半連接演算法
㈠ 簡述分布式資料庫的模式結構
分布式資料庫系統是在集中式資料庫系統的基礎上發展來的。是資料庫技術與網路技術結合的產物。什麼是分布式資料庫: 分布式資料庫系統是在集中式資料庫系統的基礎上發展來的。是資料庫技術與網路技術結合的產物。分布式資料庫系統有兩種:一種是物理上分布的,但邏輯上卻是集中的。這種分布式資料庫只適宜用途比較單一的、不大的單位或部門。另一種分布式資料庫系統在物理上和邏輯上都是分布的,也就是所謂聯邦式分布資料庫系統。由於組成聯邦的各個子資料庫系統是相對「自治」的,這種系統可以容納多種不同用途的、差異較大的資料庫,比較適宜於大范圍內資料庫的集成。分布式資料庫系統(DDBS)包含分布式資料庫管理系統(DDBMS)和分布式資料庫(DDB)。在分布式資料庫系統中,一個應用程序可以對資料庫進行透明操作,資料庫中的數據分別在不同的局部資料庫中存儲、由不同的DBMS進行管理、在不同的機器上運行、由不同的操作系統支持、被不同的通信網路連接在一起。一個分布式資料庫在邏輯上是一個統一的整體:即在用戶面前為單個邏輯資料庫,在物理上則是分別存儲在不同的物理節點上。一個應用程序通過網路的連接可以訪問分布在不同地理位置的資料庫。它的分布性表現在資料庫中的數據不是存儲在同一場地。更確切地講,不存儲在同一計算機的存儲設備上。 這就是與集中式資料庫的區別。從用戶的角度看,一個分布式資料庫系統在邏輯上和集中式資料庫系統一樣,用戶可以在任何一個場地執行全局應用。就好那些數據是存儲在同一台計算機上,有單個資料庫管理系統(DBMS)管理一樣,用戶並沒有什麼感覺不一樣。分布式資料庫中每一個資料庫伺服器合作地維護全局資料庫的一致性。分布式資料庫系統是一個客戶/伺服器體系結構。
㈡ DOS是什麼
Disk Operating SystemDOS是英文Disk Operating System的縮寫,意思是「磁碟操作系統」,顧名思義,DOS主要是一種面向磁碟的系統軟體,說得簡單些,DOS就是人與機器的一座橋梁,是罩在機器硬體外面的一層「外殼」,有了DOS,我們就不必去深入了解機器的硬體結構,也不必去死記硬背那些枯燥的機器命令。我們只需通過一些接近於自然語言的DOS命令,就可以輕松地完成絕大多數的日常操作。另外,DOS還能有效地管理各種軟硬體資源,對它們進行合理的調度,所有的軟體和硬體都在DOS的監控和管理之下,有條不紊地進行著自己的工作。 [編輯本段]前言本文章分"概念"和"如何"兩部分。
在"概念"中將告訴您關於該詞條的定義、背景及原理。
在"如何"中將告訴您關於該詞條的應用、技巧及可能遇上的問題。
通常所說的DOS有兩種不同的概念,即拒絕服務或一種磁碟操作系統,通常DoS(O小寫)指的是拒絕服務,DOS(O大寫)指的是一種磁碟操作系統。
隨著計算機技術的發展,網路也在迅猛地普及和發展。人們在享受著網路帶來的各種便利的同時,也受到了很多黑客的攻擊。在眾多的攻擊種類中,有一種叫做 DoS(Denial of Service 拒絕服務)的攻擊,是一種常見而有效的網路攻擊技術,它通過利用協議或系統的缺陷,採取欺騙或偽裝的策略來進行網路攻擊,最終使得受害者的系統因為資源耗盡或無法作出正確響應而癱瘓,從而無法向合法用戶提供正常服務。它看上去平淡無奇,但是攻擊范圍廣,隱蔽性強、簡單有效而成為了網路中一種強大的攻擊技術,極大地影響了網路和業務主機系統的有效服務。其中,DDoS(Distributed Denial of Service 分布式拒絕服務)更以其大規模性、隱蔽性和難防範性而著稱。 [編輯本段]DoS攻擊是網路攻擊最常見的一種。它故意攻擊網路協議的缺陷或直接通過某種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法提供正常的服務或資源訪問,使目標系統服務停止響應甚至崩潰,而在此攻擊中並不入侵目標伺服器或目標網路設備。這些服務資源包括網路寬頻、系統堆棧、開放的進程。或者允許的連接。這種攻擊會導致資源耗盡,無論計算機的處理速度多快、內存容量多大、網路帶寬的速度多快都無法避免這種攻擊帶來的後果。任何資源都有一個極限,所以總能找到一個方法使請求的值大於該極限值,導致所提供的服務資源耗盡。
DoS攻擊有許多種類,主要有Land攻擊、死亡之ping、淚滴、Smurf攻擊及SYN洪水等。
據統計,在所有黑客攻擊事件中,syn洪水攻擊是最常見又最容易被利用的一種DoS攻擊手法。
1.攻擊原理
要理解SYN洪水攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協議中,TCP協議提供可靠的連接服務,採用三次握手建立一個連接。第一次握手:建立連接時,客戶端發送SYN包((SYN=i)到伺服器,並進入SYN SEND狀態,等待伺服器確認;
第二次握手:伺服器收到SYN包,必須確認客戶的SYN (ACK=i+1 ),同時自己也發送一個SYN包((SYN j)}即SYN+ACK包,此時伺服器進入SYN_RECV狀態;
第三次握手:客戶端收到伺服器的SYN十ACK包,向伺服器發送確認包ACK(ACK=j+1),此包發送完畢,客戶端和伺服器進入ESTABLISHED狀態,完成三次握手,客戶端與伺服器開始傳送數據。
在上述過程中,還有一些重要的概念:
半連接:收到SYN包而還未收到ACK包時的連接狀態稱為半連接,即尚未完全完成三次握手的TCP連接。
半連接隊列:在三次握手協議中,伺服器維護一個半連接隊列,該隊列為每個客戶端的SYN包(SYN=i )開設一個條目,該條目表明伺服器已收到SYN包,並向客戶發出確認,正在等待客戶的確認包。這些條目所標識的連接在伺服器處於SYN_ RECV狀態,當伺服器收到客戶的確認包時,刪除該條目,伺服器進入ESTABLISHED狀態。
Backlog參數:表示半連接隊列的最大容納數目。
SYN-ACK重傳次數:伺服器發送完SYN-ACK包,如果未收到客戶確認包,伺服器進行首次重傳,等待一段時間仍未收到客戶確認包,進行第二次重傳,如果重傳次數超過系統規定的最大重傳次數,系統將該連接信息、從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務從收到SYN包到確認這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
上面三個參數對系統的TCP連接狀況有很大影響。
SYN洪水攻擊屬於DoS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網路系統,事實上SYN攻擊並不管目標是什麼系統,只要這些系統打開TCP服務就可以實施。從圖4-3可看到,伺服器接收到連接請求(SYN=i )將此信息加入未連接隊列,並發送請求包給客戶( SYN=j,ACK=i+1 ),此時進入SYN_RECV狀態。當伺服器未收到客戶端的確認包時,重發請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內偽造大量不存在的IP地址,向伺服器不斷地發送SYN包,伺服器回復確認包,並等待客戶的確認,由於源地址是不存在的,伺服器需要不斷的重發直至超時,這些偽造的SYN包將長時間佔用未連接隊列,正常的SYN 請求
被丟棄,目標系統運行緩慢,嚴重者引起網路堵塞甚至系統癱瘓。過程如下:
攻擊主機C(地址偽裝後為C')-----大量SYN包---->被攻擊主機
C'<-------SYN/ACK包----被攻擊主機
由於C』地址不可達,被攻擊主機等待SYN包超時。攻擊主機通過發大量SYN包填滿未連接隊列,導致正常SYN包被拒絕服務。另外,SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。
2.傳統演算法
抵禦SYN洪水攻擊較常用的方法為網關防火牆法、中繼防火牆法和SYNcookies。為便於敘述,將系統拓撲圖簡化為圖4-4。圖中,按網路在防火牆內側還是外側將其分為內網、外網(內網是受防火牆保護的)。其次,設置防火牆的SYN重傳計時器。超時值必須足夠小,避免backlog隊列被填滿;同時又要足夠大保證用戶的正常通訊。
(1) 網關防火牆法
網關防火牆抵禦攻擊的基本思想是:對於內網伺服器所發的SYN/ACK包,防火牆立即發送ACK包響應。當內網伺服器接到ACK包後,從backlog隊列中移出此半連接,連接轉為開連接,TCP連接建成。由於伺服器處理開連接的能力比處理半連接大得多,這種方法能有效減輕對內網伺服器的SYN攻擊,能有效地讓backlog隊列處於未滿狀態,同時在重傳一個未完成的連接之前可以等待更長時間。
以下為演算法完整描述:
第一步,防火牆截獲外網客戶端發向內網伺服器SYN數據包,允許其通過,抵達內網伺服器。同時在連接跟蹤表中記錄此事件.
