《2022年网络安全基础应用与标准习题——答案 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全基础应用与标准习题——答案 .pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、个人收集整理仅供参考学习1 / 4 一. 1、什么是 OSI 安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3 列出并简要定义被动和主动安全攻击的分类?被动攻击:内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性二. 1黑客为什么可以成功实施ARP欺骗攻击?在实际中如何防止ARP欺骗攻击?ARP欺骗的基本原理就是欺骗者利用ARP协议的安全漏洞,通过向目标终端大量发送伪造的 ARP协议报文欺骗目标
2、终端,使目标终端误以为是与期望主机通信,而实际上是与欺骗者进行通信。文档收集自网络,仅用于个人学习?局域网内可采用静态ARP Cache ?ARP Cache设置超时?主动查询在某个正常的时刻,做一个IP 和 MAC 对应的数据库,以后定期检查当前的IP 和 MAC 对应关系是否正常。同时定期检测交换机的流量列表, 查看丢包率。?使用 ARP防护软件?具有 ARP防护功能的路由器2. 什么是 ICMP重定向攻击?如何防止此类攻击?ICMP重定向报文是ICMP控制报文的一种。当默认路由器检测到某主机使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文, 请求主机改变路由。文档收集自网络,
3、仅用于个人学习TCP/IP 体系不提供认证功能, 攻击者可以冒充路由器向目标主机发送ICMP重定向报文,诱使目标主机更改寻径表,其结果是到达某一IP 子网的报文全部丢失或都经过一个攻击者能控制的路由器。文档收集自网络,仅用于个人学习三. 1. 防火墙可以提供哪些机制?答:服务控制、方向控制、用户控制和行为控制。2. 防火墙有哪些局限性 ? a)为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。b)不能防止传送已感染病毒的软件或文件。c)防火墙对不通过它的连接无能为力,如拨号上网等。d) 作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新的威胁和攻击
4、。e) 不能防备内部人员的攻击行为等。3. 防火墙应满足的基本条件是什么?作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页,共 4 页个人收集整理仅供参考学习2 / 4 (2) 只有符合安全策略的数据流才能通过防火墙。(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。四. 1. 对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2. 两个人通过对称密码通
5、信需要多少个密钥?(P24) 1 个4.攻击密码的两个通用方法是什么?密钥搜索和穷举方法5. 分组密码的电子密码本模式有什么不足?如何解决?电子密码本模式的缺点就是相同的明文产生相同的密文,对高度结构化消息是非常不安全的。需要采用其它模式,目的就是为了即使明文相同,密文也不相同。6. DES 的密钥长度是56bits ,如何使用 DES,使得等效密钥长度为112bits或168bits?使用三个密钥对数据块进行三次加密,即采用三重DES加密模型。(a)使用三个不同密钥K1,K2,K3,依次进行加密- 解密 - 加密变换,等效密钥长度为168bits ;(b)其中密钥K1=K3,依次进行加密-
6、解密 -加密变换,等效密钥长度为112bits 。E(K1,D(K2,E(P,K1) )112bits E(K3,D(K2,E(P,K1) ) 168bits 五. 1、列举消息认证的三种方法:单向散列函数,消息认证码MAC ,利用常规加密的消息认证2、什么是MAC :(P49)一种认证技术。利用私钥产出一小块数据,并将其附到消息上。这种技术称为消息验证码。3、对于消息认证,散列函数H必须具有什么性质才可以用:(P51)1 H 可使用于任意长度的数据块2 H 能生成固定长度的输出3 对于任意长度的x,计算 H(x)相对容易,并且可以用软/ 硬件方式实现4 对于任意给定值h, 找到满足H(x)=
7、h 的 x 在计算机上不可行。5 对于任意给定的数据块x, 找到满足H ( y)=H(x) ,的 y=!x 在计算机上是不可行的。6 找到满足H(x) =H(y) 的任意一对( x,y )在计算机上是不可行的。4、公钥加密系统的基本组成元素是什么?明文,加密算法,公钥和私钥,密文,解密算法5、列举并简要说明公钥加密系统的三种应用:加密 / 解密,数字签名,密钥交换7. 使用公钥加密和使用私钥加密有什么不同的作用?使用对方公钥加密,可以保证信息的机密性;使用自己的私钥加密,可以让接收方确认信息的来源。8. 如何使用公钥加密来分发共享密钥?先获得对方数字证书,验证证书获得对方公钥,然后E PUB,
