網(wǎng)絡(luò)安全簡(jiǎn)答題復(fù)習(xí)_0

1、網(wǎng)絡(luò)安全簡(jiǎn)答題復(fù)習(xí) 絡(luò)安全復(fù)習(xí)題（簡(jiǎn)答題） 1簡(jiǎn)述拒絕服務(wù)攻擊的概念和原理。 答：拒絕服務(wù)攻擊的概念：廣義上講，拒絕服務(wù)（dos，denial of service）攻擊是指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。確切講，dos攻擊是指故意攻擊絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或絡(luò)無法提供正常的服務(wù)，使目標(biāo)系統(tǒng)停止響應(yīng)，甚至崩潰。 拒絕服務(wù)攻擊的基本原理：是使被攻擊服務(wù)器充斥大量要求回復(fù)的信息，消耗絡(luò)、帶寬或系統(tǒng)資源，導(dǎo)致絡(luò)或系統(tǒng)超負(fù)荷，以至于癱瘓而停止提供正常的絡(luò)服務(wù) 2簡(jiǎn)述交叉認(rèn)證過程。 答：首先，兩個(gè)ca建立信任關(guān)系。雙方安全交換簽名公鑰，利用自己的私鑰

2、為對(duì)方簽發(fā)數(shù)字證書，從而雙方都有了交叉證書。其次，利用ca的交叉證書驗(yàn)證最終用戶的證書。對(duì)用戶來說就是利用本方ca公鑰來校驗(yàn)對(duì)方ca的交叉證書，從而決定對(duì)方ca是否可信；再利用對(duì)方ca的公鑰來校驗(yàn)對(duì)方用戶的證書，從而決定對(duì)方用戶是否可信。 3簡(jiǎn)述ssl安全協(xié)議的概念及功能。 答：ssl全稱是：secure socket layer (安全套接層)。在客戶和服務(wù)器兩 實(shí)體之間建立了一個(gè)安全的通道，防止客戶/服務(wù)器應(yīng)用中的偵聽、篡改以及消息偽造，通過在兩個(gè)實(shí)體之間建立一個(gè)共享的秘密，ssl提供保密性，服務(wù)器認(rèn)證和可選的客戶端認(rèn)證。其安全通道是透明的，工作在傳輸層之上，應(yīng)用層之下，做 到與應(yīng)用層協(xié)議

3、無關(guān)，幾乎所有基于tcp的協(xié)議稍加改動(dòng)就可以在ssl上運(yùn)行。 4簡(jiǎn)述好的防火墻具有的5個(gè)特性。 答： (1)所有在內(nèi)部絡(luò)和外部絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻；(2) 只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；(3)防火墻本身不受各種攻擊的影響；(4)使用目前新的信息安全技術(shù)，如一次口令技術(shù)、智能卡等；(5)人機(jī)界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對(duì)發(fā)防火墻進(jìn)行設(shè)置，對(duì)互連的訪問者、被訪問者、訪問協(xié)議及訪問權(quán)限進(jìn)行限制。 5簡(jiǎn)述電子數(shù)據(jù)交換（edi）技術(shù)的特點(diǎn)。 答：特點(diǎn)：使用對(duì)象是不同的組織之間；所傳送的資料是一般業(yè)務(wù)資料；采用共同標(biāo)準(zhǔn)化的格式；盡

4、量避免人工的介入操作，由收送雙方的計(jì)算機(jī)系統(tǒng)直接傳送、交換資料。 6、 簡(jiǎn)述arp的工作過程及arp欺騙。 arp的工作過程： (1)主機(jī)a不知道主機(jī)b的mac地址，以廣播方式發(fā)出一個(gè)含有主機(jī)b的ip地址的arp請(qǐng)求；(2)內(nèi)所有主機(jī)受到arp請(qǐng)求后，將自己的ip地址與請(qǐng)求中的ip地址相比較，僅有b做出arp響應(yīng)，其中含有自己的mac地址；(3)主機(jī)a收到b的arp響應(yīng)，將該條ip-mac映射記錄寫入arp緩存中，接著進(jìn)行通信。 arp欺騙： arp協(xié)議用于ip地址到mac地址的轉(zhuǎn)換，此映射關(guān)系存儲(chǔ)在arp緩存表中。當(dāng)arp緩存表被他人非法修改將導(dǎo)致發(fā)送給正確主機(jī)的數(shù)據(jù)包發(fā)送給另外一臺(tái)由攻擊者

5、控制的主機(jī)，這就是所謂的“arp欺騙”。 7、 簡(jiǎn)述包過濾型防火墻的概念、優(yōu)缺點(diǎn)和應(yīng)用場(chǎng)合。 答：包過濾型防火墻的概念： 包過濾防火墻用一臺(tái)過濾路由器來實(shí)現(xiàn)對(duì)所接受的每個(gè)數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。 包過濾型防火墻的優(yōu)缺點(diǎn)： 包過濾防火墻的優(yōu)點(diǎn)：處理包的速度快；費(fèi)用低，標(biāo)準(zhǔn)的路由器均含有包過濾支持；包過濾防火墻對(duì)用戶和應(yīng)用講是透明的。無需對(duì)用戶進(jìn)行培訓(xùn)，也不必在每臺(tái)主機(jī)上安裝特定的軟件。 包過濾防火墻的缺點(diǎn)：維護(hù)比較困難；只能阻止外部主機(jī)偽裝成內(nèi)部主機(jī)的ip欺騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)；普遍不支持有效的用戶認(rèn)證；安全日志有限；過濾規(guī)

