計算機(jī)解答題答案
一、 什么是計算機(jī)網(wǎng)絡(luò)?它的組成條件功能各是什么?答:一些相互連接的、以共享資源為目的的、自治的計算機(jī)的集合。功能:1. 硬件資源共享 2.軟件資源共享 3.用戶間信息交換;組成條件及功能:①兩臺或兩
一、 什么是計算機(jī)網(wǎng)絡(luò)?它的組成條件功能各是什么?
答:一些相互連接的、以共享資源為目的的、自治的計算機(jī)的集合。
功能:1. 硬件資源共享 2.軟件資源共享 3.用戶間信息交換;
組成條件及功能:①兩臺或兩臺以上的計算機(jī);
②信息傳輸介質(zhì)和連接設(shè)備
③通信協(xié)議:是在為主機(jī)之間或主機(jī)和子網(wǎng)之間的通信而用的。
二、試從多個方面比較電路交換、報文交換和分組交換的主要優(yōu)缺點(diǎn)。
(1)電路交換:由于電路交換在通信之前要在通信雙方之間建立一條被雙方獨(dú)占的物理通路(由通信雙方之間的交換設(shè)備和鏈路逐段連接而成),因而有以下優(yōu)缺點(diǎn)。
優(yōu)點(diǎn):①由于通信線路為通信雙方用戶專用,數(shù)據(jù)直達(dá),所以傳輸數(shù)據(jù)的時延非常小。
②通信雙方之間的物理通路一旦建立,雙方可以隨時通信,實(shí)時性強(qiáng)。
③雙方通信時按發(fā)送順序傳送數(shù)據(jù),不存在失序問題。
④電路交換既適用于傳輸模擬信號,也適用于傳輸數(shù)字信號。
⑤電路交換的交換的交換設(shè)備(交換機(jī)等)及控制均較簡單。
缺點(diǎn):①電路交換的平均連接建立時間對計算機(jī)通信來說嫌長。
②電路交換連接建立后,物理通路被通信雙方獨(dú)占,即使通信線路空閑,也不能供其他用戶使用,因而信道利用低。
③電路交換時,數(shù)據(jù)直達(dá),不同類型、不同規(guī)格、不同速率的終端很難相互進(jìn)行通信,也難以在通信過程中進(jìn)行差錯控制。
(2)報文交換:報文交換是以報文為數(shù)據(jù)交換的單位,報文攜帶有目標(biāo)地址、源地址等信息,在交換結(jié)點(diǎn)采用存儲轉(zhuǎn)發(fā)的傳輸方式,因而有以下優(yōu)缺點(diǎn):
優(yōu)點(diǎn):①報文交換不需要為通信雙方預(yù)先建立一條專用的通信線路,不存在連接建立時延,用戶可隨時發(fā)送報文。
②由于采用存儲轉(zhuǎn)發(fā)的傳輸方式,使之具有下列優(yōu)點(diǎn):a. 在報文交換中便于設(shè)置代碼檢驗(yàn)和數(shù)據(jù)重發(fā)設(shè)施,加之交換結(jié)點(diǎn)還具有路徑選擇,就可以做到某條傳輸路徑發(fā)生故障時,重新選擇另一條路徑傳輸數(shù)據(jù),提高了傳輸?shù)目煽啃?;b. 在存儲轉(zhuǎn)發(fā)中容易實(shí)現(xiàn)代碼轉(zhuǎn)換和速率匹配,甚至收發(fā)雙方可以不同時處于可用狀態(tài)。這樣就便于類型、規(guī)格和速度不同的計算機(jī)之間進(jìn)行通信;c. 提供多目標(biāo)服務(wù),即一個報文可以同時發(fā)送到多個目的地址,這在電路交換中是很難實(shí)現(xiàn)的;d. 允許建立數(shù)據(jù)傳輸?shù)膬?yōu)先級,使優(yōu)先級高的報文優(yōu)先轉(zhuǎn)換。
③通信雙方不是固定占有一條通信線路,而是在不同的時間一段一段地部分占有這條物理通路,因而大大提高了通信線路的利用率
答:1.(1)電路交換是整個報文的比特流連續(xù)的從源點(diǎn)直達(dá)終點(diǎn)。 (2)報文交換是整個報文先傳送到相鄰結(jié)點(diǎn),全部儲存下來后查找轉(zhuǎn)發(fā)表,轉(zhuǎn)發(fā)到下一個結(jié)點(diǎn)。 (3)分組交換傳送到相鄰結(jié)點(diǎn),儲存下來后查找轉(zhuǎn)發(fā)表,轉(zhuǎn)發(fā)到下一個結(jié)點(diǎn)。
2.(1)若要傳送大量數(shù)據(jù),傳送時間遠(yuǎn)大于連接建立時間,則電路交換的傳送速度較快。 (2)報文交換和分組交換不需要預(yù)先分配傳送帶寬,在傳送突發(fā)數(shù)據(jù)時可提高整個網(wǎng)絡(luò)的信道利用率。 (3)分組交換比抱文交換的時延小,同時也具有更好的靈活性。
三. 協(xié)議與服務(wù)有何區(qū)別?有何關(guān)系?
1. 協(xié)議是控制對等實(shí)體之間通信的規(guī)則,是水平的。服務(wù)是下層通過層間接口向上層提供的功能,是垂直的。
2、協(xié)議的實(shí)現(xiàn)保證了能夠向上一層提供服務(wù),要實(shí)現(xiàn)本層協(xié)議還需使用下層提供的服務(wù)。
四、試述五層協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)的要點(diǎn),包括各層的主要功能。
答:應(yīng)用層直接為用戶的應(yīng)用進(jìn)程提供服務(wù)。
運(yùn)輸層的任務(wù)就是負(fù)責(zé)向主機(jī)中兩個進(jìn)程之間的通信提供服務(wù)。
網(wǎng)絡(luò)層負(fù)責(zé)為分組交換網(wǎng)上的不同主機(jī)提供通信服務(wù)。
數(shù)據(jù)鏈路層將網(wǎng)絡(luò)層交下來的IP 數(shù)據(jù)報組裝成幀,在兩個相鄰節(jié)點(diǎn)間的鏈路上透明的傳送幀中的數(shù)據(jù)。
物理層的任務(wù)就是透明的傳送比特流。
五、物理層要解決什么問題?物理層的主要特點(diǎn)是什么?
答:物理層要解決的主要問題:
(1)物理層要盡可能地屏蔽掉物理設(shè)備和傳輸媒體,通信手段的不同,使數(shù)據(jù)鏈路層感覺不到這些差異,只考慮完成本層的協(xié)議和服務(wù)。
(2)給其服務(wù)用戶(數(shù)據(jù)鏈路層)在一條物理的傳輸媒體上傳送和接收比特流(一般為串行按順序傳輸?shù)谋忍亓鳎┑哪芰Γ瑸榇?,物理層?yīng)該解決物理連接的建立、維持和釋放問題。
(3)在兩個相鄰系統(tǒng)之間唯一地標(biāo)識數(shù)據(jù)電路
物理層的主要特點(diǎn):
(1)由于在OSI 之前,許多物理規(guī)程或協(xié)議已經(jīng)制定出來了,而且在數(shù)據(jù)通信領(lǐng)域中,這些物理規(guī)程已被許多商品化的設(shè)備所采用,加之,物理層協(xié)議涉及的范圍廣泛,所以至今沒有按OSI 的抽象模型制定一套新的物理層協(xié)議,而是沿用已存在的物理規(guī)程,將物理層確定為描述與傳輸媒體接口的機(jī)械,電氣,功能和規(guī)程特性。
(2)由于物理連接的方式很多,傳輸媒體的種類也很多,因此,具體的物理協(xié)議相當(dāng)復(fù)雜。
六、數(shù)據(jù)在信道重的傳輸速率受哪些因素的限制?信噪比能否任意提高?香農(nóng)公式在數(shù)據(jù)通信中的意義是什么?“比特/每秒”和“碼元/每秒”有何區(qū)別?
答:(1)信道能夠通過的頻率范圍;信噪比。
(2)不能
(3)香農(nóng)公式在數(shù)據(jù)通信中的意義是:只要信息傳輸速率低于信道的極限傳信率,就可實(shí)現(xiàn)無差傳輸。
(4)比特/每秒是指信息傳輸速率, 每秒鐘傳送的信息量; 碼元/每秒是碼元傳輸速率, 每秒鐘傳送的碼元個數(shù)。兩者在二進(jìn)制時相等,在多進(jìn)制時不相等。
七、CSMA/CD的含意是什么?其工作過程是怎樣的?
