网络安全 试题 复习题 简答题 问答题 完整

计算机网络安全教程复习资料

名词解释

防火墙:是指隔离在本地网络与外界网络之间的一道防御系统，在互联网上它是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不妨碍安全区域对风险区域的访问

网络蠕虫：是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的结点主机，通过局域网或者互联网从一个结点传播到另一个结点。 IPSec：一套用于保护IP通信的IP安全协议（IP Security）

数字签名：用户用自己的私钥对原始数据的哈希摘要进行加密所得到的数据

PKI：公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。

数字水印：是指在数字化的数据内容中嵌入不明显的记号，被嵌入的记号通常是不可见或不可察的，但通过计算机操作可以检测或被提取

SSL/TLS：SSL是在网络传输层之上提供的一种基于RSA和保密密钥的安全连接技术 TLS是传输层安全协议

恶意代码：黑客们编写的扰乱社会和他人的计算机程序的代码 PGP（完美隐私）是一个基于RSA公钥加密体系的邮件加密软件

安全策略：指有关管理、保护和发布敏感信息的法律、规定和实施细则

IDS：入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。

安全模型：是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架 DDos：分布式拒绝服务

病毒：一种把自己的拷贝附着于机器中的另一程序上的一段代码

逻辑炸弹：是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。 第1章(P27) 一、选择题

1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。

2. 信息安全从总体上可以分成5个层次，密码技术 是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性，完整性，可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题

1. 信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React），恢复（Restore）。

2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform，以提高整体的安全性。

3. 从1998年到2006年，平均年增长幅度达50％左右，使这些安全事件的主要因素是系统和网络安全脆弱性（Vulnerability）层出不穷，这些安全威胁事件给Internet带来巨大的经济损失。

4. B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都

1

要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。 三、简答题

1. 网络攻击和防御分别包括哪些内容？ 答：①攻击技术：网络扫描，网络监听，网络入侵，网络后门，网络隐身

②防御技术：安全操作系统和操作系统的安全配置，加密技术，防火墙技术，入侵检测，网络安全协议。

2. 从层次上，网络安全可以分成哪几层？每层有什么特点？ 答：从层次体系上，可以将网络安全分为4个层次上的安全： （1）物理安全 特点：防火，防盗，防静电，防雷击和防电磁泄露。

（2）逻辑安全 特点：计算机的逻辑安全需要用口令、文件许可等方法实现。

（3）操作系统 特点：操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。

（4）联网安全 特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全？ 答：：网络需要与外界联系，同时也就受到许多方面的威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。 物理威胁：偷窃、废物搜寻、间谍行为、身份识别错误；

系统漏洞造成的威胁：乘虚而入、不安全服务、配置和初始化错误； 身份鉴别威胁：口令圈套、口令破解、算法考虑不同、编辑口令； 线缆连接威胁：窃听、拨号进入、冒名顶替；

有害程序威胁：病毒、代码炸弹、特洛伊木马。

目前，研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的经济、军事等领域。 第2章（P56） 一、选择题

1. OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。

2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中，DNS使用 UDP协议。 二、填空题

1. 网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。

2. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。

3. 目前E-mail服务使用的两个主要协议是 简单邮件传输协议和邮局协议。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过程的次数一起显示出来。

5. 使用“net user”指令查看计算机上的用户列表 三、简答题

1. 简述OSI参考模型的结构

答：OSI参考模型是国际标准化组织制定的模型，那计算机与计算机之间的通信分成7个互

2

相连接的协议层，结构如下：（自下而上的结构）

物理层——负责传送比特流，从数据链路层接受数据帧，并将帧的结构和内容串行发送。 数据链路层——发送和接收数据，还要提供数据有效传输的端到端连接。 网络层——完成网络中主机间的报文传输。

传输层——完成网络中的不同主机上的用户进程间可靠的数据通信。

会话层——绘画出呢个允许不同机器上的用户之间建立会话关系，可以传送数据，也可以在某些场合还提供了一些有用的增强型服务，允许用户利用一次会话在远端的分时系统上登录，或者在两台机器间传送文件。

表示层——表示层关心的是所传送的信息的语法和语义。 应用层——它包含大量人们普遍需要的协议。

2. 简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。 答：. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。

网络接口层——包括物理连接、传输的所有功能。

网络层——网络层由在两个主机之间通信必需的协议组成，通信的数据报文必须是可路由的。网络层必须支持路由和路由管理。该层常见的协议有：IP协议，ICPM协议，IGMP协议，该层可能受到的威胁是IP欺骗攻击，保护措施是使用防火墙过滤和打系统补丁。 传输层——网络中对数据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流 ，该层包括两个协议：TCP协议和UDP协议。

应用层——应用层提供远程访问和资源共享，它包括的服务有Telnet服务,FTP服务,SMTP服务和HTTP服务等。简单邮件传输协议（SMTP）易受到的威胁有：邮件炸弹，病毒，匿名邮件和木马等。保护措施：认证、附件病毒扫描和用户安全意识教育。文件传输协议（FTP）易受到的威胁有：明文传输，黑客恶意传输非法使用等。保护措施：不许匿名登录，单独的服务器分区，禁止执行程序等。超文本传输协议（HTTP）易受到的威胁有恶意程序。 5.简述常用的网络服务和提供服务的默认端口。

答：FTP服务，默认的端口是20（用来传送数据）和21（用来传送命令）； Telnet服务，默认端口是23，是通过网络登录远程服务器的方式；

E-mail服务，它主要有简单邮件传输协议（SMTP）和邮局协议(POP)，SMTP默认端口是25，用来发送邮件，POP端口是110，用来接收邮件。 Web服务，使用HTTP协议，其默认端口是80端口。

6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令、tracert指令的功能和用途。 答：ping指令：通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，它用于检测网络的连接性和可到达性，如果不带参数，将显示帮助。

ipconfig指令：显示所有TCP/IP网络配置信息、刷新动态主机配置协议和域名系统设置，使用不带参数的该指令，可以显示所有适配器的IP地址、子网掩码和默认网关。 netstart指令：显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP，ICMP，TCP，UDP）,可以用来查看网络是否被入侵。

net指令：在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。

at指令：与对方建立连接后，使用at命令建立一个计划任务，并设置在某一时刻执行。 tracert指令：它是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。 第4章(P124) 一、选择题

