2025年计算机网络安全考试试题及答案

2025年计算机网络安全考试试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在SSL/TLS握手协议中，用于协商加密套件的消息是（）A.ClientHello  B.ServerHello  C.Certificate  D.Finished答案：A2.下列哪一项最能有效抵御重放攻击（）A.时间戳+序列号  B.CRC校验  C.Base64编码  D.对称加密答案：A3.关于AES128、AES192、AES256三种密钥长度，下列说法正确的是（）A.轮数相同  B.轮数依次增加  C.分组长度不同  D.初始轮密钥加轮数不同答案：B4.在Windows系统中，用于存储用户哈希的SAM文件默认路径为（）A.%SystemRoot%\config\SAM  B.%SystemRoot%\system32\config\SAM  C.C:\Windows\System32\drivers\SAM  D.C:\Windows\Security\SAM答案：B5.以下哪种算法被我国《商用密码管理条例》明确列为“核心密码”且禁止出口（）A.SM1  B.SM2  C.SM3  D.SM4答案：A6.在公钥基础设施PKI中，负责发布证书撤销列表的实体是（）A.RA  B.CA  C.VA  D.OCSP答案：B7.关于IPv6邻居发现协议（NDP）的安全威胁，下列说法错误的是（）A.可被用于伪造路由器通告  B.可被用于实施DAD攻击  C.可结合SeND协议缓解  D.无法被链路层加密缓解答案：D8.在Linux系统中，若文件权限为“rwsrxrx”，则其中s位表示（）A.强制位  B.冒险位  C.粘滞位  D.属主setUID答案：D9.下列哪条iptables规则可丢弃所有来自/24的ICMP报文（）A.iptablesAINPUTs/24picmpjDROPB.iptablesAOUTPUTd/24picmpjDROPC.iptablesAFORWARDs/24jDROPD.iptablesAINPUT!s/24picmpjACCEPT答案：A10.在OWASPTop102021版中，排名首位的安全风险是（）A.失效的访问控制  B.加密失败  C.注入  D.不安全设计答案：A11.关于Kerberos协议，下列说法正确的是（）A.TGT由应用服务器颁发  B.使用非对称加密完成用户身份验证  C.依赖对称加密与第三方可信中心  D.不需要时间同步答案：C12.在DNSSEC中，用于验证资源记录真实性的核心记录类型是（）A.AAAA  B.RRSIG  C.PTR  D.MX答案：B13.以下哪项不是缓冲区溢出攻击的必要前提（）A.程序存在边界检查缺陷  B.攻击者能控制溢出内容  C.栈可执行  D.系统启用ASLR答案：D14.关于国密SM2公钥加密算法，下列描述正确的是（）A.基于椭圆曲线离散对数难题  B.分组长度为512位  C.签名过程不需要随机数  D.密钥长度固定为256位答案：A15.在Wireshark中，过滤显示所有TCPSYN包的表达式是（）A.tcp.flags.syn==1  B.tcp.syn==1  C.tcp.flag==2  D.tcp.reset答案：A16.以下哪项技术可有效防御CSRF攻击（）A.同源策略  B.CSRFToken  C.XSSFilter  D.HSTS答案：B17.在Android10及以上版本，应用获取设备IMEI需申请的权限是（）A.READ_PHONE_STATE  B.READ_PRIVILEGED_PHONE_STATE  C.ACCESS_FINE_LOCATION  D.无法获取答案：B18.关于量子计算对密码学的影响，下列说法错误的是（）A.Shor算法可在多项式时间内分解大整数  B.Grover算法可将对称密钥强度减半  C.后量子密码学已标准化全部算法  D.NIST已启动PQC标准化项目答案：C19.在Windows日志中，事件ID4624表示（）A.账户登录成功  B.账户登录失败  C.特权提升  D.对象访问答案：A20.关于云安全责任共担模型，下列由云服务商负责的是（）A.对象存储内数据分类  B.虚拟化层漏洞修补  C.客户侧密钥管理  D.应用代码安全答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于对称加密算法（）A.ChaCha20  B.ECC  C.3DES  D.RC4  E.RSA答案：A、C、D22.关于HTTP响应头安全，下列哪些头部可缓解点击劫持（）A.XFrameOptions  B.ContentSecurityPolicy  C.StrictTransportSecurity  D.XContentTypeOptions  E.ReferrerPolicy答案：A、B23.以下哪些工具可用于无线渗透测试（）A.aircrackng  B.reaver  C.wireshark  D.nmap  E.hashcat答案：A、B、C24.关于零信任架构核心原则，下列说法正确的是（）A.永不信任，持续验证  B.默认信任内网流量  C.最小权限访问  D.微分段  E.