《网络攻击与协议分析》课后习题答案.docx
《《网络攻击与协议分析》课后习题答案.docx》由会员分享,可在线阅读,更多相关《《网络攻击与协议分析》课后习题答案.docx(21页珍藏版)》请在冰豆网上搜索。
《网络攻击与协议分析》课后习题答案
2020年秋冬网课《网络攻防与协议分析》课后章节测试答案
第一章测试
1 【单选题】(2分)
wireshark进行数据分析时,如果想要只选取UDP数据进行捕获,应该()
A. 在应用显示过滤器当中选择tcp
B. 在捕获过滤器当中选择tcp
C. 在应用显示过滤器当中选择udp
D. 在捕获过滤器当中选择udp
2【多选题】(2分)
DDOS攻击的数据包典型特点是()
A. 数据量特别大
B. 某种类型的数据特别多
C. 大量的数据访问相同的端口
D. 大量的数据访问不同的端口
3 【判断题】(2分)
IP地址被称为网络之门,是外接和系统通信的端口
A. 对
B.错
4 【判断题】(2分)
TCP协议的中文全称是传输控制协议
A. 错
B. 对
5 【判断题】(2分)
UDP协议的中文全称是用户数据报协议
A. 错
B. 对
6 【单选题】(2分)
ping使用的ICMP协议当中的()类型
A. 目标不可达
B. 回显请求
C. 包太大
D. 路由器请求
7【多选题】(2分)
可以通过哪些方式查询系统的开放端口
A. IPSEC
B. netstat
C. 系统自带的防火墙
D. cport工具
8 【判断题】(2分)
arp协议可以实现IP到MAC的解析
A. 错
B. 对
第二章测试
1 【单选题】(2分)
根据计算机病毒的寄生位置,我们可以把病毒分为
A. 单机型、网络型
B. 文件型、引导型
C. 破坏型、玩笑性
D. 蠕虫、木马
2 【单选题】(2分)
如果有一个病毒命名为trojan.huigezi.z,则这种病毒属于
A. 下载者
B. 蠕虫
C. 木马
D. 宏病毒
3 【判断题】(2分)
worm主要是指通过网络/网络漏洞传播的病毒
A. 对
B. 错
4 【判断题】(2分)
与传统病毒相比,网络病毒具有传播速度更快、危害范围更大的特点
A. 错
B. 对
5 【判断题】(2分)
为了每一次都能自动运行,病毒会在系统当中添加启动项
A. 错
B. 对
6 【单选题】(2分)
哈希值比对属于恶意代码分析的静态分析技术还是动态分析技术
A. 静态分析技术
B. 动态分析技术
7 【多选题】(2分)
病毒的常见启动方式有()
A. 启动文件夹
B. 服务启动
C. 替换系统文件
D. 注册表启动
8 【多选题】(2分)
利用U盘进行病毒传播的主要技术有
A. 文件夹伪装
B. 替换系统功能程序
C. 发送邮件
D. autorun自动播放
第三章测试
1 【单选题】(2分)
如何防御钓鱼网站的密码窃取
A. 通过搜索得到网址登录
B. 收藏常见的网址,直接访问
C. 使用IP访问网址
D. 点击陌生链接登录账户
2 【单选题】(2分)
以下哪个密码的强壮程度最高
A. 和用户名相同
B. 8位无规律数字、字母、特殊符号
C. 6位纯数字
D. 用户生日
3 【判断题】(2分)
验证码机制可以有效的防御暴力破解
A. 对
B. 错
4 【判断题】(2分)
密码撞库攻击成功的原因是同一个密码只在一个系统使用
A. 对
B. 错
5 【判断题】(2分)
在局域网假设虚假的无线路由器伪装成热点窃取秘密,属于密码窃取手段当中的传输破解
A. 对
B. 错
6 【判断题】(2分)
现在手机常用的指纹识别属于认证手段当中的基于生理认证
A. 对
B. 错
7 【多选题】(2分)