1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。

3

2. 对非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描。

二、填空题

1. 扫描方式可以分成两大类：慢速扫描和乱序扫描。

2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。

3. 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身 三、简答题与程序设计题

2. 黑客在进攻的过程中需要经过哪些步骤？目的是什么？

答：（1）隐藏IP：IP隐藏使网络攻击难以被侦破。（2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。（4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。（5）在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。

5扫描分成哪两类？每类有什么特点？可以使用哪些工具进行扫描、各有什么特点？ 答：扫描的方式有两种：被动式策略和主动式策略。

主动式策略：它是基于网络的，通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞；它会对系统造成破坏；使用的工具软件有：X-Scan-v2.3工具软件，活动主机探测程序QckPing,扫描全才scanlook，经典扫描工具流光等等

被动式策略：它是基于主机之上，对系统中不适合的设置、脆弱的口令及其他同安全规则抵触的对象进行检查；它不会对系统造成破坏；使用的工具软件有：GetNTUser工具软件，PortScan工具软件，Shed工具软件等等

6.网络监听技术的原理是什么？

答：原理：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包，不能监听不同网段的计算机传输的信息。 第5章(P157) 一、选择题

1. 打电话请求密码属于社会工程学攻击方式。

2. 一次字典攻击能否成功，很大因素上决定于字典文件。 3. SYN风暴属于拒绝服务攻击攻击。 4. 下面不属于DoS攻击的是TFN攻击。 二、填空题

1. 字典攻击是最常见的一种暴力攻击。

2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。

3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。

4

三、简答题

1.简述社会工程学攻击的原理。

答：就是使用一些计谋和假情报去获得密码和其他敏感信息，其主要包括两种方式；打下电话请求密码；伪造E-mail。

3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应当如何防御？

答 ：暴力攻击是指试图使用计算机和信息去破解一个密码。

破解操作系统用户密码：字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功，则显示密码。 破解邮箱密码：利用pop3软件工具，该软件提供了可以选择的字典文件配置方案，以及分别对计算机和网络环境进行优化的攻击算法：深度算法、多线程度算法、广度算法和多线程广度算法。该程序可以每秒50到100个密码的速度进行匹配。

破解Word文档的密码：使用软件工具Advanced Office XP Password Recovery,单击工具栏按钮“Open File”,打开word文档，打开成功后会在“Log Window”中显示成功打开的消息；设置密码长度最短的是1位，最长是3位，单击工具栏的“开始“图标，开始破解密码，大约两分钟后，密码被破解。

针对暴力攻击可以通过监测暴力攻击来侦测到。比如也可以通过结合大小写字母、数字和通配符来击败字典攻击。

4. 简述Unicode漏洞的基本原理

答：浏览器地址栏中禁止用符号“../”，但是可以使用符号“/”的Unicode的编码，这样就可以访问到系统盘根目录，访问到系统的系统目录，该目录下有很多重要的系统文件，这样本机的信息就会暴露。

5. 简述缓冲区溢出攻击的原理

答：当目标操作系统收到了超过了它的能接受的最大信息量是，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。 6. 简述拒绝服务的种类与原理。

答：所谓的拒绝服务攻击就是造成目标计算机拒绝提供服务的攻击。目的就是是目标计算机或网络无法提供正常的服务。例如，

SYN风暴：攻击者伪造主机不可达的IP地址作为源地址，为了使拒绝服务的时间长于超时所用的时间，攻击者会持续不断地发送SYN包。

Smurf攻击：结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。

利用处理程序错误进行攻击：利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误的设定数据包头的一些重要字段。将这些错误的IP数据包发送出去。在接收端，服务程序通常都存在一些问题，因而再将接收到的数据包组装成一个完整的数据包的过程中，就会是系统当机、挂起或崩溃，从而无法继续提供服务。如：Ping of Death攻击，Teardrop攻击，Land攻击。

9. 简述DDoS的特点及常用的攻击手段，如何防范？

答：分布式拒绝服务攻击（DDoS）的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台、数百台甚至上千台机器的力量对单一攻击目标实施攻击。在悬殊的带宽力量对比下，被攻击的主机会很快因不胜重负而瘫痪。

常用的攻击手段：攻击者——>主控端——>分布端——>目标主机。第一：初始的大规模入

5

侵阶段，在该阶段，攻击者使用自动工具扫描远程脆弱主机，并采用典型的黑客入侵手段得到这些主机的控制权，安装DDoS大理段/分布端，这些主机也是DDoS的受害者。目前还没有DDoS工具能够自发完成对代理端的入侵；第二：大规模DoS攻击阶段，通过主控端和代理端/分布端对目标受害主机发起大规模拒绝服务攻击。 防范拒绝攻击：

破坏物理设备：措施有例行检查物理实体的安全；使用容错和冗余网络硬件的方法，必要时迅速实现物理设备切换，从而保证提供正常的应用服务。

破坏配置文件：管理员首先要正确设置系统及相关软件的配置信息，并将这些敏感信号备份到软盘等安全介质上；利用Tripwire等工具的帮助及时发现配置文件的变化，并迅速恢复这些配置信息保证系统和网络的正常运行。

利用网络协议或系统的设计弱点和实现漏洞：需要重新设计协议，加入更多的安全控制机制。 消耗系统资源：及时给系统打补丁，设置正确的安全策略；定时检查系统安全；建立资源分配模型；优化路由器配置；利用第三方的日志分析系统；使用DNS来跟踪匿名攻击；对于重要的WEB服务器，为一个域名建立多个镜像主机。 第6章(P192) 一、选择题

