计算机网络教程第5版-第7章网络安全

7-1 计算机网络中的安全威胁都有哪些？需要哪些安全服务？

解答：
计算机网络所面临的安全威胁主要来自两大类攻击，即被动攻击和主动攻击。这两类攻击中四种最基本的形式是：
(1) 截获(interception) 攻击者从网络上窃听他人的通信内容。
(2) 中断(interruption) 攻击者有意中断他人在网络上的通信。
(2) 篡改(modification) 攻击者故意篡改网络上传送的报文。
(4) 伪造(fabrication) 攻击者伪造信息在网络上传送。
除此之外，在被动攻击中，还有通信量分析；在主动攻击中还有重放攻击、拒绝服务攻击、恶意程序攻击等。
计算机网络需要的安全服务包括：机密性、报文完整性、不可否认性、实体鉴别、访问控制、可用性。

7-2 请说明授权(authorization)与鉴别(authentication)的区别。

解答：鉴别与授权(authorization)是不同的概念。授权涉及到的问题是：实体所进行的行为是否被允许（如是否可以对某文件进行读或写等等）。

7-3 对称密钥密码体制与公钥密码体制的特点各如何？各有何优缺点？

解答：对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。在对称钥密系统中，两个参与者要共享同一个秘密密钥，这给密钥的管理和更换都带来了极大的不便，通常需要使用复杂的密钥分发中心KDC (Key Distribution Center)来解决该问题。然而采用公钥密码体制可以比较容易地解决这个问题。
公钥密码体制使用不同的加密密钥与解密密钥，加密密钥（即公钥）PK是公开信息，而解密密钥（即私钥）SK是需要保密的，因此私钥也叫做秘密密钥。由于加密密钥不能用来解密，并且从加密密钥不能推导出解密密钥，因此加密密钥可以公开。例如，参与者A可以在报纸上公布自己的加密密钥（即公钥），而解密密钥（即私钥）自己秘密保存。任何参与者都可以获得该公钥并用来加密发送给参与者A的信息，而该信息只能由A解密。可见采用公钥密码体制更易解决密钥分发的问题。
公钥密码体制有许多很好的特性，使得它不仅可以用于加密，还可以很方便地用于鉴别和数字签名。但是，公钥密码算法比对称密码算法要慢好几个数量级。因此，对称密码被用于绝大部分加密，而公钥密码则通常用于会话密钥的建立。

7-4 考虑n个用户两两间的秘密通信问题。如果使用对称密钥密码体制，需要多少密钥？若使用公钥密码体制，则需要多少对密钥？

解答：使用对称密钥密码体制，需要的密钥数是n(n – 1)/2个。使用公钥密码体制，则需要n对密钥。

7-5 你能设计出一个简单的对称密钥加密算法吗？请大致评估一下你的加密算法的强度。

解答：略

7-6 在对称密钥系统中，通信双方要共享同一秘密密钥，需要通过安全通道分发密钥。而在公钥系统中，公钥无需保密，是否就不存在密钥分发的问题？试举一例说明原因。

解答：不是，设想用户A要欺骗用户B。A可以向B发送一份伪造是C发送的报文。A用自己的私钥进行数字签名，并附上A自己的公钥，谎称这公钥是C的。B如何知道这个公钥不是C的呢？因此，在公钥系统中也存在密钥分发的问题，通常需要有一个值得信赖的机构来将公钥与其对应的实体（人或机器）进行绑定(binding)，这样的机构就叫作认证中心CA (Certification Authority)。

7-7 比较对称密钥密码体制与公钥密码体制中密钥分发的异同。

解答：其共同点是都需要一个可信的机构。目前常用的对称密钥分发方式是设立密钥分发中心KDC。KDC是一个大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分发一个会话密钥。而在公钥系统中，通常需要有一个值得信赖的机构即认证中心CA (Certification Authority)来将公钥与其对应的实体（人或机器）进行绑定(binding)。

7-8 为什么需要进行报文鉴别？报文的保密性与完整性有何区别？什么是MD5？

解答：有时，通信双方并不关心通信的内容是否会被人窃听，而只关心通信的内容是否被人篡改或伪造，这就需要进行报文鉴别，既鉴别报文的真伪。
报文的机密性是确保报文中的信息不会泄漏给非授权用户。而报文完整性是确保报文中的信息不被非授权用户篡改或伪造。MD5是一种报文摘要算法，用来进行报文鉴别。