CSMA/CD即載波監(jiān)聽多點(diǎn)接入/碰撞檢測方法,是一種爭用型的介質(zhì)訪問控制協(xié)議。
工作過程:1. 傳輸前偵聽2. 如果忙則等待 3. 傳輸并檢測沖突4. 如果沖突發(fā)生,重傳前等待 5. 重傳或夭折
八、對等網(wǎng)絡(luò)和C/S網(wǎng)絡(luò)有什么區(qū)別? 對等連接是指兩個主機(jī)在通信時并不區(qū)分哪一個是服務(wù)請求方還是服務(wù)提供方,只要兩個主機(jī)都IP 地址就是給連接在因特網(wǎng)上的主機(jī)(或路由器)分配一個在全世界范圍是唯一的 32 位的標(biāo)運(yùn)行了對等連接軟件,他們就可以進(jìn)行平等的、對等連接通信。 識符。從而把整個因特網(wǎng)看成為一個單一的、抽象的網(wǎng)絡(luò)。在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時,最終而客戶服務(wù)器方式中所涉及的兩個應(yīng)用進(jìn)程,必須一方是(客戶方)是服務(wù)請求方,另一方(服還是必須使用硬件地址。 務(wù)器)是服務(wù)提供方。 MAC 地址在一定程度上與硬件一致,基于物理、能夠標(biāo)識具體的鏈路通信對象、IP 地址給予邏輯后者實(shí)際上是前者的雙向應(yīng)用。 域的劃分、不受硬件限制。 九、為什么要使用信道復(fù)用技術(shù)?常用的信道復(fù)用技術(shù)有哪些? 二十二、試說明運(yùn)輸層在協(xié)議棧中的地位和作用,運(yùn)輸層的通信和網(wǎng)絡(luò)層的通信有什么重要區(qū)別?為為了通過共享信道、最大限度提高信道利用率。 什么運(yùn)輸層是必不可少的? 頻分、時分、碼分、波分。 運(yùn)輸層處于面向通信部分的最高層,同時也是用戶功能中的最低層,向它上面的應(yīng)用層提供服務(wù) 十、網(wǎng)絡(luò)適配器的作用是什么?網(wǎng)絡(luò)適配器工作在哪一層? 運(yùn)輸層為應(yīng)用進(jìn)程之間提供端到端的邏輯通信,但網(wǎng)絡(luò)層是為主機(jī)之間提供邏輯通信(面向主機(jī),適配器(即網(wǎng)卡)來實(shí)現(xiàn)數(shù)據(jù)鏈路層和物理層這兩層的協(xié)議的硬件和軟件。 承擔(dān)路由功能,即主機(jī)尋址及有效的分組交換)。 一個重要功能就是要進(jìn)行數(shù)據(jù)穿行傳輸和并行傳輸?shù)霓D(zhuǎn)換。 各種應(yīng)用進(jìn)程之間通信需要“可靠或盡力而為”的兩類服務(wù)質(zhì)量,必須由運(yùn)輸層以復(fù)用和分用的網(wǎng)絡(luò)適配器工作在TCP/IP協(xié)議中的網(wǎng)絡(luò)接口層(OSI 中的數(shù)據(jù)鏈里層和物理層)。 形式加載到網(wǎng)絡(luò)層。 十一、MAC 地址和IP 地址各表示什么意義?它們的作用各是什么? 二十三、端口的作用是什么?為什么端口要劃分為三種? MAC 地址是數(shù)據(jù)鏈路層和物理層使用的地址,寫在網(wǎng)卡上的物理地址。 IP地址是網(wǎng)絡(luò)層和以上端口的作用是對TCP/IP體系的應(yīng)用進(jìn)程進(jìn)行統(tǒng)一的標(biāo)志,使運(yùn)行不同操作系統(tǒng)的計算機(jī)的應(yīng)用各層使用的地址,是一種邏輯地址。MAC 地址用來定義網(wǎng)絡(luò)設(shè)備的位置,IP 地址用來區(qū)別網(wǎng)絡(luò)上的計進(jìn)程能夠互相通信。 算機(jī)。 熟知端口,數(shù)值一般為0~1023.標(biāo)記常規(guī)的服務(wù)進(jìn)程; 十二、計算機(jī)網(wǎng)絡(luò)選擇傳輸介質(zhì)時,應(yīng)考慮哪些方面? 登記端口號,數(shù)值為1024~49151,標(biāo)記沒有熟知端口號的非常規(guī)的服務(wù)進(jìn)程; 傳輸容量、傳輸效率、安全性、可靠性、價格、網(wǎng)絡(luò)的擴(kuò)展要求等。 客戶端口號或短暫端口號,數(shù)值為49152~65535,留給客戶進(jìn)程選擇暫時使用。 十三、網(wǎng)絡(luò)建設(shè)中應(yīng)該注意哪些問題? 二十四、為什么說UDP 是面向報文的,而TCP 是面向字節(jié)流的? 建設(shè)經(jīng)費(fèi)是否充足;操作系統(tǒng)的限定性;接口的數(shù)目與材質(zhì);是否有合適的應(yīng)用軟件;后續(xù)的維發(fā)送方 UDP 對應(yīng)用程序交下來的報文,在添加首部后就向下交付 IP 層。UDP 對應(yīng)用層交下來護(hù)費(fèi)用能否承受;如何合理地分布節(jié)點(diǎn); 的報文,既不合并,也不拆分,而是保留這些報文的邊界。 十四、網(wǎng)絡(luò)協(xié)議的三個要素是什么?各有什么含義? 接收方 UDP 對 IP 層交上來的 UDP 用戶數(shù)據(jù)報,在去除首部后就原封不動地交付上層的應(yīng)用進(jìn)網(wǎng)絡(luò)協(xié)議:為進(jìn)行網(wǎng)絡(luò)中的數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。由以下三個要素組成: 程,一次交付一個完整的報文。 (1)語法:即數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式。 發(fā)送方TCP 對應(yīng)用程序交下來的報文數(shù)據(jù)塊,視為無結(jié)構(gòu)的字節(jié)流(無邊界約束,課分拆/合并),(2)語義:即需要發(fā)出何種控制信息,完成何種動作以及做出何種響應(yīng)。 但維持各字節(jié)。 (3)同步:即事件實(shí)現(xiàn)順序的詳細(xì)說明。 二十五、網(wǎng)絡(luò)互連設(shè)備中網(wǎng)橋和路由器各用在什么條件下? 十五、局域網(wǎng)的主要特點(diǎn)是什么?為什么局域網(wǎng)采用廣播通信方式而廣域網(wǎng)不采用呢? 網(wǎng)橋在數(shù)據(jù)鏈路層上實(shí)現(xiàn)局域網(wǎng)互連,互連兩個采用不同數(shù)據(jù)鏈路層協(xié)議、不同傳輸介質(zhì)與不同局域網(wǎng)LAN 是指在較小的地理范圍內(nèi),將有限的通信設(shè)備互聯(lián)起來的計算機(jī)通信網(wǎng)絡(luò)從功能的角傳輸速率的網(wǎng)絡(luò),要求互連的網(wǎng)絡(luò)在數(shù)據(jù)鏈路層以上采用相同的協(xié)議。 度來看,局域網(wǎng)具有以下幾個特點(diǎn):(1)共享傳輸信道,在局域網(wǎng)中,多個系統(tǒng)連接到一個共享的路由器工作在網(wǎng)絡(luò)層,用于連接不同類型的網(wǎng)絡(luò)。 通信媒體上。(2)地理范圍有限,用戶個數(shù)有限。通常局域網(wǎng)僅為一個單位服務(wù),只在一個相對獨(dú)二十六、域名系統(tǒng)的主要功能是什么?域名系統(tǒng)中的本地域名服務(wù)器、根域名服務(wù)器、頂級域名服務(wù)立的局部范圍內(nèi)連網(wǎng),如一座樓或集中的建筑群內(nèi),一般來說,局域網(wǎng)的覆蓋范圍越位10m~10km內(nèi)器以及權(quán)限域名權(quán)服務(wù)器有何區(qū)別? 或更大一些。 域名系統(tǒng)的主要功能:將域名解析為主機(jī)能識別的IP 地址。 從網(wǎng)絡(luò)的體系結(jié)構(gòu)和傳輸檢測提醒來看,局域網(wǎng)也有自己的特點(diǎn):(1)低層協(xié)議簡單(2)不單因特網(wǎng)上的域名服務(wù)器系統(tǒng)也是按照域名的層次來安排的。每一個域名服務(wù)器都只對域名體系中獨(dú)設(shè)立網(wǎng)絡(luò)層,局域網(wǎng)的體系結(jié)構(gòu)僅相當(dāng)于相當(dāng)與OSI/RM的最低兩層(3)采用兩種媒體訪問控制技的一部分進(jìn)行管轄。共有三種不同類型的域名服務(wù)器。即本地域名服務(wù)器、根域名服務(wù)器、授權(quán)域名術(shù),由于采用共享廣播信道,而信道又可用不同的傳輸媒體,所以局域網(wǎng)面對的問題是多源,多目的服務(wù)器。當(dāng)一個本地域名服務(wù)器不能立即回答某個主機(jī)的查詢時,該本地域名服務(wù)器就以DNS 客戶的的連連管理,由此引發(fā)出多中媒體訪問控制技術(shù)。 