1、網絡安全復習題一 一、 單選題1 各種通信網和 TCP/IP之間的接口是 TCP/IP分層結構中的（A ）A. 數據鏈路層B. 網絡層C.傳輸層D.應用層2. 下面不屬于木馬特征的是（ D ）。A. 自動更換文件名，難于被發現B. 程序執行時不占太多系統資源C. 不需要服務端用戶的允許就能獲得系統的使用權D. 造成緩沖區的溢岀，破壞程序的堆棧3. 下面不屬于端口掃描技術的是（D ）。A. TCP conn ect()掃描B. TCP FIN掃描C. IP包分段掃描D. Land掃描4.負責產生、分配并管理PKI結構下所有用戶的證書的機構是（D ）A. LDAP目錄服務器B.業務受理點C.注冊機

2、構RAD.認證中心CA5.防火墻按自身的體系結構分為（B)oA.軟件防火墻和硬件防火墻B.包過濾型防火墻和雙宿網關C.百兆防火墻和千兆防火墻D.主機防火墻和網絡防火墻6.下面關于代理技術的敘述正確的是（D)oA.能提供部分與傳輸有關的狀態B. 能完全提供與應用相關的狀態和部分傳輸方面的信息C. 能處理和管理信息D. ABC都正確 7 下面關于ESP傳輸模式的敘述不正確的是（ A ）oA. 并沒有暴露子網內部拓撲B主機到主機安全C. IPSEC的處理負荷被主機分擔D 兩端的主機需使用公網IP8. 下面關于網絡入侵檢測的敘述不正確的是（ C ）oA. 占用資源少B攻擊者不易轉移證據C.容易處理加密

3、的會話過程D 檢測速度快9. 基于SET協議的電子商務系統中對商家和持卡人進行認證的是（B ）A. 收單銀行B.支付網關發卡銀行D認證中心 C.讀書破萬卷下筆如有神10. 下面關于病毒的敘述正確的是（D ） oA. 病毒可以是一個程序B 病毒可以是一段可執行代碼C.病毒能夠自我復制D . ABC都正確復習題二單選題（每題1分，共10分）1 下面不屬于按網絡覆蓋范圍的大小將計算機網絡分類的是（C ）OA.互聯網B.廣域網C.通信子網D.局域網2. 下面不屬于SYN FLOODING擊的防范方法的是（c ）。A.縮短SYN Timeout （連接等待超時）時間 B.利用防火墻技術C. TCP段加密

4、D.根據源IP記錄SYN連接3. 下面不屬于木馬偽裝手段的是（a ）oA.自我復制B.隱蔽運行C.捆綁文件D.修改圖標4. 負責證書申請者的信息錄入、審核以及證書發放等工作的機構是（c ）A. LDAP目錄服務器 B.業務受理點C.注冊機構 RA D.認證中心CA5下面哪種信任模型的擴展性較好（c ） oA.單CA信任模型B.網狀信任模型C.嚴格分級信任模型D. Web信任模型6 下面關于包過濾型防火墻協議包頭中的主要信息敘述正確的是（d ）oA. 包括IP源和目的地址B. 包括內裝協議和 TCP/UDP目標端口C. 包括ICMP消息類型和TCP包頭中的ACK位D. ABC都正確7 下面關于

5、LAN-LAN的敘述正確的是（c ）A. 增加WAN帶寬的費用B. 不能使用靈活的拓撲結構C. 新的站點能更快、更容易地被連接不可以延長網絡的可用時間D.讀書破萬卷下筆如有神8. 下面關于ESP隧道模式的敘述不正確的是（ b ）oA. 安全服務對子網中的用戶是透明的B. 子網內部拓撲未受到保護C. 網關的IPSEC集中處理D. 對內部的諸多安全問題將不可控9. 下面關于入侵檢測的組成敘述不正確的是（c ）oA. 事件產生器對數據流、日志文件等進行追蹤B. 響應單元是入侵檢測系統中的主動武器C. 事件數據庫是入侵檢測系統中負責原始數據采集的部分D. 事件分析器將判斷的結果轉變為警告信息10.下面

