网络攻击与防御技术期末考试试卷及答案考试时间： 120 分钟试卷页数（A4）： 2 页考试方式：闭卷（开卷或闭卷）考试内容：一、选择题（每小题1分，共30分）1、假冒网络管理员，骗取用户信任，然后获取密码口令信息的攻击方式被称为（）。

A、密码猜解攻击B、社会工程攻击C、缓冲区溢出攻击D、网络监听攻击2、下列哪一项软件工具不是用来对网络上的数据进行监听的？（）A、XsniffB、TcpDumpC、SniffitD、UserDump3、在进行微软数据库（Microsoft SQL Database）口令猜测的时候，我们一般会猜测拥有数据库最高权限登录用户的密码口令，这个用户的名称是（）？A、adminB、administratorC、saD、root4、常见的Windows NT系统口令破解软件，如L0phtCrack（简称LC），支持以下哪一种破解方式？（）A.字典破解B、混合破解C、暴力破解D、以上都支持5、著名的John the Ripper软件提供什么类型的口令破解功能? （）A、Unix系统口令破解B、Windows系统口令破解C、邮件帐户口令破解D、数据库帐户口令破解6、下列哪一种网络欺骗技术是实施交换式（基于交换机的网络环境）嗅探攻击的前提? （）A、IP欺骗B、DNS欺骗C、ARP欺骗D、路由欺骗7、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（）A、端口扫描攻击B、ARP欺骗攻击C、网络监听攻击D、TCP会话劫持攻击8、目前常见的网络攻击活动隐藏不包括下列哪一种？（）A、网络流量隐藏B、网络连接隐藏C、进程活动隐藏D、目录文件隐藏9、在Windows系统中可用来隐藏文件（设置文件的隐藏属性）的命令是（）。

A、dirB、attribC、lsD、move10、在实现ICMP协议隐蔽通道，常需要将发送出去的数据包伪装成下列哪一种类型？（）A、ICMP请求信息，类型为0x0B、ICMP请求信息，类型为0x8C、ICMP应答信息，类型为0x0D、ICMP应答信息，类型为0x811、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户，包括登录/退出时间、终端、登录主机IP地址。

（）A、utmp/utmpx文件B、wtmp/wtmpx文件C、lastlog文件D、attc文件12、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。

（）A、utmp/utmpx文件B、wtmp/wtmpx文件C、lastlog文件D、attc文件13、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能? （）A、防火墙系统攻击痕迹清除B、入侵检测系统攻击痕迹清除C、Windows NT系统攻击痕迹清除D、Unix系统攻击痕迹清除14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能? （）A、防火墙系统攻击痕迹清除B、WWW服务攻击痕迹清除C、Windows NT系统攻击痕迹清除D、Unix系统攻击痕迹清除15、为了清除攻击Apache WWW服务时的访问记录，攻击者需要读取下列Apache的哪一种配置文件来确定日志文件的位置和文件名。

（）A、access.confB、httpd.confC、srm.confD、http.conf16、目前大多数的Unix系统中存放用户加密口令信息的配置文件是____，而且该文件默认只有超级用户root才能读取。

（）A、/etc/passwordB、/etc/passwdC、/etc/shadowD、/etc/group17、历史上，Morris和Thompson对Unix系统的口令加密函数Crypt()进行了下列哪一种改进措施，使得攻击者在破解Unix系统口令时增加了非常大的难度。

（）A、引入了Salt机制B、引入了Shadow变换C、改变了加密算法D、增加了加密次数18、通过设置网络接口（网卡）的____，可以使其接受目的地址并不指向自己的网络数据包，从而达到网络嗅探攻击的目的。

（）A、共享模式B、交换模式C、混杂模式D、随机模式19、现今，适用于Windows平台常用的网络嗅探的函数封装库是____。

（）A、WinpcapB、LibpcapC、LibnetD、Windump20、下列哪一种扫描技术属于半开放（半连接）扫描？（）A、TCP Connect扫描B、TCP SYN扫描C、TCP FIN扫描D、TCP ACK扫描21、恶意大量消耗网络带宽属于拒绝服务攻击中的哪一种类型？（）A、配置修改型B、基于系统缺陷型C、资源消耗型D、物理实体破坏型22、现今，网络攻击与病毒、蠕虫程序越来越有结合的趋势，病毒、蠕虫的复制传播特点使得攻击程序如虎添翼，这体现了网络攻击的下列哪种发展趋势？（）A、攻击人群的大众化B、野蛮化C、智能化D、协同化23、在大家熟知的病毒、蠕虫之中，下列哪一项不具备通过网络复制传播的特性？（）A、红色代码B、尼姆达（Nimda）C、狮子王（SQL Slammer）D、CIH24、网络监听（嗅探）的这种攻击形式破坏了下列哪一项内容？（）A、网络信息的抗抵赖性B、网络信息的保密性C、网络服务的可用性D、网络信息的完整性25、会话劫持的这种攻击形式破坏了下列哪一项内容？（）A、网络信息的抗抵赖性B、网络信息的保密性C、网络服务的可用性D、网络信息的完整性26、拒绝服务攻击的这种攻击形式破坏了下列哪一项内容？（）A、网络服务的可用性B、网络信息的完整性C、网络信息的保密性D、网络信息的抗抵赖性27、在下列这些网络攻击模型的攻击过程中，端口扫描攻击一般属于哪一项？（）A、信息收集B、弱点挖掘C、攻击实施D、痕迹清除28、下列哪一种网络通信协议对传输的数据会进行加密来保证信息的保密性？（）A、FTPB、SSLC、POP3D、HTTP29、Finger服务对于攻击者来说，可以达到下列哪种攻击目的？（）A、获取目标主机上的用户账号信息B、获取目标主机上的网络配置信息C 、获取目标主机上的端口服务信息D、获取目标主机上的漏洞弱点信息30、常用来进行网络连通性检查的Ping命令工具，它的工作原理为：（）A、向目标主机发送UDP Echo Request数据包，等待对方回应UDP Echo Reply数据包。

