第1章网络安全概述与环境配置一、选择题1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。

2. 信息安全从总体上可以分成5个层次，密码技术是信息安全中研究的关键点。

3. 信息安全的目标CIA指的是机密性，完整性，可用性。

4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。

二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React），恢复（Restore）。

2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform，以提高整体的安全性。

3. 从1998年到2006年，平均年增长幅度达50％左右，使这些安全事件的主要因素是系统和网络安全脆弱性（V ulnerability）层出不穷，这些安全威胁事件给Internet带来巨大的经济损失。

4. B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。

5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。

第2章网络安全协议基础一、选择题1. OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。

2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。

3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。

4. 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。

5. 常用的网络服务中，DNS使用UDP协议。

二、填空题1. 网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。

2. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。

这4层概括了相对于OSI参考模型中的7层。

3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议（SMTP）和邮局协议（POP）。

4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过程的次数一起显示出来。

5. 使用“net user”指令查看计算机上的用户列表。

三、简答题6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令的功能和用途。

答：ping指令：通过发送ICMP包来验证与另一台TCP/IP的计算机的IP级连接。

应答消息的接收情况将和往返过程的次数一起显示出来。

Ping指令用于检测网络的连接性和可到达性。

如果不带参数，ping指令将显示帮助信息。

ipconfig指令：可以查看当前电脑的ip配置，显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置,使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。

nerstat指令：显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP,ICMP,TCP和UDP协议）。

net指令：在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。

at指令：使用at命令建立一个计划任务，并设置在某一刻执行，但是必须首先与对方建立信任连接。

第3章网络安全编程基础一、选择题1. 进程就是应用程序的执行实例（或称一个执行程序），是程序动态的描述。

2. 在main（）函数中定义两个参数argc和argv，其中argc存储的是命令行参数的个数argc 存储的是命令行各个参数的值。

3. 凡是基于网络应用的程序都离不开Scoket。

4. 由于多线程并发运行，用户在做一件事情时还可以做另外一件事。

特别是在多个CPU的情况下，可以更充分地利用硬件资源的优势。

二、填空题1. 目前流行两大语法体系：Basic语系和C语系，同一个语系下语言的基本语法是一样的。

2. 句柄是一个指针，可以控制指向的对象。

3. 注册表中存储了Windows操作系统的所有配置。

4. 由于使用多线程技术编程有两大优点：（1）提高CPU的利用率（2）可以设置每个线程的优先级，调整工作的进度。

5.在iostream.h文件中定义了cout的功能是输出，endl的功能是回车换行。

6.DOS命令行下使用命令“net user Hacker/add”添加体格用户Hacker，同样可以在程序中实现。

第4章网络扫描与网络监听一、选择题1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。

2. 对非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描。

二、填空题1. 扫描方式可以分成两大类：慢速扫描和乱序扫描。

2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。

3. 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。

归纳起来就是“黑客攻击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身。

三、简答题2. 黑客在进攻的过程中需要经过哪些步骤？目的是什么？答：（1）隐藏IP：实现IP的隐藏使网络攻击难以被侦破。

（2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点，扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。

（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。

（4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

（5）在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。

6. 网络监听技术的原理是什么？答：网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。

Sniffer pro就是一个完善的网络监听工具。

监听器Sniffer的原理是：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。

因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的机器都会将包丢弃。

但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。

然后对数据包进行分析，就得到了局域网中通信的数据。

一台计算机可以监听同一网段内所有的数据包，不能监听不同网段的计算机传输的信息。

第5章网络入侵一、选择题1. 打电话请求密码属于社会工程学攻击方式。

2. 一次字典攻击能否成功，很大因素上决定于字典文件。

3. SYN风暴属于拒绝服务攻击攻击。

4. 下面不属于DoS攻击的是TFN攻击。

二、填空题1. 字典攻击是最常见的一种暴力攻击。

2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。

3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。

三、简答题1. 简述社会工程学攻击的原理。

答：社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

6. 简述拒绝服务的种类与原理。

答：原理：凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击，其目的是使目标计算机或网络无法提供正常的服务。

种类：最常见的Dos攻击是计算机网络带宽攻击和连通性攻击；比较著名的拒绝服务攻击还包括SYN风暴、Smurf攻击和利用处理程序错误进行攻击。

第6章网络后门与网络隐身一、选择题1. 网络后门的功能是保持对目标主机长久控制。

2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。

在默认的情况下，终端服务的端口号是3389。

3. 木马是一种可以驻留在对方服务器系统中的一种程序。

二、填空题1. 后门的好坏取决于被管理员发现的概率。

2. 木马程序一般由两部分组成：服务器端程序和客户端程序。

3. 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一。

三、简答题1.留后门的原则是什么？答：只要是能不通过正常登录进入系统的途径都称为网络后门，后门的好坏取决于被管理员发现的概率。

只要是不容易被发现的后门都是好后门。

留后门的原理和选间谍是一样的，就是让管理员看了感觉不到有任何特别的地方。

5. 简述网络代理跳板的功能。

答：功能—不把直接真实的IP地址暴露出来：当从本地入侵其它主机时，本地IP会暴露给对方；通过将某一台主机设置为代理，通过该主机再入侵其它主机，这样就会留下代理跳板的IP地址而有效地保护自己的安全。

第7章恶意代码一、选择题1. 黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。

2. 2003 年，SLammer 蠕虫在10 分钟内导致90％互联网脆弱主机受到感染。

3. 造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。

4. 下面不是PE格式文件的是*.cpp文件。

5. 能通过产生的自动AutoRun.inf进行传播的病毒，都可以称为U盘病毒。

二、填空题1. 恶意代码主要包括计算机病毒（V irus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

2. PE文件以一个简单的DOS MZ header开始，紧接着的是PE Header。

3. 早期恶意代码的主要形式是计算机病毒。

4. 脚本病毒是以脚本程序语言编写而成的病毒，主要使用的脚本语言是VB Script和JavaScript。

5. 网络蠕虫的功能模块可以分为主程序和引导程序。

第8章操作系统安全基础一、选择题1. Linux是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intel x86系列CPU的计算机上。

2. 操作系统中的每一个实体组件不可能是既不是主体又不是客体。

3. 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。

这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基。