2025年2月网络安全管理员初级工考试题+参考答案

2025年2月网络安全管理员初级工考试题+参考答案一、单项选择题（共20题，每题2分，共40分）1.以下哪种攻击方式通过发送大量伪造的TCP连接请求，耗尽目标主机的资源？A.ICMP洪水攻击B.SYN洪水攻击C.DNS放大攻击D.ARP欺骗攻击2.用于在传输层加密数据的安全协议是？A.SSL/TLSB.IPsecC.SSHD.HTTPS3.防火墙的主要功能不包括？A.过滤网络流量B.阻止恶意软件传播C.监控网络活动D.提供虚拟专用网络（VPN）4.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.SHA-2565.常见的缓冲区溢出漏洞主要影响以下哪个层面？A.应用程序层B.网络层C.数据链路层D.物理层6.在访问控制模型中，“用户仅能访问完成任务所需的最小资源”遵循的是？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.最小权限原则7.网络日志中，记录用户登录失败的日志通常属于？A.系统日志B.安全日志C.应用日志D.访问日志8.以下哪种恶意软件会将自身复制到其他程序中传播？A.蠕虫（Worm）B.病毒（Virus）C.木马（Trojan）D.勒索软件（Ransomware）9.OSI参考模型中，负责端到端可靠传输的是？A.传输层B.网络层C.会话层D.表示层10.以下哪项不符合强密码策略要求？A.长度12位以上B.包含大小写字母、数字和符号C.与用户名相同D.定期更换11.钓鱼攻击（Phishing）的主要目的是？A.破坏目标系统B.获取用户敏感信息C.消耗网络带宽D.植入勒索软件12.用于检测网络中异常流量的工具是？A.防火墙B.入侵检测系统（IDS）C.反病毒软件D.漏洞扫描器13.以下哪个端口通常用于SMTP邮件传输？A.21B.25C.80D.44314.防止SQL注入攻击的最有效方法是？A.安装防火墙B.对用户输入进行参数化查询C.定期更新系统补丁D.关闭数据库服务15.ARP协议的主要作用是？A.解析IP地址到MAC地址B.解析域名到IP地址C.路由选择D.错误检测16.以下哪种漏洞属于操作系统层面的安全缺陷？A.跨站脚本（XSS）B.缓冲区溢出C.CSRFD.弱口令17.网络安全中“零日漏洞”指的是？A.已修复的漏洞B.未被厂商知晓的新漏洞C.影响为零的漏洞D.仅存在一天的漏洞18.用于验证文件完整性的常用算法是？A.AESB.RSAC.SHA-256D.DES19.以下哪种访问控制技术通过硬件地址限制设备接入网络？A.MAC地址过滤B.IP地址过滤C.端口安全D.802.1X认证20.当发现员工电脑感染勒索软件时，正确的处理步骤是？A.立即支付赎金解密文件B.断开网络连接并隔离设备C.格式化硬盘重新安装系统D.使用杀毒软件直接删除病毒二、判断题（共10题，每题1分，共10分）1.为方便管理，网络设备应使用默认密码。（）2.MAC地址过滤可以完全防止非法设备接入网络。（）3.杀毒软件的实时监控功能能拦截所有新型恶意软件。（）4.钓鱼邮件通常会伪装成可信机构发送。（）5.端口扫描的目的是检测目标主机开放的服务。（）6.SSL/TLS协议仅用于网页加密，无法保护邮件传输。（）7.强密码应避免使用常见的字典词汇。（）8.防火墙可以完全防止病毒入侵。（）9.IDS（入侵检测系统）能主动阻止攻击行为。（）10.定期备份数据是应对勒索软件的重要措施。（）三、简答题（共5题，每题6分，共30分）1.简述SYN洪水攻击的原理及常见防御措施。2.列举三种常见的Web应用安全漏洞，并分别说明其防范方法。3.说明防火墙的基本功能及按技术实现的分类（至少两类）。4.描述恶意软件的主要传播途径（至少四种）。5.阐述“最小权限原则”在访问控制中的具体应用。四、操作题（共5题，每题4分，共20分）1.请写出使用Wireshark捕获HTTP流量时，设置过滤规则显示GET请求的具体步骤及过滤表达式。2.