计算机网络课后问题总结

第一章TCP/IP协议族：第1部分•网络协议分层的优缺点。优点：简化问题，分而治之，有利于升级更新；缺点：各层之间相互独立，都要对数据进行分别处理；每层处理完毕都要加一个头结构，增加了通信数据量。•了解一些进行协议分析的工具。可在互联网上搜索获取适用于不同操作系统工具，比如snifferpro、wireshark以及tcpdump等。利用这些工具，可以截获网络中的各种协议报文，并进一步分析协议的流程、报文格式等。•你认为一个路由器最基本的功能应该包括哪些？对于网桥、网关、路由器等设备的分界已经逐渐模糊。现代路由器通常具有不同类型的接口模块并具有模块可扩展性，由此可以连接不同的物理网络；路由表的维护、更新以及IP数据报的选路转发等，都是路由器的基本功能。此外，路由器厂商应为使用者提供管理功能。槪奄棋型 层间数据流传粉协这分组物理接口尽|特定于韧趣阴珞的林•列出TCP/IP参考模型中各层间的接口数据单元(IDU)。槪奄棋型 层间数据流传粉协这分组物理接口尽|特定于韧趣阴珞的林•比较OSI参考模型和Internet参考模型的异同点。1、 相同点：OSI参考模型和TCP/IP参考模型都采用了层次结构的方法。2、 不同点：OSI参考模型是划分为7层结构：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，其中应用环境是开放系统环境；而TCP/IP参考模型却划分为4层结构：应用层、传输层、IP层和网络接口层，其中应用层协议是标准化的。OSI参考模型是制定的适用于全世界计算机网络的统一标准，是一种理想状态，它结构复杂，实现周期长，运行效率低；而TCP/IP参考模型是独立于特定的计算机硬件和操作系统,可移植性好，独立于特定的网络硬件，可以提供多种拥有大量用户的网络服务，并促进Internet的发展，成为广泛应用的网络模型。第2部分•PPP协议的对等端和PPP协议的工作流程。在建立PPP链路前，发起方必须通过电话网络呼叫回应方。呼叫成功后双方建立了一条物理连接；利用LCP创建PPP链路；用PAP或者CHAP验证客户身份；用IPCP配置IP层参数；通信完成后，双方利用LCP断开PPP链路；之后，断开物理连接。•分析PAP和CHAP的优缺点。pap简单，但安全性差；chap相对安全，但开销较大，且需要通信双方首先共享密钥。•当你携带笔记本电脑出差时，可能希望所在地的电话网络建立一条虚拟的点对点链路。L2TP和L2F为该问题提供了解决方案。查找并阅读这两个标准，了解它们的思想及应用。这两个协议把PPP的两个端点延伸到互联网的任何角落，相当于在TCP/IP的应用层扩展了PPP的范围。其思想是发送方把PPP帧封装到L2F或L2TP报文中，接收方则对其解封以还原PPP帧，这样对于通信的两端来说看到的是PPP帧，相当于在互联网上架设了一条虚拟的PPP链路。它们主要用于构建VPN（虚拟专用网）。第3部分•在理想情况下，可以有多少个A类地址，每个A类地址中包含多少个可以配置给主机的IP地址？有126个A类地址。每个A类网络理论上可连接2人24-2台主机第4部分•IP只对数据报首部计算校验和，不对数据计算校验和，有什么优缺点？优点：简化IP软件的计算量，提高处理速度。对于路由器等转发设备，这点对于提高其性能很重要。此外，某些高层（或需要由IP封装）的协议已经有计算校验和的功能，即IP数据报的数据区已经被计算校验和，IP仅针对首部计算校验和可以避免重复劳动。缺点：高层（或需要由IP封装）协议若需要保证可靠性，必须实现校验功能。•IP规定数据报的重组地点是目的主机，有什么优缺点？优点：简化中间路由器的操作，提高效率；避免重复分片；每个分片独立选路，增加了灵活性。缺点：中间经过MTU较大的网络时，可能会浪费带宽。