第1章習題參考答案1.選擇題（1）D（2）C（3）D2.簡答題（1）答：計算機網絡是由多個計算機設備通過通信線路相互連接而成的系統，它允許設備之間進行數據交換和資源共享。計算機網絡主要由以下部分組成：硬件（如計算機、路由器、交換機等）、軟件（如操作系統、網絡協議等）、協議（如TCP/IP等）以及網絡接口。（2）答：計算機網絡的發展可以分為以下幾個階段：-第一階段：面向終端的計算機網絡，特點是集中式處理，計算機中心化，終端設備主要用于輸入輸出。-第二階段：計算機-計算機網絡，特點是多臺計算機通過通信線路互聯，實現資源共享。-第三階段：標準化的計算機網絡，特點是制定了網絡通信標準，如ISOOSI模型和TCP/IP模型，實現了不同廠商設備的互聯互通。-第四階段：國際互聯網和信息高速公路，特點是高速化、智能化、綜合化和全球化，形成了覆蓋全球的互聯網。（3）答：計算機網絡的主要功能包括：-信息交換：實現網絡中各個節點之間的數據傳遞。-資源共享：實現硬件、軟件、數據等資源的共享。-分布式處理：將復雜問題分解，由網絡中的多個計算機共同處理。-提高系統的可靠性：通過冗余計算機節點實現系統的高可靠性。（4）答：網絡應用層的協議包括但不限于：-HTTP：用于網頁傳輸和請求。-FTP：用于文件傳輸。-SMTP：用于發送電子郵件。-POP3：用于接收電子郵件。-DNS：用于域名解析，將域名轉換為IP地址。-DHCP：用于動態分配IP地址和其他網絡參數。（5）答：計算機網絡采用層次化的體系結構是為了：-簡化網絡設計和實現，將復雜問題分解為更小、更易于管理的部分。-提高模塊化，使得各層可以獨立開發和維護。-促進標準化，便于不同系統和設備之間的互操作性。-提高網絡的靈活性和可擴展性。（6）答：IP地址的定義是用于在網絡中標識和定位設備的唯一數字標識符。IP地址主要有：-IPv4：由32位二進制數表示，分為A、B、C、D和E五類地址。-IPv6：由128位二進制數表示，提供了更大的地址空間，以支持更多的設備連接到互聯網。第2章習題參考答案1.選擇題（1）A（2）C（3）B（4）D2.問答題（1）答：ICMP協議和ARP協議的作用：ICMP協議（InternetControlMessageProtocol，互聯網控制消息協議）主要用于在IP主機、路由器之間傳遞控制消息，例如，當一個數據包不能到達目的地時，路由器可以發送一個ICMP消息回給信源主機，告知它發生了錯誤。ARP協議（AddressResolutionProtocol，地址解析協議）用于將網絡層的IP地址解析為數據鏈路層的MAC地址，以便在局域網內發送數據。（2）答：IP數據報頭部通常包括以下字段：-版本（Version）：指定IP協議的版本。-首部長度（HeaderLength）：指示IP頭部的長度。-服務類型（TypeofService）：用于指定數據包的服務質量。-總長度（TotalLength）：整個IP數據報的長度，包括頭部和數據。-標識（Identification）：用于唯一標識主機發送的每一份數據報。-標志（Flags）和片偏移（FragmentOffset）：用于處理數據報的分段。-生存時間（TimetoLive，TTL）：指定數據報在網絡中可以通過的最大路由器數。-協議（Protocol）：指定承載的數據應該上交給哪個高層協議。-首部校驗和（HeaderChecksum）：用于檢測頭部信息是否在傳輸過程中被篡改。-源IP地址（SourceAddress）和目的IP地址（DestinationAddress）：分別標識數據報的發送者和接收者。（3）答：TCP三次握手和四次揮手的過程：三次握手過程：1.客戶端發送一個SYN（同步序列編號）報文到服務器以發起一個連接。2.服務器收到SYN報文后，回復一個SYN-ACK（同步和確認）報文，同時確認客戶端的SYN。3.客戶端收到服務器的SYN-ACK報文后，發送一個ACK（確認）報文作為響應，完成三次握手，此時連接建立。