6、關于病毒校驗和檢測的敘述正確的是（ d ）A. 無法判斷是被哪種病毒感染B. 對于不修改代碼的廣義病毒無能為力C. 容易實現但虛警過多D. ABC都正確三、填空題1. IP協議提供了數據報的盡力而為的傳遞服務2. TCP/IP鏈路層安全威脅有：以太網共享信道的偵聽， MAC地址的修改， ARP 欺騙3. DoS與DDoS的不同之處在于：攻擊端不需要占領大量傀儡 機。證書的作用是：用來向系統中其他實體證明自己的身份和分發公鑰 4. 。5. SSL協議中雙方的主密鑰是在其握手協議產生的。 VPN的兩種實現形式：.Client-LAN和 LAN-LAN 6. 。 7. IPSec是為了在IP層提供通

7、信安全而制定的一套協議簇廣泛、開放的 VPN 安全協議體系8. 根據檢測原理，入侵檢測系統分為異常入侵檢測測。9. 病毒技術包括：寄生 技術， 駐留技術，讀書破萬卷下筆如有神術和隱藏 技術。10.電子商務技術體系結構的三個層次是網絡平臺，是一個應用。 ， 誤用入侵檢一加密變形技一安全基礎結構 和電子商務業務，一個支柱是公共基礎部分11.防火墻的兩種姿態拒絕沒有特別允許的任何事情拒絕的任何事情和允許沒有特別四、填空題（每空1分，共25分）11.TCP/IP層次劃分為數據鏈路層、網絡層、傳輸層、應用層。12.TCP協議的滑動窗口協議的一個重要用途是流量控制。13.誘騙用戶把請求發送到攻擊者自己建立

8、的服務器上的應用層攻擊方法 | 騙。DNS 欺14.身份認證分為:單向認證雙向認證15. X.509證書包括：證書內容，簽名算法和 使用簽名算法對 證書所作的簽名三部分。防火墻主要通過服務控制方向控制用戶控制行為控制16. ，和四種手段來執行安全策略和實現網絡控制訪問。17. SOCKS只能用于TCP服務，而不能用于UDP服務。18. 典型的VPN組成包括 VPN 服務器 VPN客戶機 隧道 VPN 連接，和。19. IPSec定義的兩種通信保護機制分別是：ESP機制和 AH 機制。 20. 電子現金支付系統是一種預先付款的支付系統。21. 雙重簽名是SET中的一個重要的創新技術。三、判斷題1

9、. 以太網中檢查網絡傳輸介質是否已被占用的是沖突監測。（f ）2. 主機不能保證數據包的真實來源，構成了 IP地址欺騙的基礎。（t ）3. 掃描器可以直接攻擊網絡漏洞。（f ）4. DNS欺騙利用的是 DNS協議不對轉換和信息性的更新進行身份認證這一弱點。（t ）5. DDoS攻擊是與DoS無關的另一種拒絕服務攻擊方法。（f ）6. 公鑰密碼比傳統密碼更安全。（f ）7. 身份認證一般都是實時的，消息認證一般不提供實時性。（t ）8. 每一級CA都有對應的 RA （ t ）9. 加密/解密的密鑰對成功更新后，原來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰）f （進行歸檔管理。.讀書破萬卷下筆如有

10、神10 防火墻無法完全防止傳送已感染病毒的軟件或文件。（t ）11 所有的協議都適合用數據包過濾。（f ）12 構建隧道可以在網絡的不同協議層次上實現。（t ）13 .蜜網技術（Honeynet ）不是對攻擊進行誘騙或檢測。（t ）14 病毒傳染主要指病毒從一臺主機蔓延到另一臺主機。（f ）15電子商務中要求用戶的定單一經發岀，具有不可否認性。（t ）五、判斷題（每題1分，共15分）16.設計初期，TCP/IP通信協議并沒有考慮到安全性問題。（t ）目前沒有理想的方法可以徹底根除IP地址欺騙。（17. t ）非盲攻擊較盲攻擊的難度要大。（f ）18 緩沖區溢岀并不是一種針對網絡的攻擊方法。19

