《網(wǎng)絡(luò)安全基礎(chǔ)與實踐》習(xí)題答案 譚江匯

第1章習(xí)題參考答案1.選擇題（1）D（2）C（3）D2.簡答題（1）答：計算機網(wǎng)絡(luò)是由多個計算機設(shè)備通過通信線路相互連接而成的系統(tǒng)，它允許設(shè)備之間進行數(shù)據(jù)交換和資源共享。計算機網(wǎng)絡(luò)主要由以下部分組成：硬件（如計算機、路由器、交換機等）、軟件（如操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等）、協(xié)議（如TCP/IP等）以及網(wǎng)絡(luò)接口。（2）答：計算機網(wǎng)絡(luò)的發(fā)展可以分為以下幾個階段：-第一階段：面向終端的計算機網(wǎng)絡(luò)，特點是集中式處理，計算機中心化，終端設(shè)備主要用于輸入輸出。-第二階段：計算機-計算機網(wǎng)絡(luò)，特點是多臺計算機通過通信線路互聯(lián)，實現(xiàn)資源共享。-第三階段：標(biāo)準(zhǔn)化的計算機網(wǎng)絡(luò)，特點是制定了網(wǎng)絡(luò)通信標(biāo)準(zhǔn)，如ISOOSI模型和TCP/IP模型，實現(xiàn)了不同廠商設(shè)備的互聯(lián)互通。-第四階段：國際互聯(lián)網(wǎng)和信息高速公路，特點是高速化、智能化、綜合化和全球化，形成了覆蓋全球的互聯(lián)網(wǎng)。（3）答：計算機網(wǎng)絡(luò)的主要功能包括：-信息交換：實現(xiàn)網(wǎng)絡(luò)中各個節(jié)點之間的數(shù)據(jù)傳遞。-資源共享：實現(xiàn)硬件、軟件、數(shù)據(jù)等資源的共享。-分布式處理：將復(fù)雜問題分解，由網(wǎng)絡(luò)中的多個計算機共同處理。-提高系統(tǒng)的可靠性：通過冗余計算機節(jié)點實現(xiàn)系統(tǒng)的高可靠性。（4）答：網(wǎng)絡(luò)應(yīng)用層的協(xié)議包括但不限于：-HTTP：用于網(wǎng)頁傳輸和請求。-FTP：用于文件傳輸。-SMTP：用于發(fā)送電子郵件。-POP3：用于接收電子郵件。-DNS：用于域名解析，將域名轉(zhuǎn)換為IP地址。-DHCP：用于動態(tài)分配IP地址和其他網(wǎng)絡(luò)參數(shù)。（5）答：計算機網(wǎng)絡(luò)采用層次化的體系結(jié)構(gòu)是為了：-簡化網(wǎng)絡(luò)設(shè)計和實現(xiàn)，將復(fù)雜問題分解為更小、更易于管理的部分。-提高模塊化，使得各層可以獨立開發(fā)和維護。-促進標(biāo)準(zhǔn)化，便于不同系統(tǒng)和設(shè)備之間的互操作性。-提高網(wǎng)絡(luò)的靈活性和可擴展性。（6）答：IP地址的定義是用于在網(wǎng)絡(luò)中標(biāo)識和定位設(shè)備的唯一數(shù)字標(biāo)識符。IP地址主要有：-IPv4：由32位二進制數(shù)表示，分為A、B、C、D和E五類地址。-IPv6：由128位二進制數(shù)表示，提供了更大的地址空間，以支持更多的設(shè)備連接到互聯(lián)網(wǎng)。第2章習(xí)題參考答案1.選擇題（1）A（2）C（3）B（4）D2.問答題（1）答：ICMP協(xié)議和ARP協(xié)議的作用：ICMP協(xié)議（InternetControlMessageProtocol，互聯(lián)網(wǎng)控制消息協(xié)議）主要用于在IP主機、路由器之間傳遞控制消息，例如，當(dāng)一個數(shù)據(jù)包不能到達目的地時，路由器可以發(fā)送一個ICMP消息回給信源主機，告知它發(fā)生了錯誤。ARP協(xié)議（AddressResolutionProtocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層的MAC地址，以便在局域網(wǎng)內(nèi)發(fā)送數(shù)據(jù)。