《計(jì)算機(jī)網(wǎng)絡(luò)與安全》模擬題三

《計(jì)算機(jī)網(wǎng)絡(luò)與安全》模擬題三一、單項(xiàng)選擇題〔每題1分，共10分〕各種通信網(wǎng)和TCP/IP之間的接口是TCP/IP分層構(gòu)造中的〔A〕數(shù)據(jù)鏈路層 B.網(wǎng)絡(luò)層C.傳輸層 D.應(yīng)用層下面不屬于木馬特征的是〔B〕自動更換文件名，難于被覺察 B.程序執(zhí)行時不占太多系統(tǒng)資源C.不需要效勞端用戶的允許就能獲得系統(tǒng)的使用權(quán)D.造成緩沖區(qū)的溢出，破壞程序的堆棧下面不屬于端口掃描技術(shù)的是〔D〕TCPconnect()掃描 B.TCPFIN掃描C.IP包分段掃描 D.Land掃描負(fù)責(zé)產(chǎn)生、安排并治理PKI構(gòu)造下全部用戶的證書的機(jī)構(gòu)是〔D〕LDAP名目效勞器 B.業(yè)務(wù)受理點(diǎn) C.注冊機(jī)構(gòu)RA D.認(rèn)證中心CA5．防火墻按自身的體系構(gòu)造分為〔B〕A.軟件防火墻和硬件防火墻 B.包過濾型防火墻和雙宿網(wǎng)關(guān)C.百兆防火墻和千兆防火墻 D.主機(jī)防火墻和網(wǎng)絡(luò)防火墻下面關(guān)于代理技術(shù)的表達(dá)正確的選項(xiàng)是〔D〕A．能供給局部與傳輸有關(guān)的狀態(tài)B．能完全供給與應(yīng)用相關(guān)的狀態(tài)和局部傳輸方面的信息C．能處理和治理信息D．ABC都正確下面關(guān)于ESP傳輸模式的表達(dá)不正確的選項(xiàng)是〔A〕A．并沒有暴露子網(wǎng)內(nèi)部拓?fù)?B．主機(jī)到主機(jī)安全C．IPSEC的處理負(fù)荷被主機(jī)分擔(dān) D．兩端的主機(jī)需使用公網(wǎng)IP下面關(guān)于網(wǎng)絡(luò)入侵檢測的表達(dá)不正確的選項(xiàng)是(C〕占用資源少 B．攻擊者不易轉(zhuǎn)移證據(jù)C．簡潔處理加密的會話過程 D．檢測速度快基于SET協(xié)議的電子商務(wù)系統(tǒng)中對商家和持卡人進(jìn)展認(rèn)證的是〔B〕收單銀行 B．支付網(wǎng)關(guān) C．認(rèn)證中心 D．發(fā)卡銀行下面關(guān)于病毒的表達(dá)正確的選項(xiàng)是〔D〕病毒可以是一個程序 B．病毒可以是一段可執(zhí)行代碼C．病毒能夠自我復(fù)制 D．ABC都正確下面不屬于按網(wǎng)絡(luò)掩蓋范圍的大小將計(jì)算機(jī)網(wǎng)絡(luò)分類的是〔C〕互聯(lián)網(wǎng) B.廣域網(wǎng) C.通信子網(wǎng) D.局域網(wǎng)下面不屬于SYNFLOODING攻擊的防范方法的是〔C〕縮短SYNTimeout〔連接等待超時〕時間 B.利用防火墻技術(shù)C.TCP段加密 D.依據(jù)源IP記錄SYN連接下面不屬于木馬偽裝手段的是〔A〕自我復(fù)制 B.隱蔽運(yùn)行 C.捆綁文件 D.修改圖標(biāo)負(fù)責(zé)證書申請者的信息錄入、審核以及證書發(fā)放等工作的機(jī)構(gòu)是〔C〕LDAP名目效勞器 B.業(yè)務(wù)受理點(diǎn)C.注冊機(jī)構(gòu)RA D.認(rèn)證中心CA下面哪種信任模型的擴(kuò)展性較好〔C〕單CA信任模型 B.網(wǎng)狀信任模型C.嚴(yán)格分級信任模型 D.Web信任模型下面關(guān)于包過濾型防火墻協(xié)議包頭中的主要信息表達(dá)正確的選項(xiàng)是〔D〕包括IP源和目的地址 B．包括內(nèi)裝協(xié)議和TCP/UDP目標(biāo)端口C．包括ICMP消息類型和TCP包頭中的ACK位 D．ABC都正確下面關(guān)于LAN-LAN的表達(dá)正確的選項(xiàng)是〔C〕增加WAN帶寬的費(fèi)用 B．不能使用敏捷的拓?fù)錁?gòu)造C．的站點(diǎn)能更快、更簡潔地被連接 D．不行以延長網(wǎng)絡(luò)的可用時間下面關(guān)于ESP隧道模式的表達(dá)不正確的選項(xiàng)是〔B〕A．