CISSP練習題：第四章：通信與網(wǎng)絡安全1、TKIP如何為WLAN環(huán)境提供更多的保護？它使用了AES算法。它減少了IV值的長度以及使用了AES算法。它將更多元素添加到密鑰材料中。（正確答案）它使用了MAC和IP過濾。答案解析：1、C.TKIP實際上是在WEP中注入加密信息（即用于生成新動態(tài)密鑰的數(shù)據(jù)）發(fā)展而來。該協(xié)議增加了IV值的長度，保證每個數(shù)據(jù)幀都有一一個隨機的IV值，并將發(fā)送方的MAC地址添加到密鑰材料中。2、下列哪項不是IEEE802.11a標準的特征？在5GHz頻率段下工作。使用OFDM擴展頻譜技術(shù)。它提供了54Mbps的帶寬。（正確答案）操作范圍比802.11b小。答案解析：2、C.IEEE標準802.11a使用OFDM擴展頻譜技術(shù)，在5GHz頻率段下工作，可提供最大為54Mbps的帶寬。操作范圍較小，因為它以較高的頻率工作。3、為什么交換架構(gòu)比路由網(wǎng)絡更安全？因為計算機之間會建立-一個虛擬私有連接，因此很難對流量抓包。（正確答案）它們與非交換環(huán)境一-樣不安全。數(shù)據(jù)鏈路加密，不允許竊聽。交換機比橋接器更智能，以及實現(xiàn)了安全機制。答案解析：3、A.交換環(huán)境使用交換機來允許不同網(wǎng)段和或系統(tǒng)之間的通信。在進行通信時，通信設備之間會建立一個虛擬連接。因為這是一一個專用的連接，所以廣播和沖突數(shù)據(jù)不會影響其他系統(tǒng)，就像在純粹使用網(wǎng)橋和路由器的環(huán)境中一樣。4、下列哪個協(xié)議稱為面向連接的協(xié)議?IPICMPUDPD.TCP（正確答案）答案解析：4、D.在列出的協(xié)議中，TCP是唯一面向連接的協(xié)議。面向連接協(xié)議提供了可靠的連通性和數(shù)據(jù)傳輸;而無連接協(xié)議提供不可靠的連接，并且不保證數(shù)據(jù)的傳輸。5、如果一個攻擊者能夠把標簽插入基于網(wǎng)絡或基于交換的協(xié)議中，這樣做的目的是操縱對數(shù)據(jù)鏈路層上流量的控制，這種行為被稱為什么?開發(fā)中繼操作VLAN跳頻攻擊（正確答案）虛擬管理層拒絕式服務攻擊Smurf攻擊答案解析：5、B.VLAN跳頻攻擊指攻擊者訪問各個VLAN分段上的流量。攻擊者可以讓系統(tǒng)像交換機-樣工作。系統(tǒng)理解網(wǎng)絡中使用的標記值和中繼協(xié)議，然后把自已插入其他VLAN設備之間以訪問來往流量。攻擊者也能插入標記值來操縱對數(shù)據(jù)鏈路層上流量的控制。6、以下哪種代理類型無法根據(jù)協(xié)議的命令結(jié)構(gòu)進行訪問決策?應用包過濾電路（正確答案）狀態(tài)答案解析：6、C.這里列出的防火墻解決方案只有應用級和電路級是基于代理類型的。電路級代理基于首部信息（而不是根據(jù)協(xié)議的命令結(jié)構(gòu)）進行決策;應用級代理是唯-能夠細粒化理解每種協(xié)議的解決方案。7、以下哪項是橋接模式技術(shù)，這種技術(shù)可以監(jiān)控虛擬機之間的每個流量鏈接，或者它們也能集成到管理程序中?正交頻分統(tǒng)一威脅管理調(diào)制解調(diào)虛擬防火墻（正確答案）互聯(lián)網(wǎng)安全連接和密鑰管理協(xié)議答案解析：7、C.虛擬防火墻可以是橋接模式的產(chǎn)品，監(jiān)控虛擬機之間的每個流量鏈接，或者它們也能集成到管理程序中。管理程序是軟件組件，執(zhí)行虛擬機管理和監(jiān)督訪客系統(tǒng)軟件的執(zhí)行。如果該防火墻被嵌入這個管理程序中，那么它能“看見"和監(jiān)控所有發(fā)生在這個系統(tǒng)內(nèi)的活動。