（2）答：IP數(shù)據(jù)報頭部通常包括以下字段：-版本（Version）：指定IP協(xié)議的版本。-首部長度（HeaderLength）：指示IP頭部的長度。-服務(wù)類型（TypeofService）：用于指定數(shù)據(jù)包的服務(wù)質(zhì)量。-總長度（TotalLength）：整個IP數(shù)據(jù)報的長度，包括頭部和數(shù)據(jù)。-標(biāo)識（Identification）：用于唯一標(biāo)識主機發(fā)送的每一份數(shù)據(jù)報。-標(biāo)志（Flags）和片偏移（FragmentOffset）：用于處理數(shù)據(jù)報的分段。-生存時間（TimetoLive，TTL）：指定數(shù)據(jù)報在網(wǎng)絡(luò)中可以通過的最大路由器數(shù)。-協(xié)議（Protocol）：指定承載的數(shù)據(jù)應(yīng)該上交給哪個高層協(xié)議。-首部校驗和（HeaderChecksum）：用于檢測頭部信息是否在傳輸過程中被篡改。-源IP地址（SourceAddress）和目的IP地址（DestinationAddress）：分別標(biāo)識數(shù)據(jù)報的發(fā)送者和接收者。（3）答：TCP三次握手和四次揮手的過程：三次握手過程：1.客戶端發(fā)送一個SYN（同步序列編號）報文到服務(wù)器以發(fā)起一個連接。2.服務(wù)器收到SYN報文后，回復(fù)一個SYN-ACK（同步和確認(rèn)）報文，同時確認(rèn)客戶端的SYN。3.客戶端收到服務(wù)器的SYN-ACK報文后，發(fā)送一個ACK（確認(rèn)）報文作為響應(yīng)，完成三次握手，此時連接建立。四次揮手過程：1.客戶端發(fā)送一個FIN（結(jié)束）報文到服務(wù)器，請求關(guān)閉連接。2.服務(wù)器收到FIN報文后，發(fā)送一個ACK報文作為響應(yīng)，并準(zhǔn)備好關(guān)閉連接。3.服務(wù)器發(fā)送一個FIN報文到客戶端，請求關(guān)閉它的那端連接。4.客戶端收到服務(wù)器的FIN報文后，發(fā)送一個ACK報文作為響應(yīng)，然后等待一段時間（稱為TIME_WAIT），確保服務(wù)器接收到最終的ACK報文，之后關(guān)閉連接。服務(wù)器在收到ACK報文后也關(guān)閉連接。第3章習(xí)題參考答案1.選擇題（1）D（2）A（3）B（4）D（5）B（6）B（7）C2.問答題（1）答：交換機工作在數(shù)據(jù)鏈路層，主要通過讀取數(shù)據(jù)包的MAC地址來確定將數(shù)據(jù)發(fā)送到哪一臺計算機。當(dāng)一臺計算機發(fā)送數(shù)據(jù)包時，交換機會讀取這個數(shù)據(jù)包的MAC地址，并使用這個地址來查找目標(biāo)計算機的位置。如果交換機已經(jīng)知道目標(biāo)計算機的位置，它會直接將數(shù)據(jù)包發(fā)送到目標(biāo)計算機。如果交換機不知道目標(biāo)計算機的位置，它會將數(shù)據(jù)包廣播到網(wǎng)絡(luò)中的所有計算機，直到目標(biāo)計算機回應(yīng)。交換機還利用ARP緩存表來緩存IP地址和MAC地址的映射關(guān)系，以及MAC地址表來記錄端口與MAC地址的對應(yīng)關(guān)系。交換機的轉(zhuǎn)發(fā)行為包括泛洪（Flooding）、轉(zhuǎn)發(fā)（Forwarding）和丟棄（Discarding）。交換機具有學(xué)習(xí)功能，通過檢查幀中的源MAC地址來學(xué)習(xí)每個設(shè)備的位置，并將這些信息存儲在MAC地址表中。（2）答：路由器工作在網(wǎng)絡(luò)層，主要用于不同網(wǎng)絡(luò)之間的通信。