網(wǎng)絡(luò)安全課后答案

1、Internet安全體系結(jié)構(gòu)之一列出物理網(wǎng)風(fēng)險(xiǎn)的4 種類型。答：竊聽；回答（重放） ；插入；拒絕服務(wù)（DoS） 。什么是身份鑒別棧？答：身份鑒別棧是一個(gè)OSI 棧，它位于網(wǎng)絡(luò)用戶的 OSI 棧前面，管理網(wǎng)絡(luò)的身份鑒別。列出對(duì)有線物理網(wǎng)攻擊的 5 種類型。答：連接破壞；干擾；偵察；插入攻擊；回答。有哪幾種動(dòng)態(tài)LAN鏈接的身份鑒別方法？答：Modem身份鑒別憑證；呼叫者ID;自動(dòng)回叫；生成安全動(dòng)態(tài)鏈接。列出無(wú)線網(wǎng)的各種風(fēng)險(xiǎn)。答：分組嗅測(cè)；服務(wù)集標(biāo)識(shí)（SSID）信息；假冒；寄生者；直接安全漏洞。WEP1一種高強(qiáng)度安全方法嗎？為什么？答：是。WEP主動(dòng)阻止連接，可以確定意圖，如果攻擊者解密和訪問(wèn)一個(gè)有

2、WEP勺網(wǎng)絡(luò)，就很清楚地暴躁其攻擊的意圖。WEP1通用的,幾乎所有無(wú)線網(wǎng)絡(luò)路由器都支持WEP并且相互兼容。什么是數(shù)據(jù)鏈路的隨意模式？答：正常模式下，網(wǎng)絡(luò)尋址機(jī)制（也就是MAC能阻止上面的堆棧層接收非指向該結(jié)點(diǎn)的數(shù)據(jù)。然后很多網(wǎng)絡(luò)接口支持無(wú)地址過(guò)濾，運(yùn)行在隨意模式的結(jié)點(diǎn)能接收所有報(bào)文幀，而不只是指向該結(jié)點(diǎn)的幀。隨意模式允許攻擊者接收所有來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)。列出各種緩解數(shù)據(jù)層風(fēng)險(xiǎn)的方法。答：硬編碼硬件地址；數(shù)據(jù)身份鑒別；高層身份鑒別；分析器和工具。試述CHAP的功能、特點(diǎn)和局限性。答：CHAF#用共享密鑰對(duì)初始網(wǎng)絡(luò)連接進(jìn)行身份鑒別，提供了一種方法對(duì)兩個(gè)結(jié)點(diǎn)進(jìn)行身份鑒別，但是在連接建立后不執(zhí)行任何驗(yàn)證或

3、加密。CHAP!用一個(gè)更復(fù)雜的系統(tǒng)，它是基于密鑰交換和共享密鑰，身份鑒別相當(dāng)安全，可用于易受竊聽攻擊的網(wǎng)絡(luò)。CHAFM有局限性。首先，只是在啟動(dòng)連接時(shí)進(jìn)行身份鑒別，之后 PPP不提供安全，某些攻擊者具有在身份鑒別后攔截連接進(jìn)行竊聽的能力；再次，假如竊聽者捕獲到兩個(gè)不長(zhǎng)的隨機(jī)數(shù)的協(xié)商，那么，對(duì)蠻力攻擊，哈希函數(shù)可能易受攻擊。ARP為什么會(huì)受損？ ARP受損后有何影響？如何能緩解AR限損？答：ARP表包含一個(gè)臨時(shí)的緩存，以存儲(chǔ)最近看到的MAC1址，只有一個(gè)新的IP地址（或MAC要查找時(shí)，才需要ARP分組，當(dāng)一個(gè)無(wú)效的或不經(jīng)意的差錯(cuò)進(jìn)入 ARP表，這個(gè)緩沖就會(huì)使系統(tǒng)的AR限損。ARP受損影響：資源攻

