⽹络安全技术与实践第⼆版课后解答
⽹络安全期末复习
题型:1、选择、判断、简答(45%)
2、分析题(55%)
注:如有发现错误,希望能够提出来。
第⼀章引⾔
⼀、填空题
1、信息安全的3个基本⽬标是:保密性、完整性和可⽤性。此外,还有⼀个不可忽视的⽬标是:合法使⽤。
2、⽹络中存在的4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和⾮法使⽤。
3、访问控制策略可以划分为:强制性访问控制策略和⾃主性访问控制策略。
4、安全性攻击可以划分为:被动攻击和主动攻击。
5、X.800定义的5类安全服务是:认证、访问控制、数据保密性、数据完整性、不可否认性。
6、X.800定义的8种特定的安全机制是:加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。h游戏名字
7、X.800定义的5种普遍的安全机制是:可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。
⼆、思考题
2、基本的安全威胁有哪些?主要的渗⼊类型威胁是什么?主要的植⼊类型威胁时什么?请列出⼏种最主要的威胁。
答:基本的安全威胁有:信息泄露、完整性破坏、拒绝服务、⾮法使⽤。
主要的渗⼊类型威胁有:假冒、旁路、授权侵犯。
主要的植⼊威胁有:特洛伊⽊马、陷门莱昂纳多 迪卡普里奥
最主要安全威胁:(1)授权侵犯(2)假冒攻击(3)旁路控制(4)特洛
伊⽊马或陷阱(5)媒体废弃物(出现的频率有⾼到低)
4.什么是安全策略?安全策略有⼏个不同的等级?
答:安全策略:是指在某个安全区域内,施加给所有与安全相关活动的⼀套规则。
安全策略的等级:1安全策略⽬标;2机构安全策略;3系统安全策略。
6.主动攻击和被动攻击的区别是什么?请举例说明。
答:区别:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息
的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可⽤性和真实性。
主动攻击的例⼦:伪装攻击、重放攻击、消息篡改、拒绝服务。
被动攻击的例⼦:消息泄漏、流量分析。
9、请画出⼀个通⽤的⽹络安全模式,并说明每个功能实体的作⽤。
⽹络安全模式如下:
⽹络安全模型由六个功能实体组成:消息的发送⽅(信源)、消息的接收⽅(信宿)、安全变换、信息通道、可信的第三⽅和攻击者。
第⼆章低层协议的安全性
⼀、填空题
1、主机的IPv4的长度为32b,主机的MAC地址长度为48b。IPv6的地址长度为128b。
2、ARP的主要功能是将IP地址转换成为物理地址
3、NAT的主要功能是实现⽹络地址和IP地址之间的转换,它解决了IPv4地址短缺的问题。
4、DNS服务使⽤53号端⼝,它⽤来实现域名到IP地址或IP地址到域名的映射。
⼆、思考题
1、简述以太⽹上⼀次TCP会话所经历的步骤和涉及的协议。
答:步骤:开放TCP连接是⼀个3步握⼿过程:在服务器收到初始的SYN数据包后,该
连接处于半开放状态。此后,服务器返回⾃⼰的序号,并等待确认。最后,客
户机发送第3个数据包使TCP连接开放,在客户机和服务器之间建⽴连接。
协议:路由协议、Internet协议、TCP/IP协议
2、在TCP连接建⽴的3步握⼿阶段,攻击者为什么可以成功实施SYN Flood 攻击?在实际中,如何防范此类攻击?
答:当TCP处于半开放状态时,攻击者可以成功利⽤SYN Flood对服务器发动攻击。攻击者使⽤第⼀个数据包对服务器进⾏⼤流量冲击,使服务器⼀直处于半开放连接状态,导致服务器⽆法实现3步握⼿协议。
防范SYN Flood攻击,⼀类是通过防⽕墙、路由器等过滤⽹关防护;另⼀类是通过加固TCP/IP协议栈防范。
4、为什么UDP⽐BGP的主要区别。
答:由于UDP⾃⾝缺少流控制特性,所以采⽤UDP进⾏⼤流量的数据传输时,就可能造成堵塞主机或路由器,并导致⼤量的数据包丢失;UDP没有电路概念,所以发往给定端⼝的数据包都被发送给同⼀个进程,⽽忽略了源地址和源端⼝号;UDP没有交换握⼿信息和序号的过程,所以采⽤UDP欺骗要⽐使⽤TCP更容易。
9、通过DNS劫持会对⽬标系统产⽣什么样的影响?如何避免?
答:通过劫持了DNS服务器,通过某些⼿段取得某域名的解析记录控制权,进⽽修改此域名的解析结果,导致对该域名的访问由原IP地址转⼊到修改后的指定IP,其结果就是对特定的⽹址不能访问或访问的是假⽹址。
避免DNS劫持:暴露的主机不要采⽤基于名称的认证;不要把秘密的信息放在主机名中;进⾏数字签名
14、判断下列情况是否可能存在?为什么?
