2007年工程硕士攻防技术试卷1.docVIP

填空（每题2分，共计40分） 1. 网络安全可分为两大类及主动威胁和__被动威胁___威胁，其中__被动威胁更具__危害。 2. 防火墙共分为三大类型他们分别是IP级防火墙_、_应用级防火墙_和_链路级防火墙_。 3. 在网络入侵方式中，利用系统中存在的shell script的_SUID（set user ID）_可执行程 4.逻辑炸弹，对网络软件可以预留隐藏的对日期敏感的定时炸弹。 5、病毒按操作系统分：P192 6、黑客攻击通常采用三个步骤：P164 7、利用IP协议获取信息的四种方式： 简答题 （每题5分，共计30分） 简述L2TP的特点。P154 简述QOS在VPN设计中的功能。P152 构建VPN的另一个重要需求是充分有效的利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，是实时性要求高的数据得不到及时发送，而在流量低谷时又造成大量的网络带宽空闲。QOS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理的先后发送，并与方阻塞的发生。一般的，二层和三层的QOS具有以下功能： A、流分类：首先应对不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QOS策略。流分类是实现带宽管理以及其他QOS功能的基础，使用访问控制列表就是流分类的手段之一。 B、流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接受/发送，使网络上的流量趋于稳定，流量监管则是指带宽大的路由器限制出口的发送速率，从避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。 C、拥塞管理与带宽分配：根据一定的比例给不同的优先级别的数据流分配不同的带宽资源，并对网络上流量进行预测，在流量达到上限之前丢弃若干个数据包，避免过多的数据包引发送失败的同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。 试写出包过滤式防火墙的过滤参数。P138 试述IPSec提供的安全服务。P155 5．简述VPN的功能。P150 它是由Virtual Private Network翻译过来，简称为VPN。它是由Virtual Private Network翻译过来，简称为VPN。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN向企业的现有的私有网络一样提供安全性、可靠性和管理性。对于广域网的连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程广域连接。通过VPN，企业可以更方便地连接他们的远地办事机构、出差工作人员以及业务合作伙伴 。虚拟专用网分为三种类型：远程访问虚拟网（Access VPN），企业内部虚拟网（Intranet VPN），企业扩展虚拟网（Extranet VPN）。对于服务提供商来说，在通过向企业提供VPN这种增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时利用现有的网络资源，提高业务质量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰则在工作时间外。ISP对外提供两种服务，资源利用率和业务量都会大大增加，将给ISP带来性的商业机会。而对于企业来说，利用Internet组建所有网络，将大笔的专线费用缩减为少量的市话费用和Internet费用。局域网互连费用可降低20~40%，而远程接入费用更可减少60~80%，这无疑是非常吸引力的。VPN大大降低降低了网络的复杂度，VPN用户的网络地址可以由企业内部进行统一分配，VPN组网的灵活方便等特性简化了企业的网络管理。VPN提高了整个企业网的互连性，良好的扩展性使得企业更好、更快地适应Internet经济的发展，把握商机。另外，在VPN应用中，通过远端用户验证以及隧道数据的加密等技术保证了通过公用网络传输的私有数据的安全性。 6 试述IP欺骗过程。P172 1. 首先是被信任主机的网络功能暂时瘫痪，以免对攻击造成干扰。 2.然后连接到目标主机的某个端口来猜测序列号基值和增加规律。 3. 接下来把源地址伪装成信任主机，发送请求连接数据段。 4. 然后袭击者等待目标机发送连接应答信息包给已经瘫痪的被信任主机，因为袭击者这是看不到这个包。 5. 最后再次伪装成信任主机向目标主机发送此时发送的带有预测目标机的应答信息，这个信息中含有序列号加1。 6.连接建立，发送命令。 三、试述广播风暴攻击的基本原理（10分）P170 由于UDP没有流量控制，所以会被利用作为