网络安全习题(选择和填空)

第1章网络安全概述

练习题

1.选择题

（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（）。

A．机密性B．完整性

C．可用性D．可控性

（2）Alice向Bob发送数字签名的消息M，则不正确的说法是( ) 。

A．Alice可以保证Bob收到消息M

B．Alice不能否认发送消息M

C．Bob不能编造或改变消息M

D．Bob可以验证消息M确实来源于Alice

（3）入侵检测系统(IDS，Intrusion Detection System)是对( )的合理补充，帮助系统对付网络攻击。

A．交换机B．路由器C．服务器D．防火墙（4）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高局域网内安全性的措施是( )。

A．使用防病毒软件B．使用日志审计系统

C．使用入侵检测系统D．使用防火墙防止内部攻击

(5)典型的网络安全威胁不包括 ( ) 。

A. 窃听

B. 伪造

C. 身份认证

D. 拒绝服务攻击

2. 填空题

（1）网络安全的基本要素主要包括、、、可控性与不可抵赖性。

（2）是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。

（3）是近年来兴起的另一种新型网络攻击手段，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户访问。

（4）是网络的第一道防线，它是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的入侵，

（5）是网络的第二道防线，入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

（6）Vmware虚拟机里的网络连接有三种，分别是桥接、、。

（7）机密性指确保信息不暴露给的实体或进程。

第2章信息加密技术-第3章消息鉴别与数字签名

练习题

1. 单项选择题

（1）就目前计算机设备的计算能力而言，数据加密标准DES不能抵抗对密钥的穷举搜索攻击，其原因是（）

A．DES算法是公开的

B．DES的密钥较短

C．DES除了其中S盒是非线性变换外，其余变换均为线性变换

D．DES算法简单

（2）数字签名可以做到（）。

A．防止窃听

B．防止接收方的抵赖和发送方伪造

C．防止发送方的抵赖和接收方伪造

D．防止窃听者攻击

（3）下列关于PGP(Pretty Good Privacy)的说法中不正确的是（）。

A．PGP可用于电子邮件，也可以用于文件存储

B．PGP可选用MD5和SHA两种Hash算法

C．PGP采用了ZIP数据压缩算法

D．PGP不可使用IDEA加密算法

（4）为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法（①），所以特别适合对大量的数据进行加密。DES实际的密钥长度是（②）位。

① A．比非对称密码算法更安全

B．比非对称密码算法密钥长度更长

C．比非对称密码算法效率更高

D．还能同时用于身份认证

②A．56B．64C．128D．256

（5）使用TELNET协议进行远程管理时，（）。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密

B．包括用户名和口令在内，所有传输的数据都会被自动加密

C．用户名和口令是加密传输的，而其它数据则以文明方式传输

D．用户名和口令是不加密传输的，其它数据则以加密传输的

（6）以下不属于对称密码算法的是( )。

A．IDEA B．RC C．DES D．RSA

（7）以下算法中属于非对称算法的是（）。

A．Hash算法B．RSA算法

C．IDEA D．三重DES

（8）以下不属于公钥管理的方法有（）。

A．公开发布B．公用目录表

C．公钥管理机构D．数据加密

（9）以下不属于非对称密码算法特点的是（）。

A．计算量大B．处理速度慢

C．使用两个密码D．适合加密长数据（10）数字证书是将用户的公钥与其（）相联系。

A. 私钥

B. CA

C. 身份

D. 序列号

2. 填空题

（1）__________________的重要性在于赋予给消息M唯一的“指纹”，其主要作用于验证消息M的完整性。和是常用的两种算法。

（2）非对称加密算法有两把密钥，一把称为私钥、另一把称为。

（3）IDEA是目前公开的最好和最安全的分组密码算法之一，它采用__________位密钥对数据进行加密。

（4）RSA算法的安全是基于分解的难度。

（5）技术是指一种将内部网络与外部网络隔离的技术，以防止外部用户对内部用户进行攻击。

（6）MD5把可变长度的消息哈希成_______ ____位固定长度的值。

（7）DES算法加密过程中输入的明文长度是_______ ____位，整个加密过程需经过轮的子变换。

（8）在密码学中通常将源消息称为____ __ ____,将加密后的消息称为______ _ ____。这个变换处理过程称为_______ ____过程，它的逆过程称为______ _ ____

