发布时间 : 星期三 文章计算机网络安全技术试题全含答案解析更新完毕开始阅读b4941341a1116c175f0e7cd184254b35effd1a4b
用户查询过的最新记录存放在缓存中,并设置生存周期(Time To Live,TTL)。在记录没有超过TTL之前,DNS缓存中的记录一旦被客户端查询,DNS服务器(包括各级名字服务器)将把缓存区中的记录直接返回给客户端,而不需要进行逐级查询,提高了查询速率。(2分)DNS缓存中毒利用了DNS缓存机制,在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的,而伪造者可能会根据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制,所以在TTL内,缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器,导致更多的DNS服务器中毒。(2分) 2.机密性、完整性、可用性、可控性
机密性是确保信息不暴露给未经授权的人或应用进程(1分);完整性是指只有得到允许的人或应用进程才能修改数据,并且能够判别出数据是否已被更改(1分);可用性是指只有得到授权的用户在需要时才可以访问数据,即使在网络被攻击时也不能阻碍授权用户对网络的使用(1分);可控性是指能够对授权范围内的信息流向和行为方式进行控制(1分)。
3.PMI:PMI(授权管理基础设施)是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离,由IETF提出的一种标准。PMI的最终目标就是提供一种有效的体系结构来管理用户的
属性。PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理(2分)。同PKI相比,两者主要区别在于PKI证明用户是谁,而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施,能够与PKI紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行系统的定义和描述,完整地提供授权服务所需过程。(2分)
4.防火墙:防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合(2分),通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。
5.VPN:VPN(虚拟专用网)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接(2分)。从VPN的定义来看,其中“虚拟”是指用户不需要建立自己专用的物理线路,而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能;“专用网络”是指这一虚拟出来的网络
并不是任何连接在公共网络上的用户都能够使用的,而是只有经过授权的用户才可以使用。同时,该通道内传输的数据经过了加密和认证,从而保证了传输内容的完整性和机密性。(2分)
6.DDoS攻击:DoS攻击就是利用合理的服务请求来占用过多的服
务资源,从而使服务器无法处理合法用户的指令,一般是采用一对一方式。DDOS是在DOS 基础上利用一批受控制的主机向一台主机发起攻击,其攻击强度和造成的威胁要比DOS严重的多。 五、简答题(每小题10分,共20分) 66.简述ARP欺骗的实现原理及主要防范方法
由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,报文中的源IP地址和源MAC地址均可以进行伪造(2分)。在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,ARP即可以针对主机,也可以针对交换机等网络设备(2分),等等。
目前,绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表,使得网络中的合法主机无法正常通信或通信不正常,如表示为计算机无法上网或上网时断时续等。(2分)
针对主机的ARP欺骗的解决方法:主机中静态ARP缓存表中的记录是永久性的,用户可以使用TCP/IP工具来创建和修改,
如Windows操作系统自带的ARP工具,利用“arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态(static)。(2分)
针对交换机的ARP欺骗的解决方法:在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同,还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。(2分)
67. 如下图所示,简述包过滤防火墙的工作原理及应用特点。
包过滤(Packet Filter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙(2分)。
包过滤防火墙中的安全访问策略(过滤规则)是网络管理员事先设置好的,主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置,决定是否允许数据包通过防火墙。(2分)
如图所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。(2分)