網(wǎng)絡(luò)安全(第二版)課后習(xí)題答案

1、.word格式,第一章1-5： CDDCA第二章1-5： BDBAC第四章1-5： DCCBB第五章6-10： BCAAC6-10： ADDEC6-啕 CADDA專業(yè).專注16-20： BDDBC 21-25： DCBCC1-5： CBMC 6-10： ABDBA 11-15： ADBED第六章第六章Internet安全體系結(jié)構(gòu)之一1 .列出物理網(wǎng)風(fēng)險的4種類型.答：L竊聽:2.回答（重放卜3,插入二生拒絕服務(wù).2 .什么是身份鑒別棧？答；身份鑒別棧是一個051棧，它位于網(wǎng)絡(luò)用戶的0亂棧的前面，管理網(wǎng)絡(luò)的身份鑒別&3，列出對有線物理網(wǎng)攻擊的5種類型“答：L連接破壞；工干擾；爾偵插4.插入攻擊，

2、5.回答口4 .有哪幾種動態(tài)LAN鏈接的身份鑒別方法？答：L Modem身份鑒別憑證；工呼叫者ID； 3.自動回暗 包生成安全動態(tài)鏈接“5 .列出無線網(wǎng)的各種風(fēng)險.替I L分擔嗅測;2,服務(wù)窠標識SSID信息;3.假冒;4寄生者；5.直接安全漏洞電6 WEP是一種高強度安全方法嗎？為什么？答:是.WEP能主動阻止連接，可以確定意圖，如果攻擊者解密和訪問一個有WEP的網(wǎng)絡(luò)， 就很清楚地暴露其有意攻擊的意圖口 WEF是通用的，幾乎所有無線網(wǎng)絡(luò)路由器都支持WEP, 并且相互兼容，7 .什么是數(shù)據(jù)鏈路的隨意模式？答；正常模式下.網(wǎng)絡(luò)尋址機制也就是MAC）能阻止上一面的堆棧層接收非指向該結(jié)點的數(shù) 據(jù)。然

3、而很多網(wǎng)絡(luò)接口支持無地址過謔，運行在隨意模式的站點能接收所有報文幀，而不只 是指向該結(jié)點的幀.隨意模式允許攻擊者接收所有來自網(wǎng)絡(luò)的數(shù)據(jù).&列出各種緩解數(shù)據(jù)跳路層風(fēng)險的方法。答；1,硬編碼；2,數(shù)據(jù)鏈路身份鑒別；3.高層身份鑒別；4,分析器和工具。9.試述CHAP的功能、特點和局限性.答：CHAP使用共享密鑰對初始網(wǎng)絡(luò)連接進行身份鑒別，提供了 一種方法對崢結(jié)點進行身 份鑒別，但是在連接建立后不執(zhí)行任何驗證或加密。CHAP使用一個更紅雜的底統(tǒng)，它是基 于密鑰交換和共享密鑰，身份鑒別相當安全，可用于易受竊聽攻擊的網(wǎng)絡(luò).CHAP具有網(wǎng)限性口首先，只是在啟動連接時進行身份鑒別之后PPP不提供安全，某 些

4、攻擊者具有在身份鑒別后攔截連接進行竊聽的能力。再次假如竊聽者捕獲到兩個不長的隨 機數(shù)的協(xié)商那么,對蠻力攻擊，哈希函數(shù)可能易受攻擊.10. ARP為什么會受損T ARP受損后有何影響？如何能緩解ARP受損？答：ARP表包含一個臨時的緩存，以存儲最近看到的MAC地址。有一個新的IP地址（或MAC 地址）要查找時，才需要ARF分組。當一個無效的或不經(jīng)意的差錯進入ARP表，這個緩沖就 會使系統(tǒng)的ARP受損.ARP受損后影響；資源攻擊、DoS攻擊和MitM攻擊。緩解ARP受損方法；硬編碼ARP表、ARP過期、名濾ARP網(wǎng)答以及鎖住ARP表.1L基于路由器的攻擊有哪JL種？路由表淹沒后有哪幾種結(jié)果？答！基