6、則增加導(dǎo)致設(shè)備性能下降；包過濾防火墻無法對(duì)絡(luò)上流動(dòng)的信息提供全面的控制。 包過濾型防火墻的應(yīng)用場(chǎng)合： 非集中化管理的機(jī)構(gòu)；沒有強(qiáng)大的集中安全策略的機(jī)構(gòu)；絡(luò)的主機(jī)數(shù)比較少；主要依靠于主機(jī)來防止入侵，但當(dāng)主機(jī)數(shù)增加到一定程度的時(shí)候，依靠主機(jī)安全是不夠的；沒有使用dhcp這樣的動(dòng)態(tài)ip地址分配協(xié)議。 8、什么是拒絕服務(wù)攻擊？如何阻擋？ 答：拒絕服務(wù)是絡(luò)信息系統(tǒng)由于某種原因不能為授權(quán)用戶提供正常的服務(wù)。服務(wù)質(zhì)量下降甚至不能提供服務(wù)，系統(tǒng)性能遭到不同程度的破壞，降低了系統(tǒng)資源的可用性。系統(tǒng)資源可以是處理器、磁盤空間、cpu使用的時(shí)間、打印機(jī)、調(diào)制解調(diào)器，甚至是系統(tǒng)管理員的時(shí)間，拒絕服務(wù)的結(jié)果是減少或失去

7、服務(wù)。 對(duì)于拒絕服務(wù)式攻擊我們不能完全消除它們，遇到這種攻擊時(shí)，可以采用以下幾種辦法處理： 尋找一種方法來過濾掉這些不良的數(shù)據(jù)包； 提高對(duì)接受數(shù)據(jù)進(jìn)行處理的能力； 追查并關(guān)閉那些發(fā)動(dòng)攻擊的站點(diǎn)； 增加硬件設(shè)備或者提高絡(luò)容量，以從容處理正常的負(fù)載和攻擊數(shù)據(jù)流量。 9、防火墻有幾類？簡(jiǎn)述分組過濾防火墻。 答：根據(jù)防火墻在絡(luò)協(xié)議中的過濾層次不同，我們把防火墻分為三種：包過濾防火墻、電路級(jí)關(guān)防火墻、應(yīng)用級(jí)關(guān)防火墻。 分組過濾器是目前使用最為廣泛的防火墻，其原理很簡(jiǎn)單：1、有選擇地允許數(shù)據(jù)分組穿過防火墻，實(shí)現(xiàn)內(nèi)部和外部主機(jī)之間的數(shù)據(jù)交換；2、作用在絡(luò)層和傳輸層；3、根據(jù)分組的源地址、目的地址、端口號(hào)、協(xié)

8、議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，否則丟棄。 10、密要分配的幾種方法 答：通信雙方可通過三種基本方法實(shí)現(xiàn)秘密信息的共享：一是利用安全信道實(shí)現(xiàn)密鑰傳遞；二是利用雙鑰體制建立安全信道傳遞；三是利用特定的物理現(xiàn)象（量子技術(shù)）實(shí)現(xiàn)密鑰傳遞。 11、描述三次握手的過程 答：tcp是面向連接的，所謂面向連接，就是當(dāng)計(jì)算機(jī)雙方通信時(shí)必需先建立連接，然后數(shù)據(jù)傳送，最后拆除連接三個(gè)過程 并且tcp在建立連接時(shí)又分三步走： 第一步是請(qǐng)求端（客戶端）發(fā)送一個(gè)包含syn即同步標(biāo)志的tcp報(bào)文，syn同步報(bào)文會(huì)指明客戶端使用的端口以及tcp連接的初始序號(hào)； 第二步，服務(wù)器在收到客戶端的

9、syn報(bào)文后，將返回一個(gè)syn+ack的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)tcp序號(hào)被加一，ack即確認(rèn) 第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文ack給服務(wù)器端，同樣tcp序列號(hào)被加一，到此一個(gè)tcp連接完成。然后才開始通信的第二步：數(shù)據(jù)處理。 這就是所說的tcp三次握手 12簡(jiǎn)述ca對(duì)數(shù)字證書簽名及數(shù)字證書的驗(yàn)證過程。 答：數(shù)字證書簽名 ca首先要對(duì)證書的所有字段計(jì)算一個(gè)信息摘要，而后用ca私鑰機(jī)密消息摘要，構(gòu)成ca的數(shù)字簽名。ca將計(jì)算出的數(shù)字簽名作為數(shù)字證書的最后一個(gè)字段插入，類似于護(hù)照上的印章與簽名。該過程有密碼運(yùn)算程序自動(dòng)完成。 數(shù)字證書驗(yàn)證 （1）用戶將數(shù)字證書中除最后一個(gè)字段以外的所有字段輸入信息摘要算法。 （2）由信息摘要算法計(jì)算數(shù)字證書中除最后一個(gè)字段外其他字段的信息摘要，設(shè)該信