8、第2、5、7、4和3層對應的名稱是以下哪項?數(shù)據(jù)鏈路層、會話層、應用層、傳輸層和網(wǎng)絡層（正確答案）數(shù)據(jù)鏈路層、傳輸層、應用層、會話層和網(wǎng)絡層網(wǎng)絡層、會話層、應用層、網(wǎng)絡層和傳輸層網(wǎng)絡層、傳輸層、應用層、會話層和表示層答案解析：8、A.OSI由7層組成:應用層（第七層）、表示層（第六層）、會話層（第五層）、傳輸層（第四層）、網(wǎng)絡層（第三層）、數(shù)據(jù)鏈路層（第二層）以及物理層（第一層）。9、以下哪項技術(shù)可將先前出現(xiàn)的獨立安全解決方案集成在一起，其目的是提供簡約、集中的控制流線化?網(wǎng)絡融合安全即服務統(tǒng)一威脅管理（UTM）（正確答案）綜合融合管理答案解析：9、C.管理這么長-列幾乎每個網(wǎng)絡都需要有的安全解決方案是極具挑戰(zhàn)的工作。其中包括（但不限于）防火墻、防病毒軟件、反垃圾郵件、IDS/IPS、內(nèi)容過濾、數(shù)據(jù)滲漏預防、VPN功能以及持續(xù)監(jiān)控和報告。統(tǒng)-威脅管理（UTM）設備產(chǎn)品可以把所有（或許多）這些功能統(tǒng)到一個網(wǎng)絡設備中。utM的目標是簡約、流線化安裝和維護、集中管理以及能夠從整體角度理解網(wǎng)絡安全。10、城域以太網(wǎng)是一種MAN協(xié)議，這種協(xié)議可以工作在由接入、聚合、城域和核心層組成的網(wǎng)絡基礎(chǔ)設施中。以下哪項最恰當?shù)孛枋隽诉@種網(wǎng)絡基礎(chǔ)設施?訪問層把客戶的設備與服務提供商的聚合網(wǎng)絡連接在一起。聚合出現(xiàn)在核心網(wǎng)絡中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡。訪問層把客戶的設備與服務提供商的核心網(wǎng)絡連接在一起。聚合在核心層出現(xiàn)在分布式網(wǎng)絡中。都市層是城域網(wǎng)。訪問層把客戶的設備與服務提供商的聚合網(wǎng)絡連接在一-起。聚合出現(xiàn)在分布式網(wǎng)絡中。都市層是城域網(wǎng)。其核心連接著不同的訪問。訪問層把客戶的設備與服務提供商的聚合網(wǎng)絡連接在一起。聚合出現(xiàn)在分布式網(wǎng)絡中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡。（正確答案）答案解析：10、D.訪問層把客戶的設備與服務提供商的聚合網(wǎng)絡連接在一起。聚合出現(xiàn)在分布式網(wǎng)絡中。都市層是城域網(wǎng)。其核心連接著不同的城域網(wǎng)絡。11、以下哪項關(guān)于組成IPSec特定組件或協(xié)議的定義是不正確的?身份驗證首部協(xié)議提供數(shù)據(jù)完整性、數(shù)據(jù)源驗證和抵御重放攻擊。封裝安全有效載荷協(xié)議提供機密性、數(shù)據(jù)源驗證和數(shù)據(jù)完整性?；ヂ?lián)網(wǎng)安全連接和密鑰管理協(xié)議（ISAKMP）提供安全關(guān)聯(lián)創(chuàng)建和密鑰交換的框架。互聯(lián)網(wǎng)密鑰交換（IKE）提供經(jīng)驗證的密鑰材料與ISAKMP--起使用。（正確答案）答案解析：11、D.身份驗證首部協(xié)議提供數(shù)據(jù)完整性、數(shù)據(jù)源驗證和抵御重放攻擊。封裝安全有效載荷協(xié)議提供機密性、數(shù)據(jù)源驗證和數(shù)據(jù)完整性?；ヂ?lián)網(wǎng)安全連接和密鑰管理協(xié)議（ISAKMP）提供安全關(guān)聯(lián)創(chuàng)建和密鑰交換的框架?