網(wǎng)絡安全技術(shù)B

東北大學繼續(xù)教育學院網(wǎng)絡安全技術(shù)試卷（作業(yè)考核線下）B卷（共6頁）總分題號一二三四五六七八九十得分一、：選擇填!空（每空1分，共20分）（D）1、完整性服務提供信息的。A、不可抵賴性B、機密性C、正確性D、可信性（A）2、下列協(xié)議是有連接。A、TCPB、ICMPC、DNSD、UDP（B）3、下列加密算法中是對稱加密算法。A、RSAB、3DESC、RabinD、橢圓曲線（B）4、防火墻是建立在內(nèi)外網(wǎng)絡邊界上的。A、路由設備B、過濾設備C、尋址設備D、擴展設備（C）5、在網(wǎng)絡通信中，糾檢錯功能是由OSI參考模型的實現(xiàn)的。A、傳輸層B、網(wǎng)絡層C、數(shù)據(jù)鏈路層D、會話層（D）6、網(wǎng)絡安全是在分布網(wǎng)絡環(huán)境中對提供安全保護。A、信息載體B、信息的處理和傳輸C、信息的存儲和訪問D、以上皆是（C）7、當進行文本文件傳輸時，可能需要進行數(shù)據(jù)壓縮，在OSI模型中，規(guī)定完成這一工作的是。A、應用層B、會話層C、表示層D、傳輸層（B）8、數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是。A、多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度C、提高密文的計算速度D、保證密文能正確地還原成明文（A）9、IPv4地址是位的。A、32B、48C、64D、128（D）10、包過濾技術(shù)是防火墻在層中根據(jù)數(shù)據(jù)包頭中包頭信息有選擇地實施允許通過或阻斷。A、物理層B、數(shù)據(jù)鏈路層C、傳輸層D、網(wǎng)絡層（A）11、下列加密算法可以沒有密鑰的是。A、不可逆加密B、可逆加密C、對稱加密。、非對稱加密（D）12、威脅是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件，威脅包括（）。人、目標B、代理C、事件D、上面3項都是（C）13、對非軍事區(qū)DMZ而言，正確的解釋是。A、DMZ是一個非真正可信的網(wǎng)絡部分課程名稱：網(wǎng)絡安全技術(shù)1B、DMZ網(wǎng)絡訪問控制策略決定允許或禁止進入DMZ通信C、允許外部用戶訪問DMZ系統(tǒng)上合適的服務D、以上3項都是（A）14、防火墻一般被安置在被保護網(wǎng)絡的。A、邊界B、外部C、內(nèi)部D、以上皆可（B）15、數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是。A、多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度C、提高密文的計算速度D、保證密文能正確地還原成明文（D）16、可以在DMZ中放置的系統(tǒng)。A、郵件系統(tǒng)B、Web服務器C、控制系統(tǒng)D、以上皆可（D）17、下列掃描屬于端口掃描。A、TCPSYN掃描B、TCPACK掃描C、TCPFIN掃描D、以上皆是（D）18、包過濾技術(shù)是防火墻在層中根據(jù)數(shù)據(jù)包頭中包頭信息有選擇地實施允許通過或阻斷。A、物理層B、數(shù)據(jù)鏈路層C、傳輸層D、網(wǎng)絡層（C）19、訪問控制是指確定以及實施訪問權(quán)限的過程。A、用戶權(quán)限B、可被用戶訪問的資源C、可給予那些主體訪問權(quán)利D、系統(tǒng)是否遭受攻擊（B）20、SSL產(chǎn)生會話密鑰的方式是。A.從密鑰管理數(shù)據(jù)庫中請求獲得B.隨機由客戶機產(chǎn)生并加密后通知服務器C.由服務器產(chǎn)生并分配給客戶機D.每一臺客戶機分配一個密鑰的方式二、簡答題（每題6分，共30分）1、為使防火墻起到安全防護的作用，必要的保證措施是什么？答：防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻必要的功能開啟是必不可免的，在使用一些軟件是可能要關(guān)閉防火墻的一些功能，不要急著關(guān)閉，先確認軟件有沒有病毒之類的，先用殺毒軟件掃描一下，再確認是否使用。當然定時的安全掃描，病毒查殺是少不了的，系統(tǒng)垃圾也要及時處理，不要上一些不良網(wǎng)站，下載不良軟件，那些大多數(shù)都掛有木馬。2、簡述IPSec的功能。答：IPSec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進行編碼來保院校學號：姓名證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。IPSec協(xié)議組包含AuthenticationHeader（AH）協(xié)議、EncapsulatingSecurityPayload（ESP）協(xié)議和InternetKeyExchange（IKE）協(xié)議。其中AH協(xié)議定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義了加密和可選認證的應用方法，提供可靠性保證。