8、(KAB) 9. 简述针对 Diffie-Hellman 密钥交换的中间人攻击过程。P71 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 2 页,共 4 页个人收集整理仅供参考学习3 / 4 填空题1.网络攻击分为主动攻击和被动攻击两大类。2.流量分析和篡改消息分别属于被动攻击和主动攻击。3.ARP 的主要功能是将 IP 地址转换为物理地址地址。4.Telnet服务的功能是实现远程登陆,它采用TCP 的 23 号端口。5.蔽主机体系结构防火墙主要由包过滤路由器 和堡垒主机 构成。6.包过滤是通过包过滤路由器在网络层 上实现的。7.密码学包括密码编
9、码学和密码分析学两个分支;8.DES算法密钥是64 位,其中密钥有效位是56 位。9.属于公钥加密技术的加密算法有RSA 、DSA。10.分组密码每次处理一个输入元素分组,并为每个输入分组产生一个输出分组;流密码 连续处理输入元素, 在运行过程中, 一次产生一个输出元素。文档收集自网络,仅用于个人学习11.DES、AES 和 RC4 同属于对称加密技术,不同的是DES 和 AES 属于分组密码加密技术,而RC4 属于流密码加密技术。文档收集自网络,仅用于个人学习12.RSA 和 DSS 同属于非对称加密技术, 其中,RSA 可用于加密 /解密、数字签名和密钥交换,而DSS 只用于数字签名。文档
10、收集自网络,仅用于个人学习13. 数据完整性验证中MAC 的中文名称是消息认证码。14. MD5 是将任意长的信息浓缩成128 位的消息摘要。15. SHA-1是将任意长的信息浓缩成160 位的消息摘要。9. 身份认证包括 身份识别和身份验证 2 个过程;17. Diffie-Hellman 技术主要用于密钥交换。名词解释:1.堡垒主机堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。文档收集自网络,仅用于个人学习2.抗弱碰撞性抗弱碰撞性就是对于给定的x,找到满足H(y)=H(x) 的 y 在计算上是不
11、可行的。3.数字签名对报文的散列值使用签名者的私钥加密的的过程,可以对报文的来源和完整性进行认证,也可以防止签名者事后抵赖。文档收集自网络,仅用于个人学习精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页,共 4 页个人收集整理仅供参考学习4 / 4 4.散列函数散列函数:散列函数运算后,得到信息的ICV 值,用于保证信息的完整性,具有单向性的特点。5.流量分析流量分析:一种被动攻击方法,统计节点间的通信流量,以分析节点间的某种关系。6.会话劫持所谓会话劫持,就是在一次正常的通信过程中, 黑客作为第三方参与到其中,或者是在数据流里注射额外的信息
12、,或者是将双方的通信模式暗中改变,即从直接联系变成交由黑客中转。文档收集自网络,仅用于个人学习攻击者重定向客户和服务器之间的数据流,使之经过攻击者的机器, 从而截获他们之间的通信,结合了嗅探以及欺骗技术在内的攻击手段。文档收集自网络,仅用于个人学习综合题:1. 源主机 A 要向目的主机 B 发送数据,为什么主机A 除知道目的主机B 的 IP地址外,源主机A还必须要知道目的主机B的 MAC 地址?文档收集自网络,仅用于个人学习答:IP 地址具有全网范围内的寻址能力,主机A 和主机 B可能分别处在不同网络,主机 A要访问主机 B 首先要知道主机B的 IP 地址,不然找不到主机B所在的网络;文档收集
13、自网络,仅用于个人学习在现行寻址机制中,主机的以太网网卡只能识别MAC 地址,而不能识别IP地址,若数据帧中不指明主机B 的 MAC 地址,主机 B 的网卡不能识别该帧是发给自己的,因此主机 A仅知道主机 B的 IP 地址还不够,还必须知道主机 B的 MAC地址,才能完成对主机B的访问;网络之间是用IP 地址寻址,网络之内(同一物理网段或称 IP 子网)是用 MAC 地址寻址;文档收集自网络,仅用于个人学习尽管 MAC 地址和 IP 地址一样都是在全网范围内唯一定义的,但MAC 的寻址能力仅局限在一个物理网段(一个IP 子网)中。文档收集自网络,仅用于个人学习2. Alice要把报文 M发送给
14、 Bob,Alice 和 Bob已经拥有了各自的数字证书,请按照下面两种不同的要求设计相应的安全方案:文档收集自网络,仅用于个人学习(1)报文 M不需要保密,但 Bob能够确认收到的 M没有被篡改,并且能确认M就来自于 Alice ;(2)报文 M需要保密,且 Alice和 Bob事先并没有约定好的共享密钥, 同时 Bob能确认报文 M的来源和完整性。文档收集自网络,仅用于个人学习(1)M|E(PRA, H( M) ) (4 分)(2)E(KAB, 【 M|E(PRA,H(M) ) 】 ) ) |E(PUB,KAB)精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页,共 4 页