计算机网络习题解答剖析.ppt

7-02、09、10、21 02 重放攻击 例如，入侵者可以从网络上截获A发给B的报文。C并不需要破译这个报文（因为可能花很多时间），而可以直接把这个由A加密的报文发给B，使B误认为C就是A。然后B就向伪装是A的C发送许多本来应当发给A的报文。这就叫重放攻击。 拒绝服务 指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常的服务，这种攻击被称为拒绝服务DOS，也称为网络带宽攻击或连通性攻击。 Ping –t x.x.x.x 7-02、09、10、21 访问控制 又称为存取控制或接入控制。必须对接入网络的权限加以控制，并规定每个用户的接入权限。 流量分析 属于被动攻击，攻击者只观察和分析某一个协议数据单元PDU而不干扰信息流。通过观察PDU的协议控制信息部分，了解正在通信协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。 恶意程序 属于一种特殊地主动攻击。主要有：计算机病毒，计算机蠕虫，特洛伊木马，逻辑炸弹。 7-10 答：数字签名是指通信双方在网上交换信息时，用公钥密码防止伪造和欺骗的一种身份 证。 数字签名必须保证以下三点: (1) 接收者能够核实发送者对报文的签名； (2) 发送者事后不能抵赖对报文的签名； (3) 接收者不能伪造对报文的签名。 有多种实现数字签名的方法，采用公开密钥算法比常规密钥算法更容易实现。 7-09 发送者 A 用接收方给定的公钥PKB 通过E运算对明文 X 进行加密，得于密文Y，发送给B。 B 用自己和私钥SKB 通过D运算进行解密，恢复出明文X。 虽然在计算机上可以容易产生成对的PKB和SKB。但从已知的PKB实际上不可能推导出SKB，即从PKB到SKB是“计算上不可能的”，所以公开了对安全性没有影响。 如果不公开对安全性也不会提高，因为任何加密方法取决于密码的长度，以及攻破密文所需的计算量。 7-10 采用公开密钥算法的数字签名算法如下: 发送者 A 用其秘密解密密钥 SKA 对报文 X 进行D运算，将结果 DSKA(K) 传送给接收B。B 用已知的 A 的公开加密密钥得出 EPKA(DSKA(X))=X。因为除 A 外没有别人能具A 的解密密钥 SKA，所以除 A 外没有别人能产生密文 DSKA(X)。这样，报文 X 就被签名了如图所示。 7-10 如果 A 要抵赖曾发送报文给 B，B 可以将 X 及 DSKA(X) 出示给第三者。第三者很容易用 PKA 去证实 A 确实发送消息 X 给 B。 反之，若 B 将 X 伪造成 X，则 B 不能 在第三者前出示 DSKA(X)。这样就证明了 B 伪造了报文。可见实现数字签名也同时实现了对报文来源的鉴别。 7-21 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙？ 防火墙是一种特殊编程的路由器。防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，目的是实现实施访问控制策略。 一是阻止：阻止某种类型的流量通过防火墙。 二是允许；与阻止相反。 访问级防火墙：主要是防止整个网络出现外来非法的入侵。（访问控制：限制他人进入内部网络，过滤掉不安全服务和非法用户：抗攻击：限定人们访问特殊站点；） 应用级防火墙：从应用程序来进行访问控制。例如只允许通过访问万维网的应用，而阻止FTP应用的通过。 7-21 防火墙是网络安全的重要一环，防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，防火墙能防以下内容： （1）访问控制：限制他人进入内部网络，过滤掉不安全服务和非法用户； （2）抗攻击：限定人们访问特殊站点； （3）审计：为监视Internet 安全提供方便，对网络访问进行记录，建立完备的日志、审计和追踪网络访问，并可以根据需要产生报表、报警和入侵检测等。但也存在一定的局限性： （1）不能完全防范外部刻意的人为攻击； （2）不能防范内部用户攻击防火墙不适用于内部人员的攻击； （3）不能防止内部用户因误操作而造成口令失密受到的攻击； （4）很难防止病毒或者受病毒感染的文件的传输。 8-06，09，14 06 单独播放音频/视频节目的应用程序通常称为媒体播放器。媒体播器具有管理用户界面，解压缩，消除时延抖动和处理传输带来的差错。 媒体播放器与媒体服务器的关系是客户与服务器的关系。 媒体服务器也称为流式服务器。媒体服务器支持流式音频和视频的传送。 8-09 IP电话的通话质量主要由两个因素决定，一个是通话双方端到端的时延和时延抖动，另一个是话音分组的丢失率。而这两个因素都是不确定的，而是取决于当时网络上的通信量。 若网络上的通信量非常大以致发生了网络拥塞，那么端到端时延和时延抖动以及分组丢失率都会很高，这就导致IP电话的通话质量下降。 因此一个用户IP电话的通信质量取决于其他的