以下哪些手段经常用于身份验证
A. 基于持有
B. 基于协议
C. 基于秘密
D.基于生理
8【多选题】(2分)
以下哪些工具常用于在线密码破解
A. burpsuit
B. johntheripper
C. hydra
D. hashcat
第四章测试
1 【单选题】(2分)
ip2location查询得到的信息是
A. MAC地址到IP地址的解析信息
B. IP地址到MAC地址的解析信息
C. 主机IP地址到物理地址的解析信息
D. 主机物理地址到IP地址解析信息
2 【单选题】(2分)
防御方进行信息收集以下,以下哪一类属于IT资产信息
A. 漏洞信息
B. 病毒信息
C. 企业数据采集信息
D.域名信息
3 【判断题】(2分)
攻击方进行信息收集的目的是为了了解自身信息系统的安全风险从而做出针对性预防
A. 错
B. 对
4 【判断题】(2分)
shodan工具可以发现发布在线的物联网设备,所以如果不是特别必要,不建议把内部设备发布到互联网
A. 错
B. 对
5 【判断题】(2分)
nmap默认情况下会扫描1000个端口
A. 错
B. 对
6 【判断题】(2分)
nmap攻击进行TCP全连接扫描时,使用的命令参数是:
nmap(-sT)192.168.146.89
A. 错
B. 对
7【多选题】(2分)
以下哪些是圣诞树扫描的特征
A. 属于UDP扫描
B. 属于TCP扫描
C. 没有利用三次握手功能
D. 可以看到FIN/URG/PSH标志位
8 【多选题】(2分)
使用netsraft网站进行网站信息报告查询,可以得到什么信息
A. 服务器IP地址分布
B. 域名下的所有主机
C. 网站历史更新信息
D. 网站注册信息
第五章测试
1 【单选题】(2分)
TCP半连接扫描发生时给对方发送是数据标志位是()
A. NULL
B. FIN
C. ACK
2 【单选题】(2分)
进行账户完全克隆时,克隆的是()信息
A. V值
B. F值和V值
C. SAM值
3 【判断题】(2分)
XX对他人网站进行渗透有法律风险
A. 对
B. 错
4 【判断题】(2分)
kalilinux可以使用apt-get工具进行软件的升级、安装
A. 错
B. 对
5 【判断题】(2分)
过多的披露信息资产信息,比如管理员信息、服务器版本信息等,可能引发针对人的攻击,这种攻击我们称之为社会工程学攻击
A. 对
B. 错
6 【判断题】(2分)
为了重置msf当前设置,可以使用命令unset
A. 错
B. 对
7 【多选题】(2分)
以下哪些工具可以用于漏洞扫描()
A. openvas
B. nmap
C. nessus
D. portscan
8 【多选题】(2分)
windows系统的本地侦查内容包括()
A. 网络连接信息
B. 共享文件信息
C. 账户信息
D. ip环境信息
第六章测试
1 【单选题】(2分)
以下哪个不是虚假DHCP服务器产生的后果()
A. 服务器资源耗尽
B. 客户端访问虚假的网址导致数据丢失
C. 客户端无法上网
D. 客户端无法获得正确的地址
2 【单选题】(2分)
STP(生成树协议)容易收到()攻击
A. 假冒交换机
B. 假冒客户端
C. 假冒服务器
D. 假冒根桥
3 【判断题】(2分)
DHCPsnooping只能解决虚假DHCP服务器,不能解决DHCP性能耗竭攻击
A. 对
B. 错
4 【判断题】(2分)
交换机受到mac地址泛洪攻击时,将因为无法按照MAC列表转发数据而只能把数据发往所有的接口
A. 对
B. 错
5 【判断题】(2分)
