第6章:网络层 1. 假设在以太网上运行IP协议,源主机A要和IP地址为19 2.168.1.250的主 机B通信,请问A如何得到主机B的MAC地址?(说明采用的协议以及查找过程) 解答: 主机A采用地址解析协议ARP获得主机B的MAC地址,具体过程如下: (1)主机A首先很据主机B的IP地址192.168.1.250,在自己的ARP高速缓存 表查找与之对应的MAC地址。如果可以找到,不再进行地址解析;否则,则以广播方式发送一个ARP请求分组,该请求分组中包含主机A的IP地址、MAC地址以及主机B的主机地址。 (2)主机B在接收到ARP请求分组时,将完成地址解析,并发送ARP应答分 组,该分组包含了主机B的MAC地址。 (3)主机A收到来自主机B的ARP应答分组时,将提取主机B的IP地址和MAC 地址加入到ARP高速缓存表中,然后将具有完整的源IP地址、目的IP地址、目的MAC地址和数据作为一个发送分组,传送给数据链路层并封装成帧。 2. 考虑如图所示的采用基于距离矢量的路由选择算法的子网。假设路由器C刚 启动,并测得到达它的邻接路由器B、D、E的时延分别等于6、3、5。此后,路由器C依次收到下列矢量:来自D的(16,12,6,0,9,10)、来自E的(7,6,3,9,0,4)以及来自B的(5,0,8,12,6,2)。上面的矢量表示的是发送该矢量的结点分别与结点A、B、C、D、E、F的延时。则路由器C 在收到3个矢量之后的新路由表是什么?
解答: 已知路由器C测得到达自己的邻接路由器B、D和E的时延分别等于6、3和5。在收到来自D的矢量(16、12、6、0、9、10)后,路由器C的路由表如表1所示。 表1 自E的矢量(7,6,3,9,0,4)后,路由器C的路由表如表2所示。 表2 在收到来自B的矢量(5,0,8,12,6,2)后,路由器C的路由表如表3 所示。 表3
10-1 NGI 和NGN各表示什么意思?它们的主要区别是什么? 答:NGN(Next Generation Internet ) : 即下一代英特网;NGI( Next Generation Network ) 即下一代电信网。 主要区别:如表一所示: 表1 NGN与NGI的主要区别 由此可见,NGN希望业务提供者可以为用户( 信息消费者) 提供更好的融和业务,而NGI则希望为广大用户( 不区分信息提供者和信息消费者) 提供一个更好的创新平台。互联网与传统电信网在目标、设计原理、业务与应用、技术、市场、驱动力等方面的差异巨大,因此应采用与传统电信网不同的技术、管理和政策手段来看待和处理互联网所面临的问题。 10-2 建议的IPv6 协议没有首部检验和。这样做的优缺点是什么?答:优点:对首部的处理更简单。数据链路层已经将有差错的帧丢弃了,因此网络层可省去这一步骤;缺点:可能遇到数据链路层检测不出来的差错。 10-3 在IPv4 首部中有一个“协议”字段,但在IPv6 的固定首部中确没有。这是为什么? 答:在IP 数据报传送的路径上的所有路由器都不需要这一字段的信息。只有目的主机才需要协议字段。在IPv6 使用“下一个首部”字段完成IPv4 中的“协议”字段的功能。 10-4 当使用IPv6 时,ARP协议是否需要改变?如果需要改变,那么应当进行概念性的改变还是技术性的改变? 答:从概念上讲没有改变,但因IPv6 地址长度增大了,所以相应的字段都需要增大。 10-5 IPv6 只允许在原点进行分片。这样做有什么好处? 答:分片与重装是非常耗时的操作.IPV6 把这一功能从路由器中删除, 并移到网络边缘的主机中, 就可以大大的加快网络中IP 数据的转发速度.
第一章网络互联设备与管理 1、P8 从资源的组成角度来看,典型的计算机网络可分为两大子网:资源子网和通信子网2、P13 双绞线是应用最广泛的传输介质,可分为屏蔽双绞线和非屏蔽双绞线两大类 3、P15 EIA/TIA-568A线序:绿白绿、橙白蓝、蓝白橙、棕白棕 EIA/TIA-568B线序:橙白橙、绿白蓝、蓝白绿、棕白棕 4、P46 路由器的功能:确定最佳路径和通过网络传输信息 具体表现: 1.连接不同的网络,在不同的网络之间接受转发送到远程网络的数据包,路由器起到数据包的转发作用; 2.选择最合理的路由,引导不同网络之间的通信; 3.路由器在转发报文的过程中,为了便于传送报文,按照预定的规则,把大的数据包分解成适当大小的数据包,到达目的地后,再把分解的数据包还原; 5、P48 路由器的存储器包括只读内存、随机内存、非易失性RAM和闪存。 1.ROM:只读存储器,不能修改其中存放的代码。 2.RAM:可读写存储器,在系统重启后将被清除。 3.NVRAM:可读写存储器,在系统重新启动后仍能保存数据。 4.Flash:可读写存储器,在系统重新启动后仍能保存数据。 第二章网络设备配置和管理 1、P66 网际互联操作系统IOS在网络管理过程中具有如下特点: 1.提供网络协议和网咯服务功能; 2.在设备间提供高速的数据交换; 3.提供安全控制访问; 4.对网络提供很强的可扩展性和容错; 5.提供到网络资源的可靠连接。 2、P67 对网络设备的配置和管理主要借助计算机进行,一般配置访问有以下四种方式: 1.通过PC与网络设备直接相连; 2.通过Telnet对网络设备进行远程管理; 3.通过Web对网络设备进行远程管理; 4.通过SNMP管理工作站对网络设备进行管理。 3、P68、P71、P7 4、P76、P78 命令解释1: 1.Switch>?--------------------------------------列出用户模式下的所有命令 2.Switch#?---------------------------------------列出特权模式下的所有命令 3.Switch>s?--------------------------------------列出用户模式下所有以S开头的命令 4.Switch>show?---------------------------------列出用户模式下show命令后附带的参数 5.Switch>show conf
