网络安全课程复习

网络安全复习

考试范围
名词解释（5道）
第二章网络攻击／第九章／第十章／十一章／十二章
计算题（1道）
第八章（例题8.10）／第九章（9.11／9.12）
选择
2／5／6／7／8／9／10／13
例题：2.4／2.3／2.5／2.6／2.8
5.1／5.2／5.6／
6.1（哪一层，要点）／6.2／6.5（4张图）／6.6
8.1／8.2／8.5／8.9
9.7／9.1
简答X2，设计X2

名词解释

第二章

（1）网络攻击

​ 利用网络存在的漏洞和安全缺陷对网络中的硬件软件及信息进行的攻击，其目的是破坏网络中信息的保密性、完整性、可用性、可控制性和不可抵赖性，削弱甚至瘫痪网络的服务功能。

（2）被动攻击

​ 不会对经过网络传输的信息、网络状态和网络信息流模式产生影响的攻击行为。

（3）主动攻击

​ 会改变网络中的信息、网络状态和网络信息流模式的攻击行为。

（4）MAC表溢出攻击

​ 黑客终端通过发送大量源MAC地址不同的MAC帧，使MAC表溢出，导致交换机广播所有以正常单播MAC地址为目的MAC地址的MAC帧的攻击行为。

（5）MAC地址欺骗攻击

​ 黑客终端通过发送源MAC地址为攻击目标MAC地址的MAC帧，使交换机错误的将通往黑客终端的交换路径作为通往攻击目标的交换路径的攻击行为。

（6）DHCP欺骗攻击

​ 通过在网络中接入伪造的DHCP服务器，使终端从伪造的DHCP服务器获取错误的网络信息的攻击行为。

（7）ARP欺骗攻击

​ 通过在广播的ARP请求报文中给出黑客终端的MAC地址和攻击目标的IP之间的绑定关系，导致网络中其他节点将原本发送给攻击目标的IP分组错误的发送给黑客终端的攻击行为。

（8）生成树欺骗攻击

​ 黑客终端通过配置最高优先级，使自己作为生成树的根交换机，从而使其他终端之间传输的MAC帧经过黑客终端的攻击行为。

（9）路由项欺骗攻击

​ 黑客终端通过发送伪造的路由信息，使路由器中的路由项发生错误，导致黑客终端成为源和目的端之间传输路径必须经过的节点，源和目的端之间的IP分组全部被黑客终端截获的攻击行为。

（10）SYN泛洪攻击

​ 通过快速消耗掉Web服务器中的TCP会话表中的连接项，使正常的TCP连接建立过程因会话表中连接项耗尽而无法正常进行的攻击行为。

（11）Smurf攻击

​ 黑客终端广播一个以攻击目标的IP地址为源IP地址的ICMP ECHO请求报文，导致网络中的所有终端像攻击目标终端发送ICMP ECHO相应报文，从而阻塞攻击目标的网络的链路的攻击行为。

（12）直接DDOS

​ 由已被攻陷的多个主机系统（傀儡机）直接向攻击目标发送大量无用的IP分组，使攻击目标丧失服务能力的攻击行为。

（13）间接DDOS

​ 由已被攻陷的多个主机系统（傀儡机）向其他正常主机系统发送大量无用的IP分组，这些IP分组经这些正常主机系统反射后，被送往攻击目标，并因此使攻击目标失去服务能力的攻击行为。

（14）源IP地址欺骗攻击

​ 一种在实施过程中黑客终端发送的IP分组，不是以黑客终端真实IP作为源IP地址，而是用其他终端的IP地址或者伪造一个根本不存在的IP地址作为IP分组的源IP地址的攻击行为。

