网络攻击与防御技术期末考试试卷及答案

考试时间：120分钟试卷页数(A4):2页考试方式：闭卷(开卷或闭卷)考试内容：一、选择题(每小题1分，共30分)1、假冒网络管理员，骗取用户信任，然后获取密码口令信息的攻击方式被称为()。D、网络监听攻击2、下列哪一项软件工具不是用来对网络上限登录用户的密码口令，这个用户的名称是()?LOphtCrack(简称LC),支持以下哪种破解体式格局?()5、著名的JohntheRipper软件提供什么类型的口令破解功能?()A、Unix系统口令破解B、Windows系统口令破解C、邮件帐户口令破解D、数据库帐户口令破解6、下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提?()A、IP棍骗B、DNS棍骗C、ARP棍骗D、路由棍骗7、通过TCP序号猜测，攻击者可以实施下列哪一种攻击?A、端口扫描攻击B、ARP棍骗攻击C、网络监听攻击D、TCP会话劫持攻击8、目前常见的网络攻击举动隐藏不包括下列哪种?()A、网络流量隐藏B、网络连接隐藏C、进程举动隐藏D、目录文件隐藏9、在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是()。10、在实现ICMP协议隐蔽通道，常需要将发送出去的数据包伪装成下列哪种类型?()型为0x8型为0x811、Unix系统中的last命令用来搜刮来显示自从文件创建以来曾登录过的用户，包括登录/退出13、流行的Wipe工具提供甚么类型的网络攻击痕迹消除功能?()A、防火墙系统攻击痕迹清除B、入侵检测系统攻击痕迹清除C、WindowsNT系统攻击痕迹肃清D、Unix系统攻击痕迹肃清14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能?()A、防火墙系统攻击痕迹肃清B、WWW效劳攻击痕迹肃清C、WindowsNT系统攻击痕迹清除D、Unix系统攻击痕迹清除15、为了清除攻击ApacheWWW服务时的访问记录，攻击者需要读取下列Apache的哪一种配置文件116、目前大多数的Unix系统中存放用户加密口令信息的配置文件是,并且该文件默认只有超级用得攻击者在破解Unix系统口令时增加了非常大的难度。加密算法D、增加了加密次数18、通过设置网络接口(网卡)的,可以使其接受目的地址并不指向自己的网络数据包，从而达到A、共享模式B、交换模式C、混杂模式D、随机模式19、现今，适用于Windows平台常用的网络嗅探的函数20、下列哪种扫描技术属于半开放(半连接)扫描?()描D、TCPACK扫描21、恶意大量消耗网络带宽属于拒绝效劳攻击中的哪种类型?()A、配置修改型B、基于系统缺陷型C、资源消耗型D、物理实体破坏型22、现今，网络攻击与病毒、蠕虫程序越来越有结合的趋势，病毒、蠕虫的复制传播特点使得攻击程序如虎添翼，这体现了网络攻击的下列哪种发展趋势?()A、攻击人群的大众化B、野蛮化C、智能化D、协同化23、在大家熟知的病毒、蠕虫之中，下列哪一项不具有通过网络复制传播的特性?()Slammer)D、CIH24、网络监听(嗅探)的这种攻击形式破坏了下列哪一项内容?()A、网络信息的抗抵赖性B、网络信息的保密性C、网络效劳的可用性D、网络信息的完整性25、会话劫持的这种攻击方式破坏了下列哪一项内容?()A、网络信息的抗抵赖性B、网络信息的保密性C、网络服务的可用性D、网络信息的完整性26、拒绝服务攻击的这种攻击形式破坏了下列哪一项内容?()A、网络服务的可用性B、网络信息的完整性C、网络信息的保密性D、网络信息的抗抵赖性27、在下列这些网络攻击模型的攻击过程中，端口扫描攻击一般属于哪一项?()A、信息收集B、弱点发掘C、攻击实施D、痕迹肃清28、下列哪一种网络通信协议对传输的数据会进行加密来保证信息的保密性?()29、Finger服务对于攻击者来说，可以达到下列哪种攻击回应ICMPEchoRequest数据包。二、名词解释(每小题4分，共20分)1、TCP序列号预计2、扫描器3、数据通道加密4、词典攻击5、ARP棍骗3、简述题(每小题8分，共32分)24、简述IP欺骗攻击的防御技术。四、网络信息数据分析题：(每空1分，共18分)下图是一台计算机访问一个Web网站时的数据包序列。分析图中数据扼要回答以下问题：1.客户机的IP地址是，它属于地址(公网，私网)。2.Web效劳器的IP地址是，它属于地址公网，私网)。3.客户机访问效劳器利用的传输层协议是，应用层协议是，应用层协议的版本号是。4.客户机向效劳器请求建立TCP连接的数据包的号数是。5.客户机向效劳器发送用户名和口令举行请求登录的数据包的号数是。6.此次访问中，客户机使用的端口名称是，服务器使用的端口名称是。7.