身份向某一個根域名服務(wù)器查詢。若根域名服務(wù)器有被查詢主機(jī)的信息,就發(fā)送DNS 回答報文給本地在局域網(wǎng)中各站通常共享通信媒體,采用廣播通信方式是天然合適的,廣域網(wǎng)通常采站點(diǎn)間直接域名服務(wù)器,然后本地域名服務(wù)器再回答發(fā)起查詢的主機(jī)。但當(dāng)根域名服務(wù)器沒有被查詢的主機(jī)的信構(gòu)成格狀網(wǎng)。 息時,它一定知道某個保存有被查詢的主機(jī)名字映射的授權(quán)域名服務(wù)器的IP 地址。通常根域名服務(wù)十六、要發(fā)送的數(shù)據(jù)為1101011011。采用CRC 的生成多項式是P(x)=x4 x 1 。試求應(yīng)添加在數(shù)據(jù)后器用來管轄頂級域。根域名服務(wù)器并不直接對頂級域下面所屬的所有的域名進(jìn)行轉(zhuǎn)換,但它一定能夠面的余數(shù)。數(shù)據(jù)在傳輸過程中最后一個1 變成了0,問接收端能否發(fā)現(xiàn)?若數(shù)據(jù)在傳輸過程中最后兩找到下面的所有二級域名的域名服務(wù)器。每一個主機(jī)都必須在授權(quán)域名服務(wù)器處注冊登記。通常,一個1 都變成了0,問接收端能否發(fā)現(xiàn)? 個主機(jī)的授權(quán)域名服務(wù)器就是它的主機(jī)ISP 的一個域名服務(wù)器。授權(quán)域名服務(wù)器總是能夠?qū)⑵涔茌牭拇穑鹤鞫M(jìn)制除法,除數(shù)為1101011011 0000 ,被除數(shù)為10011 得余數(shù)1110,添加的檢驗(yàn)序列主機(jī)名轉(zhuǎn)換為該主機(jī)的IP 地址。 是1110. 因特網(wǎng)允許各個單位根據(jù)本單位的具體情況將本域名劃分為若干個域名服務(wù)器管轄區(qū)。一般就在作二進(jìn)制除法,兩種錯誤均可發(fā)展。僅僅采用了CRC 檢驗(yàn),缺重傳機(jī)制,數(shù)據(jù)鏈路層的傳輸還不是可靠的各管轄區(qū)中設(shè)置相應(yīng)的授權(quán)域名服務(wù)器。 傳輸。 二十七、計算機(jī)網(wǎng)絡(luò)都面臨哪幾種威脅?主動攻擊和被動攻擊的區(qū)別是什么?對于計算機(jī)網(wǎng)絡(luò)的安全十七、網(wǎng)橋的工作原理和特點(diǎn)是什么?網(wǎng)橋與轉(zhuǎn)發(fā)器以及以太網(wǎng)交換機(jī)有何異同? 措施都有哪些? 網(wǎng)橋工作在數(shù)據(jù)鏈路層,它根據(jù)MAC 幀的目的地址對收到的幀進(jìn)行轉(zhuǎn)發(fā)。 網(wǎng)橋具有過濾幀的功計算機(jī)網(wǎng)絡(luò)面臨以下的四種威脅:截獲(interception ),中斷(interruption),篡改能。當(dāng)網(wǎng)橋收到一個幀時,并不是向所有的接口轉(zhuǎn)發(fā)此幀,而是先檢查此幀的目的MAC 地址,然后(modification),偽造(fabrication )。 再確定將該幀轉(zhuǎn)發(fā)到哪一個接口。 網(wǎng)絡(luò)安全的威脅可以分為兩大類:即被動攻擊和主動攻擊。 主動攻擊是指攻擊者對某個連接中 轉(zhuǎn)發(fā)器工作在物理層,它僅簡單地轉(zhuǎn)發(fā)信號,沒有過濾能力。 通過的PDU 進(jìn)行各種處理。如有選擇地更改、刪除、延遲這些PDU 。甚至還可將合成的或偽造的PDU 以太網(wǎng)交換機(jī)則為鏈路層設(shè)備,可視為多端口網(wǎng)橋。 送入到一個連接中去。主動攻擊又可進(jìn)一步劃分為三種,即更改報文流;拒絕報文服務(wù);偽造連接初十八、以太網(wǎng)交換機(jī)有何特點(diǎn)?它與集線器有何區(qū)別? 始化。 使用交換技術(shù)的以太網(wǎng)的核心設(shè)備是交換機(jī)(Switch )。交換機(jī)系統(tǒng)擺脫了CSMA/CD媒體訪問控被動攻擊是指觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU 而不干擾信息流。即使這些數(shù)據(jù)對攻擊者來說制方式的約束,在交換機(jī)的各端口之間可以同時存在多個數(shù)據(jù)通道。交換式以太網(wǎng)相當(dāng)于把整個網(wǎng)絡(luò)是不易理解的,它也可通過觀察PDU 的協(xié)議控制信息部分,了解正在通信的協(xié)議實(shí)體的地址和身份,劃分成一個個單用戶的網(wǎng)絡(luò),在這個網(wǎng)段上只有一個用戶,因而不存在沖突,使用戶可以充分利用帶研究PDU 的長度和傳輸?shù)念l度,以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被動攻擊又稱為通信量分析。 還寬。集線器用于傳統(tǒng)的共享介質(zhì)局域網(wǎng),即網(wǎng)上所有站點(diǎn)共享一條公共傳輸通道,各站對公共信道的有一種特殊的主動攻擊就是惡意程序的攻擊。惡意程序種類繁多,對網(wǎng)絡(luò)安全威脅較大的主要有以下訪問由介質(zhì)訪問控制(MAC )協(xié)議來處理。采用CSMA/CD介質(zhì)存取控制的以太網(wǎng)是典型的共享式局域幾種:計算機(jī)病毒;計算機(jī)蠕蟲;特洛伊木馬;邏輯炸彈。 網(wǎng),在負(fù)載嚴(yán)重的情況下,由于帶寬限制將產(chǎn)生性能急劇下降。 對付被動攻擊可采用各種數(shù)據(jù)加密動技術(shù),而對付主動攻擊,則需加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)結(jié)十九、網(wǎng)絡(luò)層向上提供的服務(wù)有哪兩種?是比較其優(yōu)缺點(diǎn)。 合。 網(wǎng)絡(luò)層向運(yùn)輸層提供 “面向連接”虛電路(Virtual Circuit)服務(wù)或“無連接”數(shù)據(jù)報服務(wù)。 二十八、什么是防火墻?防火墻的類型有哪些? 前者預(yù)約了雙方通信所需的一切網(wǎng)絡(luò)資源。優(yōu)點(diǎn)是能提供服務(wù)質(zhì)量的承諾。即所傳送的分組不出錯、防火墻是一種特殊編程的路由器,安裝在一個網(wǎng)點(diǎn)和網(wǎng)絡(luò)的其余部分之間,目的是實(shí)施訪問控制丟失、重復(fù)和失序(不按序列到達(dá)終點(diǎn)),也保證分組傳送的時限,缺點(diǎn)是路由器復(fù)雜,網(wǎng)絡(luò)成本高;策略。其功能有兩個:阻止和允許。 后者無網(wǎng)絡(luò)資源障礙,盡力而為,優(yōu)缺點(diǎn)與前者互易。 網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻。 二十、試簡單說明IP 、ARP 、RARP 和ICMP 協(xié)議的作用。 二十九、簡述路由器的主要功能? IP :網(wǎng)際協(xié)議,TCP/IP 體系中兩個最重要的協(xié)議之一,IP 使互連起來的許多計算機(jī)網(wǎng)絡(luò)能夠進(jìn)1. 選擇信息傳送的線路 行通信。無連接的數(shù)據(jù)報傳輸. 數(shù)據(jù)報路由。 2. 連接不同類型的網(wǎng)絡(luò) ARP (地址解析協(xié)議)實(shí)現(xiàn)地址轉(zhuǎn)換,將IP 地址映射成物理地址。 三十、100 BASE-T以太網(wǎng)需要哪些基本硬件設(shè)備?并畫出它的組網(wǎng)結(jié)構(gòu)示意圖。 RARP (逆向地址解析協(xié)議)將物理地址映射成IP 地址。 (1) 網(wǎng)絡(luò)服務(wù)器和工作站 (2)交換機(jī)或集線器(HUB ) (3)ICMP :Internet 控制消息協(xié)議,進(jìn)行差錯控制和傳輸控制,減少分組的丟失,以提高IP 數(shù)據(jù)交5類UTP ,電纜兩端各壓接一個RJ45插頭 (4)帶有RJ45接口的100M 付成功的機(jī)會。 Ethernet 網(wǎng)卡 注:ICMP 協(xié)議幫助主機(jī)完成某些網(wǎng)絡(luò)參數(shù)測試,允許主機(jī)或路由器報告差錯和提供有關(guān)異常情組網(wǎng)結(jié)構(gòu)示意圖如下: 況報告,但它沒有辦法減少分組丟失,這是高層協(xié)議應(yīng)該完成的事情。IP 協(xié)議只是盡最大可能交付,至于交付是否成功,它自己無法控制。 二十一、試說明IP 地址與硬件地址的區(qū)別。為什么要使用這兩種不同的地址?
