《計算機網(wǎng)絡安全》模擬試題一

1、計算機網(wǎng)絡安全模擬試題一（120分鐘）一、 單選題（每題1分，共10分）1各種通信網(wǎng)和TCP/IP之間的接口是TCP/IP分層結構中的（ ）A. 數(shù)據(jù)鏈路層 B. 網(wǎng)絡層C. 傳輸層 D. 應用層2. 下面不屬于木馬特征的是（）A. 自動更換文件名，難于被發(fā)現(xiàn) B. 程序執(zhí)行時不占太多系統(tǒng)資源C. 不需要服務端用戶的允許就能獲得系統(tǒng)的使用權 D. 造成緩沖區(qū)的溢出，破壞程序的堆棧3. 下面不屬于端口掃描技術的是（）A. TCP connect()掃描 B. TCP FIN掃描C. IP包分段掃描 D. Land掃描4. 負責產(chǎn)生、分配并管理PKI結構下所有用戶的證書的機構是（）A. LDAP目

2、錄服務器 B. 業(yè)務受理點C. 注冊機構RA D. 認證中心CA5防火墻按自身的體系結構分為（）A. 軟件防火墻和硬件防火墻 B.包過濾型防火墻和雙宿網(wǎng)關 C. 百兆防火墻和千兆防火墻 D. 主機防火墻和網(wǎng)絡防火墻 6下面關于代理技術的敘述正確的是（ ）A能提供部分與傳輸有關的狀態(tài) B能完全提供與應用相關的狀態(tài)和部分傳輸方面的信息C能處理和管理信息 DABC都正確7下面關于ESP傳輸模式的敘述不正確的是（ ）A并沒有暴露子網(wǎng)內(nèi)部拓撲 B主機到主機安全 CIPSEC的處理負荷被主機分擔 D兩端的主機需使用公網(wǎng)IP 8. 下面關于網(wǎng)絡入侵檢測的敘述不正確的是（ ）A占用資源少 B攻擊者不易轉移證據(jù)

3、 C容易處理加密的會話過程 D檢測速度快9. 基于SET 協(xié)議的電子商務系統(tǒng)中對商家和持卡人進行認證的是（ ）A收單銀行 B支付網(wǎng)關C認證中心 D發(fā)卡銀行10. 下面關于病毒的敘述正確的是（ ）A病毒可以是一個程序 B病毒可以是一段可執(zhí)行代碼C病毒能夠自我復制 D ABC都正確二、 填空題（每空1分，共25分）1. IP協(xié)議提供了 的 的傳遞服務。2. TCP/IP鏈路層安全威脅有： ， ， 。3. DRDoS與DDoS的不同之處在于： 。4. 證書的作用是： 和 。 5. SSL協(xié)議中雙方的主密鑰是在其 協(xié)議產(chǎn)生的。6. VPN的兩種實現(xiàn)形式： 和 。7. IPSec是為了在IP層提供通信安

4、全而制定的一套 ，是一個應用廣泛、開放的 。8. 根據(jù)檢測原理，入侵檢測系統(tǒng)分為 ， 。9. 病毒技術包括： 技術， 技術， 技術和 技術。10. 電子商務技術體系結構的三個層次是 ， 和 ，一個支柱是 。11. 防火墻的兩種姿態(tài) 和 。三、 判斷題(每題1分，共15分)1 以太網(wǎng)中檢查網(wǎng)絡傳輸介質是否已被占用的是沖突監(jiān)測。（）2 主機不能保證數(shù)據(jù)包的真實來源，構成了IP地址欺騙的基礎。（）3 掃描器可以直接攻擊網(wǎng)絡漏洞。（）4 DNS欺騙利用的是DNS協(xié)議不對轉換和信息性的更新進行身份認證 這一弱點。（）5 DRDoS攻擊是與DDoS無關的另一種拒絕服務攻擊方法。（）6 公鑰密碼比傳統(tǒng)密碼更

5、安全。（）7 身份認證一般都是實時的，消息認證一般不提供實時性。（）8 每一級CA都有對應的RA。（）9 加密/解密的密鑰對成功更新后，原來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰進行歸檔管理。（）10 防火墻無法完全防止傳送已感染病毒的軟件或文件。（）11 所有的協(xié)議都適合用數(shù)據(jù)包過濾。（）12 構建隧道可以在網(wǎng)絡的不同協(xié)議層次上實現(xiàn)。（）13 蜜網(wǎng)技術（Honeynet）不是對攻擊進行誘騙或檢測。（）14 病毒傳染主要指病毒從一臺主機蔓延到另一臺主機。（）15 電子商務中要求用戶的定單一經(jīng)發(fā)出，具有不可否認性。（）四、 簡答題（每題5分，共30分） TCP/IP的分層結構以及它與OSI七層

