CISSP練習(xí)題：第四章：通信與網(wǎng)絡(luò)安全

1、CISSP練習(xí)題：第四章：通信與網(wǎng)絡(luò)安全1、TKIP如何為WLAN環(huán)境提供更多的保護(hù)?A. 它使用了AES算法。B. 它減少了IV值的長(zhǎng)度以及使用了AES算法。C. 它將更多元素添加到密鑰材料中。(正確答案)D.它使用了MAC和IP過(guò)濾。答案解析：1、C. TKIP實(shí)際上是在WEP中注入加密信息(即用于生成新動(dòng)態(tài)密鑰的數(shù)據(jù))發(fā)展而來(lái)。該協(xié)議增加了IV值的長(zhǎng)度，保證每個(gè)數(shù)據(jù)幀都有一一個(gè)隨機(jī)的IV 值，并將發(fā)送方的MAC地址添加到密鑰材料中。2、下列哪項(xiàng)不是IEEE 802.11a標(biāo)準(zhǔn)的特征?A.在5GHz頻率段下工作。B.使用OFDM擴(kuò)展頻譜技術(shù)。C.它提供了54Mbps 的帶寬。(正確答案)D

2、.操作范圍比802.11b小。答案解析：2、C. IEEE標(biāo)準(zhǔn)802.11a使用OFDM擴(kuò)展頻譜技術(shù)，在5GHz頻率段下工作，可提供最大為54Mbps的帶寬。操作范圍較小，因?yàn)樗暂^高的頻率工作。3、為什么交換架構(gòu)比路由網(wǎng)絡(luò)更安全?A.因?yàn)橛?jì)算機(jī)之間會(huì)建立-一個(gè)虛擬私有連接， 因此很難對(duì)流量抓包。(正確答案)B.它們與非交換環(huán)境一-樣不安全。C.數(shù)據(jù)鏈路加密，不允許竊聽(tīng)。D.交換機(jī)比橋接器更智能，以及實(shí)現(xiàn)了 安全機(jī)制。答案解析：3、A.交換環(huán)境使用交換機(jī)來(lái)允許不同網(wǎng)段和或系統(tǒng)之間的通信。在進(jìn)行通信時(shí)，通信設(shè)備之間會(huì)建立一個(gè)虛擬連接。因?yàn)檫@是一一個(gè)專(zhuān)用的連接，所以廣播和沖突數(shù)據(jù)不會(huì)影響其他系統(tǒng)，

3、就像在純粹使用網(wǎng)橋和路由器的環(huán)境中一樣。4、下列哪個(gè)協(xié)議稱(chēng)為面向連接的協(xié)議?A. IPB. ICMPC. UDPD. TCP(正確答案)答案解析：4、D.在列出的協(xié)議中，TCP 是唯一面向連接的協(xié)議。面向連接協(xié)議提供了可靠的連通性和數(shù)據(jù)傳輸;而無(wú)連接協(xié)議提供不可靠的連接，并且不保證數(shù)據(jù)的傳輸。5、如果一個(gè)攻擊者能夠把標(biāo)簽插入基于網(wǎng)絡(luò)或基于交換的協(xié)議中，這樣做的目的是操縱對(duì)數(shù)據(jù)鏈路層上流量的控制，這種行為被稱(chēng)為什么?A.開(kāi)發(fā)中繼操作B. VLAN跳頻攻擊(正確答案)C.虛擬管理層拒絕式服務(wù)攻擊D. Smurf攻擊答案解析：5、B.VLAN跳頻攻擊指攻擊者訪(fǎng)問(wèn)各個(gè)VLAN分段上的流量。攻擊者可以讓

4、系統(tǒng)像交換機(jī)-樣工作。系統(tǒng)理解網(wǎng)絡(luò)中使用的標(biāo)記值和中繼協(xié)議，然后把自已插入其他VLAN設(shè)備之間以訪(fǎng)問(wèn)來(lái)往流量。攻擊者也能插入標(biāo)記值來(lái)操縱對(duì)數(shù)據(jù)鏈路層上流量的控制。6、以下哪種代理類(lèi)型無(wú)法根據(jù)協(xié)議的命令結(jié)構(gòu)進(jìn)行訪(fǎng)問(wèn)決策?A.應(yīng)用B.包過(guò)濾C.電路(正確答案)D.狀態(tài)答案解析：6、C.這里列出的防火墻解決方案只有應(yīng)用級(jí)和電路級(jí)是基于代理類(lèi)型的。電路級(jí)代理基于首部信息(而不是根據(jù)協(xié)議的命令結(jié)構(gòu))進(jìn)行決策;應(yīng)用級(jí)代理是唯-能夠細(xì)?；斫饷糠N協(xié)議的解決方案。7、以下哪項(xiàng)是橋接模式技術(shù)，這種技術(shù)可以監(jiān)控虛擬機(jī)之間的每個(gè)流量鏈接，或者它們也能集成到管理程序中?A.正交頻分B.統(tǒng)一威脅管理調(diào)制解調(diào)C.虛擬防火

