18年12月考試《網(wǎng)絡(luò)安全技術(shù)》答案

1、東北大學(xué)繼續(xù)教育學(xué)院網(wǎng)絡(luò)安全技術(shù)試 卷(作業(yè)考核 線下)_B_卷(共 6 頁)總分題號一二三四五六七八九十得分選擇填空(每空1分，共20分)(D) 1、完整性服務(wù)提供信息的 oA、 不可抵賴性B 、機(jī)密性 C 、正確性D可信性(A) 2、下列協(xié)議是有連接。A TCP B 、ICMP C、DNS D、UDP(B) 3、下列加密算法中 是對稱加密算法。A RSAB、3DES C 、Rabin D 、橢圓曲線(B) 4、防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的。A路由設(shè)備B過濾設(shè)備C、尋址設(shè)備D 、擴(kuò)展設(shè)備(C) 5、在網(wǎng)絡(luò)通信中，糾檢錯(cuò)功能是由 OSI參考模型的實(shí)現(xiàn)的。A傳輸層 B、網(wǎng)絡(luò)層C、數(shù)據(jù)鏈路層D、

2、會話層(D) &網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對提供安全保護(hù)。A、信息載體 B 、信息的處理和傳輸C信息的存儲和訪問 D以上皆是(C ) 7、當(dāng)進(jìn)行文本文件傳輸時(shí)，可能需要進(jìn)行數(shù)據(jù)壓縮，在OSI模型中，規(guī)定完成這一工作的是。A、應(yīng)用層B、會話層C、表示層D 、傳輸層(B) 8、數(shù)字簽名要預(yù)先使用單向 Hash函數(shù)進(jìn)行處理的原因是 。A多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度C、提高密文的計(jì)算速度D保證密文能正確地還原成明文(A) 9、IP v4地址是位的。A 32 B 、48C 、64 D 、128(D) 10、包過濾技術(shù)是防火墻在 層中根據(jù)數(shù)據(jù)包頭中

3、包頭信息有選擇地實(shí)施允許通過或阻斷。A物理層 B 、數(shù)據(jù)鏈路層 C 、傳輸層D、網(wǎng)絡(luò)層(A) 11、下列加密算法可以沒有密鑰的是 。A不可逆加密B 、可逆加密 C、對稱加密 D、非對稱加密(D) 12、威脅是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動作或事件，威脅包括()。A目標(biāo)B、代理 C、事件D上面3項(xiàng)都是(C) 13、對非軍事區(qū)DMZ而言，正確的解釋是 。A DMZ!個(gè)非真正可信的網(wǎng)絡(luò)部分B、DMZ網(wǎng)絡(luò)訪問控制策略決定允許或禁止進(jìn)入 DMZ通信C、允許外部用戶訪問DMZ系統(tǒng)上合適的服務(wù)D以上3項(xiàng)都是(A) 14、防火墻一般被安置在被保護(hù)網(wǎng)絡(luò)的 。A邊界 B 、外部 C 、內(nèi)部 D、以上皆可（B）1

4、5、數(shù)字簽名要預(yù)先使用單向 Hash函數(shù)進(jìn)行處理的原因是 。A、多一道加密工序使得密文更難破譯B、縮小簽名密文的長度，加快數(shù)字簽名和驗(yàn)證簽名的運(yùn)算速度C、提高密文的計(jì)算速度D保證密文能正確地還原成明文（D）16、可以在DMZ中放置的系統(tǒng)。A、郵件系統(tǒng) B 、Web服務(wù)器 C、控制系統(tǒng) D、以上皆可（D）17、下列掃描屬于端口掃描。A、TCP SYh掃描 B、TCP ACK掃描 C 、TCP FIN掃描 D 以上皆是（D）18、包過濾技術(shù)是防火墻在 層中根據(jù)數(shù)據(jù)包頭中包頭信息有選擇地實(shí)施允許通過或阻斷。A、物理層 B、數(shù)據(jù)鏈路層 C 、傳輸層D網(wǎng)絡(luò)層（C） 19、訪問控制是指確定 以及實(shí)施訪問權(quán)

5、限的過程。A、用戶權(quán)限B、可被用戶訪問的資源C、可給予那些主體訪問權(quán)利D系統(tǒng)是否遭受攻擊（B）20、SSL產(chǎn)生會話密鑰的方式是 。A.從密鑰管理數(shù)據(jù)庫中請求客戶機(jī)產(chǎn)生并加密后通知服務(wù)器C.由服務(wù)器產(chǎn)生并分配給客戶機(jī)D.每一臺客戶機(jī)分配一個(gè)密鑰的方式二、簡答題（每題6分，共30分）1、為使防火墻起到安全防護(hù)的作用，必要的保證措施是什么？答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安 全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制

