网络安全简答题

1、网络安全简答题精选、简答题1、简述物理安全包括那些内容？ 防盗，防火，防静电，防雷击和防电磁泄漏2、简述防火墙有哪些基本功能？（写出五个功能） 建立一个集中的监视点 隔绝内外网络，保护内部网络强化网络安全策略 对网络存取和访问进行监控和审计实现网络地址转换3、简述无线局域网由那些硬件组成？无线局域网由无线网卡、AP无线网桥、计算机和有关设备组成。4 、简述网络安全的层次体系 从层次体系上，可以将网络安全分成四个层次上的安全：物理、逻辑、操作系 统和联网安全5、简述 TCP/IP 协议族的基本结构?TCP/IP协议族是一个四层协议系统，自底而上分别是数据链路层、网络层、 传输层和应用层。6、简述

2、网络扫描的分类及每类的特点 扫描，一般分成两种策略：一种是主动式策略，另一种是被动式策略。 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安 全规则抵触的对象进行检查，不会对系统造成破坏。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行 为并记录系统的反应，从而发现其中的漏洞，但是可能会对系统造成破坏。7、简述常用的网络攻击手段网络监听、病毒及密码攻击、欺骗攻击 拒绝服务攻击、应用层攻击、缓冲区溢出8、简述后门和木马的概念并说明两者的区别木马 (Trojan) ，也称木马病毒，是指通过特定的程序木马程序来控制另一台计 算机后门：是绕过安全性控制而获取对程

3、序或系统访问权的方法 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一 些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能 够登录对方的主机9、简述恶意代码的概念及长期存在的原因 恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序 中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被 感染电脑数据的安全性和完整性的目的。原因：在信息系统的层次结构中，包括从底层的操作系统到上层的网络应用在 内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆 弱性的不可避免，直接导致了恶意代码的必然存在。10、简述安全操作系统的

4、机制 安全操作系统的机制包括：硬件安全机制，操作系统的安全标识与鉴别，访问 控制、最小特权管理、可信通路和安全审计。11、简述密码学除机密性外还需提供的功能 鉴别、完整性、抗抵赖性 鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。 完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不 可能用假消息代替合法消息。抗抵赖性：发送者事后不可能虚假地否认他发送的消息。12、简述入侵检测系统的概念及常用的 3 种入侵检测方法 入侵检测系统：是能够对入侵异常行为自动进行检测、监控和分析的软件与硬 件的组合系统，是一种自动监测信息系统内、外入侵的安全设备 常用的方法有 3种

5、：静态配置分析、异常性检测方法，基于行为的检测方法和文 件完整性检查 。13、简述网络安全框架包含的内容 网络安全策略网络安全策略和标准网络安全运作网络安全管理网络安全技术14. 什么是网络安全？其特征有哪些？ 网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更 改、泄露，保证系统连续可靠地运行，网络服务不中断的措施。 特征：保密性、完整性、可用性、可控性、可审查性。15. 网络安全威胁的发展特点主要有哪些？（ 1）与互联网更加紧密地结合，利用一切可以利用的方式进行传播所有病毒都具有混合型特性，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏 性增强（ 2）扩散极快，更加注

6、重欺骗性利用系统漏洞成为病毒有力的传播方式 无线网络技术的发展使得远程网络攻击的可能性增加 各种境外情报谍报人员通 过信息网络渠道搜集情报和窃取资料。（3）各种病毒、蠕虫、后门技术智能化，呈现整合趋势，形成混合型威胁； 各种攻击技术的隐密性增强。常规手段不能识别；（4）分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性（5）一些政府部门的超级计算机资源成为攻击者利用的跳板，网络管理安全问 题日益突出16. TCP 协议存在哪些典型的安全漏洞？如何应对这些漏洞？TCP使用三次握手机制来建立一条连接，握手的第一个报文为 SYN包;第二个 报文为SYN/ACK包，表明它应答第一个SYN包同时继

7、续握手的过程；第三个报 文仅仅是一个应答，表示为 ACK包。若A放为连接方，B为响应方，其间可能 的威胁有：一1. 攻击者监听B方发出的SYN/ACK艮文2. 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。3. B 方响应新连接，并发送连接响应报文 SYN/ACK。4. 攻击者再假冒A方对B方发送ACK包。二应对：1. 对系统设定相应的内核参数，使得系统强制对超时的 SYN青求连接数据包的 复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的 SYN 青求数据包。2. 建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。3. 建议

