网络安全知识竞赛试题 (2)

1、网络安全知识竞赛试题1.很多木马使用域名作为通信地址，请问通常分析木马的通信域名最有效的方法是: A.用wireshark抓包，过滤出dns协议的数据包(正确答案)B.动态调试跟踪获取通信域名C.使用netstat命令查看网络连接D.使用ipconfig /displaydns命令查看域名缓存2.对于安全防范水平较高的网站而言，一些高水平黑客采用旁注攻击对其进行入侵并安装木马。旁注攻击思路是利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。请问以下描述正确的是: A.被攻击网站是否属于独立服务器对于旁注攻击无关紧要B.旁注攻击

2、属于一种思想，并无具体攻击步骤限制(正确答案)C.旁注攻击通常不需要借助提权技术来实现跨网攻击D.以上皆错3.随着人们安全意识的提高，木马的生存越来越成为问题，木马种植者当然不甘心木马就这样被人所发觉，于是他们想出许多办法来伪装隐藏自己的行为，利用WinRAR捆绑木马就是其中的手段之一。请问，以下关于WinRAR捆绑木马描述错误的是: A.黑客必须将木马和正常程序捆绑后生成EXE文件才能实现木马自启动B.黑客通过WinRAR捆绑技术，可将木马文件自动释放到指定目录C.启动捆绑有木马程序的文件A，仅能直接运行A中直接捆绑的程序(正确答案)D.通过WinRAR解压，即可避免木马运行，并查看被捆绑的

3、文件4.在进行攻击调查取证过程中，磁盘介质调查是重要的一步，下面哪项不属于介质调查的内容: A.磁盘镜像B.MAC时间分析C.漏洞审查(正确答案)D.松弛空间分析解析:介质调查的目的是通过基于底层文件系统信息发现隐藏的恶意文件，并不分析漏洞5.下列哪个选项描述了如下功能的Linux防火墙规则，该规则允许转发的流量中属于一个已经存在的连接的协议报文被允许通过: A.iptables -t filter -A FORWARD -i eth0 -o eth1 p tcp - -ack -j ACCEPTB.iptables -t filter -A INPUT -i eth0 -m state -s

4、tate RELATED,ESTABLISHED -j ACCEPTC.iptables -t nat -A INPUT -i eth0 o eth1 -m state -state RELATED,ESTABLISHED -j ACCEPTD.iptables -t filter -A FORWARD -i eth0 -o eth1 -m state -state RELATED,ESTABLISHED -j ACCEPT(正确答案)6.某单位希望防火墙能允许FTP服务运行，应该选择基于什么技术的防火墙: A. 包过滤技术B. NAT技术C. 状态检测技术(正确答案)D. 透明代理7.蜜罐的

5、识别是一个热门话题，它可以避免攻击者的行为被捕捉和记录，也使攻击者免予无用的攻击动作，关于蜜罐识别说法错误的是: A.物理主机上的蜜罐是无法识别的(正确答案)B.虚拟机中的蜜罐由于资源，指令，计时的差异是可以被识别的C.不仅蜜罐可以被识别，蜜墙也是可以被识别的D.低交互蜜罐由于对协议栈的模拟不完全正确，所以有可能因为协议报文中的Bug被识别出来8.防火墙中网络地址转换（NAT）的主要作用是: A.提供代理服务B.隐藏内部网络地址(正确答案)C.进行入侵检测D.防止病毒入侵9.小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，第二天他收到了一封来自电器城提示他中奖的邮件上

6、，查看该后他按照提示操作，纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有开的活动，根据上面的描述，由此可以推断的是: A.小陈在电器城登记个人信息时，应当使用加密手段B.小陈遭受了钓鱼攻击，钱被骗走了(正确答案)C.小陈的计算机中了木马，被远程控制D.小陈购买的冰箱是智能冰箱 ，能够自己上网10.下面哪一种是社会工程?（） A.缓冲器溢出B.SQL注入攻击C.电话联系组织机构的接线员询问用户名和口令(正确答案)D.利用PKI/CA构建可信网络11.传统的Windows系统中都会看到一个Administrator账户，在新版的Windows系统中我们不再能看到系统的账户中有