4、擊、DoS攻擊和MitM攻擊。緩解ARP受損方法：硬編碼 ARP表、ARR期、過(guò)濾ARP回答以及鎖住 ARP表。基于路由器的攻擊有哪幾種？路由表淹沒(méi)后有哪幾種結(jié)果？答：基于路由器的攻擊：直接攻擊、表中毒、表淹沒(méi)、度量攻擊、環(huán)路攻擊。路由表淹沒(méi)后的結(jié)果：忽略新的路由、清除老的路由或清除最壞的路由。OSI 網(wǎng)絡(luò)層是否定義地址的身份鑒別和驗(yàn)證？基于數(shù)字和名字的地址機(jī)制容易受到何種地址攻擊？答：否；基于數(shù)字和名字的地址機(jī)制容易受到假地址和攔截的攻擊。什么是分段機(jī)制的主要危險(xiǎn)？假如分段超時(shí)值設(shè)置過(guò)低會(huì)有什么后果？答：丟失分段和組裝數(shù)據(jù)的容量。分段超時(shí)值設(shè)置過(guò)低的話會(huì)使分組分段傳輸時(shí)有些分段永遠(yuǎn)未傳遞。網(wǎng)

5、絡(luò)層提供哪些 QoS功能？ QoS攻擊有哪些？答：網(wǎng)絡(luò)層提供建立和釋放網(wǎng)絡(luò)連接的功能，也保證相同的結(jié)點(diǎn)間建立多個(gè)連接，而不會(huì)產(chǎn)生通信干擾。連接管理包括傳遞連接和面向連接的各種服務(wù)。QoS攻擊主要有：Ping攻擊（DoH、Smurf攻擊（DDoS。網(wǎng)絡(luò)層有哪些安全風(fēng)險(xiǎn)？網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)緩解方法有哪些？它們有哪些局限性？答：竊聽、偽裝以及插入攻擊。緩解方法有：安全協(xié)議、網(wǎng)絡(luò)不兼容能力、體系結(jié)構(gòu)、安全過(guò)濾、防火墻和出口過(guò)濾。局限性：安全協(xié)議：雖然能檢測(cè)某些數(shù)據(jù)差錯(cuò)，但對(duì)檢測(cè)攻擊者沒(méi)有大用處。網(wǎng)絡(luò)不兼容能力：雖然IPv6 支持?jǐn)?shù)據(jù)加密，但很多高層協(xié)議和應(yīng)用不支持IPv6 。體系結(jié)構(gòu)：知音的網(wǎng)絡(luò)層通信能夠

6、進(jìn)入數(shù)據(jù)鏈路隧道，和正常的網(wǎng)絡(luò)層通信一樣得到允許和保護(hù)。安全過(guò)濾：這種方法是在模糊安全的水平。防火墻和過(guò)濾出口：它并不能阻止來(lái)自源點(diǎn)偽裝的網(wǎng)絡(luò)。什么是 IP 的安全風(fēng)險(xiǎn)？答：地址沖突、 IP 攔截、回答攻擊、分組風(fēng)暴、分段攻擊及轉(zhuǎn)換通道。比較各種 IP 安全可靠方案的優(yōu)缺點(diǎn)。 IPSec 和 IPv6 的異同是什么？答：優(yōu)缺點(diǎn)：禁用ICMR ICMP提供測(cè)試、流控和差錯(cuò)處理，但并不提供網(wǎng)絡(luò)路由的基本功能；非路由地址：采用非路由網(wǎng)絡(luò)地址，使攻擊者不能直接訪問(wèn)被保護(hù)的主機(jī)；NAT: NAT服務(wù)器提供兩個(gè)安全效果（匿名和隱私），攻擊者不能連接到內(nèi)部主機(jī)；反向NAT NAT最大的缺點(diǎn)是不能作為一個(gè)主機(jī)

