计算机网络：第七章概述课后习题及答案（精细版）

1. 计算机网络中的安全威胁都有哪些，需要哪些安全服务。
计算机网络所面临的安全威胁主要来自两大类攻击即被动攻击和主动攻击。
这两类攻击中四种最基本的形式是:
(1) 截获(interception)攻击者从网络上窃听他人的通信内容。
(2) 中断(interruption)攻击者有意中断他人在网络上的通信。
(3) 篡改(modification)攻击者故意篡改网络上传送的报文。
(4) 伪造(fabrication)攻击者伪造信息在网络上传送。
除此之外在被动攻击中还有通信量分析在主动攻击中还有重放攻击、拒绝服务攻击、恶意程序攻击等。计算机网络需要的安全服务包括:机密性、报文完整性、不可否认性、实体鉴别、访问控制、可用性。

2. 请说明授权 (authorization) 与鉴别 (authentication) 的区别。
鉴别与授权 (authorization) 是不同的概念。授权涉及到的问题是：实体所进行的行为是否被允许 (如是否可以对某文件进行读或写等等)。

3. 对称密钥密码体制与公钥密码体制的特点各如何？各有何优缺点？
对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。两个参与者共享同一个密钥。
公钥密码体制是使用不同的加密密钥和解密密钥。加密密钥是公开信息。而解密密钥需要保密。
公钥密码体制由很多良好的特性，它不仅可以用来加密，还可以很方便的用于鉴别和数字签名。但不幸的是，目前的公钥密码算法比对称密钥密码算法要慢好几个数量级。因此，对称密码被用于绝大部分加密，而公钥密码则通常用于会话密钥的建立。

4. 考虑 n 个用户两两间的秘密通信问题。如果使用对称密钥密码体制需要多少密钥，若使用公钥密码体制则需要多少对密钥?
使用对称密钥密码体制需要的密钥数是 n(n–1) 个。使用公钥密码体制则需要 n 对密钥。

5. 你能设计出一个简单的对称密钥加密算法吗，请大致评估一下你的加密算法的强度。
略

6. 在对称密钥系统中，通信双方要共享同一秘密密钥需要通过安全通道分发密钥。而在公钥系统中公钥无需保密是否就不存在密钥分发的问题，试举一例说明原因。
不是。设想用户 A 要欺骗用户 B。A 可以向 B 发送一份伪造是 C 发送的报文。A 用自己的私钥进行数字签名并附上 A 自己的公钥谎称这公钥是 C 的。B 如何知道这个公钥不是 C 的呢，因此在公钥系统中也存在密钥分发的问题通常需要有一个值得信赖的机构来将公钥与其对应的实体 (人或机器) 进行绑定 (binding) 。这样的机构就叫作认证中心 CA (CertificationAuthority)。

7. 比较对称密钥密码体制与公钥密码体制中密钥分发的异同。
其共同点是都需要一个可信的机构。目前常用的对称密钥分发方式是设立密钥分发中心 KDC。KDC 是一个大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分发一个会话密钥。而在公钥系统中通常需要有一个值得信赖的机构即认证中心 CA (CertificationAuthority) 来将公钥与其对应的实体 (人或机器) 进行绑定(binding)。

9. 为什么报文鉴别技术中要使用报文摘要？什么报文摘要要使用密码散列函数？使用普通散列函数会有什么问题？
使用加密就可达到报文鉴别的目的，因为伪造的报文解密后不能得到可理解的内容。但对于不需要保密，而只需要报文鉴别的网络应用，对整个报文的加密和解密会使计算机增加很多不必要的负担 (加密和解密要花费相当多的 CPU 时间)。更有效的方法是使用报文摘要 MD (MessageDigest) 将可长的、可变长报文计算得到较短的固定长度的报文摘后再使用加密算法进行报文鉴别。如果使用密码散列函数产生报文摘要则攻击者伪造相同报文摘要的原文，在计算上是不可行的，因此通过报文摘要能鉴别原文的真实性。而使用普通散列函数产生报文摘要，则攻击者很容易找到与相同报文摘要的其他报文来伪造原文，因此不能通过报文摘要能鉴别原文的真实性。

