入侵检测习题二
一、选择题(共20分,每题2分)
1、按照检测数据的来源可将入侵检测系统(IDS)分为__________。 A.基于主机的IDS和基于网络的IDS B.基于主机的IDS和基于域控制器的IDS C.基于服务器的IDS和基于域控制器的IDS D.基于浏览器的IDS和基于网络的IDS
2、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元 B.检测单元 C.解释单元 D.响应单元 3、按照技术分类可将入侵检测分为__________。 A.基于标识和基于异常情况 B.基于主机和基于域控制器 C.服务器和基于域控制器 D.基于浏览器和基于网络
4、在网络安全中,截取是指未授权的实体得到了资源的访问权。这是对________。
A.可用性的攻击 B.完整性的攻击 C.保密性的攻击 D.真实性的攻击
5、入侵检测的基础是 (1),入侵检测的核心是 (2)。(1)(2) A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法
6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集 B.统计分析 C.模式匹配 D.完整性分析
7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机 B.服务器 C.目标主机 D.以上都不对
8、________系统是一种自动检测远程或本地主机安全性弱点的程序。 A.入侵检测 B.防火墙 C.漏洞扫描 D.入侵防护 9、下列选项中_________不属于CGI漏洞的危害。 A.缓冲区溢出攻击 B.数据验证型溢出攻击 C.脚本语言错误 D.信息泄漏
10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击 B.拒绝服务攻击 C.被动攻击 D.非服务攻击 习题解析
【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDS B.基于主机的IDS和基于域控制器的IDS C.基于服务器的IDS和基于域控制器的IDS D.基于浏览器的IDS和基于网络的IDS
【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元 B.检测单元 C.解释单元 D.响应单元
【试题3】按照技术分类可将入侵检测分为__________。 A.基于标识和基于异常情况 B.基于主机和基于域控制器 C.服务器和基于域控制器 D.基于浏览器和基于网络
【试题4】在网络安全中,截取是指未授权的实体得到了资源的访问权。这是对________。
A.可用性的攻击 B.完整性的攻击 C.保密性的攻击 D.真实性的攻击
【试题5】入侵检测的基础是 (1)A ,入侵检测的核心是 (2) B。 (1)(2) A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 【试题6】信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集 B.统计分析 C.模式匹配 D.完整性分析
【试题7】网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机 B.服务器 C.目标主机 D.以上都不对
【试题8】________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测 B.防火墙 C.漏洞扫描 D.入侵防护 【试题9】下列选项中_________不属于CGI漏洞的危害。 A.缓冲区溢出攻击 B.数据验证型溢出攻击
C.脚本语言错误 D.信息泄漏
【试题10】基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击 B.拒绝服务攻击 C.被动攻击 D.非服务攻击
二、简答题
1、常见的几种攻击的原理有哪些,试举例?
答:没有设置任何标志的TCP报文攻击-----正常情况下,任何TCP报文
都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。
设置了FIN标志却没有设置ACK标志的TCP报文攻击-----正常情况下,ACK标志在除了第一个报文(SYN报文)外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标计算机崩溃。
死亡之PING------TCP/IP规范要求IP报文的长度在一定范围内(比如,
0-64K),但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。
地址猜测攻击-----跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMP ECHO报文,来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
泪滴攻击-------对于一些大的IP包,需要对其进行分片传送,这是为了
迎合链路层的MTU(最大传输单元)的要求。比如,一个4500字节的IP包,在MTU为1500的链路上传输的时候,就需要分成三个IP包。 在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。例如,对一个4500字节的IP包进行分片(MTU为1500),则三
个片断中偏移字段的值依次为:0,1500,3000。这样接收端就可以根据这些信息成功的组装该IP包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。比如,把上述偏移设置为0,1300,3000。这就是所谓的泪滴攻击。
带源路由选项的IP报文-----为了实现一些附加功能,IP协议规范在IP报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器)或最终目标计算机对这些IP报文进行额外的处理。
源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(路由器)如何转发该数据报文的,即明确指明了报文的传输路径。比如,让一个IP报文明确的经过三台路由器R1,R2,R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP报文就会依次经过R1,R2,R3。而且这些带源路由选项的IP报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的IP地址,而蒙混进入网络。
带记录路由选项的IP报文----记录路由选项也是一个IP选项,携带了该选
项的IP报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。
3、典型拒绝服务攻击的手段有哪些,试举例?(补充)
答:
TCP SYN拒绝服务攻击―1、 攻击者向目标计算机发送一个TCP SYN
报文;2、 目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;3、 而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。
ICMP洪水――为了对网络进行诊断,一些诊断程序,比如PING等,会发出
ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些