11、.（ t ）DDoS攻擊破壞性大，難以防范，也難以查找攻擊源，被認為是當前最有效的攻擊20.手法。 （t ）21 .身份認證只證實實體的身份，消息認證要證實消息的合法性和完整性。（t ）網狀信任模型單個 CA安全性的削弱不會影響到整個PKI o （ t ） 22 .防火墻將限制有用的網絡服務。23 （ t .）應用代理不能解決合法.IP地址不夠用的問題。（f ） 2425 . VPN中用戶需要擁有實際的長途數據線路。（f ）26. 對通信實體的身份進行認證的是IPSec的安全協議。(f )27. ESP頭插在IP報頭之后，TCP或UDP等傳輸協議報頭之前。(t )28. 入侵檢測系統能夠完成入

12、侵檢測任務的前提是監控、分析用戶和系統的活動。(t )29. 蜜罐(Honeypot )技術不會修補任何東西，只為使用者提供額外的、有價值的關于攻擊的 信息。(t )30電子商務中要求用戶的定單一經發岀，具有不可否認性。(t )31 .四、簡答題1. TCP/IP的分層結構以及它與 0SI七層模型的對應關系TCP/IP層析劃分0SI層次劃分應用層應用層會話層會話層傳輸層傳輸層.讀書破萬卷 下筆如有神網絡層網絡層數據鏈路層數據鏈路層物理層2. 簡述拒絕服務攻擊的概念和原理。拒絕服務攻擊的概念：廣義上講，拒絕服務(DoS, Denial of service )攻擊是指導致服務器不能正常提供服務的

13、攻擊。確切講，DoS攻擊是指故意攻擊網絡協議實現的缺陷或直接通過各種手段耗盡被攻擊對象的資源， 目的是讓目標計算機或網絡無法提供正常的服務，使目標系統停止響應，甚至崩潰。拒絕服務攻擊的基本原理是使被攻擊服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源,導致網絡或系統超負荷，以至于癱瘓而停止提供正常的網絡服務。3. 簡述交叉認證過程。首先，兩個CA建立信任關系。雙方安全交換簽名公鑰， 利用自己的私鑰為對方簽發數字證書，從而雙方都有了交叉證書。其次，利用CA的交叉證書驗證最終用戶的證書。對用戶來說就是利用本方CA公鑰來校驗對方 CA的交叉證書，從而決定對方 CA是否可信；再利用對方 CA的公鑰

14、來 校驗對方用戶的證書，從而決定對方用戶是否可信。4. 簡述SSL安全協議的概念及功能。SSL全稱是Secure Socket Layer （安全套接層）。在客戶和服務器兩實體之間建立了一個安全的 通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享 的秘密，SSL提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳輸 層之上，應用層之下，做到與應用層協議無關，幾乎所有基于TCP的協議稍加改動就可以在SSL上運行。5. 簡述好的防火墻具有的 5個特性。（1）所有在內部網絡和外部網絡之間傳輸的數據都必須經過防火墻；（2）只有被授權的合法數據，即防

15、火墻系統中安全策略允許的數據，可以通過防火墻；（3）防火墻本身不受各種攻擊的影響；（4）使用目前新的信息安全技術，如一次口令技術、智能卡等；（5）人機界面良好，用戶配置使用方便，易管理，系統管理員可以對發防火墻進行設置，對互連網的訪問者、被訪問者、訪問協議 及訪問權限進行限制。6. 簡述電子數據交換（EDI）技術的特點。特點：使用對象是不同的組織之間；所傳送的資料是一般業務資料；采用共同標準化的.下筆如有神讀書破萬卷 格式；盡量避免人工的介入操作，由收送雙方的計算機系統直接傳送、交換資料。 分）分，共30六、 簡答題（每題5協議的三次握手機制。簡述 TCP7.協議的三次握手機制如下：TCP服務

16、器端客戶端連接請求）=X （初始序號 連接請求）=X （初始序號 連接確認，X （初始序號=Y）確認= 連接確認，丫（初始序號=）確認=數確丫（序號=數據，確認=丫（序=X隧道的概念和分類。簡述 VPN8.隧道的概念： VPN隧道實質是一種數據封裝技術，即將一 種協議封裝在另一種協議中傳輸，從而實現被封協議作為封裝協議的隧裝協議對封裝協議的透明性，保持被封裝協議的安全特性。使用IP IP隧道協議。道協議稱為 VPN隧道技術的分類：幀里，再PPP第二層隧道：先把各種網絡層協議（如IP、IPX等）封裝到數據鏈路層的 把整個PPP幀裝入隧道協議里。第三層隧道：把各種網絡層協議直接裝入隧道協議中。的定

