入侵检测与漏洞扫描试题

一、选择题〔共20分，每题1分〕 1 A 11 D

【试题1】按照检测数据的来源可将入侵检测系统〔IDS〕分为__________。

A．基于主机的IDS和基于网络的IDS B．基于主机的IDS和基于域控制器的IDS C．基于效劳器的IDS和基于域控制器的IDS D．基于浏览器的IDS和基于网络的IDS

【试题2】一般来说入侵检测系统由3局部组成，分别是事件产生器、事件分析器和________。

A．控制单元 B．检测单元 C．解释单元 D．响应单元 【试题3】按照技术分类可将入侵检测分为__________。 A．基于标识和基于异常情况 B．基于主机和基于域控制器 C．效劳器和基于域控制器 D．基于浏览器和基于网络

2 D 12 B 3 A 13 B 4 A 14 B 5 6 7 C 17 A 8 C 18 A 9 D 19 A 10 B 20 B AB D 15 C 16 B 【试题4】不同厂商的IDS系统之间需要通信，这种通信格式是________。

A．IDMEF B．IETF C．IEEE D．IEGF

【试题5】入侵检测的根底是 〔1〕A ，入侵检测的核心是 〔2〕 B。 〔1〕〔2〕 A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 【试题6】信号分析有模式匹配、统计分析和完整性分析等3种技术手段，其中_______用于事后分析。

A．信息收集 B．统计分析 C．模式匹配 D．完整性分析

【试题7】网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的效劳，记录目标给予的答复。

A．源主机 B．效劳器 C．目标主机 D．以上都不对

【试题8】________系统是一种自动检测远程或本地主机平安性弱点的程序。

A．入侵检测 B．防火墙 C．漏洞扫描 D．入侵防护 【试题9】以下选项中_________不属于CGI漏洞的危害。 A．缓冲区溢出攻击 B．数据验证型溢出攻击 C．脚本语言错误 D．信息泄漏

【试题10】基于网络低层协议，利用协议或操作系统实现时的漏洞来到达攻击目的，这种攻击方式称为__________。

A．效劳攻击 B．拒绝效劳攻击 C．被动攻击 D．非效劳攻击 【试题11】特洛伊木马攻击的威胁类型属于_________。 A．授权侵犯威胁 B．植入威胁 C．渗入威胁 D．旁路控制威胁

【试题12】在网络平安中，截取是指未授权的实体得到了资源的访问权。这是对________。

A．可用性的攻击 B．完整性的攻击 C．保密性的攻击 D．真实性的攻击

【试题13】有一种攻击不断对网络效劳系统进行干扰，改变其正常的作业流程，执行无关程序使系统显影减慢甚至瘫痪。它影响正常用户的使用，甚至使合法用户被排斥而不能得到效劳。这种攻击叫做__________攻击。

A．可用性攻击 B．拒绝性攻击 C．保密性攻击 D．真实性攻击

【试题14】提高网络平安性可以从以下两方面入手：一是从技术上对网络资源进行保护；二是要求网络管理员与网络用户严格遵守网络管理规定与使用要求。要做到这一点，就必须加强对网络管理人员和网络用户的技术培训和网络_________。 A．使用方法培训 B．平安教育 C．软件开发培训 D．应用开发教育

【试题15】以下说法错误的选项是_________。 A．效劳攻击是针对某种特定网络的攻击 B．非效劳攻击是针对网络层协议而进行的 C．主要的渗入威胁有特洛伊木马和陷井

D．潜在的网络威胁主要包括窃听、通信量分析、人员疏忽和媒体清理等

【试题16】从网络高层协议角度看，网络攻击可以分为__________。 A．主动攻击与被动攻击 B．效劳攻击与非效劳攻击 C．病毒攻击与主机攻击 D．侵入攻击与植入攻击

【试题17】在网络平安中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。这是对_________。 A．可用性的攻击 B．保密性的攻击 C．完整性的攻击 D．真实性的攻击 【试题18】对网络的威胁包括： Ⅰ. 假冒 Ⅱ. 特洛伊木马

Ⅲ. 旁路控制 Ⅳ. 陷井 Ⅴ. 授权侵犯

在这些威胁中，属于渗入威胁的为__________。 A．Ⅰ、Ⅲ和Ⅴ B. Ⅲ和Ⅳ C．Ⅱ和Ⅳ D. Ⅰ、Ⅱ、Ⅲ和Ⅳ

【试题19】如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法的用户的请求，这种手段属于_________攻击。

A．拒绝效劳 B．口令入侵 C．网络监听 D．IP哄骗

【试题20】有一种攻击不断对网络效劳系统进行干扰，改变其正常的作业流程，执行无关程序使系统显影减慢甚至瘫痪。它影响正常用户的使用，甚至使合法用户被排斥而不能得到效劳。这种攻击叫做__________攻击。

