2025年信息系统安全专家入侵防御系统防御协议攻击实战专题试卷及解析.docxVIP

2025年信息系统安全专家入侵防御系统防御协议攻击实战专题试卷及解析

2025年信息系统安全专家入侵防御系统防御协议攻击实战专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在防御SYNFlood攻击时，入侵防御系统（IPS）最有效的技术手段是什么？

A、基于端口的访问控制

B、TCP连接代理（SYNCookie）

C、应用层深度包检测

D、MAC地址过滤

【答案】B

【解析】正确答案是B。TCP连接代理技术（特别是SYNCookie机制）是防御SYNFlood攻击的核心手段，它通过不分配资源的方式验证连接请求。A选项只能限制访问但无法缓解海量SYN包攻击；C选项针对应用层攻击，对网络层SYNFlood无效；D选项工作在数据链路层，无法防御网络层攻击。知识点：TCP三次握手原理及SYNFlood攻击机制。易错点：混淆网络层和应用层防御技术。

2、以下哪种协议攻击最容易被IPS通过异常流量检测模式发现？

A、慢速HTTP攻击

B、DNS放大攻击

C、ARP欺骗攻击

D、ICMP隧道攻击

【答案】B

【解析】正确答案是B。DNS放大攻击会产生明显的流量异常（响应流量远大于请求流量），容易被基于流量统计的IPS检测。A选项通过低速传输规避检测；C选项需要交换机端口镜像配合；D选项流量特征不明显。知识点：不同协议攻击的流量特征。易错点：忽视流量模式分析在IPS检测