北京邮电大学2024年卓越计划网络安全专业实践试题及答案

北京邮电大学2024年卓越计划网络安全专业实践试题及答案考试时间：______分钟总分：______分姓名：______一、简述TCP三次握手过程及其在建立可靠连接中的作用。若三次握手过程中，客户端发送的第二个SYN包丢失，服务器会进入什么状态？客户端最终会如何处理？二、解释HTTP协议中的Session和Cookie机制。说明它们各自的工作原理，并比较它们的区别。请描述一个场景，说明为何需要使用Cookie，而Session通常用于服务器端存储。三、描述TCP/IP模型的四层（或五层）结构，并简要说明每一层的主要功能和代表性协议。四、什么是VPN？简述基于IPSec的VPN和基于SSL/TLS的VPN在技术原理和典型应用场景上的主要区别。五、列举常见的Web安全漏洞类型（至少五种），并分别简要说明其中一种漏洞的原理及其可能造成的危害。六、假设你正在对一台运行Linux操作系统的服务器进行安全加固。请列出至少三项你认为重要的安全配置或加固措施，并简要说明每项措施的目的。七、简述对称加密算法和非对称加密算法在密钥管理和应用场景上的主要区别。举例说明它们在实际应用中是如何协同工作的，例如在HTTPS连接建立过程中。八、描述一下你对“恶意软件（Malware）”这个概念的理解。请列举至少三种不同类型的恶意软件，并简要说明其中一种恶意软件的传播方式和主要危害。九、在进行网络安全事件应急响应时，通常包含哪些主要阶段？请按顺序列出这些阶段，并简要说明每个阶段的核心任务。十、解释什么是“防火墙”。说明状态检测防火墙与代理防火墙在工作原理和性能特点上的主要区别。列举至少两种常见的防火墙部署方式。十一、你捕获到了一段疑似被篡改的HTTP请求流量。请描述你会使用哪些工具或方法来分析这段流量，以尝试确定篡改的具体内容或方式。十二、什么是“数字签名”？请简述其工作原理，并说明它在确保信息完整性、来源可靠性和不可否认性方面的作用。十三、描述一下你理解中的“渗透测试”。请列举渗透测试中常用的至少三种不同类型的测试方法（如攻击类型划分），并简要说明其中一种方法的原理和目标。十四、解释什么是“零信任安全模型”。请简述其核心理念，并说明它与传统的“可信任网络”模型相比，在安全策略上有何显著不同。十五、假设你发现了一个新的、未知的软件漏洞，但该漏洞尚未被公开披露，也没有相应的补丁。请描述在这种情况下，你认为个人或组织应如何处理，并说明相关的安全原则或最佳实践。试卷答案一、TCP三次握手过程：客户端发送SYN包（seq=x）给服务器，进入SYN_SENT状态；服务器收到后，回复SYN-ACK包（seq=y,ack=x+1），进入SYN_RCVD状态；客户端收到后，发送ACK包（seq=x+1,ack=y+1），进入ESTABLISHED状态，服务器也进入ESTABLISHED状态，连接建立成功。作用：确保双方都有发送和接收数据的能力，并同步双方的初始序列号，为可靠数据传输奠定基础。若第二次SYN包丢失，服务器会发送SYN-ACK包后等待一段时间超时，然后释放SYN_RCVD状态，重新进入监听状态。客户端超时后，会重发第二次SYN包（seq=x）。客户端最终会重发SYN包直到超时或收到服务器的SYN-ACK包，完成连接建立。二、Session机制：服务器为每个访问的用户创建一个唯一的SessionID，并通过Cookie（或URL重写）将此ID发送给客户端。客户端每次请求时携带该SessionID，服务器根据ID识别用户，并从服务器端存储（如内存、数据库）中查找或更新用户会话信息。Session信息存储在服务器端，客户端只存储SessionID。Cookie机制：客户端存储由服务器发送的小块数据（名值对）。服务器通过Set-Cookie头发送Cookie给客户端，客户端在后续请求中自动携带该Cookie。Cookie通常用于存储少量、不敏感的用户偏好或会话ID。区别：Session数据存储在服务器端，Cookie数据存储在客户端。Session更安全，但Cookie有存储容量限制且可能被篡改（需服务器端验证）。场景：用户登录网站后，服务器使用Session存储用户的登录状态和购物车信息。即使关闭浏览器再打开，只要携带SessionID，服务器就能恢复用户状态。而用户的语言偏好可以选择用Cookie存储，因为这不是敏感信息，且用户下次访问时能自动应用此偏好。三、TCP/IP四层模型：1.应用层（ApplicationLayer）：处理用户应用程序间的通信，如HTTP,FTP,SMTP,DNS。