安全效勞對子網(wǎng)中的用戶是透亮的 B．子網(wǎng)內(nèi)部拓?fù)湮词艿奖Ｗo(hù)C．網(wǎng)關(guān)的IPSEC集中處理 D．對內(nèi)部的諸多安全問題將不行控下面關(guān)于入侵檢測的組成表達(dá)不正確的選項(xiàng)是〔C〕A．大事產(chǎn)生器對數(shù)據(jù)流、日志文件等進(jìn)展追蹤B．響應(yīng)單元是入侵檢測系統(tǒng)中的主動武器C．大事數(shù)據(jù)庫是入侵檢測系統(tǒng)中負(fù)責(zé)原始數(shù)據(jù)采集的局部D．大事分析器將推斷的結(jié)果轉(zhuǎn)變?yōu)榫嫘畔⑾旅骊P(guān)于病毒校驗(yàn)和檢測的表達(dá)正確的選項(xiàng)是〔D〕A．無法推斷是被哪種病毒感染 B．對于不修改代碼的廣義病毒無能為力C．簡潔實(shí)現(xiàn)但虛警過多 D．ABC都正確二、填空題〔每空1分，共25分〕IP協(xié)議供給了_數(shù)據(jù)根_的盡力而為的傳遞效勞。TCP/IP鏈路層安全威逼有：以太網(wǎng)共享信道的偵聽，MAC地址的修改，ARP哄騙。DRDoS與DDoS的不同之處在于：_攻擊端占用不需要占據(jù)大量的傀儡_。證書的作用是：_用來向系統(tǒng)中其他實(shí)體證明自己的身份_和_分發(fā)公鑰_。SSL協(xié)議中雙方的主密鑰是在其_握手_協(xié)議產(chǎn)生的。VPN的兩種實(shí)現(xiàn)形式：_Client-LAN_和_LAN-LAN_。IPSec是為了在IP層供給通信安全而制定的一套_協(xié)議簇VPN安全協(xié)議體系。依據(jù)檢測原理，入侵檢測系統(tǒng)分為_特別入侵檢測_，_誤用入侵檢測_。病毒技術(shù)包括：寄生_技術(shù)，駐留技術(shù)， 加密變形_技術(shù)隱蔽_技術(shù)。電子商務(wù)技術(shù)體系構(gòu)造的三個層次是網(wǎng)絡(luò)平臺，安全根底構(gòu)造和電子商務(wù)義務(wù)，一個支柱是公共根底局部。防火墻的兩種姿勢拒絕沒有特別允許的任何事情和允許沒有特別拒絕的任何事情TCP/IP層次劃分為數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層。TCP協(xié)議的滑動窗口協(xié)議的一個重要用途是流量掌握。誘騙用戶把懇求發(fā)送到攻擊者自己建立的效勞器上的應(yīng)用層攻擊方法是DNS哄騙。身份認(rèn)證分為：_單向認(rèn)證_和_雙向認(rèn)證_。X.509證書包括：證書內(nèi)容，簽名算法和使用簽名算法對證書所作的簽名三局部。防火墻主要通過效勞掌握、方向掌握、用戶掌握、行為掌握四種手段來執(zhí)行安全策略和實(shí)現(xiàn)網(wǎng)絡(luò)掌握訪問。SOCKS只能用于TCP效勞，而不能用于_UDP_效勞。典型的VPN組成包括VPN效勞器_，VPN客戶機(jī)，VPN連接和隧道。IPSec定義的兩種通信保護(hù)機(jī)制分別是：ESP機(jī)制和AH_機(jī)制。電子現(xiàn)金支付系統(tǒng)是一種_預(yù)先付款_的支付系統(tǒng)。雙重簽名是SET中的一個重要的創(chuàng)技術(shù)。三、推斷題(正確打√，錯誤打×，每題1分，共15分)以太網(wǎng)中檢查網(wǎng)絡(luò)傳輸介質(zhì)是否已被占用的是沖突監(jiān)測?！?F〕主機(jī)不能保證數(shù)據(jù)包的真實(shí)來源，構(gòu)成了IP地址哄騙的根底。〔T〕掃描器可以直接攻擊網(wǎng)絡(luò)漏洞?！睩〕DNS哄騙利用的是DNS協(xié)議不對轉(zhuǎn)換和信息性的更進(jìn)展身份認(rèn)證這一弱點(diǎn)?！睺〕DRDoS攻擊是與DDoS無關(guān)的另一種拒絕效勞攻擊方法?！睩 〕公鑰密碼比傳統(tǒng)密碼更安全?！睩〕身份認(rèn)證一般都是實(shí)時的，消息認(rèn)證一般不供給實(shí)時性?！睺〕每一級CA都有對應(yīng)的RA?！睺〕加密/歸檔治理?！睩〕防火墻無法完全防止傳送已感染病毒的軟件或文件?！