2026年北京高级专业技术资格考试《通信技术（互联网技术）》模拟试题及答案

2026年北京高级专业技术资格考试《通信技术（互联网技术）》模拟试题及答案一、单项选择题1.在TCP/IP协议栈中，负责将域名解析为IP地址的协议是（）。A.HTTPB.FTPC.DNSD.DHCP答案：C解析：DNS（DomainNameSystem）即域名系统，是互联网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP地址。HTTP是超文本传输协议，FTP是文件传输协议，DHCP是动态主机配置协议。2.以下关于IPv6地址2001:0db8:85a3:0000:0000:8a2e:0370:7334的压缩表示，正确的是（）。A.2001:db8:85a3::8a2e:370:7334B.2001:0db8:85a3::8a2e:0370:7334C.2001:db8:85a3:0:0:8a2e:370:7334D.2001:db8:85a3::8a2e:0370:7334答案：A解析：IPv6地址压缩规则包括：①删除每个16位块中的前导零；②用双冒号“::”替换一个或多个连续的全零16位块，但“::”在一个地址中只能使用一次。选项A正确应用了这两条规则，删除了“0db8”的“0”、“0370”的“0”，并用“::”替换了连续的“0000:0000”。选项B和D未删除“0370”的前导零，选项C虽正确但未使用“::”进行最大程度的压缩。3.在OSPF（开放最短路径优先）协议中，用于在多路访问网络中选举指定路由器（DR）和备份指定路由器（BDR）的报文类型是（）。A.Hello报文B.DD报文（DatabaseDescription）C.LSR报文（LinkStateRequest）D.LSU报文（LinkStateUpdate）答案：A解析：OSPF的Hello报文用于发现和维护邻居关系，并在广播型网络和NBMA网络中选举DR和BDR。DD报文用于描述本地链路状态数据库的摘要信息，LSR用于请求特定的链路状态信息，LSU用于发送链路状态更新。4.一个B类网络地址，使用子网掩码进行子网划分，可以产生多少个可用的子网？（）A.14B.16C.30D.32答案：B解析：默认B类网络掩码为（/16）。题目中子网掩码为，二进制为11111111.11111111.11110000.00000000，即/20。子网位数为20-16=4位，因此可创建的子网数量为=165.以下关于HTTPS与HTTP区别的描述，错误的是（）。A.HTTPS默认使用端口443，HTTP默认使用端口80。B.HTTPS在HTTP之下加入了SSL/TLS层，用于提供加密传输。C.HTTPS可以有效防止数据在传输过程中被窃听和篡改，但不能验证服务器身份。D.HTTPS协议需要向CA（证书颁发机构）申请数字证书。答案：C解析：HTTPS（HTTPSecure）通过SSL/TLS协议不仅提供了传输加密和完整性校验，还通过数字证书机制提供了身份认证功能，可以验证通信对端的身份（通常是验证服务器身份，也可配置为双向认证）。因此，选项C说“不能验证服务器身份”是错误的。6.在Linux系统中，用于查看系统当前运行的进程及其资源占用情况的命令是（）。A.lsB.topC.netstatD.ifconfig答案：B解析：`top`命令用于动态实时查看系统的整体运行状态和进程信息。`ls`用于列出目录内容，`netstat`用于显示网络连接、路由表等网络相关信息，`ifconfig`用于配置和显示网络接口参数（在较新系统中常被`ip`命令取代）。7.Docker容器与传统虚拟机相比，主要区别在于（）。A.Docker容器需要独立的GuestOS，而虚拟机不需要。B.Docker容器直接运行在宿主机的内核上，共享宿主机OS。C.Docker容器比虚拟机提供了更强的隔离性和安全性。D.Docker容器只能运行Linux应用，而虚拟机可以运行任何操作系统。答案：B解析：Docker容器利用宿主机的操作系统内核，通过命名空间和控制组（cgroups）等技术实现进程隔离，因此不需要为每个容器启动一个完整的操作系统（GuestOS），这使得容器更加轻量、启动更快。