8、在路由器的前端多必要的 TCP拦截，使得只有完成TCP三次握手过程的 数据包才可以进入该网段，这样可以有效的保护本网段内的服务器不受此类攻17. 简述 IPSec 策略的工作原理。IP AH 提供了无连接的完整性、数据起源的身份验证和一个可选的防止重放的 服务。ESP能够提供机密性和受限制的流量机密性，它也能提供无连接的完整 性、数据起源的身份验证和防止重放服务。AH和ESP可单独应用或组合起来在IPv4 和 v6 提供一个所需的安全服务集；都支持两种使用模式：传输模式和隧 道模式18. 如何删除默认共享。（1）开始-运行（输入）cmd弹出 命令提示符；（ 2）在命令提示符输入 : net s

9、hare 查看系统中的共享；（3）关闭默认共享输入：net share 共享名（如C$） /del 。19. 如何关闭不需要的端口和服务关闭端口。比如在 Windows 2000/XP中关闭SMTF服务的25端口，可以这样 做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打 开的服务窗口中找到并双击“ Simple Mail Tran sfer Protocol（ SMTP”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMT用艮务就相当于关闭了对应的端口。20. 什么是主动攻击？什么是被动攻击？主动攻击包含攻击

10、者访问他所需信息的故意行为。主动攻击包括拒绝服务攻 击、信息篡改、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是 进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅 探、信息收集等攻击方法。21. 在密码学中，明文，密文，密钥，加密算法和解密算法称为五元组。试说 明这五个基本概念。明文：计算机数据加密语言、加密前的原始数据密文：加密后的消息称为密文。密钥：一种参数明文转化成密文或相反时在算法中输入的数据加密算法：将一个消息经过加密钥匙及加密函数，变成无意义的密文解密算法：密文经过解密密钥及解密函数转换成明文的函数22. 网络攻击和防御分别包括哪些内容？攻击：（1）网络监

11、听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听 目标计算机与其他计算机通信的数据。（2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞， 为入侵该计算机做准备。（3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。（4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制， 在目标计算机中种植木马等后门。（5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防 止被对方管理员发现。防御：（1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。（2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。（3）防火墙

12、技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。（4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。（5）网络安全协议：保证传输的数据不被截获和监听23. 简述 OSI 参考模型的结构 从低到高： 物理层 数据链路层 网络层 传输层 会话层 表示层应用层24. 简述研究恶意代码的必要性。在In ternet安全事件中，恶意代码造成的经济损失占有最大的比例。如今，恶 意代码已成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使 企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。二、综述题1 简述ARP欺骗的实现原理及主要防范方法 答：由于ARP协议在设计

13、中存在的主动发送 ARPM文的漏洞，使得主机可以发 送虚假的ARP青求报文或响应报文，报文中的源IP地址和源MAO址均可以进 行伪造（2分）。在局域网中，即可以伪造成某一台主机（如服务器）的 IP地 址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的组合，ARP即 可以针对主机，也可以针对交换机等网络设备（2分），等等。目前，绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的 ARPS， 使得网络中的合法主机无法正常通信或通信不正常，如表示为计算机无法上网 或上网时断时续等。（2分）针对主机的ARP欺骗的解决方法：主机中静态 ARP缓存表中的记录是永久 性的，用户可以使用TCP/

14、IP工具来创建和修改，如 Windows操作系统自带的 ARP工具，利用“ arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中 网关的记录类型设置为静态（static ）。（ 2分）针对交换机的ARP欺骗的解决方法：在交换机上防范 ARP欺骗的方法与在 计算机上防范ARP欺骗的方法基本相同，还是使用将下连设备的 MAO址与交 换机端口进行一一绑定的方法来实现。（2分）2.如图所示，描述DDoS攻击的实现方法。答：DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和 造成的威胁要比DoS攻击严重得多，当然其破坏性也要强得多。（2分）在整个DDoS攻击过程中，共有四

15、部分组成：攻击者、主控端、代理服务器 和被攻击者，其中每一个组成在攻击中扮演的角色不同。（1）攻击者。攻击者是指在整个 DDo敦击中的主控台，它负责向主控端发送攻击命令。与DoS攻击略有不同，DDo敦击中的攻击者对计算机的配置和 网络带宽的要求并不高，只要能够向主控端正常发送攻击命令即可。（2分）（2）主控端。主控端是攻击者非法侵入并控制的一些主机，通过这些主机再分别控制大量的代理服务器。攻击者首先需要入侵主控端，在获得对主控端 的写入权限后，在主控端主机上安装特定的程序，该程序能够接受攻击者发来 的特殊指令，并且可以把这些命令发送到代理服务器上。（2分）（3）代理服务器。代理服务器同样也是攻

