计算机网络安全技术期末复习资料.docx
《计算机网络安全技术期末复习资料.docx》由会员分享,可在线阅读,更多相关《计算机网络安全技术期末复习资料.docx(19页珍藏版)》请在冰豆网上搜索。
计算机网络安全技术期末复习资料
计算机网络安全期末复习资料
一、单选题
1、网络安全5个基本要素包括:
机密性、完整性、(B)、可控性、可审查性。
A.可塑性B.可用性C.可选性D.可靠性
2、身份鉴别威胁主要包括4个方面:
口令圈套、(C)、算法考虑不周、编辑口令。
A.不安全服务B.窃听C.口令破解.D.逻辑炸弹.
3、安全隔离技术经过的5个发展阶段有:
完全隔离、硬件卡隔离、(A)、空气开关隔离、安全通道隔离。
A.数据转播隔离B.网络分段C.访问控制D.数据加密
4、蜜罐可以分为牺牲型蜜罐、(B)、测量型蜜罐三种基本类型。
A.软件型B.外观型蜜罐C.综合型D.硬件型
5、信息安全的三个基本要素是人、技术和(C)。
A.协议B.设备C.管理D.软件
6、网络安全的5个基本要素不包括以下(D)。
A.机密性B.完整性C.可用性D.可复制性
7、病毒属于(C)威胁。
A.物理B.系统漏洞C.有害程序D.身份鉴别
8、TCSEC评估准则中以下安全级别最高的是(D)级。
A.DB.C2C.B3D.A
9、(A)型蜜罐主要是用于研究攻击的特征和发展趋势,对攻击行为进行追踪和分析,了解攻击者所使用的攻击工具和方法,帮助安全组织研究系统所面临的威胁,以便更好地抵抗这些威胁。
A.研究B.产品C.白帽D.黑帽
10、数字签名能够提供身份认证、数据完整性和(D)等安全服务。
A.访问控制B.校验C.加密D.不可抵赖
11、非法接收者在截获密文后试图从中分析出明文的过程称为(B)。
A.攻击B.破译C.解密D.加密
12、关于DES的描述中,错误的是(B)。
A.采用64位的分组长度
B.是由ISO设计的数据加密标准。
C.密钥长度为64位,实际使用56位
D.是一个遵循Feistel密码结构的分组密码算法
13、以下不属于一个保密体制或保密系统组成部分的是C
A.明文、密文
B.密钥
C.间谍软件
D.加密算法和解密算法
14、下列不属于数字签名需要满足的要求的是B
A.发送者事后不能否认对报文的签名
B.接收者可以对发送者的报文进行修改
C.接收者能够核实发送者发送的报文签名
D.接收者不能伪造发送者的报文签名
15、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明(C)。
A.计算机网络是一个虚拟的世界
B.网络上所有的活动都是不可见的
C.身份认证的重要性和迫切性
D.网络应用中存在不严肃性
16、数字证书不包含(D)
A.CA签发证书时所使用的签名算法
B.证书的有效期
C.颁发机构的名称
D.证书持有者的私有密钥信息
17、CA的主要功能为(A)。
A.负责发放和管理数字证书
B.为用户提供证书的申请、下载、查询、注销和恢复等操作
C.确认用户的身份
D.定义了密码系统的使用方法和原则
18、PKI无法实现(B)。
A.数据的完整性
B.权限分配
C.身份认证
D.数据的机密性
19、一个典型的PKI组成部分,不包括(C)
A.PKI策略
B.软硬件系统
C.恶意程序扫描机构
D.认证机构CA
20、下列不属于PKI数字证书组成部分的是(B)
A.用户的公开密钥
B.用户的私钥
C.用户的名称
D.证书授权中心的数字签名
21、身份认证的三要素之一是“所知道的”。
下列不属于“所知道的”的是(C)
A.密码
B.生日
C.IC卡
D.机密问题
22、在Kerberos系统下,当用户资源要访问资源服务器上的资源时,由(C)发放一个“票据许可票据”给用户。
A.资源服务器
B.密钥分配中心
C.认证服务器
D.票据分配服务器
23、以下不属于生物特征身份认证的是(D)。
A.人脸识别
B.指纹
C.虹膜
D.智能卡
24、口令管理过程中,应该(D)。
A.把明口令直接存放在计算机的某个文件中
B.利用容易记住的单词作为口令
C.选用5个字母以下的口令
D.设置口令有效期,以此来强迫用户更换口令
25、以下属于身份认证协议的是(C)。
A.S/MIME
B.IPSec
C.S/Key
D.HTTP
26、不属于身份认证的是(B)
A.USBKey
B.访问控制
C.生物识别
D.用户名和口令
27、以下认证方式中,最为安全的是(C)。
A.用户名+验证码
B.用户名+密码
C.卡+指纹
D.卡+密码
28、TCP/IP体系参考模型分为(C)个层次。
A.7
B.5
C.4
D.3
29、物理层实现(D)的传输。
A.帧
B.分组
C.报文段
D.比特流
