网络管理员网络安全三.docx
《网络管理员网络安全三.docx》由会员分享,可在线阅读,更多相关《网络管理员网络安全三.docx(17页珍藏版)》请在冰豆网上搜索。
网络管理员网络安全三
网络管理员-网络安全(三)
(总分:
88.00,做题时间:
90分钟)
一、单项选择题(总题数:
38,分数:
88.00)
1.利用软件工具Sniffer可以实现______。
A.欺骗攻击B.网络监听
C.DoS攻击D.截获Windows登录密码
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]本题考查软件工具Sniffer的用途。
Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
2.防火墙NAT功能主要目的是______。
A.进行入侵检测B.隐藏内部网络IP地址及拓扑结构信息
C.防止病毒入侵D.对应用层进行侦测和扫描
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]考查NAT的含义和作用。
网络地址转换(NetworkAddressTranslation,NAT)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
3.防火墙通常分为内网、外网和DMZ三个区域,按照受保护程度,从高到低正确的排列次序为______。
A.内网、外网和DMZB.外网、内网和DMZ
C.DMZ、内网和外网D.内网、DMZ和外网
(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]本题考查防火墙的概念。
防火墙最本质的目的是隔离内网与外网,保障内网的安全性。
DMZ称为“隔离区”,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
因此,按照受保护程度,从高到低依次为内网、DMZ和外网。
4.脚本漏洞主要攻击的是______。
A.PCB.服务器C.平板电脑D.智能手机
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]本题考查脚本漏洞的概念。
网站使用脚本语言编写,由于编程语言的发展脚本语言编写的网站常常会出现漏洞,为了搜集用户信息,攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺骗用户。
一旦得手,他们可以盗取用户账户,修改用户设置,盗取/污染cookie,做虚假广告等。
网站一般挂在服务器上,因此,脚本漏洞主要攻击的对象为服务器。
5.下列病毒中,属于宏病毒的是______。
A.Trojan.QQ3344B.Js.Fortnight.c.s
C.Macro.MelissaD.VBS.Happytime
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]Trojan.QQ3344是木马,Js.Fortnight.c.s是脚本病毒,Macro.Melissa是宏病毒,VBS.happytime是一个感染VBS、html和脚本文件的脚本类病毒。
6.Alice发送带数字签名的消息共有以下4个步骤,步骤的正确顺序是______。
1.Alice生成消息摘要2.Alice生成消息3.Alice发送消息4.Alice利用私钥生成签名
A.1234B.1243C.2143D.2134
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]发送带数字签名的消息分为生成消息、生成消息摘要、利用私钥生成签名和发送消息4个步骤。
7.在非对称密钥系统中,甲向乙发送机密信息,乙利用______解密该信息。
A.甲的公钥B.甲的私钥C.乙的公钥D.乙的私钥
(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]本题考查网络安全方面的知识。
在非对称密钥系统中,甲通过用乙的公钥对数据加密的方法向乙发送机密信息,乙收到机密信息后,利用自己的私钥解密该信息。
8.下面加密算法中,加密和解密需要用不同密钥的是______。
A.AESB.RSAC.IDEAD.DES
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]RSA公开密钥密码体制。
所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
RSA加密和解密需要用不同密钥,所以本题的答案是B。
9.DDoS攻击的特征不包括______。
A.攻击者从多个地点发起攻击
B.被攻击者处于“忙”状态
C.攻击者通过入侵,窃取被攻击者的机密信息
D.被攻击者无法提供正常的服务
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]DDOS的全名是DistributedDenialofservice(分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。
攻击者从多个地点发起攻击,被攻击者处于“忙”状态,被攻击者无法提供正常的服务。
从认证中心CA获取用户B的数字证书,该证书用______做数字签名;从用户B的数字证书中可以获得______。
(分数:
4.00)
(1).A.CA的公钥B.CA的私钥C.B的公钥D.B的私钥
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。
从认证中心CA获取用户B的数字证书,该证书用CA的私钥做数字签名;从用户B的数字证书中可以获得B的公钥。
(2).A.CA的公钥B.CA的私钥C.B的公钥D.B的私钥(分数:
2.00)
A.
B.
C. √
D.