6复习题 1.APs周期性的发送信标帧,AP的一个信标帧通过11个信道中的一个发送。信标帧允许附近的无线基站发现和 识别AP。 2.1)基于无线主机的MAC地址;2)用户名和密码的结合。在这2中情况中,AP把信息传送给认证服务器。 3.不对 4.2个原因:1)无线信道中误码率比较高;2)在有线的以太网中,发送站点能够检测到是否有碰撞发生,然而 在802.11中站点不能检测到碰撞。 5.不对 6.每一个无线基站都可以设置一个RTS阈值,因此只有当将要传送的数据帧长度长于这个阈值时,RTS/CTS序列 才会被用到。 7.没有好处。假设有2个站点同时想发送数据,并且他们都使用RTS/CTS。如果RTS/CTS的帧长和数据帧长一样 时,信道就会被浪费,因为发送RTS/CTS的时间和发送数据的时间一样。因此RTS/CTS交换只有当RTS/CTS 帧长远小于数据帧长时才有用。 8.开始时,交换机在其转发表中有一个表项标识了无线站点和前一个AP的联系。当无线基站和新的AP联系时, 新的AP将创建一个包括无线基站MAC地址以及以太网广播帧的帧。当交换机收到该帧时,更新其转发表,使得无线站点可以通过新的AP到达。 9.UMTS源于GSM,CDMA200源于IS-95。 习题 1.输出d1 = [-1,1,-1,1,-1,1,-1,1];d0 = [1,-1,1,-1,1,-1,1,-1] 2.发送方2的输出= [1,-1,1,1,1,-1,1,1]; [ 1,-1,1,1,1,-1,1,1] 3. 4.a)两个AP有不同的SSID和MAC地址。一个到达咖啡馆的无线站点将会和其中一个AP的联系。发生联系后, 在新的站点和AP之间会建立一条虚链路。把两个ISP的AP标识为AP1和AP2。假设新的站点和AP1相关联。 当它发送一个帧的时候,它将会到达AP1。虽然AP2也会收到这个帧,但是它不会处理这个帧,因为这个帧发送给它的。因此这两个ISP能在相同的信道上平行地工作。尽管如此,这两个ISP将共享相同的无线带宽。如果不同的ISP中的无线站点同时发送数据,将会产生碰撞。对802.11b来说,两个ISP的最大合计传输速率为Mbps。 b)现在如果不同的ISP中的2个无线终端同时发送数据,就不会产生碰撞。因此这2个ISP的最大合计传输速率为22Mbps对802.11b来说。 5.这样设计是为了公平。我们假设开始只有H1这一个无线站点发送数据,当时当H1发送到一半时,另一个站点 H2也要发送一个帧,为了简单起见,我们还是假设没有隐藏的终端。在发送之前,H2检测到信道忙,因此它要选择一个随机的回退值。现在我们假设H1发送完第一个帧以后,如果退回到第一步,即它等待一个DIFS然后发送第二个帧。那么H2仍将被阻塞并再次等待信道的空闲时刻。因此,如果H1有1000个帧要传的话,那么H2只有等H1传完这1000个帧後才能有机会接入这个信道。但是如果H1传完第一个帧後退回到第二步,那么它也将选取一个随机的回退值,这样的话就给了H2发送数据的机会。 6.不含有数据的帧长为32字节。假设传输速率是11 Mbps,传输一个控制帧的时间为32*8/11 Mbps=23usec.传输 数据帧所需的时间为(8256 bits)/(11 Mbps) = 751usec。总时间为: DIFS + RTS + SIFS + CTS + SIFS + FRAME + SIFS + ACK= DIFS + 3SIFS + (3*23 + 751) usec = DIFS + 3SIFS + 820 usec。 7.a)不会。因为在距离矢量算法中,目的点的改变信息只会在相邻的节点间传输(这不同于链路状态路由,在这 个算法中,信息的改变将会通过广播发送到所有的路由器,因此在链路状态广播后,所有的路由器将会知道网
计算机网络教程(谢希仁)第10章计算机网络的安全
第 2 页 共 13 页 第10章 计算机网络的安全 本章目录 第10章 计算机网络的安全 (2) 10.1 网络安全问题概述 (2) 10.1.1 计算机网络面临的安全性威胁 (2) 10.1.2 计算机网络安全的内容 (3) 10.1.3 一般的数据加密模型 (4) 10.2 常规密钥密码体制 (5) 10.2.1 替代密码与置换密码 (5) 10.2.2 数据加密标准DES (6) 10.3 公开密钥密码体制 (8) 10.3.1 公开密钥密码体制的特点 (8) 10.3.2 RSA 公开密钥密码体制 (9) 10.3.3 数字签名 (9) 10.4 报文鉴别 (10) 10.5 密钥分配 (11) 10.6 链路加密与端到端加密 (12) 10.6.1 链路加密 (12) 10.6.2 端到端加密 (12) 10.7 防火墙 (12) 10.1 网络安全问题概述 10.1.1 计算机网络面临的安全性威胁 1. 计算机网络上的通信面临以下的4种威胁。 1) 截获(interception) 攻击者从网络上窃听他人的通信内容。 2) 中断(interruption) 攻击者有意中断他人在网络上的通信。 3) 篡改(modification) 攻击者故意篡改网络上传送的报文。 4) 伪造(fabrication) 攻击者伪造信息在网络上传送。 2. 上述四种威胁可划分为两大类,即被动攻击和主动攻击(如图10-1所示)。在上 述情况中,截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。 1) 在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU (这里使用 图10-1 对网络的被动攻击和主动攻击
