計(jì)算機(jī)［網(wǎng)絡(luò)安全考］試試題及答案一、單項(xiàng)選擇題（每小題1分，共30分）1.非法接收者在截獲密文后試圖從中分析出明文的過程稱為（AA.破譯B.解密C.加密D.攻擊2.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B1.A.破譯B.解密C.加密D.攻擊2.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（BA.B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快3.下面有關(guān)3DES的數(shù)學(xué)描述，正確的是（BA.C.4.C=E(E(E(P,K1),K1),K1)C=E(D(E(P,A.B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快3.下面有關(guān)3DES的數(shù)學(xué)描述，正確的是（BA.C.4.C=E(E(E(P,K1),K1),K1)C=E(D(E(P,K1),K1),K1)PKI無(wú)法實(shí)現(xiàn)(D)B.D.A.5.A.C=E(D(E(P,C=D(E(D(P,身份認(rèn)證B.數(shù)據(jù)的完整性C.數(shù)據(jù)的機(jī)密性D.CA的主要功能為（D確認(rèn)用戶的身份KJ,KJ,KJKJ,K2),kJ權(quán)限分配B.C.定義了密碼系統(tǒng)的使用方法和原則D.負(fù)責(zé)發(fā)放和管理數(shù)字證書6.數(shù)字證書不包含（BA.頒發(fā)機(jī)構(gòu)的名稱B.證書持有者的私有密鑰信息C.證書的有效期B.C.定義了密碼系統(tǒng)的使用方法和原則D.負(fù)責(zé)發(fā)放和管理數(shù)字證書6.數(shù)字證書不包含（BA.頒發(fā)機(jī)構(gòu)的名稱B.證書持有者的私有密鑰信息C.證書的有效期D.CA簽發(fā)證書時(shí)所使用的簽名算法7.“在因特網(wǎng)上沒有人知道對(duì)方是一個(gè)人還是一條狗”這個(gè)故事最能說明（A身份認(rèn)證的重要性和迫切性B.網(wǎng)絡(luò)上所有的活動(dòng)都是不可見的C.網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性D.計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的世界以下認(rèn)證方式中，最為安全的是（D）用戶名+密碼B.卡+密鑰C.用戶名+密碼+驗(yàn)證碼D.卡+指紋將通過在別人丟棄的廢舊硬盤、U盤等介質(zhì)中獲取他人有用信息的行為稱為（D社會(huì)工程學(xué)B.搭線竊聽C.ARP欺騙的實(shí)質(zhì)是（A）提供虛擬的MAC7.社會(huì)工程學(xué)B.搭線竊聽C.ARP欺騙的實(shí)質(zhì)是（A）提供虛擬的MAC與IP地址的組合C.竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)TCPSYN泛洪攻擊的原理是利用了（ATCP三次握手過程C.TCP數(shù)據(jù)傳輸中的窗口技術(shù)DNSSEC中并未采用（C）數(shù)字簽名技術(shù)B.公鑰加密技術(shù)窺探D.垃圾搜索讓其他計(jì)算機(jī)知道自己的存在D.擾亂網(wǎng)絡(luò)的正常運(yùn)行）TCP面向流的工作機(jī)制D.TCP連接終止時(shí)的FIN報(bào)文地址綁定技術(shù)D.報(bào)文摘要技術(shù)當(dāng)計(jì)算機(jī)上發(fā)現(xiàn)病毒時(shí)，最徹底的清除方法為（A）A.格式化硬盤B.用防病毒軟件清除病毒A.格式化硬盤B.用防病毒軟件清除病毒D.刪除磁盤上所有的文件）刪除感染病毒的文件木馬與病毒的最大區(qū)別是（B木馬不破壞文件，而病毒會(huì)破壞文件木馬無(wú)法自我復(fù)制，而病毒能夠自我復(fù)制木馬無(wú)法使數(shù)據(jù)丟失，而病毒會(huì)使數(shù)據(jù)丟失木馬不具有潛伏性，而病毒具有潛伏性經(jīng)常與黑客軟件配合使用的是（C）病毒B.蠕蟲C.木馬D.間諜軟件目前使用的防殺病毒軟件的作用是（C）檢查計(jì)算機(jī)是否感染病毒，并消除已感染的任何病毒杜絕病毒對(duì)計(jì)算機(jī)的侵害檢查計(jì)算機(jī)是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒死亡之ping屬于（B）C.重放攻擊D.篡改攻擊冒充攻擊B.拒絕服務(wù)攻擊淚滴使用了IP數(shù)據(jù)報(bào)中的（A）D.刪除磁盤上所有的文件）C.重放攻擊D.篡改攻擊段位移字段的功能C.標(biāo)識(shí)字段的功能ICMP泛洪利用了（CA.ARP命令的功能C.ping命令的功能協(xié)議字段的功能生存期字段的功能）tracert命令的功能route命令的功能TOC\o"1-5"\h\z將利用虛假IP地址進(jìn)行ICMP報(bào)文傳輸?shù)墓舴椒ǚQ為（D）A.ICMP泛洪B.LAND攻擊C.死亡之pingD.Smurf攻擊以下哪一種方法無(wú)法防范口令攻擊（A）A.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D,修改系統(tǒng)默認(rèn)的認(rèn)證名稱以下設(shè)備和系統(tǒng)中，不可能集成防火墻功能的是（A）A.集線器B.交換機(jī)C.路由器D.WindowsServer2003操作系統(tǒng)對(duì)“防火墻本身是免疫的”這句話的正確理解是（B）防火墻本身是不會(huì)死機(jī)的防火墻本身具有抗攻擊能力防火墻本身具有對(duì)計(jì)算機(jī)病毒的免疫力防火墻本身具有清除計(jì)算機(jī)病毒的能力以下關(guān)于傳統(tǒng)防火墻的描述，不正確的是（A）即可防內(nèi)，也可防外存在結(jié)構(gòu)限制，無(wú)法適應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)并存的需要工作效率較低，如果硬件配置較低或參數(shù)配置不當(dāng)，防火墻將成形成網(wǎng)絡(luò)瓶頸容易出現(xiàn)單點(diǎn)故障下面對(duì)于個(gè)人防火墻的描述，不正確的是（C）A.個(gè)人防火墻是為防護(hù)接入互聯(lián)網(wǎng)的單機(jī)操作系統(tǒng)而出現(xiàn)的個(gè)人防火墻的功能與企業(yè)級(jí)防火墻類似，而配置和管理相對(duì)簡(jiǎn)單所有的單機(jī)殺病毒軟件都具有個(gè)人防火墻的功能為了滿足非專業(yè)用戶的使用，個(gè)人防火墻的配置方法相對(duì)簡(jiǎn)單TOC\o"1-5"\h\zVPN的應(yīng)用特點(diǎn)主要表現(xiàn)在兩個(gè)方面，分別是（A）A.應(yīng)用成本低廉和使用安全B,便于實(shí)現(xiàn)和管理方便資源豐富和使用便捷D,高速和安全如果要實(shí)現(xiàn)用戶在家中隨時(shí)訪問單位內(nèi)部的數(shù)字資源，可以通過以下哪一種方式實(shí)現(xiàn)（C）A.外聯(lián)網(wǎng)VPNB.內(nèi)聯(lián)網(wǎng)VPNC.遠(yuǎn)程接入VPND.專線接入在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是（D）A.L2FB.PPTPC.L2TPD.IPSec以下哪一種方法中，無(wú)法防范蠕蟲的入侵。（B）及時(shí)安裝操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序?qū)⒖梢舌]件的附件下載等文件夾中，然后再雙擊打開設(shè)置文件夾選項(xiàng)，顯示文件名的擴(kuò)展名不要打開擴(kuò)展名為VBS、SHS、PIF等郵件附件以下哪一種現(xiàn)象，一般不可能是中木馬后引起的（B）計(jì)算機(jī)的反應(yīng)速度下降，計(jì)算機(jī)自動(dòng)被關(guān)機(jī)或是重啟計(jì)算機(jī)啟動(dòng)時(shí)速度變慢，硬盤不斷發(fā)出“咯吱，咯吱”的聲音在沒有操作計(jì)算機(jī)時(shí)，而硬盤燈卻閃個(gè)不停在瀏覽網(wǎng)頁(yè)時(shí)網(wǎng)頁(yè)會(huì)自動(dòng)關(guān)閉，軟驅(qū)或光驅(qū)會(huì)在無(wú)盤的情況下讀個(gè)不停二、填空題（每空1分，共20分）根據(jù)密碼算法對(duì)明文處理方式的標(biāo)準(zhǔn)不同，可以將密碼系統(tǒng)分為序列密石和分組密碼PKI的技術(shù)基礎(chǔ)包括公開密鑰體制和兩部分。零知識(shí)身份認(rèn)證分為交互式和非交互式兩種類型。DNS同時(shí)調(diào)用了TCP和UDP的53端口，其中U端口用于DNS客戶端與DNS服務(wù)器端的通信，而TCP^3端口用于DNS區(qū)域之間的數(shù)據(jù)復(fù)制。與病毒相比，蠕蟲的最大特點(diǎn)是消耗計(jì)和網(wǎng)絡(luò)寬帶。