路由器通過路由表來決定如何將數(shù)據(jù)包從源網(wǎng)絡(luò)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的過程包括：接收數(shù)據(jù)包、查看數(shù)據(jù)包目的IP地址、查詢路由表以匹配目的IP地址的路由條目、根據(jù)匹配到的結(jié)果從指定端口轉(zhuǎn)發(fā)出去。路由器的路由表可以是靜態(tài)配置的，也可以通過動態(tài)路由協(xié)議學(xué)習(xí)得到。路由表中包含了目的網(wǎng)絡(luò)、網(wǎng)絡(luò)掩碼、輸出接口、下一跳IP地址等信息。路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時，會根據(jù)這些信息來決定最佳路徑。路由器還具有選擇最佳路徑的能力，這基于路由表中的信息，如優(yōu)先級和度量值（metric）。路由器的主要目的是確保數(shù)據(jù)包能夠到達正確的目的地，并選擇最佳路徑。第4章習(xí)題參考答案1.選擇題（1）A（2）B（3）B（4）C（5）B2.問答題（1）答：距離矢量路由協(xié)議（如RIP）基于每個路由器到目的地的距離度量值，通過交換距離矢量表來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。鏈路狀態(tài)路由協(xié)議（如OSPF）基于每個鏈路的狀態(tài)信息，通過交換鏈路狀態(tài)廣告來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。兩者的主要區(qū)別在于路由信息的獲取方式和路由計算方法。（2）答：RIP路由協(xié)議路由表的形成過程包括：路由器初始化路由表、通過UDP廣播或組播發(fā)送路由信息、接收鄰居路由器的路由信息、根據(jù)收到的信息更新路由表、使用跳數(shù)作為度量值來選擇最佳路徑。（3）答：水平分割的作用是防止路由環(huán)路的產(chǎn)生。它通過阻止路由器將從某個端口學(xué)到的路由信息再發(fā)送回該端口，從而避免了路由信息的無限循環(huán)。（4）答：RIP中關(guān)閉自動匯總的命令是`noauto-summary`。（5）答：動態(tài)路由的特點包括：能夠自動適應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓?、減少管理員的配置工作、支持負(fù)載均衡和冗余路徑、提高網(wǎng)絡(luò)的可靠性和靈活性。（6）答：DR（指定路由器）和BDR（備份指定路由器）的選舉規(guī)則基于路由器優(yōu)先級和RouterID。優(yōu)先級較高的路由器會被選為DR，如果優(yōu)先級相同，則RouterID較高的路由器被選為DR。BDR是DR的備份。（7）答：OSPF中，查看鄰居表的命令是`displayospfpeer`。（8）答：LSA1描述路由器的直連鏈路信息，LSA2描述區(qū)域內(nèi)路由器的連接信息，LSA3描述區(qū)域間的路由信息，LSA4描述ASBR的信息，LSA5描述AS外部路由信息。（9）答：末梢區(qū)域（Stub）只學(xué)習(xí)到本區(qū)域和骨干區(qū)域的路由信息，而完全末梢區(qū)域（TotallyStub）不學(xué)習(xí)任何區(qū)域間的路由信息，只保留本區(qū)域內(nèi)的路由信息。（10）答：劃分多區(qū)域的原因包括：減少路由信息的泛洪范圍、提高網(wǎng)絡(luò)的可擴展性和性能、使得網(wǎng)絡(luò)管理更加靈活和可靠。（11）答：直連路由的管理距離為0，靜態(tài)路由為1，RIP為120，OSPF為110。（12）答：vlink虛鏈路的作用是連接兩個不直接相連的區(qū)域，使得它們可以交換路由信息，從而實現(xiàn)跨區(qū)域的路由選擇。（13）答：在OSPF中，需要在ABR（區(qū)域邊界路由器）上配置路由匯總。3.操作題（1）略（2）略（3）略第5章習(xí)題參考答案1.選擇題（1）B（2）C（3）A（4）B（5）A2.問答題（1）答：硬件防火墻是獨立的物理設(shè)備，通常提供更高級的安全特性和更好的性能。