网络安全题库 - 论述题

4个月前 ⋅ 0

论述题

一、

  1. 试述数字证书的验证过程。⑴ 用户将数字证书中出最后一个字段以外的所有字段,输入与签名中使用的相同消息摘要算法(杂凑算法);⑵ 由消息摘要算法计算数字证书中除最后一个字段外其它字段的消息摘要,设该消息摘要设为MD_1;⑶ 用户从接收到的证书中取出CA的数字签名(证书的最后一个字段);⑷ 用户使用签名者公开的CA公钥,对CA的数字签名信息进行解密运算,得到CA签名所使用的消息摘要设为MD_2;⑸ 用户比较MD_1和MD_2,若两者相符,即MD_1=MD_2,则可以肯定数字证书已由CA用其私钥签名,否则用户不信任该证书,将其拒绝。

  2. 试述动态包过滤防火墙的工作原理及优缺点。⑴ 动态包过滤防火墙是在静态包过滤防火墙的基础上发展而来,具有状态感知的能力,可以收集更多的状态信息,可以依据网络当前状态检查数据包,并根据当前所交换的信息动态调整过滤规则表,从而增加过滤的深度。动态包过滤防火墙的特点动态包过滤防火墙可以用来处理UDP和TCP协议;需要对已建连接和规则表进行动态维护,它是动态的和有状态的。动态包过滤防火墙的优点采用SMP技术时,对网络性能的影响非常小;安全性优于静态包过滤防火墙;其感知能力使其性能得到显著提高;成本比较低。动态包过滤防火墙的缺点仅工作于网络层,因而仅检查IP头和TCP头;由于没有对数据包的净荷部分进行过滤,因此仍然具有较低的安全性;容易遭受伪装IP地址欺骗攻击;难于创建规则;若未按照3次握手创建连接,则容易遭受DDoS攻击。

  3. 试述应用级防火墙的工作原理及优缺点。⑴应用及防火墙也称应用级网关,它只对特定服务的数据流进行过滤,因此必须为特定的应用服务编写特定的代理程序,这些程序称为服务代理,在网关内部分别扮演客户机代理和服务器代理的角色,当这种类型的应用服务通过网关时,它们必须经过客户机代理和服务器代理的过滤。⑵应用级网关的工作原理:应用级网关截获进出网络的数据包,运行代理程序来回复制和传递通过网关的信息,起着代理服务器的作用,它可以避免内网中的可信服务器或客户机与外网中某个不可信主机之间的直接连接。⑶应用级网关的优点:在已有的安全模型中安全性较高; 具有强大的认证功能; 具有超强的日志功能;规则配置比较简单。⑷应用级网关的缺点:灵活性很差;配置复杂;性能不高。(2分)

  4. 试述DES算法的过程。⑴ DES是分组密码,其中的消息被分成定长的数据分组,每一份组称为明文空间或密文空间的一个消息。⑵ DES加密和解密算法输入64bit明文(加密)或密文(解密)消息和56bit的密钥,输出64bit的密文(加密)或明文(解密)。运算可描述为以下3步:⑶ 对输入分组在分成32bit的左右半分组,再进行固定的“初识置换”IP; ⑷ 对置换过的消息分左右半分组进行16轮相同的迭代运算,上一轮的有半分组直接作为本轮的左半分组,上一轮的左半分组与本轮56bit密钥中的48bit子串进行S盒函数运算,结果作为本轮的右半分组⑸ 将经过16轮迭代的得到的结果输入到IP的逆置换来消除初始置换的影响,输出DES算法结果

