网络安全技术徐剑(B).doc

学习中心： 院校学号： 姓名 东 北 大 学 继 续 教 育 学 院 网络安全技术 试 卷（作业考核 线下） B 卷（共 页） 总分题号一二三四五六七八九十得分一、 选择填空（每空1分，共20分）（D）1、完整性服务提供信息的 。A、不可抵赖性 B、机密性 C、正确性 D、可信性（A）2、下列 协议是有连接。A、TCP B、ICMP C、DNS D、UDP（B）3、下列加密算法中 是对称加密算法 。A、RSA B、3DES C、Rabin D、椭圆曲线（B）4、防火墙是建立在内外网络边界上的 。A、路由设备 B、过滤设备 C、寻址设备 D、扩展设备（C）5、在网络通信中，纠检错功能是由OSI参考模型的 实现的。A、传输层 B、网络层 C、数据链路层 D、会话层（D）6、网络安全是在分布网络环境中对 提供安全保护。 A、信息载体 B、信息的处理和传输C、信息的存储和访问 D、以上皆是（C）7、当进行文本文件传输时，可能需要进行数据压缩，在OSI模型中，规定完成这一工作的是 。 A、应用层 B、会话层 C、表示层 D、传输层（B）8、数字签名要预先使用单向Hash函数进行处理的原因是 。A、多一道加密工序使得密文更难破译B、缩小签名密文的长度，加快数字签名和验证签名的运算速度C、提高密文的计算速度D、保证密文能正确地还原成明文（A）9、IP v4地址是 位的。 A、32 B、48 C、64 D、128（D）10、包过滤技术是防火墙在 层中根据数据包头中包头信息有选择地实施允许通过或阻断。A、物理层 B、数据链路层 C、传输层 D、网络层（A）11、下列加密算法可以没有密钥的是 。A、不可逆加密 B、可逆加密 C、对称加密 D、非对称加密（D）12、威胁是一个可能破坏信息系统环境安全的动作或事件，威胁包括（）。A、目标 B、 代理 C、 事件D、上面3项都是（C）13、对非军事区DMZ而言，正确的解释是 。A、DMZ是一个非真正可信的网络部分B、DMZ网络访问控制策略决定允许或禁止进入DMZ通信C、允许外部用户访问DMZ系统上合适的服务D、以上3项都是（A）14、防火墙一般被安置在被保护网络的 。A、边界 B、外部 C、内部 D、以上皆可（B）15、数字签名要预先使用单向Hash函数进行处理的原因是 。A、多一道加密工序使得密文更难破译B、缩小签名密文的长度，加快数字签名和验证签名的运算速度C、提高密文的计算速度D、保证密文能正确地还原成明文（D）16、 是可以在DMZ中放置的系统。A、邮件系统 B、Web服务器 C、控制系统 D、以上皆可（D）17、下列扫描 属于端口扫描。A、TCP SYN扫描 B、TCP ACK扫描 C、TCP FIN扫描 D、以上皆是（D）18、包过滤技术是防火墙在 层中根据数据包头中包头信息有选择地实施允许通过或阻断。A、物理层 B、数据链路层 C、传输层 D、网络层（C）19、访问控制是指确定 以及实施访问权限的过程。A、用户权限B、可被用户访问的资源C、可给予那些主体访问权利D、系统是否遭受攻击（B）20、SSL产生会话密钥的方式是 。A. 从密钥管理数据库中请求获得B. 随机由客户机产生并加密后通知服务器C. 由服务器产生并分配给客户机D. 每一台客户机分配一个密钥的方式二、简答题（每题6分，共30分）1、为使防火墙起到安全防护的作用，必要的保证措施是什么？答：防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。防火墙必要的功能开启是必不可免的，在使用一些软件是可能要关闭防火墙的一些功能，不要急着关闭，先确认软件有没有病毒之类的，先用杀毒软件扫描一下，再确认是否使用。当然定时的安全扫描，病毒查杀是少不了的，系统垃圾也要及时处理，不要上一些不良网站，下载不良软件，那些大多数都挂有木马。2、简述IPSec的功能。IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含Authentication Header（AH）协议、Encapsulating Security Payload（ESP）协议和Internet Key Exchange（IKE）协议。其中AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IKE用于密钥交换。3、简述VPN的功能以及类型。答：VPN网关是实现局域网（LAN）到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能：VPN和网关。广义上讲，支持VPN（虚拟专用网）的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。它应集成包过滤防火墙和应用代理防火墙的功能。VPN应有一个开放的架构。有完善的认证管理。VPN应提供第三方产品的接口。VPN网关应拥有IP过滤语言，并可以根据数据包的性质进行包过滤。VPN（Virtual Private Net，虚拟专用网）可以实现不同网络的组件和资源之间的互连。VPN并非单一产品技术，其技术非常复杂，它涉及到网络技术，通信技术，密码技术和认证技术，是一项交叉科学课题。VPN的发展大体经过了四代，即第一代以链路加密为主的VPN，第二代以PPTP/L2TP为主的VPN，第三代以IPSEC/MPLS为主的VPN和第四代即新一代以SSL技术为主的VPN。4、从安全属性看，有哪几种攻击的类型？答：（1）阻断攻击 阻断攻击使系统的资产被破坏，无法提供用户使用，这是一种针对可用性攻击。（2）截取攻击 截取攻击可使非授权者得到资产的访问，这是一种针对机密性的攻击。（3）篡改攻击 篡改攻击是非授权者不仅访问资产，而且能修改信息，这是一种针对完整性的攻击。（4）伪造攻击 伪造攻击是非授权者在系统里插入伪造的信息，这是一种针对真实性的攻击。 5、简述SYN泛洪原理。答：SYN洪泛攻击原理： 在TCP协议中被称为三次握手（Three-way Handshake）的连接过程中，如果一个用户向服务器发送了SYN报文，服务器又发出 SYN+ACK 应答报文后未收到客户端的 ACK 报文的，这种情况下服务器端会再次发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间是分钟的数量级。 SYN flood 所做的就是利用了这个SYN Timeout时间和TCP/IP协议族中的另一个漏洞:报文传输过程中对报文的源 IP 地址完全信任。SYN flood 通过发送大量的伪造 TCP 链接报文而造成大量的 TCP 半连接,服务器端将为了维护这样一个庞大的半连接列表而消耗非常多的资源。这样服务器端将忙于处理攻击者伪造的TCP连接请求而无法处理正常连接请求,甚至会导致堆栈的溢出崩溃。 造成SYN洪泛攻击最主要的原因是TCP/IP协议的脆弱性。TCP/IP是一个开放的协议平台，它将越来越多的网络连接在一起，它基于的对象是可信用户群，所以缺少一些必要的安全机制，带来很大的安全威胁。例如常见的IP欺骗、TCP连接的建立、ICMP数据包的发送都存在巨大的安全隐患，给SYN洪泛攻击带来可乘之机。三、论述题（共50分）1、分析入侵检测系统的优点和局限。（10分）答：Gartner一直不看好入侵检测系统(IDS)，在多份报告中对IDS提出非议。在一份题为“入侵检测将死，入侵防御万岁”的报告中，Gartner指出入侵防御要替代入侵检测；而在另一份题为“2003年：信息安全的炒作周期”的报告中，Gartner称入侵检测系统是一次市场失败。受Gartner报告的影响，IDS倍受攻击，IDS果真如Garnter所说的那样毫无价值吗？也有人认为，Gartner的分析是建立种种误解之上的，其原因在于不懂得IDS擅长干什么以及谁应当使用IDS。Gartner分析师将IDS与防火墙归为一类产品。其实，情况并不是这样。对于网管员来说，IDS就像是一台协议分析器，一种观察网络、了解网络状况的工具。