网络安全课后答案
自考计算机网络安全课后习题答案
计算机网络安全(自学考试4751)课后答案1.计算机网络面临的典型威胁窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2.计算机网络的脆弱性互联网具有不安全性、操作系统存在安全问题、数据的安全问题、传输线路安全问题、网络安全管理问题。
3.计算机网络安全目标XX性、完整性、可用性、不可否认性、可控性4.计算机网络安全层次物理安全、逻辑安全、操作系统安全、联网安全5.PPDR包括Policy、Protection Detection Response四个部分。
防护、检测和响应组成了一个完整的、动态的安全循环。
在整个安全策略的控制和指导下,综合运用防护工具和检测工具掌握系统的安全状态,然后通过适当的响应将网络系统调整到最安全或风险最低的状态,构成一个动态的安全防X体系。
6.网络安全技术包括物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术7.网络安全管理的主要内容:网络安全管理的法律法规、计算机网络安全评价标准。
8.网络安全技术的发展趋势:物理隔离、逻辑隔离、防御来自网络的攻击、防御来自网络的病毒、身份认证、加密通信和VPN、入侵检测和主动防御、网管审计和取证。
9.物理安全包括机房环境安全、通信线路安全、设备安全、电源安全10.机房安全要求:场地选择、防火、内部装修、供配电、空调、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、防电磁泄露。
11.保障通信线路安全的技术措施:屏蔽电缆、高技术加压电缆、警报系统、局域PBX。
12.防止电磁辐射措施:屏蔽、滤波、隔离、接地13.信息存储安全管理:四防垂直放置、严格管理硬盘数据、介质管理落实到人、介质备份分别放置、打印介质视同管理、超期数据清除、废弃介质销毁、长期数据转存。
14.密码学三个阶段:古代、古典、近代15.密钥:参与密码变换的参数16.加密算法:将明文变换为密文的变换函数17.明文是作为加密输入的原始信息、密文是明文经加密变换后的结果18.加密体制:单钥密码体制、双钥密码体制19.认证技术可解决消息完整性、身份认证、消息序号及时间,其分层模型:安全管理协议、认证体制、密码体制20.常用的数据加密方式:链路、节点、端到端21.PKI:是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可以利用PKI平台提供的安全服务进行安全通信,其采用的标准密钥管理规则能为所有应用透明地提供加密和数据签名等服务所需的密钥和证书管理。
计算机网络安全基础第五版课后答案
计算机网络安全基础第五版课后答案1-1计算机网络向用户可以提供哪些服务?答:计算机网络向用户提供的最重要的功能有两个,连通性和共享。
1-2试简述分组交换的特点答:分组交换实质上是在“存储―一转发”基础上发展起来的。
它兼有电路交换和报文交换的优点。
分组交换在线路上采用动态复用技术传送按一定长度分割为许多小段的数据—一分组。
每个分组标识后,在一条物理线路上采用动态复用的技术,同时传送多个数据分组。
把来自用户发端的数据暂存在交换机的存储器内,接着在网内转发。
到达接收端,再去掉分组头将各数据字段按顺序重新装配成完整的报文。
分组交换比电路交换的电路利用率高,比报文交换的传输时延小,交互性好。
1-3试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。
答:(1)电路交换电路交换就是计算机终端之间通信时,一方发起呼叫,独占一条物理线路。
当交换机完成接续,对方收到发起端的信号,双方即可进行通信。
在整个通信过程中双方一直占用该电路。
它的特点是实时性强,时延小,交换设备成本较低。
但同时也带来线路利用率低,电路接续时间长,通信效率低,不同类型终端用户之间不能通信等缺点。
电路交换比较适用于信息量大、长报文,经常使用的固定用户之间的通信。
(2)报文交换将用户的报文存储在交换机的存储器中。
当所需要的输出电路空闲时,再将该报文发向接收交换机或终端,它以“存储―—转发”方式在网内传输数据。
报文交换的优点是中继电路利用率高,可以多个用户同时在一条线路上传送,可实现不同速率、不同规程的终端间互通。
但它的缺点也是显而易见的。