  5. 试述分布式防火墙的组成及优缺点。⑴传统防火墙对来自于内网的攻击无能为力,分布式防火墙在网络中采用分布式的模式配置多种类型防火墙,实现共同防范来自外网和内网的攻击的防火墙系统。分布式防火墙包括⑵处于内网与外网之间,以及内部网络各子网之间的防护网络防火墙,与传统防火墙相比,多了各内网子网之间的安全防护;⑶用于对网络中服务器和主机进行防护的主机防火墙,这是传统防火墙所不具备的功能;⑷负责总体安全策略的规划、管理、分发及日志的汇总的管理中心服务器软件。⑸优点: 增强了系统的安全性; 提高了系统性能; 提供了系统的扩展性;可实施主机策略⑹缺点:系统部署时间比较长;复杂度高;后期维护的工作量较大;软件实现的主机防火墙有可能受到来自系统内部的攻击,或受到系统自身安全性的影响。

  6. 试述IPSec的工作原理及IPSec VPN的构成。IPSec工作原理:⑴IPSec通过查询安全策略数据库决定对接收到的数据包采取丢弃、直接转发和IPSec处理(IPSec处理表示对IP数据包进行加密和认证)。⑵采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证,此时封装数据包继续使用原来的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到原IP头部和传输层头部之间。⑶采用隧道模式时,IPSec对整个IP数据包进行加密或认证,此时需要产生一个新的IP头,IPSec头被放在新产生的IP头和原IP数据包之间,从而组成一个新的IP头。⑷IPSec VPN的构成包括:管理模块、密钥分配和生成模块、身份认证模块、数据加/解密模块、数据分组封装/分解模块、加密函数库

  7. 试述SSH协议的组成、采用的技术、存在的安全问题及防范措施。⑴ 安全壳(Secure Shell)协议是一种在不安全的网络上建立安全的远程登录或其它安全网络服务的协议,为协议网络应用程序提供一个安全的“隧道”。⑵ SSH协议主要由3层协议组成:传输层协议、用户认证协议和连接协议。⑶ SSH提供多种身份认证和数据加密机制,并采用“挑战/响应”机制代替传统的主机名和口令的认证; SSH对所有传输的数据进行RSA公钥机密算法进行处理,避免了信息的泄露和中间人攻击、DNS欺骗和IP欺骗。⑷ SSH协议存在的安全问题:在服务器认证过程中存在假冒的危险;在协议版本协商过程中,会就低不就高,造成有安全漏洞的版本被执行,从而存在危险; 存放主机密钥文件的安全保存。⑸ 防范的措施:进一步规范管理,采用较高的版本及安全设置。

  8. 试述SNMP协议的安全问题。⑴SNMP协议的V1和V2版本存在的问题:鉴别管理站合法性方法容易被攻击者破解; 传输的信息采用明文的方式,容易泄露; 攻击者可以通过对消息数据恶意重组、延时和重放即可实施对被管理设备的攻击⑵ 若采用V3版本,则该版本认证和加密机制完善,攻击者很难通过截取数据获取信息或进行重放攻击,安全性好,但需要耗费较多的系统资源。⑶对V1和V2版本可以采取:不必要情况下关闭SNMP服务;设置较为复杂的团体名;设定管理站IP地址限定;设置访问控制规则等防范方法。

  9. 试述针对TCP协议的攻击方法及防范措施。目前针对TCP协议的攻击可以分为三类:⑴建立连接阶段的三次握手过程的SYN FLOOD攻击:攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包,但收到服务器的SYN包后却不回复ACK确认信息,每次操作都会使服务器端保留一个半开放的连接,当这些半开放连接填满服务器的连接队列时,服务器便不再接受任何连接请求,导致服务器不能为正常请求服务。(2)防范的措施:在服务器的前端网络设备上设置对SYN FLOOD攻击数据包的过滤。⑵针对TCP协议部队数据包进行加密和认证的漏洞,进行会话劫持攻击。攻击者伪造发送序列号,截取通信的数据包,修改后再重放,伪造正常通信者的身份,达到劫持会话的目的。防范的措施:在TCP建立连接时采用随机数作为初始序列号,规避攻击者对序列号的猜测。⑶针对TCP协议拥塞控制机制的特点,攻击者降低拥塞窗口大小来降低发送窗口的大小,达到降低正常数据传输能力的目的。防范的措施:管理员经常实时监控,发现拥塞点及时解决问题。