将IDS与防火墙混为一谈，或者将IDS与入侵预防系统(IPS)混为一谈，就像是把交换机与协议分析器归为一类同样不合适。IPS厂商开辟市场所做的种种努力，进一步加深了人们对IDS的误解，让期待解决安全问题而购买IDS的网管员感到失望，因为IDS完成不了入侵保护任务。与其谈IDS不能干什么，倒不如谈谈IDS能干些什么。在设计原理上，IDS是一种检测攻击、违反策略行为和错误配置的传感器。正如一位老资格的IDS研究员Gary Golomb指出的那样，IDS用于检查和平衡企业网络的安全状态。部署IDS只有一个目的，就是监视网络上所发生的一切，查看是否有人进出网络。有一件事情让多数用户倍感意外：尽管安装了各种防御技术(如防火墙、防病毒产品和VPN)，攻击者和病毒仍然能够利用网络设计中的漏洞、应用漏洞以及配置错误的设备，闯进用户网络。一些厂商在推销IDS时说，IDS不仅能检测入侵事件，而且还能检测违反策略的事件，如过短的口令、FTP传送的文件以及两个不应当通信的系统之间传送的数据流，这有点言过其实。IDS最适合的工作是部署在安全分析员可以管理它的环境中，分析“谁进入了系统”这样的问题。IDS厂商希望每个用户都能了解IDS，这是一种不切实际的期望。网络IDS就像是一种高级协议分析器，尽管大中型用户都需要它，但并不意味着每个人都必须学会使用它。在降低IDS的误报率和提高产品易用性方面，IDS厂商正在做着各种努力。决定IDS是否适合用户需要并不难。成功的IDS部署取决于三个关键因素：安全策略、网络环境以及IDS架构。安全策略：除非用户规定IDS允许做什么、不允许做什么，否则IDS不可能检测出可疑行为。如果用户没有事先规定安全策略，IDS更不可能报告违反安全策略的行为。网络环境：在自动对攻击进行分类方面，IDS表现不佳。为了让IDS数据有用，用户必须了解网络上有什么资产以及什么是正常和正确的数据流。IDS架构：IDS在企业网络中的位置和应用是一门变化多端的艺术。为了让IDS发挥作用，用户必须以能够返回有用信息的方式部署IDS。这意味着用户必须根据对安全策略和网络资产的了解，设计传感器的位置。将路由器、防火墙和VPN随意安装在网络中一样，IDS也不能随意部署在网络中。2、VPN第二层协议中的PPTP和L2TP有那些不同？（10分）答：1、PPTP协议是点对点隧道协议：其将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。2、L2TP是国际标准隧道协议：它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。3.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道3、论述网络中常见的攻击技术以及针对这些攻击的解决方案。（15分）答：1、服务拒绝攻击 解决方案：采用防火墙、入侵检测系统等联动机制。2、协议漏洞渗透，主要有会话监听与劫持、地址欺骗。解决方案：采用防火墙、入侵检测系统等联动机制。3、密码分析还原，主要有密码还原和密码猜测解决方案：采用强度高的加密算法，是密码强度足够强。4、应用漏洞分析与渗透，主要包括服务流程漏洞和边界条件漏洞。解决方案:解释下载程序的最新补丁，在程序开发设计时采用安全的开发和实际方法。5、社会工程学，主要有物理分析和心理分析。解决方案：进行必要的信息安全教育和培训。6、病毒或后门攻击解决方案：病毒防火墙和杀毒软件。4、 论述如何进行病毒防治的部署。（15分）答：计算机病毒预防措施：1.不使用盗版或来历不明的软件，特别不能使用盗版的杀毒软件。2.写保护所有系统软盘。3.安装真正有效的防毒软件，并经常进行升级。4.新购买的电脑在使用之前首先要进行病毒检查，以免机器带毒。5.准备一张干净的系统引导盘，并将常用的工具软件拷贝到该盘上，然后妥善保存。此后一旦系统受到病毒侵犯，我们就可以使用该盘引导系统，进行检查、杀毒等操作。6.对外来程序要使用查毒软件进行检查，未经检查的可执行文件