5、于路由器的攻擊：直接攻擊、表中毒、表淹沒、度暈攻擊、路由器環(huán)路攻擊，路由表淹沒后的結(jié)果；忽略新的路由、清除老的路由或清除最壞的路由，12 0SI網(wǎng)絡(luò)層是否定義地址的身份鑒別和驗證?基乎數(shù)字和名字的地址機制容易受到何種 地址攻擊？答；否；基于數(shù)字和名字的地址機制容易受到假地址和攔截的攻擊口13 .什么是分段機制的主要危險?假如分段組裝超時值設(shè)置過低會有什么后果？答：丟失分段和組裝數(shù)據(jù)的容謊.分段超時值設(shè)置過低的話會使大的分組分段傳輸時有些分段永未給傳遞。14 .網(wǎng)絡(luò)層提供哪些QoS功能?ms攻擊有哪些？答：網(wǎng)絡(luò)層提供建立和釋放網(wǎng)絡(luò)連接的功能，也保證相同的結(jié)點間建立多個連接，而不會產(chǎn) 生通信干擾。

6、連接管理包括傳遞連接和面向連接的各種服務(wù),QoS攻擊主要有；Ping攻擊、Smurf攻擊（比Ping攻擊厲害，15 .網(wǎng)絡(luò)層有哪些安全風(fēng)險？網(wǎng)絡(luò)層安全風(fēng)險緩解方法有哪些?它們有哪些局限性？ 答：竊聽、偽裝以及插入攻擊.緩解方法有：安全協(xié)議；網(wǎng)絡(luò)不兼容能力,體系結(jié)構(gòu)；安全過濾,防火墻和出口過濾.局限性;L安全辦議工雖然能檢測某些數(shù)據(jù)差錯，但對檢測攻擊者沒有多大用處.2,網(wǎng)絡(luò)不兼容能力；雖然Ipv6支持數(shù)據(jù)加密，但很多高層協(xié)議和應(yīng)用不支持Ipv6.3,體系結(jié)構(gòu),敵意的網(wǎng)格層通信能夠進入數(shù)據(jù)轉(zhuǎn)路隧道，和正常的網(wǎng)格層通信一梯得到 允許和保護,04 .安全過濾；這種方法是在模糊安全的水平.5 .防火墻過

7、濾出口它并不能阻止來自源點偽裝的網(wǎng)絡(luò).16 .什么是1P的安全風(fēng)險？答；地址沖突r IP攔截、回答攻擊、分組風(fēng)暴、分段攻擊及轉(zhuǎn)換通道。17 .比較各種IP安全可選方案的優(yōu)峽點.IPSec和的IPv6的異同是什么？ 答，優(yōu)缺點，1,禁用ICMP： ICMP提供測試、流控和差錯,處理，但并不提供網(wǎng)絡(luò)路由的基本功能：Z非路由地址：采用非路由網(wǎng)絡(luò)地址,使攻擊者不能直接訪問被保護的主機；3.網(wǎng)絡(luò)地址轉(zhuǎn)換NAR NAT服務(wù)器提供兩個安全效果，匿名和隱私，攻擊者不能連接到 內(nèi)部主機二4,反向NAT： NAT最大的缺點是不能作為一個主機，反向NAT（郡AT）提供從NAT服務(wù)器 的外部端口到專用網(wǎng)上的IP地址和

8、內(nèi)部端口的靜態(tài)映射：5. IP過渡,過濾器的規(guī)則能限制基于特定主機、子網(wǎng)或服務(wù)類型（TCP、UDP或TCMP）的 分組二6. 出LI過濾士 一方面提供了最大的安全以防外部的攻擊者，另 方面對內(nèi)部用戶提供了 最大的方便，但允許在內(nèi)部網(wǎng)絡(luò)的攻擊者對外部資源進行攻擊；7. IPSec；高層協(xié)議不許提供自己的加密，也無需修改就可用IPSecr這使IPS“成為 安全連接和VPN的理想解決方案:8. IPv6；擴大地址空間，支持踹由組播和廣播分組，在網(wǎng)絡(luò)層身份騾別和加密連接的功 能，提供了完整的VPK解決方案。IPSec和的IPv6的異同工從安全方面看，IPv6和IPS本質(zhì)上是相同的，兩者都提供強的身份鑒