  10. 试述邮件服务器存在的安全问题及解决措施。⑴SMTP协议的安全问题SMTP协议是邮件发送使用的简单邮件传输协议,使用TCP协议的25号端口。SMTP可以成为拒绝服务攻击的发源地,攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器;开放中继功能允许在任何人之间进行邮件传递,本邮箱就可能成为垃圾邮件的中转站,也可能成为攻击者的中转站。防范方法:使用STMP认证和加密SMTP会话方法⑵POP3协议的安全问题POP3协议是邮局协议第3版本,用于接收邮件的协议;POP3协议使用TCP协议的110号端口。邮箱的用户账户和口令采用明文方式传递,容易被攻击者窃取。防范措施:客户端使用APOP命令来接收邮件,APOP基于口令认证中常用的“挑战/响应”机制,对用户名和口令进行加密,以安全地传输用户口令,但APOP不对邮件内容进行保护,容易泄密,可以利用SSL/TLS协议对传输内容进行加密,保证邮件内容的安全。

    二、

  11. 试述PKI系统的基本构成模块。⑴ PKI包含的模块有:CA也称数字证书认证中心、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口模块。⑵ CA也称数字证书认证中心,作为具有权威性、公正性的第三方可信任机构,是PKI体系的核心构件,负责发放和管理数字证书;⑶ 注册机构:RA也称注册中心,是数字证书注册审批机构,是认证中心的延伸,与CA在逻辑上是一个整体,执行不同的功能;⑷ 证书发布库,也称证书库,集中存放CA颁发证书和证书撤销列表,证书库是网上可供公众进行开放式查询的公共信息库;⑸ 密钥备份与恢复,针对用户密钥丢失的情形,KPI提供密钥备份与恢复机制;⑹ 证书撤销,证书由于某些原因需要作废时,PKI需要使用一种方法警告其它用户不要在使用该用户的公钥证书,这种警告机制称为证书撤销机制;(1.5分)⑺ PKI应用接口,为各种应用提供安全、一致、可信的方式与PKI交换,确保安全网络环境的完整性和易用性。

  12. 试述静态包过滤防火墙原理、安全性及其优缺点。⑴ 静态包过滤防火墙采用一组过滤规则,对每个数据包进行检查,然后根据检查结果确定转发、拒绝还是丢弃该数据包,这种防火墙从内网到外网和从外网到内网两个方向的数据包进行过滤,其过滤规则基于IP与TCP/UDP数据包头中的几个字段内容。⑵ 静态包过滤防火墙的安全性:包过滤器仅检查数据的IP头和TCP/UDP头,无法区分IP地址的真实性,对伪造IP地址的数据包只要符合过滤规则,也允许通过;静态包过滤防火墙容易受到IP地址欺骗的攻击和“隐信道攻击”;⑶ 静态包过滤防火墙的优点:对网络性能影响较小;成本低。 ⑷ 静态包过滤防火墙的缺点:安全性较低;缺少状态感知能力;容易受到IP欺骗攻击;创建访问控制规则比较困难。

  13. 试述分布式拒绝服务的原理。⑴DDoS(Distributed Denial of Service)分布式拒绝服务,使用很多Internet主机,同时向某个目标发起DoS攻击,通常参与攻击的主机受到恶意控制,在不明情况下参与攻击;⑵黑客通过Internet将木马程序植入尽可能多的计算机上,这些计算机分布在Internet上的不同位置,被植入的木马程序绑定在计算机的某个端口上,等待攻击命令;⑶攻击者在Internet的某个主机安装一个主控程序,该主控程序中包含一个木马程序所处位置的列表,然后主控程序等待黑客发出命令;⑷攻击者等待时机,做好攻击命令前的准备等攻击时机一到,攻击者向主控程序发出消息,指定攻击目标的地址,主控程序在向各个被控制的攻击主机发出指定攻击目标地址的攻击指令;⑸受控制的主机木马程序立即向攻击目标发送大量的数据包,由于这些数据包的数量巨大,足以瘫痪目标主机。

