公職王歷屆試題 (108 年高考三級)

公職王歷屆試題 (108 年高考三級)

共4頁 第1頁 全國最大公教職網站 http://www.public.com.tw

108 公務人員高等考試三級考試試題

類 科：資訊處理 科 目：資通網路 考試時間：2 小時

一、回答下列有關於網際網路通訊協定套件（Internet Protocol Suite）或稱 TCP/IP 通訊協定疊 (protocol stack）相關問題。

說明TCP 協定的壅塞控制（congestion control）與流量控制（flow control）有何不同。(10 分）

說明MSS 與 MTU 的功能與兩者之差異。(10 分）

《考題難易》：★★

《破題關鍵》：TCP 壅塞控制與流量控制相關協定瞭解即可求解，亦可參考 100 調查局三等類似題。

【擬答】

TCP 協定的壅塞控制

Internet 解決壅塞的方法在傳送端需要兩個窗口，其中一個是接收端已經同意的傳送窗口，

另外還要靠壅塞窗口（congestion window）。實際傳送的 byte 數是取兩者的較小者。Internet 壅塞控制演算法需要門檻（threshold）此一參數，初設為 64K，但是一旦發生逾時，則將門 檻設成壅塞窗口的一半大小，再將壅塞窗口大小重設回一個最大區段。接著使用慢速啟動法 來決定實際傳輸量，但在碰到門檻後，會改用線性成長方式探索最佳傳輸率。TCP 的壅塞 控制方法主要可分為Slow-start、Congestion-avoidance、Fast retransmission、Fast recovery 及 Timeout retransmission 五個階段；TCP 利用 ACK 偵測網路的狀況並提供可靠性的服務，在 調整傳送端的傳送速度時，則以Slow-start threshold 與 cwnd 的值來區分 Slow-start 或 Congestion-avoidance。

TCP 協定的流量控制採用信用方案（credit scheme）

信 用 方 案 與 滑 動 窗 口 非 常 類 似 ， 當 接 收 端 接 收 到 多 個 訊 息 時 ， 可 以 回 應 「 確 認 」

（acknowledgement）訊息，訊息內包含確認的訊息編號，及未來可再接收的訊息數目。信 用方案與滑動窗口的差別在於信用方案可以回應一個ACK 以代表已有 2 封訊息正確接收，

但暫不增加發信端能夠傳送訊息的數目。

TCP 協定的流量控制與壅塞控制使用協定標頭的同一個 window 欄位，其中，flow control window（流量控制視窗）根據目的端的緩衝區空間來調整；最後在取二者較小的長度作為 下一次的發送的封包長度限制。

最大傳輸單元（Maximum Transmission Unit，MTU）是指一種通信協定的某一層上面所能 通過的最大資料封包大小。例如網際網路協定允許IP 分段，這樣就可以將資料封包分成足 夠小的片段以通過那些最大傳輸單元小於該資料封包原始大小的鏈路了。在網際網路協定中

，一條網際網路傳輸路徑的「路徑最大傳輸單元」被定義為從源地址到目的地址所經過「路 徑」上的所有IP 跳的最大傳輸單元的最小值，就是無需進一步分段就能穿過這條「路徑」

的最大傳輸單元的最大值。

最大分段大小（Maximum Segment Size）是 TCP 協定的一個參數，以字節數定義一個電腦 或通信設備所能接受的分段的最大資料量。含有 TCP 分段的 IP 資料包可以在一個資料封 包內自我包含，也可以從多個IP 分片中重建。無論如何，MSS 限制都對最終重建的分段起 效。當一個主機想要把 MSS 設置到一個非默認的值時，MSS 大小會以一個 TCP 可選項 的方式在握手時的 SYN 包中定義。由於最大分段大小被一個 TCP 參數控制，主機可以在 接下來的任意分段中改變它。每個資料流的方向都可以使用不同的 MSS。較低的最大分段 大小能夠減少或消除IP 分段，然而會造成協定開銷增大。

公職王歷屆試題 (108 年高考三級)

共4頁 第2頁 全國最大公教職網站 http://www.public.com.tw

路給辦公室員工使用、一個給後勤IT 部門使用，第三個放在公共空間給民眾使用。

這三個子網路的network ID 為何？(4 分）

這三個子網路的Subnet mask 為何？(4 分）

這三個子網路的Host ID 範圍為何？(4 分）

這三個子網路各有多少個可使用的HostID? (4 分）

這三個子網路的broadcast ID 為何？(4 分）

《考題難易》：★★

《破題關鍵》：IP 網路管理基本題。

【擬答】

網段192.168.4.0/24 若要分出三個子網路，將分出三個/26 網段，因此這三個子網路的 network ID 為 192.168.4.0、 192.168.4.64、192.168.4.128。