5、墻(正確答案)D.互聯(lián)網(wǎng)安全連接和密鑰管理協(xié)議答案解析：7、C.虛擬防火墻可以是橋接模式的產(chǎn)品，監(jiān)控虛擬機(jī)之間的每個(gè)流量鏈接，或者它們也能集成到管理程序中。管理程序是軟件組件，執(zhí)行虛擬機(jī)管理和監(jiān)督訪(fǎng)客系統(tǒng)軟件的執(zhí)行。如果該防火墻被嵌入這個(gè)管理程序中，那么它能“看見(jiàn)"和監(jiān)控所有發(fā)生在這個(gè)系統(tǒng)內(nèi)的活動(dòng)。8、第2、5、7、4和3層對(duì)應(yīng)的名稱(chēng)是以下哪項(xiàng)?A.數(shù)據(jù)鏈路層、會(huì)話(huà)層、應(yīng)用層、傳輸層和網(wǎng)絡(luò)層(正確答案)B.數(shù)據(jù)鏈路層、傳輸層、應(yīng)用層、會(huì)話(huà)層和網(wǎng)絡(luò)層C.網(wǎng)絡(luò)層、會(huì)話(huà)層、應(yīng)用層、網(wǎng)絡(luò)層和傳輸層D.網(wǎng)絡(luò)層、傳輸層、應(yīng)用層、會(huì)話(huà)層和表示層答案解析：8、A. OSI由7層組成:應(yīng)用層(第七層)

6、、 表示層(第六層)、會(huì)話(huà)層(第五層)、 傳輸層(第四層)、網(wǎng)絡(luò)層(第三層)、數(shù)據(jù)鏈路層(第二層)以及物理層(第一層)。9、以下哪項(xiàng)技術(shù)可將先前出現(xiàn)的獨(dú)立安全解決方案集成在一起，其目的是提供簡(jiǎn)約、集中的控制流線(xiàn)化?A.網(wǎng)絡(luò)融合B.安全即服務(wù)C.統(tǒng)一威脅管理(UTM)(正確答案)D.綜合融合管理答案解析：9、C.管理這么長(zhǎng)-列幾乎每個(gè)網(wǎng)絡(luò)都需要有的安全解決方案是極具挑戰(zhàn)的工作。其中包括(但不限于)防火墻、防病毒軟件、反垃圾郵件、IDS/IPS、內(nèi)容過(guò)濾、數(shù)據(jù)滲漏預(yù)防、VPN功能以及持續(xù)監(jiān)控和報(bào)告。統(tǒng)-威脅管理(UTM)設(shè)備產(chǎn)品可以把所有(或許多)這些功能統(tǒng)到一個(gè)網(wǎng)絡(luò)設(shè)備中。utM的目標(biāo)是簡(jiǎn)約、流

7、線(xiàn)化安裝和維護(hù)、集中管理以及能夠從整體角度理解網(wǎng)絡(luò)安全。10、城域以太網(wǎng)是一種MAN協(xié)議，這種協(xié)議可以工作在由接入、聚合、城域和核心層組成的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。以下哪項(xiàng)最恰當(dāng)?shù)孛枋隽诉@種網(wǎng)絡(luò)基礎(chǔ)設(shè)施?A.訪(fǎng)問(wèn)層把客戶(hù)的設(shè)備與服務(wù)提供商的聚合網(wǎng)絡(luò)連接在一起。聚合出現(xiàn)在核心網(wǎng)絡(luò)中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡(luò)。B.訪(fǎng)問(wèn)層把客戶(hù)的設(shè)備與服務(wù)提供商的核心網(wǎng)絡(luò)連接在一起。聚合在核心層出現(xiàn)在分布式網(wǎng)絡(luò)中。都市層是城域網(wǎng)。C.訪(fǎng)問(wèn)層把客戶(hù)的設(shè)備與服務(wù)提供商的聚合網(wǎng)絡(luò)連接在一-起。 聚合出現(xiàn)在分布式網(wǎng)絡(luò)中。都市層是城域網(wǎng)。其核心連接著不同的訪(fǎng)問(wèn)。D.訪(fǎng)問(wèn)層把客戶(hù)的設(shè)備與服務(wù)提供商的聚合網(wǎng)絡(luò)連接在一起

8、。聚合出現(xiàn)在分布式網(wǎng)絡(luò)中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡(luò)。(正確答案)答案解析：10、D.訪(fǎng)問(wèn)層把客戶(hù)的設(shè)備與服務(wù)提供商的聚合網(wǎng)絡(luò)連接在一起。聚合出現(xiàn)在分布式網(wǎng)絡(luò)中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡(luò)。11、以下哪項(xiàng)關(guān)于組成IPSec特定組件或協(xié)議的定義是不正確的?A.身份驗(yàn)證首部協(xié)議提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證和抵御重放攻擊。B.封裝安全有效載荷協(xié)議提供機(jī)密性、數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)完整性。C.互聯(lián)網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP)提供安全關(guān)聯(lián)創(chuàng)建和密鑰交換的框架。D.互聯(lián)網(wǎng)密鑰交換(IKE)提供經(jīng)驗(yàn)證的密鑰材料與ISAKMP - -起使用。(正確答案)答案解析：11、D.