6、器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 In ternet之間的任何活動， 保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻必要的保證措施有 所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信必須經(jīng)過防火墻 所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán) 防火墻本身是不可被侵入的2、簡述IPSec的功能。答：IPSec功能有：作為一個(gè)隧道協(xié)議實(shí)現(xiàn)了 VPN信。IPSec協(xié)議作為第三層隧道協(xié)議可 以在IP層創(chuàng)建一個(gè)安全的隧道，是兩個(gè)異地的私有網(wǎng)絡(luò)連接起來或使用公網(wǎng)上的計(jì)算機(jī)可以 遠(yuǎn)程訪問企業(yè)的私有網(wǎng)絡(luò)。保證數(shù)據(jù)來源的可靠性保證數(shù)據(jù)的完整性保證數(shù)據(jù)的機(jī)密 性。3、簡述VPN的功能以及類型。答：VPN是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通

7、過公網(wǎng)骨干網(wǎng)，尤其是In ternet 連接而成的邏輯上的虛擬子網(wǎng)，為了保證信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施以防止信息被泄漏、篡改和復(fù)制。VPN 類型有三種：分別是Access VP（遠(yuǎn)程訪問VPN、I ntranet VPN企業(yè)內(nèi)部VPN）以及Extra net VPN企 業(yè)擴(kuò)展VPN）4、從安全屬性看，有哪幾種攻擊的類型？答：（1）阻斷攻擊 阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無法提供用戶使用，這是一種針對可用 性攻擊。（2）截取攻擊 截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問，這是一種針對機(jī)密性的攻擊。（3）篡改攻擊 篡改攻擊是非授權(quán)者不僅訪問資產(chǎn)，而且能修改信息，這是一

8、種針對完整性 的攻擊。（4）偽造攻擊 偽造攻擊是非授權(quán)者在系統(tǒng)里插入偽造的信息， 這是一種針對真實(shí)性的攻擊。5、簡述SYN乏洪原理。答：SYN洪泛攻擊原理：在TCP協(xié)議中被稱為三次握手（Three-way Handshake）的連接過程 中，如果一個(gè)用戶向服務(wù)器發(fā)送了 SYN報(bào)文，服務(wù)器又發(fā)出SYN+ACK應(yīng)答報(bào)文后未收到客戶 端的ACK報(bào)文的，這種情況下服務(wù)器端會再次發(fā)送 SYN+AC給客戶端，并等待一段時(shí)間后丟 棄這個(gè)未完成的連接，這段時(shí)間的長度稱為SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級。SYN flood所做的就是利用了這個(gè) SYNTimeout時(shí)間和TCP/IP協(xié)議族中

9、的另一個(gè)漏洞： 報(bào)文傳輸過程中對報(bào)文的源 IP 地址完全信任。 SYNflood 通過發(fā)送大量的偽造 TCP 鏈接報(bào) 文而造成大量的 TCP 半連接,服務(wù)器端將為了維護(hù)這樣一個(gè)龐大的半連接列表而消耗非常多 的資源。這樣服務(wù)器端將忙于處理攻擊者偽造的 TCP連接請求而無法處理正常連接請求，甚至 會導(dǎo)致堆棧的溢出崩潰。造成 SYN洪泛攻擊最主要的原因是 TCP/IP協(xié)議的脆弱性。TCP/IP 是一個(gè)開放的協(xié)議平臺，它將越來越多的網(wǎng)絡(luò)連接在一起，它基于的對象是可信用戶群，所 以缺少一些必要的安全機(jī)制，帶來很大的安全威脅。例如常見的IP欺騙、TCP連接的建立、ICMP數(shù)據(jù)包的發(fā)送都存在巨大的安全隱患，

10、給 SYN洪泛攻擊帶來可乘之機(jī)。三、論述題（共 50 分）1、分析入侵檢測系統(tǒng)的優(yōu)點(diǎn)和局限。 （ 10 分） 答：一、入侵檢測系統(tǒng)的優(yōu)點(diǎn)有： 可以檢測和分析系統(tǒng)事件以及用戶的行為。 可以測試系統(tǒng)設(shè)置的安全狀態(tài)。 以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對系統(tǒng)安全的修改操作。 通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為。 可以對網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì)，并進(jìn)行檢測分析。 管理操作系統(tǒng)認(rèn)證和日志機(jī)制并對產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理。 在檢測到攻擊的時(shí)候，通過適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱?bào)警處理。 通過分析引擎的配置對網(wǎng)絡(luò)的安全進(jìn)行評估和監(jiān)督。 允許非安全領(lǐng)域的管理人員對重要的安全事件進(jìn)行有效的處理。 二、入侵檢測系

