計算機網絡：第七章概述課後習題及答案（精細版）

1. 計算機網絡中的安全威脅都有哪些，需要哪些安全服務。
計算機網絡所面臨的安全威脅主要來自兩大類攻擊即被動攻擊和主動攻擊。
這兩類攻擊中四種最基本的形式是:
(1) 截獲(interception)攻擊者從網絡上竊聽他人的通信內容。
(2) 中斷(interruption)攻擊者有意中斷他人在網絡上的通信。
(3) 篡改(modification)攻擊者故意篡改網絡上傳送的報文。
(4) 僞造(fabrication)攻擊者僞造信息在網絡上傳送。
除此之外在被動攻擊中還有通信量分析在主動攻擊中還有重放攻擊、拒絕服務攻擊、惡意程序攻擊等。計算機網絡需要的安全服務包括:機密性、報文完整性、不可否認性、實體鑑別、訪問控制、可用性。

2. 請說明授權 (authorization) 與鑑別 (authentication) 的區別。
鑑別與授權 (authorization) 是不同的概念。授權涉及到的問題是：實體所進行的行爲是否被允許 (如是否可以對某文件進行讀或寫等等)。

3. 對稱密鑰密碼體制與公鑰密碼體制的特點各如何？各有何優缺點？
對稱密鑰密碼體制是一種加密密鑰與解密密鑰相同的密碼體制。兩個參與者共享同一個密鑰。
公鑰密碼體制是使用不同的加密密鑰和解密密鑰。加密密鑰是公開信息。而解密密鑰需要保密。
公鑰密碼體制由很多良好的特性，它不僅可以用來加密，還可以很方便的用於鑑別和數字簽名。但不幸的是，目前的公鑰密碼算法比對稱密鑰密碼算法要慢好幾個數量級。因此，對稱密碼被用於絕大部分加密，而公鑰密碼則通常用於會話密鑰的建立。

4. 考慮 n 個用戶兩兩間的祕密通信問題。如果使用對稱密鑰密碼體制需要多少密鑰，若使用公鑰密碼體制則需要多少對密鑰?
使用對稱密鑰密碼體制需要的密鑰數是 n(n–1) 個。使用公鑰密碼體制則需要 n 對密鑰。

5. 你能設計出一個簡單的對稱密鑰加密算法嗎，請大致評估一下你的加密算法的強度。
略

6. 在對稱密鑰系統中，通信雙方要共享同一祕密密鑰需要通過安全通道分發密鑰。而在公鑰系統中公鑰無需保密是否就不存在密鑰分發的問題，試舉一例說明原因。
不是。設想用戶 A 要欺騙用戶 B。A 可以向 B 發送一份僞造是 C 發送的報文。A 用自己的私鑰進行數字簽名並附上 A 自己的公鑰謊稱這公鑰是 C 的。B 如何知道這個公鑰不是 C 的呢，因此在公鑰系統中也存在密鑰分發的問題通常需要有一個值得信賴的機構來將公鑰與其對應的實體 (人或機器) 進行綁定 (binding) 。這樣的機構就叫作認證中心 CA (CertificationAuthority)。

7. 比較對稱密鑰密碼體制與公鑰密碼體制中密鑰分發的異同。
其共同點是都需要一個可信的機構。目前常用的對稱密鑰分發方式是設立密鑰分發中心 KDC。KDC 是一個大家都信任的機構，其任務就是給需要進行祕密通信的用戶臨時分發一個會話密鑰。而在公鑰系統中通常需要有一個值得信賴的機構即認證中心 CA (CertificationAuthority) 來將公鑰與其對應的實體 (人或機器) 進行綁定(binding)。

9. 爲什麼報文鑑別技術中要使用報文摘要？什麼報文摘要要使用密碼散列函數？使用普通散列函數會有什麼問題？
使用加密就可達到報文鑑別的目的，因爲僞造的報文解密後不能得到可理解的內容。但對於不需要保密，而只需要報文鑑別的網絡應用，對整個報文的加密和解密會使計算機增加很多不必要的負擔 (加密和解密要花費相當多的 CPU 時間)。更有效的方法是使用報文摘要 MD (MessageDigest) 將可長的、可變長報文計算得到較短的固定長度的報文摘後再使用加密算法進行報文鑑別。如果使用密碼散列函數產生報文摘要則攻擊者僞造相同報文摘要的原文，在計算上是不可行的，因此通過報文摘要能鑑別原文的真實性。而使用普通散列函數產生報文摘要，則攻擊者很容易找到與相同報文摘要的其他報文來僞造原文，因此不能通過報文摘要能鑑別原文的真實性。