第二步,防火牆截獲伺服器發向客戶端的SYN/ACK響應包,用連接跟蹤表中記錄的相應SYN包匹配它.
第三步,防火牆讓截獲的SYN/ACK繼續進行(發向客戶端)。同時,向內網伺服器發送ACK包。這樣,對伺服器來說,TCP連接三次握手已經完成。系統在backlog隊列中刪掉此半連接.
第四步,看此TCP連接是否有效,相應產生兩種解決方法。如果客戶端的連接嘗試是有效的,那麼防火牆將接到來自客戶端的ACK包,然後防火牆將它轉發到伺服器。伺服器會忽略這個冗餘的ACK包,這在TCP協議中是允許的.
如果客戶端的IP地址並不存在,那麼防火牆將收不到來自客戶端的ACK包,重轉計時器將超時。這時,防火牆重傳此連接.
(2) 中繼防火牆法
中繼防火牆抵禦攻擊的思想是:防火牆在向內網伺服器發SYN包之前,首先完成與外網的三次握手連接,從而消除SYN洪水攻擊的成立條件。
以下為演算法完整描述:
第一步,防火牆截獲外網客戶端發向內網伺服器SYN數據包.
第二步,防火牆並不直接向內網發SYN數據包,而是代替內網伺服器向外網發SYNIACK數據包.
第三步,只有接到外網的ACK包,防火牆向內網發SYN包.
第四步,伺服器應答SYN/ACK包.
第五步,防火牆應答ACK包.
(3) 分析
首先分析演算法的性能,可以看出:為了提高效率,上述演算法使用了狀態檢測等機制(可通過本系統的基本模塊層得以實現)
對於非SYN包(CSYN/ACK及ACK包),如果在連線跟蹤信息表未查找到相應項,則還要匹配規則庫,而匹配規則庫需比較諸多項(如IP地址、埠號等),花費較大,這會降低防火牆的流量。另外,在中繼防火牆演算法中,由於使用了SYN包代理,增加了防火牆的負荷,也會降低防火牆的流量。
其次,當攻擊主機發ACK包,而不是SYN包,演算法將出現安全漏洞。一般地,TCP連接從SYN包開始,一旦 SYN包匹配規則庫,此連接將被加到連接跟蹤表中,並且系統給其60s延時。之後,當接到ACK包時,此連接延時突然加大到3600s。如果,TCP連接從ACK包開始,同時此連接未在連接跟蹤表中注冊,ACK包會匹配規則庫。如匹配成功,此連接將被加到連接跟蹤表中,同時其延時被設置為3600s。即使系統無響應,此連接也不會終止。如果攻擊者發大量的ACK包,就會使半連接隊列填滿,導致無法建立其它TCP連接。此類攻擊來自於內網。因為,來自於外網的ACK包攻擊,伺服器會很快發RST包終止此連接(SOs>。而對於內網的外發包,其限制規則的嚴格性要小的多。一旦攻擊者在某時間段內從內網發大量ACK包,並且速度高於防火牆處理速度,很容易造成系統癱瘓。
(4) SYN cookies
Linux支持SYN cookies,它通過修改TCP協議的序列號生成方法來加強抵禦SYN洪水攻擊能力。在TCP協議中,當收到客戶端的SYN請求時,伺服器需要回復SYN-SACK包給客戶端,客戶端也要發送確認包給伺服器。通常,伺服器的初始序列號由伺服器按照一定的規律計算得到或採用隨機數,但在SYN cookies中,伺服器的初始序列號是通過對客戶端IP地址、客戶端埠、伺服器IP地址和伺服器埠以及其他一些安全數值等要素進行hash運算,加密得到的,稱之為cookie。當伺服器遭受SYN攻擊使得backlog隊列滿時,伺服器並不拒絕新的SYN請求,而是回復cookie(回復包的SYN序列號)給客戶端,如果收到客戶端的ACK包,伺服器將客戶端的ACK序列號減去1得到。cookie比較值,並將上述要素進行一次hash運算,看看是否等於此cookie。如果相等,直接完成三次握手(注意:此時並不用查看此連接是否屬於backlog隊列)。
此演算法的優點是:半連接隊列滿時,SYN cookies仍可以處理新SYN請求。缺點是:某些TCP選項必須禁用,如大窗口等。計算cookies有花銷。
/*一個IP包,其分片都被放入到一個鏈表中,作為每一個分片的鏈表節點用ipfrag結構表示。IP分片的中心組裝在此鏈表進行。*/
內核抵禦攻擊的代碼結構如下:
// From http://blog.csdn.net/ctu_85/archive/2008/01/03/2023205.aspx
/*IP分片結構體*/
struct ipfrag
{
int offset; //ip包中此分片的偏移值
int end; //此分片最後一個株距在ip包中的位置
int len; //此分片長度
struct sk_buff *skb; //分片數據包
unsigned ........
if(end<= offset)&&(i>s kb->len)
return NF_DRDP;
}
}
return NF_ACCEPT;
組成規則的三個結構體具體解釋如下:
(1)ipt......
unsigned int nfcache ; //用此位域表示數據報的哪些部分由這個規則檢查
.......
; //包含數據包及匹配此規則數據包的計算數值
以下僅列出ipt_entry_match結構體:
struce ipt_entry_match
{
union
{
struct{
u_int16_t target_size;
......
......
{
struct list_head list;//鏈表
struct
u int32 ipaddr; //地址
u_ int16 port; //埠
}src; //源端信息
struct
{
u_ int32 ipaddr;
u_ int 16 port;
} dst; //目的端信息
u_intl6 protonum; //協議號 [編輯本段]概念——磁碟操作系統</B>1.1什麼是DOS?
