2026年网络攻防基础专项试题及答案

2026年网络攻防基础专项试题及答案一、单项选择题（每题2分，共20分）1.在OSI参考模型中，负责在两个相邻节点间进行可靠数据传输的层次是（）。A.物理层B.数据链路层C.网络层D.传输层2.下列哪种攻击方式主要利用了TCP协议的三次握手过程？（）A.ARP欺骗B.SYN洪水攻击C.DNS劫持D.跨站脚本攻击3.用于检测网络中是否存在已知漏洞的主动安全评估技术是（）。A.入侵检测系统（IDS）B.漏洞扫描C.防火墙日志分析D.蜜罐技术4.在非对称加密体系中，用于加密数据的密钥是（）。A.发送方的公钥B.发送方的私钥C..接收方的公钥D.接收方的私钥5.下列哪项不属于社会工程学攻击的常见形式？（）A.钓鱼邮件B.尾随进入限制区域C.缓冲区溢出攻击D.假冒技术支持电话6.一个完整的数字签名过程通常涉及（）。A.发送方用私钥签名，接收方用发送方公钥验证B.发送方用公钥签名，接收方用发送方私钥验证C.发送方用接收方公钥签名，接收方用自己私钥验证D.发送方用接收方私钥签名，接收方用自己公钥验证7.在Windows系统中，用于存储用户账户密码哈希值的文件是（）。A.system.iniB.SAMC.boot.iniD.hosts8.下列哪种协议默认情况下不加密传输数据，存在嗅探风险？（）A.HTTPSB.SSHC.TelnetD.SFTP9.为了隐藏网络内部主机的真实IP地址，同时提供对外访问服务，最可能采用的技术是（）。A.VLAN划分B.NATC.VPND.端口镜像10.下列哪项是主机型入侵检测系统（HIDS）的典型特征？（）A.部署在网络关键节点，分析流经的网络流量B.主要检测针对网络协议的攻击C.安装在受保护的主机上，监控系统日志和文件完整性D.无法检测来自内部网络的攻击二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）1.下列属于主动防御技术的有（）。A.部署下一代防火墙（NGFW）B.定期进行渗透测试C.配置网络入侵防御系统（IPS）D.对员工进行安全意识培训E.实施基于主机的入侵检测系统（HIDS）2.关于木马与病毒的区别，正确的描述有（）。A.木马通常不具有自我复制功能，病毒具有B.木马的主要目的是窃取信息或远程控制，病毒的主要目的是破坏系统或数据C.木马的传播通常需要用户交互（如点击运行），病毒的传播可以自动进行D.木马和病毒都属于恶意代码，没有本质区别E.木马通常伪装成正常程序，病毒则可能附着在正常程序上3.以下哪些措施可以有效防范SQL注入攻击？（）A.对用户输入进行严格的过滤和转义B.使用参数化查询或预编译语句C.在数据库端部署防火墙D.赋予Web应用程序数据库管理员（DBA）权限以方便操作E.定期更新Web应用程序和数据库管理系统4.在网络安全事件应急响应中，“抑制”阶段可能采取的行动包括（）。A.确定事件的影响范围和严重程度B.将被攻击的主机从网络中断开C.更改受影响系统的密码D.对攻击源进行反向攻击E.修补已识别的安全漏洞5.关于公钥基础设施（PKI）的核心组成部分，下列描述正确的有（）。A.证书颁发机构（CA）负责签发和管理数字证书B.注册机构（RA）负责验证申请者的身份，但不签发证书C.数字证书包含了用户的公钥和CA的私钥D.证书吊销列表（CRL）用于公布已失效的证书序列号E.密钥管理是PKI中唯一重要的环节三、判断题（每题1分，共10分，正确的打“√”，错误的打“×”）1.（）防火墙可以完全阻止内部网络发起的攻击。2.（）MD5和SHA-1哈希算法目前被认为是安全的，可以用于密码存储。3.（）VPN通过在公共网络上建立加密隧道来保证数据传输的机密性和完整性。4.