計(jì)算機(jī)網(wǎng)絡(luò)課后問題總結(jié)

第一章TCP/IP協(xié)議族：第1部分?網(wǎng)絡(luò)協(xié)議分層的優(yōu)缺點(diǎn)。優(yōu)點(diǎn)：簡化問題，分而治之，有利于升級更新；缺點(diǎn)：各層之間相互獨(dú)立，都要對數(shù)據(jù)進(jìn)行分別處理；每層處理完畢都要加一個頭結(jié)構(gòu)，增加了通信數(shù)據(jù)量。?了解一些進(jìn)行協(xié)議分析的工具?？稍诨ヂ?lián)網(wǎng)上搜索獲取適用于不同操作系統(tǒng)工具，比如snifferpro、wireshark以及tcpdump等。利用這些工具，可以截獲網(wǎng)絡(luò)中的各種協(xié)議報(bào)文，并進(jìn)一步分析協(xié)議的流程、報(bào)文格式等。?你認(rèn)為一個路由器最基本的功能應(yīng)該包括哪些？對于網(wǎng)橋、網(wǎng)關(guān)、路由器等設(shè)備的分界已經(jīng)逐漸模糊?，F(xiàn)代路由器通常具有不同類型的接口模塊并具有模塊可擴(kuò)展性，由此可以連接不同的物理網(wǎng)絡(luò)；路由表的維護(hù)、更新以及IP數(shù)據(jù)報(bào)的選路轉(zhuǎn)發(fā)等，都是路由器的基本功能。此外，路由器廠商應(yīng)為使用者提供管理功能。槪奄棋型 層間數(shù)據(jù)流傳粉協(xié)這分組物理接口盡|特定于韌趣陰珞的林?列出TCP/IP參考模型中各層間的接口數(shù)據(jù)單元(IDU)。槪奄棋型 層間數(shù)據(jù)流傳粉協(xié)這分組物理接口盡|特定于韌趣陰珞的林?比較OSI參考模型和Internet參考模型的異同點(diǎn)。1、 相同點(diǎn)：OSI參考模型和TCP/IP參考模型都采用了層次結(jié)構(gòu)的方法。2、 不同點(diǎn)：OSI參考模型是劃分為7層結(jié)構(gòu)：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，其中應(yīng)用環(huán)境是開放系統(tǒng)環(huán)境；而TCP/IP參考模型卻劃分為4層結(jié)構(gòu)：應(yīng)用層、傳輸層、IP層和網(wǎng)絡(luò)接口層，其中應(yīng)用層協(xié)議是標(biāo)準(zhǔn)化的。OSI參考模型是制定的適用于全世界計(jì)算機(jī)網(wǎng)絡(luò)的統(tǒng)一標(biāo)準(zhǔn)，是一種理想狀態(tài)，它結(jié)構(gòu)復(fù)雜，實(shí)現(xiàn)周期長，運(yùn)行效率低；而TCP/IP參考模型是獨(dú)立于特定的計(jì)算機(jī)硬件和操作系統(tǒng),可移植性好，獨(dú)立于特定的網(wǎng)絡(luò)硬件，可以提供多種擁有大量用戶的網(wǎng)絡(luò)服務(wù)，并促進(jìn)Internet的發(fā)展，成為廣泛應(yīng)用的網(wǎng)絡(luò)模型。第2部分?PPP協(xié)議的對等端和PPP協(xié)議的工作流程。在建立PPP鏈路前，發(fā)起方必須通過電話網(wǎng)絡(luò)呼叫回應(yīng)方。呼叫成功后雙方建立了一條物理連接；利用LCP創(chuàng)建PPP鏈路；用PAP或者CHAP驗(yàn)證客戶身份；用IPCP配置IP層參數(shù)；通信完成后，雙方利用LCP斷開PPP鏈路；之后，斷開物理連接。?分析PAP和CHAP的優(yōu)缺點(diǎn)。pap簡單，但安全性差；chap相對安全，但開銷較大，且需要通信雙方首先共享密鑰。?當(dāng)你攜帶筆記本電腦出差時(shí)，可能希望所在地的電話網(wǎng)絡(luò)建立一條虛擬的點(diǎn)對點(diǎn)鏈路。L2TP和L2F為該問題提供了解決方案。查找并閱讀這兩個標(biāo)準(zhǔn)，了解它們的思想及應(yīng)用。這兩個協(xié)議把PPP的兩個端點(diǎn)延伸到互聯(lián)網(wǎng)的任何角落，相當(dāng)于在TCP/IP的應(yīng)用層擴(kuò)展了PPP的范圍。其思想是發(fā)送方把PPP幀封裝到L2F或L2TP報(bào)文中，接收方則對其解封以還原PPP幀，這樣對于通信的兩端來說看到的是PPP幀，相當(dāng)于在互聯(lián)網(wǎng)上架設(shè)了一條虛擬的PPP鏈路。