四次揮手過程：1.客戶端發送一個FIN（結束）報文到服務器，請求關閉連接。2.服務器收到FIN報文后，發送一個ACK報文作為響應，并準備好關閉連接。3.服務器發送一個FIN報文到客戶端，請求關閉它的那端連接。4.客戶端收到服務器的FIN報文后，發送一個ACK報文作為響應，然后等待一段時間（稱為TIME_WAIT），確保服務器接收到最終的ACK報文，之后關閉連接。服務器在收到ACK報文后也關閉連接。第3章習題參考答案1.選擇題（1）D（2）A（3）B（4）D（5）B（6）B（7）C2.問答題（1）答：交換機工作在數據鏈路層，主要通過讀取數據包的MAC地址來確定將數據發送到哪一臺計算機。當一臺計算機發送數據包時，交換機會讀取這個數據包的MAC地址，并使用這個地址來查找目標計算機的位置。如果交換機已經知道目標計算機的位置，它會直接將數據包發送到目標計算機。如果交換機不知道目標計算機的位置，它會將數據包廣播到網絡中的所有計算機，直到目標計算機回應。交換機還利用ARP緩存表來緩存IP地址和MAC地址的映射關系，以及MAC地址表來記錄端口與MAC地址的對應關系。交換機的轉發行為包括泛洪（Flooding）、轉發（Forwarding）和丟棄（Discarding）。交換機具有學習功能，通過檢查幀中的源MAC地址來學習每個設備的位置，并將這些信息存儲在MAC地址表中。（2）答：路由器工作在網絡層，主要用于不同網絡之間的通信。路由器通過路由表來決定如何將數據包從源網絡轉發到目標網絡。路由器轉發數據包的過程包括：接收數據包、查看數據包目的IP地址、查詢路由表以匹配目的IP地址的路由條目、根據匹配到的結果從指定端口轉發出去。路由器的路由表可以是靜態配置的，也可以通過動態路由協議學習得到。路由表中包含了目的網絡、網絡掩碼、輸出接口、下一跳IP地址等信息。路由器在轉發數據包時，會根據這些信息來決定最佳路徑。路由器還具有選擇最佳路徑的能力，這基于路由表中的信息，如優先級和度量值（metric）。路由器的主要目的是確保數據包能夠到達正確的目的地，并選擇最佳路徑。第4章習題參考答案1.選擇題（1）A（2）B（3）B（4）C（5）B2.問答題（1）答：距離矢量路由協議（如RIP）基于每個路由器到目的地的距離度量值，通過交換距離矢量表來學習網絡拓撲結構。鏈路狀態路由協議（如OSPF）基于每個鏈路的狀態信息，通過交換鏈路狀態廣告來學習網絡拓撲結構。兩者的主要區別在于路由信息的獲取方式和路由計算方法。（2）答：RIP路由協議路由表的形成過程包括：路由器初始化路由表、通過UDP廣播或組播發送路由信息、接收鄰居路由器的路由信息、根據收到的信息更新路由表、使用跳數作為度量值來選擇最佳路徑。（3）答：水平分割的作用是防止路由環路的產生。它通過阻止路由器將從某個端口學到的路由信息再發送回該端口，從而避免了路由信息的無限循環。（4）答：RIP中關閉自動匯總的命令是`noauto-summary`。（5）答：動態路由的特點包括：能夠自動適應網絡拓撲的變化、減少管理員的配置工作、支持負載均衡和冗余路徑、提高網絡的可靠性和靈活性。（6）答：DR（指定路由器）和BDR（備份指定路由器）的選舉規則基于路由器優先級和RouterID。優先級較高的路由器會被選為DR，如果優先級相同，則RouterID較高的路由器被選為DR。BDR是DR的備份。（7）答：OSPF中，查看鄰居表的命令是`displayospfpeer`。（8）答：LSA1描述路由器的直連鏈路信息，LSA2描述區域內路由器的連接信息，LSA3描述區域間的路由信息，LSA4描述ASBR的信息，LSA5描述AS外部路由信息。（9）答：末梢區域（Stub）只學習到本區域和骨干區域的路由信息，而完全末梢區域（TotallyStub）不學習任何區域間的路由信息，只保留本區域內的路由信息。（10）答：劃分多區域的原因包括：減少路由信息的泛洪范圍、提高網絡的可擴展性和性能、使得網絡管理更加靈活和可靠。