計(jì)算機(jī)網(wǎng)絡(luò)安全考試試題及答案1

計(jì)算機(jī)網(wǎng)絡(luò)安全》試卷第計(jì)算機(jī)網(wǎng)絡(luò)安全》試卷第頁(yè)（共6頁(yè)）零知識(shí)身份認(rèn)證分為交 和非交互式 兩種類(lèi)型。DNS同時(shí)調(diào)用了TCP和UDP的53端口，其中U 端口用于DNS客戶(hù)端與DNS服務(wù)器端的通信，而TCP53 端口用于DNS區(qū)域之間的數(shù)據(jù)復(fù)制。與病毒相比，蠕蟲(chóng)的最大特點(diǎn)是消耗 計(jì)算 和 在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶(hù)來(lái)攻擊系統(tǒng)的行為稱(chēng)為冒充；復(fù)制合法用戶(hù)發(fā)出的數(shù)據(jù)，然后進(jìn)行重發(fā)，以欺騙接收者的行為稱(chēng)為 重放 ；中止或干擾服務(wù)器為合法用戶(hù)提供服務(wù)TOC\o"1-5"\h\z的行為稱(chēng)為服務(wù)拒絕（或拒絕服務(wù)） 。在LAND攻擊中，LAND攻擊報(bào)文的源IP地址 和目的IP地址是相同的。防火墻將網(wǎng)絡(luò)分割為兩部分，即將網(wǎng)絡(luò)分成兩個(gè)不同的安全域。對(duì)于接入 Internet 的局域網(wǎng)，其中局域網(wǎng) 屬于可信賴(lài)的安全域，而 Int 屬于不可信賴(lài)的非安全域。防火墻一般分為路由模式和透明模式兩類(lèi)。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時(shí)，可采用 透明模式 防火墻；而用防火墻連接兩個(gè)完全不同的網(wǎng)絡(luò)時(shí)，則需要使用 路由模 防火墻。VPN系統(tǒng)中的身份認(rèn)證技術(shù)包括 用 和 兩種類(lèi)型。三、判斷題（每小題1分，共10分）鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用。（X ）"一次一密"屬于序列密碼中的一種。（V ）當(dāng)通過(guò)瀏覽器以在線(xiàn)方式申請(qǐng)數(shù)字證書(shū)時(shí)，申請(qǐng)證書(shū)和下載證書(shū)的計(jì)算機(jī)必須是同一臺(tái)計(jì)算機(jī)。（V）PKI和PMI在應(yīng)用中必須進(jìn)行綁定，而不能在物理上分開(kāi)°（X ）在網(wǎng)絡(luò)身份認(rèn)證中采用審計(jì)的目的是對(duì)所有用戶(hù)的行為進(jìn)行記錄，以便于進(jìn)行核查。（V）由于在TCP協(xié)議的傳輸過(guò)程中，傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元?jiǎng)澐殖啥鄠€(gè)字節(jié)段，然后每個(gè)字節(jié)段單獨(dú)進(jìn)行路由傳輸，所以 TCP是面向字節(jié)流的可靠的傳輸方式。（V）ARP緩存只能保存主動(dòng)查詢(xún)獲得的IP和MAC的對(duì)應(yīng)關(guān)系，而不會(huì)保存以廣播形式接收到的IP和MAC的對(duì)應(yīng)關(guān)系。x（）TOC\o"1-5"\h\z計(jì)算機(jī)病毒只會(huì)破壞計(jì)算機(jī)的操作系統(tǒng)，而對(duì)其他網(wǎng)絡(luò)設(shè)備不起作用。 x（ ）腳本文件和ActiveX控件都可以嵌入在HTML文件中執(zhí)行。（V ）要實(shí)現(xiàn)DDoS攻擊，攻擊者必須能夠控制大量的計(jì)算機(jī)為其服務(wù)。 V（ ）四、名詞解釋?zhuān)啃☆}4分，共20分）61．對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密答：在一個(gè)加密系統(tǒng)中，加密和解密使用同一個(gè)密鑰，這種加密方式稱(chēng)為對(duì)稱(chēng)加密，也稱(chēng)為單密鑰加密（2分）。如果系統(tǒng)采用的是雙密鑰體系，存在兩個(gè)相互關(guān)聯(lián)的密碼，其中一個(gè)用于加密，另一個(gè)用于解密，這種加密方法稱(chēng)為非對(duì)稱(chēng)加密，也稱(chēng)為公鑰加密。 分）（262．蜜罐答：是一種計(jì)算機(jī)網(wǎng)絡(luò)中專(zhuān)門(mén)為吸引并“誘騙”那些試圖非法入侵他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的陷阱系統(tǒng)（2分）。設(shè)置蜜罐的目的主要是用于被偵聽(tīng)、被攻擊，從而研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)和方法。（2）63．PKI答：PKI（公鑰基礎(chǔ)設(shè)施）是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺(tái)。PKI能為各種不同安全需求的用戶(hù)提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書(shū)，這些安全服務(wù)主要包括身份識(shí)別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時(shí)間戳服務(wù)等，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴(lài)的目的（ 2分）。PKI的技術(shù)基礎(chǔ)之一是公開(kāi)密鑰體制（1分）；PKI的技術(shù)基礎(chǔ)之二是加密機(jī)制（1分）64．