计算机网络安全考试试卷

一、选择题（每题2分，共20分）

1、TELNET协议主要应用于哪一层（ A ）

A、应用层 B、传输层 C、Internet层 D、网络层

2、一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于（ A ）基本原则。

A、 最小特权 B、阻塞点 C、失效保护状态 D、防御多样化 3、不属于安全策略所涉及的方面是（ D ）。

A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略 4、WINDOWS主机推荐使用（ A ）格式

A、NTFS B、FAT32 C、FAT D、LINUX 5、在攻击远程漏洞时，困难在于（ D ）：

A、发现ESP B、计算偏移量 C、确定成功 D、上述所有 6、在X86攻击中哪个十六进制值通常用作NOP（ B ）？ A、0x41 B、0x90 C、0x11 D、0x00 7、（ D ）协议主要用于加密机制

A、HTTP B、FTP C、TELNET D、SSL 8、不属于WEB服务器的安全措施的是（ B ） A、保证注册帐户的时效性 B、删除死帐户

C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码

9、DNS客户机不包括所需程序的是（ D ）

A、将一个主机名翻译成IP地址 B、将IP地址翻译成主机名

C、获得有关主机其他的一公布信息 D、接收邮件

11、为了防御网络监听，最常用的方法是（ B ） A、采用物理传输（非网络） B、信息加密 C、无线网

D、使用专线传输

13、向有限的空间输入超长的字符串是（ A ）攻击手段。

A、缓冲区溢出 B、网络监听 C、端口扫描 D、IP欺骗

14、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（ A ）漏洞

A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 15、不属于黑客被动攻击的是（ A ）

A、缓冲区溢出 B、运行恶意软件 C、浏览恶意代码网页 D、打开病毒附件 16、不属于计算机病毒防治的策略的是（ D ） A、 确认您手头常备一张真正“干净”的引导盘 B、 及时、可靠升级反病毒产品

C、 新购置的计算机软件也要进行病毒检测 D、 整理磁盘

17、针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是（ D ）防火

墙的特点。

A、包过滤型 B、应用级网关型 C、复合型防火墙 D、代理服务型 18、关于RSA算法下列说法不正确的是（ A ） A、RSA算法是一种对称加密算法。 B、RSA算法的运算速度比DES慢。 C、RSA算法可用于某种数字签名方案。

D、RSA算法的安全性主要基于素因子分解的难度 19、计算机病毒的结构不包括以下（ D ）部分

A、引导部分 B、传染部分 C、表现部分 D、隐藏部分 20、下列属于非对称加密技术的是（ C ） A、IDEA B、AES C、RSA D、DES

21、计算机会将系统中可使用内存减少，这体现了病毒的（ B ） A、传染性 B、破坏性 C、隐藏性 D、潜伏性

22、黑客在程序中设置了后门，这体现了黑客的（ A ）目的。 A、非法获取系统的访问权限 B、窃取信息 C、篡改数据 D、利用有关资源

23、软件驻留在用户计算机中，侦听目标计算机的操作，并可对目标计算机进行特定操作的黑客攻击手段是（B ）

A、缓冲区溢出 B、木马 C、拒绝服务 D、暴力破解 24.TCP/IP协议安全隐患不包括( D ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 25.IDEA密钥的长度为( D ) A.56 B.64 C.124 D.128

26.在防火墙技术中，内网这一概念通常指的是( A ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 27.信息安全技术的核心是( A )

A.PKI B.SET C.SSL D.ECC

28.Internet接入控制不能对付以下哪类入侵者? ( C ) A.伪装者 B.违法者 C.内部用户 D.地下用户

29.通常为保证商务对象的认证性采用的手段是( C ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印

30.关于Diffie-Hellman算法描述正确的是( B )

A.它是一个安全的接入控制协议 B.它是一个安全的密钥分配协议 C.中间人看不到任何交换的信息 D.它是由第三方来保证安全的 31.以下哪一项不在证书数据的组成中? ( D ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 32.计算机病毒的特征之一是( B ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 二、填空题：（每空2分，共20分）

1、计算机安全技术研究的内容包括硬件实体安全、软件安全、数据安全、网络安全、病毒防治、防计算机犯罪。

2、美国国防部发表的评估计算机系统安全等级，计算机安全等级划分为4类8级，即A2、A1、B3、B2、B1、C2、C1、D级，其中UNIX系统、XENIX、Novell、WindowsNT 属于C2级。在A级系统构成的部件来源必须有安全保证。我国计算机安全等级分五个等级从低到高依次是：用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级。我国先后出台了一系列信息安全保护条例，如《中华人民共和国计算机信息系统安全保护条例》等。

3、常用的软件保护技术包括：系列号方式、时间限制、NAG窗口、KEYFile 保护、功能限制的程序、CD-check。在进行软件的破解、解密工作中，一个首要的问题是对软件进行分析，常用的分析方法包括：静态分析技术、动态分析技术。