7、Administrator ,这是因为: A.该账户不受用户账户管理机制的管理，在使用中存在很大风险，该账户被系统删除了。(正确答案)B.系统提供了用户自定义的的管理员组的账户，可以完成同样的工作，所以我们不再需要Administrator账户，该账户被系统禁用了。C.该账户不受用户账户管理机制的管理，在使用中存在很大风险，该账户被系统禁用了。D.系统提供了用户自定义的的管理员组的账户，可以完成同样的工作，所以我们不再需要Administrator账户，该账户被系统删除了。12.补丁与更新是Windows系统的重要安全机制，下列关于Windows更新的说法错误的是: A.微软公司提供两种更新网

8、站，其中Windows Update负责Windows系统的更新，Microsoft Update负责Windows及其上其他微软攻击的应用软件的更新。B.Windows系统有三种更新机制，手动检查和下载安装更新，自动下载但手动检查安装更新，和自动安装更新。C.选择自动安装更新，系统会自动下载和安装所有的更新(正确答案)D.Windows系统下载更新时使用BITS协议13.Linux系统中使用更安全的xinetd服务代替inetd服务，例如可以在/etc/xinetd.conf文件的”default ”块中加入以下哪行以限制只有C类网段 可以访问本机的xinetd服务。

9、A.allow=/24B.only_from=/24(正确答案)C.permit=/24D.hosts=/2414.在Debian 8系统中，如果要将kernel的warning消息输入到一个单独文件，需要修改以下那个配置文件来实现: A./etc/rsyslog.conf(正确答案)B./etc/sysctl.confC.logrotate.confD./var/log/kern15.在Linux系统中，包含了主机名和IP地址之间映射关系的文件是（）。 A./etc/hostnameB./etc/host

10、s(正确答案)C./etc/resolv.confD./etc/host.conf16.在一台SELinux开启的Linux系统中，tom想让root通过公钥认证的方式ssh登录到服务器，tom在服务器上以root身份执行了如下命令(假设tom所使用的ssh公钥存放路径为/tom.pub):cd /rootmkdir .sshcurl /tom.pub .ssh/authorized_keyschmod -R go-rwx .ssh执行完以上操作后，tom发现自己仍然无法通过ssh公钥认证的方式登录服务器，请问 还需要执行以下

11、哪条指令? A.restorecon -R .ssh(正确答案)B.restorecon -V .sshC.restorecondD.resotrecon -n .ssh/authorized_keys17.TCP Wrappers 允许系统管理员控制TCP wrappers 支持的基于 TCP 的服务或守护进程的访问，主要通过hosts.allow和hosts.deny来进行控制，如果一台服务器配置如下，hosts.allow内容为:sshd:/sshd:/hosts.deny内容为:sshd:192.

12、168.0.2sshd:/请问以下那个说法是正确的? A.源地址为的主机将无法访问该主机的sshd服务。B.源地址为的主机将无法访问该主机的sshd服务。C.源地址为的主机可以访问该主机的sshd服务。D.源地址为的主机可以访问该主机的sshd服务。(正确答案)18.在某公司，在出口使用Linux(CentOS 5)做地址转换(NAT)，默认配置，未经优化，随着上网人数及机器数的增加，员工访问互联网体验越来越差，在Linux中使用dmesg可以看到很多类似“kernel: ip_c

13、onntrack: table full, dropping packet.”的提示，请问以下哪个方法可以缓解这个问题? A.sysctl -w filter.ip_conntrack_max=524288(正确答案)B.echo 524288 /sys/net/ipv4/netfilter/ip_conntrack_maxC.sysctl -w net.ipv4.ip_conntrack_max=524288D.echo 524288 /proc/net/ipv4/ip_conntrack_max19.umask表示用户建立文件的默认读写权限，下列哪个umask值表示用户所创建的文件缺省属性

14、为用户可以读写，其他用户不可以读、写、执行: A.“022”B.“660”C.“066”(正确答案)D.“600”20.Sysinternals是一套非常有用的Windows系统工具集，可以用于Windows的检查，取证以及安全事件分析，下列哪个工具不属于Sysinternals: A.Process ExplorerB.NSLookup(正确答案)C.TcpViewD.AutoRuns21.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者:小张吗?我是科技处李强，我的邮箱密码忘记了，现在打不开邮件，我着急收个邮件，麻烦你先帮我把密码改成123，我收完邮件自己修改掉密码。热心的小张很

