24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

Fragen zu Netzwerkprotokollen und Angriffen sind besonders wertvoll, weil sie zwei zentrale Bereiche der Cybersecurity direkt miteinander verbinden: das normale Verhalten eines Netzwerks und den Missbrauch genau dieser Mechanismen durch Angreifer. Wer ARP, DHCP, DNS, TCP, UDP, Routing oder VLANs nur oberflächlich kennt, wird Sicherheitsvorfälle oft nicht sauber einordnen können. Genau deshalb eignen sich Multiple-Choice-Fragen mit Lösungen hervorragend, um technisches Verständnis systematisch zu prüfen. Entscheidend ist dabei, nicht nur die richtige Antwort zu markieren, sondern auch zu verstehen, warum sie korrekt ist und welche Rolle das jeweilige Protokoll oder Angriffsszenario im realen Netzwerkbetrieb spielt. Die folgenden Fragen kombinieren Netzwerkgrundlagen mit typischen Sicherheitsangriffen und helfen dabei, Protokollwissen, Angriffserkennung und grundlegende Schutzmechanismen kompakt und praxisnah zu wiederholen.

Warum Fragen zu Netzwerkprotokollen und Angriffen so wichtig sind

Netzwerkprotokolle bilden die technische Grundlage jeder Kommunikation. Genau deshalb werden sie auch von Angreifern missbraucht. ARP dient der Adressauflösung, kann aber für ARP-Spoofing ausgenutzt werden. DHCP verteilt IP-Konfigurationen, ist aber anfällig für Rogue-DHCP. DNS löst Namen auf, kann aber für Umleitungen oder Tunneling missbraucht werden. TCP und UDP transportieren Anwendungen, sind aber zugleich Grundlage für Scans, Floods oder Exploit-Kommunikation.

Wer diese Zusammenhänge versteht, kann Sicherheitsvorfälle deutlich schneller erkennen und passender bewerten. Fragen mit Lösungen helfen dabei, typische Verwechslungen aufzudecken und Fachbegriffe klar voneinander abzugrenzen.

Was diese Fragensammlung trainiert

• Protokollverständnis auf Layer 2 bis Layer 7
• Technische Einordnung typischer Angriffsmethoden
• Verbindung zwischen Netzwerkverhalten und Sicherheitsrisiken
• Saubere Abgrenzung von Schutzmechanismen
• Prüfungsnahe Wiederholung zentraler Cybersecurity-Grundlagen

Fragen zu ARP, MAC und Layer-2-Kommunikation

Frage 1

Welche Hauptaufgabe hat ARP in einem IPv4-Netzwerk?

• A) Es verteilt automatisch VLAN-Zuweisungen
• B) Es ordnet IP-Adressen den passenden MAC-Adressen zu
• C) Es verschlüsselt den lokalen Datenverkehr
• D) Es ersetzt das Default Gateway

Lösung: B) Es ordnet IP-Adressen den passenden MAC-Adressen zu

ARP wird verwendet, damit ein Host im lokalen Netz die MAC-Adresse eines Zielsystems oder des Default Gateways ermitteln kann. Ohne diese Auflösung wäre lokale Ethernet-Kommunikation nicht möglich.

Frage 2

Welcher Angriff nutzt die fehlende Authentifizierung von ARP aus?

• A) ARP-Spoofing
• B) DNSSEC
• C) NAT Overload
• D) Route Summarization

Lösung: A) ARP-Spoofing

Beim ARP-Spoofing sendet ein Angreifer gefälschte ARP-Antworten, um falsche IP-MAC-Zuordnungen auf den Hosts zu erzeugen. So kann Datenverkehr umgeleitet oder mitgelesen werden.

Frage 3

Welcher Befehl ist auf einem Cisco-Switch besonders hilfreich, um gelernte MAC-Adressen zu prüfen?

• A) show access-lists
• B) show mac address-table
• C) show ip route
• D) show ip ssh

Lösung: B) show mac address-table

Mit diesem Befehl lässt sich nachvollziehen, welche MAC-Adressen an welchen Ports gelernt wurden. Das ist bei Layer-2-Analysen und Port-Security-Fragen besonders nützlich.

