计算机网络安全与维护

计算机网络安全与维护试卷（含答案及解析版）网 2 科技委员辛苦整理本文档受到签名保护，你的修改将损害签名。详见文档尾部。一、单选题（30小题，每题1分，共30分） 1下面有关DES的描述，不正确的是（D ）A. 是由美国国家标准局制定的B. 其结构完全遵循Feis tel密码结构C. 其算法是完全公开的 2下面有关MD5的描述，不正确的是（A. 是一种用于数字签名的算法C. 输入以字节为单位AB.D. 是目前应用最为广泛的一种分组密码算法 ）得到的报文摘要长度为固定的128位用一个8字节的整数表示数据的原始长度 ）D.3在PKI系统中，负责签发和管理数字证书的是（ALDAP D.C.A. CA B. RA4. 数字证书不包含（ BA. 颁发机构的名称C. 证书的有效期5. 主要用于加密机制的协议是：（A、HTTP B、FTP6. 数字证书不包含（ B ）A. 颁发机构的名称C. 证书的有效期7. “在因特网上没有人知道对方是A. 身份认证的重要性和迫切性C. 网络应用中存在不严肃性8. 以下认证方式中，最为安全的是（A. 用户名+密码 B. 卡+密钥B.DDC、CPS证书持有者的私有密钥信息CA签发证书时所使用的签名算法）TELNET D、SSLB. 证书持有者的私有密钥信息CA签发证书时所使用的签名算法 条狗”这个故事最能说明（ A ） 网络上所有的活动都是不可见的 计算机网络是一个虚拟的世界D. 个人还是一B.D.)C.用户名+密码+验证码 D. 卡指纹9将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为（D ）窥探A. 社会工程学 B. 搭线窃听 C10. ARP欺骗的实质是（A ）A.提供虚拟的MAC与IP地址的组合C 窃取用户在网络中传输的数据11. 在公钥密码体制中，用于加密的密钥为:（A、公钥 B、私钥C、公钥与私钥12. 密码认证中存在的问题不包括:（A.密码被按键记录软件记录C.被暴力破解计算机病毒具有（ A ）传播性、潜伏性、破坏性潜伏性、破坏性、易读性B.D 垃圾搜索让其他计算机知道自己的存在D. 扰乱网络的正常运行A）D、公钥或私钥A）B.密码若使用明文传送，容易被搭线窃听工具截获D.密码管理困难13A C.14.A.BD目前使用的防杀病毒软件的作用是（ C 检查计算机是否感染病毒，并消除已感染的任何病毒传播性、破坏性、易读性 传播性、潜伏性、安全性 ）B 杜绝病毒对计算机的侵害C. 检查计算机是否感染病毒，并清除部分已感染的病毒D.查出已感染的任何病毒，清除部分已感染的病毒15.在D DoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击的计算机称为 （ B ）A. 攻击者 B. 主控端 C. 代理服务器 D. 被攻击者16.目前使用的防杀病毒软件的作用是（ C ）检查计算机是否感染病毒，并消除已感染的任何病毒杜绝病毒对计算机的侵害检查计算机是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒）A.B.C.D.17 .死亡之ping属于（BA.冒充攻击18.泪滴使用了 IP数据报中的（A. 偏移字段的功能C. 标识字段的功能19.ICMP泛洪利用了（A. ARP命令的功能C. ping命令的功能2 0.将利用虚假IP地址进行ICMP报文传输的攻击方法称为（A. ICMP泛洪B. LAND攻击 C. 死亡之ping2 1.负责产生、分配并管理PKI结构下所有用户的证书的机构是（A. LDAP 目录服务器B.业务受理点C.注册机构RA22. 下面对于个人防火墙未来的发展方向，描述不准确的是（DA. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成23. 为了防御网络监听，最常用的方法是：（ B ）A、采用物理传输（非网络）B、信息加密C、无线网24. 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要置于防 火墙的（ C ）B. 拒绝服务攻击 C. 重放攻击 D） 协议字段的功能 D. 生存期字段的功能AB.B. t racert命令的功能D.route命令的功能D篡改攻击)D.DSmu r f攻击）D.认证中心CAD、使用专线传输A.内部 B.外部 C. DMZ区 D.都可以25.向有限的空间输入超长的字符串是哪一种攻击手段? （ A ）A.缓冲区溢出B.网络监听 C.拒绝服务D.IP欺骗2 6. VPN的应用特点主要表现在两个方面，分别是（A ）A. 应用成本低廉和使用安全B. 便于实现和管理方便C. 资源丰富和使用便捷D. 高速和安全27.如果要实现用户在家中随时访问单位内部的数字资源，可以通过以下哪一种方式实现（ C ）A.外联网VPNB.内联网VPNC.远程接入VPND. 专线接入28.在以下隧道协议中，属于三层隧道协议的是（D)A. L2FB. PPTPC. L2TPD.IPSec29.以下哪一种方法中，无法防范蠕虫的入侵。（B)A. 及时安装操作系统和应用软件补丁程序B. 将可疑邮件的附件下载到文件夹中，然后再用右键菜单的“打开”功能打开C. 设置文件夹选项，显示文件名的扩展名D. 不要打开扩展名为VBS、SHS、PIF等邮件附件3 0 .为了防御网络监听，最常用的方法是：（B ）A.采用物理传输（非网络）信息加密C.无线网D.使用专线传输二、判断题（10小题，每题1分，共10分）1. Feis tel是密码设计的一个结构,而非一个具体的密码产品。