網(wǎng)絡(luò)安全簡答題

1、網(wǎng)絡(luò)安全簡答題精選、簡答題1、簡述物理安全包括那些內(nèi)容？ 防盜，防火，防靜電，防雷擊和防電磁泄漏2、簡述防火墻有哪些基本功能？（寫出五個功能） 建立一個集中的監(jiān)視點 隔絕內(nèi)外網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)強(qiáng)化網(wǎng)絡(luò)安全策略 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換3、簡述無線局域網(wǎng)由那些硬件組成？無線局域網(wǎng)由無線網(wǎng)卡、AP無線網(wǎng)橋、計算機(jī)和有關(guān)設(shè)備組成。4 、簡述網(wǎng)絡(luò)安全的層次體系 從層次體系上，可以將網(wǎng)絡(luò)安全分成四個層次上的安全：物理、邏輯、操作系 統(tǒng)和聯(lián)網(wǎng)安全5、簡述 TCP/IP 協(xié)議族的基本結(jié)構(gòu)?TCP/IP協(xié)議族是一個四層協(xié)議系統(tǒng)，自底而上分別是數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、 傳輸層和應(yīng)用層。6、簡述

2、網(wǎng)絡(luò)掃描的分類及每類的特點 掃描，一般分成兩種策略：一種是主動式策略，另一種是被動式策略。 被動式策略是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置、脆弱的口令及其他同安 全規(guī)則抵觸的對象進(jìn)行檢查，不會對系統(tǒng)造成破壞。主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行 為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞，但是可能會對系統(tǒng)造成破壞。7、簡述常用的網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)監(jiān)聽、病毒及密碼攻擊、欺騙攻擊 拒絕服務(wù)攻擊、應(yīng)用層攻擊、緩沖區(qū)溢出8、簡述后門和木馬的概念并說明兩者的區(qū)別木馬 (Trojan) ，也稱木馬病毒，是指通過特定的程序木馬程序來控制另一臺計 算機(jī)后門：是繞過安全性控制而獲取對程

3、序或系統(tǒng)訪問權(quán)的方法 本質(zhì)上，木馬和后門都是提供網(wǎng)絡(luò)后門的功能，但是木馬的功能稍微強(qiáng)大一 些，一般還有遠(yuǎn)程控制的功能，后門程序則功能比較單一，只是提供客戶端能 夠登錄對方的主機(jī)9、簡述惡意代碼的概念及長期存在的原因 惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序 中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被 感染電腦數(shù)據(jù)的安全性和完整性的目的。原因：在信息系統(tǒng)的層次結(jié)構(gòu)中，包括從底層的操作系統(tǒng)到上層的網(wǎng)絡(luò)應(yīng)用在 內(nèi)的各個層次都存在著許多不可避免的安全問題和安全脆弱性。而這些安全脆 弱性的不可避免，直接導(dǎo)致了惡意代碼的必然存在。10、簡述安全操作系統(tǒng)的

4、機(jī)制 安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制，操作系統(tǒng)的安全標(biāo)識與鑒別，訪問 控制、最小特權(quán)管理、可信通路和安全審計。11、簡述密碼學(xué)除機(jī)密性外還需提供的功能 鑒別、完整性、抗抵賴性 鑒別：消息的接收者應(yīng)該能夠確認(rèn)消息的來源；入侵者不可能偽裝成他人。 完整性：消息的接收者應(yīng)該能夠驗證在傳送過程中消息沒有被修改；入侵者不 可能用假消息代替合法消息。抗抵賴性：發(fā)送者事后不可能虛假地否認(rèn)他發(fā)送的消息。12、簡述入侵檢測系統(tǒng)的概念及常用的 3 種入侵檢測方法 入侵檢測系統(tǒng)：是能夠?qū)θ肭之惓Ｐ袨樽詣舆M(jìn)行檢測、監(jiān)控和分析的軟件與硬 件的組合系統(tǒng)，是一種自動監(jiān)測信息系統(tǒng)內(nèi)、外入侵的安全設(shè)備 常用的方法有 3種

5、：靜態(tài)配置分析、異常性檢測方法，基于行為的檢測方法和文 件完整性檢查 。13、簡述網(wǎng)絡(luò)安全框架包含的內(nèi)容 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)網(wǎng)絡(luò)安全運(yùn)作網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全技術(shù)14. 什么是網(wǎng)絡(luò)安全？其特征有哪些？ 網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的破壞、更 改、泄露，保證系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷的措施。 特征：保密性、完整性、可用性、可控性、可審查性。15. 網(wǎng)絡(luò)安全威脅的發(fā)展特點主要有哪些？（ 1）與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播所有病毒都具有混合型特性，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞 性增強(qiáng)（ 2）擴(kuò)散極快，更加注