Frage 4

Welche Maßnahme hilft typischerweise gegen ARP-Spoofing in Switch-Netzen?

• A) NAT
• B) Dynamic ARP Inspection
• C) DHCP Relay
• D) Port Mirroring

Lösung: B) Dynamic ARP Inspection

Dynamic ARP Inspection überprüft ARP-Pakete auf Plausibilität und kann gefälschte Zuordnungen blockieren. Häufig nutzt es dabei Informationen aus DHCP Snooping.

Fragen zu DHCP und typischen DHCP-Angriffen

Frage 5

Welche Information wird typischerweise durch DHCP an Clients verteilt?

• A) MAC-Adresse des Switches
• B) IP-Adresse, Subnetzmaske, Gateway und DNS-Server
• C) VLAN-Datenbank des Core-Switches
• D) Routing-Prozess-ID

Lösung: B) IP-Adresse, Subnetzmaske, Gateway und DNS-Server

DHCP stellt die grundlegende Netzwerkkonfiguration für Clients bereit. Gerade deshalb ist der Dienst sicherheitskritisch.

Frage 6

Was ist ein Rogue-DHCP-Server?

• A) Ein legitimer Server mit redundanter IP-Adresse
• B) Ein unerlaubter DHCP-Server, der Clients falsche Netzkonfigurationen zuweist
• C) Ein DNS-Server mit dynamischen Zonen
• D) Ein Router ohne statische Route

Lösung: B) Ein unerlaubter DHCP-Server, der Clients falsche Netzkonfigurationen zuweist

Ein Rogue-DHCP-Server kann Clients manipulierte Gateways oder DNS-Server unterjubeln und damit Verkehr umleiten oder stören.

Frage 7

Welcher Mechanismus schützt auf Switches typischerweise vor Rogue-DHCP?

• A) DHCP Snooping
• B) HSRP
• C) EtherChannel
• D) Spanning Tree

Lösung: A) DHCP Snooping

DHCP Snooping unterscheidet trusted und untrusted Ports. Nur auf trusted Ports dürfen DHCP-Serverantworten ins Netz gelangen.

Frage 8

Welcher Befehl zeigt auf Cisco-nahen Plattformen gelernte DHCP-Snooping-Bindings?

• A) show ip dhcp snooping binding
• B) show version
• C) show spanning-tree
• D) show processes cpu

Lösung: A) show ip dhcp snooping binding

Die Binding-Tabelle enthält typischerweise Informationen wie MAC-Adresse, IP-Adresse, VLAN und Interface und ist für Analyse und weitere Schutzmechanismen sehr nützlich.

Fragen zu DNS und DNS-bezogenen Angriffen

Frage 9

Welche Hauptaufgabe erfüllt DNS?

• A) Es segmentiert Layer-2-Domänen
• B) Es übersetzt Namen in IP-Adressen
• C) Es ersetzt Routingtabellen
• D) Es vergibt automatisch VLAN-IDs

Lösung: B) Es übersetzt Namen in IP-Adressen

DNS ist ein zentraler Infrastrukturdienst. Ohne ihn müssten Systeme über numerische IP-Adressen direkt angesprochen werden.

Frage 10

Warum ist DNS aus Security-Sicht besonders relevant?

• A) Weil DNS automatisch ACLs generiert
• B) Weil manipulierte DNS-Antworten Benutzer auf falsche Ziele lenken können
• C) Weil DNS nur lokal auf Switches läuft
• D) Weil DNS keine Logs erzeugt

Lösung: B) Weil manipulierte DNS-Antworten Benutzer auf falsche Ziele lenken können

DNS-Manipulation kann Verbindungen umleiten, Phishing erleichtern oder Command-and-Control-Kommunikation unterstützen.

Frage 11

Welcher Befehl eignet sich besonders, um DNS-Auflösung auf einem Linux-System zu testen?

