网络信息安全期末答案new.doc

1、一、选择题1、下面关于入侵检测的组成叙述不正确的是（ C ） 。A事件产生器对数据流、日志文件等进行追踪 B响应单元是入侵检测系统中的主动武器 C事件数据库是入侵检测系统中负责原始数据采集的部分 D事件分析器将判断的结果转变为警告信息2、下面关于病毒校验和检测的叙述正确的是（ D ） 。A无法判断是被哪种病毒感染 B对于不修改代码的广义病毒无能为力C容易实现但虚警过多 DABC 都正确3、对企业网络最大的威胁是 （ D ）A、黑客攻击 B、外国政府 C、竞争对手 D、内部员工的恶意攻击4、拒绝服务攻击（ A ）A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B、全称是

2、 Distributed Denial Of ServiceC、拒绝来自一个服务器所发送回应请求的指令D、人侵控制一个服务器后远程关机5、网络监听是（ B ）A、远程观察一个用户的计算机 B、监视网络的状态、传输的数据流C、监视 PC 系统的运行情况 D、监视一个网站的发展方向6、局域网中如果某台计算机受到了 ARP_欺骗，那么它发送出去的数据包中， （ D ）地址是错误的。A、源 IP 地址 B、目标 IP 地址 C、源 MAC 地址 D、目标 MAC 地址7、计算机病毒是一种（ C ）A、软件故障 B、硬件故障 C、程序 D、细菌8、计算机病毒的特征不包括（ D ）A、传染性 B、隐藏性

3、C、破坏性 D、自生性9、为了避免冒名发送数据或发送后不承认的情况出现，可以采取的办法是（ B ）A、数字水印 B、数字签名 C、访问控制 D、发电子邮件确认10、数字证书采用公钥体制时，每个用户设定一把公钥，由本人公开，用其进行（ A ）A、加密和验证签名 B、解密和签名 C、签名 D、解密11、在公开密钥体制中，加密密钥即（ C ）A、解密密钥 B、私密密钥 C、公开密钥 D、私有密钥12、SET 协议又称为（ B ）A、安全套接层协议 B、安全电子交易协议C、信息传输安全协议 D、网上购物协议13、为确保企业局域网的信息安全，防止来自 Internet 的黑客入侵，采用( C )可以实现

4、一定的防范作用。A、网络管理软件 B、邮件列表 C、防火墙 D、防病毒软件14、防火墙最简单的技术是（ C ）A、安装保护卡 B、隔离 C、包过滤 D、设置进入密码15、下列关于防火墙的说法正确的是（ A ）A、防火墙的安全性能是根据系统安全的要求而设置的B、防火墙的安全性能是一致的，一般没有级别之分C、防火墙不能把内部网络隔离为可信任网络D、一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的管理系统16、Tom 的公司申请到 5 个 IP 地址，要使公司的 20 台主机都能联到 INTERNET 上，他需要防火墙的那个功能？（ B ）A、假冒 IP 地址的侦测 B、网络地址转换技术。

5、C、 内容检查技术 D、基于地址的身份认证。17、JOE 是公司的一名业务代表，经常要在外地访问公司的财务信息系统，他应该采用的安全、廉价的通讯方式是：（ B ）A、 PPP 连接到公司的 RAS 服务器上 B、远程访问 VPNC、 电子邮件 D、与财务系统的服务器 PPP 连接。18、IPS 能提供哪些防护（ D ） 。A、 网络架构防护 B、 网络性能防护 C、 核心应用防护 D、 以上皆可19、以下对于 IPS 描述正确的是（ A ） 。A、 是一种串联在网络上的设备 B、 是一种并联在网络上的设备 C、 是一种既可串联又可并联在网络上的设备D、 是一种既不可串联又不可并联在网络上的设备

6、20、不属于国外的杀毒软件有（ C ）A、ESET Nod32 B、McAfee VirusScanC、瑞星杀毒软件 D、CA Antivirus21、 下面不属于木马特征的是（ D ） 。A、 自动更换文件名，难于被发现 B、 程序执行时不占太多系统资源C、 不需要服务端用户的允许就能获得系统的使用权 D、 造成缓冲区的溢出，破坏程序的堆栈22、下面不属于端口扫描技术的是（ D ） 。A、 TCP connect()扫描 B、 TCP FIN 扫描C、 IP 包分段扫描 D、 Land 扫描23、负责产生、分配并管理 PKI 结构下所有用户的证书的机构是（ D ） 。A、 LDAP 目录服务