它們主要用于構(gòu)建VPN（虛擬專用網(wǎng)）。第3部分?在理想情況下，可以有多少個A類地址，每個A類地址中包含多少個可以配置給主機(jī)的IP地址？有126個A類地址。每個A類網(wǎng)絡(luò)理論上可連接2人24-2臺主機(jī)第4部分?IP只對數(shù)據(jù)報(bào)首部計(jì)算校驗(yàn)和，不對數(shù)據(jù)計(jì)算校驗(yàn)和，有什么優(yōu)缺點(diǎn)？優(yōu)點(diǎn)：簡化IP軟件的計(jì)算量，提高處理速度。對于路由器等轉(zhuǎn)發(fā)設(shè)備，這點(diǎn)對于提高其性能很重要。此外，某些高層（或需要由IP封裝）的協(xié)議已經(jīng)有計(jì)算校驗(yàn)和的功能，即IP數(shù)據(jù)報(bào)的數(shù)據(jù)區(qū)已經(jīng)被計(jì)算校驗(yàn)和，IP僅針對首部計(jì)算校驗(yàn)和可以避免重復(fù)勞動。缺點(diǎn)：高層（或需要由IP封裝）協(xié)議若需要保證可靠性，必須實(shí)現(xiàn)校驗(yàn)功能。?IP規(guī)定數(shù)據(jù)報(bào)的重組地點(diǎn)是目的主機(jī)，有什么優(yōu)缺點(diǎn)？優(yōu)點(diǎn)：簡化中間路由器的操作，提高效率；避免重復(fù)分片；每個分片獨(dú)立選路，增加了靈活性。缺點(diǎn)：中間經(jīng)過MTU較大的網(wǎng)絡(luò)時(shí)，可能會浪費(fèi)帶寬。?對于包含記錄路由選項(xiàng)的數(shù)據(jù)報(bào)進(jìn)行分片時(shí)，是否應(yīng)該將選項(xiàng)復(fù)制到各分片中？為什么？對于包含時(shí)間戳選項(xiàng)的數(shù)據(jù)報(bào)呢？不必。每個分片獨(dú)自選路，即便記錄，每個分片記錄的信息也不一致。?參考PPT中的例子，掌握等長子網(wǎng)劃分和變長子網(wǎng)劃分。?參考PPT中的例子，掌握IP數(shù)據(jù)報(bào)分片的方法和相關(guān)標(biāo)志位的設(shè)置?為什么中間路由器轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)之前要重新計(jì)算校驗(yàn)和？因?yàn)槁酚善鲗?shù)據(jù)報(bào)進(jìn)行了處理，部分字段值發(fā)生了變化：TTL值減‘1'，包含選項(xiàng)時(shí)選項(xiàng)的內(nèi)容也要發(fā)生更改。因此，必須針對變化后的內(nèi)容重新計(jì)算校驗(yàn)和。?為什么一個數(shù)據(jù)報(bào)在傳輸過程中可能會被多次分片？在IP數(shù)據(jù)報(bào)的投遞過程中可能會經(jīng)過多個物理網(wǎng)絡(luò)，每個物理網(wǎng)絡(luò)的MTU不全相同，只要后一個物理網(wǎng)絡(luò)的MTU小于前一個網(wǎng)絡(luò)的MTU,數(shù)據(jù)報(bào)就會被分片。?IP分組經(jīng)過路由器進(jìn)行傳輸時(shí)如果不被分段，則其首部的基本信息部分會發(fā)生變化的字段有哪些？TTL字段和校驗(yàn)和字段值均會發(fā)生變化。?某網(wǎng)絡(luò)的IP地址為192.168.5.0/24采用長子網(wǎng)劃分，子網(wǎng)掩碼為255.255.255.248，則每個子網(wǎng)內(nèi)的最大可分配地址個數(shù)為多少？?在子網(wǎng)192.168.4.0/30中，能接收目的地址為192.168.4.3的IP分組的最大主機(jī)數(shù)是多少？第5部分?路由器是否應(yīng)該優(yōu)先處理ICMP報(bào)文？不。ICMP報(bào)文封裝在IP報(bào)文中，和其它IP報(bào)文一樣在路由器的隊(duì)列中進(jìn)行排隊(duì)，路由器則按照先入先出的規(guī)則處理報(bào)文。對路由器而言，與優(yōu)先權(quán)有關(guān)的不是IP數(shù)據(jù)報(bào)中封裝的報(bào)文類型，而是IP首部中的QoS字段。?