当大量的广播数据充斥网络无法处理,并占用大量的网络带宽,导致正常业务不能运行甚至彻底瘫痪,这次情况我们称之为(广播风暴)
A. 错
B. 对
6 【判断题】(2分)
为了指定arpspoof的数据接口,应该使用arp(-i)eth0
A. 错
B. 对
7 【多选题】(2分)
EFS加密安全机制的特点是()
A. 基于证书的认证机制,授权方便
B. 基于用户名认证,相同的用户名才可以打开
C. 透明加密,使用方便
D. 使用RSA公钥密码机制,安全性高
8 【多选题】(2分)
局域网发生数据嗅探的技术原因有()
A. 使用交换机作为交换核心
B. 发生ARP欺骗
C. 发生DNS欺骗
D. 使用集线器作为交换核心
第七章测试
1 【单选题】(2分)
DVWA是一个()
A. 攻击平台
B. 恶意软件
C. 充满漏洞的网站
D. 攻击工具
2 【单选题】(2分)
系统账号密码被成功暴力破解的关键因素不包含()
A. 被攻击系统没有使用类似验证码的安全访问策略
B. 攻击者所用的密码字典当中含有正确的密码
C. 被攻击系统没有设置密码锁定策略
D. 使用了burpsuit进行数据包截获
3 【判断题】(2分)
burpsuit需要在浏览器当中设置代理才可以截获数据
A. 对
B. 错
4 【判断题】(2分)
SQL注入攻击发生的原因在于未过滤或未有效用户的输入
A. 错
B. 对
5 【判断题】(2分)
XSS攻击的中文全称是跨站脚本攻击
A. 对
B. 错
6 【判断题】(2分)
SQL的中文全称是结构化查询语言
A. 错
B. 对
7 【多选题】(2分)
SQL注入攻击的危害有()
A. 篡改系统数据
B. 更改数据库权限
C. 窃取数据
D. 破坏服务器功能
8 【多选题】(2分)
文件上传漏洞的原因有()
A. 服务端过滤不严格被绕过
B. 本地文件上传限制被绕过
C. 服务器配置不当
D. 存在文件解析漏洞
第一章
1.讨论TCP/IP成功地得到推广和应用的原因
TCP/IP是最早出现的互联网协议,它的成功得益于顺应了社会的需求;DARPA采用开放策略推广TCP/IP,鼓励厂商、大学开发TCP/IP产品;TCP/IP与流行的UNIX系统结合是其成功的主要源泉;相对ISO的OSI模型,TCP/IP更加精简实用;TCP/IP技术来自于实践,并在实践中不断改进。
2.讨论网络协议分层的优缺点
优点:
简化问题,分而治之,有利于升级更新;
缺点:
各层之间相互独立,都要对数据进行分别处理;每层处理完毕都要加一个头结构,增加了通信数据量。
3.列出TCP/IP参考模型中各层间的接口数据单元(IDU)
应用层/传输层:
应用层报文;
传输层/IP层:
TCP报文段或UDP分组;
IP层/网络接口层:
IP数据报;
网络接口层/底层物理网络:
帧。
4.TCP/IP在哪个协议层次上将不同的网络进行互联?
IP层。
5.了解一些进行协议分析的辅助工具
可在互联网上搜索获取适用于不同操作系统工具,比如SnifferPro、Wireshark以及tcpdump等。
利用这些工具,可以截获网络中的各种协议报文,并进一步分析协议的流程、报文格式等。
6.麻省理工学院的DavidClark是众多RFC的设计者,在论及TCP/IP标准的形成及效果时,曾经讲过这样一段话:
”Werejectkings,presidentsandvoting.Webelieveinroughconsensusandrunningcode.”你对他的观点有什么评价。
智者见智,我认为这就是“实践是检验真理的唯一标准”。
7.你认为一个路由器最基本的功能应该包含哪些?