DOS(Disk Operation System)是一類操作系統的名稱,它主要包括Shell(command.com), IO介面(io.sys)兩個部分。
Shell是dos的外殼,負責將用戶輸入的命令翻譯成操作系統能夠理解的語言。
DOS的IO介面通常實現了一組基於int21h的中斷。
目前常用的DOS有包括:MS-DOS PC-DOS,FreeDOS,ROM-DOS等。
1.2MS-DOS簡介
Windows9x系統都是以MS-DOS為基礎的。
Windows9x以上系統都是以NT內核為基礎的
DOS在1981年問世以來,版本就不斷更新,從最初的DOS1.0升級到了最新的DOS8.0(Windows ME系統),純DOS 的最高版本為DOS7.10,這以後的新版本DOS都是由Windows系統所提供的,並不單獨存在。
DOS分為核心啟動程序和命令程序兩個部分。
DOS的核心啟動程序有Boot系統引導程序、IO.SYS、MSDOS.SYS和COMMAND.COM。它們是構成DOS系統最基礎的幾個部分,有了它們系統就可以啟動。
但光有啟動程序還不行,DOS作為一個字元型的操作系統,一般的操作都是通過命令來完成。DOS命令分為內部命令和外部命令。內部命令是一些常用而所佔空間不大的命令程序,如dir、cd等,它們存在於COMMAND.COM文件中,會在系統啟動時載入到內存中,以方便調用。而其它的一些外部命令則以單獨的可執行文件存在,在使用時才被調入內存。
DOS的優點是快捷。熟練的用戶可以通過創建BAT或CMD批處理文件完成一些煩瑣的任務,通過一些判斷命令(IF、|)甚至可以編一些小程序。因此,即使在XP下CMD還是高手的最愛。
[1]MS-DOS大事記
DOS1.0 微軟買下 86-DOS(QDOS)版權,1981年7月,成為 IBM PC上 第一個作業系統。同時微軟有為IBM PC開發專用版本 PC-DOS,但與泛用版本DOS相比,除了系統檔名以及部份針對 IBM 機器設計的核心,外部命令與公用程式之外,其餘程式碼其實差異不大。
DOS 1.25 1982年6月,支援雙面 軟盤並開始修改錯誤
不僅IBM,許多OEM也廣泛使用
DOS2.0 1983年3月,加入UNIX式的樹狀檔案系統與及硬碟支援,以低階的觀點視之,這是第一次的 DOS 重大改版。這個版本除了相容於 CP/M 的 FCB 檔案系統之外,正式採用了 FAT 格式,並大量使用具有 UNIX 特徵的 Handle 式檔案操作方式。
DOS 2.11 1984年3月,為主要的OEM版本,修正了2.01版的錯誤,增加了對非英語語言及其文件格式的國際性支援
MS-DOS 2.25 1985年10月,支援額外擴充的字元組(日文與韓文),還修正了舊版的錯誤
MS-DOS 3.0 1984年8月,引入PC/AT,它能支援1.2MB的軟盤,並加入較高容量的硬碟
MS-DOS 3.1 1984年11月,加入對微軟網路支援
MS-DOS 3.2 1986年1月,加入了3.5吋軟盤的強化支援,並開始可以透過驅動程式使用硬體 EMS。台灣的宏碁電腦在資策會與公會的支持下,與微軟在DOS3.2 的基礎上開發了符合 CMEX 標準的全中文
MS-DOS 3.3 1987年8月,修正部份內部錯誤、增加了許多關於檔案處理的外部命令、開始支援軟盤之後,DOS3.3 成為當時最穩定、暢銷的版本,可以說是DOS第二次的重大改版,一年後發行的4.0甚至還不如3.3普及。內部的 BASIC 直譯器在 3.x之後逐漸由 BASICA 改為增強繪圖能力的 GW-BASIC。此際倚天公司在前幾版本的 BASICA 基礎上開發了支援中文繪圖模式的 ETBASIC,幾乎成為當時台灣地區學習 BASIC 語言的標准配備。外部命令部分最重要的則是增加了 XCOPY 與 APPEND,增強了早就該有的檔案管理能力。
MS-DOS 4.0 電腦MS-DOS 4.0 1988年6月,主要基於IBM的代碼庫,而不是微軟自己的代碼庫。加入了最大2GB容量硬碟機支援,引入 EMM(軟體模擬 EMS)以及新規格 XMS 內存技術,令DOS操作系統可以使用1MB以上的內存。開始有 DOSSHELL 的使用。DOSSHELL 可以被視為 DOS的GUI 界面,並有切換程式作業的能力。
MS-DOS 4.01 1988年12月,對於舊版所存在的一系列錯誤進行修正
MS-DOS 5.0 1991年6月,第三次重大改版,可能也是DOS史上最重要的改版。這個版本繼承 4.0 對於內存管理的改進,是 EMM 規格最為穩定、普及的版本,也加入了許多內存管理的程式,如 EMM386、MEM 等等,為的就是與 Windows 好好搭配,連帶也使得DOS 內存管理成為當時許多軟體亟欲配合增強的方向,如何設定DOS內存配置成為熱門話題。BASIC 直譯器改為 QuickBASIC 的簡易版本 QBASIC,內建文字編輯器則由原來的行編輯 EDLIN 改為全屏幕編輯的 EDIT(其實只是對 QBASIC.EXE 多下一道參數而已)。減少外部命令對於版本的需求,而在千呼萬喚中,終於加入 DOSKEY、UNDELETE、Quick Format、UNFORMAT 等能力。另一個值得一提的是,這個版本的 CONFIG.SYS 允許有多重選項。
MS-DOS 6.0 1993年3月,加入了許多花俏的外部命令。系統檢測程式 MSD 被加入。DoubleSpace 壓縮磁碟技術開始被使用,亦開始附上微軟自家的解毒軟體 VSAFE 以及 MSAV。網路方面開始加入對 LL5 傳輸線的支援。對於磁碟,開始加入磁區整理軟體 DEFRAG以及磁碟快取程式 SMARTDRV。檔案管理方面,以豪華的 MSBACKUP 取代了陽春的 BACKUP,另外,終於加入了 DELTREE 與 MOVE 公用程式。開始正式支援光碟機。內存管理方面則加入了 MEMMAKER 組態最佳化程式。
MS-DOS 6.2 1993年11月,DoubleSpace 更名為 DrvSpace。
MS-DOS 6.21 1994年2月
MS-DOS 6.22 1994年6月,最後一個銷售版本。國喬(KC)取得微軟與IBM授權,搭配國喬中文系統發表自己的 DOS 7.0。
MS-DOS 7.0 1995年8月,Windows 95 所帶的版本,支持長文件名。
MS-DOS 7.1 1996年8月,加入對大硬碟和FAT32分區的支持等。
MS-DOS 8.0 2000年9月,DOS的最後一個版本,取消了部分功能,例如不再支持SYS命令、列印機操作。
[2]在DOS上面運行的軟體
由於 DOS 是 PC 兼容機的主要平台,有許多為 DOS 撰寫的知名軟體。其中包括了:
Lotus 1-2-3;一套在企業市場中被廣泛運用的試算表軟體。被許多人視為 IBM PC 成功的主因
WordPerfect;一套目前出在 Windows 平台的文本編輯器
dBase;最早的資料庫軟體之一
Telix; 數據機通信軟體
Arachne;一套 DOS 版的網路瀏覽器
DJGPP, gcc 的 DOS 移植版
4DOS,取代原本的命令行界面的軟體
Borland 的 集成開發環境,包括了 Turbo Pascal、Turbo BASIC、Turbo C,以及 Turbo Assembler
撥接式電子布告欄 (BBS) 架站軟體 RemoteAccess、Spitfire、Maximus、McBBS,以及TAG
BASIC 語言工具程序 BASICA 以及 GW-BASIC
許多的第一人稱射擊游戲:由 Id Software 以及 Apogee Software(後來改名為 3D Realms)合資開發的 德軍總部3D;Id Software 的 Doom 以及 Quake;3D Realms 的 Duke Nukem 3D、Shadow Warrior,以及 Rise of the Triad。3D Realms 開發的這 3 套游戲使用的都是 DOS 上的「Build 引擎」。Build 引擎的作者是 Ken Silverman,這個引擎也被用於 Silverman 的 Ken's Labyrinth 這個游戲上。
㈢ 請問哪位有2009年全國計算機三級資料庫考試的真題
2009年9月全國計算機等級考試三級筆試試卷
資料庫技術
(考試時間120分鍾,滿分100分)
一、選擇題(每題1分,共60分)
(1)數字信號處理器由於在其內部設計了能夠高速處理多路數字信號的電路,可以用在需要快速處理大量復雜信息的領域。下列哪一個設備不需要數字信號處理器?
