網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)習(xí)題——答案(推薦文檔)

1、 個(gè)人收集整理僅供參考學(xué)習(xí)一.1、什么是 osi安全體系結(jié)構(gòu)？安全攻擊 安全機(jī)制 安全服務(wù)2、被動(dòng)和主動(dòng)安全威脅之間有什么不同？被動(dòng)攻擊的本質(zhì)是竊聽(tīng)或監(jiān)視數(shù)據(jù)傳輸；主動(dòng)攻擊包含數(shù)據(jù)流的改寫和錯(cuò)誤數(shù)據(jù)流的添加3列出并簡(jiǎn)要定義被動(dòng)和主動(dòng)安全攻擊的分類？被動(dòng)攻擊：內(nèi)容泄漏和流量分析；主動(dòng)攻擊：假冒，重放，改寫消息，拒絕服務(wù)4、列出并簡(jiǎn)要定義安全服務(wù)的分類？認(rèn)證，訪問(wèn)控制，數(shù)據(jù)機(jī)密性，數(shù)據(jù)完成性，不可抵賴性二.1黑客為什么可以成功實(shí)施 arp欺騙攻擊？在實(shí)際中如何防止 arp欺騙攻擊？arp 欺騙的基本原理就是欺騙者利用 arp 協(xié)議的安全漏洞，通過(guò)向目標(biāo)終端大量發(fā)送偽造的 arp協(xié)議報(bào)文欺騙目標(biāo)終端

2、，使目標(biāo)終端誤以為是與期望主機(jī)通信，而實(shí)際上是與欺騙者進(jìn)行通信。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí) 局域網(wǎng)內(nèi)可采用靜態(tài) arp cache arp cache設(shè)置超時(shí) 主動(dòng)查詢 在某個(gè)正常的時(shí)刻，做一個(gè) ip和 mac對(duì)應(yīng)的數(shù)據(jù)庫(kù)，以后定期檢查當(dāng)前的ip和 mac對(duì)應(yīng)關(guān)系是否正常。 同時(shí)定期檢測(cè)交換機(jī)的流量列表,查看丟包率。 使用 arp防護(hù)軟件 具有 arp防護(hù)功能的路由器2. 什么是 icmp重定向攻擊？如何防止此類攻擊？icmp 重定向報(bào)文是 icmp 控制報(bào)文的一種。當(dāng)默認(rèn)路由器檢測(cè)到某主機(jī)使用非優(yōu)化路由的時(shí)候，它會(huì)向該主機(jī)發(fā)送一個(gè)icmp重定向報(bào)文，請(qǐng)求主機(jī)改變路由。文檔收集自網(wǎng)絡(luò)，僅用

3、于個(gè)人學(xué)習(xí)tcp/ip體系不提供認(rèn)證功能，攻擊者可以冒充路由器向目標(biāo)主機(jī)發(fā)送icmp重定向報(bào)文，誘使目標(biāo)主機(jī)更改尋徑表，其結(jié)果是到達(dá)某一 ip子網(wǎng)的報(bào)文全部丟失或都經(jīng)過(guò)一個(gè)攻擊者能控制的路由器。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)三.1. 防火墻可以提供哪些機(jī)制？答：服務(wù)控制、方向控制、用戶控制和行為控制。2. 防火墻有哪些局限性?a) 為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù) ,給用戶帶來(lái)使用的不便。b)不能防止傳送已感染病毒的軟件或文件。c)防火墻對(duì)不通過(guò)它的連接無(wú)能為力，如撥號(hào)上網(wǎng)等。d) 作為一種被動(dòng)的防護(hù)手段，防火墻不能自動(dòng)防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。e) 不

4、能防備內(nèi)部人員的攻擊行為等。3. 防火墻應(yīng)滿足的基本條件是什么？作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合，防火墻應(yīng)滿足的基本條件如下：(1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過(guò)防火墻。1 / 4 個(gè)人收集整理僅供參考學(xué)習(xí)(2) 只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。(3) 防火墻自身具有高可靠性，應(yīng)對(duì)滲透(penetration)免疫，即它本身是不可被侵入的。四.1. 對(duì)稱密碼的基本因素是什么？明文，加密算法，秘密密鑰，密文，解密算法2. 兩個(gè)人通過(guò)對(duì)稱密碼通信需要多少個(gè)密鑰？(p24)1個(gè)4. 攻擊密碼的兩個(gè)通用方法是什么？密鑰搜索和窮舉方法5. 分組密碼的電子密碼本模式有什么不

