计算机网络安全教程课后答案及考试试.doc

一、名词解释黑客（P103） 木马（P163） 网络后门和网络隐身（P6） 恶意代码（P185）VNP（p307） 防火墙（P275） 入侵检测系统（P288） DDOS（p146）ICMP协议：ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。二、问答题1.TCP和UDP的不同。（p42）TCP-传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。开销大，传输速度慢。UDP-用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。2.计算机病毒的特征：可执行性。计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。传染性。计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。破坏性。所有的计算机病毒都是一种可执行程序,会降低计算机系统的工作效率,占用系统资源。潜伏性。计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。隐蔽性。病毒一般是具有很高编程技巧,短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现，与正常程序是不容易区别开来的。针对性。计算机病毒一般针对于特定的操作系统。可触发性。3、 入侵系统的五个步骤（p105） 4、防火墙的基本功能（p276）5、可信计算基由哪七个部分组成（p220）6、解释PKI的概念和功能。概念：PKI（Public Key Infrastructure ）即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。功能：安全服务功能，包括网上身份安全认证，通过验证被认证对象的某个专有属性，达到确认被认证对象是否真实。有效的目的。 保证数据完整,防止非法篡改信息。 保证网上交易的抗否认性。 提供时间戳服务。 保证数据的公正性。系统功能。包括证书申请和审批。 产生、验证和分发密钥。 证书签发和下载。 签名和验证。密钥备份和恢复 交叉认证等。 7、拒绝服务攻击和分布式拒绝服务攻击的原理及过程。如何防范？拒绝服务攻击：DoS攻击原理主要分为两种，分别是：语义攻击（Semantic）和暴力攻击（Brute）。语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游路由器等的帮助，对攻击数据进行过滤或分流。分布式拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。 这些资源包括磁盘空间、 内存、 进程甚至网络带宽， 从而阻止正常用户的访问。者进行拒绝服务攻击， 实际上让服务器实现两种效果： 一是迫使服务器的缓冲区满， 不接收新的请求； 二是使用 IP 欺骗， 迫使服务器把合法用户的连接复位， 影响合法用户的连接。 首先，检查攻击来源 其次，找出攻击者所经过的路由，把攻击屏蔽掉最后一种比较折衷的方法是在路由器上滤掉ICMP（Internet Control Message Protocol）和UDP。ICMP用于提交错误和改变控制信息，常用来判断网络的连通性。 充分利用网络设备保护网络资源 过滤所有RFC1918 IP地址。 限制SYN/ICMP流量。8、网络解决方案的层次划分为哪五个部分？（P321）社会法律、法规手段 增强的用户认证 授权 加密 审计和监控和数据备份9、我国计算机信息系统安全保护等级划分准则中的五个等级（P13）10、恶意代码的攻击机制，长期存在的原因和防范。（P184）防范：基于主机的恶意代码防范方法：基于特征扫描技术 校验和 沙箱技术 安全操作系统对恶意代码的防范 基于网络的：基于GrIDS的恶意代码检测 基于PLD硬件的检测防御 基于HoneyPot的检测防御 基于CCDC 的检测防御。11、vpn的功能有哪些？（P307）12、为什么需要网络踩点？（p106）13、网络安全和黑客攻击的关（P105）14、安全配置方案高级篇的十四条基本配置原则。（P235）15、密钥加密体系的主要特征。第1章(P27)一、选择题1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。2. 信息安全从总体上可以分成5个层次，密码技术 是信息安全中研究的关键点。3. 信息安全的目标CIA指的是机密性，完整性，可用性。4. 1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下5个级别。二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React），恢复（Restore）。2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform，以提高整体的安全性。3. 从1998年到2006年，平均年增长幅度达50左右，使这些安全事件的主要因素是系统和网络安全脆弱性（Vulnerability）层出不穷，这些安全威胁事件给Internet带来巨大的经济损失。4. B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。第2章（P56）一、选择题1. OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。4. 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。5. 常用的网络服务中，DNS使用 UDP协议。二、填空题1. 网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。2. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。3. 目前E-mail服务使用的两个主要协议是 简单邮件传输协议和邮局协议。4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过程的次数一起显示出来。5. 使用“net user”指令查看计算机上的用户列表第4章(P124)一、选择题1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。2. 对非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描。二、填空题1. 扫描方式可以分成两大类：慢速扫描和乱序扫描。2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。3. 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身 三、简答题与程序设计题2. 黑客在进攻的过程中需要经过哪些步骤？目的是什么？（入侵系统的五个步骤）答：（1）隐藏IP：IP隐藏使网络攻击难以被侦破。（2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。（4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。