网络安全技术与实践第二版课后答案.docx

1、网络安全技术与实践第二版课后答案网络安全期末复习题型：1、选择、判断、简答（45% ）2、分析题（55%）注：如有发现错误，希望能够提出来。第一章引言一、 填空题1、 信息安全的3个基本目标是：保密性、完整性和可用性。此外，还有一个 不可忽视的目标是：合法使用。2、 网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和 非法使用。3、 访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略 。4、 安全性攻击可以划分为：被动攻击和主动攻击o5、 X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性、 不可否认性。6、 X.800定义的8种特定的安全机制是：

2、加密、数字签名、访问控制、数据完 整性、认证交换、流量填充、路由控制 和公证。7、 X.800定义的5种普遍的安全机制是： 可信功能度、安全标志、事件检测、 安全审计跟踪禾口安全恢复。二、 思考题2、基本的安全威胁有哪些？主要的渗入类型威胁是什么？主要的植入类型威 胁时什么？请列出几种最主要的威胁。答：基本的安全威胁有：信息泄露、完整性破坏、拒绝服务、非法使用。主要的渗入类型威胁有：假冒、旁路、授权侵犯。主要的植入威胁有：特洛伊木马、陷门最主要安全威胁：（1）授权侵犯（2）假冒攻击（3）旁路控制（4）特洛 伊木马或陷阱（5）媒体废弃物（出现的频率有高到低）4.什么是安全策略？安全策略有几个不同

3、的等级？答：安全策略：是指在某个安全区域内，施加给所有与安全相关活动的一套规 则。安全策略的等级：1安全策略目标；2机构安全策略；3系统安全策略。6.主动攻击和被动攻击的区别是什么？请举例说明。答：区别：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信 息的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态 和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。主动攻击的例子：伪装攻击、重放攻击、消息篡改、拒绝服务。被动攻击的例子：消息泄漏、流量分析。9、请画出一个通用的网络安全模式，并说明每个功能实体的作用 网络安全模式如下：Hi产皓妒盘厲忡栽者、奩密鴿的分私）网络

4、安全模型由六个功能实体组成：消息的发送方 （信源）、消息的接收方（信 宿）、安全变换、信息通道、可信的第三方和攻击者。第二章低层协议的安全性一、 填空题1主机的IPv4的长度为32b，主机的MAC地址长度为48b。IPv6的地址长度为 128b02、 ARP的主要功能是将巴地址转换成为物理地址3、 NAT的主要功能是实现 网络地址和JP地址之间的转换，它解决了 IPv4地 址短缺的问题。4、 DNS服务使用53号端口，它用来实现 域名到IP地址 或IP地址到域名 的映 射。二、 思考题1、简述以太网上一次TCP会话所经历的步骤和涉及的协议。答：步骤：开放TCP连接是一个3步握手过程：在服务器收

5、到初始的 SYN数据包后，该连接处于半开放状态。此后，服务器返回自己的序号，并等待确认。最后，客户机发送第3个数据包使TCP连接开放，在客户机和服务器之间建立连接。协议:路由协议、In ternet协议、TCP/IP协议2、在TCP连接建立的3步握手阶段，攻击者为什么可以成功实施 SYN Flood攻击？在实际中，如何防范此类攻击？答：当TCP处于半开放状态时，攻击者可以成功利用 SYN Flood对服务器发动攻击。攻击者使用第一个数据包对服务器进行大流量冲击，使服务器一直处于半开放连接状 态，导致服务器无法实现 3步握手协议。防范SYN Flood攻击，一类是通过防火墙、路由器等过滤网关防护