在實際進行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認證服務，不過，AH提供的認證服務要強于ESP。IKE用于密鑰交換。3、簡述VPN的功能以及類型。答：VPN網(wǎng)關(guān)是實現(xiàn)局域網(wǎng)（LAN）到局域網(wǎng)連接的設備。從字面上我們就能夠知道它可以實現(xiàn)兩大功能：VPN和網(wǎng)關(guān)。廣義上講，支持VPN（虛擬專用網(wǎng)）的路由器和防火墻等設備都可以算作VPN網(wǎng)關(guān)。目前常見的VPN網(wǎng)關(guān)產(chǎn)品可以包括單純的VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務器等產(chǎn)品。它應集成包過濾防火墻和應用代理防火墻的功能。VPN應有一個開放的架構(gòu)。有完善的認證管理。VPN應提供第三方產(chǎn)品的接口。VPN網(wǎng)關(guān)應擁有IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾。VPN（VirtualPrivateNet，虛擬專用網(wǎng)）可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的互連。VPN并非單一產(chǎn)品技術(shù)，其技術(shù)非常復雜，它涉及到網(wǎng)絡技術(shù)，通信技術(shù)，密碼技術(shù)和認證技術(shù)，是一項交叉科學課題。VPN的發(fā)展大體經(jīng)過了四代，即第一代以鏈路加密為主的VPN，第二代以PPTP/L2TP為主的VPN，第三代以IPSEC/MPLS為主的VPN和第四代即新一代以SSL技術(shù)為主的VPN。4、從安全屬性看，有哪幾種攻擊的類型？答：（1）阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無法提供用戶使用，這是一種針對可用性攻擊。（2）截取攻擊截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問，這是一種針對機密性的攻擊。（3）篡改攻擊篡改攻擊是非授權(quán)者不僅訪問資產(chǎn)，而且能修改信息，這是一種針對完整性的攻擊。（4）偽造攻擊偽造攻擊是非授權(quán)者在系統(tǒng)里插入偽造的信息，這是一種針對真實性的攻擊。院校學號：姓名5、簡述SYN泛洪原理。答：SYN洪泛攻擊原理：在TCP協(xié)議中被稱為三次握手(Three-wayHandshake)的連接過程中，如果一個用戶向服務器發(fā)送了SYN報文，服務器又發(fā)出SYN+ACK應答報文后未收到客戶端的ACK報文的，這種情況下服務器端會再次發(fā)送SYN+ACK給客戶端，并等待一段時間后丟棄這個未完成的連接，這段時間的長度稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級。SYNflood所做的就是利用了這個SYNTimeout時間和TCP/IP協(xié)議族中的另一個漏洞:報文傳輸過程中對報文的源IP地址完全信任。SYNflood通過發(fā)送大量的偽造TCP鏈接報文而造成大量的TCP半連接，服務器端將為了維護這樣一個龐大的半連接列表而消耗非常多的資源。這樣服務器端將忙于處理攻擊者偽造的TCP連接請求而無法處理正常連接請求，甚至會導致堆棧的溢出崩潰。造成SYN洪泛攻擊最主要的原因是TCP/IP協(xié)議的脆弱性。TCP/IP是一個開放的協(xié)議平臺，它將越來越多的網(wǎng)絡連接在一起，它基于的對象是可信用戶群，所以缺少一些必要的安全機制，帶來很大的安全威脅。例如常見的IP欺騙、TCP連接的建立、ICMP數(shù)據(jù)包的發(fā)送都存在巨大的安全隱患，給SYN洪泛攻擊帶來可乘之機。三、論述題(共50分)1、分析入侵檢測系統(tǒng)的優(yōu)點和局限。(10分)答：Gartner一直不看好入侵檢測系統(tǒng)(IDS)，在多份報告中對IDS提出非議。在一份題為“入侵檢測將死，入侵防御萬歲”的報告中，Gartner指出入侵防御要替代入侵檢測；而在另一份題為“2003年：信息安全的炒作周期”的報告中，Gartner稱入侵檢測系統(tǒng)是一次市場失敗。受Gartner報告的影響，IDS倍受攻擊，IDS果真如Garnter所說的那樣毫無價值嗎？也有人認為，Gartner的分析是建立種種誤解之上的，其原因在于不懂得IDS擅長干什么以及誰應當使用IDS。Gartner分析師將IDS與防火墻歸為一類產(chǎn)品。其實，情況并不是這樣。對于網(wǎng)管員來說，IDS就像是一臺協(xié)議分析器，一種觀察網(wǎng)絡、了解網(wǎng)絡狀況的工具。將IDS與防火墻混為一談，或者將IDS與入侵預防系統(tǒng)(IPS)混為一談，就像是把交換機與協(xié)議分析器歸為一類同樣不合適。IPS廠商開辟市場所做的種種努力，進一步加深了人們對IDS的誤解，讓期待解決安全問題而購買IDS的網(wǎng)管員感到失望，因為IDS完成不了入侵保護任務。與其談IDS不能干什么，倒不如談談IDS能干些什么。在設計原理上，IDS是一種檢測攻擊、違反策略行為和錯誤配置的傳感器。