过程。

4. 综合应用题

WYL公司的业务员甲与客户乙通过Internet交换商业电子邮件。为保障邮件内容的安

全，采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的实现原理

如图3.31所示。根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

图3.31 安全电子邮件技术的实现原理

【问题1】

给图3.31中（1）～（4）处选择合适的答案。（1）～（4）的备选答案如下：A．DES算法 B．MD5算法 C．会话密钥 D．数字证书

E．甲的共钥 F．甲的私钥 G．乙的共钥 H．乙的私钥【问题2】

以下关于报文摘要的说法中正确的有（5）、（6）。（5）和（6）的备选答案如下：A．不同的邮件很可能生成相同的摘要B．由邮件计算出其摘要的时间

非常短

C．由邮件计算出其摘要的时间非常长D．摘要的长度比输入邮件的长

度长

E．不同输入邮件计算出的摘要长度相同F．仅根据摘要很容易还原出原

邮件

【问题3】

甲使用Outlook Express撰写发送给乙的邮件，他应该使用（7）的数字证书来添加

数字签名，而使用（8）的数字证书来对邮件加密。（7）和（8）的备选答案如下：

A．甲 B．乙 C．第三方 D．CA认证中心

【问题4】

乙收到了地址为甲的含数字签名的邮件，他可以通过验证数字签名来确认的信息有（9）、（10）。（9）和（10）的备选答案如下：

A．邮件在传送过程中是否加密B．邮件中是否含病毒C．邮件是否被篡改D．邮件的发送者是否是甲

第5章internet安全

练习题

1. 单项选择题

（1）SSL指的是（）。

A．加密认证协议B．安全套接层协议

C．授权认证协议D．安全通道协议（2）以下不属于pgp加密算法特点的是( )。

A．计算量大B．处理速度慢

C．使用两个密码D．适合加密长数据（3）pgp可以实现数字签名，以下关于数字签名说法正确的是（）。

A．数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息

B．数字签名能够解决数据的加密传输，即安全传输问题

C．数字签名一般采用对称加密机制

D．数字签名能够解决篡改、伪造等安全性问题

（4）CA指的是（）。

A．证书授权B．加密认证

C．虚拟专用网D．安全套接层

（5） HTTPS 是一种安全的 HTTP 协议，它使用（①）来保证信息安全，使用（②）来发送和接收报文。

（①）A．IPSec B．SSL C．SET D．SSH

（②）A．TCP 的443 端口B．DP 的443 端口

C．TCP 的80 端口 D ．UDP 的80 端口第6章恶意代码

练习题

1. 单项选择题

（1）计算机病毒是（）。

A．编制有错误的计算机程序

B．设计不完善的计算机程序

C．已被破坏的计算机程序

D．以危害系统为目的的特殊的计算机程序

（2）以下关于计算机病毒的特征说法正确的是（）。

A．计算机病毒只具有破坏性，没有其他特征

B．计算机病毒具有破坏性，不具有传染性

C．破坏性和传染性是计算机病毒的两大主要特征

D．计算机病毒只具有传染性，不具有破坏性

（3）计算机病毒是一段可运行的程序，它一般（）保存在磁盘中。

A．作为一个文件

B．作为一段数据

C．不作为单独文件

D．作为一段资料

（4）下列措施中，（）不是减少病毒的传染和造成的损失的好办法。

A．重要的文件要及时、定期备份，使备份能反映出系统的最新状态

B．外来的文件要经过病毒检测才能使用，不要使用盗版软件

C．不与外界进行任何交流，所有软件都自行开发

D．定期用抗病毒软件对系统进行查毒、杀毒

（5）下列关于计算机病毒的说法中，正确的有：计算机病毒（）。

A．是磁盘发霉后产生的一种会破坏计算机的微生物

B．是患有传染病的操作者传染给计算机，影响计算机正常运行

C．有故障的计算机自己产生的、可以影响计算机正常运行的程序

D．人为制造出来的、干扰计算机正常工作的程序

（6）计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。此特

征为计算机病毒的( )。

A．潜伏性B．传染性

C．欺骗性D．持久性

（7）计算机病毒的主要危害有（）。

A．损坏计算机的外观B．干扰计算机的正常运行

C．影响操作者的健康D．使计算机腐烂

2. 填空题

（1）Office中的Word、Excel、PowerPoint、Viso等很容易感染病毒。

（2）____ __是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

（3）冲击波和震荡波都是属于_______ ___________病毒。

第7章防火墙技术

练习题

1. 单项选择题

（1）一般而言，Internet防火墙建立在一个网络的( )。

A．内部网络与外部网络的交叉点

B．每个子网的内部

C．部分内部网络与外部网络的结合合

D．内部子网之间传送信息的中枢

（2）下面关于防火墙的说法中，正确的是( )。

A．防火墙可以解决来自内部网络的攻击

B．防火墙可以防止受病毒感染的文件的传输

C．防火墙会削弱计算机网络系统的性能

D．防火墙可以防止错误配置引起的安全威胁

（3）包过滤防火墙工作在( )。

A．物理层B．数据链路层

C．网络层D．会话层

（4）防火墙中地址翻译的主要作用是（）。

A．提供代理服务B．隐藏内部网络地址