（V）2. 暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中 所采用的字典要比字典攻击中使用的字典的范围要大。（X3. DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS服务器的IP地址。（X ）4. 只有机构才可以获得数字证书，个人无法获得。（ X ）5. 蠕虫既可以在互联网上传播，也可以在局域网上传播。而且由于局域网本身的特性，蠕虫在局域网上传播速度更快，危害更大。（ V ）6 由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多 个字节段,然后每个字节段单独进行路由传输 ,所以 TCP 是面向字节流的可靠的传输方式。（ V ）7. ARP缓存只能保存主动查询获得的I P和MAC的对应关系，而不会保存以广播形式接收到的IP和 MAC的对应关系。（X8. 计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。（ X ）9. 脚本文件和A ct iveX控件都可以嵌入在HTML文件中执行。（V10. 实现DDo S攻击，攻击者最终要控制大量的计算机为其服务。（V ）三、名词解释（4小题，每题5分，共20分）1. 流密码和分组密码流密码（Stream Cipher）也称为序列密码，它是对称密码算法的一种。序列密码具有实现简单、便于硬件实施、 加解密处理速度快、没有或只有有限的错误传播等特点，因此在实际应用中，特别是专用或机密机构中保持着优势, 典型的应用领域包括无线通信、外交通信。分组密码是将明文消息编码表示后的数字（简称明文数字）序列,划分成长度为n的组（可看成长度为n的矢量），每组 分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列。2. ARP欺骗ARP欺骗（英语:ARP spoofing），又称ARP下毒（ARP poisoning ）或ARP攻击，是针对以 太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据数据包甚至可篡改 数据包，且可让网络上特定电脑或所有电脑无法正常连接。ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网络上，尤其是送到网关上。其目的是要让送 至特定的 IP 地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正 的闸道（被动式数据包嗅探,pa s sive sni f fing）或是篡改后再转送（中间人攻击，man-in- t h e -mi d die at t ack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果，例如n et cut软件。3 . DoS攻击DoS （拒绝服务）攻击是一种实现简单但又很有效的攻击方式。DoS攻击的目的就是让被攻击主机拒绝 用户的正常服务访问，破坏系统的正常运行，最终使用户的部分In t er n et连接和网络系统失效（2 分）。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服 务。（2 分）4.入侵检测技术入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯 入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和 起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技 术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(In trusi onDet ectionSystem，简称 IDS)。四、简答题(3小题，每题10分，共30分)1. 什么是PKI、PMI,简述二者之间的关系。PKI和PMI都是重要的安全基础设施，它们是针对不同的安全需求和安全应用目标设计的,PKI主要 进行身份鉴别，证明用户身份,即“你是谁” PMI主要进行授权管理和访问控制决策，证明这个用户有 什么权限，即“你能干什么” ,因此它们的实现的功能是不同的。尽管如此,PK I和基于属性证书PM I两者又具有密切的关系。基于属性证书的PMI是建立在PKI基 础之上的，一方面,对用户的授权要基于用户的真实身份，即用户的公钥数字证书，并采用公钥技术对 属性证书进行数字签名,另一方面，访问控制决策是建立在对用户身份认证的基础上的，只有在确定 了用户的真实身份后,才能确定用户能干什么。此外,PK|和基于属性证书的PMI还具有相似的层次化结构、相同的证书与信息绑定机制和许多相似 的概念，如属性证书和公钥证书，授权管理机构和证书认证机构等，表31给出了 PKI与基于属性证 书的 PMI 中概念和实体的对照关系。2. 简述包过滤防火墙的工作原理包过滤 防火墙是 防火墙的一类。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在 此之上加了功能的扩展,如状态检测等。它通过检查单个包的地址，协议，端口等信息来决定是否允许 此数据包通过。包过滤防火墙是最简单的一种防火墙,它在网络层截获网络数据包,根据防火墙的规则表，来检测攻击 行为。