6、；另一类是通过加 固TCP/IP协议栈防范。4、为什么UDP比BGP的主要区别。答：由于UDP自身缺少流控制特性，所以采用 UDP进行大流量的数据传输时，就可能造 成堵塞主机或路由器，并导致大量的数据包丢失； UDP没有电路概念，所以发往给定端口的数据包都被发送给同一个进程， 而忽略了源地址和源端口号；UDP没有交换握手信息和序号的过程，所以采用 UDP欺骗要比使用TCP更容易。9、通过DNS劫持会对目标系统产生什么样的影响？如何避免？答：通过劫持了 DNS服务器，通过某些手段取得某域名的解析记录控制权，进 而修改此域名的解析结果，导致对该域名的访问由原 IP地址转入到修改后的指定IP,其结果

7、就是对特定的网址不能访问或访问的是假网址。避免DNS劫持:暴露的主机不要采用基于名称的认证；不要把秘密的信息 放在主机名中；进行数字签名14、判断下列情况是否可能存在？为什么？（1） 通过ICMP数据包封装数据，与远程主机进行类似 UDP的通信。（2） 通过特意构造的TCP数据包，中断两台机器之间指定的一个 TCP会话。 答：（1）不存在。TCP/UDP是传输层（四层）的协议，只能为其上层提供服务，而ICMP是网络互联层（三层）的协议，怎么可能反过来用四层协议 来为比它还低层的数据包来服务呢。（2）如果攻击者能够预测目标主机选择的起始序号，他就可能欺骗该目标 主机，使目标主机相信自己正在与一台

8、可信的主机会话。第4章单（私）钥加密体制一、填空题1、 密码体制的语法定义由以下六部分构成： 明文消息空间、密文消息空间、 加密密钥空间、密钥生成算法、加密算法、解密算法。2、 单（私）钥加密体制的特点是： 通信双方采用的密钥相同 所以人们通常也 称其为对称加密体制。第9章数字证书与公钥基础设施一、选择题1. 数字证书将用户与其 B 相联系。A .私钥 B.公钥 C.护照 D.驾照2. 用户的 B 不能出现在数字证书中。A.公钥 B.私钥 C.组织名 D.人名3.A 可以签发数字证书。A. CA B.政府 C.小店主 D.银行4.D 标准定义数字证书结构。A. X.500 B. TCP/IP

9、C. ASN.1 D. X.5095.RA A 签发数字证书。A.可以 B.不必 C.必须 D.不能6.CA使用 D 签名数字证书。A.公钥B.自签名证书C.数字证书D.数8.CRL是C 的。A.联机B.联机和脱机C.脱机D.未定义9.OCSP 是A 的。A.联机B.联机和脱机C.脱机D.未定义10.最高权威的CA称为C。A.RCAB.RA C.SOAD. ARA0A.用户的公钥 B.用户的私钥 C.自己的公钥 D.自己的私钥7.要解决信任问题，需使用 C二、思考题1、数字证书的典型内容什么？答：数字证书的概念：一个用户的身份与其所持有的公钥的结合，由一个可信 任的权威机构CA来证实用户的身份

10、，然后由该机构对该用户身份及对应公钥相 结合的证书进行数字签名，以证明其证书的有效性。一般包括：(1)证书的版本信息；(2)证书的序列号，每个证书都有一个唯一的证书序列号；(3)证书所使用的签名算法；(4)证书的发型机构名称；(5)证书的有效期；(6)证书所有人名称；(7)证书所有人的公开密钥；（8）证书发行者对证书的签名;4、简述撤销数字证书的原因？答：（1）数字证书持有者报告该证书中指定公钥对应的私钥被破解（被盗） ；（2） CA发现签发数字证书是出错；（3） 证书持有者离职，而证书为其在职期间签发的。10、攻击者A创建了一个证书，放置一个真实的组织名（假设为银行 B）及攻 击者自己的公钥

11、。你在不知道是攻击者在发送的情形下，得到了该证书，误认 为该证书来自银行B。请问如何防止该问题的产生？答：第10章网络加密与密钥管理一、 填空题1、 网络加密方式有 4种，它们分别是链路加密、节点加密、端到端加密和混 合加密。2、 在通信网的数据加密中，密钥可分为 基本密钥、会话密钥、密钥加密密钥、 主机主密钥。3、 密钥分配的基本方法有 利用安全信道实现密钥传输 、利用双钥体制建立安 全信道传递和利用特定的物理现象实现密钥传递等4、 在网络中，可信第三方 TTP的角色可以由密钥服务器、密钥管理设备、密 钥查阅服务和时戳代理 等来承担（请任意举出4个例子）5、 按照协议的功能分类，密码协议可以