A) 雷達
B) 彩色電視機
C) 數字音視頻設備
D) 數字圖像處理設備
(2)八進制數1507轉換成十進制數是多少?
A) 838
B) 839
C) 840
D) 841
(3)數據包要求從源主機出發,最終到目的主機。下列哪一個設余衡備可為數據包選擇輸出路徑,將它從一個網路傳送到另一個網路?
A) 通信線路
B) 路由器
C) WWW伺服器
D) 數據機
(4)當電子郵件軟體從郵件伺服器讀取郵件時,可以使用下列哪一個(些)協議?
Ⅰ.簡單郵件傳輸協議SMTP
Ⅱ.郵局協議POP3
Ⅲ.互動式郵件存取協議IMAP
A) 僅Ⅰ
B) 僅Ⅱ
C) 僅Ⅱ和Ⅲ
C) 僅Ⅰ和Ⅲ
(5)在下載的普通程序中隱含了一些非法功能的代碼,用於竊取用戶私密信息或執行其他惡意程序,這種惡意軟體的攻擊方式稱為
A) 特洛伊木馬
B) 後門陷阱
C) 邏輯炸彈
D) 僵屍網路
(6)下列關於ADSL技術的敘述中,哪些是正確的?
Ⅰ.它是在普通電話線上的一種心得高速寬頻技術
Ⅱ.它為用戶提供上、下行對稱的傳輸速率
Ⅲ.ADSL寬頻接入方式可用於網路互聯業務
A) 僅Ⅰ和Ⅱ
B) 僅Ⅱ和Ⅲ
C) 僅Ⅰ和Ⅲ
D) 全部
(7)數據結構概念一般包括三個方面的內容,它們是
A) 數據的邏輯結構、數據的傳輸結構、數據的分析挖掘
B) 數據的邏輯結構、數據的存儲結構、數據的運算
C) 數據的存儲結構、數據的展示方式、數據的運算
D) 數據的傳輸結構、護具的展示方式、數據的分析挖掘
(8)下列關於鏈式存儲結構的敘述中,哪些是不正確的?
Ⅰ.邏輯上相鄰的結點物理上不比鄰接逗蔽
Ⅱ.每個結點都包含好一個指針域
Ⅲ.用指針來提現數據元素之間邏輯上的聯系
Ⅳ.結點中的指針都不能為空
Ⅴ.可以通過計算直接確定第i個結點的存儲地址
A) 僅Ⅰ、Ⅱ和Ⅲ
B) 僅Ⅰ、Ⅲ和Ⅳ
C) 僅Ⅱ、Ⅲ和Ⅴ
D) 僅Ⅱ、Ⅳ和Ⅴ
(9)棧結構不適用與下列哪一種應用?
A) 表達式求值
B) 樹的層次次序周遊演算法的實現
C) 二叉樹對稱序周遊演算法的實現
D) 快速排序演算法的實現
(10)下列哪一個不是從列的基本運算?
A) 從隊尾插入一個新元素
B) 判斷一個隊列是否為空
C) 從隊列中刪除第1個元素
D) 讀取隊頭元素的值
(11)俺行有限順序存儲下上角矩陣
(12)在包含1000個元素的線性表中實現如下各運算,哪一個所需的執行時間最短?
A) 線性表按順序方式存儲,查找關鍵碼值為900的結點
B) 線性表按鏈接方式存儲,查找關鍵碼值為900的結點
C) 線性表按順序方式存儲,查找線性表中第900個結點
D) 線性表按鏈接方式存儲,查找線性表中第900個結點
(13)下列關於二叉樹的敘述中,哪一條是正確的?
A) 二叉樹的結點的有限集合,這個集合不能為空集
B) 二叉樹是樹的特殊情況,即每個結點的子樹個數都不超過2
C) 二叉樹的每個非葉結點都恰有兩顆非空子樹
D) 每一棵二叉樹都能唯一地轉換到它所對應的樹(林)
(14)設有字元序列(Q、H、C、Y、P、A、M、S、R、D、F、X),則新序列(H、C、Q、P、A、M、S、R、D、F、X、Y)是下列哪一種排序演算法一趟掃描的結果?
A) 起泡排序
B) 初始步長為4的希爾排序
C) 二路歸並排序
D) 堆排序
(15)對n個記錄的文件進行快速排序,平均執行時間為
A) O(log2n)
B) O(n)
C) O(olog2n)
D) O(n2)
(16)下列哪一個不豎指做是網路操作系統應該支持的功能?
A) 網路管理
B) 網路通信
C) 資源共享
D) 負載均衡
(17)下列指令中,哪一個不是特權指令?
A) 訪管指令
B) 啟動設備指令
C) 設置時鍾指令
D) 停機指令
(18)一個進程從運行態轉換為就緒態的原因是
A) 該進程執行時出錯
B) 該進程等待某個資源
C) 該進程用完分配的時間片
D) 該進程等待的資源變為可用
(19)讀者寫者問題的解決方案如下所示:
(20)下列哪一項不是存儲管理的任務?
A) 內存共享
B) 存儲保護
C) 地址映射
D) 指針定位
(21)下列關於工作集模型的敘述中,哪一條是不正確的?
A) 每個進程有一個工作集
B) 工作集大小與缺頁率無關
C) 工作集大小是可以調整的
D) 工作集模型可以解決系統的顛簸(抖動)問題
(22)下列關於文件結構的敘述中,哪一(些)條是正確的?
Ⅰ.源程序、目標代碼等文件屬於流式文件
Ⅱ.每個記錄包含一個記錄鍵和其他屬性
Ⅲ.記錄式文件中的記錄都是定長的
A) 僅Ⅰ
B) 僅Ⅰ和Ⅱ
C) 僅Ⅱ和Ⅲ
D) 僅Ⅰ和Ⅲ
(23)如果某一個文件的物理結構採用的是UNIX的三級索引結構,如圖所示。假設一個物理塊可以存放128個塊號,要查找塊號為15000的物理塊,需要用到哪一級索引表?
A) 主索引表
B) 一級索引表
C) 二級索引表
D) 三級索引表
(24)磁碟驅動調度中的移臂調度的目標是減少
A) 磁頭尋到時間
B) 旋轉延遲時間
C) 數據傳輸時間
D) 中斷處理時間
(25)以樹形結構表示實體之間聯系的數據模型是
A) 層次模型
B) 網狀模型
C) 關系模型
D) 面向對象模型
(26)在一個資料庫中,模式與內模式的映像個數是
A) 1個
B) 與用戶個數相同
C) 有設置的系統參數決定
D) 任意多個
(27)在嵌入式SQL中,與游標相關的有四個語句,它們中哪一個執行游標定義中的SELECT語句?