7、器 B、业务受理点C、 注册机构 RA D、认证中心 CA24、防火墙按自身的体系结构分为（ B ） 。A、 软件防火墙和硬件防火墙 B、包过滤型防火墙和双宿网关 C、 百兆防火墙和千兆防火墙 D、主机防火墙和网络防火墙 25、下面关于代理技术的叙述正确的是（ D ） 。A、能提供部分与传输有关的状态 B、能完全提供与应用相关的状态和部分传输方面的信息C、能处理和管理信息 D、ABC 都正确26、下面关于 ESP 传输模式的叙述不正确的是（ A ） 。A、并没有暴露子网内部拓扑 B、主机到主机安全 C、IPSEC 的处理负荷被主机分担 D、两端的主机需使用公网 IP 27、下面关于网络入侵检测

8、的叙述不正确的是（ C ） 。A、占用资源少 B、攻击者不易转移证据 C、容易处理加密的会话过程 D、检测速度快28、基于 SET 协议的电子商务系统中对商家和持卡人进行认证的是（ B ） 。A、收单银行 B、支付网关C、认证中心 D、发卡银行29、下面关于病毒的叙述正确的是（ D ） 。A、病毒可以是一个程序 B、病毒可以是一段可执行代码C、病毒能够自我复制 D、 ABC 都正确30、 下面不属于 SYN FLOODING 攻击的防范方法的是（ C ） 。A、缩短 SYN Timeout（连接等待超时）时间 B、利用防火墙技术C、 TCP 段加密 D、根据源 IP 记录 SYN 连接31、

9、下面不属于木马特征的是（ D ） 。A、 自动更换文件名，难于被发现 B、 程序执行时不占太多系统资源C、不需要服务端用户的允许就能获得系统的使用权 D、 造成缓冲区的溢出，破坏程序的堆栈32、计算机病毒的特征不包括（ D ） 。A、传染性 B、隐藏性 C、破坏性 D、自生性33、下面关于病毒的叙述正确的是（D） 。A、病毒可以是一个程序 B、病毒可以是一段可执行代码C、病毒能够自我复制 D、 ABC 都正确34、局域网中如果某台计算机受到了 ARP_欺骗，那么它发送出去的数据包中， （ D）地址是错误的。A、源 IP 地址 B、目标 IP 地址 C、源 MAC 地址 D、目标 MAC 地址二

10、、填空题1、IPSec 定义的两种通信保护机制分别是：ESP 机制和 AH 机制。2、PDRR 是美国国防部提出的常见安全模型。它概括了网络安全的整个环节， 即 Protection(保护)、Detect(监测)、React(反应)、Restore(恢复)。3、防火墙是在两个网络之间执行访问控制策略的一个或一组系统，其包括硬件和软件。4、诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法 DNS 欺骗。5、如果系统将一种病毒错报成另一种病毒则称为错报；如果系统未能检测出真正的入侵行为则称为漏报；如果系统把正常的系统文件报成为病毒则称为 误报 。6、PPDR 是美国国际互联网安全系统公

11、司（IIS）提出的可适应网络安全模型，它包括Policy、Protection、Detection、Response4 个部分。7、密码学中有几个基本并且最主要的术语，分别是明文、密文和秘钥。8、按密钥使用的数量不同，将密码体制分为单钥和公钥。9、根据事件分析器的检测策略的不同，入侵检测系统可分为：异常入侵检测和误用入侵检测。10、DoS 与 DDoS 的不同之处在于分布式。11、SSL 协议中双方的主密钥是在其握手协议产生的。三、分析题（15 分）阅读以下说明，回答问题 1 至问题 4，将解答填入答题纸对应的解答栏内。【说明】2012 年间，ARP 木马大范围流行。木马发作时，计算机网络连接