；ヂ?lián)網(wǎng)密鑰交換（IKE）提供經(jīng)驗證的密鑰材料與ISAKMP一起使用。12、基于OSI框架構(gòu)建的系統(tǒng)被認為是開放系統(tǒng)。這是什么意思？它們沒有默認的身份驗證機制配置。它們有互操作性問題。它們采用國際公認的協(xié)議和標準，因此可以輕松與其他系統(tǒng)進行通信。（正確答案）它們建立在國際協(xié)議和標準之上，因此它們可以選擇與哪些類型的系統(tǒng)通信。答案解析：12、C.開放式系統(tǒng)是基于標準的協(xié)議和接口開發(fā)的系統(tǒng)，遵循這些標準開發(fā)的系統(tǒng)可以與遵循相同標準的系統(tǒng)高效地互操作。13、以下哪些協(xié)議工作在應用層、數(shù)據(jù)鏈路層、網(wǎng)絡層和傳輸層中?FTP、ARP、TCP和UDPFTP、ICMP、IP和UDPTFTP、ARP、IP和UDP（正確答案）TFTP、RARP、IP和ICMP答案解析：13、C.不同協(xié)議具有不同的功能。OSI模型試圖從概念上描述不同功能在網(wǎng)絡互聯(lián)協(xié)議棧中的位置，該模型試圖繪出接近現(xiàn)實的功能組成模塊，以幫助人們更好地理解協(xié)議棧。每層協(xié)議都有特定的功能，并且每層可以有幾種不同的協(xié)議實現(xiàn)特定的功能。所列協(xié)議分別工作在以下幾層:TFTP（應用層）、ARP（數(shù)據(jù)鏈路層）、IP（網(wǎng)絡層）和UDP（傳輸層）。14、以下哪項工作在數(shù)據(jù)鏈路層?端到端的連接對話控制幀（正確答案）數(shù)據(jù)語法答案解析：14、C.多數(shù)情況下，數(shù)據(jù)鏈路層是唯理解系統(tǒng)工作環(huán)境的層，無論它是以太網(wǎng)、令牌環(huán)、無線還是到WAN鏈路的連接。這-層在幀內(nèi)添加了必要的首部和尾部信息。在同-網(wǎng)絡上使用同樣技術(shù)的其他系統(tǒng)只能理解使用相同技術(shù)封裝的首部和尾部。15、以下哪項工作在會話層?對話控制（正確答案）路由包序列尋址答案解析：15、A.會話層負責控制應用程序之間的通信方式，而不是計算機之間的通信方式。并非所有的應用層都使用會話層的協(xié)議，因此不是所有網(wǎng)絡互聯(lián)功能中都使用這一一層。會話層協(xié)議用于建立一個應用程序與其他應用程序的邏輯連接，并控制它們之間的往返對話。會話層協(xié)議允許應用程序保持對話的狀態(tài)。16、以下哪項最恰當?shù)孛枋隽薎P協(xié)議？IP協(xié)議是無連接的，它可以處理對話建立、維持和銷毀IP協(xié)議是無連接的，它可以處理尋址和IP包的路由（正確答案）IP協(xié)議是面向連接的，它可以處理尋址和IP包的路由IP協(xié)議是面向連接的，它可以處理排序、錯誤探測和流控答案解析：16、B.IP協(xié)議是無連接的，它工作在網(wǎng)絡層。在數(shù)據(jù)封裝過程中，IP在數(shù)據(jù)上增加了源地址和目標地址°IP路由決策基于目標地址。17、以下哪項不是受保護的可擴展的身份驗證協(xié)議（PEAP）的特征？用于無線網(wǎng)絡和點對點連接中的身份驗證協(xié)議PEAP的設計旨在為802.11WLAN提供身份驗證PEAP的設計支持802.1X端口訪問控制和TLsPEAP的設計支持密碼保護連接（正確答案）答案解析：17、D.PEAP是EAP的一個版本，是用于無線網(wǎng)絡和點對點連接中的身份驗證協(xié)議。PEAP的設計旨在為802.11WLAN提供身份驗證，支持802.1X端口訪問控制和TLS。該協(xié)議把EAP封裝在一個可能被加密和驗證過的TLS隧道中。18、是IETF定義的信令協(xié)議，廣泛用于控制多媒體通信會話，如通過IP進行的語音和視頻呼叫。