在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進(jìn)行重發(fā)，以欺騙接收者的行為稱為重放；中止或干擾服務(wù)器為合法用戶提供服務(wù)的行為稱為服務(wù)拒絕（或拒絕服務(wù)）。在LAND攻擊中，LAND攻擊報(bào)文的源IP地址和目的IP地址—是相同的。防火墻將網(wǎng)絡(luò)分割為兩部分，即將網(wǎng)絡(luò)分成兩個(gè)不同的安全域。對(duì)于接入Internet的局域網(wǎng)，其中屬于可信賴的安全域，而Internet屬于不可信賴的非安全域。防火墻一般分為路由模式和透明模式兩類。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時(shí)，可采用透一明模式一防火墻；而用防火墻連接兩個(gè)完全不同的網(wǎng)絡(luò)時(shí)，則需要使用路由模防火墻。VPN系統(tǒng)中的身份認(rèn)證技術(shù)包括用和兩種類型。三、判斷題（每小題1分，共10分）鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用。（X）“一次一密”屬于序列密碼中的一種。（J）當(dāng)通過瀏覽器以在線方式申請(qǐng)數(shù)字證書時(shí)，申請(qǐng)證書和下載證書的計(jì)算機(jī)必須是同一臺(tái)計(jì)算機(jī)。（V）PKI和PMI在應(yīng)用中必須進(jìn)行綁定，而不能在物理上分開。（X）在網(wǎng)絡(luò)身份認(rèn)證中采用審計(jì)的目的是對(duì)所有用戶的行為進(jìn)行記錄，以便于進(jìn)行核隊(duì)）由于在TCP協(xié)議的傳輸過程中，傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元?jiǎng)澐殖啥鄠€(gè)字節(jié)段，然后每個(gè)字節(jié)段單獨(dú)進(jìn)行路由傳輸，所以TCP是面向字節(jié)流的可靠的傳輸方式。（V）ARP緩存只能保存主動(dòng)查詢獲得的IP和MAC的對(duì)應(yīng)關(guān)系，而不會(huì)保存以廣播形式接收到的IP和MAC的對(duì)應(yīng)關(guān)系。X（）TOC\o"1-5"\h\z計(jì)算機(jī)病毒只會(huì)破壞計(jì)算機(jī)的操作系統(tǒng)，而對(duì)其他網(wǎng)絡(luò)設(shè)備不起作用。X（）腳本文件和ActiveX控件都可以嵌入在HTML文件中執(zhí)行。（V）要實(shí)現(xiàn)DDoS攻擊，攻擊者必須能夠控制大量的計(jì)算機(jī)為其服務(wù)。V（）四、名詞解釋（每小題4分，共20分）對(duì)稱加密與非對(duì)稱加密答：在一個(gè)加密系統(tǒng)中，加密和解密使用同一個(gè)密鑰，這種加密方式稱為對(duì)稱加密，也稱為單密鑰加密（2分）。如果系統(tǒng)采用的是雙密鑰體系，存在兩個(gè)相互關(guān)聯(lián)的密碼，其中一個(gè)用于加密，另一個(gè)用于解密，這種加密方法稱為非對(duì)稱加密，也稱為公鑰加密。分）（2蜜罐答：是一種計(jì)算機(jī)網(wǎng)絡(luò)中專門為吸引并''誘騙”那些試圖非法入侵他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的陷阱系統(tǒng)（2分）。設(shè)置蜜罐的目的主要是用于被偵聽、被攻擊，從而研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)和方法。（2）PKI答：PKI（公鑰基礎(chǔ)設(shè)施）是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺(tái)。PKI能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書，這些安全服務(wù)主要包括身份識(shí)別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時(shí)間戳服務(wù)等，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的（2分）°PKI的技術(shù)基礎(chǔ)之一是公開密鑰體制（1分）；PKI的技術(shù)基礎(chǔ)之二是加密機(jī)制（1分）DNSSEC答：DNSSEC（域名系統(tǒng)安全擴(kuò)展）是在原有的域名系統(tǒng)（DNS）上通過公鑰技術(shù)，對(duì)DNS中的信息進(jìn)行數(shù)字簽名，從而提供DNS的安全認(rèn)證和信息完整性檢驗(yàn)（2分）。