10. 計算字符串「SEND1293.BOB」和「SEND9213.BOB」的因特網檢驗和看是否完全一樣的。
以 16 位 (即兩個字符) 爲一組，用反碼算術運算求和任意兩組在同一位的數值進行交換都不會改變計算結果，因此「1293」和「9213」的檢驗和計算結果相同。

11. 比較數字簽名與報文鑑別碼技術的異同。
報文鑑別碼和數字簽名都能用來保證報文的完整性。但由於數字簽名是產生者用自己的私鑰對報文進行加密運算，驗證者用產生者的公鑰對加密的報文進行驗證。報文鑑別碼由於雙方共享鑑別密鑰，因此不能防止鑑別方僞造報文而數字簽名。由於使用私鑰第報文簽名其他任何人都無法僞造報文。但數字簽名計算量比較大。

12. 請修改圖 7-9 中的鑑別協議，使用公鑰密碼加密算法來實現不重數鑑別協議。
通信雙方可以利用自己的私鑰對不重數進行簽名，並用對方的公鑰進行鑑別。SK 表示私鑰。

13. 如果採用信道加密機對網絡中所有鏈路都進行加密，並且所有中間結點(如路由器)也是安全的，是不是就不需在網絡其他層次提供安全機制了？
不是。用戶的安全性需求是多樣的很難用一種機制滿足所有需求。
例如：信息的最終接收者可能需要直接驗證信息源的身份，而這種安全需求用逐段的信道加密機很難實現，最好是採用端到端的鑑別機制。

14. 查看一個無線接入點 AP 的安全配置看看它都支持幾種安全機制。
略

15. IPsec 有哪兩種運行方式？請簡述他們的區別。
IPsec 可以以兩種不同的方式運行：傳輸方式和隧道方式。在傳輸方式下，IPsec 保護運輸層交給網絡層傳遞的內容，即只保護 IP 數據報的有效載荷，而不保護 IP 數據報的首部。傳輸方式通常用於主機到主機的數據保護。在隧道方式下，IPsec 保護包括 IP 首部在內的整個 IP 數據報，爲了對整個 IP 數據報進行鑑別或加密要爲該 IP 數據報增加一個新的 IP 首部，而將原 IP 數據報作爲有效載荷進行保護。隧道方式通常用於兩個路由器之間或一個主機與一個路由器之間。

16. 互聯網的網絡層是無連接的，而 IPsec 是因特網網絡層的安全協議。它也是無連接的嗎？請說明理由。
IPsec 是有連接的。IPsec 把互聯網傳統的無連接網絡層轉化成了一個具有邏輯連接的層。因爲 IPsec 在兩個結點之間用 AH 或 ESP 進行通信之前，首先要在這兩個結點之間建立一條網絡層的邏輯連接稱爲安全關聯 SA。通過安全關聯雙方確定將採用的加密或鑑別算法以及各種安全參數，並在 SA 建立時產生一個位的安全參數索引。目的結點根據 IPsec 報文中攜帶的 SPI 將其與特定 SA 使用的加密算法和密鑰等相關聯。

17. 有了 IPsec 在網絡層提供安全服務，爲什麼還需要運輸層和應用層的安全協議？
在 IP 層的安全機制可以爲所有主機間提供安全通信服務，但卻無法保證用戶間電子郵件的安全性。因爲利用電子郵件通信的雙方並不直接在 IP 層上進行通信，電子郵件需要通過中間的郵件服務器的轉發。雖然 IPsec 可以爲上層應用提供統一的主機到主機的安全服務，但如果主機上運行多個不同的應用，需要與不同主機進行不同安全需求的通信時，則需要使用運輸層的安全協議。

18. 使用 IPsec 或 SSL 能代替 PGP 爲電子郵件提供安全服務嗎。
能。因爲利用電子郵件通信的雙方並不是直接在 IP 層或運輸層上進行通信電子郵件，需要通過中間的郵件服務器的轉發。IPsec 或 SSL 都不能爲郵件收發雙方直接提供安全服務。

20. 是不是在部署了防火牆內網的主機就都安全了？
在網絡邊界位置部署防火牆對於提高內網安全，能夠起到積極的作用但是防火牆技術，並不能解決所有的網絡安全問題。我們要清楚它在安全防護方面的一些侷限性：防火牆所發揮的安全防護作用在很大程度上取決於防火牆的配置是否正確和完備。一些利用系統漏洞或網絡協議漏洞進行的攻擊防火牆難以防範。防火牆不能有效防止病毒、木馬等通過網絡的傳播。分組過濾器不能防止 IP 地址和端口號欺騙；而應用級網關自身也可能有軟件漏洞而存在被滲透攻擊的風險。