,碼分復(fù)用:是一種共享信道的方法,每個用戶可在同一時間使用同樣的頻帶進(jìn)行通信,但使用的是基于碼型的分割信道的方法,即每個用戶分配一個地址碼,各個碼型互不重疊,通信各方之間不會相互干擾,且抗干擾能力強(qiáng)。
三十八、計算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有哪些?它們各有什么優(yōu)缺點(diǎn)?
星型拓?fù)渚W(wǎng)絡(luò):優(yōu)點(diǎn)是很容易在網(wǎng)絡(luò)中增加新的站點(diǎn),容易實(shí)現(xiàn)數(shù)據(jù)的安全性和優(yōu)先級控制,易實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控;但缺點(diǎn)是屬于集中控制,對中心節(jié)點(diǎn)的依賴性大,一旦中心節(jié)點(diǎn)有故障會引起整個網(wǎng)絡(luò)的癱瘓。
樹型拓?fù)渚W(wǎng)絡(luò):樹型拓?fù)渚W(wǎng)絡(luò)層次結(jié)構(gòu)的層不宜過多,以免轉(zhuǎn)接開銷過大,使高層節(jié)點(diǎn)的負(fù)荷過重。
總線型拓?fù)渚W(wǎng)絡(luò):結(jié)構(gòu)簡單,安裝方便,需要鋪設(shè)的線纜最短,成本低。缺點(diǎn)是實(shí)時性較差,總線的任何一點(diǎn)故障都會導(dǎo)致網(wǎng)絡(luò)癱瘓。
環(huán)型拓?fù)渚W(wǎng)絡(luò):結(jié)構(gòu)簡單,傳輸延時確定,但是環(huán)中每個節(jié)點(diǎn)與連接節(jié)點(diǎn)之間的通信線路都會成為網(wǎng)絡(luò)可靠性的屏障。環(huán)中節(jié)點(diǎn)出現(xiàn)故障,有可能造成網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)節(jié)點(diǎn)的加入、退出以及環(huán)路的維護(hù)和管理都比較復(fù)雜。
網(wǎng)狀型拓?fù)渚W(wǎng)絡(luò):優(yōu)點(diǎn)是可靠性高,但結(jié)構(gòu)復(fù)雜,必須采用路由選擇算法和流量控制方法。廣域網(wǎng)基本上采用網(wǎng)狀型拓?fù)浣Y(jié)構(gòu)。
三十九、說明文件傳輸協(xié)議的原理。
1. 客戶端打開一個隨機(jī)的端口(端口號大于1024,在這里,我們稱它為x ),同時一個FTP 進(jìn)程連接至服務(wù)器的21號命令端口。此時,源端口為隨機(jī)端口x ,在客戶端,遠(yuǎn)程端口為21,在服務(wù)器。
2.客戶端開始監(jiān)聽端口(x 1),同時向服務(wù)器發(fā)送一個端口命令(通過服務(wù)器的21號命令端口),此命令告訴服務(wù)器客戶端正在監(jiān)聽的端口號并且已準(zhǔn)備好從此端口接收數(shù)據(jù)。這個端口就是我們所知的數(shù)據(jù)端口。
3. 服務(wù)器打開20號源端口并且建立和客戶端數(shù)據(jù)端口的連接。此時,源端口為20,遠(yuǎn)程數(shù)據(jù)端口為(x 1)。
4. 客戶端通過本地的數(shù)據(jù)端口建立一個和服務(wù)器20號端口的連接,然后向服務(wù)器發(fā)送一個應(yīng)答,告訴服務(wù)器它已經(jīng)建立好了一個連接。
四十、簡述TCP 與UDP 的區(qū)別。
TCP---傳輸控制協(xié)議, 提供的是面向連接、可靠的字節(jié)流服務(wù)。當(dāng)客戶和服務(wù)器彼此
三十一、什么是DNS ?主要功能是什么?如何理解域名www.edu.cn ?
交換數(shù)據(jù)前,必須先在雙方之間建立一個TCP 連接,之后才能傳輸數(shù)據(jù)。TCP 提供超時
DNS 是計算機(jī)域名系統(tǒng) (Domain Name System) 的縮寫,它是由解析器和域名服務(wù)
重發(fā),丟棄重復(fù)數(shù)據(jù),檢驗(yàn)數(shù)據(jù),流量控制等功能,保證數(shù)據(jù)能從一端傳到另一端。 器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對應(yīng)IP 地址,并具有將域
UDP---用戶數(shù)據(jù)報協(xié)議,是一個簡單的面向數(shù)據(jù)報的運(yùn)輸層協(xié)議。UDP 不提供可靠名轉(zhuǎn)換為IP 地址功能的服務(wù)器。
性,它只是把應(yīng)用程序傳給IP 層的數(shù)據(jù)報發(fā)送出去,但是并不能保證它們能到達(dá)目的地。功能:將IP 地址與域名進(jìn)行的相互轉(zhuǎn)換,使人們?nèi)菀子洃浀挠蛎D(zhuǎn)換為能讓計算機(jī)
由于UDP 在傳輸數(shù)據(jù)報前不用在客戶和服務(wù)器之間建立一個連接,且沒有超時重發(fā)等機(jī)識別的IP 地址。
制,故而傳輸速度很快。 edu是這個域名的主題,www 是網(wǎng)絡(luò)名,.cn 是后綴,代表頂級域名。
四十一、TCP 提供什么樣的服務(wù)? 三十二、常用的網(wǎng)絡(luò)互連設(shè)備有哪些?它們各有什么特點(diǎn)?
1.面向數(shù)據(jù)流服務(wù) 1.中繼器:中繼器是在物理層上實(shí)現(xiàn)局域網(wǎng)網(wǎng)段互連的,用于擴(kuò)展局域網(wǎng)的距離,
2.虛電路連接 其具體功能是接收從一條電纜上傳輸過來的信號,并將其放大后,再發(fā)送到另一條電纜
四十二、幀同步的方法有哪幾種? 上。
1. 字節(jié)計數(shù)法 2.網(wǎng)橋:是一種幀存儲轉(zhuǎn)發(fā)設(shè)備,用來連接兩個相似類型的局域網(wǎng)。從協(xié)議的層次
2. 使用字符填充的首尾定界符方法 看,網(wǎng)橋是在MAC 層對數(shù)據(jù)幀進(jìn)行存儲轉(zhuǎn)發(fā),網(wǎng)橋應(yīng)當(dāng)有足夠的緩沖空間,以滿足高峰
3. 使用比特填充的首尾標(biāo)志方法 負(fù)載的要求。
4. 違例編碼法 3.路由器:路由器工作在OSI 模型的網(wǎng)絡(luò)層。由于它比網(wǎng)橋工作在更高一層,因
四十三、文件傳送協(xié)議FTP 的主要工作過程是怎樣的?為什么說FTP 是帶外傳送控制信息?主進(jìn)程和此路由器的功能比網(wǎng)橋更強(qiáng),它除了具有網(wǎng)橋的全部功能外,還應(yīng)具有路徑選擇功能。
從屬進(jìn)程各起什么作用? 路由器比較適合于局域網(wǎng)與廣域網(wǎng)之間的互連。
(1)FTP 使用客戶服務(wù)器方式。一個FTP 服務(wù)器進(jìn)程可同時為多個客戶進(jìn)程提供 4.交換機(jī):交換機(jī)有第二層交換機(jī)和第三層交換機(jī)之分。第二層交換機(jī)相當(dāng)于多
服務(wù)。FTP 的服務(wù)器進(jìn)程由兩大部分組成:一個主進(jìn)程,負(fù)責(zé)接受新的請求;另外有若端口的網(wǎng)橋,第二層交換機(jī)已經(jīng)取代了集線器和網(wǎng)橋。目前常用是第三層交換機(jī),增加
干個從屬進(jìn)程,負(fù)責(zé)處理單個請求。主進(jìn)程的工作步驟:1、打開熟知端口(端口號為了路由選擇功能,可以完成一個路由器的功能。
21),使客戶進(jìn)程能夠連接上。2、等待客戶進(jìn)程發(fā)出連接請求。3、啟動從屬進(jìn)程來處三十三、什么是以太網(wǎng)?