•对于包含记录路由选项的数据报进行分片时，是否应该将选项复制到各分片中？为什么？对于包含时间戳选项的数据报呢？不必。每个分片独自选路，即便记录，每个分片记录的信息也不一致。•参考PPT中的例子，掌握等长子网划分和变长子网划分。•参考PPT中的例子，掌握IP数据报分片的方法和相关标志位的设置•为什么中间路由器转发数据报之前要重新计算校验和？因为路由器对数据报进行了处理，部分字段值发生了变化：TTL值减‘1'，包含选项时选项的内容也要发生更改。因此，必须针对变化后的内容重新计算校验和。•为什么一个数据报在传输过程中可能会被多次分片？在IP数据报的投递过程中可能会经过多个物理网络，每个物理网络的MTU不全相同，只要后一个物理网络的MTU小于前一个网络的MTU,数据报就会被分片。•IP分组经过路由器进行传输时如果不被分段，则其首部的基本信息部分会发生变化的字段有哪些？TTL字段和校验和字段值均会发生变化。•某网络的IP地址为192.168.5.0/24采用长子网划分，子网掩码为255.255.255.248，则每个子网内的最大可分配地址个数为多少？•在子网192.168.4.0/30中，能接收目的地址为192.168.4.3的IP分组的最大主机数是多少？第5部分•路由器是否应该优先处理ICMP报文？不。ICMP报文封装在IP报文中，和其它IP报文一样在路由器的队列中进行排队，路由器则按照先入先出的规则处理报文。对路由器而言，与优先权有关的不是IP数据报中封装的报文类型，而是IP首部中的QoS字段。•如果携带ICMP报文的IP数据报出现差错，则不应产生新的ICMP报文。试解释其原因。如果这个数据报再出现差错呢,这样规定是防止无休止地循环发送差错报告报文•设计一个使用ICMP时戳请求和应答报文进行时钟同步的算法。假设初始时戳为％接收时戳为tf,传送时戳是比发送方收到回应的时间是th,则传输时延dt的估算方法如下匕ch=(th-tiltt-lr)o其中(th-li展整个往返的延时.W(tt-ti■堤接收方的竝理时间"如果认为两个方向的通信时间大致相等「则单向传输时延应为dt/2则发送方与接收方的时差应为gcit/2-ti由此可以进行时钟同步.•为什么仅能向源站报告差错？路由器收到IP数据报时，如果该数据报不包含记录路由、源路由选项，则不体现任何中间路由器信息，仅能体现源IP信息。因此，必须向源端报告差错。此外，路由器发现数据报发生差错时，无法判断究竟是在投递过程中的哪一步发生差错，因此，仅能向源站报告差错。•为什么路由器通告报文的发送周期是10分钟，而一条路由的存活时间是30分钟？考虑到通告报文可能丢失，存活时间必须大于发送周期。•在ICMP目的站不可达报文中，有一类错误是濡要分片但DF置位(不能进行分片)”。基于此，请给出一个路径MTU的测量算法。思想:发送IP数据报并强制该数据报不能分片，如果收到该类错误报告，说明该报文尺寸过大，则继续调小尺寸并继续发送该种IP数据报;如果未收到该类报告，说明尺寸偏小或正好，此时可以增大IP数据报的尺寸。为了较快地逼近实际值，可以首先将第一个探测报文的尺寸设置为最大IP数据报长度，之后利用二分算法的思想调整探测报文尺寸。•若路由器R因为拥塞丢弃IP分组，则此时R可以向发出该IP分组的源主机发送的ICMP报文件类型是什么？源抑制。若路由器或目的主机缓冲资源耗尽而必须丢弃数据报，则每丢弃一个数据报就向源主机发送一个ICMP源抑制报文，此时，源主机必须减小发送速度。另外一种情况是系统的缓冲区已用完，并预感到将发生拥塞，则发送源抑制报文。第6部分•分析传输层的作用。加强和弥补IP层的服务。“加强”指提供可靠性，而TCP/IP的传输层则提供了不同的可靠性级别以适应不同的应用需求;弥补指提供端到端的服务，并通过不同的端口号区分不同的上层应用。•利用端口号而不是进程标识符来指定一台机器的目的进程，有什么优点？