1. 网络后门的功能是保持对目标主机长久控制。

2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。

3. 木马是一种可以驻留在对方服务器系统中的一种程序。 二、填空题

1. 后门的好坏取决于被管理员发现的概率。

2. 木马程序一般由两部分组成：服务器端程序和客户端程序。

3. 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能， 后门程序功能比较单一

三、简答题

2. 如何留后门程序？列举三种后门程序，并阐述原理及如何防御。

答：网络后门是保持对目标主机长久控制的关键策略，可以通过建立服务端口和克隆管理员账号来实现。 （具体的例子大家就自己找吧） 4. 简述木马由来，并简述木马和后门的区别。

答：木马是一种可以驻留在对方服务器系统中的一种程序。它有两部分组成：服务器端程序和客户端程序。驻留在对方服务器的称为木马的服务器端，远程的可以连接到木马服务器程序称为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。 木马与后门的区别：木马程序在表面上看上去对计算机没有任何损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能；本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。

5. 简述网络代理跳板的功能。

答：功能：当从本地入侵其它主机时，本地IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其它主机，这样就会留下代理跳板的IP地址而有效地保护自己的安全。

第7章（P208） 一、选择题

1. 黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。

6

2. 2003 年，SLammer 蠕虫在10 分钟内导致 90％互联网脆弱主机受到感染。 3. 造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。

4. 下面是恶意代码生存技术是加密技术和模糊变换技术。 5. 下面不属于恶意代码攻击技术是自动生产技术。 二、填空题

1. 恶意代码主要包括计算机病毒（Virus）、 蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

2. 恶意代码80 年代发展至今体现出来的3个主要特征：恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。

3. 早期恶意代码的主要形式是计算机病毒。

4. 隐藏通常包括本地隐藏和通信隐藏，其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。 5. 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。 三、简答题

4. 说明恶意代码的作用机制的6个方面，并图示恶意代码攻击模型 答：（1）侵入系统：是恶意代码实现恶意目的的必要条件。（2）维持或提升现有特权：恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。（3）隐蔽策略：为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。 （4）潜伏：恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。（5）破坏：恶意代码的本质具有破坏形，其目的是造成信息丢失、泄密，破坏系统完整性等。 （6）重复（1）至（5）对新的目标实施攻击过程。

5. 简述恶意代码的生存技术是如何实现的

答：生存技术主要包括4方面：反跟踪技术、加密技术、模糊变换技术、自动生产技术。 反跟踪技术可以减少被发现的可能性，加密技术是恶意代码自身保护的重要机制。 1.反跟踪技术：（1）禁止跟踪中断。（2）封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境；（3）检测跟踪法。（4）其它反跟踪技术。如指令流队列法和逆指令流法等。 2. 加密技术:加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。3.模糊变换技术4. 自动生产技术

7

6. 简述恶意代码如何实现攻击技术

答：恶意代码攻击技术：常见的攻击技术包括：进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。1. 进程注入技术：当前操作系统中都有系统服务和网络服务，它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体，恶意代码程序将自身嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。2. 三线程技术：三线程技术就是指一个恶意代码进程同时开启了三个线程，其中一个为主线程，负责远程控制的工作。3. 端口复用技术：端口复用技术，系指重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。4. 超级管理技术：为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，使反恶意代码软件无法正常运行。5. 端口反向连接技术：端口反向连接技术，系指令恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。6. 缓冲区溢出攻击技术：缓冲区溢出攻击成为恶意代码从被动式传播转为主动式传播的主要途径。 8. 简述蠕虫的功能结构

答：网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块，实现了主体功能模块的蠕虫那个能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。

主体功能模块：

信息搜集模块，对目标网络或本地网络进行信息搜索，如本机系统信息、用户信息、邮件列表、边界路由信息，本机所处网络的拓扑结构，等等，这些信息可以单独使用或被其他个体共享。

扫描探测模块，完成对特定主机的脆弱性检测，决定采用何种的攻击渗透方式。

攻击渗透模块，该模块利用扫描探测模块获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的。 自我推进模块，该模块采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。

辅助功能模块：

实体隐藏模块，包括对蠕虫各个实体组成部分的隐藏、变形、加密及进程的隐藏，主要提高蠕虫的生存能力。

宿主破坏模块，该模块用来摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机留下后门等。

信息通信模块该模块能使蠕虫间、蠕虫同黑客间能进行交流，这是未来蠕虫发展的重点，利用通信模块，蠕虫间可以共享某些信息，是蠕虫的编写者更好地控制蠕虫行为。 远程控制模块，控制模块的功能是调整感染主机，执行蠕虫编写者下达的指令。

自动升级模块，该模块可以使蠕虫编写者随时更新其他模块的功能，从而实现不同的攻击目的。

第8章(P245) 一、选择题

1. Linux是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intel x86系列CPU的计算机上。

2. 操作系统中的每一个实体组件不可能是既不是主体又不是客体。

3. 安全策略 是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基。

8

5. 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 二、填空题

1.操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有它的安全性，信息系统的安全性是没有基础的。 2. Multics是开发安全操作系统最早期的尝试。

3. 1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（Access Matrix）的思想第一次对访问控制问题进行了抽象。 4. 访问控制机制的理论基础是 访问监控器（Reference Monitor），由J.P.Anderson首次提出

5. 计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、 运行保护、I/O保护等。

6. Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性。 三、简答题

2.简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。 答：审核策略：对涉及系统安全的操作做一个完整的记录。为系统进行事故原因的查询、定位，事故发生前的预测、报警及事故发生后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点、过程和负责人。

密码策略：密码对系统很重要，通过设置密码复杂性要求、密码长度最小值、密码最长存留期、强制密码历史开启密码策略来保护系统。

账户策略：通过设置复位账户锁定计数器、账户锁定时间和账户锁定阈值来保护账户，如果某一用户连续尝试n次登陆都失败后将自动锁定该账户，n分钟后自动复位被锁定的账户。 3. 如何关闭不需要的端口服务？

答：设置本机开放的端口和服务，在IP地址设置窗口中单击“高级”按钮，在出现的“高级TCP/IP设置”对话框中选中选择“选项”选项卡，选择“TCP/IP筛选”，单击“属性“按钮，设置完端口属性。

