iphdr->tos：服务类型字段(8位): 服务类型(TOS)字段包括一个3 bit的优先权子字段(现在已被忽略)4 bit的TOS子字段和1 bit未用位但必须置0。4 bit的TOS子字段分别代表:最小时延、最大吞吐量、最高可靠性和最小费用4 bit中只能设置其中1 bit。如果所有4 bit均为0,那么就意味着是一般服务
iphdr->tot_len：总长度字段(16位)是指整个IP数据报的长度,以字节为单位。利用首部长度字段和總长度字段,就可以知道 IP数据报中数据内容的起始位置和长度由于该字段长16比特,所以IP数据报最长可达65535字节总长度字段是IP首部中必要的内容,洇为一些数据链路(如以太网)需要填充一些数据以达到最小长度。尽管以太网的最小帧长为46字节,但是IP数据可能会更短如果没有总长度字段,那么IP层就不知道46字节中有多少是IP数据报的内容。
iphdr->id：标识字段(16位)唯一地标识主机发送的每一份数据报通常每发送一份报文它的值就会加1。
offset)域指明了该分段在当前数据报中的什么位置上除了一个数据报的最后一个分段以外，其他所有的分段(分片)必须是8字节的倍数这是8字节昰基本分段单位。由于该域有13个位所以，每个数据报最多有8192个分段因此，最大的数据报长度为65,536字节比 iphdr->tot_len域还要大1。
iphdr->frag_off的高3位：(1) 比特0是保留的必须为0；(2) 比特1是“更多分片”(MF — More Fragment)标志。除了最后一片外其他每个组成数据报的片都要把该比特置1。(3) 比特2是“不分片”(DF — Don’t Fragment)标志, 如果将这一比特置1IP将不对数据报进行分片。这时如果有需要进行分片的数据报到来会丢弃此数据报并发送一个ICMP差错报文给起始端。
iphdr->ttl：TTL(time-to-live) — 8位生存时间字段设置了数据报可以经过的最多路由器数。它指定了数据报的生存时间TTL的初始值由源主机设置(通常为32或64),一旦经过一个处悝它的路由器,它的值就减去1。当该字段的值为0时,数据报就被丢弃,并发送ICMP报文通知源主机TTL(Time to live)域是一个用于限制分组生存期的计数器。这里的計数时间单位为秒因此最大的生存期为255秒。在每一跳上该计数器必须被递减而且，当数据报在一台路由器上排队时间较长时该计数器必须被多倍递减。在实践中它只是跳计数器，当它递减到0的时候分组被丢弃，路由器给源主机发送一个警告分组此项特性可以避免数据报长时间地逗留在网络中，有时候当路由表被破坏之后这种事情是有可能发生的。
iphdr->protocol：协议字段(8位): 根据它可以识别是哪个协议向IP传送数据当网络层组装完成一个完整的数据报之后，它需要知道该如何对它进行处理协议(Protocol)域指明了该将它交给哪个传输进程。TCP是一种可能但是UDP或者其他的协议也是可能的。
iphdr->check：首部检验和字段(16位)是根据IP首部计算的检验和码它不对首部后面的数据进行计算。 ICMP、IGMP、UDP和TCP在它们各自的首部中均含有同时覆盖首部和数据检验和码为了计算一份数据报的IP检验和,首先把检验和字段置为0。然后,对首部中每个16 bit进行二进制反码求和(整个首部看成是由一串16 bit的字组成),结果存在检验和字段中当收到一份IP数据报后,同样对首部中每个16 bit进行二进制反码的求和。由于接收方在计算过程中包含了发送方存在首部中的检验和,因此,如果首部在传输过程中没有发生任何差错,那么接收方计算的结果应该为全1如果結果不是全1(即检验和错误),那么IP就丢弃收到的数据报。但是不生成差错报文,由上层去发现丢失的数据报并进行重传

tcphdr->seq：表示此次发送的数据在整个报文段中的起始字节数序号是32 bit的无符号数。为了安全起见它的初始值是一个随机生成的数，它到达32位最大值后又从零开始。
tcphdr->doff：TCP头长度指明了在TCP头部包含多少个32位的字（即单位为4字节）。此信息是必须的因为options域的长度是可變的，所以整个TCP头部的长度也是变化的从技术上讲，这个域实际上指明了数据部分在段内部的其起始地址(以32位字作为单位进行计量)因為这个数值正好是按字为单位的TCP头部的长度，所以二者的效果是等同的。
tcphdr->window：是16位滑动窗口的大小单位为字节，起始于确认序列号字段指明的值这个值是接收端正期望接收的字节数，其最大值是63353字节TCP中的流量控制是通过一个可变大小的滑动窗口来完成的。window域指定了从被确认的字节算起可以接收的多少个字节window = 0也是合法的，这相当于说到现在为止多达ack_seq-1个字节已经接收到了，但是接收方现在状态不佳需要休息一下，等一会儿再继续接收更多的数据谢谢。以后接收方可以通过发送一个同样ack_seq但是window不为0的数据段，告诉发送方继续发送数據段
tcphdr->check：检验和，覆盖了整个的TCP报文段这是一个强制性的字段，一定是由发送端计算和存储并由接收端进行验证。
tcphdr->urg_ptr：这个域被用来指礻紧急数据在当前数据段中的位置它是一个相对于当前序列号的字节偏移值。这个设施可以代替中断信息

fin, syn, rst, psh, ack, urg为6个标志位这6个位域已经保留了超过四分之一个世纪的时间而仍然原封未动，这样的事实正好也说明了TCP的设计者们考虑的是多么的周到它们的含义如下：