17、義，功能和組成。簡述IPSec 9 層提供通信安全而制定的一套協議簇，是一個工作組為VPN應用廣泛、開IPSec用定量的利用已知了在IP IPSec 是IETF IPSec提供所有在網絡層上的數據保護，進行透明的 放的安全協議體系。功能：安全通信。協議包括安全協議和密鑰協商兩部分。簡述異常入侵檢測和誤用入侵檢測。10.異常入侵檢測，能夠根據異常行為和使用計算機資源的情況檢測岀來的入侵。 系誤用入侵檢測，對超岀可接受的行為認為是入侵。方式描述可接受的行為特征， 讀書破萬卷下筆如有神統和應用軟件的弱點攻擊模型來檢測入侵。誤用入侵檢測直接檢測不可接受行為。11. 簡述病毒的定義及其破壞性的主要表現。

18、病毒的定義：病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能夠自我復制的一組計算機指令或者程序代碼。病毒的破壞性的主要表現：直接破壞計算機上的重要信息；搶占系統資源，降低系統性能； 竊取主機上的重要信息；破壞計算機硬件；導致網絡阻塞，甚至癱瘓；使郵件服務器、Web服務器不能提供正常服務。12. 簡述消息認證和身份認證的概念及兩者的差別。消息認證是一個證實收到的消息來自可信的源點且未被篡改的過程。身份認證是指證實客戶的真實身份與其所聲稱的身份是否相符的過程。身份認證與消息認證的差別：（1）身份認證一般都是實時的，消息認證一般不提供實時性；（2）身份認證只證實實

19、體的身份，消息認證要證實消息的合法性和完整性；（3）數字簽名是實現身份認證的有效途徑。五、綜述題1 簡述ARP的工作過程及ARP欺騙。ARP的工作過程：主機A不知道主機 B的MAC地址，以廣播方式發岀一個含有主機B的IP地址的ARP請求；網內所有主機受到 ARP請求后，將自己的IP地址與請求中的IP地址相比較，僅有 B做岀ARP 響應，其中含有自己的 MAC地址；（3）主機A收到B的ARP響應，將該條IP-MAC映射記錄寫入 ARP緩存中，接著進行通信。ARP欺騙：ARP協議用于IP地址到MAC地址的轉換，此映射關系存儲在 ARP緩存表中。當 ARP緩存表被他 人非法修改將導致發送給正確主機的

20、數據包發送給另外一臺由攻擊者控制的主機，這就是所謂的“ARP欺騙”。2 簡述包過濾型防火墻的概念、優缺點和應用場合。）包過濾型防火墻的概念：拒絕的決定。過濾規則基包過濾防火墻用一臺過濾路由器來實現對所接受的每個數據包做允許、 于協議包頭信息。包過濾型防火墻的優缺點：包過濾防火墻的優點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包也不必在每臺主機上安裝特定無需對用戶進行培訓，過濾防火墻對用戶和應用講是透明的。讀書破萬卷下筆如有神的軟件。包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內部主機的IP欺騙；任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險；普遍不支持有效的用戶認證；安全日志有限；過濾規則增加導致設備性能下降；包過濾防火墻無法對網絡上流動的信息提供全面的控制。包過濾型防火墻的應用場合：非集中化管理的機構；沒有強大的集中安全策略的機構；網絡的主機數比較少；主要依靠于主機來防止入侵，但當主機數增加到一定程度的時候，依靠主機安全是不夠的；沒有使用DHCP這樣的動態IP地址分配協議。七、綜述題（20分）1.簡述證書的概念、作用、獲取方式及其驗證過程。（10分）證書的概念：是一個經證書授權中心數字簽名的、包含公開密鑰擁有者信息以及公開密鑰的文件。證書的作用：用來向