1、网络规划设计师-防御计算机病毒及木马、防御网络攻击及答案解析(总分:16.00,做题时间:90 分钟)一、单项选择题(总题数:14,分数:16.00)1.以下关于恶意代码及其防御的描述中,错误的是_。A蠕虫是一个独立程序,它不需要把自身附加在宿主程序上B在电子图片中也可以携带恶意代码CJavaScript、VBScript 等脚本语言可被用于编写网络病毒D使用防火墙可以有效地防御计算机病毒(分数:1.00)A.B.C.D.2.Windows PE(可移植的执行体)是 Win32环境自身所带的执行体文件格式。PE 病毒是指所有感染 Windows下 PE文件格式文件的病毒。其传统感染方式的原理是
2、_。A在感染宿主程序时,将病毒代码整体直接(或进行压缩之后)放入到目标宿主程序之中B直接对目标 PE文件进行覆盖,使原有的被感染文件数据全部(或部分)丢失C在感染宿主程序时,将病毒代码覆盖到目标宿主程序最前面,同时将目标宿主程序直接(或进行压缩后)保存在病毒程序之后D将病毒代码写入到目标宿主程序体内,然后修改目标宿主程序的文件头或者部分程序代码(分数:1.00)A.B.C.D.3.下列关于常见网络版防病毒系统的描述中,错误的是_。A管理控制台必须先于系统中心安装到符合条件的服务器上B在域环境中,脚本登录安装是实现网络版防病毒软件快速自动安装的方法C安装系统中心的计算机应该在有效工作期间保持全天
3、侯的开机状态D可以手工修改网络版防病毒系统的数据通信端口使数据通过防火墙(分数:1.00)A.B.C.D.4.多态病毒是指_的计算机病毒。A可在反病毒检测时隐藏自己 B每次感染都会改变自己C可通过不同的渠道进行传播 D可以根据不同环境造成不同破坏(分数:1.00)A.B.C.D.5.至目前为止,反病毒软件可分为 4代。其中,第 3代反病毒软件的主要特征是_。A启发扫描 B主动扫描C行为陷阱 D特征码扫描(分数:1.00)A.B.C.D.6.Web 2.0社区分享了丰富的因特网应用,同时使得网络应用环境更加复杂,并给网络安全带来了许多新的挑战。以下不属于 Web 2.0时代木马的技术特征是_。A
4、感染型、Rootkit、内核级驱动保护等多种技术融合B能对抗杀毒软件,入侵系统后直接使杀毒软件失效C使用自启动技术,通过网络完成自我复制D使用各种加壳技术及存活性技术(分数:1.00)A.B.C.D.7.计算机感染特洛伊木马后的典型现象有_。A上网速度明显变慢、各类应用程序的图标被替换成另一种图标B邮箱被莫名邮件填满、一旦打开 Word文档系统的操作速度反应迟钝C程序堆栈溢出、操作系统的 CPU资源被占满D系统中有可疑进程在运行并试图建立网络连接(分数:1.00)A.B.C.D.8.以下措施中不能有效防止木马入侵的是_。A在操作系统中仅开放非熟知端口,并实行数据加密传输B在操作系统中禁用移动存
5、储介质的自动运行机制C实时打补丁以修复操作系统漏洞,并运行网络连接监控程序D利用沙箱等虚拟技术阻止即时通信(IM)消息中的恶意链接和文件(分数:1.00)A.B.C.D.网管人员在监测网络运行状态时,发现下列现象:在服务器 cmd窗口使用 netstat-an命令,操作系统返回结果的“State”列中有数以万计的“TIME_WAIT”连接;服务器收到大量的源 IP地址和目的 IP地址均为本服务器 IP地址的数据包。网管人员的判断是服务器可能受到了_,针对前一现象将采取的措施是_,针对后一现象可能采取的措施是_。(分数:3.00)(1).ADDoS 攻击和 ARP欺骗攻击 BSQL 注入攻击和
6、Ping of Death攻击C缓冲区溢出攻击和 Teardrop攻击 DSYN Flooding 攻击和 Land攻击(分数:1.00)A.B.C.D.(2).A暂时关闭服务器 B修改注册表中相关的键值C启用 Cisco路由器的 CEF服务 D安装 SQL通用防注入系统的程序(分数:1.00)A.B.C.D.(3).A在服务器上安装 ARP防火墙B加装一台内部路由器以隔离广播数据C暂时关闭出口路由器D及时更新操作系统补丁,强化 TCP/IP堆栈(分数:1.00)A.B.C.D.9.某电子商务公司内部网络的工作人员计算机的 IP地址使用网段 10.3.0.0,16 进行规划。某天中午,销售部网
