网络安全基础应用与标准 习题——答案
计算机网络安全习题和答案
计算机网络安全习题和答案一、填空题1. 常用的网络操作系统,例如:__windows NT____,_unix___和___NATW ARE_____。
2. 常见的网络协议有____tcp____,_____ip______和____http_______。
3. 常见的因特网服务有___电子邮件______,___万维网____和____搜索引擎____。
二、应用题或简答题(1) 从实现的功能看,什么叫计算机网络?计算机网络,是指地理位置不同,具有独立功能的计算机及周边设备,通过在网络操作系统中连接的通信线路,管理和协调网络管理软件和网络通信协议,实现计算机系统的资源共享和信息传输计算机系统。
(2) 同步通信与异步通信有何不同?简单来说,同步通信是一种比特同步通信技术,要求发收双方具有同频同相的同步时钟信号,只需在传送报文的最前面附加特定的同步字符,使发收双方建立同步,此后便在同步时钟的控制下逐位发送/接收。
相对于同步通信,异步通信在发送字符时,所发送的字符之间的时隙可以是任意的。
但是接收端必须时刻做好接收的准备(如果接收端主机的电源都没有加上,那么发送端发送字符就没有意义,因为接收端根本无法接收)。
发送端可以在任意时刻开始发送字符,因此必须在每一个字符的开始和结束的地方加上标志,即加上开始位和停止位,以便使接收端能够正确地将每一个字符接收下来。
异步通信的好处是通信设备简单、便宜,但传输效率较低(因为开始位和停止位的开销所占比例较大)。
(3) 什么是对等网?对等网采用分散管理的方式,网络中的每台计算机既作为客户机又可作为服务器来工作,每个用户都管理自己机器上的资源。
三、选择题(以单选题为例)1. 对IP数据报分片的重组通常发生在(B )上。
A. 源主机B. 目的主机C. IP数据报经过的路由器D. 目的主机或路由器2. 在OSI参考模型中,保证端-端的可靠性是在( C )上完成的。
A. 数据链路层B. 网络层C. 传输层D. 会话层3. MAC地址通常存储在计算机的(B )。
网络安全习题及答案
第5章1判断题1—1 TCP/IP是ARPAnet中最早使用的通信协议.(×)1-2 TCP/IP最早应用在ARPAnet中。
( √)1-3 由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以TCP是面向字节流的可靠的传输方式.(√)1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系,而不会保存以广播形式接收到的IP和MAC的对应关系.(×)1-5 ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。
(×)1-6 DHCP服务器只能给客户端提供IP地址和网关地址,而不能提供DNS的IP地址。
(×)1—7 TCP和UDP一样都是面向字节流的数据传输方式.(×)1—8 在使用DNS的网络中,只能使用域名来访问网络,而不能使用IP地址.( ×)1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录,将域名指向错误的IP地址。
(×)1—10 在DNSSEC系统中,只要在DNS服务器之间进行安全认证,而不需要在DNS客户端进行安全认证。
(×)2 填空题2—1 在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。
2—2 用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。
2—3 TCP SYN泛洪攻击属于一种典型的DOS攻击。
2-4 DNS同时调用了TCP和UDP的53端口,其中UTP53端口用于DNS客户端与DNS服务器端的通信,而TCP 53端口用于DNS区域之间的数据复制.3 选择题3—1 下面关于IP协议的描述,不正确的是(B )A. 提供一种“尽力而为”的服务B。
是一种面向连接的可靠的服务C。
是TCP/IP体系网络层唯一的一个协议D。
由于IP协议的PDU称为分组,所以IP网络也称为分组网络3-2 下面关于ARP工作原理的描述,不正确的是(C )A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C。
网络安全习题及答案,DOC
第5章1判断题1-1TCP/IP是ARPAnet中最早使用的通信协议。
(×)1-2TCP/IP最早应用在ARPAnet中。
(√)1-3由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成1-4ARP收到的IP1-5ARP1-6DHCP(×)1-7TCP和1-8在使用1-9DNS IP地址。
(×)1-10在DNS客户2填空题2-1在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。
2-2用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。
2-3TCPSYN泛洪攻击属于一种典型的DOS攻击。
2-4DNS同时调用了TCP和UDP的53端口,其中UTP53端口用于DNS客户端与DNS 服务器端的通信,而TCP53端口用于DNS区域之间的数据复制。
3选择题3-1下面关于IP协议的描述,不正确的是(B)A.提供一种“尽力而为”的服务B.是一种面向连接的可靠的服务C.是TCP/IP体系网络层唯一的一个协议D.由于IP3-2A.是通过C.ARP3-3ARPA.C.3-4在A.ARP–C.ARP–3-5A.A.防止ARP欺骗B.防止DHCP欺骗C.进行端口与MAC地址的绑定D.提供基于端口的用户认证3-7TCPSYN泛洪攻击的原理是利用了(A)A.TCP三次握手过程B.TCP面向流的工作机制C.TCP数据传输中的窗口技术D.TCP连接终止时的FIN报文3-8在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行(D)A.ARP–aB.ipconfig/allstat–nabD.ne-ab3-9DNS的功能是(B)A.建立应用进程与端口之间的对应关系B.建立IP地址与域名之间的对应关系C.建立IPD.3-10A.ARPA.1判断题1-11-21-31-41-5防病毒墙可以部署在局域网的出口处,防止病毒进入局域网。
网络安全基础知识答案
网络安全基础知识答案网络安全基础知识答案汇总网络安全基础知识答案汇总如下:1.网络安全包括物理安全和逻辑安全。
2.防火墙是用于保护网络安全的设备。
3.加密技术用于保护网络中的数据。
4.用户口令是登录时的必备条件。
5.在因特网中,“IP”是用于唯一标识网络中的主机的地址。
6.“病毒”是一种恶意程序。
7.防火墙的工作原理是允许或拒绝网络通信。
8.在因特网中,“DNS”是域名系统,用于将域名转换为IP地址。
9.在因特网中,“Web”是用于访问互联网资源的一种协议。
10.“TCP”是一种可靠的协议,用于建立、维护和终止网络连接。
网络安全基础知识答案归纳网络安全基础知识答案归纳如下:1.网络安全:指保护网络系统硬件、软件、数据及其服务的安全,同时保障网络系统的正常运行。
2.防火墙:是一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
3.加密技术:对电子信息在传输过程中和存储体内进行保护,使之不被非法窃取、篡改和破坏。
4.数字签名:是签名者利用其私钥对数据信息进行签名,从而使得信息接收者能够利用签名者的公钥对签名进行验证。
5.散列函数:是一种将任意长度的输入数据映射为固定长度输出数据的一种函数,其输出数据的长度相对于输入数据的长度而言比较小。
6.随机数:是一种真正的随机数,其主要作用是生成密钥和口令。
7.报文认证:是指数据的完整性、认证、身份认证、不可否认性等方面进行验证。
8.网络安全协议:是一种规范各方行为的准则,能够让各方的行为达到一定的可预测性。
9.网络安全管理:是指对网络系统进行规划、建设、维护和监控等过程。
10.网络安全评估:是对网络系统的安全性进行评估,从而找出潜在的安全隐患。
网络安全基础知识答案大全网络安全基础知识答案大全如下:1.网络安全主要包括网络设备安全、网络系统安全和网络安全威胁管理等方面。
2.木马是一种程序,它可以在计算机系统中隐藏自己,并且远程控制该计算机。
《计算机网络安全与应用》习题答案
第1章互联网及其应用概述习题解答1.答:a.五台设备按照全互连接拓扑结构连接,需要10根通信线路,如果其中任何一根线路中断,只会影响这根线路连接的两台设备之间的通信,对其他设备不产生影响。
b.五台设备按照星型拓扑进行连接(不包含集线器),每台设备用一个专用线路连接到集线器。
如果其中一根线路中断,将使该线路连接的设备不能与其余任何设备通信。
c.五台设备按照总线性拓扑结构进行连接,如果总线中断,将使这5台设备分割为两组,这两组之间不能进行通信。
d.5台设备按照环状拓扑进行连接,如果环中断了,这5台设备相互间照样能通信。
习题1.1 网络结构的全互联、星型、总线、环状拓扑结构图(此图在课堂给出)2.答:a. 数据链路层。
b. 网络层。
3.答:在a 中正确描述了数据封装的5个步骤。
4.答:a.传输层,b.互联网层,c. 数据链路层,d 应用层5.答:a UDP,b TCP,c TCP ,d UDP 或SCTP6.答:提示,参看教材310页表9.1中的配置方式。
路由器根据在每个接口上接收到的IP包中的源IP地址和目的IP地址,来确定应当将此IP包从哪个接口转发出去。
7.答:网络连通性测试的命令Ping利用了ICMP协议进行工作,测试主机向被测试主机发送一个Echo_Request命令,而被测主机收到后则向源主机返回一个Echo_Reply的响应包,由此可判断此而主机的网络是否连通。
但是,恶意主机可以在同一时刻向同一个主机发送巨大数量的Ping包,导致目标主机的网络产生拥塞,甚至瘫痪,由此形成拒绝服务攻击DoS。
因此很多服务器和网络主机设置了防火墙的参数,阻止Ping的发送或接收的操作。
8.答:面向连接的通信的特点是,在传输通信数据之前,要在通信各方之间先建立一个连接,通信结束后再中断连接。
以太网是一个广播式的局域网络,发送方在线路空闲时将数据帧发送出去,网络主机根据收到数据帧中的目的MAC地址来判断是否是发给自己的。
网络安全基础应用与标准第五版课后答案
第1章【思考题】1.1 OSI安全体系结构是一个框架,它提供了一种系统化的方式来定义安全需求,并描述满足这些需求的方法。
该文档定义了安全攻击、机制和服务,以及这些类别之间的关系。
1.2被动攻击与窃听或监视传输有关。
电子邮件、文件传输和客户机/服务器交换是可以监视的传输示例。
主动攻击包括修改传输的数据和试图未经授权访问计算机系统。
1.3被动攻击:发布消息内容和流量分析。
主动攻击:伪装、重播、修改消息和拒绝服务。
1.4认证:保证通信实体是其声称的实体。
访问控制:防止未经授权使用资源(即,此服务控制谁可以访问资源,在什么条件下可以进行访问,以及允许访问资源的人做什么)。
数据保密:保护数据不被未经授权的泄露。
数据完整性:确保接收到的数据与授权实体发送的数据完全一致(即不包含修改、插入、删除或重播)。
不可否认性:提供保护,以防止参与通信的实体之一拒绝参与全部或部分通信。
可用性服务:系统或系统资源的属性,根据系统的性能规范,经授权的系统实体可根据需要访问和使用(即,如果系统在用户请求时根据系统设计提供服务,则系统可用)。
【习题】1.1系统必须在主机系统和交易传输期间对个人识别号保密。
它必须保护账户记录和个人交易的完整性。
东道国制度的有效性对银行的经济福祉很重要,但对其受托责任却不重要。
个人取款机的可用性不那么令人担忧。
1.2系统对个人交易的完整性要求不高,因为偶尔丢失通话记录或账单记录不会造成持续损害。
然而,控制程序和配置记录的完整性是至关重要的。
没有这些,交换功能将被破坏,最重要的属性-可用性-将被破坏。
电话交换系统还必须保护个人通话的机密性,防止一个来电者偷听另一个来电。
1.3 a.如果系统用于发布公司专有材料,则必须确保保密性。
b.如果系统被用于法律或法规,则必须确保其完整性。
c.如果该系统用于出版日报,则必须确保其可用性。
1.4 a.在其Web服务器上管理公共信息的组织确定不存在保密性损失(即保密性要求不适用)、完整性损失的中度潜在影响和可用性损失的中度潜在影响。