（5）在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。第5章(P157)一、选择题1. 打电话请求密码属于社会工程学攻击方式。2. 一次字典攻击能否成功，很大因素上决定于字典文件。3. SYN风暴属于拒绝服务攻击攻击。4. 下面不属于DoS攻击的是TFN攻击。二、填空题1. 字典攻击是最常见的一种暴力攻击。2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。6. 简述拒绝服务的种类与原理。答：原理：凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的Dos攻击是计算机网络带宽攻击和连通性攻击：带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最终导致合法用户的请求无法通过；连通性攻击是指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 第6章(P192)一、选择题1. 网络后门的功能是保持对目标主机长久控制。2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。3. 木马是一种可以驻留在对方服务器系统中的一种程序。二、填空题1. 后门的好坏取决于被管理员发现的概率。2. 木马程序一般由两部分组成：服务器端程序和客户端程序。3. 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能， 后门程序功能比较单一第7章（P208）一、选择题1. 黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。2. 2003 年，SLammer 蠕虫在10 分钟内导致 90互联网脆弱主机受到感染。3. 造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。4. 下面是恶意代码生存技术是加密技术和模糊变换技术。5. 下面不属于恶意代码攻击技术是自动生产技术。二、填空题1. 恶意代码主要包括计算机病毒（Virus）、 蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。2. 恶意代码80 年代发展至今体现出来的3个主要特征：恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。3. 早期恶意代码的主要形式是计算机病毒。4. 隐藏通常包括本地隐藏和通信隐藏，其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。5. 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。第8章(P245)一、选择题1. Linux是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intel x86系列CPU的计算机上。2. 操作系统中的每一个实体组件不可能是既不是主体又不是客体。3. 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基。5. 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。二、填空题1.操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有它的安全性，信息系统的安全性是没有基础的。2. Multics是开发安全操作系统最早期的尝试。3. 1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（Access Matrix）的思想第一次对访问控制问题进行了抽象。4. 访问控制机制的理论基础是 访问监控器（Reference Monitor），由J.P.Anderson首次提出5. 计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、 运行保护、I/O保护等。6. Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性。第9章(P274)一、选择题1. RSA算法是一种基于大数不可能质因数分解假设的公钥体系。2. 下面哪个属于对称算法序列算法。3. DES算法的入口参数有3个：Key，Data和Mode。其中Key为 64位，是DES算法的工作密钥。4. PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。二、填空题1. 两千多年前，罗马国王就开始使用目前称为“恺撒密码”的密码系统。2. 2004年8月，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL128、MD4和RIPEMD等四个著名密码算法的破译结果。3. 除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。4. 数字水印应具有3个基本特性： 隐藏性、鲁棒性和安全性5. 用户公私钥对产生有两种方式：用户自己产生的密钥对和CA为用户产生的密钥对。6. 常见的信任模型包括4种：严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。三、 简答题,2简述对称加密算法的基本原理。答：对称算法又叫传统密码算法：加密密钥能够从解密密钥中推算出来，反过来也成立。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为：EK（M）=CDK（C）=M4.简述公开密钥算法的基本原理。答：加密的传统方法只用一把密钥加密。发出讯息者用这把钥匙对讯息加密。接收讯息者需要有完全相同的钥匙才能将加密了的讯息解密。这把钥匙必须以一种其他人没有机会得到它的方式给予接收讯息者。如果其他人得到了这把钥匙，这种加密方式就没用了。使用一种称为公开钥匙的方法可以解决这个问题。公开钥匙的概念涉及两把钥匙。一把钥匙称为公开钥匙（公钥），可以以所有方式传递，任何人都可以得到。另一把钥匙称为隐密钥匙（密钥）。这把钥匙是秘密的，不能传递出去。只有它的拥有者才能接触和使用它。如果正确实施了这种方法，从公钥不能得出密钥。发出讯息者以接收讯息者的公钥将讯息加密，接收者则以自己的密钥解密。第10章(P301)一、选择题1. 仅设立防火墙系统，而没有安全策略，防火墙就形同虚设。2. 下面不是防火墙的局限性的是不能阻止下载带病毒的数据。3.分组过滤防火墙作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。4. 下面的说法错误的是 DMZ网络处于内部网络里，严格禁止通过DMZ网络直接进行信息传输。5. 下面不属于入侵检测分类依据的是 静态配置。二、填空题1.防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。2. 常见的防火墙有3种类型：分组过滤防火墙，应用代理防火墙，状态检测防火墙。3. 常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。4. 入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。5. 入侵检测