12、分为 认证建立协议、密钥建立协议、 认证的密钥建立协议。6、 Diffie-Hellman密钥交换协议不能抵抗中间人的攻击7、 Kerberos 提供 AA.加密 B.SSO C.远程登录 D.本地登陆&在Kerberos中，允许用户访问不同应用程序或服务器的服务器称为 AA.AS B.TGT C.TGS D.文件服务器9、在Kerberos中，C与系统中的每个用户共享唯 个口令。A.AS B.TGT C.TGS D.文件服务器二、 思考题1、网络加密有哪几种方式？请比较它们的优缺点。答：网络加密的方式有 4 种分别是链路加密、节点加密、端到端加密、混合加 密。链路加密 的优点： （1） 加密

13、对用户是透明的，通过链路发送的任何信 息在发送 前都先被加密。（2） 每个链路只需要一对密钥。（3） 提供了信号流安全机制。 缺点：数据在中间结点以明文形式出现，维护结点安全性的代价较 高。节点加密 的优点：（1）消息的加、解密在安全模块中进行，这使消息内容不会 被泄密（ 2）加密对用户透明缺点：（ 1）某些信息（如报头和路由信息）必须以明文形式传输（ 2）因为所有节点都必须有密钥，密钥分发和管理变的困难端到端加密的优点：对两个终端之间的整个通信线路进行加密2只需要 2台加密机， 1台在发端， 1台在收端3从发端到收端的传输过程中，报文始终以密文存在4消息报头（源/目的地址）不能加密，以明文传

14、送5只需要 2 台加密机， 1台在发端， 1 台在收端6从发端到收端的传输过程中，报文始终以密文存在7比链路和节点加密更安全可靠，更容易设计和维护 缺点：不能防止业务流分析攻击。混合加密 的是链路和端到端混合加密组成。优点：从成本、灵活性和安全性来看，一般端到端加密方式较有 吸引力。对于某些远程机构，链路加密可能更为合适。缺点信息的安全设计较 复杂。4、密钥有哪些种类？它们各自的用途是什么？请简述它们之间的关系？答：种类：1、 基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某 种算法所构造的密钥产生器，产生用于加密数据的密钥流。2、 会话密钥其用途是使人们可以不必繁琐的更换基本密钥，

15、有利于 密钥的安全和管理。3、 密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密钥，也成为次主密钥、辅助密钥或密钥传送密钥。4、 主机主密钥作用是对密钥加密密钥进行加密的密钥， 存储于主机 处理器中。5、 双钥体制下的公开钥和秘密钥、 签名密钥、证实密钥。关系如图：会话密钥ks卩基本密钥血 .混合器“密钥产绸密钥加密47、密钥分配的基本模式有哪些？(a)点对点密钥分配：由A直接将密钥送给B，利用A与B的共享基本密钥 加密实现。(b)密钥分配中心(KDC): A向KDC请求发送与B通信用的密钥，KDC生 成k传给A,并通过A转递给B，利用A与KDC和B与KDC的共享密钥实现。(c)

16、密钥传递中心(KTC ): A与KTC , B与KTC有共享基本密钥11、在密码系统中，密钥是如何进行保护、存储和备份的？密钥的保护：将密钥按类型分成不同的等级。大量的数据通过少量的动态产生 的初级密钥来保护。初级密钥用更少量的、相对不变的二级密钥或主密钥 KM0 来保护。二级密钥用主机主密钥 KM1,KM2来保护。少量的主密钥以明文形式 存储在专用的密码装置中，其余的密钥以密文形式存储在专用密码装置以外。这样，就把保护大量数据的问题简化为保护和使用少量数据的问题。密钥的存储：密钥在多数时间处于静态，因此对密钥的保存是密钥管理重要内 容。密钥可以作为一个整体进行保存，也可化为部分进行保存。密钥