要留意服务器上开启的所有服务并每天检查，可以禁用一些服务。

8. 简述安全操作系统的机制。

答：安全操作系统的机制包括：硬件安全机制、操作系统的安全标识与鉴别、访问控制、最小特权管理、可信通路和安全审计。

硬件安全机制——为保证自身的可靠性和为系统提供基本安全机制，其中基本安全机制包括存储保护、运行保护和I/O保护等。

操作系统的安全标识与鉴别——标识就是系统要标识用户的身份，并为每一个用户取一个系统可以识别的内部名称。将用户标识符与用户联系的过程称为鉴别，用以识别用户的真实身份。

访问控制——访问控制一般涉及自主访问控制（DAC）和强制访问控制（MAC），DAC指用来决定一个用户是否有权访问一些特定客体的一种访问约束机制，MAC作为更强有力的安全保护方式，使用户不能通过意外事件和有意识的误操作逃避安全控制。 最小特权管理——系统不给用户超过执行任务所需要特权以外的特权，从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。 可信通路——用来保障用户和内核的通信的机制。

安全审计——对系统中有关安全活动进行记录、检查及审核，来检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。 第9章(P274)

9

一、选择题

1. RSA算法是一种基于大数不可能质因数分解假设的公钥体系。 2. 下面哪个属于对称算法序列算法。

3. DES算法的入口参数有3个：Key，Data和Mode。其中Key为 64位，是DES算法的工作密钥。

4. PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。 二、填空题

1. 两千多年前，罗马国王就开始使用目前称为“恺撒密码”的密码系统。

2. 2004年8月，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL－128、MD4和RIPEMD等四个著名密码算法的破译结果。 3. 除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。 4. 数字水印应具有3个基本特性： 隐藏性、鲁棒性和安全性

5. 用户公私钥对产生有两种方式：用户自己产生的密钥对和CA为用户产生的密钥对。 6. 常见的信任模型包括4种：严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。 三、简答题,

1密码学包括包含哪些概念？有什么功能？

答：包括消息和加密、算法和密钥、对称算法和公开密钥算法等等

消息和加密：消息被称为明文，用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文。

计算机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科，也是一门新兴的学科。它可用来保密传递的信息。与密码学相关学科的可分为3个方面：密码学，研究性息系统安全保密的科学；密码编码学，主要研究对信息进行编码，实现对信息的隐藏；密码分析学，主要研究加密消息的破译或消息的伪造。 2简述对称加密算法的基本原理。

答：该算法也称为传统密码算法，加密密钥能够从解密密钥中推算出来，反之，解密密钥也能够从加密密钥中推算出来，在大多数对称算法中，加解密的密钥是相同的。它要求发送者和接收者在安全通信之前，协商一个密钥。 4.简述公开密钥算法的基本原理。

答：这种算法的加密与解密的密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。其中，加密密钥能够公开，但只有用相应的解密密钥才能解密信息。 第10章(P301) 一、选择题

1. 仅设立防火墙系统，而没有安全策略，防火墙就形同虚设。 2. 下面不是防火墙的局限性的是不能阻止下载带病毒的数据。

3.分组过滤防火墙作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

4. 下面的说法错误的是 DMZ网络处于内部网络里，严格禁止通过DMZ网络直接进行信息传输。

5. 下面不属于入侵检测分类依据的是 静态配置。

二、填空题

1.防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。

10

2. 常见的防火墙有3种类型：分组过滤防火墙，应用代理防火墙，状态检测防火墙。 3. 常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。

4. 入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。

5. 入侵检测的3个基本步骤：信息收集、 数据分析和响应。 三、简答题

2. 简述防火墙的分类，并说明分组过滤防火墙的基本原理。

答: 防火墙有3种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。 分组过滤防火墙的基本原理:

（1）防火墙审查每个数据包以便确定其是否与某一条过滤规则相匹配。

（2）过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、TCP、UDP目的端口和ICMP消息类型等。

（3）如果包的信息匹配规则，那么该数据报就会按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。 3.常见的防火墙模型有哪些？比较它们的优点。

答：防火墙模型有4种：

（1）筛选路由器模型：是网络的第一道防线，实施包过滤。

(2) 单宿主堡垒主机模型：它是现了网络层安全和应用层安全。它由包过滤路由器和堡垒主机组成。

（3）双宿主堡垒主机模型：构造了更加安全的防火墙系统，它有两种网络接 口，在物理结构上强行使所有去往内部网络的信息必须经过堡垒主机。

（4）屏蔽子网模型：它用了两个包过滤路由器和一个堡垒主机，它是最安全的防火墙系统之一。网络管理员将堡垒主机、信息服务器、Modem组，以及其他公用服务器放在DMZ（“中立区”）网络中。要想突破它，就必须攻破以上三个单独的设备。 7． 什么是入侵检测系统？简述入侵检测系统目前面临的挑战。

答：入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非法授权使用能够做出及时判断、记录和报警。 入侵检测系统目前面临的挑战有：一个有效的入侵检测系统应限制误报出现的次数，但同时又能那个有效截击。没有一个入侵检测呢个无敌于取保，因为没有一个应用系统不会发生错误，主要原因有4个：（1）缺乏共享数据的机制；(2)缺乏集中协调的机制；(3)缺乏揣摩数据在一段时间内变化的能力；(4)缺乏有效的跟踪分析

攻击来自于四面八方，有着不同的种类的漏洞的广泛分布异构计算机系统，使入侵检测系统很难对付，尤其是这样的系统有大量未经处理的流动数据，而实体间又缺乏通信及信任机制。

第11章（311） 一、 选择题

1. AH协议、ESP协议可以证明数据的起源地、保障数据的完整性及防止相同数据包在Internet重播 2. ESP除了AH提供的所有服务外，还提供机密性服务 3. 快速交换作用是为除IKE之外的协议协商安全服务

4. IPSec属于网络层上的安全机制

5. 握手协议用于客户机和服务器建立起安全连接之前一系列信息的安全信道 二、 填空

11

IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足

IPSec协议族包括两个安全协议ESP协议和AH协议

IPSec的作用方式有两种：传输模式和隧道模式，他们都可用于保护通信

IKE是一种混合型协议，他建立在由ISAKMP定义的一个框架上，同时实现了Oakley和SKEME协议的一部分

对于第一阶段，IKE交换基于两种模式：主模式和野蛮模式

虚拟专用网VDN指通过一个公用网络建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道，是对企业内部网的扩展

Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议 SSL被设计用来提供一个可靠的端到端安全服务，为两个通信个体之间提供保密性和完整性 三、 简答

2、简述IP安全的作用方式

答：IP安全的实现方式有两种：传输模式和隧道模式，都可以用于保护通信。

传输模式：它用于两台主机之间，保护传输层协议头，实现端到端的安全性；当数据包从传输层传送给网络层时，AH协议和ESP协议会进行拦截，在IP头与上层协议之间需插入一个IPSec头；当同时应用AH协议和ESP协议到传输模式时，应该先应用ESP协议，再应用AH协议。

隧道模式：用于主机与路由器或两部路由器之间，保护整个IP数据包；将整个IP数据包进行封装，然后增加一个IP头，并在外部与内部IP头之间插入一个IPSec。

5、说明Web安全性中网络层、传输层和应用层安全性的实现机制

答：网络层安全性：基于网络层使用IPSec来实现Web安全，IPSEc可提供端到端的安全机制，可在网络层上对数据包进行安全处理。

传传输层安全性：在TCP传输层之上实现数据的安全传输是另一种安全解决方案，安全套阶层SSL和TLS（传输层安全）通常工作在TCP层之上，可以为更高层协议提供安全服务。 应用层安全性：将安全服务直接嵌入在应用程序中，从而在应用层实现通信安全；SET（安全电子交易）是一种安全交易协议，S/MIME（安全多用途英特网邮件扩张）、PGP都是用于安全电子邮件的标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。 第十二章 一．选择题

1．在设计网络安全方案中，系统是基础、 人 是核心，管理是保证。

2．下面属于常用安全产品的有 A B C D 。A.防火墙B.防病毒C.身份认D.传输加密 二．填空题

1．安全原则体现在5个方面：动态性、唯一性、 整体性 、专业性和严密性。

2． 安全服务 不是产品化的东西，而是通过技术向用户提供的持久支持。对于不断更新的安全技、安全风险和安全威胁，其作用变得越来越重要。

3．实际安全风险分析一般从4个方面进行分析：网络的风险和威胁分析， 系统的风险和威胁分析 ， 应用的分析和威胁分析 ，对网络、系统和应用的风险及威胁的具体实际的详细分析。

一、简答题：（每题5分，共20分）

1．在对账号的管理上，有哪些措施可以提高账号的安全性？ 答： 1）帐号建立后应该有专门的人来负责，根据需要赋予其不同的权限，并且归并到

12

不同的用户组中；

2）如果帐号不再使用，管理员应该立即从系统中删除，以防黑客借用那些长久不用的帐号入侵系统；

3）启用系统的账户管理策略，如密码策略中的密码复杂性等策略，还有账户锁定策略等。在方便的前提下尽可能附加多的安全策略。

2．防火墙与杀毒软件作用一样吗？为什么？

答： 不一样。防火墙起的是一种防范作用。防火墙可以是纯硬件的也可以是纯软件的，同时也可以是软件和硬件结合的。它就像在内部网和外部网之间的一堵墙，用来过滤信息，但无法识别所传输的数据内容是什么。而杀毒软件是一种软件，可能一些杀毒软件会起到一些防火墙的作用识别数据的大致内容来和病毒库进行对比，杀毒软主要还是起杀毒作用，它是在本地或者内部已经被入侵或感染的情况下进行杀毒和排除风险的。

3．设置密码时，应注意哪些问题？ 答：

1）不要使用简单的数字组合更不要是有顺序的数字组合； 2）尽量避免使用生日身份证号等证件的数字组合设置密码； 3）不要使用的有意义的字母或数字组合设置密码；

4）不要使用个人信息设置密码；

5）设置密码时要尽长而且量简单好记，但要遵循密码的复杂性； 6）不同的账户尽量不要使用相同的密码；

7）没有绝对安全的密码，所以密码要定期更换才比较安全

4．网络安全设计原则有哪些？ 答： 1）系统性与整体性原则；

2）一致性原则； 3）木桶原则； 4）等级性原则；

5）风险与代价平衡性原则。

二、综述题：（每题20分，共40分）

1．作为个人计算机，你可以采用哪些安全措施来保障操作系统安全？ （至少6条） 答： 1）开启防火墙；

2）装杀毒软件； 3）关闭不用的共享； 4）加强自主访问控制；

5）设置权限；要尽量遵循最小特权原则； 6）、对所有主体以及其所控制的客体实施强制访问控制；

2．假如你是某一企业的网络管理员，你可以采用哪些安全措施来保障网络安全？（至少6条）

13

答：

1）设置访问权限； 2）设置共享权限； 3）严格审核用户账户的权限； 4）设置安全审核策略； 5）监视系统；

6）控制系统的服务；

7）修改管理员帐号和创建陷阱帐号来迷惑入侵者；

8）清楚默认的共享隐患（删除默认共享、禁用IPC连接）； 9）清空远程可访问的注册表路径； 10）关闭不必要的端口和服务；

三、计算题（要求过程）（每题20分，共40分） 1．已知明文M=networksecurity。

对于密钥K=4，计算移位密码和列变换密码。 答：

(1)首先建立英文字母和模26的剩余0~25之间的对应关系 A B C D E F G H I J K

L

M N

O

T U V W X Y Z 0

1

2

3

4

5

6

7

8

9

10 11 12 13 14 19 20 21 22 23 24 25

可查到networksecurity 对应的整数为： N E T W O R K S E C U R I T Y

13 4 19 22 14 17 10 18 4 2

20 17 8

19 利用公式：c=E(M)=(m+4)mod26

C=（13+4）mod26=17 对应的字母为：R C1=（4+4）mod26=8 对应的字母为：I C2=（19+4）mod26=23 对应的字母为：X C3=（22+4）mod26=0 对应的字母为：A C4=（14+4）mod26=18 对应的字母为：S C5=（17+4）mod26=21 对应的字母为：V C6=（10+4）mod26=14 对应的字母为：O C7=（18+4）mod26=22 对应的字母为：W C8=（4+4）mod26=8 对应的字母为：I C9=（2+4）mod26=6 对应的字母为：G C10=（20+4）mod26=24 对应的字母为：Y C11=（17+4）mod26=21 对应的字母为：V C12=（8+4）mod26=12 对应的字母为：M C13=（19+4）mod26=23 对应的字母为：X