进程标识符是动态变化的，每次应用程序重启都会对应不同的标识符，而端口号是相对固定的。网络通信中的客户端需要主动与服务器建立连接，其连接的目标必须是固定的，因此，必须用端口号来标识。•为什么UDP校验和独立于IP校验和？你是否反对这样一个协议：对包括UDP报文在内的整个IP数据报使用一个校验和？IP仅针对首部计算校验和，UDP报文封装在IP数据报中作为数据报的数据区，因此单独计算校验和。这样整个IP数据报都可以被校验。反对。IP和UDP属于不同的协议模块和层次，合并校验不利于区分错误来源。此外，在数据报投递过程中，对于目标不是自身的数据报，路由器则仅处理IP部分，不关注高层，分开计算时，当发现IP发生差错就可进行相应处理，合并计算校验和则不便于这种处理。在目的端，数据在接收过程中则是沿着协议栈逐层向上递交的，分开计算时当IP首部发生差错，数据报就不会递交给UDP模块，合并时则无法实现这一点。•假定一台主机连接在以太网上，它要发送总长度为8192字节的UDP报文。该报文最终被分成多少个IP数据报投递？以太网MTU为1500字节。假设IP不使用选项，则其长度为20字节，所以预留给UDP的长度为1480字节。所以最终的分片数为|8192/1480|+1=6，其中“||”标识取整。•从网络安全的角度看，使用知名端口号会不会存在安全风险？单看这种行为，不会存在风险。但是知名端口与一些知名应用相关，这些应用可能存在安全缺陷，比如协议本身有缺陷，或者实现有安全漏洞。因此，黑客攻击的第一步往往是实施端口扫描，为随后的攻击步骤奠定基础。•TCP/IP协议中，通过什么能标识目的主机和该主机上的进程？TCP/IP协议中，通过（IP）和（端口）进行标识•为什么需要UDP?为什么用户不能直接使用IP进行访问？UDP由于无连接、无重传确认，所以传输效率高、延时小；由于不用维持大的并发量，所以适合巨量服务的server，加上合适的时间控制，可以用来设计更大的并发服务器；UDP可以更高效的利用网络带宽。一个IP地址可能对应着多个web站点，单单依靠IP地址是不知道如何匹配到哪个web站点的。•什么是通信五元组？源IP地址，源端口，目的IP地址，目的端口和传输层协议。第7部分•在什么样的时延、带宽、负载以及报文丢失的情况下，TCP没有必要重传大量的数据？时延低且稳定，带宽高，负载低，分组丢失率低的情况下。•主机A和B使用TCP通信。在B发送过的报文段中，有这样两个先后到达的报文段:ACK=120和ACK=100，即前一个报文段的确认序号大于后一个。试解释原因。这完全可能。设想A连续发送两个数据报，（SEQ=92,DATA共8字节），（SEQ=100,DATA共20字节），均正确到达B。B连续发送两个确认（ACK=100）和（ACK=120）。但前者在传送时丢失，于是A超时重传第一个报文段并被B收到，然后B发送（ACK=100）到达A。•建立TCP连接时，通信双方要交换ISN。ISN可各自随机选取，但不能为1。为什么？TCP初始化序号不能是一个固定值，因为这样容易被攻击者猜出后续序列号，从而遭到攻击。•你认为TCP协议软件应该自动关闭长时间的空闲连接（未传送数据）吗？TCP协议中有长连接和短连接之分。短连接在数据包发送完成后就会自己断开，长连接在发包完毕后，会在一定的时间内保持连接，即我们通常所说的Keepalive（存活定时器）功能。•解释为什么突然释放传输连接有可能会丢失数据，而使用TCP的连接释放协议则能保证不丢失数据。当主机1和主机2之间连接建立后，主机1发送了一个TCP数据段并正确抵达主机2,接着主机1发送另一个TCP数据段，这次很不幸，主机2在收到第二个TCP数据段之前发出了释放连接请求，如果就这样突然释放连接，显然主机1发送的第二个TCP报文段会丢失。