6、重欺騙性利用系統(tǒng)漏洞成為病毒有力的傳播方式 無線網(wǎng)絡(luò)技術(shù)的發(fā)展使得遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性增加 各種境外情報諜報人員通 過信息網(wǎng)絡(luò)渠道搜集情報和竊取資料。（3）各種病毒、蠕蟲、后門技術(shù)智能化，呈現(xiàn)整合趨勢，形成混合型威脅； 各種攻擊技術(shù)的隱密性增強(qiáng)。常規(guī)手段不能識別；（4）分布式計算技術(shù)用于攻擊的趨勢增強(qiáng)，威脅高強(qiáng)度密碼的安全性（5）一些政府部門的超級計算機(jī)資源成為攻擊者利用的跳板，網(wǎng)絡(luò)管理安全問 題日益突出16. TCP 協(xié)議存在哪些典型的安全漏洞？如何應(yīng)對這些漏洞？TCP使用三次握手機(jī)制來建立一條連接，握手的第一個報文為 SYN包;第二個 報文為SYN/ACK包，表明它應(yīng)答第一個SYN包同時繼

7、續(xù)握手的過程；第三個報 文僅僅是一個應(yīng)答，表示為 ACK包。若A放為連接方，B為響應(yīng)方，其間可能 的威脅有：一1. 攻擊者監(jiān)聽B方發(fā)出的SYN/ACK艮文2. 攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接。3. B 方響應(yīng)新連接，并發(fā)送連接響應(yīng)報文 SYN/ACK。4. 攻擊者再假冒A方對B方發(fā)送ACK包。二應(yīng)對：1. 對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對超時的 SYN青求連接數(shù)據(jù)包的 復(fù)位，同時通過縮短超時常數(shù)和加長等候隊列使得系統(tǒng)能迅速處理無效的 SYN 青求數(shù)據(jù)包。2. 建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個數(shù)。3. 建議

8、在路由器的前端多必要的 TCP攔截，使得只有完成TCP三次握手過程的 數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻17. 簡述 IPSec 策略的工作原理。IP AH 提供了無連接的完整性、數(shù)據(jù)起源的身份驗證和一個可選的防止重放的 服務(wù)。ESP能夠提供機(jī)密性和受限制的流量機(jī)密性，它也能提供無連接的完整 性、數(shù)據(jù)起源的身份驗證和防止重放服務(wù)。AH和ESP可單獨應(yīng)用或組合起來在IPv4 和 v6 提供一個所需的安全服務(wù)集；都支持兩種使用模式：傳輸模式和隧 道模式18. 如何刪除默認(rèn)共享。（1）開始-運(yùn)行（輸入）cmd彈出 命令提示符；（ 2）在命令提示符輸入 : net s

9、hare 查看系統(tǒng)中的共享；（3）關(guān)閉默認(rèn)共享輸入：net share 共享名（如C$） /del 。19. 如何關(guān)閉不需要的端口和服務(wù)關(guān)閉端口。比如在 Windows 2000/XP中關(guān)閉SMTF服務(wù)的25端口，可以這樣 做：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打 開的服務(wù)窗口中找到并雙擊“ Simple Mail Tran sfer Protocol（ SMTP”服務(wù)，單擊“停止”按鈕來停止該服務(wù)，然后在“啟動類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關(guān)閉了SMT用艮務(wù)就相當(dāng)于關(guān)閉了對應(yīng)的端口。20. 什么是主動攻擊？什么是被動攻擊？主動攻擊包含攻擊

10、者訪問他所需信息的故意行為。主動攻擊包括拒絕服務(wù)攻 擊、信息篡改、資源使用、欺騙等攻擊方法。被動攻擊主要是收集信息而不是 進(jìn)行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅 探、信息收集等攻擊方法。21. 在密碼學(xué)中，明文，密文，密鑰，加密算法和解密算法稱為五元組。試說 明這五個基本概念。明文：計算機(jī)數(shù)據(jù)加密語言、加密前的原始數(shù)據(jù)密文：加密后的消息稱為密文。密鑰：一種參數(shù)明文轉(zhuǎn)化成密文或相反時在算法中輸入的數(shù)據(jù)加密算法：將一個消息經(jīng)過加密鑰匙及加密函數(shù)，變成無意義的密文解密算法：密文經(jīng)過解密密鑰及解密函數(shù)轉(zhuǎn)換成明文的函數(shù)22. 網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容？攻擊：（1）網(wǎng)絡(luò)監(jiān)