9、身份驗(yàn)證首部協(xié)議提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證和抵御重放攻擊。封裝安全有效載荷協(xié)議提供機(jī)密性、數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)完整性?；ヂ?lián)網(wǎng)安全連接和密鑰管理協(xié)議(ISAKMP)提供安全關(guān)聯(lián)創(chuàng)建和密鑰交換的框架?；ヂ?lián)網(wǎng)密鑰交換(IKE)提供經(jīng)驗(yàn)證的密鑰材料與ISAKMP一起使用。12、基于OSI框架構(gòu)建的系統(tǒng)被認(rèn)為是開(kāi)放系統(tǒng)。這是什么意思?A.它們沒(méi)有默認(rèn)的身份驗(yàn)證機(jī)制配置。B.它們有互操作性問(wèn)題。C.它們采用國(guó)際公認(rèn)的協(xié)議和標(biāo)準(zhǔn)，因此可以輕松與其他系統(tǒng)進(jìn)行通信。(正確答案)D.它們建立在國(guó)際協(xié)議和標(biāo)準(zhǔn)之上，因此它們可以選擇與哪些類(lèi)型的系統(tǒng)通信。答案解析：12、C.開(kāi)放式系統(tǒng)是基于標(biāo)準(zhǔn)的協(xié)議和接口開(kāi)發(fā)的系統(tǒng)，遵循

10、這些標(biāo)準(zhǔn)開(kāi)發(fā)的系統(tǒng)可以與遵循相同標(biāo)準(zhǔn)的系統(tǒng)高效地互操作。13、以下哪些協(xié)議工作在應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸層中?A. FTP、ARP、 TCP和UDPB. FTP、ICMP、 IP 和UDPC. TFTP、ARP、 IP 和UDP(正確答案)D. TFTP、RARP、IP和ICMP答案解析：13、C.不同協(xié)議具有不同的功能。OSI模型試圖從概念上描述不同功能在網(wǎng)絡(luò)互聯(lián)協(xié)議棧中的位置，該模型試圖繪出接近現(xiàn)實(shí)的功能組成模塊，以幫助人們更好地理解協(xié)議棧。每層協(xié)議都有特定的功能，并且每層可以有幾種不同的協(xié)議實(shí)現(xiàn)特定的功能。所列協(xié)議分別工作在以下幾層:TFTP(應(yīng)用層)、ARP(數(shù)據(jù)鏈路層)、IP

11、(網(wǎng)絡(luò)層)和 UDP(傳輸層)。14、以下哪項(xiàng)工作在數(shù)據(jù)鏈路層?A.端到端的連接B.對(duì)話(huà)控制C.幀(正確答案)D.數(shù)據(jù)語(yǔ)法答案解析：14、C.多數(shù)情況下，數(shù)據(jù)鏈路層是唯理解系統(tǒng)工作環(huán)境的層，無(wú)論它是以太網(wǎng)、令牌環(huán)、無(wú)線(xiàn)還是到WAN鏈路的連接。這-層在幀內(nèi)添加了必要的首部和尾部信息。在同-網(wǎng)絡(luò)上使用同樣技術(shù)的其他系統(tǒng)只能理解使用相同技術(shù)封裝的首部和尾部。15、 以下哪項(xiàng)工作在會(huì)話(huà)層?A.對(duì)話(huà)控制(正確答案)B.路由C.包序列D.尋址答案解析：15、A.會(huì)話(huà)層負(fù)責(zé)控制應(yīng)用程序之間的通信方式，而不是計(jì)算機(jī)之間的通信方式。并非所有的應(yīng)用層都使用會(huì)話(huà)層的協(xié)議，因此不是所有網(wǎng)絡(luò)互聯(lián)功能中都使用這一一層。會(huì)

12、話(huà)層協(xié)議用于建立一個(gè)應(yīng)用程序與其他應(yīng)用程序的邏輯連接，并控制它們之間的往返對(duì)話(huà)。會(huì)話(huà)層協(xié)議允許應(yīng)用程序保持對(duì)話(huà)的狀態(tài)。16、以下哪項(xiàng)最恰當(dāng)?shù)孛枋隽薎P協(xié)議?A. IP協(xié)議是無(wú)連接的，它可以處理對(duì)話(huà)建立、維持和銷(xiāo)毀B. IP協(xié)議是無(wú)連接的，它可以處理尋址和IP包的路由(正確答案)C. IP協(xié)議是面向連接的，它可以處理尋址和IP包的路由D. IP協(xié)議是面向連接的，它可以處理排序、錯(cuò)誤探測(cè)和流控答案解析：16、B.IP協(xié)議是無(wú)連接的，它工作在網(wǎng)絡(luò)層。在數(shù)據(jù)封裝過(guò)程中，IP在數(shù)據(jù)上增加了源地址和目標(biāo)地址。IP 路由決策基于目標(biāo)地址。17、以下哪項(xiàng)不是受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議(PEAP)的特征?A.

