2022年网络安全基础应用与标准习题——答案.docx

《2022年网络安全基础应用与标准习题——答案.docx》由会员分享，可在线阅读，更多相关《2022年网络安全基础应用与标准习题——答案.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - 个人收集整理 仅供参考学习一. 1、什么是 OSI 安全体系结构？安全攻击 安全机制 安全服务 2、被动和主动安全威逼之间有什么不同？被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加 3 列出并简要定义被动和主动安全攻击的分类？被动攻击：内容泄漏和流量分析；主动攻击：假冒,重放,改写消息,拒绝服务 4、列出并简要定义安全服务的分类？认证,拜访掌握,数据隐秘性,数据完成性,不行抵赖性 二. 1黑客为什么可以胜利实施ARP欺诈攻击？在实际中如何防止ARP欺诈攻击？ARP欺诈的基本原理就是欺诈者利用ARP协议的安全漏洞,

2、通过向目标终端大量发送伪造的 ARP协议报文欺诈目标终端,使目标终端误以为是与期望主机通信,而实际上是与欺诈者进行通信；文档收集自网络,仅用于个人学习. 局域网内可采纳静态 ARP Cache . ARP Cache设置超时. 主动查询在某个正常的时刻,做一个 IP 和 MAC对应的数据库,以后定期检查当前的IP 和 MAC对应关系是否正常；.同时定期检测交换机的流量列表, 查看丢包率；使用 ARP防护软件.具有 ARP防护功能的路由器2. 什么是 ICMP重定向攻击？如何防止此类攻击？ICMP 重定向报文是 ICMP 掌握报文的一种；当默认路由器检测到某主机使用非优化路由的时候,它会向该主机

3、发送一个 ICMP重定向报文, 恳求主机转变路由；文档收集自网络,仅用于个人学习TCP/IP 体系不供应认证功能, 攻击者可以冒充路由器向目标主机发送 ICMP重定向报文,诱使目标主机更换寻径表,其结果是到达某一IP 子网的报文全部丢失或都经过一个攻击者能掌握的路由器；文档收集自网络,仅用于个人学习三. 1. 防火墙可以供应哪些机制？答：服务掌握、方向掌握、用户掌握和行为掌握；2. 防火墙有哪些局限性 . a为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便；b不能防止传送已感染病毒的软件或文件；c防火墙对不通过它的连接无能为力,如拨号上网等；d 作为一种被动的

4、防护手段,防火墙不能自动防范因特网上不断显现的新 的威逼和攻击；e 不能防范内部人员的攻击行为等；3. 防火墙应满意的基本条件是什么？作为网络间实施网间拜访掌握的一组组件的集合,防火墙应满意的基本条件如下：1 内部网络和外部网络之间的全部数据流必需经过防火墙；1 / 4 名师归纳总结 - - - - - - -第 1 页,共 4 页精选学习资料 - - - - - - - - - 个人收集整理 仅供参考学习2 只有符合安全策略的数据流才能通过防火墙；3 防火墙自身具有高牢靠性,应对渗透Penetration免疫,即它本身是不行被侵入的；四. 1. 对称密码的基本因素是什么？明文,加密算法,隐秘

5、密钥,密文,解密算法 2. 两个人通过对称密码通信需要多少个密钥？P24 1 个 4. 攻击密码的两个通用方法是什么？密钥搜寻和穷举方法 5. 分组密码的电子密码本模式有什么不足？如何解决？电子密码本模式的缺点就是相同的明文产生相同的密文,对高度结构化消息是特别担心全的；需要采纳其它模式,目的就是为了即使明文相同,密文也不相同；6. DES 的密钥长度是56bits,如何使用 DES,使得等效密钥长度为112bits或168bits？使用三个密钥对数据块进行三次加密,即采纳三重 DES加密模型；（a）使用三个不同密钥 K1,K2,K3,依次进行加密- 解密 - 加密变换,等效密钥长度为 168

6、bits ；（b）其中密钥K1=K3,依次进行加密- 解密 -加密变换,等效密钥长度为112bits ；E（K1,DK2,EP,K1 ）112bits E（K3,DK2,EP,K1 ） 168bits 五. 1、列举消息认证的三种方法：单向散列函数,消息认证码 2、什么是 MAC：P49MAC,利用常规加密的消息认证一种认证技术；利用私钥产出一小块数据,并将其附到消息上；这种技术称为消息验证码；3、对于消息认证,散列函数H必需具有什么性质才可以用：P511 H 可使用于任意长度的数据块 2 H 能生成固定长度的输出 3 对于任意长度的 x,运算 H（x）相对简单,并且可以用软 / 硬件方式实现

7、 4 对于任意给定值 h, 找到满意 Hx=h 的 x 在运算机上不行行；5 对于任意给定的数据块 x, 找到满意 H（ y）=Hx ,的 y=.x 在运算机上是不行行的；6 找到满意 H（x） =Hy 的任意一对（ x,y ）在运算机上是不行行的；4、公钥加密系统的基本组成元素是什么？明文,加密算法,公钥和私钥,密文,解密算法5、列举并简要说明公钥加密系统的三种应用：加密 / 解密,数字签名,密钥交换 7. 使用公钥加密和使用私钥加密有什么不同的作用？使用对方公钥加密,可以保证信息的隐秘性；使用自己的私钥加密,可以让接收方确认信息的来源；8. 如何使用公钥加密来分发共享密钥？先获得对方数字证

8、书,验证证书获得对方公钥,然后 E PUB,K AB 9. 简述针对 Diffie-Hellman 密钥交换的中间人攻击过程；P71 2 / 4 名师归纳总结 - - - - - - -第 2 页,共 4 页精选学习资料 - - - - - - - - - 个人收集整理 仅供参考学习填空题1. 网络攻击分为主动 攻击和被动攻击两大类；2. 流量分析和篡改消息分别属于被动攻击和主动攻击；3. ARP 的主要功能是将 IP 地址转换为 物理地址 地址；4. Telnet服务的功能是实现远程登陆,它采纳 TCP 的 23 号端口；5. 蔽主机体系结构防火墙主要由 包过滤路由器 和堡垒主机 构成；6.

