网络安全简答题.docx
《网络安全简答题.docx》由会员分享,可在线阅读,更多相关《网络安全简答题.docx(9页珍藏版)》请在冰豆网上搜索。
网络安全简答题
网络安全简答题
网络安全简答题精选
一、简答题
1、简述物理安全包括那些内容?
防盗,防火,防静电,防雷击和防电磁泄漏
2、简述防火墙有哪些基本功能?
(写出五个功能)
建立一个集中的监视点
隔绝内外网络,保护内部网络
强化网络安全策略
对网络存取和访问进行监控和审计
实现网络地址转换
3、简述无线局域网由那些硬件组成?
无线局域网由无线网卡、AP、无线网桥、计算机和有关设备组成。
4、简述网络安全的层次体系
从层次体系上,可以将网络安全分成四个层次上的安全:
物理、逻辑、操作系统和联网安全
5、简述TCP/IP协议族的基本结构
TCP/IP协议族是一个四层协议系统,自底而上分别是数据链路层、网络层、传输层和应用层。
6、简述网络扫描的分类及每类的特点
扫描,一般分成两种策略:
一种是主动式策略,另一种是被动式策略。
被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查,不会对系统造成破坏。
主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。
7、简述常用的网络攻击手段
网络监听、病毒及密码攻击、欺骗攻击
拒绝服务攻击、应用层攻击、缓冲区溢出
8、简述后门和木马的概念并说明两者的区别
<二>应对:
1.对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包的复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。
2.建议在该网段的路由器上做些配置的调整,这些调整包括限制SYN半开数据包的流量和个数。
3.建议在路由器的前端多必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可以进入该网段,这样可以有效的保护本网段内的服务器不受此类攻击。
17.简述IPSec策略的工作原理。
IPAH提供了无连接的完整性、数据起源的身份验证和一个可选的防止重放的服务。
ESP能够提供机密性和受限制的流量机密性,它也能提供无连接的完整性、数据起源的身份验证和防止重放服务。
AH和ESP可单独应用或组合起来在IPv4和v6提供一个所需的安全服务集;都支持两种使用模式:
传输模式和隧道模式
18.如何删除默认共享。
(1)开始--运行(输入)cmd弹出命令提示符;
(2)在命令提示符输入:
netshare查看系统中的共享;
(3)关闭默认共享输入:
netshare共享名(如C$)/del。
19.如何关闭不需要的端口和服务
关闭端口。
比如在Windows2000/XP中关闭SMTP服务的25端口,可以这样做:
首先打开“控制面板”,双击“管理工具”,再双击“服务”。
接着在打开的服务窗口中找到并双击“SimpleMailTransferProtocol(SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。
这样,关闭了SMTP服务就相当于关闭了对应的端口。
20.什么是主动攻击?
什么是被动攻击?
主动攻击包含攻击者访问他所需信息的故意行为。
主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。
被动攻击包括嗅探、信息收集等攻击方法。
21.在密码学中,明文,密文,密钥,加密算法和解密算法称为五元组。
试说明这五个基本概念。
明文:
计算机数据加密语言、加密前的原始数据
密文:
加密后的消息称为密文。
密钥:
一种参数明文转化成密文或相反时在算法中输入的数据
加密算法:
将一个消息经过加密钥匙及加密函数,变成无意义的密文
解密算法:
密文经过解密密钥及解密函数转换成明文的函数
22.网络攻击和防御分别包括哪些内容?
攻击:
(1)网络监听:
自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:
利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:
当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:
成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:
入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御:
(1)安全操作系统和操作系统的安全配置:
操作系统是网络安全的关键。
(2)加密技术:
为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:
利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:
如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:
保证传输的数据不被截获和监听
23.简述OSI参考模型的结构
从低到高:
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
24.简述研究恶意代码的必要性。
在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。
如今,恶意代码已成为信息战、网络战的重要手段。
日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。
二、综述题
1.简述ARP欺骗的实现原理及主要防范方法。
答:
由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,报文中的源IP地址和源MAC地址均可以进行伪造(2分)。
在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,ARP即可以针对主机,也可以针对交换机等网络设备(2分),等等。
目前,绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表,使得网络中的合法主机无法正常通信或通信不正常,如表示为计算机无法上网或上网时断时续等。
(2分)
针对主机的ARP欺骗的解决方法:
主机中静态ARP缓存表中的记录是永久性的,用户可以使用TCP/IP工具来创建和修改,如Windows操作系统自带的ARP工具,利用“arp-s网关IP地址网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态(static)。
(2分)
针对交换机的ARP欺骗的解决方法:
在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同,还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。
(2分)
2.如图所示,描述DDoS攻击的实现方法。
答:
DDoS攻击是利用一批受控制的主机向一台主机发起攻击,其攻击的强度和造成的威胁要比DoS攻击严重得多,当然其破坏性也要强得多。
