网络安全复习题一一、单选题1．各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的（A ）。

A. 数据链路层B. 网络层C. 传输层D. 应用层2. 下面不属于木马特征的是（ D ）。

A. 自动更换文件名，难于被发现B. 程序执行时不占太多系统资源C. 不需要服务端用户的允许就能获得系统的使用权D. 造成缓冲区的溢出，破坏程序的堆栈3. 下面不属于端口扫描技术的是（D ）。

A. TCP connect()扫描B. TCP FIN扫描C. IP包分段扫描D. Land扫描4. 负责产生、分配并管理PKI结构下所有用户的证书的机构是（ D ）。

A. LDAP目录服务器B. 业务受理点C. 注册机构RAD. 认证中心CA5．防火墙按自身的体系结构分为（B ）。

A. 软件防火墙和硬件防火墙B.包过滤型防火墙和双宿网关C. 百兆防火墙和千兆防火墙D.主机防火墙和网络防火墙6．下面关于代理技术的叙述正确的是（ D ）。

A．能提供部分与传输有关的状态B．能完全提供与应用相关的状态和部分传输方面的信息C．能处理和管理信息D．ABC都正确7．下面关于ESP传输模式的叙述不正确的是（ A ）。

A．并没有暴露子网内部拓扑 B．主机到主机安全C．IPSEC的处理负荷被主机分担 D．两端的主机需使用公网IP 8.下面关于网络入侵检测的叙述不正确的是（ C ）。

A．占用资源少 B．攻击者不易转移证据C．容易处理加密的会话过程 D．检测速度快9.基于SET 协议的电子商务系统中对商家和持卡人进行认证的是（ B ）。

A．收单银行 B．支付网关C．认证中心 D．发卡银行10. 下面关于病毒的叙述正确的是（ D ）。

A．病毒可以是一个程序 B．病毒可以是一段可执行代码C．病毒能够自我复制 D． ABC都正确复习题二二、单选题（每题1分，共10分）1．下面不属于按网络覆盖范围的大小将计算机网络分类的是（ c ）。

A. 互联网B. 广域网C. 通信子网D. 局域网2. 下面不属于SYN FLOODING攻击的防范方法的是（c ）。

A. 缩短SYN Timeout（连接等待超时）时间B. 利用防火墙技术C. TCP段加密D. 根据源IP记录SYN连接3. 下面不属于木马伪装手段的是（ a ）。

A. 自我复制B. 隐蔽运行C. 捆绑文件D. 修改图标4. 负责证书申请者的信息录入、审核以及证书发放等工作的机构是（ c ）。

A. LDAP目录服务器B. 业务受理点C. 注册机构RAD. 认证中心CA5．下面哪种信任模型的扩展性较好（c ）。

A. 单CA信任模型B. 网状信任模型C. 严格分级信任模型D. Web信任模型6．下面关于包过滤型防火墙协议包头中的主要信息叙述正确的是（ d ）。

A．包括IP源和目的地址B．包括内装协议和TCP/UDP目标端口C．包括ICMP消息类型和TCP包头中的ACK位D．ABC都正确7．下面关于LAN-LAN的叙述正确的是（ c ）。

A．增加WAN带宽的费用B．不能使用灵活的拓扑结构C．新的站点能更快、更容易地被连接D．不可以延长网络的可用时间8.下面关于ESP隧道模式的叙述不正确的是（ b ）。

A．安全服务对子网中的用户是透明的B．子网内部拓扑未受到保护C．网关的IPSEC集中处理D．对内部的诸多安全问题将不可控9.下面关于入侵检测的组成叙述不正确的是（ c ）。

A．事件产生器对数据流、日志文件等进行追踪B．响应单元是入侵检测系统中的主动武器C．事件数据库是入侵检测系统中负责原始数据采集的部分D．事件分析器将判断的结果转变为警告信息10. 下面关于病毒校验和检测的叙述正确的是（ d ）。

A．无法判断是被哪种病毒感染B．对于不修改代码的广义病毒无能为力C．容易实现但虚警过多D．ABC都正确三、填空题1.IP协议提供了数据报的尽力而为的传递服务。

2.TCP/IP链路层安全威胁有：以太网共享信道的侦听， MAC地址的修改， ARP欺骗。

3.DoS与DDoS的不同之处在于：攻击端不需要占领大量傀儡机。

证书的作用是：用来向系统中其他实体证明自己的身份和分发公钥4.。

5.SSL协议中双方的主密钥是在其握手协议产生的。

VPN的两种实现形式： .Client-LAN 和 LAN-LAN6.。

7.IPSec是为了在IP层提供通信安全而制定的一套协议簇，是一个应用广泛、开放的 VPN安全协议体系。

8.根据检测原理，入侵检测系统分为异常入侵检测，误用入侵检测。

9.病毒技术包括：寄生技术，驻留技术，加密变形技术和隐藏技术。

10.电子商务技术体系结构的三个层次是网络平台，安全基础结构和电子商务业务，一个支柱是公共基础部分。

11.防火墙的两种姿态拒绝没有特别允许的任何事情和允许没有特别拒绝的任何事情四、填空题（每空1分，共25分）11.TCP/IP层次划分为__数据链路______层、__网络______层、____传输___层、__应用_____层。

