网络安全期末考试题目

1、OSI网络安全体系结构的五类安全服务和八类安全机制分别是什么？

答：五大类安全服务(鉴别、访问控制、保密性、完整性、抗否认）

八类安全机制(加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证）

2、网络攻击一般分为哪几个步骤？

答：① 信息收集，获取目标系统的信息，操作系统的类型和版本，主要提供的服务和服务进程的类型和版本，网络拓扑结构

② 获得对系统的访问权力

③ 获得系统超级用户的权力。利用②的权力和系统的漏洞，可以修改文件，运行任何程序，留下下次入侵的缺口，或破坏整个系统

④ 消除入侵痕迹

3、IPSec是哪一层的安全协议？其主要特征是什么？其协议部分由哪两部分组成？

答：IPSec是网络层的安全协议，其主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。其协议部分分为:AH协议和ESP协议两部分。

4、什么是SSL？它是哪一层的安全协议?

答：SSL （Secure Socket Layer）是一种在两个端实体（End Entity）之间提供安全通道的协议。它是传输层的安全协议。

5、什么是IP欺骗攻击？

答：IP欺骗攻击就是攻击者伪装成目标主机与其他计算机进行通信，达到：隐藏自己的IP地址，防止被跟踪；以IP地址作为授权依据；穿越防火墙的目的

6、缓冲区溢出攻击的一般概念和基本思想是什么？

答：缓冲区溢出攻击的一般概念是针对越权使用资源的防御措施。

其基本思想是通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)

7、访问控制基本目标是什么？主要有哪几种访问控制策略？

答：访问控制基本目标是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。

主要访问控制策略有：自主访问控制（基于身份的访问控制IBAC), 强制访问控制(基于规则的访问控制RBAC),基于角色的访问控制(role-based policies)

8、什么是防火墙？什么是堡垒主机？什么是DMZ？

答：防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称 .

堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。

DMZ(Demilitarized Zone，非军事区或者停火区)是在内部网络和外部网络之间增加的一个子网

9、包过滤防火墙的基本思想是什么？

答：包过滤防火墙的基本思想：对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包；包过滤防火墙往往配置成双向的；

10、什么是拒绝服务攻击（DoS）？

答：拒绝服务攻击是通过某些手段使得目标系统或者网络不能提供正常的服务。 DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。

11、什么是分布式拒绝服务攻击（DDoS）？简述DDoS攻击过程。

答：DDOS不是仅仅一台机器而是多台主机合作，同时向一个目标发起攻击。

DDoS攻击过程

(1)攻击者寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。

(2)攻击者在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。

(3)最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

12、什么是电子证据？电子证据与其他种类的证据相比有何特点？

答：电子证据：法庭上可能成为证据的以二进制形式存储或传送的信息。

电子证据与其他种类的证据相比，有其自身的特点：

1．表现形式的多样性：电子证据综合了文本、图形、图像、动画、音频、视频等多种媒体信息。这种将多种表现形式融为一体的特点是电子证据所特有的。

2．存储介质的电子性：电子证据的产生和重现必须依赖于这些特定的电子介质。电子证据的本来面目一旦被改，给证据的认定会带来很大的困难。

3．准确性：如果没有人为的蓄意修改或毁坏，电子证据能准确地反映整个事件的完整过程和每一个细节，准确度非常高。不会受到感情、经验等主观因素的影响。

4．脆弱性：电子证据均有可能轻易地被人盗取、修改甚至全盘毁灭而不留下任何证据。另外，电子证据还很容易受到电磁攻击。

5．数据的挥发性：应在数据的有效期内及时收集数据。在取证过程中应该严格按照数据的挥发性先后顺序来进行取证。

6．电子证据的高科技性：证据的产生、存储和传输等都必须借助于计算机软硬件技术、存储技术、网络技术等，只有依靠高科技含量的技术设备，电子证据才能准确反映到相关案件中去

13、计算机取证包含哪几个步骤？

答：对于计算机犯罪的取证，一般包含以下6个步骤：

1.证据的获取(Seizure Process)

2.位拷贝(Bit Copy Process)

3.分析检查(Examination Process)

4.取证提交(Reporting Process)

5.证据存档(Archiving Process)

6.证据呈供(Deposition & testimony Process)

14、什么是蜜罐和蜜罐系统?它的主要功能是什么？

答：蜜罐是一种资源，它的价值是被攻击或攻陷，用以监视、检测和分析攻击。蜜罐系统是一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标。它的主要功能是：

1．扭转工作量不对称：增加攻击代价－假目标

2．扭转信息不对称：了解攻击者是谁？他们使用什么工具？如何操作？为什么攻击？

3．扭转后果不对称：防守方不受影响损失；计算机取证，对攻击方有威慑作用。

15、简述Libpcap、Winpcap、Libnet的功能。

答：Libpcap：Unix用户态下的抓包工具库；Winpcap：WinPcap是Windows平台下的抓包工具，是libpcap的Windows版本。libnet是UNIX系统平台上网络安全工具开发的重要的库，它和libpcap、libnids一起，给网络安全工具的开发人员提供了一组丰富而且完全的武器，使之得以很方便地编写出结构化强、健壮性好、可移植性高等特点的程序。 libnet提供一系列的接口函数，实现和封装了数据包的构造和发送过程。利用它可以亲自构造从应用层到链路层的各层协议的数据包头，并将这些包头与有效数据有序地组合在一起发送出去。是基于tcp/ip协议族模型的。