而使用TCP的连接释放方法，主机2发出了释放连接的请求，那么即使收到主机1的确认后，只会释放主机2到主机1方向的连接，即主机2不再向主机1发送数据，而仍然可接受主机1发来的数据，所以可保证不丢失数据。•总结TCP使用的窗口及时钟。滑动窗口:允许发送方不必等确认到来就可继续发送下面的分组，但规定一个上限。若多个分组的确认未到时，则暂停发送。拥塞窗口:只要网络没有出现拥塞，拥塞窗口就再增大一些，以便把更多的分组发送出去。但只要网络出现拥塞，拥塞窗口就减少一些，以减少注入到网络中的分组数。实际的发送窗口为拥塞窗口和通告窗口中的较小值。重传计时器：TCP为了保证数据可靠传输，就规定在重传的“时间片”到了以后，如果还没有收到对方的ACK，就重发此包，以避免陷入无限等待中。坚持计时器:当发送TCP收到窗口大小为0的确认时，就启动坚持计时器。当坚持计时器期限到时，发送TCP就发送一个特殊的报文段，叫做探测报文。探测报文段提醒接收TCP：确认已丢失，必须重传。保活计时器：每当服务器收到客户的信息，就将计时器复位。通常设置为两小时。若服务器过了两小时还没有收到客户的信息，他就发送探测报文段。若发送了10个探测报文段（每一个相隔75秒）还没有响应，就假定客户出了故障，因而就终止了该连接。时间等待计时器：时间等待计时器用于TCP“四次挥手”阶段。当客户端向服务器发送最后一次确认报文时，就设定一个时间等待计时器，等待2MSL时间后再结束连接。•假设要判断某台机器打开了哪些TCP端口，该如何设计端口扫描程序？有几种方法？这些方法的优缺点是什么？TCP实现的基本规则：若SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。（1） 全连接扫描：扫描主机用三次握手与目的机指定端口建立正规连接。优点：实现简单。缺点：很容易被发现，目前通常禁止。（2） 半开扫描（SYN扫描）：发SYN报文到目的主机的目标端口；若目标返回SYN+ACK，则端口开放；否则回RST。优点：不容易被发现了。缺点：不能用socket编程实现。（3） Fin扫描：发送FIN报文到目标主机的目标端口；若返回RST，则端口关闭，否则端口打开。优点：不容易被发现。缺点：不能用socket编程实现。•主机甲和主机乙间已建立一个TCP连接，主机甲向主机乙发送了两个连续的TCP段,分别包含300字节和500字节的有效载荷，第一个段的序列号为200,主机乙正确接收到两个段后，发送给主机甲的确认序列号是什么？确认序列号=原始序列号+TCP段的长度，所以第一次的确认序列号为200+300=500,第二次确认序列号为500+500=1000。•一个TCP连接总是以1KB的最大段发送TCP段，发送方有足够多的数据要发送。当拥塞窗口为16KB时发生了超时，如果接下来的4个RTT（往返时间）时间内的TCP段的传输都是成功的，那么列出接下来4个RTT时间拥塞窗口大小的变化情况。1 2 4 8 9•主机甲和主机乙之间已建立一个TCP连接，TCP最大段长度为1000字节，若主机甲的当前拥塞窗口为4000字节，在主机甲向主机乙连接发送2个最大段后，成功收到主机乙发送的第一段的确认段，确认段中通告的接收窗口大小为2000字节，则此时主机甲还可以向主机乙发送的最大字节数是多少？阐明原因。1000 发送窗口变成2000字节发送缓存里面还有1000字节•主机甲和主机乙新建一个TCP连接，甲的拥塞控制初始阈值为32KB，甲向乙始终以MSS=1KB大小的段发送数据，并一直有数据发送；乙为该连接分配16KB接收缓存，并对每个数据段进行确认，忽略段传输延迟。若乙收到的数据全部存入缓存，不被取走，则甲从连接建立成功时刻起，未发生超时的情况下，经过4个RTT后，甲的发送窗口是什么？阐明原因。通.