如果攜帶ICMP報(bào)文的IP數(shù)據(jù)報(bào)出現(xiàn)差錯，則不應(yīng)產(chǎn)生新的ICMP報(bào)文。試解釋其原因。如果這個數(shù)據(jù)報(bào)再出現(xiàn)差錯呢,這樣規(guī)定是防止無休止地循環(huán)發(fā)送差錯報(bào)告報(bào)文?設(shè)計(jì)一個使用ICMP時(shí)戳請求和應(yīng)答報(bào)文進(jìn)行時(shí)鐘同步的算法。假設(shè)初始時(shí)戳為％接收時(shí)戳為tf,傳送時(shí)戳是比發(fā)送方收到回應(yīng)的時(shí)間是th,則傳輸時(shí)延dt的估算方法如下匕ch=(th-tiltt-lr)o其中(th-li展整個往返的延時(shí).W(tt-ti■堤接收方的竝理時(shí)間"如果認(rèn)為兩個方向的通信時(shí)間大致相等「則單向傳輸時(shí)延應(yīng)為dt/2則發(fā)送方與接收方的時(shí)差應(yīng)為gcit/2-ti由此可以進(jìn)行時(shí)鐘同步.?為什么僅能向源站報(bào)告差錯？路由器收到IP數(shù)據(jù)報(bào)時(shí)，如果該數(shù)據(jù)報(bào)不包含記錄路由、源路由選項(xiàng)，則不體現(xiàn)任何中間路由器信息，僅能體現(xiàn)源IP信息。因此，必須向源端報(bào)告差錯。此外，路由器發(fā)現(xiàn)數(shù)據(jù)報(bào)發(fā)生差錯時(shí)，無法判斷究竟是在投遞過程中的哪一步發(fā)生差錯，因此，僅能向源站報(bào)告差錯。?為什么路由器通告報(bào)文的發(fā)送周期是10分鐘，而一條路由的存活時(shí)間是30分鐘？考慮到通告報(bào)文可能丟失，存活時(shí)間必須大于發(fā)送周期。?在ICMP目的站不可達(dá)報(bào)文中，有一類錯誤是濡要分片但DF置位(不能進(jìn)行分片)”?；诖?，請給出一個路徑MTU的測量算法。思想:發(fā)送IP數(shù)據(jù)報(bào)并強(qiáng)制該數(shù)據(jù)報(bào)不能分片，如果收到該類錯誤報(bào)告，說明該報(bào)文尺寸過大，則繼續(xù)調(diào)小尺寸并繼續(xù)發(fā)送該種IP數(shù)據(jù)報(bào);如果未收到該類報(bào)告，說明尺寸偏小或正好，此時(shí)可以增大IP數(shù)據(jù)報(bào)的尺寸。為了較快地逼近實(shí)際值，可以首先將第一個探測報(bào)文的尺寸設(shè)置為最大IP數(shù)據(jù)報(bào)長度，之后利用二分算法的思想調(diào)整探測報(bào)文尺寸。?若路由器R因?yàn)閾砣麃G棄IP分組，則此時(shí)R可以向發(fā)出該IP分組的源主機(jī)發(fā)送的ICMP報(bào)文件類型是什么？源抑制。若路由器或目的主機(jī)緩沖資源耗盡而必須丟棄數(shù)據(jù)報(bào)，則每丟棄一個數(shù)據(jù)報(bào)就向源主機(jī)發(fā)送一個ICMP源抑制報(bào)文，此時(shí)，源主機(jī)必須減小發(fā)送速度。另外一種情況是系統(tǒng)的緩沖區(qū)已用完，并預(yù)感到將發(fā)生擁塞，則發(fā)送源抑制報(bào)文。第6部分?分析傳輸層的作用。加強(qiáng)和彌補(bǔ)IP層的服務(wù)?！凹訌?qiáng)”指提供可靠性，而TCP/IP的傳輸層則提供了不同的可靠性級別以適應(yīng)不同的應(yīng)用需求;彌補(bǔ)指提供端到端的服務(wù)，并通過不同的端口號區(qū)分不同的上層應(yīng)用。?利用端口號而不是進(jìn)程標(biāo)識符來指定一臺機(jī)器的目的進(jìn)程，有什么優(yōu)點(diǎn)？進(jìn)程標(biāo)識符是動態(tài)變化的，每次應(yīng)用程序重啟都會對應(yīng)不同的標(biāo)識符，而端口號是相對固定的。網(wǎng)絡(luò)通信中的客戶端需要主動與服務(wù)器建立連接，其連接的目標(biāo)必須是固定的，因此，必須用端口號來標(biāo)識。?為什么UDP校驗(yàn)和獨(dú)立于IP校驗(yàn)和？你是否反對這樣一個協(xié)議：對包括UDP報(bào)文在內(nèi)的整個IP數(shù)據(jù)報(bào)使用一個校驗(yàn)和？