網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)--習(xí)題——答案(共5頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上一.1、什么是OSI安全體系結(jié)構(gòu)？ 安全攻擊 安全機(jī)制 安全服務(wù)2、被動和主動安全威脅之間有什么不同？被動攻擊的本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸；主動攻擊包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加3列出并簡要定義被動和主動安全攻擊的分類？被動攻擊：內(nèi)容泄漏和流量分析；主動攻擊：假冒，重放，改寫消息，拒絕服務(wù)4、列出并簡要定義安全服務(wù)的分類？認(rèn)證，訪問控制，數(shù)據(jù)機(jī)密性，數(shù)據(jù)完成性，不可抵賴性二.1黑客為什么可以成功實施ARP欺騙攻擊？在實際中如何防止ARP欺騙攻擊？ARP欺騙的基本原理就是欺騙者利用ARP協(xié)議的安全漏洞，通過向目標(biāo)終端大量發(fā)送偽造的ARP協(xié)議報文欺騙目標(biāo)終端，使目標(biāo)終端

2、誤以為是與期望主機(jī)通信，而實際上是與欺騙者進(jìn)行通信。 局域網(wǎng)內(nèi)可采用靜態(tài)ARP Cache ARP Cache設(shè)置超時 主動查詢 在某個正常的時刻，做一個IP和MAC對應(yīng)的數(shù)據(jù)庫，以后定期檢查當(dāng)前的IP和MAC對應(yīng)關(guān)系是否正常。 同時定期檢測交換機(jī)的流量列表,查看丟包率。 使用ARP防護(hù)軟件 具有ARP防護(hù)功能的路由器2. 什么是ICMP重定向攻擊？如何防止此類攻擊？ICMP重定向報文是ICMP控制報文的一種。當(dāng)默認(rèn)路由器檢測到某主機(jī)使用非優(yōu)化路由的時候，它會向該主機(jī)發(fā)送一個ICMP重定向報文，請求主機(jī)改變路由。TCP/IP體系不提供認(rèn)證功能，攻擊者可以冒充路由器向目標(biāo)主機(jī)發(fā)送ICMP重定向報

3、文，誘使目標(biāo)主機(jī)更改尋徑表，其結(jié)果是到達(dá)某一IP子網(wǎng)的報文全部丟失或都經(jīng)過一個攻擊者能控制的路由器。三.1. 防火墻可以提供哪些機(jī)制？答：服務(wù)控制、方向控制、用戶控制和行為控制。2. 防火墻有哪些局限性?a) 為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù),給用戶帶來使用的不便。b) 不能防止傳送已感染病毒的軟件或文件。c) 防火墻對不通過它的連接無能為力，如撥號上網(wǎng)等。d) 作為一種被動的防護(hù)手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。e) 不能防備內(nèi)部人員的攻擊行為等。3. 防火墻應(yīng)滿足的基本條件是什么？作為網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合，防火墻應(yīng)滿足的

4、基本條件如下：(1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。(2) 只有符合安全策略的數(shù)據(jù)流才能通過防火墻。(3) 防火墻自身具有高可靠性，應(yīng)對滲透(Penetration)免疫，即它本身是不可被侵入的。四.1. 對稱密碼的基本因素是什么？明文，加密算法，秘密密鑰，密文，解密算法2. 兩個人通過對稱密碼通信需要多少個密鑰？(P24) 1個4. 攻擊密碼的兩個通用方法是什么？密鑰搜索和窮舉方法5. 分組密碼的電子密碼本模式有什么不足？如何解決？電子密碼本模式的缺點就是相同的明文產(chǎn)生相同的密文，對高度結(jié)構(gòu)化消息是非常不安全的。需要采用其它模式，目的就是為了即使明文相同，密文也不相同。6

5、. DES的密鑰長度是56bits，如何使用DES，使得等效密鑰長度為112bits或168bits？使用三個密鑰對數(shù)據(jù)塊進(jìn)行三次加密，即采用三重DES加密模型。（a）使用三個不同密鑰K1, K2，K3，依次進(jìn)行加密-解密-加密變換，等效密鑰長度為168bits；（b）其中密鑰K1=K3，依次進(jìn)行加密-解密-加密變換，等效密鑰長度為112bits。E（K1，D(K2，E(P,K1)）112bitsE（K3，D(K2，E(P,K1)） 168bits五.1、列舉消息認(rèn)證的三種方法： 單向散列函數(shù)，消息認(rèn)證碼MAC，利用常規(guī)加密的消息認(rèn)證2、什么是MAC：(P49)一種認(rèn)證技術(shù)。利用私鑰產(chǎn)出一小塊

6、數(shù)據(jù)，并將其附到消息上。這種技術(shù)稱為消息驗證碼。3、對于消息認(rèn)證，散列函數(shù)H必須具有什么性質(zhì)才可以用：(P51)1 H可使用于任意長度的數(shù)據(jù)塊2 H能生成固定長度的輸出3 對于任意長度的x，計算H（x）相對容易，并且可以用軟/硬件方式實現(xiàn)4對于任意給定值h,找到滿足H(x)=h的x在計算機(jī)上不可行。5對于任意給定的數(shù)據(jù)塊x,找到滿足H（y）=H(x)，的y=!x在計算機(jī)上是不可行的。6找到滿足H（x）=H(y)的任意一對（x,y）在計算機(jī)上是不可行的。4、公鑰加密系統(tǒng)的基本組成元素是什么？明文，加密算法，公鑰和私鑰，密文，解密算法5、列舉并簡要說明公鑰加密系統(tǒng)的三種應(yīng)用：加密/解密，數(shù)字簽名，

