B A D D A C B A C D A C D B B TCP 53 A B B D D A C A B C A A B A C 2006 级计算机科学与技术专业《计算机网络安全》A 试题答案及评分标准 一、单项选择题（每小题 1 分，共 30 分） 1~10 11~20 21~30 二、填空题（每空 1 分，共 20 分） 41 序列密码 分组密码 42 公开密钥体制 加密机制 43 交互式 非交互式 44 UDP 53 45 计算机内存 网络带宽 46 重放 服务拒绝（或拒绝服务） 47 源 IP 地址 目的 IP 地址 48 局域网 Internet 49 透明模式 路由模式 50 用户身份认证 信息认证 51~60 × √ √ × √ 四、名词解释（每小题 4 分，共 20 分） √ × × √ √ 61.对称加密与非对称解密。在一个加密系统中，加密和解密使用同一个密钥，这种加密方式称为对 称加密，也称为单密钥加密（2 分）。如果系统采用的是双密钥体系，存在两个相互关联的密码，其 中一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密。（2 分） 62. 蜜罐。是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设 计的陷阱系统（2 分）。设置蜜罐的目的主要是用于被侦听、被攻击，从而研究网络安全的相关技术 和方法。（2） 63.PKI。PKI（公钥基础设施）是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的 一整套安全基础平台。PKI 能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密 钥和证书，这些安全服务主要包括身份识别与鉴别（认证）、数据保密性、数据完整性、不可否认性 及时间戳服务等，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的（2 分）。PKI 的技术基础之一是公开密钥体制（1 分）；PKI 的技术基础之二是加密机制（1 分）。 64. DNSSEC。DNSSEC（域名系统安全扩展）是在原有的域名系统（DNS）上通过公钥技术，对 DNS 中 的信息进行数字签名，从而提供 DNS 的安全认证和信息完整性检验（2 分）。发送方首先使用 Hash 函数对要发送的 DNS 信息进行计算，得到固定长度的“信息摘要”，然后对“信息摘要”用私钥进行 加密，此过程实现了对“信息摘要”的数字签名；最后将要发送的 DNS 信息、该 DNS 信息的“信息 摘要”以及该“信息摘要”的数字签名，一起发送出来（1 分）。接收方首先采用公钥系统中的对应 公钥对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”；接着用与发送方相 同的 Hash 函数对接收到的 DNS 信息进行运算，得到运算后的“信息摘要”；最后，对解密后的 “信 息摘要”和运算后的“信息摘要”进行比较，如果两者的值相同，就可以确认接收到的 DNS 信息是 完整的，即是由正确的 DNS 服务器得到的响应（1 分）。 65. DoS 攻击。DoS（拒绝服务）攻击是一种实现简单但又很有效的攻击方式。DoS 攻击的目的就是 让被攻击主机拒绝用户的正常服务访问，破坏系统的正常运行，最终使用户的部分 Internet 连接和 《计算机网络安全》试题答案及评分参考 第 1页 (共 2 页) 

网络系统失效（2 分）。最基本的 DoS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使 合法用户无法得到服务。（2 分） 五、简答题（每小题 10 分，共 20 分） 66. 简述 ARP 欺骗的实现原理并主要防范方法。 由于 ARP 协议在设计中存在的主动发送 ARP 报文的漏洞，使得主机可以发送虚假的 ARP 请求报 文或响应报文，报文中的源 IP 地址和源 MAC 地址均可以进行伪造（2 分）。在局域网中，即可以伪 造成某一台主机（如服务器）的 IP 地址和 MAC 地址的组合，也可以伪造成网关的 IP 地址和 MAC 地 址的组合，ARP 即可以针对主机，也可以针对交换机等网络设备（2 分），等等。 目前，绝大部分 ARP 欺骗是为了扰乱局域网中合法主机中保存的 ARP 表，使得网络中的合法主 机无法正常通信或通信不正常，如表示为计算机无法上网或上网时断时续等。（2 分） 针对主机的 ARP 欺骗的解决方法：主机中静态 ARP 缓存表中的记录是永久性的，用户可以使用 TCP/IP 工具来创建和修改，如 Windows 操作系统自带的 ARP 工具，利用“arp -s 网关 IP 地址 网 关 MAC 地址”将本机中 ARP 缓存表中网关的记录类型设置为静态（static）。（2 分） 针对交换机的 ARP 欺骗的解决方法：在交换机上防范 ARP 欺骗的方法与在计算机上防范 ARP 欺 骗的方法基本相同，还是使用将下连设备的 MAC 地址与交换机端口进行一一绑定的方法来实现。（2 分） 67. 如下图所示，简述包过滤防火墙的工作原理及应用特点。 包过滤（Packet Filter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一 个数据包的源 IP 地址、目的 IP 地址以及 IP 分组头部的其他各种标志信息（如协议、服务类型等）， 确定是否允许该数据包通过防火墙（2 分）。 包过滤防火墙中的安全访问策略（过滤规则）是网络管理员事先设置好的，主要通过对进入防 火墙的数据包的源 IP 地址、目的 IP 地址、协议及端口进行设置，决定是否允许数据包通过防火墙。 （2 分） 如图所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。 当数据包进入防火墙时，防火墙会将 IP 分组的头部信息与过滤规则表进行逐条比对，根据比对结果 决定是否允许数据包通过。（2 分） 包过滤防火墙主要特点：过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全 要求来定；防火墙在进行检查时，首先从过滤规则表中的第 1 个条目开始逐条进行，所以过滤规则 表中条目的先后顺序非常重要；由于包过滤防火墙工作在 OSI 参考模型的网络层和传输层，所以包 过滤防火墙对通过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应用层 的恶意入侵。另外，包过滤防火墙不能识别 IP 地址的欺骗，内部非授权的用户可以通过伪装成为合 法 IP 地址的使用者来访问外部网络，同样外部被限制的主机也可以通过使用合法的 IP 地址来欺骗 防火墙进入内部网络。（4 分） 《计算机网络安全》试题答案及评分参考 第 2页 (共 2 页)