网络攻击与防御

1

网络攻击与防御技术期末考试试卷及答案

考试时间：120分钟

试卷页数（A4）：2页

考试方式：闭卷（开卷或闭卷）

考试内容：

一、选择题（每小题1分，共30分）

1、假冒网络管理员，骗取用户信任，然后获取密码口令信息的攻击方式被称为（）。

A、密码猜解攻击B、社会工程攻击C、缓冲区溢出攻击D、网络监听攻击

2、下列哪一项软件工具不是用来对网络上的数据进行监听的？（）

A、XsniffB、TcpDumpC、SniffitD、UrDump

3、在进行微软数据库（MicrosoftSQLDataba）口令猜测的时候，我们一般会猜测拥有数据库最高权

限登录用户的密码口令，这个用户的名称是（）？

A、adminB、administratorC、saD、root

4、常见的WindowsNT系统口令破解软件，如L0phtCrack（简称LC），支持以下哪一种破解方式？（）

A.字典破解B、混合破解C、暴力破解D、以上都支持

5、著名的JohntheRipper软件提供什么类型的口令破解功能?（）

A、Unix系统口令破解B、Windows系统口令破解C、邮件帐户口令破解D、数据库帐户口令破解

6、下列哪一种网络欺骗技术是实施交换式（基于交换机的网络环境）嗅探攻击的前提?（）

A、IP欺骗B、DNS欺骗C、ARP欺骗D、路由欺骗

7、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（）

A、端口扫描攻击B、ARP欺骗攻击C、网络监听攻击D、TCP会话劫持攻击

8、目前常见的网络攻击活动隐藏不包括下列哪一种？（）

A、网络流量隐藏B、网络连接隐藏C、进程活动隐藏D、目录文件隐藏

9、在Windows系统中可用来隐藏文件（设置文件的隐藏属性）的命令是（）。

A、dirB、attribC、lsD、move

10、在实现ICMP协议隐蔽通道，常需要将发送出去的数据包伪装成下列哪一种类型？（）

A、ICMP请求信息，类型为0x0B、ICMP请求信息，类型为0x8

C、ICMP应答信息，类型为0x0D、ICMP应答信息，类型为0x8

11、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户，包括登录/退出

时间、终端、登录主机IP地址。（）

A、utmp/utmpx文件B、wtmp/wtmpx文件C、lastlog文件D、attc文件

12、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。（）

A、utmp/utmpx文件B、wtmp/wtmpx文件C、lastlog文件D、attc文件

13、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?（）

A、防火墙系统攻击痕迹清除B、入侵检测系统攻击痕迹清除

C、WindowsNT系统攻击痕迹清除D、Unix系统攻击痕迹清除

14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能?（）

A、防火墙系统攻击痕迹清除B、WWW服务攻击痕迹清除

C、WindowsNT系统攻击痕迹清除D、Unix系统攻击痕迹清除

15、为了清除攻击ApacheWWW服务时的访问记录，攻击者需要读取下列Apache的哪一种配置文件

来确定日志文件的位置和文件名。（）

2

A、、、、

16、目前大多数的Unix系统中存放用户加密口令信息的配置文件是____，而且该文件默认只有超级用

户root才能读取。（）

A、/etc/passwordB、/etc/passwdC、/etc/shadowD、/etc/group

17、历史上，Morris和Thompson对Unix系统的口令加密函数Crypt()进行了下列哪一种改进措施，使

得攻击者在破解Unix系统口令时增加了非常大的难度。（）

A、引入了Salt机制B、引入了Shadow变换C、改变了加密算法D、增加了加密次数

18、通过设置网络接口（网卡）的____，可以使其接受目的地址并不指向自己的网络数据包，从而达到

网络嗅探攻击的目的。（）

A、共享模式B、交换模式C、混杂模式D、随机模式

19、现今，适用于Windows平台常用的网络嗅探的函数封装库是____。（）

A、WinpcapB、LibpcapC、LibnetD、Windump

20、下列哪一种扫描技术属于半开放（半连接）扫描？（）

A、TCPConnect扫描B、TCPSYN扫描C、TCPFIN扫描D、TCPACK扫描

21、恶意大量消耗网络带宽属于拒绝服务攻击中的哪一种类型？（）

A、配置修改型B、基于系统缺陷型C、资源消耗型D、物理实体破坏型

22、现今，网络攻击与病毒、蠕虫程序越来越有结合的趋势，病毒、蠕虫的复制传播特点使得攻击程序

如虎添翼，这体现了网络攻击的下列哪种发展趋势？（）

A、攻击人群的大众化B、野蛮化C、智能化D、协同化

23、在大家熟知的病毒、蠕虫之中，下列哪一项不具备通过网络复制传播的特性？（）