13、用于無(wú)線(xiàn)網(wǎng)絡(luò)和點(diǎn)對(duì)點(diǎn)連接中的身份驗(yàn)證協(xié)議B. PEAP的設(shè)計(jì)旨在為802.11 WLAN提供身份驗(yàn)證C. PEAP的設(shè)計(jì)支持802.1X端口訪(fǎng)問(wèn)控制和TLsD. PEAP的設(shè)計(jì)支持密碼保護(hù)連接(正確答案)答案解析：17、D.PEAP是EAP的一個(gè)版本，是用于無(wú)線(xiàn)網(wǎng)絡(luò)和點(diǎn)對(duì)點(diǎn)連接中的身份驗(yàn)證協(xié)議。PEAP的設(shè)計(jì)旨在為802.11WLAN提供身份驗(yàn)證，支持802.1X端口訪(fǎng)問(wèn)控制和TLS。該協(xié)議把EAP封裝在一個(gè)可能被加密和驗(yàn)證過(guò)的TLS隧道中。18、是IETF定義的信令協(xié)議，廣泛用于控制多媒體通信會(huì)話(huà)，如通過(guò)IP進(jìn)行的語(yǔ)音和視頻呼叫。A.會(huì)話(huà)初始化協(xié)議(Session Initiation Pr

14、otocol, SIP)(正確答案)B.實(shí)施傳輸協(xié)議C. SS7D. VoIP答案解析：18、A.會(huì)話(huà)初始化協(xié)議(Session Initation Protocol, SIP)是 IETF定義的信令協(xié)議，廣泛用于控制多媒體通信會(huì)話(huà)，如通過(guò)IP進(jìn)行的語(yǔ)音和視頻呼叫。這個(gè)協(xié)議可用于創(chuàng)建、修改和中斷包含一個(gè)或者多個(gè)媒體流的兩方(單播)或者多方(多播)會(huì)話(huà)。19、以下哪項(xiàng)不是DHCP租用流程的階段之一?i.發(fā)現(xiàn)ii.提供iii.請(qǐng)求iv.響應(yīng)A.以上都是B.以上都不是(正確答案)C.i，iiD.ii，iii答案解析：19、 B.四步DHCP租用流程是:(1) DHCPDISCOVER消息這 個(gè)消息用

15、來(lái)請(qǐng)求來(lái)自DHCP服務(wù)器的IP地址租用。(2) DHCPOFFER消息這個(gè)消息是對(duì)DHCPDISCOVER消息的響應(yīng)，由一個(gè)或者多個(gè)DHCP服務(wù)器發(fā)送。(3) DHCPREQUEST消息客戶(hù)端發(fā)送給最初響應(yīng)其請(qǐng)求的DHCP服務(wù)器一個(gè) DHCP請(qǐng)求(4) DHCPACK消息DHCP 認(rèn)可消息由DHCP服務(wù)器發(fā)送給DHCP客戶(hù)端，是DHCP服務(wù)器分配IP地址租用給DHCP客戶(hù)端的過(guò)程。20、通過(guò)在網(wǎng)絡(luò)交換機(jī)上使用來(lái)屏蔽未經(jīng)身份驗(yàn)證的DHCP客戶(hù)端是一種有效的方法。A. DHCP嗅探(正確答案)B. DHCP保護(hù)C. DHCP屏蔽D. DHCP緩存答案解析：20、A. DHCP嗅探確保DHCP服務(wù)器

16、只為由其MAC地址標(biāo)識(shí)的所選系統(tǒng)分配IP地址。此外，高級(jí)網(wǎng)絡(luò)交換機(jī)目前能將客戶(hù)端指向合法的DHCP服務(wù)器，以獲取IP地址并限制惡意系統(tǒng)成為網(wǎng)絡(luò)上的DHCP服務(wù)器。使用以下場(chǎng)景回答問(wèn)題2123.Don是家大型醫(yī)療機(jī)構(gòu)的安全經(jīng)理。他的團(tuán)隊(duì)開(kāi)發(fā)了一套專(zhuān)有軟件，這個(gè)軟件通過(guò)客戶(hù)端/服務(wù)器模式提供分布式計(jì)算。他發(fā)現(xiàn)一些維護(hù)專(zhuān)有軟件的系統(tǒng)已經(jīng)遭受到半開(kāi)放拒絕服務(wù)攻擊。一些軟件是陳舊的，仍然使用基本的遠(yuǎn)程過(guò)程調(diào)用，這種調(diào)用方式會(huì)遭受到偽裝攻擊。21、當(dāng)客戶(hù)端需要與服務(wù)器通信時(shí)，Don 應(yīng)該確定該機(jī)構(gòu)的軟件使用何種類(lèi)型的客戶(hù)端口?A.已知端口B.注冊(cè)端口C.動(dòng)態(tài)端口(正確答案)D.任意端口答案解析：21、C.