15、快的满足了来电考的要求。后来，李强发现邮箱系统登录异常。请问以下说法哪个是正确的: A.小张服务态度不好，如果把李强的邮件收下来亲自交给李强就不会发生这个问题B.事件属于服务器故障，是偶然事件，应向单位领导申请购买新的服务器。C.单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作(正确答案)D.事件属于邮件系统故障，是偶然事件，应向单位领导申请升级邮件服务软件22.蜜罐(honeypot)技术是入侵检测技术一个补充，它通过提供一个被严密监控的计算资源，通过监测被探测、攻击或攻陷的过程收集入侵检测技术无法获得的信息。以下关于蜜罐的说法错误的是: A.蜜罐可以分为高交互和低交互蜜罐B.蜜罐必

16、须假设在虚拟机上(正确答案)C.蜜罐可以发现未知的攻击D.蜜罐可以用于生成新发现攻击的特征。23.Nepenthes,Dionaea等通用蜜罐并不针对一种服务，而是针对一批系统服务的漏洞进行模拟，其中libemu库是这种蜜罐中的一个重要组件，请问该库用于蜜罐的哪个服务功能: A.服务模拟B.攻击数据捕获C.Shellcode检测(正确答案)D.恶意软件下载24.驱动级木马通过注册到注册表中随系统启动。请问，以下哪个是与驱动级木马注册的注册表键: A.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessr(正确答案)B.HKEY_LOCAL_MAC

17、HINESYSTEMCurrentControlSetControlServiceGroupOrderC.HKEY_LOCAL_MACHINESOFTWAREClasses HKEY_CURRENT_USERSoftWareClassesD.HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run25.某木马结构与工作原理如下图所示，请问下列描述明显错误的是: A.qidong32.dll的功能单一，其被注册成系统组件，开机时随系统启动，由Explorer.exe进程加载执行。B.该木马属于驱动级木马C.该类型木马通常不会使

18、用hook技术挂钩系统函数(正确答案)D.tj.dll文件主要用于上报，其主要功能是收集机器信息、木马版本信息、木马配置信息等26.对于同一个URL，我们可以用不同形式的编码来表示。经过变形编码后的URL可能不在IDS的规则集文件中，从而就实现了突破、绕过IDS的效果。“/msadc/msadcs.dll”已经被收集到snort等各大IDS的规则集文件中，请问对于“/msadc/msadcs.dll”地址的变形，以下哪个选项可用于突破IDS检测 A.“/././msadc/././msadcs.dll”B.“/msadc/msadcs.dll”C.“%2fmsadc%2fmsadcs.dll”

19、D.以上皆可(正确答案)27.某公司网络中部署的snort生成了大量警报的同时其TCP连接状况如图所示，输入命令#netstat na |grep SYN_RECV |wc l 后，显示结果1989 。请问，通过该现象可判断该网络遭受到了一下哪种攻击 DOS攻击(正确答案)APP攻击SQL注入攻击社会工程学攻击28.入侵检测系统的工作流程大致可分为信息收集、数据分析、告警响应三步，其中数据分析通常使用三种技术手段进行分析。请问一下哪项不属于数据分析的技术手段 A.模式匹配;B.统计分析;C.完整性分析;D.抽样分析。(正确答案)29.下面哪个信息收集工具可以用于收集调查单位的技术联系人的姓名和

20、地址信息: A.Whois(正确答案)B.nslookupC.digD.Traceroute30.下列哪个命令通过NMAP工具的半开连接（half open）方式对目标进行端口扫描: A.nmap sT /24 T0B.nmap sX /24 T0C.nmap sO /24 T0D.nmap sS /24 T0(正确答案)31.下列关于拒绝服务攻击说法错误的是: A.带宽消耗是拒绝服务攻击的一种形式。B.反射式拒绝服务攻击是攻击方直接向被攻击方发送封包。(正确答案)C.拒绝服务攻击的目的之一是使合法用户无法

21、正常访问资源。D.分布式拒绝服务攻击是同时利用大量的终端向目标主机发动攻击。32.DDoS攻击已成为目前互联网最严重的威胁之一，目前互联网上已知最强的DDoS攻击的量级在: A.1Gbps以上B.10Gbps以上C.100Gbps以上D.300Gbps 以上(正确答案)33.增加主机抵抗DoS攻击能力的方法之一是: A.缩短SYN Timeout时间(正确答案)B.调整TCP窗口大小C.增加SYNTimeout时间D.IP-MAC绑定34.如果一个业务部署了主从两台服务器，并通过心跳监控互相监控运行状态，如果一台服务器失去了心跳信息，则会将业务从一台服务器自动切换到另一台，这种部署技术术语:

22、A.冗余B.容错C.故障转移(正确答案)D.服务等级保障35.安全事件响应方法学是我们进行安全事件响应工作的指南，目前常用的响应方法学有六个阶段，按顺序它们的依次是: A.准备，抑制，监测，根除，恢复，跟踪B.准备，监测，抑制，恢复，跟踪，根除C.准备，监测，抑制，根除，恢复，跟踪(正确答案)D.准备，监测，抑制，根除，跟踪，恢复36.为了限制攻击的范围，限制潜在的威胁和破坏，抑制是响应过程中的必要手段，下列哪项不属于可能的抑制策略: A.完全关闭所有系统B.从网络上断开，只允许本地用户获得服务C.修改所有防火墙和路由器的过滤规则，拒绝来自看似攻击主机的流量D.检查事件主机日志(正确答案)37

23、.业务连续性计划应该多久进行一次测试: A.每10年B.只有在基础设施或环境变化时C.每年D.每年或组织机构的业务或环境发生重大变化时(正确答案)38.防护DDoS需要从多个角度进行，路由器是防护DDoS重要的一环，请问以下哪个技术是路由器防御DDoS使用的技术: A.RTBHB.uRPFC.flowspecD.以上皆是(正确答案)39.下面哪种方法能检测出所有类型的DDoS攻击: A.基于源宿IP地址统计TCP协议的标志位，如果SYN报文和SYNACK报文的数量差距很大，说明可能发生DDoS攻击B.基于宿IP统计网络流量，如果某一个IP的流量的超过阈值，则说明该IP可能发生了DDoS攻击C.

24、对源地址进行真实性检查，如果源地址是伪造的，说明该报文是DDoS攻击D.以上方法都不能检出所有类型的DDoS攻击。(正确答案)40.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击: A.LandB.UDP FloodC.SmurfD.Teardrop(正确答案)41.随着SCAP（安全内容自动化协议）的发展，各类标准化方案被结合进安全工具的使用以实现安全信息的自动处理，以下哪个方案被用于NMAP扫描结果的输出，能用于NMAP输出结果到CVE信息的自动处理: A.CVSSB.CPE(正确答案)C.CWED.CCE42.你需要使用dig命令来获取域下的所有邮件服务器，你准备利用DNS服务器是101

25、.7.8.9，请问下列哪个命令格式是正确的: A.dig MX B.dig MX C.dig MX D.dig MX(正确答案)43.Snort是一种Linux系统下的轻量级入侵检测系统，请问下面哪项不属于snort工作模式 A.嗅探器B.数据包记录器C.网络入侵检测系统D.主机入侵检测系统(正确答案)44.关于IDS和IPS，请问下列说法正确的是 A.IDS部署在网络边界,IPS部署在网络内部B.IDS适用于加密和交换环境，IPS不适用C.用户需要对IDS日志定期查看，IPS不需要D.IDS部署在网络内部，IPS部署

26、在网络边界(正确答案)45.某公司内网入侵检测系统部署方案如图所示，请问对于该方案描述错误的是 A.IPS位于防火墙和网络设备之间，如果检测到攻击，IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信B.网络主干线的IPS和防火墙均采用双机动态热备份部署，确保任何单机故障均不会影响主干网的畅通C.将高性能IPS串接于路由器与防火墙之间，利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长，实现网络架构防护机制，保护防火墙和核心交换机等网络设备免遭入侵和攻击D.该方案中，IPS功能和IDS类似，因此完全可使用IDS替代，网络安全并不会受

27、影响，还可以节约成本(正确答案)46.在Linux系统中，请问攻击者通常在受害主机上安装何种工具，可以防止系统管理员用ps或netstat命令发现安装的木马运行痕迹: A.rootkit(正确答案)B.fpipeC.AdobeD.netbus47.某木马采用第三方域名控制方式，实现思路如下:木马上线采用的第三方网站为博客园，注册两个帐号，一个为主控端用于发出控制命令所使用的账号A，另一个是被控端发送本机信息以及控制命令执行结果所使用的账号B。用账号A创建两篇文章，一篇为木马上线测试(下文简称文章A)，一篇为木马功能测试(下文简称文章B)。请问，对于该种木马描述错误的是: A.该木马控制端与被控