请说明使用Nmap扫描目标主机（IP：00）开放端口，并识别其操作系统的命令及参数含义。3.请描述在WindowsServer2022中通过图形界面配置防火墙，阻止8080端口入站连接的操作步骤。4.假设某主机感染了恶意软件“malware.exe”，请写出使用ClamAV杀毒软件扫描并隔离该文件的命令（假设文件路径为/opt/malware.exe）。5.编写一个简单的bash脚本，用于监控/var/log/auth.log日志中“Failedpassword”的登录失败次数，要求每5分钟输出一次当前累计次数。--参考答案一、单项选择题1.B2.A3.B4.C5.A6.D7.B8.B9.A10.C11.B12.B13.B14.B15.A16.B17.B18.C19.A20.B二、判断题1.×（默认密码易被已知攻击利用，需自定义强密码）2.×（MAC地址可伪造，需结合其他认证方式）3.×（新型恶意软件可能未被特征库收录）4.√（钓鱼攻击常伪装成银行、快递等可信方）5.√（端口扫描通过探测开放端口识别目标服务）6.×（SSL/TLS可用于邮件（SMTP/IMAP）、FTP等多种协议加密）7.√（使用字典词汇易被暴力破解）8.×（防火墙主要过滤流量，无法检测文件内容中的病毒）9.×（IDS仅检测和报警，IPS可主动阻止）10.√（备份可避免因勒索丢失数据）三、简答题1.原理：攻击者向目标主机发送大量伪造源IP的TCPSYN请求，目标主机为每个请求分配资源（如连接队列）并返回SYN-ACK，攻击者不响应ACK，导致目标资源耗尽无法处理正常连接。防御措施：①限制半开连接数（如防火墙设置SYN队列阈值）；②启用SYNCookie（动态提供验证令牌，减少资源消耗）；③部署入侵防御系统（IPS）拦截异常SYN流量；④升级网络设备处理能力。2.①SQL注入：用户输入未过滤，导致恶意SQL代码执行。防范：使用参数化查询（预编译语句）、输入验证（白名单过滤）。②跨站脚本（XSS）：恶意脚本注入网页，窃取用户Cookie。防范：对输出内容进行HTML转义、启用CSP（内容安全策略）。③CSRF（跨站请求伪造）：诱导用户执行非自愿操作。防范：添加CSRF令牌（随机token）、验证Referer头。3.基本功能：过滤网络流量（基于IP、端口、协议）、监控网络活动、实现网络地址转换（NAT）、提供VPN通道。分类：①包过滤防火墙（基于网络层/传输层规则过滤）；②状态检测防火墙（跟踪连接状态，增强安全性）；③应用层网关（代理防火墙，深度检查应用层数据）。4.传播途径：①电子邮件附件（伪装成文档/图片的恶意文件）；②恶意网站（利用浏览器漏洞自动下载）；③移动存储设备（U盘自动运行脚本）；④社交工程（诱导用户点击恶意链接）；⑤P2P文件共享（共享文件中植入病毒）。5.应用：①用户账户仅分配完成工作所需的最小权限（如普通用户无管理员权限）；②服务进程以低权限运行（如Web服务器使用www用户而非root）；③数据库用户仅开放查询权限，无删除/修改权限；④网络设备管理账户区分只读和配置权限；⑤定期审核权限，移除冗余权限。四、操作题1.步骤：①启动Wireshark，选择捕获接口；②在过滤栏输入表达式“http.request.method=="GET"”；③点击“开始捕获”，即可仅显示HTTPGET请求。2.命令：nmap-sV-O00参数含义：-sV（检测开放端口的服务版本）；-O（启用操作系统识别）。3.步骤：①打开“控制面板”-“WindowsDefender防火墙”-“高级设置”；②右键“入站规则”-“新建规则”；③选择“端口”-“TCP”-“特定本地端口”输入“8080”；④选择“阻止连接”-“所有网络类型”；⑤命名规则（如“阻止8080入站”）-“完成”。4.命令：clamscan--move=/quarantine/opt/malware.exe说明：--move参数指定隔离路径（需提前创建/quarantine目录），扫描后将恶意文件移动至此目录。5.脚本内容（保存为check_failed.sh）：```bash!/bin/bashwhile