會話初始化協(xié)議（SessionInitiationProtocol,SIP）（正確答案）實施傳輸協(xié)議SS7VoIP答案解析：18、A.會話初始化協(xié)議（SessionInitationProtocol,SIP）是IETF定義的信令協(xié)議，廣泛用于控制多媒體通信會話，如通過IP進行的語音和視頻呼叫。這個協(xié)議可用于創(chuàng)建、修改和中斷包含一個或者多個媒體流的兩方（單播）或者多方（多播）會話。19、以下哪項不是DHCP租用流程的階段之一？發(fā)現(xiàn)提供請求響應以上都是以上都不是（正確答案）i，iiii，iii答案解析：19、B.四步DHCP租用流程是:DHCPDISCOVER消息這個消息用來請求來自DHCP服務器的IP地址租用。DHCPOFFER消息這個消息是對DHCPDISCOVER消息的響應，由一個或者多個DHCP服務器發(fā)送。DHCPREQUEST消息客戶端發(fā)送給最初響應其請求的DHCP服務器一個DHCP請求DHCPACK消息DHCP認可消息由DHCP服務器發(fā)送給DHCP客戶端，是DHCP服務器分配IP地址租用給DHCP客戶端的過程。20、通過在網(wǎng)絡交換機上使用來屏蔽未經(jīng)身份驗證的DHCP客戶端是一種有效的方法。DHCP嗅探(正確答案)DHCP保護DHCP屏蔽DHCP緩存答案解析：20、A.DHCP嗅探確保DHCP服務器只為由其MAC地址標識的所選系統(tǒng)分配IP地址。此外，高級網(wǎng)絡交換機目前能將客戶端指向合法的DHCP服務器，以獲取IP地址并限制惡意系統(tǒng)成為網(wǎng)絡上的DHCP服務器。使用以下場景回答問題21~23.Don是家大型醫(yī)療機構(gòu)的安全經(jīng)理。他的團隊開發(fā)了一套專有軟件，這個軟件通過客戶端/服務器模式提供分布式計算。他發(fā)現(xiàn)一些維護專有軟件的系統(tǒng)已經(jīng)遭受到半開放拒絕服務攻擊。一些軟件是陳舊的，仍然使用基本的遠程過程調(diào)用，這種調(diào)用方式會遭受到偽裝攻擊。21、當客戶端需要與服務器通信時，Don應該確定該機構(gòu)的軟件使用何種類型的客戶端口?已知端口注冊端口動態(tài)端口（正確答案）任意端口答案解析：21、C.已知端口被映射到常用服務（HTTP、FTP等）,注冊端口是1024-49151,供貨商注冊特定端口與他們的專屬軟件相對應。動態(tài)端口（私有端口）可供任何應用程序使用。22、Don的團隊應該實施以下哪種有效的控制措施？狀態(tài)防火墻網(wǎng)絡地址轉(zhuǎn)換SYN代理（正確答案）IPv6答案解析：22、C.半開放攻擊是DoS的一種，也稱為同步洪流，為應對這種攻擊，你可以使用SYN代理來限制開放的和廢棄的網(wǎng)絡連接數(shù)量。SYN代理是一個駐留在發(fā)送方和接收方之間的軟件，如果TCP握手流程成功完成，它僅將TCP流量發(fā)送到接收系統(tǒng)。23、如果已經(jīng)遭受到的偽裝攻擊，Don的團隊應該采取什么措施來制止？動態(tài)包過濾防火墻ARP欺騙保護在邊緣路由器上禁用不必要的ICMP流量SRPC（正確答案）答案解析：23、D.基本的RPC不具備身份驗證功能，它允許偽裝攻擊的發(fā)生。而安全的RPC（SRPC）可以實現(xiàn)這一功能，它要求在遠程系統(tǒng)相互通信之前先進行身份驗證?？梢杂霉蚕砻孛?、公鑰或者Kerberos票證等方法進行身份驗證。使用以下場景回答問題24-26。Grace是一-所醫(yī)療機構(gòu)的安全管理員，她負責幾個不同的團隊。其中的一一個團隊報告說，當他們的主FDDI連接失敗時，即使切換到冗余鏈接，三個關(guān)鍵系統(tǒng)也會停機。Grace還需要向她的團隊建議:校園內(nèi)部建筑之間應該使用光纖來連接。