（11）答：直連路由的管理距離為0，靜態路由為1，RIP為120，OSPF為110。（12）答：vlink虛鏈路的作用是連接兩個不直接相連的區域，使得它們可以交換路由信息，從而實現跨區域的路由選擇。（13）答：在OSPF中，需要在ABR（區域邊界路由器）上配置路由匯總。3.操作題（1）略（2）略（3）略第5章習題參考答案1.選擇題（1）B（2）C（3）A（4）B（5）A2.問答題（1）答：硬件防火墻是獨立的物理設備，通常提供更高級的安全特性和更好的性能。軟件防火墻通常作為操作系統上運行的程序，配置和維護相對簡單，但可能在性能和安全性方面不如硬件防火墻。（2）答：防火墻的工作原理是通過檢查網絡通信數據包，識別潛在的威脅并阻止不安全的網絡流量。它可以根據預定義的規則或策略來進行過濾和防御，例如阻止未經授權的訪問和不受信任的流量。（3）答：NAT技術的作用是將內部網絡的私有IP地址轉換為公共IP地址，以便訪問公共網絡。例如，在一個企業網絡中，可以使用NAT技術使得多個設備共享一個公共IP地址來訪問互聯網，同時保護內部網絡的隱私和安全。（4）答：VRRP技術的作用是在主路由器發生故障時，自動地將網絡流量轉移到備份路由器上，從而保證網絡的連通性和可靠性。（5）答：狀態檢測技術通過動態分析報文的狀態來決定對報文采取的動作，它不僅檢查數據包的源地址、目的地址、端口等信息，還可以根據數據包的狀態信息，對流量進行檢查和過濾。（6）答：UTM（統一威脅管理）是集成了多種安全功能的設備，如防病毒、防火墻、入侵檢測等。NGFW（下一代防火墻）是更先進的防火墻，它使用深度包檢查技術和威脅情報，以實現更好的安全性，并且可以基于用戶、應用和內容來進行管控。（7）答：DPI（深度包檢查）防火墻能夠檢查網絡流量中的每個數據包的內容，包括載荷，以確保安全性和合規性。它能夠識別和控制應用程序級別的流量，提供更細粒度的控制。（8）答：ASPF（應用特定包過濾）是一種應用層的包過濾技術，它可以對多通道協議的應用層數據進行解析，識別這些協議協商出來的端口號，從而自動為其開放相應的訪問規則。（9）答：心跳線是兩臺防火墻之間的通道，用于交互消息以了解對端狀態、備份配置命令和各種表項。它主要傳遞心跳報文、VGMP報文、配置和表項備份報文等。（10）答：劃分多區域的原因是為了提高網絡的安全性和管理效率。通過將網絡劃分為不同的安全區域，可以對不同區域實施不同的安全策略，從而更好地控制和監控網絡流量。3.操作題（1）略（2）略（3）略（4）略第6章習題參考答案1.選擇題（1）B（2）A（3）A（4）C2.問答題（1）答：IDS是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或采取主動反應措施的網絡安全設備。它可以分為基于主機入侵檢測系統（HIDS）和基于網絡入侵檢測系統（NIDS）。（2）答：漏洞掃描的原理是基于CVE、CNVD、CNNVD等漏洞數據庫，通過專用工具掃描手段對指定的遠程或者本地的網絡設備、主機等進行脆弱性評估，發現安全漏洞，并提供可操作的安全建議或臨時解決辦法。漏洞掃描技術可以分為主動掃描和被動掃描兩種。（3）答：常見的網絡設備管理協議包括SNMP、SSH、Telnet、HTTP/HTTPS、RADIUS、TFTP、ICMP和NetFlow。SNMP用于監控和管理網絡設備，SSH提供加密的遠程訪問，Telnet用于遠程訪問但數據傳輸不加密，HTTP/HTTPS用于Web界面管理，RADIUS用于身份驗證和授權，TFTP用于快速傳輸配置文件，ICMP用于網絡故障排除，NetFlow用于收集和分析網絡流量數據。（4）答：入侵防御系統（IPS）技術是一種安全機制，通過分析網絡流量，檢測入侵行為，并實時地中止入侵行為。IPS技術可以分為基于主機入侵防御系統（HIPS）和網絡入侵防御系統（NIPS）。（5）答：入侵檢測系統（IDS）是一種網絡安全設備，用于檢測和響應網絡中的惡意活動和政策違規行為。