C．进行入侵检测D．防止病毒入侵（5）WYL公司申请到5个IP地址，要使公司的20台主机都能联到Internet上，他需要使用防火墙的哪个功能( )。

A．假冒IP地址的侦测B．网络地址转换技术

C．内容检查技术D．基于地址的身份认证（6）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高内部用户之间攻击的是（）。

A．使用防病毒软件B．使用日志审计系统

C．使用入侵检测系统D．使用防火墙防止内部攻击（7）关于防火墙的描述不正确的是（）。

A．防火墙不能防止内部攻击。

B．如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

C．防火墙是IDS的有利补充。

D．防火墙既可以防止外部用户攻击，也可以防止内部用户攻击。

（8）包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规

则有选择的路由某些数据包。下面不能进行包过滤的设备是（）。

A．路由器B．主机

C．三层交换机D．网桥

（9）包过滤技术防火墙在过滤数据包时，一般不关心( )。

A．数据包的源地址 B．数据包的目的地址

C．数据包的协议类型 D．数据包的内容

第8章网络攻击与防范

练习题

1. 单项选择题

（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（）。

A．机密性B．完整性

C．可用性D．可控性

（2）有意避开系统访问控制机制，对网络设备及资源进行非正常使用属于（）。

A．破环数据完整性B．非授权访问

C．信息泄漏D．拒绝服务攻击（3）( )利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息。

A．嗅探程序B．木马程序

C．拒绝服务攻击D．缓冲区溢出攻击（4）字典攻击被用于( )。

A．用户欺骗B．远程登录

C．网络嗅探D．破解密码

（5）ARP属于( )协议。

A．网络层B．数据链路层

C．传输层D．以上都不是

（6）使用FTP协议进行文件下载时（）。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密

B．包括用户名和口令在内，所有传输的数据都会被自动加密

C．用户名和口令是加密传输的，而其它数据则以文明方式传输

D．用户名和口令是不加密传输的，其它数据则以加密传输的

（7）在下面4种病毒中，( )可以远程控制网络中的计算机。

A．worm.Sasser.f B．Win32.CIH

C．Trojan.qq3344 D．Macro.Melissa （8）关于入侵检测系统的描述，下列叙述中（）是错误的。

A.监视分析用户及系统活动

B.发现并阻止一些已知的攻击活动

C.检测违反安全策略的行为

D.识别已知进攻模式并报警

（9）IDS是一种重要的安全技术，其实现安全的基本思想是（）

A.过滤特定来源的数据包

B.过滤发往特定对象的数据包

C.利用网闸行为判断是否安全

D.通过网络行为判断是否安全

（10）信号分析有模式匹配、统计分析和完整性分析3种技术手段，其中（）用于事

后分析。

A.信息收集

B.统计分析

C.模式匹配

D.完整性分析

2. 填空题

（1）在以太网中，所有的通信都是________________的。

（2）网卡一般有4种接收模式：单播、_______________、________________、_______________。

（3）Sniffer的中文意思是________________。

（4）_______________攻击是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，

（5）完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。中了木马就是指安装了木马的________________程序。

（6）IETF（Internet工程任务组）将一个入侵检测系统分为4个组件，4个组件中包括事件生成器、————、响应单元和事件数据库。

（7）IDS是指————，按照检测对象，分为基于主机的检测和——————；按照检测理论而言，又可以分为异常检测和。

3. 综合应用题

木马发作时，计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

【问题1】

ARP木马利用（1）协议设计之初没有任何验证功能这一漏洞而实施破坏。

（1）A．ICMP B．RARP C．ARP D．以上都是

【问题2】

在以太网中，源主机以（2）方式向网络发送含有目的主机IP地址的ARP请求包；目的主机或另一个代表该主机的系统，以（3）方式返回一个含有目的主机IP地址及其MAC

地址对的应答包。源主机将这个地址对缓存起来，以节约不必要的ARP通信开销。ARP协议（4）必须在接收到ARP请求后才可以发送应答包。

备选答案：

（2）A．单播B．多播C．广播D．任意播

（3）A．单播B．多播C．广播D．任意播

（4）A．规定B．没有规定

【问题3】

ARP木马利用感染主机向网络发送大量虚假ARP报文，主机（5）导致网络访问不稳定。例如：向被攻击主机发送的虚假ARP报文中，目的IP地址为（6）。目的MAC地址为（7）。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器，并抓包截取用户口令信息。

