CCNA期末考试答案(网络安全技术练习题)

1. 半连接攻击属于（ ）A溢出攻击 B.嗅探攻击 C. 注入攻击 D.拒绝服务攻击2. TCP三次握手中用到的标志位是（ ）A. FIN B. SYN C. RST D. PSH3. 下列关于对称加密算法和非对称加密算法的说法中正确的是（ ）A.对称加密速度较慢 B.对称加密可以实现数据的不可否认性C.非对称加密速度较慢 D.非对称加密的密文是紧凑的4 以下不支持认证功能的路由协议是（ ）A. EIGRP B. Ripv1 C.ospf D. Ripv25. 以下哪一项不属于保护路由器的有效方法（ ）A.开启日志服务并建立日志服务器 B. 部署NTP服务器实现时钟同步C.关闭路由器上的CDP服务 D. 启用端口安全6.以下关于SSH的说法正确的是（ ）A.SSH采用对称加密算法 B.SSH未对数据加密C.SSH采用非对称加密算法 D.SSH一般用于内网发起的管理行为7. AAA不包含哪一层含义（ ）A.认证 B.过滤C.授权 D.记账8.以下哪一项是思科的私有协议（ ）A.radius B.802.1q C.tacacs+ D.ipsec9.通过访问控制列表防范分片攻击需要在语句后加关键字（ ）A.established B.fragment C.log D.reflect10.以下哪一项是基于异常的IDS监测模式的缺点（ ）A.不能抵御新型攻击 B.特征库更新速度制约使用效果 C.不会错报 D.容易错报漏报11. 以下关于IDS与IPS说法正确的是( )A. IDS一般部署在网络出口主干链路上 B.IDS能够阻断发现的攻击行为C. IPS一般根据特征库来检测攻击行为 D.IPS不能阻断发现的攻击行为12. 以下不能起到防火墙作用的技术是（ ）A.IDS B.ACL C.NAT D.代理服务器13.以下关于MD5的说法正确的是( )A.md5是一种加密算法 B.md5用于保障数据的机密性C.md5是可逆的 D.md5用于保障数据的完整性14. 为恢复路由器登录密码，需把寄存器值改为（ ）。A. 0x2142 B. 0x2140 C.0x2102 D.0x201215. 以下哪一项思科设备不支持VPN功能（ ）。A.C2801路由器 B.catalyst 3560三层交换机 C.VPN3000集中器 D.ASA系列防火墙 16. 关于数字签名技术，以下说法正确的是（ ）A.发送方用接收方的私钥对数据进行加密或哈希B.发送方用自己的私钥对数据进行加密或哈希C.发送方用接收方的公钥对数据进行加密或哈希D.发送方用自己的公钥对数据进行加密或哈希17. 通常情况下，程序分为服务端和控制端两部分组成的是（）A.病毒 B.蠕虫 C.木马18.抵御生成树攻击的有效技术是( )A.端口安全 B.端口隔离 C.认证计费 D.BPDU防护19.Ipsec协议主要应用属于哪一层？（ ）A、应用层 B、传输层 C、Internet层 D、网络层20.以下不属于站点到站点ipsec-vpn配置内容的是（ ）A、配置感兴趣流量 B、配置与共享密钥和对端IP C、配置组名和组密码 D、配置转换集简答：1. 简述IDS与IPS的区别。区别在于一个是入侵检测一个是入侵防护，IDS是位于网络的内部中心，只能根据特征库起到检测报警的作用，如果特征库更新不及时那也就检测不出新型的病毒木马，所以及时跟新特征库很重要。IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。 IPS是必须位于网络边界的设备，可以根据特征库和安全策略检测入侵，发现攻击会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。可以起到一个对来自外部的入侵起到防护的作用，对内部攻击行为无能为力。2. 简述cisco IOS防火墙即CBAC经典防火墙的四大功能。（1）流量过滤 ：当TCP和UDP连接是从网络内部发起时，允许返回流量通过防火墙。反之拒绝流量通过。 （2）流量检查 ：检查数据包应用层信息并能维护TCP和UDP会话信息。 （3）入侵检测 ：查看和监视系统消息并与攻击特征相比较。 （4）产生警告和审计消息： 使用系统日志跟踪所以网络事件并记录时间、源和目的主机、所用端口和发送的总字节数。实时警告在发现可疑行为后向管理控制台发送系统错误消息。3. 简述TCP半连接攻击的原理。在 A 向 B 发出 TCP 请求的时候，它发出一个随机的 ISN ，B 收到后给 A 回复一个 ACK = ISN + 1，同时再回复一个自己的 SYN 号，接着会保存 A 发来的这些信息，同时在内存中开辟缓冲区进行保存，然后 A 再给 B 回复一个 ACK。经历过这三次之后，一个端到端的 TCP 连接已经建立起来了，这是正常的情况。那么在 A 向 B 发出请求，B 给 A 回复并且开辟了资源之后，A 不再进行第三次的回复，这样 A 一直在向B 发起 TCP 请求，B 也按照正常情况进行响应了，但是 A 不进行第三次的握手，这样就造成半连接，那么 B 分配出去的内存资源就一直这么耗着，直到资源耗尽。这就是TCB半连接攻击的原理。4. 简述对称加密算法的优缺点优点是算法公开、计算量小、加密速度快、加密效率高 缺点是交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担，所以密钥的分发和管理非常复杂、代价高昂。5. 简述ARP攻击的原理ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来