安全管理员经典试题Word下载.docx
《安全管理员经典试题Word下载.docx》由会员分享,可在线阅读,更多相关《安全管理员经典试题Word下载.docx(16页珍藏版)》请在冰豆网上搜索。
各计算机网络使用机构,企业和单位成建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统.加强用户管理和授权管理,建立安全审计和願跟踪体系,提高整体网络安全意识制定严格的法律、法規。
计算机网络是一种新生事物,它的根多行为无法可依、无章可循,导致网络上计算机犯罪处于无序状态。
面对日趋严重的网络犯罪,必须建立与网络安全相美的法律、法规,使非法分子不敢轻举妄动.
第二章计算机网络基础
1。
下面不是局境网拓拓扑结构的是(全互联形)。
双绞线在制作时可分为直连线和交叉线两种,以下哪种连接适用于直连线(交换机与计算机)。
3.在信息模块的制作过程中,应用剥线工具在离双绞线一端(25)mm左右把双绞线的外皮剥去。
4。
集线器虽然属于基础网络设备产品,基本上不需要另外的软件来文持,但选择集线器也需要考虑实际网路需求的方方面面,其主要从(带宽)、端口、网管功能。
如果两个网络之间的距高大(100)m,使用双绞线不能实现两个网络之间的连接.
6。
“对等网”也称“工作组网”,因为它不像企业网络中专用网络那样是通过域来控制的,在对等网中没有(域)只有“工作组”。
7.系统本身用于管理的共事文件夹在windows、NT/2000/2003系统中不能在客户机中看到的,但这类共享文件夹的共享名后面都带有一个($),只需要DoS提示符下直接輸人其相应共享文件夹名即可进入相应文件央。
8.在集线器的分类中,按照其管理方式可分为(切换式集线器、共享式集线器、可堆叠共享式集线器)。
9。
TCP、UDP处于TCP/IP协议分层结构的(传输层)层.
10。
TCP/TP是一组分层的通信协议。
构成TCP/TP模型的四个层次是(网络接口层、网际层、传输层、应用层)。
11.在物理层实现连接功能可采用(中继器)。
12.可采用光缆连接的网络拓扑不包括(总线型)。
13.以太网帧的大小是(64—1518宇节)。
14.MAC地址表示方法正确的是(00-60-08-07—C8—9A)。
15。
202.201.32。
250是一个(C类IP地址)。
16.下列对以太网的叙述不正确的是(基于以太传输介质的网络)。
17。
关于DNS协议的叙述,下列说法正确的是(DNS协议既可以由UDP协议承载也可以由TCP协议承载)。
18。
IP数据报不可靠的关键原因是(IP数据报无确认机制).
19。
一台PC机通过租用线路与ISP相连,若采用的是SLIP协议,以下说法正确的是(这台PC必须有一个IP地址)。
20。
10Base—2的网络中,最多的中继器的数量是(4个)。
21。
一个24增口的集线器的冲突域和广播域个数分别是(1:
1)。
22.一个48期口的交换机的冲突域和广播域个数分别是(48:
1).
23.如果用户应用程序使用UDP协议进行数据传输,那么(应用层)协议必须承組可靠性方面的全部工作。
24.下面关于以太网交換机部署方式的描述,正确的是(多个交换机矩阵堆叠后可以当成一个交换机使用和管理).
25。
在TCP/IP网络中,为各种公共服务器保留的端口号是(1—1023)。
26.使用(tracert210。
102.58。
74)来判断故障发生在企业网内部还是外部.
27。
如果希望别的计算机不能通过ping命令测试服务器的联通情况,可以(关闭服务器中ICMP端口).
1.传输控制协议TCP属于传输层协议,用户数据报协议UDP属于应用层协议。
资源子网由主计算机系统、终端、终端控制器、联网外设、各种软件资源及数据资源组成。
Y
3.星型拓扑结构的缺点是网络的可靠性差/中心节点的负担过重/所需通信线路较长且安装时的工作量较大。
4.尽管IP协议是一种“尽力而为”的无连接的网络层协议,但是由于它增加了ICMP协议,因此IP协议已经能够提供一种可靠的数据报传送服务。
5.如果网络环境中的两台主机要实现进程通信,则他们首先要约定好传输层协议类型.例如:
两台主机中一台主机的传输层使用TCP协议,而另一台主机的传输层可以使用UDP协议。
6.以集线器为中心的星型拓扑结构是局域网的主要拓扑结构之一。
说明网桥、第三层交换机、路由器的工作原理和特点,各用在什么场合?