9、別，加密和VPN 支持.隊可行性方面看，從IPv4轉(zhuǎn)換到IPv6,路由器和網(wǎng)絡(luò)設(shè)備必須更新以支持【Pv6協(xié)議，第七章第七章Internet安全體系結(jié)構(gòu)之二1 .傳輸層仃哪些風(fēng)險？試比較一個端口和多個端口以及靜態(tài)端口和動態(tài)端口的風(fēng)險.答：傳輸層風(fēng)險包括傳輸層攔截、端口掃錨、信息泄露口一個端口和多個端口的比較，減少堵點的端口數(shù)，能減少攻擊因素&加固的服務(wù)器將開放的端口數(shù)減少到只有基本服 務(wù). 一般來說，少量端口打開的系統(tǒng)更安全.但某些服務(wù)支持多路端口，或基于服務(wù)的需求 打開新的端口，這樣將帶來風(fēng)險。靜態(tài)端口：和動態(tài)端口的比較：遠程客戶連接到服務(wù)器需要兩個條件；服務(wù)器的網(wǎng)絡(luò)地址、傳輸協(xié)議及端口口客戶

10、招動 服務(wù)器連接時，通常連接到服務(wù)器的眾所周知的端口.某些高層協(xié)議不使鬻固定端口號，不 用單個端口于全部通信，控制服務(wù)使用眾所周知端口，數(shù)據(jù)傳輸則用動態(tài)端LL動態(tài)端口會 引起不安全的風(fēng)險，因為大范圍的端口必須都可訪問網(wǎng)絡(luò)“2 .哪些TCP信息的類型可用來取別操作系統(tǒng)框架？答：1.初始窗口大小之TCP選項: 3.序列號；4.客戶端口號；5.重試， h ts e I t e r r r , ir t t ru e r- p f iii丸假如客戶到服務(wù)耦的連接被攔截,會引起什么后果？答:TCP客戶接到一個連接結(jié)束或TCP超時，同時服務(wù)券沒有注意到攻擊者已經(jīng)替換了沒有 登記注冊的客戶.4.列出5種方法

11、來緩解TCP攻擊的威脅.答；L改變系統(tǒng)框架；2.阻斷攻擊指向；3,識別網(wǎng)絡(luò)設(shè)備:4.狀態(tài)分組檢就；5.入侵標測系統(tǒng)(IDS)； G入侵陰御系統(tǒng)(IPS)； 7.利用高層協(xié)議鑒別通信以及檢測可能的攻擊，5,什么技.術(shù)可用來減少IP, TCP和UDP的攻擊指向？答；S&L SOCKS,安全 RPJ6. D、S協(xié)議是不安全的，它存在哪些安全風(fēng)險？有哪些緩解這類風(fēng)險的方法？答之直接風(fēng)險;1.無身份鑒別的響應(yīng)：2.DNS緩存受損；3. ID盲目攻擊：電破坪DNS分組.技術(shù)風(fēng)險：LDNS域攔截: 2.DYS服務(wù)器攔截；3.更新持續(xù)時冏5 4.動態(tài)DNS,社會風(fēng)險：L相似的主機名；2.自動名字實現(xiàn)工社會工程

