第四章----网络攻击与防范（三）

1. (12分)多选题 4-21.在DDoS中，攻击者使用控制傀儡机去控制攻击傀儡机发起攻击的原因是：
   A 攻击者能同时发动更多的攻击傀儡机同时发起攻击；
   B 攻击结束后清理日志更简洁更安全；
   C 攻击者直接控制的傀儡机数目减少，使得攻击操作更为简洁；
   D 控制傀儡机与攻击傀儡机处于同一局域网内，更容易实施控制操作；

2. (8分)判断题 4-22.针对UDP Flood攻击的指纹学习防御方法的假设基础是：攻击者为了达到短时间耗尽网络资源的目的，会采用复制或者组合等方式快速产生海量无意义大载荷UDP报文，这些UDP报文中存在大量特征相同的内容，这些特征相同的内容就是防火墙所需要学习的“指纹”；
   A) 正确
   B) 错误

3. (8分)单选题 4-19.下列哪个攻击行为会使被攻击者内存溢出，最终导致系统崩溃？
   A HTTP Flood攻击
   B Land攻击
   C Ping of Death攻击
   D UDP Flood攻击

4. (12分)多选题 4-27.防火墙在抵抗拒绝服务攻击中很多情况下都会维持一个用户白名单，白名单上的用户是防火墙验证过的合法用户，请问为什么防火墙要对用户白名单设置老化时间？
   A 白名单有最大值限制；
   B 防止白名单被攻击者利用；
   C 节约防火墙系统资源；
   D 需要定期的对用户合法性进行校验；

5. (12分)多选题 4-18.下列关于针对SYN Flood攻击的TCP代理防御方法的说法正确的是：
   A TCP代理防御方法中，防火墙在收到真正用户回复的ACK报文后还需要跟服务器进行三次握手建立TCP连接；
   B TCP代理防御方法中，防火墙需要对真正用户访问服务器的所有报文进行代理；
   C 对于报文进出路径不一致的网络环境，基于TCP代理防御方法的防火墙无法正常工作；
   D TCP代理防御方法中，去往同一目的IP地址的SYN报文达到预警速率时，防火墙将启动TCP代理防御，拦截所有去往该IP地址的SYN报文，代替服务器进行三次握手的连接；

6. (8分)单选题 4-20.Land攻击的特点是什么？
   A 向被攻击者发送长度超过65535字节的报文；
   B 向被攻击者发送大量的虚假源IP地址的SYN报文；
   C 向被攻击者发送源IP地址和目的IP地址均为被攻击者IP地址的TCP报文；
   D 向被攻击网段发送ICMP报文，窥视被攻击网段的网络结构等特征；

7. (8分)单选题 4-24.在安全电子邮件PGP中，报文的加密密钥是使用（ ）进行加密传输的；
   A 接收者的公钥
   B 发送者的私钥
   C 接收者的私钥
   D 发送者的公钥

8. (12分)多选题 4-23.下列哪些攻击行为可以采用源探测的方式进行防御？
   A DNS Flood攻击
   B HTTP Flood攻击
   C SYN Flood攻击
   D UDP Flood攻击

9. (12分)匹配题 4-26.对下列拒绝服务攻击类型和对应的防御方法进行匹配；
   1、SYN Flood C
   2、UDP Flood A
   3、DNS Flood D
   4、HTTP Flood B
   A 、防火墙寻找数据包中数据的相同特征，用于对后续数据包进行判断；
   B 、防火墙告诉报文发送者访问一个虚拟的URI；
   C 、防火墙代替服务器向报文发送方回复了一个带有错误确认号的报文；
   D 、防火墙要求报文发送方采用TCP的连接方式重新发送请求；

10. (8分)判断题 4-25.采用数据限流的方法防御UDP Flood攻击时，合法报文也可能被防火墙直接丢弃；
    A) 正确
    B) 错误