《计算机网络与安全》模拟题三

一、单选题（每题1 分，共10 分）

1．各种通信网和TCP/IP 之间的接口是TCP/IP 分层结构中的（A ）

A. 数据链路层   B. 网络层  C.  传输层      D. 应用层

2. 下面不属于木马特征的是（B）

A. 自动更换文件名，难于被发现      B. 程序执行时不占太多系统资源

C. 不需要服务端用户的允许就能获得系统的使用权

D. 造成缓冲区的溢出，破坏程序的堆栈

3. 下面不属于端口扫描技术的是（D）

A. TCP connect( ) 扫描              B. TCP FIN 扫描

C. IP 包分段扫描                   D. Land 扫描

4. 负责产生、分配并管理PKI 结构下所有用户的证书的机构是（D ）

A. LDAP 目录服务器      B. 业务受理点   C. 注册机构RA     D. 认证中心CA

5．防火墙按自身的体系结构分为（B）

A. 软件防火墙和硬件防火墙            B. 包过滤型防火墙和双宿网关

C. 百兆防火墙和千兆防火墙             D. 主机防火墙和网络防火墙

6．下面关于代理技术的叙述正确的是（D）

A．能提供部分与传输有关的状态 

B．能完全提供与应用相关的状态和部分传输方面的信息

C．能处理和管理信息

D．ABC都正确

7．下面关于ESP传输模式的叙述不正确的是（A ）

A．并没有暴露子网内部拓扑              B ．主机到主机安全

C．IPSEC的处理负荷被主机分担           D ．两端的主机需使用公网IP

8. 下面关于网络入侵检测的叙述不正确的是( C ）

A．占用资源少                        B ．攻击者不易转移证据

C．容易处理加密的会话过程            D ．检测速度快

9. 基于SET 协议的电子商务系统中对商家和持卡人进行认证的是（ B ）

A．收单银行     B ．支付网关     C．认证中心    D ．发卡银行

10. 下面关于病毒的叙述正确的是（D）

A．病毒可以是一个程序            B ．病毒可以是一段可执行代码

C．病毒能够自我复制               D ． ABC 都正确

11．下面不属于按网络覆盖范围的大小将计算机网络分类的是（ C  ）

A. 互联网          B. 广域网        C. 通信子网        D. 局域网

12. 下面不属于SYN FLOODING攻击的防范方法的是（ C  ）

A. 缩短SYN Timeout （连接等待超时）时间       B. 利用防火墙技术

C. TCP 段加密                                 D. 根据源IP 记录SYN连接

13. 下面不属于木马伪装手段的是（ A ）

A. 自我复制     B. 隐蔽运行      C. 捆绑文件      D. 修改图标

14. 负责证书申请者的信息录入、审核以及证书发放等工作的机构是（ C  ）

A. LDAP 目录服务器                   B. 业务受理点

C. 注册机构RA                        D. 认证中心CA

15．下面哪种信任模型的扩展性较好（ C ）

A. 单CA信任模型            B. 网状信任模型

C. 严格分级信任模型        D. Web 信任模型

16．下面关于包过滤型防火墙协议包头中的主要信息叙述正确的是（D ）

A．包括IP 源和目的地址                  B．包括内装协议和TCP/UDP目标端口

C．包括ICMP消息类型和TCP包头中的ACK位    D．ABC都正确

17．下面关于LAN-LAN的叙述正确的是（ C ）

A．增加WAN带宽的费用                    B．不能使用灵活的拓扑结构

C．新的站点能更快、更容易地被连接       D．不可以延长网络的可用时间

18. 下面关于ESP隧道模式的叙述不正确的是（B ）

A．安全服务对子网中的用户是透明的    B．子网内部拓扑未受到保护

C．网关的IPSEC集中处理               D．对内部的诸多安全问题将不可控

19. 下面关于入侵检测的组成叙述不正确的是（ C ）

A．事件产生器对数据流、日志文件等进行追踪

B．响应单元是入侵检测系统中的主动武器

C．事件数据库是入侵检测系统中负责原始数据采集的部分

D．事件分析器将判断的结果转变为警告信息

20. 下面关于病毒校验和检测的叙述正确的是（D  ）

A．无法判断是被哪种病毒感染        B．对于不修改代码的广义病毒为力

C．容易实现但虚警过多              D．ABC都正确

二、填空题（每空1 分，共25 分）

1. IP 协议提供了_数据根_ 的 尽力而为 的传递服务。