B、向目标主机发送ICMP Echo Request数据包，等待对方回应ICMP Echo Reply数据包。

C、向目标主机发送UDP Echo Reply数据包，等待对方回应ICMP Echo Request数据包。

D、向目标主机发送ICMP Echo Reply数据包，等待对方回应ICMP Echo Request数据包。

二、名词解释（每小题4分，共20分）1、TCP序列号预计2、扫描器3、数据通道加密4、词典攻击5、ARP欺骗三、简述题（每小题8分，共32分）1、简述tracert命令的工作原理。

2、请阐述以太网的嗅探技术原理和实现。

3、简述端口扫描技术原理。

4、简述IP欺骗攻击的防御技术。

四、网络信息数据分析题：（每空1分，共18分）下图是一台计算机访问一个Web网站时的数据包序列。

分析图中数据简要回答以下问题：1．客户机的IP地址是，它属于地址（公网，私网）。

2．Web服务器的IP地址是，它属于地址公网，私网）。

3．客户机访问服务器使用的传输层协议是，应用层协议是，应用层协议的版本号是。

4．客户机向服务器请求建立TCP连接的数据包的号数是。

5．客户机向服务器发送用户名和口令进行请求登录的数据包的号数是。

6．此次访问中，客户机使用的端口名称是，服务器使用的端口名称是。

7．服务器对客户机的响应报文中，代码200的含义是。

8．在TCP的6比特的控制字段中：[SYN]的含义是。

[SYN, ACK]的含义是。

[ACK]的含义是。

[FIN, ACK]的含义是，[FIN]的含义是。

9．服务器根据请求向客户机发送网页的第一个数据帧的号数是。

答案一、选择题1-10 BDCDA CDABC 11-20 BADCB CACAB 21-30 CCDBD AABAB二、名词解释1、TCP序列号预计：对于通信的双方，需要具备IP地址、端口号和序列号。

发现IP地址和端口号是相对容易做到的事情，在IP数据包中也包含IP地址和端口号，并且在整个会话过程中都不会改变。

攻击者获得通信双方的IP地址和端口号信息在后面的会话中会保持不变。

然而，序列号却是随着时间的变化而改变的。

因此，攻击者必须成功猜测出序列号。

如果服务器所期望的下一个序列号是12345，同时攻击者送出一个序列号为55555的数据包，那么服务器将发现错误并且重新同步，这将会带来很多麻烦。

在另一个方面，如果攻击者送出一个序列号为12345的数据包那么服务器将接受这个数据包，这也正是攻击者的目的。

如果他能让服务器接收他的攻击数据包并执行它，那么攻击者就成功地劫持了会话。

TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。

所以，如果我们以某种方法扰乱客户主机的SEQ/ACK，服务器B将不再相信客户主机A正确的数据包。

我们可以伪装为客户主机，使用正确的SEQ/ACK序列号（与服务器相关的序列号），现在攻击主机X就可以代替与服务器的连接（客户主机以被扰乱，服务器认为一切正常，攻击主机X向服务器B发出欺骗包），这样就可以抢劫一个会话连接。

那么如何扰乱客户主机的SEQ/ACK序列号呢？其实只需选择恰当时间，在通讯流中插入一个欺骗包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察觉我们的欺骗包，这样就行了。

2、扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的程序。

集成了常用的各种扫描技术，能自动发送数据包去探测和攻击远端或本地的端口和服务；自动收集和记录目标主机的反馈信息，从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。

3、数据通道加密：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。

目前的数据加密通道方式主要有SSH 、SSL(Secure Socket Layer，安全套接字应用层)和VPN。

4、词典攻击：使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程，就是词典攻击。

多数用户都会根据自己的喜好或自己所熟知的事物来设置口令，因此，口令在词典文件中的可能性很大。

而且词典条目相对较少，在破解速度上也远快于穷举法口令攻击。

5、ARP欺骗：利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。