C14=（24+4）mod26=2 对应的字母为：C

因此明文networksecurity 对应的密文为：RIXASVOWIGYVMXC (2)

N E T W

14

P

Q

R

15 16 17 24

S

18

O R K S

E C U R I T Y

因此明文networksecurity 对应的密文为：NOEIERCTTKUYWSR

2．已知明文M=networksecurity。

对于密钥K=user，计算移位密码和vigenere密码。 答：

(1) U S E R 4 3 1 2 N E T W O R K S

E C U R I T Y A

因此明文networksecurity 的密文为： TKUYWSRAERCTNOEI

(2) 首先建立英文字母和模26的剩余0~25之间的对应关系

A T 0

B U 1

C V 2

D E W X 3

4

F Y 5

G Z 6

H 7

I 8

J 9

K

L

M N

O

P

Q

R

S

10 11 12 13 14 15 16 17 18

4

19 22 16 17 10 18 4

19 20 21 22 23 24 25

根据字母数值表查得明文串的数值表示为：13

2 20 17 8 19 24

密钥串的数值表示为：20、18、4、17

根据Vigenere 密码算法对明文和密钥串进行逐字符模26相加： C=（m+k）mod26=（13+20）mod26=7 对应的字母为：H C1=（m1+k1）mod26=（4+18）mod26=22 对应的字母为：W C2=（m2+k2）mod26=（19+4）mod26=23 对应的字母为：X C3=（m3+k3）mod26=（22+17）mod26=13 对应的字母为：N C4=（m4+k4）mod26=（16+20）mod26=10 对应的字母为：K C5=（m5+k5）mod26=（17+18）mod26=9 对应的字母为：J C6=（m6+k6）mod26=（10+4）mod26=14 对应的字母为：O C7=（m7+k7）mod26=（18+17）mod26=9 对应的字母为：J C8=（m8+k8）mod26=（4+20）mod26=24 对应的字母为：Y C9=（m9+k9）mod26=（2+18）mod26=20 对应的字母为：U C10=（m10+k10）mod26=（20+4）mod26=24 对应的字母为：Y C11=（m11+k11）mod26=（17+17）mod26=8 对应的字母为：I C12=（m12+k12）mod26=（8+20）mod26=2 对应的字母为：C C13=（m13+k13）mod26=（19+18）mod26=11 对应的字母为：L C14=（m14+k14）mod26=（24+4）mod26=2 对应的字母为：C 因此明文networksecurity 的密文为：HWXNKJOJYUYICLC

1．简述拒绝服务攻击的概念和原理。 答：拒绝服务攻击的概念：广义上讲，拒绝服务（DoS，Denial of service）

15

攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。 拒绝服务攻击的基本原理：是使被攻击服务器充斥大量要求回复的信息，消耗网络、带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务 2．简述交叉认证过程。

答：首先，两个CA建立信任关系。双方安全交换签名公钥，利用自己的私钥为对方签发数字证书，从而双方都有了交叉证书。其次，利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书，从而决定对方CA是否可信；再利用对方CA的公钥来校验对方用户的证书，从而决定对方用户是否可信。

3．简述SSL安全协议的概念及功能。

答：SSL全称是：Secure Socket Layer (安全套接层)。在客户和服务器两 实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下，做 到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。 4．简述好的防火墙具有的5个特性。

答： (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。 5简述电子数据交换（EDI）技术的特点。

答：特点：使用对象是不同的组织之间；所传送的资料是一般业务资料；采用共同标准化的格式；尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。

6、 简述ARP的工作过程及ARP欺骗。 ARP的工作过程：

(1)主机A不知道主机B的MAC地址，以广播方式发出一个含有主机B的IP地址的ARP请求；(2)网内所有主机受到ARP请求后，将自己的IP地址与请求中的IP地址相比较，仅有B做出ARP响应，其中含有自己的MAC地址；(3)主机A收到B的ARP响应，将该条IP-MAC映射记录写入ARP缓存中，接着进行通信。 ARP欺骗：

ARP协议用于IP地址到MAC地址的转换，此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机，这就是所谓的“ARP

16

欺骗”。

7、 简述包过滤型防火墙的概念、优缺点和应用场合。 答：包过滤型防火墙的概念：

包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。 包过滤型防火墙的优缺点：

包过滤防火墙的优点：处理包的速度快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。 包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的IP欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。

包过滤型防火墙的应用场合： 非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP这样的动态IP地址分配协议。

8、什么是拒绝服务攻击？如何阻挡？ 答：拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。服务质量下降甚至不能提供服务，系统性能遭到不同程度的破坏，降低了系统资源的可用性。系统资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，拒绝服务的结果是减少或失去服务。

对于拒绝服务式攻击我们不能完全消除它们，遇到这种攻击时，可以采用以下几种办法处理：

① 寻找一种方法来过滤掉这些不良的数据包； ② 提高对接受数据进行处理的能力； ③ 追查并关闭那些发动攻击的站点；

④ 增加硬件设备或者提高网络容量，以从容处理正常的负载和攻击数据流量。

9、防火墙有几类？简述分组过滤防火墙。

答：根据防火墙在网络协议中的过滤层次不同，我们把防火墙分为三种：包过滤防火墙、电路级网关防火墙、应用级网关防火墙。

分组过滤器是目前使用最为广泛的防火墙，其原理很简单：1、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；2、作用在网络层和传输层；3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。 10、密要分配的几种方法

答：通信双方可通过三种基本方法实现秘密信息的共享：一是利用安全信道实现密钥传递；二是利用双钥体制建立安全信道传递；三是利

17

用特定的物理现象（量子技术）实现密钥传递。 11、描述三次握手的过程 答：TCP是面向连接的，所谓面向连接，就是当计算机双方通信时必需先建立连接，然后数据传送，最后拆除连接三个过程 并且TCP在建立连接时又分三步走：

第一步是请求端（客户端）发送一个包含SYN即同步标志的TCP报文，SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号； 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。然后才开始通信的第二步：数据处理。

这就是所说的TCP三次握手

12．简述CA对数字证书签名及数字证书的验证过程。 答：数字证书签名

CA首先要对证书的所有字段计算一个信息摘要，而后用CA私钥机密消息摘要，构成CA的数字签名。CA将计算出的数字签名作为数字证书的最后一个字段插入，类似于护照上的印章与签名。该过程有密码运算程序自动完成。 数字证书验证

（1）用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。

（2）由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要，设该信息摘要为MD1.