答:
网桥是工作在数据链路层的网络互联设备,通过转发数据帧来工作;
三层交换机是将第二层交换机和第三层路由器的优势结合为一个有机的整体、利用第三层协议中的信息来加强第二层交换功能的网络互联设备,通过转发数据包来工作;
路由器则是严格意义上的采用第三层协议进行网络互连的设备,通过转发数据包来工作.网桥目前使用不多,三层交换机」主要作为大中型网络的核心交换设备,可以通过划分VLAN来隔离冲突和广播,提高网络系统的数据交换效率;
路由器主要用于大型骨干网络的结点或LAN接入广域网的互联设备。
网桥与第三层交换机的区别在于工作层次,网桥工作在二层,三层交换机工作在三层,网桥可以支持多协议异种网的互联,三层交换机只能支持同种协议网络的互联。
三层交换机与路由器的区别在于三层交换机只是具备了路由器的部分功能,而不支持多协议。
为什么要划分子网,子网掩码的作用是什么?
由于lnternet的每台主机都需要分配一个唯一的IP地址,因此分配的IP地址很多,这将使路由器的路由表变得很大,进而影响了路由器在进行路由选择时的工作效率.解决这个问题的方法就是将一个大的网络划分为几个较小的网络,每个小的网络称为一个子网。
当一个分组到达一个路由器时,路由器成该能够判断出IP地址的网络地址。
子网掩码用来判IP地址的哪一部分是网络号与子网号,,哪一部分是主机号。
为了完成这种编号分离,路由器将对IP地址和子网掩码进行“与”运算。
3.那些地址是私有地址,它们的作用是什么?
私有地址的范围是:
10.0.0。
0-10。
255。
255,172。
16.0。
0—172.31.255.255,192.168.0。
0-192.168。
255,这是由于IPv4的地址空间是有限的。
不可能给所有的主机分配一个全球唯一的lP地址,因此许多网络给那些不需要出现在lntemet上的主机分配内部IP地上上(即私有IP地址),这些主机可以使用同一个外部IP地址共享Internet连接。
并且采用地址转换技术NAT将内部网和internet网隔离开,NAT把内部私有的IP地址转换为Internet上的合法IP地址,访问internet.因为内部私有IP地址永远不可能出现在Internet上,从而保证了Internet的正常运行.
使用AAA系统对管理员身份进行验证,AAA是指什么?
(l)Authentication(身份验证)。
对用户进行确定和身份验证的过程.可以使用多种方法验证用户,最常用的是用户名和密码的组合.
(2)Authorization(授权).确定经过验证后的用户可以访问的内容和执行的操作过程。
(3)Accounting(记录)。
记录用户在某设备上正在执行的操作和已经执行的操作。
5.VLAN划分方式有哪几种,各有什么特点?