第1章概述 一、填空题 1、网络协议的三个要素是()、()和()。 2、相对于OSI/ISO 七层网络结构参考模型,TCP/IP协议没有定义()和()。 3、衡量网络性能的两个主要指标为()和()。 4、TCP/IP 模型分为四层,它们是( )、( )、( )、( )。 5、计算机网络的体系结构模型中,最有影响的有( )和( )。 6、计算机网络按距离划分可以分为( ),局域网和( )和个人区域网。 7、在分层结构中,从第一层到第三层数据传送的单位分别是( )、( )、( )。 8、OSI体系结构的可分为物理层、( )、( )、( )、会话层、 ( )、和应用层。 9、计算机网络采用( )交换技术,而传统电话网络则采用( )交换技术。 10、在网络上进行通信的双方必须遵守事先约定好的规则,这个规则称为( )。 11、利用电话拨号连接Internet过程中所不可缺少的一个非常重要的硬件设备是( ) 。 12、报文从网络的一端传送到另一端所需的时间叫时延,网络中时延主要由传播时延、( )、( )和()。 13、在OSI的不同层次中,所传输的数据形式是不同的,物理层所传的数据单位是()数据链路层的数据单位是()、网络层的数据单位是()、运输层传输的数据单位是()。 14、国际标准化组织ISO提出的“开放系统互连参考模型(OSI)”有()层。 15、按交换方式来分类,计算机网络可分为()、()和()。 16、按照覆盖的地理范围,计算机网络可以分为()、()和()。 17、建立计算机网络的主要目的是:()。 18、所谓的“三网”指()、()和()。 19、计算机网络向用户提供的最重要的功能是()和()。 20、Internet的前身是()。 21、因特网的拓扑结构从工作方式看可以划分为()和()两大块。 22、网络边缘的通信方式通常分为()和()两大类。 二、单选题 1、不属于网络协议的组成要素应是哪一种:() A、语义 B、语法 C、同步 D、词汇 2、数据从上到下封装的格式为:() A、比特分组帧段数据 B、数据段分组帧比特 C、比特帧分组段数据 D、数据分组段帧比特 3、网络协议主要要素为()。 A、数据格式、编码、信号电平 B、数据格式、控制信息、速度匹配 C、语法、语义、同步 D、编码、控制信息、同步 4、Intranet技术主要由一系列的组件和技术构成,Intranet的网络协议核心是()。 A、ISP/SPX B、PPP C、TCP/IP D、SLIP 5、通过电话网实现数据交换,采用的是:()。 A、电路交换 B、报文交换 C、数据报业务服务 D、虚电路业务服务 6、OSI代表()。 A、Organization for Standards Institute B、Organization for Internet Standards C、Open Standards Institute D、Open Systems Interconnection
网络互联技术练习题答案 一、单项选择题 1.IGMP、SMTP、UDP分别对应于OSI/RM中的哪一层协议() A)网络层、传输层、会话层B)物理层、数据链路层、传输层 C)网络层、应用层、传输层D)传输层、会话层、应用层 2.IPv4和IPv6分别有多少位二进制数组成() A)32,48B)48,128C)16,32D)32,128 3.下列命令中可以用来显示到达目标用户途经各节点路径的是() A)pingB)ipconfigC)netstatD)tracert 4.有关处理生成树协议中链路故障的说法,下面哪个是正确的() A)链路失去连通性对用户来说就是无法正常通讯,所以对生成树协议来说,其首要目的是防止链路失去连通性。也就是说临时回路是可以让其发生,但绝对不能让链路失去连通性的情况存在 B)由于链路故障在网络中传播有一定的延迟,所以为了防止临时回路的产生,生成树协议引入了一个中间状态即listening状态 C)为了防止临时回路的产生,生成树协议在将端口由阻塞状态迁移到转发状态时,需要一定的时间延迟 D)生成树协议能够避免链路临时失去连通性 5.交换机互联中的环路问题是用什么技术来解决的() A)VLANB)STPC)VTPD)RIP 6.下面关于交换机链路聚合的陈述中,正确的是() A)交换机链路聚合并没有增加可靠性B)聚合的各端口可以不是同类型端口 C)链路聚合时必须开启生成树协议D)聚合可以增加交换机间链路的带宽 7.下面关于路由器广域网点到点协议(PPP)的叙述错误的是() A)PPP使用了OSI分层体系结构中的三层B)PAP认证是两次握手、明文发送用户名和密码C)PPP也可在路由器的局域网端口上使用D)CHAP认证是三次握手、密文发送用户名和密码 8.下面路由协议中属于距离矢量路由协议的是() A)RIPB)BGPC)IGRPD)OSPF 9.以下关于RIP协议的描述中,最准确的是() A)RIP协议根据链路状态法计算最佳路由B)RIP协议是用于自治系统之间的外部网关协议C)RIP协议不能根据网络通信情况动态地改变路由D)RIP协议把路由的跳数作为度量值10.在访问控制列表中地址和屏蔽码为所表示的IP地址范围是() A))))在通过三层交换机实现VLAN间通信的方案中,各VLAN内计算机用户的网关指的是() A)三层交换机trunk接口的IPB)计算机自身所连接的交换机以太网接口的IP C)三层交换的VLAN1的管理IPD)三层交换机各VLAN的管理IP 12.三台路由器的连接与IP地址分配如下图所示,在R3中配置到达子网的静态路由的命令是() A)R3(config)﹟iproute B)R3(config)﹟iprouteE1 C)R3(config)﹟)R3(config)﹟iproute1E0 13.网络连接和IP地址分配如下图所示,并且配置了RIPv2路由协议。如果在路由器R2上运行命令:R2﹟showiproute,下面四条显示信息中正确的是()