• A) dig
• B) show vlan brief
• C) show mac address-table
• D) arp -a

Lösung: A) dig

dig und nslookup sind klassische Werkzeuge, um DNS-Abfragen und Antworten zu prüfen.

Frage 12

Welches Muster kann auf missbräuchliche oder auffällige DNS-Nutzung hinweisen?

• A) Regelmäßige Namensauflösung interner Standarddienste
• B) Ungewöhnlich viele DNS-Abfragen zu unbekannten Domains
• C) Ein statisches Default Gateway
• D) Eine erfolgreiche SSH-Anmeldung

Lösung: B) Ungewöhnlich viele DNS-Abfragen zu unbekannten Domains

Solche Muster können auf C2-Kommunikation, Tunneling oder kompromittierte Systeme hinweisen.

Fragen zu TCP, UDP und Ports

Frage 13

Welche Aussage beschreibt TCP am besten?

• A) TCP ist verbindungslos und zustandslos
• B) TCP ist verbindungsorientiert und nutzt Bestätigungen
• C) TCP dient ausschließlich für Routingprotokolle
• D) TCP ersetzt VLANs in geswitchten Netzen

Lösung: B) TCP ist verbindungsorientiert und nutzt Bestätigungen

TCP baut eine Verbindung auf, verwaltet Sequenzen und bestätigt den Erhalt von Daten. Das macht es zuverlässig, aber auch interessant für bestimmte Angriffsanalysen.

Frage 14

Welche Aussage zu UDP ist korrekt?

• A) UDP ist immer sicherer als TCP
• B) UDP ist verbindungslos und leichtergewichtig
• C) UDP funktioniert nicht mit DNS
• D) UDP kann nicht gefiltert werden

Lösung: B) UDP ist verbindungslos und leichtergewichtig

Viele Dienste wie DNS oder DHCP nutzen UDP, gerade weil es effizient und zustandsarm arbeitet.

Frage 15

Welcher Port ist typischerweise mit SSH verbunden?

• A) TCP 22
• B) UDP 53
• C) TCP 80
• D) UDP 67

Lösung: A) TCP 22

SSH läuft standardmäßig über TCP-Port 22 und wird für sichere Administration eingesetzt.

Frage 16

Welcher Vorgang ist typisch für einen Port-Scan?

• A) Ein Host sendet gezielt Verbindungsversuche an viele Ports eines Systems
• B) Ein Switch verteilt automatisch neue VLAN-Zuweisungen
• C) Ein Router fasst statische Routen zusammen
• D) Ein DNS-Server generiert Zertifikate

Lösung: A) Ein Host sendet gezielt Verbindungsversuche an viele Ports eines Systems

Port-Scans sind klassische Reconnaissance-Techniken, um Dienste und potenzielle Angriffsziele zu identifizieren.

Fragen zu Routing, Segmentierung und lateraler Bewegung

Frage 17

Welche Aussage zu Routing ist aus Security-Sicht besonders relevant?

• A) Routing ist nur für das Internet relevant
• B) Routing verbindet Netzsegmente, daher muss diese Kommunikation kontrolliert werden
• C) Routing ersetzt ACLs vollständig
• D) Routing verhindert automatisch alle internen Angriffe

Lösung: B) Routing verbindet Netzsegmente, daher muss diese Kommunikation kontrolliert werden

Sobald Inter-VLAN-Routing oder Routing zwischen Subnetzen aktiv ist, sind ACLs, Firewalls oder andere Kontrollmechanismen entscheidend.

Frage 18

Was beschreibt laterale Bewegung am treffendsten?

• A) Die Änderung der Spanning-Tree-Topologie
• B) Die Ausbreitung eines Angreifers von einem kompromittierten System auf weitere interne Ziele
• C) Die automatische Zuordnung von DNS-Servern
• D) Die Migration eines VLANs auf einen anderen Switch

Lösung: B) Die Ausbreitung eines Angreifers von einem kompromittierten System auf weitere interne Ziele

Laterale Bewegung ist einer der Hauptgründe, warum Segmentierung und interne Zugriffskontrolle so wichtig sind.

Frage 19

Welche Maßnahme hilft besonders dabei, laterale Bewegung einzuschränken?