以报文为单位进行存储转发,网络传输时延大,且占用大量的交换机内存和外存,不能满足对实时性要求高的用户。
报文交换适用于传输的报文较短、实时性要求较低的网络用户之间的通信,如公用电报网。
(3)分组交换分组交换实质上是在“存储―一转发”基础上发展起来的。
它兼有电路交换和报文交换的优点。
分组交换在线路上采用动态复用技术传送按一定长度分割为许多小段的数据―一分组。
计算机网络安全课后答案
答:1.网络建设之初忽略了安全问题。
2.协议和软件设计本身的缺陷。
3.操作系统本身及其配置的安全性。
4.没有集中的管理机构和同意的政策。
5.应用服务的访问控制、安全设计存在漏洞。
6.安全产品配置的安全性。
7.来自内部网用户的安全威胁。
8.网络病毒和电子邮件病毒。
第2章
5.堡垒主机的种类有无路由双宿主主机、牺牲主机、内部堡垒主机三种类型。
6.代理技术一般有应用级网关技术、电路级网关技术两种。
7.防火墙一般使用用户身份、客户身份、基于会话的身份三种验证方式。
8.地址翻译主要有静态翻译、动态翻译、端口转换三种模式。
9.VPN的安全协议有SOCKS v5协议、IPSec协议、PPTP/L2PT协议三种。
(3)确定客户密钥生存周期,实施密钥吊销和更新管理。
(4)为安全加密通信提供更安全密钥管理服务。
(5)提供密钥托管和密钥恢复服务。
(6)其他密钥生成和管理,密码运算功能。
5.标准X .509数字证书包含那些内容?
答:(1)证书的版本信息。
(2)证书的序列号,每个证书都有一个唯一的证书序列号。
(3)证书使用的签名算法。
4.试比较异常检测技术和误用检测技术各有哪些优势和不足。
答:异常检测技术:优点:1)能够检测出新的网络入侵方法的攻击
2)较少依赖于特定的主机操作系统
3)对于内部合法用户的越违法行为的检测能力较强
缺点:1)误报率高
2)行为模型建立困难
3)难以对入侵行为进行分类和命名
误用检测技术:优点:1)检测准确度高
5.网络信息系统的安全缺陷通常包括搭线、串音、网络的规模。
6.网络安全的研究领域,一般大致分为社会经济领域、技术领域、电子商务领域。
网络安全基础课后答案
网络安全基础课后答案1. 网络安全的定义与重要性网络安全是指在计算机网络中保护网络安全性和信息安全性的技术和措施。
它涉及到保护计算机系统免受未经授权的访问、使用、泄漏、破坏和干扰的威胁。
网络安全的重要性体现在以下几个方面:- 保护个人隐私:网络安全可以确保个人信息不被未经授权的人访问和利用,防止个人隐私泄漏。
- 维护国家安全:网络安全对于国家安全至关重要,可以防止外部势力非法入侵、渗透和破坏关键基础设施。
- 维护商业机密:企业的商业机密包括专利、技术、研发成果等,网络安全可以确保这些重要资产不受到竞争对手的非法获取和使用。
- 保障互联网经济的发展:网络安全可以有效地防止网络犯罪和诈骗活动,增加用户对互联网的信任,促进互联网经济的健康发展。
2. 主要的网络安全威胁网络安全威胁主要包括以下几个方面:- 病毒和恶意软件:病毒和恶意软件通过感染计算机系统和网络,可以窃取个人信息、破坏数据、控制计算机等,给网络安全造成威胁。
- 黑客攻击:黑客通过入侵系统和网络,获取非法访问权限,进行数据窃取、篡改、破坏、攻击等行为。
- 拒绝服务攻击(DoS/DDoS攻击):攻击者通过发送大量无效请求,占用目标系统的资源,导致服务不可用,影响正常业务运行。
- 越权访问和滥用权限:员工或授权用户越过自己的访问权限,获取对系统和网络的未授权访问,可能篡改或窃取敏感信息。
- 数据泄漏和信息安全:数据泄漏可以由内部或外部人员通过窃取或泄漏敏感数据造成,对个人和企业的信息安全造成严重威胁。
- 社交工程:攻击者通过虚假身份、欺骗性讯息等方式,诱导用户透露个人信息或完成非法操作。
3. 常见的网络安全防护措施为了保护网络安全、信息安全,可以采取以下一些常见的安全防护措施:- 防病毒和恶意软件:使用安全防护软件,及时更新病毒库,定期进行病毒扫描和清除恶意软件。
- 防黑客攻击:使用防火墙和入侵检测系统(IDS/IPS)等安全设备,定期检查和修补系统漏洞。
网络安全基础第三版课后完整答案
网络安全基础第三版课后完整答案加油计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。
