安全技术习题与答案.docxVIP

安全技术习题与答案

一、网络安全基础

1.选择题：以下关于防火墙的描述中，错误的是（）

A.包过滤防火墙基于IP地址、端口号等静态信息进行过滤

B.状态检测防火墙会跟踪TCP连接的三次握手状态

C.应用层防火墙（代理防火墙）可以深度解析应用层协议（如HTTP）

D.所有防火墙都无法防御来自内部网络的攻击

答案：D

解析：防火墙的主要功能是根据策略控制网络流量，但部分高级防火墙（如下一代防火墙，NGFW）支持内部流量监控和访问控制，通过部署在核心交换机或采用分布式架构，可对内部异常流量（如横向移动攻击）进行检测和阻断。因此“所有防火墙都无法防御内部攻击”的说法错误。

2.简答题：简述入侵检测系统（IDS）与入侵防御系统（IPS）的核心区别，并举例说明其应用场景

答案：

核心区别：

-IDS（IntrusionDetectionSystem）是被动检测系统，通过分析网络流量或系统日志，识别攻击行为并生成警报（如邮件、日志记录），但不主动干预流量；

-IPS（IntrusionPreventionSystem）是主动防御系统，在检测到攻击后会直接阻断恶意流量（如丢弃数据包、重置TCP连接），相当于“检测+响应”的结合。

应用场景举例：

-IDS适用于需要审计和监控的场景（如合规要求的金融机构），用于事后分析攻击路径；

-IPS适用于关键业务系统（如电商支付网关），需实时阻断SQL注入、XSS等应用层攻击，避免数据泄露或服务中断。

3.分析题：某企业遭受DDoS攻击，网络带宽被大量UDP流量占满，导致服务器无法响应正常请求。请结合DDoS攻击原理，设计一套分层防御方案，并说明各层的具体措施

答案：

DDoS（分布式拒绝服务）攻击通过控制大量僵尸主机（Botnet）向目标发送海量流量，耗尽其带宽或资源。针对UDP洪水攻击的分层防御方案如下：

（1）网络入口层（运营商/云服务商）

-流量清洗：通过运营商的DDoS防护平台（如阿里云DDoS高防），在网络边界识别并过滤异常UDP流量（如源IP分散、目标端口集中、包大小固定的流量）；

-黑洞路由：当攻击流量超过本地防护能力时，将目标IP路由到“黑洞”，暂时切断与公网的连接（需权衡业务中断时间）。

（2）企业边界层（本地防火墙/IPS）

-速率限制：在防火墙配置UDP流量速率阈值（如每秒10万包），超出部分直接丢弃；

-源IP验证：启用反向路径验证（RPF），检查UDP包的源IP是否可达，过滤伪造源IP的攻击流量；

-协议异常检测：分析UDP负载内容（如DNS查询包的长度、ICMP错误包的类型），阻断不符合协议规范的畸形包。

（3）服务器层（应用级防护）

-资源隔离：将关键业务部署在多个可用区，利用负载均衡（如AWSELB）分散流量，避免单节点过载；

-无状态防护：针对UDP无连接特性，在服务器端限制每秒处理的UDP请求数（如通过iptables的`udp-threshold`模块）；

-业务逻辑校验：对UDP承载的业务请求（如游戏心跳包）增加校验机制（如时间戳、随机token），过滤无意义的伪造请求。

二、系统安全与漏洞管理

4.选择题：以下关于缓冲区溢出攻击的描述中，正确的是（）

A.仅发生在栈空间，堆溢出无法利用

B.攻击者通过覆盖返回地址（EIP）控制程序执行流

C.现代操作系统的ASLR（地址空间布局随机化）可完全阻止溢出攻击

D.缓冲区溢出只能利用C语言程序，Java等安全语言不会发生

答案：B

解析：

-A错误：堆溢出（HeapOverflow）同样可通过覆盖堆块指针（如FD/BK指针）实现攻击；

-B正确：经典栈溢出攻击中，攻击者向缓冲区写入超长数据，覆盖栈中的返回地址（EIP），使其指向恶意代码（Shellcode）；

-C错误：ASLR通过随机化栈、堆、库的地址降低攻击成功率，但可通过信息泄露（如格式化字符串漏洞）获取基址，结合ROP（返回导向编程）绕过；

-D错误：Java的JVM虽有内存安全机制，但本地方法（JNI调用的C代码）仍可能存在缓冲区溢出。

5.简答题：简述Windows与Linux系统权限管理的核心差异，并说明如何通过权限最小化原则提升系统安全性

答案：

核心差异：

-Windows采用ACL（访问控制列表）模型，每个对象（文件、注册表项）关联用户/组的权限（完全控制、读取、写入等），支持复杂的继承和委托机制；

-Linux采用UGO（用户-组-其他）模型，每个文件有所有者（User）、所属组（Gr