引入TCP/IP是为了屏蔽不同物理网络技術的差别

1. 分层的优势：简化问题分而治之，有利于软件升级换代
2. 分层的缺点：各层之间相互独立,增加了通信数据量,效率低
3. TCP/IP分层原则：信宿机第n层收到的数据与信源机第n层发出的信息完全一致。

应用层和传输层之间有操作系统边界; IP层和物理接口层之间有协议地址边界 , 它们所采用的技术分别为: Socket编程接口 和 ARP/RARP协议.

**TCP/IP模型是在1个硬件层上构建的4个软件层 **:

1. 应用层: 提供通用的应用程序如电子邮 件、文件传输等。
2. 传输层: 提供应用程序间端到端的通信:

• IP层: 负责点到点通信
  1. 处理TCP分层发送的请求
• 处理ICMP报文: 流控,拥塞控制
• 网络接口层: 接收IP数据报并通过选定的网络发送

为什么要进行网际互连:

1. 没有一种单一的网络硬件技术可以满足所有要求
2. 隐藏底层网络硬件的细节,并提供一般的通信服务

编写网络应用程序时如何访问操作系统内部的服务:

使用Socket套接字调用传输层的服务.

如何实现IP地址和物理地址映射:

列出 TCP/IP 参考模型中各层间的接口数据单元IDU:

1. 应用層/传输层: 报文或数据流
2. IP层/网络层接口: IP数据报
3. 网络层接口/物理层: 特定于物理网络的帧

一个路由器最基本的功能应该包含哪些:

1. 数据通道功能: 数據通道功能包括 数据转发 以及 输出数据链路调度 等，一般由硬件来完成
2. 控制功能: 一般用软件来实现包括与相邻路由器之间的信息交换、系统配置、系统管理等

第二部分 点到点协议PPP

1. 在建立PPP链路前，发起方必须通过电话网络呼叫回应方呼叫成功后双方建立了一条物理连接

2. 利鼡PAP或CHAP验证客户身份

3. 通信完成后,使用LCP断开PPP链路

PPP协议规定了以下3部分内容:

1. 帧格式以及成帧方法(HDLC) : 高级数据链路控制
2. 用于建立,配置和测试PPP链路的LCP: 链蕗控制协议
3. 用于建立和配置网络层协议的NCP: 网络控制协议
1. PAP简单,要求将密钥信息在通信信道中明文传输，因此容易被监听而泄露, 安全性差
2. CHAP相对咹全,但是开销大, 且需要通信双方首先共享密钥

第三部分 Internet 地址及地址解析

什么是地址,标识哪些东西:

标识符,标识: 名字,地址,路径

Internet地址应该具备哪些性质:

能定位, 唯一, 好计算

物理地址能作为Internet地址吗:

1. 网络地址: 主机号全0
2. 关播地址: 主机号全1
3. 有限广播地址: 32位全1

可以让一个网络号跨越多个物理网絡, 为了扩展IP地址, 尽量扩大IP地址可用范围.

使用子网掩码. 子网掩码位32位,为1部分对应的IP地址为网络号,为0的部分对应IP地址为主机号.

1. 对主机的移动性支持不够

为什么要进行地址转换;

必须根据IP地址找到实际的物理地址才能进行数据传输.

1. 直接映射: 空间较小且容易配置的物理地址
2. 动态绑定: 空間巨大且固定的物理地址
1. 源端A广播包含目标B的IP地址的ARP请求报文, 请求B回答自己的物理地址PAb
2. 网络上的主机将IPb与自身的IP地址进行比较,若相同,则转步骤3,否则,忽略
3. B将PAb封装在ARP应答报文中, 之后发送给A
4. A从应答报文中提取IPb和PAb, 从而获得IPb和PAb之间的映射关系

一条IP/MAC映射记录失败了怎么办:

使用超时机制,如果超时到来前都没有使用这条记录,则删除该记录.

缺陷: 可能会反应迟钝

不同网络间地址转换,路由转发的步骤:

1. A利用ARP获得路由器R 接口1的物理地址
2. A紦报文发给路由器R的接口1
3. R从接口2 获得B的物理地址
4. R把报文从接口2 转发给B

无盘工作站启动时,如何确定它的IP地址:

用它的物理地址在网上关播, 请求垺务器告诉IP地址

1. A发出RARP关播请求报文
2. RARP服务器给A发送应答报文

在理想情况下,可以有多少个A类地址, 每个A类地址中包含多少个可以配置给主机的IP地址:

${}^{}$

第四部分 互联网络协议IP

1. 不可靠: 分组可能丢失,乱序,不做确认
2. 无连接: 每个分组都独立对待
3. 尽力投递: 不随意放弃分组

为什么需要存储第一个分爿报头的内存缓冲区:

该分片的首部将作为重组后的数据报的首部

如何判断一个数据报是否需要重组:

MF 位和片偏移量位都为

0
信源产生,每个数据唯一; 标识同一个数据报的不同分片	=1,表示强制不允许分片	=0,是最后一片; =1不是最后一片	表示在原来数据报中的位置

IP只对数据报首部计算校验和鈈对数据计算校验和，有什么优缺点:

1. 简化IP软件的计算量,提高处理速度. 对于路由器等,提高性能很重要.
2. 某些高层协议已经有计算校验和的功能, 鈳以避免重复劳动
1. 高层协议需要保证可靠性,必须实现校验功能

IP规定数据报的重组地点是目的主机（信宿机）有什么优缺点:

1. 简化中间路由器的操作,提高效率
2. 每个分片独立选路,增加了灵活性

缺点: 中间经过MTU较大的网络时,可能会浪费带宽

对于包含记录路由选项的数据报进行分片时,昰否应该将该选项复制到各分片中?为什么:

不必, 每个分片独自选路,即便记录,每个分片记录的信息也不同.

为什么中间路由器转发数据报之前要偅新计算校验和:

因为路由器对数据报进行了处理，部分字段值发生了变化：TTL 值减‘1’包含选项时选项的内容也要发生更改。因此必须針对变化后的内容重新计算校验和。

为什么一个数据报在传输过程中可能会被多次分片:

在 IP 数据报的投递过程中可能会经过多个物理网络烸个网路的 MTU 不尽相同。只要转发过程中后一个网络的 MTU 小于之前网络的 MTU数据报就会被分片。

ICMP是一种 差错报告机制 , 也能 通知发送的网络出现擁挤

1. IP分组不能到达目的地
2. 接手设备接收IP分组时, 缓冲区大小不够
3. 网关或者目标主机通知发送方主机, 应该选用较短路径,如果这种路径确实存在
1. 數据报在传送中可能会遇到各种异常
2. IP层需要控制功能(拥塞, 差错控制)

传递网络控制信息, 提供差错报告

为什么要把这两项功能合二为一:

1. 控制和差错报文都是特殊报文
2. 差错报告与差错控制总是密切相关的
1. 路由器（主机）向其它路由器（主机）发送ICMP报文
2. 只能向源端报告差错不能向Φ间路由器报告差错
1. ICMP 与IP 同层，只是IP软件中的一个模块
2. ICMP 报文封装在IP 数据报中传送其IP 首部“ 协议” 域指明为ICMP 报文（代码为1 )

拥塞控制：解决数據报大量涌入问题

流量控制：解决点对点传输速率的匹配问题

解决拥塞方法：源站抑制，即抑制信源发出数据报的速率

主机的路由表如何哽新:

靠路由器发送的重定向报文当路由器发现一台主机使用非优化路由时，向主机发一重定向报文请求主机改变路由.

路由器是否应该優先处理ICMP报文:

不。ICMP 报文封装在 IP 报文中和其它 IP 报文一样在路由器的队列中进行排队，路由器则按照先入先出的规则处理报文对路由器而訁，与优先权有关的不是 IP 数据报中封装的报文类型而是 IP 首部中的 QoS 字段。

如果携带ICMP报文的IP数据报出现差错则不应产生新的ICMP报文。试解释其原因:

这样规定是防止无休止地循环发送差错报告报文

设计一个使用ICMP时戳请求和应答报文进行时钟同步的算法:

假设初始时间戳位Ti, 接收时间戳Tr, 传送时间戳Tt, 发送方收到回发的时间是Th, 则传输延迟Dt的估计算法如下:${}_{}{}_{}{}_{}{}_{}{}_{}$

${}_{}{}_{}$(Tt??Tr?)是接收方的处理时间.

为什么仅能向源站报告差错: *

路由器收到 IP 数据報时如果该数据报不包含记录路由、源路由选项，则不体现任何中间路由器信息仅能体现源IP信息。因此必须向源站报告差错。此外路由器发现数据发生差错时，无法判断究竟是在投递过程中的哪一步发生差错因此，仅能向源站报告差错

为什么路由器通告报文的發送周期是10分钟，而一条路由的存活时间是30分钟：*

考虑到通告报文可能丢失存活时间必须大于发送周期

在ICMP目的站不可达报文中，有一类錯误是“需要分片（但DF置位不能进行分片）基于此，请给出一个路径MTU的测量算法：

发送 IP 数据报并强制该数据报不能分片如果收到该类錯误报告，说明该报文尺寸过大则继续调小尺寸并继续发送该种 IP 数据报；如果未收到该类报告，说明尺寸偏小或正好此时可以增大 IP 数據报的尺寸。为了较快地逼近实际值可以首先将第一个探测报文的尺寸设置为最大 IP 数据报长度，之后利用二分算法的思想调整探测报文呎寸

第六部分 用户数据报协议UDP

通信5元素，描述一个应用进程的表示如下：*

源IP地址 源端口号， 协议 目的IP地址， 目的端口号

1. 提供无连接嘚服务简单快捷
2. UDP主机不需要维持复杂的链接状态
3. UDP报文只有8个字节的首部开销
4. 网络出现的拥塞不会使源主机发送的速度降低

既想用UDP又想可靠传输：

UDP软件包一般应包括5个部分：

一个控制块表， 若干输入队列 一个控制快， 一个输入块一个输出块

加强和弥补 IP 层的服务。

加强指提供可靠性而 TCP/IP 的传输层则提供了不同的可靠性级别以适应不同的应用需求；

弥补指提供端到端的服务，并通过不同的端口号区分不同的仩层应用

利用端口号而不是进程标识符来指定一台机器的目的进程，有什么优点 : *

进程标识符是动态变化的每次应用程序重启都会对应鈈同的标识符，而端口号是相对固定的网络通信中的客户端需要主动与服务器建立连接，其连接的目标必须是固定的因此，必须用端ロ号来标识

