网络安全课后答案

Chapter 6 Internet安全体系结构之一

1.列出物理网风险的4种类型。

答：窃听；回答（重放）；插入；拒绝服务（DoS）。

2.什么是身份鉴别栈？

答：身份鉴别栈是一个OSI栈，它位于网络用户的OSI栈前面，管理网络的身份鉴别。

3.列出对有线物理网攻击的5种类型。

答：连接破坏；干扰；侦察；插入攻击；回答。

4.有哪几种动态LAN链接的身份鉴别方法？

答：Modem身份鉴别凭证；呼叫者ID；自动回叫；生成安全动态链接。

5.列出无线网的各种风险。

答：分组嗅测；服务集标识（SSID）信息；假冒；寄生者；直接安全漏洞。

6.WEP是一种高强度安全方法吗？为什么？

答：是。WEP能主动阻止连接，可以确定意图，如果攻击者解密和访问一个有WEP的网络，就很清楚地暴躁其攻击的意图。WEP是通用的，几乎所有无线网络路由器都支持WEP，并且相互兼容。

7.什么是数据链路的随意模式？

答：正常模式下，网络寻址机制（也就是MAC）能阻止上面的堆栈层接收非指向该结点的数据。然后很多网络接口支持无地址过滤，运行在随意模式的结点能接收所有报文帧，而不只是指向该结点的帧。随意模式允许攻击者接收所有来自网络的数据。

8.列出各种缓解数据层风险的方法。

答：硬编码硬件地址；数据身份鉴别；高层身份鉴别；分析器和工具。

9.试述CHAP的功能、特点和局限性。

答：CHAP使用共享密钥对初始网络连接进行身份鉴别，提供了一种方法对两个结点进行身份鉴别，但是在连接建立后不执行任何验证或加密。CHAP使用一个更复杂的系统，它是基于密钥交换和共享密钥，身份鉴别相当安全，可用于易受窃听攻击的网络。

CHAP具有局限性。首先，只是在启动连接时进行身份鉴别，之后PPP不提供安全，某些攻击者具有在身份鉴别后拦截连接进行窃听的能力；再次，假如窃听者捕获到两个不长的随机数的协商，那么，对蛮力攻击，哈希函数可能易受攻击。

10.ARP为什么会受损？ARP受损后有何影响？如何能缓解ARP受损？

答：ARP表包含一个临时的缓存，以存储最近看到的MAC地址，只有一个新的IP地址（或MAC）要查找时，才需要ARP分组，当一个无效的或不经意的差错进入ARP表，这个缓冲就会使系统的ARP受损。

ARP受损影响：资源攻击、DoS攻击和MitM攻击。

缓解ARP受损方法：硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。

11.基于路由器的攻击有哪几种？路由表淹没后有哪几种结果？

答：基于路由器的攻击：直接攻击、表中毒、表淹没、度量攻击、环路攻击。

路由表淹没后的结果：忽略新的路由、清除老的路由或清除最坏的路由。

12.OSI网络层是否定义地址的身份鉴别和验证？基于数字和名字的地址机制容易受到何种地址攻击？

答：否；基于数字和名字的地址机制容易受到假地址和拦截的攻击。

13.什么是分段机制的主要危险？假如分段超时值设置过低会有什么后果？

答：丢失分段和组装数据的容量。分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。

14.网络层提供哪些QoS功能？QoS攻击有哪些？

答：网络层提供建立和释放网络连接的功能，也保证相同的结点间建立多个连接，而不会产生通信干扰。连接管理包括传递连接和面向连接的各种服务。

QoS攻击主要有：Ping攻击（DoS）、Smurf攻击（DDoS）。

15.网络层有哪些安全风险？网络层安全风险缓解方法有哪些？它们有哪些局限性？

答：窃听、伪装以及插入攻击。

缓解方法有：安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。

局限性：安全协议：虽然能检测某些数据差错，但对检测攻击者没有大用处。

网络不兼容能力：虽然IPv6支持数据加密，但很多高层协议和应用不支持IPv6。

体系结构：知音的网络层通信能够进入数据链路隧道，和正常的网络层通信一样得到允许和保护。

安全过滤：这种方法是在模糊安全的水平。

防火墙和过滤出口：它并不能阻止来自源点伪装的网络。

16.什么是IP的安全风险？

答：地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。

17.比较各种IP安全可靠方案的优缺点。IPSec和IPv6的异同是什么？

答：优缺点：

禁用ICMP：ICMP提供测试、流控和差错处理，但并不提供网络路由的基本功能；

非路由地址：采用非路由网络地址，使攻击者不能直接访问被保护的主机；

NAT：NAT服务器提供两个安全效果（匿名和隐私），攻击者不能连接到内部主机；

反向NAT：NAT最大的缺点是不能作为一个主机，反向NAT（RNAT）提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射；