VLAN划分方式有:
基于交换机端口的VlAN;
基于节点MAC地址的VLAN;
基于应用协议的VLAN。
特点:
基于交换机端口的VLAN稍欠灵活,但比较成熟,应用较广:
基于节点MAC地址的VIAN为移动计算提供了方便性,但易受MAC地址欺诈攻击;
基于应用协议的VLAN理论上非常理想,但实际应用尚不成熟。
四、综合题
现有一个公司需要创建内部网络,该公司包括工程技术部、市场部、财务部和办公室4个部门,每个部门约20—30台计算机。
试问:
(1)若要将几个部门从网络上分开,如何分配该公司使用的地址为一个C类的地址192.168.161。
0。
可以采用划分子网的方法对该公司的网络进行划分.由于该公司包括4个部门,共需要划分4个子网。
确定各部门的网络地址和子网掩码,并写出分配给每个部门网络中的主机IP地址范围。
已知网络地址192.168.161。
0是一个C类地址,所需子网数为4个,每个子网的主机数为20-30.由于子网号和主机号不允许全为0或全为1,因此,子网号的比特数为3时,最多有2的立方—2=6个可分配的子网,主机号的比特位数为5,期每个子网中最多有2的5次方—2=30个可分配的lP地址。
4个子网的网络地址分别为:
192。
168.161。
32,192。
168。
161。
64,192.168,161。
96,192.168。
128。
子网掩码为:
255.255。
224
子网1:
192.168.161。
32主机IP地址范围:
192。
33-62;
64主机IP地址范围:
192.168。
161.65-94;
192.168.161.96主机IP地址范围:
168.161.97-126;
子网1:
128主机IP地址范围:
192.168.161.129—158;
第三章网络安全基础
1.WindowsNT/XP的安全性达到了橘皮书(C2)等级。
下面(/var/log/lastlog文件的作用)不属于Windows系统的安全机制。
3.下面(磁盘上的文件不可加密)不属于Windows系统安全所面临的主要威胁。
4.WindowsServer2000系统在安全方面仍在改进,下面(开启不必要的服务)不能起到增强系统安全的作用。
5.对于Windows系统网络安全管理方面,下面(共享权限的修改)不属于对此方面的安全管理措施.
6.为了禁止空连接,应该修改注册表中的(LOCAL_Machine\System\CurrentControlSet\Control\LSA—RestrictAnonymous)键值.
在WindowsServer2003系统中,下面(关闭没有必要端口策略)设置没有启用安全策略.
下面(Explorer。
exe)起到了资源管理器的作用。
在选择虚拟机的联网方式时,为了实现在网络关系上与物理机的平等,选择(Bridge)方式。
10.下面(C语言—面向对象的C++语言—SDK编程—MFC编程)正确的描述了基于C语言的编程体系经历的四个阶段.
winsock编程中,动态链接库ws2_32dll是用来编译基于winsock程序的。
3.在Linus系统中,现有大部分Linus抓包工具都是基于winpcap函数库或者是在它的基础上做一些针对性的改进。
4.在网卡的复杂模式下,网卡能接受通过网络设备上的所有数据帧。
当关闭系统进程Explorer.exe后,桌面上的图标都会消失。
1.针对WindowsServer2003系统存在的安全隐患,我们应该采取那些防范措施?
针对Windows2003系统存在的威胁,我们应采取以下防范措施:
(1)关闭系统默认共享。
关闭系统默认共享的方法有两种:
①采用批处理文件在系统启动时自动删除共享,②修改注册表,禁止默认的共享功能;
(2)关闭不必要的服务。
(3)启用安全策略。
包括账号锁定策略、密码策略、审核策略、用户权限分配、安全选项。
(4)加强对Administrator账号和Guest账号的管理控制。
(5)清除页面文件。
打开注册表,修改下面所示键的値。
HKEY_LDCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement中的ClearPageFileAtShutdown的值改为1,可以防止系统产生页面文件。
(6)清除Dump文件。
打开—“控制面組”→双击“系统'
’→打开系统属性’→点击'
'
高级’'
→“点击启动和故障恢复”选项区域中的“设置”→将“写入调试信息改成“无”.
(7)防范NetBIOS漏洞攻击.关闭139服务端口。
(8)加强IIS服务器的安全。
请简述伪装成iexplore.exe进程的病毒的相关知识以及如何发现主机是否中毒。
对于iexplore。
exe常被病毒冒充的进程名有:
IExp1orer.exe、iexploer。
exe、iexplore.exe进程和上文中的explorer。
exe进程名很相像.因此比较容易搞混,其实iexplore.exe是MicrosoftInternetExplorer所产生的进程,也就是我们平时使用的lE浏览器。
知道作用后辦认起来应该就比较容易了,iexplore.exe进程名的开头为“ie”.就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:
ProgramFilesInternetExplorer目录中,存在于其他目最则为病毒。
除非你将该文件夹进行了转移。
此外.有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore。
exe进程.这要分两种情况:
①病毒假冒iexplore.exe进程名;
②病毒通过iexplore。
exe在后合运行。
第四章网络扫描与网络监听
一般来说,漏洞威胁的类型基本上决定了它的严重性,根据漏洞所造成的影响和危害程度可把严重性分成高、中、低三个级别。
下列漏洞中属于低级漏洞的是(服务器信息泄漏).