9、 包过滤是通过包过滤路由器在 网络层 上实现的；7. 密码学包括 密码编码学 和 密码分析学 两个分支；8. DES算法密钥是 64 位,其中密钥有效位是 56 位；9. 属于公钥加密技术的加密算法有 RSA 、DSA；10. 分组密码 每次处理一个输入元素分组,并为每个输入分组产生一个输出分组；流密码 连续处理输入元素, 在运行过程中, 一次产生一个输出元素；文档收集自网络,仅用于个人学习11. DES、AES 和 RC4 同属于对称 加密技术,不同的是 DES 和 AES 属于分组密码加密技术,而 RC4 属于流密码 加密技术；文档收集自网络,仅用于个人学习12. RSA 和 DSS 同属

10、于非对称加密技术, 其中,RSA 可用于加密 /解密、数字签名和密钥交换,而 DSS 只用于数字签名；文档收集自网络,仅用于个人学习13. 数据完整性验证中MAC 的中文名称是消息认证码；14. MD5是将任意长的信息浓缩成 128 位的消息摘要；15. SHA-1是将任意长的信息浓缩成 160 位的消息摘要；9. 身份认证包括 身份识别和身份验证 2 个过程；17. Diffie-Hellman 技术主要用于密钥交换；名词说明：1. 堡垒主机堡垒主机是一种配置了安全防范措施的网络上的运算机,堡垒主机为网络之间的通信提供了一个堵塞点,也就是说假如没有堡垒主机,网络之间将不能相互拜访；文档收集自

11、网络,仅用于个人学习2. 抗弱碰撞性抗弱碰撞性就是对于给定的 x,找到满意 Hy=Hx 的 y 在运算上是不行行的；3. 数字签名对报文的散列值使用签名者的私钥加密的的过程,可以对报文的来源和完整性进行认证,也可以防止签名者事后抵赖；文档收集自网络,仅用于个人学习3 / 4 名师归纳总结 - - - - - - -第 3 页,共 4 页精选学习资料 - - - - - - - - - 4.散列函数个人收集整理仅供参考学习散列函数：散列函数运算后,得到信息的 性的特点；5. 流量分析ICV 值,用于保证信息的完整性,具有单向流量分析：一种被动攻击方法,统计节点间的通信流量,以分析节点间的某种关系

12、；6. 会话劫持所谓会话劫持,就是在一次正常的通信过程中, 黑客作为第三方参加到其中,或者是在数据流里注射额外的信息,或者是将双方的通信模式暗中转变,即从直接联系变成交由黑客中转；文档收集自网络,仅用于个人学习攻击者重定向客户和服务器之间的数据流,使之经过攻击者的机器, 从而截获他们之间的通信,结合了嗅探以及欺诈技术在内的攻击手段；文档收集自网络,仅用于个人学习综合题：1. 源主机 A 要向目的主机 B 发送数据,为什么主机 A 除知道目的主机 B 的 IP地址外,源主机 A 仍必需要知道目的主机 B 的 MAC地址？文档收集自网络,仅用于个人学习答： IP 地址具有全网范畴内的寻址才能,主机

13、A 和主机 B 可能分别处在不同网络,主机 A 要拜访主机 B 第一要知道主机B 的 IP 地址,不然找不到主机B所在的网络； 文档收集自网络,仅用于个人学习在现行寻址机制中,主机的以太网网卡只能识别MAC地址,而不能识别IP地址,如数据帧中不指明主机B 的 MAC 地址,主机 B 的网卡不能识别该帧是发给自己的,因此主机 A 仅知道主机 B 的 IP 地址仍不够,仍必需知道主机 B的 MAC地址,才能完成对主机 B 的拜访；网络之间是用 IP 地址寻址,网络之内（同一物理网段或称 IP 子网）是用 MAC地址寻址； 文档收集自网络,仅用于个人学习尽管 MAC地址和 IP 地址一样都是在全网范

14、畴内唯独定义的,但 MAC的寻址才能仅局限在一个物理网段（一个 IP 子网）中； 文档收集自网络,仅用于个人学习2. Alice 要把报文 M发送给 Bob,Alice 和 Bob已经拥有了各自的数字证书,请根据下面两种不同的要求设计相应的安全方案：文档收集自网络,仅用于个人学习（1）报文 M不需要保密,但 Bob能够确认收到的 M没有被篡改,并且能确认 M就来自于 Alice ；（2）报文 M需要保密, 且 Alice 能确认报文 M的来源和完整性；（1）M|E（PRA, H（ M ）（4 分）和 Bob 事先并没有商定好的共享密钥, 同时 Bob 文档收集自网络,仅用于个人学习（2）E（K AB,【 M|E（PRA,H（M ）】） |E（PUB,K AB）4 / 4 名师归纳总结 - - - - - - -第 4 页,共 4 页