忤底檢細铮II畑期口尢创畑Ifi11ffiW-'WTT2fllfl临2MffiBSZtRTT15-2-13虐irtn(i5.4i-4煙0W三6m13-4^93rrin^,8)=BM-i161G|=1KB•什么是RTT？往返时延。是指数据从网络一端传到另一端所需的时间。通常，时延由发送时延、传播时延、排队时延、处理时延四个部分组成。•什么是TCP中的累计确认?如果发送方发了包1,包2,包3,包4；接受方成功收到包1,包2,包3。那么接受方可以发回一个确认包，序号为4(4表示期望下一个收到的包的序号；当然你约定好用3表示也可以)，那么发送方就知道包1到包3都发送接收成功，必要时重发包4。一个确认包确认了累积到某一序号的所有包。而不是对每个序号都发确认包。•TCP发现分组丢失有哪两种方法？发生超时和接收到重复的确认。•为什么TCP采用三次握手，而不是两次或四次握手?第10部分•什么是AS?划分AS有什么意义？出于选路目的，处于一个管理机构控制之下的一组网络和路由器。AS自治的主要内容是选路自治，AS可自由地选择路由算法。•一个AS应该广播到它内部的所有路由信息吗？如果不需要，举出一个例子•简述距离矢量路由算法的基本原理。以跳数作为度量值，通过交换路由表，计算出所有已知的最短路由，更新路由表。•简述链路状态路由算法的基本原理。通过交换链路状态，让AS中的每个路由器都有一张该AS的网络拓扑结构图。使用Dijkstra算法求最短路径，计算该路由器到其它目的站的最短路径，然后更新路由表。第二章ipv6及其过渡技术：第1部分•说明IPv6的特征及其主要优势。128位地址空间；简化协议报头；完善的QoS；良好的安全性；高效的路由；•IPv6的头部不再包含协议字段，为什么•IPv6的地址有多少位？一个IPv4的地址202.224.120.9,其IPv6的地址标识可以是什么？128位。映射地址：：ffff：202.224.120.9 兼容地址 ：：202.224.120.9第三章网络安全：第1部分•信息安全关注的重要属性是什么？机密性；完整性；可用性；可控性；不可否认性第2部分•什么是VPN？VPN是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供的与专用网络具有相同通信功能的安全数据通道。•VPN涉及到的重要技术有哪些？VPN是在Internet等公共网络基础上，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。•提高WiFi安全性的一些方法？修改admin密码；WEP加密传输；禁用DHCP服务；修改SNMP字符串；禁止远程管理；修改SSID标识；禁止SSID广播；过滤MAC地址（定义网络设备的位置）；WPA用户认证•简述IEEE802.1x身份认证过程？（1） 无线客户端向AP发送请求，尝试与AP进行通信。（2） AP将加密数据发送给验证服务器进行用户身份认证。（3） 验证服务器确认用户身份后，AP允许该用户接入。（4） 建立网络连接后授权用户通过AP访问网络资源。第3部分•简述公钥加密和私钥加密算法的优缺点？如何将两者结合起来使用？1、 私钥加密算法优点：加解密的高速度和使用长密钥时的难破解性。缺点：私钥加密算法的安全性取决于加密密钥的保存情况，但要求企业中每一个持有密钥的人都保守秘密是不可能的，他们通常会有意无意的把密钥泄漏出去。如果一个用户使用的密钥被入侵者所获得，入侵者便可以读取该用户密钥加密的所有文档，如果整个企业共用一个加密密钥，那整个企业文档的保密性便无从谈起。2、 公钥加密算法优点：而非对称加密使用一对秘钥，一个用来加密，一个用来解密，而且公钥是公开的，秘钥是自己保存的，不需要像对称加密那样在通信之前要先同步秘钥。缺点：非对称加密的缺点是加密和解密花费时间长、速度慢，只适合对少量数据进行加密混合使用：两者结合使他们的优缺点可以互补，即DES加密速度快，适用于加密较长的报文。