IP过滤：过滤器的规则能限制基于特定主机、子网或服务类型（TCP、UDP或ICMP）的分组；

出口过滤：一方面提供了最大的安全以防外部的攻击者，另一方面对内部用户提供了最大的方便，但允许在内部网络的攻击者对外部资源进行攻击；

IPSec：高层协议不许提供自己的加密，也无需修改就可用IPSec，这使IPSec成为安全连接和VPN的理想解决方案；

IPv6：扩大地址空间，在网络层提供身份鉴别和加密连接的功能，提供了完整的VPN解决方案。

IPSec和IPv6的异同：

从安全方面看，IPv6和IPSec本质上是相同的，两者都提供强的身份鉴别、加密和VPN支持。

从可行性方面看，从IPv4转换到IPv6，路由器和网络设备必须更新以支持IPv6协议。

Chapter 7 Internet安全体系结构之二

1.传输层有哪些风险？试比较一个端口和多个端口以及静态端口和动态端口的风险。

答：风险：传输层拦截、端口扫描、信息泄露。

一个和多个端口的风险：

减少结点的端口数，能减少攻击因素。加固的服务器将开放的端口数减少以只有基本服务。一般来说，少量端口打开的系统更安全。但是某些服务支持多路端口，或基于服务的需求打开新的端口，这样将带来风险。

静态和动态端口的风险：

远程客户连接到服务器要两个条件：服务器的网络地址、传输协议及端口，通常连接到服务器的众所周知的端口。某些高层协议不使用固定端口号，不用单个端口于全部通信，控制服务使用众所周知端口，数据传输则用动态端口，这会引起不安全的风险，因为在范围的端口必须都可访问网络。

2.哪些TCP信息的类型可用来识别操作系统框架？

答：初始窗口大小、TCP选项、序列号、客户端口号、重试。

3.假如客户到服务器的连接被拦截，会引起什么后果？

答：TCP客户接到一个连接结束或TCP超时，同时服务器没有注意到攻击者已经替换了没有登记注册的客户。

4.列出5种方法来缓解TCP攻击的威胁。

答：改变系统框架、阻断攻击指向、识别网络设备、状态分组检验、入侵检测系统（IDS）、入侵防御系统（IPS）、利用高层协议鉴别通信以及检测可能的攻击。

5.*什么技术可用来减少IP，TCP和UDP的攻击指向？

答：SSL、SOCKS、安全RPC。

6.DNS协议是不安全的，它存在哪些安全风险？有哪些缓解这类风险的方法？

答：直接风险：无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组。

技术风险：DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。

社会风险：相似的主机名、自动名字实现、社会工程、域更新。

直接威胁缓解（补丁、内外域分开、域控制、有限缓冲间隔、拒绝不匹配回答）

技术威胁的缓解（加固服务器、防火墙）

侦察威胁的缓解（限制提供DNS信息、域转换、请求、分开内外域、隐藏版本）

社会威胁缓解（监控相似域、锁住域、使用有效联系、不间断支持、自己主持）

优化DNS配置

确定可信的回答

7.哪些风险是由于DNS配置不当引起的？有哪些缓解这类风险的方法？

答：技术风险是基于配置的问题。技术风险包括：DNS域拦截、服务器拦截、更新持续时间以及动态DNS。

缓解方法：加固服务器、防火墙。

8.哪些方法可缓解对DNS的侦察威胁？

答：限制提供DNS信息、限制域转换、限制请求、去除反向查找、分开内部和外部域、去除额外信息、隐藏版本。

9.什么是SMTP通信的四类直接威胁？

答：伪装报头及垃圾邮件、中继和拦截、SMTP和DNS、低层协议。

10.哪些是攻击URL的方法？

答：主机名求解攻击、主机名伪装、统一资源标识符（URI）伪装、剪切和拼接、滥用询问、SQL插入、跨站脚本（XSS）。

11.常见的HTTP风险有哪些？

答：无身份鉴别的客户、无身份鉴别的服务器、客户端隐私、信息泄露、服务器定位轮廓、访问操作系统、不安全的应用程序、低层协议。

12.HTTP客户端和服务器通常会泄露哪些信息？

答：HTTP请求报送通常泄露Web浏览器的类型，包括版本和操作系统；

HTTP回答报送常常包含服务器类型、版本以及支持的插件（plug-in）；

HTTP回答的信息包括一个时间戳，通过时间戳可以识别数据是静态的（来自文件）还是动态的（来自应用程序）；

HTTP的时区和HTTP的本地语言，可用于定位服务器的地址位置。

13.SSL产生会话密钥的方式是什么？

答：若服务器要求验证客户端，则客户端先发送Certificate消息，然后产生会话密钥，并用服务器的公钥加密，封装在ClientKeyExchange 消息中发送给服务器。

补充：SSL产生会话密钥的方式是：随机由客户机产生并加密后通知服务器

14.传输层保护的网络采用的主要技术是建立在什么基础上的？

答：TCP/IP协议本身非常简单、没有加密、身份鉴别等安全特性，要向上层提供安全通信机制就必须在TCP这上建立一个安全通信层次。传输层安全技术有SSL，SOCKS和安全RPC。最常用的是安全套接字层SSL，它提供了进程到进程的安全服务和加密传输信道。（网络层安全机制提供的是主机到主机的）

Chapter 8 防火墙

1.什么是防火墙？防火墙的功能有哪些？

答：防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙的功能：访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、（流量控制、NAT、VPN）。

2.防火墙的体系结构有哪几种？

答：双宿主主机体系结构；被屏蔽主机体系结构；被屏蔽子网体系结构。

3.堡垒主机的构建原则是什么？

答：选择适合的操作系统；堡垒主机的安装位置；堡垒主机提供的服务；保护系统日志；监测和备份。

4.过滤规则如何制定？