12、正常却无法打开网页。由于 ARP 木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。【问题 1】 （2 分） ARP 木马利用 （1）ARP 或地址解析协议 协议设计之初没有任何验证功能这一漏洞而实施破坏。【问题 2】 （3 分）在以太网中，源主机以 （2）广播 方式向网络发送含有目的主机 IP 地址的 ARP 请求包；目的主机或另一个代表该主机的系统，以 （3）单播 方式返回一个含有目的主机 IP 地址及其 MAC 地址对的应答包。源主机将这个地址对缓存起来，以节约不必要的 ARP 通信开销。ARP 协议 （4）没有规定 必须在接收到 ARP请求后才可以发送应答包。备选答案：

13、（2）A单播 B多播 C广播 D任意播（3）A单播 B多播 C广播 D任意播（4）A规定 B没有规定【问题 3】 （6 分）ARP 木马利用感染主机向网络发送大量虚假 ARP 报文，主机 （5）没有感染 ARP 木马时也有可能，感染 APR 木马时一定会 导致网络访问不稳定。例如：向被攻击主机发送的虚假 ARP 报文中，目的 IP 地址为（6） 网关 IP 地址。目的 MAC 地址为 （7）感染木马的主机 MAC 地址 。这样会将同网段内其他主机发往网关的数据引向发送虚假 ARP 报文的机器，并抓包截取用户口令信息。备选答案：（5）A只有感染 ARP 木马时才会B没有感染 ARP 木马时也有可

14、能C感染 ARP 木马时一定会D感染 ARP 木马时一定不会（6）A网关 IP 地址 B感染木马的主机 IP 地址C网络广播 IP 地址 D被攻击主机 IP 地址（7）A网关 MAC 地址 B被攻击主机 MAC 地址C网络广播 MAC 地址 D感染木马的主机 MAC 地址【问题 4】 （4 分） 网络正常时，运行如下命令，可以查看主机 ARP 缓存中的 IP 地址及其对应的 MAC 地址：C: arp （8） -a 备选答案： （8）A-s B-d C-all D-a假设在某主机运行上述命令后，显示如下图所示信息：00-10-db-92-aa-30 是正确的 MAC 地址。在网络感染 ARP

15、木马时，运行上述命令可能显示如下图所示信息：当发现主机 ARP 缓存中的 MAC 地址不正确时，可以执行如下命令清除 ARP 缓存： C: arp （9） -d 备选答案：（10）173.30.0.1 （11）00-10-db-92-aa-30（9）A-s B-d C-all D-a之后，重新绑定 MAC 地址，命令如下：C: arp -s （10）172.30.0.1 （11）00-10-db-92-aa-30 （10）A172.30.0.1 B172.30.1.13C00-10-db-92-aa-30 D00-10-db-92-00-31（11）A172.30.0.1 B172.30.1.

16、13C00-10-db-92-aa-30 D00-10-db-92-00-31四、简答题1、ARP 欺骗的概念？ （以下简称 ARP 病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制，由于其发作的时候会向全网发送伪造的 ARP 数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。2、拒绝服务攻击的概念?拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS 攻击，其目的是使目标计算机或网络无法提供正常的服务。3、什么是网络安全？网络安全的目标主要有哪些？ 网络安全是指保护

17、网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等。4、防火墙的概念，并简单描述防火墙的功能作用？在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施，有称为堡垒主机，对所有网络通信流进行过滤的节点。1）作为“扼制点” ，限制信息的进入或离开；2）防止侵入者接近并破坏你的内部设施；3）监视网络安全，提供安全日志并预警；4）实施网络地址转换，缓解地址短缺矛盾。防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。5、简述包过滤型防火墙

18、的概念、优点？包过滤防火墙根据数据包头信息对网络流量进行处理。包过滤技术的优点在于其容易实现，费用少，对性能影响不大，对流量的管理较出色。6、入侵监测系统(IDS)概念？ 入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”7、什么是计算机病毒？ 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。8、简述病毒处理的步骤？ 首先通过杀毒软件提供的信息，任务管理器提供的信息，还有时间查看器提供的信息，通过上网搜相关方案来查杀。如果没有任何资料，推荐在安全模式加关闭系统还原。