IP僅針對首部計(jì)算校驗(yàn)和，UDP報(bào)文封裝在IP數(shù)據(jù)報(bào)中作為數(shù)據(jù)報(bào)的數(shù)據(jù)區(qū)，因此單獨(dú)計(jì)算校驗(yàn)和。這樣整個IP數(shù)據(jù)報(bào)都可以被校驗(yàn)。反對。IP和UDP屬于不同的協(xié)議模塊和層次，合并校驗(yàn)不利于區(qū)分錯誤來源。此外，在數(shù)據(jù)報(bào)投遞過程中，對于目標(biāo)不是自身的數(shù)據(jù)報(bào)，路由器則僅處理IP部分，不關(guān)注高層，分開計(jì)算時(shí)，當(dāng)發(fā)現(xiàn)IP發(fā)生差錯就可進(jìn)行相應(yīng)處理，合并計(jì)算校驗(yàn)和則不便于這種處理。在目的端，數(shù)據(jù)在接收過程中則是沿著協(xié)議棧逐層向上遞交的，分開計(jì)算時(shí)當(dāng)IP首部發(fā)生差錯，數(shù)據(jù)報(bào)就不會遞交給UDP模塊，合并時(shí)則無法實(shí)現(xiàn)這一點(diǎn)。?假定一臺主機(jī)連接在以太網(wǎng)上，它要發(fā)送總長度為8192字節(jié)的UDP報(bào)文。該報(bào)文最終被分成多少個IP數(shù)據(jù)報(bào)投遞？以太網(wǎng)MTU為1500字節(jié)。假設(shè)IP不使用選項(xiàng)，則其長度為20字節(jié)，所以預(yù)留給UDP的長度為1480字節(jié)。所以最終的分片數(shù)為|8192/1480|+1=6，其中“||”標(biāo)識取整。?從網(wǎng)絡(luò)安全的角度看，使用知名端口號會不會存在安全風(fēng)險(xiǎn)？單看這種行為，不會存在風(fēng)險(xiǎn)。但是知名端口與一些知名應(yīng)用相關(guān)，這些應(yīng)用可能存在安全缺陷，比如協(xié)議本身有缺陷，或者實(shí)現(xiàn)有安全漏洞。因此，黑客攻擊的第一步往往是實(shí)施端口掃描，為隨后的攻擊步驟奠定基礎(chǔ)。?TCP/IP協(xié)議中，通過什么能標(biāo)識目的主機(jī)和該主機(jī)上的進(jìn)程？TCP/IP協(xié)議中，通過（IP）和（端口）進(jìn)行標(biāo)識?為什么需要UDP?為什么用戶不能直接使用IP進(jìn)行訪問？UDP由于無連接、無重傳確認(rèn)，所以傳輸效率高、延時(shí)小；由于不用維持大的并發(fā)量，所以適合巨量服務(wù)的server，加上合適的時(shí)間控制，可以用來設(shè)計(jì)更大的并發(fā)服務(wù)器；UDP可以更高效的利用網(wǎng)絡(luò)帶寬。一個IP地址可能對應(yīng)著多個web站點(diǎn)，單單依靠IP地址是不知道如何匹配到哪個web站點(diǎn)的。?什么是通信五元組？源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議。第7部分?在什么樣的時(shí)延、帶寬、負(fù)載以及報(bào)文丟失的情況下，TCP沒有必要重傳大量的數(shù)據(jù)？時(shí)延低且穩(wěn)定，帶寬高，負(fù)載低，分組丟失率低的情況下。?主機(jī)A和B使用TCP通信。在B發(fā)送過的報(bào)文段中，有這樣兩個先后到達(dá)的報(bào)文段:ACK=120和ACK=100，即前一個報(bào)文段的確認(rèn)序號大于后一個。試解釋原因。這完全可能。設(shè)想A連續(xù)發(fā)送兩個數(shù)據(jù)報(bào)，（SEQ=92,DATA共8字節(jié)），（SEQ=100,DATA共20字節(jié)），均正確到達(dá)B。B連續(xù)發(fā)送兩個確認(rèn)（ACK=100）和（ACK=120）。但前者在傳送時(shí)丟失，于是A超時(shí)重傳第一個報(bào)文段并被B收到，然后B發(fā)送（ACK=100）到達(dá)A。?建立TCP連接時(shí)，通信雙方要交換ISN。ISN可各自隨機(jī)選取，但不能為1。為什么？TCP初始化序號不能是一個固定值，因?yàn)檫@樣容易被攻擊者猜出后續(xù)序列號，從而遭到攻擊。?你認(rèn)為TCP協(xié)議軟件應(yīng)該自動關(guān)閉長時(shí)間的空閑連接（未傳送數(shù)據(jù)）嗎？