《网络安全》第1章部分作业解答

注：部分内容来源于网络，由于没有及时记录引用的内容，故无法给出引用链接。如有侵权，联系删除。
系个人理解所答，无法保证正确性，仅供参考。

1.什么是网络体系结构？比较ISO/OSI和TCP/IP这两个标准。

1．网络体系结构是指计算机网络层次结构模型和各层协议的集合。
2.比较ISO/OSI和TCP/IP这两个标准
共同点：
（1）都采用协议分层的方法，将庞大且复杂的问题划分为若干个较为容易处理的范围较小的问题。
（2）各层次的功能大体上相似，都有网络层，传输层和应用层。网络层实现点到点通信，并完成路由选择，流量控制和拥塞控制功能；传输层实现端到端通信，将高层的用户应用与低层的通信子网隔离开来，并保证数据传输的最终可靠性。
（3）都可以解决异构网的互连，实现世界上不同厂家生产的计算机之间的通信。
（4）都是计算机通信的国际标准，OSI原则上是国际通用，TCP/IP是当前工业界使用最多的。
不同点：
（1）在分层上进行比较：ISO/OSI标准分七层，而TCP/IP标准分四层，它们都有网络层（网际层）、传输层和应用层，但其他的层并不相同。
（2）在通信上进行比较：OSI标准的网络层同时支持无连接和面向连接的通信，但是传输层上只支持面向连接的通信；而TCP/IP标准的网际层只提供无连接的服务，但在传输层上同时支持两种通信模式。
（3）OSI/OSI标准的网络功能在各层的分配差异大,链路层和网络层过于繁重,表示层和会话层又太轻，TCP/IP则相对比较简单。
（4）OSI/OSI标准有关协议和服务定义太复杂且冗余，很难且没有必要在一个网络中全部实现。如流量控制、差错控制、寻址在很多层重复；TCP/IP则没什么重复，但其对“服务”，“协议”和“接口”等概念没有很清楚的区分开，通用性较差。
（5）OSI/OSI标准的七层协议结构既复杂又不实用，但其概念清楚，体系结构理论较完整。TCP/IP的协议现在得到了广泛的应用，但它原先并没有一个明确的体系结构。

2.路由器是一种常用的网络互联产品，某单位购买了一台路由器，但是该单位没有专业维护人员，于是产家就通过路由器的内部端口进行远程维护。请讨论这种行为的安全性，并分析其优缺点。

这种行为存在安全问题，应尽量避免这种情况的发生，单位应设有专业维护人员进行维护，而不是让产家通过路由器的内部端口进行远程维护。
优点：
单位不需要专业维护人员，产家可以进行远程维护，方便快捷，节省了人力物力，提高处理效率。
缺点：
可能存在安全问题，由于产家知悉了单位所购买的路由器的内部端口，可能被产家内部工作人员或者由于信息管理不当，被外部的不法分子获取到路由器的内部端口信息，远程管理端口就像一个巨大的红色指示灯，为黑客攻击指明了通向自己路由器的道路。黑客可以利用端口号入侵，非法访问单位内部资源和数据，造成单位的经济损失，甚至危及整个系统。

3.查阅有关资料，分析TCP/IP网络层、传输层和应用层的安全缺陷。

（1）网络层的安全缺陷
网络层主要包括IP、ICMP、IGMP、ARP、RARP协议，以下分别列出各主要协议的安全缺陷。
a. IP协议：
IP是一个无连接 、无可靠保证的网络协议。传输的数据包既无法保证送达也不能保证顺序；只是依靠源地址和目的地址，不能保证发送方和接收方身份的合法性；缺乏对传输数据的完整性和机密性保护的机制。
b. ARP协议：
ARP协议是假设在一个可信任的环境中运行的协议。既没有检查ARP请求和应答报文的合法性，也没有对发出请求或应答报文的主机身份进行确认；ARP是一个无状态协议，即不管有没有发送过ARP请求，只要有发往本地的ARP应答包，计算机都会不加验证的接受，并更新自己的ARP缓存；ARP表不能一劳永逸的建立，需要定时更新。
c. ICMP协议：
ICMP协议没有可信的验证机制，既无法确认发送者身份的合法性，也无法确认发送数据的合法性。
总结：网络层协议IP只提供了简单的基于IP地址的认证，没有对数据进行任何加密，直接采用明文传输。因此，有很多手段可以针对网络层的弱点进行攻击，包括被动的扫描和各种类型的主动攻击，如IP地址欺骗、碎片攻击、ICMP攻击、路由欺骗、ARP欺骗等。

