網(wǎng)絡安全簡答題復習_0

1、網(wǎng)絡安全簡答題復習 絡安全復習題（簡答題） 1簡述拒絕服務攻擊的概念和原理。 答：拒絕服務攻擊的概念：廣義上講，拒絕服務（dos，denial of service）攻擊是指導致服務器不能正常提供服務的攻擊。確切講，dos攻擊是指故意攻擊絡協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標計算機或絡無法提供正常的服務，使目標系統(tǒng)停止響應，甚至崩潰。 拒絕服務攻擊的基本原理：是使被攻擊服務器充斥大量要求回復的信息，消耗絡、帶寬或系統(tǒng)資源，導致絡或系統(tǒng)超負荷，以至于癱瘓而停止提供正常的絡服務 2簡述交叉認證過程。 答：首先，兩個ca建立信任關系。雙方安全交換簽名公鑰，利用自己的私鑰

2、為對方簽發(fā)數(shù)字證書，從而雙方都有了交叉證書。其次，利用ca的交叉證書驗證最終用戶的證書。對用戶來說就是利用本方ca公鑰來校驗對方ca的交叉證書，從而決定對方ca是否可信；再利用對方ca的公鑰來校驗對方用戶的證書，從而決定對方用戶是否可信。 3簡述ssl安全協(xié)議的概念及功能。 答：ssl全稱是：secure socket layer (安全套接層)。在客戶和服務器兩 實體之間建立了一個安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，ssl提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳輸層之上，應用層之下，做 到與應用層協(xié)議

3、無關，幾乎所有基于tcp的協(xié)議稍加改動就可以在ssl上運行。 4簡述好的防火墻具有的5個特性。 答： (1)所有在內部絡和外部絡之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻；(2) 只有被授權的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；(3)防火墻本身不受各種攻擊的影響；(4)使用目前新的信息安全技術，如一次口令技術、智能卡等；(5)人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對發(fā)防火墻進行設置，對互連的訪問者、被訪問者、訪問協(xié)議及訪問權限進行限制。 5簡述電子數(shù)據(jù)交換（edi）技術的特點。 答：特點：使用對象是不同的組織之間；所傳送的資料是一般業(yè)務資料；采用共同標準化的格式；盡

4、量避免人工的介入操作，由收送雙方的計算機系統(tǒng)直接傳送、交換資料。 6、 簡述arp的工作過程及arp欺騙。 arp的工作過程： (1)主機a不知道主機b的mac地址，以廣播方式發(fā)出一個含有主機b的ip地址的arp請求；(2)內所有主機受到arp請求后，將自己的ip地址與請求中的ip地址相比較，僅有b做出arp響應，其中含有自己的mac地址；(3)主機a收到b的arp響應，將該條ip-mac映射記錄寫入arp緩存中，接著進行通信。 arp欺騙： arp協(xié)議用于ip地址到mac地址的轉換，此映射關系存儲在arp緩存表中。當arp緩存表被他人非法修改將導致發(fā)送給正確主機的數(shù)據(jù)包發(fā)送給另外一臺由攻擊者

5、控制的主機，這就是所謂的“arp欺騙”。 7、 簡述包過濾型防火墻的概念、優(yōu)缺點和應用場合。 答：包過濾型防火墻的概念： 包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。 包過濾型防火墻的優(yōu)缺點： 包過濾防火墻的優(yōu)點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包過濾防火墻對用戶和應用講是透明的。無需對用戶進行培訓，也不必在每臺主機上安裝特定的軟件。 包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內部主機的ip欺騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅動式攻擊的潛在危險；普遍不支持有效的用戶認證；安全日志有限；過濾規(guī)

6、則增加導致設備性能下降；包過濾防火墻無法對絡上流動的信息提供全面的控制。 包過濾型防火墻的應用場合： 非集中化管理的機構；沒有強大的集中安全策略的機構；絡的主機數(shù)比較少；主要依靠于主機來防止入侵，但當主機數(shù)增加到一定程度的時候，依靠主機安全是不夠的；沒有使用dhcp這樣的動態(tài)ip地址分配協(xié)議。 8、什么是拒絕服務攻擊？如何阻擋？ 答：拒絕服務是絡信息系統(tǒng)由于某種原因不能為授權用戶提供正常的服務。服務質量下降甚至不能提供服務，系統(tǒng)性能遭到不同程度的破壞，降低了系統(tǒng)資源的可用性。系統(tǒng)資源可以是處理器、磁盤空間、cpu使用的時間、打印機、調制解調器，甚至是系統(tǒng)管理員的時間，拒絕服務的結果是減少或失去

7、服務。 對于拒絕服務式攻擊我們不能完全消除它們，遇到這種攻擊時，可以采用以下幾種辦法處理： 尋找一種方法來過濾掉這些不良的數(shù)據(jù)包； 提高對接受數(shù)據(jù)進行處理的能力； 追查并關閉那些發(fā)動攻擊的站點； 增加硬件設備或者提高絡容量，以從容處理正常的負載和攻擊數(shù)據(jù)流量。 9、防火墻有幾類？簡述分組過濾防火墻。 答：根據(jù)防火墻在絡協(xié)議中的過濾層次不同，我們把防火墻分為三種：包過濾防火墻、電路級關防火墻、應用級關防火墻。 分組過濾器是目前使用最為廣泛的防火墻，其原理很簡單：1、有選擇地允許數(shù)據(jù)分組穿過防火墻，實現(xiàn)內部和外部主機之間的數(shù)據(jù)交換；2、作用在絡層和傳輸層；3、根據(jù)分組的源地址、目的地址、端口號、協(xié)

8、議類型等標志確定是否允許數(shù)據(jù)包通過。滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)，否則丟棄。 10、密要分配的幾種方法 答：通信雙方可通過三種基本方法實現(xiàn)秘密信息的共享：一是利用安全信道實現(xiàn)密鑰傳遞；二是利用雙鑰體制建立安全信道傳遞；三是利用特定的物理現(xiàn)象（量子技術）實現(xiàn)密鑰傳遞。 11、描述三次握手的過程 答：tcp是面向連接的，所謂面向連接，就是當計算機雙方通信時必需先建立連接，然后數(shù)據(jù)傳送，最后拆除連接三個過程 并且tcp在建立連接時又分三步走： 第一步是請求端（客戶端）發(fā)送一個包含syn即同步標志的tcp報文，syn同步報文會指明客戶端使用的端口以及tcp連接的初始序號； 第二步，服務器在收到客戶端的

9、syn報文后，將返回一個syn+ack的報文，表示客戶端的請求被接受，同時tcp序號被加一，ack即確認 第三步，客戶端也返回一個確認報文ack給服務器端，同樣tcp序列號被加一，到此一個tcp連接完成。然后才開始通信的第二步：數(shù)據(jù)處理。 這就是所說的tcp三次握手 12簡述ca對數(shù)字證書簽名及數(shù)字證書的驗證過程。 答：數(shù)字證書簽名 ca首先要對證書的所有字段計算一個信息摘要，而后用ca私鑰機密消息摘要，構成ca的數(shù)字簽名。ca將計算出的數(shù)字簽名作為數(shù)字證書的最后一個字段插入，類似于護照上的印章與簽名。該過程有密碼運算程序自動完成。 數(shù)字證書驗證 （1）用戶將數(shù)字證書中除最后一個字段以外的所有字段輸入信息摘要算法。 （2）由信息摘要算法計算數(shù)字證書中除最后一個字段外其他字段的信息摘要，設該信