《网络安全试题及答案1》由会员分享,可在线阅读,更多相关《网络安全试题及答案1(4页珍藏版)》请在金锄头文库上搜索。
1、1信息安全的基本目的是哪些? a) 适用性:信息被授权实体访问并按需使用的特性; b) 保密性:防止信息泄露给非授权个人或实体,只为授权用户使用的特性; c) 完整性:信息未经授权不能改变的特性; d) 不可抵赖性:信息交互过程中,所有参与者不能否认曾经完成的操作或承诺的特 性; e) 可控制性:信息的传播及内容具有控制能力的特性; 2请分别说明在集线器和交换机的环境下,如何进行信息窃取?交换机模式下,如何 防止信息被窃取? a) 集线器环境下:黑客终端只需要通过集线器连接到主干网段上,就可以窃取流经 该网段的全部信息,因为集线器是广播的。 b) 交换机环境下:通过 ARP 欺骗窃取信息,防止
2、方法:对交换机设置 IP 地址与 MAC 地址绑定。 3什么是加密体制下的 Kerckhoff 原则?流加密体制和分组加密体制的特点分别是什 么?对称加密和公钥加密的特点是分别是什么? a) 加密体制下的 Kerckhoff 原则:所有加密、解密算法都是公开的,保密的只是密 钥。 b) 流加密体制的特点是:一次一密钥的加密运算过程;每次加密运算的密钥不同, 且这些密钥之间不存在相关性。 c) 分组加密体制的特点:同一密钥用于多次加密运算过程;无法通过密文,甚至有 限的密文、明文推导出密钥。 d) 对称加密的特点是:加密算法所使用的密钥等于解密密钥 e) 公钥加密的特点是:加密算法所使用的密钥不
3、等于解密密钥 4DES 算法属于什么加密体制?它的有效密钥是多少位?AES 的密钥可以是多少位? 现假设 4 位分组 1100 进入扩展置换后变为 6 位,该 6 位分别进入下列 S 盒后得出 的结果是什么,设该 4 位分组所处的位置为 100011000011.S 盒为:14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,70,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8 4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,015,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13 a) .DEC 属于分组加
4、密体制 b) .DEC 的有效密钥为 56 位,AES 可以是 128,196,256 位。 c) .1100 由于所处的位置为 1000 1100 0011 ,扩展为六位变为 01100(1100 两边 各取一位) ,而取 011000 两边的数字为 S 盒中的行号,这里为 00 即第 0 行,取 中间的 1100 为 S 盒列号即为第 12 列,于是从 0 行 0 列算起,取第 0 行第 12 列, 最后结果为 5。 5. 报文摘要的算法要求有哪些?MD5 算法的全称是什么,它生成的摘要多长?SHA-1 算法 呢? a).要求:能够作用于任意长度的报文;产生有效位数的标识信息;易于实现;具
5、有单 向性;对任意报文 X,无法找出另一个报文 Y,X!=Y,但 MD(X)=MD(Y);只改变报文 X 中一位二进制位,也使得重新计算后的 MD(X)变化很大。 b).MD5 算法的全称:报文摘要第 5 版(Message Digest,Version 5) 生成的摘要为 128 位 c). SHA-1 算法的全称:安全散列算法第一版(Secure Hash Algorithm 1) ,生成的摘 要为 160 位 6. 简要叙述 TLS 协议是如何完成通信双方身份认证的?数字签名与身份认证有何区别?(加密算法五元组:明文,密文,密钥,加密算法,解密算法)(加密算法五元组:明文,密文,密钥,加
