1、试卷第 1 页 共 9 页网络安全复习题一一、 单选题1各种通信网和 TCP/IP 之间的接口是 TCP/IP 分层结构中的(A ) 。A. 数据链路层 B. 网络层 C. 传输层 D. 应用层2. 下面不属于木马特征的是( D ) 。A. 自动更换文件名,难于被发现 B. 程序执行时不占太多系统资源C. 不需要服务端用户的允许就能获得系统的使用权 D. 造成缓冲区的溢出,破坏程序的堆栈3. 下面不属于端口扫描技术的是(D ) 。A. TCP connect()扫描 B. TCP FIN 扫描C. IP 包分段扫描 D. Land 扫描4. 负责产生、分配并管理 PKI 结构下所有用户的证书的
2、机构是( D ) 。A. LDAP 目录服务器 B. 业务受理点C. 注册机构 RA D. 认证中心 CA5防火墙按自身的体系结构分为(B ) 。A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6下面关于代理技术的叙述正确的是( D ) 。A能提供部分与传输有关的状态 B能完全提供与应用相关的状态和部分传输方面的信息C能处理和管理信息 DABC 都正确7下面关于 ESP 传输模式的叙述不正确的是( A ) 。A并没有暴露子网内部拓扑 B主机到主机安全 CIPSEC 的处理负荷被主机分担 D两端的主机需使用公网 IP 8. 下
3、面关于网络入侵检测的叙述不正确的是( C ) 。A占用资源少 B攻击者不易转移证据 C容易处理加密的会话过程 D检测速度快9. 基于 SET 协议的电子商务系统中对商家和持卡人进行认证的是( B ) 。A收单银行 B支付网关C认证中心 D发卡银行10. 下面关于病毒的叙述正确的是( D ) 。试卷第 2 页 共 9 页A病毒可以是一个程序 B病毒可以是一段可执行代码C病毒能够自我复制 D ABC 都正确复习题二二、 单选题(每题 1 分,共 10 分)1下面不属于按网络覆盖范围的大小将计算机网络分类的是( c ) 。A. 互联网 B. 广域网 C. 通信子网 D. 局域网2. 下面不属于 SY
4、N FLOODING 攻击的防范方法的是(c ) 。A. 缩短 SYN Timeout(连接等待超时)时间 B. 利用防火墙技术C. TCP 段加密 D. 根据源 IP 记录 SYN 连接3. 下面不属于木马伪装手段的是( a ) 。A. 自我复制 B. 隐蔽运行C. 捆绑文件 D. 修改图标4. 负责证书申请者的信息录入、审核以及证书发放等工作的机构是( c ) 。A. LDAP 目录服务器 B. 业务受理点C. 注册机构 RA D. 认证中心 CA5下面哪种信任模型的扩展性较好(c ) 。A. 单 CA 信任模型 B. 网状信任模型 C. 严格分级信任模型 D. Web 信任模型 6下面关
5、于包过滤型防火墙协议包头中的主要信息叙述正确的是( d ) 。A包括 IP 源和目的地址 B包括内装协议和 TCP/UDP 目标端口 C包括 ICMP 消息类型和 TCP 包头中的 ACK 位 DABC 都正确7下面关于 LAN-LAN 的叙述正确的是( c ) 。A增加 WAN 带宽的费用 B不能使用灵活的拓扑结构 C新的站点能更快、更容易地被连接 D不可以延长网络的可用时间 8. 下面关于 ESP 隧道模式的叙述不正确的是( b ) 。试卷第 3 页 共 9 页A安全服务对子网中的用户是透明的 B子网内部拓扑未受到保护 C网关的 IPSEC 集中处理 D对内部的诸多安全问题将不可控9. 下
6、面关于入侵检测的组成叙述不正确的是( c ) 。A事件产生器对数据流、日志文件等进行追踪 B响应单元是入侵检测系统中的主动武器 C事件数据库是入侵检测系统中负责原始数据采集的部分 D事件分析器将判断的结果转变为警告信息10. 下面关于病毒校验和检测的叙述正确的是( d ) 。A无法判断是被哪种病毒感染 B对于不修改代码的广义病毒无能为力C容易实现但虚警过多 DABC 都正确三、 填空题1. IP 协议提供了 数据报 的 尽力而为 的传递服务。2. TCP/IP 链路层安全威胁有: 以太网共享信道的侦听 , MAC 地址的修改 , ARP 欺骗 。3. DoS 与 DDoS 的不同之处在于: 攻
7、击端不需要占领大量傀儡机 。证书的作用是: 用来向系统中其他实体证明自己的身份 和 分发公钥4. 。 5. SSL 协议中双方的主密钥是在其 握手 协议产生的。VPN 的两种实现形式: .Client-LAN 和 LAN-LAN6. 。7. IPSec 是为了在 IP 层提供通信安全而制定的一套 协议簇 ,是一个应用广泛、开放的 VPN 安全协议体系 。8. 根据检测原理,入侵检测系统分为 异常入侵检测 , 误用入侵检测 。9. 病毒技术包括: 寄生 技术, 驻留 技术, 加密变形 技术和 隐藏 技术。10.电子商务技术体系结构的三个层次是 网络平台 , 安全基础结构 和 电子商务业务 ,一个
8、支柱是公共基础部分 。11.防火墙的两种姿态 拒绝没有特别允许的任何事情 和 允许没有特别试卷第 4 页 共 9 页拒绝的任何事情四、 填空题(每空 1 分,共 25 分)11.TCP/IP 层次划分为_数据链路_层、_网络_层、_传输_层、_应用_层。12.TCP 协议的滑动窗口协议的一个重要用途是 流量控制 。13.诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法 DNS 欺骗 。14.身份认证分为: 单向认证 和 双向认证 。15.X.509 证书包括: 证书内容 , 签名算法 和 使用签名算法对证书所作的签名 三部分。防火墙主要通过 服务控制 方向控制 用户控制 行为控制1