30、通常将TCP/IP体系的网络接口层分为()层和()层,成为常用的五层模型。
C
A.应用,传输
B.物理,数据链路
C.网络,传输
D.数据链路,网络
31、DNS服务提供()和()之间的映射。
A
A.域名IP
B.域名MAC
C.IPMAC
D.IP端口
32、DNS域名解析过程一般是迭代查询的过程。
如果在本地的DNS缓存中没有找到相关的记录,客户端就会向本地的DNS服务器发出查询请求。
如果本地DNS解服务器中没有找到相关的记录,那么DNS服务器就将该查询转发给(B)。
A.它的上一级DNS服务器
B.根域名服务器
C.权限域名服务器
D.一级域名服务器
33、在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询属于(D)。
A.域名劫持
B.拒绝服务攻击
C.DNSSEC
D.缓存中毒
34、ARP请求数据包的目的地址是(C)
A.单播地址
B.组播地址
C.广播地址
D.组播地址
35、以下说法正确的是(B)。
A.欺骗网关就是指伪装网关
B.欺骗网关就是指伪装内网主机
C.中间人攻击就是不需要知道收发双方的MAC地址也可以正常地进行数据帧的传输。
D.中间人攻击就是计算机上不设置网关,该计算机也能和其它网络中的计算机通信。
36、DHCPOFFER报文是(B)报文
A.广播
B.单播
C.组播
D.多播
37、DHCP客户端发送给服务器的DHCPREQUEST报文是(A)报文。
A.广播
B.单播
C.组播
D.多播
38、TCP协议的连接阶段要进行(C)报文握手。
A.一
B.二
C.三
D.四、
39、TCP协议的连接释放阶段要进行(D)报文握手。
A.一
B.二
C.三
D.四
40、若收发双方AB建立了TCP连接,A成功接收到B发来的序号为0-999的所有字节,那么A下面发给B的ack字段为(A)。
A.1000
B.999
C.1000*8
D.999*8
41、以下(B)不属于SYN泛洪攻击的防范方法
A.缩短TIMEout超时时间
B.在交换机上设置DHCPSNOOPING安全功能
C.SYNCookie
D.记录源IP记录
42、TCP/IP体系中(C)层可以解决不同广播域之间的互联问题。
A.应用
B.传输
C.网际
D.网络接口
43、SYN泛洪攻击是基于(B)协议的缺陷而引发的。
A.DNS
B.TCP
C.ARP
D.DHCP
44、交换机上的DHCPSnooping信任端口,可以过滤来自网络非法DHCP服务器或其他设备的非信任DHCP(C)报文。
A.请求
B.广播
C.响应
D.请求和响应
45、关于DNSSEC,以下说法不正确的是(D)。
A.DNS安全扩展
B.使用了公钥技术
C.对DNS中的信息进行数字签名
D.所有的DNS服务器均已部署
46、ARP中间人攻击(D)。
A.仅欺骗网关
B.仅欺骗内网主机
C.仅欺骗自身
D.同时欺骗内网主机和网关
47、对“防火墙本身是免疫的”这句话的正确理解是(A)。
A.防火墙本身具有抗攻击能力
B.防火墙本身具有清除计算机病毒的能力
C.防火墙本身具有对计算机病毒的免疫力
D.防火墙本身是不会死机的
48、防火墙是(B)在网络环境中的具体应用。
A.入侵检测技术
B.访问控制技术
C.身份认证技术
D.防病毒技术
49、以下关于传统防火墙的描述,不正确的是(C)。
A.工作效率较低,如果硬件配置较低或参数配置不当,防火墙将形成网络瓶颈
B.容易出现单点故障
C.可防内,不防外
D.存在结构限制,无法适应当前有线网络和无线网络并存的需要
50、下面对于个人防火墙的描述,不正确的是(A)。
A.所有的单机杀病毒软件都具有个人防火墙的功能
B.个人防火墙的功能与企业级防火墙类似,而配置和管理相对简单
C.个人防火墙是为防护接入互联网的单机操作系统而出现的
D.为了满足非专业用户的使用,个人防火墙的配置方法相对简单
51、加密在网络上的作用就是防止有价值的信息在网上被(D本题答案说法不一个人认为是D)。
A.拦截和破坏
B.拦截和窃取
C.篡改和损坏
D.篡改和窃取
52、以下哪一项不属于计算机病毒的防治策略:
(D)
A.防毒能力
B.查毒能力
C.解毒能力
D.禁毒能力
53.木马与病毒的最大区别是(B)
A.木马不破坏文件,而病毒会破坏文件
B.木马无法自我复制,而病毒能够自我复制
C.木马无法使数据丢失,而病毒会使数据丢失
D.木马不具有潜伏性,而病毒具有潜伏性
二、多选题
1、有害程序造成的威胁主要包括:
(ABCD)
A.逻辑炸弹B.特洛伊木马C.病毒D.间谍软件
2、安全性指标主要包括:
(ABC)
A.数据完整性B.数据保密性C.数据可用性D.数据一致性
