网络安全基础应用与标准-习题——答案

1、一 .1、什么是 OSI 安全体系结构？安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同？被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加3 列出并简要定义被动和主动安全攻击的分类？被动攻击：内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务4、列出并简要定义安全服务的分类？认证，访问控制，数据机密性，数据完成性，不可抵赖性二 .1黑客为什么可以成功实施ARP欺骗攻击？在实际中如何防止ARP欺骗攻击？ARP欺骗的基本原理就是欺骗者利用ARP协议的安全漏洞，通过向目标终端大量发送伪造的 ARP协议报文欺骗目标终端， 使目标终端误以为是与期望主机

2、通信， 而实际上是与欺骗者进行通信。? 局域网内可采用静态 ARP Cache? ARP Cache 设置超时? 主动查询 在某个正常的时刻，做一个IP 和 MAC对应的数据库，以后定期检查当前的IP 和 MAC对应关系是否正常。 同时定期检测交换机的流量列表 , 查看丢包率。? 使用 ARP防护软件? 具有 ARP防护功能的路由器2. 什么是 ICMP重定向攻击？如何防止此类攻击？ICMP 重定向报文是 ICMP 控制报文的一种。当默认路由器检测到某主机使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。TCP/IP 体系不提供认证功能， 攻击者可以冒充路由器向目

3、标主机发送ICMP重定向报文，诱使目标主机更改寻径表，其结果是到达某一IP 子网的报文全部丢失或都经过一个攻击者能控制的路由器。三 .1.防火墙可以提供哪些机制？答：服务控制、方向控制、用户控制和行为控制。2.防火墙有哪些局限性 ?a)为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。b)不能防止传送已感染病毒的软件或文件。c)防火墙对不通过它的连接无能为力，如拨号上网等。d)作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。e) 不能防备内部人员的攻击行为等。3. 防火墙应满足的基本条件是什么？作为网络间实施网间访问控制的一组组件的

4、集合，防火墙应满足的基本条件如下：(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合安全策略的数据流才能通过防火墙。(3) 防火墙自身具有高可靠性，应对渗透(Penetration) 免疫，即它本身是不可被侵入的。四 .1. 对称密码的基本因素是什么？明文，加密算法，秘密密钥，密文，解密算法2.两个人通过对称密码通信需要多少个密钥？(P24)1 个4. 攻击密码的两个通用方法是什么？密钥搜索和穷举方法5. 分组密码的电子密码本模式有什么不足？如何解决？电子密码本模式的缺点就是相同的明文产生相同的密文，对高度结构化消息是非常不安全的。需要采用其它模式，目的就是为了即使明文

5、相同，密文也不相同。6. DES 的密钥长度是 56bits，如何使用 DES，使得等效密钥长度为 112bits 或168bits？使用三个密钥对数据块进行三次加密，即采用三重（ a）使用三个不同密钥K1, K2 ， K3，依次进行加密DES加密模型。- 解密 - 加密变换，等效密钥长度为168bits ；（ b）其中密钥 K1=K3，依次进行加密 - 解密 - 加密变换，等效密钥长度为112bits 。E（ K1， D(K2， E(P,K1) ） 112bits E（ K3， D(K2， E(P,K1) ） 168bits五 .1、列举消息认证的三种方法：单向散列函数，消息认证码MAC，利

6、用常规加密的消息认证2、什么是MAC：(P49)一种认证技术。利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。3、对于消息认证，散列函数H 必须具有什么性质才可以用：(P51)1 H 可使用于任意长度的数据块2 H 能生成固定长度的输出3对于任意长度的x，计算 H（x）相对容易，并且可以用软/ 硬件方式实现4对于任意给定值h, 找到满足 H(x)=h 的 x 在计算机上不可行。5对于任意给定的数据块x, 找到满足 H（ y） =H(x) ，的 y=!x 在计算机上是不可行的。6找到满足 H（ x） =H(y) 的任意一对（ x,y ）在计算机上是不可行的。4、公钥加密系统的基