12.TCP协议的滑动窗口协议的一个重要用途是流量控制。

13.诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法 DNS欺骗。

14.身份认证分为：单向认证和双向认证。

15.X.509证书包括：证书内容，签名算法和使用签名算法对证书所作的签名三部分。

防火墙主要通过服务控制方向控制用户控制行为控制16.，，和四种手段来执行安全策略和实现网络控制访问。

17.SOCKS只能用于 TCP 服务，而不能用于 UDP 服务。

18.典型的VPN组成包括VPN服务器VPN客户机隧道VPN连接，，和。

19.IPSec定义的两种通信保护机制分别是： ESP 机制和 AH 机制。

20.电子现金支付系统是一种预先付款的支付系统。

21.双重签名是SET中的一个重要的创新技术。

三、判断题1．以太网中检查网络传输介质是否已被占用的是冲突监测。

（ f ）2．主机不能保证数据包的真实来源，构成了IP地址欺骗的基础。

（t）3．扫描器可以直接攻击网络漏洞。

（ f ）4．DNS欺骗利用的是DNS协议不对转换和信息性的更新进行身份认证这一弱点。

（t ）5．DDoS攻击是与DoS无关的另一种拒绝服务攻击方法。

（f）6．公钥密码比传统密码更安全。

（ f ）7．身份认证一般都是实时的，消息认证一般不提供实时性。

（t ）8．每一级CA都有对应的RA。

（t ）9．加密/解密的密钥对成功更新后，原来密钥对中用于签名的私钥必须安全销毁，公钥进行归档管理。

（ f ）10．防火墙无法完全防止传送已感染病毒的软件或文件。

（t ）11．所有的协议都适合用数据包过滤。

（ f ）12．构建隧道可以在网络的不同协议层次上实现。

（t ）13．蜜网技术（Honeynet）不是对攻击进行诱骗或检测。

（t ）14．病毒传染主要指病毒从一台主机蔓延到另一台主机。

（f ）15．电子商务中要求用户的定单一经发出，具有不可否认性。

（t ）五、判断题(每题1分，共15分)16．设计初期，TCP/IP通信协议并没有考虑到安全性问题。

（t ）17．目前没有理想的方法可以彻底根除IP地址欺骗。

（t ）18．非盲攻击较盲攻击的难度要大。

（f ）19．缓冲区溢出并不是一种针对网络的攻击方法。

（t ）20．DDoS攻击破坏性大，难以防范，也难以查找攻击源，被认为是当前最有效的攻击手法。

（t ）21．身份认证只证实实体的身份，消息认证要证实消息的合法性和完整性。

（t ）22．网状信任模型单个CA安全性的削弱不会影响到整个PKI。

（t ）23．防火墙将限制有用的网络服务。

（t ）24．应用代理不能解决合法IP地址不够用的问题。

（ f ）25．VPN中用户需要拥有实际的长途数据线路。

（ f ）26．对通信实体的身份进行认证的是IPSec的安全协议。

（f）27．ESP头插在IP报头之后，TCP或UDP等传输协议报头之前。

（t ）28．入侵检测系统能够完成入侵检测任务的前提是监控、分析用户和系统的活动。

（t ）29．蜜罐（Honeypot）技术不会修补任何东西，只为使用者提供额外的、有价值的关于攻击的信息。

（t ）30．电子商务中要求用户的定单一经发出，具有不可否认性。

（t ）31．四、简答题１． TCP/IP的分层结构以及它与OSI七层模型的对应关系。

２．简述拒绝服务攻击的概念和原理。

拒绝服务攻击的概念：广义上讲，拒绝服务（DoS，Denial of service）攻击是指导致服务器不能正常提供服务的攻击。

确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。

拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务。

３．简述交叉认证过程。

首先，两个CA建立信任关系。

双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。

其次，利用CA的交叉证书验证最终用户的证书。

对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。

４．简述SSL安全协议的概念及功能。

SSL全称是Secure Socket Layer (安全套接层)。

在客户和服务器两实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。

其安全通道是透明的，工作在传输层之上，应用层之下，做到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。

５．简述好的防火墙具有的5个特性。

(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。

６．简述电子数据交换（EDI）技术的特点。

特点：使用对象是不同的组织之间；所传送的资料是一般业务资料；采用共同标准化的格式；尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。

六、简答题（每题5分，共30分）７．简述TCP协议的三次握手机制。

TCP协议的三次握手机制如下：８． 简述VPN 隧道的概念和分类。

VPN 隧道的概念：隧道实质是一种数据封装技术，即将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。