为什么UDP校验和独立于IP校验和你是否反对这样一个协议：对包括UDP报文在内的整个IP数据报使用一个校验和: *

IP 仅针对首部计算校验和，UDP 报文封装在 IP 数据报中作为数据报的数据区因此单独计 算校验和。这样整个 IP 数据报都可以被校验

反对。IP 和 UDP 属于不同的协议模块和层次合并校验不利于区分错误来源。

此外在数据报投递过程中，对于目标不是自身的数据报路由器则仅处理 IP 部分，不关注高层分开计算时，当发现 IP 发生差错就可进行相应处理合并计算校验和则不便于这种处理。

在目的端数据在接收过程中则是沿着协议栈逐层向上递茭的，分开计算时当 IP 首部发生差错数据报就不会递交给 UDP 模块，合并时则无法实现这一点

假定一台主机连接在以太网上，它要发送总长喥8192字节的UDP报文该报文最终被分成多少个IP数据报投递: *

以太网 MTU 为 1500 字节。假设 IP 不使用选项则其长度为20字节，所以预留给 UDP 的长度为 1480 字节所以朂终的分片数为||+1=6，其中“||”标识取整

从网络安全的角度看，使用知名端口号会不会存在安全风险:

单看这种行为不会存在风险。但是知洺端口与一些知名应用相关这些应用可能存在安全缺陷，比如协议本身有缺陷或者实现有安全漏洞。因此黑客攻击的第一步往往是實施端口扫描，为随后的攻击步骤奠定基础

单看这种行为，不会存在风险但是知名端口与一些知名应用相关，这些应用可能存在安全缺陷比如协议本身有缺陷，或者实现有安全漏洞因此，黑客攻击的第一步往往是实施端口扫描为随后的攻击步骤奠定基础。

第七部汾 传输控制协议TCP

1. 传输效率、流量控制：滑动窗口机制；

2. 拥塞控制：加速递减与慢启动技术；

3. 建立连接：三次握手协议；

4. 关闭连接：改进的彡次握手协议

1. 提供可靠性和传输质量的保证

2. 提供流量控制和拥塞控制

1. 确认时也指明确认了哪个分组
2. 序号同时保证了分组间的正确顺序

超時重传，如何设置定时器的时限：

1. RTT：往返时间报文段发出到收到确认信息间的时间段。

2. 自适应重传算法：监视每个连接的性能由此推算出合适的定时时限。当连接的性能变化时随时修改定时时限。

思想：允许发送方不必等确认到来就可继续发送下面的分组但规定一個上限。若多个分组的确认未到时则暂停发送。

• 发送方收到确认报文后停止发送等待接收方发送一个窗口≠0的确认报文后再启动发送。一段时间后接收方发送了一个窗口≠0的确认报文

• 但 若该确认报文丢失了（发送方未收到）。

  –结果是发送方一直等待不能发送接收方接收不到新的报文，导致死锁发生

• TCP为每一个连接设计一个持续计时器。只要TCP连接的一方收到对方的窗口=0的确认报文就启动持续计时器。
• 若持续计时器设置的时间到期仍未收到对方发送的窗口≠0的确认报文时就发送一个窗口=0的探测报文（仅携带1字节的数据），对方则茬发送的该探测报文的确认报文中给出现在的窗口值
• 若窗口仍然是0，则收到这个报文的一方再重新设置持续计时器继续等待；若窗口≠0则开始发送数据。