对于网桥、网关、路由器等设备的分界已经逐渐模糊。
现代路由器通常具有不同类型的接口模块并具有模块可扩展性,由此可以连接不同的物理网络;路由表的维护、更新以及IP数据报的选路转发等,都是路由器的基本功能。
此外,路由器厂商应为使用者提供管理功能。
第二章
1.尝试用Modem拨入某个ISP,并根据你的操作分析PPP的流程
实验题,若有接入ISP的环境,可直接测试;否则,可参考习题4一起测试。
2.分析PAP和CHAP的优缺点
PAP简单,但安全性差;CHAP相对安全,但开销较大,且需要通信双方首先共享密钥。
3.了解L2F和L2TP的思想及应用
这两个协议把PPP的两个端点延伸到互联网的任何角落,相当于在TCP/IP的应用层扩展了PPP的范围。
其思想是发送方把PPP帧封装到L2F或L2TP报文中,接收方则对其解封以还原PPP帧,这样对于通信的两端来说看到的是PPP帧,相当于在互联网上架设了一条虚拟的PPP链路。
它们主要用于构建VPN(虚拟专用网)。
4.尝试Windows操作系统的“超级终端”功能
Windows超级终端功能在附件/通信功能下。
可以用两台有Modem的计算机,各自连接电话线,并尝试用该功能实现即时通信和文件传输的功能。
第三章
1.理想情况下,可以有多少个A类网,每个A类网中包含多少个可以配置给主机的IP地址?
可以有多少个B类网,每个B类网中包含多少个可以配置给主机的IP地址?
计算时去除广播地址、网络地址。
2.在图3-7的例子中,假设初始时主机A、B和路由器R的ARP缓存均为空,在B成功收到A的报文后,A、B、R的缓存中各包含了哪些条目?
A:
IP1/MAC1
B:
IP2/MAC2
R:
IPA/MACA,IPB/MACB
3.在Internet上下载Sniffer,截取ARP报文,分析其报文格式。
实验题,目的有二:
一是分析ARP的流程、报文格式以及相应的帧格式,二是尝试Sniffer(协议分析工具)的不同功能。
可利用Sniffer截获广播帧,以便获取ARP报文。
也可以利用Sniffer监听网络中所有报文的功能以分析其中的ARP报文。
4.假设主机A(IPA/MACA)请求主机B(IPB/MACB)的物理地址,广播地址用MACbroadcast表示。
填充下图中带‘?
’的字段。
假设无盘站A(IPA/MACA)请求自己的IP地址,RARP服务器的IP和MAC地址映射关系为IPS/MACS,广播地址用MACbroadcast表示。
填充下图中带‘?
’的字段。
5.在APNIC的主页上查询你自己的IP地址,得到的结果是什么?
利用DoS命令获取IP地址,并去查询。
6.从地址长度的角度看,IPv6不再需要ARP,为什么?
IPv6地址长度为16字节,以太网MAC地址长度为6字节,可以利用直接映射的方法实现地址解析。
7.Windows操作系统对DOS命令“ping主机自身的IP地址”和“ping127.0.0.1”的后台处理方式有差别吗?
设法用实验证实你的答案。
有。
拔掉网线,ping主机自身的IP地址,结果是“Destinationhostunreachable”,但ping127.0.0.1,显示的是主机活动有应答。
但是用Sniffer截获数据,这两种ping报文都不出现在网络中。
8.分析跨越2个或3个路由器转发IP数据报时ARP的使用步骤,以及经过每个步骤后通信双方及中间路由器ARP缓存的变化情况。
要点:
ARP请求和应答不能跨路由器投递。
细节与跨一个路由器时类似。
9.DOS下的arp命令仅能查看本地ARP缓存。
如果本地缓存中没有存储某个IP对应的MAC,请结合其它DOS命令设计一个方法,在该方法使用后能够利用ARP命令看到该MAC。
首先使用“ping”命令,目标地址设置为目标IP,此时操作系统会在后台完成ARP的流程以获取目标MAC,并记入本地缓存。
之后再利用ARP命令,就可以看到这个MAC了。
10.编写一个ARP欺骗程序,使得运行该程序的主机能够嗅探本网段内所有发往默认网关的数据。