12、t 4.域更新.緩解方法，1 .直接峨脅緩解.包括補丁，內(nèi)部和外部域分JE限制域的轉(zhuǎn)換，鑒別域的轉(zhuǎn)換，有 限的緩沖間隔，拒絕不匹配的回答h工技術(shù)威脅的緩解,包括(加固服務(wù)器，防火墻3.偵察城脅的援解，包恬(限制提供DRS信息，限制域轉(zhuǎn)換，限制請求，去除反向去找， 去除額外信息，分開內(nèi)部和外部域，隱藏版本卜4,社會威脅覆解，包括(監(jiān)控相似域，鎖住域，使用書一效聯(lián)系，不間斷支持，自己主持上屯社會威脅緩解，包括監(jiān)控相似域，鎖住域，使用有數(shù)聯(lián)系，不間斷支持，自己主持北5 .優(yōu)化師S閩置f6 .確定可信的回答n7 .哪些風(fēng)險是由于必3配也不當引起的？有哪些援解這類風(fēng)險的方法？答：技術(shù)風(fēng)險是基于配困的問題

13、匚技術(shù)風(fēng)險包括；DXS域攔截, DXS服務(wù)器攔截、更新持續(xù) 時間、動態(tài)DNSn緩解方法，加固服務(wù)器、防火墻。8 .哪些方法可緩解對D格的偵察威脅？簾限制提供DNS信息：限制域轉(zhuǎn)換；限制請求：去除反向或找事分開內(nèi)部和外部域；去除 額外信息；隱藏版本U現(xiàn)什么是SMTP通信的四類直接威脅？答；L偽裝接頭及垃圾郵件；工中繼和攔截：3.訓(xùn)TP和DN8 4,低層協(xié)議，10.哪些是攻擊CRL的方法？答；1.主機名求解攻擊；工主機偽裝:3.統(tǒng)一資源標識符（lrRD偽裝;4.叫切和拼接：5.濫用查詢；6. SQL插入；7.跨站腳本J I JC III. Vj L J II10,哪些是攻擊URL的方法？答: L主

14、機名求解攻擊；工主機偽裝：3.統(tǒng)一資源標識符（URI）偽裝14.剪切和拼接15. 濫用查詢；6. SQL插入；7.跨站腳本.11,常見的HTTP風(fēng)險有哪些？答，L無身份鑒別的客戶；2.無身份鑒別的服務(wù)器&客戶端隱私:4.信息泄露；5.服務(wù)器 定位輪廓；區(qū)訪問操作系統(tǒng)：7.不安全的應(yīng)用程序：也低層協(xié)議.12. HTTP客戶端和服務(wù)器通常會泄露哪些信息？答，I. HTTP請求報頭通常泄露隆b瀏覽器的類型，包括版本和操作系統(tǒng)事2. HTTP回答報頭常常包含服務(wù)器類型、版本以及支持的插件（plug-in）t3. HTTP回答的信息包括一個時間戳，通過時間戳可以識別數(shù)據(jù)時靜態(tài)的來自文件） 還是動態(tài)的（來

15、自應(yīng)用程序）；4. HTTP的時區(qū)和HTTP的本地語言，可用于定位服務(wù)器的地址位置.13. 55L產(chǎn)生會話密鑰的方式是什么？答；著服務(wù)器要求驗證客戶端，則客戶端先發(fā)送Ortificate消息，然后產(chǎn)生會話密鑰，并用服務(wù)器的公鑰加密，封裝在口1的康電建融依1他電消息中發(fā)送給服務(wù)器.補充：5見產(chǎn)生會話密鑰的方式是.A.從密鑰管理數(shù)據(jù)庫中請求獲得心B.每一臺客戶機分配一個密鑰的方式C.隨機由客戶機產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并分配給客戶機根據(jù)R5A/DH密鑰交換+PK1系統(tǒng)的原理，選C 口14.傳輸層保護的網(wǎng)絡(luò)采用的主要技術(shù)是建立在什么基礎(chǔ)上的？答工TCP/IP協(xié)議本身非常簡單，沒有加密、