网络安全基础课后答案
网络安全基础课后答案1. 网络安全的定义与重要性网络安全是指在计算机网络中保护网络安全性和信息安全性的技术和措施。
它涉及到保护计算机系统免受未经授权的访问、使用、泄漏、破坏和干扰的威胁。
网络安全的重要性体现在以下几个方面:- 保护个人隐私:网络安全可以确保个人信息不被未经授权的人访问和利用,防止个人隐私泄漏。
- 维护国家安全:网络安全对于国家安全至关重要,可以防止外部势力非法入侵、渗透和破坏关键基础设施。
- 维护商业机密:企业的商业机密包括专利、技术、研发成果等,网络安全可以确保这些重要资产不受到竞争对手的非法获取和使用。
- 保障互联网经济的发展:网络安全可以有效地防止网络犯罪和诈骗活动,增加用户对互联网的信任,促进互联网经济的健康发展。
2. 主要的网络安全威胁网络安全威胁主要包括以下几个方面:- 病毒和恶意软件:病毒和恶意软件通过感染计算机系统和网络,可以窃取个人信息、破坏数据、控制计算机等,给网络安全造成威胁。
- 黑客攻击:黑客通过入侵系统和网络,获取非法访问权限,进行数据窃取、篡改、破坏、攻击等行为。
- 拒绝服务攻击(DoS/DDoS攻击):攻击者通过发送大量无效请求,占用目标系统的资源,导致服务不可用,影响正常业务运行。
- 越权访问和滥用权限:员工或授权用户越过自己的访问权限,获取对系统和网络的未授权访问,可能篡改或窃取敏感信息。
- 数据泄漏和信息安全:数据泄漏可以由内部或外部人员通过窃取或泄漏敏感数据造成,对个人和企业的信息安全造成严重威胁。
- 社交工程:攻击者通过虚假身份、欺骗性讯息等方式,诱导用户透露个人信息或完成非法操作。
3. 常见的网络安全防护措施为了保护网络安全、信息安全,可以采取以下一些常见的安全防护措施:- 防病毒和恶意软件:使用安全防护软件,及时更新病毒库,定期进行病毒扫描和清除恶意软件。
- 防黑客攻击:使用防火墙和入侵检测系统(IDS/IPS)等安全设备,定期检查和修补系统漏洞。
网络安全基础答案
网络安全基础答案1. 网络安全的定义是指通过技术手段保护计算机网络系统的完整性、可用性和机密性,防止未经授权的访问、使用、披露、破坏、修改、中断,以及防止计算机病毒和其他恶意软件的侵入和传播。
2. 非对称加密算法是一种常用的加密算法,与对称加密算法不同的是,它使用两个密钥(公钥和私钥)。
公钥用于加密数据,并可以公开发布,而私钥用于解密数据,只有密钥持有者可以拥有。
这种加密算法的主要优势是安全性较高,但效率较低。
3. DDOS(分布式拒绝服务)攻击是一种通过大量的恶意流量向目标服务器发送请求,以使其超过处理能力而无法正常响应其他合法用户请求的攻击手段。
常见的DDOS攻击方式包括UDP flood、SYN flood和ICMP flood等。
4. SQL注入是一种常见的网络安全漏洞,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,以获取未授权的访问、修改或删除数据库中的数据。
为了防止SQL注入攻击,可以使用参数化查询、输入验证和最小化特权等方法。
5. 钓鱼攻击是一种通过伪装成可信实体(例如银行、社交媒体网站等)的方式,诱使用户泄露敏感信息(如用户名、密码、银行账户号码等)的攻击手段。
防范钓鱼攻击的方法包括加强用户教育、使用多因素身份验证、定期更新用户密码等。
6. 网络防火墙是一种网络安全设备,用于监控和控制进出网络的数据流量,根据预设的安全策略进行过滤和阻断。
它可以检测和阻止潜在的恶意流量,保障内部网络的安全。
7. 网络蠕虫是一种自我复制的恶意软件,通过感染一个目标主机,利用网络传播到其他主机,从而形成一个蔓延的攻击网络。
蠕虫病毒的传播通常利用网络漏洞、弱密码和未及时更新的软件等。
8. VPN(虚拟私人网络)是一种通过公共网络(如互联网)建立安全连接的技术,用于实现对数据传输的加密和隧道化,从而提供远程访问和安全通信。
它可以保护用户的隐私和数据安全。
9. 网络安全政策是一个组织或机构为了保护其计算机网络系统而制定的一系列规则、监管和措施的总称。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一.