4、凯撒密码加密是将密文字母相对明文字母循环左移了三位，I will wait you at the zoo afternoon.用凯撒密码加密后 。

5、数字签名可保证数据的机密性、完整性和不可抵赖性。哈希函数可将任意长度的报文产生固定长度的比特串，其两个重要的特性是混肴特性和抗碰撞特性。

6、数据库中并发控制不当会造成数据的不一致，其并发控制是以事务为单位，通常使用封锁技术实现。

7、计算机病毒的众多特征中，传染性、潜伏性、触发性和破坏性是它的基本特征。计算机完整的工作过程包括以下几个环节：传染源、传染介质、病毒触发、病毒表现、传染。 8、病毒软件寄生在其它文件中，可以自我复制、可以感染其它文件，其目的是破坏文件和系统，可分为引导型病毒、文件型病毒、混合型病毒；黑客软件能寄生，不可复制和感染文件，黑客通过Email或冒充可供下载的文件被用户不经意下载运行。该用户的启动文件和注册表会被修改，黑客会通过网络找到它，盗取用户密码和监控系统。

9、网络安全的目标：可靠性、可用性、保密性、完整性、不可抵赖性。实现的安全服务有鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖服务。常用的网络安全技术数据加密技术、防火墙技术、网络安全扫描技术、网络入侵检测技术、黑客诱骗技术、无线局域网安全技术；

10、防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。它通过检测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行情况，以此实现网络的保护。其对数据的处理方法大致分为两类：包过滤防火墙和代理防火墙。

11 攻击UNIX的方法有：（ FTP攻击 ）、（ RPC攻击 ）和用Sendmail攻击。 13、Web服务器是驻留在服务器上的一个程序，它和用户浏览器之间使用（ HTTP ）进行相互通信。

14、根据检测方式来分类，入侵检测系统可分为（异常检测）和（误用检测 ） 15、（包过滤防火墙 ）是最简单的防火墙，只包括对源和目的IP地址及端口进行检查。 16、（ 扫描器 ）是自动检测远程或本地主机安全性漏洞的程序包。

17.MD-4散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( 512 )

18.SHA的含义是( 安全散列算法 )

19.阻止非法用户进入系统使用( 接入控制技术 )

20.以下不是数据库加密方法的是( 信息隐藏 )

三、名词解释（每题5分，共20分） 1、 防火墙

在计算机网络中，“防火墙”指一种将内部网和公众访问网分开的方法，实质是一门隔离技术。能增强内部网络的安全性。

2、 拒绝服务

指一种常见的恶作剧的攻击方式，它使服务器忙于处理一些乱七八糟的任务，消耗大量的处理时间，以至于服务器无暇顾及用户的请求。

3、 黑客

指利用通信软件，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为。

4、 对称加密技术

在对称加密技术中加密和解密过程采用同一把密钥，通信时双方必须都具备这把密钥，并保证密钥不被泄露。

四、判断

1.安全法规、安全技术和安全管理，是计算机信息系统安全保护的三大组成部分。 答案：Y

2.计算机信息系统安全包括实体安全、信息安全、运行安全和人员安全等部分。 答案：Y

3.计算机信息系统的安全威胁同时来自内、外两个方面。 答案：Y

4.计算机信息网络脆弱性引发信息社会脆弱性和安全问题。 答案：Y

5.对全国公共信息网络安全监察工作是公安工作的一个重要组成部分。 答案：Y

四、简答题：（每题6分共24分） 1、 简述安全漏洞的类型：

（1）允许拒绝服务的漏洞。（2）允许有限权限的本地用户提高其权限的漏洞。（3）允许外来团体未经授权访问网络的漏洞。 2、简述缓冲区溢出的原理。

如一个程序由C语言编写的，C语言的一些函数如Strcpy等是不检查缓冲区的，在某些情况下，如果输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。黑客通过重写堆栈中存储的内容，以使程序在返回时跳转到shellcode去执行，从而达到控制主机的目的。

3、简述RSA加密算法。假如p=7,q=11求出公私钥e,d.(同学们自己做出) 选取两个大素数，p和q。p和q的长度相似。

计算乘积：npq（公开） (n)(p1)(q1)（不公开）

然后随机选取加密密钥e（公开），使e和(n)互素。计算出解密密钥d(不公开)，以满

1足：demod(n)。此时素数p和q就不需要了。

加密消息M时，先将其数字化，转化成数字序列，并分组，每个分组长度相同且小于n的长度。加密公式为：

解密公式为：

cimiemodnmicidmodn

4、病毒防火墙的反病毒特点。

病毒防火墙能够对计算机病毒起到“过滤“作用，体现在：（1）保护计算机系统不受来自于各方面病毒的危害。包括本地资源和”远程“网络资源。（2）对计算机系统提供的保护应该着眼于整个系统并且是双向的，即病毒防火墙还应该对本地系统内的病毒进行“过滤”，防止它向网络或传统的存储介质扩散。 5 简述代理防火墙和包过滤防火墙的优缺点？

包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。

代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。

代理服务器是防火墙技术的发展方向，众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。

6 对安全的攻击可分为哪几种?