16、身份鑒別等安全特性，要向上層提供安全通信 機制就必須在TCP之上建立一個安全通信層次，傳輸層安全技術(shù)有SSL, SOCKS和安全RPC. 最常用的是安全套接字層SSL,它提供了進程到進程的安全服務(wù)和加密傳相信道+ （網(wǎng)絡(luò)層 安全機制提供的是主機到主機的）第八章第八章防火墻1.什么是防火墻?防火墻的功能有哪些？答；防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機制，內(nèi)部網(wǎng)絡(luò)被認為是安全和可信賴的， 而外部網(wǎng)絡(luò)（通常是被認為是不安全和不可信賴的口防火墻是在被保護網(wǎng)絡(luò)和非 信任網(wǎng)絡(luò)之間進行訪問控制的一個或者一組訪問控制部件.防止不希望的、未經(jīng)授權(quán)的通信 進出被保護的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全政

17、策.防火墻功能,1，訪問控制功能;2,內(nèi)容控制功能；工全面的日志功能；4.集中管理功能;5 .自身的安全和可用性;6,流量控制:7, NAT （ Network Address Translation,網(wǎng)鮮地址 轉(zhuǎn)換）：8. VPN （ Virtual Private Network,虛擬專用網(wǎng)）?6 .防火墻的體系結(jié)構(gòu)有哪幾種？答：1,雙宿主主機體系結(jié)構(gòu):2.被濟蔽主機體系結(jié)構(gòu);3,被屏蔽f網(wǎng)體系結(jié)構(gòu)。7 .艇里主機的構(gòu)建原則是什么？答：1.選擇適合的操作系統(tǒng)；2.堡壘主機的安裝位置：3.堡叁主機提供的服務(wù)；4.保護系統(tǒng) H.如5.監(jiān)測和備份，上.I工過濾規(guī)則如何制定？答：過濾規(guī)則制定的策略

18、包括：按地址過濾、按服務(wù)過濾、對數(shù)據(jù)包做日志記錄.建立數(shù)據(jù)包過濾規(guī)則需按如下步驟工1 .建立安全策略,2 .將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式t 工用防火墻提供的過濾規(guī)則重寫遮泣表達式并設(shè)置。5 .堡壘主機的日志如何保護？答;作為個安全性舉足輕重的主機，基壘主機必須有完整的日志系統(tǒng)，必須對系統(tǒng)日志進 行保護.當有黑客入侵到現(xiàn)室主機時，系統(tǒng)日志是記錄當時現(xiàn)場的主要機制，所以妥善保存日志 很重要，存放系統(tǒng)日志主要考慮：方便性,要將它存放在易于操作的地方,安全性;要便非 相關(guān)用戶無法操作到閆志文件。為此，同時存放日志文件的兩個拷貝，方便性拷貝：是監(jiān)視 系統(tǒng)日常運行的基礎(chǔ)；安全性拷貝在發(fā)生事故

19、重建堡壘主機時使用。6 .堡型主機如何管理？答：1.選擇適合的操作系統(tǒng)，2.堡皇主機的安裝位置，3.堡壘主機提供的服務(wù)14.保護系統(tǒng) 日志：5.監(jiān)測和備份.工代理是如何工作的？答:代理服務(wù)器是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)器程序；這些程序接受用 戶對Inwr3t服務(wù)器的請求（如FTK TEn敢，并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實際 的服務(wù)中口代理提供代替連接并且充當服務(wù)器網(wǎng)關(guān).亂狀態(tài)檢測是如何工作的？答:通過狀態(tài)檢測，可實現(xiàn)比簡單包過濾防火墻更去汕更大的安全性.當防火墻接收到初始化TCP連接的SYN包時，要對這個帶有SYN的數(shù)據(jù)包進行安全規(guī)則 檢查.將該數(shù)據(jù)包在安全規(guī)則里一次比較，