（3）用户从证书中取出CA的数字签名。

（4）用户用CA的公钥对CA的数字签名信息进行解密运算。 （5）解密运算后获得CA签名所使用的信息摘要，设为MD2.

（6）用户比较MD1与MD2。若两者相符，则可肯定数字证书已由CA用其私钥签名，否则用户不信任该证书，将其拒绝。

一、 简答题（每题5分，共30分）

１． 简述下图所示IP源路由欺骗过程及其防范措施。其中主机A是主机B的被信任主机，主机X想冒充主机A从主机B获得某些服务。

18

２． 简述木马的概念及其特征。

３． 简述SA的概念、功能和组成。

４． 简述蜜网（Honeynet）技术与蜜罐（Honeypot）技术的区别。

５．简述入侵检测的组成。

19

６．简述电子商务支付系统的功能。

二、 综述题（20分）

１．PKI由那些部分组成？各部分的功能是什么？（10分） ２．ESP隧道模式的实现模型、封装形式及优缺点。（10分）

一、简答题 1、

IP源路由欺骗过程：

(1)主机X修改路由器G2的路由表，使得目的地址为主机B的数据包发往X；(2)主机X用IP欺骗（数据包源IP为主机A）向主机B发送带有源路由选项（指定G2路由器）的数据包；(3)主机X接收来自B的数据包。防范措施：(1)配置G1路由器防范IP地址欺骗，抛弃那些由外部网进来却声称是内部主机的报文；(2)关闭主机和路由器上的源路由功能。 2、

木马在实质上只是一个网络客户/服务程序，是一种基于远程控制的黑客工具，具有如下特征：(1)不需要服务端用户的允许就能获得系统的使用权。(2)程序执行时不占太多系统资源。(3)执行时难于停止它的活动，并且不会在系统中显示出来。(4)成功植入系统后，每次系统的启动中都能自动运行。(5)自动更换文件名，难于被发现。(6)自动复制到其他文件夹中。(7)实现服务端用户无法显示执行的动作。 3、

SA（安全联盟）是构成IPSec的基础，从逻辑角度看，它为实现IPSec安全机制而建立的单向的“连接”，通过使用AH或ESP，SA为其上承载的IP数据流提供安全服务。

SA由SPI(安全参数索引)，目的 IP地址和安全协议所构成的三元组唯一确定。 4、

Honeynet不是一个单独的系统，而是由多个系统和多个攻击检测应用组成的网络。该网络放置在防火墙的后面，所有进出网络的数据都会通过这里，并可以捕获控制这些数据。所有放置在Honeynet中的系统都是标准的产品系统。 5、

20

事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提供此事件。

事件分析器接受事件信息，然后对它们进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为警告信息。

事件数据库是存放各种中间和最终事件的地方。

响应单元根据警告信息作出反应，是入侵检测系统中的主动武器。 6、

电子商务支付系统的功能：使用数字签名和数字证书实现对各方的认证；使用加密技术对业务进行加密；使用消息摘要算法以确认业务的完整性；当交易双方出现纠纷时，保证对业务的不可否认性；能处理贸易业务的多边支付问题。

二、综述题 1、

一个典型的PKI系统至少应具有以下几部分：认证中心CA ，注册机构RA ，业务受理点，LDAP目录服务器。

认证中心CA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方权威机构。CA的职能：负责产生、分配并管理PKI结 构下所有用户的证书；负责用户证书的黑名单登记和黑名单发布。

注册机构RA是CA的证书发放、管理的延伸。负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。

业务受理点功能是管理所辖受理点的用户资料、受理用户证书业务、审核用户身份、向RA中心申请签发证书及将RA中心或受理中心制作的证书介质发放给用户。

LDAP目录服务器功能是用于存取证书以及证书撤销列表(CRL)，用户可通过LDAP下载CRL，根据CRL查询用户的证书状态。 2、

ESP隧道模式实现模型：

21

:

IPSEC处理模块位于安全网关之上。 ESP隧道模式封装形式：

原IP地址被当做有效载荷的一部分受到IPSEC的安全保护。 ESP隧道模式的优缺点：

优点：安全服务对子网中的用户是透明的；子网内部可以用私有IP，子网内部拓扑受到保护。缺点：网关的IPSEC集中处理；对内部的诸多安全问题将不可控。

第一章：

网络安全问答题

1.网络攻击和防御分别包括哪些内容？

攻击技术主要包括：

1)网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

2)网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

3)网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。

4)网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

5)网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括;

1)安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。 2)加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。 3)防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 4)入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。 5)网络安全协议：保证传输的数据不被截获和监听。

22

2.从层次上，网络安全可以分成哪几层？每层有什么特点？

4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。 物理安全：防盗、防火、防静电、防雷击和防电磁泄漏。

逻辑安全：计算机的逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全：操作系统是计算机中最基本、最重要的软件。 联网安全通过以下两方面的安全服务来达到：

a：访问控制服务：用来保护计算机和联网资源不被非授权使用。

b：通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

第四章：

2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？

隐藏IP：通常有两种方式实现IP的隐藏：第一种方法是首先入侵互联网上的一台计算机（俗称“肉鸡”），利用这台计算进行攻击，这样即使被发现了，也是“肉鸡”的IP地址；第二种方式是做多级跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址。 踩点扫描：通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。 获得系统或管理员权限：目的是连接到远程计算机。 种植后门：为了保持长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