6、模型的對應關系。 簡述拒絕服務攻擊的概念和原理。 簡述交叉認證過程。 簡述SSL安全協(xié)議的概念及功能。 簡述好的防火墻具有的5個特性。 簡述電子數(shù)據(jù)交換（EDI）技術的特點。五、 綜述題（20分） 簡述ARP的工作過程及ARP欺騙。（10分） 簡述包過濾型防火墻的概念、優(yōu)缺點和應用場合。（10分）模擬題1答題要點一、 單選題1、A 2、D 3、D 4、D 5、B 6、D 7、A 8、C 9、B 10、D二、 填空題：1、數(shù)據(jù)報 盡力而為2、以太網(wǎng)共享信道的偵聽 MAC地址的修改 ARP欺騙3、攻擊端不需要占領大量傀儡機4、用來向系統(tǒng)中其他實體證明自己的身份 分發(fā)公鑰5、握手6、Client-L

7、AN LAN-LAN7、協(xié)議簇 VPN安全協(xié)議體系8、異常入侵檢測 誤用入侵檢測9、寄生 駐留 加密變形 隱藏10、網(wǎng)絡平臺 安全基礎結構 電子商務業(yè)務 公共基礎部分11、拒絕沒有特別允許的任何事情 允許沒有特別拒絕的任何事情三、 判斷題1、 2、 3、 4、 5、 6、 7、 8、 9、 10、11、 12、 13、 14、 15、 四、 簡答題答：1、TCP/IP層析劃分OSI層次劃分應用層應用層會話層傳輸層會話層傳輸層網(wǎng)絡層網(wǎng)絡層數(shù)據(jù)鏈路層鏈路層物理層2、拒絕服務攻擊的概念：廣義上講，拒絕服務（DoS，Denial of service）攻擊是指導致服務器不能正常提供服務的攻擊。確切講，

8、DoS攻擊是指故意攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡無法提供正常的服務，使目標系統(tǒng)停止響應，甚至崩潰。拒絕服務攻擊的基本原理是使被攻擊服務器充斥大量要求回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)超負荷，以至于癱瘓而停止提供正常的網(wǎng)絡服務。3、首先，兩個CA建立信任關系。雙方安全交換簽名公鑰，利用自己的私鑰為對方簽發(fā)數(shù)字證書，從而雙方都有了交叉證書。其次，利用CA的交叉證書驗證最終用戶的證書。對用戶來說就是利用本方CA公鑰來校驗對方CA的交叉證書，從而決定對方CA是否可信；再利用對方CA的公鑰來校驗對方用戶的證書，從而決定對方用戶是否可

9、信。4、SSL全稱是：Secure Socket Layer (安全套接層)。在客戶和服務器兩實體之間建立了一個安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，SSL提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳輸層之上，應用層之下，做到與應用層協(xié)議無關，幾乎所有基于TCP的協(xié)議稍加改動就可以在SSL上運行。5、(1)所有在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻；(2)只有被授權的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；(3)防火墻本身不受各種攻擊的影響；(4)使用目前新的信息安全技術，如一

10、次口令技術、智能卡等；(5)人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對發(fā)防火墻進行設置，對互連網(wǎng)的訪問者、被訪問者、訪問協(xié)議及訪問權限進行限制。6、特點：使用對象是不同的組織之間；所傳送的資料是一般業(yè)務資料；采用共同標準化的格式；盡量避免人工的介入操作，由收送雙方的計算機系統(tǒng)直接傳送、交換資料。五、 綜述題1、ARP的工作過程：(1)主機A不知道主機B的MAC地址，以廣播方式發(fā)出一個含有主機B的IP地址的ARP請求；(2)網(wǎng)內(nèi)所有主機受到ARP請求后，將自己的IP地址與請求中的IP地址相比較，僅有B做出ARP響應，其中含有自己的MAC地址；(3)主機A收到B的ARP響應，將該條I

11、P-MAC映射記錄寫入ARP緩存中，接著進行通信。ARP欺騙：ARP協(xié)議用于IP地址到MAC地址的轉換，此映射關系存儲在ARP緩存表中。當ARP緩存表被他人非法修改將導致發(fā)送給正確主機的數(shù)據(jù)包發(fā)送給另外一臺由攻擊者控制的主機，這就是所謂的“ARP欺騙”。2、 包過濾型防火墻的概念：包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。包過濾型防火墻的優(yōu)缺點：包過濾防火墻的優(yōu)點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包過濾防火墻對用戶和應用講是透明的。無需對用戶進行培訓，也不必在每臺主機上安裝特定的軟件。包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內(nèi)部主機的IP欺騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅動式攻擊