7-9 为什么报文鉴别技术中要使用报文摘要？什么报文摘要要使用密码散列函数？使用普通散列函数会有什么问题？

解答：使用加密就可达到报文鉴别的目的，因为伪造的报文解密后不能得到可理解的内容。但对于不需要保密，而只需要报文鉴别的网络应用，对整个报文的加密和解密，会使计算机增加很多不必要的负担（加密和解密要花费相当多的CPU时间）。更有效的方法是使用报文摘要MD (Message Digest)将可长的可变长报文计算得到较短的固定长度的报文摘后再使用加密算法进行报文鉴别。
如果使用密码散列函数产生报文摘要，则攻击者伪造相同报文摘要的原文在计算上是不可行的，因此通过报文摘要能鉴别原文的真实性。而使用普通散列函数产生报文摘要，则攻击者很容易找到与相同报文摘要的其他报文来伪造原文，因此不能通过报文摘要能鉴别原文的真实性。

7-10 计算字符串“SEND1293.BOB”和“SEND9213.BOB”的因特网检验和，看是否完全一样的。

解答：以16位（即两个字符）为一组，用反码算术运算求和，任意两组在同一位的数值进行交换都不会改变计算结果，因此“1293”和“9213”的检验和计算结果相同。

7-11 比较数字签名与报文鉴别码技术的异同。

解答：报文鉴别码和数字签名都能用来保证报文的完整性。
但由于数字签名是产生者用自己的私钥对报文进行加密运算，验证者用产生者的公钥对加密的报文进行验证。报文鉴别码由于双方共享鉴别密钥，因此不能防止鉴别方伪造报文，而数字签名由于使用私钥第报文签名，其他任何人都无法伪造报文。但数字签名计算量比较大。

7-12 请修改图7-9中的鉴别协议，使用公钥密码加密算法来实现不重数鉴别协议。

解答：通信双方可以利用自己的私钥对不重数进行签名，并用对方的公钥进行鉴别。SK表示私钥。

7-13 如果采用信道加密机对网络中所有链路都进行加密，并且所有中间结点（如路由器）也是安全的，是不是就不需在网络其他层次提供安全机制了？

解答：不是。用户的安全性需求是多样的，很难用一种机制满足所有需求。例如，信息的最终接收者可能需要直接验证信息源的身份，而这种安全需求用逐段的信道加密机很难实现，最好是采用端到端的鉴别机制。

7-14 查看一个无线接入点AP的安全配置，看看它都支持几种安全机制。

解答：略

7-15 IPSec有哪两种运行方式？请简述他们的区别。

解答：IPSec可以以两种不同的方式运行：传输方式和隧道方式。
在传输方式下，IPSec保护运输层交给网络层传递的内容，即只保护IP数据报的有效载荷，而不保护IP数据报的首部。传输方式通常用于主机到主机的数据保护。
在隧道方式下，IPSec保护包括IP首部在内的整个IP数据报，为了对整个IP数据报进行鉴别或加密，要为该IP数据报增加一个新的IP首部，而将原IP数据报作为有效载荷进行保护。隧道方式通常用于两个路由器之间，或一个主机与一个路由器之间。

7-16 因特网的网络层是无连接的，而IPSec是因特网网络层的安全协议，它也是无连接的吗？请说明理由。

解答：IPSec是有连接的。IPSec吧因特网传统的无连接网络层转化成了一个具有逻辑连接的层。因为IPSec在两个结点之间用AH或ESP进行通信之前，首先要在这两个结点之间建立一条网络层的逻辑连接，称为安全关联SA。通过安全关联，双方确定将采用的加密或鉴别算法以及各种安全参数，并在SA建立时产生一个32位的安全参数索引。目的结点根据IPSec报文中携带的SPI将其与特定SA使用的加密算法和密钥等相关联。

7-17 有了IPSec在网络层提供安全服务，为什么还需要运输层和应用层的安全协议？

解答：在IP层的安全机制可以为所有主机间提供安全通信服务，但却无法保证用户间电子邮件的安全性。因为利用电子邮件通信的双方并不直接在IP层上进行通信，电子邮件需要通过中间的邮件服务器的转发。虽然IPSec可以为上层应用提供统一的主机到主机的安全服务，但如果主机上运行多个不同的应用，需要与不同主机进行不同安全需求的通信时，则需要使用运输层的安全协议。