7、，反向 NAT （RNAT提供從NAT服務(wù)器的外部端口到專用網(wǎng)上的IP地址和內(nèi)部端口的靜態(tài)映射；IP過(guò)濾：過(guò)濾器的規(guī)則能限制基于特定主機(jī)、子網(wǎng)或服務(wù)類型（ TCP UDPe ICMP）的分組；出口過(guò)濾：一方面提供了最大的安全以防外部的攻擊者，另一方面對(duì)內(nèi)部用戶提供了最大的方便，但允許在內(nèi)部網(wǎng)絡(luò)的攻擊者對(duì)外部資源進(jìn)行攻擊；IPSec：高層協(xié)議不許提供自己的加密，也無(wú)需修改就可用IPSec,這使IPSec成為安全連接和 VPN的理想解決方案；IPv6：擴(kuò)大地址空間，在網(wǎng)絡(luò)層提供身份鑒別和加密連接的功能，提供了完整的VPNB決方案。IPSec 和 IPv6 的異同：從安全方面看，IPv6和IPSec

8、本質(zhì)上是相同的，兩者都提供強(qiáng)的身份鑒別、加密和VPN持。從可行性方面看，從IPv4 轉(zhuǎn)換到 IPv6 ，路由器和網(wǎng)絡(luò)設(shè)備必須更新以支持 IPv6 協(xié)議。Internet 安全體系結(jié)構(gòu)之二. 傳輸層有哪些風(fēng)險(xiǎn)？試比較一個(gè)端口和多個(gè)端口以及靜態(tài)端口和動(dòng)態(tài)端口的風(fēng)險(xiǎn)。答：風(fēng)險(xiǎn)：傳輸層攔截、端口掃描、信息泄露。一個(gè)和多個(gè)端口的風(fēng)險(xiǎn)：減少結(jié)點(diǎn)的端口數(shù)，能減少攻擊因素。加固的服務(wù)器將開放的端口數(shù)減少以只有基本服務(wù)。一般來(lái)說(shuō)，少量端口打開的系統(tǒng)更安全。但是某些服務(wù)支持多路端口，或基于服務(wù)的需求打開新的端口，這樣將帶來(lái)風(fēng)險(xiǎn)。靜態(tài)和動(dòng)態(tài)端口的風(fēng)險(xiǎn)：遠(yuǎn)程客戶連接到服務(wù)器要兩個(gè)條件：服務(wù)器的網(wǎng)絡(luò)地址、傳輸協(xié)議及端口

9、，通常連接到服務(wù)器的眾所周知的端口。某些高層協(xié)議不使用固定端口號(hào)，不用單個(gè)端口于全部通信，控制服務(wù)使用眾所周知端口，數(shù)據(jù)傳輸則用動(dòng)態(tài)端口，這會(huì)引起不安全的風(fēng)險(xiǎn)，因?yàn)樵诜秶亩丝诒仨毝伎稍L問(wèn)網(wǎng)絡(luò)。.哪些TCP信息的類型可用來(lái)識(shí)別操作系統(tǒng)框架？答：初始窗口大小、TC聯(lián)項(xiàng)、序列號(hào)、客戶端口號(hào)、重試。. 假如客戶到服務(wù)器的連接被攔截，會(huì)引起什么后果？答：TCP客戶接到一個(gè)連接結(jié)束或TCP超時(shí)，同時(shí)服務(wù)器沒(méi)有注意到攻擊者已經(jīng)替換了沒(méi)有登記注冊(cè)的客戶。.列出5種方法來(lái)緩解TCP攻擊的威脅。答：改變系統(tǒng)框架、阻斷攻擊指向、識(shí)別網(wǎng)絡(luò)設(shè)備、狀態(tài)分組檢驗(yàn)、入侵檢測(cè)系統(tǒng)（IDS） 、入侵防御系統(tǒng)（IPS ） 、利用