A) DECLARE
B) OPEN
C) FETCH
D) CLOSE
(28)信息是有價值的,信息的價值主要與下列哪些因素有關?
Ⅰ.准確性
Ⅱ.及時性
Ⅲ.完整性
Ⅳ.可靠性
Ⅴ.可移植性
A) 僅Ⅰ、Ⅱ和Ⅲ
B) 僅Ⅰ、Ⅱ、Ⅲ和Ⅳ
C) 僅Ⅱ、Ⅲ、Ⅳ和Ⅴ
D) 都相關
(29)設有關系SC(SNO,CNO,GRADE),其主碼是(SNO,CNO)。遵照實體完整性規則
A) 只有SNO不能取空值
B) 只有CNO不能取空值
C) 只有GRADE不能空值
D) SNO與CNO都不能取空值
(30)如果對關系emp(eno,ename,salray)成功執行下面的SQL語句:
CREATE CLUSTER INDEX name_index ON emp (salary)
對此結果的正確描述是
A) 在emp表上按salary升序創建了一個唯一索引
B) 在emp表上按salary降序創建了一個唯一索引
C) 在emp表上按salary升序創建了一個聚簇索引
D) 在emp表上按salary降序創建了一個聚簇索引
(31)設關系R和S的元數分別是r和s,且R有n個元組,S有m個元祖。執行關系R和S的笛卡爾積,記為T=R×S,則
A) T的元數是(r×s),且有(n+m)個元祖
B) T的元數是(r×s),且有(n×m)個元祖
C) T的元數是(r+s),且有(n+m)個元祖
D) T的元數是(r+s),且有(n×m)個元祖
(32)設課程和教師是兩個實體型,如果每一門課程可以由若干位教師講授,每一位教師可以講授若干門課程,則課程與教師這兩個實體型之間的聯系是
A) 一對一
B) 一對多
C) 多對多
D) 不確定
(33)在關系代數中,下列哪一個等式是不確定的?
(34)在SQL語言中,一個基本表的定義一旦被刪除,則與此表相關的下列內容中哪一個(些)也自動被刪除或失效?
Ⅰ.此表中的數據
Ⅱ.此表上建立的索引
Ⅲ.此表上簡歷的視圖
A) 僅Ⅰ
B) 僅Ⅱ
C) 僅Ⅲ
D) 全部
第(35)-(36)題基於「學生-選課-課程」資料庫中的三個關系:
S(S#,SNAME,SEX,AGE),SC(S#,C#,GRADE),C(C#,CNAME,TEACHER)它們的主鍵用下劃線標出。
(35)定義一個反映學生姓名及他的平均成績的視圖將使用關系
A) S和C
B) SC和C
C) S和SC
D) S、SC和C
(36)「查詢選修了3門以上課程的學生的學生號」,正確的SQL語句是
A) SELECT S# FROM SC GEOUPBY S# WHERE COUN(*)〉3
B) SELECT S# FROM SC GEOUPBY S# HAVING COUN(*)〉3
C) SELECT S# FROM SC ORDER S# HAVING COUN(*)〉3
D) SELECT S# FROM SC ORDER S# WHERE COUN(*)〉3
(37)下列哪一類視圖上可以進行插入、刪除和更新操作
A) 帶表達式的視圖
B) 連接視圖
C) 行列子集視圖
D) 分組視圖
(38)下列關於E-R圖的敘述中,哪一條是不正確的?
A) 實體型用矩形表示,屬性用橢圓形表示,聯系型用菱形表示
B) 實體型之間的聯系可以分為1:1、1:n和m:n三類
C) 1:1聯系是1:n聯系的特例,1:n聯系是m:n聯系的特例
D) 實體型之間的聯系只存在與兩個實體型之間
(39)下列敘述中,哪些是SQL的功能特點?
Ⅰ.集DDL、DML和DCL功能於一體
Ⅱ.是高度非過程化語言
Ⅲ.採用面向集合的操作方式
Ⅳ.具有自含式嵌入式兩種靈活的使用方式
Ⅴ.語言簡介、易學易用、功能強
A) 僅Ⅰ、Ⅱ和Ⅲ
B) 僅Ⅱ、Ⅲ、Ⅳ和Ⅴ
C) 僅Ⅰ、Ⅳ和Ⅴ
D) 都是
(40)下面是SQL主要數據定義語句列表,其中哪一(些)行是正確的?
A) 僅「模式」行
B) 僅「基本表」行
C) 僅「視圖」行和「索引」行
D) 所有行
(41)設關系R、S和T如下。關系T是關系R和S執行哪種操作的結果?
A) 自然連接
B) 外部並
C) 半連接
D) 外連接
(42)在物理存儲器層次結構中,下列哪一個存儲設備是聯機存儲?
A) 高速緩存
B) 主存儲器
C) 第二級存儲器
D) 第三級存儲器
(43)資料庫中為了將大小不同的記錄組織在同一個磁碟塊中,常採用分槽的頁結構。結構的塊頭中不包括
A) 塊中記錄的數目
B) 讀取時需要的緩存大小
C) 塊中空閑的末尾指針
D) 由包含記錄位置和大小的條目組成的數組
(44)下列關於索引的敘述中,哪一條是不正確的?
A) 順序索引能有效地支持點查詢
B) 順序索引能有效地支持范圍查詢
C) 散列索引能有效地支持點查詢
D) 散列索引能有效地支持范圍查詢
(45)下列關於基於日誌的故障恢復的敘述中,哪一條是不正確的?
A) 日誌是日誌記錄的序列,它記錄了資料庫izhong的所有更新活動
B) 日誌記錄中包括事務提交日誌記錄<Ti commit>
C) 利用更新日誌記錄中的改前值可以進行UNDO
D) 事務故障恢復只需要正向掃描日誌文件
(46)下列哪一個不屬於SQL2000伺服器端提供的服務?
A) SQL伺服器服務
B) SQL伺服器代理
C) 查詢分析器服務
D) 分布式事務協調服務
(47)下列哪些屬於SQL Sercer 2000中常用的資料庫對象
Ⅰ.表
Ⅱ.約束
Ⅲ.規則
Ⅳ.索引
Ⅴ.數據類型
Ⅵ.用戶自定義函數
A) 僅Ⅰ、Ⅱ、Ⅲ和Ⅳ
B) 僅Ⅰ、Ⅳ、Ⅴ和Ⅵ
C) 僅Ⅰ、Ⅱ、Ⅳ和Ⅵ
D) 都是
(48)下列哪一個不屬於Oracle實例?
A) 存儲數據的集合
B) 系統全局區
C) 用戶進程
D) Oracle
(49)Oracle引入了新的數據類型可以存儲極大的對象。其中,BLOB的中文解釋為
A) 二進制數據型大對象
B) 字元數據型大對象
C) 存儲的資料庫之外的只讀型二進制數據文件
D) 固定寬度的多位元組字元數據型大對象
(50)下列哪些條不屬於資料庫設計的任務?
Ⅰ資料庫物理結構設計
Ⅱ.資料庫邏輯結構設計
Ⅲ.資料庫概念結構設計
Ⅳ.資料庫應用結構設計
Ⅴ.資料庫管理系統設計
A) 僅Ⅰ和Ⅱ
B) 僅Ⅱ和Ⅲ
C) 僅Ⅲ和Ⅳ
D) 僅Ⅳ和Ⅴ
(51)下列哪一條不是概念模型應具備的性質?