20、如果在檢杳了所有的規(guī)則后，該數(shù)據(jù)包都沒有被 接受，那么拒絕此次連接.如果該包接受，那么本次會話的連接信息被添加到狀態(tài)監(jiān)測表里. 對于隨后的數(shù)據(jù)包，就將包信息和該狀態(tài)檢測表中記錄的連接內(nèi)容進行比較，如果會話是在 狀態(tài)表內(nèi)，而且該數(shù)據(jù)包狀態(tài)正確，則接受.否則丟棄.9 .復(fù)雜協(xié)議是如何進行狀態(tài)檢測的？答；狀態(tài)檢測防火墻的理論基礎(chǔ)是使用客戶機/服務(wù)器模式進行的連接具有連接狀態(tài)，防火 墻作為連接雙方的旁觀者:就可以判斷出連接雙方目前處于何種狀態(tài).一旦發(fā)現(xiàn)所發(fā)送 的包和狀態(tài)不符，就可以認為是狀態(tài)異常的包進行拒絕,而不必在對IP噩址或者TCP端口 進行檢青；對于其他非連接協(xié)議，防火墻也建立連接來進行跟蹤，知

21、識連接信息中的超時時 間要比TCP短得多口10 .狀態(tài)檢測有哪些弱點？答:包過濾防火墻得以進行正常工作的一切依據(jù)都在于過濾規(guī)則的實施，但又不能滿足卷立 精細規(guī)則的要求，并不能分析痣級協(xié)議中的數(shù)據(jù)。應(yīng)用網(wǎng)絡(luò)美防火墻的每個連接都必須建立 在為之創(chuàng)建的有一套復(fù)雜的協(xié)議分析機制的代理程序進程上，這會導(dǎo)致數(shù)據(jù)延遲的現(xiàn)象.狀態(tài)檢測防火墻雖然繼承了包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻的優(yōu)點，克服了它們的缺 點，但它仍只是檢測數(shù)據(jù)包的第三層信息，無法徹底的識別數(shù)據(jù)包中大量的坨圾郵件、廣告 以及木馬程序等等.包過濾防火墻和網(wǎng)關(guān)代理防火墻以及狀態(tài)檢測防火墻都有固有的無法克服的缺陷，不能 滿足用戶對于安全性的不斷的要求，于

22、是深度包檢到防火崎技術(shù)被提出了.第九章1-5； ABBAD6. VPN分為幾種類型？各種類型有何特點？答：VPN 有 3 種類型：Access VIW （遠程訪問 VFk Intranet VI!N1企業(yè)內(nèi)部 VPN）. Extranet VPN1企業(yè)擴展VPN磬1. Access VPNAccess VPN即所謂的移動VPN,適用于企業(yè)內(nèi)部人員流動頻繁或遠程辦公的情況.Access VPN通過撥入當?shù)氐腡W進入Internet再連接企業(yè)的VPN網(wǎng)關(guān)，在用戶和VPN網(wǎng)美之間建 立一個安全的“隧道）通過該隧道安全地訪問遠程的內(nèi)部網(wǎng)。2. Intranet VPN如果要進行企業(yè)內(nèi)部異地分支機構(gòu)的互

23、聯(lián)，可以使用Ihlran PN方式,這是所謂的 網(wǎng)關(guān)對網(wǎng)關(guān)VPN. IntranetVPN在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的VPN隧道，兩 端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隆道安全地進行通信，就好像和本地網(wǎng)絡(luò)通信一樣.3. Extranet VPN如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用 Extranet VPNa Extranet VPN其實也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的叫叫 與Intranet VPhl不同的是， 它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配 置口7+ PPTP和L2Tp有何區(qū)別？C答:L PPTP要求互聯(lián)網(wǎng)格為IP網(wǎng)結(jié),12Tp只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接0 L2TP可以在IP C使用UDP）、幀中維永久虛擬電躥（PVCs）. X. 25虛擬電路CVC?；駻TMVCs 網(wǎng)絡(luò)上使用。2. PPTP只能在兩端點間建立單一隧道a L2Tp支持在兩端點間使用多隧道.3. L2TP可以提供包頭壓縮-當壓縮包頭時，系統(tǒng)開銷占用4個字節(jié)，而PPTF協(xié)議下要 占用6個字節(jié).4. L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證口但是當L2Tp或PPTP與IPS也 共同使用時，可以由IPSM提供隧道驗證，而不需要在第二層協(xié)議上驗證隧道.8. GRE協(xié)議有何優(yōu)缺點？答