解析:
10.利用______可以获取某FTP服务器中是否存在可写目录的信息。
A.防火墙系统B.漏洞扫描系统C.入侵检测系统D.病毒防御系统
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
通过使用漏涧扫描系统,系统管理员能够发现所维护的Web服务器的各种TCP端口分配、提供的服务、Web服务软件版本和这些服务及软件呈现在互联网上的安全漏洞,并及时发现并修补,以免网络攻击者扫描利用系统漏洞进行攻击或窃取信息。
利用漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息。
公司面临的网络攻击来自多方面,一般通过安装防火端来防范______,安装用户认证系统来防范______。
(分数:
4.00)
(1).A.外部攻击B.内部攻击C.网络监听D.病毒入侵
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]防火墙的作用是监控进出网络的信息,即让安全的、符合规则的信息进入内部网络,为用户提供一个安全的网络环境,一般通过安装防火墙来防范外部攻击;安装用户认证系统来防范内部攻击。
(2).A.外部攻击B.内部攻击C.网络监听D.病毒入侵(分数:
2.00)
A.
B. √
C.
D.
解析:
11.用户A从CA获得用户B的数字证书,并利用______验证数字证书的真实性。
A.B的公钥B.B的私钥C.CA的公钥D.CA的私钥
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。
任何一个用户只要得到CA中心的公钥,就能得到该CA中心为该用户签署的公钥。
由于证书是不可伪造的,因此对于存放证书的目录无须施加特别的保护。
下面病毒中,属于宏病毒的是______,宏病毒一般感染______文件。
(分数:
4.00)
(1).A.Worm.SasserB.Trojan.QQPSWC.Backdoor.IRCBotD.Macro.Melissa
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]宏病毒利用了在Word和其他办公软件中的宏特征,自动执行的宏使得创建宏病毒成为可能,如打开文件、关闭文件和启动应用程序等,宏病毒一般感染Word文件。
TaiwanNo.1Macro病毒每月13日发作,所有编写工作无法进行。
1999年3月26日国际计算机安全权威机构发布最新病毒公告称:
发现了一种新型的名为W97M/Melissa的宏病毒,该病毒传染Word97和Word2000。
(2).A.EXEB.COMC.WordD.DLL(分数:
2.00)
A.
B. √
C.
D.
解析:
12.如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,这种手段属于______攻击。
A.拒绝服务B.口令入侵C.网络监控D.IP欺骗
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的工作流程,执行无关的程序使系统响应减慢甚至瘫痪,影响正常用户的使用。
口令入侵是指使用某些合法用户的账号和口令登录到主机,然后再实施攻击活动。
网络监控是主机的一种工作模式,在这种模式下,主机可以接收本网段在同一物理通道上传输的所有信息,如果两台通信的主机没有对信息加密,只要使用某些网络监听工具就可以很容易地截取包括口令和账户在内的信息资料。
IP欺骗是黑客选定目标主机,找到一个被目标主机信任的主机,然后使得被信任的主机失去工作能力,同时采样目标主机发出的TCP序列号,猜出它的数据序列号。
然后伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。
ARP攻击造成网络无法跨网段通信的原因是______。
可以使用______命令清除攻击影响的ARP缓存。
(分数:
4.00)
(1).A.发送大量ARP报文造成网络拥塞
B.伪造网关ARP报文使得数据包无法发送到网关
C.ARP攻击破坏了网络的物理联通性
D.ARP攻击破坏了网关设备(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]入侵者接收到丰机发送的ARPRequest广播包,能够偷到其他节点的(IP,MAC)地址,然后便把自己主机的IP地址改为合法的目的主机的IP地址,伪装成目的主机,然后发送一个ping给源主机,要求更新主机的ARP转换表,主机便在ARP表中加入新的IP-MAC对应关系,合法主机就失效了,入侵主机的MAC地址变成了合法的MAC地址。
题目中ARP攻击造成网络无法跨网段通信的原因是入侵者把自己的IP地址改为了网关的IP地址,并使得主机更新了IP-MAC地址的对应关系,主机发送的报文则被入侵者截获,无法到达网关。
ARP缓存表是可以查看的,也可以添加和修改。
在命令提示符下,输入arp-a就可以查看ARP缓存衣的内容了。
用arp-d可以删除arp缓存表里的所有内容。
用arp-s可以手动在ARP表中制定IP地址与MAC地址的对应关系。
(2).A.arp-sB.arp-dC.arp-allD.arp-a(分数:
2.00)
A.
B. √
C.
D.