答：网络窃听：监听局域网信道，窃取有用的数据分组，分析破解用户名、密码等； IP 欺骗 ：在通信系统中主动插入和删除信息分组，发送一个来自被信任计算机的伪造信息分组，以使目的计算机信任并接收；

路由攻击：攻击者告诉网上的两个结点，它们之间最近的传输线路就是经过他这台计算机的路径，这就使该台计算机的侦听变得更容易；（ARP病毒） 拒绝服务（DOS）攻击：

（1） 发送 SYN 信息分组：对网络上一台计算机提出大量的通信请求，使该台计算机崩溃，且难以跟踪攻击源；

（2） 邮件炸弹：给某人发送过量的电子邮件可使他的系统满载直至崩溃； 拒绝服务攻击的对象不同，可以是邮件服务器、路由器或 Web 服务器等。

分布式拒绝服务（DDOS）攻击：这种攻击与传统的拒绝服务攻击一样，只不过进攻源不只一个。

数据驱动攻击：数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

1、简要说明信息安全、网络安全、计算机安全之间的区别？

答：信息安全是防止信息财产被故意的或者偶然的非授权泄露、更改、破坏。

网络安全则侧重信息在传输过程中的安全性。 计算机安全则是单机系统的安全访问控制。 7、列举几种获取目标网络信息的方法。6分

答：搜索引擎、扫描踩点、监听嗅探

8、如果你怀疑自己的计算机被黑客远程控制或被蠕虫感染，你计划采用哪些步骤检查自己的计算机？

答：断网、进程查看、网络端口查看、进程程序关联、自启动方式、查杀。

9、ARP代表什么意思？有何用处？如何实施ARP欺骗？画出欺骗示意图，在图上标明欺骗步骤、各步骤的功能！ 答：

(在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的。 以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的mac地址，直接把目标的mac地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播,目标mac地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“192.168.1.1的mac地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“192.168.1.1的mac地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的mac地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。) ARP代表地址解析协议，用于完成IP地址和MAC地址的转换。

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

（一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。）

10、为什么防火墙需要在进出两个方向上对数据包进行过滤？如果在某个方向上不进行过滤会有什么后果，举例说明！应用代理和分组过滤防火墙的各自优缺点是什么？

答：在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。

应用代理工作在应用层，可以对分组内容进行安全检查和过滤。

分组过滤防火墙工作在网络层，只能对网络层协议头或者链路层协议头进行过滤，功能稍微弱一点，但是速度快，且对用户透明。

六、 什么是理论安全(无条件安全)，什么是实际安全(计算上安全)？（10分）

答：理论安全，或无条件安全： 攻击者无论截获多少密文，都无法得到足够的信息来唯一地决定明文。Shannon 用理论证明：欲达理论安全，加密密钥长度必须大于等于明文长度，密钥只用一次，用完即丢，即一次一密，One-time Pad，不实用。

实际安全，或计算上安全： 如果攻击者拥有无限资源，任何密码系统都是可以被破译的；

但是，在有限的资源范围内，攻击者都不能通过系统地分析方法来破解系统，则称这个系统是计算上安全的或破译这个系统是计算上不可行。

七、IPSec包括几个子协议，各个子协议的用途？AH的两种工作模式是什么？及其封包格式？

答：IPSec包括AH（认证头）、ESP（封装有效载荷）和IKE(密钥交换)三个子协议。AH可实现包括IP头中不变字段和IP包数据部分完整性认证，ESP可实现加密和完整性认证。

八、分析填写包过滤防火墙路由表，过滤条件是双向允许ftp服务；

ftp服务

client

外部

往内包的特性(用户操作信息)

server

内部



• • • • •

IP源是外部地址 目标地址为本地server TCP协议，目标端口23 源端口>1023

连接的第一个包ACK=0，其他包ACK=1 • IP源是本地server • 目标地址为外部地址 • TCP协议，源端口23

 往外包的特性(显示信息)

• 目标端口>1023

• 所有往内的包都是ACK=1

服务方向 出 出 入 入

包的方向 出 入 入 出 源地址 目的地址 内部 外部 外部 内部 外部 内部 内部 外部 协议 TCP TCP TCP TCP 源端口 >1023 21 >1023 21 目的端口 ACK 21 >1023 21 >1023 any 1 any 1 九、写出如下图所示两个安全网关之间数据包应用安全服务后，数据包的封包格式（两主机之间采用传输模式，两网关之间采用隧道模式）；