A) 有豐富的語義表達能力
B) 在計算機中實現的效率高
C) 易於向各種數據模型轉換
D) 易於交流和理解
(52)下列關於函數依賴的敘述中,哪一條是不正確的?
(53)設有關系模式R(X、Y、Z),其中X、Y、Z均為屬性或屬性組。下列關於多值依賴的敘述中,哪一(些)條是正確的?
A) 僅Ⅱ
B) 僅Ⅲ
C) 僅Ⅰ和Ⅲ
D) 僅Ⅱ和Ⅳ
(54)若關系模式R中沒有非主屬性,則
A) R肯定屬於2NF,但R不一定屬於3NF
B) R肯定屬於3NF,但R不一定屬於BCNF
C) R肯定屬於BCNF,但R不一定屬於4NF
D) R肯定屬於4NF
第(55)-(56)題基於一下描述:有關系模式P(A,B,C,D,E,F,G,,H,I,J),根據語義有如下函數依賴集:F={ABD→E,AB→G,B→F,→CJ,C→I,G→H}。
(55)關系模式P的碼為
A) (A,B,C,G)
B) (A,B,D,I)
C) (A,C,D,G)
D) (A,B,C,D)
(56)現將關系模式P分解為兩個關系模式P1(A,B,D,E,F,G,H)和P2(C,I,J)。這個分解
A) 不具有無損連接性,不保持函數依賴
B) 具有無損連接性,不保持函數依賴
C) 不具有無損連接性,保持函數依賴
D) 具有無損連接性且保持函數依賴
(57)下列關於以Web伺服器為中心的瀏覽器/伺服器模式的敘述中,哪一條是不正確的?
A) 與傳統的客戶機/伺服器結構相比較,Web伺服器負載過重
B) 與傳統的客戶機/伺服器結構相比較,HTTP協議的效率低
C) 伺服器擴展程序主要使用CGI和Web API兩種編程介面編寫
D) CGI在執行時動態載入到Web伺服器進程內
(58)下列關於 Visual Studio 2008 的敘述中,哪一條是不正確的?
A) Visual Studio 2008 徹底解決了需要綁定一個特定版本的CLR(通用語言架構機制)的問題
B) Visual Studio 2008 實現了Dreamwaver 網頁編輯的功能
C) Visual Studio 2008 對AJAX 和java script提供了更豐富的支持
D) Visual Studio 2008 允許編寫使用LINQ的代碼
(59)下列關於分布式資料庫系統的敘述中,哪一條是不正確的?
A) 每一個節點是一個獨立的資料庫系統
B) 具有位置透明性、復制透明性和分片透明性等
C) 有關數據分片、分配和副本的信息存儲在局部目錄中
D) 對於並發控制和恢復,分布式DBMS環境中會出現大量的在集中式DBMS環境中碰不到的問題
(60)下列關於面向對象資料庫和關系資料庫系統的敘述中,哪一條是不正確的?
A) 面向對象資料庫設計與關系資料庫設計之間一個最主要的區別是如何處理聯系
B) 面向對象資料庫設計與關系資料庫設計中,處理繼承的方法是相同的
C) 在面向對象資料庫中,通過使用繼承構造來獲得映射
D) 在面向對象資料庫中,聯系是通過使用聯系特性或者包括相關對象的對象標識符的參照屬性來處理的
二、填空題(每空2分,共40分)
(1)為了改變指令系統計算機指令過多的狀態而設計的一種計算機系統結構稱為精簡指令系統計算機,其英文縮寫為 【1】 。
(2)標準的URL由三部分組成:協議類型、 【2】 和路徑/文件名。
(3)對線性表進行二分發檢索,其前提條件是線性表以 【3】 方式存儲,並且按關鍵碼值排好序。
(4)霍夫曼演算法是求具有最 【4】 帶權外部路徑長度的擴充二叉樹的演算法。
(5)m階B樹的根節點至多有 【5】 棵子數。
(6) 【6】 是操作系統向系統用戶提供的程序級服務,用戶程序藉助它可以向操作系統提出各種服務請求。
(7)最著名的死鎖避免演算法是 【7】 演算法。
(8)可以採用虛擬設備技術來提高獨占設備的利用率,說採用的具體技術稱為 【8】 技術。
(9)根據抽象的層面不同,數據模型可分為:概念模型、 【9】 層模型和物理層模型。
(10)關系數據模型的完整性約束主要包括:域完整性約束、實體完整性約束和 【10】 完整性約束三類。
(11)動態SQL語句是指在SQL程序編譯時其中有些部分尚未確定,需要在程序的 【11】 過程中臨時生成的SQL語句。
(12)在關系代數中,從兩個關系的笛卡爾積中選取它們的屬性或屬性組間滿足一定條件的元組得到新的關系操作稱為 【12】 。
(13)選擇邏輯查詢計劃和選擇物理查詢計劃的步驟稱為查詢 【13】 。
(14)多個事務在某個調度下的執行是正確的,是能保證資料庫一致性的,當且僅當該調度是 【14】 的。
(15)Oracle針對Intrnet/Intranet的產品是Oracle 【15】 。
(16)抽象數據類型是一種用戶定義的對象數據類型,它由對象的 【16】 及其相應的方法組成。
(17)若X→Y,且則稱X→Y為 【17】 的函數依賴。
(18)如果關系模式R的規范化程度達到了4NF,則R的屬性之間不存在非平凡且非 【18】 的多值依賴。
(19)一個多媒體資料庫必須採用一些模型使其可以基於 【19】 來組織多媒體數據源,並為它們簡歷相應的索引。
(20)數據集市是一種更小、更集中的 【20】 ,他為公司提供了分析商業數據的一條廉價途徑。
2009年9月全國計算機等級考試三級資料庫筆試參考答案
一、選擇題
(1)
B
(2)
B
(3)
B
(4)
C
(5)
A
(6)
C
(7)
B
(8)
D
(9)
B
(10)
C
(11)
D
(12)
C
(13)
D
(14)
A
(15)
C
(16)
D
(17)
A
(18)
C
(19)
B
(20)
D
(21)
B
(22)
B
(23)
C
(24)
A
(25)
A
(26)
A
(27)
B
(28)
B
(29)
D
(30)
C
(31)
D
(32)
C
(33)
A
(34)
D
(35)
C
(36)
B
(37)
C
(38)
D
(39)
D
(40)
B
(41)
D
(42)
C
(43)
B
(44)
D
(45)
D
(46)
C
(47)
D
(48)
A
(49)
A
(50)
D
(51)
B
(52)
C
(53)
D
(54)
B
(55)
D
(56)
C
(57)
D
(58)
A
(59)
C
(60)
B
二、填空題
(1)RISC
(2)主機名
(3)順序
(4)小
(5)m
(6)系統調用
(7)銀行家
(8)SPOOLing
(9)邏輯
(10)參照
(11)執行
(12)連接
(13)查詢優化
(14)可串列化
(15)WebServer
(16)屬性
(17)非平凡函數依賴
(18)函數依賴