這三個子網路的Subnet mask 為 255.255.255.192。

這三個子網路的Host ID 範圍為

 192.168.4.1~192.168.4.62

 192.168.4.65~192.168.4.126

 192.168.4.129~192.168.4.190

這三個子網路各有62 個可使用的 HostID。

這三個子網路的broadcast ID 為

 192.168.4.63

 192.168.4.127

 192.168.4.191

三、ARP poisoning 或稱 ARP spoofing 是利用 ARP 通訊協定發動的攻擊。

說明ARP poisoning 或稱 ARP spoofing 之攻擊原理。(10 分）

說明ARP poisoning 或稱 ARP spoofing 攻擊之防範方法。(10 分）

《考題難易》：★★★

《破題關鍵》：此為網路攻擊方法，理解ARP 協定之弱點即可解題，亦可參考 100 高考類似題。

【擬答】

是針對ARP 的一種攻擊技術。此種攻擊可讓攻擊者取得區域網路上的資料封包甚至可篡改封 包，且可讓網路上特定電腦或所有電腦無法正常連線。運作原理是由攻擊者發送假的ARP 封 包到網路上，尤其是送到閘道器上。其目的是要讓送至特定的IP 位址的流量被錯誤送到攻擊 者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的閘道（被動式封包嗅探，passive sniffing）或是篡改後再轉送（中間人攻擊，man-in-the-middle attack）。攻擊者亦可將 ARP 封 包導到不存在的MAC 位址以達到阻斷服務攻擊的效果，例如 netcut 軟體。

 ARP spoofing 攻擊之防範方法

最理想的防制方法是網路內的每台電腦的ARP 一律改用靜態的方式，不過這在大型的網路 是不可行的，因為需要經常更新每台電腦的ARP 表。

DHCP snooping

網路裝置可藉由DHCP 保留網路上各電腦的 MAC 位址，在偽造的 ARP 封包發出時即可偵 測到。

運用軟體監聽網路上的ARP 回應，若偵測出有不正常變動時可發送電子郵件通知管理者。

公職王歷屆試題 (108 年高考三級)

共4頁 第3頁 全國最大公教職網站 http://www.public.com.tw

說明虛擬區域網路（Virtual Local Area Network，簡稱 VLAN）與 LAN 的差異性。(10 分）

說明VLAN 優點。（10 分）

《考題難易》：★★★

《破題關鍵》：參考講義7-3 有關 VLAN 協定介紹即可得解，亦可參考 97 警察二等類似題。

【擬答】

所謂「虛擬網路」(Virtual LAN, 簡稱 VLAN) 就是「邏輯網路」 (Logical LAN)，是指利用特 定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結起來，使得這些工作站彼此 之間通訊的行為和將它們實際連結在一起時一樣。VLAN 於區域網路交換技術（LAN Switch

）的網路管理的技術，網管人員可以藉此透過控制交換機有效分派出入區域網的封包到正確的 出入埠，達到對不同實體區域網中的設備進行邏輯分群（Grouping）管理，並降低區域網內大 量資料流通時，因無用封包過多導致雍塞的問題，以及提昇區域網的資訊安全保障。而 LAN 則是實體的區域網路，運用區域網路協定互連。

VLAN 優點

工作站群組具有彈性

其組成成員可以動態調整。

形成獨立廣播網域（broadcast domain）

可以對廣播網域中的組成工作站進行廣播，而不會送給其他工作站。

具有防火牆功能

虛擬區域網路的運作與傳統IP 子網路相同，必須透過路由器的轉送，因此可由路由器擔任防火牆。

可以連結所有的IEEE 802 網路

包括Ethernet、Token ring、FDDI、Token bus、Fast ethernet、Gigabit ethernet。

具有辨識碼

可以辨識訊框屬於哪一個虛擬區域網路。

五、網際網路傳輪資料不安全，因此可以利用虛擬私有網路（Virtual Private Network，簡稱 VPN）

方式達到安全服務。

IPSec 可建立那一層的資料安全傳輸？說明如何使用 IPSec 通道模式 (tunnel model）達到 VPN 功能。(10 分）

說明IPSec tunneling 可以達到那些資料的安全服務。(10 分）

《考題難易》：★★★

《破題關鍵》：理解IPSec 協定即可解題，亦可參考 102 調查局三等類似題。

【擬答】

IPsec（IP Security）是保護 IP 協定安全通信的標準，它主要對 IP 協定分組進行加密和認證。

因此可建立網路層的資料安全傳輸。IPsec 通道模式（Tunnel Mode），即是隱藏原來的 IP 標頭

，而另外製作一個新的封包標頭，並且利用AH 標頭保護原來的 IP 標頭。在 VPN 網路上，都 希望將內部的網路位址隱藏起來，並透過NAT（Network Address Translator）將內部位址轉換到 外部位址，區域網路透過Internet 網路做 VPN 連接，並且將 IPSec AH Tunnel 與 NAT 軟體安裝 於雙方網路的『安全閘門』（Security Gateway, SG）上，當內部網路 A 的工作站欲傳送封包給 內部網路B 的工作站時，SG-A 將工作站 A 所發送的封包經由 IPSec AH Tunnel 包裝。區域網路 B 的 SG-B 收到封包後，再拆解外部標頭，並從事認證的工作，如果認證無誤的話，便捨棄外部 標頭，恢復原來封包格式，並發送到內部網路；工作站B 再由網路上收到該封包。如此，對雙 方工作站而言，並不知道有VPN 網路的存在，猶如在同一區域網路上運作一樣。

IPSec 若利用通道模式（Tunnel mode），IPSec 會加密或認證整個封包，並在最外面再加上一 個新的 IP 表頭，當 IPSec 連線兩端的電腦有一端或兩端不具處理 IPSec 封包能力，而必須透 過具有IPSec 能力的路由器或防火牆來代為處理 IPSec 封包時，即必須使用通道模式。此時可 以達成完整性、傳輸保密性的資料安全服務。

公職王歷屆試題 (108 年高考三級)

共4頁 第4頁 全國最大公教職網站 http://www.public.com.tw