9、6. , , 和 四种手段来执行安全策略和实现网络控制访问。17.SOCKS 只能用于 TCP 服务,而不能用于 UDP 服务。18.典型的 VPN 组成包括 VPN 服务器 VPN 客户机 隧道 VPN 连接 , , 和 。19.IPSec 定义的两种通信保护机制分别是: ESP 机制和 AH 机制。20.电子现金支付系统是一种 预先付款 的支付系统。21. 双重签名 是 SET 中的一个重要的创新技术。三、判断题1 以太网中检查网络传输介质是否已被占用的是冲突监测。 ( f )2 主机不能保证数据包的真实来源,构成了 IP 地址欺骗的基础。 ( t)3 扫描器可以直接攻击网络漏洞。 ( f
10、 )4 DNS 欺骗利用的是 DNS 协议不对转换和信息性的更新进行身份认证这一弱点。 (t )5 DDoS 攻击是与 DoS 无关的另一种拒绝服务攻击方法。 ( f)6 公钥密码比传统密码更安全。 ( f )7 身份认证一般都是实时的,消息认证一般不提供实时性。 ( t )8 每一级 CA 都有对应的 RA。 ( t )9 加密/解密的密钥对成功更新后,原来密钥对中用于签名的私钥必须安全销毁,公钥进行归档管理。 ( f )10 防火墙无法完全防止传送已感染病毒的软件或文件。 (t )11 所有的协议都适合用数据包过滤。 ( f )12 构建隧道可以在网络的不同协议层次上实现。 ( t )13
11、 蜜网技术(Honeynet)不是对攻击进行诱骗或检测。 ( t )14 病毒传染主要指病毒从一台主机蔓延到另一台主机。 (f )试卷第 5 页 共 9 页15 电子商务中要求用户的定单一经发出,具有不可否认性。 ( t )五、 判断题(每题 1 分,共 15 分)16 设计初期,TCP/IP 通信协议并没有考虑到安全性问题。 (t )17 目前没有理想的方法可以彻底根除 IP 地址欺骗。 ( t )18 非盲攻击较盲攻击的难度要大。 (f )19 缓冲区溢出并不是一种针对网络的攻击方法。 ( t )20 DDoS 攻击破坏性大,难以防范,也难以查找攻击源,被认为是当前最有效的攻击手法。 (
12、t )21 身份认证只证实实体的身份,消息认证要证实消息的合法性和完整性。 ( t )22 网状信任模型单个 CA 安全性的削弱不会影响到整个 PKI。 ( t )23 防火墙将限制有用的网络服务。 ( t )24 应用代理不能解决合法 IP 地址不够用的问题。 ( f )25 VPN 中用户需要拥有实际的长途数据线路。 ( f )26 对通信实体的身份进行认证的是 IPSec 的安全协议。 ( f)27 ESP 头插在 IP 报头之后,TCP 或 UDP 等传输协议报头之前。 ( t )28 入侵检测系统能够完成入侵检测任务的前提是监控、分析用户和系统的活动。 ( t )29 蜜罐(Hone
13、ypot)技术不会修补任何东西,只为使用者提供额外的、有价值的关于攻击的信息。 (t )30 电子商务中要求用户的定单一经发出,具有不可否认性。 ( t )31四、简答题 TCP/IP 的分层结构以及它与 OSI 七层模型的对应关系。TCP/IP 层析划分 OSI 层次划分应用层应用层会话层传输层会话层传输层网络层 网络层数据链路层数据链路层物理层 简述拒绝服务攻击的概念和原理。拒绝服务攻击的概念:试卷第 6 页 共 9 页广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS 攻击是指故意攻击网络协议实现的缺陷或直接通过各种手
14、段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。 简述交叉认证过程。首先,两个 CA 建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用 CA 的交叉证书验证最终用户的证书。对用户来说就是利用本方 CA 公钥来校验对方 CA 的交叉证书,从而决定对方 CA 是否可信;再利用对方 CA 的公钥来校验对方用户的证书,从而决定对方用户是否可信。 简述 SS
15、L 安全协议的概念及功能。SSL 全称是 Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL 提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于 TCP 的协议稍加改动就可以在 SSL 上运行。 简述好的防火墙具有的 5 个特性。(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火
16、墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。 简述电子数据交换(EDI)技术的特点。特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。六、 简答题(每题 5 分,共 30 分) 简述 TCP 协议的三次握手机制。TCP 协议的三次握手机制如下:试卷第 7 页 共 9 页连接请求(初始序号=X)连接确认(初始序号=Y , 确认