6、密算法,解密算法) a).完成双方的身份认证分为 4 个过程:1双方完成对压缩算法,加密算法,MAC 算法(Message Authentication Codes 带秘密密钥的 Hash 函数:消息的散列值由只有通信双方知道的秘密密钥 K 来控 制。此时 Hash 值称作 MAC)及 TLS(transport layer security 传输运输安全)协议版本达成一致。过程:客户在 Hello 消息中按优先顺序列出自己所支持的 算法列表及 TLS 版本号,服务器从客户支持的算法列表中按优先顺数选择一种 自己支持的算法作为双方协定的算法,并在双方都支持的 TLS 版本中选择较低 的版本作为
7、约定的 TLS 版本,并通过 Hello 消息发送给客户。2. 完成对服务器的身份认证。服务器通过服务器证书消息给客户提供证书链,并 且只有在证明了服务器拥有和公钥对应的私钥后才证明了服务器。服务器需要 认证客户的身份,于是向客户发送证书请求,在证书请求消息中包含了服务器 给出证书链,便于服务器对客户的认证。3. 客户通过客户证书链向服务器发送证书链。 (主密钥用于证实证书的信息) 。4. 双方切换到新的安全参数。 b). 1.数字签名:发送方用自己的密钥对报文 X 进行 Encrypt(编码)运算,生成不可读 取的密文,然后将密文传送给接收方,接收方为了核实签名,用发送方公告的 公钥进行 D
8、ecrypt(解码)运算,还原报文。发送报文时,发送方用一个哈希函数 从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个 加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用 与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发 送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那 么接收方就能确认该数字签名是发送方的。2.身份认证: 7. 解释以太网中站表一出,DHCP 欺骗和 ARP 欺骗的原理,以及对应的防御措施。 a) .DCHP 欺骗原理:在一个局域网内,有多个 DHCP 服务器,当一个终端接入此局域 网时,发送一个
9、发现报文(作用是发现网络中的 DHCP 服务器) 。于是伪造的 DHCP 服务器先于真正的 DHCP 服务器向终端发送应答报文,终端将选择伪造的 DHCP 服 务器提供的配置服务,同时伪造的 DHCP 服务器将自己的 IP 地址作为网关地址提 供给终端,于是终端所有发送给网络的信息,将首先发送给伪造的 DHCP 服务器。 b) 应对措施:将以太网交换机的端口配置为信任端口与非信任端口,只有从信任端口 接收到的 DHCP 相应报文,才能继续转发,非信任端口的 DHCP 相应报文一律丢弃。 这样只有连接到信任端口真正的 DHCP 服务器发送的报文才能到达终端,其他伪造 的 DHCP 服务器发送的报
10、文无法到达终端。 c) ARP 欺骗的原理:终端 B 广播一个将终端 A 的 IP 地址 IPA 和自己 MAC 地址 MACB 绑 定在一起的 ARP 报文,导致其它以太网终端将 IPA 与 MACB 之间的绑定关系记录在 ARP 表中,这样当终端转发目的为 IPA 的报文,却用 MACB 作为封装该报文的目的 MAC 地址。于是原本发给 A 的报文都发给了 B。 d) 应对措施:交换机从非信任端口接受到 ARP 报文后,去匹配 DHCP 配置表,如果配 备成功,则转发该 ARP 报文,否则丢弃。简而言之就是配置静态映射。 8. 下图如何利用单播反向路径验证来检测黑客终端的假冒 IP 问题。
11、a).如图若黑客终端实际连接在子网 193.1.2.0/24.的 ip 地址但是冒充子网 193.1.1.0/24 的 ip 地址,这种冒用 ip 地址的攻击方式被成为源 ip 地址欺骗攻击。如 果某个子网 NET1 至另一个子网 NET2 的传输路径和 NET2 至 NET1 的路径相同,则称 NET2 与 NET1 之间的路径为对称路径,对于用称路径构成的网络,通过单播反向路径验 证机制可以抑制源 ip 地址欺骗。b).当路由器从端口 X 接受到 ip 分组时,首先用该 ip 分组的源 ip 检索路由表,若 找到匹配项,且该路由项指明的输出端口也为 X,说明该 ip 分组的源 ip 分组不