第六章应用层 6-01 因特网的域名结构是怎么样的?它与目前的电话网的号码结构有何异同之处? 答: (1)域名的结构由标号序列组成,各标号之间用点隔开: … . 三级域名 . 二级域名 . 顶级域名 各标号分别代表不同级别的域名。 (2)电话号码分为国家号结构分为(中国 +86)、区号、本机号。 6-02 域名系统的主要功能是什么?域名系统中的本地域名服务器、根域名服务器、顶级域名服务器以及权限域名权服务器有何区别? 答: 域名系统的主要功能:将域名解析为主机能识别的IP地址。 因特网上的域名服务器系统也是按照域名的层次来安排的。每一个域名服务器都只对域名体系中的一部分进行管辖。共有三种不同类型的域名服务器。即本地域名服务器、根域名服务器、授权域名服务器。当一个本地域名服务器不能立即回答某个主机的查询时,该本地域名服务器就以DNS客户的身份向某一个根域名服务器查询。若根域名服务器有被查询主机的信息,就发送DNS回答报文给本地域名服务器,然后本地域名服务器再回答发起查询的主机。但当根域名服务器没有被查询的主机的信息时,它一定知道某个保存有被查询的主机名字映射的授权域名服务器的IP地址。通常根域名服务器用来管辖顶级域。根域名服务器并不直接对顶级域下面所属的所有的域名进行转换,但它一定能够找到下面的所有二级域名的域名服务器。每一个主机都必须在授权域名服务器处注册登记。通常,一个主机的授权域名服务器就是它的主机ISP的一个域名服务器。授权域名服务器总是能够将其管辖的主机名转换为该主机的IP地址。 因特网允许各个单位根据本单位的具体情况将本域名划分为若干个域名服务器管辖区。一般就在各管辖区中设置相应的授权域名服务器。 6-03 举例说明域名转换的过程。域名服务器中的高速缓存的作用是什么? 答: (1)把不方便记忆的IP地址转换为方便记忆的域名地址。 (2)作用:可大大减轻根域名服务器的负荷,使因特网上的 DNS 查询请求和回答报文的数量大为减少。 6-04 设想有一天整个因特网的DNS系统都瘫痪了(这种情况不大会出现),试问还可以给朋友发送电子邮件吗? 答:不能; 6-05 文件传送协议FTP的主要工作过程是怎样的?为什么说FTP是带外传送控制信息?主进程和从属进程各起什么作用? 答: (1)FTP使用客户服务器方式。一个FTP服务器进程可同时为多个客户进程提供服务。FTP 的服务器进程由两大部分组成:一个主进程,负责接受新的请求;另外有若干个从属进程,负责处理单个请求。 主进程的工作步骤: 1、打开熟知端口(端口号为 21),使客户进程能够连接上。 2、等待客户进程发出连接请求。 3、启动从属进程来处理客户进程发来的请求。从属进程对客户进程的请求处理完毕后即终止,但从属进程在运行期间根据需要还可能创建其他一些子进程。 4、回到等待状态,继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地
网络互联技术教学大纲 适用专业:计算机网络专业学分:4 一、课程名称 网络互联技术 二、课程的性质与任务 课程的性质:本课程是计算机网络技术专业必修的专业课,是一门以培养学生技能为主的课程,也是理论与实操紧密联系的课程。 课程的任务:通过本课程的学习,学生掌握当前先进的网络技术,并能熟练利用Cisco网络设备(路由器和交换机)设计、构建和维护中小型的企业网络。 前导课程:《计算机网络基础》 后续课程:《高级路由技术》、《高级交换技术》、《网络集成实训》 三、教学基本要求 通过本课程的学习,学生应达到下列基本要求: 1.掌握网络互联的基本概念; 2.掌握IP编址技术; 3.掌握Cisco路由器的基本配置和调试; 4.掌握静态路由和动态路由(RIP、EIGRP、OSPF)的配置和调试; 5.掌握访问控制列表的设计和应用; 6.掌握广域网技术(PPP、ISDN、Frame Relay)的应用; 7.掌握网络地址转换技术的设计和应用; 8.掌握交换机的基本配置和调试; 9.掌握VLAN的划分、VTP配置和VLAN间的路由; 10.掌握生成树协议的原理和配置。 四、基本要求及重点、难点说明
本课程的基本要求:通过本课程的学习,学生掌握当前先进的网络技术,并能熟练利用Cisco网络设备(路由器和交换机)设计、构建和维护中小型的企业网络。 本课程的重点是以网络互联技术为核心,介绍路由器配置操作、交换机配置操作、子网划分、局域网技术、广域网技术等重要的网络互连技术,并通过组网实例——高校校园网建设和网络互联实训把各章内容联系起来,力争实现培养学生实际组网能力。 五、学时、学分及学期分配表 六、使用教材及参考资料 使用教材:沈祥玖主编《网络互连技术》人民邮电出版社.2008年 1.《思科网络技术学院教程(第三版)》清华大学等译人民邮电出版社 2004年7月 2. 张国清,李涤非编著.CCNA学习指南.人民邮电出版社.2004年 3. [美]Jeff Doyle 著.TCP/IP路由技术(第一卷).人民邮电出版社.2003年 4. [美]Jeff Doyle 著.TCP/IP路由技术(第2卷).人民邮电出版社.2002年 5. [美] Henry Benjamin著.CCNP实战指南:路由.人民邮电出版社.2003年