理客戶進(jìn)程發(fā)來的請求。從屬進(jìn)程對客戶進(jìn)程的請求處理完畢后即終止,但從屬進(jìn)程在以太網(wǎng)是采用帶沖突檢測載波監(jiān)聽多路訪問技術(shù)(CSMA/CD)和IEEE802.3規(guī)范的總
運(yùn)行期間根據(jù)需要還可能創(chuàng)建其他一些子進(jìn)程。4、回到等待狀態(tài),繼續(xù)接受其他客戶進(jìn)線型網(wǎng)絡(luò)。(2分)以太網(wǎng)常見的標(biāo)準(zhǔn)有10BASE2,10BASE5和10BASE-T ,傳輸介質(zhì)采用
程發(fā)來的請求。主進(jìn)程與從屬進(jìn)程的處理是并發(fā)地進(jìn)行。FTP 使用兩個TCP 連接??刂沏~軸電纜或雙絞線。(2分)以太網(wǎng)是目前最常用的技術(shù)。
連接在整個會話期間一直保持打開, FTP 客戶發(fā)出的傳送請求通過控制連接發(fā)送給服務(wù)三十四、常見的網(wǎng)絡(luò)協(xié)議有幾種?
器端的控制進(jìn)程,但控制連接不用來傳送文件。實(shí)際用于傳輸文件的是“數(shù)據(jù)連接”。目前局域網(wǎng)中最常用的三個協(xié)議是Microsoft 的NETBEUI ,Novell 的IPX/SPX 和
服務(wù)器端的控制進(jìn)程在接收到FTP 客戶發(fā)送來的文件傳輸請求后就創(chuàng)建“數(shù)據(jù)傳送進(jìn)交叉平臺上的TCP/IP。
程”和“數(shù)據(jù)連接”,用來連接客戶端和服務(wù)器端的數(shù)據(jù)傳送進(jìn)程。數(shù)據(jù)傳送進(jìn)程實(shí)際三十五、計算機(jī)網(wǎng)絡(luò)的傳輸介質(zhì)有哪些?
完成文件的傳送,在傳送完畢后關(guān)閉“數(shù)據(jù)傳送連接”并結(jié)束運(yùn)行。 (1)有線傳輸介質(zhì): 雙絞線 同軸電纜 光纖
四十四、試簡述SMTP 通信的三個階段的過程。 (2)無線傳輸: 無線電波 微波 紅外線 激光
1. 連接建立:連接是在發(fā)送主機(jī)的 SMTP 客戶和接收主機(jī)的 SMTP 服務(wù)器之間建立三十六、IP 地址是怎樣定義的?一共分為幾類?怎樣辨別?
的。SMTP 不使用中間的郵件服務(wù)器。 2. 郵件傳送。 IP 地址就是給每個連接在Internet 上的主機(jī)分配的一個32bit 地址。 分為
3. 連接釋放:郵件發(fā)送完畢后,SMTP 應(yīng)釋放 TCP 連接。 A/B/C/D/E5類。
四十五、無線局域網(wǎng)都由哪幾部分組成?無線局域網(wǎng)中的固定基礎(chǔ)設(shè)施對網(wǎng)絡(luò)的性能有何影響?接入A:1.0.0.1-126.255.255.254
點(diǎn)AP 是否就是無線局域網(wǎng)中的固定基礎(chǔ)設(shè)施? B:128.0.0.1-191.255.255.254
無線局域網(wǎng)由無線網(wǎng)卡、無線接入點(diǎn)(AP)、計算機(jī)和有關(guān)設(shè)備組成,采用單元結(jié)構(gòu),C:192.0.0.1-223.255.255.254
將 整個系統(tǒng)分成許多單元,每個單元稱為一個基本服務(wù)組。 所謂“固定基礎(chǔ)設(shè)施”是D:224.0.0.0-239.255.255.255
指預(yù)先建立起來的、能夠覆蓋一定地理范圍的一批固定基站。直 接影響無線局域網(wǎng)的性E :240-
能。 接入點(diǎn)AP 是星形拓?fù)涞闹行狞c(diǎn),它不是固定基礎(chǔ)設(shè)施。 三十七、寫出常用的三種信道復(fù)用技術(shù),它們各自的技術(shù)特點(diǎn)是什么?
四十六、服務(wù)集標(biāo)示符SSID 與基本服務(wù)集標(biāo)示符BSSID 有什么區(qū)別? 頻分多路復(fù)用:是把信道的可用頻帶分成多個互不交疊的頻段,每個信號占其中一
SSID (Service Set Identifier)AP 唯一的ID 碼,用來區(qū)分不同的網(wǎng)絡(luò),最多可個頻段。接收時用適當(dāng)?shù)臑V波器分離出不同信號,分別進(jìn)行解調(diào)接收。
以有32個字符,無線終端和AP 的SSID 必須相同方可通信。無線網(wǎng)卡設(shè)置了不同的SSID 時分多路復(fù)用:是按傳輸信號的時間進(jìn)行分割的,它使不同的信號在不同時間內(nèi)傳
就可以進(jìn)入不同網(wǎng)絡(luò),SSID 通常由AP 廣播出來,通過XP 自帶的掃描功能可以相看當(dāng)前送,即將整個傳輸時間分為許多時間間隔(時隙),每個時間片被一路信號占用。
區(qū)域內(nèi)的SSID 。出于安全考慮可以不廣播SSID ,此時用戶就要手工設(shè)置SSID 才能進(jìn)入波分多路復(fù)用:WDM 就是光的頻分復(fù)用。用一根光纖來同時傳輸與多個頻率都很接
相應(yīng)的網(wǎng)絡(luò)。簡單說,SSID 就是一個局域網(wǎng)的名稱,只有設(shè)置為名稱相同SSID 的值的近的光載波信號,使光纖的傳輸能力成倍地提高。
電腦才能互相通信。 BSS 是一種特殊的Ad-hoc LAN 的應(yīng)用,一個無線網(wǎng)絡(luò)至少由一個連接到有線網(wǎng)絡(luò)的
AP 和若干無線工作站組成,這種配置稱為一個基本服務(wù)裝置BSS (Basic Service Set) 。一群計算機(jī)設(shè)定相同的BSS 名稱,即可自成一個group ,而此BSS 名稱,即所謂BSSID 。
四十七、計算機(jī)網(wǎng)絡(luò)都面臨哪幾種威脅,主動攻擊和被動攻擊的區(qū)別是什么,對于計算機(jī)網(wǎng)絡(luò)的安全措施都有哪些?
計算機(jī)網(wǎng)絡(luò)面臨以下的四種威脅:截獲(interception ),中斷(interruption),篡改(modification),偽造(fabrication )。 網(wǎng)絡(luò)安全的威脅可以分為兩大類:即被動攻擊和主動攻擊。 主動攻擊是指攻擊者對某個連接中通過的PDU 進(jìn)行各種處理。如有選擇地更改、刪除、延遲這些PDU 。甚至還可將合成的或偽造的PDU 送入到一個連接中去。主動攻擊又可進(jìn)一步劃分為三種,即更改報文流;拒絕報文服務(wù);偽造連接初始化。 被動攻擊是指觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU 而不干擾信息流。即使這些數(shù)據(jù)對攻擊者來說是不易理解的,它也可通過觀察PDU 的協(xié)議控制信息部分,了解正在通信的協(xié)議實(shí)體的地址和身份,研究PDU 的長度和傳輸?shù)念l度,以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被動攻擊又稱為通信量分析。 還有一種特殊的主動攻擊就是惡意程序的攻擊。惡意程序種類繁多,對網(wǎng)絡(luò)安全威脅較大的主要有以下幾種:計算機(jī)病毒;計算機(jī)蠕蟲;特洛伊木馬;邏輯炸彈。 對付被動攻擊可采用各種數(shù)據(jù)加密動技術(shù),而對付主動攻擊,則需加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)結(jié)合
四十八、試解釋以下名詞:(1)重放攻擊;(2)拒絕服務(wù);(3)訪問控制;(4)流量分析;(5)惡意程序。
(1)重放攻擊:所謂重放攻擊(replay attack)就是攻擊者發(fā)送一個目的主機(jī)已接收過的包,來達(dá)到欺騙系統(tǒng)的目的,主要用于身份認(rèn)證過程。
(2)拒絕服務(wù):DoS(Denial of Service)指攻擊者向因特網(wǎng)上的服務(wù)器不停地發(fā)送大量分組,使因特網(wǎng)或服務(wù)器無法提供正常服務(wù)。
(3)訪問控制:(access control)也叫做存取控制或接入控制。必須對接入網(wǎng)絡(luò)的權(quán)限加以控制,并規(guī)定每個用戶的接入權(quán)限。
(4)流量分析:通過觀察PDU 的協(xié)議控制信息部分,了解正在通信的協(xié)議實(shí)體的地址和身份,研究PDU 的長度和傳輸?shù)念l度,以便了解所交換的數(shù)據(jù)的某種性質(zhì)。這種被動攻擊又稱為流量分析(traffic analysis)。
(5)惡意程序:惡意程序(rogue program)通常是指帶有攻擊意圖所編寫的一段程序。 四十九、密碼編碼學(xué)、密碼分析學(xué)和密碼學(xué)都有哪些區(qū)別?