第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。
比如des是64比特的明文一次性加密成密文。
密码分析方面有很多不同。
比如流密码中,比特流的很多统计特性影响到算法的安全性。
密码实现方面有很多不同。
比如流密码通常是在特定硬件设备上实现。
分组密码既可以在硬件实现,也方便在计算机上软件实现。
5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。
三重DES有四种模型。
(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。
它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。
计算机网络安全课后答案
计算机网络安全课后答案一、选择题1. 【答案】A2. 【答案】B3. 【答案】D4. 【答案】C5. 【答案】B二、判断题1. 【答案】错误2. 【答案】正确3. 【答案】错误三、简答题1. 【答案】计算机网络安全即保护计算机网络中的信息系统,防止未经授权的访问、攻击和破坏。
它包括网络硬件设备和网络软件设备的安全防护,同时也包括用户信息保护、数据传输安全和网络应用安全等方面。
2. 【答案】计算机病毒是一种恶意代码程序,通过感染计算机系统和文件来破坏和窃取信息。
计算机病毒主要通过网络传播,感染计算机后会破坏或删除文件,对计算机系统造成严重危害。
计算机蠕虫是一种自我复制的恶意代码,通过网络传播,并利用系统漏洞自动感染其他主机。
计算机蠕虫通常不会破坏或窃取信息,但会占用大量计算机系统资源,导致系统运行缓慢甚至崩溃。
计算机木马是一种通过网络植入的恶意代码,通过控制被感染计算机来窃取和利用信息、木马程序隐藏在正常的程序中,绕过用户的防御。
3. 【答案】防火墙是一种网络安全设备,通常放置在网络边界和内部网络之间。
它的主要功能是监控和过滤网络流量,阻止未经授权的访问和攻击。
防火墙可以设置访问控制策略,对进出网络的数据进行检查和过滤,从而提高网络的安全性。
4. 【答案】VPN即虚拟专用网络,是一种通过加密通道将远程用户和私有网络连接起来的技术。
它可以在公共网络上建立一个安全的通信通道,使远程用户可以安全地访问私有网络资源。
VPN可以通过加密数据、身份验证和访问控制等方式保护数据的安全性和用户的隐私。
四、综合题1. (1)【答案】虚拟专用网络(VPN):通过加密通道将远程用户和私有网络连接起来。
它可以保护用户的隐私和数据安全。
(2)【答案】防火墙:用于监控和过滤网络流量,防止未经授权的访问和攻击。
它可以设置访问控制策略,保护网络的安全性。
(3)【答案】入侵检测系统(IDS):用于检测和响应网络中的入侵行为。
它能够监控网络流量,并根据预设的规则和模式检测出潜在的入侵行为。
网络安全课后答案
第一章网络安全概述一、问答题1.何为计算机网络安全?网络安全有哪两方面的含义?计算机网络安全是指利用各种网络管理,控制和技术措施,使网络系统的硬件,软件及其系统中的数据资源受到保护,不因一些不利因素影响而使这些资源遭到破坏,更改,泄露,保证网络系统连续,可靠,安全地运行。
网络安全包括信息系统的安全运行和系统信息的安全保护两方面。
信息系统的安全运行是信息系统提供有效服务(即可用性)的前提,系统信息的安全保护主要是确保数据信息的机密性和完整性。
2.网络安全的目标有哪几个?网络安全策略有哪些?网络安全的目标主要表现在系统的可用性、可靠性、机密性、完整性、不可依赖性及不可控性等方面。
网络安全策略有:物理安全策略,访问控制策略,信息加密策略,安全管理策略。
3.何为风险评估?网络风险评估的项目和可解决的问题有哪些?风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的祭出,风险评估是确定信息安全需求的一个重要途径,属于组织信息安全管理体系规划的过程。
网络安全评估主要有以下项目:安全策略评估,网络物理安全评估,网络隔离的安全性评估,系统配置的安全性评估,网络防护能力评估,网络服务的安全性评估,网络应用系统的安全性评估,病毒防护系统的安全性评估,数据备份的安全性评估。
可解决的问题有:防火墙配置不当的外部网络拓扑结构,路由器过滤规则的设置不当,弱认证机制,配置不当或易受攻击的电子邮件和DNS服务器,潜在的网络层Web服务器漏洞,配置不当的数据库服务器,易受攻击的FTP服务器。