（）端口扫描是一种攻击行为，没有任何合法的安全用途。5.（）“零日漏洞”是指已经被软件厂商发现并发布了补丁的漏洞。6.（）Wireshark是一款功能强大的网络协议分析器，可用于合法网络排错和恶意流量分析。7.（）在渗透测试中，获得目标系统的最高权限（如root/Administrator）通常标志着测试的结束。8.（）DDoS攻击的目的是耗尽目标系统的资源，使其无法提供正常服务。9.（）同态加密允许在密文上进行计算，而解密结果与在明文上计算的结果一致。10.（）网络安全法规定，网络运营者必须留存网络日志不少于六个月。四、填空题（每空1分，共15分）1.在TCP/IP协议栈中，IP协议位于______层，提供______的服务。2.常见的网络扫描类型包括：______扫描（探测主机是否在线）、______扫描（探测开放端口）和______扫描（探测操作系统和软件版本）。3.访问控制的三要素是：主体、客体和______。常见的访问控制模型有自主访问控制（DAC）、强制访问控制（MAC）和______。4.在Linux系统中，文件`/etc/passwd`存储了用户账户信息，而加密后的密码哈希值通常存储在______文件中。用于提升权限的命令是______。5.跨站脚本攻击（XSS）主要分为三类：反射型XSS、______型XSS和基于______的XSS。6.根据威胁来源，网络安全威胁可分为______威胁和______威胁。7.在密码学中，将明文转换为密文的过程称为______，所使用的变换规则称为______。五、简答题（每题5分，共20分）1.简述对称加密与非对称加密的主要区别，并各举一个典型算法。2.什么是ARP欺骗？简述其基本原理和一种防范措施。3.列出并简要说明入侵检测系统（IDS）的两种主要技术检测方法。4.简述在收到一封可疑钓鱼邮件时，个人用户应采取哪些基本检查和处理步骤。六、综合应用题（每题10分，共20分）1.某公司Web服务器（IP:00）近期响应缓慢，疑似遭受攻击。安全管理员使用`tcpdump`在服务器网络接口捕获到大量异常数据包片段。请分析以下可能的情况及应对措施：(1)若发现大量来自不同源IP的TCPSYN包发往服务器的80端口，但几乎都没有完成三次握手，这可能是什么攻击？原理是什么？如何缓解？（4分）(2)若发现大量ICMPEchoRequest(Ping)包从少数几个源IP以极高频率发往服务器，这可能是什么攻击？其直接目的是什么？在防火墙上如何配置以阻断此类流量？（3分）(3)除了上述基于流量的防护，请从系统管理和应用层面提出两条增强该Web服务器安全性的建议。（3分）2.假设你是一名安全分析师，收到一份关于内部办公网中某台主机（Windows10系统）行为异常的报告。该主机CPU占用率持续过高，且网络连接中出现大量向未知外部IP地址的443端口发起连接尝试。请设计一个初步的调查分析流程，包括：(1)你将使用哪些Windows内置工具或命令来收集系统信息（至少列出三个并说明用途）。（4分）(2)如何初步判断该主机是否感染了恶意软件？（3分）(3)在确认感染后，为阻止威胁扩散和进行取证，在断网之前应优先记录哪些关键信息？（3分）答案与解析一、单项选择题1.B。解析：在OSI参考模型中，数据链路层负责在相邻节点（同一网段）间进行可靠的数据帧传输，提供差错控制和流量控制。物理层负责比特流传输，网络层负责寻址和路由，传输层负责端到端的可靠传输。2.B。解析：SYN洪水攻击是一种典型的DoS攻击，攻击者发送大量的TCPSYN连接请求包，但不完成第三次握手，耗尽服务器的连接资源，使其无法为正常请求服务。3.B。解析：漏洞扫描是主动对目标系统（网络、主机、应用）进行探测，以发现其中可能存在的安全弱点的技术。