网络安全(第二版)课后习题答案

1、.word格式,第一章1-5： CDDCA第二章1-5： BDBAC第四章1-5： DCCBB第五章6-10： BCAAC6-10： ADDEC6-啕 CADDA专业.专注16-20： BDDBC 21-25： DCBCC1-5： CBMC 6-10： ABDBA 11-15： ADBED第六章第六章Internet安全体系结构之一1 .列出物理网风险的4种类型.答：L窃听:2.回答（重放卜3,插入二生拒绝服务.2 .什么是身份鉴别栈？答；身份鉴别栈是一个051栈，它位于网络用户的0乱栈的前面，管理网络的身份鉴别&3，列出对有线物理网攻击的5种类型“答：L连接破坏；工干扰；尔侦插4.插入攻击，

2、5.回答口4 .有哪几种动态LAN链接的身份鉴别方法？答：L Modem身份鉴别凭证；工呼叫者ID； 3.自动回暗 包生成安全动态链接“5 .列出无线网的各种风险.替I L分担嗅测;2,服务窠标识SSID信息;3.假冒;4寄生者；5.直接安全漏洞电6 WEP是一种高强度安全方法吗？为什么？答:是.WEP能主动阻止连接，可以确定意图，如果攻击者解密和访问一个有WEP的网络， 就很清楚地暴露其有意攻击的意图口 WEF是通用的，几乎所有无线网络路由器都支持WEP, 并且相互兼容，7 .什么是数据链路的随意模式？答；正常模式下.网络寻址机制也就是MAC）能阻止上一面的堆栈层接收非指向该结点的数 据。然

3、而很多网络接口支持无地址过谑，运行在随意模式的站点能接收所有报文帧，而不只 是指向该结点的帧.随意模式允许攻击者接收所有来自网络的数据.&列出各种缓解数据跳路层风险的方法。答；1,硬编码；2,数据链路身份鉴别；3.高层身份鉴别；4,分析器和工具。9.试述CHAP的功能、特点和局限性.答：CHAP使用共享密钥对初始网络连接进行身份鉴别，提供了 一种方法对峥结点进行身 份鉴别，但是在连接建立后不执行任何验证或加密。CHAP使用一个更红杂的底统，它是基 于密钥交换和共享密钥，身份鉴别相当安全，可用于易受窃听攻击的网络.CHAP具有网限性口首先，只是在启动连接时进行身份鉴别之后PPP不提供安全，某 些

4、攻击者具有在身份鉴别后拦截连接进行窃听的能力。再次假如窃听者捕获到两个不长的随 机数的协商那么,对蛮力攻击，哈希函数可能易受攻击.10. ARP为什么会受损T ARP受损后有何影响？如何能缓解ARP受损？答：ARP表包含一个临时的缓存，以存储最近看到的MAC地址。有一个新的IP地址（或MAC 地址）要查找时，才需要ARF分组。当一个无效的或不经意的差错进入ARP表，这个缓冲就 会使系统的ARP受损.ARP受损后影响；资源攻击、DoS攻击和MitM攻击。缓解ARP受损方法；硬编码ARP表、ARP过期、名滤ARP网答以及锁住ARP表.1L基于路由器的攻击有哪JL种？路由表淹没后有哪几种结果？答！基

5、于路由器的攻击：直接攻击、表中毒、表淹没、度晕攻击、路由器环路攻击，路由表淹没后的结果；忽略新的路由、清除老的路由或清除最坏的路由，12 0SI网络层是否定义地址的身份鉴别和验证?基乎数字和名字的地址机制容易受到何种 地址攻击？答；否；基于数字和名字的地址机制容易受到假地址和拦截的攻击口13 .什么是分段机制的主要危险?假如分段组装超时值设置过低会有什么后果？答：丢失分段和组装数据的容谎.分段超时值设置过低的话会使大的分组分段传输时有些分段永未给传递。14 .网络层提供哪些QoS功能?ms攻击有哪些？答：网络层提供建立和释放网络连接的功能，也保证相同的结点间建立多个连接，而不会产 生通信干扰。

6、连接管理包括传递连接和面向连接的各种服务,QoS攻击主要有；Ping攻击、Smurf攻击（比Ping攻击厉害，15 .网络层有哪些安全风险？网络层安全风险缓解方法有哪些?它们有哪些局限性？ 答：窃听、伪装以及插入攻击.缓解方法有：安全协议；网络不兼容能力,体系结构；安全过滤,防火墙和出口过滤.局限性;L安全办议工虽然能检测某些数据差错，但对检测攻击者没有多大用处.2,网络不兼容能力；虽然Ipv6支持数据加密，但很多高层协议和应用不支持Ipv6.3,体系结构,敌意的网格层通信能够进入数据转路隧道，和正常的网格层通信一梯得到 允许和保护,04 .安全过滤；这种方法是在模糊安全的水平.5 .防火墙过