它的作用是監控網絡流量，識別可疑行為，并在檢測到潛在威脅時發出警報。（6）答：入侵檢測系統（IDS）主要是監控和分析網絡流量，以識別和響應潛在的攻擊和異常行為。而防火墻則是一個阻止未授權訪問的網絡安全系統，它根據一系列規則允許或拒絕數據包的傳輸。（7）答：基于主機的入侵檢測系統（HIDS）的優點是能夠監控單個主機上的活動，包括文件系統和系統日志，從而提供詳細的主機級安全監控。缺點是可能無法檢測到針對網絡層的攻擊，且在大型網絡中部署和管理可能較為復雜。（8）答：基于網絡的入侵檢測系統（NIDS）的優點是能夠監控整個網絡的流量，檢測網絡層的攻擊和異常行為。缺點是可能無法檢測到局限于單個主機的攻擊，且可能需要更多的網絡資源來處理數據。（9）答：基于主機的入侵檢測系統關注單個主機上的活動，而基于網絡的入侵檢測系統監控整個網絡的流量。HIDS更適合于檢測針對單個系統的攻擊和異常行為，而NIDS更適合于檢測網絡層面的攻擊和異常流量.第7章習題參考答案1.選擇題（1）B（2）A2.問答題（1）答：信息安全的發展階段包括：-初始階段：物理安全和保密性-計算機網絡和互聯網時代-移動和云計算時代-大數據和人工智能-物聯網（IoT）時代-未來展望：量子計算和新興技術（2）答：常見的安全威脅分類及其特點：-惡意代碼：如病毒、特洛伊木馬，目的是破壞系統或竊取信息。-遠程入侵：未經授權訪問系統，可能竊取數據或破壞系統。-拒絕服務攻擊（DoS/DDoS）：使系統資源耗盡，導致服務不可用。-身份假冒：冒充他人身份以獲取未授權的訪問權限。-信息竊?。何唇浭跈喃@取敏感信息。（3）答：物理層安全包含的方面：-訪問控制：限制對關鍵區域的物理訪問。-環境控制：維護適宜的溫度、濕度等環境條件。-硬件安全：保護服務器和網絡設備的物理安全。-電源和電纜管理：確保穩定的電源供應和合理的電纜布局。-防護措施：安裝監控系統和報警系統以防止入侵。（4）答：系統層安全包含的方面：-認證和授權：確保只有授權用戶才能訪問系統資源。-操作系統安全：保護操作系統免受攻擊。-惡意軟件防護：使用防病毒軟件和反惡意軟件工具。-日志和監控：記錄系統活動以便于安全審計和入侵檢測。-加密和數據保護：保護數據的機密性和完整性。-安全策略和培訓：制定安全策略并培訓員工。-應急響應計劃：制定應對安全事件的計劃。（5）答：網絡層安全包含的方面：-防火墻：監控和控制進出網絡的流量。-路由安全性：確保路由信息的準確性和安全性。-虛擬專用網絡（VPN）：加密遠程通信以保護數據傳輸的安全。-無線網絡安全：保護無線網絡免受未授權訪問。-網絡監控和入侵檢測：監測網絡流量以識別潛在的攻擊。（6）答：應用層安全包含的方面：-身份驗證和授權：確保只有授權用戶才能訪問應用程序。-數據加密：保護數據在傳輸過程中的機密性。-輸入驗證和輸出編碼：防止惡意輸入和跨站腳本攻擊。-會話管理：確保會話的安全性，防止會話劫持。-安全開發實踐：遵循安全編碼準則開發應用程序。（7）答：管理層安全包含的方面：-策略和規程制定：制定網絡安全策略和操作規程。-風險管理和評估：識別和評估潛在的安全威脅。-合規性和法規遵循：確保符合相關法規和標準。-安全文化和教育培訓：提高員工的安全意識。-安全治理和監督：建立安全治理結構以監督安全活動。（8）答：常見的網絡攻擊手段及其特點：-網絡監聽：截獲網絡上的數據包，特點在于隱蔽性和數據泄露風險。-篡改數據：修改傳輸中的數據，特點在于數據完整性的破壞。-網絡欺騙：通過偽裝成可信實體進行欺騙，特點在于欺騙性和誘導性。-弱口令攻擊：利用簡單的密碼進行攻擊，特點在于易實施性。-拒絕服務：消耗系統資源以阻止正常服務，特點在于破壞性。-漏洞破解：利用系統漏洞進行攻擊，特點在于技術性和潛在的嚴重性。-木馬攻擊：通過木馬程序控制目標系統，特點在于隱蔽性和控制性。（9）答：網絡防御技術的分類及其特點：-主動防御：主動干預和阻止威脅，特點在于預防性和干預性。-被動防御：監視和響應事件，特點在于監測性和反應性。