28、端建立连接进行通信(正确答案)B.这种上线方式采用的实际上是HTTP协议通信C.该木马不适用于大批量数据传输D.控制端应定期利用账号A读取各被控端状态48.跟踪是安全事件响应方法学中重要的一步，因为这一过程提供以下哪项作用: A.有助于事件处理人员基于“学到的教训”提高技能B.提供信息用于评判和管理一个组织机构的事件响应能力C.可以当作工作组建设的基础D.以上都是(正确答案)49.高交互蜜罐由于会被真实攻击，因此需要通过蜜墙(Honeywall)来控制蜜罐的网络行为，在部署时，一般会将蜜罐和蜜墙都安装在虚拟机中，通过虚拟机的网段互联，请问蜜墙主机应该接在虚拟机的哪个网段中: A.桥接网段（Br

29、idged）B.一端在桥接网段，一端在Host-Only网段(正确答案)C.一端在桥接网段或NAT网段，一端在Host-Only网段D.一端在桥接网段，一端在NAT网段50.Linux防火墙的每个控制表有若干条规则链，功能不同，所拥有的规则链也不同，下列哪个规则链是FILTER，NAT，MANGLE三个表都有的: A.PREROUTINGB.OUTPUT(正确答案)C.POSTROUTINGD.FORWARD51.下列关于防火墙功能的说法最准确的是: A.访问控制(正确答案)B.内容控制C.数据加密D.查杀病毒52.某公司已有漏洞扫描和入侵检测系统(Intrusien Detection Sy

30、stem，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是: A.选购当前技术最先进的防火墙即可B.选购任意一款品牌防火墙C.任意选购一款价格合适的防火墙产品D.选购一款同已有安全产品联动的防火墙(正确答案)53.在Unix系统中输入命令“ls-al test”显示如下-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对它的含义解释错误的是: A.这是一个文件，而不是目录B.这个文件的大小是1024字节C.文件所属组的成员有可以读它，也可以执行它D.Sep 13 11:58 是文件的创建时间(正确答案)54.关于Linux用户与权限，以下说法正确

31、的是: A.UNIX/Linux系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息。B.Linux系统里只能允许存在一个UID=0的用户C.UNIX/Linux系统中，每一个系统用户都有一个主目录。(正确答案)D.Unix/Linux系统中，一个文件的权限为4755，则文件不能被root组以外的其他用户执行。55.假如你需要将一台Linux主机托管至ISP机房，为了保证主机安全，以下哪项是不必要的? A.BIOS设置密码，未经授权不允许修改任何设置B.GRUB设置密码，启动时未经授权不允许编辑grub配置C.BIOS只允许系统盘引导D.把磁盘设置成Raid6(正确答案)

32、56.小张在查看Linux服务器日志文件时，发现/var/log/secure文件中出现很多“authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41 user=root”字样的提示，小张认定是互联网上有人通过穷举的方式暴力破解服务器root密码，由于小张上网IP地址不固定，请问小张如何防止服务器密码被暴力破解? A.关闭sshd服务B.关闭sshd密码认证(正确答案)C.开启SELinux服务D.使用telnet方式登录服务器57.在Linux系统中，为了主机安全，建议系统管理员开启SEL

33、inux，请问下面哪条命令可以查看当前系统中SELinux的状态? A.sestaticsB.seenabledC.sestatus(正确答案)D.seenforced58.关于下列配置选项，哪一个陈述是正确的:PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_WARN_AGE 7单选题 A.该配置属于/etc/password文件，定义了密码的修改周期，该配置是安全的配置B. 该配置属于/etc/login.defs文件，定义了密码的修改周期，该配置是不安全的配置(正确答案)C. 该配置属于/etc/shadow文件，定义了密码的修改周期，该配置是安全的配置D.该

34、配置属于/etc/password文件，定义了密码的修改周期，该配置是不安全的配置59.Windows系统提供了UAC机制来控制程序的权限，UAC机制让用户可以动态控制程序所需要的权限，关于UAC机制以下说明错误的事: A.程序可以通过应用程序清单（Application Manifest）文件来说明自己需要的权限B.程序可以向UAC声明如下三种执行方式:RunAsInvoker, RunAsHigest, RunAsAdminC.RunAsInvoker模式下，程序无法以管理员权限运行(正确答案)D.RunAsAdmin模式下，只有管理员才能执行该程序60.某单位希望防火墙能允许FTP服务运

35、行，应该选择基于什么技术的防火墙: A. 包过滤技术B. NAT技术C. 状态检测技术(正确答案)D. 透明代理61.Unix系统中使用下面的find命令，可以实现针对各种不同参数的查找功能，例如，下列语句根据文件权限进行查找，请问下述语句实现的功能是:find / -type f -perm -6000 -exec ls -lg ; A.查找根目录下所有属性包含SUID的文件B.查找根目录下所有属性包含SUID或者SGID的文件C.查看根目录下所有属性包含SGID的文件D.查找根目录下所有属性包含SUID及SGID的文件(正确答案)62.请问通常webshell功能不包括以下哪项内容: A.