TCP協(xié)議中有長連接和短連接之分。短連接在數(shù)據(jù)包發(fā)送完成后就會自己斷開，長連接在發(fā)包完畢后，會在一定的時(shí)間內(nèi)保持連接，即我們通常所說的Keepalive（存活定時(shí)器）功能。?解釋為什么突然釋放傳輸連接有可能會丟失數(shù)據(jù)，而使用TCP的連接釋放協(xié)議則能保證不丟失數(shù)據(jù)。當(dāng)主機(jī)1和主機(jī)2之間連接建立后，主機(jī)1發(fā)送了一個TCP數(shù)據(jù)段并正確抵達(dá)主機(jī)2,接著主機(jī)1發(fā)送另一個TCP數(shù)據(jù)段，這次很不幸，主機(jī)2在收到第二個TCP數(shù)據(jù)段之前發(fā)出了釋放連接請求，如果就這樣突然釋放連接，顯然主機(jī)1發(fā)送的第二個TCP報(bào)文段會丟失。而使用TCP的連接釋放方法，主機(jī)2發(fā)出了釋放連接的請求，那么即使收到主機(jī)1的確認(rèn)后，只會釋放主機(jī)2到主機(jī)1方向的連接，即主機(jī)2不再向主機(jī)1發(fā)送數(shù)據(jù)，而仍然可接受主機(jī)1發(fā)來的數(shù)據(jù)，所以可保證不丟失數(shù)據(jù)。?總結(jié)TCP使用的窗口及時(shí)鐘?；瑒哟翱?允許發(fā)送方不必等確認(rèn)到來就可繼續(xù)發(fā)送下面的分組，但規(guī)定一個上限。若多個分組的確認(rèn)未到時(shí)，則暫停發(fā)送。擁塞窗口:只要網(wǎng)絡(luò)沒有出現(xiàn)擁塞，擁塞窗口就再增大一些，以便把更多的分組發(fā)送出去。但只要網(wǎng)絡(luò)出現(xiàn)擁塞，擁塞窗口就減少一些，以減少注入到網(wǎng)絡(luò)中的分組數(shù)。實(shí)際的發(fā)送窗口為擁塞窗口和通告窗口中的較小值。重傳計(jì)時(shí)器：TCP為了保證數(shù)據(jù)可靠傳輸，就規(guī)定在重傳的“時(shí)間片”到了以后，如果還沒有收到對方的ACK，就重發(fā)此包，以避免陷入無限等待中。堅(jiān)持計(jì)時(shí)器:當(dāng)發(fā)送TCP收到窗口大小為0的確認(rèn)時(shí)，就啟動堅(jiān)持計(jì)時(shí)器。當(dāng)堅(jiān)持計(jì)時(shí)器期限到時(shí)，發(fā)送TCP就發(fā)送一個特殊的報(bào)文段，叫做探測報(bào)文。探測報(bào)文段提醒接收TCP：確認(rèn)已丟失，必須重傳。?；钣?jì)時(shí)器：每當(dāng)服務(wù)器收到客戶的信息，就將計(jì)時(shí)器復(fù)位。通常設(shè)置為兩小時(shí)。若服務(wù)器過了兩小時(shí)還沒有收到客戶的信息，他就發(fā)送探測報(bào)文段。若發(fā)送了10個探測報(bào)文段（每一個相隔75秒）還沒有響應(yīng)，就假定客戶出了故障，因而就終止了該連接。時(shí)間等待計(jì)時(shí)器：時(shí)間等待計(jì)時(shí)器用于TCP“四次揮手”階段。當(dāng)客戶端向服務(wù)器發(fā)送最后一次確認(rèn)報(bào)文時(shí)，就設(shè)定一個時(shí)間等待計(jì)時(shí)器，等待2MSL時(shí)間后再結(jié)束連接。?假設(shè)要判斷某臺機(jī)器打開了哪些TCP端口，該如何設(shè)計(jì)端口掃描程序？有幾種方法？這些方法的優(yōu)缺點(diǎn)是什么？TCP實(shí)現(xiàn)的基本規(guī)則：若SYN或者FIN數(shù)據(jù)包到達(dá)一個關(guān)閉的端口,TCP丟棄數(shù)據(jù)包同時(shí)發(fā)送一個RST數(shù)據(jù)包。（1） 全連接掃描：掃描主機(jī)用三次握手與目的機(jī)指定端口建立正規(guī)連接。優(yōu)點(diǎn)：實(shí)現(xiàn)簡單。缺點(diǎn)：很容易被發(fā)現(xiàn)，目前通常禁止。（2） 半開掃描（SYN掃描）：發(fā)SYN報(bào)文到目的主機(jī)的目標(biāo)端口；若目標(biāo)返回SYN+ACK，則端口開放；否則回RST。優(yōu)點(diǎn)：不容易被發(fā)現(xiàn)了。