由于這是一一個醫(yī)療設施培訓機構(gòu)，有許多手術(shù)錄像，并且數(shù)據(jù)必須持續(xù)從一個建筑傳輸?shù)搅硪粋€建筑。Grace還收到了另外一個事件的報告，這個報告稱有周期性的DoS對內(nèi)部網(wǎng)絡中的特定服務器進行攻擊。攻擊者向特定子網(wǎng)上的所有主機發(fā)送大量ICMPECHOREQUEST數(shù)據(jù)包，特定的服務器都在這個子網(wǎng)里。24、當他們的服務器停機時，Grace的團隊最可能經(jīng)歷以下哪個問題？三個關(guān)鍵系統(tǒng)鏈接到一個雙銜接埠工作站三個關(guān)鍵系統(tǒng)鏈接到一個單銜接埠工作站（正確答案）備用FDDI環(huán)無法承載流量，并放棄了這三個關(guān)鍵系統(tǒng)FDDI環(huán)在城域網(wǎng)中被共享，并且僅允許每個公司將一定數(shù)量的系統(tǒng)連接到這兩個環(huán)上答案解析：24、B.單銜接埠工作站（SingleAttachmentStation,SAS）通過集線器只連接-一個環(huán)（主環(huán)）。如果主環(huán)停機，它不會被鏈接到備份副環(huán)。雙銜接埠工作站Dul-AtachmentStation,DAS）有兩個端口，每個端口提供一個連接，連接到主環(huán)和副環(huán)。25、在這個場景中，最好用什么模式的光纖?單模多模（正確答案）光載體SONET答案解析：25、B.在單一模式下，小玻璃芯用于遠距離高速數(shù)據(jù)傳輸。這種情況一般指定建立短距離的校園內(nèi)部建筑之間的連接。在多模式下，大玻璃芯得以應用，它能夠承載比單模式光纖更多的數(shù)據(jù)，但因其較高的衰減水平而更適用于短距離傳輸。26、以下哪項是Grace團隊應該實施的對策，這些對策應該是最佳的，并且最具成本效益?地址轉(zhuǎn)換不允許非必要的ICMP流量從非信任網(wǎng)絡通過（正確答案）基于應用代理的防火墻用兩臺來自不同供應商的防火墻組成屏蔽子網(wǎng)答案解析：26、B.該攻擊是-一個Smurf攻擊。在這種攻擊中，攻擊者將一個帶欺騙源地址的ICMP回波請求數(shù)據(jù)包發(fā)送到一個受害者的網(wǎng)絡廣播地址。這意味著受害者子網(wǎng)上的每個系統(tǒng)都接收到一個ICMP回波請求數(shù)據(jù)包，然后，每個系統(tǒng)用ICMP回波響應數(shù)據(jù)包來回應，根據(jù)請求發(fā)送到數(shù)據(jù)包所提供的欺騙地址（即受害者的地址）上。所有這些響應數(shù)據(jù)包都去往受害系統(tǒng)并擊垮它，因為它遭受了其不一定知道如何處理的數(shù)據(jù)包的狂轟濫炸。過濾掉不必要的ICMP流量是最經(jīng)濟的解決方案。使用以下場景回答問題29-31。John是他公司的安全團隊經(jīng)理。他了解到攻擊者已經(jīng)在公司不知情的情況下在整個網(wǎng)絡中安裝了嗅探器。除了這個問題，他的團隊還發(fā)現(xiàn)兩臺DNS服務器沒有記錄復制限制，而且服務器中已經(jīng)緩存了可疑的域名解析數(shù)據(jù)。27、采取以下哪項對策，可以有效地緩解網(wǎng)絡嗅探器嗅探網(wǎng)絡管理流量?SNMPv3（正確答案）L2TPCHAP動態(tài)包過濾防火墻答案解析：27、A.SNMP的版本1和版本2在明文中發(fā)送社區(qū)字符串，但版本3有加密功能，提供加密、消息完整性和身份驗證安全。所以，安裝在網(wǎng)絡上的嗅探器嗅探不到SNMP流量。28、在這個場景下，最有可能發(fā)生以下哪種未經(jīng)授權(quán)的活動?域名重復釣魚轉(zhuǎn)發(fā)區(qū)域傳送（正確答案）答案解析：28、D.