A、红色代码B、尼姆达（Nimda）C、狮子王（SQLSlammer）D、CIH

24、网络监听（嗅探）的这种攻击形式破坏了下列哪一项内容？（）

A、网络信息的抗抵赖性B、网络信息的保密性C、网络服务的可用性D、网络信息的完整性

25、会话劫持的这种攻击形式破坏了下列哪一项内容？（）

A、网络信息的抗抵赖性B、网络信息的保密性C、网络服务的可用性D、网络信息的完整性

26、拒绝服务攻击的这种攻击形式破坏了下列哪一项内容？（）

A、网络服务的可用性B、网络信息的完整性C、网络信息的保密性D、网络信息的抗抵赖性

27、在下列这些网络攻击模型的攻击过程中，端口扫描攻击一般属于哪一项？（）

A、信息收集B、弱点挖掘C、攻击实施D、痕迹清除

28、下列哪一种网络通信协议对传输的数据会进行加密来保证信息的保密性？（）

A、FTPB、SSLC、POP3D、HTTP

29、Finger服务对于攻击者来说，可以达到下列哪种攻击目的？（）

A、获取目标主机上的用户账号信息B、获取目标主机上的网络配置信息

C、获取目标主机上的端口服务信息D、获取目标主机上的漏洞弱点信息

30、常用来进行网络连通性检查的Ping命令工具，它的工作原理为：（）

A、向目标主机发送UDPEchoRequest数据包，等待对方回应UDPEchoReply数据包。

B、向目标主机发送ICMPEchoRequest数据包，等待对方回应ICMPEchoReply数据包。

C、向目标主机发送UDPEchoReply数据包，等待对方回应ICMPEchoRequest数据包。

D、向目标主机发送ICMPEchoReply数据包，等待对方回应ICMPEchoRequest数据包。

二、名词解释（每小题4分，共20分）

1、TCP序列号预计2、扫描器3、数据通道加密4、词典攻击5、ARP欺骗

三、简述题（每小题8分，共32分）

3

1、简述tracert命令的工作原理。

2、请阐述以太网的嗅探技术原理和实现。

3、简述端口扫描技术原理。

4、简述IP欺骗攻击的防御技术。

四、网络信息数据分析题：（每空1分，共18分）

下图是一台计算机访问一个Web网站时的数据包序列。分析图中数据简要回答以下问题：

1．客户机的IP地址是，它属于地址（公网，私网）。

2．Web服务器的IP地址是，它属于地址公网，私网）。

3．客户机访问服务器使用的传输层协议是，应用层协议是，应用层协议的版本号是。

4．客户机向服务器请求建立TCP连接的数据包的号数是。

5．客户机向服务器发送用户名和口令进行请求登录的数据包的号数是。

6．此次访问中，客户机使用的端口名称是，服务器使用的端口名称是。

7．服务器对客户机的响应报文中，代码200的含义是。

8．在TCP的6比特的控制字段中：

[SYN]的含义是。[SYN,ACK]的含义是。[ACK]的含义是。

[FIN,ACK]的含义是，[FIN]的含义是。

9．服务器根据请求向客户机发送网页的第一个数据帧的号数是。

答案

一、选择题

1-10BDCDACDABC11-20BADCBCACAB21-30CCDBDAABAB

二、名词解释

1、TCP序列号预计：对于通信的双方，需要具备IP地址、端口号和序列号。发现IP地址和端口号是

相对容易做到的事情，在IP数据包中也包含IP地址和端口号，并且在整个会话过程中都不会改变。攻

击者获得通信双方的IP地址和端口号信息在后面的会话中会保持不变。然而，序列号却是随着时间的

变化而改变的。因此，攻击者必须成功猜测出序列号。如果服务器所期望的下一个序列号是12345，同

时攻击者送出一个序列号为55555的数据包，那么服务器将发现错误并且重新同步，这将会带来很多麻

烦。在另一个方面，如果攻击者送出一个序列号为12345的数据包那么服务器将接受这个数据包，这也

正是攻击者的目的。如果他能让服务器接收他的攻击数据包并执行它，那么攻击者就成功地劫持了会话。

4

TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。所以，如果我们以某种方法扰乱

客户主机的SEQ/ACK，服务器B将不再相信客户主机A正确的数据包。我们可以伪装为客户主机，使用

正确的SEQ/ACK序列号（与服务器相关的序列号），现在攻击主机X就可以代替与服务器的连接（客户

主机以被扰乱，服务器认为一切正常，攻击主机X向服务器B发出欺骗包），这样就可以抢劫一个会话

连接。那么如何扰乱客户主机的SEQ/ACK序列号呢？其实只需选择恰当时间，在通讯流中插入一个欺骗

包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察

觉我们的欺骗包，这样就行了。

2、扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的程序。集成了常用的各种扫描技术，

能自动发送数据包去探测和攻击远端或本地的端口和服务；自动收集和记录目标主机的反馈信息，从而

发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口