以边界防护为核心答案：A、C、D25.以下哪些日志类型可用于Linux入侵取证（）A./var/log/auth.log  B./var/log/audit/audit.log  C./var/log/btmp  D.~/.bash_history  E./proc/kmsg答案：A、B、C、D26.关于勒索软件防御，下列措施有效的是（）A.定期离线备份  B.启用宏脚本自动运行  C.应用白名单  D.及时补丁管理  E.关闭RDP公网端口答案：A、C、D、E27.以下哪些属于常见的WebShell通信特征（）A.UserAgent固定为“ChinaChopper”  B.POST数据含“z0”“z1”“z2”参数  C.返回200OK且正文为“HelloWorld”  D.使用Base64编码回传结果  E.长连接保持答案：A、B、D28.关于Docker安全，下列哪些做法可降低容器逃逸风险（）A.启用UserNamespace  B.挂载/var/run/docker.sock  C.使用privileged运行  D.启用seccomp  E.只读根文件系统答案：A、D、E29.以下哪些属于国密算法体系（）A.SM1  B.SM2  C.SM3  D.SM4  E.SM9答案：A、B、C、D、E30.关于BGP安全，下列哪些技术可防止路由劫持（）A.RPKI  B.BGPsec  C.IRR  D.ASPath预过滤  E.Blackhole路由答案：A、B、C、D三、填空题（每空1分，共20分）31.SHA256输出长度为  位，其分组大小为  位。答案：256，51232.在Linux系统中，用于限制用户进程数的配置文件为  。答案：/etc/security/limits.conf33.当HTTPS站点使用HSTS时，浏览器在maxage指定时间内会强制使用  协议访问。答案：HTTPS34.在Metasploit中，用于搜索模块的命令是  。答案：search35.国密SM3杂凑算法输出长度为  字节。答案：3236.在Windows中，用于查看当前登录用户SID的命令是  。答案：whoami/user37.当利用SQLMap进行POST注入时，需使用参数  指定请求数据文件。答案：data38.IPv6地址2001:db8::1/64中，前缀长度为  位。答案：6439.在公钥密码学中，ECC256的安全强度大约相当于RSA  位。答案：307240.在iptables中，用于实现网络地址转换的表是  。答案：nat41.当利用JohntheRipper破解Linuxshadow文件时，需先使用  工具提取哈希。答案：unshadow42.在PKCS1v1.5填充中，明文前导字节为0x000x01，其后应填充至少  字节的0xFF。答案：843.在Android反编译中，将dex文件转换为jar格式的常用工具是  。答案：dex2jar44.当启用WindowsDefenderCredentialGuard时，LSA进程运行在  隔离容器。答案：VSM（VirtualSecureMode）45.在Wireshark中，过滤显示所有DNS查询的表达式为  。答案：dns.flags.response==046.当使用OpenSSL生成RSA私钥时，默认采用  格式存储。答案：PEM47.在BGP报文中，用于维持邻居关系的报文类型是  。答案：Keepalive48.当利用BurpSuite进行暴力破解时，需将攻击类型设置为  模式以实现变量替换。答案：Pitchfork49.在Linux中，用于查看当前内核环行缓冲区的命令是  。答案：dmesg50.当利用GitHack恢复源码时，需访问的默认泄露路径为  。答案：.git/四、简答题（每题6分，共30分）51.简述Kerberos协议中票据授予票据（TGT）的作用及生命周期管理要点。答案：TGT由KDC的AS服务颁发，用于后续向TGS申请服务票据，避免用户重复输入口令；生命周期包含生成时间、开始时间、结束时间及续签时间，默认10小时可续签；通过设置krbtgt账户口令定期更换、启用PAC验证、限制委派等方式强化安全；若TGT被盗，攻击者可伪造任何服务票据，因此需配合审计与快速撤销机制。52.说明DNSSEC中“信任链”建立过程，并指出其可能导致的新的可用性风险。答案：信任链从根区ZSK签名开始，逐级由父区DS记录指向子区KSK，形成公钥链；解析器通过验证RRSIG与DNSKEY匹配及哈希对比完成信任；风险包括密钥rollover时父区未及时更新DS导致解析失败、大型签名响应引发UDP分片被中间设备丢弃、密钥泄露需紧急撤销造成区域不可用；需采用CDNSKEY、CDS自动化及响应裁剪技术缓解。53.对比对称加密与公钥加密在密钥分发、计算效率、前向保密方面的差异。答案：对称加密需预共享或建立安全信道，公钥加密通过证书实现开放分发；对称加密计算量低，适合大数据，公钥加密计算量高100–1000倍；对称加密默认无前向保密，若密钥泄露历史数据可被解密，公钥结合ECDHE可实现前向保密，每次会话密钥独立；实际系统采用混合加密，先用公钥协商对称密钥，再用对称加密传输。54.描述Linux下利用eBPF实现系统调用审计的原理，并给出一条示例命令。