17、的硬件存 储；使用门限方案的密钥保存 ；公钥在公用媒体中存储。密钥的备份：交给安全人员放在安全的地方保管；采用共享密钥协议。第12章防火墙技术一、填空题1、 防火墙应位于一C _A、公司网络内部 B、公司网络外部C、公司网络与外部网络 D、都不对2、 应用网关的安全性 B 包过滤防火墙。A、不如 B、超过 C、等于 D、都不对3、 防火墙可以分为 静态包过滤、动态包过滤、电路级网关、应用级网关、状 态检查包过滤、切换代理 和空气隙7种类型。4、 静态包过滤防火墙工作于 OSI模型的网络层上，他对数据包的某些特定域 进行检查，这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号

18、5、 动态包过滤防火墙工作于 OSI模型的网络层上，他对数据包的某些特定域 进行检查，这些特定域包括 数据源地址、目的地址、应用或协议、源端口号、 目的端口号。6、 电路级网关工作于 OSI模型的会话层上，它检杳数据包中的数据分别为 源 地址、目的地址、应用或协议、源端口号、目的端口号和握手信息及序列号。7、 应用级网关工作于 OSI模型的应用层上，它可以对整个数据包进行检查, 因此其安全性最高。8状态检测防火墙工作于 OSI模型的网络层上，所以在理论上具有很高的安 全性，但是现有的大多数状态检测防火墙只工作于 网络层上，因此其安全性与 包过滤防火墙相当。9、 切换代理在连接建立阶段工作于 O

19、SI模型的会话层上，当连接建立完成值 后，再切换到动态包过滤模式，即工作于OSI模型的网络层上。10、 空气隙防火墙也称作 安全网闸，它在外网和内网之间实现了真正的 隔离。二、思考题1防火墙一般有几个接口？什么是防火墙的非军事区( DMZ )?它的作用是什 么？答：防火墙一般有3个或3个以上的接口。网关所在的网络称为非军事区(DZM )。网关的作用是提供中继服务，以补偿过滤器带来的影响。2为什么防火墙要具有NAT功能？在NAT中为什么要记录端口号？答：使用NAT的防火墙具有另一个优点，它可以隐藏内部网络的拓扑结构， 这 在某种程度上提升了网络的安全性。在NAT中记录端口号是因为在实现端口地 址

20、转换功能时，两次NAT的数据包通过端口号加以区分。9.应用级网关与电路级网关有何不同？简述应用级网关的优缺点。答：与电路级网关不同的是应用级网关必须针对每个特定的服务运行一个特定 的代理，它只能对特定服务所生成的数据包进行传递和过滤。应用级网关的优点：1、在已有的安全模型中安全性较高2、 具有强大的认证功能3、 具有超强的日志功能4、 应用级网关防火墙的规则配置比较简单缺点：1、灵活性差2、配置复杂3、性能不高14防火墙有什么局限性？答：防火墙是In ternet安全的最基本组成部分，但对于内部攻击以及绕过防火 墙的连接却无能为力，另外，攻击者可能利用防火墙为某些业务提供的特殊通 道对内部网络

21、发起攻击，注入病毒或木马。15.软件防火墙与硬件防火墙之间的区别是什么？答：软件防火墙是利用CPU的运算能力进行数据处理，而硬件防火墙使用专用 的芯片级处理机制。第13章入侵检测系统、填空题1、 根据数据源的来源不同，IDS可分为 基于网络 NID3、 基于主机 HIDS 和两种都有 DIDS种类型。2、 一个通用的IDS模型主要由数据收集、检测器、知识库和控制器4部分组 成。3、 入侵检测分为3个步骤，分别为信息收集、数据分析和响应。4、 一个NIDS的功能结构上至少包含 事件提取、入侵分析、入侵响应和远程 管理4部分功能5、 DIDS通常由数据采集构建、通信传输构建、入侵检测分析、应急处理