(19)內容
(20)數據倉庫
㈣ 伺服器給攻擊後會有哪幾種影響
DoS攻擊是網路攻擊最常見的一種。它故意攻擊網路協議的缺陷或直接通過某種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法捉供正常的服務或資源訪問,使目標系統服務停止響應甚至崩潰,而在此攻擊中並不入侵目標伺服器或目標網路設備。這些服務資源包括網路寬頻、系統堆棧、開放的進程。或者允許的連接。這種攻擊會導致資源耗盡,無論計算機的處理速度多快、內存容量多大、網路帶寬的速度多快都無法避免這種攻擊帶來的後果。任何資源都有一個極限,所以總能找到一個方法使請求的值大於該極限值,導致所提供的服務資源耗盡。
DoS攻擊有許多種類,主要有Land攻擊、死亡之ping、淚滴、Smurf攻擊及SYN洪水等。
據統計,在所有黑客攻擊事件中,syn洪水攻擊是最常見又最容易被利用的一種DoS攻擊手法。
1.攻擊原理
要理解SYN洪水攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協議中,TCP協議提供可靠的連接服務,採用三次握手建立一個連接。第一次握手:建立連接時,客戶端發送SYN包((SYN=i)到伺服器,並進入SYN SEND狀態,等待伺服器確認;
第二次握手:伺服器收到SYN包,必須確認客戶的SYN (ACK=i+1 ),同}Jj』自己也發送一個SYN包((SYN j)}即SYN+ACK包,此時伺服器進入SYN_RECV狀態;
第三次握手:客戶端收到伺服器的SYN十ACK包,向伺服器發送確認包ACK(ACK=j+1),此包發送完畢,客戶端和伺服器進入ESTABLISHED狀態,完成三次握手,客戶端與伺服器開始傳送數據。
在上述過程中,還有一些重要的概念:
半連接:收到SYN包而還未收到ACK包時的連接狀態稱為半連接,即尚未完全完成三次握手的TCP連接。
半連接隊列:在三次握手協議中,伺服器維護一個半連接隊列,該隊列為每個客戶端的SYN包(SYN=i )開設一個條目,該條目表明伺服器已收到SYN包,並向客戶發出確認,正在等待客戶的確認包。這些條目所標識的連接在伺服器處於SYN_ RECV狀態,當伺服器收到客戶的確認包時,刪除該條目,伺服器進入ESTABLISHED狀態。
Backlog參數:表示半連接隊列的最大容納數目。
SYN-ACK重傳次數:伺服器發送完SYN-ACK包,如果未收到客戶確認包,伺服器進行首次重傳,等待一段時間仍未收到客戶確認包,進行第二次重傳,如果重傳次數超過系統規定的最大重傳次數,系統將該連接信息、從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務從收到SYN包到確認這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
上面三個參數對系統的TCP連接狀況有很大影響。
SYN洪水攻擊屬於DoS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網路系統,事實上SYN攻擊並不管目標是什麼系統,只要這些系統打開TCP服務就可以實施。從圖4-3可看到,伺服器接收到連接請求(SYN=i )將此信息加入未連接隊列,並發送請求包給客戶( SYN=j,ACK=i+1 ),此時進入SYN_RECV狀態。當伺服器未收到客戶端的確認包時,重發請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內偽造大量不存在的IP地址,向伺服器不斷地發送SYN包,伺服器回復確認包,並等待客戶的確認,由於源地址是不存在的,伺服器需要不斷的重發直至超時,這些偽造的SYN包將長時間佔用未連接隊列,正常的SYN 請求
被丟棄,目標系統運行緩慢,嚴重者引起網路堵塞甚至系統癱瘓。過程如下:
攻擊主機C(地址偽裝後為C')-----大量SYN包---->彼攻擊主機
C'<-------SYN/ACK包----被攻擊主機
由於C』地址不可達,被攻擊主機等待SYN包超時。攻擊主機通過發人量SYN包填滿未連接隊列,導致正常SYN包被拒絕服務。另外,SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。
2.傳統演算法
抵禦SYN洪水攻擊較常用的方法為網關防火牆法、中繼防火牆法和SYNcookies。為便於敘述,將系統拓撲圖簡化為圖4-4。圖中,按網路在防火牆內側還是外側將其分為內網、外網(內網是受防火牆保護的)。其次,設置防火牆的SYN重傳計時器。超時值必須足夠小,避免backlog隊列被填滿;同時又要足夠大保證用戶的正常通訊。
(1) 網關防火牆法
網關防火牆抵禦攻擊的基本思想是:對於內網伺服器所發的SYN/ACK包,防火牆立即發送ACK包響應。當內網伺服器接到ACK包後,從backlog隊列中移出此半連接,連接轉為開連接,TCP連接建成。由於伺服器處理開連接的能力比處理半連接大得多,這種方法能有效減輕對內網伺服器的SYN攻擊,能有效地讓backlog隊列處於未滿狀態,同時在重傳一個未完成的連接之前可以等待更長時間。
以下為演算法完整描述:
第一步,防火牆截獲外網客戶端發向內網伺服器SYN數據包,允許其通過,抵達內網伺服器。同時在連接跟蹤表中記錄此事件.
第二步,防火牆截獲伺服器發向客戶端的SYN/ACK響應包,用連接跟蹤表中記錄的相應SYN包匹配它.
第三步,防火牆讓截獲的SYN/ACK繼續進行(發向客戶端)。同時,向內網伺服器發送ACK包。這樣,對伺服器來說,TCP連接三次握手已經完成。系統在backlog隊列中刪掉此半連接.
第四步,看此TCP連接是否有效,相應產生兩種解決方法。如果客戶端的連接嘗試是有效的,那麼防火牆將接到來自客戶端的ACK包,然後防火牆將它轉發到伺服器。伺服器會忽略這個冗餘的ACK包,這在TCP協議中是允許的.
如果客戶端的IP地址並不存在,那麼防火牆將收不到來自客戶端的ACK包,重轉計時器將超時。這時,防火牆重傳此連接.
(2) 中繼防火牆法
中繼防火牆抵禦攻擊的思想是:防火牆在向內網伺服器發SYN包之前,首先完成與外網的三次握手連接,從而消除SYN洪水攻擊的成立條件。
以下為演算法完整描述:
第一步,防火牆截獲外網客戶端發向內網伺服器SYN數據包.
第二步,防火牆並不直接向內網發SYN數據包,而是代替內網伺服器向外網發SYNIACK數據包.
第三步,只有接到外網的ACK包,防火牆向內網發SYN包.
第四步,伺服器應答SYN/ACK包.
第五步,防火牆應答ACK包.