解析:
13.下列选项中,防范网络监听最有效的方法是______。
A.安装防火墙B.采用无线网络传输
C.数据加密D.漏洞扫描
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]当信息以明文形式在网络上传输时,监听并不是一件难事,只要将所使用的网络端口设置成(镜像)监听模式,便可以源源不断地截获网上传输的信息。
但是,网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,而不主动与其他主机交换信息,也没有修改在网上传输的数据包。
防范网络监听目前有这几种常用的措施:
从逻辑或物理上对网络分段,以交换式集线器代替共享式集线器,使用加密技术划分虚拟局域网。
14.VPN涉及的关键安全技术中不包括______。
A.隧道技术B.加密技术C.入侵检测技术D.身份认证技术
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]实现VPN的关键技术主要有隧道技术、加解密技术、密钥管理技术和身份认证技术。
15.MD5是一种______算法。
A.共享密钥B.公开密钥C.报文摘要D.访问控制
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]MD5是使用最广的报文摘要算法。
其基本思想是用足够复杂的方法把报文比特充分“弄乱”,使得每一个输出比特都受到每一个输入比特的影响。
16.所谓网络安全漏洞是指______。
A.用户的错误操作引起的系统故障
B.系统软件或应用软件在逻辑、设计上的缺陷
C.网络硬件性能下降产生的缺陷
D.网络协议运行中出现的错误
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]漏洞(vulnerability)代表计算机的脆弱性。
它是计算机系统在硬件、软件及协议的具体实现上存在的缺陷。
漏洞一旦被发现,就可以被攻击者用以在未授权的情况下访问或破坏系统。
网络安全漏洞的产生主要是因为系统和软件的设计存在缺陷,通信协议不完备。
如TCP/CP协议本身就有很多漏洞。
17.下列关于网络攻击的说法中,错误的是______。
A.钓鱼网站通过窃取用户的账号、密码来进行网络攻击
B.向多个邮箱群发同一封电子邮件是一种网络攻击行为
C.采用DoS攻击使计算机或网络无法提供正常的服务
D.利用Sniffer可以发起网络监听攻击
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]电子邮件攻击表现为向目标信箱发送电子邮件炸弹,产生庞大的邮件垃圾,甚至把邮箱挤爆。
向多个邮箱群发同一封电子邮件一般不是攻击行为。
18.在包过滤防火墙中,定义数据包过滤规则的是______。
A.路由表B.ARPC.NATD.ACL
(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]包过滤防火墙检查每一个传入包,查看包中的源地址、目的地址、TCP/IP端口号、传输协议等,然后将这些信息与设立的规则相比较。
在包过滤防火墙中,定义数据包过滤规则的一般是ACL(AccessControlList,访问控制列表)。
如果杀毒软件报告一系列的Word文档被病毒感染,则可以推断病毒类型是______,如果用磁盘检测工具(CHKDSK、SCANDISK等)检测磁盘发现大量文件链接地址错误,表明磁盘可能被______病毒感染。
(分数:
4.00)
(1).A.文件型B.引导型C.目录型D.宏病毒(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]宏病毒感染的埘象是使用某些程序创建的文本文档、数据库、电子表格等文件,这些类型的文件都能够在文件内部嵌入宏。
目录型计算机病毒能够修改硬盘上存储的所有文件地址,并感染这些文件。
如果用磁盘检测工具检测磁盘发现大量文件链接地址错误,这些错误都是由目录(链接)型病毒造成的。
文件型病毒感染可执行文件。
引导型病毒不会感染文件,主要是影响软盘或硬盘的引导扇区。
(2).A.文件型B.引导型C.目录型D.宏病毒(分数:
2.00)
A.
B.
C. √
D.
解析:
19.下面加密算法中属于公钥加密算法的是______。
A.DESB.IDEAC.RSAD.MD5
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]公钥加密算法使用的加密密钥和解密密钥相同,RSA是一种常用的公钥加密算法。
DES、IDEA是常用的对称密钥算法,使用的加密密钥和解密密钥相同。
MD5是常用的报文摘要算法。
下面安企算法中,属于加密算法的是______,属于报文摘要算法的是______。
(分数:
4.00)
(1).A.MD5和3DESB.MD5和SHA1
C.DES和SHA1D.DES和3DES(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]DES(数据加密算法)使用一个56位的密钥以及附加的8位奇偶校验位,产生最大64位的分组大小,属于加密算法。
3DES是DES加密算法的一种模式,它使用3条56位的密钥对数据进行三次加密。
故选D。
安全哈希算法(SHA1)主要适用于数字签名标准里面定义的数字签名算法。
当接收到消息时,这个消息摘要可以用来验证数据的完整性。
在传输过程中,数据很可能会发生变化,那么这时候就会产生不同的消息摘要,属于报文摘要算法。
MD5的典型应用是对一段信息产生信息摘要,以防止被篡改,属于报文摘要算法。
故选B。
(2).A.MD5和3DESB.MD5和SHA1
C.DES和SHA1D.DES和3DES(分数:
2.00)
A.
B. √
C.
D.