• A) Mehr Broadcast-Verkehr innerhalb eines flachen Netzes
• B) Segmentierung mit VLANs und kontrollierte Kommunikation über ACLs
• C) Abschaltung aller Logs
• D) Nur die Verwendung von Telnet statt SSH

Lösung: B) Segmentierung mit VLANs und kontrollierte Kommunikation über ACLs

Durch Trennung und restriktive Regeln wird verhindert, dass kompromittierte Systeme frei auf andere interne Netze zugreifen können.

Fragen zu Firewalls, IDS und IPS im Protokollkontext

Frage 20

Welche Aufgabe erfüllt eine Firewall im Zusammenhang mit Netzwerkprotokollen am besten?

• A) Sie verteilt dynamisch ARP-Informationen
• B) Sie steuert Verkehr anhand von Regeln zu Quelle, Ziel, Protokoll und Port
• C) Sie ersetzt DNS-Auflösung
• D) Sie erzeugt automatisch Zertifikate für SSH

Lösung: B) Sie steuert Verkehr anhand von Regeln zu Quelle, Ziel, Protokoll und Port

Firewalls kontrollieren Kommunikationspfade und sind damit zentrale Elemente von Zugriffskontrolle und Segmentierung.

Frage 21

Welche Aussage zu IDS und IPS ist richtig?

• A) Ein IDS blockiert immer aktiv den Verkehr
• B) Ein IPS erkennt verdächtige Muster und kann zusätzlich aktiv eingreifen
• C) Ein IDS ersetzt Layer-2-Schutzmechanismen vollständig
• D) Ein IPS ist nur für DNS zuständig

Lösung: B) Ein IPS erkennt verdächtige Muster und kann zusätzlich aktiv eingreifen

Das IDS erkennt und meldet, das IPS erkennt und kann darüber hinaus blockieren oder verwerfen.

Frage 22

Welches Muster könnte ein IDS oder IPS in einem Netzwerk entdecken?

• A) Ein normales DHCP-Renewal eines Clients
• B) Wiederholte Verbindungsversuche zu vielen Ports in kurzer Zeit
• C) Einen statischen Hostnamen
• D) Das Speichern einer lokalen Textdatei ohne Netzverkehr

Lösung: B) Wiederholte Verbindungsversuche zu vielen Ports in kurzer Zeit

Das ist ein klassisches Muster von Port-Scanning oder aggressiver Reconnaissance.

Fragen zu Management-Protokollen und sicheren Zugängen

Frage 23

Warum ist Telnet aus Security-Sicht problematisch?

• A) Weil es keine IP-Adressen unterstützt
• B) Weil Zugangsdaten und Sitzungsdaten unverschlüsselt übertragen werden
• C) Weil es keine Routingtabellen lesen kann
• D) Weil es DHCP deaktiviert

Lösung: B) Weil Zugangsdaten und Sitzungsdaten unverschlüsselt übertragen werden

Genau deshalb sollte SSH für die Administration von Netzwerkgeräten bevorzugt werden.

Frage 24

Welche Maßnahme schützt Management-Zugänge besonders wirksam?

• A) Administration über dasselbe VLAN wie Benutzer-PCs
• B) SSH, restriktive Zugriffsklassen und ein Management-VLAN
• C) Deaktivierung aller ACLs
• D) Nutzung eines offenen Gäste-WLANs

Lösung: B) SSH, restriktive Zugriffsklassen und ein Management-VLAN

Diese Kombination schützt die Kommunikation, trennt die Verwaltungszone logisch und begrenzt, wer überhaupt Zugriff erhält.

Frage 25

Welcher Cisco-nahe Befehl ist hilfreich, um aktuelle Benutzer- oder Administrationssitzungen zu prüfen?

• A) show users
• B) show vlan brief
• C) show interfaces trunk
• D) show mac address-table count

Lösung: A) show users

Mit show users lassen sich aktive Zugriffe oder Sessions auf dem Gerät prüfen, was im Kontext sicherer Administration und Vorfallanalyse relevant ist.

