os命令注入，使用系统shell命令登录后台
什么条件下会产生操作系统命令注入漏洞？如果应对这种攻击？
1. 用户输入直接用于命令执行：未经充分验证和过滤的用户输入直接传递给操作系统命令时，攻击者可能通过构造特定的输入来注入恶意命令。
2. 命令拼接：如果应用程序使用字符串拼接的方式构建命令字符串，并且拼接的其中一部分是用户输入，那么攻击者可以通过精心构造输入来注入额外的命令。
3. 不安全的函数调用：使用不安全的系统调用或函数，这些函数直接执行操作系统命令，而没有对输入进行适当的处理。
4. 错误处理不当：如果应用程序在错误处理过程中泄露了系统信息，攻击者可能利用这些信息来构造更有效的注入命令。
1. 输入验证：对所有用户输入进行严格的验证，确保输入符合预期的格式和类型
2. 免命令拼接：不要使用用户输入来拼接命令字符串。如果必须执行外部命令，应该使用参数化的命令接口。
3. 使用安全的函数：尽可能使用安全的函数和库来执行外部操作，避免使用直接执行系统命令的函数。
4. 错误处理：在错误处理中不要泄露敏感信息，避免提供给攻击者有用的系统信息。
5. 定期审计和测试：定期对应用程序进行安全审计和渗透测试，以发现和修复潜在的命令注入漏洞。
如何防御 HTTP 消息头注入攻击？
- 不将外部传入参数作为HTTP响应消息头输出，如不直接使用URL指定重定向目标，而是将其固定或通过编号等方式来指定；
- 由专门的API进行重定向或生成Cookie，并严格检验生成消息头的参数中的换行符。
- 使用安全的函数和库：在处理 HTTP 头时，使用安全的函数和库，避免使用可能导致注入的低级操作。
- 使用 Web 应用防火墙（WAF）是防御 HTTP 消息头注入攻击和其他类型的网络攻击

入未充分验证**：Web 应用程序没有对用户输入的数据进行充分的验证和过滤，允许用户输入恶意脚本代码。

输出未正确编码：Web 应用程序在将用户输入的数据输出到网页时，没有对这些数据进行适当的编码，导致恶意脚本代码能够在浏览器中执行。
浏览器执行脚本：现代浏览器通常会执行网页中的脚本代码，包括那些由用户输入并嵌入到网页中的脚本。

如果想进入某网站管理后台，可采取哪些攻击方法？
1. SQL注入攻击获取管理员信息
2. Cookie欺骗使用Cookie进行跨站请求
3. os命令注入，使用系统shell命令登录后台
什么条件下会产生操作系统命令注入漏洞？如果应对这种攻击？
1. 用户输入直接用于命令执行：未经充分验证和过滤的用户输入直接传递给操作系统命令时，攻击者可能通过构造特定的输入来注入恶意命令。
2. 命令拼接：如果应用程序使用字符串拼接的方式构建命令字符串，并且拼接的其中一部分是用户输入，那么攻击者可以通过精心构造输入来注入额外的命令。
3. 不安全的函数调用：使用不安全的系统调用或函数，这些函数直接执行操作系统命令，而没有对输入进行适当的处理。
4. 错误处理不当：如果应用程序在错误处理过程中泄露了系统信息，攻击者可能利用这些信息来构造更有效的注入命令。
1. 输入验证：对所有用户输入进行严格的验证，确保输入符合预期的格式和类型
2. 免命令拼接：不要使用用户输入来拼接命令字符串。如果必须执行外部命令，应该使用参数化的命令接口。
3. 使用安全的函数：尽可能使用安全的函数和库来执行外部操作，避免使用直接执行系统命令的函数。
4. 错误处理：在错误处理中不要泄露敏感信息，避免提供给攻击者有用的系统信息。
5. 定期审计和测试：定期对应用程序进行安全审计和渗透测试，以发现和修复潜在的命令注入漏洞。
如何防御 HTTP 消息头注入攻击？
- 不将外部传入参数作为HTTP响应消息头输出，如不直接使用URL指定重定向目标，而是将其固定或通过编号等方式来指定；
- 由专门的API进行重定向或生成Cookie，并严格检验生成消息头的参数中的换行符。
- 使用安全的函数和库：在处理 HTTP 头时，使用安全的函数和库，避免使用可能导致注入的低级操作。
- 使用 Web 应用防火墙（WAF）是防御 HTTP 消息头注入攻击和其他类型的网络攻击