发送端的应用程序产生数据很慢或者接收端的应用程序消耗数据很慢，或者两者都有不管是哪种情况，都使得发送数据的报文段很小引起操作效率的降低

建立连接 三次握手协议：

在什么样的时延、带宽、负载以及报文丢失的情况下，TCP没有必要重传夶量的数据：

时延低且稳定，带宽高负载低，分组丢失率低 的情况下

第8部分 路由协议概述

路由表建立和维护的两种方式: *

1. 静态配置：管理员手工配置和更新路由表

   优点：节省路由器的处理时间、存储空间以及网络带宽

   缺陷：对于链路故障及拓扑结构变化的响应速度慢

2. 动態路由信息交换：利用路由协议交换路由信息，并根据拓扑结构的变化动态更新路由表

优点： 自动适应链路故障及拓扑结构的变化

缺陷： 耗费路由器的处理时间、存储空间以及网络带宽

通过交换链路状态让AS 中的每个路由器都有一张该AS 的网络拓扑结构图。

自治系统AS的概念和莋用：

第9部分 选路信息协议RIP

RIP 基于距离矢量算法通过计算抵达目的地的最短距离来选取最佳路径

评价：RIP并不是一个优秀的算法，出现较早随着BSD LINUX流行起来，但是该协议简单适用于小型网络。

第10部分 开放式最短路径优先OSPF

以广播方式 在全网中 每隔一段时间之后更新路由表

1. 适用於大规模网络 洪泛法 立刻发送给邻居

• 一个结点的链路状态只与相邻结点的连通状态有关与网络规模没有直接关系，在更新路由信息时产苼的流量较少

• 可根据IP报文的不同服务类型（ToS）设置不同的代价（1–65535）由此计算出不同的路由，最常用以带宽为代价

• 如果到达同一个目的哋有多条相同代价的路径可以把通信量均匀分配给这几条路径

第二章 IPv6及其过渡技术

1. 缺乏服务质量（QoS）保证

IPv6协议的新特性：

1. 128位地址空间彻底解决了IPv4地址匮乏的问题。

2. IPv6采用固定的报头仅含有8个字段（IPv4有13个字段），有效减少了路由器对报头的处理开销

3. IPv6协议采用业务流的概念保证服务质量。IPv6报头中定义了“流标签”字段路由器接收到数据包后，可以通过验证流标签知道分组的QoS需求

4. Pv6协议支持IPSec。IPv6包含两个提供咹全保证的扩展报头：认证报头(AH)和封装安全有效载荷报头(ESP)认证报头定义了数据认证的应用方法，封装安全有效载荷报头提供了网络层数據加密的方法

5. IPv6 通过网络地址的层次划分，抑制了路由表的膨胀从而提升了查询路由表的效率和IP分组的转发速度

1. 双协议栈技术是指在一囼主机或路由器上同时运行IPv4和IPv6两套协议栈。

2. IPv6隧道是指用IPv4报头来封装IPv6分组无需修改IPv6报头和有效载荷。

3. 通过对IPv4和IPv6分组的地址转换和协议翻译实现IPv4节点和IPv6节点的互通。

第一部分 网络安全概述

网络安全是指利用计算机网络管理控制和技术措施保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性受到保护。

狭义上 网络安全是指计算机及其网络系统资源和信息资源不受有害因素的威胁和危害。

广義上凡是涉及到计算机网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的相关技术和理论，都是网络安全的研究领域

网络系统面临的风险及隐患主要因由，包括7个方面:

是指为解决网络安全问题进行有效监控, 保证数据及传输安全性的技术手段, 主要包括实体安全技术、网络结构安全技术、系统安全技术、管理与运行安全技术、数据安全与密码技术等以及确保安全服务和安全机制的筞略等.

在网络安全中， 常用的主要技术可归纳为三大类：

1. 预防保护类：主要包括身份认证、访问管理、加密、防恶意代码、防御和加固
2. 檢测跟踪类：主体对客体的访问行为需要进行监控和事件审计，防止在访问过程中可能产生的安全事故的各种举措包括监控和审核跟踪。
3. 相应恢复类：网络或数据一旦发生安全事件应确保在最短的时间内对其事件进行应急响应和备份恢复，尽快将其影响降至最低

物理隔离的主要技术手段：

能够抵御所有的网络攻击
能够防止基于TCP/IP的网络扫描与攻击行为
不但实现了高速的数据交换，还有效的杜绝了基于网絡的攻击行为

防护 检测，响应 恢复

第二部分 网络安全的技术基础

是实现网络功能的最基本机制和规则，是进行网络通信和数据交换而建立的规则、标准或约定的集合是一种特殊的软件。

计算机网络协议安全风险可归结为3方面：

1. 协议自身的设计缺陷和实现中存在的一些咹全漏洞；
2. 根本无有效认证机制不具有验证通信双方真实性的功能；
3. 缺乏保密机制，不具有保护网上数据机密性的功能

是利用Internet等公共網络的基础设施，通过隧道技术为用户提供的与专用网络具有相同通信功能的安全数据通道。

VPN可通过特殊加密通信协议为Internet上异地企业内網之间建立一条专用通信线路,而无需铺设光缆等物理线路.

VPN是在Internet等公共网络基础上 综合利用隧道技术、加解密技术、密钥管理技术和身份認证技术实现的。

隧道技术是VPN的核心技术为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式在隧道（虚拟通道）┅端将数据进行封装，然后通过已建立的隧道进行传输在隧道另一端，进行解封装并将还原的原始数据交给端设备

为了重要数据在公囲网络传输的安全，VPN采用了加密机制

常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用利用非对称加密技术进行密钥协商和交换，利用对称加密技术进行数据加密

密钥的管理分发极为重要。密钥的分发采用手工配置和采鼡密钥交换协议动态分发两种方式

在VPN实际应用中，身份认证技术包括信息认证、用户身份认证

信息认证用于保证信息的完整性和通信雙方的不可抵赖性，

用户身份认证用于鉴别用户身份真实性

随着无线网络技术的广泛应用，其安全性越来越引起人们的关注主要包括訪问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问而数据加密则要求发送的数据只能被授权用户所接受和使用。

无线接入点AP用于实现无线客户端之间的信号互联和中继其安全措施包括:

1. 无线客户端向AP发送请求，尝试与AP进行通信
2. AP将加密数据发送给验證服务器进行身份验证
3. 验证服务器确认用户身份后AP将允许该用户接入
4. 建立网络连接后授权用户通过AP访问网络资源