传统虚拟机则需要在虚拟硬件上运行完整的GuestOS。选项A说反了；选项C，通常认为虚拟机的隔离性更强；选项D，Docker容器通过技术手段也能运行非Linux应用。8.在Python中，以下代码片段的输出结果是（）。```pythondeffunc(x,lst=[]):lst.append(x)returnlstprint(func(1))print(func(2))print(func(3,[]))print(func(4))```A.[1][2][3][4]B.[1][1,2][3][1,2,4]C.[1][1,2][3][1,2,3,4]D.[1][1,2][3][4]答案：B解析：这是Python中一个经典的“可变默认参数”陷阱。默认参数`lst=[]`在函数定义时被创建，且仅在定义时创建一次。后续调用`func(1)`和`func(2)`时，如果没有提供`lst`参数，它们操作的是同一个默认列表对象。`func(3,[])`传入了一个新的空列表，因此返回`[3]`。`func(4)`再次使用默认列表（此时已是`[1,2]`），所以返回`[1,2,4]`。9.以下哪个协议主要用于在支持组播的网络上高效传输数据流，如视频会议、流媒体？（）A.TCPB.UDPC.RTPD.ICMP答案：C解析：RTP（Real-timeTransportProtocol，实时传输协议）是为交互式音频、视频等实时数据传递而设计的协议，通常运行在UDP之上。TCP提供可靠连接，但不适合实时性要求高的场景；UTP是用户数据报协议，是无连接的传输层协议；ICMP是互联网控制消息协议，用于传递控制信息。RTP与RTCP（RTPControlProtocol）配合，是流媒体传输的核心协议。10.关于区块链技术中的“共识机制”，以下描述不正确的是（）。A.工作量证明（PoW）需要节点通过计算竞争记账权，消耗大量能源。B.权益证明（PoS）根据节点持有代币的数量和时间来分配记账权。C.拜占庭容错（BFT）类算法主要解决的是在无信任环境下的一致性问题。D.所有的共识机制都能保证100%的防篡改和永不分裂。答案：D解析：共识机制是区块链节点就区块数据达成一致的方法，旨在解决分布式系统中的信任问题。选项A、B、C分别描述了PoW、PoS和BFT的特点，都是正确的。选项D错误，因为没有任何一种共识机制是绝对完美的，都存在理论上的攻击可能（如51%攻击对PoW）或在特定场景下可能导致分叉，不能保证“100%”和“永不”。二、多项选择题1.下列属于网络层协议的有（）。A.IPB.ARPC.ICMPD.OSPFE.TCP答案：A,B,C,D解析：网络层（OSI第三层，TCP/IP的网际层）负责将数据包从源主机路由到目的主机。IP是核心协议。ARP（地址解析协议）用于将IP地址解析为MAC地址，通常被视为介于网络层和数据链路层之间。ICMP（互联网控制消息协议）用于传递控制消息，是IP的辅助协议。OSPF是路由协议，运行在IP之上，属于网络层。TCP是传输层协议。2.以下关于微服务架构的描述，正确的有（）。A.将单一应用程序划分成一组小的、松耦合的服务。B.每个服务运行在其独立的进程中，服务间采用轻量级通信机制（如HTTP/REST）。C.服务围绕业务能力进行构建，并可通过全自动部署机制独立部署。D.微服务架构必然会降低系统的复杂度，并简化测试和部署。E.统一的技术栈和数据存储技术是微服务成功的必要条件。答案：A,B,C解析：微服务架构的核心特点如A、B、C所述。选项D错误，微服务在带来灵活性、可独立伸缩等好处的同时，也引入了服务发现、链路跟踪、分布式事务等新的复杂性，测试和部署因服务数量增多可能变得更复杂。选项E错误，微服务倡导技术异构性，允许不同服务使用最适合其业务的技术栈和数据库（异构数据存储），统一技术栈并非必要条件，有时甚至是反模式。3.在Kubernetes中，以下哪些资源对象属于工作负载类（Workload）？