密碼學(xué)(cryptology)包含密碼編碼學(xué)(Cryptography)與密碼分析學(xué)(Cryptanalytics)兩部分內(nèi)容。
密碼編碼學(xué)是密碼體制的設(shè)計學(xué), 是研究對數(shù)據(jù)進(jìn)行變換的原理、手段和方法的技術(shù)和科學(xué),而密碼分析學(xué)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。是為了取得秘密的信息, 而對密碼系統(tǒng)及其流動的數(shù)據(jù)進(jìn)行分析,是對密碼原理、手段和方法進(jìn)行分析、攻擊的技術(shù)和科學(xué)。 五十、“無條件安全的密碼體制”和“在計算上是安全的密碼體制”有什么區(qū)別?
如果不論截取者獲得了多少密文,但在密文中都沒有足夠的信息來惟一地確定出對應(yīng)的明文,則這一密碼體制稱為無條件安全的,或稱為理論上是不可破的。
如果密碼體制中的密碼不能被可使用的計算資源破譯,則這一密碼體制稱為在計算上是安全的。 五十一、對稱密鑰體制與公鑰密碼體制的特點(diǎn)各如何?各有何優(yōu)缺點(diǎn)?
在對稱密鑰體制中,它的加密密鑰與解密密鑰的密碼體制是相同的,且收發(fā)雙方必須共享密鑰,對稱密碼的密鑰是保密的,沒有密鑰,解密就不可行,知道算法和若干密文不足以確定密鑰。公鑰密碼體制中,它使用不同的加密密鑰和解密密鑰,且加密密鑰是向公眾公開的,而解密密鑰是需要保密的,發(fā)送方擁有加密或者解密密鑰,而接收方擁有另一個密鑰。 兩個密鑰之一也是保密的,無解密密鑰,解密不可行,知道算法和其中一個密鑰以及若干密文不能確定另一個密鑰。
優(yōu)點(diǎn):對稱密碼技術(shù)的優(yōu)點(diǎn)在于效率高,算法簡單,系統(tǒng)開銷小,適合加密大量數(shù)據(jù)。對稱密鑰算法具有加密處理簡單,加解密速度快,密鑰較短,發(fā)展歷史悠久等優(yōu)點(diǎn)。
缺點(diǎn):對稱密碼技術(shù)進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換,且它的規(guī)模復(fù)雜。 公鑰密鑰算法具有加解密速度慢的特點(diǎn),密鑰尺寸大,發(fā)展歷史較短等特點(diǎn)。 五十二、公鑰密碼體制下的加密和解密過程是怎么的?為什么公鑰可以公開?如果不公開是否可以提高安全性?
加密和解密過程如下: (1)、密鑰對產(chǎn)生器產(chǎn)生出接收者的一對密鑰:加密密鑰和解密密鑰; (2)、發(fā)送者用接受者的公鑰加密密鑰通過加密運(yùn)算對明文進(jìn)行加密,得出密文,發(fā)送給接受者 ;接受者用自己的私鑰解密密鑰通過解密運(yùn)算進(jìn)行解密,恢復(fù)出明文; 因?yàn)闊o解密密鑰,解密是不可行的,所以公鑰可以公開,知道算法和其中一個密鑰以及若干密文不能確定另一個密鑰。 五十三、試述數(shù)字簽名的原理
數(shù)字簽名采用了雙重加密的方法來實(shí)現(xiàn)防偽、防賴。
其原理為: 被發(fā)送文件用SHA 編碼加密產(chǎn)生128bit 的數(shù)字摘要。然后發(fā)送方用自己的私用密鑰對摘要再加密,這就形成了數(shù)字簽名。將原文和加密的摘要同時傳給對方。對方用發(fā)送方的公共密鑰對摘要解密,同時對收到的文件用SHA 編碼加密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
五十五、為什么需要進(jìn)行報文鑒別?鑒別和保密、授權(quán)有什么不同?報文鑒別和實(shí)體鑒別有什么區(qū)別?
(1)使用報文鑒別是為了對付主動攻擊中的篡改和偽造。當(dāng)報文加密的時候就可以達(dá)到報文鑒別的目的,但是當(dāng)傳送不需要加密報文時,接收者應(yīng)該能用簡單的方法來鑒別報文的真?zhèn)巍?/p>
(2)鑒別和保密并不相同。鑒別是要驗(yàn)證通信對方的確是自己所需通信的對象,而不是其他的冒充者。鑒別分為報文鑒別和實(shí)體鑒別。授權(quán)涉及到的問題是:所進(jìn)行的過程是否被允許(如是否可以對某文件進(jìn)行讀或?qū)? 。
(3)報文鑒別和實(shí)體鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者,而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方實(shí)體只需驗(yàn)證一次。 五十六、試述實(shí)現(xiàn)報文鑒別和實(shí)體鑒別的方法。
(1)報文摘要MD 是進(jìn)行報文鑒別的簡單方法。A 把較長的報文X 經(jīng)過報文摘要算法運(yùn)算后得出很短的報文摘要H 。然后用自己的私鑰對H 進(jìn)行D 運(yùn)算,即進(jìn)行數(shù)字簽名。得出已簽名的報文摘要D(H)后,并將其追加在報文X 后面發(fā)送給B 。B 收到報文后首先把已簽名的D(H)和報文X 分離。然后再做
,兩件事。第一,用A 的公鑰對D(H)進(jìn)行E 運(yùn)算,得出報文摘要H 。第二,對報文X 進(jìn)行報文摘要運(yùn)算,(1)鏈路加密 看是否能夠得出同樣的報文摘要H 。如一樣,就能以極高的概率斷定收到的報文是A 產(chǎn)生的。否則就優(yōu)點(diǎn):某條鏈路受到破壞不會導(dǎo)致其他鏈路上傳送的信息被析出,能防止各種形式的通信量析不是。 出;不會減少網(wǎng)絡(luò)系統(tǒng)的帶寬;相鄰結(jié)點(diǎn)的密鑰相同,因而密鑰管理易于實(shí)現(xiàn);鏈路加密對用戶是透
(2)A首先用明文發(fā)送身份A 和一個不重數(shù)RA 給B 。接著,B 響應(yīng)A 的查問,用共享的密鑰KAB 明的。 對RA 加密后發(fā)回給A ,同時也給出了自己的不重數(shù)RB 。最后,A 再響應(yīng)B 的查問,用共享的密鑰KAB 缺點(diǎn):中間結(jié)點(diǎn)暴露了信息的內(nèi)容;僅僅采用鏈路加密是不可能實(shí)現(xiàn)通信安全的;不適用于廣對RB 加密后發(fā)回給B 。由于不重數(shù)不能重復(fù)使用,所以C 在進(jìn)行重放攻擊時無法重復(fù)使用是喲截獲播網(wǎng)絡(luò)。 的不重數(shù)。 (2)端到端加密 五十七、報文的保密性與完整性有何區(qū)別?什么是MD5? 優(yōu)點(diǎn):報文的安全性不會因中間結(jié)點(diǎn)的不可靠而受到影響;端到端加密更容易適合不同用戶服
(1)報文的保密性和完整性是完全不同的概念。 保密性的特點(diǎn)是:即使加密后的報文被攻擊者截務(wù)的要求,不僅適用于互聯(lián)網(wǎng)環(huán)境,而且同樣也適用于廣播網(wǎng)。 獲了,攻擊者也無法了解報文的內(nèi)容。 完整性的特點(diǎn)是:接收者接收到報文后,知道報文沒有被篡缺點(diǎn):由于PDU 的控制信息部分不能被加密,所以容易受到通信量分析的攻擊。同時由于各結(jié)改或偽造。 點(diǎn)必須持有與其他結(jié)點(diǎn)相同的密鑰,需要在全網(wǎng)范圍內(nèi)進(jìn)行密鑰管理和分配. 為了獲得更好的安全
(2)MD5是[RFC1321]提出的報文摘要算法,目前已獲得了廣泛的應(yīng)用。它可以對任意長的報文進(jìn)性,可將鏈路加密與端到端加密結(jié)合在一起使用。鏈路加密用來對PDU 的目的地址進(jìn)行加密,而端到行運(yùn)算,然后得出128bit 的MD 報文摘要代碼。算法的大致過程如下: ①先將任意長的報文按模264端加密則提供了對端到端數(shù)據(jù)的保護(hù)。 計算其余數(shù)(64bit),追加在報文的后面。這就是說,最后得出的MD5代碼已包含了報文長度的信息。 六十四、試述防火墻的工作原理和所提供的功能。什么叫做網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻? ②在報文和余數(shù)之間填充1~512bit,使得填充后的總長度是512的整數(shù)倍。填充比特的首位是1,后防火墻的工作原理:防火墻中的分組過濾路由器檢查進(jìn)出被保護(hù)網(wǎng)絡(luò)的分組數(shù)據(jù),按照系統(tǒng)管面都是0。 ③將追加和填充的報文分割為一個個512bit 的數(shù)據(jù)塊,512bit 的報文數(shù)據(jù)分成4個128bit 理員事先設(shè)置好的防火墻規(guī)則來與分組進(jìn)行匹配,符合條件的分組就能通過,否則就丟棄。 的數(shù)據(jù)依次送到不同的散列函數(shù)進(jìn)行4論計算。每一輪又都按32bit 的小數(shù)據(jù)塊進(jìn)行復(fù)雜的運(yùn)算。一防火墻提供的功能有兩個:一個是阻止,另一個是允許。阻止就是阻止某種類型的通信量通過直到最后計算出MD5報文摘要代碼。 這樣得出的MD5代碼中的每一個比特,都與原來的報文中的每防火墻。允許的功能與阻止的恰好相反。不過在大多數(shù)情況下防火墻的主要功能是阻止。 一個比特有關(guān)。 網(wǎng)絡(luò)級防火墻:主要是用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵,屬于這類的有分組過濾和授權(quán)五十八、什么是重放攻擊?怎樣防止重放攻擊? 服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息,然后拒絕不符合事先制定好的一套準(zhǔn)則的數(shù)據(jù),而后者則