11、統(tǒng)的局限有： 無法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。 對于高負(fù)載的網(wǎng)絡(luò)或主機(jī)很難實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的實(shí)時(shí)檢測，報(bào)警和迅速的進(jìn)行攻擊響應(yīng)。 基于知識的入侵檢測系統(tǒng)很難檢測到未知的攻擊行為。 主動防御功能和聯(lián)動防御功能會對網(wǎng)絡(luò)的行為產(chǎn)生影響，同樣也會成為攻擊的目標(biāo)，實(shí)現(xiàn)以入侵檢測系統(tǒng)過敏自主防御為基礎(chǔ)的攻擊。 無法單獨(dú)防止攻擊行為的滲透，只能調(diào)整相關(guān)網(wǎng)絡(luò)設(shè)備參數(shù)或人為進(jìn)行處理。 在純交換環(huán)境下無法正常工作，只有對交換環(huán)境進(jìn)行一定的處理，利用鏡像等技術(shù)，網(wǎng) 絡(luò)入侵檢測系統(tǒng)才能進(jìn)行對鏡像的數(shù)據(jù)進(jìn)行分析處理。 主要是對網(wǎng)絡(luò)行為進(jìn)行分析檢測，不能修正信息資源中存在的安全問題。2、VPN第二層協(xié)議中的PPTP

12、和L2TP有那些不同？ （ 10分）答：VPN第二層協(xié)議中的 PPTP和L2TP都使用了 PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸，主要存在以下不同： PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò),L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對點(diǎn)的連接，L2TP可以在IP （使用UDP、幀中繼永久虛擬電路（PVCS、虛擬電路（VC或ATM VCS網(wǎng) 絡(luò)上使用。 PPTP只能在兩端點(diǎn)間建立單一隧道，L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP用戶 可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。 L2TP可以提供包頭壓縮，當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷占用 4個(gè)字節(jié)，而PPP協(xié)議下要占用 6個(gè)字節(jié)。

13、L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證，但是L2TP或PPTP與 IPSec共同使 用時(shí)，可以由IPSec提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道。3、 論述網(wǎng)絡(luò)中常見的攻擊技術(shù)以及針對這些攻擊的解決方案。（15分、 答：1、服務(wù)拒絕攻擊解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機(jī)制。2、協(xié)議漏洞滲透，主要有會話監(jiān)聽與劫持、地址欺騙。解決方案：采用防火墻、入侵檢測系統(tǒng)等聯(lián)動機(jī)制。3、密碼分析還原，主要有密碼還原和密碼猜測解決方案：采用強(qiáng)度高的加密算法，是密碼強(qiáng)度足夠強(qiáng)。4、應(yīng)用漏洞分析與滲透，主要包括服務(wù)流程漏洞和邊界條件漏洞。解決方案 : 解釋下載程序的最新補(bǔ)丁， 在程序開發(fā)

14、設(shè)計(jì)時(shí)采用安全的開發(fā)和實(shí)際方法。5、社會工程學(xué)，主要有物理分析和心理分析。解決方案：進(jìn)行必要的信息安全教育和培訓(xùn)。6、病毒或后門攻擊 解決方案：病毒防火墻和殺毒軟件。4、論述如何進(jìn)行病毒防治的部署。 （15 分） 答：有效的病毒防治部署是采用基于網(wǎng)絡(luò)的多層次的病毒防御體系。該體系在整個(gè)網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)處，包括客戶端、服務(wù)器、In ternet網(wǎng)關(guān)和防火墻設(shè)置防線形成多道防線， 即使病毒突破了一道防線，還有第二、三道防線攔截，因此，能夠有效的遏制病毒在網(wǎng)絡(luò)上 的擴(kuò)散。1、客戶端防線客戶端主要指用戶桌面系統(tǒng)和工作站， 它們是主要的病毒感染源， 有必要在客戶端實(shí)施面 向桌面系統(tǒng)和工作站的病毒防治措施，增強(qiáng)客戶端系統(tǒng)的抗病毒能力。2、服務(wù)器防線