21. 有了防火牆爲什麼還需要入侵監測系統？
防火牆試圖在入侵行爲發生之前阻止所有可疑的通信。但事實是不可能阻止所有的入侵行爲，因此需要使用入侵檢測系統。在入侵已經開始，但還沒有造成危害或在造成更大危害前，及時檢測到入侵以便儘快阻止入侵把危害降低到最小。IDS 對進入網絡的分組執行深度分組檢查。當觀察到可疑分組時，向網絡管理員發出告警或執行阻斷操作(由於IDS的「誤報」率通常較高多數情況不執行自動阻斷)。IDS 能用於檢測多種網絡攻擊包括網絡映射、端口掃描、DoS攻擊、蠕蟲和病毒、系統漏洞攻擊等。

22. 入侵檢測方法一般可以分爲哪兩種，它們之間的區別是什麼？
入侵檢測方法一般可以分爲基於特徵的入侵檢測和基於異常的入侵檢測兩種。基於特徵的 IDS 維護一個所有已知攻擊標誌性特徵的數據庫。每個特徵是一個與某種入侵活動相關聯的規則集，這些規則可能基於單個分組的首部字段值或數據中特定比特串或者與一系列分組有關。當發現有與某種攻擊特徵匹配的分組或分組序列時則認爲可能檢測到某種入侵行爲。這些特徵和規則通常由網絡安全專家生成機構的網絡管理員定製，並將其加入到數據庫中。基於特徵的 IDS 只能檢測已知攻擊對於未知攻擊則束手無策。基於異常的 IDS 通過觀察正常運行的網絡流量，學習正常流量的統計特性和規律。當檢測到網絡中流量某種統計規律不符合正常情況時，則認爲可能發生了入侵行爲。

23. 爲什麼攻擊者在進行網絡攻擊前通常要進行網絡掃描，網絡掃描有哪幾種主要的類型？
在實施網絡攻擊前，對攻擊目標的信息掌握得越全面、具體越能合理，有效地根據目標的實際情況確定攻擊策略和攻擊方法網絡攻擊的成功率也越高。網絡掃描技術是獲取攻擊目標信息的一種重要技術，能夠爲攻擊者提供大量攻擊所需的信息。這些信息包括目標主機的IP地址、工作狀態、操作系統類型、運行的程序以及存在的漏洞等等。主機發現、端口掃描、操作系統檢測和漏洞掃描是網絡掃描的四種主要類型。

24. 在交換式局域網中，用嗅探器進行網絡監聽的困難是什麼，交換機毒化攻擊的基本原理是什麼？如何防範？
由於交換機是根據目的 MAC 地址有目的轉發幀，因此分組嗅探器通常僅能接收到發送給自己的幀或廣播幀，因此通常無法監聽到網絡中的其他站點的通信內容。由於交換機的轉發表空間是有限的並且總是保留最新記錄的表項。交換機毒化攻擊利用這一特性向交換機發送大量具有不同虛假源 MAC 地址的幀，使這些虛假 MAC 地址表項會填滿交換機的轉發表，使真正需要被保存的 MAC 地址被更新淘汰。這樣該交換機就不得不廣播大多數的幀。因爲在交換機的轉發表中找不到這些幀的目的 MAC 地址。這時分組嗅探器就能監聽到網絡中其他主機的通信了。
例如：針對交換機毒化攻擊對於具有安全功能的交換機，可以在某個端口上設置允許學習的源 MAC 地址的數量。當該端口學習的 MAC 地址數量超過限定數量時，交換機將產生違例動作，從而禁止該端口進行通信。網絡管理員還可以禁用交換機的自學習功能將 IP 地址、MAC 地址與交換機的端口進行靜態綁定。

25. DDoS 是如何產生巨量攻擊流量的？爲什麼難以防範？ 在分佈式 DoS 攻擊中，攻擊者先通過非法入侵手段控制因特網上的許多主機 (例如通過嗅探口令、漏洞滲透、木馬等方式)，然後控制這些主機同時向攻擊目標系統發起 DoS 攻擊。很多 DDoS 攻擊還結合反射攻擊技術，進一步將攻擊流量進行放大，甚至進行多次反射，來產生超巨量的攻擊流量。由於很難區分哪些是惡意分組，哪些是正常分組，而且通常參與 DDoS 攻擊的分組使用的源IP地址都是假冒的，又來找因特網上不同的被控主機很難追溯到攻擊源。因此 DDoS 難以防範。