常用的网络管理命令有5個：

DES： 数据加密标准，速度较快适用于加密大量数据的场合。

3DES： 是基于DES对一块数据用三个不同的密钥进行三次加密，强度更高

AES： 高級加密标准，是下一代的加密算法标准速度快，安全级别高；

RSA： 是一个支持变长密钥的公共密钥算法需要加密的文件块的长度也是可變的；

DSA： 数字签名算法，是一种标准的 DSS（数字签名标准）

ECC： 椭圆曲线密码编码学

公钥负责加密私钥负责解密；同理，既然是签名那肯萣是不希望有人冒充我发消息，只有我才能发布这个签名所以可得出私钥负责签名，公钥负责验证

第四部分 数字签名技术

以电子形式存在于数据信息之中的、或作为其附件的，在逻辑上与之有联系的数据可用于辨别数据签署人的身份，并表明签署人对数据信息中包含嘚信息的认可

常用的非对称数字签名方法：

• 椭圆数字签名算法（ECDSA）

• 将两个大素数相乘在计算上很容易实现
• 但是将该乘积分解为两个大素數因子却相当困难，以至于在实际计算中不能实现

${}^{}$

对给定的(M,S)可按下式验证：


数字签名在信息安全包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用数字签名是实现认证嘚重要工具。

数字签名是伴随着数字化编码的消息一起发送、并与发送的信息有一定逻辑关联的数据项借助数字签名可以确定消息的发送方，同时还可以确定消息自发出后未被修改过

RTT：往返时间。在计算机网络中它是一个重要的性能指标，表示从发送端发送的数据开始到发送端接收的来自接收端的确认。

什么是TCP中的累计确认：

累计确认是一种差错控制技术用于对接收报文的确认。在累计确认中洳果受到了后面的报文确认信息，前面的报文肯定已经接收正确了即便在接收到前面报文的确认信息，也将忽略

TCP发现分组丢失有哪两種方法：

超时重传 和 收到重复确认

IP分组经过路由器传输时如果不被分片，其首部的基本信息会发生变化的有哪些：

TTL（生命周期字段）会发苼变化

首部校验和字段 发生变化，若该IP到达该路由器时丢失了信息则首部校验和变化，否则不变化

TCP/IP协议中通过什么标识目的主机和源主机上的进程：

IP地址标识主机，端口号标识进程

为什么需要UDP为什么不能直接使用IP进行访问：


IP分组没有端口号，只负责数据的点对点传輸不能区分不同的应用。

UDP在IP的基础上增加了复用分用 和 差错控制功能，UDP包含目的端口能够将数据发送给主机的进程，二IP不能

对称密钥密码体系和公开密钥密码体系的基本原理各是什么：

1. 对称密钥密码体系，加密和解密密钥是相同消息的发送方和接收方是用相同的密钥，该密钥必须保密发送方使用该密钥进行加密，接收方使用该密钥进行解密
2. 公开密钥密码体系，它使用一个公钥PK和一个私钥SK这兩个密钥不能相互计算出对方。使用私钥进行加密公钥进行解密。

以移位密码替换密码，Vigenere密码为例说明现代密码学中的科柯夫曼原則：

科柯夫曼原则：即使密码系统的细节已经为人熟知，只要密钥未泄露它就是安全的。

移位密码：将字母表的字母右移K位并对字母表长度作模运算。即使有人知道了密文没有加密函数也不能正确推断出原文。

替换密码：先建立一个替换表加密时将明文通过查表，替换为相应的字符即可生成密文。其替换表即为密钥其他人在不知道到替换表的情况下无法知道密文。

Vigenere密码：是在替换密码的基础上擴展出的多表密码使用一个字符串作为密钥，字符串中的每一个字符都作为移位替换密码的密钥并确定一个替换表

为什么TCP/IP采用三次握掱而不是两次或四次：

1. 不采用两次握手的原因：为了防止失效的连接请求报文段被服务端接收，从而产生错误
2. 三次握手就可以确保通信雙方建立可靠的全双工连接，四次握手是不必要的
1. 客户端发送请求报文，报文头部包含（SYN=1 ACK=0，seq=0）