11、聽：自己不主動去攻擊別人，而是在計算機(jī)上設(shè)置一個程序去監(jiān)聽 目標(biāo)計算機(jī)與其他計算機(jī)通信的數(shù)據(jù)。（2）網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞， 為入侵該計算機(jī)做準(zhǔn)備。（3）網(wǎng)絡(luò)入侵：當(dāng)探測發(fā)現(xiàn)對方存在漏洞后，入侵到目標(biāo)計算機(jī)獲取信息。（4）網(wǎng)絡(luò)后門：成功入侵目標(biāo)計算機(jī)后，為了實現(xiàn)對“戰(zhàn)利品”的長期控制， 在目標(biāo)計算機(jī)中種植木馬等后門。（5）網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計算機(jī)后，將自己入侵的痕跡清除，從而防 止被對方管理員發(fā)現(xiàn)。防御：（1）安全操作系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡(luò)安全的關(guān)鍵。（2）加密技術(shù)：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進(jìn)行加密。（3）防火墻

12、技術(shù)：利用防火墻，對傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。（4）入侵檢測：如果網(wǎng)絡(luò)防線最終被攻破，需要及時發(fā)出被入侵的警報。（5）網(wǎng)絡(luò)安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽23. 簡述 OSI 參考模型的結(jié)構(gòu) 從低到高： 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層應(yīng)用層24. 簡述研究惡意代碼的必要性。在In ternet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。如今，惡 意代碼已成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使 企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。二、綜述題1 簡述ARP欺騙的實現(xiàn)原理及主要防范方法 答：由于ARP協(xié)議在設(shè)計

13、中存在的主動發(fā)送 ARPM文的漏洞，使得主機(jī)可以發(fā) 送虛假的ARP青求報文或響應(yīng)報文，報文中的源IP地址和源MAO址均可以進(jìn) 行偽造（2分）。在局域網(wǎng)中，即可以偽造成某一臺主機(jī)（如服務(wù)器）的 IP地 址和MAC地址的組合，也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合，ARP即 可以針對主機(jī)，也可以針對交換機(jī)等網(wǎng)絡(luò)設(shè)備（2分），等等。目前，絕大部分ARP欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的 ARPS， 使得網(wǎng)絡(luò)中的合法主機(jī)無法正常通信或通信不正常，如表示為計算機(jī)無法上網(wǎng) 或上網(wǎng)時斷時續(xù)等。（2分）針對主機(jī)的ARP欺騙的解決方法：主機(jī)中靜態(tài) ARP緩存表中的記錄是永久 性的，用戶可以使用TCP/

14、IP工具來創(chuàng)建和修改，如 Windows操作系統(tǒng)自帶的 ARP工具，利用“ arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址”將本機(jī)中ARP緩存表中 網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static ）。（ 2分）針對交換機(jī)的ARP欺騙的解決方法：在交換機(jī)上防范 ARP欺騙的方法與在 計算機(jī)上防范ARP欺騙的方法基本相同，還是使用將下連設(shè)備的 MAO址與交 換機(jī)端口進(jìn)行一一綁定的方法來實現(xiàn)。（2分）2.如圖所示，描述DDoS攻擊的實現(xiàn)方法。答：DDoS攻擊是利用一批受控制的主機(jī)向一臺主機(jī)發(fā)起攻擊，其攻擊的強(qiáng)度和 造成的威脅要比DoS攻擊嚴(yán)重得多，當(dāng)然其破壞性也要強(qiáng)得多。（2分）在整個DDoS攻擊過程中，共有四

15、部分組成：攻擊者、主控端、代理服務(wù)器 和被攻擊者，其中每一個組成在攻擊中扮演的角色不同。（1）攻擊者。攻擊者是指在整個 DDo敦?fù)糁械闹骺嘏_，它負(fù)責(zé)向主控端發(fā)送攻擊命令。與DoS攻擊略有不同，DDo敦?fù)糁械墓粽邔τ嬎銠C(jī)的配置和 網(wǎng)絡(luò)帶寬的要求并不高，只要能夠向主控端正常發(fā)送攻擊命令即可。（2分）（2）主控端。主控端是攻擊者非法侵入并控制的一些主機(jī)，通過這些主機(jī)再分別控制大量的代理服務(wù)器。攻擊者首先需要入侵主控端，在獲得對主控端 的寫入權(quán)限后，在主控端主機(jī)上安裝特定的程序，該程序能夠接受攻擊者發(fā)來 的特殊指令，并且可以把這些命令發(fā)送到代理服務(wù)器上。（2分）（3）代理服務(wù)器。代理服務(wù)器同樣也是攻