2.下列选项中哪个不是常见的安全扫描检测技术(基于端口的检测技术)。
下列口令维护措施中,不合理的是(怕把口令忘记,将其记录在本子上)。
下列网络安全措施不正确的是〈删除所有的应用程序>
。
Windows主机推荐使用(NTFS)文件格式。
高级漏洞是威胁性最大的漏洞。
允许远程用户XX访问的漏洞是中级漏洞.N
为了防止黑客利用系统漏洞进行攻击,对端口常采用的措施是:
除非某个端口是必须使用的,否则禁止。
简述黑客攻击的五个步骤。
隐藏IP、踩点扫描、获得权限、种植后门、隐藏踪迹.
扫描通常采取哪两种策略?
这两种策略的区别是什么?
扫描通常采用两种策略,一种是被动式策略,就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检査。
另一种是主动式策略,它是基子网络的,通过执行一些脚本文件模拟対系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
被动式扫描不会对系统造成破坏,而主动式扫描对系统进行模拟攻击,可能会对系统造成破坏。
第五章网络攻击及其防范
1.下面(webdav远程溢出攻击)不属于DoS攻击.
2.下面(发送ICMP数据包时声称大小超过了缓冲区的大小,接收端出现内存分配错误)是形成死亡之ping的原因。
下面(伪造电子邮件)属于假消息攻击,
在进行网络攻击时,攻击者最后会清除攻击痕迹,下面(改变系统时间造成日志文件数据紊乱以迷惑系统管理员).
下面(Smurf)DoS工具所依据的攻击原理不同于其他三个。
6.为了缓冲区溢出,在软件开发过程中要采取一定的防范策略,下面(不用对数组边界进行检查,系统自动分配)不属于必要的防范措施.
TCP连接结束时,会向TCP端口发送一个设置了FiN位的连接终止数据报,开放的端口会回应一个设置了RST的连接复位数据报。
Dos攻击可划分哪几种类型?
请分别进行说明。
DoS攻击可以划分为三种类型:
带宽攻击、协议攻击、逻辑攻击。
(1)带宽攻击是最古老、最常见的DoS攻击,在这种攻击中,恶意黑客使用数据流量境填满网络。
网络由于不能处理发送给他的大量流量而导致系统崩溃和响应速度减慢,从而阻止合法用户的访同.攻击者在网络上传输任何流量都要消耗带宽.基本的洪流攻击能够使用UDP或ICMP数据包消耗掉所有可用带宽。
(2)协议攻击是一种需要更多技巧的攻击,它正变得越来趙流行。
这里,恶意黑客以目标系统从来没有想到的方式发送数据流,如攻击者发送大量的SYN数据包.
(3)逻辑攻击。
这种攻击包含了对组网技术的深入理解,因此也是一种最高级的攻击类型。
逻辑攻击的一个典型示例是LAND攻击,这里攻击者发送具有相同源IP地址和目的IP地址的伪数据包。
很多系统不能够处理这种引起混乱的行为,从而导致期系统崩溃.从另外一个角度又可将拒绝服务攻击分为两类:
网络带宽攻击和连通性攻击。
带宽攻击是以极大的通信量冲击网络,使网络瘫痪。
连接攻击是用大量的连接请求冲击网络,达到破坏目的。
2.请比较拒绝服务攻击与其他攻击方法的不同。
拒绝服务攻击与其他的攻击方法相比较,具有以下特点
(1)难确认性:
拒绝服务攻击很难被判断,用户在自己的服务得不到及时响应时,一般不会认为是自已受到攻击,而是认为可能是系统故障造成一时的服务失效;
②隐蔽性,正常请求服务会隐藏掉拒绝服务攻击的过程;
③资源有限性:
由于计算机资源有限,容易实現拒绝服务攻击;
④软件复杂性:
由于软件所固有的复杂性,设计时难以确保软件没有缺陷,因而攻击者有机可乘,可以直接利用软件缺陷进行拒绝服务攻击。
请简述如何防范特洛伊木马的攻击。
防范特洛伊木当攻击的方法:
(1)端口扫描。
端口扫描是检査远程机器有无本马的最好办法,但対于驱动程序/动态链接本马,端口扫描是不起作用的。
査看连接。
端口扫描和査看连接原理基本相同.不过是在本机上通过netstat-a査着所有的TcP/IP连接,査者连接要比端口扫描快,但同样是无法查出驱动程序/动态链接本马,而且仅用在本地使用。
査看注册表.由于木马可以通过注册表启动,那么,我们同样可以通过检査注册表来发现木马在注册表里,留下的痕迹.