缺點(diǎn)：不能用socket編程實(shí)現(xiàn)。（3） Fin掃描：發(fā)送FIN報(bào)文到目標(biāo)主機(jī)的目標(biāo)端口；若返回RST，則端口關(guān)閉，否則端口打開。優(yōu)點(diǎn)：不容易被發(fā)現(xiàn)。缺點(diǎn)：不能用socket編程實(shí)現(xiàn)。?主機(jī)甲和主機(jī)乙間已建立一個TCP連接，主機(jī)甲向主機(jī)乙發(fā)送了兩個連續(xù)的TCP段,分別包含300字節(jié)和500字節(jié)的有效載荷，第一個段的序列號為200,主機(jī)乙正確接收到兩個段后，發(fā)送給主機(jī)甲的確認(rèn)序列號是什么？確認(rèn)序列號=原始序列號+TCP段的長度，所以第一次的確認(rèn)序列號為200+300=500,第二次確認(rèn)序列號為500+500=1000。?一個TCP連接總是以1KB的最大段發(fā)送TCP段，發(fā)送方有足夠多的數(shù)據(jù)要發(fā)送。當(dāng)擁塞窗口為16KB時(shí)發(fā)生了超時(shí)，如果接下來的4個RTT（往返時(shí)間）時(shí)間內(nèi)的TCP段的傳輸都是成功的，那么列出接下來4個RTT時(shí)間擁塞窗口大小的變化情況。1 2 4 8 9?主機(jī)甲和主機(jī)乙之間已建立一個TCP連接，TCP最大段長度為1000字節(jié)，若主機(jī)甲的當(dāng)前擁塞窗口為4000字節(jié)，在主機(jī)甲向主機(jī)乙連接發(fā)送2個最大段后，成功收到主機(jī)乙發(fā)送的第一段的確認(rèn)段，確認(rèn)段中通告的接收窗口大小為2000字節(jié)，則此時(shí)主機(jī)甲還可以向主機(jī)乙發(fā)送的最大字節(jié)數(shù)是多少？闡明原因。1000 發(fā)送窗口變成2000字節(jié)發(fā)送緩存里面還有1000字節(jié)?主機(jī)甲和主機(jī)乙新建一個TCP連接，甲的擁塞控制初始閾值為32KB，甲向乙始終以MSS=1KB大小的段發(fā)送數(shù)據(jù)，并一直有數(shù)據(jù)發(fā)送；乙為該連接分配16KB接收緩存，并對每個數(shù)據(jù)段進(jìn)行確認(rèn)，忽略段傳輸延遲。若乙收到的數(shù)據(jù)全部存入緩存，不被取走，則甲從連接建立成功時(shí)刻起，未發(fā)生超時(shí)的情況下，經(jīng)過4個RTT后，甲的發(fā)送窗口是什么？闡明原因。通.忤底檢細(xì)錚II畑期口尢創(chuàng)畑Ifi11ffiW-'WTT2fllfl臨2MffiBSZtRTT15-2-13虐irtn(i5.4i-4煙0W三6m13-4^93rrin^,8)=BM-i161G|=1KB?什么是RTT？往返時(shí)延。是指數(shù)據(jù)從網(wǎng)絡(luò)一端傳到另一端所需的時(shí)間。通常，時(shí)延由發(fā)送時(shí)延、傳播時(shí)延、排隊(duì)時(shí)延、處理時(shí)延四個部分組成。?什么是TCP中的累計(jì)確認(rèn)?如果發(fā)送方發(fā)了包1,包2,包3,包4；接受方成功收到包1,包2,包3。那么接受方可以發(fā)回一個確認(rèn)包，序號為4(4表示期望下一個收到的包的序號；當(dāng)然你約定好用3表示也可以)，那么發(fā)送方就知道包1到包3都發(fā)送接收成功，必要時(shí)重發(fā)包4。一個確認(rèn)包確認(rèn)了累積到某一序號的所有包。而不是對每個序號都發(fā)確認(rèn)包。?TCP發(fā)現(xiàn)分組丟失有哪兩種方法？發(fā)生超時(shí)和接收到重復(fù)的確認(rèn)。?為什么TCP采用三次握手，而不是兩次或四次握手?第10部分?什么是AS?劃分AS有什么意義？出于選路目的，處于一個管理機(jī)構(gòu)控制之下的一組網(wǎng)絡(luò)和路由器。AS自治的主要內(nèi)容是選路自治，AS可自由地選擇路由算法。?一個AS應(yīng)該廣播到它內(nèi)部的所有路由信息嗎？如果不需要，舉出一個例子?簡述距離矢量路由算法的基本原理。以跳數(shù)作為度量值，通過交換路由表，計(jì)算出所有已知的最短路由，更新路由表。?