（）A.PodB.DeploymentC.ServiceD.ConfigMapE.StatefulSet答案：A,B,E解析：Kubernetes中，工作负载资源用于管理Pod的部署和生命周期。Pod是最小的可部署单元。Deployment用于管理无状态应用的Pod副本集。StatefulSet用于管理有状态应用。Service是定义了一组Pod访问策略的抽象，属于服务发现与负载均衡类别。ConfigMap用于存储非机密的配置数据，属于配置存储类别。4.下列哪些技术或协议可以用于实现虚拟专用网（VPN）？（）A.IPsecB.SSL/TLSC.PPTPD.L2TPE.BGP答案：A,B,C,D解析：VPN技术通过在公共网络上建立加密隧道来实现私有网络扩展。IPsec是网络层VPN标准协议。SSL/TLSVPN（如OpenVPN）通常基于传输层或应用层。PPTP和L2TP是链路层VPN协议（常与IPsec结合使用）。BGP（边界网关协议）是互联网核心路由协议，本身不是VPN技术，但可用于MPLSVPN等方案的路由分发。5.关于5G网络的关键技术特征，以下说法正确的有（）。A.增强移动宽带（eMBB）主要面向高数据速率业务。B.超高可靠低时延通信（uRLLC）主要面向工业自动化、远程医疗等场景。C.海量机器类通信（mMTC）主要面向大规模物联网设备连接。D.网络切片是5G独有的技术，4G及以前网络无法实现。E.5G核心网采用了基于服务的架构（SBA）。答案：A,B,C,E解析：5G的三大典型场景如A、B、C所述。选项D不正确，网络切片的概念并非5G独有，在4GEPC中已有初步的“专用核心网”等类似概念，但5G基于SBA和云原生架构，使得网络切片的实现更加灵活和彻底。选项E正确，5G核心网（5GC）的设计采用了基于服务的架构，网络功能以服务的形式暴露和调用。三、判断题1.HTTP/2协议采用二进制分帧层，支持多路复用，可以避免HTTP/1.1中的队头阻塞问题。（）答案：正确解析：HTTP/2引入了二进制分帧机制，将请求和响应消息分解为独立的帧，交错发送，并在另一端重组。这使得多个请求和响应可以并行交错进行，共享一个TCP连接，有效解决了HTTP/1.1中管线化仍可能存在的队头阻塞问题（但TCP层面的队头阻塞仍然存在）。2.NAT（网络地址转换）技术可以完全替代IPv6，解决IP地址耗尽问题。（）答案：错误解析：NAT技术通过将私有地址转换为公有地址，在一定程度上缓解了IPv4地址短缺的压力，但它破坏了互联网端到端的通信模型，增加了网络复杂性，并可能对某些应用造成阻碍。IPv6提供了几乎无限的地址空间，并从设计上旨在恢复端到端通信，是解决地址耗尽问题的根本性方案。NAT不能完全替代IPv6。3.在分布式数据库的CAP理论中，一个系统可以同时完美地满足一致性（Consistency）、可用性（Availability）和分区容错性（Partitiontolerance）这三个属性。（）答案：错误解析：CAP理论指出，在分布式系统中，一致性（C）、可用性（A）和分区容错性（P）三者不可兼得，最多只能同时满足其中两项。由于网络分区（P）在分布式系统中是客观存在的，系统设计通常需要在CP或AP之间进行权衡。4.RSA加密算法是一种非对称加密算法，其安全性基于大整数质因数分解的困难性。（）答案：正确解析：RSA算法是经典的非对称加密算法，公钥用于加密或验签，私钥用于解密或签名。其安全性依赖于从公钥（大整数n）推导出私钥（n的质因数p和q）在计算上的极端困难性，即大整数质因数分解难题。5.SDN（软件定义网络）的核心思想是将网络的控制平面与数据平面分离，并通过集中式的控制器进行可编程管理。（）答案：正确解析：SDN架构将传统网络设备中紧密耦合的控制平面（决定数据包如何转发）和数据平面（实际转发数据包）分离开来。控制平面被提取到中心化的控制器中，控制器通过南向接口（如OpenFlow）对底层网络设备进行可编程控制，从而实现网络资源的灵活调度和自动化管理。四、简答题1.简述TCP协议的三次握手过程，并说明为什么需要三次握手而不是两次。答案：三次握手过程：①第一次握手：客户端向服务器发送一个SYN报文段（SYN=1，seq=x），进入SYN_SENT状态。