IDS主要用于监测和报警，防火墙日志分析是被动分析，蜜罐是诱捕技术。4.C。解析：在非对称加密中，公钥用于加密，私钥用于解密。为了确保只有预期的接收者能解密，发送方应使用接收方的公钥进行加密。5.C。解析：缓冲区溢出攻击属于软件漏洞利用攻击，依赖于程序代码缺陷。社会工程学攻击则是利用人的心理弱点、信任关系等实施欺骗，A、B、D均为典型的社会工程学手段。6.A。解析：数字签名的目的是验证信息的完整性和来源的真实性。发送方用自己的私钥对信息摘要进行加密（即签名），接收方用发送方的公钥解密签名得到摘要，并与自己计算的信息摘要对比，一致则验证通过。7.B。解析：在Windows系统中，安全账户管理器（SAM）文件（位于`%SystemRoot%\system32\config\`）存储了本地用户账户的密码哈希值（在域环境中，此信息存储在域控制器上）。8.C。解析：Telnet协议在传输过程中不对用户名、密码和数据进行加密，所有信息以明文形式传送，容易被网络嗅探工具截获。HTTPS、SSH、SFTP均使用加密通道。9.B。解析：网络地址转换（NAT）可以将内部网络的私有IP地址转换为公网IP地址，使得内部主机可以访问外部网络，同时对外隐藏了内部网络结构。端口映射（NAT的一种）可以实现外部对内部特定服务的访问。10.C。解析：主机型入侵检测系统（HIDS）安装在需要保护的关键主机上，通过监控该主机的系统日志、文件完整性、进程活动、注册表变化等来检测攻击行为。A、B描述的是网络型入侵检测系统（NIDS）。二、多项选择题1.B,C。解析：主动防御技术是指在威胁发生前或发生时，主动采取行动以阻止、干扰或响应攻击的技术。渗透测试（B）是主动寻找漏洞，IPS（C）能主动阻断攻击流量。A（防火墙）和E（HIDS）主要属于被动检测和访问控制，D属于管理措施。2.A,B,C,E。解析：木马（Trojan）通常伪装成有用软件，诱使用户执行，以窃取信息或建立后门，不具备自我复制和传播能力；病毒（Virus）是一段附着在其他程序上并能自我复制的恶意代码，主要目的是破坏。D选项错误，两者有本质区别。3.A,B,E。解析：防范SQL注入的核心是“不信任用户输入”。A（输入过滤/转义）和B（参数化查询）是直接有效的代码层防御手段。E（定期更新）可以修复已知漏洞。C（数据库防火墙）有一定作用，但非根本解决方案。D是极其危险的做法，违反了最小权限原则。4.B,C,E。解析：抑制阶段的目标是限制事件的影响和扩散。B（隔离受感染主机）、C（更改凭证防止进一步利用）、E（打补丁消除漏洞根源）都是典型的抑制措施。A属于“检测与分析”阶段，D（反向攻击）是非法的，且可能扩大事态。5.A,B,D。解析：PKI的核心组件包括CA（签发证书）、RA（审核身份）、证书库、CRL/OCSP（吊销验证）等。C错误，数字证书包含用户的公钥和CA的数字签名（用CA私钥生成），不包含CA私钥。E错误，PKI是一个包含证书生命周期管理、密钥管理、策略管理等的完整体系。三、判断题1.×。解析：传统防火墙主要基于网络层和传输层规则过滤内外网之间的流量，对于内部主机之间或内部主机发起的出站攻击（如内部感染蠕虫），其防护能力有限。2.×。解析：MD5和SHA-1已被证实存在碰撞漏洞，即可以人为制造出具有相同哈希值的不同文件，因此不再安全，不应用于密码存储等安全敏感场景。推荐使用SHA-256、bcrypt、Argon2等更强算法。3.√。解析：VPN技术通过在公共网络（如互联网）上建立一条加密的、点对点的逻辑隧道，确保数据在传输过程中的机密性（不被窃听）和完整性（不被篡改）。4.×。解析：端口扫描本身是一种信息收集技术。