Computer Networking: A Top-Down Approach, 7th Edition 计算机网络自顶向下第七版 Solutions to Review Questions and Problems Chapter 6 Review Questions 1.The transportation mode, e.g., car, bus, train, car. 2.Although each link guarantees that an IP datagram sent over the link will be received at the other end of the link without errors, it is not guaranteed that IP datagrams will arrive at the ultimate destination in the proper order. With IP, datagrams in the same TCP connection can take different routes in the network, and therefore arrive out of order. TCP is still needed to provide the receiving end of the application the byte stream in the correct order. Also, IP can lose packets due to routing loops or equipment failures. 3.Framing: there is also framing in IP and TCP; link access; reliable delivery: there is also reliable delivery in TCP; flow control: there is also flow control in TCP; error detection: there is also error detection in IP and TCP; error correction; full duplex: TCP is also full duplex. 4.There will be a collision in the sense that while a node is transmitting it will start to receive a packet from the other node. 5.Slotted Aloha: 1, 2 and 4 (slotted ALOHA is only partially decentralized, since it requires the clocks in all nodes to be synchronized). Token ring: 1, 2, 3, 4. 6.After the 5th collision, the adapter chooses from {0, 1, 2,…, 31}. The probability that it chooses 4 is 1/32. It waits 204.8 microseconds. 7.In polling, a discussion leader allows only one participant to talk at a time, with each participant getting a chance to talk in a round-robin fashion. For token ring, there isn’t a discussion leader, but there is wine glass that the participants take turns holding. A participant is only allowed to talk if the participant is holding the wine glass.
本文由heyan12121贡献 ppt1。 第10章 安全网络系统的构建 章 china_54@tom.com 第10章 安全网络系统的构建 章 1 2 3 4 5 信息系统安全概述 中国网络安全现状 网络攻击行为技术特点分析及应对 网络安全防御系统实现策略 企业网络安全系统整体方案设计 china_54@tom.com 本章学习目标 理解信息系统安全概念 理解中国网络安全现状 分析网络攻击行为技术特点及应对 了解网络安全防御系统实现策略 了解企业网络安全系统整体方案设计 china_54@tom.com 第10章 安全网络系统的构建 章 10.1 信息系统安全概述 信息安全是确保重要信息系统数据安全和业务连续性,以确保社会经济的 稳定。因此,如何建立一个安全高效的现代信息系统已成为一个日益突出 的问题。所谓“信息安全”是指在客观上确保信息属性的安全性,使信息 所有者在主观上对他们获得的信息的真实性放心。 信息安全有三种基本属性: (1)完整性(integrity) (2)可用性(avaliability) (3)保密性(confidentiality) china_54@tom.com 第10章 安全网络系统的构建 章 10.2 中国网络安全现状 信息系统处于攻击之下己经几十年了,但安全问题在过去并没有被大多数 人所重视,而在今天却受到越来越多的人的关注。回顾中国的网络安全产 品,我们会发现: 1.需求日益增加,市场潜力巨大 2.国内厂商日益成熟,竞争日趋激烈 3.专业安全服务已经逐渐引起重视 4.网络安全整体方案需求更趋实用 5.