网络安全简答题.doc

网络安全简答题精选一、简答题1、简述物理安全包括那些内容？防盗，防火，防静电，防雷击和防电磁泄漏2、简述防火墙有哪些基本功能？（写出五个功能）建立一个集中的监视点隔绝内外网络，保护内部网络强化网络安全策略对网络存取和访问进行监控和审计实现网络地址转换3、简述无线局域网由那些硬件组成？无线局域网由无线网卡、AP、无线网桥、计算机和有关设备组成。4、简述网络安全的层次体系从层次体系上，可以将网络安全分成四个层次上的安全：物理、逻辑、操作系统和联网安全5、简述TCP/IP协议族的基本结构TCP/IP协议族是一个四层协议系统，自底而上分别是数据链路层、网络层、传输层和应用层。6、简述网络扫描的分类及每类的特点扫描，一般分成两种策略：一种是主动式策略，另一种是被动式策略。被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查，不会对系统造成破坏。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞，但是可能会对系统造成破坏。7、简述常用的网络攻击手段网络监听、病毒及密码攻击、欺骗攻击拒绝服务攻击、应用层攻击、缓冲区溢出8、简述后门和木马的概念并说明两者的区别木马(Trojan)，也称木马病毒，是指通过特定的程序木马程序来控制另一台计算机后门：是绕过安全性控制而获取对程序或系统访问权的方法本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机9、简述恶意代码的概念及长期存在的原因恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。原因：在信息系统的层次结构中，包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免，直接导致了恶意代码的必然存在。10、简述安全操作系统的机制安全操作系统的机制包括：硬件安全机制，操作系统的安全标识与鉴别，访问控制、最小特权管理、可信通路和安全审计。11、简述密码学除机密性外还需提供的功能鉴别、完整性、抗抵赖性鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。抗抵赖性：发送者事后不可能虚假地否认他发送的消息。12、简述入侵检测系统的概念及常用的3种入侵检测方法入侵检测系统：是能够对入侵异常行为自动进行检测、监控和分析的软件与硬件的组合系统，是一种自动监测信息系统内、外入侵的安全设备常用的方法有3种：静态配置分析、异常性检测方法，基于行为的检测方法和文件完整性检查 。13、简述网络安全框架包含的内容网络安全策略网络安全策略和标准网络安全运作网络安全管理网络安全技术14. 什么是网络安全？其特征有哪些？网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，网络服务不中断的措施。特征：保密性、完整性、可用性、可控性、可审查性。15. 网络安全威胁的发展特点主要有哪些？（1）与互联网更加紧密地结合，利用一切可以利用的方式进行传播 所有病毒都具有混合型特性，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性增强（2）扩散极快，更加注重欺骗性 利用系统漏洞成为病毒有力的传播方式 无线网络技术的发展使得远程网络攻击的可能性增加 各种境外情报谍报人员通过信息网络渠道搜集情报和窃取资料。（3）各种病毒、蠕虫、后门技术智能化，呈现整合趋势，形成混合型威胁； 各种攻击技术的隐密性增强。常规手段不能识别；（4）分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性（5）一些政府部门的超级计算机资源成为攻击者利用的跳板，网络管理安全问题日益突出16. TCP协议存在哪些典型的安全漏洞？如何应对这些漏洞？TCP使用三次握手机制来建立一条连接，握手的第一个报文为SYN包；第二个报文为SYN/ACK包，表明它应答第一个SYN包同时继续握手的过程；第三个报文仅仅是一个应答，表示为ACK包。若A放为连接方，B为响应方，其间可能的威胁有：<一>1. 攻击者监听B方发出的SYN/ACK报文2.攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。3. B方响应新连接，并发送连接响应报文SYN/ACK。4. 攻击者再假冒A方对B方发送ACK包。<二>应对：1. 对系统设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包的复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。2. 建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。3. 建议在路由器的前端多必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可以进入该网段，这样可以有效的保护本网段内的服务器不受此类攻击。17. 简述IPSec策略的工作原理。IP AH 提供了无连接的完整性、数据起源的身份验证和一个可选的防止重放的服务。ESP能够提供机密性和受限制的流量机密性，它也能提供无连接的完整性、数据起源的身份验证和防止重放服务。AH和ESP可单独应用或组合起来在IPv4和v6提供一个所需的安全服务集；都支持两种使用模式：传输模式和隧道模式18. 如何删除默认共享。（1）开始-运行(输入)cmd 弹出 命令提示符；（2）在命令提示符输入: net share 查看系统中的共享；（3）关闭默认共享输入: net share 共享名(如C$) /del 。19. 如何关闭不需要的端口和服务关闭端口。比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。20. 什么是主动攻击？什么是被动攻击？主动攻击包含攻击者访问他所需信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。21. 在密码学中，明文，密文，密钥，加密算法和解密算法称为五元组。试说明这五个基本概念。明文：计算机数据加密语言、加密前的原始数据密文：加密后的消息称为密文。密钥：一种参数明文转化成密文或相反时在算法中输入的数据加密算法：将一个消息经过加密钥匙及加密函数，变成无意义的密文解密算法：密文经过解密密钥及解密函数转换成明文的函数22. 网络攻击和防御分别包括哪些内容？攻击：（1） 网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。（2） 网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。（3） 网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。（4） 网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。（5） 网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御：（1） 安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。（2） 加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。（3） 防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。（4） 入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。（5） 网络安全协议：保证传输的数据不被截获和监听23. 简述OSI参考模型的结构从低到高：物理层数据链路层网络层传输层会话层表示层应用层24. 简述研究恶意代码的必要性。在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。如今，恶意代码已成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。