10、高層協(xié)議鑒別通信以及檢測(cè)可能的攻擊。.*什么技術(shù)可用來(lái)減少 IP, TCP和UDP的攻擊指向？答：SSL、SOCKS 安全 RPC.DNS協(xié)議是不安全的，它存在哪些安全風(fēng)險(xiǎn)？有哪些緩解這類風(fēng)險(xiǎn)的方法？答：直接風(fēng)險(xiǎn)：無(wú)身份鑒別的響應(yīng)、DNSg存受損、ID盲目攻擊、破壞DN的組。技術(shù)風(fēng)險(xiǎn)：DNSM攔截、DNS0艮務(wù)器攔截、更新持續(xù)時(shí)間、動(dòng)態(tài) DNS社會(huì)風(fēng)險(xiǎn)：相似的主機(jī)名、自動(dòng)名字實(shí)現(xiàn)、社會(huì)工程、域更新。直接威脅緩解（補(bǔ)丁、內(nèi)外域分開、域控制、有限緩沖間隔、拒絕不匹配回答）技術(shù)威脅的緩解（加固服務(wù)器、防火墻）偵察威脅的緩解（限制提供DNS言息、域轉(zhuǎn)換、請(qǐng)求、分開內(nèi)外域、隱藏版本）社會(huì)威脅緩解（監(jiān)控相

11、似域、鎖住域、使用有效聯(lián)系、不間斷支持、自己主持）優(yōu)化DNS配置確定可信的回答.哪些風(fēng)險(xiǎn)是由于 DNS配置不當(dāng)引起的？有哪些緩解這類風(fēng)險(xiǎn)的方法？答：技術(shù)風(fēng)險(xiǎn)是基于配置的問(wèn)題。技術(shù)風(fēng)險(xiǎn)包括：DNSM攔截、服務(wù)器攔截、更新持續(xù)時(shí)間以及動(dòng)態(tài)DNS緩解方法：加固服務(wù)器、防火墻。.哪些方法可緩解對(duì) DNS的偵察威脅？答：限制提供DNS言息、限制域轉(zhuǎn)換、限制請(qǐng)求、去除反向查找、分開內(nèi)部和外部域、去除額外信息、隱藏版本。.什么是SMTPS信的四類直接威脅？答：偽裝報(bào)頭及垃圾郵件、中繼和攔截、SMTPW DNS低層協(xié)議。.哪些是攻擊 URL的方法？答：主機(jī)名求解攻擊、主機(jī)名偽裝、統(tǒng)一資源標(biāo)識(shí)符（ URI）偽裝

12、、剪切和拼接、濫用詢問(wèn)、SQL插入、跨站腳本（XS9。.常見的HTTP風(fēng)險(xiǎn)有哪些？答：無(wú)身份鑒別的客戶、無(wú)身份鑒別的服務(wù)器、客戶端隱私、信息泄露、服務(wù)器定位輪廓、訪問(wèn)操作系統(tǒng)、不安全的應(yīng)用程序、低層協(xié)議。.HTTP 客戶端和服務(wù)器通常會(huì)泄露哪些信息？答：HTTP請(qǐng)求報(bào)送通常泄露 Web瀏覽器的類型，包括版本和操作系統(tǒng)；HTTP回答報(bào)送常常包含服務(wù)器類型、版本以及支持的插件（ plug-in ）;HTTP回答的信息包括一個(gè)時(shí)間戳，通過(guò)時(shí)間戳可以識(shí)別數(shù)據(jù)是靜態(tài)的（來(lái)自文件）還是動(dòng)態(tài)的（來(lái)自應(yīng)用程序）；HTTP的時(shí)區(qū)和HTTP的本地語(yǔ)言，可用于定位服務(wù)器的地址位置。13.SSL 產(chǎn)生會(huì)話密鑰的方式是

13、什么？答： 若服務(wù)器要求驗(yàn)證客戶端， 則客戶端先發(fā)送 Certificate 消息， 然后產(chǎn)生會(huì)話密鑰， 并用服務(wù)器的公鑰加密， 封裝在 ClientKeyExchange消息中發(fā)送給服務(wù)器。補(bǔ)充：SSL產(chǎn)生會(huì)話密鑰的方式是：隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器14. 傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在什么基礎(chǔ)上的？答：TCP/IP協(xié)議本身非常簡(jiǎn)單、沒(méi)有加密、身份鑒別等安全特性，要向上層提供安全通信機(jī)制就必須在TCP這上建立一個(gè)安全通信層次。傳輸層安全技術(shù)有 SSL, SOCK辱口安全RPC最常用的是安全套接字層SSL.,它提供了進(jìn)程到進(jìn)程的安全服務(wù)和加密傳輸信道。（網(wǎng)絡(luò)層安全機(jī)制提供的是主