7-18 使用IPSec或SSL能代替PGP为电子邮件提供安全服务吗？

解答：不能，因为利用电子邮件通信的双方并不是直接在IP层或运输层上进行通信，电子邮件需要通过中间的邮件服务器的转发。IPSec或SSL都不能为邮件收发双方直接提供安全服务。

7-19 试述防火墙的基本工作原理和所提供的功能。

解答：防火墙是把一个组织的内部网络与其他网络（通常就是因特网）隔离开的软件和硬件的组合。根据访问控制策略，它允许一些分组通过，而禁止另一些分组通过。访问控制策略由使用防火墙的组织根据自己的安全需要自行制订。防火墙作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低内网遭受外网攻击的安全风险。

7-20 是不是在部署了防火墙，内网的主机就都安全了？

解答：在网络边界位置部署防火墙，对于提高内网安全能够起到积极的作用，但是防火墙技术并不能解决所有的网络安全问题，我们要清楚它在安全防护方面的一些局限性：
防火墙所发挥的安全防护作用在很大程度上取决于防火墙的配置是否正确和完备。
一些利用系统漏洞或网络协议漏洞进行的攻击，防火墙难以防范。
防火墙不能有效防止病毒、木马等通过网络的传播。
分组过滤器不能防止IP地址和端口号欺骗，而应用级网关自身也可能有软件漏洞而存在被渗透攻击的风险。

7-21 有了防火墙为什么还需要入侵监测系统？

解答：防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，因此需要使用入侵检测系统在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。IDS对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于IDS的“误报”率通常较高，多数情况不执行自动阻断）。IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

7-22 入侵检测方法一般可以分为哪两种？它们之间的区别是什么？

解答：入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。
基于特征的IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串，或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。
基于特征的IDS只能检测已知攻击，对于未知攻击则束手无策。基于异常的IDS通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。

7-23 为什么攻击者在进行网络攻击前通常要进行网络扫描？网络扫描有哪几种主要的类型？

解答：在实施网络攻击前，对攻击目标的信息掌握得越全面、具体，越能合理、有效地根据目标的实际情况确定攻击策略和攻击方法，网络攻击的成功率也越高。网络扫描技术是获取攻击目标信息的一种重要技术，能够为攻击者提供大量攻击所需的信息。这些信息包括目标主机的IP地址、工作状态、操作系统类型、运行的程序以及存在的漏洞等等。主机发现、端口扫描、操作系统检测和漏洞扫描是网络扫描的四种主要类型。

7-24 在交换式局域网中用嗅探器进行网络监听的困难是什么？交换机毒化攻击的基本原理是什么？如何防范？

解答：由于交换机是根据目的MAC地址有目的转发帧，因此分组嗅探器通常仅能接收到发送给自己的帧或广播帧，因此通常无法监听到网络中的其他站点的通信内容。
由于交换机的转发表空间是有限的，并且总是保留最新记录的表项。交换机毒化攻击利用这一特性向交换机发送大量具有不同虚假源MAC地址的帧，使这些虚假MAC地址表项会填满交换机的转发表，使真正需要被保存的MAC地址被更新淘汰。这样该交换机就不得不广播大多数的帧，因为在交换机的转发表中找不到这些帧的目的MAC地址。这时，分组嗅探器就能监听到网络中其他主机的通信了。
例如针对交换机毒化攻击，对于具有安全功能的交换机可以在某个端口上设置允许学习的源MAC地址的数量，当该端口学习的MAC地址数量超过限定数量时，交换机将产生违例动作，从而禁止该端口进行通信。网络管理员还可以禁用交换机的自学习功能，将IP地址、MAC地址与交换机的端口进行静态绑定。

7-25 DDoS是如何产生巨量攻击流量的？为什么难以防范？

解答：在分布式DoS攻击中，攻击者先通过非法入侵手段控制因特网上的许多主机（例如，通过嗅探口令、漏洞渗透、木马等方式），然后控制这些主机同时向攻击目标系统发起DoS攻击。很多DDoS攻击还结合反射攻击技术进一步将攻击流量进行放大，甚至进行多次反射来产生超巨量的攻击流量。
由于很难区分哪些是恶意分组哪些是正常分组，而且通常参与DDoS攻击的分组使用的源IP地址都是假冒的，又来找因特网上不同的被控主机，很难追溯到攻击源。因此DDoS难以防范。

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！