二、综述题1简述ARP欺骗的实现原理及主要防范方法。答：由于ARP协议在设计中存在的主动发送ARP报文的漏洞，使得主机可以发送虚假的ARP请求报文或响应报文，报文中的源IP地址和源MAC地址均可以进行伪造（2分）。在局域网中，即可以伪造成某一台主机（如服务器）的IP地址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的组合，ARP即可以针对主机，也可以针对交换机等网络设备（2分），等等。目前，绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表，使得网络中的合法主机无法正常通信或通信不正常，如表示为计算机无法上网或上网时断时续等。（2分）针对主机的ARP欺骗的解决方法：主机中静态ARP缓存表中的记录是永久性的，用户可以使用TCP/IP工具来创建和修改，如Windows操作系统自带的ARP工具，利用“arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态（static）。（2分）针对交换机的ARP欺骗的解决方法：在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同，还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。（2分）2.如图所示，描述DDoS攻击的实现方法。答：DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和造成的威胁要比DoS攻击严重得多，当然其破坏性也要强得多。（2分）在整个DDoS攻击过程中，共有四部分组成：攻击者、主控端、代理服务器和被攻击者，其中每一个组成在攻击中扮演的角色不同。（1）攻击者。攻击者是指在整个DDoS攻击中的主控台，它负责向主控端发送攻击命令。与DoS攻击略有不同，DDoS攻击中的攻击者对计算机的配置和网络带宽的要求并不高，只要能够向主控端正常发送攻击命令即可。（2分）（2）主控端。主控端是攻击者非法侵入并控制的一些主机，通过这些主机再分别控制大量的代理服务器。攻击者首先需要入侵主控端，在获得对主控端的写入权限后，在主控端主机上安装特定的程序，该程序能够接受攻击者发来的特殊指令，并且可以把这些命令发送到代理服务器上。（2分）（3）代理服务器。代理服务器同样也是攻击者侵入并控制的一批主机，同时攻击者也需要在入侵这些主机并获得对这些主机的写入权限后，在上面安装并运行攻击器程序，接受和运行主控端发来的命令。代理服务器是攻击的直接执行者，真正向被攻击主机发送攻击。（2分）（4）被攻击者。是DDoS攻击的直接受害者，目前多为一些大型企业的网站或数据库系统。（2分）3.如下图所示，详细描述包过滤防火墙的工作原理及应用特点。答：包过滤（Packet Filter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙（2分）。包过滤防火墙中的安全访问策略（过滤规则）是网络管理员事先设置好的，主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置，决定是否允许数据包通过防火墙。（2分）如图所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。（2分）包过滤防火墙主要特点：过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全要求来定；防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要；由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应用层的恶意入侵。另外，包过滤防火墙不能识别IP地址的欺骗，内部非授权的用户可以通过伪装成为合法IP地址的使用者来访问外部网络，同样外部被限制的主机也可以通过使用合法的IP地址来欺骗防火墙进入内部网络。（4分）4.根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点。答：防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。（2分）个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接，以此实现对个人计算机上重要数据的安全保护。（2分）个人防火墙是在企业防火墙的基础上发展起来，个人防火墙采用的技术也与企业防火墙基本相同，但在规则的设置、防火墙的管理等方面进行了简化，使非专业的普通用户能够容易地安装和使用。（2分）为了防止安全威胁对个人计算机产生的破坏，个人防火墙产品应提供以下的主要功能。防止Internet上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与其他安全产品进行集成。（4分）5. Kerberos协议分为两个部分：1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT。（此过程避免了Client直接向KDC发送密码，以求通过验证的不安全方式）2. Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。 Kerberos协议的重点在于第二部分，简介如下：1.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC，KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC将这个Session Key和用户名，用户地址（IP），服务名，有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service， 不过Kerberos协议并没有直接将Ticket发送给Service，而是通过Client转发给Service.所以有了第二步。2.此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的，不能让Client看到，所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key)， KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。3.为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service. 由于Client不知道KDC与Service之间的密钥，所以它无法算改Ticket中的信息。同时Client将收到的Session Key解密出来，然后将自己的用户名，用户地址（IP）打包成Authenticator用Session Key加密也发送给Service。4.Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来，从而获得Session Key和用户名，用户地址（IP），服务名，有效期。然后再用Session Key将Authenticator解密从而获得用户名，用户地址（IP）将其与之前Ticket中解密出来的用户名，用户地址（IP）做比较从而验证Client的身份。5.如果Service有返回结果，将其返回给Client。6. 下列公钥密码分配体制可能受到的攻击，如何改进使该密钥分配具有保密和认证功能 A向B发送自己产生的公钥和A的身份； B收到消息后，产生对称密钥Ks，用公钥加密后传送给A； A用私钥解密后得到Ks。中间人攻击，攻击者可以截获用户A的数据冒充A生成公私钥对，将生成的该公钥发送给用户B，用户B使用攻击者的公钥签名，发送给A，攻击者截获后用私钥解密，查看信息密钥交换双方通过数字签名和数字证书相互认证可以挫败中间人攻击需要一个可信任的第三方CA，它负责验证所有人的身份，CA首先认真检查所有人的身份然后给他们颁发数字证书，证书包括持有人的信息和他的公钥，还可以有其他更复杂的信息，数字证书不可被篡改