4.什么是网络系统漏洞?网络漏洞有哪些类型?从广义上讲,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,从而可以使攻击者能够在未经系统合法用户授权的情况下访问或破坏系统。
网络漏洞主要分为操作系统漏洞、网络协议漏洞、数据库漏洞和网络服务漏洞等。
5.网络安全的威胁主要有哪几种?物理威胁,操作系统缺陷,网络协议缺陷,体系结构缺陷,黑客程序,计算机病毒。
网络信息安全课后习题答案
第一章网络安全综述1.什么是网络安全答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
2.网络安全包括哪些内容答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面答:1)物理威胁(1)身份识别错误。
(2)偷窃。
(3)间谍行为。
(4)废物搜寻。
2)系统漏洞造成的威胁(1)不安全服务。
(2)乘虚而入。
(3)配置和初始化。
3)身份鉴别威胁(1)编辑口令。
(2)口令破解。
(3)口令圈套。
(4)算法考虑不周。
4)线缆连接威胁(1)拨号进入。
(2)窃听。
(3)冒名顶替。
5)有害程序(1)病毒。
(2)更新或下载。
(3)特洛伊木马。
(4)代码炸弹。
4.在网络安全中,什么是被动攻击什么是主动攻击答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息。
被动攻击分为两种,分别是析出消息内容和通信量分析。
被动攻击非常难以检测,因为它们并不会导致数据有任何改变。
然而,防止这些攻击是可能的。
因此,对付被动攻击的重点是防止而不是检测。
攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。
这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务。
5.简述访问控制策略的内容。
答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.列出物理网风险的4种类型。
答:窃听;回答(重放);插入;拒绝服务(DoS)。
2.什么是身份鉴别栈?答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。
3.列出对有线物理网攻击的5种类型。
答:连接破坏;干扰;侦察;插入攻击;回答。
4.有哪几种动态LAN链接的身份鉴别方法?答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。
5.列出无线网的各种风险。
答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。
6.WEP是一种高强度安全方法吗?为什么?答:是。
WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。
WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。
7.什么是数据链路的随意模式?答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。
然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。
随意模式允许攻击者接收所有来自网络的数据。
8.列出各种缓解数据层风险的方法。
答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。
9.试述CHAP的功能、特点和局限性。
答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。
CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。
CHAP具有局限性。
首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。
10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损?答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。
