网络安全技术与实践第二版课后答案.doc

网络安全期末复习 题型：1、选择、判断、简答（45%） 2、分析题（55%） 注：如有发现错误，希望能够提出来。 第一章 引言 一、填空题 1、信息安全的3个基本目标是：保密性、完整性和可用性。此外，还有一个不可忽视的目标是：合法使用。 2、网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和非法使用。 3、访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略。 4、安全性攻击可以划分为：被动攻击和主动攻击。 5、X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性、不可否认性。 6、X.800定义的8种特定的安全机制是：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。 7、X.800定义的5种普遍的安全机制是：可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。 二、思考题 2、基本的安全威胁主要的渗入威胁基本的安全威胁信息泄露完整性破坏拒绝服务非法使用主要的渗入威胁有：假冒旁路授权侵犯主要的植入威胁有：特洛伊木马?陷门4.什么是安全策略？安全策略有几个不同的等级？安全策略：是指在某个安全区域内，所有与安全相关活动的一套规则。安全策略等级1安全策略目标2机构安全策略3系统安全策略 6.主动攻击和被动攻击的区别是什么？答：区别：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息 的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。 主动攻击的例子：伪装攻击、重放攻击、消息篡改、拒绝服务。? 被动攻击的例子：消息泄漏、流量分析。 9、请画出一个通用的网络安全模式，并说明每个功能实体的作用。 网络安全模式如下： 网络安全模型由六个功能实体组成：消息的发送方（信源）、消息的接收方（信宿）、安全变换、信息通道、可信的第三方和攻击者。 第二章 低层协议的安全性 一、填空题 1、主机的IPv4的长度为32b，主机的MAC地址长度为48b。IPv6的地址长度为128b。 2、ARP的主要功能是将IP地址转换成为物理地址 3、NAT的主要功能是实现网络地址和IP地址之间的转换，它解决了IPv4地址短缺的问题。 4、DNS服务使用53号端口，它用来实现域名到IP地址或IP地址到域名的映射。 二、思考题 1、简述以太网上一次TCP会话所经历的步骤和涉及的协议。 答：步骤：开放TCP连接是一个3步握手过程：在服务器收到初始的SYN数据包后，该连接处于半开放状态。此后，服务器返回自己的序号，并等待确认。最后，客户机发送第3个数据包使TCP连接开放，在客户机和服务器之间建立连接。 协议:路由协议、Internet协议、 TCP/IP协议 2、在TCP连接建立的3步握手阶段，攻击者为什么可以成功实施SYN Flood攻击？在实际中，如何防范此类攻击？ 答：当TCP处于半开放状态时，攻击者可以成功利用SYN Flood对服务器发动攻击。攻击者使用第一个数据包对服务器进行大流量冲击，使服务器一直处于半开放连接状态，导致服务器无法实现3步握手协议。 防范SYN Flood攻击，一类是通过防火墙、路由器等过滤网关防护；另一类是通过加固TCP/IP协议栈防范。 4、为什么UDP比BGP的主要区别。 答：由于UDP自身缺少流控制特性，所以采用UDP进行大流量的数据传输时，就可能造成堵塞主机或路由器，并导致大量的数据包丢失；UDP没有电路概念，所以发往给定端口的数据包都被发送给同一个进程，而忽略了源地址和源端口号；UDP没有交换握手信息和序号的过程，所以采用UDP欺骗要比使用TCP更容易。 9、通过DNS劫持会对目标系统产生什么样的影响？如何避免？ 答：通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址 一、选择题 1． 数字证书将用户与其 B 相联系。 A . 私钥 B. 公钥 C. 护照 D. 驾照 2． 用户的 B 不能出现在数字证书中。 A. 公钥 B. 私钥 C. 组织名 D. 人名 3. A 可以签发数字证书。 A． CA B. 政府 C. 小店主 D. 银行 4． D 标准定义数字证书结构。 A. X.500 B. TCP/IP C. ASN.1 D. X.509 5．RA A 签发数字证书。 A. 可以 B.不必 C.必须 D. 不能 6．CA使用 D 签名数字证书。 A. 用户的公钥 B. 用