7、本组成元素是什么？明文，加密算法，公钥和私钥，密文，解密算法5、列举并简要说明公钥加密系统的三种应用：加密 / 解密，数字签名，密钥交换7. 使用公钥加密和使用私钥加密有什么不同的作用？使用对方公钥加密，可以保证信息的机密性；使用自己的私钥加密，可以让接收方确认信息的来源。8. 如何使用公钥加密来分发共享密钥？先获得对方数字证书，验证证书获得对方公钥，然后E PUB,(K AB )9. 简述针对 Diffie-Hellman 密钥交换的中间人攻击过程。 P71填空题1.网络攻击分为主动攻击和被动攻击两大类。2.流量分析和篡改消息分别属于被动攻击和主动攻击。3.ARP 的主要功能是将IP地址转换

8、为物理地址地址。4.Telnet 服务的功能是实现远程登陆，它采用TCP 的23号端口。5.蔽主机体系结构防火墙主要由包过滤路由器和堡垒主机构成。6.包过滤是通过包过滤路由器在网络层上实现的。7.密码学包括密码编码学和密码分析学两个分支；8.DES算法密钥是64 位，其中密钥有效位是56位。9.属于公钥加密技术的加密算法有RSA、DSA。10.分组密码每次处理一个输入元素分组，并为每个输入分组产生一个输出分组；流密码连续处理输入元素，在运行过程中，一次产生一个输出元素。11.DES、AES 和 RC4 同属于对称加密技术， 不同的是 DES 和 AES 属于分组密码加密技术，而RC4 属于 流

9、密码加密技术。12.RSA 和 DSS 同属于非对称加密技术，其中，RSA 可用于加密 /解密、数字签名和密钥交换，而DSS只用于数字签名。13.数据完整性验证中 MAC 的中文名称是消息认证码。14.MD5是将任意长的信息浓缩成128位的消息摘要。15.SHA-1是将任意长的信息浓缩成160 位的消息摘要。9.身份认证包括身份识别和身份验证2个过程；17.Diffie-Hellman 技术主要用于密钥交换。名词解释：1. 堡垒主机堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。2. 抗弱碰撞性抗弱碰

10、撞性就是对于给定的x，找到满足H(y)=H(x) 的 y 在计算上是不可行的。3. 数字签名对报文的散列值使用签名者的私钥加密的的过程，可以对报文的来源和完整性进行认证，也可以防止签名者事后抵赖。4. 散列函数散列函数：散列函数运算后，得到信息的 ICV 值，用于保证信息的完整性，具有单向性的特点。5. 流量分析流量分析：一种被动攻击方法，统计节点间的通信流量，以分析节点间的某种关系。6. 会话劫持所谓会话劫持，就是在一次正常的通信过程中， 黑客作为第三方参与到其中，或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。攻击者重定向客户和服务器之间的数据

11、流， 使之经过攻击者的机器， 从而截获他们之间的通信，结合了嗅探以及欺骗技术在内的攻击手段。综合题：1. 源主机 A 要向目的主机 B 发送数据，为什么主机 A 除知道目的主机 B 的 IP 地址外，源主机 A 还必须要知道目的主机 B 的 MAC地址？答： IP 地址具有全网范围内的寻址能力，主机A 和主机 B 可能分别处在不同网络， 主机 A 要访问主机 B 首先要知道主机B 的 IP 地址，不然找不到主机B所在的网络；在现行寻址机制中，主机的以太网网卡只能识别MAC地址，而不能识别IP地址，若数据帧中不指明主机 B 的 MAC地址，主机 B 的网卡不能识别该帧是发给自己的，因此主机 A 仅知道主机 B 的 IP 地址还不够，还必须知道主机 B 的 MAC 地址，才能完成对主机 B 的访问；网络之间是用 IP 地址寻址，网络之内（同一物理网段或称 IP 子网）是用 MAC地址寻址；尽管 MAC地址和 IP 地址一样都是在全网范围内唯一定义的，但MAC的寻址能力仅局限在一个物理网段（一个IP 子网）中。2. Alice 要把报文 M发送给 Bob， Alic