安全管理员和渗透测试人员使用端口扫描来发现网络资产、检查开放服务、评估安全状况，这是合法的安全运维和评估活动。当然，未经授权的扫描可能构成违法或攻击前奏。5.×。解析：“零日漏洞”（0-day）特指已经被攻击者发现并利用，但软件厂商尚不知晓或还未发布补丁的漏洞。一旦厂商知晓并发布补丁，该漏洞就不再是“零日”。6.√。解析：Wireshark是一款开源的网络封包分析软件，功能强大。它既可用于网络故障排查、协议学习、软件开发调试等合法用途，也可被攻击者用于分析网络流量、窃取敏感信息。7.×。解析：获得最高权限是渗透测试的关键里程碑，但并非终点。测试人员还需要进行权限维持、横向移动、信息收集（如获取敏感数据）、清理痕迹等，并根据测试目标完成完整的攻击链模拟，最后提供详细的报告。8.√。解析：分布式拒绝服务（DDoS）攻击通过控制大量“僵尸主机”（肉鸡）同时向目标发送海量请求，耗尽目标的带宽、连接池、计算资源等，使其无法对合法用户提供服务。9.√。解析：同态加密是一种特殊的加密方法，允许对密文直接进行特定的代数运算，运算结果解密后与对明文进行同样运算的结果一致。它在隐私保护计算（如云端数据计算）领域有重要前景。10.√。解析：根据《中华人民共和国网络安全法》第二十一条规定，网络运营者应当按照规定留存相关的网络日志不少于六个月。这是网络安全合规的基本要求。四、填空题1.网络，无连接、不可靠的2.主机发现，端口，服务/版本3.访问策略/控制策略，基于角色的访问控制（RBAC）4.`/etc/shadow`，`sudo`或`su`5.存储，DOM6.内部，外部7.加密，密码算法五、简答题1.答：主要区别：1.密钥：对称加密使用同一个密钥进行加密和解密；非对称加密使用一对数学上相关的密钥，即公钥和私钥，公钥加密需用对应私钥解密，反之亦然。2.速度与效率：对称加密算法计算速度快，适合加密大量数据；非对称加密算法计算复杂，速度慢，通常只用于加密小数据（如会话密钥）或数字签名。3.密钥分发：对称加密的密钥需要在通信双方间安全共享，密钥分发是难题；非对称加密的公钥可以公开，私钥严格保密，解决了密钥分发问题。典型算法：对称加密如AES（高级加密标准）、DES（数据加密标准，已不安全）；非对称加密如RSA、ECC（椭圆曲线加密）。2.答：定义：ARP欺骗（ARPSpoofing/Poisoning）是一种针对局域网（LAN）的攻击技术，攻击者通过伪造IP地址与MAC地址对应的ARP应答报文，来篡改目标主机或网关的ARP缓存表。基本原理：在局域网中，主机通过ARP协议将IP地址解析为MAC地址。攻击者持续向目标主机发送伪造的ARP响应包，声称“某IP（如网关IP）的MAC地址是攻击者的MAC地址”，导致目标主机将发往该IP的流量错误地发送到攻击者主机。攻击者可以窃听、篡改流量（中间人攻击），或直接进行拒绝服务攻击。一种防范措施：部署动态ARP检测（DAI）功能。在支持DAI的交换机上，它会检查接口上收到的ARP报文，验证其IP-MAC绑定的合法性（通常通过对比DHCP监听表或静态配置的绑定表），丢弃非法的ARP报文。3.答：误用检测（MisuseDetection/Signature-basedDetection）：原理：预先定义已知攻击的模式（特征签名），如特定的数据包序列、字符串或系统调用序列。IDS将监测到的活动与特征库进行匹配，若匹配则报警。特点：对已知攻击检测准确率高、误报率低；但无法检测未知攻击或变种攻击（零日攻击），需要持续更新特征库。异常检测（AnomalyDetection）：原理：首先建立系统或用户行为的正常基线模型（如流量模式、CPU使用率、登录时间等）。在检测时，将当前行为与基线模型对比，若偏差超过预定阈值，则视为异常并报警。