考試知識點分佈
下面是 GB0-510 考試中的考試知識點分佈。
網路安全系統概述問題1網路安全的研究內容包括(ABCD)
A. 軟體安全
B. 內容安全
C. 網際網路與電信安全
D. 工業網路安全
說明/參考:
問題2安全概念在所屬的各個領域有著不同的含義,那麼網路安全應屬於(B)
A. 經濟安全領域
B. 資訊保安領域
C. 生成安全領域
D. 國家安全領域
問題3資訊保安的目標是實現: (ABCDE)
A. 機密性
B. 完整性
C. 可用性
D. 可控性
E. 可審計性
說明/參考:
問題4ISS(Internet Security Systems)公司提出的PDR安全模型包括哪三個方面?(ACD)
A. 響應
B. 設計
C. 保護
D. 檢測
說明/參考:
問題5資訊保安策略是特定應用環境中,為確保一定級別的安全保護所必須遵守的規則。而安全策略建立模型主要包括(ABC)
A. 先進的技術
B. 相關法律法規
C. 管理審計制度
D. 先例與經驗
說明/參考:
問題6資訊對抗主要的研究方向包括:(ABC)
A. 駭客攻擊防範
B. 入侵檢測
C. 系統安全性分析與評估
D. 資訊隱藏演算法與匿名技術
問題7安全的含義包括(C)
A. Security(安全)
B. Safety(可靠)
C. Security(安全)和safety(可靠)
D. risk(風險)
問題8在企業的內部資訊平臺中,存在的資訊洩露的途徑包括:(ACD)
A. 可移動儲存介質
B. 印表機
C. 內部網路共享
D. 公司對外的FTP伺服器
說明/參考:
TCP/IP協議基礎主要考察OSI 模型、TCP/IP 模型的層次結構、TCP 三次握手、傳輸層協議等。
問題1在TCP連線的三次握手過程中,第一步是由發起端傳送(A)
A. SYN包
B. SCK包
C. UDP包
D. NULL包
說明/參考:
問題2下面哪一個協議工作在TCP/IP協議棧的傳輸層以下?(A)
A. SKIP
B. SSL
C. S-HTTP
D. SSH
說明/參考:
SKIP(simple key exchange internet protocol,因特網簡單金鑰交換協議)
問題3ARP協議報文包括有ARP請求和ARP應答報文(B)
A.錯誤
B.正確
問題4SMTP協議使用的埠號是(B)
A.21
B.25
C.110
D.22
TCP/IP協議安全主要考察IPv4 安全隱患、TCP/IP 協議棧常見安全風險、線路偵聽、MAC 欺騙、IP 欺騙攻擊、Smurf 攻擊、IP 地址掃描攻擊、埠掃描攻擊、TCP 拒絕服務、WEB 攻擊等。
問題1下列攻擊手段中,不屬於單包攻擊的是(AC)
A. UDPflood攻擊
B. WinNuke
C. Land攻擊
D. Smurf攻擊
說明/參考:
A. UDPflood攻擊(攻擊者在短時間內向特定目標傳送大量的UDP報文,佔用目標主機的頻寬,致使目標主機不能處理正常的業務)
B. WinNuke(WinNuke攻擊是針對任何執行Windows的主機的DoS攻擊。透過向目標主機的NetBIOS埠(139)傳送OOB(Out-of-Band)資料包,這些攻擊報文的指標欄位與實際的位置不符,引起一個NetBIOS片斷重疊,致使已經與其它主機建立TCP連線的目標主機在處理這些資料的時候崩潰)
C. Land攻擊(攻擊者向目標主機發送大量源IP地址和目的IP地址都是目標主機自身的TCP SYN報文,使得目標主機的半連線資源耗盡,最終不能正常工作)
D. Smurf攻擊(攻擊者向目標網路傳送ICMP應答請求,該請求包的目的地址設定為目標網路的廣播地址,這樣該網路中的所有主機都會對此ICMP應答請求作出答覆,導致網路阻塞,從而達到令目標網路中主機拒絕服務的攻擊目的)
問題2TCP/IP協議定義了一個對等的開放性網路,針對該網路可能的攻擊和破壞包括(ABCD)
A. 對硬體的破壞
B. 對軟體的破壞
C. 對網路層,應用層協議的破壞
D. 對物理傳輸線路的破壞
問題3防範SYN Flood攻擊的常見手段是連線限制技術和連線代理技術,其中連線代理技術是指對TCP連線速率進行檢測, 透過設定檢查閾值來發現並阻斷攻擊流量,上述說法是(A)
A. 錯誤
B. 正確
說明/參考:對TCP連線速率進行檢測是連線限制技術。
問題4在UDP埠掃描中,對主機埠是否開放的判斷依據是(B)
A. 根據被掃描主機開放埠返回的資訊判斷
B. 根據被掃描主機關閉埠返回的資訊判斷
C. 既不根據A也不根據B
D. 綜合考慮A和B的情況進行判斷
說明/參考:
問題5下述哪些攻擊手段是防火牆無法防禦的?(BD)
A. Smurf
B. 跨站指令碼攻擊
C. 畸形報文攻擊
D. 後門木馬
E. WinNuke攻擊
說明/參考:
問題6下列攻擊中,屬於DoS拒絕服務攻擊的是:(ABCD)
A. SYN Flood
B. ICMP Floed