  14. 试述电路级网关防火墙的工作原理。⑴电路级网关又称线路级网关,电路级网关工作在会话层,它除了进行基本的包过滤检查外,还用增加对连接建立过程中的握手信息及序列号合法性的验证;⑵在可信客户机与不可信主机之间进行TCP握手通信时,仅当SYN标志、ACK标志及序列号符合逻辑时,电路级网关才判断该会话是合法的;⑶如果会话是合法的,包过滤器就开始对规则进行逐条扫描,直到发现其中一条规则与数据包中的有关信息一致,并将数据包的IP头和TCP头与管理员定义的规则表相比较,以确定防火墙是将数据包丢弃还是让数据包通过;⑷电路级网关在其自身与远程主机之间建立一个新的连接,而这一切对内网中的用户来说是完全透明的,内网用户不会意识到这些,电路级网关将数据包的源地址改为自己的IP地址,外部网络中的主机也不会知道内部主机的IP地址。

  15. 试述应用级防火墙的工作原理及优缺点。4. ⑴应用及防火墙也称应用级网关,它只对特定服务的数据流进行过滤,因此必须为特定的应用服务编写特定的代理程序,这些程序称为服务代理,在网关内部分别扮演客户机代理和服务器代理的角色,当这种类型的应用服务通过网关时,它们必须经过客户机代理和服务器代理的过滤。⑵应用级网关的工作原理:应用级网关截获进出网络的数据包,运行代理程序来回复制和传递通过网关的信息,起着代理服务器的作用,它可以避免内网中的可信服务器或客户机与外网中某个不可信主机之间的直接连接。⑶应用级网关的优点:在已有的安全模型中安全性较高; 具有强大的认证功能; 具有超强的日志功能;规则配置比较简单。⑷应用级网关的缺点:灵活性很差;配置复杂;性能不高。

  16. 试述DES算法的过程。⑴ DES是分组密码,其中的消息被分成定长的数据分组,每一份组称为明文空间或密文空间的一个消息。⑵ DES加密和解密算法输入64bit明文(加密)或密文(解密)消息和56bit的密钥,输出64bit的密文(加密)或明文(解密)。运算可描述为以下3步:⑶ 对输入分组在分成32bit的左右半分组,再进行固定的“初识置换”IP;⑷ 对置换过的消息分左右半分组进行16轮相同的迭代运算,上一轮的有半分组直接作为本轮的左半分组,上一轮的左半分组与本轮56bit密钥中的48bit子串进行S盒函数运算,结果作为本轮的右半分组⑸ 将经过16轮迭代的得到的结果输入到IP的逆置换来消除初始置换的影响,输出DES算法结果

  17. 试述针对TCP协议的攻击方法及防范措施。目前针对TCP协议的攻击可以分为三类:⑴建立连接阶段的三次握手过程的SYN FLOOD攻击:攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包,但收到服务器的SYN包后却不回复ACK确认信息,每次操作都会使服务器端保留一个半开放的连接,当这些半开放连接填满服务器的连接队列时,服务器便不再接受任何连接请求,导致服务器不能为正常请求服务。防范的措施:在服务器的前端网络设备上设置对SYN FLOOD攻击数据包的过滤。⑵针对TCP协议部队数据包进行加密和认证的漏洞,进行会话劫持攻击。攻击者伪造发送序列号,截取通信的数据包,修改后再重放,伪造正常通信者的身份,达到劫持会话的目的。防范的措施:在TCP建立连接时采用随机数作为初始序列号,规避攻击者对序列号的猜测。⑶针对TCP协议拥塞控制机制的特点,攻击者降低拥塞窗口大小来降低发送窗口的大小,达到降低正常数据传输能力的目的。防范的措施:管理员经常实时监控,发现拥塞点及时解决问题。

