计算机网络安全技术期末复习资料Word文档格式.docx

1、C.接收者能够核实发送者发送的报文签名D.接收者不能伪造发送者的报文签名15、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明（ C ）。A.计算机网络是一个虚拟的世界B.网络上所有的活动都是不可见的C.身份认证的重要性和迫切性D.网络应用中存在不严肃性16、数字证书不包含（ D ）A.CA签发证书时所使用的签名算法B.证书的有效期C.颁发机构的名称D.证书持有者的私有密钥信息17、CA的主要功能为（ A ）。A.负责发放和管理数字证书B.为用户提供证书的申请、下载、查询、注销和恢复等操作C.确认用户的身份D.定义了密码系统的使用方法和原则18、PKI无法实现（ B ）。A.数据

2、的完整性B.权限分配C.身份认证D.数据的机密性19、一个典型的PKI组成部分，不包括（C）A.PKI策略B.软硬件系统C.恶意程序扫描机构D.认证机构CA20、下列不属于PKI数字证书组成部分的是（B）A.用户的公开密钥B.用户的私钥C.用户的名称D.证书授权中心的数字签名21、身份认证的三要素之一是“所知道的”。下列不属于“所知道的”的是（C）A.密码B.生日C.IC卡D.机密问题22、在Kerberos系统下，当用户资源要访问资源服务器上的资源时，由（C ）发放一个“票据许可票据”给用户。A.资源服务器 B.密钥分配中心C.认证服务器D.票据分配服务器23、以下不属于生物特征身份认证的是

3、（ D ）。A.人脸识别B.指纹C.虹膜D.智能卡24、口令管理过程中，应该（ D ）。A.把明口令直接存放在计算机的某个文件中B.利用容易记住的单词作为口令C.选用5个字母以下的口令D.设置口令有效期，以此来强迫用户更换口令25、以下属于身份认证协议的是（ C ）。A.S/MIMEB.IPSecC.S/KeyD.HTTP26、不属于身份认证的是（ B ）A.USB KeyB.访问控制C.生物识别D.用户名和口令27、以下认证方式中，最为安全的是（ C ）。A.用户名+验证码B.用户名+密码C.卡+指纹D.卡+密码28、TCP/IP体系参考模型分为（ C ）个层次。A.7B.5C.4D.329

4、、物理层实现（ D ）的传输。A.帧B.分组C.报文段D.比特流30、通常将TCP/IP体系的网络接口层分为（ ）层和（ ）层，成为常用的五层模型。CA.应用，传输B.物理，数据链路C.网络，传输D.数据链路，网络31、DNS服务提供（ ）和（ ）之间的映射。AA.域名 IPB.域名 MACC.IP MACD.IP 端口32、DNS域名解析过程一般是迭代查询的过程。如果在本地的DNS缓存中没有找到相关的记录，客户端就会向本地的DNS服务器发出查询请求。如果本地DNS解服务器中没有找到相关的记录，那么DNS服务器就将该查询转发给（ B ）。A.它的上一级DNS服务器B.根域名服务器C.权限域名服

5、务器D.一级域名服务器33、在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询属于（ D ）。A.域名劫持B.拒绝服务攻击 C.DNSSECD.缓存中毒34、ARP请求数据包的目的地址是（ C ）A.单播地址B.组播地址C.广播地址D.组播地址35、以下说法正确的是（ B ）。A.欺骗网关就是指伪装网关B.欺骗网关就是指伪装内网主机C.中间人攻击就是不需要知道收发双方的MAC地址也可以正常地进行数据帧的传输。D.中间人攻击就是计算机上不设置网关，该计算机也能和其它网络中的计算机通信。36、DHCPOFFER报文是 （ B ）报文A.广播B.单播C.组播D.多播37、DHCP客户端发送给

6、服务器的DHCPREQUEST报文是（ A ）报文。38、TCP协议的连接阶段要进行（ C ）报文握手。A.一B.二C.三D.四、39、TCP协议的连接释放阶段要进行（ D ）报文握手。D.四40、若收发双方AB建立了TCP连接，A成功接收到B发来的序号为0-999的所有字节，那么A下面发给B的ack字段为（ A ）。A.1000B.999C.1000*8D.999*841、以下（ B ）不属于SYN泛洪攻击的防范方法A.缩短TIMEout超时时间B.在交换机上设置DHCP SNOOPING安全功能C.SYN CookieD.记录源IP记录42、TCP/IP体系中（ C ）层可以解决不同广播域