的分配、所开放的服务、所存在的可能被利用的安全漏洞。

3、数据通道加密：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的

账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH、SSL(SecureSocket

Layer，安全套接字应用层)和VPN。

4、词典攻击：使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程，就是词典攻击。多

数用户都会根据自己的喜好或自己所熟知的事物来设置口令，因此，口令在词典文件中的可能性很大。

而且词典条目相对较少，在破解速度上也远快于穷举法口令攻击。

5、ARP欺骗：利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监

听。主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP应答包后，它并不

会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有

的ARP缓存表里的相应信息。

三、简述题

1、简述tracert命令的工作原理。

答：通过向目标主机发送不同IP生存时间值的ICMP回应数据包，Tracert诊断程序确定到目标主机所

经过的路由。在数据包传输中所经过的每个路由在转发数据报之前要将数据包上的TTL值减1。当数

据包上的TTL值减为0时，路由器应该将“ICMP已超时”的消息发回源系统。

Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程中将TTL值递增1，直到目标响

应或TTL值达到最大值，从而确定路由。通过检查中间路由发回的“ICMP已超时”的消息确定路由。

某些路由不经询问直接丢弃TTL过期的数据包，这在Tracert实用程序中看不到。Tracert命令按顺序打

印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用“-d”选项，则Tracert实用

程序不在每个IP地址上查询DNS。

2、请阐述以太网的嗅探技术原理和实现。

网络嗅探技术(NetworkSniffing)，是一种在他方未察觉的情况下捕获其通信报文或通信内容的技

术。

在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。对网

络管理员来说，它是了解网络运行状况的有力助手，对黑客而言，它是有效收集信息的手段。

网络监听技术的能力范围目前只限于局域网。

如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话，那么，对于这台主机的网络接

口而言，任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式。

处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。

在共享式局域网中，集线器会广播所有数据，这时，如果局域网中一台主机将网卡设置成混杂模式，

那么它就可以接收到该局域网中的所有数据了。

网卡在混杂模式工作的情况下，所有流经网卡的数据帧都会被网卡驱动程序上传给网络层。

5

在实际应用中，监听时存在不需要的数据，严重影响了系统工作效率。网络监听模块过滤机制的效率是

该网络监听的关键。

信息的过滤包括以下几种：站过滤，协议过滤，服务过滤，通用过滤。

同时根据过滤的时间，可以分为两种过滤方式：捕获前过滤、捕获后过滤。

3、简述端口扫描技术原理。

许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服

务。端口扫描技术就是利用这一点向目标系统的TCP/UDP端口发送探测数据包，记录目标系统的响应

，通过分析响应来查看该系统处于监听或运行状态的服务。

当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和

各种应用监听的端口。端口扫描技术包括以下几种：

全扫描：会产生大量的审计数据，容易被对方发现，但其可靠性高。

半扫描：隐蔽性和可靠性介于全扫描和秘密扫描之间。

秘密扫描：能有效的避免对方入侵检测系统和防火墙的检测，但使用的数据包在通过网络时容易

被丢弃从而产生错误的探测信息。

认证(ident)扫描：需要先建立一个完整的TCP连接。

FTP代理扫描：隐蔽性好，难以追踪。但受到服务器设置的限制。

4、简述IP欺骗攻击的防御技术。

1）防范地址变化欺骗

2）防范源路由欺骗

3）防范信任关系欺骗

4）防范会话劫持攻击

四、网络信息数据分析题：

1、192.168.0.103私网2、202.203.208.32公网3、TCPHTTPHTTP/1.14、15、4

6、ccs-softwarehttp7、请求被成功接受

8、请求建立TCP连接可以建立连接确认同意结束结束9、6