簡述鏈路狀態(tài)路由算法的基本原理。通過交換鏈路狀態(tài)，讓AS中的每個路由器都有一張?jiān)揂S的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。使用Dijkstra算法求最短路徑，計(jì)算該路由器到其它目的站的最短路徑，然后更新路由表。第二章ipv6及其過渡技術(shù)：第1部分?說明IPv6的特征及其主要優(yōu)勢。128位地址空間；簡化協(xié)議報(bào)頭；完善的QoS；良好的安全性；高效的路由；?IPv6的頭部不再包含協(xié)議字段，為什么?IPv6的地址有多少位？一個IPv4的地址202.224.120.9,其IPv6的地址標(biāo)識可以是什么？128位。映射地址：：ffff：202.224.120.9 兼容地址 ：：202.224.120.9第三章網(wǎng)絡(luò)安全：第1部分?信息安全關(guān)注的重要屬性是什么？機(jī)密性；完整性；可用性；可控性；不可否認(rèn)性第2部分?什么是VPN？VPN是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供的與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道。?VPN涉及到的重要技術(shù)有哪些？VPN是在Internet等公共網(wǎng)絡(luò)基礎(chǔ)上，綜合利用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)實(shí)現(xiàn)的。?提高WiFi安全性的一些方法？修改admin密碼；WEP加密傳輸；禁用DHCP服務(wù)；修改SNMP字符串；禁止遠(yuǎn)程管理；修改SSID標(biāo)識；禁止SSID廣播；過濾MAC地址（定義網(wǎng)絡(luò)設(shè)備的位置）；WPA用戶認(rèn)證?簡述IEEE802.1x身份認(rèn)證過程？（1） 無線客戶端向AP發(fā)送請求，嘗試與AP進(jìn)行通信。（2） AP將加密數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶身份認(rèn)證。（3） 驗(yàn)證服務(wù)器確認(rèn)用戶身份后，AP允許該用戶接入。（4） 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過AP訪問網(wǎng)絡(luò)資源。第3部分?簡述公鑰加密和私鑰加密算法的優(yōu)缺點(diǎn)？如何將兩者結(jié)合起來使用？1、 私鑰加密算法優(yōu)點(diǎn)：加解密的高速度和使用長密鑰時(shí)的難破解性。缺點(diǎn)：私鑰加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的，他們通常會有意無意的把密鑰泄漏出去。如果一個用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個企業(yè)共用一個加密密鑰，那整個企業(yè)文檔的保密性便無從談起。2、 公鑰加密算法優(yōu)點(diǎn)：而非對稱加密使用一對秘鑰，一個用來加密，一個用來解密，而且公鑰是公開的，秘鑰是自己保存的，不需要像對稱加密那樣在通信之前要先同步秘鑰。缺點(diǎn)：非對稱加密的缺點(diǎn)是加密和解密花費(fèi)時(shí)間長、速度慢，只適合對少量數(shù)據(jù)進(jìn)行加密混合使用：兩者結(jié)合使他們的優(yōu)缺點(diǎn)可以互補(bǔ)，即DES加密速度快，適用于加密較長的報(bào)文。RSA加密速度慢，安全性好，應(yīng)用于DES秘鑰的加密可解決DES秘鑰匹配的問題。?簡述使用私鑰加密算法實(shí)現(xiàn)數(shù)據(jù)完整性的方法?什么是柯克霍夫原則？即使非數(shù)學(xué)上不可破解，系統(tǒng)也應(yīng)在實(shí)質(zhì)（實(shí)用）程度上無法破解。系統(tǒng)內(nèi)不應(yīng)含任何機(jī)密物，即使落入敵人手中也不會造成困擾。密鑰必須易于溝通和記憶，而無需寫下，且雙方可以很容易的改變密鑰。系統(tǒng)應(yīng)可以用于電訊。系統(tǒng)應(yīng)可以攜帶，不應(yīng)需要兩個人或兩個人以上才能使用（應(yīng)只要一個人就能使用）。