Linux网络管理及应用课后习题参考答案

联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

a.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。

b.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

c.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

d.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道

8．阐述VPN的发展和未来趋势。

答：在国外，Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言，在2001年，全球VPN市场将达到120亿美元。据预测，到2004年，北美的VPN业务收入将增至88亿美元。

在中国，制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。 （1）客观因素包括因特网带宽和服务质量QoS问题。

在过去无论因特网的远程接入还是专线接入，以及骨干传输的带宽都很小，QoS更是无法保障，造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广，上述问题将得到根本改善和解决。譬如，过去专线接入速率最高才2Mbps，而从今年开始，中国的企业用户可以享受到10Mbps，乃至100Mbps的Internet专线接入，而骨干网现在最高已达到40Gbps，并且今后几年内将发展到上百乃至上千个Gbps，这已不是技术问题而是时间问题。随着互联网技术的发展，可以说VPN在未来几年内将会得到迅猛发展。

（2）主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。

其实前面介绍的VPN技术已经能够提供足够安全的保障，可以使用户数据不被查看、修改。主观因素之二，也是VPN应用最大的障碍，是客户自身的应用跟不上，只有企业将自己的业务完全和网络联系上，VPN才会有了真正的用武之地。

可以想象，当我们消除了所有这些障碍因素后，VPN将会成为我们网络生活的主要组成部分。在不远的将来，VPN技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。同时，VPN会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国各地分公司的局域网连起来，从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。

第11章Linux安全防范

1. 有哪些安全的方法能用来保护Linux系统或者服务器？ 答：用以保护用户Linux系统或者服务器的安全方法有如下：

（1）添加用户密码； （2）读、写和执行权限； （3）保护root账号； （4）使用受信任的软件； （5）获得软件的更新； （6）使用安全的应用程序； （7）使用限制性的防火墙； （8）仅仅启动你所需要的服务； （9）限制对服务的访问； （10）检查用户自身系统； （11）监控用户的系统； （12）使用SELinux。

2. 如何使用密码技术来保护系统？应该注意些什么？

答：一般密码的技术是使用强密码来保护系统的。强密码主要是指利用随机字符组合生成的密码以下方式可以帮助用户的实现强密码：

使用长密码。添加到密码的每个字符可以提高密码对用户的保护能力。密码长度一般应该为8个或者更多个字符；在理想情况下，可以达到是14个字符或更长。许多系统还支持在密码中使用空格键，因此可以创建许多单词组成的短语（“通行短语”）。通行短语通常比简单的密码更长、更加容易记忆，因而也更加难以被猜出。

组合字母、数字和符号。在密码中，如果使用的字符种类越多，则密码被破解就越难。其他重要细节包括：

密码中使用的字符类型越少，则必须使密码长度越长。仅包含随机字母和数字的15字符密码比由整个键盘中字符构成的8字符密码，其强度高达33,000倍。如果无法创建包含符号的密码，则需要加长密码的长度，以此获取相同程度的保护能力。因此，理想的密码需要兼顾长度和不同类型的字符。

使用整个键盘，而不仅仅是常用字符。通过按住“Shift”键并键入数字来输入的符号在密码中十分常见。如果用户从键盘上的所有符号中进行选择，包括不在键盘上行的标点符号以及用户的语言特有的任何符号，那么，其用户所设置的密码强度将更强。

使用易于记忆但难以被他人猜出的字词和短语。记住密码和通行短语最简单的方式是记录下它们。与一般的想法相反，记录下密码并没有错，但是这些密码就需要得到充分的保护才能保持其安全有效。不过，一般来说，与使用密码管理器、网站或基于其他软件的存储工具（例如密码管理器）来存储密码相比，将密码记录在纸上这种传统化的方式更难以通过Internet将密码泄露出去。

用户在使用密码技术来保护系统是，应该注意以下几点： 1）避免顺序或重复的字符；

2）避免使用数字或符号的仅外观类似替换；

3）避免使用登录名；

4）避免任何语言的字典单词； 5）避免各处均使用一个密码； 6）避免使用联机存储。

3. 什么是日志？在Linux系统中，常见的一些日志文件有哪些？

答：日志就是操作系统或应用程序用来记录所发生的事件并保存这些记录以供日后查看的过程。常见的一些日志文件有：引导日志、Cron日志、内核启动日志、Apache访问日志、Apache错误日志、邮件日志、MySQL服务器日志、News日志、安全日志、系统日志等等。

4. 什么是拒绝式服务攻击？常见的拒绝服务攻击的方法有哪些？

答：拒绝服务攻击是利用系统的漏洞、协议漏洞、服务的漏洞对计算机发动的攻击，使计算机无法正常对外服务，或者利用合理的服务请求来占用过多的服务资源（网络带宽、系统文件空间、连接的进程数量等）致使服务过载，无法响应其他用户的合法请求。

常见的拒绝服务攻击的方法主要有以下几种：

1）利用传输协议上的缺陷，发送出畸形的数据包，导致目标主机无法处理而拒绝服务。

2）利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务。 3）制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信。 4）利用受害主机上服务的缺陷，提交大量的请求将主机的资源耗尽，使受害主机无法接收新的请求。