服务器对客户机的响应报文中，代码200的含义是。8.在TCP的6比特的控制字段中：9.服务器根据请求向客户机发送网页的第一个数据帧的一、挑选题二、名词解释1、TCP序列号预计：对于通信的双方，需要具有IP地址、端口号和序列号。发现IP地址和端口号是相对容易做到的事情，在IP数据包中也包含IP地址和端口号，并且在整个会话过程当中都不会改动。攻击者获得通信双方的IP地址和端口号信息在后面的会话中会保持不变。然而，序列号倒是跟着时间的变化而改动的。因此，攻击者必须胜利猜测出序列号。如果效劳器所期望的下一个序列号是，同时攻击者送出一个序列号为的数据包，那么效劳器将发现错误并且重新同步，这将会带来良多麻烦。在另一个方面，如果攻击者送出一个序列号为的数据包那么效劳器将接受这个数据包，这也正是攻击者的目标。如果他能让效劳器接收他的攻击数据包并执行它，那么攻击者就胜利地劫持了会话。3SEQ/ACK序列号。所以，如果我们以某种方法扰乱客户主机的SEQ/ACK,服务器B将不再相信客户主机A正确的数据包。我们可以伪装为客户主机，使用正确的SEQ/ACK序列号(与服务器相关的序列号),现在攻击主机X就可以代替与服务器的连接(客户主机以被扰乱，服务器认为一切正常，攻击主机X向服务器B发出欺骗包),这样就可以抢劫一个会话连接。那么如何扰乱客户主机的SEQ/ACK序列号呢?其实只需选择恰当时间，在通讯流中插入一个欺骗包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察觉我们的欺骗包，这样就行了。2、扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的程序。集成了常用的各种扫描技术，能自动发送数据标主机的反馈信息，从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。3、数据通道加密：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH、SSL(SecureSocketLayer,安全套接字应用层)和VPN。4、词典攻击：使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程，就是词典攻击。多数用户都会根词典文件中的可能性很大。而且词典条目相对较少，在破解速度上也远快于穷举法口令攻击。5、ARP欺骗：利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。1、简述XXX命令的工作原理。答：通过向目标主机发送不同IP生存时间值的ICMP回应数据包，Tracert诊断程序确定到目标主机所经过的路由。在数据包传输中所经过的每个路由在转发数据报之前要将数据包上的TTL值减1.当数据包上的TTL值减为时，路由器应该XXX先发送TTL为1的回应数据包，并在随后的每次发送过程当中将TTL值递增1,直到方针响应或TTL值达到最大值，从而确定路由。通过检查中央路由发回的“ICMP已超时”的消息确定路由。某些路由不经讯问间接丢弃TTL过数据包，这在Tracert实用程序中看不到。Tracert命令按按次2、请阐述以太网的嗅探技术原理和实现。网络嗅探技术(orkSniffing),是一种在他方未发觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网络管理员来说，它是了解网络运转状况的有力助手，对黑客而言，它是有用收集信网络监听技术的能力范围目前只限于局域网。如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话，那么,对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。在共享式局域网中，集线器会广播所有数据，这时，如果局域网中一台主机将网卡设置成混杂模式，那么它就可以接收网卡在混杂模式工作的情况下，所有流经网卡的数据帧都会被网卡驱动程序上传给网络层。4在实际应用中，监听时存在不需要的数据，严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监听的信息的过滤包括以下几种：站过滤，协议过滤，效劳过滤，同时根据过滤的时间，能够分为两种过滤体式格局：捕获前过滤、捕获后过滤。许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包，记录目标系统的响应，通过分析响应来查看该系统处于监听或运行状态的服务。当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术包括以下几种：全扫描：会产生大量的审计数据，容易被对