答案：eBPF允许在内核运行沙盒程序，通过kprobe或tracepoint挂载系统调用入口，过滤参数并回传用户态；相比auditd减少上下文切换，性能提升5–10倍；示例：使用bpftrace审计execve调用bpftracee'tracepoint:syscalls:sys_enter_execve{printf("%s:%s\n",comm,str(args>filename));}'输出显示进程名及执行文件路径，可进一步统计高频异常调用。55.解释“云原生”容器逃逸中“脏牛”漏洞（CVE20165195）的利用链，并给出缓解措施。答案：攻击者通过容器内触发dirtycow竞争条件，将只读映射的vDSO页面改写为提权shellcode，随后调用gettimeofday触发内核执行，获得宿主机root；缓解：升级内核>4.8.3，启用seccomp禁止madvise，使用只读sysfs挂载，启用AppArmor限制ptrace与mem_write，结合PodSecurityPolicy禁止CAP_SYS_RAWIO。五、综合应用题（共60分）56.密码协议分析（15分）某系统采用简化STS协议：1.A→B: A,Na2.B→A: B,Nb,E_Kb(Na),Sig_B(Na||Nb)3.A→B: E_Ka(Nb),Sig_A(Na||Nb)其中E_Kx为对称加密，Sig_x为数字签名。（1）指出该协议存在的两个主要安全缺陷（4分）（2）给出改进方案，要求引入证书与密钥协商，并画出改进后的三行消息（8分）（3）说明如何验证前向保密（3分）答案：（1）缺陷：①无身份证书，无法验证公钥归属，易受中间人攻击；②Na、Nb明文传输，可被重放；③签名未含会话密钥，无法绑定后续加密通道。（2）改进：引入证书Cert_X，使用ECDHE协商密钥，消息如下：1.A→B: Cert_A,ECDHE_A,Na2.B→A: Cert_B,ECDHE_B,E_Km(Na||Nb),Sig_B(ECDHE_B||ECDHE_A||Na)3.A→B: E_Km(Nb),Sig_A(ECDHE_A||ECDHE_B||Nb)其中Km=ECDHE共享密钥；签名绑定临时公钥与随机数，防止中间人。（3）前向保密验证：每次会话使用一次性ECDHE密钥对，长期认证私钥泄露无法推导出Km，因私钥未参与密钥计算；通过抓包验证每次握手ECDHE参数不同，且无法从证书私钥恢复Km。57.网络流量取证（15分）给出pcap片段（十六进制）：`000c293a9b22005056c00008080045000028000100004006b51ac0a80168c0a8010100501e6100000000000000005002200000000000`（1）写出源MAC、目的MAC、协议类型、源IP、目的IP、源端口、目的端口（7分）（2）判断该报文所属TCP连接状态，并说明理由（3分）（3）若后续捕获到同一四元组PSH+ACK报文，Seq=1,Ack=1,Len=1360，计算下一报文期望ACK号（2分）（4）假设攻击者伪造RST报文，需满足哪些字段条件才能成功中断连接（3分）答案：（1）源MAC：00:0c:29:3a:9b:22；目的MAC：00:50:56:c0:00:08；协议：IPv4(0x0800)；源IP：04；目的IP：；源端口：80；目的端口：7777。（2）状态：SYN_SENT；理由：SYN=1,ACK=0,Seq=0,为首次握手。（3）下一期望ACK=1+1360=1361。（4）RST需：Seq号等于接收方期望ACK(1361)或落在当前窗口；RST=1；校验和正确；TTL与原路径相近；若启用RFC5961，需挑战ACK，但仍可造成中断。58.恶意代码分析（15分）样本MD5：d41d8cd98f00b204e9800998ecf8427e（实际分析假设为假）行为：1.创建计划任务名为“ChromeUpdate”2.向/imgs/logo.png下载第二段载荷，异或0x99解密3.修改注册表Run键实现持久化4.利用CreateRemoteThread注入notepad.exe（1）给出静态分析中可快速定位解密函数的两种特征（4分）（2）写出YARA规则，匹配硬编码C2域名（5分）（3）说明如何在不运行样本前提下，模拟获取第二段载荷并解密（3分）（4）给出清除主机残留的自动化脚本（Powershell，3分）答案：（1）特征：①出现大量异或0x99指令，IDA中搜索“0x99^”或“xoral,99h”；②发现WinHttpReadData后紧跟循环对缓冲区逐字节异或；③解密后MZ头“MZ”作为立即数比较。（2）YARA：ruleChromeUpdate_C2{strings:$a=""nocasecondition:$a}（3）模拟：用curl下载logo.png，保存为raw，python脚本逐字节异或0x99并写入exe，检测PE头。（4）Powershell：GetScheduledTask|WhereObject{$_.TaskNameeq'ChromeUpdate'}|UnregisterTaskConfirm:$falseRemoveItemPropertyPath'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run'Name'ChromeUpdate'