DNSSEC答：DNSSEC（域名系統(tǒng)安全擴(kuò)展）是在原有的域名系統(tǒng)（ DNS上通過(guò)公鑰技術(shù)，對(duì)DNS中的信息進(jìn)行數(shù)字簽名，從而提供DNS的安全認(rèn)證和信息完整性檢驗(yàn)（2分）。發(fā)送方首先使用Hash函數(shù)對(duì)要發(fā)送的DNS信息進(jìn)行計(jì)算，得到固定長(zhǎng)度的“信息摘要”，然后對(duì)“信息摘要”用私鑰進(jìn)行加密，此過(guò)程實(shí)現(xiàn)了對(duì)“信息摘要”的數(shù)字簽名；最后將要發(fā)送的 DNS信息、該DNS信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，一起發(fā)送出來(lái)（1分）。接收方首先采用公鑰系統(tǒng)中的對(duì)應(yīng)公鑰對(duì)接收到的“信息摘要”的數(shù)字簽名進(jìn)行解密，得到解密后的“信息摘要”；接著用與發(fā)送方相同的 Hash函數(shù)對(duì)接收到的DNS信息進(jìn)行運(yùn)算，得到運(yùn)算后的“信息摘要”；最后，對(duì)解密后的 “信息摘要”和運(yùn)算后的“信息摘要”進(jìn)行比較，如果兩者的值相同，就可以確認(rèn)接收到的 DNS信息是完整的，即是由正確的DNS服務(wù)器得到的響應(yīng)65．DoS攻擊答：DoS（拒絕服務(wù)）攻擊是一種實(shí)現(xiàn)簡(jiǎn)單但又很有效的攻擊方式。 DoS攻擊的目的就是讓被攻擊主機(jī)拒絕用戶(hù)的正常服務(wù)訪(fǎng)問(wèn)，破壞系統(tǒng)的正常運(yùn)行，最終使用戶(hù)的部分 Internet 連接和網(wǎng)絡(luò)系統(tǒng)失效（2分）。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)。分）（2五、簡(jiǎn)答題（每小題10分，共20分）66.簡(jiǎn)述ARP欺騙的實(shí)現(xiàn)原理及主要防范方法答：由于ARP協(xié)議在設(shè)計(jì)中存在的主動(dòng)發(fā)送 ARP報(bào)文的漏洞，使得主機(jī)可以發(fā)送虛假的 ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文，報(bào)文中的源 IP地址和源MAC地址均可以進(jìn)行偽造（2分）。在局域網(wǎng)中，即可以偽造成某一臺(tái)主機(jī)（如服務(wù)器） IP地址和MAC地址的組合，的也可以偽造成網(wǎng)關(guān)的 IP地址和MAC地址的組合，ARP即可以針對(duì)主機(jī)，也可以針對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備（ 2分），等等。目前，絕大部分ARP欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的 ARP表，使得網(wǎng)絡(luò)中的合法主機(jī)無(wú)法正常通信或通信不正常，如表示為計(jì)算機(jī)無(wú)法上網(wǎng)或上網(wǎng)時(shí)斷時(shí)續(xù)等。（ 2分）針對(duì)主機(jī)的ARP欺騙的解決方法：主機(jī)中靜態(tài) ARP緩存表中的記錄是永久性的，用戶(hù)可以使用TCP/IP工具來(lái)創(chuàng)建和修改，如 Windows操作系統(tǒng)自帶的ARP工具，利用“arp-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址”將本機(jī)中ARP緩存表中網(wǎng)關(guān)的記錄類(lèi)型設(shè)置為靜態(tài)（ static）（2分）。針對(duì)交換機(jī)的ARP欺騙的解決方法：在交換機(jī)上防范 ARP欺騙的方法與在計(jì)算機(jī)上防范 ARP欺騙的方法基本相同，還是使用將下連設(shè)備的 MAC地址與交換機(jī)端口進(jìn)行 綁定的方法來(lái)實(shí)現(xiàn)。67.如下圖所示，簡(jiǎn)述包過(guò)濾防火墻的工作原理及應(yīng)用特點(diǎn)。包過(guò)濾（PacketFilter ）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪(fǎng)問(wèn)策略（過(guò)濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類(lèi)型等），確定是否允許該數(shù)據(jù)包通過(guò)防火墻（ 2分）。包過(guò)濾防火墻中的安全訪(fǎng)問(wèn)策略（過(guò)濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過(guò)對(duì)進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過(guò)防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過(guò)濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將 IP分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)。（2分）包過(guò)濾防火墻主要特點(diǎn)：過(guò)濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶(hù)的安全要求來(lái)定；防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第 1個(gè)條目開(kāi)始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要；由于包過(guò)濾防火墻工作在 OSI參考模型的網(wǎng)絡(luò)層和傳輸