軟件防火墻通常作為操作系統(tǒng)上運行的程序，配置和維護相對簡單，但可能在性能和安全性方面不如硬件防火墻。（2）答：防火墻的工作原理是通過檢查網(wǎng)絡(luò)通信數(shù)據(jù)包，識別潛在的威脅并阻止不安全的網(wǎng)絡(luò)流量。它可以根據(jù)預(yù)定義的規(guī)則或策略來進行過濾和防御，例如阻止未經(jīng)授權(quán)的訪問和不受信任的流量。（3）答：NAT技術(shù)的作用是將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公共IP地址，以便訪問公共網(wǎng)絡(luò)。例如，在一個企業(yè)網(wǎng)絡(luò)中，可以使用NAT技術(shù)使得多個設(shè)備共享一個公共IP地址來訪問互聯(lián)網(wǎng)，同時保護內(nèi)部網(wǎng)絡(luò)的隱私和安全。（4）答：VRRP技術(shù)的作用是在主路由器發(fā)生故障時，自動地將網(wǎng)絡(luò)流量轉(zhuǎn)移到備份路由器上，從而保證網(wǎng)絡(luò)的連通性和可靠性。（5）答：狀態(tài)檢測技術(shù)通過動態(tài)分析報文的狀態(tài)來決定對報文采取的動作，它不僅檢查數(shù)據(jù)包的源地址、目的地址、端口等信息，還可以根據(jù)數(shù)據(jù)包的狀態(tài)信息，對流量進行檢查和過濾。（6）答：UTM（統(tǒng)一威脅管理）是集成了多種安全功能的設(shè)備，如防病毒、防火墻、入侵檢測等。NGFW（下一代防火墻）是更先進的防火墻，它使用深度包檢查技術(shù)和威脅情報，以實現(xiàn)更好的安全性，并且可以基于用戶、應(yīng)用和內(nèi)容來進行管控。（7）答：DPI（深度包檢查）防火墻能夠檢查網(wǎng)絡(luò)流量中的每個數(shù)據(jù)包的內(nèi)容，包括載荷，以確保安全性和合規(guī)性。它能夠識別和控制應(yīng)用程序級別的流量，提供更細(xì)粒度的控制。（8）答：ASPF（應(yīng)用特定包過濾）是一種應(yīng)用層的包過濾技術(shù)，它可以對多通道協(xié)議的應(yīng)用層數(shù)據(jù)進行解析，識別這些協(xié)議協(xié)商出來的端口號，從而自動為其開放相應(yīng)的訪問規(guī)則。（9）答：心跳線是兩臺防火墻之間的通道，用于交互消息以了解對端狀態(tài)、備份配置命令和各種表項。它主要傳遞心跳報文、VGMP報文、配置和表項備份報文等。（10）答：劃分多區(qū)域的原因是為了提高網(wǎng)絡(luò)的安全性和管理效率。通過將網(wǎng)絡(luò)劃分為不同的安全區(qū)域，可以對不同區(qū)域?qū)嵤┎煌陌踩呗裕瑥亩玫乜刂坪捅O(jiān)控網(wǎng)絡(luò)流量。3.操作題（1）略（2）略（3）略（4）略第6章習(xí)題參考答案1.選擇題（1）B（2）A（3）A（4）C2.問答題（1）答：IDS是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它可以分為基于主機入侵檢測系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。（2）答：漏洞掃描的原理是基于CVE、CNVD、CNNVD等漏洞數(shù)據(jù)庫，通過專用工具掃描手段對指定的遠程或者本地的網(wǎng)絡(luò)設(shè)備、主機等進行脆弱性評估，發(fā)現(xiàn)安全漏洞，并提供可操作的安全建議或臨時解決辦法。漏洞掃描技術(shù)可以分為主動掃描和被動掃描兩種。（3）答：常見的網(wǎng)絡(luò)設(shè)備管理協(xié)議包括SNMP、SSH、Telnet、HTTP/HTTPS、RADIUS、TFTP、ICMP和NetFlow。SNMP用于監(jiān)控和管理網(wǎng)絡(luò)設(shè)備，SSH提供加密的遠程訪問，Telnet用于遠程訪問但數(shù)據(jù)傳輸不加密，HTTP/HTTPS用于Web界面管理，RADIUS用于身份驗證和授權(quán)，TFTP用于快速傳輸配置文件，ICMP用于網(wǎng)絡(luò)故障排除，NetFlow用于收集和分析網(wǎng)絡(luò)流量數(shù)據(jù)。