计算机网络安全课后习题答案(重点简答题)

2024年2月22日发(作者：)

第一章：

网络安全问答题

1.网络攻击和防御分别包括哪些内容？

攻击技术主要包括：

1)网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

2)网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

3)网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。

4)网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

5)网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括;

1)安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。

2)加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。

3)防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。

4)入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。

5)网络安全协议：保证传输的数据不被截获和监听。

2.从层次上，网络安全可以分成哪几层？每层有什么特点？

4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。

物理安全：防盗、防火、防静电、防雷击和防电磁泄漏。

逻辑安全：计算机的逻辑安全需要用口令、文件许可等方法来实现。

操作系统安全：操作系统是计算机中最基本、最重要的软件。

联网安全通过以下两方面的安全服务来达到：

a：访问控制服务：用来保护计算机和联网资源不被非授权使用。

b：通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

第四章：

2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？

隐藏IP：通常有两种方式实现IP的隐藏：第一种方法是首先入侵互联网上的一台计算机（俗称“肉鸡”），利用这台计算进行攻击，这样即使被发现了，也是“肉鸡”的IP地址；第二种方式是做多级跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址。

踩点扫描：通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。

获得系统或管理员权限：目的是连接到远程计算机。

种植后门：为了保持长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

在网络中隐身：一次成功的入侵后，一般在对方的计算机上已经存储了相关的登陆日志，这样就容易被管理员发现。在入侵完毕后需要清除登陆日志及其他相关的日志。

6、网络监听技术的原理是什么？

网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。

监听器Sniffer的原理是：在局域网中与其他计算机进行数据交换时数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。

第五章：

1.简述社会工程学攻击的原理。

社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。

另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。

目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail

3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应如何防御？

暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，需要求助于非常精密复杂的算法，使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息，即使拥有这种设备，也将花掉8天时间去破解加密算法。实际上，破解加密过程用8天已经是非常短的时间了。

字典攻击是一种最常见的暴力攻击。如果黑客试图通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符，包括大小写、数字和通配符等。字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，大多数的用户使用标准单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破解密码。强壮的密码则通过结合大小写字母、数字和通配符来击败字典攻击。

破解操作系统密码：字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则显示密码。

暴力破解邮箱密码：邮箱密码一般需要设置为8位以上，7位以下的密码容易被破解。尤其7位全部是数字的密码，更容易被破解。比较著名的破解电子邮箱密码的工具软件是：黑雨——POP3邮箱密码破解器。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字、字母和特殊字符的组合就可以有效抵抗暴力攻击。

Word文档暴力破解：使用工具软件Advanced Office XP Password Recovery（AOXPPR）。

5.简述缓冲区溢出攻击的原理。

目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。缓冲区溢出原理很简单，如下：

void function(char*szParal)

{

char buff[16];

strcpy(buffer,szParal);

}

程序中利用strcpy()函数将szParal中的内容拷贝到buff中，只要szParal的长度大于16，就会造成缓冲区溢出。存在类似strcpy()函数这样问题的C语言函数还有:strcat(),gets(),scanf()。当然，随便往缓冲区填写数据使它溢出一般只会出现“分段错误”，而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令，

2

如果该shell有管理员权限，就可以对系统进行任意操作。

6.简述拒绝服务的种类与原理。

凡是造成目标计算机拒绝提供服务的攻击都成为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的信息量冲击网络，是网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。

比较著名的拒绝服务攻击包括：SYN风暴、Smurf攻击和利用处理程序错误进行攻击。

SYN风暴：它是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。针对不同的系统，攻击的结果可能不同，但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。攻击者通常伪造主机D不可达的IP地址作为源地址。为了使拒绝服务的时间长于超时所用的时间，攻击者会持续不断地发送SYN包，故称为“SYN风暴”。

Smurf攻击：这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法是大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。

利用处理程序错误进行攻击：SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽，迫使目标受害主机拒绝对正常的服务请求响应。利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字段。

第六章：

2.如何留后门程序？列举三种后门程序，并阐述原理及如何防御。

4.简述木马的由来，并简述木马和后门程序的区别。

答：木马是一种可以驻留在对方服务器系统中的一种程序。“木马”一词来自于“特洛伊木马”，英文名为“TrojanHorse”木马程序一般由两部分组成：服务器端程序和客户端程序。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一，只是提供客户端能够登陆对方的主机。

第七章：

3、恶意代码是如何定义的？可以分成哪几类？

恶意代码是如何定义，可以分成哪几类？

答：定义：经过存储介质和网络进行传播，从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。恶意代码两个显著的特点是非授权性和破坏性。

分类：计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级RooKit、核心级Rookit、脚本恶意代码、恶意ActiveX控件。

第九章：

2.简述对称加密算法的基本原理

分两类，序列算法和分组算法，有时也称为传统密码算法，加密密钥能够从解密密钥中推算出来，在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法加密和解密表示为：EK（M）=C DK（C）=M

3

4.简述公开密钥算法基本原理

加密密钥和解密密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。加密密钥叫公开密钥，解密密钥叫私人密钥，公开密钥K1加密表示为：EK1（M）=C，公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M

7. #include

#define N 5

void jiami(char namea[256])

{

FILE *fp_jiami,*fp_file2;

char c;

fp_jiami=fopen(namea,"rb");

fp_file2=fopen("","wb");

while(EOF!=(fscanf(fp_jiami,"%c",&c)))

{

if((c>='A'&&c<='Z')||(c>='a'&&c<='z'))

{

c=c+N;

if

(!((c>='A'&&c<='Z')||(c>='a'&&c<='z')))c=c-26;

if(c>='a'&&c<='z')c=c-32;

}

fprintf(fp_file2,"%c",c);

}

fclose(fp_file2);

fclose(fp_jiami);

}

第十章

2.简述防火墙的分类，并说明分组过滤防火墙的基本原理。

分组过滤防火墙、应用代理防火墙、状态检测防火墙。分组过滤防火墙作用在协议族的网络层和传输层；应用代理也叫应用网关，作用在应用层，特点是完全阻隔网络通信流；状态检测，直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后确定是否允许该数据包通过。

分组过滤防火墙基本原理：防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、目的端口和ICMP消息类型。如果包的信息匹配所允许的数据包，该数据包按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。

3.常见防火墙的模型有哪些？比较它们的优缺点。

4

筛选路由器模型，是网络的第一道防线，功能是实施包过滤，该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能；单宿主堡垒主机（屏蔽主机防火墙）模型，由包过滤路由器和堡垒主机组成，实现了网络层安全和应用层安全，优点是安全性比较高，但增加了成本开销和降低了系统性能，并且对内部计算机用户也会产生影响；双宿主堡垒主机模型（屏蔽防火墙系统模型），可以构造更加安全的防火墙系统，如果运行用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁；屏蔽子网模型，用了两个包过滤路由器和一个堡垒主机，是最安全的防火墙系统之一，支持网络层和应用层安全功能。

7.什么事入侵检测系统？简述入侵检测系统目前面临的挑战。

入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。

入侵检测系统面临的挑战：一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的正常假警报，而诱导没有警觉性的管理员把入侵检测系统关掉。没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个：缺乏共享数据机制、缺乏集中协调机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。

5