7、段 10.3.9.0/24的某台计算机出现无法访问 lriternet的现象,而其他部门的计算机均能正常访问Internet。网络管理员在三层核心交换机上运行 show arp命令,得到的部分输出信息如图 19-1所示。据此,网管员可以判定造成这一现象的故障原因可能是_。(分数:1.00)A.B.C.D.10.许多黑客利用缓冲区溢出漏洞进行攻击,对于这一威胁,规划师最可能采用的解决方案是_。A安装防火墙或入侵检测系统 B安装用户认证系统C安装相关的系统补丁软件 D安装防病毒软件(分数:1.00)A.B.C.D.11.攻击者使用无效 IP地址,利用 TCP连接的三次握手过程,连续发送会话请求,使
8、受害主机处于开放会话的请求之中,直至连接超时,最终因耗尽资源而停止响应。这种攻击被称为_。ASYN Flooding 攻击 BDNS 欺骗攻击C重放攻击 DTeardrop 攻击(分数:1.00)A.B.C.D.12.以下关于系统漏洞扫描技术和工具的描述中,错误的是_。A能否从主机系统内部检测系统配置的缺陷是系统管理员和黑客拥有的漏洞扫描器在技术上的最大区别BISS 的 Internet Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞C漏洞扫描工具的主要性能指标包括速度、漏洞数量的更新周期,以及是否支持定制攻击等DX-Scanner 采用多线程方式对指定 IP地址段进行安全漏洞扫
9、描(分数:1.00)A.B.C.D.13.以下方式中,利用主机应用系统漏洞进行攻击的是_。ASQL 注入攻击 B暴力攻击C源路由欺骗攻击 DLand 攻击(分数:1.00)A.B.C.D.网络规划设计师-防御计算机病毒及木马、防御网络攻击答案解析(总分:16.00,做题时间:90 分钟)一、单项选择题(总题数:14,分数:16.00)1.以下关于恶意代码及其防御的描述中,错误的是_。A蠕虫是一个独立程序,它不需要把自身附加在宿主程序上B在电子图片中也可以携带恶意代码CJavaScript、VBScript 等脚本语言可被用于编写网络病毒D使用防火墙可以有效地防御计算机病毒(分数:1.00)A.
10、B.C.D. 解析:解析 在网络环境中,可执行程序、脚本文件、网页、电子邮件、网络电子贺卡及电子卡通图片等都有可能携带计算机病毒。除了传统的汇编语言、C 语言之外,以JavaScript 和 VBScript为首的脚本语言也成为流行的病毒编写语言。利用新的编程语言与编程技术实现的计算机病毒更易于被修改以产生新的变种,从而逃避反病毒软件的搜索。防火墙用于检测通过网络的数据包,只能对网络连接和数据包进行封堵,而病毒可以通过文件等诸多途径入侵用户的计算机,因此防火墙不能有效地防御病毒。2.Windows PE(可移植的执行体)是 Win32环境自身所带的执行体文件格式。PE 病毒是指所有感染 Win
11、dows下 PE文件格式文件的病毒。其传统感染方式的原理是_。A在感染宿主程序时,将病毒代码整体直接(或进行压缩之后)放入到目标宿主程序之中B直接对目标 PE文件进行覆盖,使原有的被感染文件数据全部(或部分)丢失C在感染宿主程序时,将病毒代码覆盖到目标宿主程序最前面,同时将目标宿主程序直接(或进行压缩后)保存在病毒程序之后D将病毒代码写入到目标宿主程序体内,然后修改目标宿主程序的文件头或者部分程序代码(分数:1.00)A.B.C.D. 解析:解析 PE 病毒的传统感染原理是:将病毒代码写入到目标宿主程序体内,然后修改目标宿主程序的文件头或者部分程序代码,使得宿主程序在运行时可以调用病毒代码的执
12、行。选项 A和选项 C是 PE病毒的捆绑式感染原理,选项 B是其覆盖式传播原理。3.下列关于常见网络版防病毒系统的描述中,错误的是_。A管理控制台必须先于系统中心安装到符合条件的服务器上B在域环境中,脚本登录安装是实现网络版防病毒软件快速自动安装的方法C安装系统中心的计算机应该在有效工作期间保持全天侯的开机状态D可以手工修改网络版防病毒系统的数据通信端口使数据通过防火墙(分数:1.00)A. B.C.D.解析:解析 通常,网络版防病毒系统的系统中心是网络防病毒系统信息管理和病毒防护的自动控制核心。它实时记录防护体系内每台计算机上的病毒监控、检测和清除信息。根据管理控制台的设置,实现对整个防护系