(1)入侵者C 可以從網(wǎng)絡(luò)上截獲A 發(fā)給B 的報文。C 并不需要破譯這個報文(因?yàn)檫@可能很花很是檢查用戶的登錄是否合法。 多時間) 而可以直接把這個由A 加密的報文發(fā)送給B ,使B 誤認(rèn)為C 就是A 。然后B 就向偽裝是A 的C 應(yīng)用級防火墻:從應(yīng)用程序來進(jìn)行介入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。 發(fā)送許多本來應(yīng)當(dāng)發(fā)送給A 的報文。這就叫做重放攻擊。 五、計算題
(2)為了對付重放攻擊,可以使用不重數(shù)。不重數(shù)就是一個不重復(fù)使用的大隨機(jī)數(shù),即“一次一1 .對C 類IP 地址192.168.1.0,若使用它的第4個字節(jié)的前3位來劃分子網(wǎng),依據(jù)數(shù)”。 RFC950規(guī)則,求: 五十九、什么是“中間人攻擊”?怎樣防止這種攻擊? (1)子網(wǎng)掩碼是多少?
(1) 中間人攻擊(Man-in-the-Middle Attack,簡稱“MITM 攻擊”)是一種“間接”的入侵攻11111111 11111111 11111111 11100000→255.255.255.224 擊, 這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(2)可以劃分出幾個子網(wǎng)?每個子網(wǎng)的網(wǎng)絡(luò)地址是什么? 通信計算機(jī)之間,這臺計算機(jī)就稱為“中間人”。然后入侵者把這臺計算機(jī)模擬一臺或兩臺原始計算2^3=8個子網(wǎng)。 機(jī),使“中間人”能夠與原始計算機(jī)建立活動連接并允許其讀取或篡改傳遞的信息,然而兩個原始計192.168.1.0 192.168.1.32 192.168.1.64 192.168.1.96 算機(jī)用戶卻認(rèn)為他們是在互相通信,因而這種攻擊方式并不很容易被發(fā)現(xiàn)。所以中間人攻擊很早就成192.168.1.128 192.168.1.160 192.168.1.192 192.168.1.224 為了黑客常用的一種古老的攻擊手段,并且一直到今天還具有極大的擴(kuò)展空間。 (3)每個子網(wǎng)的主機(jī)地址范圍是多少?
(2) 要防范MITM 攻擊,我們可以將一些機(jī)密信息進(jìn)行加密后再傳輸,這樣即使被“中間人”截192.168.1.1-30 192.168.1.33-62 192.168.1.65-94、192.168.1.97-126 取也難以破解,另外,有一些認(rèn)證方式可以檢測到MITM 攻擊。比如設(shè)備或IP 異常檢測:如果用戶以192.168.1.129-158 192.168.1.161-190、192.168.1.193-222 192.168.1.225-254 前從未使用某個設(shè)備或IP 訪問系統(tǒng),則系統(tǒng)會采取措施。還有設(shè)備或IP 頻率檢測:如果單一的設(shè)備2.用速率為2400bps 的調(diào)制解調(diào)器(無校驗(yàn)位,一位停止位),30秒內(nèi)最多能傳輸多或IP 同時訪問大量的用戶帳號,系統(tǒng)也會采取措施。更有效防范MITM 攻擊的方法是進(jìn)行帶外認(rèn)證。 少個漢字(一個漢字為兩個字節(jié))。 六十、因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族Ipsec 都包含哪些主要協(xié)議? (1)30秒傳輸位數(shù):
在Ipsec 中最主要的兩個部分就是:鑒別首部AH 和封裝安全有效載荷ESP 。 (2)每個漢字傳輸位數(shù): AH 將每個數(shù)據(jù)報中的數(shù)據(jù)和一個變化的數(shù)字簽名結(jié)合起來,共同驗(yàn)證發(fā)送方身份,使得通信一(3)30秒傳輸?shù)臐h字?jǐn)?shù): 方能夠確認(rèn)發(fā)送數(shù)據(jù)的另一方的身份,并能夠確認(rèn)數(shù)據(jù)在傳輸過程中沒有被篡改,防止受到第三方的(1)30秒傳輸位數(shù):2400×30=72000位 攻擊。它提供源站鑒別和數(shù)據(jù)完整性,但不提供數(shù)據(jù)加密。 (2)每個漢字傳輸位數(shù):(8+1+l )×2=20位 (一個字節(jié)為8個比特,一個起始位,一個停止位)
ESP 提供了一種對IP 負(fù)載進(jìn)行加密的機(jī)制,對數(shù)據(jù)報中的數(shù)據(jù)另外進(jìn)行加密,因此它不僅提供(3)30秒傳輸?shù)臐h字?jǐn)?shù):72000÷20=3600個 源站鑒別、數(shù)據(jù)完整性,也提供保密性。 3.. 共有4個站進(jìn)行碼分多址CDMA 通信,4個站的碼片序列為:
IPSec 是IETF (Internet Engineering Task Force,Internet 工程任務(wù)組)的IPSec 小組建A: (-1 -1 -1 1 1 -1 1 1) B: (-1 -1 1 -1 1 1 1 -1) 立的一套安全協(xié)作的密鑰管理方案,目的是盡量使下層的安全與上層的應(yīng)用程序及用戶獨(dú)立,使應(yīng)用C: (-1 1 -1 1 1 1 -1 -1) D: (-1 1 -1 -1 -1 -1 1 -1) 程序和用戶不必了解底層什么樣的安全技術(shù)和手段,就能保證數(shù)據(jù)傳輸?shù)目煽啃约鞍踩浴? 4. 現(xiàn)收到這樣的碼片序列:(-1 1 -3 1 -1 -3 1 1)。問哪個站發(fā)送數(shù)據(jù)了?發(fā)送數(shù)據(jù)的
IPSec 是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu),是一組IP 安全協(xié)議集。IPSec 定義了在網(wǎng)際站發(fā)送的是1還是0? 層使用的安全服務(wù),其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢解:S ·A=(+1-1+3+1-1+3+1+1)/8=1, A發(fā)送1 查和防止重放攻擊。 S ·B=(+1-1-3-1-1-3+1-1)/8=-1, B發(fā)送0 六十一、試簡述SSL 和SET 的工作過程。 S ·C=(+1+1+3+1-1-3-1-1)/8=0, C無發(fā)送 SSL 協(xié)議的工作流程: 服務(wù)器認(rèn)證階段:1)客戶端向服務(wù)器發(fā)送一個開始S ·D=(+1+1+3-1+1+3+1-1)/8=1, D發(fā)送1 信息“Hello”以便開始一個新的會話連接;2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,5. 要發(fā)送的數(shù)據(jù)為1101011011。采用CRC 的生成多項式是P(x)=x4 x 1 。試求應(yīng)添加在如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服數(shù)據(jù)后面的余數(shù)。數(shù)據(jù)在傳輸過程中最后一個1變成了0,問接收端能否發(fā)現(xiàn)? 