7、密鑰交換7. 使用公鑰加密和使用私鑰加密有什么不同的作用？ 使用對方公鑰加密，可以保證信息的機(jī)密性； 使用自己的私鑰加密，可以讓接收方確認(rèn)信息的來源。8. 如何使用公鑰加密來分發(fā)共享密鑰？ 先獲得對方數(shù)字證書，驗證證書獲得對方公鑰，然后 E PUB,(KAB)9. 簡述針對Diffie-Hellman密鑰交換的中間人攻擊過程。P71填空題1. 網(wǎng)絡(luò)攻擊分為 主動 攻擊和 被動 攻擊兩大類。2. 流量分析和篡改消息分別屬于 被動 攻擊和 主動 攻擊。3. ARP的主要功能是將 IP 地址轉(zhuǎn)換為 物理地址 地址。4. Telnet服務(wù)的功能是實現(xiàn)遠(yuǎn)程登陸，它采用TCP的 23 號端口。5. 蔽主機(jī)

8、體系結(jié)構(gòu)防火墻主要由 包過濾路由器 和 堡壘主機(jī) 構(gòu)成。6. 包過濾是通過包過濾路由器在 網(wǎng)絡(luò)層 上實現(xiàn)的。7. 密碼學(xué)包括 密碼編碼學(xué) 和 密碼分析學(xué) 兩個分支；8. DES算法密鑰是 64 位，其中密鑰有效位是 56 位。9. 屬于公鑰加密技術(shù)的加密算法有 RSA 、 DSA 。10. 分組密碼 每次處理一個輸入元素分組，并為每個輸入分組產(chǎn)生一個輸出分組； 流密碼 連續(xù)處理輸入元素，在運(yùn)行過程中，一次產(chǎn)生一個輸出元素。11. DES、AES和RC4同屬于 對稱 加密技術(shù)，不同的是DES和AES屬于 分組密碼 加密技術(shù)，而RC4屬于 流密碼 加密技術(shù)。12. RSA和DSS同屬于 非對稱 加

9、密技術(shù)，其中， RSA 可用于加密/解密、數(shù)字簽名和密鑰交換，而 DSS 只用于數(shù)字簽名。13. 數(shù)據(jù)完整性驗證中MAC的中文名稱是 消息認(rèn)證碼 。14. MD5是將任意長的信息濃縮成 128位的消息摘要。15. SHA-1是將任意長的信息濃縮成 160位的消息摘要。9. 身份認(rèn)證包括 身份識別 和 身份驗證 16. 2個過程；17. Diffie-Hellman技術(shù)主要用于 密鑰交換 。名詞解釋：1. 堡壘主機(jī)堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問。2. 抗弱碰撞性抗弱碰撞性就是對于給定的x

10、，找到滿足H(y)=H(x)的y在計算上是不可行的。3. 數(shù)字簽名 對報文的散列值使用簽名者的私鑰加密的的過程，可以對報文的來源和完整性進(jìn)行認(rèn)證，也可以防止簽名者事后抵賴。4. 散列函數(shù)散列函數(shù)：散列函數(shù)運(yùn)算后，得到信息的ICV值，用于保證信息的完整性，具有單向性的特點。5. 流量分析流量分析：一種被動攻擊方法，統(tǒng)計節(jié)點間的通信流量，以分析節(jié)點間的某種關(guān)系。6. 會話劫持所謂會話劫持，就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。攻擊者重定向客戶和服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過攻擊者的機(jī)器，從而

11、截獲他們之間的通信，結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。綜合題：1. 源主機(jī)A要向目的主機(jī)B發(fā)送數(shù)據(jù)，為什么主機(jī)A除知道目的主機(jī)B的IP地址外，源主機(jī)A還必須要知道目的主機(jī)B的MAC地址？答：IP地址具有全網(wǎng)范圍內(nèi)的尋址能力，主機(jī)A和主機(jī)B可能分別處在不同網(wǎng)絡(luò)， 主機(jī)A要訪問主機(jī)B首先要知道主機(jī)B的IP地址，不然找不到主機(jī)B所在的網(wǎng)絡(luò)；在現(xiàn)行尋址機(jī)制中，主機(jī)的以太網(wǎng)網(wǎng)卡只能識別MAC地址，而不能識別IP地址，若數(shù)據(jù)幀中不指明主機(jī)B的MAC 地址，主機(jī)B的網(wǎng)卡不能識別該幀是發(fā)給自己的，因此主機(jī)A僅知道主機(jī)B的IP地址還不夠，還必須知道主機(jī)B的MAC地址，才能完成對主機(jī)B的訪問；網(wǎng)絡(luò)之間是用IP地址尋址，網(wǎng)絡(luò)之內(nèi)（同一物理網(wǎng)段或稱IP子網(wǎng)）是用MAC地址尋址；盡管MAC地址和IP地址一樣都是在全網(wǎng)范圍內(nèi)唯一定義的，但MAC的尋址能力僅局限在一個物理網(wǎng)段（一個IP子網(wǎng)）中。2. Alice要把報文M發(fā)送給Bob，Alice和Bob已經(jīng)擁有了各自的數(shù)字證書，請按照下面