网络攻击防范考试题及答案

网络攻击防范考试题及答案一、单项选择题（本大题共15小题，每小题2分，共30分。每小题只有一个正确答案）1.下列关于零日漏洞的描述，正确的是（）A.已经被厂商披露超过零天的公开漏洞B.已经公开修复补丁但未被攻击者利用的漏洞C.厂商未公开漏洞信息也未发布修复补丁，已被攻击者发现并利用的漏洞D.经评定危害等级为零的低风险漏洞2.下列攻击类型中，属于应用层分布式拒绝服务攻击的是（）A.SYN洪水攻击B.HTTP洪水攻击C.UDP洪水攻击D.地址欺骗攻击3.钓鱼攻击的核心本质是（）A.通过大流量洪泛导致目标服务瘫痪B.利用软件漏洞窃取目标系统权限C.通过社会工程学诱导受害者主动泄露敏感信息或下载恶意程序D.通过加密受害者文件索要赎金4.SQL注入攻击产生的根本原因是（）A.数据库服务器操作系统权限开放过大B.数据库版本过低存在已知漏洞C.开发者未对用户输入内容进行严格过滤验证，直接将用户输入拼接进入SQL查询语句D.数据库通信协议未加密传输5.存储型跨站脚本攻击（XSS）比反射型跨站脚本攻击危害更大的核心原因是（）A.存储型XSS只能被利用一次，反射型XSS可以被多次利用B.存储型XSS持久存储在目标服务器上，会危害所有访问对应页面的正常用户C.存储型XSS只能攻击移动端，反射型XSS只能攻击PC端D.存储型XSS不需要用户交互就可以触发，反射型XSS需要用户交互6.网络防御体系中，专门用于主动诱捕攻击者、收集攻击特征、预警真实网络入侵的技术是（）A.防火墙B.入侵检测系统C.蜜罐D.数据加密7.中间人攻击最容易发生的场景是（）A.企业内部专线网络B.未加密的公共免费WiFiC.个人手机运营商流量网络D.家用光纤宽带网络8.防范跨站请求伪造攻击（CSRF）最核心的有效措施是（）A.对所有用户输入进行转义过滤B.对请求来源进行验证，为每个会话添加随机不可预测的TokenC.使用HTTPS加密传输请求D.对用户密码进行哈希加密存储9.APT攻击（高级持续性威胁攻击）最核心的特征是（）A.攻击流量大，短时间内就能导致目标服务瘫痪B.攻击者以长期持续性窃取目标核心敏感数据为目的，会长期潜伏在目标网络中C.攻击会直接加密目标所有文件索要赎金D.只利用公开已知漏洞进行攻击10.企业应对勒索软件攻击，最关键的恢复保障措施是（）A.安装最新版本的杀毒软件全盘查杀病毒B.部署边界防火墙阻断攻击者入侵C.提前做好核心数据的离线隔离备份D.对所有文件进行端到端加密存储11.下列攻击类型中，不属于社会工程学攻击的是（）A.伪基站诈骗短信B.定制化鱼叉钓鱼邮件C.缓冲区溢出漏洞利用攻击D.物理尾随进入受限办公区域（肩窥尾随）12.下列关于入侵检测系统（IDS）和入侵防御系统（IPS）的区别，描述正确的是（）A.IDS在线部署在网络链路中，可以主动阻断攻击，IPS只能旁路监听告警B.IDS和IPS都只能检测已知攻击，不能检测未知攻击C.IDS旁路部署，仅能对攻击进行告警，IPS在线部署，可以主动阻断恶意攻击流量D.IDS只能检测主机层攻击，IPS只能检测网络层攻击13.DNS欺骗攻击的核心目的是（）A.将目标网站的域名解析结果篡改为攻击者控制的恶意IP地址，诱导用户访问钓鱼网站B.发送大量DNS查询请求导致DNS服务器瘫痪C.窃取用户保存在浏览器中的身份CookieD.删除目标域名的解析记录，导致网站无法访问14.密码攻击中的彩虹表攻击属于以下哪种攻击类型（）A.纯暴力穷举攻击B.预计算哈希表的碰撞攻击C.社会工程学字典攻击D.侧信道攻击15.个人用户防范水坑攻击最有效的日常措施是（）A.只访问HTTPS网站，不访问HTTP网站B.及时更新操作系统和常用软件的安全补丁，不访问来源不明的第三方网站C.安装杀毒软件并定期全盘扫描D.使用复杂密码开启二次验证二、多项选择题（本大题共10小题，每小题3分，共30分。