国家重大工程成为网络安全市场巨大的推动力 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.1 拒绝服务DoS 淹没 Smurfing拒绝服务攻击 分片攻击 带外数据包攻击 分布式拒绝服务攻击DDoS china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.2 恶意软件 逻辑炸弹 后门 蠕虫 病毒 特洛伊木马 恶意软件攻击方法小结: 第一,制定一个保护计算机防止被病毒等恶意软件威胁的计划。 第二,安装有效的反病毒等工具。 第三,教育用户预防和识别病毒等恶意软件的技术。 第四,及时更新清除恶意软件的工具。 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.3 利用脆弱性 访问权限 蛮力攻击 缓冲区溢出 信息流泄露 利用脆弱性小结 10.3.4 操纵IP包 化整为零 盲IP欺骗 序列号预测 china_54@tom.com 第10章 安全网络系统的构建 章 10.3 网络攻击行为技术特点分析及应对 10.3.5 内部攻击 所谓的“from the inside”有两方面的含义:一方面指内部
网络互联技术与实践复习资料 一、填空题 1. 考虑线序的问题,主机和主机直连应该用交叉线线序的双绞线 连接。 2. 网络按通信范围分为局域网、城域网、广域网。 3. Internet中使用的协议主要是 TCP/IP协议。 4. 在组建网吧时,通常采用星型网络拓扑结构。 5. 当网络出现故障时,我们首先应该检查物理层。 6. 防火墙可以分为硬件防火墙和软件防火墙。 7. 虚拟网络是以交换技术为基础的。 8. 避免路由循环,RIP等距离向量算法实现了水平分割、毒性逆转、触 发更新和抑制计时三种机制。 9. OSI参考模型从下至上排列顺序为物理层、数据链路层、网络层、传 输层、会话层、表示层、应用层。 10.有一种互连设备工作于网络层,它既可以用于相同(或相似)网络间的互连, 也可以用于异构网络间的互连,这种设备是路由器。 二、选择题 B 1. OSI是由()机构提出的。 A.IETF B.ISO C.IEEE D.INTERNET A 2. 屏蔽双绞线(STP)的最大传输距离是()。 A.100米 B.185米 C.500米 D.2000米 A 3. 10.100BASE-TX网络采用的物理拓扑结构为()。 A.星型 B.总线型 C.环型 D.混合型 C 4. 广域网覆盖的地理范围从几十公里到几千公里。它的通信子网主要使用 ()技术。 A.报文交换 B.文件交换 C.分组交换 D.电路交换 D 5. 局域网中最常用的网线是()。 A.粗缆 B.细缆 C.STP D.UTP D 6. 制作双绞线的T568B标准的线序是()。 A.橙白、橙、绿白、绿、蓝白、蓝、棕白、棕
B.绿白、绿、橙白、蓝、蓝白、橙、棕白、棕 C.蓝白、蓝、绿白、橙、橙白、绿、棕白、棕 D.橙白、橙、绿白、蓝、蓝白、绿、棕白、棕 D 7. 目前使用最多的无限局域网标准是()。 A.IEEE 802.11b B.IEEE 802.3 C.IEEE 802.11 D.以上都不是 C 8. OSI模型的()负责产生和检测电压以便收发携载数据的信号。 A.传输层 B.会话层 C.物理层 D.表示层 B 9. IP路由器设计重点是提高接收处理和转发分组速度,其传统IP路由转 发功能主要由()实现。 A.硬件 B.软件 C.专用ASIC D.操作系统 D 10.以下哪项不是置IP路由器应具备的主要功能()。 A.转发所收到的IP数据报 B.IP数据报选择最佳路径 C.维护路由表信息 D.分析IP数据报所携带的TCP内容 A 11.某路由器收到了一个IP数据报,在对其首部进行校验后发现该数据报 存在错误,路由器最有可能采取的动作是()。 A.抛弃该IP数据报 B.将该IP数据报返给源主机 C.纠正该IP数据报的错误 D.通知目的主机数据报出错 B 12.某主机的IP地址为202.113.25.55,子网掩码为255.255.255.240,该 主机的有限广播地址为()。 A.202.113.25.255 B.255.255.255.255 C.255.255.255.55 D.202.113.25.240 B 13.在通常情况下,下列哪一种说法是错误的( )。 A.ICMP协议位于TCP/IP协议的互联层 B.ICMP协议的报文与IP数据报的格式一样 C.ICMP协议的报文是作为IP数据报的数据部分传输的 D.ICMP协议不仅用于传输差错报文,还用于传输控制报文 A 14.下列哪个MAC地址是正确的()。 A.00-06-5B-4F-45-BA B.192.168.1.55 C.65-10-96-58-16 D.00-16-5B-4A-34-2H C 15.下面哪一个不是Ethernet 802.3数据帧结构中的一个域()。 A.源地址 B.目标地址 C.路径选择器 D.长度
使用某台Windows 7 计算机的所有用户都能够安装未经授权的软件。除了对用户进行安全行为培训外,还应该执行哪项操作来解决此问题? 在计算机上启用UAC。 将用户文件权限更改为只读。 将用户文件夹权限设置为拒绝。 禁用用户的帐户。 某无线路由器上配置了端口触发。已将端口25 定义为触发端口,端口113 定义为开这对网络流量有什么影响? 由端口25 传入内部网络的所有流量也允许使用端口113。 由端口25 发送出去的所有流量将打开端口113,从而让入站流量通过端口113 进入内部网络。 任何使用端口25 传出内部网络的流量也允许通过端口113 发送出去。 任何传入端口25 的流量都允许使用传出端口113。 用户反映,计算机的Web 浏览器即使重置默认页也不能显示正确的主页。此问题的可是什么? 计算机感染了间谍软件。 计算机上禁用了UAC。 文件夹权限从拒绝更改成了允许。 病毒损坏了系统磁盘的启动扇区。 哪项物理安全技术可以保存用户身份验证信息(包括软件许可证保护),提供加密,以对应于主机系统的硬件和软件身份验证? 受信任的平台模块(TPM) 凭钥匙卡出入 生物识别身份验证 双重安全 蠕虫具有下列哪两项特征?(选择两项。) 当软件在计算机上运行时执行 隐藏在潜伏状态下,等待攻击者的需要 在用户无任何干预或不知情的情况下传播到新的计算机