5、足？如何解決？電子密碼本模式的缺點(diǎn)就是相同的明文產(chǎn)生相同的密文，對(duì)高度結(jié)構(gòu)化消息是非常不安全的。需要采用其它模式，目的就是為了即使明文相同，密文也不相同。6. des 的密鑰長(zhǎng)度是 56bits，如何使用 des，使得等效密鑰長(zhǎng)度為 112bits 或168bits？使用三個(gè)密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次加密，即采用三重des加密模型。（a）使用三個(gè)不同密鑰 k1,k2，k3，依次進(jìn)行加密-解密-加密變換，等效密鑰長(zhǎng)度為168bits；112bits。（b）其中密鑰 k1=k3，依次進(jìn)行加密-解密-加密變換，等效密鑰長(zhǎng)度為e（k1，d(k2，e(p,k1)）112bitse（k3，d(k2，e(p,k1

6、)） 168bits五.1、列舉消息認(rèn)證的三種方法：?jiǎn)蜗蛏⒘泻瘮?shù)，消息認(rèn)證碼 mac，利用常規(guī)加密的消息認(rèn)證2、什么是 mac：(p49)一種認(rèn)證技術(shù)。利用私鑰產(chǎn)出一小塊數(shù)據(jù)，并將其附到消息上。這種技術(shù)稱為消息驗(yàn)證碼。3、對(duì)于消息認(rèn)證，散列函數(shù) h必須具有什么性質(zhì)才可以用：(p51)1 h可使用于任意長(zhǎng)度的數(shù)據(jù)塊2 h能生成固定長(zhǎng)度的輸出3 對(duì)于任意長(zhǎng)度的 x，計(jì)算 h（x）相對(duì)容易，并且可以用軟/硬件方式實(shí)現(xiàn)4對(duì)于任意給定值 h,找到滿足 h(x)=h的 x在計(jì)算機(jī)上不可行。5對(duì)于任意給定的數(shù)據(jù)塊 x,找到滿足 h（y）=h(x)，的 y=!x在計(jì)算機(jī)上是不可行的。6找到滿足 h（x）=h(

7、y)的任意一對(duì)（x,y）在計(jì)算機(jī)上是不可行的。4、公鑰加密系統(tǒng)的基本組成元素是什么？明文，加密算法，公鑰和私鑰，密文，解密算法5、列舉并簡(jiǎn)要說(shuō)明公鑰加密系統(tǒng)的三種應(yīng)用：加密/解密，數(shù)字簽名，密鑰交換7. 使用公鑰加密和使用私鑰加密有什么不同的作用？使用對(duì)方公鑰加密，可以保證信息的機(jī)密性；使用自己的私鑰加密，可以讓接收方確認(rèn)信息的來(lái)源。8. 如何使用公鑰加密來(lái)分發(fā)共享密鑰？先獲得對(duì)方數(shù)字證書，驗(yàn)證證書獲得對(duì)方公鑰，然后 e ,(k )pubab9. 簡(jiǎn)述針對(duì) diffie-hellman 密鑰交換的中間人攻擊過(guò)程。p712 / 4 個(gè)人收集整理僅供參考學(xué)習(xí)填空題1. 網(wǎng)絡(luò)攻擊分為主動(dòng) 攻擊和被動(dòng)

8、攻擊兩大類。2. 流量分析和篡改消息分別屬于被動(dòng)攻擊和主動(dòng)攻擊。3. arp 的主要功能是將 ip地址轉(zhuǎn)換為 物理地址23地址。4. telnet 服務(wù)的功能是實(shí)現(xiàn)遠(yuǎn)程登陸，它采用 tcp 的號(hào)端口。5. 蔽主機(jī)體系結(jié)構(gòu)防火墻主要由包過(guò)濾路由器和堡壘主機(jī)構(gòu)成。6. 包過(guò)濾是通過(guò)包過(guò)濾路由器在網(wǎng)絡(luò)層上實(shí)現(xiàn)的。7. 密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)兩個(gè)分支；8. des算法密鑰是 64位，其中密鑰有效位是 56位。9. 屬于公鑰加密技術(shù)的加密算法有 rsa、dsa。分組密碼 每次處理一個(gè)輸入元素分組，并為每個(gè)輸入分組產(chǎn)生一個(gè)10.輸出分組； 流密碼 連續(xù)處理輸入元素，在運(yùn)行過(guò)程中，一次產(chǎn)生一個(gè)輸出