多选、少选、错选均不得分）1.下列攻击类型中，属于社会工程学攻击范畴的有（）A.钓鱼邮件攻击B.肩窥攻击C.tailgating（尾随进门）攻击D.水坑攻击E.SQL注入攻击2.下列防护措施中，可有效防范分布式拒绝服务（DDoS）攻击的有（）A.部署智能流量清洗系统B.启用IP源地址验证，过滤伪造源地址的数据包C.提前开通弹性高防带宽资源D.配置黑洞路由引流异常攻击流量E.部署蜜罐系统捕获攻击样本3.防范SQL注入攻击和XSS攻击通用的有效措施有（）A.对所有用户可控输入进行严格的格式验证和内容过滤B.遵循最小权限原则，给数据库、web应用分配最低必要权限C.使用预编译SQL语句D.部署Web应用防火墙（WAF）拦截恶意攻击请求E.对用户输出内容进行HTML编码转义4.APT攻击常见的入侵渗透路径有（）A.针对特定人员发送鱼叉式钓鱼邮件，植入恶意程序B.攻击目标企业常用的上游供应商或第三方服务，通过供应链渗透入侵核心网络C.利用未公开的零日漏洞突破目标网络边界D.爆破弱口令获得远程访问权限E.发送大流量DDoS攻击瘫痪目标核心系统，掩护数据窃取5.企业感染勒索软件攻击后，正确的处置流程包括（）A.第一时间断开感染设备和疑似感染设备的网络连接，切断横向扩散路径B.立即重启感染设备，尝试清除恶意程序C.保留原始感染样本和系统日志，供后续溯源分析D.第一时间向企业安全管理部门和当地公安机关网安部门上报E.优先通过离线备份恢复核心业务数据，不私自支付赎金6.在未加密的公共WiFi环境中，可有效防范个人信息被窃取和网络攻击的措施有（）A.不使用公共WiFi进行网银转账、账号登录等涉及敏感信息的操作B.使用可信的VPN服务加密传输数据C.关闭设备的WiFi自动连接功能，避免自动连接未知恶意热点D.不连接名称模糊、没有密码认证的免费公共WiFiE.连接公共WiFi后随便打开陌生链接没问题7.零信任网络架构的核心设计原则包括（）A.永不信任，始终验证B.默认信任企业内网，只验证外部访问C.遵循最小权限访问原则D.基于上下文的动态访问控制E.持续审计监控所有访问行为8.下列攻击类型中，属于主动网络攻击的有（）A.分布式拒绝服务（DDoS）攻击B.SQL注入攻击C.钓鱼攻击D.网络流量嗅探E.密码破解攻击9.关于零日漏洞，下列描述正确的有（）A.零日漏洞是指漏洞被攻击者发现后，厂商还没有发布官方修复补丁的漏洞B.零日漏洞通常被用于APT等高价值攻击活动C.零日漏洞的危害远高于已经公开补丁的已知漏洞D.零日漏洞只存在于Windows操作系统中E.零日漏洞无法被现有安全防护设备提前检测和防范10.个人用户日常防范各类网络攻击的正确做法有（）A.开启操作系统和应用的自动更新，及时安装安全补丁B.使用密码管理器生成并管理不同网站的独立复杂密码C.对敏感账号开启多因素二次验证D.不随意点击陌生短信、社交软件发送的链接，不随意下载打开不明来源的附件E.把重要文件备份到云端即可，不需要离线备份三、判断题（本大题共10小题，每小题1分，共10分。正确打√，错误打×）1.只要安装了正规的杀毒软件，就可以完全防范所有类型的网络攻击。2.企业内部网络默认是安全的，内网设备不需要做额外的网络攻击防范措施。3.钓鱼攻击仅能通过电子邮件进行传播。4.存储型XSS攻击会将恶意脚本永久存储在目标服务器的数据库或文件中，所有访问对应页面的用户都会被攻击。5.DDoS攻击的作用只有让目标服务瘫痪，无法用于掩护攻击者窃取敏感数据。6.密码的长度越长，密码被破解的难度就一定越高。7.蜜罐技术的核心作用是诱骗攻击者、收集攻击行为特征、提前预警真实网络入侵，消耗攻击者的攻击时间。8.CSRF（跨站请求伪造）攻击的核心原理是利用用户已经在合法网站完成登录的身份，诱导用户点击发起伪造的请求。9.勒索软件攻击只会针对企业和政府机构，不会攻击普通个人用户。10.