7、之间的互联问题。A.应用B.传输C.网际 D.网络接口43、SYN泛洪攻击是基于（ B ）协议的缺陷而引发的。A.DNSB.TCPC.ARPD.DHCP44、交换机上的DHCP Snooping信任端口，可以过滤来自网络非法DHCP服务器或其他设备的非信任DHCP（C ）报文。A.请求B.广播C.响应D.请求和响应45、关于DNSSEC，以下说法不正确的是（ D ）。A.DNS安全扩展B.使用了公钥技术C.对DNS中的信息进行数字签名D.所有的DNS服务器均已部署46、ARP中间人攻击（ D ）。A.仅欺骗网关B.仅欺骗内网主机C.仅欺骗自身D.同时欺骗内网主机和网关47、对“防火墙本身是免疫

8、的”这句话的正确理解是（ A ）。A.防火墙本身具有抗攻击能力B.防火墙本身具有清除计算机病毒的能力C.防火墙本身具有对计算机病毒的免疫力D.防火墙本身是不会死机的48、防火墙是（ B ）在网络环境中的具体应用。A.入侵检测技术B.访问控制技术C.身份认证技术D.防病毒技术49、以下关于传统防火墙的描述，不正确的是（ C ）。A.工作效率较低，如果硬件配置较低或参数配置不当，防火墙将形成网络瓶颈B.容易出现单点故障C.可防内，不防外D.存在结构限制，无法适应当前有线网络和无线网络并存的需要50、下面对于个人防火墙的描述，不正确的是（ A ）。A.所有的单机杀病毒软件都具有个人防火墙的功能B.个

9、人防火墙的功能与企业级防火墙类似，而配置和管理相对简单C.个人防火墙是为防护接入互联网的单机操作系统而出现的D.为了满足非专业用户的使用，个人防火墙的配置方法相对简单 51、加密在网络上的作用就是防止有价值的信息在网上被（ D本题答案说法不一个人认为是D）。A 拦截和破坏B 拦截和窃取C 篡改和损坏D 篡改和窃取52、以下哪一项不属于计算机病毒的防治策略：（ D ）A防毒能力B查毒能力C解毒能力D禁毒能力53. 木马与病毒的最大区别是（ B ）A. 木马不破坏文件，而病毒会破坏文件 B. 木马无法自我复制，而病毒能够自我复制C. 木马无法使数据丢失，而病毒会使数据丢失D. 木马不具有潜伏性，而

10、病毒具有潜伏性二、多选题1、有害程序造成的威胁主要包括：（ ABCD ）A.逻辑炸弹 B.特洛伊木马 C.病毒 D.间谍软件2、安全性指标主要包括：（ ABC ）A.数据完整性 B.数据保密性 C.数据可用性 D.数据一致性3、TCSEC将计算机系统的安全划分为（ A ）个等级（ C ）个级别。A.7 B.3 C.4 D.94、物理安全，是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程，它主要包括（ ）、（ ）和（ ）3个方面。ABCA.环境安全B.设备安全C.介质安全D.人员安全5、数字签名可以实现以下安全服务：ABCDA

11、.防冒充（伪造）B.鉴别身份C.防篡改D.防抵赖PMI主要由属性权威、（ C ）和（ D ）3部分组成。A.角色控制库B.数字证书库C.属性证书D.属性证书库6、数字证书的申请方式有（ B ）和（ C ）两种方式。A.上门申请B.离线申请C.在线申请D.柜台申请7、PKI为用户提供的网上安全服务主要包括ABDA.身份识别与鉴别（认证）B.数据保密性和完整性C.数据传输D.不可否认性及时间戳服务8、基于行为特征的生物识别技术有（ABC ）A.语音识别B.签名识别C.步态识别D.指纹识别9、ARP欺骗包含以下（ ABC ）。A.中间人攻击B.欺骗内网主机C.欺骗网关D.定时攻击10、DHCP协议安

