引言
2022 SA am1
01-02: https://blog.yexca.net/archives/184
03-05: https://blog.yexca.net/archives/185
06-10: https://blog.yexca.net/archives/186
11-15: https://blog.yexca.net/archives/189
16-30: https://blog.yexca.net/archives/190
碎碎念
最近眼睛越來越疼了,看螢幕可能一小時就開始了,而且看東西很模糊,感覺需要讓眼睛休息了,不然再近視看不見真的會很難受 (要是不疼的話我應該都能更新完這張試卷了)
第 11 問
OpenFlow を使った SDN(Software-Defined Networking) に関する記述として、適切なものはどれか。
ア インターネットのドメイン名を管理する世界規模の分散データベースを用いて、IPアドレスの代わりに名前を指定して通信できるようにする仕組む
イ 携帯電話網において、回線交換方式ではなく、パケット交換方式で音声通話を実現する方式
ウ ストレージ装置とサーバを接続し、WWN(World Wide Name) によってノードやポートを識別するストレージ用ネットワーク
エ データ転送機能とネットワーク制御機能を論理的に分離し、ネットワーク制御を集中的に行う可能にしたアーキテクチャ
題目翻譯:以下關於使用 OpenFlow 的 SDN (軟體定義網路) 的描述,哪一項是正確的
ア:使用一個全球分散式的資料庫來管理網際網路的網域名稱,以便可以使用名稱而非 IP 位址進行通訊。
イ:在行動通訊網路中,不透過電路交換方式,而是透過封包交換方式實現語音通話的方式。
ウ:連接儲存裝置和伺服器,並使用 WWN(全球唯一名稱)識別節點和埠號的儲存網路。
エ:將資料轉發功能和網路控制功能在邏輯上分離,使集中化網路控制成為可能的架構。
選項 ア 是 DNS 的描述;イ 是行動通訊中 VoIP (基於封包交換的語音傳輸方式) 的描述;ウ 是對 SAN (儲存區域網路) 的描述。所以答案為選項 エ
第 12 問
メッセージの送受信における署名鍵の使用に関する記述のうち、適切なものはどれか。
ア 送信者が送信者の署名鍵を使ってメッセージに対する署名を作成し、メッセージに付加することによって、受信者が送信者による署名であることを確認できようになる。
イ 送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、受信者が受信者の署名鍵を使って、暗号文を元のメッセージに戻すことができるようになる。
ウ 送信者が送信者の署名鍵を使ってメッセージを暗号化することによって、メッセージの内容が関係者以外に分からないようになる。
エ 送信者がメッセージに固定文字列を付加し、更に送信者の署名鍵を使って暗号化することによって、受信者がメッセージの改ざん部位を特定できるようになる。
題目翻譯:關於訊息收發中的簽章金鑰使用,以下哪項描述是正確的
ア:傳送者使用傳送者的簽章金鑰對訊息進行簽章並附加到訊息上,這樣接收者可以確認該簽章是傳送者產生的。
イ:傳送者使用傳送者的簽章金鑰加密訊息,這樣接收者可以使用接收者的簽章金鑰將密文還原為原始訊息。
ウ:傳送者使用傳送者的簽章金鑰加密訊息,使訊息內容對非相關方不可見。
エ:傳送者在訊息上附加固定字串,再使用傳送者的簽章金鑰加密,這樣接收者可以確定訊息被竄改的部分。
這裡討論簽章一般是 RSA 演算法。一般用其公鑰解密,私鑰是不會洩漏的,所以選項 イ 錯誤;簽章金鑰不用作加密訊息,因為公鑰公開,任何人都是可以看到的,只用於驗證屬於傳送者,所以選項 ウ 錯誤;金鑰無法確定被竄改的部分,所以選項 エ 錯誤。答案為選項 ア
第 13 問
クライアント証明書で利用者を確認するリバースプロキシサーバを用いて、複数のWebサーバにシングルサインオンを行うシステムがある。このシステムに関する記述のうち、適切なものはどれか。
ア クライアント証明書を利用者のPCに送信するのは、Webサーバではなく、リバースプロキシサーバである。
イ クライアント証明書を利用者のPCに送信するのは、リバースプロキシサーバではなく、Webサーバである。
ウ 利用者IDなどの情報をWebサーバに送信するのは、リバースプロキシサーバではなく、利用者のPCである。
