D. SSH
说明/参考:
SKIP(simple key exchange internet protocol,因特网简单密钥交换协议)
问题3
ARP协议报文包括有ARP请求和ARP应答报文(B)
A.错误
B.正确
问题4
SMTP协议使用的端口号是(B)
A.21
B.25
C.110
D.22
TCP/IP协议安全
主要考察IPv4 安全隐患、TCP/IP 协议栈常见安全风险、线路侦听、MAC 欺骗、IP 欺骗攻击、Smurf 攻击、IP 地址扫描攻击、端口扫描攻击、TCP 拒绝服务、WEB 攻击等。
问题1
下列攻击手段中,不属于单包攻击的是(AC)
A. UDPflood攻击
B. WinNuke
C. Land攻击
D. Smurf攻击
说明/参考:
A. UDPflood攻击(攻击者在短时间内向特定目标发送大量的UDP报文,占用目标主机的带宽,致使目标主机不能处理正常的业务)
B. WinNuke(WinNuke攻击是针对任何运行Windows的主机的DoS攻击。通过向目标主机的NetBIOS端口(139)发送OOB(Out-of-Band)数据包,这些攻击报文的指针字段与实际的位置不符,引起一个NetBIOS片断重叠,致使已经与其它主机建立TCP连接的目标主机在处理这些数据的时候崩溃)
C. Land攻击(攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作)
D. Smurf攻击(攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的)
问题2
TCP/IP协议定义了一个对等的开放性网络,针对该网络可能的攻击和破坏包括(ABCD)
A. 对硬件的破坏
B. 对软件的破坏
C. 对网络层,应用层协议的破坏
D. 对物理传输线路的破坏
问题3
防范SYN Flood攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是指对TCP连接速率进行检测, 通过设置检查阈值来发现并阻断攻击流量,上述说法是(A)
A. 错误
B. 正确
说明/参考:对TCP连接速率进行检测是连接限制技术。
问题4
在UDP端口扫描中,对主机端口是否开放的判断依据是(B)
A. 根据被扫描主机开放端口返回的信息判断
B. 根据被扫描主机关闭端口返回的信息判断
C. 既不根据A也不根据B
D. 综合考虑A和B的情况进行判断
说明/参考:
问题5
下述哪些攻击手段是防火墙无法防御的?(BD)
A. Smurf
B. 跨站脚本攻击
C. 畸形报文攻击
D. 后门木马
E. WinNuke攻击
说明/参考:
问题6
下列攻击中,属于DoS拒绝服务攻击的是:(ABCD)
A. SYN Flood
B. ICMP Floed
C. WinNuke攻击
D. UDP Flood
说明/参考:
问题7
以下关于DoS攻击的描述,正确的是?(C)
A. 攻击者通过后门程序来入受攻击的系统
B. 攻击者以窃取目标系统上的机密信息为目的
C. 攻击行为会导致目标系统无法处理正常用户的请求
D. 如果目标系统没有漏洞,远程攻击就不可能成功
说明/参考:
使用大量的数据包攻击目标系统,使目标主机无法接受正常用户的请求,或者使目标主机瘫痪,不能正常工作。
问题8
在检测到针对服务器的SYN Flood攻击行为后,防火墙应该可以支持选择多种应对攻击的防范措施,主要包括连接限制技术和连接代理技术,其中属于连接限制技术的是(AC)
A.单位时间内客户端发起的新建连接请求数超过指定阈值,则认为服务器遭受了SYS Flood攻击
B.通过对正常TCP新建连接的协商报文进行处理ip网址与网络上的其他系统有冲突,修改报文的序列号并使其携带认证信息ip网址与网络上的其他系统有冲突,再通过验证客户端回应的协商报文中携带的信息进行报文有效性确认
C.客户端发起的TCP半开连接请求超过指定阈值,则以为服务器遭受了SYN Flood攻击
D.通过在新建连接的协商报文中携带认证信息,再通过验证客户端回应的协商报文中携带的信息来进行信息分析
说明/参考:BD应该属于连接代理技术,他们使用认证信息
问题9
利用SYN Cookie技术可以防范SYN Flood 攻击,关于技术原理的描述,以下说法正确的是。(ABCD)
A..如果防火墙确认客户端的ACK消息合法,则模拟客户端向服务器发送一个SYN消息进行连接请求,同时分配TCP资源记录此连接请求的描述信息
B.防火墙的SYN Cookie技术利用ACK报文携带的认证信息,对握手协商的ACK报文进行认证,从而避免了防火过早分配TCP资源
C.客户端发送的SYN消息经过防火墙时,防火墙截取该消息,并模拟服务器向客户端回应SYN ACK消息
D.客户端收到SYN/ACK报文后向服务器发送ACK消息进行确认,防火墙截取这个消息后,提取该消息中的ACK序号,并再次使用客户端信息与加密索引计算cookie,如果计算结果与ACK序列号相符,就可以确认发起连接请求的是一个真实客户端
问题10
如何防范Smurf攻击? (C)
A. 检查ICMP请求报文的目的地址是否为子网地址,是则丢弃
B. 检查ICMP请求报文的源地址是否为子网地址,是则丢弃
C. 检查ICMP请求报文的目的地址是否为广播地址,是则丢弃
D. 检查ICMP请求报文的源地址是否为广播地址,是则丢弃
说明/参考:
通过检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址,如果是,则根据用户配置选择对报文进行转发或丢弃。
问题11
下述攻击手段中,不属于DoS攻击的是(AC)
A. Fraggle
B. Land攻击
C. 跨站攻击
D. Smurf攻击
说明/参考:
A. Fraggle(攻击者通过向目标网络发送源UDP端口为7且目的UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的)
B. Land攻击(攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作)
C. 跨站攻击(是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站)
D. Smurf攻击(攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的)
问题12
利用Safe Reset技术可以防范SYN Food攻击.关于技术原理的描述,以下说法正确的是(ABC)
A.一般而言,应用服务器不会主动对客户端发起恶意连接,因此服务器响应客户端的报文可以不需要经过防火墙的检查。防火墙仅需要对客户端发往应用服务器的报文进行实时监控。服务器响应客户端的报文可以根据实际需要选择是否经过防火墙,因此Safe Reset能够支持更灵活的组网方式。
B.客户端收到SYN/ACK后.按照协议规定向服务器回应RST消息。防火墙中途截取这个消息后,提取消息中的序列号。并对该序列号进行Cookie校验。成功通过校验的连接被认为是可信的连接,防火墙会分配TCP资源记录此连接的描述信息,而不可信连接的后续报文会被防火墙丢弃。
C.由于防火墙仅通过对客户端向服务器首次发起连接的报文进行认证,就能够完成对客户端到服务器的连接检验而服务器向客户端回应的报文即使不经过防火墙也不会影响正常的业务处理,因此Safe Reset技术也称为单向代理技术。
D.客户端发送的SYN消息经过防火墙时,防火墙截取该消息,并模拟服务器向客户端回应SYN/ACK消息,其中,SYN/ACK消息中的ACK序列号与客户端期望的值一致,同时携带Cookie值,此Cookie值是对加密索引与本次连接的客户端信息(包括IP地址、端口号)进行加空运算的结果。
说明/参考:
是指仅对TCP连接的正向握手报文进行处理,也称为单向代理模式。
D为SYN Cookie验证模式
本文到此结束,希望对大家有所帮助!