12、是伪 造的,路由器继续该 ip 分组的转发处理,否则确定该 ip 分组为源 ip 地址欺骗攻击, 路由器则丢弃该分组。如图若黑客终端冒用 ip 为 193.1.1.7/24,黑客终端用于攻击 服务器的 ip 分组由路由器 R2 转发后,经端口 2 进入 R3,R3 首先用该分组的源 ip 193.1.1.7/24 检索路由表,找到匹配项 193.1.1.0/24,确定输出端口为 1,和接受 该 ip 分组的端口不相同,于是确定该 ip 分组为源 ip 地址欺骗攻击,R3 就会丢弃该 ip 分组。 9. 简要叙述 WEP 加密体制的特点,以及其脆弱性体现在那些方面a).WEP 即等同有线安全(w
13、ired equivalent privacy)算法。40 位密钥(或是 104 位) 和 24 位初始向量穿在一起构成 64 位随机数种子,伪随机数生成器根据随机数种子产 生一次洗密钥,一次性密钥的长度为数据长度加上 4 个字节的完整性检验值,4 字节 的完整性检验值是根据数据和生成函数计算所得的循环冗余码。一次性密钥和随机数 种子是一对一的关系,只要随机数种子改变,一次性密钥也跟着改变,构成 64 位随 机数种子中的 40 位密钥是固定不变的,改变的只是 24 位初始向量。接受端与发送端 具有相同的 40 位密钥,发送者只要将 24 位初始向量以明码的方式传送给接收端,数 据和 4 字节完
14、整性检验值和相同长度的一次性密钥异或运算后构成密文,为了数据的 安全,必须每次更换一次性密钥,因此没次加密数据使用的都是不同的初始向量。 b).脆弱性体现:一次性密钥可从复。密钥的空间有限。完整性检验有缺陷。 10. 如何要让下图的堡垒主机正常工作,需要在无状态分组过滤器上如何设置 。 a).该图为单穴堡垒主机保护内部网络的网络结构。单穴堡垒主机是指具有单个接口连 接网络的堡垒主机,在该结果下为保证内部网络和 internet 之间的通信必须经过堡垒 主机,必须在无状态分组过滤器端口 1 的输入方向设置只允许堡垒主机发送的信息才能 正常传输到 internet 的输入过滤器,而在输出法相只允许
15、目的地为堡垒主机的信息才 能进入内部网络的输出过滤器。b).设置:端口 1 的输入方向:源 ip 地址 193.1.1.1 and 目的 ip=0.0.0.0 正常转发源 ip 地址 0.0.0.0 and 目的 ip=0.0.0.0 丢弃端口 1 的输出反向:源 ip 地址=0.0.0.0 and 目的 ip=193.1.1.1 正常转发源 ip 地址=0.0.0.0 and 目的 ip=0.0.0.0 丢弃 11. 简要叙述入侵防御系统的分类,各类防御系统的工作过程和它们的不足,入侵防御系 统的发展趋势是什么?a).分类: 1)主机入侵防御系统主机入侵防御系统:用来检测到达某台主机的信息流
16、,检测对主机资源的访问 操作。对所有进入主机的信息进行检测,对所有和主机建立 TCP 连接进行监控, 对所有发生在主机上的操作进行管制。 特点:1有效抵御非法代码攻击2.有效管制信息传输。3.强化对主机资源的保护。工作过程:1.拦截主机资源访问操作请求和网络信息流。2.采集相应的数据。3.确定操作请求和网络数据流的合法性。4.反制动作:a)终止应用进程。b)拒绝操作请求。5.登记与分析。不足:主机入侵防御系统只是个应用程序,但它监管的发生在主机上的操作往往是由 操作系统实现的,因此,需要多个和操作系统对应的主机入侵防御系统,且必 须具有拦截用户应用程序和操作系统之间的调用,响应过程的能力,这一方面 会影响一些应用程序的运行,另一方面也存在监管漏洞而且操作无法对主机防 御系统提供额外的安全保护容易发生卸载主机防御系统,修改主机入侵防御系 统配置的事件。 2)网络入侵防御系统网络入侵防御系统:用于检测流进网络某段链路的信息流。可保护节点和链路 免受攻击。特点: 1. 保护网络资源。 2. 大规模保护主机。 3. 和主机入侵防御系统相辅相成 工作过程: 1 捕