2. TCP/IP 链路层安全威胁有： 以太网共享信道的侦听 ，MAC地址的修改 ，ARP欺骗  。

3. DRDoS与DDoS的不同之处在于： _攻击端占用不需要占领大量的傀儡_。

4. 证书的作用是：_用来向系统中其他实体证明自己的身份_ 和_分发公钥_。

5. SSL协议中双方的主密钥是在其_握手_协议产生的。

6. VPN的两种实现形式：_Client-LAN_ 和_LAN-LAN_。

7. IPSec 是为了在IP 层提供通信安全而制定的一套_协议簇_，是一个应用广泛、开放的VPN安全协议体系。

8. 根据检测原理，入侵检测系统分为_异常入侵检测_，_误用入侵检测_ 。

9. 病毒技术包括：寄生_ 技术，驻留 技术，__加密变形_ 技术 隐藏_技术。

10. 电子商务技术体系结构的三个层次是网络平台，安全基础结构 和电子商务义务，一个支柱是公共基础部分。

11. 防火墙的两种姿态拒绝没有特别允许的任何事情和允许没有特别拒绝的任何事情

12. TCP/IP 层次划分为数据链路层 网络层 传输层 应用层。

13. TCP协议的滑动窗口协议的一个重要用途是  流量控制。

14. 诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法是 DNS欺骗 。

15. 身份认证分为：_单向认证_ 和_双向认证_。

16. X.509 证书包括：证书内容 ，签名算法 和 使用签名算法对证书所作的签名 三部分。

17. 防火墙主要通过服务控制、方向控制、用户控制、行为控制 四种手段来执行安全策略和实现网络控制访问。

18. SOCKS只能用于 TCP 服务，而不能用于_UDP_服务。

19. 典型的VPN组成包括 VPN服务器_，VPN客户机 ，VPN连接 和 隧道 。

20. IPSec 定义的两种通信保护机制分别是：ESP 机制和AH_机制。

21. 电子现金支付系统是一种_预先付款_的支付系统。

22. 双重签名 是SET中的一个重要的创新技术。

三、判断题( 正确打√，错误打×，每题1 分，共15 分)

1． 以太网中检查网络传输介质是否已被占用的是冲突监测。  （   F ）

2． 主机不能保证数据包的真实来源，构成了IP 地址欺骗的基础。（  T  ）

3． 扫描器可以直接攻击网络漏洞。（  F ）

4． DNS 欺骗利用的是DNS 协议不对转换和信息性的更新进行身份认证这一弱点。（  T ）

5． DRDoS攻击是与DDoS无关的另一种拒绝服务攻击方法。（F   ）

6． 公钥密码比传统密码更安全。（  F ）

7． 身份认证一般都是实时的，消息认证一般不提供实时性。（ T  ）

8． 每一级CA都有对应的RA。（  T ）

9． 加密/ 解密的密钥对成功更新后，原来密钥对中用于签名的私钥必须安全销毁，公钥进行归档管理。（  F ）

10．防火墙无法完全防止传送已感染病毒的软件或文件。（ T  ）

11．所有的协议都适合用数据包过滤。（  F ）

12．构建隧道可以在网络的不同协议层次上实现。（  T  ）

13．蜜网技术（ Honeynet ）不是对攻击进行诱骗或检测。（  T ）

14．病毒传染主要指病毒从一台主机蔓延到另一台主机。（   F  ）

15．电子商务中要求用户的定单一经发出，具有不可否认性。（  T  ）

16． 设计初期， TCP/IP 通信协议并没有考虑到安全性问题。（    ）

17． 目前没有理想的方法可以彻底根除IP 地址欺骗。（   T  ）

18． 非盲攻击较盲攻击的难度要大。（ T    ）

19． 缓冲区溢出并不是一种针对网络的攻击方法。（  F  ）

20． DDoS 攻击破坏性大，难防范也难以查找攻击源，被认为是当前最有效的攻击手法。（ T ）

21． 身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性。（ T  ）

22． 网状信任模型单个CA安全性的削弱不会影响到整个PKI。（ T  ）

23． 防火墙将有用的网络服务。（ T  ）

24． 应用代理不能解决合法IP 地址不够用的问题。（  T ）

25．VPN中用户需要拥有实际的长途数据线路。（F   ）

26．对通信实体的身份进行认证的是IPSec 的安全协议。（  F ）

27．ESP头插在IP 报头之后， TCP或UDP等传输协议报头之前。（  T ）

28．入侵检测系统能够完成入侵检测任务的前提是监控、分析用户和系统的活动。（ T  ）

29．蜜罐（ Honeypot ）技术不会修补任何东西，只为使用者提供额外的、有价值的关于攻击的信息。（ T  ）

30．电子商务中要求用户的定单一经发出，具有不可否认性。（  T  ）

四、简答题（每题5 分，共30 分）

1． TCP/IP 的分层结构以及它与OSI 七层模型的对应关系。

2． 简述拒绝服务攻击的概念和原理。

广义上讲，拒绝服务（DoS，Denial of service）攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。

拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务。

3． 简述交叉认证过程。

  首先，两个CA建立信任关系。双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。其次，利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。

4． 简述SSL安全协议的概念及功能。

SSL全称是Secure SocketLayer(安全套接层 ). 在客户和服务器两实体之间建立了个安全的通道，防止客户/服务器应用中的侦听、算改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL 提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下，做到与应用层协议无关，  几乎所有基于TCP的协议稍加改动就可以在SSL 上运行。

5． 简述好的防火墙具有的5 个特性。

(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙:  (2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙:  (3)防火墙本身不受各种攻击的影响: (4) 使用目前新的信息安全技术如 次口令技术、智能卡等:  (5)人机界面真好，用户配置使用万便，易管理， 系统管理员 可以对发防火墙进行设置，对 互连网的访问者、被访问者、访问协议及访问权限进行。

6． 简述电子数据交换（ EDI）技术的特点。

特点:使用对象是不同的组织之间:所传送的资料是般业 务资料:采用共同标准化的格式:尽量避免人工的介入操作，由改送双方的计算机系统直接传送、交换资料。

7． 简述TCP协议的三次握手机制。

8． 简述VPN隧道的概念和分类。

VPN隧道的概念:

      隧道实质是种数据封装技术， 即将种协议封装在另 种协议中传输， 从而实现被封

装协议对封装协议的透明性，保持被封装协议的安全特性。使用 IP协议作为封装协议的隧道协议称为IP 隧道协议。

      VPN隧道技术的分类:

      第二层隧道:先把各种网络层协议(如  IP、IPX等)封装到数据链路层的  PPP领里。再把整个PPP帧装入隧道协议里。第三层隧道:把各种网络层协议直接装入隧道协议中。

9． 简述IPSec 的定义，功能和组成。

IPSec是IETF IPSec工作组为了在IP 层提供通信安全面制定的一套协议族，是一个应用广泛、开放的VPN安全协议体系。功能: a 供所有在网络层上的数据保护，进行透明的安全通信。 IPSec 协议包括安全协议和密钥协商两部分。

10． 简述异常入侵检测和误用入侵检测。

异常入侵检测，能够根据异常行为和使用计算机资源的情况检测出来的入侵。用定量的

方式描述可接受的行为特征。  对超出可接受的行为认为是入侵。误用入侵检测， 利用已知系统和应用软件的弱点模型来检测入任。设用入侵检测直接检测不可接受行为。

11． 简述病毒的定义及其破坏性的主要表现。

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。

病毒的破坏性的主要表现:直接破坏计算机上的重要信息;抢占系统资源，降低系统性能;窃取主机上的重要信息;破坏计算机硬件;导致网络阻塞,甚至瘫痪;使邮件服务器、Web 服务器不能提供正常服务。

12． 简述消息认证和身份认证的概念及两者的差别。

消息认证是一个证实收到的消息来自可信的源点且未被篡改的过程。

身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。

身份认证与消息认证的差别：

 (1)身份认证一般都是实时的，消息认证一般不提供实时性；(2)身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性；(3)数字签名是实现身份认证的有效途径。

五、综述题（20 分）

1. 简述ARP的工作过程及ARP欺骗。（10 分）

地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一- 主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

2. 简述包过滤型防火墙的概念、优缺点和应用场合。（10 分）

.包过滤型防火墙的概念：

包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。

包过滤型防火墙的优缺点：

包过滤防火墙的优点：处理包的速度快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。

包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的IP欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。

包过滤型防火墙的应用场合：

非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP这样的动态IP地址分配协议。

3. 简述证书的概念、作用、获取方式及其验证过程。（10 分）

证书的获取方式：

 (1)发送者发送签名信息时附加发送证书；(2) 单独发送证书信息；(3) 访问证书发布的目录服务器；(4) 从证书相关实体获得。

证书的验证过程：

(1) 将客户端发来的数据解密；(2) 将解密后的数据分解成原始数据、签名数据、客户证书三个部分；(3) 用CA根证书验证客户证书的签名完整性；(4) 检查客户证书是否有效；(5)检查客户证书是否作废；(6)验证客户证书结构中的证书用途；(7)客户证书验证原始数据的签名完整性；(8)如以上各项均验证通过，则接收该数据。

(2) 

4. 简述电子商务技术体系结构。（ 10 分）__