14、機(jī)到主機(jī)的）Chapter 8 防火墻什么是防火墻？防火墻的功能有哪些？答：防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常是Internet ）被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。防火墻的功能：訪問(wèn)控制功能、內(nèi)容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、 （流量控制、NAT、 VPN） 。防火墻的體系結(jié)構(gòu)有哪幾種？答：雙宿主主機(jī)體系結(jié)構(gòu)；被屏蔽主機(jī)體系結(jié)構(gòu)；被屏蔽子網(wǎng)體系結(jié)構(gòu)。堡壘主機(jī)的構(gòu)建原則是什么？答：選擇適合的操作系統(tǒng)；堡壘主機(jī)的安裝

15、位置；堡壘主機(jī)提供的服務(wù)；保護(hù)系統(tǒng)日志；監(jiān)測(cè)和備份。過(guò)濾規(guī)則如何制定？答：按地址過(guò)濾；按服務(wù)過(guò)濾；對(duì)數(shù)據(jù)包做日志記錄。建立數(shù)據(jù)包過(guò)濾規(guī)則需按如下步驟：建立安全策略；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用防火墻提供的過(guò)濾規(guī)則句法重寫邏輯表達(dá)式并設(shè)置。代理是如何工作的？答： 代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序； 這些程序接受用戶對(duì) Internet 服務(wù)器的請(qǐng)求 （如FTP， HTTP） ，并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實(shí)際的服務(wù)中。代理提供代替連接并且充當(dāng)服務(wù)器網(wǎng)關(guān)。狀態(tài)檢測(cè)是如何工作的？答：當(dāng)防火墻接收到初始化TCP連接的SYN包時(shí)，要對(duì)其進(jìn)行安全規(guī)則檢查。

16、將該數(shù)據(jù)包在安全規(guī)則里依次比較，如果在檢查了所有的規(guī)則后，都沒(méi)有被接受，那么拒絕此次連接；如果接受，那么本次會(huì)話的連接信息被添加到狀態(tài)監(jiān)測(cè)表里。對(duì)于隨后的數(shù)據(jù)包，就將包信息和該狀態(tài)檢測(cè)表中記錄的連接內(nèi)容進(jìn)行比較，如果匹配成功，且該數(shù)據(jù)包狀態(tài)正確，則接受，否則丟棄。復(fù)雜協(xié)議是如何進(jìn)行狀態(tài)檢測(cè)的？答：狀態(tài)檢測(cè)防火墻的理論基礎(chǔ)是使用 C/S 模式，進(jìn)行的連接具有連接狀態(tài)。防火墻作為連接雙方的“旁觀者” ，就可以判斷出連接雙方目前牌何種狀態(tài)。一旦發(fā)現(xiàn)所發(fā)送的包和狀態(tài)不符，就可以認(rèn)為是狀態(tài)異常的包并進(jìn)行拒絕，而不必在對(duì)IP地址或TCPa口進(jìn)行檢查；對(duì)于其他非連接協(xié)議，防火墻也建立連接來(lái)進(jìn)行跟蹤，知識(shí)連接