A．可用性攻击 B．拒绝性攻击

C．保密性攻击 D．真实性攻击 二、简答题〔共20分，每题5分〕 1、什么是P2DR模型？

答：P2DR模型是可适应网络平安理论或称为动态信息平安理论

的主要模型。P2DR模型是TCSEC模型的开展，也是目前被普遍采用的平安模型。P2DR模型包含四个主要局部：Policy〔平安策略〕、Protection〔防护〕、Detection〔检测〕和Response 〔响应〕。防护、检测和响应组成了一个所谓的“完整的、动态〞的平安循环，在平安策略的整体指导下保证信息系统的平安。网络平安防范体系应该是动态变化的。平安防护是一个动态的过程， P2DR是安氏推崇的基于时间的动态平安体系。

2、常见的几种攻击的原理有哪些，试举例？

答:

没有设置任何标志的TCP报文攻击-----正常情况下，任何TCP

报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文〔TCP连接请求报文〕设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

设置了FIN标志却没有设置ACK标志的TCP报文攻击-----正常情况下，ACK标志在除了第一个报文〔SYN报文〕外，所有的报文都设置，包括TCP连接撤除报文〔FIN标志设置的报文〕。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。

死亡之PING------TCP/IP标准要求IP报文的长度在一定范围内〔比方，

0－K〕，但有的攻击计算机可能向目标计算机发出大于K长度的PING报文，

导致目标计算机IP协议栈崩溃。

地址猜想攻击-----跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，那么说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。

泪滴攻击-------对于一些大的IP包，需要对其进行分片传送，这是为了

迎合链路层的MTU〔最大传输单元〕的要求。比方，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。 在IP报头中有一个偏移字段和一个分片标志〔MF〕，如果MF标志设置为1，那么外表这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片〔MTU为1500〕，那么三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。

如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比方，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。

带源路由选项的IP报文-----为了实现一些附加功能，IP协议标准在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备〔路由器〕或最终目标计算机对这些IP报文进行额外的处理。

源路由选项便是其中一个，从名字中就可以看出，源路由选项的目的，是指导中间设备〔路由器〕如何转发该数据报文的，即明确指明了报文的传输路径。比方，让一个IP报文明确的经过三台路由器R1，R2，R3，那么可以在源路由选项中明确指明这三个路由器的接口地址，这样不管三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过适宜的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。

带记录路由选项的IP报文----记录路由选项也是一个IP选项，携带了该选

项的IP报文，每经过一台路由器，该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。

通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。

3、典型拒绝效劳攻击的手段有哪些，试举例？

答：

TCP SYN拒绝效劳攻击―1、 攻击者向目标计算机发送一个TCP SYN

报文；2、 目标计算机收到这个报文后，建立TCP连接控制结构〔TCB〕，并回应一个ACK，等待发起者的回应；3、 而发起者那么不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。

可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样为难状态的半连接如果很多，那么会把目标计算机的资源〔TCB控制结构，TCB，一般情况下是有限的〕耗尽，而不能响应正常的TCP连接请求。

ICMP洪水――为了对网络进行诊断，一些诊断程序，比方PING等，会发出

ICMP响应请求报文〔ICMP ECHO〕，接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比方处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文〔产生ICMP洪水〕，那么目标计算时机忙于处理这些ECHO报文，而无法继续处理其它的网络数据报文，这也是一种拒绝效劳攻击〔DOS〕

UDP洪水――原理与ICMP洪水类似，攻击者通过发送大量的UDP报文给目

标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

分片IP报文攻击――为了传送一个大的IP报文，IP协议栈需要根据链路接

口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一局部内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待〔直到一个内部计时器到时〕，如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

Land攻击―― LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文〔连接建立请求报文〕而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构〔TCB〕，而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，那么目标计算机的TCB可能会耗尽，最终不能正常效劳。这也是一种DOS攻击。

4、分别表达误用检测与异常检测原理？

答：

误用检测〔Misuse Detection〕―――基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。前提：所有的入侵行为都有可被检测到的特征。指标：误报低、漏报高。攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测为力。

异常检测〔Anomaly Detection〕―――基于统计分析原理。首先总结正常操作应该具有的特征〔用户轮廓〕，试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。前提：入侵是异常活动的子集。指标：漏报率低，误报率高。

特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源

5、分别表达主动响应与被动响应？

答：主动响应----系统〔自动或与用户配合〕为阻止或影响正在发生

的攻击进程而采取行动。

被动响应-----系统仅简单的记录和报告所检测出的问题。