36、文件上传下载B.查看数据库C.执行程序命令D.拦截网络流量(正确答案)63.目前，攻击者主要有两种IP碎片利用技术用于逃避入侵检测设备的监视，请问一下不属于前面提到的两种技术的是 A.使用尽可能小的碎片，而每个碎片中都没有足够的信息，从而逃过检测B.使用碎片重叠技术，利用入侵检测系统与被攻击系统处理碎片数据重叠问题的冲突造成入侵检测系统的误报C.使用碎片乱序技术，攻击者可以打乱碎片的到达顺序，达到欺骗IDS的目的(正确答案)D.以上都不属于64.入侵检测系统强大的功能可为被保护网络提供有力的网络安全保障，请问以下哪一项不属于入侵检测系统的功能 A.监视网络上的通信数据流;B.捕捉可疑的网络活动

37、;C.提供安全审计报告;D.过滤非法的数据包。(正确答案)65.下面哪一种Google Hacking语法可以用来搜索所有在页面的Title中包含SQL和Version的网页: A.inurl:SQL inurl:versionB.allinurl:SQL versionC.intitle:SQL inurl:versionD.allintitle:SQL version(正确答案)66.拒绝服务攻击不包括以下哪一项: A.DDoSB.ARP攻击(正确答案)C.Land攻击D.畸形报文攻击67.基于网络服务的反射攻击是目前DDoS攻击一种重要的类型，以下关于该类型攻击描述错误的是: A.反射攻

38、击目前一般都是基于UDP协议的网络服务B.反射攻击需要反射服务器反射的报文远大于发送给反射服务器的报文C.反射攻击中攻击者需要控制反射服务器(正确答案)D.SSDP协议可以被用于DDoS反射攻击。68.备份设施中的完备场所的优点不包括以下哪项: A.提供了许多不同的硬件和软件选择(正确答案)B.立即可用C.可以在几小时的时间范围恢复业务运行D.可以执行年度测试69.在进行攻击调查取证过程中，磁盘介质调查是重要的一步，下面哪项不属于介质调查的内容: A.磁盘镜像B.MAC时间分析C.漏洞审查(正确答案)D.松弛空间分析70.为了保证业务连续性规划的合理执行，需要多方面的人员组成委员会来建立规则。

39、以下哪个部分不是委员会人选必备的: A.业务部分B.管理部分C.IT部分D.客户公关部分(正确答案)71.以下哪条关于UDP扫描的描述是错误的: A.当有防火墙时，UDP扫描无法判断一个端口是开放，关闭还是被防火墙拦截B.UDP扫描的基本原理是如果端口关闭，服务器会返回端口不可达的ICMP报文C.当没有防火墙，服务器端口开放且扫描报文符合协议要求时，服务器端口一定会返回报文给扫描者。(正确答案)D.UDP扫描时，如果服务器端口开放，那么可能会返回给扫描者报文，也可能不返回。72.Snort和TCPDump是网络管理员必备的两款网络安全分析工具，请问，从入侵检测的角度看，一下对这两款工具描述正确

40、的是 A.Snort和TCPDump都具备记录网络数据包的同时从安全角度解析分析功能B.TCPDump通过分析第二层和第三成的报文进行网络故障诊断，而Snort则针对应用层的数据进行分析从而实现检测入侵行为(正确答案)C.Snort和TCPDump可以完整的记录流量，并制定了特殊的输出格式，具有数度快、不宜阅读的特点D.以上都对73.Fast-flux僵尸网络的实质是，攻击者借助DNS服务快速变更充当C&C代理的僵尸主机（同一个域名对应多个IP地址或多个域名对应多个IP地址），并通过代理僵尸主机重定向对C&C的HTTP访问，将僵尸主机访问指向真正的C&C。请问，以下描述错误的是: A.客户端并