3、TCSEC将计算机系统的安全划分为(A)个等级(C)个级别。
A.7B.3C.4D.9
4、物理安全,是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程,它主要包括()、()和()3个方面。
ABC
A.环境安全
B.设备安全
C.介质安全
D.人员安全
5、数字签名可以实现以下安全服务:
ABCD
A.防冒充(伪造)
B.鉴别身份
C.防篡改
D.防抵赖
PMI主要由属性权威、(C)和(D)3部分组成。
A.角色控制库
B.数字证书库
C.属性证书
D.属性证书库
6、数字证书的申请方式有(B)和(C)两种方式。
A.上门申请
B.离线申请
C.在线申请
D.柜台申请
7、PKI为用户提供的网上安全服务主要包括ABD
A.身份识别与鉴别(认证)
B.数据保密性和完整性
C.数据传输
D.不可否认性及时间戳服务
8、基于行为特征的生物识别技术有(ABC)
A.语音识别
B.签名识别
C.步态识别
D.指纹识别
9、ARP欺骗包含以下(ABC)。
A.中间人攻击
B.欺骗内网主机
C.欺骗网关
D.定时攻击
10、DHCP协议安全隐患的根源是(AC)。
A.DHCP协议不提供对客户端的认证
B.DHCP协议不提供对网关的认证
C.DHCP协议不提供对服务器端的认证
D.DHCP协议不提供对中间人的认证
三、判断题
1、网络安全研究的唯一动因是网络自身的设计缺陷。
F
2、可信任的计算机系统评价(TCSEC)”,按其封皮颜色被称之为(桔皮书),TCSEC评估准则分为4个方面:
安全政策、可说明性、安全保障和文档。
该标准将以上4个方面分为7个安全级别T
3、公安网与互联网之间的关系是逻辑隔离。
F
4、逻辑网络隔离一般通过网络设备的功能来实现。
T
5、蜜罐是一种重要网络资源,一定要防止其被扫描、攻击和攻陷。
F
6、AES属于Feistel结构F
7、MD5算法的特点是可以对任意长度的报文进行运算,得到的报文摘要长度均为128位。
T
8、非对称密码体制是使用双钥密码的加密方法。
T
9、RSA算法是一种对称加密算法。
F
10、PKI/PMI技术及应用(单元测验)
11、PMI的作用是证明这个用户是谁。
F
12、自主访问控制(DAC)也叫作基于规则的访问控制,强制访问控制(MAC)也叫基于身份的访问控制。
F
13、SSL是一种点对点之间构造的安全通道中传输数据的协议,它运行在应用层上。
F
14、在网络身份认证中采用审计的目的是对所有用户的行为进行记录,以便于进行核查。
T
15、当我们登录网上银行系统时,经常需要通过手机接收验证码来实现对用户的身份认证,该验证码是一种动态口令。
T
16、身份认证主要鉴别或确认访问者的身份是否属实,以防止攻击,保障网络安全。
T
17、数据链路层的编址是IP地址。
F
18、网络层采用IP逻辑编址。
T
19、DNS服务是一种最基础的网络服务,在设计之初就充分考虑了安全问题,提供了安全认证和数据完整性检查。
F
20、欺骗内网主机就是指伪装网关。
T
21、在用户计算机上绑定网关的IP地址和MAC地址,可有效地防范针对网关地址的ARP欺骗。
T
22、DHCP协议可以动态分配计算机的MAC地址。
F
23、DHCP协议是网络层协议。
F
24、预防非法的DHCP客户端,可以在交换机上进行DHCPSnooping信任端口的配置。
F
25、连接建立请求TCP报文的SYN=0。
F
26、如果向某个目标发送大量的伪造源IP的SYN报文,就有可能引发SYN泛洪攻击。
T
27、SYN泛洪攻击的基本原理就是耗尽主机的半开放连接资源。
T
28、“ARP-S网关IP网关MAC”可以静态设置网关IP和MAC的映射关系,在一定程度上可应对伪装网关形式的ARP攻击。
T
29、数据传输阶段的TCP报文段SYN位为1。
F
30、可以只开放一台WEB服务器的TCP80端口,防止恶意的入侵行为,提升服务器安全性。
T
31、DNS协议本身提供了身份认证和对数据的完整性检查。
F
32、除了本章介绍的DNSARPDHCPTCP四个协议,其它的TCP/IP协议都是安全的。
F
33、防火墙的最大弱点是“防内不防外”。
(F)
34、网络地址转换不是防火墙的基本功能之一。
F
35、防火墙检查的重点是网络协议及采用相关协议封装的数据。
T
36、包过滤防火墙是最早使用的一种防火墙技术。
T
37、包过滤防火墙工作在OSI参考模型的物理层。
F
38、状态检测防火墙跟踪数据包的状态,而不检查数据包中的头部信息。
F
四、填空题
1、PKI的技术基础是公开密钥体制和加密机制。
