银符考试题库-在线练习-网络规划设计师分类模拟题防御计算机病毒及木马、防御网络攻击

1. 以下关于恶意代码及其防御的描述中，错误的是______。

A.蠕虫是一个独立程序，它不需要把自身附加在宿主程序上
B.在电子图片中也可以携带恶意代码
C.JavaScript、VBScript等脚本语言可被用于编写网络病毒
D.使用防火墙可以有效地防御计算机病毒

A B C D

[解析] 在网络环境中，可执行程序、脚本文件、网页、电子邮件、网络电子贺卡及电子卡通图片等都有可能携带计算机病毒。除了传统的汇编语言、C语言之外，以．JavaScript和VBScript为首的脚本语言也成为流行的病毒编写语言。利用新的编程语言与编程技术实现的计算机病毒更易于被修改以产生新的变种，从而逃避反病毒软件的搜索。
防火墙用于检测通过网络的数据包，只能对网络连接和数据包进行封堵，而病毒可以通过文件等诸多途径入侵用户的计算机，因此防火墙不能有效地防御病毒。

2. Windows PE(可移植的执行体)是Win32环境自身所带的执行体文件格式。PE病毒是指所有感染Windows下PE文件格式文件的病毒。其传统感染方式的原理是______。

A.在感染宿主程序时，将病毒代码整体直接(或进行压缩之后)放入到目标宿主程序之中
B.直接对目标PE文件进行覆盖，使原有的被感染文件数据全部(或部分)丢失
C.在感染宿主程序时，将病毒代码覆盖到目标宿主程序最前面，同时将目标宿主程序直接(或进行压缩后)保存在病毒程序之后
D.将病毒代码写入到目标宿主程序体内，然后修改目标宿主程序的文件头或者部分程序代码

A B C D

[解析] PE病毒的传统感染原理是：将病毒代码写入到目标宿主程序体内，然后修改目标宿主程序的文件头或者部分程序代码，使得宿主程序在运行时可以调用病毒代码的执行。
选项A和选项C是PE病毒的捆绑式感染原理，选项B是其覆盖式传播原理。

3. 下列关于常见网络版防病毒系统的描述中，错误的是______。

A.管理控制台必须先于系统中心安装到符合条件的服务器上
B.在域环境中，脚本登录安装是实现网络版防病毒软件快速自动安装的方法
C.安装系统中心的计算机应该在有效工作期间保持全天侯的开机状态
D.可以手工修改网络版防病毒系统的数据通信端口使数据通过防火墙

A B C D

[解析] 通常，网络版防病毒系统的系统中心是网络防病毒系统信息管理和病毒防护的自动控制核心。它实时记录防护体系内每台计算机上的病毒监控、检测和清除信息。根据管理控制台的设置，实现对整个防护系统的自动控制。由于其他子系统只有在系统中心工作后，才可实现各自的网络防护功能，因此系统中心必须先于其他子系统安装到符合条件的服务器上。由此可知，
为了正常实现系统中心的所有功能，安装系统中心的计算机应该在有效工作期间保持全天侯的开机状态，并可以方便地连接Internet，以便完成软件自动升级的任务。
对于大多数网络版的防病毒系统，服务器端与客户端都可采用本地安装、远程安装、Web安装、脚本登录安装等方式进行安装。其中，在域环境中，脚本登录安装是实现网络版防病毒软件快速、自动安装的一种方法。
为了使网络版防病毒软件的通信数据能顺利地通过防火墙，防病毒系统通常会提供用于数据通信端口设置的界面或选项。换而言之，网络版防病毒系统的数据通信端口不是固定的，是可以灵活设置的。

6. Web 2.0社区分享了丰富的因特网应用，同时使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。以下不属于Web 2.0时代木马的技术特征是______。

A.感染型、Rootkit、内核级驱动保护等多种技术融合
B.能对抗杀毒软件，入侵系统后直接使杀毒软件失效
C.使用自启动技术，通过网络完成自我复制
D.使用各种加壳技术及存活性技术

A B C D

[解析] 木马是没有自我复制功能的恶意程序。据此，选项C的说法有误。

7. 计算机感染特洛伊木马后的典型现象有______。

A.上网速度明显变慢、各类应用程序的图标被替换成另一种图标
B.邮箱被莫名邮件填满、一旦打开Word文档系统的操作速度反应迟钝
C.程序堆栈溢出、操作系统的CPU资源被占满
D.系统中有可疑进程在运行并试图建立网络连接

A B C D

[解析] 计算机感染特洛伊木马后将出现：①有未知程序试图建立网络连接；②系统中有可疑的进程在运行等现象。

8. 以下措施中不能有效防止木马入侵的是______。

A.在操作系统中仅开放非熟知端口，并实行数据加密传输
B.在操作系统中禁用移动存储介质的自动运行机制
C.实时打补丁以修复操作系统漏洞，并运行网络连接监控程序
D.利用沙箱等虚拟技术阻止即时通信(IM)消息中的恶意链接和文件

A B C D

[解析] 若在操作系统中仅开放非熟知端口(即TCP/UDP 1024～65535端口号)，将TCP/UDP的熟知端口号(即1～1023)禁用，则可能导致操作系统无法访问正常的网络应用业务(如Web服务、E-mail服务等)；再者木马也可以使用这些开放的某个非熟知端口号进行入侵操作。因此选项A的做法不能有效地防止木马入侵。