第8章習題參考答案1.選擇題（1）A2.問答題（1）答：典型拒絕服務攻擊的手段包括：-帶寬消耗型攻擊，例如UDP洪水攻擊、ICMP洪水攻擊，通過發送大量垃圾數據包占用網絡帶寬，使正常數據包無法到達目標系統。-資源消耗型攻擊，例如SYN洪水攻擊，通過發送大量半打開的連接請求，占用目標系統的資源，導致服務不可用。-應用層攻擊，例如HTTP洪水攻擊，通過向目標服務器發送大量HTTP請求，消耗服務器資源。（2答：漏洞利用的基本步驟包括：-漏洞探測：發現目標系統中存在的漏洞。-漏洞驗證：確認漏洞的存在，并驗證其可利用性。-開發利用代碼：編寫或獲取利用漏洞的代碼。-傳遞利用代碼：將利用代碼傳遞到目標系統。-執行利用代碼：在目標系統上執行利用代碼，利用漏洞進行攻擊。（3）答：惡意代碼的表現形式包括：-陷門：故意在系統中留下的未經授權的后門。-特洛伊木馬：看似合法的程序，但實際上包含惡意功能。-邏輯炸彈：在特定條件下激活的惡意代碼。-病毒：能夠自我復制并傳播的惡意程序。-蠕蟲：自我復制并通過網絡傳播的惡意程序。-僵尸網絡：被一個控制者遠程控制的大量受感染計算機網絡。（4）答：中間人攻擊的形式包括：-Wi-Fi仿冒：攻擊者創建惡意Wi-Fi接入點，截獲連接用戶的通信。-ARP欺騙：攻擊者冒充網關，重定向流量。-DNS欺騙：攻擊者篡改DNS記錄，重定向用戶訪問。-郵件劫持：攻擊者監控或篡改郵件通信。-SSL劫持：攻擊者偽造SSL證書，竊取加密通信內容。（5）答：ARP欺騙的工作原理是攻擊者在局域網內發送偽造的ARP響應，將自身的MAC地址與目標IP地址關聯，或將目標IP地址與錯誤的MAC地址關聯，導致網絡流量被重定向到攻擊者設備，或導致網絡通信中斷。（6）答：DNS欺騙的工作原理是攻擊者篡改DNS服務器的記錄或響應，將域名解析為攻擊者控制的IP地址，當用戶嘗試訪問特定網站時，會被重定向到攻擊者設置的假冒網站，從而可能導致用戶信息泄露或進一步的攻擊。第9章習題參考答案1.選擇題（1）D2.問答題（1）答：使用netcat和socat開放系統端口的方法如下：-使用netcat的監聽命令：`nc-l-p<port>`，在指定端口上監聽連接。-使用netcat的連接命令：`ncat.exe-nv<ip><port>`，連接到指定IP和端口。-使用socat的監聽命令：`socat–tcp4-listen:<port>`，在指定端口上監聽連接。-使用socat的連接命令：`socattcp:<ip>:<port>`，連接到指定IP和端口。（2）答：痕跡清除的作用是在滲透測試活動的最后階段，測試人員采取措施來刪除、修改或掩蓋在系統中留下的任何與測試相關的痕跡，以模擬攻擊者成功入侵后隱藏其存在和活動，評估系統對于檢測和響應惡意行為的能力。（3）答：痕跡清除的思路包括：-確定測試痕跡：識別在目標系統上留下的與測試相關的痕跡。-分析痕跡的重要性：評估痕跡對系統安全性和檢測能力的影響。-規劃痕跡清除策略：制定清除策略，確定清除的優先級和步驟。-執行清除操作：按照策略刪除或修改痕跡。-驗證清除效果：確保目標系統上不再存在與測試相關的痕跡。-文檔和報告：記錄清除步驟和結果，并將其納入測試報告中。（4）答：痕跡清除包含的內容有：-刪除文件和目錄：移除測試人員創建的文件和目錄。-還原系統配置：恢復測試中可能修改的系統配置文件。-刪除用戶賬戶：移除測試人員創建的臨時用戶賬戶或還原權限。-修改日志記錄：刪除或修改系統日志中包含測試活動的記錄。-關閉后門或服務：停止測試人員植入的后門或啟動的服務。（5）答：在清除日志時，我們需要注意：-識別日志文件：確定系統中存在的日志文件。-分析日志的重要性：評估日志文件對系統安全和審計的重要性。-確定清除策略：制定清除日志的優先級和步驟。-使用系統工具和命令：利用操作系統提供的工具和命令來清除日志。-手動清除：直接刪除或修改日志文件內容。-驗證清除效果：確保日志文件不再包含敏感信息。（6）答：清除歷史信息的思路包