（4）答：入侵防御系統(tǒng)（IPS）技術(shù)是一種安全機制，通過分析網(wǎng)絡(luò)流量，檢測入侵行為，并實時地中止入侵行為。IPS技術(shù)可以分為基于主機入侵防御系統(tǒng)（HIPS）和網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）。（5）答：入侵檢測系統(tǒng)（IDS）是一種網(wǎng)絡(luò)安全設(shè)備，用于檢測和響應(yīng)網(wǎng)絡(luò)中的惡意活動和政策違規(guī)行為。它的作用是監(jiān)控網(wǎng)絡(luò)流量，識別可疑行為，并在檢測到潛在威脅時發(fā)出警報。（6）答：入侵檢測系統(tǒng)（IDS）主要是監(jiān)控和分析網(wǎng)絡(luò)流量，以識別和響應(yīng)潛在的攻擊和異常行為。而防火墻則是一個阻止未授權(quán)訪問的網(wǎng)絡(luò)安全系統(tǒng)，它根據(jù)一系列規(guī)則允許或拒絕數(shù)據(jù)包的傳輸。（7）答：基于主機的入侵檢測系統(tǒng)（HIDS）的優(yōu)點是能夠監(jiān)控單個主機上的活動，包括文件系統(tǒng)和系統(tǒng)日志，從而提供詳細(xì)的主機級安全監(jiān)控。缺點是可能無法檢測到針對網(wǎng)絡(luò)層的攻擊，且在大型網(wǎng)絡(luò)中部署和管理可能較為復(fù)雜。（8）答：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）的優(yōu)點是能夠監(jiān)控整個網(wǎng)絡(luò)的流量，檢測網(wǎng)絡(luò)層的攻擊和異常行為。缺點是可能無法檢測到局限于單個主機的攻擊，且可能需要更多的網(wǎng)絡(luò)資源來處理數(shù)據(jù)。（9）答：基于主機的入侵檢測系統(tǒng)關(guān)注單個主機上的活動，而基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)監(jiān)控整個網(wǎng)絡(luò)的流量。HIDS更適合于檢測針對單個系統(tǒng)的攻擊和異常行為，而NIDS更適合于檢測網(wǎng)絡(luò)層面的攻擊和異常流量.第7章習(xí)題參考答案1.選擇題（1）B（2）A2.問答題（1）答：信息安全的發(fā)展階段包括：-初始階段：物理安全和保密性-計算機網(wǎng)絡(luò)和互聯(lián)網(wǎng)時代-移動和云計算時代-大數(shù)據(jù)和人工智能-物聯(lián)網(wǎng)（IoT）時代-未來展望：量子計算和新興技術(shù)（2）答：常見的安全威脅分類及其特點：-惡意代碼：如病毒、特洛伊木馬，目的是破壞系統(tǒng)或竊取信息。-遠程入侵：未經(jīng)授權(quán)訪問系統(tǒng)，可能竊取數(shù)據(jù)或破壞系統(tǒng)。-拒絕服務(wù)攻擊（DoS/DDoS）：使系統(tǒng)資源耗盡，導(dǎo)致服務(wù)不可用。-身份假冒：冒充他人身份以獲取未授權(quán)的訪問權(quán)限。-信息竊取：未經(jīng)授權(quán)獲取敏感信息。（3）答：物理層安全包含的方面：-訪問控制：限制對關(guān)鍵區(qū)域的物理訪問。-環(huán)境控制：維護適宜的溫度、濕度等環(huán)境條件。-硬件安全：保護服務(wù)器和網(wǎng)絡(luò)設(shè)備的物理安全。-電源和電纜管理：確保穩(wěn)定的電源供應(yīng)和合理的電纜布局。-防護措施：安裝監(jiān)控系統(tǒng)和報警系統(tǒng)以防止入侵。（4）答：系統(tǒng)層安全包含的方面：-認(rèn)證和授權(quán)：確保只有授權(quán)用戶才能訪問系統(tǒng)資源。-操作系統(tǒng)安全：保護操作系統(tǒng)免受攻擊。-惡意軟件防護：使用防病毒軟件和反惡意軟件工具。