13、统的自动控制。由于其他子系统只有在系统中心工作后,才可实现各自的网络防护功能,因此系统中心必须先于其他子系统安装到符合条件的服务器上。由此可知,为了正常实现系统中心的所有功能,安装系统中心的计算机应该在有效工作期间保持全天侯的开机状态,并可以方便地连接 Internet,以便完成软件自动升级的任务。对于大多数网络版的防病毒系统,服务器端与客户端都可采用本地安装、远程安装、Web 安装、脚本登录安装等方式进行安装。其中,在域环境中,脚本登录安装是实现网络版防病毒软件快速、自动安装的一种方法。为了使网络版防病毒软件的通信数据能顺利地通过防火墙,防病毒系统通常会提供用于数据通信端口设置的界面或选项。
14、换而言之,网络版防病毒系统的数据通信端口不是固定的,是可以灵活设置的。4.多态病毒是指_的计算机病毒。A可在反病毒检测时隐藏自己 B每次感染都会改变自己C可通过不同的渠道进行传播 D可以根据不同环境造成不同破坏(分数:1.00)A.B. C.D.解析:解析 多态病毒是一种较为高级的病毒,该病毒在每次感染后会改变自己,其目的是为了击败扫描病毒的程序。5.至目前为止,反病毒软件可分为 4代。其中,第 3代反病毒软件的主要特征是_。A启发扫描 B主动扫描C行为陷阱 D特征码扫描(分数:1.00)A.B.C. D.解析:解析 第 3代反病毒软件的主要特征是行为陷阱,即通过审查应用程序的操作来判断是否有
15、恶意(病毒)倾向并向用户发出警告。6.Web 2.0社区分享了丰富的因特网应用,同时使得网络应用环境更加复杂,并给网络安全带来了许多新的挑战。以下不属于 Web 2.0时代木马的技术特征是_。A感染型、Rootkit、内核级驱动保护等多种技术融合B能对抗杀毒软件,入侵系统后直接使杀毒软件失效C使用自启动技术,通过网络完成自我复制D使用各种加壳技术及存活性技术(分数:1.00)A.B.C. D.解析:解析 木马是没有自我复制功能的恶意程序。据此,选项 C的说法有误。7.计算机感染特洛伊木马后的典型现象有_。A上网速度明显变慢、各类应用程序的图标被替换成另一种图标B邮箱被莫名邮件填满、一旦打开 W
16、ord文档系统的操作速度反应迟钝C程序堆栈溢出、操作系统的 CPU资源被占满D系统中有可疑进程在运行并试图建立网络连接(分数:1.00)A.B.C.D. 解析:解析 计算机感染特洛伊木马后将出现:有未知程序试图建立网络连接;系统中有可疑的进程在运行等现象。8.以下措施中不能有效防止木马入侵的是_。A在操作系统中仅开放非熟知端口,并实行数据加密传输B在操作系统中禁用移动存储介质的自动运行机制C实时打补丁以修复操作系统漏洞,并运行网络连接监控程序D利用沙箱等虚拟技术阻止即时通信(IM)消息中的恶意链接和文件(分数:1.00)A. B.C.D.解析:解析 若在操作系统中仅开放非熟知端口(即 TCP/
17、UDP 102465535 端口号),将 TCP/UDP的熟知端口号(即 11023)禁用,则可能导致操作系统无法访问正常的网络应用业务(如 Web服务、E-mail 服务等);再者木马也可以使用这些开放的某个非熟知端口号进行入侵操作。因此选项 A的做法不能有效地防止木马入侵。网管人员在监测网络运行状态时,发现下列现象:在服务器 cmd窗口使用 netstat-an命令,操作系统返回结果的“State”列中有数以万计的“TIME_WAIT”连接;服务器收到大量的源 IP地址和目的 IP地址均为本服务器 IP地址的数据包。网管人员的判断是服务器可能受到了_,针对前一现象将采取的措施是_,针对后一
18、现象可能采取的措施是_。(分数:3.00)(1).ADDoS 攻击和 ARP欺骗攻击 BSQL 注入攻击和 Ping of Death攻击C缓冲区溢出攻击和 Teardrop攻击 DSYN Flooding 攻击和 Land攻击(分数:1.00)A.B.C.D. 解析:(2).A暂时关闭服务器 B修改注册表中相关的键值C启用 Cisco路由器的 CEF服务 D安装 SQL通用防注入系统的程序(分数:1.00)A.B. C.D.解析:(3).A在服务器上安装 ARP防火墙B加装一台内部路由器以隔离广播数据C暂时关闭出口路由器D及时更新操作系统补丁,强化 TCP/IP堆栈(分数:1.00)A.B.