17、已知端口被映射到常用服務(wù)(HTTP、FTP 等)，注冊(cè)端口是1024- 49151, 供貨商注冊(cè)特定端口與他們的專(zhuān)屬軟件相對(duì)應(yīng)。動(dòng)態(tài)端口(私有端口)可供任何應(yīng)用程序使用。22、Don的團(tuán)隊(duì)?wèi)?yīng)該實(shí)施以下哪種有效的控制措施?A.狀態(tài)防火墻B.網(wǎng)絡(luò)地址轉(zhuǎn)換C. SYN代理(正確答案)D. IPv6答案解析：22、C.半開(kāi)放攻擊是DoS的一種，也稱(chēng)為同步洪流，為應(yīng)對(duì)這種攻擊，你可以使用SYN代理來(lái)限制開(kāi)放的和廢棄的網(wǎng)絡(luò)連接數(shù)量。SYN代理是一個(gè)駐留在發(fā)送方和接收方之間的軟件，如果TCP握手流程成功完成，它僅將TCP流量發(fā)送到接收系統(tǒng)。23、如果已經(jīng)遭受到的偽裝攻擊，Don 的團(tuán)隊(duì)?wèi)?yīng)該采取什么措施來(lái)制止

18、?A.動(dòng)態(tài)包過(guò)濾防火墻B. ARP欺騙保護(hù)C.在邊緣路由器上禁用不必要的ICMP流量D. SRPC(正確答案)答案解析：23、D.基本的RPC不具備身份驗(yàn)證功能，它允許偽裝攻擊的發(fā)生。而安全的RPC(SRPC)可以實(shí)現(xiàn)這一功能，它要求在遠(yuǎn)程系統(tǒng)相互通信之前先進(jìn)行身份驗(yàn)證。可以用共享秘密、公鑰或者Kerberos票證等方法進(jìn)行身份驗(yàn)證。使用以下場(chǎng)景回答問(wèn)題24-26。Grace是一-所醫(yī)療機(jī)構(gòu)的安全管理員，她負(fù)責(zé)幾個(gè)不同的團(tuán)隊(duì)。其中的一一個(gè)團(tuán)隊(duì)報(bào)告說(shuō)，當(dāng)他們的主FDDI連接失敗時(shí)，即使切換到冗余鏈接，三個(gè)關(guān)鍵系統(tǒng)也會(huì)停機(jī)。Grace 還需要向她的團(tuán)隊(duì)建議:校園內(nèi)部建筑之間應(yīng)該使用光纖來(lái)連接。由于

19、這是一一個(gè)醫(yī)療設(shè)施培訓(xùn)機(jī)構(gòu)，有許多手術(shù)錄像，并且數(shù)據(jù)必須持續(xù)從一個(gè)建筑傳輸?shù)搅硪粋€(gè)建筑。Grace還收到了另外一個(gè)事件的報(bào)告，這個(gè)報(bào)告稱(chēng)有周期性的DoS對(duì)內(nèi)部網(wǎng)絡(luò)中的特定服務(wù)器進(jìn)行攻擊。攻擊者向特定子網(wǎng)上的所有主機(jī)發(fā)送大量ICMP ECHO REQUEST數(shù)據(jù)包，特定的服務(wù)器都在這個(gè)子網(wǎng)里。24、當(dāng)他們的服務(wù)器停機(jī)時(shí)，Grace 的團(tuán)隊(duì)最可能經(jīng)歷以下哪個(gè)問(wèn)題?A.三個(gè)關(guān)鍵系統(tǒng)鏈接到一個(gè)雙銜接埠工作站B.三個(gè)關(guān)鍵系統(tǒng)鏈接到一個(gè)單銜接埠工作站(正確答案)C.備用FDDI環(huán)無(wú)法承載流量，并放棄了這三個(gè)關(guān)鍵系統(tǒng)D.FDDI環(huán)在城域網(wǎng)中被共享，并且僅允許每個(gè)公司將一定數(shù)量的系統(tǒng)連接到這兩個(gè)環(huán)上答案解析：

20、24、B.單銜接埠工作站(Single Attachment Station,SAS)通過(guò)集線(xiàn)器只連接-一個(gè)環(huán)(主環(huán))。如果主環(huán)停機(jī)，它不會(huì)被鏈接到備份副環(huán)。雙銜接埠工作站Dul-AtachmentStation,DAS)有兩個(gè)端口，每個(gè)端口提供一個(gè)連接， 連接到主環(huán)和副環(huán)。25、在這個(gè)場(chǎng)景中，最好用什么模式的光纖?A.單模B.多模(正確答案)C.光載體D. SONET答案解析：25、B.在單一模式下，小玻璃芯用于遠(yuǎn)距離高速數(shù)據(jù)傳輸。這種情況一般指定建立短距離的校園內(nèi)部建筑之間的連接。在多模式下，大玻璃芯得以應(yīng)用，它能夠承載比單模式光纖更多的數(shù)據(jù)，但因其較高的衰減水平而更適用于短距離傳輸。26

