网络安全简答题复习(共3页)

精选优质文档-倾情为你奉上网络安全复习题（简答题）1简述拒绝服务攻击的概念和原理。答：拒绝服务攻击的概念：广义上讲，拒绝服务（DoS，Denial of service）攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。拒绝服务攻击的基本原理：是使被攻击服务器充斥大量要求回复的信息，消耗网络、带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务2简述交叉认证过程。答：首先，两个CA建立信任关系。双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。其次，利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。3简述SSL安全协议的概念及功能。 答：SSL全称是：Secure Socket Layer (安全套接层)。在客户和服务器两 实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下，做 到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。4简述好的防火墙具有的5个特性。答： (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。5简述电子数据交换（EDI）技术的特点。答：特点：使用对象是不同的组织之间；所传送的资料是一般业务资料；采用共同标准化的格式；尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。6、简述ARP的工作过程及ARP欺骗。ARP的工作过程：(1)主机A不知道主机B的MAC地址，以广播方式发出一个含有主机B的IP地址的ARP请求；(2)网内所有主机受到ARP请求后，将自己的IP地址与请求中的IP地址相比较，仅有B做出ARP响应，其中含有自己的MAC地址；(3)主机A收到B的ARP响应，将该条IP-MAC映射记录写入ARP缓存中，接着进行通信。ARP欺骗：ARP协议用于IP地址到MAC地址的转换，此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机，这就是所谓的“ARP欺骗”。7、简述包过滤型防火墙的概念、优缺点和应用场合。答：包过滤型防火墙的概念：包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。包过滤型防火墙的优缺点：包过滤防火墙的优点：处理包的速度快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的IP欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。包过滤型防火墙的应用场合：非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP这样的动态IP地址分配协议。8、什么是拒绝服务攻击？如何阻挡？答：拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。服务质量下降甚至不能提供服务，系统性能遭到不同程度的破坏，降低了系统资源的可用性。系统资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，拒绝服务的结果是减少或失去服务。 对于拒绝服务式攻击我们不能完全消除它们，遇到这种攻击时，可以采用以下几种办法处理：寻找一种方法来过滤掉这些不良的数据包；提高对接受数据进行处理的能力；追查并关闭那些发动攻击的站点；增加硬件设备或者提高网络容量，以从容处理正常的负载和攻击数据流量。9、防火墙有几类？简述分组过滤防火墙。答：根据防火墙在网络协议中的过滤层次不同，我们把防火墙分为三种：包过滤防火墙、电路级网关防火墙、应用级网关防火墙。 分组过滤器是目前使用最为广泛的防火墙，其原理很简单：1、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；2、作用在网络层和传输层；3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。10、密要分配的几种方法答：通信双方可通过三种基本方法实现秘密信息的共享：一是利用安全信道实现密钥传递；二是利用双钥体制建立安全信道传递；三是利用特定的物理现象（量子技术）实现密钥传递。11、描述三次握手的过程答：TCP是面向连接的，所谓面向连接，就是当计算机双方通信时必需先建立连接，然后数据传送，最后拆除连接三个过程并且TCP在建立连接时又分三步走：第一步是请求端（客户端）发送一个包含SYN即同步标志的TCP报文，SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。然后才开始通信的第二步：数据处理。这就是所说的TCP三次握手12简述CA对数字证书签名及数字证书的验证过程。答：数字证书签名CA首先要对证书的所有字段计算一个信息摘要，而后用CA私钥机密消息摘要，构成CA的数字签名。CA将计算出的数字签名作为数字证书的最后一个字段插入，类似于护照上的印章与签名。该过程有密码运算程序自动完成。 数字证书验证（1）用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。（2）由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要，设该信息摘要为MD1.（3）用户从证书中取出CA的数字签名。（4）用户用CA的公钥对CA的数字签名信息进行解密运算。（5）解密运算后获得CA签名所使用的信息摘要，设为MD2.（6）用户比较MD1与MD2。若两者相符，则可肯定数字证书已由CA用其私钥签名，否则用户不信任该证书，将其拒绝。专心-专注-专业