16、擊者侵入并控制的一批主機(jī)，同 時攻擊者也需要在入侵這些主機(jī)并獲得對這些主機(jī)的寫入權(quán)限后，在上面安裝 并運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理服務(wù)器是攻擊的直接 執(zhí)行者，真正向被攻擊主機(jī)發(fā)送攻擊。（2分）（4）被攻擊者。是DDoS攻擊的直接受害者，目前多為一些大型企業(yè)的網(wǎng) 站或數(shù)據(jù)庫系統(tǒng)。（2分）3.如下圖所示，詳細(xì)描述包過濾防火墻的工作原理及應(yīng)用特點觀則吐TOT允許（permit）if們口】卩滬【|答：包過濾（Packet Filter ）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過 濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其 他各種標(biāo)志信息（如協(xié)議、服務(wù)

17、類型等），確定是否允許該數(shù)據(jù)包通過防火墻（2 分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好 的，主要通過對進(jìn)入防火墻的數(shù)據(jù)包的源 IP地址、目的IP地址、協(xié)議及端口 進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時，防火墻會將IP分組的頭部信息與過濾規(guī)則表進(jìn)行逐條比對，根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過。（2分）包過濾防火墻主要特點：過濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的 條目根據(jù)用戶的安全要求來定；防火墻在進(jìn)行檢查時，首先從過濾規(guī)則表中的 第1個條目開始逐條進(jìn)行，

18、所以過濾規(guī)則表中條目的先后順序非常重要；由于 包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通 過的數(shù)據(jù)包的速度影響不大，實現(xiàn)成本較低。但包過濾防火墻無法識別基于應(yīng) 用層的惡意入侵。另外，包過濾防火墻不能識別IP地址的欺騙，內(nèi)部非授權(quán)的 用戶可以通過偽裝成為合法 IP 地址的使用者來訪問外部網(wǎng)絡(luò)，同樣外部被限制 的主機(jī)也可以通過使用合法的 IP 地址來欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。（ 4 分）4. 根據(jù)實際應(yīng)用，以個人防火墻為主，簡述防火墻的主要功能及應(yīng)用特點。答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公 共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，

19、通過監(jiān)測、限制、更改 進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、 結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安 全保護(hù)。（ 2 分）個人防火墻是一套安裝在個人計算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計算機(jī)的 通信狀況，一旦發(fā)現(xiàn)有對計算機(jī)產(chǎn)生危險的通信就會報警通知管理員或立即中 斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（ 2 分）個人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來，個人防火墻采用的技術(shù)也 與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、防火墻的管理等方面進(jìn)行了簡化， 使非專業(yè)的普通用戶能夠容易地安裝和使用。（ 2 分）為了防止安全威脅對個人計算機(jī)

20、產(chǎn)生的破壞，個人防火墻產(chǎn)品應(yīng)提供以下的主 要功能。防止 Internet 上用戶的攻擊、阻斷木馬及其他惡意軟件的攻擊、為移 動計算機(jī)提供安全保護(hù)、與其他安全產(chǎn)品進(jìn)行集成。（ 4 分）5. Kerberos 協(xié)議分為兩個部分：1 . Client向KDC發(fā)送自己的身份信息，KDC從Ticket Granting Service得到 TGT（ticket-granting ticket） ,并用協(xié)議開始前 Client 與 KDC之間的密 鑰將TGT加密回復(fù)給Client 。此時只有真正的Client才能利用它與KDC之間的密鑰將加密后的TGT解密，從 而獲得 TGT。（此過程避免了 Client

21、直接向KDC發(fā)送密碼，以求通過驗證的不安全方式）2. Client利用之前獲得的TGT向 KDCC請求其他Service的Ticket，從而通過其他 Service 的身份鑒別。Kerberos 協(xié)議的重點在于第二部分，簡介如下：1. Client將之前獲得TGT和要請求的服務(wù)信息（服務(wù)名等）發(fā)送給KDC KDC中 的 Ticket Granting Service 將為 Client 和 Service 之間生成一個 Session Key用于Service對Client的身份鑒別。然后 KDC將這個Session Key和用戶 名，用戶地址（ IP） ，服務(wù)名，有效期 , 時間戳一起包裝成

22、一個 Ticket（ 這些 信息最終用于 Service 對 Client 的身份鑒別 ）發(fā)送給 Service ， 不過 Kerberos 協(xié)議并沒有直接將 Ticket 發(fā)送給 Service ，而是通過 Client 轉(zhuǎn)發(fā)給 Service. 所以有了第二步。2. 此時KDC將剛才的Ticket轉(zhuǎn)發(fā)給Client。由于這個Ticket是要給Service 的，不能讓Client看到，所以KDC用協(xié)議開始前KDC與 Service之間的密鑰將 Ticket 加密后再發(fā)送給 Client 。同時為了讓 Client 和 Service 之間共享那個 秘密（KDC在第一步為它們創(chuàng)建的Session Key）， KDC用Client與它之間的密 鑰將 Session Key 加密隨加密的 Ticket 一起返回給 Client 。3. 為了完成 Ticket 的傳遞， Client 將剛才收到的