Fragen zu Monitoring, Protokollanalyse und Erkennung

Frage 26

Welche Datenquelle ist besonders wertvoll, um ungewöhnliche Kommunikationsmuster im Netzwerk zu erkennen?

• A) Flow-Daten wie NetFlow oder IPFIX
• B) Nur die VLAN-Benennung
• C) Ausschließlich lokale Bildschirmhelligkeit
• D) Nur die Modellbezeichnung des Switches

Lösung: A) Flow-Daten wie NetFlow oder IPFIX

Flow-Daten zeigen, wer mit wem wie viel und über welche Protokolle kommuniziert. Das ist für Erkennung und Incident Response besonders nützlich.

Frage 27

Welcher Linux-Befehl eignet sich besonders, um Live-Netzwerkverkehr mitzuschneiden?

• A) tcpdump
• B) mkdir
• C) passwd
• D) uname

Lösung: A) tcpdump

tcpdump ist ein klassisches Werkzeug zur Analyse von Paketen und Protokollen auf Hosts oder Sensoren.

Frage 28

Welcher Befehl ist auf einem Cisco-Gerät besonders hilfreich, um Logmeldungen zu prüfen?

• A) show logging
• B) show startup-config register
• C) show cdp neighbors detail
• D) show flash

Lösung: A) show logging

Logmeldungen helfen, Angriffe, Fehlkonfigurationen oder Zustandsänderungen im Netzwerk nachzuvollziehen.

Fragen zu typischen Angriffsszenarien mit Protokollbezug

Frage 29

Welches Angriffsszenario ist am engsten mit DNS-Manipulation verbunden?

• A) Benutzer werden auf ein falsches Ziel umgeleitet
• B) Das Interface eines Routers geht administrativ down
• C) Eine lokale ARP-Tabelle wird automatisch geleert
• D) Ein VLAN wird in der Datenbank umbenannt

Lösung: A) Benutzer werden auf ein falsches Ziel umgeleitet

DNS-Manipulation kann Namen auf unerwünschte oder schädliche Ziele auflösen und so Verbindungen umlenken.

Frage 30

Welches Muster deutet am ehesten auf einen kompromittierten Host mit möglicher C2-Kommunikation hin?

• A) Regelmäßige kurze Verbindungen zu einem externen Ziel in festen Intervallen
• B) Ein einmaliger Ping zum Gateway
• C) Das Anzeigen der Routingtabelle durch einen Administrator
• D) Ein Switch-Port im administrativen Shutdown

Lösung: A) Regelmäßige kurze Verbindungen zu einem externen Ziel in festen Intervallen

Solches Beaconing ist ein typisches Muster kompromittierter Systeme, die mit einer Steuerungsinfrastruktur kommunizieren.

Wichtige CLI-Befehle zur praktischen Vertiefung

Die Fragen werden deutlich wertvoller, wenn die zugrunde liegenden Protokolle und Angriffsmuster auch praktisch überprüft werden. Gerade im Netzwerkbereich hilft die Verbindung von Theorie und CLI-Analyse dabei, Begriffe in echte Zustände und Artefakte zu übersetzen.

Typische Prüfkommandos auf Netzwerkgeräten

show arp
show mac address-table
show vlan brief
show interfaces trunk
show ip interface brief
show ip route
show access-lists
show ip dhcp snooping
show ip dhcp snooping binding
show logging
show users

Typische Prüfkommandos auf Linux-Hosts oder Sensoren

ip addr
ip route
ip neigh
arp -a
ss -tulpen
tcpdump -i eth0
nslookup
dig
journalctl -xe

Wer diese Befehle mit den behandelten Fragen verknüpfen kann, entwickelt ein deutlich tieferes Verständnis für Netzwerkprotokolle und typische Angriffe. Genau das ist der eigentliche Mehrwert solcher Fragen mit Lösungen: Sie trainieren nicht nur Prüfungswissen, sondern die Fähigkeit, normales Protokollverhalten, verdächtige Muster und passende Schutzmechanismen technisch sauber auseinanderzuhalten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.