査找文件。
査找木马特定的文件也是一个常用的方法.如冰河木马的一个特征文件是keml32.exe,另一个是sysexlpr,exe.只要删除这两个文件,木马就不起作用了。
但也要注意,在对注册表进行修改时.要做好备份.如果不是的话,也好恢复。
其实最简単的査桑木马的方法是安装杀毒软件。
现在很多杀毒软件能删除网络中猖獗的木马。
防范木马,使用防火墙软件和各种反黑软件也是必要措施。
请简述常用的防范Ip欺骗的方法。
要防止源IP地址欺騙行为,可以采取以下措施来尽可能地保护系统免受这类攻击。
(1)抛弃基于地址的信任策略.阻止在各类攻击的一种非常容易的办法就是放弃以地址为基础的验证.不允许r*类远程调用命令的使用;
删除.Rhosts文件;
清空/etc/hosts。
equiv文件.这将迫使所有用户使用其他远程通信手段,如telent、ssh、skey等,
(2)使用加密方法。
在通信时,通信方之间要求加密传输和验证
(3)进行包过滤。
确信只有内部LAN可以使用信任关系,而内网对于外部LAN以外的主机要谨慎处理。
这时可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。
以及不把本网段主机的包发送出去.有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包,但由于路出器是通过分析测试源地址来进行操作,因此,路由器仅能对声称是来自于内部网络的外来包进行过滤,若路由器所连网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗.(4)使用随机的初始序列号。
IP欺骗能够成功的一个重要因素是,序列号不是随机选择的或者随机增加的.如果使用了随机化的序列号,那么每一次访问都会更换新的访问序列号,攻击者就难以伪装自已对日标主机的访问。
第六章恶意代码分析与防范
1.下面是恶意代码生存技术的是(模糊变换技术)。
特洛依木马不被人们认为是计算机蠕虫或病毒的主要原因是(不能自行传播)
计算机病毒所没有的特点是(广泛性)。
文件型病毒感染的主要对象是(。
COM和。
EXE)类文件。
5.出现(鼠标不灵活)的现象时,不应该首先考虑计算机感染病毒。
计算机病毒的最终目标在于(干扰和破坏系统的软硬件资源)。
恶意代码防范方法主要分为两方面:
基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。
2.计算机病毒就是能够通过某种途径潜伏在计算机存储介质或程序里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
3.根据病毒存在的媒体,病毒可以划分为网络病毒、驻留病毒、引导型病毒.
非驻留型病毒在得到机会激活时感染计算机内存。
5.侵入系统是恶意代码实现其恶意目的的充分条件。
恶意代码常见的攻击技术包括:
进程注入技术、三线程技术、端口复用技术.超级管理技术,端口反向连接技术、缓冲区溢出攻击技术。
三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个为主线程,负责远程控制的工作,另外两个辅助线程是监视线程和守护线程,监视线程负责检査恶意代码程序是否被删除或被停止自启动。
蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞降低系统性能、产生安全隐患、反复性和破坏性等特征.
三、简答题
说明恶意代码的作用机制的六个方面,并图示恶意代码攻击模型.
恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为六个部分:
(1)侵入系统。
侵入系统是恶意代码实现其恶意目的的必要条件。
恶意代码入侵的途径很多,如:
从互联网下载的程序本身就可能含有恶意代码;
接收已经感染恶意代码的电子邮件;
从光盘或软盘往系统上安装软件;
黑客或者攻击者故意将恶意代码植入系统等。
(2)维持成提升现有特权。
恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
(3)隐蔽策略。
为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
(4)潜伏.恶意代码侵入系统后,等特一定的条件。
并具有足够的权限时,就发作并进行破坏活动。
(S)破坏。
恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
(6)重复
(1)至(5)对新的目标实施攻击