12、全隐患的根源是（ AC ）。A.DHCP协议不提供对客户端的认证B.DHCP协议不提供对网关的认证C.DHCP协议不提供对服务器端的认证D.DHCP协议不提供对中间人的认证三、判断题1、网络安全研究的唯一动因是网络自身的设计缺陷。F2、可信任的计算机系统评价（TCSEC）”，按其封皮颜色被称之为（桔皮书），TCSEC评估准则分为4个方面:安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别T3、公安网与互联网之间的关系是逻辑隔离。4、逻辑网络隔离一般通过网络设备的功能来实现。 T5、蜜罐是一种重要网络资源，一定要防止其被扫描、攻击和攻陷。6、AES属于Feistel结构F7

13、、MD5算法的特点是可以对任意长度的报文进行运算，得到的报文摘要长度均为128位。T8、非对称密码体制是使用双钥密码的加密方法。9、RSA算法是一种对称加密算法。10、 PKI/PMI技术及应用（单元测验）11、PMI的作用是证明这个用户是谁。12、自主访问控制（DAC）也叫作基于规则的访问控制，强制访问控制（MAC）也叫基于身份的访问控制。13、SSL是一种点对点之间构造的安全通道中传输数据的协议，它运行在应用层上。14、在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进行核查。15、当我们登录网上银行系统时，经常需要通过手机接收验证码来实现对用户的身份认证，该验证码是一种动

14、态口令。16、身份认证主要鉴别或确认访问者的身份是否属实，以防止攻击，保障网络安全。17、数据链路层的编址是IP地址。18、网络层采用IP逻辑编址。19、DNS服务是一种最基础的网络服务，在设计之初就充分考虑了安全问题，提供了安全认证和数据完整性检查。20、欺骗内网主机就是指伪装网关。21、在用户计算机上绑定网关的IP地址和MAC地址，可有效地防范针对 网关地址的ARP欺骗。22、DHCP协议可以动态分配计算机的MAC地址。23、DHCP协议是网络层协议。24、预防非法的DHCP客户端，可以在交换机上进行DHCP Snooping信任端口的配置。25、连接建立请求TCP报文的SYN=0。26、

15、如果向某个目标发送大量的伪造源IP的SYN报文，就有可能引发SYN泛洪攻击。27、 SYN泛洪攻击的基本原理就是耗尽主机的半开放连接资源。28、“ARP -S 网关IP 网关MAC” 可以静态设置网关IP和MAC的映射关系，在一定程度上可应对伪装网关形式的ARP攻击。29、数据传输阶段的TCP报文段SYN位为1。30、可以只开放一台WEB服务器的TCP80端口，防止恶意的入侵行为，提升服务器安全性。31、DNS协议本身提供了身份认证和对数据的完整性检查。32、除了本章介绍的DNS ARP DHCP TCP四个协议，其它的TCP/IP协议都是安全的。33、防火墙的最大弱点是“防内不防外”。（ F

16、 ）34、网络地址转换不是防火墙的基本功能之一。35、防火墙检查的重点是网络协议及采用相关协议封装的数据。36、包过滤防火墙是最早使用的一种防火墙技术。37、包过滤防火墙工作在OSI参考模型的物理层。38、状态检测防火墙跟踪数据包的状态，而不检查数据包中的头部信息。四、填空题1、PKI的技术基础是 公开密钥体制 和 加密机制 。2、Kerberos是一种网络认证协议，麻省理工研发，其设计目标是通过密钥系统 密钥系统 为客户机 / 服务器应用程序提供强大的认证服务。3、端口是 传输 层的编址。四、名词解释1.对称加密与非对称加密在一个加密系统中，加密和解密使用同一个密钥，这种加密方式称为对称加密

17、，也称为单密钥加密（2分）。如果系统采用的是双密钥体系，存在两个相互关联的密码，其中一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密（2分）2.蜜罐：是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的陷阱系统（2分）。设置蜜罐的目的主要是用于被侦听、被攻击，从而研究网络安全的相关技术和方法。（2）3.PKI：PKI（公钥基础设施）是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书，这些安全服务主要包括身份识别与鉴别（认证）、数据保密性、