要点1:
该程序应能够获取网关的IP和MAC以及宿主机的IP和MAC;(为实施欺骗作准备)
要点2:
该程序应能够发送ARP应答报文,并把其中的发送方物理地址/发送方IP地址的映射关系设置为宿主机的MAC/网关的MAC;(该步骤是实施欺骗)
要点3:
该程序能够保存嗅探到的数据,并记录相应帧首部的源MAC和IP数据报中包含的源IP;(保存嗅探到的数据,并为转发该数据做准备,以便被嗅探的双方无法察觉)
要点4:
该程序应能够转发所有发送给网关的数据(ARP请求除外)以及从网关发出的数据。
对于发送给网关的数据,帧首部的源和目标物理地址分别设置为被嗅探主机和网关的物理地址;对于从网关发出的数据,这两个地址分别设置为网关和被嗅探主机的IP地址。
11.从传播的范围、实现的方式、需要的底层硬件支持等角度比较硬件广播、物理广播和IP广播的差异及联系。
硬件广播是指网络投递方式,是由硬件技术本身的属性决定的。
比如以太网,它使用载波监听多路访问及冲突检测技术,这种技术本身具备广播的特性,即发送一个物理帧,无论其目标物理地址设置为什么,都必须以广播的方式进行投递,而线路上的所有主机都具备收到这个帧的可能性,为了区分目标和源,必须具备不冲突的地址。
而所有收到数据的主机都必须依靠这个地址进行过滤,忽略不属于自己的数据,并把自己可接收的数据作进一步处理。
对于拨号链路而言,其投递的方式是点到点的,线路的另一端就是目标,因此可以不必设置目标地址。
物理广播是指把帧的目标物理地址设置为硬件广播地址,这样网络中的所有主机都能收到这个数据并进行进一步的处理。
物理广播的范围是确定的,它不能跨越物理网络实现。
IP广播是指把目标IP地址设置为IP广播地址,这样,某个IP网段内的所有主机都可以收到这个数据并进行处理。
IP广播范围不限,可以跨越物理网络实现。
如果硬件为广播方式,则IP广播可以依托该技术实现,不必向每个主机复制数据;否则必须给目标网段中的每个IP复制一份数据,以实现广播的目的。
第四章
1.阅读RFC2474,了解区分服务的目的。
此题有误,应该是“了解其中提及的区分服务的用途”。
即“使用相同的码点合并数据流,或者使用相同的端点地址、不同的码点区分数据流。
”
2.只对数据报首部而不对数据计算检验和,有什么优缺点?
优点:
简化IP软件的计算量,提高处理速度。
对于路由器等转发设备,这点对于提高其性能很重要。
此外,某些高层(或需要由IP封装)的协议已经有计算校验和的功能,即IP数据报的数据区已经被计算校验和,IP仅针对首部计算校验和可以避免重复劳动。
缺点:
高层(或需要由IP封装)协议若需要保证可靠性,必须实现校验功能。
3.在以太网上发送IP数据报时,是否总有必要使用校验和机制?
请解释原因。
以太网帧本身包含帧校验和字段,校验区域包含了数据报,理论上IP不必使用校验和。
但实际中,IP使用校验和机制是默认的。
4.IP规定数据报的重组地点是目的主机,有什么优缺点?
优点:
简化中间路由器的操作,提高效率;避免重复分片;每个分片独立选路,增加了灵活性。
缺点:
中间经过MTU较大的网络时,可能会浪费带宽。
5.用C语言写出FreeBSD分片重组算法。
实验题,思想和要点已在教材中给出。
6.写出基于洞的分片重组算法的步骤。
实验题,思想和要点已在教材中给出。
7.设计程序,实现校验和算法。
实验题,思想和要点已在教材中给出。
8.对拥有记录路由选项的数据报进行分片时,是否应将该选项复制到各分片中?
为什么?
对于拥有时戳选项的数据报呢?
不必。
每个分片独自选路,即便记录,每个分片记录的信息也不一致。
9.严格源路由选项的代码字段值为137,是如何得出的?
“复制”位为‘1’,表示选项应复制到所有分片;“选项类”为‘0’,选项号为‘9’,即“01001”,则整个代码字段二进制为“10001001”,十进制为137。
10.使用环回地址可方便网络软件的开发。
正常情况下,主机发送到127.0.0.1的数据报,会不会出现在本地网络?