22、的 构建和 用户管理构建5个构建组成。6、 IDS控制台主要由 日志检索、探测器管理、规则管理、日志报表和用户管 理 5个功能模块构成。7、 HIDS常安装于 被保护的主机，NIDS常安装于 网络 入口处。8潜在人侵者的可以通过检查 蜜罐日志来获取。9、吸引潜在攻击者陷阱为 蜜罐。二、思考题2、入侵检测系统按照功能可分为哪几类，有哪些主要功能？答：功能构成包含：事件提取、入侵分析、入侵响应、远程管理 4个部分功能1、 网络流量的跟踪与分析功能2、 已知攻击特征的识别功能3、 异常行为的分析、统计与响应功能4、 特征库的在线和离线升级功能5、 数据文件的完整性检查功能6、 自定义的响应功能7、

23、系统漏洞的预报警功能8 IDS探测器集中管理功能3、一个好的IDS应该满足哪些基本特征？答：1、可以使系统管理员时刻了解网络系统的任何变更2、 能给网络安全策略的制定提供依据3、 它应该管理、配置简单，即使非专业人员也非常容易使用4、 入侵检测的规模还应根据网络威胁、 系统构造和安全需求的改变而改变5、 入侵检测系统在发现入侵后会及时做出响应， 包括切断网络连接、记录 事件和报警。6、 什么是异常检测，基于异常检测原理的入侵检测方法有哪些？答：异常检测技术又称为基于行为的入侵检测技术，用来识别主机或网络中的 异常行为。通过收集操作活动的历史数据，建立代表主机、用户或网络连接的 正常行为描述，判

24、断是否发生入侵。1统计异常检测方法2特征选择异常检测方法3、 基于贝叶斯网络异常检测方法4、 基于贝叶斯推理异常检测方法5、 基于模式预测异常检测方法7、 什么是误用检测，基于误用检测原理的入侵检测方法有哪些？答：误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手 段进行分析，提取检测特征，构建攻击模式或攻击签名，判断入侵行为。1基于条件的概率误用检测方法2、 基于专家系统误用检测方法3、 基于状态迁移分析误用检测方法4、 基于键盘监控误用检测方法5、 基于模型误用检测方法10、蜜网和蜜罐的作用是什么，它们在检测入侵方面有什么优势？ 蜜罐的作用：1、把潜在入侵者的注意力从关键系统

25、移开 2、收集入侵者的动作信息3、设法让攻击者停留一段时间，使管理员能检测到它并采取相应的措施。 蜜网的作用：1蜜网在确保不被入侵者发现诱骗的前提下，尽可能多地捕获 攻击行为信息，2、Honeynet向In ternet发起的连接进行跟踪，一旦 Ho ney net 达到了规定的向外的连接数，防火墙将阻断任何后续的连接，并且及时向系统 管理员发出警告信息3、IDS在数据链路层对蜜网中的网络数据流进行监控， 分析和抓取以便将来能够重现攻击行为，同时在发现可疑举动时报警。蜜罐和蜜网能从现存的各种威胁中提取有用的信息，发现新型的攻击工具，确 定攻击模式并研究攻击者的攻击动机，从而确定更好的对策。第1

26、4章VPN技术一、填空题1 根据访问方法的不同，VPN可以分为 远程访问 VPN和网关-网关VPN两种 类型。2、 VNP的关键技术包括 隧道技术、加/解密技术、密钥管理技术 、身 份认证技术 和 访问控制 等。3、 第2层隧道协议主要有 PPTP、L2F和L2TP 3个协议。4、 第3层隧道协议主要有IPSec、GRE和 MPLS 3个协议。5、 IPSec的主要功能是实现加密、认证和密钥交换，这3个功能分别由 AH 、ESP 和 IKE 3个协议来实现6、 IPSec VPN主要由 管理模块、密钥分配和生成模块 、身份认证模块、数 据加/解密模块和数据分组封装/分解模块5个模块组成。7、