备选答案：

（5）A．只有感染ARP木马时才会B．没有感染ARP木马时也有可能 C．感染ARP木马时一定会D．感染ARP木马时一定不会（6）A．网关IP地址B．感染木马的主机IP地址 C．网络广播IP地址D．被攻击主机IP地址（7）A．网关MAC地址

B．被攻击主机MAC地址

C．网络广播MAC地址

D．感染木马的主机MAC地址

【问题4】

网络正常时，运行如下命令，可以查看主机ARP缓存中的IP地址及其对应的MAC地址。

C:\> arp（8）

备选答案：

（8）A．-s B．-d C．-all D．-a 假设在某主机运行上述命令后，显示如图2.51中所示信息：

图2.51 查看主机ARP缓存

00-10-db-92-aa-30是正确的MAC地址，在网络感染ARP木马时，运行上述命令可能显示如图2。52中所示信息：

图2.52 查看感染木马后的主机ARP缓存

当发现主机ARP缓存中的MAC地址不正确时，可以执行如下命令清除ARP缓存：C:\> arp（9）

备选答案：

（9）A．-s B．-d C．-all D．-a 之后，重新绑定MAC地址，命令如下：

C:\> arp -s（10）（11）

（10）A．172.30.0.1 B．172.30.1.13

C．00-10-db-92-aa-30 D．00-10-db-92-00-31 （11）A．172.30.0.1 B．172.30.1.13

C．00-10-db-92-aa-30 D．00-10-db-92-00-31 第9章VPN技术

练习题

1. 单项选择题

（1）以下关于VPN说法正确的是（）。

A．VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路

B．VPN指的是用户通过公用网络建立的临时的、安全的连接

C．VPN不能做到信息认证和身份认证

D．VPN只能提供身份认证、不能提供加密数据的功能

（2）Ipsec不可以做到（）。

A．认证B．完整性检查

C．加密D．签发证书

（3）IPSec是( )VPN协议标准。

A．第一层B．第二层

C．第三层D．第四层

（4）IPSec在任何通信开始之前，要在两个VPN结点或网关之间协商建立（）。

A．IP地址B．协议类型

C．端口D．安全联盟

（5）（）是IPSec规定的一种用来自动管理SA的协议，包括建立、协商、修改和删除SA等。

A．IKE B．AH

C．ESP D．SSL

3 综合应用题

WYL公司的网络拓扑结构如图7.36所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，10.10.30.1/24网段不能连通10.10.10.2/24网段。根据要求，回答问题1至问题4。

图7.36 WYL公司的网络拓扑结构

【问题1】

根据网络拓扑图的要求，解释并完成路由器R1上的部分配置。

R1(config)# crypto isakmp enable （启用IKE）

R1(config)# crypto isakmp （1） 20 （配置IKE策略20）

R1(config-isakmp)# authentication pre-share （2）

R1(config-isakmp)# exit

R1(config)# crypto isakmp key 378 address 192.168.2.2 （配置预共享密钥为378）

R1(config)# access-list 101 permit ip（3） 0.0.0.255 （4）

0.0.0.255（设置ACL）

【问题2】

根据网络拓扑图的要求，完成路由器R2上的静态路由配置。

R2(config)# ip route （5） 255.255.255.0 192.168.1.1

R2(config)# ip route 10.10.30.0 255.255.255.0（6）

R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2

【问题3】

根据网络拓扑图的要求和R1的配置，解释并完成路由器R3的部分配置。

R3(config)# crypto isakmp key（7） address（8）

R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac

（9）设置IPSEC变换集，采用AH的MD5

与ESP的MD5对数据包进行完整性地校验、

采用ESP的DES对数据包进行加密R3(cfg-crypto-trans)# exit

R3(config)# crypto map test 20 ipsec-isakmp

R3(config-crypto-map)# set peer 192.168.1.1

R3(config-crypto-map)# set transform-set（10）