只要开启了网络防火墙，就可以完全阻止来自外部的所有网络攻击。四、案例分析题（本大题共2小题，每小题15分，共30分）1.国内某中型电商企业，距离年度大促活动还有3天，运营人员突然发现官网无法正常访问，用户普遍反馈打开页面超时或完全无法连接。企业运维人员排查后发现，运营商入口带宽占用率达到99%，进入企业网络的数据包95%以上为伪造源IP地址的SYN数据包，企业核心服务器的半连接队列已经被占满，无法响应任何正常用户的访问请求。请结合网络攻击防范相关知识回答以下问题：（1）本次事件属于哪类网络攻击？请明确攻击的具体类型和原理。（6分）（2）请结合该企业的业务场景，说明此类攻击的有效防范措施有哪些。（9分）2.国内某生物医药科技公司，HR部门员工收到一封主题为“2024届硕士研究生应聘简历-张XX”的邮件，附件为名为“简历.zip”的压缩包。该HR认为是正常求职简历，下载后解压点击了其中的exe可执行文件，点击后屏幕没有任何反应，HR以为是文件损坏就没有在意。3天后，公司负责存储研发数据和临床试验数据的核心服务器出现异常，所有文件后缀被修改为“.lockbit”，服务器桌面弹出勒索提示信息，要求公司支付200万美元比特币赎金才可获得解密密钥。结合案例回答以下问题：（1）本次事件属于哪类网络攻击？攻击的入口是什么，请分析本次攻击的传播过程。（5分）（2）除了加密文件索要赎金之外，攻击者还可能开展哪些后续危害行为？（5分）（3）请说明该公司正确的处置方式，以及后续应当采取哪些防范措施避免此类事件再次发生。（5分）参考答案及解析一、单项选择题答案及解析1.答案：C解析：零日漏洞的定义是被攻击者发现，但软件厂商尚未掌握漏洞详情、也未发布官方修复补丁的漏洞，攻击者利用补丁发布前的时间差发动攻击，因此得名零日漏洞。A选项混淆了漏洞公开时间的概念，B选项描述的是已经公开的已知漏洞，D选项对零日漏洞的危害描述完全错误，因此C正确。2.答案：B解析：SYN洪水攻击、UDP洪水攻击属于传输层DDoS攻击，地址欺骗属于攻击技术不是应用层攻击，HTTP洪水攻击是通过模拟正常用户向目标web应用发送大量HTTP请求，消耗目标应用资源，属于典型的应用层DDoS攻击，因此B正确。3.答案：C解析：钓鱼攻击的核心是利用社会工程学，伪装成合法可信的实体，诱导受害者主动泄露账号密码、银行卡信息等敏感数据，或者下载运行恶意程序，A是DDoS攻击的特征，B是漏洞利用攻击的特征，D是勒索软件攻击的特征，因此C正确。4.答案：C解析：SQL注入攻击产生的根本原因是开发过程中没有对用户输入进行严格的过滤，直接将用户输入拼接进原生SQL语句，导致攻击者可以修改SQL语句的逻辑，实现非法查询、篡改数据等操作，其他选项都不是SQL注入产生的根本原因，因此C正确。5.答案：B解析：存储型XSS将恶意脚本存储在目标服务器的数据库或文件中，具有持久性，所有访问对应页面的用户都会自动触发恶意脚本，而反射型XSS的恶意脚本存在于请求链接中，需要诱导受害者点击才能触发，只对点击的用户生效，因此存储型XSS危害更大，A选项描述完全相反，C选项对攻击场景描述错误，D选项两者都需要用户交互触发，因此B正确。6.答案：C解析：防火墙主要用于访问控制，入侵检测系统用于检测真实网络的攻击，数据加密用于保护数据内容，蜜罐是主动布置的虚假靶标，专门用于诱骗攻击者攻击，以此收集攻击特征、分析攻击手法，提前预警真实网络的入侵，因此C正确。7.答案：B解析：中间人攻击是攻击者通过拦截通信双方的传输数据，窃听或篡改内容，未加密的公共WiFi中，攻击者很容易通过ARP欺骗等方式劫持所有连接用户的流量，实施中间人攻击，其他场景中攻击者很难获得流量的控制权，因此B正确。8.