27、IPSec在OSI参考模型的 C 层提供安全性。A.应用 B.传输 C.网络 D.数据链路8 ISAKMP/Oakley 与 D 相关。A.SSL B.SET C.SHTTP D.I PSec9、 IPSec中的加密是由 D 完成的。A.AH B.TCP/IP C.IKE D.ESP10、 在 A 情况下，IP头才需要加密。A.信道模式 B.传输模式 C.信道模式和传输模式 D、无模式第一章引言1、 网络安全的基本目标 ：保密性、完整性、可用性、合法使用2、 计算机病毒的发展态势：1）、计算机病毒层出不穷 2）、黑客攻势逐年攀升 3）、系统存 在安全漏洞4）、各国军方加紧信息战研究3、 典型的

28、安全威胁：假冒攻击 /冒充攻击、截获、窃听、篡改、消息重发 /重放攻击、拒绝 服务攻击DOS、DDOS （各定义详见课本）4、 防止重放攻击的方法： 时间戳、序号、提问与应答。5、 防范口令攻击的方法、暴力破解、字典攻击： 阻止选择低级口令；对口令文件严格保护。要彻底解决口令机制的弊端是使用基于令牌的机制，转而使用基于令牌的机制。如果暂时不能做到，起码要使用一次性口令方案。7、 认证：认证服务与保证通信的真实性有关 在单条消息下，如一条警告或报警信号认证服务是向接收方保证信息来自所声称的发送方 对于正在进行的交互，如终端和主机连接，就设 计两个方面的问题：首先，在连接的初始化阶段，认证服务保证

29、两个实体是可信的，也就是说, 每个实体都是它们所声称的实体 ；其次，认证服务必须保证该连接不受第三方的干扰 ，例如, 第三方能够伪装成两个合法实体中的一方 ，进行非授权的传输或接收两个特殊的认证服务： 同等实体认证、数据源认证 .认证机制的失效易导致服务器被攻击者欺骗。被破坏的主机不会进行安全加密，因此对源主机采用密码认证的方式无用。通过修改认证方案消除其缺陷，完全可以挫败这种类型的攻击。8、 网络安全的模型及说明（详见课本）数据包，可以对包过滤器造成破坏;10、ARP功能：以太网发送的是 48位以太地址的数据包；IP驱动程序必须将 32位IP目 标地址转换成48位地址；两类地址存在静态或算法

30、上的影射； ARP用来确定两者之间的影射关系。ARP欺骗：一台不可信赖的计算机会发出假冒的 ARP查询或应答信息，并将所有流向它的数据流转移。这样，它就可以伪装成某台机器，或修改数据流。这种攻击叫做 ARP欺骗攻击11、ICMP泛洪攻击：黑客能够用ICMP对消息进行重定向。只要黑客能够篡改你到达目 的地的正确路由，他就有可能攻破你的计算机。 一般来说，重定向消息应该仅由主机执行,而不是由路由器来执行。仅当消息直接来自路由器时，才由路由器执行重定向。然而，有 时网管员有可能使用ICMP创建通往目的地的新路由。这种非常不谨慎的行为最终会导致 非常严重的网络安全问题。12、TCP连接的三次握手过程:用三次握手建立 TCP连接，如图所示：A的 TCP向B发出连接请求报文段，其首部中 的同步位SYN = 1，并选择序号 seq = x ， 表明传送数据时的第一个数据字节的序号 是x。B的TCP收到连接请求报文段后， 如同意，则发回确认。 B在确认报文段中 应使SYN = ，使ACK = 1_，其确认号 ack = x+1 ，自己选择的序号 seq = y。A收到此报文段后向 B给出确认，其ACK =1 ，确认号 ack = y+1 。A 的TCP通知上层应用进程，连接已经建立。B的TCP 收到主