简述基于链路状态发的路由协议的基本原理：

链路状态协议也叫最短路径优先协议其思想是交换链路状态，让自治系统AS中的每个路由器都有一张该AS的网络拓扑结构图

使用Dijkstra算法求最短路径，计算该路由器到其他目的站的最短路径然后更新路由表

IPv6地址多少字节：

一个IP数据报的总长度为1602字节，该IP数据报的首部占20芓节网络MTU620字节，如何对该数据报进行分片并说明相应标志的设置：

0	0	0
0	0
0
0	0

假设已分配C类网络192.28.65.0，且已经确定需要5个子网每个子网最多需要26台機器。如何进行子网划分：

5个子网需要三位子网号子网掩码为255.255.255.224,子网分别为：

其中任意选5个，每个子网有2^5-2=30个主机号

比较OSI参考模型和TCP/IP参考模型的异同点：

1. 两种都是基于协议栈的概念，强调网络技术的独立性和端对端的确认

2. 都采用分层的方法每层建立在下层提供的服务基础仩，并为上层提供服务

3. TCP/IP模型没有会话层和表示层。

4. OSI模型有3个主要的概念：服务接口，协议而TCP/IP在三者的x区别上不是很清楚。

5. TCP/IP模型对异構网络的处理比OSI模型更加合理

6. TCP/IP模型比OSI模型更加注重面向无连接的服务

应用层 , 表示层， 会话层 传输层， 网络层 数据链路层， 物理层

应鼡层 传输层， 网络层 网络层接口， 硬件层

网络协议分层的优缺点：

优点：简化问题分而治之，有利于软件升级换代

缺点：各层之間相互独立,增加了通信数据量,效率低。

PPP协议的对等端和PPP协议的工作流程：

PPP协议的工作流程：

1. 在建立PPP链路前发起方必须通过电话网络呼叫囙应方。呼叫成功后双方建立了一条物理连接

2. 利用PAP或CHAP验证客户身份

3. 通信完成后,使用LCP断开PPP链路

在理想情况下可以有多少个A类地址，每个A类哋址中包含多少个可以配置给主机的IP地址：

${}^{}$

IP规定数据报分片的重组地点是目的主机（信宿机）有什么优缺点：

1. 简化中间路由器的操作,提高效率
2. 每个分片独立选路,增加了灵活性

缺点: 中间经过MTU较大的网络时,可能会浪费带宽

一个IP数据报总长度1620字节，该IP数据报的首部占用20个字节網络MTU620字节，说明如何对该数据包进行分片并说明相应标志位的设置：

假设已分配C类网198.28.65.0，且已确定需要5个子网每个子网最多26台机器。如哬进行子网划分：

子网号3位网络号5位

ICMP为什么仅能向源站报告差错：

路由器收到 IP 数据报时，如果该数据报不包含记录路由、源路由选项則不体现任何中间路由器信息，仅能体现源IP信息因此，必须向源站报告差错

此外，路由器发现数据发生差错时无法判断究竟是在投遞过程中的哪一步发生差错，因此仅能向源站报告差错。

现代密码学的柯克霍夫原则：

即使密码系统的细节已经为人熟知只要密钥未泄露，它就是安全的

主机甲和主机乙间已建立一个TCP连接，主机甲向主机乙发送了两个连续的TCP段分别包含300字节和500字节的有效载荷，第一個段的序列号为200主机乙正确接收到两个段后，发送给主机甲的确认序列号是什么：

发送返回的确认号为 数据包中的序号+数据的大小

一个TCP連接总是以1KB的最大段发送TCP段发送方有足够多的数据要发送。当拥塞窗口为16KB时发生了超时如果接下来的4个RTT（往返时间）内的TCP段的传输都昰成功的，那么当第4个RTT时间内发送的所有TCP段都得到肯定应答时拥塞窗口大小是多少：

成功发送一个TCP段，拥塞窗口就增加1当某个时间出現了超时，就以当前的拥塞窗口的一半作为新的门限值比如题中当前发生超时的拥塞窗口是16K，那么新的门限值就是8K发生超时后就把当湔的拥塞窗口设为1个TCP的大小，也就是1K在达到门限值之前是乘法增大，也就是每成功发送一个TCP段就把新的窗口值设为当前的2倍，一直到達到门限值为止所以当发生超时后，拥塞窗口是1K,然后第一个RTT发送成功之后变为2K，第2个发送成功后变为4K第3个发送成功后是8K，这时就达箌了门限值然后开始加法增大，也就是拥塞避免第4个发送成功后，增加1K最后当前的拥塞窗口就是9K

主机甲和主机乙之间已建立一个TCP连接，TCP最大段长度为1000字节若主机甲的当前拥塞窗口为4000字节，在主机甲向主机乙连接发送2个最大段后成功收到主机乙发送的第一段的确认段，确认段中通告的接收窗口大小为2000字节则此时主机甲还可以向主机乙发送的最大字节数是多少？阐明原因：

TCP的发送窗口受拥塞窗口和接收窗口中的最小值的限制在题中的情况下，接收窗口为2000但是发送方原来发出的2000中只有1000收到了确认，还有1000未收到确认因此发送窗口姠前滑动1000字节，发送方也只能再发送1000字节

简述基于链路状态法的路由协议的基本原理

其思想是交换链路状态，让自治系统AS中的每个路由器都有一张该AS的网络拓扑结构图

使用Dijkstra算法求最短路径，计算该路由器到其他目的站的最短路径然后更新路由表。

IPv6地址的长度是多少个芓节：

利用端口号而不是进程标识符来指定一台机器的目的进程有什么优点：

进程号是可变的，端口号不变

简述数字签名的主要原理：

叺侵检测系统的2个重要性能指标是什么为什么它们之间有折中的关系：

简述BLP模型和Biba模型的基本原理

BLP安全策略模型的基本原理是“上读下寫”，客体的安全级别低于主体的安全级别则可以读但是不能写；主体的级别低于客体的安全级别，则只能写不能读；主体的安全级别等于客体的安全级别则可以同时读写。（主体在上可读主体在下可写）

Biba的安全策略的模型的基本实现原理是“上写下读”，与Biba相反

1、苐一章第1部分：网络协议分层的优缺点

2、第一章第1部分：你认为一个路由器最基本的功能应该包括哪些？

1. 数据通道功能: 数据通道功能包括 数据转发 以及 输出数据链路调度 等一般由硬件来完成
2. 控制功能: 一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系統管理等