-日志和監(jiān)控：記錄系統(tǒng)活動以便于安全審計和入侵檢測。-加密和數(shù)據(jù)保護：保護數(shù)據(jù)的機密性和完整性。-安全策略和培訓(xùn)：制定安全策略并培訓(xùn)員工。-應(yīng)急響應(yīng)計劃：制定應(yīng)對安全事件的計劃。（5）答：網(wǎng)絡(luò)層安全包含的方面：-防火墻：監(jiān)控和控制進出網(wǎng)絡(luò)的流量。-路由安全性：確保路由信息的準(zhǔn)確性和安全性。-虛擬專用網(wǎng)絡(luò)（VPN）：加密遠程通信以保護數(shù)據(jù)傳輸?shù)陌踩?無線網(wǎng)絡(luò)安全：保護無線網(wǎng)絡(luò)免受未授權(quán)訪問。-網(wǎng)絡(luò)監(jiān)控和入侵檢測：監(jiān)測網(wǎng)絡(luò)流量以識別潛在的攻擊。（6）答：應(yīng)用層安全包含的方面：-身份驗證和授權(quán)：確保只有授權(quán)用戶才能訪問應(yīng)用程序。-數(shù)據(jù)加密：保護數(shù)據(jù)在傳輸過程中的機密性。-輸入驗證和輸出編碼：防止惡意輸入和跨站腳本攻擊。-會話管理：確保會話的安全性，防止會話劫持。-安全開發(fā)實踐：遵循安全編碼準(zhǔn)則開發(fā)應(yīng)用程序。（7）答：管理層安全包含的方面：-策略和規(guī)程制定：制定網(wǎng)絡(luò)安全策略和操作規(guī)程。-風(fēng)險管理和評估：識別和評估潛在的安全威脅。-合規(guī)性和法規(guī)遵循：確保符合相關(guān)法規(guī)和標(biāo)準(zhǔn)。-安全文化和教育培訓(xùn)：提高員工的安全意識。-安全治理和監(jiān)督：建立安全治理結(jié)構(gòu)以監(jiān)督安全活動。（8）答：常見的網(wǎng)絡(luò)攻擊手段及其特點：-網(wǎng)絡(luò)監(jiān)聽：截獲網(wǎng)絡(luò)上的數(shù)據(jù)包，特點在于隱蔽性和數(shù)據(jù)泄露風(fēng)險。-篡改數(shù)據(jù)：修改傳輸中的數(shù)據(jù)，特點在于數(shù)據(jù)完整性的破壞。-網(wǎng)絡(luò)欺騙：通過偽裝成可信實體進行欺騙，特點在于欺騙性和誘導(dǎo)性。-弱口令攻擊：利用簡單的密碼進行攻擊，特點在于易實施性。-拒絕服務(wù)：消耗系統(tǒng)資源以阻止正常服務(wù)，特點在于破壞性。-漏洞破解：利用系統(tǒng)漏洞進行攻擊，特點在于技術(shù)性和潛在的嚴(yán)重性。-木馬攻擊：通過木馬程序控制目標(biāo)系統(tǒng)，特點在于隱蔽性和控制性。（9）答：網(wǎng)絡(luò)防御技術(shù)的分類及其特點：-主動防御：主動干預(yù)和阻止威脅，特點在于預(yù)防性和干預(yù)性。-被動防御：監(jiān)視和響應(yīng)事件，特點在于監(jiān)測性和反應(yīng)性。第8章習(xí)題參考答案1.選擇題（1）A2.問答題（1）答：典型拒絕服務(wù)攻擊的手段包括：-帶寬消耗型攻擊，例如UDP洪水攻擊、ICMP洪水攻擊，通過發(fā)送大量垃圾數(shù)據(jù)包占用網(wǎng)絡(luò)帶寬，使正常數(shù)據(jù)包無法到達目標(biāo)系統(tǒng)。-資源消耗型攻擊，例如SYN洪水攻擊，通過發(fā)送大量半打開的連接請求，占用目標(biāo)系統(tǒng)的資源，導(dǎo)致服務(wù)不可用。-應(yīng)用層攻擊，例如HTTP洪水攻擊，通過向目標(biāo)服務(wù)器發(fā)送大量HTTP請求，消耗服務(wù)器資源。（2答：漏洞利用的基本步驟包括：-漏洞探測：發(fā)現(xiàn)目標(biāo)系統(tǒng)中存在的漏洞。-漏洞驗證：確認(rèn)漏洞的存在，并驗證其可利用性。-開發(fā)利用代碼：編寫或獲取利用漏洞的代碼。-傳遞利用代碼：將利用代碼傳遞到目標(biāo)系統(tǒng)。-執(zhí)行利用代碼：在目標(biāo)系統(tǒng)上執(zhí)行利用代碼，利用漏洞進行攻擊。