当前位置: 首页 > article >正文

HCIE-Datacom题库_08_安全【12道题】

article 2024/10/20 10:14:02

一、单选题

1.以下关于IPSG的描述,错误的是哪一项?

可以通过IPSG防止主机私自更改IP地址

IPSG可以开启IP报文检查告警功能,联动网管进行告警

IPSG可以防范IP地址欺骗攻击

IPSG是一种基于三层接口的源IP地址过滤技术

解析:IPSG即IP源防攻击(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系,通过将报文信息与绑定表比对,它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

2.IGMP Snooping-主要解决的问题

IGMP Report报文合法性问题

网段上有大量接收者主机,路由器会收到大量的IGMP Report报文的问题

解决组播数据报文在2层设备上广播问题,用于管理和控制组摇数据报文的转发

接收者主机仅支持IGMPv2协议,但网络中使用的是SSM组播模型

3.如图所示,若想实现该网络中只允许合法用户(通过合法DHCP服务器获取IP地址的用户或特定的静态IP用户)接入网络,则可以使用以下哪一项方案?

DAI+IPSG

DHCP Snooping+ DAI

DAl+Port Security

DHCP Snooping+IPSG

解析:

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系。DHCP Snooping可以抵御网络中针对DHCP的各种攻击,为用户提供更安全的网络环境和更稳定的网络服务。

动态ARP检测: dynamic ARP inspection(DAI)是一种与DHCP监听和IP源防护相结合的安全特性,DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定。DAI应用场景DAI功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

4.如图所示,若想实现该网络中不允许用户通过静态配置IP地址接入网络,则可以使用以下哪些方案?

DAI+IPSG

DHCP Snooping+DAl

DAl+Port Security

DHCP Snooping+IPsG

5.中间人攻击或IP/MACSpooting攻击都会导致信息泄露等危害,且在内网中比较常见。为了防止中间人攻击或IP/MACSpoofin攻击,以下哪一项是可以采取的配置方法?单选

在交换机上配置DHCP Snooping与DAI或IPSG进行联动

限制交换机按口上允许学习到的最多MAC地址数目

配置Trusted/Untrusted接囗

开启DHCP Snoopine检查DHCP REOUEST报文中CHADDR宇段的功能

6.设备Huawei部分配置如图所示,以下关于此段配置的描述中,错误的是哪项?

配置GigabitEthernet0/0/1接口为信任接口

开启DHCP Snooping配置可以用来防LARP欺骗攻击

如果GigabitEthernetO/0/1接口收到的DHCP请求报文中,没有Option82 SubOption信息,则设备会生成ption82,并插入到报文中

开启DHCP Snooping配置可以用来防IDHCP Server仿冒者攻击

7.以下关于DHCP Snoping的描述中,错误的是哪一项?

DHCP Snoping可以通过设置信任端口防止非法攻击

在接口视图下使能DHCP Snoping功,则对该接口下的所有DHCP报文命今功能生效

在VLAN视图下使能DHCP Snooping功能,则对该设备所有接口收到的属于该VLAN的DHCP报文命令功能生效

全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPv4报文

解析:全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPv6报文。

二、多选题

1.以下关于IGMPsnooping的描述,正确的是哪些项?

IGMP Snooping 通过监听主机发出的IGMP报文,建立组播MAC地址表

IGMP Snooping运行在链路层,是二层以太网交换机上的组播约束机制,用于管理和控制组播组

IGMP Snooping解决组播报文在三层广播的问题

IGMP Snooping中路由器端口只能通过手工配置的方式生成

2.DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击。以下关于DHCP Snooping可以防御攻击的种类正确的是哪些项?

防御改变CHADDR值的饿死攻击

防御DHCP仿冒者攻击

防御TCP flag攻击

防御中间人攻击和IP/MAC Spoofing攻击

3.配置DHCP snooping可以用来防止仿冒者攻击,在配置过程中需要包含以下哪些步骤?

使能接口或VLAN的DHCP Snooping功能

使能全局DAl Snooping功能

配置接口信任状态

使能全局DHCP功能

4.以下哪些项是IPSG可以设置的检查项?

VLAN ID

MAC地址

出接口

IP地址

解析:源IP地址、源MAC地址、所属VLAN、入接口。

三、判断题

1.IP源防攻击(IP Source Guard,IPSG)是一种基于三层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。×


http://www.kler.cn/news/357145.html

相关文章:

  • 如何在Matlab界面中添加日期选择器?
  • 微服务--Gateway--局部过滤器接口耗时【重要】
  • 机器学习课程学习周报十七
  • VSCode自搭建嵌入式环境的make构建工具选择
  • snmpdelta使用说明
  • 【ELK】初始阶段
  • 【Petri网导论学习笔记】Petri网导论入门学习(五)—— 1.3 库所/变迁系统与加权Petri网
  • Chrome谷歌浏览器加载ActiveX控件之JT2Go控件
  • 高效部署大型语言模型:基于AMD GPU的文本生成推理
  • 低代码平台中的功能驱动开发:模块化与领域设计
  • 【 Git 】git push 报错 error: failed to push some refs to ‘github.com/xxxx‘
  • git 与github 远程连接出现中文用户名乱码导致无法找到user/.ssh文件的解决办法
  • 桥接模式、NAT模式 和 主机模式(Host-Only)区别
  • 鸿蒙网络编程系列27-HTTPS服务端证书的四种校验方式示例
  • 【北京迅为】《STM32MP157开发板嵌入式开发指南》- 第五十章 Linux设备树
  • 申请软件测试CNAS实验室认证人员方面要做好哪些准备?
  • 若依框架中根目录与子模块 `pom.xml` 的区别
  • c4d哪个渲染器好用简单?c4d常用渲染器介绍
  • Spring篇(事务篇 - 基础介绍)
  • 【Python】基础语法