7、滤出口它并不能阻止来自源点伪装的网络.16 .什么是1P的安全风险？答；地址冲突r IP拦截、回答攻击、分组风暴、分段攻击及转换通道。17 .比较各种IP安全可选方案的优峡点.IPSec和的IPv6的异同是什么？ 答，优缺点，1,禁用ICMP： ICMP提供测试、流控和差错,处理，但并不提供网络路由的基本功能：Z非路由地址：采用非路由网络地址,使攻击者不能直接访问被保护的主机；3.网络地址转换NAR NAT服务器提供两个安全效果，匿名和隐私，攻击者不能连接到 内部主机二4,反向NAT： NAT最大的缺点是不能作为一个主机，反向NAT（郡AT）提供从NAT服务器 的外部端口到专用网上的IP地址和

8、内部端口的静态映射：5. IP过渡,过滤器的规则能限制基于特定主机、子网或服务类型（TCP、UDP或TCMP）的 分组二6. 出LI过滤士 一方面提供了最大的安全以防外部的攻击者，另 方面对内部用户提供了 最大的方便，但允许在内部网络的攻击者对外部资源进行攻击；7. IPSec；高层协议不许提供自己的加密，也无需修改就可用IPSecr这使IPS“成为 安全连接和VPN的理想解决方案:8. IPv6；扩大地址空间，支持踹由组播和广播分组，在网络层身份骡别和加密连接的功 能，提供了完整的VPK解决方案。IPSec和的IPv6的异同工从安全方面看，IPv6和IPS本质上是相同的，两者都提供强的身份鉴

9、别，加密和VPN 支持.队可行性方面看，从IPv4转换到IPv6,路由器和网络设备必须更新以支持【Pv6协议，第七章第七章Internet安全体系结构之二1 .传输层仃哪些风险？试比较一个端口和多个端口以及静态端口和动态端口的风险.答：传输层风险包括传输层拦截、端口扫锚、信息泄露口一个端口和多个端口的比较，减少堵点的端口数，能减少攻击因素&加固的服务器将开放的端口数减少到只有基本服 务. 一般来说，少量端口打开的系统更安全.但某些服务支持多路端口，或基于服务的需求 打开新的端口，这样将带来风险。静态端口：和动态端口的比较：远程客户连接到服务器需要两个条件；服务器的网络地址、传输协议及端口口客户

10、招动 服务器连接时，通常连接到服务器的众所周知的端口.某些高层协议不使鬻固定端口号，不 用单个端口于全部通信，控制服务使用众所周知端口，数据传输则用动态端LL动态端口会 引起不安全的风险，因为大范围的端口必须都可访问网络“2 .哪些TCP信息的类型可用来取别操作系统框架？答：1.初始窗口大小之TCP选项: 3.序列号；4.客户端口号；5.重试， h ts e I t e r r r , ir t t ru e r- p f iii丸假如客户到服务耦的连接被拦截,会引起什么后果？答:TCP客户接到一个连接结束或TCP超时，同时服务券没有注意到攻击者已经替换了没有 登记注册的客户.4.列出5种方法

11、来缓解TCP攻击的威胁.答；L改变系统框架；2.阻断攻击指向；3,识别网络设备:4.状态分组检就；5.入侵标测系统(IDS)； G入侵阴御系统(IPS)； 7.利用高层协议鉴别通信以及检测可能的攻击，5,什么技.术可用来减少IP, TCP和UDP的攻击指向？答；S&L SOCKS,安全 RPJ6. D、S协议是不安全的，它存在哪些安全风险？有哪些缓解这类风险的方法？答之直接风险;1.无身份鉴别的响应：2.DNS缓存受损；3. ID盲目攻击：电破坪DNS分组.技术风险：LDNS域拦截: 2.DYS服务器拦截；3.更新持续时冏5 4.动态DNS,社会风险：L相似的主机名；2.自动名字实现工社会工程