1、什么是OSI安全体系结构?
安全攻击安全机制安全服务
2、被动和主动安全威胁之间有什么不同?
被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加
3列出并简要定义被动和主动安全攻击的分类?
被动攻击:内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务
4、列出并简要定义安全服务的分类?
认证,访问控制,数据机密性,数据完成性,不可抵赖性
二.
1.黑客为什么可以成功实施ARP欺骗攻击?在实际中如何防止ARP欺骗攻击?
ARP欺骗的基本原理就是欺骗者利用ARP协议的安全漏洞,通过向目标终端大量发送伪造的ARP协议报文欺骗目标终端,使目标终端误以为是与期望主机通信,而实际上是与欺骗者进行通信。
•局域网内可采用静态ARP Cache
•ARP Cache设置超时
•主动查询
–在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。
–同时定期检测交换机的流量列表,查看丢包率。
•使用ARP防护软件
•具有ARP防护功能的路由器
2. 什么是ICMP重定向攻击?如何防止此类攻击?
ICMP重定向报文是ICMP控制报文的一种。
当默认路由器检测到某主机使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。
TCP/IP体系不提供认证功能,攻击者可以冒充路由器向目标主机发送ICMP重定向报文,诱使目标主机更改寻径表,其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的路由器。
三.
1.防火墙可以提供哪些机制?
答:服务控制、方向控制、用户控制和行为控制。
2.防火墙有哪些局限性?
a)为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,
给用户带来使用的不便。
b) 不能防止传送已感染病毒的软件或文件。
c) 防火墙对不通过它的连接无能为力,如拨号上网等。
d) 作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新
的威胁和攻击。
e) 不能防备内部人员的攻击行为等。
3.防火墙应满足的基本条件是什么?
作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:
(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。
(2) 只有符合安全策略的数据流才能通过防火墙。
(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。
四.
1. 对称密码的基本因素是什么?
明文,加密算法,秘密密钥,密文,解密算法
2. 两个人通过对称密码通信需要多少个密钥?(P24)
1个
4.攻击密码的两个通用方法是什么?
密钥搜索和穷举方法
5.分组密码的电子密码本模式有什么不足?如何解决?
电子密码本模式的缺点就是相同的明文产生相同的密文,对高度结构化消息是非常不安全的。
需要采用其它模式,目的就是为了即使明文相同,密文也不相同。
6.DES的密钥长度是56bits,如何使用DES,使得等效密钥长度为112bits或
168bits?
使用三个密钥对数据块进行三次加密,即采用三重DES加密模型。
(a)使用三个不同密钥K1, K2,K3,依次进行加密-解密-加密变换,等效密钥长度为168bits;
(b)其中密钥K1=K3,依次进行加密-解密-加密变换,等效密钥长度为112bits。
E(K1,D(K2,E(P,K1)))112bits
E(K3,D(K2,E(P,K1))) 168bits
五.
1、列举消息认证的三种方法:
单向散列函数,消息认证码MAC,利用常规加密的消息认证
2、什么是MAC:(P49)
一种认证技术。
利用私钥产出一小块数据,并将其附到消息上。
这种技术称为消息验证码。
3、对于消息认证,散列函数H必须具有什么性质才可以用:(P51)
1 H可使用于任意长度的数据块
2 H能生成固定长度的输出
3 对于任意长度的x,计算H(x)相对容易,并且可以用软/硬件方式实现
4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。
5对于任意给定的数据块x,找到满足H(y)=H(x),的y=!x在计算机上是不可行的。
6找到满足H(x)=H(y)的任意一对(x,y)在计算机上是不可行的。
4、公钥加密系统的基本组成元素是什么?
明文,加密算法,公钥和私钥,密文,解密算法
5、列举并简要说明公钥加密系统的三种应用:
加密/解密,数字签名,密钥交换
7.使用公钥加密和使用私钥加密有什么不同的作用?