17、=X)数据(序号=X , 确认= Y)数据(序号=X , 确认= Y)连接确认(初始序号=Y , 确认=X)连接请求(初始序号=X)客户端 服务器端 简述 VPN 隧道的概念和分类。VPN 隧道的概念:隧道实质是一种数据封装技术,即将一种协议封装在另一种协议中传输,从而实现被封装协议对封装协议的透明性,保持被封装协议的安全特性。使用 IP 协议作为封装协议的隧道协议称为 IP 隧道协议。VPN 隧道技术的分类:第二层隧道:先把各种网络层协议(如 IP、IPX 等)封装到数据链路层的 PPP 帧里,再把整个 PPP 帧装入隧道协议里。第三层隧道:把各种网络层协议直接装入隧道协议中。 简述 IPS
18、ec 的定义,功能和组成。IPSec 是 IETF IPSec 工作组为了在 IP 层提供通信安全而制定的一套协议簇,是一个应用广泛、开放的 VPN 安全协议体系。功能:提供所有在网络层上的数据保护,进行透明的安全通信。IPSec 协议包括安全协议和密钥协商两部分。 简述异常入侵检测和误用入侵检测。异常入侵检测,能够根据异常行为和使用计算机资源的情况检测出来的入侵。用定量的方式描述可接受的行为特征,对超出可接受的行为认为是入侵。误用入侵检测,利用已知系统和应用软件的弱点攻击模型来检测入侵。误用入侵检测直接检测不可接受行为。 简述病毒的定义及其破坏性的主要表现。病毒的定义:病毒是指编制或者在计算
19、机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。病毒的破坏性的主要表现:直接破坏计算机上的重要信息;抢占系统资源,降低系统试卷第 8 页 共 9 页性能;窃取主机上的重要信息;破坏计算机硬件;导致网络阻塞,甚至瘫痪;使邮件服务器、Web 服务器不能提供正常服务。 简述消息认证和身份认证的概念及两者的差别。消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程。身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。身份认证与消息认证的差别:(1)身份认证一般都是实时的,消息认证一般不提供实时性;(2)身份认证只证实实体的身份,消息
20、认证要证实消息的合法性和完整性;(3)数字签名是实现身份认证的有效途径。五、 综述题简述 ARP 的工作过程及 ARP 欺骗。ARP 的工作过程:(1)主机 A 不知道主机 B 的 MAC 地址,以广播方式发出一个含有主机 B 的 IP 地址的ARP 请求;(2)网内所有主机受到 ARP 请求后,将自己的 IP 地址与请求中的 IP 地址相比较,仅有 B 做出 ARP 响应,其中含有自己的 MAC 地址;(3)主机 A 收到 B 的 ARP 响应,将该条IP-MAC 映射记录写入 ARP 缓存中,接着进行通信。ARP 欺骗:ARP 协议用于 IP 地址到 MAC 地址的转换,此映射关系存储在
21、ARP 缓存表中。当 ARP 缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP 欺骗” 。简述包过滤型防火墙的概念、优缺点和应用场合。 )包过滤型防火墙的概念:包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。包过滤型防火墙的优缺点:包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的 IP 欺骗;任何直接经过路由器
22、的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。包过滤型防火墙的应用场合:非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没试卷第 9 页 共 9 页有使用 DHCP 这样的动态 IP 地址分配协议。七、 综述题(20 分)1. 简述证书的概念、作用、获取方式及其验证过程。 (10 分)证书的概念:是一个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。证书的作
23、用:用来向系统中其他实体证明自己的身份;分发公钥。证书的获取方式:(1)发送者发送签名信息时附加发送证书;(2) 单独发送证书信息;(3) 访问证书发布的目录服务器;(4) 从证书相关实体获得。证书的验证过程:(1) 将客户端发来的数据解密;(2) 将解密后的数据分解成原始数据、签名数据、客户证书三个部分;(3) 用 CA 根证书验证客户证书的签名完整性;(4) 检查客户证书是否有效;(5)检查客户证书是否作废;(6)验证客户证书结构中的证书用途;(7)客户证书验证原始数据的签名完整性;(8)如以上各项均验证通过,则接收该数据。2.简述包过滤型防火墙的概念、优缺点和应用场合。 (10 分).包
24、过滤型防火墙的概念:包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。包过滤型防火墙的优缺点:包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的 IP 欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。包过滤型防火墙的应用场合:非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用 DHCP 这样的动态 IP 地址分配协议。
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。