  18. 试述邮件服务器存在的安全问题及解决措施。⑴SMTP协议的安全问题SMTP协议是邮件发送使用的简单邮件传输协议,使用TCP协议的25号端口。SMTP可以成为拒绝服务攻击的发源地,攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器;开放中继功能允许在任何人之间进行邮件传递,本邮箱就可能成为垃圾邮件的中转站,也可能成为攻击者的中转站。防范方法:使用STMP认证和加密SMTP会话方法⑵POP3协议的安全问题POP3协议是邮局协议第3版本,用于接收邮件的协议;POP3协议使用TCP协议的110号端口。邮箱的用户账户和口令采用明文方式传递,容易被攻击者窃取。防范措施:客户端使用APOP命令来接收邮件,APOP基于口令认证中常用的“挑战/响应”机制,对用户名和口令进行加密,以安全地传输用户口令,(2分)但APOP不对邮件内容进行保护,容易泄密,可以利用SSL/TLS协议对传输内容进行加密,保证邮件内容的安全。

  19. 试述RSA密码体制的加密过程。RSA密码体制是一种非对称(公钥)加密体制,主要的加密步骤为:⑴ 独立选取两个大素数p1和P2,计算n=p1*p2;⑵ 其欧拉函数值为:φ(n)=(p1-1)(p2-1);⑶ 随机选一整数e,要求1<=e<φ(n),且(φ(n),e)=1,则e有逆元d;⑷ d=e-1modφ(n);⑸ 则公钥取值为:(n,e),私钥为d;

  20. 试述针对UDP协议的特点、攻击方法及防范措施。⑴ UDP协议是非面向连接的不可靠传输协议; 该协议发送数据前不需要创建连接,减少了开销和时延;不使用拥塞控制,减少了复杂度;首部只有8个字节,额外开销小;网络拥塞时不会降低源主机的发送速率。⑵针对UDP协议的攻击有:DoS攻击是最常见的UDP攻击,UDP Flood攻击是DoS攻击中最普遍的流量型攻击,攻击源发送大量的UDP小包到攻击目标,使其忙于处理回应UDP报文,占用大量系统资源,导致目标设备不能提供正常服务或者直接死机,是一种消耗攻击目标资源,同时也消耗自身资源的攻击方法。⑶防范UDP攻击的方法有:根据攻击包大小,设定包碎片重组大小;根据业务UDP最大包长,设置UDP最大包长,过滤异常流量;与TCP协议结合使用提高安全。

  21. 以文件的访问控制为例,试述访问控制模型的实现机制。实现访问的控制不仅是保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为,还要保证敏感信息的交叉感染。下面以文件的访问控制为例对访问控制的实现做具体说明。(1) 访问控制表。这是以文件为中心建立的访问权限表。大多数PC、服务器和主机都使用访问控制表作为访问控制的实现机制。 (2) 访问控制矩阵,这是通过矩阵形式表示访问控制规则和授权用户权限的方法。(3) 能力。访问控制能力表是以用户为中心建立访问权限表。(4) 安全标签。这是限制和附属在主体或客体上的一组安全属性信息。

  22. 试述入侵检测的基本步骤有哪些?入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应。入侵检测的第一步是信息收集,入侵检测利用的信息一般来自以下4个方面(1) 系统和网络日志文件。 (2) 目录和文件中的不期望的改变。(3) 程序执行中的不期望行为。 (4) 物理形式的入侵信息。 数据分析是入侵检测的核心,一般通过3种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前2种方法用于实时的入侵检测,而完整性分析则用于事后分析。入侵检测系统发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警等。响应一般分主动响应和被动响应两种类型。