C. WinNuke攻擊
D. UDP Flood
說明/參考:
問題7以下關於DoS攻擊的描述,正確的是?(C)
A. 攻擊者通過後門程式來入受攻擊的系統
B. 攻擊者以竊取目標系統上的機密資訊為目的
C. 攻擊行為會導致目標系統無法處理正常使用者的請求
D. 如果目標系統沒有漏洞,遠端攻擊就不可能成功
說明/參考:
使用大量的資料包攻擊目標系統,使目標主機無法接受正常使用者的請求,或者使目標主機癱瘓,不能正常工作。
問題8在檢測到針對伺服器的SYN Flood攻擊行為後,防火牆應該可以支援選擇多種應對攻擊的防範措施,主要包括連線限制技術和連線代理技術,其中屬於連線限制技術的是(AC)
A.單位時間內客戶端發起的新建連線請求數超過指定閾值,則認為伺服器遭受了SYS Flood攻擊
B.透過對正常TCP新建連線的協商報文進行處理,修改報文的序列號並使其攜帶認證資訊,再透過驗證客戶端迴應的協商報文中攜帶的資訊進行報文有效性確認
C.客戶端發起的TCP半開連線請求超過指定閾值,則以為伺服器遭受了SYN Flood攻擊
D.透過在新建連線的協商報文中攜帶認證資訊,再透過驗證客戶端迴應的協商報文中攜帶的資訊來進行資訊分析
說明/參考:BD應該屬於連線代理技術,他們使用認證資訊
問題9利用SYN Cookie技術可以防範SYN Flood 攻擊,關於技術原理的描述,以下說法正確的是。(ABCD)
A..如果防火牆確認客戶端的ACK訊息合法,則模擬客戶端向伺服器傳送一個SYN訊息進行連線請求,同時分配TCP資源記錄此連線請求的描述資訊
B.防火牆的SYN Cookie技術利用ACK報文攜帶的認證資訊,對握手協商的ACK報文進行認證,從而避免了防火過早分配TCP資源
C.客戶端傳送的SYN訊息經過防火牆時,防火牆擷取該訊息,並模擬伺服器向客戶端迴應SYN ACK訊息
D.客戶端收到SYN/ACK報文後向伺服器傳送ACK訊息進行確認,防火牆擷取這個訊息後,提取該訊息中的ACK序號,並再次使用客戶端資訊與加密索引計算cookie,如果計算結果與ACK序列號相符,就可以確認發起連線請求的是一個真實客戶端
問題10如何防範Smurf攻擊? (C)
A. 檢查ICMP請求報文的目的地址是否為子網地址,是則丟棄
B. 檢查ICMP請求報文的源地址是否為子網地址,是則丟棄
C. 檢查ICMP請求報文的目的地址是否為廣播地址,是則丟棄
D. 檢查ICMP請求報文的源地址是否為廣播地址,是則丟棄
說明/參考:
問題11下述攻擊手段中,不屬於DoS攻擊的是(AC)
A. Fraggle
B. Land攻擊
C. 跨站攻擊
D. Smurf攻擊
說明/參考:
A. Fraggle(攻擊者透過向目標網路傳送源UDP埠為7且目的UDP埠為19的Chargen報文,令網路產生大量無用的應答報文,佔滿網路頻寬,達到攻擊目的)
B. Land攻擊(攻擊者向目標主機發送大量源IP地址和目的IP地址都是目標主機自身的TCP SYN報文,使得目標主機的半連線資源耗盡,最終不能正常工作)
C. 跨站攻擊(是一種對網站的惡意利用,透過偽裝來自受信任使用者的請求來利用受信任的網站)
D. Smurf攻擊(攻擊者向目標網路傳送ICMP應答請求,該請求包的目的地址設定為目標網路的廣播地址,這樣該網路中的所有主機都會對此ICMP應答請求作出答覆,導致網路阻塞,從而達到令目標網路中主機拒絕服務的攻擊目的)
問題12利用Safe Reset技術可以防範SYN Food攻擊.關於技術原理的描述,以下說法正確的是(ABC)
A.一般而言,應用伺服器不會主動對客戶端發起惡意連線,因此伺服器響應客戶端的報文可以不需要經過防火牆的檢查。防火牆僅需要對客戶端發往應用伺服器的報文進行實時監控。伺服器響應客戶端的報文可以根據實際需要選擇是否經過防火牆,因此Safe Reset能夠支援更靈活的組網方式。
B.客戶端收到SYN/ACK後.按照協議規定向伺服器迴應RST訊息。防火牆中途擷取這個訊息後,提取訊息中的序列號。並對該序列號進行Cookie校驗。成功透過校驗的連線被認為是可信的連線,防火牆會分配TCP資源記錄此連線的描述資訊,而不可信連線的後續報文會被防火牆丟棄。
C.由於防火牆僅透過對客戶端向伺服器首次發起連線的報文進行認證,就能夠完成對客戶端到伺服器的連線檢驗而伺服器向客戶端迴應的報文即使不經過防火牆也不會影響正常的業務處理,因此Safe Reset技術也稱為單向代理技術。
D.客戶端傳送的SYN訊息經過防火牆時,防火牆擷取該訊息,並模擬伺服器向客戶端迴應SYN/ACK訊息,其中,SYN/ACK訊息中的ACK序列號與客戶端期望的值一致,同時攜帶Cookie值,此Cookie值是對加密索引與本次連線的客戶端資訊(包括IP地址、埠號)進行加空運算的結果。
說明/參考:
是指僅對TCP連線的正向握手報文進行處理,也稱為單向代理模式。
D為SYN Cookie驗證模式