使用对方公钥加密,可以保证信息的机密性;
使用自己的私钥加密,可以让接收方确认信息的来源。
8.如何使用公钥加密来分发共享密钥?
先获得对方数字证书,验证证书获得对方公钥,然后E PUB,(K AB)
9.简述针对Diffie-Hellman密钥交换的中间人攻击过程。
P71
填空题
1.网络攻击分为主动攻击和被动攻击两大类。
2.流量分析和篡改消息分别属于被动攻击和主动攻击。
3.ARP的主要功能是将 IP 地址转换为物理地址地址。
4.Telnet服务的功能是实现远程登陆,它采用TCP的 23 号端口。
5.蔽主机体系结构防火墙主要由包过滤路由器和堡垒主机构成。
6.包过滤是通过包过滤路由器在网络层上实现的。
7.密码学包括密码编码学和密码分析学两个分支;
8.DES算法密钥是64位,其中密钥有效位是56位。
9.属于公钥加密技术的加密算法有RSA 、DSA 。
10.分组密码每次处理一个输入元素分组,并为每个输入分组产生一个输出分组;流密码连续处理输入元素,在运行过程中,一次产生一个输出元素。
11.DES、AES和RC4同属于对称加密技术,不同的是DES和AES属于分组密码加密技术,而RC4属于流密码加密技术。
12.RSA和DSS同属于非对称加密技术,其中,RSA 可用于加密/解密、数字签名和密钥交换,而DSS 只用于数字签名。
13.数据完整性验证中MAC的中文名称是消息认证码。
14.MD5是将任意长的信息浓缩成128 位的消息摘要。
15.SHA-1是将任意长的信息浓缩成160 位的消息摘要。
9. 身份认证包括身份识别和身份验证 2个过程;
17.Diffie-Hellman技术主要用于密钥交换。
名词解释:
1.堡垒主机
堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。
2.抗弱碰撞性
抗弱碰撞性就是对于给定的x,找到满足H(y)=H(x)的y在计算上是不可行的。
3.数字签名
对报文的散列值使用签名者的私钥加密的的过程,可以对报文的来源和完整性进行认证,也可以防止签名者事后抵赖。
4.散列函数
散列函数:散列函数运算后,得到信息的ICV值,用于保证信息的完整性,具有单向性的特点。
5.流量分析
流量分析:一种被动攻击方法,统计节点间的通信流量,以分析节点间的某种关系。
6.会话劫持
所谓会话劫持,就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成交由黑客中转。
攻击者重定向客户和服务器之间的数据流,使之经过攻击者的机器,从而截获他们之间的通信,结合了嗅探以及欺骗技术在内的攻击手段。
综合题:
1. 源主机A要向目的主机B发送数据,为什么主机A除知道目的主机B的IP 地址外,源主机A还必须要知道目的主机B的MAC地址?
答:IP地址具有全网范围内的寻址能力,主机A和主机B可能分别处在不同网络,主机A要访问主机B首先要知道主机B的IP地址,不然找不到主机B 所在的网络;
在现行寻址机制中,主机的以太网网卡只能识别MAC地址,而不能识别IP 地址,若数据帧中不指明主机B的MAC 地址,主机B的网卡不能识别该帧是发给自己的,因此主机A仅知道主机B的IP地址还不够,还必须知道主机B的MAC 地址,才能完成对主机B的访问;网络之间是用IP地址寻址,网络之内(同一物理网段或称IP子网)是用MAC地址寻址;
尽管MAC地址和IP地址一样都是在全网范围内唯一定义的,但MAC的寻址
能力仅局限在一个物理网段(一个IP子网)中。
2. Alice要把报文M发送给Bob,Alice和Bob已经拥有了各自的数字证书,请按照下面两种不同的要求设计相应的安全方案:
(1)报文M不需要保密,但Bob能够确认收到的M没有被篡改,并且能确认M 就来自于Alice;
(2)报文M需要保密,且Alice和Bob事先并没有约定好的共享密钥,同时Bob 能确认报文M的来源和完整性。
(1)M||E(PR A,H(M))(4分)
(2)E(K AB,【M||E(PR A,H(M))】))||E(PU B,K AB)。