自我复制 通过附加在软件代码上而感染计算机 哪种类型的安全威胁使用的电子邮件看起来是来自合法的发件人,并且要求电子邮件收问某个网站并输入机密信息? 隐蔽式病毒 网络钓鱼 蠕虫 广告软件 DoS 攻击的主要目标是什么? 获得服务器地址簿中的所有地址 阻止目标服务器处理其它请求 扫描目标服务器上的数据 方便访问外部网络 下列哪项措施可以帮助技术人员确定拒绝服务攻击是否由主机上的恶意软件引起? 将主机与网络断开。 在主机上安装流氓杀毒软件。 禁用主机上的ActiveX 和Silverlight。 以其他用户身份登录主机。 什么方法可以最有效地保护无线流量安全? WEP SSID 隐藏 无线MAC 过滤 WPA2 用户接到一个电话,对方声称自己是IT 服务代表,然后要求用户确认用户名和口令供用。这个电话代表了哪一种安全威胁? 垃圾邮件 社会工程 匿名键盘记录 DDoS
10-1 NGI和NGN各表示什么意思?它们的主要区别是什么? 答:NGN(Next Generation Internet):即下一代英特网;NGI(Next Generation Network): 即下一代电信网。 主要区别:如表一所示: 表1 NGN与NGI的主要区别 由此可见,NGN希望业务提供者可以为用户(信息消费者)提供更好的融和业务,而NGI则希望为广大用户(不区分信息提供者和信息消费者)提供一个更好的创新平台。互联网与传统电信网在目标、设计原理、业务与应用、技术、市场、驱动力等方面的差异巨大,因此应采用与传统电信网不同的技术、管理和政策手段来看待和处理互联网所面临的问题。 10-2 建议的IPv6协议没有首部检验和。这样做的优缺点是什么? 答:优点:对首部的处理更简单。数据链路层已经将有差错的帧丢弃了,因此网络层可省去这一步骤;缺点:可能遇到数据链路层检测不出来的差错。 10-3 在IPv4首部中有一个“协议”字段,但在IPv6的固定首部中确没有。这是为什么? 答:在IP数据报传送的路径上的所有路由器都不需要这一字段的信息。只有目的主机才需要协议字段。在IPv6使用“下一个首部”字段完成IPv4中的“协议”字段的功能。 10-4 当使用IPv6时,ARP协议是否需要改变?如果需要改变,那么应当进行概念性的改变还是技术性的改变? 答:从概念上讲没有改变,但因IPv6地址长度增大了,所以相应的字段都需要增大。 10-5 IPv6只允许在原点进行分片。这样做有什么好处? 答:分片与重装是非常耗时的操作.IPV6把这一功能从路由器中删除,并移到网络边缘的主机中,就可以大大的加快网络中IP数据的转发速度.
网络互联技术练习题及答案-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
网络互联技术练习题答案 一、单项选择题 1.IGMP、SMTP、UDP分别对应于OSI/RM中的哪一层协议() A)网络层、传输层、会话层 B)物理层、数据链路层、传输层 C)网络层、应用层、传输层 D)传输层、会话层、应用层 2.IPv4和IPv6分别有多少位二进制数组成() A)32,48 B)48,128 C)16,32 D)32,128 3.下列命令中可以用来显示到达目标用户途经各节点路径的是() A) ping B) ipconfig C) netstat D) tracert 4.有关处理生成树协议中链路故障的说法,下面哪个是正确的() A)链路失去连通性对用户来说就是无法正常通讯,所以对生成树协议来说,其首要目的是防止链路失去连通性。也就是说临时回路是可以让其发生,但绝对不能让链路失去连通性的情况存在 B)由于链路故障在网络中传播有一定的延迟,所以为了防止临时回路的产生,生成树协议引入了一个中间状态即listening状态 C)为了防止临时回路的产生,生成树协议在将端口由阻塞状态迁移到转发状态时,需要一定的时间延迟 D)生成树协议能够避免链路临时失去连通性 5.交换机互联中的环路问题是用什么技术来解决的() A)VLAN B)STP C)VTP D)RIP 6.下面关于交换机链路聚合的陈述中,正确的是() A)交换机链路聚合并没有增加可靠性 B)聚合的各端口可以不是同类型端口 C)链路聚合时必须开启生成树协议 D)聚合可以增加交换机间链路的带宽 7.下面关于路由器广域网点到点协议(PPP)的叙述错误的是() A)PPP使用了OSI分层体系结构中的三层 B)PAP认证是两次握手、明文发送用户名和密码
习题 1.应用层的体系结构有几种?各自有何优缺点? a 客户机/服务器体系结构 优点: 简单、直观;易于编程,调试,维护费用低;系统内部负荷可以做到比较均衡,资源利用率较高;允许在一个客户机上运行不同计算机平台上的多种应用;对用户需求变化的适应性较好。 缺点:服务器往往会成为性能上的瓶颈,当请求服务的客户机数量过多的时候,常常会出现服务器主机跟不上其所有客户机请求的情况。而一旦服务器崩溃,所有的客户都无法得到服务,因此存在单点失效的问题。 b P2P体系结构 优点:可扩展性好。在对等体系结构系统中,参与的主机数越多,提供给网络系统的资源也就越多,系统地服务能力就越强。 缺点:peers分布在互联网各个地方,因此难以管理,导致系统难以维护。peers的身份难以验证,无法判断peers是否是合法的主机,安全性存在很大的隐患。 