12. 某电子商务公司内部网络的工作人员计算机的IP地址使用网段10.3.0.0，16进行规划。某天中午，销售部网段10.3.9.0/24的某台计算机出现无法访问lriternet的现象，而其他部门的计算机均能正常访问Internet。网络管理员在三层核心交换机上运行show arp命令，得到的部分输出信息如图19-1所示。据此，网管员可以判定造成这一现象的故障原因可能是______。

A.该公司内部网络受到了DoS攻击(或DDoS攻击)
B.该公司内部网络受到了Smurf攻击(或Fraggle攻击)
C.销售部网段的某台计算机受到了ARP欺骗攻击
D.销售部网段的某台计算机受到了Land攻击

A B C D

[解析] 在三层交换机配置模式中，运行show arp命令可查看地址解析协议表，即IP地址与MAC地址之间的映射关系。仔细阅读图19-1所示的三层交换机的输出信息，图中IP地址10.3.9.55、10.3.9.23、10.3.9.54、10.3.9.65、10.3.9.66、10.3.9.71、10.3.9.74、10.3.9.75、10.3.9.84、10.3.9.96、10.3.9.161的MAC地址均为0030.18A8.67A3。而ARP欺骗攻击的典型特征是，受到攻击的计算机会伪造某台计算机的MAC地址(例如伪造网关服务器的MAC地址)，从而在网络中产生大量的ARP通信量使网络阻塞(经常瞬断)，甚至导致整个网络无法上网。因此造成网段10.3.9.0/24的所有计算机无法访问Internet的一种可能原因是：该网段中至少有一台计算机受到了ARP欺骗攻击。
由于该公司内部网络的“其他部门的计算机均能正常访问Internet”，因此可排除选项A和选项B。Land攻击的典型特征是，受到攻击的计算机会收到源IP地址和目的IP地址均为本机IP地址的数据包，这些数据包将造成本机因试图与自己建立连接而陷入死循环状态。据此可排除选项D。

13. 许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，规划师最可能采用的解决方案是______。

A.安装防火墙或入侵检测系统
B.安装用户认证系统
C.安装相关的系统补丁软件
D.安装防病毒软件

A B C D

[解析] 缓冲区溢出攻击是利用目标程序的缓冲区溢出漏洞，通过操作目标程序堆栈并暴力改写其返回地址，从而获得目标控制权。其原理是向一个有限空间的缓冲区中复制过长的字符串，从而导致这一过长的字符串覆盖了相邻的存储单元而造成程序瘫痪、系统重启等现象，同时可让攻击者运行恶意代码、执行任意指令，以及获得超级权限等。
由于这种攻击方式所传输的数据分组并无异常特征，没有任何欺骗，以及用来实施缓冲区溢出攻击的字符串的多样化，无法与正常数据有效地进行区分。因此防火墙对这种攻击方式无能为力。另外，因为这种攻击方式不是一种窃密和欺骗的手段，而是从计算机系统的底层发起攻击，所以在它的攻击下系统的身份验证和访问权限等安全策略形同虚设。这就要求系统管理员或普通用户及时地为操作系统和应用程序更新补丁程序，并通过减少不必要的开放服务端口等措施来降低因缓冲区溢出而造成的损失。

14. 攻击者使用无效IP地址，利用TCP连接的三次握手过程，连续发送会话请求，使受害主机处于开放会话的请求之中，直至连接超时，最终因耗尽资源而停止响应。这种攻击被称为______。

A.SYN Flooding攻击
B.DNS欺骗攻击
C.重放攻击
D.Teardrop攻击

A B C D

[解析] SYN Flooding攻击的基本思路是：攻击者主机使用无效的IP地址，利用TCP连接的3次握手过程，使得受害主机处于开放会话的请求之中，直到连接超时，在此期间，受害主机将会连续接收这种会话请求，最终因资源耗尽而停止响应。
DNS常见的安全问题之一是DNS欺骗，即域名信息欺骗。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如将用户引导到含有恶意代码的网站，或者发送一封电子邮件到一个未经授权的邮件服务器等。
重放攻击是指攻击者发送一个目的主机已接收过的数据包，来达到欺骗相关应用系统(如身份认证系统)的目的。
Teardrop攻击是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

15. 以下关于系统漏洞扫描技术和工具的描述中，错误的是______。

A.能否从主机系统内部检测系统配置的缺陷是系统管理员和黑客拥有的漏洞扫描器在技术上的最大区别
B.ISS的Internet Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞
C.漏洞扫描工具的主要性能指标包括速度、漏洞数量的更新周期，以及是否支持定制攻击等
D.X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描

A B C D

[解析] 常用的漏洞扫描工具有ISS、MBSA、X-Scanner等。ISS的系统扫描器(System Scanner)是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞；而其Internet扫描器(Internet Scanner)对网络设备进行自动的安全漏洞检测和分析，并给出检测到的漏洞信息，包括位置、详细描述和建议的改进方案。据此，选项B的说法有误。
X-Scanner运行在Windows平台下，采用多线程方式对指定IP地址或网段进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种操作方式。

16. 以下方式中，利用主机应用系统漏洞进行攻击的是______。

A.SQL注入攻击
B.暴力攻击
C.源路由欺骗攻击
D.Land攻击

A B C D

[解析] 程序员在编写基于B/S架构的网络应用服务程序时，由于编程水平及经验的限制，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户只要提交一段数据库查询代码，就能根据程序返回的结果获得某些数据，这就是所谓的SOL注入攻击。
Land攻击是向某个设备发送数据包，并将数据包的源IP地址和目的IP地址都设置成攻击目标的地址。
通常，暴力攻击是指使用特定的程序(或软件)强行自动猜测相应文件(或网站等)的相关口令的行为。
源路由欺骗攻击是指通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作。