直接为用户应用程序提供服务。2.传输层（TransportLayer）：提供端到端的进程间通信，负责数据分段、重组、流量控制和差错控制。主要协议是TCP（可靠）和UDP（快速，不可靠）。使用端口号标识进程。3.网络层（InternetLayer）：负责将数据包从源主机路由到目的主机，跨越多个网络。处理IP地址和路由。主要协议是IP。ICMP用于错误报告。4.网络接口层（NetworkInterfaceLayer/LinkLayer）：处理与物理网络的接口细节，如以太网。负责数据帧的传输和接收，处理物理寻址（MAC地址）。五层模型在传输层和网际层之间增加了一个网络层（NetworkLayer），功能与四层模型的网络层类似，但更侧重于路由选择。四、VPN（VirtualPrivateNetwork）：利用公网，通过使用相应的协议以低廉的成本方便地构建虚拟的专用网络。IPSecVPN：基于IP层，对整个IP数据包进行加密和认证。工作在隧道模式，将原始IP包封装在新的IP包中。常用于站点到站点（站点间）的可靠安全连接。主要协议有ESP（封装安全载荷）和AH（认证头）。需要公钥基础设施（PKI）进行密钥交换。SSL/TLSVPN：基于应用层或传输层，通常使用SSL/TLS协议加密应用数据（如HTTP流量）。工作方式多样，可以是远程访问（客户端到网关）或网关到网关。部署相对简单，常用于远程用户访问企业内部网络。主要依赖证书和密码套件进行认证和加密。五、常见Web安全漏洞：1.SQL注入：在输入字段注入恶意SQL代码，欺骗数据库执行非预期操作。2.跨站脚本（XSS）：在网页中注入恶意脚本，在用户浏览器中执行，窃取信息或进行会话劫持。3.跨站请求伪造（CSRF）：诱导已认证的用户在当前登录状态下，对Web应用发送非预期的请求。4.文件上传漏洞：允许用户上传恶意文件（如Webshell），导致服务器被控制。5.权限绕过：在未授权的情况下访问或操作了超出权限的数据或功能。危害举例（以SQL注入为例）：攻击者可以通过SQL注入获取数据库敏感信息（如用户密码、信用卡号），修改数据库内容，删除数据，甚至获得服务器控制权，导致数据泄露、业务中断或系统被接管。六、Linux服务器安全加固措施：1.最小化安装：只安装必要的系统组件和服务，减少攻击面。目的：减少潜在的可利用漏洞数量。2.禁用不必要的服务：如不使用的网络服务（telnet,ftp,rpc服务等）。目的：关闭潜在的后门或攻击入口。3.强化用户权限管理：使用强密码策略，禁用root远程登录，创建专用用户运行服务，使用sudo限制权限。目的：防止未授权访问和命令执行，降低系统被完全控制的风险。4.及时更新系统和软件：定期应用安全补丁。目的：修复已知漏洞，保持系统安全性。5.配置防火墙规则：使用iptables或firewalld限制入站和出站流量，仅开放必要端口。目的：隔离内部网络，阻止非法访问。七、对称加密与非对称加密区别：对称加密：加密和解密使用相同密钥。速度快，适合加密大量数据。但密钥分发困难（密钥共享的难题）。非对称加密：使用一对密钥，公钥和私钥。公钥可公开，私钥需保密。用公钥加密的数据只能用私钥解密，反之亦然。速度慢，适合加密少量数据（如对称密钥）或用于认证。解决了密钥分发问题。协同工作举例（HTTPS）：客户端想与服务器建立安全连接。客户端生成一个随机的对称密钥（KeyA），用服务器的公钥加密KeyA后发送给服务器。服务器用私钥解密得到KeyA。之后客户端和服务器都使用KeyA进行对称加密通信。这样既利用了对称加密的速度，又解决了非对称加密的密钥分发问题，并保证了初始密钥的机密性。八、恶意软件（Malware）理解：指设计用于损害、干扰、获取非授权访问或对计算机系统、网络或用户数据进行恶意操作的软件代码或程序。类型举例：1.病毒（Virus）：需要依附于宿主程序或文件传播，感染后通常会自我复制。2.木马（TrojanHorse）：伪装成合法软件，诱骗用户安装后执行恶意操作，如窃取信息、创建后门。3.间谍软件（Spyware）：秘密收集用户信息（如浏览习惯、密码）并发送給攻击者。危害举例（以木马为例）：用户下载并运行伪装成游戏或工具的木马程序，木马在后台安装服务，创建后门，使攻击者可以远程控制用户计算机，窃取敏感信息，或将其用作DDoS攻击的僵尸节点。九、网络安全事件应急响应阶段：1.准备（Preparation）阶段：建立应急响应团队，制定应急预案，准备响应工具和资源，进行安全意识培训。2.