睺〕全部的協(xié)議都適合用數(shù)據(jù)包過濾?！睩〕構(gòu)建隧道可以在網(wǎng)絡(luò)的不同協(xié)議層次上實(shí)現(xiàn)?！睺〕蜜網(wǎng)技術(shù)〔Honeynet〕不是對攻擊進(jìn)展誘騙或檢測?！睺〕病毒傳染主要指病毒從一臺主機(jī)集中到另一臺主機(jī)。〔 F〕電子商務(wù)中要求用戶的定單一經(jīng)發(fā)出，具有不行否認(rèn)性。〔T〕設(shè)計(jì)初期，TCP/IP通信協(xié)議并沒有考慮到安全性問題?！?〕目前沒有抱負(fù)的方法可以徹底鏟除IP地址哄騙?！?T〕非盲攻擊較盲攻擊的難度要大?！睺 〕緩沖區(qū)溢出并不是一種針對網(wǎng)絡(luò)的攻擊方法。〔F〕DDoS。T〕身份認(rèn)證只證明實(shí)體的身份，消息認(rèn)證要證明消息的合法性和完整性。〔T〕網(wǎng)狀信任模型單個CA安全性的減弱不會影響到整個PKI。〔T〕防火墻將限制有用的網(wǎng)絡(luò)效勞。〔T〕應(yīng)用代理不能解決合法IP地址不夠用的問題。〔T〕25．VPN中用戶需要擁有實(shí)際的長途數(shù)據(jù)線路。〔F 〕26．對通信實(shí)體的身份進(jìn)展認(rèn)證的是IPSec的安全協(xié)議。〔F〕ESP頭插在IP報(bào)頭之后，TCP或UDP等傳輸協(xié)議報(bào)頭之前?！睺〕入侵檢測系統(tǒng)能夠完成入侵檢測任務(wù)的前提是監(jiān)控、分析用戶和系統(tǒng)的活動?！睺〕蜜罐〔Honeypot〕技術(shù)不會修補(bǔ)任何東西，只為使用者供給額外的、有價(jià)值的關(guān)于攻擊的信息?！睺〕電子商務(wù)中要求用戶的定單一經(jīng)發(fā)出，具有不行否認(rèn)性?！睺〕四、簡答題〔每題5分，共30分〕TCP/IP的分層構(gòu)造以及它與OSI七層模型的對應(yīng)關(guān)系。簡述拒絕效勞攻擊的概念和原理。廣義上講，拒絕效勞〔DoS，Denialofservice〕攻擊是指導(dǎo)致效勞器不能正常供給效勞的攻擊。精準(zhǔn)講，DoS攻擊對象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法供給正常的效勞，使目標(biāo)系統(tǒng)停頓響應(yīng)，甚至崩潰。拒絕效勞攻擊的根本原理是使被攻擊效勞器充滿大量要求回復(fù)的信息系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)超負(fù)荷，以至于癱瘓而停頓供給正常的網(wǎng)絡(luò)效勞。簡述穿插認(rèn)證過程。CACA的穿插證書驗(yàn)證最終用戶的證書。對用戶來說就是利用本方CA公鑰來校驗(yàn)對方CA的穿插證書，從而打算對方CA是否可信；再利用對方CA的公鑰來校驗(yàn)對方用戶的證書，從而打算對方用戶是否可信。簡述SSL安全協(xié)議的概念及功能。SSL全稱是SecureSocketLayer(安全套接層).在客戶和效勞器兩實(shí)體之間建立了個安全的通道，防止客戶/效勞器應(yīng)用中的偵聽、算改以及消息偽造，通過在兩個實(shí)體之間建立一個共享的隱秘，SSL供給保密性，效勞器認(rèn)證和可選的客戶端認(rèn)證。其安全通道是透亮的，工作在傳輸層之上，應(yīng)用層之下，做到與應(yīng)用層協(xié)議無關(guān)，幾乎全部基于TCP的協(xié)議稍加改動就可以在SSL上運(yùn)行。簡述好的防火墻具有的5個特性。(1)全部在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必需經(jīng)過防火墻:(2)只有被授權(quán)的合法(3)防火墻本身不受各種攻(4)使用目前的信息安全技術(shù)如次口令技術(shù)、智能卡等:(5)人機(jī)界面真好，被訪問者、訪問協(xié)議及訪問權(quán)限進(jìn)展限制。簡述電子數(shù)據(jù)交換〔EDI〕技術(shù)的特點(diǎn)。特點(diǎn):使用對象是不同的組織之間:所傳送的資料是般業(yè)務(wù)資料:承受共同標(biāo)準(zhǔn)化的格式:盡量避開人工的介入操作，由改送雙方的計(jì)算機(jī)系統(tǒng)直接傳送、交換資料。簡述TCP協(xié)議的三次握手機(jī)制。客戶端連接懇求〔初始序號=X〕