ARP受损影响:资源攻击、DoS攻击和MitM攻击。
缓解ARP受损方法:硬编码ARP表、ARP过期、过滤ARP回答以及锁住ARP表。
11.基于路由器的攻击有哪几种?路由表淹没后有哪几种结果?答:基于路由器的攻击:直接攻击、表中毒、表淹没、度量攻击、环路攻击。
路由表淹没后的结果:忽略新的路由、清除老的路由或清除最坏的路由。
12.OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击?答:否;基于数字和名字的地址机制容易受到假地址和拦截的攻击。
13.什么是分段机制的主要危险?假如分段超时值设置过低会有什么后果?答:丢失分段和组装数据的容量。
分段超时值设置过低的话会使分组分段传输时有些分段永远未传递。
14.网络层提供哪些QoS功能?QoS攻击有哪些?答:网络层提供建立和释放网络连接的功能,也保证相同的结点间建立多个连接,而不会产生通信干扰。
连接管理包括传递连接和面向连接的各种服务。
QoS攻击主要有:Ping攻击(DoS)、Smurf攻击(DDoS)。
15.网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性?答:窃听、伪装以及插入攻击。
缓解方法有:安全协议、网络不兼容能力、体系结构、安全过滤、防火墙和出口过滤。
局限性:安全协议:虽然能检测某些数据差错,但对检测攻击者没有大用处。
网络不兼容能力:虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6。
体系结构:知音的网络层通信能够进入数据链路隧道,和正常的网络层通信一样得到允许和保护。
安全过滤:这种方法是在模糊安全的水平。
防火墙和过滤出口:它并不能阻止来自源点伪装的网络。
16.什么是IP的安全风险?答:地址冲突、IP拦截、回答攻击、分组风暴、分段攻击及转换通道。
17.比较各种IP安全可靠方案的优缺点。
IPSec和IPv6的异同是什么?答:优缺点:禁用ICMP:ICMP提供测试、流控和差错处理,但并不提供网络路由的基本功能;非路由地址:采用非路由网络地址,使攻击者不能直接访问被保护的主机;NAT:NAT服务器提供两个安全效果(匿名和隐私),攻击者不能连接到内部主机;反向NAT:NAT最大的缺点是不能作为一个主机,反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射;IP过滤:过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组;出口过滤:一方面提供了最大的安全以防外部的攻击者,另一方面对内部用户提供了最大的方便,但允许在内部网络的攻击者对外部资源进行攻击;IPSec:高层协议不许提供自己的加密,也无需修改就可用IPSec,这使IPSec成为安全连接和VPN的理想解决方案;IPv6:扩大地址空间,在网络层提供身份鉴别和加密连接的功能,提供了完整的VPN解决方案。
IPSec和IPv6的异同:从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持。
从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议。
1.传输层有哪些风险?试比较一个端口和多个端口以及静态端口和动态端口的风险。
答:风险:传输层拦截、端口扫描、信息泄露。
一个和多个端口的风险:减少结点的端口数,能减少攻击因素。
加固的服务器将开放的端口数减少以只有基本服务。
一般来说,少量端口打开的系统更安全。
但是某些服务支持多路端口,或基于服务的需求打开新的端口,这样将带来风险。
静态和动态端口的风险:远程客户连接到服务器要两个条件:服务器的网络地址、传输协议及端口,通常连接到服务器的众所周知的端口。
某些高层协议不使用固定端口号,不用单个端口于全部通信,控制服务使用众所周知端口,数据传输则用动态端口,这会引起不安全的风险,因为在范围的端口必须都可访问网络。
2.哪些TCP信息的类型可用来识别操作系统框架?答:初始窗口大小、TCP选项、序列号、客户端口号、重试。