12、t 4.域更新.缓解方法，1 .直接峨胁缓解.包括补丁，内部和外部域分JE限制域的转换，鉴别域的转换，有 限的缓冲间隔，拒绝不匹配的回答h工技术威胁的缓解,包括(加固服务器，防火墙3.侦察城胁的援解，包恬(限制提供DRS信息，限制域转换，限制请求，去除反向去找， 去除额外信息，分开内部和外部域，隐藏版本卜4,社会威胁覆解，包括(监控相似域，锁住域，使用书一效联系，不间断支持，自己主持上屯社会威胁缓解，包括监控相似域，锁住域，使用有数联系，不间断支持，自己主持北5 .优化师S闽置f6 .确定可信的回答n7 .哪些风险是由于必3配也不当引起的？有哪些援解这类风险的方法？答：技术风险是基于配困的问题

13、匚技术风险包括；DXS域拦截, DXS服务器拦截、更新持续 时间、动态DNSn缓解方法，加固服务器、防火墙。8 .哪些方法可缓解对D格的侦察威胁？帘限制提供DNS信息：限制域转换；限制请求：去除反向或找事分开内部和外部域；去除 额外信息；隐藏版本U现什么是SMTP通信的四类直接威胁？答；L伪装接头及垃圾邮件；工中继和拦截：3.训TP和DN8 4,低层协议，10.哪些是攻击CRL的方法？答；1.主机名求解攻击；工主机伪装:3.统一资源标识符（lrRD伪装;4.叫切和拼接：5.滥用查询；6. SQL插入；7.跨站脚本J I JC III. Vj L J II10,哪些是攻击URL的方法？答: L主

14、机名求解攻击；工主机伪装：3.统一资源标识符（URI）伪装14.剪切和拼接15. 滥用查询；6. SQL插入；7.跨站脚本.11,常见的HTTP风险有哪些？答，L无身份鉴别的客户；2.无身份鉴别的服务器&客户端隐私:4.信息泄露；5.服务器 定位轮廓；区访问操作系统：7.不安全的应用程序：也低层协议.12. HTTP客户端和服务器通常会泄露哪些信息？答，I. HTTP请求报头通常泄露隆b浏览器的类型，包括版本和操作系统事2. HTTP回答报头常常包含服务器类型、版本以及支持的插件（plug-in）t3. HTTP回答的信息包括一个时间戳，通过时间戳可以识别数据时静态的来自文件） 还是动态的（来

15、自应用程序）；4. HTTP的时区和HTTP的本地语言，可用于定位服务器的地址位置.13. 55L产生会话密钥的方式是什么？答；着服务器要求验证客户端，则客户端先发送Ortificate消息，然后产生会话密钥，并用服务器的公钥加密，封装在口1的康电建融依1他电消息中发送给服务器.补充：5见产生会话密钥的方式是.A.从密钥管理数据库中请求获得心B.每一台客户机分配一个密钥的方式C.随机由客户机产生并加密后通知服务器D.由服务器产生并分配给客户机根据R5A/DH密钥交换+PK1系统的原理，选C 口14.传输层保护的网络采用的主要技术是建立在什么基础上的？答工TCP/IP协议本身非常简单，没有加密、

16、身份鉴别等安全特性，要向上层提供安全通信 机制就必须在TCP之上建立一个安全通信层次，传输层安全技术有SSL, SOCKS和安全RPC. 最常用的是安全套接字层SSL,它提供了进程到进程的安全服务和加密传相信道+ （网络层 安全机制提供的是主机到主机的）第八章第八章防火墙1.什么是防火墙?防火墙的功能有哪些？答；防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的， 而外部网络（通常是被认为是不安全和不可信赖的口防火墙是在被保护网络和非 信任网络之间进行访问控制的一个或者一组访问控制部件.防止不希望的、未经授权的通信 进出被保护的内部网络，通过边界控制强化内部网络的安全政

17、策.防火墙功能,1，访问控制功能;2,内容控制功能；工全面的日志功能；4.集中管理功能;5 .自身的安全和可用性;6,流量控制:7, NAT （ Network Address Translation,网鲜地址 转换）：8. VPN （ Virtual Private Network,虚拟专用网）?6 .防火墙的体系结构有哪几种？答：1,双宿主主机体系结构:2.被济蔽主机体系结构;3,被屏蔽f网体系结构。7 .艇里主机的构建原则是什么？答：1.选择适合的操作系统；2.堡垒主机的安装位置：3.堡叁主机提供的服务；4.保护系统 H.如5.监测和备份，上.I工过滤规则如何制定？答：过滤规则制定的策略

