网络安全课后答案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1.列出物理网风险的4种类型。

答:窃听;回答(重放);插入;拒绝服务(DoS)。

2.什么是身份鉴别栈?

答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。

3.列出对有线物理网攻击的5种类型。

答:连接破坏;干扰;侦察;插入攻击;回答。

4.有哪几种动态LAN链接的身份鉴别方法?

答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。

5.列出无线网的各种风险。

答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。

6.WEP是一种高强度安全方法吗?为什么?

答:是。WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。

7.什么是数据链路的随意模式?

答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。

8.列出各种缓解数据层风险的方法。

答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。

9.试述CHAP的功能、特点和局限性。

答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。

CHAP具有局限性。首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。

10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损?

答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。

ARP受损影响:资源攻击、DoS攻击和MitM攻击。

缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。

11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果?

答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。

路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。

12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击?

答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。

13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果?

答:丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。

14.网络层提供哪些QoS功能?QoS攻击有哪些?

答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。

QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。

15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性?

答:窃听、伪装以及插入攻击。

缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。

局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。

网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。

体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。

安全过滤:这种方法是在模糊安全的水平。

防火墙和过滤出口:它并不能阻止来自源点伪装的网络。

16.什么是IP的安全风险?

答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。

17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么?

答:优缺点:

禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能;

非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机;

NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机;

反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射;

IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组;

出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击;

IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案;

IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。

IPSec和IPv6的异同:

从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。

从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。

1.传输层有哪些风险?试比较一个端口和多个端口以及静态端口和动态端口的风险。

答:风险:传输层拦截、端口扫描、信息泄露。

一个和多个端口的风险:

减少结点的端口数,能减少攻击因素。加固的服务器将开放的端口数减少以只有基本服务。一般来说,少量端口打开的系统更安全。但是某些服务支持多路端口,或基于服务的需求打开新的端口,这样将带来风险。

静态和动态端口的风险:

远程客户连接到服务器要两个条件:服务器的网络地址、传输协议及端口,通常连接到服务器的众所周知的端口。某些高层协议不使用固定端口号,不用单个端口于全部通信,控制服务使用众所周知端口,数据传输则用动态端口,这会引起不安全的风险,因为在范围的端口必须都可访问网络。

2.哪些TCP信息的类型可用来识别操作系统框架?

答:初始窗口大小、TCP选项、序列号、客户端口号、重试。

3.假如客户到服务器的连接被拦截,会引起什么后果?

答:TCP客户接到一个连接结束或TCP超时,同时服务器没有注意到攻击者已经替换了没有登记注册的客户。

4.列出5种方法来缓解TCP攻击的威胁。

答:改变系统框架、阻断攻击指向、识别网络设备、状态分组检验、入侵检测系统(IDS)、入侵防御系统(IPS)、利用高层协议鉴别通信以及检测可能的攻击。

5.*什么技术可用来减少IP,TCP和UDP的攻击指向?

答:SSL、SOCKS、安全RPC。

6.DNS协议是不安全的,它存在哪些安全风险?有哪些缓解这类风险的方法?

答:直接风险:无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组。

技术风险:DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。

社会风险:相似的主机名、自动名字实现、社会工程、域更新。

直接威胁缓解(补丁、内外域分开、域控制、有限缓冲间隔、拒绝不匹配回答)

技术威胁的缓解(加固服务器、防火墙)

侦察威胁的缓解(限制提供DNS信息、域转换、请求、分开内外域、隐藏版本)

社会威胁缓解(监控相似域、锁住域、使用有效联系、不间断支持、自己主持)

优化DNS配置

确定可信的回答

7.哪些风险是由于DNS配置不当引起的?有哪些缓解这类风险的方法?

答:技术风险是基于配置的问题。技术风险包括:DNS域拦截、服务器拦截、更新持续时间以及动态DNS。

缓解方法:加固服务器、防火墙。

8.哪些方法可缓解对DNS的侦察威胁?

答:限制提供DNS信息、限制域转换、限制请求、去除反向查找、分开内部和外部域、去除额外信息、隐藏版本。

9.什么是SMTP通信的四类直接威胁?

答:伪装报头及垃圾邮件、中继和拦截、SMTP和DNS、低层协议。

10.哪些是攻击URL的方法?

答:主机名求解攻击、主机名伪装、统一资源标识符(URI)伪装、剪切和拼接、滥用询问、SQL插入、跨站脚本(XSS)。

11.常见的HTTP风险有哪些?

答:无身份鉴别的客户、无身份鉴别的服务器、客户端隐私、信息泄露、服务器定位轮廓、访问操作系统、不安全的应用程序、低层协议。

12.HTTP客户端和服务器通常会泄露哪些信息?

答:HTTP请求报送通常泄露Web浏览器的类型,包括版本和操作系统;

HTTP回答报送常常包含服务器类型、版本以及支持的插件(plug-in);

HTTP回答的信息包括一个时间戳,通过时间戳可以识别数据是静态的(来自文件)还是动态的(来自应用程序);

HTTP的时区和HTTP的本地语言,可用于定位服务器的地址位置。

13.SSL产生会话密钥的方式是什么?

答:若服务器要求验证客户端,则客户端先发送Certificate消息,然后产生会话密钥,并用服务器的公钥加密,封装在ClientKeyExchange 消息中发送给服务器。

补充:SSL产生会话密钥的方式是:随机由客户机产生并加密后通知服务器

14.传输层保护的网络采用的主要技术是建立在什么基础上的?

答:TCP/IP协议本身非常简单、没有加密、身份鉴别等安全特性,要向上层提供安全通信机制就必须在TCP这上建立一个安全通信层次。传输层安全技术有SSL,SOCKS和安全RPC。最常用的是安全套接字层SSL,它提供了进程到进程的安全服务和加密传输信道。(网络层安全机制提供的是主机到主机的)

Chapter 8 防火墙

1.什么是防火墙?防火墙的功能有哪些?

答:防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。防火墙的功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、(流量控制、NAT、VPN)。

2.防火墙的体系结构有哪几种?

答:双宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。

3.堡垒主机的构建原则是什么?

答:选择适合的操作系统;堡垒主机的安装位置;堡垒主机提供的服务;保护系统日志;监测和备份。

4.过滤规则如何制定?

答:按地址过滤;按服务过滤;对数据包做日志记录。

相关文档
最新文档