单选题使用Nmap扫描时，只想知道网络上都有哪些主机正在运行的时候使用（）参数。A -sUB -sPC -sSD -sA

答案：TCP SYN扫描，也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接。从图中可以看出，源主机地址为192.168.220.129；目标主机为192.168.220.1。

答案：TCP协议 TCP SYN扫描是基于TCP协议的三次握手机制进行的。
答案：同步信号，是TCP/IP建立连接时使用的握手信号。 SYN（synchronous）：同步信号，是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

答案：目标主机开放的端口为：135端口，139端口。 判断依据：如果端口开放，目标主机会响应扫描主机的SYN/ ACK连接请求；如果端口关闭，则目标主机回向扫描主机发送RST的响应。 TCP SYN扫描，也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接，如果收到一个来自服务器的SYN/ACK应答，那么可以推断该端口处于监听状态。如果收到一RST/ACK分组则认为该端口不在监听。而客户端不管收到的是什么样的分组，都向服务器发送一个RST/ACK分组，这样并没有建立一个完整的TCP连接。

答案：没有完成，这样做即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。 半连接（SYN）扫描是端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来。这样即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多
答案：（1）UDP （2）* （3）80 （4）0 （5）1 第1条规则，拒绝从外网往内网发送的请求连接信息，所以ACK=0； 第2、3、4条规则，配置允许内网用户访问外部网页服务器。 第2条规则，允许内网往外网服务器80端口发送的请求连接和应答信息，所以目的端口为80； 第3条规则，允许内网向外网域名服务器发送的请求连接和应答信息，所以协议为UDP； 第4条规则，允许外网域名服务器发往内网的应答信息，所以ACK=1； 第5条规则，其他流量一律不允许进出内外部网络，所以协议为*。
答案：在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。 防火墙是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过，需要在进出两个方向对防火墙进行过滤设置，在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。

【问题1答案】
nmap -sS 10.0.0.1表示对主机10.0.0.1进行SYN扫描。【问题2答案】TCP SYN扫描又称为半打开扫描。客户端首先向服务器发送SYN连接，如果收到一个来自服务器的SYN／ACK应答，那么可以推断该端口处于监听状态。如果收到一个RST／ACK分组则认为该端口不在监听。

TCP SYN扫描优点：发送SYN包到远程主机，但不会产生任何会话，目标主机几乎不会把连接记入系统日志。（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中使用频率最高。

【问题3答案】

通过设备（防火墙等）检测一段时间内来自同一源地址的SYN分组超过一定阀值，可以认为受到了SYN-flooding攻击。