包过滤防火墙一般作用在网络层(IP层)，故也称网络层防火墙(Network Lev Firewall)或 I P过滤器(I P f i l t er s)。数据包过滤(P ac ket Fi l tering)是指在网络层对数据包进行分析、选择。 通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因 素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。3. 简述 VPN 的隧道技术的概念、组成、工作原理。VPN(虚拟专用网)是利用Internet等公共网络的基础设施，通过隧道技术,为用户提供一条与专 用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接。从 V PN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公 共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用 网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经过授 权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证,从而保证了传输内容的完整性 和机密性。组成:VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理 网络的接口构成，一般至少包括以下几个关键组成部分: VPN服务器:作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN 软件的联网计算机,或是一台联网手持设备 算法体系:VPN的专用网络的形成的关键，常见的有:摘要算法MD5或SHA1,对称加密RC4、RC5、 DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实 现上使用对应的算法，有的还可以由用户根据使用现场临时更换认证系统：VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信” 原则，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露，这就是认证系统 所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurlD、双 因素令牌、LDAP、Wi ndows AD、Rad ius、证书，一个系统中往往包括一种以上的方式以增加灵 活性 VPN协议:它规定了 VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全 不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重 要，而接口决定了一个VPN产品的适用度。常见的有PPTP、L2TP、MPLS VPN、IPsec、S OCKS、SSL原理：VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传 输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可 以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/I SDN链路的逻辑延伸，在使用上与 实际物理链路相同。VPN隧道需要完成的功能包括:封装用户数据、实现隧道两端的连通性、定时检测 VPN隧道的连通性、VPN隧道的安全性、VPN隧道的QoS特性等。五、分析题（10 分）对给定二进制明文信息 “ 0 0 110 1 0101 0 0 0 101 0 0 1 1 1101001010111 0 01010 1 ” 进行两次加密。第一次采用8位分组异或算法，用密钥“ 01010101 ”对明文进行加密运算。第二次采用“1-4 （位置1的数据移位到位置 4）,2-8, 3-1, 4-5, 5-7, 6-2,7-6,8-3”对第一次加密后的密文进行8位分组转换加密运算，请 写出两次加密的运算过程和加密后的密文。注：异或运算的规则如下表所示：XYX xo rY000011101110信息组 0011013 1 0 1 0 1 0 0 010 1 0 01 1 1101 00 1 010 11 10 010 101第一次密钥 3010 1 01 0 1 010 1 0101 0 1 0101 0 10 1 010101 0 10 1 0101第一次密文 011000 000001 0000 01101000 0 111 11 101 1000 000 第二次密文 100000301 0000100010000011 1100111100010001写在最后,本人辛苦整理,只为方便大家,无奈知识有限难免有失误的地方,如果有什么不对的地 方,欢迎大家的建议和意见。文中的解答都是我自己做的,多数是与百度校对了的,本人深知百度不是万能的 ,所以尽量的多方求 证,如果你发现有哪里不正确的地方,还望与我商榷,以便更新本文档,避免大家犯错,谢谢合作。还有一点要说明的是,有的文字,你不能删除,因为我不希望你修改它,如有特殊要求,请向我索 要密码。哦,还有,要是没考到这上面的,不能怪我哈,这是老师坑爹了。 最后祝愿大家考试顺利。网 2 科技委员 2013年5月15日错误!未定义书签。辛苦整理