19、C.D. 解析:解析 SYN Flooding(同步包风暴)攻击的基本思路是:攻击者主机使用无效的 IP地址,利用 TCP连接的三次握手过程,使得受害主机处于开放会话的请求之中,直到连接超时,在此期间,受害主机将会连续接收这种会话请求,最终因资源耗尽而停止响应。若在服务器的 cmd窗口中使用 netstat-an命令,则服务器操作系统的返回结果的“State”列中将有数以万计的“TIME_WAIT”连接。服务器将为了维护一个非常大的半连接列表而消耗非常多的资源,而无暇理睬客户的正常请求。可以通过修改注册表中相关的键值来防御 SYN Flooding攻击。Land攻击是一种利用 TCP/IP中的
20、处理程序错误实施 DoS攻击行为。攻击者向某台服务器发送源 IP地址和目的 IP地址均为服务器 IP地址的数据包,然后将该数据包通过 IP欺骗方式发送给这台服务器。该数据包将造成服务器因试图与自己建立连接而陷入死循环,从而在很大程度上降低了系统对外服务的性能。可以通过及时更新操作系统补丁,强化 TCP/IP堆栈来防御 Land攻击。9.某电子商务公司内部网络的工作人员计算机的 IP地址使用网段 10.3.0.0,16 进行规划。某天中午,销售部网段 10.3.9.0/24的某台计算机出现无法访问 lriternet的现象,而其他部门的计算机均能正常访问Internet。网络管理员在三层核心交换
21、机上运行 show arp命令,得到的部分输出信息如图 19-1所示。据此,网管员可以判定造成这一现象的故障原因可能是_。(分数:1.00)A.B.C. D.解析:解析 在三层交换机配置模式中,运行 show arp命令可查看地址解析协议表,即 IP地址与 MAC地址之间的映射关系。仔细阅读图 19-1所示的三层交换机的输出信息,图中 IP地址10.3.9.55、10.3.9.23、10.3.9.54、10.3.9.65、10.3.9.66、10.3.9.71、10.3.9.74、10.3.9.75、10.3.9.84、10.3.9.96、10.3.9.161 的 MAC地址均为 0030.1
22、8A8.67A3。而 ARP欺骗攻击的典型特征是,受到攻击的计算机会伪造某台计算机的 MAC地址(例如伪造网关服务器的 MAC地址),从而在网络中产生大量的ARP通信量使网络阻塞(经常瞬断),甚至导致整个网络无法上网。因此造成网段 10.3.9.0/24的所有计算机无法访问 Internet的一种可能原因是:该网段中至少有一台计算机受到了 ARP欺骗攻击。由于该公司内部网络的“其他部门的计算机均能正常访问 Internet”,因此可排除选项 A和选项 B。Land攻击的典型特征是,受到攻击的计算机会收到源 IP地址和目的 IP地址均为本机 IP地址的数据包,这些数据包将造成本机因试图与自己建立
23、连接而陷入死循环状态。据此可排除选项 D。10.许多黑客利用缓冲区溢出漏洞进行攻击,对于这一威胁,规划师最可能采用的解决方案是_。A安装防火墙或入侵检测系统 B安装用户认证系统C安装相关的系统补丁软件 D安装防病毒软件(分数:1.00)A.B.C. D.解析:解析 缓冲区溢出攻击是利用目标程序的缓冲区溢出漏洞,通过操作目标程序堆栈并暴力改写其返回地址,从而获得目标控制权。其原理是向一个有限空间的缓冲区中复制过长的字符串,从而导致这一过长的字符串覆盖了相邻的存储单元而造成程序瘫痪、系统重启等现象,同时可让攻击者运行恶意代码、执行任意指令,以及获得超级权限等。由于这种攻击方式所传输的数据分组并无异