3.假如客户到服务器的连接被拦截,会引起什么后果?答:TCP客户接到一个连接结束或TCP超时,同时服务器没有注意到攻击者已经替换了没有登记注册的客户。
4.列出5种方法来缓解TCP攻击的威胁。
答:改变系统框架、阻断攻击指向、识别网络设备、状态分组检验、入侵检测系统(IDS)、入侵防御系统(IPS)、利用高层协议鉴别通信以及检测可能的攻击。
5.*什么技术可用来减少IP,TCP和UDP的攻击指向?答:SSL、SOCKS、安全RPC。
6.DNS协议是不安全的,它存在哪些安全风险?有哪些缓解这类风险的方法?答:直接风险:无身份鉴别的响应、DNS缓存受损、ID盲目攻击、破坏DNS分组。
技术风险:DNS域拦截、DNS服务器拦截、更新持续时间、动态DNS。
社会风险:相似的主机名、自动名字实现、社会工程、域更新。
直接威胁缓解(补丁、内外域分开、域控制、有限缓冲间隔、拒绝不匹配回答)技术威胁的缓解(加固服务器、防火墙)侦察威胁的缓解(限制提供DNS信息、域转换、请求、分开内外域、隐藏版本)社会威胁缓解(监控相似域、锁住域、使用有效联系、不间断支持、自己主持)优化DNS配置确定可信的回答7.哪些风险是由于DNS配置不当引起的?有哪些缓解这类风险的方法?答:技术风险是基于配置的问题。
技术风险包括:DNS域拦截、服务器拦截、更新持续时间以及动态DNS。
缓解方法:加固服务器、防火墙。
8.哪些方法可缓解对DNS的侦察威胁?答:限制提供DNS信息、限制域转换、限制请求、去除反向查找、分开内部和外部域、去除额外信息、隐藏版本。
9.什么是SMTP通信的四类直接威胁?答:伪装报头及垃圾邮件、中继和拦截、SMTP和DNS、低层协议。
10.哪些是攻击URL的方法?答:主机名求解攻击、主机名伪装、统一资源标识符(URI)伪装、剪切和拼接、滥用询问、SQL插入、跨站脚本(XSS)。
11.常见的HTTP风险有哪些?答:无身份鉴别的客户、无身份鉴别的服务器、客户端隐私、信息泄露、服务器定位轮廓、访问操作系统、不安全的应用程序、低层协议。
12.HTTP客户端和服务器通常会泄露哪些信息?答:HTTP请求报送通常泄露Web浏览器的类型,包括版本和操作系统;HTTP回答报送常常包含服务器类型、版本以及支持的插件(plug-in);HTTP回答的信息包括一个时间戳,通过时间戳可以识别数据是静态的(来自文件)还是动态的(来自应用程序);HTTP的时区和HTTP的本地语言,可用于定位服务器的地址位置。
13.SSL产生会话密钥的方式是什么?答:若服务器要求验证客户端,则客户端先发送Certificate消息,然后产生会话密钥,并用服务器的公钥加密,封装在ClientKeyExchange 消息中发送给服务器。
补充:SSL产生会话密钥的方式是:随机由客户机产生并加密后通知服务器14.传输层保护的网络采用的主要技术是建立在什么基础上的?答:TCP/IP协议本身非常简单、没有加密、身份鉴别等安全特性,要向上层提供安全通信机制就必须在TCP这上建立一个安全通信层次。
传输层安全技术有SSL,SOCKS和安全RPC。
最常用的是安全套接字层SSL,它提供了进程到进程的安全服务和加密传输信道。
(网络层安全机制提供的是主机到主机的)Chapter 8 防火墙1.什么是防火墙?防火墙的功能有哪些?答:防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。
防火墙的功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、(流量控制、NAT、VPN)。
2.防火墙的体系结构有哪几种?答:双宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构。
3.堡垒主机的构建原则是什么?答:选择适合的操作系统;堡垒主机的安装位置;堡垒主机提供的服务;保护系统日志;监测和备份。
4.过滤规则如何制定?答:按地址过滤;按服务过滤;对数据包做日志记录。
建立数据包过滤规则需按如下步骤:建立安全策略;将安全策略转化为数据包分组字段的逻辑表达式;用防火墙提供的过滤规则句法重写逻辑表达式并设置。
5.代理是如何工作的?答:代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;这些程序接受用户对Internet服务器的请求(如FTP,HTTP),并按照一定的安全策略将它们转发到实际的服务中。