エ 利用者IDなどの情報をWebサーバに送信するのは、利用者のPCではなく、リバースプロキシサーバである。
題目翻譯:使用反向代理伺服器,透過用戶端憑證驗證使用者並實現對多個 Web 伺服器的單一登入系統。關於該系統的描述,以下哪項是正確的
ア:將用戶端憑證傳送到使用者的 PC 的是反向代理伺服器,而不是 Web 伺服器。
イ:將用戶端憑證傳送到使用者的 PC 的是 Web 伺服器,而不是反向代理伺服器。
ウ:將使用者 ID 等資訊傳送到 Web 伺服器的是使用者的 PC,而不是反向代理伺服器。
エ:將使用者 ID 等資訊傳送到 Web 伺服器的是反向代理伺服器,而不是使用者的 PC。
這題倒是挺貼近現實的,挺多大公司都會使用吧,就像微軟的那個每次登入會單獨到一個登入的請求。用戶端的憑證儲存在用戶端,反向代理伺服器負責處理用戶端憑證的驗證,前兩個選項錯誤;在反向代理伺服器驗證完成後,向伺服器傳送使用者資訊,所以答案為選項 エ
第 14 問
内部ネットワークのPCからインターネット上のWebサイトを参照するときに、DMZに設置したVDI (Virtual Desktop Infrastructure) サーバ上のWebブラウザを利用すると、未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。
ア Webサイトからの受信データを受信処理した後、IPsecでカプセル化し、PCに送信する。
イ Webサイトからの受信データを受信処理した後、実行ファイルを削除し、その他のデータをPCに送信する。
ウ Webサイトからの受信データを受信処理した後、生成したデスクトップ画面の画像データだけをPCに送信する。
エ Webサイトからの受信データを受信処理した後、不正なコード列が検知されない場合だけPCに送信する。
題目翻譯:當內部網路的 PC 存取網際網路上的網站時,透過使用位於 DMZ(隔離區)中的 VDI(虛擬桌面基礎架構)伺服器上的瀏覽器,可以有效防止未知惡意軟體下載到 PC 上。這種安全效果是由 VDI 伺服器的哪個操作特性產生的?
ア:從網站接收資料後,將其用 IPsec 封裝,然後傳送到 PC。
イ:從網站接收資料後,刪除執行檔,然後將其他資料傳送到 PC。
ウ:從網站接收資料後,僅將產生的桌面螢幕影像資料傳送到 PC。
エ:從網站接收資料後,只有在未偵測到惡意程式碼時才傳送到 PC。
答案為選項 ウ,看名字就知道虛擬桌面只傳輸畫面。
第 15 問
ファジングに該当するものはどれか。
ア サーバにFINバケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。
イ サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などの解析して、ファイルサーバに保存されているファイルの改ざんを検知する。
ウ ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。
エ ネットワーク上を流れるバケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致するものを検出する。
題目翻譯:以下哪個選項符合模糊測試(Fuzzing)的描述
ア:向伺服器傳送 FIN 封包,並觀察伺服器的回應,以發現正在運行的服務。
イ:分析伺服器的作業系統或應用軟體產生的紀錄 (Log) 和指令歷史紀錄,以偵測儲存在檔案伺服器上的檔案是否被竄改。
ウ:向軟體輸入可能引發問題的多種資料,監視其行為,並查找漏洞。
エ:收集網路中傳輸的封包,解析其協定標頭和負載 (Payload),偵測與預先註冊的攻擊模式相匹配的內容。
模糊測試是一種自動化的軟體測試技術,透過向程式輸入隨機或異常資料來觸發潛在漏洞,從而偵測軟體中的錯誤和安全漏洞。Fuzzing 特別適用於發現系統中可能被忽視或未考慮到的邊界條件和異常情況。它的目標在於測試軟體在意外輸入條件下的行為,並判斷程式是否具備足夠的強健性 (Robustness) 和安全性。所以答案為選項 ウ
選項 ア 描述的是 FIN 掃描,用於偵測目標伺服器上有哪些服務在運行,有點像 nmap 指令。選項 イ 是入侵偵測系統 (IDS) 工作的一部分。選項 エ 屬於網路入侵偵測系統 (NIDS),常用該技術來即時監控網路流量,發現並防禦已知攻擊,但封包擷取與偵測雖能識別常見攻擊模式,但難以偵測到未知或變種攻擊。