在网络中隐身：一次成功的入侵后，一般在对方的计算机上已经存储了相关的登陆日志，这样就容易被管理员发现。在入侵完毕后需要清除登陆日志及其他相关的日志。

6、网络监听技术的原理是什么？

网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。

监听器Sniffer的原理是：在局域网中与其他计算机进行数据交换时数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。

第五章：

1.简述社会工程学攻击的原理。

社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。

另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。 目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail

3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应如何防御？

23

暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，需要求助于非常精密复杂的算法，使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息，即使拥有这种设备，也将花掉8天时间去破解加密算法。实际上，破解加密过程用8天已经是非常短的时间了。

字典攻击是一种最常见的暴力攻击。如果黑客试图通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符，包括大小写、数字和通配符等。字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，大多数的用户使用标准单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破解密码。强壮的密码则通过结合大小写字母、数字和通配符来击败字典攻击。 破解操作系统密码：字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则显示密码。

暴力破解邮箱密码：邮箱密码一般需要设置为8位以上，7位以下的密码容易被破解。尤其7位全部是数字的密码，更容易被破解。比较著名的破解电子邮箱密码的工具软件是：黑雨——POP3邮箱密码破解器。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字、字母和特殊字符的组合就可以有效抵抗暴力攻击。

Word文档暴力破解：使用工具软件Advanced Office XP Password Recovery（AOXPPR）。

5.简述缓冲区溢出攻击的原理。

目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。缓冲区溢出原理很简单，如下： void function(char*szParal) {

char buff[16];

strcpy(buffer,szParal); }

程序中利用strcpy()函数将szParal中的内容拷贝到buff中，只要szParal的长度大于16，就会造成缓冲区溢出。存在类似strcpy()函数这样问题的C语言函数还有:strcat(),gets(),scanf()。当然，随便往缓冲区填写数据使它溢出一般只会出现“分段错误”，而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令，如果该shell有管理员权限，就可以对系统进行任意操作。

6.简述拒绝服务的种类与原理。

凡是造成目标计算机拒绝提供服务的攻击都成为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的信息量冲击网络，是网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。

比较著名的拒绝服务攻击包括：SYN风暴、Smurf攻击和利用处理程序错误进行攻击。 SYN风暴：它是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。针对不同的系统，攻击的结果可能不同，但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。攻击者通常伪造主机D不可达的IP地址作为源地址。为了使拒绝服务的时间长于超时所用的时间，攻击者会持续不断地发送SYN包，故称为“SYN风暴”。

Smurf攻击：这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法是大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。

利用处理程序错误进行攻击：SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽，迫使目标受害主机拒绝对正常的服务请求响应。利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字

24

段。

第六章：

2.如何留后门程序？列举三种后门程序，并阐述原理及如何防御。

4.简述木马的由来，并简述木马和后门程序的区别。

答：木马是一种可以驻留在对方服务器系统中的一种程序。“木马”一词来自于“特洛伊木马”，英文名为“TrojanHorse”木马程序一般由两部分组成：服务器端程序和客户端程序。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一，只是提供客户端能够登陆对方的主机。

第七章：

3、恶意代码是如何定义的？可以分成哪几类？

恶意代码是如何定义，可以分成哪几类？

答：定义：经过存储介质和网络进行传播，从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。恶意代码两个显著的特点是非授权性和破坏性。

分类：计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级RooKit、核心级Rookit、脚本恶意代码、恶意ActiveX控件。

第九章：

2.简述对称加密算法的基本原理

分两类，序列算法和分组算法，有时也称为传统密码算法，加密密钥能够从解密密钥中推算出来，在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法加密和解密表示为：EK（M）=C DK（C）=M

4.简述公开密钥算法基本原理

加密密钥和解密密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。加密密钥叫公开密钥，解密密钥叫私人密钥，公开密钥K1加密表示为：EK1（M）=C，公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M

7. #include #define N 5 void jiami(char namea[256]) { FILE *fp_jiami,*fp_file2; char c; fp_jiami=fopen(namea,\ fp_file2=fopen(\ while(EOF!=(fscanf(fp_jiami,\

25

{ if((c>='A'&&c<='Z')||(c>='a'&&c<='z')) { c=c+N; if

(!((c>='A'&&c<='Z')||(c>='a'&&c<='z')))c=c-26; if(c>='a'&&c<='z')c=c-32; } fprintf(fp_file2,\ } fclose(fp_file2); fclose(fp_jiami); }

第十章

2.简述防火墙的分类，并说明分组过滤防火墙的基本原理。

分组过滤防火墙、应用代理防火墙、状态检测防火墙。分组过滤防火墙作用在协议族的网络层和传输层；应用代理也叫应用网关，作用在应用层，特点是完全阻隔网络通信流；状态检测，直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后确定是否允许该数据包通过。

分组过滤防火墙基本原理：防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、目的端口和ICMP消息类型。如果包的信息匹配所允许的数据包，该数据包按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。

3.常见防火墙的模型有哪些？比较它们的优缺点。

筛选路由器模型，是网络的第一道防线，功能是实施包过滤，该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能；单宿主堡垒主机（屏蔽主机防火墙）模型，由包过滤路由器和堡垒主机组成，实现了网络层安全和应用层安全，优点是安全性比较高，但增加了成本开销和降低了系统性能，并且对内部计算机用户也会产生影响；双宿主堡垒主机模型（屏蔽防火墙系统模型），可以构造更加安全的防火墙系统，如果运行用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁；屏蔽子网模型，用了两个包过滤路由器和一个堡垒主机，是最安全的防火墙系统之一，支持网络层和应用层安全功能。

26

7.什么事入侵检测系统？简述入侵检测系统目前面临的挑战。

入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 入侵检测系统面临的挑战：一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的正常假警报，而诱导没有警觉性的管理员把入侵检测系统关掉。没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个：缺乏共享数据机制、缺乏集中协调机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。

27

本文来源：https://www.bwwdw.com/article/dhiw.html