（15）钓鱼网站

​ 黑客构建的模仿某个著名网站的假网站，且能够引诱用户将访问该假网站的过程作为访问该著名网站的过程的攻击行为。

（16）非法登陆

​ 黑客非法获取某个授权用户的身份标识信息，例如用户名和密码，冒用该授权用户登录网络设备或服务器的攻击行为。

（17）黑客入侵

​ 黑客利用主机系统存在的漏洞，远程入侵主机系统的过程。

（18）狭义病毒

​ 一段嵌在宿主程序中，具有破坏功能和自我复制功能的代码。

（19）恶意代码

​ 黑客编写的旨在破坏主机系统的代码集合。

（20）蠕虫

​ 一种具备完整程序特性的恶意代码，能够自动传播到其他系统，并具有自动激发功能，因而能够快速传播。

（21）木马

​ 一种恶意代码，其主要功能在于削弱主机系统的安全性并盗取主机系统的信息资源。

第九章

(1) 安全路由

一种保证路由表中路由项正确，且能够对传输的IP分组的源IP地址进行检测的安全技术。

(2) 流量管制

一种限制路由器输入/输出特定信息流的流量的安全技术。

(3) NAT

一种既能隐藏分配私有IP地址的内部网络，又能使分配私有IP地址的内部网络终端能够发起访问公共网络的过程的安全技术。

(4) VRRP

一种通过默认网关冗余，使终端在默认网关失效的情况下，无需修改默认网关地址，便可继续与其他网络中的终端交换IP分组的协议。

(5) 防路由项欺骗攻击机制

一种通过对路由消息进行源端鉴别和完整性检测，保证路由表中的路由项正确有效的机制。

(6) 路由项过滤

一种通过限制某个接口发送的路由消息中包含的路由项，使该路由器可以到达的某些网络对于其他路由器是透明的安全技术。

(7) 单播反向路径验证

一种基于对称的端到端传输路径检测IP分组中源IP地址是否是伪造的IP地址的安全技术。

(8) 策略路由

一种用于为符合特定条件的IP分组选择特殊的传输路径的路由技术。

(9) PAT

一种用于建立全局唯一端口号，或者全局唯一序号与内部网络私有IP地址之间映射的NAT技术。

第十章

（1）VPN

​ 一种通过Internet实现企业局域网之间互连和远程终端与内部网络之间互连，但又使其具有专用网络所具有的安全性的技术。

（2）企业专用网络

​ 由专用的点对点物理链路实现各个子网之间互连的企业网。

（3）远程接入过程

​ 一个与内部网络相隔甚远的终端接入内部网络，并访问内部网络资源的过程。

（4）隧道

​ 一种实现互联网两端之间无法直接结果互联网传输的PDU的传输过程的技术。

（5）IPSec第三层隧道VPN

​ 一种通过隧道实现以私有IP地址为源和目的IP地址的IP分组跨互联网传输的过程，通过IPSec实现通过隧道传输的数据的保密性和完整性的VPN。

（6）IPSec第二层隧道VPN

​ 一种通过隧道实现PPP帧跨互联网传输的过程，通过IPSec实现经过隧道传输的数据的保密性和完整性的VPN。

（7）SSL VPN

​ 一种通过HTTPS实现远程终端访问内部网络资源过程的VPN。

（8）L2TP

​ 一种动态建立基于Internet的第二层隧道或虚拟线路的信令协议。

（9）LAC

​ 一种ISP接入控制设备，允许多个远程终端同时通过接入网络建立与该ISP接入控制设备之间的传输通路，并通过该ISP接入控制设备接入内部网络。

（10）LNS

​ 内部网络接入Internet的访问控制设备。

第十一章

（1）防火墙

​ 一种位于网络或者用户终端与网络之间，对网络或者网络与用户终端之间传输的信息流实施控制的设备。

（2）个人防火墙

​ 安装在主机中的软件防火墙，对于对用户终端与网络之间传输的信息流实施控制。

（3）网络防火墙

​ 位于两个网络之间，用于对网络之间传输的信息流实施控制的装置，这个装置可以是独立的设备，也可以集成在路由器中。

（4）无状态分组过滤器

​ 能够从一个网络进入另一个网络的全部IP分组中筛选出符合用户指定特征的一部分IP分组，并对这一部分IP分组的网络间传输过程实施控制。当实施筛选和控制操作时，每一个IP分组都是独立的，不考虑IP分组之间的关联性。