（3）答：惡意代碼的表現(xiàn)形式包括：-陷門：故意在系統(tǒng)中留下的未經(jīng)授權(quán)的后門。-特洛伊木馬：看似合法的程序，但實際上包含惡意功能。-邏輯炸彈：在特定條件下激活的惡意代碼。-病毒：能夠自我復(fù)制并傳播的惡意程序。-蠕蟲：自我復(fù)制并通過網(wǎng)絡(luò)傳播的惡意程序。-僵尸網(wǎng)絡(luò)：被一個控制者遠程控制的大量受感染計算機網(wǎng)絡(luò)。（4）答：中間人攻擊的形式包括：-Wi-Fi仿冒：攻擊者創(chuàng)建惡意Wi-Fi接入點，截獲連接用戶的通信。-ARP欺騙：攻擊者冒充網(wǎng)關(guān)，重定向流量。-DNS欺騙：攻擊者篡改DNS記錄，重定向用戶訪問。-郵件劫持：攻擊者監(jiān)控或篡改郵件通信。-SSL劫持：攻擊者偽造SSL證書，竊取加密通信內(nèi)容。（5）答：ARP欺騙的工作原理是攻擊者在局域網(wǎng)內(nèi)發(fā)送偽造的ARP響應(yīng)，將自身的MAC地址與目標(biāo)IP地址關(guān)聯(lián)，或?qū)⒛繕?biāo)IP地址與錯誤的MAC地址關(guān)聯(lián)，導(dǎo)致網(wǎng)絡(luò)流量被重定向到攻擊者設(shè)備，或?qū)е戮W(wǎng)絡(luò)通信中斷。（6）答：DNS欺騙的工作原理是攻擊者篡改DNS服務(wù)器的記錄或響應(yīng)，將域名解析為攻擊者控制的IP地址，當(dāng)用戶嘗試訪問特定網(wǎng)站時，會被重定向到攻擊者設(shè)置的假冒網(wǎng)站，從而可能導(dǎo)致用戶信息泄露或進一步的攻擊。第9章習(xí)題參考答案1.選擇題（1）D2.問答題（1）答：使用netcat和socat開放系統(tǒng)端口的方法如下：-使用netcat的監(jiān)聽命令：`nc-l-p<port>`，在指定端口上監(jiān)聽連接。-使用netcat的連接命令：`ncat.exe-nv<ip><port>`，連接到指定IP和端口。-使用socat的監(jiān)聽命令：`socat–tcp4-listen:<port>`，在指定端口上監(jiān)聽連接。-使用socat的連接命令：`socattcp:<ip>:<port>`，連接到指定IP和端口。（2）答：痕跡清除的作用是在滲透測試活動的最后階段，測試人員采取措施來刪除、修改或掩蓋在系統(tǒng)中留下的任何與測試相關(guān)的痕跡，以模擬攻擊者成功入侵后隱藏其存在和活動，評估系統(tǒng)對于檢測和響應(yīng)惡意行為的能力。（3）答：痕跡清除的思路包括：-確定測試痕跡：識別在目標(biāo)系統(tǒng)上留下的與測試相關(guān)的痕跡。-分析痕跡的重要性：評估痕跡對系統(tǒng)安全性和檢測能力的影響。-規(guī)劃痕跡清除策略：制定清除策略，確定清除的優(yōu)先級和步驟。-執(zhí)行清除操作：按照策略刪除或修改痕跡。-驗證清除效果：確保目標(biāo)系統(tǒng)上不再存在與測試相關(guān)的痕跡。-文檔和報告：記錄清除步驟和結(jié)果，并將其納入測試報告中。（4）答：痕跡清除包含的內(nèi)容有：-刪除文件和目錄：移除測試人員創(chuàng)建的文件和目錄。-還原系統(tǒng)配置：恢復(fù)測試中可能修改的系統(tǒng)配置文件。-刪除用戶賬戶：移除測試人員創(chuàng)建的臨時用戶賬戶或還原權(quán)限。-修改日志記錄：刪除或修改系統(tǒng)日志中包含測試活動的記錄。-關(guān)閉后門或服務(wù)：停止測試人員植入的后門或啟動的服務(wù)。（5）答：在清除日志時，我們需要注意：-識別日志文件：確定系統(tǒng)中存在的日志文件。-分析日志的重要性：評估日志文件對系統(tǒng)安全和審計的重要性。-確定清除策略：制定清除日志的優(yōu)先級和步驟。-使用系統(tǒng)工具和命令：利用操作系統(tǒng)提供的工具和命令來清除日志。-手動清除：直接刪除或修改日志文件內(nèi)容。-驗證清除效果：確保日志文件不再包含敏感信息。（6）答：清除歷史信息的思路包