2022年网络安全简答题复习 .pdf

《2022年网络安全简答题复习 .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全简答题复习 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全复习题（简答题）1简述拒绝服务攻击的概念和原理。答：拒绝服务攻击的概念：广义上讲，拒绝服务（DoS，Denial of service）攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS 攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。拒绝服务攻击的基本原理：是使被攻击服务器充斥大量要求回复的信息，消耗网络、带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务2简述交叉认证过程。答：首先，两个 CA 建立信任关系。双方安全交换签名公钥，利用自己的私钥为对方签发数

2、字证书， 从而双方都有了交叉证书。 其次，利用 CA 的交叉证书验证最终用户的证书。对用户来说就是利用本方CA 公钥来校验对方CA 的交叉证书，从而决定对方CA 是否可信；再利用对方CA 的公钥来校验对方用户的证书，从而决定对方用户是否可信。3简述 SSL 安全协议的概念及功能 。答：SSL 全称是：Secure Socket Layer ( 安全套接层 )。 在客户和服务器两实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL 提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下， 做

3、 到与应用层协议无关， 几乎所有基于 TCP的协议稍加改动就可以在 SSL 上运行。4简述好的防火墙具有的5 个特性 。答： (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙； (3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。5 简述电子数据交换（ EDI ）技术的特点 。答：特点：使用对象是不同的组织之间；所传送的资料是一

4、般业务资料；采用共同标准化的格式；尽量避免人工的介入操作，由收送双方的计算机系统直接传送、交换资料。6、简述 ARP 的工作过程及 ARP 欺骗。ARP 的工作过程：(1)主机 A 不知道主机 B 的 MAC 地址，以广播方式发出一个含有主机B 的IP 地址的 ARP 请求；(2)网内所有主机受到ARP 请求后，将自己的IP 地址与请求中的 IP 地址相比较，仅有 B 做出 ARP 响应，其中含有自己的MAC地址； (3)主机 A 收到 B 的 ARP 响应，将该条 IP-MAC 映射记录写入 ARP缓存中，接着进行通信。ARP 欺骗：ARP 协议用于 IP 地址到 MAC 地址的转换，此映射

5、关系存储在ARP 缓存表中。当 ARP 缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机，这就是所谓的“ARP 欺骗” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 7、简述包过滤型防火墙的概念、优缺点和应用场合。答：包过滤型防火墙的概念：包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。包过滤型防火墙的优缺点：包过滤防火墙的优点：处理包的速度

6、快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的 IP 欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。包过滤型防火墙的应用场合：非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP 这样的动态

7、IP 地址分配协议。8、什么是拒绝服务攻击？如何阻挡？答：拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。服务质量下降甚至不能提供服务，系统性能遭到不同程度的破坏，降低了系统资源的可用性。系统资源可以是处理器、磁盘空间、CPU 使用的时间、打印机、调制解调器，甚至是系统管理员的时间，拒绝服务的结果是减少或失去服务。对于拒绝服务式攻击我们不能完全消除它们，遇到这种攻击时，可以采用以下几种办法处理： 寻找一种方法来过滤掉这些不良的数据包； 提高对接受数据进行处理的能力； 追查并关闭那些发动攻击的站点； 增加硬件设备或者提高网络容量，以从容处理正常的负载和攻击数据流量。9、防火墙有几

8、类？简述分组过滤防火墙。答：根据防火墙在网络协议中的过滤层次不同，我们把防火墙分为三种：包过滤防火墙、电路级网关防火墙、应用级网关防火墙。分组过滤器是目前使用最为广泛的防火墙，其原理很简单：1、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；2、作用在网络层和传输层； 3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。10、密要分配的几种方法答：通信双方可通过三种基本方法实现秘密信息的共享：一是利用安全信道实现密钥传递；二是利用双钥体制建立安全信道传递；三是利用特定的物理现象（量子技术）实现密钥传递。11、描

9、述三次握手的过程答：TCP 是面向连接的，所谓面向连接，就是当计算机双方通信时必需先建立连接，然后数据传送，最后拆除连接三个过程并且 TCP 在建立连接时又分三步走：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 第一步是请求端（客户端）发送一个包含 SYN 即同步标志的 TCP报文， SYN同步报文会指明客户端使用的端口以及TCP 连接的初始序号；第二步，服务器在收到客户端的SYN 报文后，将返回一个 SYN+ACK 的报文，

10、表示客户端的请求被接受，同时TCP 序号被加一， ACK 即确认第三步，客户端也返回一个确认报文ACK 给服务器端，同样TCP 序列号被加一，到此一个TCP 连接完成。然后才开始通信的第二步：数据处理。这就是所说的 TCP 三次握手12简述 CA 对数字证书签名及数字证书的验证过程。答：数字证书签名CA 首先要对证书的所有字段计算一个信息摘要，而后用 CA 私钥机密消息摘要，构成 CA 的数字签名。 CA 将计算出的数字签名作为数字证书的最后一个字段插入，类似于护照上的印章与签名。该过程有密码运算程序自动完成。数字证书验证（1）用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。（2）由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要，设该信息摘要为MD1. （3）用户从证书中取出CA 的数字签名。（4）用户用 CA 的公钥对 CA 的数字签名信息进行解密运算。（5）解密运算后获得CA 签名所使用的信息摘要，设为MD2. （6）用户比较 MD1 与 MD2。若两者相符，则可肯定数字证书已由CA 用其私钥签名，否则用户不信任该证书，将其拒绝。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -