计算机网络安全教程第二版课后答案石志国主编（终极版）

计算机网络安全教程复习资料

第1章(P27) 一、选择题

1. 狭义上说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。

2. 信息安全从总体上可以分成5个层次，密码技术 是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性，完整性，可用性。

4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题

1. 信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React），恢复（Restore）。

2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform，以提高整体的安全性。

3. 从1998年到2006年，平均年增长幅度达50％左右，使这些安全事件的主要因素是系统和网络安全脆弱性（Vulnerability）层出不穷，这些安全威胁事件给Internet带来巨大的经济损失。

4. B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。

5. 从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。 三、简答题

1. 网络攻击和防御分别包括哪些内容？ 答：①攻击技术：网络扫描，网络监听，网络入侵，网络后门，网络隐身 ②防御技术：安全操作系统和操作系统的安全配置，加密技术，防火墙技术，入侵检测，网络安全协议。

2. 从层次上，网络安全可以分成哪几层？每层有什么特点？ 答：从层次体系上，可以将网络安全分为4个层次上的安全：

（1）物理安全 特点：防火，防盗，防静电，防雷击和防电磁泄露。

（2）逻辑安全 特点：计算机的逻辑安全需要用口令、文件许可等方法实现。

（3）操作系统 特点：操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 （4）联网安全 特点：联网的安全性通过访问控制和通信安全两方面的服务来保证。

3. 为什么要研究网络安全？

答：目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的 政治、经济、军事等领域，并影响到社会的稳定。

第2章（P56） 一、选择题

1. OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中，DNS使用 UDP协议。 二、填空题

1. 网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。

3. 目前E-mail服务使用的两个主要协议是 简单邮件传输协议和邮局协议。

4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接，应答消息的接收情况将和往返过

1

程的次数一起显示出来。

5. 使用“net user”指令查看计算机上的用户列表 三、简答题

1、简述OSI参考模型的结构。 答：（1）物理层：物理层是最底层，这一层负责传送比特流，它从第二层数据链路层接收数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。

（2）数据链路层：它肩负两个责任：发送和接收数据，还要提供数据有效传输的端到端连接。 （3）网络层：主要功能是完成网络中主机间的报文传输。

（4）传输层：主要功能是完成网络中不同主机上的用户进程之间可靠的数据通信。

（5）会话层：允许不同机器上的用户之间建立会话关系。会话层允许进行类似传输层的普通数据的传送，在某些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登录，或者在两台机器间传递文件。会话层提供的服务之一是管理对话控制。

（6）表示层：表示层完成某些特定的功能，这些功能不必由每个用户自己来实现。表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。 （7）应用层：包含大量人们普遍需要的协议。

2. 简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。

答：讨论TCP/IP的时候，总是按五层来看，即物理层，数据链路层，网络层，传输层和应用层。1、物理层：这里的威胁主要是窃听，那使用防窃听技术就可以了；2、数据链路层：有很多工具可以捕获数据帧，如果有条件的话，可以使用数据加密机；3、网络层：针对IP包的攻击是很多的，主要是因为IPv4的数据包本身是不经过加密处理的，所以里面的信息很容易被截获，现在可以使用IPSec来提供加密机制；4、传输层：针对TCP的攻击也多了，在这里一般使用进程到进程(或者说端到端的)加密，也就是在发送信息之前将信息加密，接收到信息后再去信息进行解密，但一般会使用SSL；5、应用层：在应用层能做的事情太多，所以在这里做一些安全措施也是有效的。

6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令、tracert指令的功能和用途。

答：ping：用来侦测网络上的远端主机是否存在，并判断网络状况是否正常的网络侦测工具，校验与远程计算机或本地计算机的连接。只有在安装 TCP/IP 协议之后才能使用该命令。

ipconfig：查看当前电脑的ip配置，显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置，使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令；

netstat：用来查看当前电脑的活动会话；

net：在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。

at：使用at命令建立一个计划任务，并设置在某一刻执行，但是必须首先与对方建立信任连接。

tracert：用来追踪路由，用户确定IP数据访问目标所采取的路径。Tracert指令用IP生存时间字段和ICMP错误信息来确定一个主机到网络上其他主机的路由；

第4章(P124) 一、选择题

1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。

2. 对非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描。 二、填空题

1. 扫描方式可以分成两大类：慢速扫描和乱序扫描。 2. 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。 3. 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻

2

击五部曲”，分别为：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门和在网络中隐身 三、简答题与程序设计题

2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？ 答：（1）隐藏IP：IP隐藏使网络攻击难以被侦破。（2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。（3）获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其控制，达到自己攻击的目的。（4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。（5）在网络中隐身：清除登陆日志及其他相关的日志，防止管理员发现。

5、扫描分成哪两类？每类有什么特点？可以使用哪些工具进行扫描、各有什么特点？ 答：（1）网络扫描一般分为两种策略：一种是主动式策略；另外一种是被动式策略。

（2）被动式策略 特点：基于主机之上的，对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查，被动式扫描不会对系统造成破坏。工具及特点：GetNTUser：系统用户扫描；PortScan：开放端口扫描；Shed：共享目录扫描。

（3）主动式策略 特点：基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏。工具及特点：X-Scan-v2.3 ：对指定IP地址段（单机）进行安全漏洞检测。

6、网络监听技术的原理是什么？

答：原理：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包，不能监听不同网段的计算机传输的信息。

第5章(P157) 一、选择题

1. 打电话请求密码属于社会工程学攻击方式。

2. 一次字典攻击能否成功，很大因素上决定于字典文件。 3. SYN风暴属于拒绝服务攻击攻击。 4. 下面不属于DoS攻击的是TFN攻击。 二、填空题

1. 字典攻击是最常见的一种暴力攻击。

2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。 3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。 三、简答题

1.简述社会工程学攻击的原理。

答：社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

3.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？针对暴力攻击应当如何防御？

答 ：原理：使用枚举的方法，使用运算能力较强的计算机，尝试每种可能的字符破解密码

1）破解电子邮箱密码，一个比较著名的工具软件是，黑雨——POP3邮箱密码暴力破解器，该软件分别对计

3

算机和网络环境进行优化的攻击算法：深度算法，多线程深度算法，广度算法和多线程广度算法。该程序可以以每秒50到100个密码的速度进行匹配。防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字，字母和特殊字符的组合就可以有效地抵抗暴力攻击。

2）使用工具软件，Advanced Office XP Password Recovery 可以快速破解Word文档密码。点击工具栏按钮“Open file”，打开刚刚建立的Word文档，设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码就被破解了。防范这种暴力攻击，可以加长密码。

3）程序首先通过扫描得到系统的用户，然后利用字典镇南关每一个密码来登录系统，看是否成功，如果成功则将密码显示。

4、简述缓冲区溢出攻击的原理

答：当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。

5、 简述拒绝服务的种类与原理。

答：原理：凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的Dos攻击是计算机网络带宽攻击和连通性攻击： 带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最终导致合法用户的请求无法通过；连通性攻击是指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。

9. 简述DDos的特点以及常用的攻击手段，如何防范？ （应该不会考）

答：特点：先使用一些典型的黑客入侵手段控制一些高宽带的服务，然后在这些服务器上安装攻击进程，集大量机器的力量对单一攻击目标实施攻击。 攻击手段：?????? 防范：??????

第6章(P192) 一、选择题

1. 网络后门的功能是保持对目标主机长久控制。

2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。

3. 木马是一种可以驻留在对方服务器系统中的一种程序。 二、填空题

1. 后门的好坏取决于被管理员发现的概率。

2. 木马程序一般由两部分组成：服务器端程序和客户端程序。 3. 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能， 后门程序功能比较单一 三、简答题

4. 简述木马由来，并简述木马和后门的区别。

答：木马是一种可以驻留在对方服务器系统中的一种程序。“木马”一词来自于“特洛伊木马”，英文名为“TrojanHorse”木马程序一般由两部分组成：服务器端程序和客户端程序。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。

本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一，只是提供客户端能够登陆对方的主机。

5. 简述网络代理跳板的功能。

4

答：功能：当从本地入侵其它主机时，本地IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其它主机，这样就会留下代理跳板的IP地址而有效地保护自己的安全。

第7章（P208） 一、选择题

1. 黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。 2. 2003 年，SLammer 蠕虫在10 分钟内导致 90％互联网脆弱主机受到感染。

3. 造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。 4. 下面是恶意代码生存技术是加密技术和模糊变换技术。 5. 下面不属于恶意代码攻击技术是自动生产技术。 二、填空题

1. 恶意代码主要包括计算机病毒（Virus）、 蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

2. 恶意代码80 年代发展至今体现出来的3个主要特征：恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。 3. 早期恶意代码的主要形式是计算机病毒。

4. 隐藏通常包括本地隐藏和通信隐藏，其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。 5. 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。 三、简答题

5、简述恶意代码的生存技术是如何实现的。

答：生存技术包括：反跟踪技术、加密技术、模糊变换技术和自动生产技术。反跟踪技术可以减少被发现的可能性，加密技术是恶意代码自身保护的重要机制。模糊变换技术是恶意代码每感染一个客体对象时，潜入宿主程序的代码互补相同。自动生产技术是针对人工分析技术的。

8、简述蠕虫的功能结构。

答：网络蠕虫的功能模块可以分为主题功能模块和辅助功能模块。实现了主题功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫则具有更强的生存能力和破坏能力。

9、简述目前恶意代码的防范方法。

答：基于主机的恶意代码防范：基于特征的扫描技术、校检和、沙箱技术、安全操作系统；

基于网络的恶意代码防范：基于GrlDS的恶意代码检测、基于PLD硬件的检测防御、基于honeyPot的检测防御，基于ccdc的检测防御。

第8章(P245) 一、选择题

1. Linux是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intel x86系列CPU的计算机上。 2. 操作系统中的每一个实体组件不可能是既不是主体又不是客体。

3. 安全策略 是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基。

5. 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 二、填空题

1.操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有它的安全性，信息系统的安全性是没有基础的。

5

2. Multics是开发安全操作系统最早期的尝试。

3. 1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（Access Matrix）的思想第一次对访问控制问题进行了抽象。

4. 访问控制机制的理论基础是 访问监控器（Reference Monitor），由J.P.Anderson首次提出

5. 计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、 运行保护、I/O保护等。

6. Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性。 三、简答题

2.简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。 答：（1）审核策略：是windows中本地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和windows系统的活动。在计算机中设置了审核策略，就可以监控成功或失败的事件。在设置审核事件时，windows将事件执行的情况纪录到安全日志中，安全日志中的每一个审核条目都包含三个方面的内容：执行动作的用户，事件发生的时间及成功与否。对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。

（2）密码策略：即用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定的。

（3）账户策略：通过域的组策略设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。账户策略中包括密码策略、账户锁定策略和kerberos策略的安全设置。

8、简述安全操作系统的机制。

答：标识、鉴别及可信通路机制 自主访问控制与强制访问控制机制 最小特权管理机制 隐蔽通道分析处理机制 安全审计机制

第9章(P274) 一、选择题

1. RSA算法是一种基于大数不可能质因数分解假设的公钥体系。 2. 下面哪个属于对称算法序列算法。

3. DES算法的入口参数有3个：Key，Data和Mode。其中Key为 64位，是DES算法的工作密钥。 4. PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。 二、填空题

1. 两千多年前，罗马国王就开始使用目前称为“恺撒密码”的密码系统。 2. 2004年8月，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL－128、MD4和RIPEMD等四个著名密码算法的破译结果。

3. 除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。 4. 数字水印应具有3个基本特性： 隐藏性、鲁棒性和安全性

5. 用户公私钥对产生有两种方式：用户自己产生的密钥对和CA为用户产生的密钥对。

6. 常见的信任模型包括4种：严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。

三、简答题，

2简述对称加密算法的基本原理。

答：对称算法又叫传统密码算法：加密密钥能够从解密密钥中推算出来，反过来也成立。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。

6

对称算法的加密和解密表示为：EK（M）=C DK（C）=M 4.简述公开密钥算法的基本原理。

答：公开钥匙的概念涉及两把钥匙。一把钥匙称为\公开钥匙\（公钥），可以以所有方式传递，任何人都可以得到。另一把钥匙称为\隐密钥匙\（密钥）。这把钥匙是秘密的，不能传递出去。只有它的拥有者才能接触和使用它。如果正确实施了这种方法，从公钥不能得出密钥。发出讯息者以接收讯息者的公钥将讯息加密，接收者则以自己的密钥解密。

第10章(P301) 一、选择题

1. 仅设立防火墙系统，而没有安全策略，防火墙就形同虚设。 2. 下面不是防火墙的局限性的是不能阻止下载带病毒的数据。

3.分组过滤防火墙作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

4. 下面的说法错误的是 DMZ网络处于内部网络里，严格禁止通过DMZ网络直接进行信息传输。 5. 下面不属于入侵检测分类依据的是 静态配置。 二、填空题

1.防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。

2. 常见的防火墙有3种类型：分组过滤防火墙，应用代理防火墙，状态检测防火墙。

3. 常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。 4. 入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。

5. 入侵检测的3个基本步骤：信息收集、 数据分析和响应。 三、简答题

2.、简述防火墙的分类，并说明分组过滤防火墙的基本原理。

答： 防火墙有3种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。

1）分组过滤：作用在协议族的网络层和传输层，根据分组包头源地址、目标地址和端口号、协议类型等标志确定是否允许数据包通过。

2）应用代理：作用在应用层，特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

3）状态检测：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过

3、常见的防火墙模型有哪些？比较它们的优点。

答：1）筛选路由器模型：实施包过滤功能。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议、端口号等进行筛选。

2）单宿主堡垒模型：由包过滤路由器和堡垒主机组成，优点是安全性比较高。

3）双宿主堡垒模型：可以构造更加安全的防火墙系统，它是唯一能从外部网上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。

4）屏蔽子网模型：用了两个包过滤路由器和一个堡垒主机，是最安全的防火墙系统之一。严格禁止通过中立网直接进行信息传输。

4、什么是入侵检测系统？简述入侵检测系统正面临的挑战。

答：入侵检测系统是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。挑战：缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。

7

本文来源：https://www.bwwdw.com/article/jdwd.html