18、包括：按地址过滤、按服务过滤、对数据包做日志记录.建立数据包过滤规则需按如下步骤工1 .建立安全策略,2 .将安全策略转化为数据包分组字段的逻辑表达式t 工用防火墙提供的过滤规则重写遮泣表达式并设置。5 .堡垒主机的日志如何保护？答;作为个安全性举足轻重的主机，基垒主机必须有完整的日志系统，必须对系统日志进 行保护.当有黑客入侵到现室主机时，系统日志是记录当时现场的主要机制，所以妥善保存日志 很重要，存放系统日志主要考虑：方便性,要将它存放在易于操作的地方,安全性;要便非 相关用户无法操作到闫志文件。为此，同时存放日志文件的两个拷贝，方便性拷贝：是监视 系统日常运行的基础；安全性拷贝在发生事故

19、重建堡垒主机时使用。6 .堡型主机如何管理？答：1.选择适合的操作系统，2.堡皇主机的安装位置，3.堡垒主机提供的服务14.保护系统 日志：5.监测和备份.工代理是如何工作的？答:代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序；这些程序接受用 户对Inwr3t服务器的请求（如FTK TEn敢，并按照一定的安全策略将它们转发到实际 的服务中口代理提供代替连接并且充当服务器网关.乱状态检测是如何工作的？答:通过状态检测，可实现比简单包过滤防火墙更去汕更大的安全性.当防火墙接收到初始化TCP连接的SYN包时，要对这个带有SYN的数据包进行安全规则 检查.将该数据包在安全规则里一次比较，

20、如果在检杳了所有的规则后，该数据包都没有被 接受，那么拒绝此次连接.如果该包接受，那么本次会话的连接信息被添加到状态监测表里. 对于随后的数据包，就将包信息和该状态检测表中记录的连接内容进行比较，如果会话是在 状态表内，而且该数据包状态正确，则接受.否则丢弃.9 .复杂协议是如何进行状态检测的？答；状态检测防火墙的理论基础是使用客户机/服务器模式进行的连接具有连接状态，防火 墙作为连接双方的旁观者:就可以判断出连接双方目前处于何种状态.一旦发现所发送 的包和状态不符，就可以认为是状态异常的包进行拒绝,而不必在对IP噩址或者TCP端口 进行检青；对于其他非连接协议，防火墙也建立连接来进行跟踪，知

21、识连接信息中的超时时 间要比TCP短得多口10 .状态检测有哪些弱点？答:包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施，但又不能满足卷立 精细规则的要求，并不能分析痣级协议中的数据。应用网络美防火墙的每个连接都必须建立 在为之创建的有一套复杂的协议分析机制的代理程序进程上，这会导致数据延迟的现象.状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺 点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的坨圾邮件、广告 以及木马程序等等.包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷，不能 满足用户对于安全性的不断的要求，于

22、是深度包检到防火崎技术被提出了.第九章1-5； ABBAD6. VPN分为几种类型？各种类型有何特点？答：VPN 有 3 种类型：Access VIW （远程访问 VFk Intranet VI!N1企业内部 VPN）. Extranet VPN1企业扩展VPN磬1. Access VPNAccess VPN即所谓的移动VPN,适用于企业内部人员流动频繁或远程办公的情况.Access VPN通过拨入当地的TW进入Internet再连接企业的VPN网关，在用户和VPN网美之间建 立一个安全的“隧道）通过该隧道安全地访问远程的内部网。2. Intranet VPN如果要进行企业内部异地分支机构的互

23、联，可以使用Ihlran PN方式,这是所谓的 网关对网关VPN. IntranetVPN在异地两个网络的网关之间建立了一个加密的VPN隧道，两 端的内部网络可以通过该VPN隆道安全地进行通信，就好像和本地网络通信一样.3. Extranet VPN如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网，可以使用 Extranet VPNa Extranet VPN其实也是一种网关对网关的叫叫 与Intranet VPhl不同的是， 它需要在不同企业的内部网络之间组建，需要有不同协议和设备之间的配合和不同的安全配 置口7+ PPTP和L2Tp有何区别？C答:L PPTP要求互联网格为IP网结,12Tp只要求隧道媒介提供面向数据包的点对点的连接0 L2TP可以在IP C使用UDP）、帧中维永久虚拟电蹿（PVCs）. X. 25虚拟电路CVC。或ATMVCs 网络上使用。2. PPTP只能在两端点间建立单一隧道a L2Tp支持在两端点间使用多隧道.3. L2TP可以提供包头压缩-当压缩包头时，系统开销占用4个字节，而PPTF协议下要 占用6个字节.4. L2TP可以提供隧道验证,而PPTP则不支持隧道验证口但是当L2Tp或PPTP与IPS也 共同使用时，可以由IPSM提供隧道验证，而不需要在第二层协议上验证隧道.8. GRE协议有何优缺点？答