21、、以下哪項(xiàng)是Grace團(tuán)隊(duì)?wèi)?yīng)該實(shí)施的對(duì)策，這些對(duì)策應(yīng)該是最佳的，并且最具成本效益?A.地址轉(zhuǎn)換B.不允許非必要的ICMP流量從非信任網(wǎng)絡(luò)通過(guò)(正確答案)C.基于應(yīng)用代理的防火墻D.用兩臺(tái)來(lái)自不同供應(yīng)商的防火墻組成屏蔽子網(wǎng)答案解析：26、B.該攻擊是-一個(gè)Smurf攻擊。在這種攻擊中，攻擊者將一個(gè)帶欺騙源地址的ICMP回波請(qǐng)求數(shù)據(jù)包發(fā)送到一個(gè)受害者的網(wǎng)絡(luò)廣播地址。這意味著受害者子網(wǎng)上的每個(gè)系統(tǒng)都接收到一個(gè)ICMP回波請(qǐng)求數(shù)據(jù)包，然后，每個(gè)系統(tǒng)用ICMP回波響應(yīng)數(shù)據(jù)包來(lái)回應(yīng)，根據(jù)請(qǐng)求發(fā)送到數(shù)據(jù)包所提供的欺騙地址(即受害者的地址)上。所有這些響應(yīng)數(shù)據(jù)包都去往受害系統(tǒng)并擊垮它，因?yàn)樗馐芰似洳灰欢ㄖ?/p>

22、如何處理的數(shù)據(jù)包的狂轟濫炸。過(guò)濾掉不必要的ICMP流量是最經(jīng)濟(jì)的解決方案。使用以下場(chǎng)景回答問(wèn)題29-31。John是他公司的安全團(tuán)隊(duì)經(jīng)理。他了解到攻擊者已經(jīng)在公司不知情的情況下在整個(gè)網(wǎng)絡(luò)中安裝了嗅探器。除了這個(gè)問(wèn)題，他的團(tuán)隊(duì)還發(fā)現(xiàn)兩臺(tái)DNS服務(wù)器沒(méi)有記錄復(fù)制限制，而且服務(wù)器中已經(jīng)緩存了可疑的域名解析數(shù)據(jù)。27、采取以下哪項(xiàng)對(duì)策，可以有效地緩解網(wǎng)絡(luò)嗅探器嗅探網(wǎng)絡(luò)管理流量?A. SNMP v3(正確答案)B. L2TPC. CHAPD.動(dòng)態(tài)包過(guò)濾防火墻答案解析：27、A.SNMP的版本1和版本2在明文中發(fā)送社區(qū)字符串，但版本3有加密功能，提供加密、消息完整性和身份驗(yàn)證安全。所以，安裝在網(wǎng)絡(luò)上的嗅探

23、器嗅探不到SNMP流量。28、在這個(gè)場(chǎng)景下，最有可能發(fā)生以下哪種未經(jīng)授權(quán)的活動(dòng)?A.域名重復(fù)B.釣魚(yú)C.轉(zhuǎn)發(fā)D. 區(qū)域傳送(正確答案)答案解析：28、D.主要DNS服務(wù)器和次要DNS服務(wù)器通過(guò)區(qū)域傳送同步它們的信息。主DNS服務(wù)器上發(fā)生變更后，這些變更必須被復(fù)制到次要DNS服務(wù)器上。配置DNS服務(wù)器以只允許在特定服務(wù)器之間進(jìn)行區(qū)域傳送是很重要的。攻擊者會(huì)通過(guò)區(qū)域傳送從受害者的DNS服務(wù)器收集非常有用的網(wǎng)絡(luò)信息。如果DNS服務(wù)器配置不當(dāng)而沒(méi)有限制這類(lèi)活動(dòng)的話(huà)，就會(huì)發(fā)生未經(jīng)授權(quán)的區(qū)域傳送。29、以下哪項(xiàng)是John團(tuán)隊(duì)?wèi)?yīng)該實(shí)施的最佳對(duì)策，用這種對(duì)策防止不正確的緩存問(wèn)題?A. PKIB. DHCP s

24、noopingC. ARP保護(hù)D. DNSSEC(正確答案)答案解析：29、D.當(dāng)DNS服務(wù)器收到一個(gè)不恰當(dāng)(可能惡意)的名稱(chēng)解析響應(yīng)時(shí)，除非實(shí)施DNSSEC,否則它會(huì)緩存該響應(yīng)并把它提供給所有服務(wù)的主機(jī)。如果在DNS服務(wù)器上啟用了DNSSEC,那么該服務(wù)器在收到一個(gè)響應(yīng)時(shí)，會(huì)驗(yàn)證該消息上的數(shù)字簽名，之后才接受這個(gè)信息，從而確保這個(gè)響應(yīng)來(lái)自授權(quán)的DNS服務(wù)器。使用以下場(chǎng)景回答問(wèn)題30-32。Sean是一家大型金融機(jī)構(gòu)的新安全管理人員。Sean在他的新職位的第一個(gè)星期中意識(shí)到了幾個(gè)問(wèn)題。首先，即使在每個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)位置都有嚴(yán)格配置的防火墻來(lái)控制來(lái)往這些服務(wù)器的流量，偽造數(shù)據(jù)包似乎還可以訪(fǎng)問(wèn)關(guān)鍵服務(wù)