（2）传输层的安全缺陷
TCP协议中严密的规则需要消耗相应的系统资源加以维持，只能对正常的TCP行为进行规范。SYN flooding是不遵守TCP协议规定的三次握手而出现的攻击行为，其目的旨在造成攻击目标的瘫痪，无法响应正常的TCP连接请求，即拒绝服务攻击。LAND攻击也是一种利用TCP三次握手机制的不完善，通过简单的将目标IP地址、源IP地址设置为攻击对象主机的IP地址，源端口和目的端口设置为攻击对象主机开放的同一个端口，即可非常有效地使目标机器重新启动或者死机。以及TCP序列号欺骗攻击方法，攻击者采用参与连接建立过程，通过冒充主机A与主机B建立连接，攻击者掌握初始序列号，从而可以获取来自主机B的数据。
UDP协议是面向应用程序提供无连接服务。与TCP数据包相比，UDP数据包更容易被假冒。采用UDP协议，可以攻击那些屏蔽ICMP应请求包的防火墙，可以实施Fraggle攻击（利用对广播数据的应答而实现攻击）。
总结：在传输层可以通过各种端口扫描技术获得目标主机的操作系统、运行的服务等信息。从而针对这些系统与服务的漏洞，采用TCP初始序列号预测、TCP欺骗、SYN flooding等技术进行攻击。

（3）应用层的安全缺陷
应用层的DNS由于缺乏密码认证机制，攻击者可通过假冒其他系统或截取邮件等手段，对用户造成危害；许多防火墙产品基于未认证的IP地址来作出有关网络外部存取的决策，其中若插入假的DNS信息，就会给攻击者带来便利。
应用层的Telnet、FTP、WWW等都以守护进程的形式以root权限运行且代码较大，可能出现安全漏洞，漏洞被黑客利用就有可能取得系统控制权并攻入系统内部；同时它们采用简单的身份认证方式，且信息以明文的方式在网络中传输，容易被黑客窃取，非法访问各种资源和数据，从而危及整个系统。
总结：应用层攻击可以绕过针对网络层和传输层攻击的种种防护。攻击技术主要包括缓冲区溢出、口令探测、电子邮件攻击、DNS欺骗等。

4.在计算机网络安全特征中，如何保证用户的真实性？

在保证用户的真实性方面，需要多方措施，才能够把控用户的真实性。
（1）验证用户的手机号码，确认手机号码的真实性。
（2）要求用户提交身份证的正反面，确认身份信息。
（3）要求用户提供手持身份证照片，验证用户身份信息的真实性。
（4）对用户进行视频验证，比如要求他做一些限定的动作，要求用户说一句话，按照要求来做。
（5）在自身方面，加强管控，进行人工审核或者是机器审核，设定审核机制，保证用户的真实性。

5.TCP/IP存在各种安全问题，为什么还是目前使用的主流标准呢？

因为TCP/IP协议适应了世界范围内数据通信的需要，因此成为目前使用的主流标准。它有以下特点：
（1）不依赖于任何特定的计算机硬件或操作系统，提供开放的协议标准。因此TCP／IP协议成为一种联合各种硬件和软件的实用系统，既可以提供硬件间的协议也可以是软件间的，还可以软硬件交互。
（2）不依赖于特定的网络传输硬件，能够集成各种各样的网络。
（3）网络地址统一分配，网络中每一设备和终端都具有一个唯一地址便于准确精准传输信息和相互连接。
（4）高层协议标准化，可以提供多种可靠的用户服务。

6.简述“棱镜门”事件折射出的我国目前网络安全面临的主要威胁。

（1）源于国家层面的威胁
随着信息技术的发展，国家以及政治阵营间的竞争与对抗已从军事、经济竞争和意识形态渗透延伸至网络信息对抗与防御，从而产生国家间的威慑与威胁。目前，全球范围内仅有美国提出了主动进行网络攻击的战略部署，在其国家安全局领导下的网络作战部队在规模、防御、攻击能力和技术水平是其他国家难以抗衡的，对我国的网络安全造成了极大的威胁。
（2）恐怖组织的威胁
近年来恐怖组织、极端宗教、民族分裂这三股势力利用网络系统的漏洞对各国重点行业关键信息系统和基础设施进行网络攻击。恐怖活动的网络化是我国面临的重要网络安全威胁。
（3）经济犯罪的威胁
随着金融信息服务的普及，但金融服务系统的安全漏洞不可完全消除，网络经济犯罪的可乘之机也日益增加，造成的危害和影响也随之逐渐增大。
（4）黑客团体的威胁
黑客团体打着反对全球化、参与国际热点政治事件、鼓吹“无政府主义”和宣扬极端思潮的旗号在全球范围内进行网络攻击。对我国的网络安全造成巨大威胁。
（5）极端个人的威胁
随着“维基解密”“棱镜门”等事件的爆发，极端个人利用网络技术挑战整个国家乃至世界的趋势也日益受到关注。