效勞器端

連接懇求〔初始序號=X〕連接確認(rèn)〔初始序號=Y，確認(rèn)=X〕連接確認(rèn)〔初始序號=Y，確認(rèn)=X〕數(shù)據(jù)〔序號=X，確認(rèn)=Y〕數(shù)據(jù)〔序號=X，確認(rèn)=Y〕簡述VPN隧道的概念和分類。VPN隧道的概念:隧道實(shí)質(zhì)是種數(shù)據(jù)封裝技術(shù)，馬上種協(xié)議封裝在另種協(xié)議中傳輸，從而實(shí)現(xiàn)被封裝協(xié)議對封裝協(xié)議的透亮性，保持被封裝協(xié)議的安全特性。使用IP協(xié)議作為封裝協(xié)議的隧道協(xié)議稱為IP隧道協(xié)議。VPN隧道技術(shù)的分類:其次層隧道:先把各種網(wǎng)絡(luò)層協(xié)議(如IP、IPX等)封裝到數(shù)據(jù)鏈路層的PPP領(lǐng)里。再把整個PPP幀裝入隧道協(xié)議里。第三層隧道:把各種網(wǎng)絡(luò)層協(xié)議直接裝入隧道協(xié)議中。簡述IPSec的定義，功能和組成。IPSec是IETF IPSec工作組為了在IP 層供給通信安全面制定的一套協(xié)議族，是一個應(yīng)用廣泛開放的VPN安全協(xié)議體系功能: a 供全部在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)進(jìn)展透亮的安全通信。IPSec 全協(xié)議和密鑰協(xié)商兩局部。簡述特別入侵檢測和誤用入侵檢測。特別入侵檢測，能夠依據(jù)特別行為和使用計(jì)算機(jī)資源的狀況檢測出來的入侵。用定量的方式描述可承受的行為特征。對超出可承受的行為認(rèn)為是入侵。誤用入侵檢測，利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)模型來檢測入任。設(shè)用入侵檢測直接檢測不行承受行為。簡述病毒的定義及其破壞性的主要表現(xiàn)。并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒的破壞性的主要表現(xiàn):直接破壞計(jì)算機(jī)上的重要信息;搶占系統(tǒng)資源，降低系統(tǒng)性能;竊Web效勞器不能供給正常效勞。簡述消息認(rèn)證和身份認(rèn)證的概念及兩者的差異。消息認(rèn)證是一個證明收到的消息來自可信的源點(diǎn)且未被篡改的過程。身份認(rèn)證是指證明客戶的真實(shí)身份與其所聲稱的身份是否相符的過程。身份認(rèn)證與消息認(rèn)證的差異：(2)身份認(rèn)證只證明實(shí)體的身份，消息認(rèn)證要證明消息的合法性和完整性；(3)數(shù)字簽名是實(shí)現(xiàn)身份認(rèn)證的有效途徑。五、綜述題〔20分〕簡述ARP的工作過程及ARP哄騙?！?0分〕地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機(jī)互信任任的根底上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARPARP緩存;由此攻擊者就可以向某一-主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文,使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯誤的主機(jī)，這就構(gòu)成了一個ARP哄騙。簡述包過濾型防火墻的概念、優(yōu)缺點(diǎn)和應(yīng)用場合?！?0分〕.包過濾型防火墻的概念：濾規(guī)章基于協(xié)議包頭信息。包過濾型防火墻的優(yōu)缺點(diǎn)：的軟件。包過濾防火墻的缺點(diǎn)：維護(hù)比較困難；只能阻擋外部主機(jī)偽裝成內(nèi)部主機(jī)的IP哄騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動式攻擊的潛在危急的信息供給全面的掌握。包過濾型防火墻