②第二次握手：服务器收到SYN报文后，回复一个SYN-ACK报文段（SYN=1，ACK=1，ack=x+1，seq=y），进入SYN_RCVD状态。③第三次握手：客户端收到SYN-ACK报文后，再向服务器发送一个ACK报文段（ACK=1，ack=y+1，seq=x+1）。服务器收到ACK后，连接建立完成。双方进入ESTABLISHED状态。需要三次握手的主要原因：为了防止已失效的连接请求报文段突然又传送到服务器，从而产生错误。考虑一种情况：客户端发送了一个连接请求报文，由于网络拥堵延迟未到达服务器。客户端超时后重发请求并成功建立连接、传输数据后关闭了连接。此时，那个延迟的旧请求报文才到达服务器。如果只是两次握手，服务器收到旧请求就会认为是一个新的连接请求并确认，从而单方面建立连接，但客户端已关闭，不会发送数据，导致服务器资源空等。三次握手机制下，服务器需要收到客户端的确认（第三次握手）才能建立连接。对于上述延迟的旧请求，客户端收到服务器的确认（第二次握手）后，发现并未发起新连接，因此不会发出第三次确认，服务器收不到确认，连接便不会建立。2.解释什么是“跨站脚本攻击（XSS）”及其主要分类和防御措施。答案：跨站脚本攻击（XSS）是一种代码注入攻击，攻击者通过在目标网站上注入恶意脚本（通常为JavaScript），使其在用户的浏览器中执行，从而盗取用户Cookie、会话令牌，篡改网页内容，进行钓鱼欺诈等。主要分类：反射型XSS：恶意脚本来自当前HTTP请求。攻击者构造一个包含恶意脚本的URL，诱骗用户点击。服务器将脚本“反射”回用户的页面并执行。该脚本未存储在服务器上。存储型XSS：恶意脚本被持久化保存到目标服务器的数据库或文件中（如论坛帖子、用户评论）。当其他用户访问包含该数据的页面时，脚本从服务器加载并执行。DOM型XSS：漏洞存在于客户端JavaScript代码中。攻击载荷通过修改页面的DOM树环境在浏览器端执行，而不经过服务器响应。例如，从`location.hash`或`document.referrer`等来源获取数据并动态写入DOM。主要防御措施：输入验证和过滤：对用户输入进行严格的验证，只接受预期格式的数据。过滤或转义可疑的字符，如`<`,`>`,`&`,`"`,`'`。输出编码：在将数据输出到HTML页面、JavaScript、CSS或URL时，根据上下文进行适当的编码（如HTML实体编码、JavaScript编码）。使用内容安全策略（CSP）：通过HTTP头`Content-Security-Policy`定义允许加载和执行的资源来源，可以有效阻止内联脚本执行和恶意域的资源加载。设置HttpOnlyCookie：将敏感的Cookie标记为HttpOnly，防止其被JavaScript访问，从而降低会话劫持风险。五、综合应用题1.某公司网络拓扑如下图所示（此处用文字描述）：核心交换机连接一台防火墙，防火墙外联互联网，内联三个子网：研发部子网（/24）、市场部子网（/24）、服务器子网（/24）。防火墙配置了NAT使内网可以访问互联网。现在需要配置防火墙安全策略，要求：(1)研发部和市场部可以访问互联网（HTTP/HTTPS）。(2)互联网用户可以访问服务器子网上的Web服务器（0，TCP80/443端口）。(3)研发部可以访问服务器子网上的数据库服务器（00，TCP3306端口），市场部不允许访问。(4)默认禁止所有其他流量。请根据上述需求，以通用的防火墙规则配置思路（包括规则方向、源地址、目的地址、目的端口、动作）进行描述。答案：假设防火墙接口：内网接口（inside）、外网接口（outside）。规则按顺序匹配，先匹配者生效。规则序号方向源地址/区域目的地址/区域服务/端口动作1outbound/24,/24outsideTCP80,443允许2inboundoutside0/32TCP80,443允许3inbound/2400/32TCP3306允许4anyanyanyany拒绝配置思路解析：规则1：实现需求(1)。方向为从内网到外网（outbound），源为两个部门子网，目的为外网区域，服务为HTTP/HTTPS，动作为允许。