解析:
20.以下关于报文摘要的叙述中,正确的是______。
A.报文摘要对报文采用RSA进行加密
B.报文摘要是长度可变的信息串
C.报文到报文摘要是多对一的映射关系
D.报文摘要可以被还原得到原来的信息
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]报文摘要是多对一(many-to-one)的散列函数(hashfunction)的例子。
要做到不可伪造,报文摘要算法必须满足以下两个条件。
·任给一个报文摘要值x,若想找到一个报文y使得H(y)=x,则在计算上是不可行的。
·若想找到任意两个报文x和y,使得H(x)=H(y),则在计算上是不可行的。
上述的两个条件表明:
若(m,H(m))是发送者产生的报文和报文摘要对,则攻击者不可能伪造出另一个报文y,使得y与x具有同样的报文摘要。
发送者可以对H(m)进行数字签名,使报文成为可检验的和不可抵赖的。
故选C。
报文经过散列函数运算可以看成是没有密钥的加密运算。
在接收端不需要(也无法)将报文摘要解密还原为明文报文。
故选项A、D不正确。
报文摘要方案是计算密码检查和,即固定长度的认证码,附加在消息后面发送,根据认证码检查报文是否被篡改。
故B选项不正确。
21.目前广泛使用的CA证书标准是______。
A.X.500B.X.509C.X.501D.X.300
(分数:
2.00)
A.
B. √
C.
D.
解析:
[解析]CA证书符合X.509国际标准,提供具有世界先进水平的CA的全部需求。
CA具有对用户证书的申请、审核、批准、签发以及证书下载、证书注销、证书更新等证书管理功能。
22.能防范重放攻击的技术是______。
A.加密B.数字签名C.数字证书D.时间戳
(分数:
2.00)
A.
B.
C.
D. √
解析:
[解析]所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
为了抵御重放攻击,现在的身份认证一般采用时间戳和挑战应答方式。
故选D。
23.Windows2003中,可采用______进行身份认证。
A.KerberosB.IKEC.DHCPD.RSA
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
RSA为公开密钥密码体制,这种算法为公用网络上信息的加密和鉴别提供了一套基本的方法。
动态主机配置协议DHCP,它允许一台计算机加入新的网络和获取IP地址而不用手工参与。
IKE(InternetKeyExchange)在进行IPSec处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。
故答案为A。
24.包过滤防火墙对数据包的过滤依据不包括______。
A.源IP地址B.源端口号C.MAC地址D.目的IP地址
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]包过滤防火墙也称为网络防火墙,一般是基于源地址、目的地址、应用、协议以及每个IP包的端口来做出通过与否的判断。
故选C。
25.无线局域网采用了多种安全协议进行数据加密和身份认证,其中不包括______。
A.高级加密标准AESB.公钥加密算法RSA
C.访问控制协议802.1xD.有线等价协议WEP
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]IEEE802.1x协议起源于802.11,其主要目的是为了解决无线局域网用户的接入认证问题。
802.1x协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。
WEP个称为WiredEquivalentProtocol(有线等效协议),是为了保证802.11b协议数据传输的安全性而摊出的安全协议,该协议可以通过对传输的数据进行加密,这样可以保证无线局域网中数据传输的安全性。
26.下面关于加密的说法中,错误的是______。
A.数据加密的目的是保护数据的机密性
B.加密过程是利用密钥和加密算法将明文转换成密文的过程
C.选择密钥和加密算法的原则是保证密文不可能被破解
D.加密技术通常分为非对称加密技术和对称密钥加密技术
(分数:
2.00)
A.
B.
C. √
D.
解析:
[解析]除了一次一密外,所有的加密算法都不是无条件安全的,攻击者都可能将密文解密,因此加密算法的使用者应尽量满足:
破译密码的代价超出密文信息的价值;破译密码时间超出密文信息的有效生命期。
如果满足了这两个标准,则加密体制在计算上是安全的。
27.下面关于防火墙功能的说法中,不正确的是______。
A.防火墙能有效防范病毒的入侵
B.防火墙能控制对特殊站点的访问
C.防火墙能对进出的数据包进行过滤
D.防火墙能对部分网络攻击行为进行检测和报警
(分数:
2.00)
A. √
B.
C.
D.
解析:
[解析]防火墙的作用是监控进出网络的信息,仅让安全的、符合规则的信息进入内部网,为用户提供一个安全的网络环境。
通常防火墙具有以下一些功能。
·对进出的数据包进行过滤,滤掉不安全的服务和非法用户。
·监视Internet安全,对网络攻击行为进行检测和报警。
·记录通过防火墙的信息内容和活动。
·控制对特殊站点的访问,封堵某些禁止的访问行为。
但是,
升级会员 