特点：理论上能检测未知攻击；但建立准确的基线模型较难，且容易产生误报（将正常但偏离基线的行为判为攻击）。4.答：1.检查发件人地址：仔细查看发件人邮箱地址，注意拼写错误、仿冒域名（如将`@example`仿冒为`@examp1e`）。2.审视邮件内容：警惕制造紧急或恐慌气氛的邮件（如“账户异常”、“包裹待取”）、索要个人信息（账号、密码、身份证号）、要求点击链接或下载附件。注意语法错误和格式问题。3.悬停检查链接：将鼠标悬停在邮件中的链接上（切勿点击），查看浏览器状态栏显示的真正URL地址是否与声称的一致，或是否指向可疑域名。4.谨慎对待附件：对不期而至的附件（尤其是`.exe`,`.scr`,`.zip`,`.docm`等）保持高度警惕，即使来自“熟人”，也需通过其他渠道确认。5.不直接回复或点击：不要回复可疑邮件，不要点击其中的链接，也不要拨打邮件中提供的电话号码。6.报告与删除：将邮件标记为“钓鱼”或“垃圾邮件”报告给邮件服务商，然后彻底删除该邮件。如果涉及公司邮箱，应按照安全政策报告给IT或安全部门。六、综合应用题1.答：(1)攻击类型：SYN洪水攻击（一种DoS攻击）。原理：攻击者向服务器发送大量伪造源IP的TCPSYN包，请求建立连接。服务器为每个请求分配资源并回复SYN-ACK包，然后等待客户端的ACK包（第三次握手）。由于源IP是伪造的或无响应，服务器将等待超时，大量半开连接耗尽其连接队列资源，导致正常用户无法建立连接。缓解措施：①启用SYNCookie机制（在Linux内核中配置），使服务器在收到SYN时不立即分配资源；②调整操作系统TCP/IP栈参数，如减小`SYN_RECEIVED`状态超时时间、增大连接队列；③部署具备DDoS缓解能力的防火墙或专用设备，识别并过滤异常SYN流量。(2)攻击类型：ICMP洪水攻击（PingFlood）。直接目的：耗尽服务器的网络带宽或处理ICMP请求的CPU资源，导致网络拥堵或系统响应缓慢。防火墙配置：在边界或服务器前端防火墙上创建规则，丢弃或限制发往该服务器的ICMPEchoRequest包。例如，可以设置阈值，限制每秒来自同一源IP的ICMP请求数量，或直接禁止所有入站的ICMPEchoRequest（但可能影响合法的网络诊断）。(3)系统管理和应用层面建议：系统层面：①最小化服务：关闭服务器上所有非必需的端口和服务。②及时更新：建立严格的补丁管理流程，及时为操作系统、Web服务器软件（如Apache/Nginx）、数据库和应用框架打上安全补丁。③强化配置：遵循安全基线对系统进行加固，如配置强密码策略、限制登录尝试次数、使用非root权限运行Web服务。应用层面：①输入验证与输出编码：在Web应用程序代码中，对所有用户输入进行严格的验证、过滤和转义，防止注入和XSS攻击。②安全开发：在软件开发周期（SDLC）中融入安全考虑，进行代码安全审计。③部署WAF：在Web服务器前部署Web应用防火墙（WAF），用于过滤常见的Web攻击（如SQL注入、XSS、文件包含等）。2.答：(1)Windows内置信息收集工具/命令：任务管理器（TaskManager）：查看实时进程列表、CPU/内存/磁盘/网络占用情况，识别可疑或高资源占用的进程。资源监视器（ResourceMonitor）：更详细地查看进程的CPU、内存、磁盘和网络活动，特别是可以查看每个进程建立了哪些网络连接（远程地址和端口）。网络连接命令：在命令行中使用`netstat-ano`。`-a`显示所有连接和监听端口，`-n`以数字形式显示地址和端口号，`-o`显示拥有每个连接的进程ID（PID）。结合任务管理器，可以定位到建立异常外连的进程。系统信息