5. 列举一些拒绝式服务攻击，并说明他们的工作原理？ 答：常见的拒绝式服务攻击有：

（1）“泪滴”：网络中两台计算机在进行通信时，如果需要传输的数据量较大，无法在一个数据报中传输完成，就是由TCP将原始数据进行拆分，分成多个分片，在传送到目的计算机后再到堆栈中进行重组。在互联网中，各个分片是被分别进行传输的，因此它们所经过的路线不一定是完全相同，从而它们到达目标主机的顺序也就不一致，先发送的分片可能比后发送的分片到达目标主机的时间还要晚。为了能在到达目标主机后进行将数据的重组，IP包的首部中包含有信息说明该分段是原数据的哪一段，这样，目标主机在收到数据后，就能根据首部中的信息将各个分片还原成原始发送的数据。然而，如果攻击者在主机通信过程中，伪造了一些数据报文，并向服务器发送这些含有重叠偏移信息的分片数据包到目标主机，而这样的信息在被目标主机接收到后，在堆栈重组时，由于畸形分片的存在，会导致重组出错，这个错误并不仅仅是影响到重组的数据，由于协议本身重组算法，会导致其内存错误，从而将会引起协议栈的崩溃。

（2）SYN“洪水”攻击：该攻击方式就是利用三次“握手”的这个特征来发动攻击的。进行攻击的计算机发送伪造带有虚假的源的SYN数据包给目标主机，一般情况下，伪造的源地址都是互联网上没有使用的地址，目标主机在收到SYN连接请求后，会按照请求的SYN数据包中的源地址发送一个ACK+SYN数据包。由于源地址是一个虚假的地址，目标主机发送的ACK+SYN包根本不会得到确认。服务器会保持这个连接直到超时。当洪水般

的虚假SYN连接请求数据包同时发送到目标主机，目标主机上就会有大量的连接请求等待确认。由于每一台主机都有一个允许的最大连接数目，当这些未释放的连接请求数量超过目标主机的限制的时候，主机就无法对新的连接请求进行响应（包括正常的连接请求）。SYN“洪水”攻击发送的SYN请求数量非常大，远远大于目标主机的承受能力，即使目标主机因超时释放了一个连接，但大量的SYN请求仍然会将目标主机死死的阻塞。在这种情况下，正常的连接请求很容易被淹没在大量的SYN数据包中。

（3）Smurf放大攻击：发动攻击的主机向网络的广播地址发送一个ICMP ECHO包，并且将包的源地址设置为目标主机的地址，这个包的目的就是要求收到数据包的主机回复发送数据包的主机（即目的主机）。由于发往广播地址的数据包会被网络上所有的主机收到并进行处理。所有收到这个数据包的主机就会向数据包信息中的源地址回复一个ICMP响应。如上图所示，攻击者的主机发送一个数据包，而目标主机就收到一系列回复数据包。假如目标网络是一个十分大的网络，有1000台主机，那么攻击者每发送一个ICMP数据包，目标主机就会收到1000个数据包，因此目标主机很快就会被大量的回复信息吞没，无法处理其他的任何网络传输。

除外，还有其他的一些攻击如死亡之Ping（Ping Of Death）、UDP“洪水”、Land攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。这里就不做具体的介绍了。

6. 什么是分布式拒绝服务攻击？其工作原理如何？

答：分布式拒绝服务攻击就是利用大量的主机对目标主机同时发动拒绝服务攻击的行为。

工作原理：攻击者先控制多台无关的主机，在上面安装守护进程与服务器端程序。当需要进行攻击的时候，攻击者从客户端连接到安装了服务器端软件的主机上，发送出攻击的指令，之后服务器端软件就指挥守护进程同时向目标主机发动拒绝服务攻击。

7. 列举一些分布式拒绝服务攻击的工具，并做个简要的介绍？ 答：分布式拒绝服务攻击的工具如下：

（1）TFN2000：TFN（Tribe Flood Network）是德国著名黑客Mixter编写的分布式拒绝服务攻击工具，它是一个典型的分布式拒绝服务攻击工具。TFN由服务端程序和守护进程程序组成，它能够实施ICMP Flood、SYN Flood、UDP Flood和Smurf等多种拒绝服务攻击。TFN2000是TFN的后续版本，与TFN相比，TFN2000做了很大的改进，使得其功能更加强大、攻击更加隐蔽、控制更加灵活、对互联网安全的威胁也就更大了。

（2）Trinoo：Trinoo是一个典型的分布式拒绝服务攻击软件，同样它也是有两个部分组成，服务器端和守护进程。Trinoo的守护进程在编译时就将安装有服务程序的主机IP地址包含在内，这样，守护进程一旦运行起来，就会自动检测本机IP地址，并将本机的IP地址发送到预先知道的服务器端的31335端口（服务器端开启31335UDP端口接收守护进程的信息）。同时，守护进程也在本机上打开一个27444的UDP端口等待服务器端发送过来的命令。Trinoo的服务器端在接收到守护进程发回来的IP地址后，就明白已经有一个守护进程准备完毕，可以发送控制指令了。主服务器会一直记录并维护一个已经激活的守护进程的主机清单，清单的缺省文件名为“…”，同时主服务器还会在主机上打开一个27665的TCP端口等待命令。和大部分的分布式拒绝服务攻击工具一样，没有专门的客户端软件，客户端软件可以使用通用的如telent来代替。

8. 什么是入侵检测？它有哪些功能？