若數(shù)據(jù)在傳務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密輸過程中最后兩個1都變成了0,問接收端能否發(fā)現(xiàn)? 鑰,并返回給客戶一個用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。 答:作二進(jìn)制除法,1101011011 0000 除數(shù)為10011,得余數(shù)1110 ,添加的檢驗(yàn)序列 set 協(xié)議的交易流程: 用戶認(rèn)證階段:在此之前,服務(wù)器已經(jīng)通過了是1110. 客戶認(rèn)證,這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶,客戶則返回(數(shù) 作二進(jìn)制除法,兩種錯誤均可發(fā)現(xiàn)。 字)簽名后的提問和其公開密鑰,從而向服務(wù)器提供認(rèn)證SET 交易過程中要對商家,客戶,支付網(wǎng)關(guān)僅僅采用了CRC 檢驗(yàn),缺重傳機(jī)制,數(shù)據(jù)鏈路層的傳輸還不是可靠的傳輸。 等交易各方進(jìn)行身份認(rèn)證,因此它的交易過程相對復(fù)雜。 (1)客戶在網(wǎng)上商店看中商品后,和商6. 用香農(nóng)公式計算一下,假定信道帶寬為3100Hz ,最大信息傳輸速率為35kb/s,那么若家進(jìn)行磋商,然后發(fā)出請求購買信息。 (2)商家要求客戶用電子錢包付款。 (3)電子錢包提想使最大信息傳輸速率增加60,問信噪比S/N應(yīng)增達(dá)到多少倍?如果在剛才計算出的基礎(chǔ)上示客戶輸入口令后與商家交換握手信息,確認(rèn)商家和客戶兩端均合法。 (4)客戶的電子錢包形成將信噪比再增加到10倍,問最大信息速率能否增加20? 一個包含訂購信息與支付指令的報文發(fā)送給商家。 (5)商家將含有客戶支付指令的信息發(fā)送給支(C 為信道的極限傳輸速率,W 為信道的帶寬,S 為信道內(nèi)所傳信號的平均功率,N 為信道付網(wǎng)關(guān)。 (6)支付網(wǎng)關(guān)在確認(rèn)客戶信用卡信息之后,向商家發(fā)送一個授權(quán)響應(yīng)的報文。 (7)內(nèi)的高斯噪聲功率) 商家向客戶的電子錢包發(fā)送一個確認(rèn)信息。 (8)將款項從客戶帳號轉(zhuǎn)到商家?guī)ぬ枺缓笙蝾櫩退虲 = W log2(1 S/N) b/s-→(S/N)1=2^(C1/W)-1=2^(35000/3100)-1 貨,交易結(jié)束。 從上面的交易流程可以看出,SET 交易過程十分復(fù)雜性,在完成一次S ET協(xié)議(S/N)2=2^(C2/W)-1=2^(1.6*C1/W)-1=2^(1.6*35000/3100)-1 交易過程中,需驗(yàn)證電子證書9次,驗(yàn)證數(shù)字簽名6次,傳遞證書7次,進(jìn)行簽名5次,4次對稱加S/N2/S/N1=100信噪比應(yīng)增大到約100倍。 密和非對稱加密。通常完成一個SET 協(xié)議交易過程大約要花費(fèi)1.5-2分鐘甚至更長時間。由于各地C3=Wlog2(1 S/N3)=Wlog2(1 10*S/N2) 網(wǎng)絡(luò)設(shè)施良莠不齊,因此,完成一個SET 協(xié)議的交易過程可能需要耗費(fèi)更長的時間。 C3/C2=18.5 如果在此基礎(chǔ)上將信噪比S/N再增大到10倍,最大信息通率只能再增加18.5左右 六十二、電子郵件的安全協(xié)議PGP 主要都包含哪些措施? 7.試計算傳輸信息碼1011101001的CRC 碼(要求寫出步驟),其生成多項式為
PGP 是一種長期得到廣泛使用和安全郵件標(biāo)準(zhǔn)。PGP 是RSA 和傳統(tǒng)加密的雜合算法,因?yàn)镽SA 算G(X)=X5 X4 X2
1。 法計算量大,在速度上不適合加密大量數(shù)據(jù),所以PGP 實(shí)際上并不使用RSA 來加密內(nèi)容本身,而是采解:生成多項式對應(yīng)的代碼為110101,傳輸信息碼對應(yīng)的代碼為101110100100000,則冗用IDEA 的傳統(tǒng)加密算法。PGP 用一個隨機(jī)生成密鑰及IDEA 算法對明文加密,然后再用RSA 算法對該余碼為01100,則最后要傳輸?shù)男畔⒋a為101110100101100. 密鑰加密。收信人同樣是用RSA 解密出這個隨機(jī)密鑰,再用IDEA 解密郵件明文。 8. (1)子網(wǎng)掩碼為 255.255.255.0 代表什么意思? 六十三、路加密與端到端加密各有何特點(diǎn)?各用在什么場合? 答:有三種含義;
其一是一個A 類網(wǎng)的子網(wǎng)掩碼,對于A 類網(wǎng)的IP 地址,前8位表示網(wǎng)絡(luò)號,后24位表示
主機(jī)號,使用子網(wǎng)掩碼255.255.255.0表示前8位為網(wǎng)絡(luò)號,中間16位用于子網(wǎng)段的劃分,最后八位為主機(jī)號;
第二種情況為一個B 類網(wǎng),對于B 類網(wǎng)絡(luò)的IP 地址,前16位表示網(wǎng)絡(luò)號,后16位表示主機(jī)號,使用子網(wǎng)掩碼255.255.255.0表示前16位為網(wǎng)絡(luò)號,中間8位用于子網(wǎng)段的劃分,最后8位為主機(jī)號。
第三種情況為一個C 類網(wǎng),這個子網(wǎng)掩碼為C 類網(wǎng)的默認(rèn)子網(wǎng)掩碼。
(2)一網(wǎng)絡(luò)的現(xiàn)在掩碼為 255.255.255.248,問該網(wǎng)絡(luò)能夠連接多少個主機(jī)? 255.255.255.248即11111111.11111111.11111111.11111000. 每一個子網(wǎng)上的主機(jī)為(2^3)=6 臺
掩碼位數(shù)29,該網(wǎng)絡(luò)能夠連接8個主機(jī),扣除全1和全0后為6臺。
(3)一A 類網(wǎng)絡(luò)和一 B 類網(wǎng)絡(luò)的子網(wǎng)號 subnet-id分別為16個1和8個1,問這兩個網(wǎng)絡(luò)的子網(wǎng)掩碼有何不同?
A 類網(wǎng)絡(luò):11111111 11111111 11111111 00000000 給定子網(wǎng)號(16位“1”)則子網(wǎng)掩碼為255.255.255.0 B 類網(wǎng)絡(luò) 11111111 11111111 11111111 00000000
給定子網(wǎng)號(8位“1”)則子網(wǎng)掩碼為255.255.255.0但子網(wǎng)數(shù)目不同
(4)一個B 類地址的子網(wǎng)掩碼是255.255.240.0。試問在其中每一個子網(wǎng)上的主機(jī)數(shù)最多是多少?
240用二進(jìn)制表示為11110000
Host-id (主機(jī)號)的位數(shù)為4 8=12,因此,最大主機(jī)數(shù)為: 2^12-2=4096-2=4094(要除去全為1和全為0的情況) 11111111.11111111.11110000.00000000
(5)一A 類網(wǎng)絡(luò)的子網(wǎng)掩碼為255.255.0.255;它是否為一個有效的子網(wǎng)掩碼? 是 10111111 11111111 00000000 11111111,但不推薦。
(6)某個IP 地址的十六進(jìn)制表示C2.2F.14.81,試將其轉(zhuǎn)化為點(diǎn)分十進(jìn)制的形式。這個地址是哪一類IP 地址?
C2 2F 14 81
(12*16^1 2*16^0).(2*16 15).(16 4).(8*16 1)---→194.47.20.129
C2 2F 14 81 ---→11000010.00101111.00010100.10000001 C類地址
(7)C類網(wǎng)絡(luò)使用子網(wǎng)掩碼有無實(shí)際意義?為什么?
有實(shí)際意義.C 類子網(wǎng)IP 地址的32位中, 前24位用于確定網(wǎng)絡(luò)號, 后8位用于確定主機(jī)號. 如果劃分子網(wǎng), 可以選擇后8位中的高位, 這樣做可以進(jìn)一步劃分網(wǎng)絡(luò), 并且不增加路由表的內(nèi)容, 但是代價是主機(jī)數(shù)相信減少.