19、可以通过 msconfig 看启动项和服务项（非必要性的启动和服务都禁用）删除临时文件，最新文件，删除相关注册表文件。遇到删不掉的可以通过ICESWORD 先设置，然后强制删除。最后将杀毒软件和反间谍软件升级并查杀，再重启进入安全模式，确认问题是否还在。特别严重的话只能重新安装系统了。9、试列举 3 种基本网络测试命令及其使用方法？Ping Tracert Netsta Ipconfig Nslookup第一种：PingPing 是最为常用的测试网络故障的命令，它是测试网络联接状况以及信息包发送和接收状况的工具。它的主要作用是向目标主机发送一个数据包，并且要求目标主机在收到数据包时给予答复，来

20、判断网络的响应时间及本机是否与目标主机相互联通。如果执行 Ping 命令不成功，问题有可能出在网线故障，网络适配器配置不正确，IP 地址不正确等。如果执行 Ping 成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面。命令格式：Ping IP 地址或主机名 -t -a -n count -l size参数含义：-t 不停地向目标主机发送数据；-a 以 IP 地址格式来显示目标主机的网络地址；-n count 指定要 Ping 多少次，具体次数由 count 来指定；-l size 指定发送到目标主机的数据包的大小。第二种：Tracert使用 Tracert（跟踪路由）命令可以显示数

21、据包到达目标主机所经过的路径，并显示到达每个节点的时间。命令所获得的信息要比 Ping 命令较为详细，它把数据包所走的全部路径、节点的 IP 以及花费的时间都显示出来。命令格式：tracert IP 地址或主机名 -d-h maximumhops-j host_list -w timeout参数含义：-d 不解析目标主机的名字；-h maximum_hops 指定搜索到目标地址的最大跳跃数；-j host_list 按照主机列表中的地址释放源路由；-w timeout 指定超时时间间隔，程序默认的时间单位是毫秒。第三种：NetstatNetstat 是 DOS 命令，是一个监控 TCP/IP

22、网络的非常有用的工具，可以了解网络的整体使用情况。它可以显示路由表、实际的网络连接以 及每一个网络接口设备的状态信息，一般用于检验本机各端口的网络连接情况。利用命令参数，命令可以显示所有协议的使用状态，这些协议包括 TCP 协议、 UDP 协议以及 IP 协议等，另外还可以选择特定的协议并查看其具体信息，还能显示所有主机的端口号以及当前主机的详细路由信息。TCP/IP 可以容许数据报导致出错数据或故障类型的错误，但如果累计的出错情况数目占的百分比较大的时候，建议用 Netstat 查一查为什么会出现这些情况了。Netstat 在这方面还是很有作用的。命令格式：netstat -r -s -n

23、-a参数含义:-r 显示本机路由表的内容;-s 显示每个协议的使用状态(包括 TCP 协议、UDP 协议、IP 协议);-n 以数字表格形式显示地址和端口;-a 显示所有主机的端口号。第四种：IpconfigIpconfig 是调试计算机网络的常用命令，通常大家使用它显示计算机中网络适配器的 IP 地址、子网掩码及默认网关，这些必要的信息是我们排除网络故障的必要元素。不过这只是 Ipconfig 的不带参数用法，而它的带参数用法，在网络应用中也是很好的。总的参数简介(也可以在 DOS 方式下输入 Ipconfig /? 进行参数查询)Ipconfig /all：显示本机 TCP/IP 配置的详

24、细信息；Ipconfig /release：DHCP 客户端手工释放 IP 地址；Ipconfig /renew：DHCP 客户端手工向服务器刷新请求；Ipconfig /flushdns：清除本地 DNS 缓存内容；Ipconfig /displaydns：显示本地 DNS 内容；Ipconfig /registerdns：DNS 客户端手工向服务器进行注册；Ipconfig /showclassid：显示网络适配器的 DHCP 类别信息；Ipconfig /setclassid：设置网络适配器的 DHCP 类别。第五种：NslookupNslookup 命令用来判断域名系统(DNS)是否可用，可以显示域名系统的相关信息，用户可以通过该命令察看制定网站的 IP 地址。命令格式:nslookup -SubCommand . ComputerToFind| -Server使用方法：在 DOS 命令行下输入 nslookup，敲击回车，此时标识符变为，然后键入制定网站的域名，再敲击回车就可以显示该域名的相对应的 IP 地址。