（5）有状态分组过滤器

​ 能够鉴别出属于同一会话的IP分组，然后根据会话的属性与状态对属于该回话的IP分组的网络间传输过程进行控制。

（6）电路层代理

​ 一个在源和目的主机之间无法建立TCP连接或UDP会话的情况下，用于实现源主机和目的主机之间的通信过程的中继设备

（7）应用层网关

​ 一种能够对每一种网络服务，提供用于防御针对该网络服务的攻击行为的设备。

（8）堡垒主机

​ 一种被强化的、可以防御进攻的计算机，安装软件防火墙后，也可以作为防火墙使用。根据安装软件防火墙功能的不同，可以作为分组过滤器、电路层代理和应用层网关。

第十二章

（1）入侵检测系统

​ 一种可以获取流经关键链路的信息，并能够对这些信息进行检测，发现包含在这些信息中与实施攻击有关的有害信息，并予以反制的设备。

（2）入侵

​ 所有破坏网络中信息可用性、保密性和完整性的行为。

（3）主机入侵检测系统

​ 一种发现针对主机系统的入侵行为并予以反制的系统。

（4）网络入侵检测系统

​ 一种发现针对网络的入侵行为并予以反制的系统。

（5）在线方式

​ 一种网络入侵检测系统的应用方式，在这种应用方式下，IDS位于关键链路的中间，所有经过该链路传输的信息都必须经过IDS。

（6）杂凑方式

​ 一种网络入侵检测系统的应用方式，在这种应用方式下，入侵检测系统对信息经过关键链路的传输没有影响，只能被动捕获经过关键链路传输的信息。因此，无法实时阻断入侵信息的传输过程。

（7）攻击特征

​ 用于鉴别是否是攻击信息的特点字符串模式。

（8）元攻击特征

​ 用于确定攻击信息的单个攻击特征。

（9）有状态攻击特征

​ 用于确定攻击信息的分散在信息流中的多个攻击特征。

（10）协议译码

​ 一种通过对IP分组格式、TCP报文格式进行检测，根据TCP报文的目的端口字段值或IP报文的协议字段值确定报文净荷对应的应用层协议，然后根据协议要求对净荷格式、净荷中各字段内容、请求和响应过程进行检测，以此发现攻击信息的检测机制。

（11）异常检测

​ 一种需要事先建立正常网络访问过程下的信息流模式库和资源访问操作规则库，然后实时分析捕获到的信息，并根据捕获到的信息得出的信息流模式，或根据捕获到的信息得出的网络资源访问操作与已经建立的信息流模式库或资源访问操作规则库中相应的信息流模式或访问操作规则之间是否存在较大偏差，发现攻击信息的检测机制。

（12）误报

​ 把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。

（13）漏报

​ 把攻击过程当作正常的信息交换过程或网络资源访问过程不予干预，从而使黑客攻击成功的情况。

计算题

（1）假设MAC帧长度为200B，无线局域网传输速率为56Mb/s，求出发送完对应IV所有可能组合的MAC帧所需的时间（忽略MAC帧帧间间隔时间）。

​ 答：时间=$2^{24}\ast ((8\ast 200)/(56\ast 10^6))=479.349s$.

​ （IV长24位）

（2）假定漏斗算法中队列长度是10MB，队列稳定期的输出速率是2Mb/s，求分组最大队列等待时延。

​ 答：分组最大队列等待时延=$(10\ast 10^6\ast 8)/(2\ast 10^6)=40s$

（3）假定每一个令牌授权传输2KB，令牌生成速率是1000个/s，令牌桶深度是1000个令牌，求平均传输速率和最大突发性数据长度。

​ 答：平均传输速率=每一个令牌授权传输的二进制数位数*令牌生成速率=$2\ast 10^3\ast 8\ast 1000=16Mb/s$。

​ 最大突发性数据长度=每一个令牌授权传输的二进制位数*令牌桶深度=2 * 10^3 * 8 * 1000=16Mb=2MB