10. 计算字符串“SEND1293.BOB”和“SEND9213.BOB”的因特网检验和看是否完全一样的。
以 16 位 (即两个字符) 为一组，用反码算术运算求和任意两组在同一位的数值进行交换都不会改变计算结果，因此“1293”和“9213”的检验和计算结果相同。

11. 比较数字签名与报文鉴别码技术的异同。
报文鉴别码和数字签名都能用来保证报文的完整性。但由于数字签名是产生者用自己的私钥对报文进行加密运算，验证者用产生者的公钥对加密的报文进行验证。报文鉴别码由于双方共享鉴别密钥，因此不能防止鉴别方伪造报文而数字签名。由于使用私钥第报文签名其他任何人都无法伪造报文。但数字签名计算量比较大。

12. 请修改图 7-9 中的鉴别协议，使用公钥密码加密算法来实现不重数鉴别协议。
通信双方可以利用自己的私钥对不重数进行签名，并用对方的公钥进行鉴别。SK 表示私钥。

13. 如果采用信道加密机对网络中所有链路都进行加密，并且所有中间结点(如路由器)也是安全的，是不是就不需在网络其他层次提供安全机制了？
不是。用户的安全性需求是多样的很难用一种机制满足所有需求。
例如：信息的最终接收者可能需要直接验证信息源的身份，而这种安全需求用逐段的信道加密机很难实现，最好是采用端到端的鉴别机制。

14. 查看一个无线接入点 AP 的安全配置看看它都支持几种安全机制。
略

15. IPsec 有哪两种运行方式？请简述他们的区别。
IPsec 可以以两种不同的方式运行：传输方式和隧道方式。在传输方式下，IPsec 保护运输层交给网络层传递的内容，即只保护 IP 数据报的有效载荷，而不保护 IP 数据报的首部。传输方式通常用于主机到主机的数据保护。在隧道方式下，IPsec 保护包括 IP 首部在内的整个 IP 数据报，为了对整个 IP 数据报进行鉴别或加密要为该 IP 数据报增加一个新的 IP 首部，而将原 IP 数据报作为有效载荷进行保护。隧道方式通常用于两个路由器之间或一个主机与一个路由器之间。

16. 互联网的网络层是无连接的，而 IPsec 是因特网网络层的安全协议。它也是无连接的吗？请说明理由。
IPsec 是有连接的。IPsec 把互联网传统的无连接网络层转化成了一个具有逻辑连接的层。因为 IPsec 在两个结点之间用 AH 或 ESP 进行通信之前，首先要在这两个结点之间建立一条网络层的逻辑连接称为安全关联 SA。通过安全关联双方确定将采用的加密或鉴别算法以及各种安全参数，并在 SA 建立时产生一个位的安全参数索引。目的结点根据 IPsec 报文中携带的 SPI 将其与特定 SA 使用的加密算法和密钥等相关联。

17. 有了 IPsec 在网络层提供安全服务，为什么还需要运输层和应用层的安全协议？
在 IP 层的安全机制可以为所有主机间提供安全通信服务，但却无法保证用户间电子邮件的安全性。因为利用电子邮件通信的双方并不直接在 IP 层上进行通信，电子邮件需要通过中间的邮件服务器的转发。虽然 IPsec 可以为上层应用提供统一的主机到主机的安全服务，但如果主机上运行多个不同的应用，需要与不同主机进行不同安全需求的通信时，则需要使用运输层的安全协议。

18. 使用 IPsec 或 SSL 能代替 PGP 为电子邮件提供安全服务吗。
能。因为利用电子邮件通信的双方并不是直接在 IP 层或运输层上进行通信电子邮件，需要通过中间的邮件服务器的转发。IPsec 或 SSL 都不能为邮件收发双方直接提供安全服务。