(1)通过ICMP数据包封装数据,与远程主机进⾏类似UDP的通信。
(2)通过特意构造的TCP数据包,中断两台机器之间指定的⼀个TCP会话。答:(1)不存在。TCP/UDP是传输层(四层)的协议,只能为其上层提供服务,⽽ICMP是⽹络互联层(三层)的协议,怎么可能反过来⽤四层协议
来为⽐它还低层的数据包来服务呢。
(2)如果攻击者能够预测⽬标主机选择的起始序号,他就可能欺骗该⽬标主机,使⽬标主机相信⾃⼰正在与⼀台可信的主机会话。
第4章单(私)钥加密体制
⼀、填空题
1、密码体制的语法定义由以下六部分构成:明⽂消息空间、密⽂消息空间、加密密钥空间、密钥⽣成算法、加密算法、解密算法。
2、单(私)钥加密体制的特点是:通信双⽅采⽤的密钥相同所以⼈们通常也称其为对称加密体制。
第9章数字证书与公钥基础设施
⼀、选择题
1.数字证书将⽤户与其 B 相联系。
A . 私钥 B. 公钥 C. 护照 D. 驾照
2.⽤户的 B 不能出现在数字证书中。
A. 公钥
B. 私钥
C. 组织名
D. ⼈名
3. A 可以签发数字证书。
A.CA B. 政府 C. ⼩店主 D. 银⾏
4. D 标准定义数字证书结构。
A. X.500
B. TCP/IP
C. ASN.1
D. X.509
5.RA A 签发数字证书。
A. 可以
B.不必
C.必须
D. 不能
6.CA使⽤ D 签名数字证书。
A. ⽤户的公钥
B. ⽤户的私钥
C. ⾃⼰的公钥
D.⾃⼰的私钥
7. 要解决信任问题,需使⽤ C 。
A. 公钥
B. ⾃签名证书
C. 数字证书
D. 数字签名
8. CRL是 C 的。
A. 联机
B. 联机和脱机
C. 脱机
D. 未定义
9. OCSP是 A 的。
A. 联机
B. 联机和脱机
C. 脱机
D. 未定义
10. 最⾼权威的CA称为 C 。
A. RCA
B. RA
C. SOA
D. ARA
植树节手抄报资料⼆、思考题
1、数字证书的典型内容什么?
答:数字证书的概念:⼀个⽤户的⾝份与其所持有的公钥的结合,由⼀个可信任的权威机构CA来证实⽤户的⾝份,然后由该机构对该⽤户⾝份及对应公钥相结合的证书进⾏数字签名,以证明其证书的有效性。
⼀般包括:
(1)证书的版本信息;
(2)证书的序列号,每个证书都有⼀个唯⼀的证书序列号;
(3)证书所使⽤的签名算法;
(4)证书的发型机构名称;
(5)证书的有效期;
(6)证书所有⼈名称;
(7)证书所有⼈的公开密钥;
(8)证书发⾏者对证书的签名;
4、简述撤销数字证书的原因?
答:(1) 数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);
(2) CA发现签发数字证书是出错;
(3) 证书持有者离职,⽽证书为其在职期间签发的。
10、攻击者A创建了⼀个证书,放置⼀个真实的组织名(假设为银⾏B)及攻击者⾃⼰的公钥。你在不知道是攻击者在发送的情形下,得到了该证书,误认为该证书来⾃银⾏B。请问如何防⽌该问题的产⽣?
答:
第10章⽹络加密与密钥管理
⼀、填空题
1、⽹络加密⽅式有4种,它们分别是链路加密、节点加密、端到端加密和混合加密。
2、在通信⽹的数据加密中,密钥可分为基本密钥、会话密钥、密钥加密密钥、主机主密钥。家用健身跑步机
3、密钥分配的基本⽅法有利⽤安全信道实现密钥传输、利⽤双钥体制建⽴安全信道传递和利⽤特定的物理现象实现密钥传递等
4、在⽹络中,可信第三⽅TTP的⾓⾊可以由密钥服务器、密钥管理设备、密钥查阅服务和时戳代理等来承担(请任意举出4个例⼦)
表达思乡之情的古诗5、按照协议的功能分类,密码协议可以分为认证建⽴协议、密钥建⽴协议、认证的密钥建⽴协议。
6、Diffie-Hellman密钥交换协议不能抵抗中间⼈的攻击
7、Kerberos提供 A
A.加密
B.SSO
审车需要什么手续C.远程登录
D.本地登陆
8、在Kerberos中,允许⽤户访问不同应⽤程序或服务器的服务器称为 A
A.AS
B.TGT
C.TGS
D.⽂件服务器
9、在Kerberos中,C 与系统中的每个⽤户共享唯⼀⼀个⼝令。
A.AS
B.TGT
C.TGS
D.⽂件服务器
⼆、思考题
1、⽹络加密有哪⼏种⽅式?请⽐较它们的优缺点。
答:⽹络加密的⽅式有4种分别是链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:(1) 加密对⽤户是透明的,通过链路发送的任何信息在发送
前都先被加密。
(2) 每个链路只需要⼀对密钥。
(3) 提供了信号流安全机制。
缺点:数据在中间结点以明⽂形式出现,维护结点安全性的代价较⾼。
节点加密的优点:(1)消息的加、解密在安全模块中进⾏,这使消息内容不会
被泄密