RSA加密速度慢，安全性好，应用于DES秘钥的加密可解决DES秘钥匹配的问题。•简述使用私钥加密算法实现数据完整性的方法•什么是柯克霍夫原则？即使非数学上不可破解，系统也应在实质（实用）程度上无法破解。系统内不应含任何机密物，即使落入敌人手中也不会造成困扰。密钥必须易于沟通和记忆，而无需写下，且双方可以很容易的改变密钥。系统应可以用于电讯。系统应可以携带，不应需要两个人或两个人以上才能使用（应只要一个人就能使用）。系统应容易使用，不致让使用者的脑力过分操劳，也无须记得长串的规则。•为什么说一次一密在实际中不可行？秘钥长度：至少和消息一样长；只能使用一次，没有适配的软件。•DES的主要特点和缺点？特点：DES算法是一种采用传统的代替和置换操作加密的分组密码，明文以64比特为分组，密钥长度为64比特，有效密钥长度为56比特，其中加密密钥有8比特是奇偶校验，包括初始置换IP，16轮加密。缺点：分组比较短、密钥太短、密码生命周期短、运算速度较慢。•AES几种加密模式的共同点和区别？ECB：是一种基础的加密方式，密文被分割成分组长度相等的块(不足补齐)，然后单独一个个加密，一个个输出组成密文。CBC：是一种循环模式，前一个分组的密文和当前分组的明文异或操作后再加密，这样做的目的是增强破解难度。CFB/OFB:实际上是一种反馈模式，目的也是增强破解的难度。FCB和CBC的加密结果是不一样的，两者的模式不同，而且CBC会在第一个密码块运算时加入一个初始化向量。•Hash函数的特点？输入x可以是任意长度的字符串；输出结果即H(x)的长度是固定的；计算H(x)的过程是高效的；免碰撞：即不会出现输入x#y，但是H(x)=H(y)的情况；隐匿性：对于一个给定的输出结果H(x)，想要逆推出输入x，在计算上是不可能的•简述PaddedRSA的原理。•假设在一个安全系统中总共有N个节点，这些节点间都会要进行通信，为此需要对通信进行加密。如果采用非对称加密算法，需要多少个密钥对？如果采用对称加密算法，需要多少个密钥？如果采用非对称加密算法，只需要N个密钥对；如果采用对称加密算法，需要N(N-1)/2个密钥对。•以移位密码、替换密码和Vigenere密码为例，说明现代密码学的柯克霍夫原则。第4部分•简述数字签名的主要原理？发送方：-用公开的Hash函数对报文进行一次变换，得到消息摘要-利用私有密钥对消息摘要进行加密后接收方-用发送方的公开密钥对数字签名进行解密，得到一个消息摘要-接收方将得到的消息通过Hash函数进行计算，同样得到一个消息摘要-将两个数字签名进行对比：相同，签名有效不相同，签名无效•用私钥加密实现数字签名的主要挑战？该签名不属于强计算密集型算法，速度快；接收方必须持有用户密钥的副本以检验签名•使用RSA实现数字签名时，为什么要对原始的明文求摘要？第5部分•防火墙的基本作用？强化网络安全策略；监控网络存取和访问；防止内部信息的外泄；实现数据库安全的实时防护；5.支持具有Internet服务特性的企业内部网络技术体系VPN•简述主要的防火墙类型及其特。从软、硬件形式上分为：“软件防火墙”“硬件防火墙”以及“芯片级防火墙”。从防火墙技术分为：“包过滤型”和“应用代理型”两大类。从防火墙结构分为：“单一主机防火墙”“路由器集成式防火墙”和“分布式防火墙”三种。按防火墙的应用部署位置分为：“边界防火墙”、“个人防火墙”和“混合防火墙”三大类。按防火墙性能分为：“百兆级防火墙”和“千兆级防火墙”两类。•入侵检测系统的2个重要性能指标是什么？为什么它们之间有折中的关系？误报：合法行为触发警报；漏报：违法行为未触发警报。•基于异常的入侵检测原理是什么？其面临的困难和挑战是什么？原理：异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集