正如一位老資格的IDS研究員GaryGolomb指出的那樣，IDS用于檢查和平衡企業(yè)網(wǎng)絡的安全狀態(tài)。部署IDS只有一個目的，就是監(jiān)視網(wǎng)絡上所發(fā)生的一切，查看是否有人進出網(wǎng)絡。有一件事情讓多數(shù)用戶倍感意外：盡管安裝了各種防御技術(shù)(如防火墻、防病毒產(chǎn)品和VPN)，攻擊者和病毒仍然能夠利用網(wǎng)絡設計中的漏洞、應用漏洞以及配置錯誤的設備，闖進用戶網(wǎng)絡。一些廠商在推銷IDS時說，IDS不僅能檢測入侵事件，而且還能檢測違反策略的事件，如過短的口令、FTP傳送的文件以及兩個不應當通信的系統(tǒng)之間傳送的數(shù)據(jù)流，這有點言過其實。IDS最適合的工作是部署在安全分析員可以管理它的環(huán)境中，分析“誰進入了系統(tǒng)”這樣的問題。IDS廠商希望每個用戶都能了解IDS，這是一種不切實際的期望。網(wǎng)絡IDS就像是一種高級協(xié)議分析器，盡管大中型用戶都需要它，但并不意味著每個人都必須學會使用它。在降低IDS的誤報率和提高產(chǎn)品易用性方面，IDS廠商正在做著各種努力。決定IDS是否適合用戶需要并不難。成功的IDS部署取決于三個關(guān)鍵因素：安全策略、網(wǎng)絡環(huán)境以及IDS架構(gòu)。安全策略：除非用戶規(guī)定IDS允許做什么、不允許做什么，否則IDS不可能檢測出可疑行為。如果用戶沒有事先規(guī)定安全策略，IDS更不可能報告違反安全策略的行為。網(wǎng)絡環(huán)境：在自動對攻擊進行分類方面，IDS表現(xiàn)不佳。為了讓IDS數(shù)據(jù)有用，用戶必須了解網(wǎng)絡上有什么資產(chǎn)以及什么是正常和正確的數(shù)據(jù)流。IDS架構(gòu)：IDS在企業(yè)網(wǎng)絡中的位置和應用是一門變化多端的藝術(shù)。為了讓IDS發(fā)揮作用，用戶必須以能夠返回有用信息的方式部署IDS。這意味著用戶必須根據(jù)對安全策略和網(wǎng)絡資產(chǎn)的了解，設計傳感器的位置。將路由器、防火墻和VPN隨意安裝在網(wǎng)絡中一樣，IDS也不能隨意部署在網(wǎng)絡中。2、VPN第二層協(xié)議中的PPTP和L2TP有那些不同？（10分）答：1、PPTP協(xié)議是點對點隧道協(xié)議：其將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中。2、L2TP是國際標準隧道協(xié)議：它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網(wǎng)絡協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協(xié)議結(jié)合使用，提供隧道驗證。PPTP要求互聯(lián)網(wǎng)絡為IP網(wǎng)絡。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs）,X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡上使用。PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質(zhì)量創(chuàng)建不同的隧道。L2TP可以提供包頭壓縮。當壓縮包頭時，系統(tǒng)開銷（overhead）占用4個字節(jié)，而PPTP協(xié)議下要占用6個字節(jié)。L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道3、論述網(wǎng)絡中常見的攻擊技術(shù)以及針對這些攻擊的解決方案。（15分）答：1、服務拒絕攻擊解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機制。2、協(xié)議漏洞滲透，主要有會話監(jiān)聽與劫持、地址欺騙。解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機制。3、密碼分析還原，主要有密碼還原和密碼猜測解決方案：采用強度高的加密算法，是密碼強度足夠強。課程名稱：網(wǎng)絡安全技術(shù)54、應用漏洞分析與滲透，主要包括服務流程漏洞和邊界條件漏洞。解決方案:解釋下載程序的最新補丁，在程序開發(fā)設計時采用安全的開發(fā)和實際方法。5、社會工程學，主要有物理分析和心理分析。解決方案：進行必要的信息安全教育和培訓。6、病毒或后門攻擊解決方案：病毒防火墻和殺毒軟件。4、論述如何進行病毒防治的部署。（15分）答：計算機病毒預防措施：1.不使用盜版或來歷不明的軟件，特別不能使用盜版的殺毒軟件。2.寫保護所有系統(tǒng)軟盤。3.安裝真正有效的防毒軟件，并經(jīng)常進行升級。4.新購買的電腦在使用之前首先要進行病毒檢查，以免機器帶毒。5.準備一張干凈的系統(tǒng)引導盤，并將常用的工具軟件拷貝到該盤上，然后妥善保存。此后一旦系統(tǒng)受到病毒侵犯，我們就可以使用該盤引導系統(tǒng)，進行檢查、殺毒等操作。6.對外來程序要使用查毒軟件進行檢查，未經(jīng)檢查的可執(zhí)行文