(2分)
在整个DDoS攻击过程中,共有四部分组成:
攻击者、主控端、代理服务器和被攻击者,其中每一个组成在攻击中扮演的角色不同。
(1)攻击者。
攻击者是指在整个DDoS攻击中的主控台,它负责向主控端发送攻击命令。
与DoS攻击略有不同,DDoS攻击中的攻击者对计算机的配置和网络带宽的要求并不高,只要能够向主控端正常发送攻击命令即可。
(2分)
(2)主控端。
主控端是攻击者非法侵入并控制的一些主机,通过这些主机再分别控制大量的代理服务器。
攻击者首先需要入侵主控端,在获得对主控端的写入权限后,在主控端主机上安装特定的程序,该程序能够接受攻击者发来的特殊指令,并且可以把这些命令发送到代理服务器上。
(2分)
(3)代理服务器。
代理服务器同样也是攻击者侵入并控制的一批主机,同时攻击者也需要在入侵这些主机并获得对这些主机的写入权限后,在上面安装并运行攻击器程序,接受和运行主控端发来的命令。
代理服务器是攻击的直接执行者,真正向被攻击主机发送攻击。
(2分)
(4)被攻击者。
是DDoS攻击的直接受害者,目前多为一些大型企业的网站或数据库系统。
(2分)
3.如下图所示,详细描述包过滤防火墙的工作原理及应用特点。
答:
包过滤(PacketFilter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙(2分)。
包过滤防火墙中的安全访问策略(过滤规则)是网络管理员事先设置好的,主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置,决定是否允许数据包通过防火墙。
(2分)
如图所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。
当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。
(2分)
包过滤防火墙主要特点:
过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定;防火墙在进行检查时,首先从过滤规则表中的第1个条目开始逐条进行,所以过滤规则表中条目的先后顺序非常重要;由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。
但包过滤防火墙无法识别基于应用层的恶意入侵。
另外,包过滤防火墙不能识别IP地址的欺骗,内部非授权的用户可以通过伪装成为合法IP地址的使用者来访问外部网络,同样外部被限制的主机也可以通过使用合法的IP地址来欺骗防火墙进入内部网络。
(4分)
4.根据实际应用,以个人防火墙为主,简述防火墙的主要功能及应用特点。
答:
防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。
(2分)
个人防火墙是一套安装在个人计算机上的软件系统,它能够监视计算机的通信状况,一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接,以此实现对个人计算机上重要数据的安全保护。
(2分)
个人防火墙是在企业防火墙的基础上发展起来,个人防火墙采用的技术也与企业防火墙基本相同,但在规则的设置、防火墙的管理等方面进行了简化,使非专业的普通用户能够容易地安装和使用。
(2分)
为了防止安全威胁对个人计算机产生的破坏,个人防火墙产品应提供以下的主要功能。
防止Internet上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与其他安全产品进行集成。
(4分)
5.Kerberos协议分为两个部分:
1.Client向KDC发送自己的身份信息,KDC从TicketGrantingService得到TGT(ticket-grantingticket),并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。
此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT。
(此过程避免了Client直接向KDC发送密码,以求通过验证的不安全方式)
2.Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。
Kerberos协议的重点在于第二部分,简介如下:
1.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC,KDC中的TicketGrantingService将为Client和Service之间生成一个SessionKey用于Service对Client的身份鉴别。
然后KDC将这个SessionKey和用户名,用户地址(IP),服务名,有效期,时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service,不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service.所以有了第二步。
2.此时KDC将刚才的Ticket转发给Client。
由于这个Ticket是要给Service的,不能让Client看到,所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。
同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的SessionKey),KDC用Client与它之间的密钥将SessionKey加密随加密的Ticket一起返回给Client。
3.为了完成Ticket的传递,Client将刚才收到的Ticket转发到Service.由于Client不知道KDC与Service之间的密钥,所以它无法算改Ticket中的信息。
同时Client将收到的SessionKey解密出来,然后将自己的用户名,用户地址(IP)打包成Authenticator用SessionKey加密也发送给Service。
4.Service收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来,从而获得SessionKey和用户名,用户地址(IP),服务名,有效期。
然后再用SessionKey将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。
5.如果Service有返回结果,将其返回给Client。
6.下列公钥密码分配体制可能受到的攻击,如何改进使该密钥分配具有保密和认证功能
①A向B发送自己产生的公钥和A的身份;
②B收到消息后,产生对称密钥Ks,用公钥加密后传送给A;
③A用私钥解密后得到Ks。
①中间人攻击,攻击者可以截获用户A的数据冒充A生成公私钥对,将生成的该公钥发送给用户B,用户B使用攻击者的公钥签名,发送给A,攻击者截获后用私钥解密,查看信息
②密钥交换双方通过数字签名和数字证书相互认证可以挫败中间人攻击
③需要一个可信任的第三方CA,它负责验证所有人的身份,CA首先认真检查所有人的身份然后给他们颁发数字证书,证书包括持有人的信息和他的公钥,还可以有其他更复杂的信息,数字证书不可被篡改
升级会员 