2、Kerberos是一种网络认证协议,麻省理工研发,其设计目标是通过密钥系统密钥系统为客户机/服务器应用程序提供强大的认证服务。
3、端口是传输层的编址。
四、名词解释
1.对称加密与非对称加密
在一个加密系统中,加密和解密使用同一个密钥,这种加密方式称为对称加密,也称为单密钥加密(2分)。
如果系统采用的是双密钥体系,存在两个相互关联的密码,其中一个用于加密,另一个用于解密,这种加密方法称为非对称加密,也称为公钥加密(2分)
2.蜜罐:
是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的陷阱系统(2分)。
设置蜜罐的目的主要是用于被侦听、被攻击,从而研究网络安全的相关技术和方法。
(2)
3.PKI:
PKI(公钥基础设施)是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。
PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书,这些安全服务主要包括身份识别与鉴别(认证)、数据保密性、数据完整性、不可否认性及时间戳服务等,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的(2分)。
PKI的技术基础之一是公开密钥体制(1分);PKI的技术基础之二是加密机制(1分)。
4.DNSSEC:
DNSSEC(域名系统安全扩展)是在原有的域名系统(DNS)上通过公钥技术,对DNS中的信息进行数字签名,从而提供DNS的安全认证和信息完整性检验(2分)。
发送方首先使用Hash函数对要发送的DNS信息进行计算,得到固定长度的“信息摘要”,然后对“信息摘要”用私钥进行加密,此过程实现了对“信息摘要”的数字签名;最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名,一起发送出来(1分)。
接收方首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密,得到解密后的“信息摘要”;接着用与发送方相同的Hash函数对接收到的DNS信息进行运算,得到运算后的“信息摘要”;最后,对解密后的“信息摘要”和运算后的“信息摘要”进行比较,如果两者的值相同,就可以确认接收到的DNS信息是完整的,即是由正确的DNS服务器得到的响应(1分)。
5.DoS攻击:
DoS(拒绝服务)攻击是一种实现简单但又很有效的攻击方式。
DoS攻击的目的就是让被攻击主机拒绝用户的正常服务访问,破坏系统的正常运行,最终使用户的部分Internet连接和网络系统失效(2分)。
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
(2分)
6.DNS缓存中毒:
DNS为了提高查询效率,采用了缓存机制,把用户查询过的最新记录存放在缓存中,并设置生存周期(TimeToLive,TTL)。
在记录没有超过TTL之前,DNS缓存中的记录一旦被客户端查询,DNS服务器(包括各级名字服务器)将把缓存区中的记录直接返回给客户端,而不需要进行逐级查询,提高了查询速率。
(2分)DNS缓存中毒利用了DNS缓存机制,在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。
由于缓存中大量错误的记录是攻击者伪造的,而伪造者可能会根据不同的意图伪造不同的记录。
由于DNS服务器之间会进行记录的同步复制,所以在TTL内,缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器,导致更多的DNS服务器中毒。
(2分)
7.机密性、完整性、可用性、可控性
机密性是确保信息不暴露给XX的人或应用进程(1分);完整性是指只有得到允许的人或应用进程才能修改数据,并且能够判别出数据是否已被更改(1分);可用性是指只有得到授权的用户在需要时才可以访问数据,即使在网络被攻击时也不能阻碍授权用户对网络的使用(1分);可控性是指能够对授权范围内的信息流向和行为方式进行控制(1分)。
8.PMI:
PMI(授权管理基础设施)是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离,由IETF提出的一种标准。
PMI的最终目标就是提供一种有效的体系结构来管理用户的属性。
PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理(2分)。
同PKI相比,两者主要区别在于PKI证明用户是谁,而PMI证明这个用户有什么权限、能干什么。
PMI需要PKI为其提供身份认证。