答案：B解析：CSRF攻击的核心是攻击者无法获取用户的会话信息，只能伪造请求，因此通过为每个合法请求添加随机、不可预测、一次性的Token，验证Token的合法性，就可以有效防范CSRF，A是防范XSS的措施，C选项HTTPS无法防范CSRF，D是密码存储的措施，因此B正确。9.答案：B解析：APT是高级持续性威胁，核心特征是攻击者具有高能力，以长期窃取目标核心敏感数据为目的，会通过各种方式渗透后长期潜伏，逐步收集数据，不会轻易被发现，A是DDoS攻击的特征，C是勒索软件攻击的特征，APT大多使用零日等未公开漏洞，因此D错误，B正确。10.答案：C解析：勒索软件加密文件后，目前大部分勒索软件的解密难度极高，只有提前做好离线隔离备份，才可以在感染后恢复数据，杀毒软件只能防范已知勒索软件，无法在感染后恢复数据，防火墙只能阻断入侵，不能保障感染后的恢复，加密存储无法防范勒索软件加密，因此C正确。11.答案：C解析：社会工程学攻击是利用人的弱点，而非技术漏洞进行攻击，缓冲区溢出漏洞利用是纯技术类的漏洞利用攻击，不属于社会工程学攻击，其他选项都属于社会工程学攻击，因此C正确。12.答案：C解析：IDS的部署方式是旁路监听，只对流量进行检测，发现攻击后只会发出告警，无法主动阻断；IPS是在线串联部署在网络链路中，发现攻击后可以直接阻断恶意流量，因此C描述正确，A描述相反，B错误，IDS也可以通过异常检测发现未知攻击，D描述错误，因此C正确。13.答案：A解析：DNS欺骗攻击的核心目的是篡改域名解析结果，把用户要访问的合法域名解析到攻击者控制的恶意IP，诱导用户访问钓鱼网站，窃取用户敏感信息，B是DNS放大DDoS攻击的目的，D是DNS劫持的极端情况，不是DNS欺骗的核心目的，因此A正确。14.答案：B解析：彩虹表攻击是提前预生成大量常见明文对应的哈希值，制成彩虹表，拿到泄露的密码哈希后，直接通过彩虹表碰撞得到明文密码，属于预计算哈希碰撞攻击，纯暴力穷举是逐位尝试所有可能，字典攻击是用常见密码字典尝试，因此B正确。15.答案：B解析：水坑攻击是攻击者攻破目标人群常用的正规网站，植入恶意代码，等待用户访问触发漏洞，因此最有效的防范措施是及时更新系统和软件的安全补丁，不访问来源不明的网站，避免触发漏洞，A选项HTTPS只能保障传输加密，不能防范水坑攻击，C杀毒软件对零日漏洞利用的水坑攻击防护效果有限，D和防范水坑攻击没有直接关系，因此B正确。二、多项选择题答案及解析1.答案：ABCD解析：社会工程学攻击是利用人的心理弱点、信任漏洞实施的攻击，钓鱼邮件、肩窥、尾随、水坑攻击都属于社会工程学攻击范畴，SQL注入是基于代码漏洞的技术类攻击，不属于社会工程学攻击，因此选ABCD。2.答案：ABCD解析：流量清洗、源地址验证、弹性带宽、黑洞路由都是主流的DDoS防护措施，蜜罐的作用是捕获攻击样本，无法防范大规模DDoS攻击，因此不选E，选ABCD。3.答案：ABD解析：输入过滤验证、最小权限原则、部署WAF是SQL注入和XSS攻击通用的防护措施，预编译SQL语句仅针对SQL注入有效，HTML编码转义仅针对XSS攻击有效，不属于通用措施，因此选ABD。4.答案：ABCDE解析：APT攻击的常见入侵路径包括鱼叉钓鱼、供应链攻击、零日漏洞利用、弱口令爆破，部分APT攻击会通过发动DDoS攻击吸引防护人员注意力，掩护核心数据窃取，因此五个选项都正确，选ABCDE。5.答案：ACDE解析：感染勒索软件后立即重启会破坏原始感染样本，甚至导致加密流程未完成无法恢复，因此B错误，其他选项都是正确的处置流程：断开网络切断扩散、保留样本、上报、通过备份恢复，因此选ACDE。6.答案：ABCD解析：公共WiFi环境中攻击者可以轻易窃听流量，因此不能随便打开陌生链接，E错误，其他四个选项都是正确的防范措施，因此选ABCD。7.答案：ACDE解析：零信任架构的核心原则是“永不信任，始终验证”，不管是外部访问还是内网访问都需要验证，不存在默认信任内网的说法，因此B错误，其他选项都是零信任的核心原则，选ACDE。