25、器。Sean的一個(gè)團(tuán)隊(duì)成員抱怨當(dāng)前的防火墻日志過(guò)大，并且有太多無(wú)用的數(shù)據(jù)。他還告訴Sean;團(tuán)隊(duì)需要使用“少允許”的規(guī)則，而不是現(xiàn)在的"any-any"規(guī)則類(lèi)型。Sean 還發(fā)現(xiàn)，一一些團(tuán)隊(duì)成員希 望將tarpit部署軟件到一一些經(jīng)常受到攻擊的系統(tǒng)上。30、以下哪種情況最有可能允許偽造數(shù)據(jù)包未經(jīng)授權(quán)的訪(fǎng)問(wèn)關(guān)鍵服務(wù)器?A. TCP序列劫持正在發(fā)生B.源路由信息不被限制(正確答案)C.片段攻擊正在進(jìn)行中D.攻擊者通過(guò)PPP進(jìn)行隧道通信答案解析：30、B.源路由指數(shù)據(jù)包決定它到達(dá)目的地的路線(xiàn)，而不是由源和目標(biāo)計(jì)算機(jī)之間的路由器決定。源路由在預(yù)先定義的路徑上通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)包。為確

26、保在路由過(guò)程中不出錯(cuò)，會(huì)配置許多防火墻，檢查數(shù)據(jù)包內(nèi)的源路由信息，一旦存在該信息， 便拒絕它。31、 以下哪項(xiàng)最貼合Sean的團(tuán)隊(duì)成員關(guān)于防火墻配置問(wèn)題的描述?A.清理規(guī)則，隱形規(guī)則B.隱形規(guī)則，沉默規(guī)則C.沉默規(guī)則，否定規(guī)則(正確答案)D.隱形規(guī)則，否定規(guī)則答案解析：31、C.下面描述了不同類(lèi)型的防火墻規(guī)則:數(shù)以工作在IEEE 802 1X EAP-TLS框架內(nèi)。最新的版本(802 1X-2010)集成了IEEE 802.1AE和IEEE802.1AR，以支持服務(wù)識(shí)別和可選的點(diǎn)對(duì)點(diǎn)加密。32、以下哪項(xiàng)最恰當(dāng)?shù)孛枋隽薙ean的團(tuán)隊(duì)要為經(jīng)常受到攻擊的系統(tǒng)部署對(duì)策的原因?A.防止生產(chǎn)系統(tǒng)被劫持B.

27、減少DoS攻擊的影響(正確答案)C.在攻擊過(guò)程中收集統(tǒng)計(jì)信息D.提高取證能力答案解析：32、B.Tarpit通常是配置為模仿脆弱的運(yùn)行服務(wù)的軟件。一旦攻擊者開(kāi)始發(fā)送數(shù)據(jù)包到這個(gè)“服務(wù)”，與這個(gè)受害系統(tǒng)的連接似乎是正在進(jìn)行的，但是來(lái)自受害系統(tǒng)的響應(yīng)卻很緩慢，導(dǎo)致連接可能會(huì)超時(shí)。多數(shù)攻擊和掃描活動(dòng)都是通過(guò)自動(dòng)化工具完成的，都要求受害系統(tǒng)快速予以響應(yīng)。如果受害系統(tǒng)沒(méi)有響應(yīng)或者響應(yīng)很慢，自動(dòng)化攻擊會(huì)因?yàn)閰f(xié)議連接超時(shí)而失敗。這能減弱DoS攻擊的效果。使用以下場(chǎng)景回答問(wèn)題33-35.Tom的公司遇到了許多問(wèn)題，在網(wǎng)絡(luò)中被安裝了未授權(quán)的嗅探器。由于員工可以將筆記本電腦、智能手機(jī)和其他移動(dòng)設(shè)備接入到網(wǎng)絡(luò)中，而

28、這些設(shè)備可能在其擁有者不知道的情況下安裝了嗅探器，這是原因之-一。因?yàn)樗械木W(wǎng)絡(luò)設(shè)備都需要為特定的VPN進(jìn)行配置，而有些設(shè)備如交換機(jī)，不具備這樣的功能，所以無(wú)法實(shí)施VPN.Tom的團(tuán)隊(duì)正在處理的另一個(gè)問(wèn)題是如何保護(hù)內(nèi)部的無(wú)線(xiàn)流量。雖然無(wú)線(xiàn)接入點(diǎn)可以配置數(shù)字證書(shū)用于認(rèn)證，但是在每個(gè)無(wú)線(xiàn)用戶(hù)設(shè)備上部署和維護(hù)證書(shū)的成本是十分高昂的，并且會(huì)對(duì)網(wǎng)絡(luò)團(tuán)隊(duì)造成很多負(fù)擔(dān)。Tom的老板也告訴他，公司需要從一-個(gè)城域網(wǎng)解決方案轉(zhuǎn)移到無(wú)線(xiàn)解決方案。33、 Tom的團(tuán)隊(duì)?wèi)?yīng)該在數(shù)據(jù)鏈路層實(shí)施什么，來(lái)提供源身份驗(yàn)證和數(shù)據(jù)加密?A. IEEE 802.1ARB. IEEE 802.1AEC. IEEE 802.1AFD.