發(fā)送方首先使用Hash函數(shù)對(duì)要發(fā)送的DNS信息進(jìn)行計(jì)算，得到固定長(zhǎng)度的“信息摘要”，然后對(duì)“信息摘要”用私鑰進(jìn)行加密，此過程實(shí)現(xiàn)了對(duì)“信息摘要”的數(shù)字簽名；最后將要發(fā)送的DNS信息、該DNS信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，一起發(fā)送出來（1分）。接收方首先采用公鑰系統(tǒng)中的對(duì)應(yīng)公鑰對(duì)接收到的“信息摘要”的數(shù)字簽名進(jìn)行解密，得到解密后的“信息摘要”；接著用與發(fā)送方相同的Hash函數(shù)對(duì)接收到的DNS信息進(jìn)行運(yùn)算，得到運(yùn)算后的“信息摘要”；最后，對(duì)解密后的“信息摘要”和運(yùn)算后的''信息摘要”進(jìn)行比較，如果兩者的值相同，就可以確認(rèn)接收到的DNS信息是完整的，即是由正確的DNS服務(wù)器得到的響應(yīng)DoS攻擊答：DoS（拒絕服務(wù)）攻擊是一種實(shí)現(xiàn)簡(jiǎn)單但又很有效的攻擊方式。DoS攻擊的目的就是讓被攻擊主機(jī)拒絕用戶的正常服務(wù)訪問，破壞系統(tǒng)的正常運(yùn)行，最終使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效（2分）。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。分）（2五、簡(jiǎn)答題（每小題10分，共20分）簡(jiǎn)述ARP欺騙的實(shí)現(xiàn)原理及主要防范方法答：由于ARP協(xié)議在設(shè)計(jì)中存在的主動(dòng)發(fā)送ARP報(bào)文的漏洞，使得主機(jī)可以發(fā)送虛假的ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文，報(bào)文中的源IP地址和源MAC地址均可以進(jìn)行偽造（2分）。在局域網(wǎng)中，即可以偽造成某一臺(tái)主機(jī)（如服務(wù)器）IP地址和MAC地址的組合，的也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合，ARP即可以針對(duì)主機(jī)，也可以針對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備（2分），等等。目前，絕大部分ARP欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的ARP表，使得網(wǎng)絡(luò)中的合法主機(jī)無(wú)法正常通信或通信不正常，如表示為計(jì)算機(jī)無(wú)法上網(wǎng)或上網(wǎng)時(shí)斷時(shí)續(xù)等。（2分）針對(duì)主機(jī)的ARP欺騙的解決方法：主機(jī)中靜態(tài)ARP緩存表中的記錄是永久性的，用戶可以使用TCP/IP工具來創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP工具，利用“arp-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址”將本機(jī)中ARP緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static）（2分）。針對(duì)交換機(jī)的ARP欺騙的解決方法：在交換機(jī)上防范ARP欺騙的方法與在計(jì)算機(jī)上防范ARP欺騙的方法基本相同，還是使用將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行一一綁定的方法來實(shí)現(xiàn)。67.如下圖所示，簡(jiǎn)述包過濾防火墻的工作原理及應(yīng)用特點(diǎn)。包過濾（PacketFilter）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過防火墻（2分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過對(duì)進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將IP分組的頭部信息與過濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過。（2分