PMI实际提出了一个新的信息保护基础设施,能够与PKI紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行系统的定义和描述,完整地提供授权服务所需过程。
(2分)
9.防火墙:
防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合(2分),通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。
10.VPN:
VPN(虚拟专用网)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接(2分)。
从VPN的定义来看,其中“虚拟”是指用户不需要建立自己专用的物理线路,而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能;“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的,而是只有经过授权的用户才可以使用。
同时,该通道内传输的数据经过了加密和认证,从而保证了传输内容的完整性和机密性。
(2分)
11.DDoS攻击:
DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令,一般是采用一对一方式。
DDOS是在DOS基础上利用一批受控制的主机向一台主机发起攻击,其攻击强度和造成的威胁要比DOS严重的的。
五、简答题
1、简述ARP欺骗的实现原理及主要防范方法
由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,报文中的源IP地址和源MAC地址均可以进行伪造(2分)。
在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,ARP即可以针对主机,也可以针对交换机等网络设备(2分),等等。
目前,绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表,使得网络中的合法主机无法正常通信或通信不正常,如表示为计算机无法上网或上网时断时续等。
(2分)
针对主机的ARP欺骗的解决方法:
主机中静态ARP缓存表中的记录是永久性的,用户可以使用TCP/IP工具来创建和修改,如Windows操作系统自带的ARP工具,利用“arp-s网关IP地址网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态(static)。
(2分)
针对交换机的ARP欺骗的解决方法:
在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同,还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。
(2分)
2、如下图所示,简述包过滤防火墙的工作原理及应用特点。
包过滤(PacketFilter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙(2分)。
包过滤防火墙中的安全访问策略(过滤规则)是网络管理员事先设置好的,主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置,决定是否允许数据包通过防火墙。
(2分)
如图所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。
当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。
(2分)
包过滤防火墙主要特点:
过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定;防火墙在进行检查时,首先从过滤规则表中的第1个条目开始逐条进行,所以过滤规则表中条目的先后顺序非常重要;由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。
但包过滤防火墙无法识别基于应用层的恶意入侵。
另外,包过滤防火墙不能识别IP地址的欺骗,内部非授权的用户可以通过伪装成为合法IP地址的使用者来访问外部网络,同样外部被限制的主机也可以通过使用合法的IP地址来欺骗防火墙进入内部网络。
(4分)
3、根据实际应用,以个人防火墙为主,简述防火墙的主要功能及应用特点
防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能
升级会员 