29、IEEE 802.1X(正確答案)答案解析：33、D.IEEE 802.1AR為設(shè)備提供唯一-的ID. IEEE 802.1AE提供數(shù)據(jù)加密、完整性和源身份驗(yàn)證功能。IEE 802.1AF為用于數(shù)據(jù)加密的會(huì)話(huà)密鑰執(zhí)行密鑰協(xié)議功能。每個(gè)標(biāo)準(zhǔn)都提供具體的參34、以下哪項(xiàng)解決方案最能滿(mǎn)足公司保護(hù)無(wú)線(xiàn)流量的需求?A. EAP-TLSB. EAP-PEAPC. LEAPD. EAP-TTLS(正確答案)答案解析：34、D. EAP隧道傳輸層安全(EAP-Tunneled Transport Layer Security,EAP-TTLS)是一個(gè)擴(kuò)展了TLs的EAP協(xié)議，其目的是提供和EAP-TLS，一樣

30、強(qiáng)大的身份驗(yàn)證，但不要求向每個(gè)無(wú)線(xiàn)設(shè)備頒發(fā)證書(shū)，只向驗(yàn)證服務(wù)器頒發(fā)證書(shū)。用戶(hù)身份驗(yàn)證通過(guò)密碼來(lái)進(jìn)行，但這些密碼憑證在一一個(gè)安全的、基于服務(wù)器證書(shū)而建立的加密隧道中傳輸。35、 以下哪項(xiàng)是滿(mǎn)足公司對(duì)寬帶無(wú)線(xiàn)連接需求的最佳解決方案?A. WiMAX(正確答案)B. IEEE 802.12C. WPA2D. IEEE 802.15答案解析：35、A. IEEE 802.16是一個(gè)MAN無(wú)線(xiàn)標(biāo)準(zhǔn)，允許無(wú)線(xiàn)流量覆蓋較廣泛的地理區(qū)域。這個(gè)技術(shù)也稱(chēng)為寬帶無(wú)線(xiàn)訪(fǎng)問(wèn)。802.16 的商業(yè)名稱(chēng)是WiMAX.使用以下場(chǎng)景回答問(wèn)題36-38。Lancer入職一家大型醫(yī)療設(shè)備公司擔(dān)當(dāng)新的安全官員。他了解到許多防火墻和I

31、DS產(chǎn)品未做過(guò)濾IPv6流量的配置:因此，許多攻擊在安全團(tuán)隊(duì)不知道的情況下發(fā)生了。雖然網(wǎng)絡(luò)團(tuán)隊(duì)嘗試通過(guò)實(shí)施自動(dòng)化隧道功能來(lái)處理此問(wèn)題，但他們一一直遇到網(wǎng)絡(luò)NAT設(shè)備問(wèn)題。Lance還發(fā)現(xiàn)針對(duì)公司面向公眾的DNS服務(wù)器曾遭受緩沖攻擊。Lance已經(jīng)認(rèn)識(shí)到目前的LDAP請(qǐng)求需要額外的身份驗(yàn)證，但是現(xiàn)有技術(shù)只提供基于密碼的身份驗(yàn)證。36、基于場(chǎng)景中的信息，網(wǎng)絡(luò)團(tuán)隊(duì)?wèi)?yīng)該如何實(shí)施IPv6隧道?A. Teredo(又稱(chēng)為面向IPv6的IPv4 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換穿越)應(yīng)該在可識(shí)別IPv6的設(shè)備上配置，并且放置在NAT設(shè)備之后(正確答案)B. 6to4應(yīng)該在可識(shí)別IPv6的設(shè)備上配置，并且放置在NAT設(shè)備之

32、后C.站內(nèi)自動(dòng)隧道尋址協(xié)議應(yīng)該在可識(shí)別IPv6的設(shè)備上配置，并且放置在NAT設(shè)備之后D. IPv6 應(yīng)該在所有設(shè)備上禁用答案解析：36、A.Teredo 把IPv6封裝在帶有IPv4尋址的UDP數(shù)據(jù)報(bào)內(nèi)。NAT設(shè)備后面的IPv6系統(tǒng)可以用作Teredo隧道終端，即使它們沒(méi)有一個(gè)專(zhuān)用的公共IPv4地址。37、以下哪項(xiàng)是解決場(chǎng)景中攻擊類(lèi)型的最佳對(duì)策?A. DNSSEC(正確答案)B. IPSecC.拆分服務(wù)器配置D.禁用區(qū)域傳輸答案解析：37、A.DNSSEC保護(hù)DNS服務(wù)器免受偽造的DNS信息的影響，后者通常用來(lái)執(zhí)行DNS緩存中毒攻擊。如果實(shí)施DNSSEC的話(huà)，那么服務(wù)器接收到的所有響應(yīng)都通過(guò)數(shù)字簽名