18、数据完整性、不可否认性及时间戳服务等，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的（2分）。PKI的技术基础之一是公开密钥体制（1分）；PKI的技术基础之二是加密机制（1分）。4.DNSSEC ：DNSSEC（域名系统安全扩展）是在原有的域名系统（DNS）上通过公钥技术，对DNS中的信息进行数字签名，从而提供DNS的安全认证和信息完整性检验（2分）。发送方首先使用Hash函数对要发送的DNS信息进行计算，得到固定长度的“信息摘要”，然后对“信息摘要”用私钥进行加密，此过程实现了对“信息摘要”的数字签名；最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签

19、名，一起发送出来（1分）。接收方首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”；接着用与发送方相同的Hash函数对接收到的DNS信息进行运算，得到运算后的“信息摘要”；最后，对解密后的 “信息摘要”和运算后的“信息摘要”进行比较，如果两者的值相同，就可以确认接收到的DNS信息是完整的，即是由正确的DNS服务器得到的响应（1分）。 5.DoS攻击：DoS（拒绝服务）攻击是一种实现简单但又很有效的攻击方式。DoS攻击的目的就是让被攻击主机拒绝用户的正常服务访问，破坏系统的正常运行，最终使用户的部分Internet连接和网络系统失效（2分）。最基本的D

20、oS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。（2分）6.DNS缓存中毒：DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live，TTL）。在记录没有超过TTL之前，DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。（2分）DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于D

21、NS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。7.机密性、完整性、可用性、可控性机密性是确保信息不暴露给XX的人或应用进程（1分）；完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改（1分）；可用性是指只有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用（1分）；可控性是指能够对授权范围内的信息流向和行为方式进行控制（1分）。8.PMI：PMI（授权管理基础设施）是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离，由I

22、ETF提出的一种标准。PMI的最终目标就是提供一种有效的体系结构来管理用户的属性。PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理（2分）。同PKI相比，两者主要区别在于PKI证明用户是谁，而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施，能够与PKI紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行系统的定义和描述，完整地提供授权服务所需过程。9.防火墙：防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合（2分），通过监测、限制、更改进

23、入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。10.VPN：VPN（虚拟专用网）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接（2分）。从VPN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用

24、的，而是只有经过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。11.DDoS攻击：DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令，一般是采用一对一方式。DDOS是在DOS 基础上利用一批受控制的主机向一台主机发起攻击，其攻击强度和造成的威胁要比DOS严重的的。五、简答题1、简述ARP欺骗的实现原理及主要防范方法 由于ARP协议在设计中存在的主动发送ARP报文的漏洞，使得主机可以发送虚假的ARP请求报文或响应报文，报文中的源IP地址和源MAC地址均可以进行伪造（2分）。在局域网中，即可以伪造成某一台主

25、机（如服务器）的IP地址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的组合，ARP即可以针对主机，也可以针对交换机等网络设备（2分），等等。目前，绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表，使得网络中的合法主机无法正常通信或通信不正常，如表示为计算机无法上网或上网时断时续等。针对主机的ARP欺骗的解决方法：主机中静态ARP缓存表中的记录是永久性的，用户可以使用TCP/IP工具来创建和修改，如Windows操作系统自带的ARP工具，利用“arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态（static）。针对交换机的ARP欺

26、骗的解决方法：在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同，还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。2、 如下图所示，简述包过滤防火墙的工作原理及应用特点。包过滤（Packet Filter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙（2分）。包过滤防火墙中的安全访问策略（过滤规则）是网络管理员事先设置好的，主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置，决定是否允许数据包通

27、过防火墙。如图所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。包过滤防火墙主要特点：过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全要求来定；防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要；由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应用层的恶意入侵。另外，包过滤防火墙不能识别IP地址的欺骗，内部非授权的用户可以通过伪装成为合法IP地址的使用者来访问外部网络，同样外部被限制的主机也可以通过使用合法的IP地址来欺骗防火墙进入内部网络。（4分）3、根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能