9、元素。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)des、aes 和 rc4 同屬于對(duì)稱 加密技術(shù)，不同的是 des 和 aes 屬于分組11.密碼加密技術(shù)，而 rc4 屬于流密碼 加密技術(shù)。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)rsa 和 dss 同屬于非對(duì)稱加密技術(shù)，其中，rsa 可用于加密/解密、數(shù)字簽12.名和密鑰交換，而 dss 只用于數(shù)字簽名。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)13. 數(shù)據(jù)完整性驗(yàn)證中 mac 的中文名稱是消息認(rèn)證碼。14. md5是將任意長(zhǎng)的信息濃縮成 128位的消息摘要。15. sha-1是將任意長(zhǎng)的信息濃縮成 160位的消息摘要。9. 身份認(rèn)證包括身份識(shí)別 和身份驗(yàn)證 2個(gè)過(guò)程；17.

10、 diffie-hellman 技術(shù)主要用于密鑰交換。名詞解釋：1.堡壘主機(jī)堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)，也就是說(shuō)如果沒(méi)有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問(wèn)。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)2. 抗弱碰撞性抗弱碰撞性就是對(duì)于給定的 x，找到滿足 h(y)=h(x)的 y 在計(jì)算上是不可行的。3. 數(shù)字簽名對(duì)報(bào)文的散列值使用簽名者的私鑰加密的的過(guò)程，可以對(duì)報(bào)文的來(lái)源和完整性進(jìn)行認(rèn)證，也可以防止簽名者事后抵賴。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)3 / 4 個(gè)人收集整理僅供參考學(xué)習(xí)4. 散列函數(shù)散列函數(shù)：散列函數(shù)運(yùn)算后，得到信息的 icv 值，用

11、于保證信息的完整性，具有單向性的特點(diǎn)。5. 流量分析流量分析：一種被動(dòng)攻擊方法，統(tǒng)計(jì)節(jié)點(diǎn)間的通信流量，以分析節(jié)點(diǎn)間的某種關(guān)系。6. 會(huì)話劫持所謂會(huì)話劫持，就是在一次正常的通信過(guò)程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)攻擊者重定向客戶和服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過(guò)攻擊者的機(jī)器，從而截獲他們之間的通信，結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)綜合題：1. 源主機(jī) a 要向目的主機(jī) b 發(fā)送數(shù)據(jù)，為什么主機(jī) a 除知道目的主機(jī) b 的 ip地址外，源主機(jī) a

12、還必須要知道目的主機(jī) b的 mac 地址？文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)答：ip 地址具有全網(wǎng)范圍內(nèi)的尋址能力，主機(jī) a 和主機(jī) b 可能分別處在不同網(wǎng)絡(luò)，主機(jī) a要訪問(wèn)主機(jī) b首先要知道主機(jī) b的 ip地址，不然找不到主機(jī) b所在的網(wǎng)絡(luò)；文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)在現(xiàn)行尋址機(jī)制中，主機(jī)的以太網(wǎng)網(wǎng)卡只能識(shí)別 mac 地址，而不能識(shí)別 ip地址，若數(shù)據(jù)幀中不指明主機(jī) b 的 mac 地址，主機(jī) b 的網(wǎng)卡不能識(shí)別該幀是發(fā)給自己的，因此主機(jī) a僅知道主機(jī) b的 ip地址還不夠，還必須知道主機(jī) b的 mac地址，才能完成對(duì)主機(jī) b的訪問(wèn)；網(wǎng)絡(luò)之間是用 ip地址尋址，網(wǎng)絡(luò)之內(nèi)（同一物理網(wǎng)段或稱 ip子網(wǎng)）是用 mac地址尋址；文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)盡管 mac地址和 ip地址一樣都是在全網(wǎng)范圍內(nèi)唯一定義的，但 mac的尋址能力僅局限在一個(gè)物理網(wǎng)段（一個(gè) ip子網(wǎng)）中。文檔收集自網(wǎng)絡(luò)，僅用于個(gè)人學(xué)習(xí)2. alice要把報(bào)文 m發(fā)送給 bob，alice和 bob已經(jīng)擁有了各自的數(shù)字證書，請(qǐng)按照下面兩種不同的要求設(shè)計(jì)相應(yīng)的安全方案：文檔收集自網(wǎng)絡(luò)