(为了证实你的答案,可将网线拔掉,ping127.0.0.1,看是否有回送消息)
不会,有回送消息。
11.对于如图4-15所示的互联网,请给出路由器S的路由表。
目的网络
下一跳
40.0.0.0
直接投递
30.0.0.0
直接投递
20.0.0.0
30.0.0.2
10.0.0.0
30.0.0.2
12.使用route程序,查看你的主机中的路由表,并尝试对各表项进行解释。
使用routePRINT即可查看本机路由表,其中通常包含到默认网关的路由、环回地址的路由、直连网段的路由、发往本主机的路由、本地广播路由、组播路由、全网路由(针对有限广播地址)。
,此页面给出了一个实例及每条路由的解释。
13.了解ISP(Internet服务提供商)是如何进行流量计费和流量控制的。
参考资料:
/2009-2/617560.html,
,
,
。
14.为什么中间路由器转发数据报之前要重新计算校验和?
因为路由器对数据报进行了处理,部分字段值发生了变化:
TTL值减‘1’,包含选项时选项的内容也要发生更改。
因此,必须针对变化后的内容重新计算校验和。
15.为什么一个IP数据报在传输过程中可能会被多次分片?
举例说明。
在IP数据报的投递过程中可能会经过多个物理网络,每个网路的MTU不尽相同。
只要转发过程中后一个网络的MTU小于之前网络的MTU,数据报就会被分片。
16.MF位是片未完位,那么假设收到一个包含MF=0的分片,能否说明已经收到了所有的分片?
如果答案是肯定的,请说明理由;如果是否定的,那么要这个位有什么用途呢?
不能。
因为各个分片的投递是独立的,很可能最后一个分片(MF=0)的分片先于其它分片到达目的地。
这个位标识最后一个分片,结合这个分片里的片偏移量和长度等信息,可以计算原始数据报的长度,为分配缓冲区等提供便利。
17.为何使用源路由选项时,中间路由器要用自己的出口IP地址取代入口IP地址写入选项的地址表中?
为目的端发回响应提供便利。
若响应仍走这条路由,则路由器出口的IP地址成为响应报文的入口IP。
18.分析在编写本文讨论的两个分片重组算法程序时,为应对teardrop和PingofDeath攻击,在哪些地方必须特别注意?
要点:
特别注意分片合法性的验证。
第五章
1.路由器是否应该优先处理ICMP报文?
不。
ICMP报文封装在IP报文中,和其它IP报文一样在路由器的队列中进行排队,路由器则按照先入先出的规则处理报文。
对路由器而言,与优先权有关的不是IP数据报中封装的报文类型,而是IP首部中的QoS字段。
2.如果携带ICMP报文的IP数据报出现差错,则不应产生新的ICMP报文。
试解释其原因。
如果这个数据报再出现差错呢?
这样规定是防止无休止地循环发送差错报告报文。
3.如图5-16所示,数据从S发送到D,但是经过的路由器为:
R1、R2、R3和R5。
这是一条效率不高的路径。
但R5不能发送ICMP重定向报文,将路由改为R1、R4和R5。
为什么?
图5-16ICMP不能重定向的例子
重定向报文仅能用于属于同一网络的主机和路由器之间。
对于图中的例子,R5仅可能向D发送重定向报文,仅R1能向S发送重定向报文。
4.假设以太网上有1个主机H与5个路由器相连。
设计1个携带IP数据报的物理帧(稍微有点不合法),使得主机H发送它时,引起主机H接收10个数据报。
利用ICMP重定向报文和回送请求报文。
H发送一个ICMP回送请求报文,其目的IP地址设计为自身,但是目的物理地址设置为硬件广播地址。
这样,所有路由器都会收到这个报文并转发(5个),而这些路由器发现主机使用了非优化路由,则向该主机发送重定向报文(5个)。
5.设计一个使用ICMP时戳请求和应答报文进行时钟同步的算法。
假设初始时戳为Ti,接收时戳为Tr,传送时戳是Tt,发送方收到回应的时间是Th,则传输时延Dt的估算方法如下:
Dt=(Th-Ti)–(Tt-Tr)。
其中(Th-
升级会员 