E12.1 听从(也就是服从)ICMP重定向包的指挥,如何会让一个未经授权的用户威胁网络的安全?
A:主要是会获得一个窃听网络数据的可能,更详细的内容,可以参考这篇文档,说的比较详细。
E12.2 网络链路的MTU是什么?如果给定的MTU设得太高,会发生什么问题?太低呢?
A:MTU(Maximum Transfer Unit),最大传输单元,用来定义网络上传输包的最大值。以太网一般是1500bytes。太高会导致丢包,太低则导致分片,都会产生网络传输问题。
★ E12.3 说明划分子网的概念,解释它有用的原因。什么是网络掩码?网络掩码和IP地址的网络部分和主机部分的划分有什么关系?
A:这些都是属于计算机网络的基本概念,我这里都不抄书了,看看维基百科的解释吧。
★ E12.4 网络134.122.0.0/16已经细分成了几个/19网络。
- 有多少个/19的网络?列出他们。他们的网络掩码是多少?
- 每一个子网上有多少台主机?
- IP地址134.122.67.124属于哪个子网?
- 每个网络的广播地址是什么?
A:网络数=2^(19-16)=8个。分别是
134.122.0.0/19
134.122.32.0/19
134.122.64.0/19
134.122.96.0/19
134.122.128.0/19
134.122.160.0/19
134.122.192.0/19
134.122.224.0/19
网络掩码就是把/19转成是十进制点分表示,也就是255.255.224.0。
主机比特位=32-19=13位。那么每一个子网的主机台数=2^13 - 2 = 8190台。
134.122.67.124属于 134.122.64.0/19子网。
每个网络的广播地址分别是
134.122.31.255,134.122.63.255,134.122.95.255,134.122.127.255,134.122.159.255,134.122.191.255,134.122.223.255,134.122.255.255。实际上就是每一个子网的广播地址是该子网最大主机地址+1.
★ E12.5 网络 128.138.2.0/24 上的主机 128.138.2.4 向网络 128.138.129.0/24 上的主机 128.138.129.12 发送一个包。假定:
- 主机 128.138.2.4 有一条通过 128.138.2.1 的默认路由;
- 主机 128.138.2.4 刚启动,还没有发送或者接受任何包;
- 网络上其他所有机器已经运行很长一段时间了;
- 路由器 128.138.2.1 直接有一条到 128.138.129.1 的路由,后者是 128.138.129.0/24的网关。
- 列出发出这个包所需要的所有步骤。给出所有传输包的源目的以太网和IP地址。
- 如果网络是 128.138.0.0/16,您的答案会变吗?怎么变?
- 如果网络 128.138.2.0 是一个/26网络,而不是/24网络,您的答案会变吗?怎么变?
A:网络知识贫瘠,这个问题我只是知道一个大概,但是却描述不出来。
★★ E12.6 在安装了一个新的Linux系统后,您会如何解决本章里提到的若干安全问题?查查看,在您实验室的Linux系统上是否有什么要解决的安全问题?
A:在12.11节里,提到了IP转发,ICMP重定向,源路由,广播ping,IP欺骗等安全问题。以我家里的网络环境来一一检查这些问题。
首先介绍我家里的网络环境,可能和一般的家里通过一个ADSL MODEM +ROUTE的方式有点不同,因为房间距离的问题,我采取了两极路由的方式。带路由功能的ADSL MODEM 连接一个HUB,HUB上连接了几根网线给台式机。ADSL MODEM上启用了DHCP,网络是192.168.1.0/24,网关是192.168.1.1。然后从HUB上连接一个网线到另外一个无线路由上WLAN口,然后再从无线路由LAN口接出几根网线给PC和台式机。无线AP给手机和无线设备。其中无线路由启用DHCP服务,网络是192.168.0.1/24,网关是192.168.0.1。WLAN口从ADSL MODEM处获得一个固定的192.168.1.200的IP地址。所以我家里的PC,有些属于192.168.1.0/24网络,有的属于192.168.0.0/24网络。手机等具有wifi连接功能的设备获得是192.168.0.0/24的IP地址。一起大约有3台PC,2台notebook,几个手机wifi。
对于IP转发,因为不涉及到路由的功能,所以默认电脑上都关闭了此功能,因为没有IP转发的风险。echo 0 >/proc/sys/net/ipv4/ip_forward
忽略ICMP重定向功能 echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
既不接受源路由包,也不接受发送源路由包 echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route
在路由器上关闭ping广播,我已经在ADSL MODEM 和 无线路由上均关闭了此项。
因为我每一个特定的机器,一般情况下,只有一条到internet的连接,因此我把/proc/sys/net/ipv4/conf/all/rp_filter 设置为1.
★★ E12.7 在您实验室环境里,加入一台新机器需要什么步骤?回答的时候,要用适合您的网络和本地情况的参数。假定新机器已经在运行Linux了。
A:因为启用了DHCP服务,因此加入新机器,我只要设定好了主机名,基本上接入网线即可。DNS也会自动设置好。如果是无线接入,则需要设定SSID和对应的密码。
★★ E12.8 给出设置一台可以分配 128.138.192.[1-55]范围内IP地址的DHCP服务器所需要的配置文件。用到的租期为2个小时,要确保以太网地址为 00:10:5A:C7:4B:89 的主机始终会分配到 128.138.192.55.
A:示例配置文件如下:
subnet 128.138.192.0 netmask 255.255.255.0 {
# --- default gateway
option routers 128.138.192.254;
option subnet-mask 255.255.255.0;
option domain-name-servers 67.208.220.220;
range 128.138.192.1 128.138.192.55;
default-lease-time7200;
max-lease-time 43200;
# fixed address
host ns {
hardware ethernet 00:10:5A:C7:4B:89;
fixed-address 128.138.192.55;
}
}