16、击者侵入并控制的一批主机，同 时攻击者也需要在入侵这些主机并获得对这些主机的写入权限后，在上面安装 并运行攻击器程序，接受和运行主控端发来的命令。代理服务器是攻击的直接 执行者，真正向被攻击主机发送攻击。（2分）（4）被攻击者。是DDoS攻击的直接受害者，目前多为一些大型企业的网 站或数据库系统。（2分）3.如下图所示，详细描述包过滤防火墙的工作原理及应用特点观则吐TOT允许（permit）if們口】卩沪【|答：包过滤（Packet Filter ）是在网络层中根据事先设置的安全访问策略（过 滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其 他各种标志信息（如协议、服务

17、类型等），确定是否允许该数据包通过防火墙（2 分）。包过滤防火墙中的安全访问策略（过滤规则）是网络管理员事先设置好 的，主要通过对进入防火墙的数据包的源 IP地址、目的IP地址、协议及端口 进行设置，决定是否允许数据包通过防火墙。（2分）如图所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。（2分）包过滤防火墙主要特点：过滤规则表需要事先进行人工设置，规则表中的 条目根据用户的安全要求来定；防火墙在进行检查时，首先从过滤规则表中的 第1个条目开始逐条进行，

18、所以过滤规则表中条目的先后顺序非常重要；由于 包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通 过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应 用层的恶意入侵。另外，包过滤防火墙不能识别IP地址的欺骗，内部非授权的 用户可以通过伪装成为合法 IP 地址的使用者来访问外部网络，同样外部被限制 的主机也可以通过使用合法的 IP 地址来欺骗防火墙进入内部网络。（ 4 分）4. 根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点。答：防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公 共网络）之间或网络安全域之间的一系列部件的组合，

19、通过监测、限制、更改 进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、 结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安 全保护。（ 2 分）个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的 通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中 断网络连接，以此实现对个人计算机上重要数据的安全保护。（ 2 分）个人防火墙是在企业防火墙的基础上发展起来，个人防火墙采用的技术也 与企业防火墙基本相同，但在规则的设置、防火墙的管理等方面进行了简化， 使非专业的普通用户能够容易地安装和使用。（ 2 分）为了防止安全威胁对个人计算机

20、产生的破坏，个人防火墙产品应提供以下的主 要功能。防止 Internet 上用户的攻击、阻断木马及其他恶意软件的攻击、为移 动计算机提供安全保护、与其他安全产品进行集成。（ 4 分）5. Kerberos 协议分为两个部分：1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到 TGT（ticket-granting ticket） ,并用协议开始前 Client 与 KDC之间的密 钥将TGT加密回复给Client 。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从 而获得 TGT。（此过程避免了 Client

21、直接向KDC发送密码，以求通过验证的不安全方式）2. Client利用之前获得的TGT向 KDCC请求其他Service的Ticket，从而通过其他 Service 的身份鉴别。Kerberos 协议的重点在于第二部分，简介如下：1. Client将之前获得TGT和要请求的服务信息（服务名等）发送给KDC KDC中 的 Ticket Granting Service 将为 Client 和 Service 之间生成一个 Session Key用于Service对Client的身份鉴别。然后 KDC将这个Session Key和用户 名，用户地址（ IP） ，服务名，有效期 , 时间戳一起包装成

22、一个 Ticket（ 这些 信息最终用于 Service 对 Client 的身份鉴别 ）发送给 Service ， 不过 Kerberos 协议并没有直接将 Ticket 发送给 Service ，而是通过 Client 转发给 Service. 所以有了第二步。2. 此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service 的，不能让Client看到，所以KDC用协议开始前KDC与 Service之间的密钥将 Ticket 加密后再发送给 Client 。同时为了让 Client 和 Service 之间共享那个 秘密（KDC在第一步为它们创建的Session Key）， KDC用Client与它之间的密 钥将 Session Key 加密随加密的 Ticket 一起返回给 Client 。3. 为了完成 Ticket 的传递， Client 将刚才收到的