此流量会触发防火墙的NAT转换。规则2：实现需求(2)。方向为从外网到内网（inbound），源为外网（any或具体IP范围，通常设为any），目的为具体的Web服务器IP，服务为HTTP/HTTPS，动作为允许。此规则通常需要配合防火墙的DNAT（目的地址转换）或端口映射功能，将公网IP的80/443端口映射到0。规则3：实现需求(3)。方向为从研发部到服务器区（可以是inbound或具体接口间策略），源为研发部子网，目的为数据库服务器IP，服务为MySQL端口3306，动作为允许。市场部子网未包含在此规则中，后续被默认规则拒绝。规则4：默认拒绝规则。匹配所有未被前面规则匹配的流量，动作为拒绝，实现需求(4)的默认禁止策略。2.阅读以下PythonFlask应用代码片段，分析其中存在的安全漏洞，并说明修复方法。```pythonfromflaskimportFlask,request,render_template_stringapp=Flask(__name__)@app.route('/search')defsearch():query=request.args.get('q','')#模拟从数据库获取结果results=[f"Resultfor{query}"]template=f"""<h1>SearchResults</h1><p>Yourquerywas:<strong>{query}</strong></p><ul>{%forresultinresults%}<li>{{result}}</li>{%endfor%}</ul>"""returnrender_template_string(template,results=results)if__name__=='__main__':app.run(debug=True)```答案：存在的安全漏洞：1.服务器端模板注入（SSTI）：这是最严重的漏洞。代码直接将用户控制的输入`query`通过f-string拼接到了Jinja2模板字符串`template`中，然后使用`render_template_string`进行渲染。攻击者可以通过`query`参数注入Jinja2模板语法。例如，访问`/search?q={{config}}`可能泄露Flask配置信息；更复杂的payload可以导致远程代码执行（RCE），例如`{{''.__class__.__mro__[1].__subclasses__()}}`等。2.跨站脚本（XSS）：即使不考虑SSTI，由于直接将`query`输出到HTML中且未进行任何转义，攻击者可以注入简单的HTML/JavaScript标签，如`/search?q=<script>alert('XSS')</script>`，导致反射型XSS攻击。修复方法：1.修复SSTI：绝对避免将用户输入直接拼接到模板字符串中。应该将动态数据通过模板引擎的上下文传递。重构代码如下：```pythonfromflaskimportFlask,request,render_templateimportjinja2app=Flask(__name__)@app.route('/search')defsearch():query=request.args.get('q','')#对查询内容进行安全过滤或验证（可选但推荐）#使用单独的模板文件是最佳实践，此处为演示使用安全字符串returnrender_template('search_results.html',query=query,results=[f"Resultfor{query}"])#search_results.html模板文件内容：#<h1>SearchResults</h1>#<p>Yourquerywas:<strong>{{query}}</strong></p>#<ul>#{%forresultinresults%}#<li>{{result}}</li>#{%endfor%}#</ul>```关键是将模板内容放在独立的、受控的模板文件（`search_results.html`）中，用户输入的`query`通过变量`{{query}}`传递给模板，Jinja2在渲染时会自动进行HTML转义，从而同时消除了SSTI和XSS风险。