主要DNS服務器和次要DNS服務器通過區(qū)域傳送同步它們的信息。主DNS服務器上發(fā)生變更后，這些變更必須被復制到次要DNS服務器上。配置DNS服務器以只允許在特定服務器之間進行區(qū)域傳送是很重要的。攻擊者會通過區(qū)域傳送從受害者的DNS服務器收集非常有用的網(wǎng)絡信息。如果DNS服務器配置不當而沒有限制這類活動的話，就會發(fā)生未經(jīng)授權(quán)的區(qū)域傳送。29、以下哪項是John團隊應該實施的最佳對策，用這種對策防止不正確的緩存問題?PKIDHCPsnoopingARP保護DNSSEC（正確答案）答案解析：29、D.當DNS服務器收到一個不恰當（可能惡意）的名稱解析響應時，除非實施DNSSEC，否則它會緩存該響應并把它提供給所有服務的主機。如果在DNS服務器上啟用了DNSSEC,那么該服務器在收到一個響應時，會驗證該消息上的數(shù)字簽名，之后才接受這個信息，從而確保這個響應來自授權(quán)的DNS服務器。使用以下場景回答問題30-32。Sean是一家大型金融機構(gòu)的新安全管理人員。Sean在他的新職位的第一個星期中意識到了幾個問題。首先，即使在每個網(wǎng)絡的網(wǎng)關(guān)位置都有嚴格配置的防火墻來控制來往這些服務器的流量，偽造數(shù)據(jù)包似乎還可以訪問關(guān)鍵服務器。Sean的一個團隊成員抱怨當前的防火墻日志過大，并且有太多無用的數(shù)據(jù)。他還告訴Sean;團隊需要使用“少允許”的規(guī)則，而不是現(xiàn)在的"any-any"規(guī)則類型。Sean還發(fā)現(xiàn)，一一些團隊成員希望將tarpit部署軟件到一一些經(jīng)常受到攻擊的系統(tǒng)上。30、以下哪種情況最有可能允許偽造數(shù)據(jù)包未經(jīng)授權(quán)的訪問關(guān)鍵服務器?TCP序列劫持正在發(fā)生源路由信息不被限制（正確答案）片段攻擊正在進行中攻擊者通過PPP進行隧道通信答案解析：30、B.源路由指數(shù)據(jù)包決定它到達目的地的路線，而不是由源和目標計算機之間的路由器決定。源路由在預先定義的路徑上通過網(wǎng)絡傳輸數(shù)據(jù)包。為確保在路由過程中不出錯，會配置許多防火墻，檢查數(shù)據(jù)包內(nèi)的源路由信息，一旦存在該信息，便拒絕它。31、以下哪項最貼合Sean的團隊成員關(guān)于防火墻配置問題的描述？清理規(guī)則，隱形規(guī)則隱形規(guī)則，沉默規(guī)則沉默規(guī)則，否定規(guī)則（正確答案）隱形規(guī)則，否定規(guī)則答案解析：31、C.下面描述了不同類型的防火墻規(guī)則:數(shù)以工作在IEEE8021XEAP-TLS框架內(nèi)。最新的版本（8021X-2010）集成了IEEE802.1AE和IEEE802.1AR，以支持服務識別和可選的點對點加密。32、以下哪項最恰當?shù)孛枋隽薙ean的團隊要為經(jīng)常受到攻擊的系統(tǒng)部署對策的原因?防止生產(chǎn)系統(tǒng)被劫持減少DoS攻擊的影響（正確答案）在攻擊過程中收集統(tǒng)計信息提咼取證能力答案解析：32、B.Tarpit通常是配置為模仿脆弱的運行服務的軟件。一旦攻擊者開始發(fā)送數(shù)據(jù)包到這個“服務”，與這個受害系統(tǒng)的連接似乎是正在進行的，但是來自受害系統(tǒng)的響應卻很緩慢，導致連接可能會超時。多數(shù)攻擊和掃描活動都是通過自動化工具完成的，都要求受害系統(tǒng)快速予以響應。如果受害系統(tǒng)沒有響應或者響應很慢，自動化攻擊會因為協(xié)議連接超時而失敗。這能減弱DoS攻擊的效果。使用以下場景回答問題33-35.Tom的公司遇到了許多問題，在網(wǎng)絡中被安裝了未授權(quán)的嗅探器。