20. 是不是在部署了防火墙内网的主机就都安全了？
在网络边界位置部署防火墙对于提高内网安全，能够起到积极的作用但是防火墙技术，并不能解决所有的网络安全问题。我们要清楚它在安全防护方面的一些局限性：防火墙所发挥的安全防护作用在很大程度上取决于防火墙的配置是否正确和完备。一些利用系统漏洞或网络协议漏洞进行的攻击防火墙难以防范。防火墙不能有效防止病毒、木马等通过网络的传播。分组过滤器不能防止 IP 地址和端口号欺骗；而应用级网关自身也可能有软件漏洞而存在被渗透攻击的风险。

21. 有了防火墙为什么还需要入侵监测系统？
防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，因此需要使用入侵检测系统。在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵以便尽快阻止入侵把危害降低到最小。IDS 对进入网络的分组执行深度分组检查。当观察到可疑分组时，向网络管理员发出告警或执行阻断操作(由于IDS的“误报”率通常较高多数情况不执行自动阻断)。IDS 能用于检测多种网络攻击包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

22. 入侵检测方法一般可以分为哪两种，它们之间的区别是什么？
入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成机构的网络管理员定制，并将其加入到数据库中。基于特征的 IDS 只能检测已知攻击对于未知攻击则束手无策。基于异常的 IDS 通过观察正常运行的网络流量，学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。

23. 为什么攻击者在进行网络攻击前通常要进行网络扫描，网络扫描有哪几种主要的类型？
在实施网络攻击前，对攻击目标的信息掌握得越全面、具体越能合理，有效地根据目标的实际情况确定攻击策略和攻击方法网络攻击的成功率也越高。网络扫描技术是获取攻击目标信息的一种重要技术，能够为攻击者提供大量攻击所需的信息。这些信息包括目标主机的IP地址、工作状态、操作系统类型、运行的程序以及存在的漏洞等等。主机发现、端口扫描、操作系统检测和漏洞扫描是网络扫描的四种主要类型。

24. 在交换式局域网中，用嗅探器进行网络监听的困难是什么，交换机毒化攻击的基本原理是什么？如何防范？
由于交换机是根据目的 MAC 地址有目的转发帧，因此分组嗅探器通常仅能接收到发送给自己的帧或广播帧，因此通常无法监听到网络中的其他站点的通信内容。由于交换机的转发表空间是有限的并且总是保留最新记录的表项。交换机毒化攻击利用这一特性向交换机发送大量具有不同虚假源 MAC 地址的帧，使这些虚假 MAC 地址表项会填满交换机的转发表，使真正需要被保存的 MAC 地址被更新淘汰。这样该交换机就不得不广播大多数的帧。因为在交换机的转发表中找不到这些帧的目的 MAC 地址。这时分组嗅探器就能监听到网络中其他主机的通信了。
例如：针对交换机毒化攻击对于具有安全功能的交换机，可以在某个端口上设置允许学习的源 MAC 地址的数量。当该端口学习的 MAC 地址数量超过限定数量时，交换机将产生违例动作，从而禁止该端口进行通信。网络管理员还可以禁用交换机的自学习功能将 IP 地址、MAC 地址与交换机的端口进行静态绑定。

25. DDoS 是如何产生巨量攻击流量的？为什么难以防范？ 在分布式 DoS 攻击中，攻击者先通过非法入侵手段控制因特网上的许多主机 (例如通过嗅探口令、漏洞渗透、木马等方式)，然后控制这些主机同时向攻击目标系统发起 DoS 攻击。很多 DDoS 攻击还结合反射攻击技术，进一步将攻击流量进行放大，甚至进行多次反射，来产生超巨量的攻击流量。由于很难区分哪些是恶意分组，哪些是正常分组，而且通常参与 DDoS 攻击的分组使用的源IP地址都是假冒的，又来找因特网上不同的被控主机很难追溯到攻击源。因此 DDoS 难以防范。