网络安全红蓝对抗工程师考试试卷及答案

网络安全红蓝对抗工程师考试试卷及答案一、填空题（每题1分，共10分）1.蓝军常用漏洞扫描工具Nessus由______（美国/中国）公司开发。2.红军横向移动常用协议是______（SMB/RDP）。3.红队核心目标是______（模拟攻击/防御加固）。4.蓝队检测入侵的关键技术是______（IDS/防火墙）。5.红队密码破解工具是______（JohntheRipper/Wireshark）。6.红蓝对抗“静默期”是______（双方/单方）停止操作的时间段。7.蓝队流量分析工具是______（Wireshark/Nmap）。8.红队权限维持常用技术是______（注册表持久化/日志清理）。9.红蓝对抗核心原则是______（真实模拟/绝对安全）。10.蓝队应急响应第一步是______（确认事件/containment）。二、单项选择题（每题2分，共20分）1.以下属于红队攻击阶段的是？A.漏洞修复B.横向移动C.日志分析D.防火墙配置2.SIEM工具主要功能是？A.漏洞扫描B.流量捕获C.事件关联分析D.密码破解3.红队端口扫描工具是？A.NmapB.NessusC.WiresharkD.Snort4.“紫队”作用是？A.攻击B.防御C.裁判D.开发工具5.权限提升常用方法是？A.弱口令B.横向移动C.数据窃取D.应急响应6.应急响应“containment”目标是？A.清除恶意代码B.阻止攻击扩散C.修复漏洞D.恢复系统7.不属于社会工程学攻击的是？A.钓鱼邮件B.pretextingC.流量分析D.肩窥8.蓝军漏洞利用防护工具是？A.MetasploitB.Exploit-ShieldC.WiresharkD.Nmap9.红队攻击路径不包括？A.初始访问B.权限提升C.横向移动D.漏洞修复10.红队内存注入工具是？A.MimikatzB.JohntheRipperC.NmapD.Wireshark三、多项选择题（每题2分，共20分）1.红队攻击生命周期包括？A.侦查B.初始访问C.权限提升D.横向移动2.蓝队防御体系包含？A.漏洞管理B.入侵检测C.应急响应D.安全培训3.社会工程学攻击类型有？A.钓鱼B.pretextingC.肩窥D.水坑攻击4.红队权限维持技术有？A.注册表修改B.计划任务C.服务伪装D.日志清理5.IDS类型包括？A.网络IDSB.主机IDSC.应用IDSD.无线IDS6.红队需收集的目标信息有？A.IP地址B.域名C.员工邮箱D.系统版本7.红队漏洞利用工具是？A.MetasploitB.EmpireC.CobaltStrikeD.Nessus8.应急响应阶段包括？A.准备B.检测分析C.containmentD.根除恢复9.红队横向移动工具/技术有？A.PsExecB.WMIC.SMBRelayD.Mimikatz10.红蓝对抗价值包括？A.提升防御能力B.验证安全策略C.发现隐藏漏洞D.培训安全团队四、判断题（每题2分，共20分）1.红队目标是完全破坏系统，而非模拟攻击。（×）2.蓝队可使用红队工具做防御测试。（√）3.社会工程学不属于红蓝对抗攻击手段。（×）4.静默期内红蓝可进行少量操作。（×）5.SIEM仅能检测已知攻击。（×）6.红队权限维持后需清理攻击痕迹。（√）7.蓝队漏洞管理只需修复已知漏洞。（×）8.对抗报告需包含攻击路径和防御建议。（√）9.紫队帮助红队攻击增强对抗性。（×）10.Mimikatz可提取明文密码。（√）五、简答题（每题5分，共20分）1.简述红队核心职责。答案：红队模拟真实攻击者（如APT）的TTPs，核心职责包括：①前期侦查（收集目标网络、人员公开信息）；②初始访问（钓鱼、弱口令等获取权限）；③权限提升（从普通用户到管理员）；④横向移动（内网扩散）；⑤数据窃取/验证（确认敏感数据可被获取）；⑥权限维持（长期控制）；⑦痕迹清理（避免被检测）。最终输出攻击路径报告，帮助蓝队发现防御薄弱点。2.简述蓝队应急响应流程。答案：遵循“准备-检测-分析-containment-根除-恢复-总结”七步法：①准备（预案、工具部署、培训）；②检测（SIEM、日志发现异常）；③分析（确认事件类型/范围）；④Containment（隔离受攻击系统，阻止扩散）；⑤根除（清除恶意代码、关闭漏洞）；⑥恢复（系统恢复，验证无残留）；⑦总结（复盘，更新策略）。目标是最小化攻击影响，提升防御能力。3.简述社会工程学在红蓝对抗中的应用。答案：红队常用非技术攻击手段，场景包括：①钓鱼邮件（伪装正规邮件诱导点击）；②pretexting（伪装IT/HR骗取账号）；③肩窥（观察员工输密码）；④水坑攻击（目标常用网站植马）；⑤impersonation（伪装高管要求转账）。蓝队需通过培训、多因素认证防御，该手段可验证组织人员安全意识。4.简述紫队作用及工作内容。答案：紫队是“裁判+协调者”，确保对抗真实有效：①制定规则（红蓝权限、攻击范围、静默期）；②协调双方（沟通进度、处理争议）；③裁判对抗（评估攻击合规性、防御有效性）；④收集数据（攻击路径、响应时间）；⑤输出报告（分析结果、优化建议）。避免无效对抗，最大化对抗价值。六、讨论题（每题5分，共10分）1.红队横向移动如何避免被蓝队检测？答案：红队需提升隐蔽性：①用免杀工具（定制CobaltStrikebeacon替代默认payload）；②加密流量（HTTPS/SSH隧道传输）；③降低频率（避免触发IDS阈值）；④用合法协议（SMB/WMI伪装业务流量）；⑤混淆命令（base64编码、反编译）；⑥权限最小化（仅获取必要权限）。同时结合蓝队工具（如Snort规则）针对性调整，避免特征匹配。2.蓝队如何通过红蓝对抗提升安全运营能力？答案：蓝队从多维度提升：①漏洞发现（红队攻击路径暴露未检测漏洞）；②策略优化（更新防火墙规则、IDS特征）；③应急能力（缩短MTTD/MTTR）；④技能提升（日志分析、入侵检测等实战能力）；⑤意识强化（结合社会工程学结果培训员工）；⑥工具验证（测试SIEM/EDR有效性）。形成“攻击-防御-优化”闭环，提升整体运营水平。参考答案一、填空题1.美国2.SMB3.模拟攻击4.IDS5.JohntheRipper6.双方7.Wireshark8.注册表持久化9.真实模拟10.确认事件二、单项选择题1.B2.C3.A4.C5.