(3) 分析
首先分析演算法的性能,可以看出:為了提高效率,上述演算法使用了狀態檢測等機制(可通過本系統的基本模塊層得以實現)
對於非SYN包(CSYN/ACK及ACK包),如果在連線跟蹤信息表未查找到相應項,則還要匹配規則庫,而匹配規則庫需比較諸多項(如IP地址、埠號等),花費較大,這會降低防火牆的流量。另外,在中繼防火牆演算法中,由於使用了SYN包代理,增加了防火牆的負荷,也會降低防火牆的流量。
其次,當攻擊主機發ACK包,而不是SYN包,演算法將出現安全漏洞。一般地,TCP連接從SYN包開始,一旦 SYN包匹配規則庫,此連接將被加到連接跟蹤表中,並且系統給其60s延時。之後,當接到ACK包時,此連接延時突然加大到3600s。如果,TCP連接從ACK包開始,同時此連接未在連接跟蹤表中注冊,ACK包會匹配規則庫。如匹配成功,此連接將被加到連接跟蹤表中,同時其延時被設置為3600s。即使系統無響應,此連接也不會終止。如果攻擊者發大量的ACK包,就會使半連接隊列填滿,導致無法建立其它TCP連接。此類攻擊來自於內網。因為,來自於外網的ACK包攻擊,伺服器會很快發RST包終止此連接(SOs>。而對於內網的外發包,其限制規則的嚴格性要小的多。一旦攻擊者在某時間段內從內網發大量ACK包,並且速度高於防火牆處理速度,很容易造成系統癱瘓。
(4) SYN cookies
Linux支持SYN cookies,它通過修改TCP協議的序列號生成方法來加強抵禦SYN洪水攻擊能力。在TCP協議中,當收到客戶端的SYN請求時,伺服器需要回復SYN-SACK包給客戶端,客戶端也要發送確認包給伺服器。通常,伺服器的初始序列號由伺服器按照一定的規律計算得到或採用隨機數,但在SYN cookies中,伺服器的初始序列號是通過對客戶端IP地址、客戶端埠、伺服器IP地址和伺服器埠以及其他一些安全數值等要素進行hash運算,加密得到的,稱之為cookie。當伺服器遭受SYN攻擊使得backlog隊列滿時,伺服器並不拒絕新的SYN請求,而是回復cookie(回復包的SYN序列號)給客戶端,如果收到客戶端的ACK包,伺服器將客戶端的ACK序列號減去1得到。cookie比較值,並將上述要素進行一次hash運算,看看是否等於此cookie。如果相等,直接完成三次握手(注意:此時並不用查看此連接是否屬於backlog隊列)。
㈤ 地理空間數據集成
早期GIS系統幾乎是完全獨立的系統,擁有自己特定的軟體組件、文件格式和自己專門採集的空間數據,不同GIS系統之間很少進行交互和集成。隨著網路和資料庫技術發展及GIS應用領域的擴大,發展了許多空間數據集成理論和方法。
根據側重點的不同,地球空間數據集成的概念有如下幾類:①GIS功能觀點,認為數據集成是地理信息系統的基本功能;②簡單組織轉化觀點,認為數據集成是數據層的簡單再組織;③過程觀點,認為地球空間數據集成是在一致的拓撲空間框架中地表描述的建立或使同一個地理信息系統中的不同數據集彼此之間兼容的過程;④關聯觀點,認為數據集成是屬性數據和空間數據的關聯。這些觀點,從不同角度揭示出地球空間數據集成的多樣性和綜合性(李軍,2000)。
按照數據集成的類型及實際應用中數據集成需求,地球空間數據集成分為4大類:①區域集成,指根據一定區域范圍集成各種類型的數據(Eugene,1992);②專題集成,以要素作為數據集成主要指標的集成;③時間集成,以時間為集成主體,內容包括多時間尺度數據集成、時間序列數據集成等;④數據綜合集成,即綜合度差異數據之間的集成,從數據與其表達的地學過程空間尺度的關系分析即是多空間尺度數據集成。
這四類集成中每一類都包含具體的集成類型,其中數據的綜合集成是最為復雜的一類,常規意義的制圖綜合和數據細化都包含在該類數據集成中。
按照數據集成模式可以把GIS數據集成分為3種模式:①數據轉換模式,是經專門的數據轉換程序進行不同數據格式的集成;②數據互操作模式,是根據OGC頒布的規范,所有數據源的軟體(數據伺服器)需要提供統一的數據訪問介面以便數據客戶進行訪問,並處理數據客戶的請求從而完成數據服務;③直接數據訪問模式,指在GIS系統中實現對其他數據格式的直接訪問、存取和分析,利用空間引擎的方法實現多源數據的無縫集成(宋關福等2000;閭國年等,2003)。
這三種集成模式各有利弊,其中,①模式是傳統的一種模式,但由於不同數據格式描述空間對象時採用的數據模型不同,因而轉換後不能完全准確表達源數據信息,此外由於這種數據格式轉換的涉及輸出和輸入兩個過程,相對比較復雜;②模式,由於實現各種數據格式宿主軟體的數據訪問介面,一定時期內還不現實,且對於數據客戶來講,同時需要擁有兩種格式的GIS軟體,並同時運行才能完成數據的互操作,給數據的集成帶來了局限性,因此目前還有很大的局限性。而③模式雖然提供了更為經濟實用的多源數據集成模式,是實現空間數據共享的理想方式,但由於構建成本比較大,且需要具備多源空間數據無縫集成技術和一種內置於GIS軟體中的特殊數據訪問體制,目前是相對比較困難且技術要求較高的集成模式。
綜上所述可知,關於地理空間數據集成,目前主要集中於物理實現和邏輯模型層次上的集成方法,是從數據本身入手來研究數據集成,屬一種微觀的數據集成。因此,數據集成必須同時集成數據的語義,才能滿足用戶應用的需要。
2.2.1.1 介面規范與標准
自從20世紀70年代開始,許多國家加強了地理信息標准化工作,迄今,已取得了長足進步。國際上地理信息產業的標准和規范發展十分迅速,各國對地理信息產業的標准和規范空前重視,在地理信息標准化的研究和標準的制定方面合作十分密切,國際標准化組織地理信息技術委員會(ISO/TC211)和以開放地理空間信息聯盟(OGC)為代表的國際論壇性地理信息標准化組織,以及CEN/TC287等區域性地理信息標准化組織,在其成員的積極參與下建立了完整的地理信息標准化體系,研究和制定出了一系列的國際通用或合作組織通用的標准或規范。國際地理信息標准化工作大體可分為兩部分:一是以已經發布實施的信息技術(IT)標准為基礎,直接引用或者經過修編採用;二是研製地理空間數據標准,包括數據定義、數據描述、數據處理等方面的標准。
我國於1997年成立了全國地理信息標准化技術委員會(CSBTS/TC230),負責我國地理信息國家標準的立項建議、組織協調、研究制定、審查上報等。
2.2.1.2 分布式空間查詢處理技術
國際上的研究主要集中在分布式空間索引技術和分布式查詢處理策略等方向上。英聯邦科學與工業研究組織(CSIRO)的Abel和新加坡國立大學的Ooi等人(1995)基於分布式資料庫理論中的半連接思想,首先研究了分布式空間資料庫的空間連接查詢處理問題,提出了空間半連接運算元,並基於空間對象的一維索引結構,提出了一種空間半連接查詢處理演算法。新加坡國立大學的Tan等人(2000)將上述演算法擴展到多維索引結構,並分析了演算法在不同數據分布和網路帶寬情況下的性能。實驗結果表明,採用空間半連接操作可以極大地降低網路數據傳輸量,這對於網路帶寬有限的分布式環境來說,如網路將很好地改善查詢的整體響應時間。但是,空間半連接操作也帶來了額外的CPU和I/O開銷,在高速網路環境下,且傳輸數據量較小時,採用基於空間半連接操作的查詢處理策略反而可能引起性能的下降。此外,還有學者研究了在並行計算體系結構下的分布式空間查詢處理問題,Patel等(2000)提出在並行計算體系結構下的兩種空間連接查詢處理策略。
2.2.1.3 組織管理與集成體系結構
對於組織管理與集成體系結構即空間數據組織管理與集成技術研究,分為三個階段:①傳統的空間數據組織管理與集成階段。②面向服務的空間數據的組織管理與集成階段。③網格環境下空間數據的組織管理與集成階段。海洋時空數據屬於地理空間數據的范疇,但是由於海洋現象的復雜性、多樣性以及海洋時空數據自身的特點,決定了海洋時空數據與其他空間數據的組織管理與集成有著很大的區別。