2.启用自动转义：Jinja2默认启用自动转义。确保在渲染时，所有用户输入的数据都通过`{{...}}`输出，这样其中的HTML特殊字符会被转义。3.输入验证：根据业务逻辑，对`query`参数进行长度、字符类型等验证。4.关闭调试模式：在生产环境中，务必设置`debug=False`，避免泄露敏感调试信息。六、计算与设计题1.假设一个数据包长度为4000字节（包括20字节的IP头部），需要通过一个MTU（最大传输单元）为1500字节的网络链路传输。请计算：(1)该数据包需要被分成多少个IP分片？(2)每个分片的数据长度和偏移量是多少？(3)假设第二个分片在传输中丢失，目标主机是否会重组成功？为什么？答案：已知：原始数据包总长L=4000字节，IP头部H=20字节，故数据部分长度D=L-H=3980字节。MTU=1500字节，每个分片需要加上新的IP头部（20字节），因此每个分片可承载的数据量最大为MTU-20=1480字节。(1)分片数量计算：需要分片的数据D=3980字节。第一个分片数据：1480字节。剩余数据：3980-1480=2500字节。第二个分片数据：1480字节。剩余数据：2500-1480=1020字节。第三个分片数据：1020字节（小于1480，最后一片）。因此，需要分成3个IP分片。(2)每个分片的数据长度和偏移量（Offset）：偏移量以8字节为单位。分片1：数据长度：1480字节。偏移量Offset=0/8=0。MF标志（MoreFragments）=1（表示还有后续分片）。分片2：数据长度：1480字节。偏移量Offset=1480/8=185。MF标志=1。分片3：数据长度：1020字节。偏移量Offset=(1480+1480)/8=2960/8=370。MF标志=0（表示这是最后一个分片）。(3)如果第二个分片丢失，目标主机不会重组成功。原因：IP协议的分片重组机制要求收到同一个原始数据包的所有分片后，才能进行重组。只要有一个分片丢失，接收方就无法完成重组。接收方的IP层会设置一个重组定时器，在定时器超时前若未收到全部分片，则会丢弃所有已收到的属于该数据包的分片，并向源端发送ICMP“超时”错误消息（如果该数据包不是分片的第一片，可能不会发送）。因此，分片丢失会导致整个数据包传输失败，需要依靠上层协议（如TCP）的重传机制来恢复。2.设计一个简单的键值（Key-Value）缓存系统，要求满足以下条件：支持基本的`set(key,value,ttl)`和`get(key)`操作。`ttl`（生存时间）以秒为单位，过期后键自动失效。当缓存空间达到上限时，采用LRU（最近最少使用）策略淘汰数据。请用你熟悉的编程语言（如Python）伪代码或描述主要数据结构与算法逻辑。答案：（以Python伪代码描述）核心设计：结合哈希表（字典）和双向链表实现LRU，同时需要管理TTL过期。```pythonimporttimefromcollectionsimportOrderedDict#使用OrderedDict可以简化LRU实现，其具有按插入顺序排序和移动元素到末尾的特性classLRUCacheWithTTL:def__init__(self,capacity:int):self.capacity=capacityself.cache=OrderedDict()#key->(value,expire_timestamp)defset(self,key,value,ttl:int):#如果key已存在，先删除以便更新顺序ifkeyinself.cache:delself.cache[key]#如果达到容量且要插入新key，则淘汰最久未使用的（同时检查是否过期）eliflen(self.cache)>=self.capacity:self._evict_one()#计算过期时间戳并存储expire_time=time.time()+ttlifttl>0elsefloat('inf')self.cache[key]=