17、信息中的超時(shí)時(shí)間要比TCP短得多。狀態(tài)檢測(cè)有哪些弱點(diǎn)？答：包過(guò)濾防火墻得以進(jìn)行正常工作的一切依據(jù)在于過(guò)濾規(guī)則的實(shí)施，但又不能滿足建立精細(xì)規(guī)則的要求，并不能分析高級(jí)協(xié)議中的數(shù)據(jù)。應(yīng)用網(wǎng)關(guān)防火墻的每個(gè)連接都必須建立在為這創(chuàng)建的一套復(fù)雜的協(xié)議分析機(jī)制的代理程序進(jìn)程上，這會(huì)導(dǎo)致數(shù)據(jù)延遲的現(xiàn)象。狀態(tài)檢測(cè)防火墻雖然繼承了包過(guò)濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)，克服了它們的缺點(diǎn)，但它仍只是檢測(cè)數(shù)據(jù)包的第三層信息，無(wú)法徹底識(shí)別數(shù)據(jù)包大量的垃圾郵件、廣告以及木馬程序等。包過(guò)濾防火墻和網(wǎng)關(guān)代理防火墻以及狀態(tài)檢測(cè)防火墻都有固有的無(wú)法克服的缺陷，不能滿足用戶對(duì)于安全性的不斷要求，于是深度包檢測(cè)防火墻技術(shù)被提出了。Chap

18、ter 9 VPN.VPN 分為幾種類型？各種類型有何特點(diǎn)？答：VPN有3種類型：Access VPN （遠(yuǎn)程訪問(wèn) VPN、Intranet VPN（企業(yè)內(nèi)部 VPN、Extranet VPN （企業(yè)擴(kuò)展 VPN。特點(diǎn)：Access VPN ： Access VPN即所謂的移動(dòng) VPN,適用于企業(yè)內(nèi)部人員流動(dòng)頻繁或遠(yuǎn)程辦公的情況。通過(guò)撥入當(dāng)?shù)氐腎SP進(jìn)入Internet ,再連接企業(yè)的VPN網(wǎng)關(guān)，在用戶和 VPN網(wǎng)關(guān)之間建立一個(gè)安全的“隧道”，通過(guò)該隧道安全地訪問(wèn)遠(yuǎn)程的內(nèi)部網(wǎng)。Intranet VPN :如果要進(jìn)行企業(yè)內(nèi)部異地分支機(jī)構(gòu)的互聯(lián)，可以使用 Intranet VPN 方式，這是所謂的

19、網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN它在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過(guò)該VPN隧道安全地進(jìn)行通信，就好像和本地網(wǎng)絡(luò)通信一樣。Extranet VPN ：如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用 Extranet VPN 。它其實(shí)也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的 VPN與Intranet VPN 不同的是，它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。.PPTP和L2TP有何區(qū)另fj?答：PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接。L2TP可以在IP （使用UDP、幀中繼永久

20、虛擬電路（PVC9、X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡(luò)上使用。PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。L2TP可以提供隧道驗(yàn)證，而 PPTP則不支持隧道驗(yàn)證。但是當(dāng) L2TP或PPTP與IPSec共同使用時(shí)，可以用IPSec提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道。.GRE協(xié)議有何優(yōu)缺點(diǎn)？答：GRE協(xié)議優(yōu)點(diǎn)通過(guò)GRE用戶可以利用公共IP網(wǎng)絡(luò)連接非IP網(wǎng)絡(luò)，如IPX, AppleTalk等，多協(xié)議的本地網(wǎng)絡(luò)可以通過(guò)單一協(xié)議的骨干網(wǎng)傳輸。通過(guò)GRE還可以使用保

21、留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。擴(kuò)大了網(wǎng)絡(luò)的工作范圍，包括那些路由網(wǎng)關(guān)有限的協(xié)議。GREH提供封裝，即不進(jìn)行加密，也不進(jìn)行驗(yàn)證，對(duì)路由器的性能影響較小，設(shè)備檔次要求較低。GRE協(xié)議缺點(diǎn)GRE只提供數(shù)據(jù)包的封裝，而沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)監(jiān)聽和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與IPSec聯(lián)用。由IPSec提供給用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。由于GRE與IPSec采用的是同樣的基于隧道的VPN實(shí)現(xiàn)方法，所以IPSec VPN在管理、組網(wǎng)上的缺陷， GRE VPNfe同樣具有。同時(shí)由于原有IP 報(bào)文進(jìn)行了重新封裝，所以同樣無(wú)法實(shí)施IP QoS 策略。綜上述GRE的優(yōu)缺點(diǎn)可以