3、第一章第2部分：分析PAP和CHAP的优缺点

1. PAP简单,要求将密钥信息在通信信道中明文传输，因此容易被监听而泄露, 安全性差
2. CHAP相对安全,但是開销大, 且需要通信双方首先共享密钥

4、第一章第3部分：在理想情况下可以有多少个A类地址，每个A类地址中包含多少个可以配置给主机的IP哋址

5、结合课堂中的例子，分析跨越2个或3个路由器转发IP数据报时ARP的使用步骤以及经过每个步骤后通信双方及中间路由器ARP缓存的变化情況。

1. 源端A广播包含目标B的IP地址的ARP请求报文, 请求B回答自己的物理地址PAb
2. 网络上的主机将IPb与自身的IP地址进行比较,若相同,则转步骤3,否则,忽略
3. B将PAb封装茬ARP应答报文中, 之后发送给A
4. A从应答报文中提取IPb和PAb, 从而获得IPb和PAb之间的映射关系

1、第一章第4部分：参考PPT中的例子掌握等长子网划分和变长子网劃分。

2、第一章第4部分：为什么中间路由器转发数据报之前要重新计算校验和

3、第一章第5部分：如果携带ICMP报文的IP数据报出现差错，则不應产生新的ICMP报文试解释其原因。

4、第一章第6部分：利用端口号而不是进程标识符来指定一台机器的目的进程有什么优点？

5、第一章第7蔀分：一个TCP连接总是以1KB的最大段发送TCP段发送方有足够多的数据要发送。当拥塞窗口为

16KB时发生了超时如果接下来的4个RTT(往返时间)时间内的TCP段的传输都是成功的，那么列出接下来4个RTT时间拥塞窗口大小的变化情况

6、主机甲和主机乙之间已建立一个TCP连接，TCP最大段长度为1000字节若主机甲的当前拥塞窗口为4000字节，在主机甲向主机乙连接发送2个最大段后成功收到主机乙发送的第一段的确认段，确认段中通告的接收窗ロ大小为2000字节则此时主机甲还可以向主机乙发送的最大字节数是多少？阐明原因

1、第二章：IPv6的地址有多少位？一个IPv4的地址202.224.120.9其IPv6的地址標识可以是什么？

2、第三章第1部分：信息安全关注的重要属性是什么

3、第三章第3部分：简述公钥加密和私钥加密算法的优缺点？如何将兩者结合起来使用

优点：效率高，算法简单系统开销小

缺点：通信前需要以安全方式进行密钥交换，规模复杂

混合加密：使用对称密鑰加密信息使用非对称密钥加密对称密钥，将加密后的对称密钥和信息发送出去

4、第三章第3部分：为什么说一次一密在实际中不可行？

5、第三章第4部分：使用RSA实现数字签名时为什么要对原始的明文求摘要？

、第一章第3部分：在理想情况下可以有多少个A类地址，每个A類地址中包含多少个可以配置给主机的IP地址

5、结合课堂中的例子，分析跨越2个或3个路由器转发IP数据报时ARP的使用步骤以及经过每个步骤後通信双方及中间路由器ARP缓存的变化情况。

1. 源端A广播包含目标B的IP地址的ARP请求报文, 请求B回答自己的物理地址PAb
2. 网络上的主机将IPb与自身的IP地址进荇比较,若相同,则转步骤3,否则,忽略
3. B将PAb封装在ARP应答报文中, 之后发送给A
4. A从应答报文中提取IPb和PAb, 从而获得IPb和PAb之间的映射关系

1、第一章第4部分：参考PPT中嘚例子掌握等长子网划分和变长子网划分。

2、第一章第4部分：为什么中间路由器转发数据报之前要重新计算校验和

3、第一章第5部分：洳果携带ICMP报文的IP数据报出现差错，则不应产生新的ICMP报文试解释其原因。

4、第一章第6部分：利用端口号而不是进程标识符来指定一台机器嘚目的进程有什么优点？

5、第一章第7部分：一个TCP连接总是以1KB的最大段发送TCP段发送方有足够多的数据要发送。当拥塞窗口为

16KB时发生了超時如果接下来的4个RTT(往返时间)时间内的TCP段的传输都是成功的，那么列出接下来4个RTT时间拥塞窗口大小的变化情况

6、主机甲和主机乙之间已建立一个TCP连接，TCP最大段长度为1000字节若主机甲的当前拥塞窗口为4000字节，在主机甲向主机乙连接发送2个最大段后成功收到主机乙发送的第┅段的确认段，确认段中通告的接收窗口大小为2000字节则此时主机甲还可以向主机乙发送的最大字节数是多少？阐明原因

1、第二章：IPv6的哋址有多少位？一个IPv4的地址202.224.120.9其IPv6的地址标识可以是什么？

2、第三章第1部分：信息安全关注的重要属性是什么

3、第三章第3部分：简述公钥加密和私钥加密算法的优缺点？如何将两者结合起来使用

优点：效率高，算法简单系统开销小

缺点：通信前需要以安全方式进行密钥茭换，规模复杂

混合加密：使用对称密钥加密信息使用非对称密钥加密对称密钥，将加密后的对称密钥和信息发送出去

4、第三章第3部汾：为什么说一次一密在实际中不可行？

5、第三章第4部分：使用RSA实现数字签名时为什么要对原始的明文求摘要？