系統(tǒng)應(yīng)容易使用，不致讓使用者的腦力過分操勞，也無須記得長串的規(guī)則。?為什么說一次一密在實(shí)際中不可行？秘鑰長度：至少和消息一樣長；只能使用一次，沒有適配的軟件。?DES的主要特點(diǎn)和缺點(diǎn)？特點(diǎn)：DES算法是一種采用傳統(tǒng)的代替和置換操作加密的分組密碼，明文以64比特為分組，密鑰長度為64比特，有效密鑰長度為56比特，其中加密密鑰有8比特是奇偶校驗(yàn)，包括初始置換IP，16輪加密。缺點(diǎn)：分組比較短、密鑰太短、密碼生命周期短、運(yùn)算速度較慢。?AES幾種加密模式的共同點(diǎn)和區(qū)別？ECB：是一種基礎(chǔ)的加密方式，密文被分割成分組長度相等的塊(不足補(bǔ)齊)，然后單獨(dú)一個個加密，一個個輸出組成密文。CBC：是一種循環(huán)模式，前一個分組的密文和當(dāng)前分組的明文異或操作后再加密，這樣做的目的是增強(qiáng)破解難度。CFB/OFB:實(shí)際上是一種反饋模式，目的也是增強(qiáng)破解的難度。FCB和CBC的加密結(jié)果是不一樣的，兩者的模式不同，而且CBC會在第一個密碼塊運(yùn)算時(shí)加入一個初始化向量。?Hash函數(shù)的特點(diǎn)？輸入x可以是任意長度的字符串；輸出結(jié)果即H(x)的長度是固定的；計(jì)算H(x)的過程是高效的；免碰撞：即不會出現(xiàn)輸入x#y，但是H(x)=H(y)的情況；隱匿性：對于一個給定的輸出結(jié)果H(x)，想要逆推出輸入x，在計(jì)算上是不可能的?簡述PaddedRSA的原理。?假設(shè)在一個安全系統(tǒng)中總共有N個節(jié)點(diǎn)，這些節(jié)點(diǎn)間都會要進(jìn)行通信，為此需要對通信進(jìn)行加密。如果采用非對稱加密算法，需要多少個密鑰對？如果采用對稱加密算法，需要多少個密鑰？如果采用非對稱加密算法，只需要N個密鑰對；如果采用對稱加密算法，需要N(N-1)/2個密鑰對。?以移位密碼、替換密碼和Vigenere密碼為例，說明現(xiàn)代密碼學(xué)的柯克霍夫原則。第4部分?簡述數(shù)字簽名的主要原理？發(fā)送方：-用公開的Hash函數(shù)對報(bào)文進(jìn)行一次變換，得到消息摘要-利用私有密鑰對消息摘要進(jìn)行加密后接收方-用發(fā)送方的公開密鑰對數(shù)字簽名進(jìn)行解密，得到一個消息摘要-接收方將得到的消息通過Hash函數(shù)進(jìn)行計(jì)算，同樣得到一個消息摘要-將兩個數(shù)字簽名進(jìn)行對比：相同，簽名有效不相同，簽名無效?用私鑰加密實(shí)現(xiàn)數(shù)字簽名的主要挑戰(zhàn)？該簽名不屬于強(qiáng)計(jì)算密集型算法，速度快；接收方必須持有用戶密鑰的副本以檢驗(yàn)簽名?使用RSA實(shí)現(xiàn)數(shù)字簽名時(shí)，為什么要對原始的明文求摘要？第5部分?防火墻的基本作用？強(qiáng)化網(wǎng)絡(luò)安全策略；監(jiān)控網(wǎng)絡(luò)存取和訪問；防止內(nèi)部信息的外泄；實(shí)現(xiàn)數(shù)據(jù)庫安全的實(shí)時(shí)防護(hù)；5.支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN?簡述主要的防火墻類型及其特。從軟、硬件形式上分為：“軟件防火墻”“硬件防火墻”以及“芯片級防火墻”。從防火墻技術(shù)分為：“包過濾型”和“應(yīng)用代理型”兩大類。從防火墻結(jié)構(gòu)分為：“單一主機(jī)防火墻”“路由器集成式防火墻”和“分布式防火墻”三種。按防火墻的應(yīng)用部署位置分為：“邊界防火墻”、“個人防火墻”和“混合防火墻”三大類。按防火墻性能分為：“百兆級防火墻”和“千兆級防火墻”兩類。?入侵檢測系統(tǒng)的2個重要性能指標(biāo)是什么？為什么它們之間有折中的關(guān)系？誤報(bào)：合法行為觸發(fā)警報(bào)；漏報(bào)：違法行為未觸發(fā)警報(bào)。?基于異常的入侵檢測原理是什么？其面臨的困難和挑戰(zhàn)是什么？原理：異常檢測原理根據(jù)假設(shè)攻擊和正常的活動的很大的差異來識別攻擊。首先收集