24、常特征,没有任何欺骗,以及用来实施缓冲区溢出攻击的字符串的多样化,无法与正常数据有效地进行区分。因此防火墙对这种攻击方式无能为力。另外,因为这种攻击方式不是一种窃密和欺骗的手段,而是从计算机系统的底层发起攻击,所以在它的攻击下系统的身份验证和访问权限等安全策略形同虚设。这就要求系统管理员或普通用户及时地为操作系统和应用程序更新补丁程序,并通过减少不必要的开放服务端口等措施来降低因缓冲区溢出而造成的损失。11.攻击者使用无效 IP地址,利用 TCP连接的三次握手过程,连续发送会话请求,使受害主机处于开放会话的请求之中,直至连接超时,最终因耗尽资源而停止响应。这种攻击被称为_。ASYN Flood
25、ing 攻击 BDNS 欺骗攻击C重放攻击 DTeardrop 攻击(分数:1.00)A. B.C.D.解析:解析 SYN Flooding 攻击的基本思路是:攻击者主机使用无效的 IP地址,利用 TCP连接的 3次握手过程,使得受害主机处于开放会话的请求之中,直到连接超时,在此期间,受害主机将会连续接收这种会话请求,最终因资源耗尽而停止响应。DNS常见的安全问题之一是 DNS欺骗,即域名信息欺骗。当一个 DNS服务器掉入陷阱,使用了来自一个恶意 DNS服务器的错误信息,那么该 DNS服务器就被欺骗。DNS 欺骗会使那些易受攻击的 DNS服务器产生许多安全问题,例如将用户引导到含有恶意代码的网
26、站,或者发送一封电子邮件到一个未经授权的邮件服务器等。重放攻击是指攻击者发送一个目的主机已接收过的数据包,来达到欺骗相关应用系统(如身份认证系统)的目的。Teardrop攻击是基于 UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的 IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。12.以下关于系统漏洞扫描技术和工具的描述中,错误的是_。A能否从主机系统内部检测系统配置的缺陷是系统管理员和黑客拥有的漏洞扫描器在技术上的最大区别BISS 的 Internet Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞C漏洞扫描工具的主要性
27、能指标包括速度、漏洞数量的更新周期,以及是否支持定制攻击等DX-Scanner 采用多线程方式对指定 IP地址段进行安全漏洞扫描(分数:1.00)A.B. C.D.解析:解析 常用的漏洞扫描工具有 ISS、MBSA、X-Scanner 等。ISS 的系统扫描器(System Scanner)是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞;而其 Internet扫描器(Internet Scanner)对网络设备进行自动的安全漏洞检测和分析,并给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。据此,选项 B的说法有误。X-Scanner运行在 Windows平台下,采用多线程
28、方式对指定 IP地址或网段进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。13.以下方式中,利用主机应用系统漏洞进行攻击的是_。ASQL 注入攻击 B暴力攻击C源路由欺骗攻击 DLand 攻击(分数:1.00)A. B.C.D.解析:解析 程序员在编写基于 B/S架构的网络应用服务程序时,由于编程水平及经验的限制,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户只要提交一段数据库查询代码,就能根据程序返回的结果获得某些数据,这就是所谓的 SOL注入攻击。Land攻击是向某个设备发送数据包,并将数据包的源 IP地址和目的 IP地址都设置成攻击目标的地址。通常,暴力攻击是指使用特定的程序(或软件)强行自动猜测相应文件(或网站等)的相关口令的行为。源路由欺骗攻击是指通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作。