8.答案：ABCE解析：主动攻击是指攻击者会主动修改传输内容、破坏系统、发起请求，被动攻击不修改数据，只是窃听，流量嗅探属于被动攻击，因此不选D，其他都属于主动攻击，选ABCE。9.答案：ABCE解析：零日漏洞可以存在于任何操作系统、应用、硬件固件中，不只是Windows，因此D错误，其他四个选项描述都正确，选ABCE。10.答案：ABCD解析：云端备份属于在线备份，如果设备感染勒索病毒，云端同步备份也可能被加密，因此需要同时做离线备份，E错误，其他选项都是个人用户正确的防范做法，选ABCD。三、判断题答案及解析1.答案：×解析：杀毒软件主要依靠病毒特征库识别已知恶意程序，对于零日漏洞攻击、定制化APT攻击、社会工程学攻击，无法做到100%防范，因此说法错误。2.答案：×解析：根据零信任原则，内网并不默认安全，APT攻击突破边界后会在内网进行横向移动，很多内网攻击都是针对未设防的内网设备发起的，因此内网设备也需要做防范，说法错误。3.答案：×解析：钓鱼攻击可以通过短信、社交软件、短视频评论、伪造网站等多种渠道传播，不只是邮件，因此说法错误。4.答案：√解析：存储型XSS的恶意脚本会持久存储在服务器端，所有访问用户都会触发，说法正确。5.答案：×解析：很多APT攻击中，攻击者会发动DDoS攻击吸引防护团队的注意力，趁机在后台窃取核心数据，因此DDoS也可以用于掩护数据窃取，说法错误。6.答案：×解析：如果密码是重复字符、常见顺序组合，即使长度很长，破解难度也很低，比如“1111111111”长度10，比长度8的随机密码容易破解得多，因此说法错误。7.答案：√解析：蜜罐的核心作用就是诱捕攻击者、收集攻击特征、提前预警，消耗攻击者资源，说法正确。8.答案：√解析：CSRF攻击正是利用了用户已登录的身份，伪造用户的请求，说法正确。9.答案：×解析：目前大量勒索软件针对个人用户的电脑、手机发动攻击，加密个人用户的照片、文件等索要赎金，因此说法错误。10.答案：×解析：防火墙主要基于端口和IP规则做访问控制，无法防范应用层攻击、钓鱼攻击、内网发起的攻击，因此无法完全阻止所有网络攻击，说法错误。四、案例分析题答案及解析1.（1）本次事件属于分布式拒绝服务攻击（DDoS），具体为SYN洪水攻击，属于传输层DDoS攻击。原理：SYN洪水攻击利用TCP三次握手的设计缺陷，攻击者控制大量僵尸主机，向目标服务器发送大量伪造源IP地址的SYN连接请求，目标服务器收到请求后会回复SYN-ACK报文，并为该请求分配半连接资源保存在队列中，由于源地址是伪造的，攻击者不会回复最终的ACK报文，导致半连接一直占用服务器资源，直到半连接队列被占满，服务器无法再处理任何正常用户的连接请求，最终导致服务瘫痪。（2）针对该电商企业大促场景下的SYN洪水DDoS攻击，可采取的防范措施包括：①网络层防护：启用IP源地址验证（SPF），在运营商入口过滤所有伪造源地址的SYN数据包，从源头减少攻击流量；配置黑洞路由，将攻击流量引流到黑洞，避免攻击流量占用带宽和消耗服务器资源。②技术优化：优化服务器TCP协议栈参数，缩短半连接超时时间，开启SYNCookies技术，不需要为半连接分配资源存储在队列，可有效减少服务器资源消耗，提升应对SYN洪水的能力。③架构防护：提前部署高防IP和流量清洗系统，将企业官网的域名解析到高防IP节点，高防节点会对所有进入流量进行实时检测，自动识别并清洗异常SYN攻击流量，清洗后的正常流量再回源到企业服务器，保障业务正常访问；提前开通弹性带宽，预留足够的带宽冗余，应对中小规模的攻击流量，避免带宽被占满。④应急准备：提前制定大促期间的DDoS攻击应急响应预案，安排724小时运维值守，一旦发生攻击可快速处置，缩短业务中断时间。④应急准备：提前制定大促期间的DDoS攻击应急响应预案，安