识别（Identification）阶段：监控系统发现异常，初步判断是否发生安全事件，确定事件性质和范围。3.遏制（Containment）阶段：限制事件影响范围，防止事件扩散或进一步损害，保护关键系统和数据。可能包括隔离受感染系统、断开网络连接等。4.根除（Eradication）阶段：清除导致事件发生的威胁（如恶意软件、攻击者访问），修复漏洞，确保威胁不再存在。5.恢复（Recovery）阶段：将受影响的系统恢复到正常运行状态，验证系统安全性和业务功能，分析事件原因。6.事后总结（Post-IncidentActivity/LessonsLearned）阶段：对整个应急响应过程进行评估，总结经验教训，改进应急预案、技术防护和流程。十、防火墙理解：网络安全设备或软件，根据预设的安全规则（策略），监控和控制进出网络或网络区域的流量。状态检测防火墙：维护一个“状态表”，跟踪每个连接的状态（如TCP连接的SYN,ESTABLISHED状态）。对于已建立的、符合状态表的连接流量，允许通过；对于新的、未在状态表的连接请求，根据规则判断是否允许建立连接。性能较高，能提供较好的安全性。代理防火墙（应用层网关）：作为客户端和服务器之间的中介。客户端先连接到代理，代理再连接到目标服务器。代理检查应用层数据（如HTTP请求内容），根据规则决定是否转发。安全性高（能深度检查内容），但性能较低，且用户需要知道并配置代理服务器地址。部署方式：网络边界部署（作为唯一出口），内部网络部署（区域隔离），主机端部署（HIDS/HIPS功能）。十一、分析篡改的HTTP请求流量：1.使用Wireshark等抓包工具：对网络接口进行捕获，找到目标HTTP请求。2.检查请求头：查看请求方法（GET/POST/PUT等）、URL、Host、User-Agent、Cookie、Authorization等字段是否异常或被篡改。例如，Host字段是否指向恶意域名？3.检查请求体（如果存在）：对于POST或PUT请求，查看载荷内容是否被篡改。可以使用十六进制查看或根据内容类型（如JSON,XML）进行解析检查。对比预期内容。4.检查响应：对比响应状态码、响应头、响应体。响应是否被篡改？是否包含恶意内容？5.分析流量上下文：查看该请求之前的流量，是否有异常的请求或连接？6.（如果可能）进行重放和验证：尝试向服务器发送原始的、未被篡改的请求，看是否能得到预期的正常响应，以验证篡改的有效性。十二、数字签名理解：使用非对称加密技术生成的、附加在数据上的数字凭证，用于验证数据来源的合法性、确保数据完整性，并防止发送方否认其发送过该数据。工作原理：发送方使用自己的私钥对数据（或数据的哈希值）进行加密，生成数字签名。接收方使用发送方的公钥对数字签名进行解密，得到一个哈希值。同时，接收方也计算数据本身的哈希值。如果两个哈希值相同，则证明数据在传输过程中未被篡改，且确实来自持有对应私钥的发送方。作用：1.完整性：确保数据在传输或存储过程中未被修改。任何篡改都会导致哈希值变化，解密签名时验证失败。2.来源可靠性：接收方可以通过公钥确认数据确实来自声称的发送方，因为只有发送方能使用其私钥生成有效的签名。3.不可否认性：发送方在持有私钥的情况下，无法否认其发送过该已签名的数据。十三、渗透测试理解：在授权情况下，模拟黑客的攻击行为，对目标系统、网络或应用进行安全测试，以发现安全漏洞并评估其被利用的风险，从而提供改进建议。常用测试方法类型：1.扫描与枚举（Scanning&Enumeration）：使用工具（如Nmap,Nessus,OpenVAS）扫描目标，识别开放的端口、服务、操作系统版本、运行的应用程序、用户账户等。2.漏洞利用（VulnerabilityExploitation）：尝试利用发现的漏洞获取系统访问权限、提权或执行恶意操作。使用工具（如Metasploit）或编写脚本。3.权限维持（PrivilegeEscalation）：在获得初步访问权限后，尝试提升权限，以获得更高权限的操作能力。目标：验证漏洞是否真实存在并可被利用，评估攻击者可能达到的效果。十四、零信任安全模型理解：一种网络安全理念，核心思想是“从不信任，始终验证”（NeverTrust,AlwaysVerify）。它要求对网络内部和外部的所有用户（包括员工、设备、应用程序）进行持续的验证和授权，才允许其访问特定的资源，且访问权限应遵循最小权限原则。与传统“可信任网络”模型区别：1.信任基础不同：传统模型基于网络边界，认为一旦内部网络就默认可信任；零信任模型不基于网络位置，无论内部或外部，任何