41、不直接与C&C服务器连接，而是与Fast-flux僵尸网络中任意一个僵尸主机连接B.安全系统对这些非法站点探测时，可以直接获取实际的C&C服务器地址(正确答案)C.ZeuS就是一种基于HTTP控制的典型的Fast-flux僵尸网络D.目前对Fast-flux僵尸网络的检测误报率较高74. 很多木马为了数据隐蔽传输，通常使用知名服务服务端口进行回连。请问，以下哪个端口不属于木马使用的知名服务端口: A.26。(正确答案)B.80。C.443。D.3389。75.为了扩大蜜罐的攻击命中范围，可以使用的方法包括: A.地址别名B.NATC.低交互和高交互蜜罐混合D.以上都可以(正确答案)76.关于防

42、火墙以下说法错误的是: A.防火墙安全策略一旦设定，就不能再做任何改变。(正确答案)B.目前主流防火墙通常包括NAT模块、集中访问控制模块、临时访问端口表、认证与访问控制系统等。C.Proxy代理技术是防火墙的一类，工作在应用层，特点是两次连接（browser与proxy之间，proxy与webserver之间）。D.防火墙的功能是防止网外未经授权对内网的访问.77.用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码,这是属于何种攻击手段 : A.缓存溢出攻击B.DDoS攻击C.后门攻击D.钓鱼攻击(正确答案)78.LINUX中确认是否有无口令的账号，使用如下哪一个命令: A.pass

43、wd -S | grep “NP”B.awk -F: ($2=)print $1 /etc/shadow(正确答案)C.awk -F: ($2=”)print $1 /etc/shadowD.awk -F: ($2=)print $1 /etc/passwd79.假如您是一台Linux服务器管理员，该服务器需要为普通用户提供shell权限，学习Linux相关操作，请问做以下哪项操作可以防止用户将该主机作为跳板访问其他主机? A.修改/etc/ssh/sshd_config文件，设置AllowTcpForwarding noB.系统启动后执行iptables -I OUTPUT -m state

44、 -state NEW -j DROP(正确答案)C.修改/etc/ssh/ssh_config文件，设置AllowUdpForwarding noD.系统启动后执行iptables -I FORWARD -m state -state NEW -j DROP80.请问下面哪条命令不能为本机增加默认路由? A.ip route add default via B.route add default gw C.route add gw (正确答案)D.ip route add /0 via 192.1

45、68.0.181.下列哪项不属于事件响应中检测阶段可利用的数据源: A.IDS日志B.Windows系统日志C.防火墙规则(正确答案)D.防病毒程序日志82.基于网络服务的反射攻击是目前DDoS攻击一种重要的类型，下列哪种服务协议不能作为反射攻击的对象: A.DNSB.NTPC.HTTP(正确答案)D.CHARGEN83.SHODAN是一种专用搜索Internet上漏洞的搜索引擎，关于SHODAN可以搜索的对象，下列说法正确的是: A.互联网上的摄像头B.互联网上的无线路由器C.互联网上的特定类型数据库服务器D.以上皆是(正确答案)84.下列开发包中不会用于网络入侵检测系统开发的工具包是 A.

46、LibnidsB.LibpfringC.Libnet(正确答案)D.Libpcap85.为了限制攻击的范围，限制潜在的威胁和破坏，抑制是响应过程中的必要手段，下列哪项不属于可能的抑制策略: A.完全关闭所有系统B.从网络上断开，只允许本地用户获得服务C.修改所有防火墙和路由器的过滤规则，拒绝来自看似攻击主机的流量D.检查事件主机日志(正确答案)86.下面哪种不属于防火墙部属方式: A.网络模式(正确答案)B.透明模式C.路由模式D.混合模式87.linux更改主机解析地址的顺序为先查找本机主机配置文件，再查找DNS服务器可以通过修改/etc/host.conf 文件中添加那个配置选项: A.order bind,hostsB.order hosts,dnsC.order hosts,bind(正确答案)D.order dns host88.请问创建一个执行已经存在文件的硬链接时，下面的哪个参数会发生变化? A.文件大小B.链接计数(正确答案)C.修改时间(Modify Timestamp)D.inode值89. Linux防火墙有丰富的判定选项，下列哪个不属于Linux防火墙的判定选项: A.接口名B.进程ID(正确答案)C.TCP标志位D.源IP地址9