C 客户机/服务器和对等体系结构的混合结构 结合两者的特点。 2.DNS协议的功能是什么?为什么域名需要分层管理?域名地址和IP地址有什么区别? 将主机名转换成IP地址, 因为当因特网上的用户数急剧增加时,用非等级的名字空间来管理一个很大的而且经常变化的名字集是非常困难的。 IP地址采用二进制来表示,每个地址长32比特,在读写IP地址时,32位分为4个字节,每个字节转成十进制,字节之间用"."分隔。域名地址是一定意思的字符串来标识主机地址,IP 与域名地址两者相互对应,而且保持全网统一。 3.以递归解析为例,说明域名转换的过程。 主机的解析器只发出一个询问报文,本地域名服务器查询映射表,如果找到结果就返回应答报文;否则,该域名服务器还要运行解析器去询问其它的域名服务器……直到得到该域名的IP地址返回运行解析器的主机, 假定域名为https://www.doczj.com/doc/ce7018538.html,的主机想知道另一个域名为https://www.doczj.com/doc/ce7018538.html,的主机的IP地址,于是向其本地域名服务器https://www.doczj.com/doc/ce7018538.html,查询。由于查询不到,就向根域名服务器https://www.doczj.com/doc/ce7018538.html,查询。根据被查询的域名中的“https://www.doczj.com/doc/ce7018538.html,”再向授权域名服务器https://www.doczj.com/doc/ce7018538.html,发送查询报文,最后再向授权域名服务器https://www.doczj.com/doc/ce7018538.html,查询。 4.URL与域名有何区别? 统一资源定位符URL(Uniform Resource Locator,URL)来表示该资源存放的位置和用什么方式来进行访问。 域名是任何一个连接在因特网上的主机或路由器的名字 5.什么是非持久连接和持久连接,说明HTTP协议的工作流程。 非持久连接,是每次服务器发送一个对象后相关的TCP连接就被关闭,也就是说每个连
第十章网络安全 一、选择: 1:你配置UNIX下地Ipchains防火墙,你要添加一条规则到指定地chain后面,你应该使用参数: A、—A B、—D C、—S D、—INPUT 答案:A 2:以下关于对称加密算法RC4地说法正确地是: A、它地密钥长度可以从零到无限大 B、在美国一般密钥长度是128位,向外出口时限制到40位 C、RC4算法弥补了RC5算法地一些漏洞 D、最多可以支持40位地密钥 答案:B 3:以下不属于win2000中地ipsec过滤行为地是: A、允许 B、阻塞 C、协商 D、证书 答案:D 4:你是一个公司地网络管理员,你经常在远程不同地地点管理你地网络(如家里),你公司使用win2000操作系统,你为了方便远程管理,在一台服务器上安装并启用了终端服务.最近,你发现你地服务器有被控制地迹象,经过你地检查,你发现你地服务器上多了一个不熟悉地帐户,你将其删除,但第二天却总是有同样地事发生,你应该如何解决这个问题? A、停用终端服务 B、添加防火墙规则,除了你自己家里地IP地址,拒绝所有3389地端口连入 C、打安全补丁sp4 D、启用帐户审核事件,然后查其来源,予以追究 答案:C 5:在Linux下umask地八进制模式位6代表: A、拒绝访问 B、写入 C、读取和写入 D、读取、写入和执行 答案:C 6:Window2000域或默认地身份验证协议是: A、HTML B、Kerberos V5 C、TCP/IP D、Apptalk 答案:B 7:SSL安全套接字协议所使用地端口是: A、80
B、443 C、1433 D、3389 答案:B 8:你有一个共享文件夹,你将它地NTFS权限设置为sam用户可以修改,共享权限设置为sam 用户可以读取,当sam从网络访问这个共享文件夹地时候,他有什么样地权限? A、读取 B、写入 C、修改 D、完全控制 答案:A 9:以下关于window NT 4.0地服务包地说法正确地是? A、sp5包含了sp6地所有内容 B、sp6包含了sp5地所有内容 C、sp6不包含sp5地某些内容 D、sp6不包含sp4地某些内容 答案:C 10:作为一个管理员,把系统资源分为三个级别是有必要地,以下关于级别1地说法正确地是? A、对于那些运行至关重要地系统,如,电子商务公司地用户帐号数据库 B、对于那些必须地但对于日常工作不是至关重要地系统 C、本地电脑即级别1 D、以上说法均不正确 答案:A 11:你所使用地系统为UNIX,你通过umask命令求出当前用户地umask值为0023,请问该用户在新建一文件夹,具体有什么样地权限? A、当前用户读、写和执行,当前组读取和执行,其它用户和组只读 B、当前用户读、写,当前组读取,其它用户和组不能访问 C、当前用户读、写,当前组读取和执行,其它用户和组只读 D、当前用户读、写和执行,当前组读取和写入,其它用户和组只读 答案:A 12:你所使用地系统为win2000,所有地分区均是NTFS地分区,C区地权限为everyone读取和运行,D区地权限为everyone完全控制,现在你将一名为test地文件夹,由C区移动到D区之后,test文件夹地权限为? A、everyone读取和运行 B、everyone完全控制 C、everyone读取、运行、写入 D、以上都不对 答案:B 13:你地window2000开启了远程登陆telnet,但你发现你地window98和unix计算机没有办法远程登陆,只有win2000地系统才能远程登陆,你应该怎么办? A、重设防火墙规则 B、检查入侵检测系统 C、运用杀毒软件,查杀病毒