22、看出，GRE VPNS合一些小型點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)互聯(lián)、實(shí)時(shí)性要求不高、要求提供地址空間重疊支持的網(wǎng)絡(luò)環(huán)境。Chapter 10 IPSec.為什么AH協(xié)議和NAT沖突？答：AH在傳輸模式和隧道模式下，都會(huì)驗(yàn)證整個(gè)IP包（包括IP包頭部），該包在傳送過(guò)程中經(jīng)過(guò)NAT網(wǎng)關(guān)，其源/目的IP地址將被改變，造成到達(dá)目的地址后的完整性驗(yàn)證失敗。因此， AH和NAT協(xié)議是沖突的，不能同時(shí)使用。. 簡(jiǎn)述 IKE 協(xié)議的幾種模式，以及每一種模式的作用和特點(diǎn)。答：IKE目前定義了 4種模式：主模式、積極模式、快速模式和新組模式。前面 3個(gè)用于協(xié)商SA最后一個(gè)用于協(xié)商 Diffle-Hellman 算 法所用的組。主模

23、式和積極模式用于第一階段，快速模式用于第二階段；新組模式用于在第一階段后協(xié)商新的組。Chapter 11 黑客技術(shù)黑客攻擊的流程是什么？答：踩點(diǎn)、掃描、查點(diǎn)、獲取訪問(wèn)權(quán)、權(quán)限提升、竊取、掩蓋蹤跡、創(chuàng)建后門和拒絕服務(wù)攻擊。黑客是否只有通過(guò)計(jì)算機(jī)才能夠獲取你的秘密？答：不是的。黑客可以通過(guò)社會(huì)工程學(xué)來(lái)攻擊和獲得對(duì)信息系統(tǒng)的訪問(wèn)。它所研究的對(duì)象不是嚴(yán)謹(jǐn)?shù)挠?jì)算機(jī)技術(shù)，而是目標(biāo)網(wǎng)絡(luò)的人員。它在物理上和心理上對(duì)目標(biāo)系統(tǒng)進(jìn)行分析，以獲得信息?！皶?huì)話偵聽與劫持技術(shù)”屬于（協(xié)議漏洞滲透）技術(shù)。比較“密碼還原技術(shù)”和“密碼猜測(cè)技術(shù)” 。答：密碼還原技術(shù)針對(duì)目標(biāo)系統(tǒng)使用強(qiáng)度較低的、有一定安全漏洞的加密算法，通過(guò)對(duì)加

24、密過(guò)程的分析，從加密樣本中直接分析出相關(guān)的密鑰和明文。密碼猜測(cè)技術(shù)的原理主要是利用窮舉的方法猜測(cè)可能的明文密碼，將猜測(cè)的明文經(jīng)過(guò)加密后與實(shí)際的密文進(jìn)行比較，若二者相同，則表明密碼攻擊成功。其核心在于如何根據(jù)已知的信息調(diào)整密碼猜測(cè)的過(guò)程，在盡可能短的時(shí)間內(nèi)破解密碼。拒絕服務(wù)攻擊的主要目的是什么？答：造成被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無(wú)法提供服務(wù)。針對(duì)防火墻的攻擊為什么可能成功？答：由于防火墻在開發(fā)和使用中存在種種的缺陷，諸如配置不當(dāng)和缺乏管理維護(hù)，因此攻擊者可以利用這些有利的因素，對(duì)安置防火墻的企業(yè)發(fā)動(dòng)攻擊。Chapter 13 入侵檢測(cè)什么叫做入侵檢測(cè)系統(tǒng)？答：入侵檢測(cè)系統(tǒng)使用入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)與其上的系統(tǒng)進(jìn)行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動(dòng)作，最大限度地降低可能的入侵危害。簡(jiǎn)單地介紹下入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)。答：主要由 4 個(gè)部分組成：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。簡(jiǎn)述 NIDS 的基本原理。答：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常是作為一個(gè)獨(dú)立的個(gè)體放置于被保護(hù)的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一