由于員工可以將筆記本電腦、智能手機和其他移動設備接入到網(wǎng)絡中，而這些設備可能在其擁有者不知道的情況下安裝了嗅探器，這是原因之-一。因為所有的網(wǎng)絡設備都需要為特定的VPN進行配置，而有些設備如交換機，不具備這樣的功能，所以無法實施VPN.Tom的團隊正在處理的另一個問題是如何保護內(nèi)部的無線流量。雖然無線接入點可以配置數(shù)字證書用于認證，但是在每個無線用戶設備上部署和維護證書的成本是十分高昂的，并且會對網(wǎng)絡團隊造成很多負擔。Tom的老板也告訴他，公司需要從一-個城域網(wǎng)解決方案轉(zhuǎn)移到無線解決方案。33、Tom的團隊應該在數(shù)據(jù)鏈路層實施什么，來提供源身份驗證和數(shù)據(jù)加密？IEEE802.1ARIEEE802.1AEIEEE802.1AFD.IEEE802.1X（正確答案）答案解析：33、D.IEEE802.1AR為設備提供唯一-的ID.IEEE802.1AE提供數(shù)據(jù)加密、完整性和源身份驗證功能°IEE802.1AF為用于數(shù)據(jù)加密的會話密鑰執(zhí)行密鑰協(xié)議功能。每個標準都提供具體的參34、以下哪項解決方案最能滿足公司保護無線流量的需求?EAP-TLSEAP-PEAPLEAPD.EAP-TTLS（正確答案）答案解析：34、D.EAP隧道傳輸層安全（EAP-TunneledTransportLayerSecurity,EAP-TTLS）是一個擴展了TLs的EAP協(xié)議，其目的是提供和EAP-TLS,—樣強大的身份驗證，但不要求向每個無線設備頒發(fā)證書，只向驗證服務器頒發(fā)證書。用戶身份驗證通過密碼來進行，但這些密碼憑證在一一個安全的、基于服務器證書而建立的加密隧道中傳輸。35、以下哪項是滿足公司對寬帶無線連接需求的最佳解決方案?WiMAX（正確答案）IEEE802.12WPA2IEEE802.15答案解析：35、A.IEEE802.16是一個MAN無線標準，允許無線流量覆蓋較廣泛的地理區(qū)域。這個技術(shù)也稱為寬帶無線訪問。802.16的商業(yè)名稱是WiMAX.使用以下場景回答問題36-38。Lancer入職一家大型醫(yī)療設備公司擔當新的安全官員。他了解到許多防火墻和IDS產(chǎn)品未做過濾IPv6流量的配置：因此，許多攻擊在安全團隊不知道的情況下發(fā)生了。雖然網(wǎng)絡團隊嘗試通過實施自動化隧道功能來處理此問題，但他們一一直遇到網(wǎng)絡NAT設備問題。Lance還發(fā)現(xiàn)針對公司面向公眾的DNS服務器曾遭受緩沖攻擊。Lance已經(jīng)認識到目前的LDAP請求需要額外的身份驗證，但是現(xiàn)有技術(shù)只提供基于密碼的身份驗證。36、基于場景中的信息，網(wǎng)絡團隊應該如何實施IPv6隧道？Teredo（又稱為面向IPv6的IPv4NAT網(wǎng)絡地址轉(zhuǎn)換穿越）應該在可識別IPv6的設備上配置，并且放置在NAT設備之后（正確答案）6to4應該在可識別IPv6的設備上配置，并且放置在NAT設備之后站內(nèi)自動隧道尋址協(xié)議應該在可識別IPv6的設備上配置，并且放置在NAT設備之后IPv6應該在所有設備上禁用答案解析：36、A.Teredo把IPv6封裝在帶有IPv4尋址的UDP數(shù)據(jù)報內(nèi)。NAT設備后面的IPv6系統(tǒng)可以用作Teredo隧道終端，即使它們沒有一個專用的公共IPv4地址。37、以下哪項是解決場景中攻擊類型的最佳對策?DNSSEC（正確答案）IPSec拆分服務器配置禁用區(qū)域傳輸答案解析：37、A.DNSSEC保護DNS服務器免受偽造的DNS信息的影響，后者通常用來執(zhí)行DNS緩存中毒攻擊。如果實施DNSSEC的話，那么服務器接收