北京郵電大學(xué)2024年卓越計(jì)劃網(wǎng)絡(luò)安全專(zhuān)業(yè)實(shí)踐試題及答案考試時(shí)間：______分鐘總分：______分姓名：______一、簡(jiǎn)述TCP三次握手過(guò)程及其在建立可靠連接中的作用。若三次握手過(guò)程中，客戶(hù)端發(fā)送的第二個(gè)SYN包丟失，服務(wù)器會(huì)進(jìn)入什么狀態(tài)？客戶(hù)端最終會(huì)如何處理？二、解釋HTTP協(xié)議中的Session和Cookie機(jī)制。說(shuō)明它們各自的工作原理，并比較它們的區(qū)別。請(qǐng)描述一個(gè)場(chǎng)景，說(shuō)明為何需要使用Cookie，而Session通常用于服務(wù)器端存儲(chǔ)。三、描述TCP/IP模型的四層（或五層）結(jié)構(gòu)，并簡(jiǎn)要說(shuō)明每一層的主要功能和代表性協(xié)議。四、什么是VPN？簡(jiǎn)述基于IPSec的VPN和基于SSL/TLS的VPN在技術(shù)原理和典型應(yīng)用場(chǎng)景上的主要區(qū)別。五、列舉常見(jiàn)的Web安全漏洞類(lèi)型（至少五種），并分別簡(jiǎn)要說(shuō)明其中一種漏洞的原理及其可能造成的危害。六、假設(shè)你正在對(duì)一臺(tái)運(yùn)行Linux操作系統(tǒng)的服務(wù)器進(jìn)行安全加固。請(qǐng)列出至少三項(xiàng)你認(rèn)為重要的安全配置或加固措施，并簡(jiǎn)要說(shuō)明每項(xiàng)措施的目的。七、簡(jiǎn)述對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法在密鑰管理和應(yīng)用場(chǎng)景上的主要區(qū)別。舉例說(shuō)明它們?cè)趯?shí)際應(yīng)用中是如何協(xié)同工作的，例如在HTTPS連接建立過(guò)程中。八、描述一下你對(duì)“惡意軟件（Malware）”這個(gè)概念的理解。請(qǐng)列舉至少三種不同類(lèi)型的惡意軟件，并簡(jiǎn)要說(shuō)明其中一種惡意軟件的傳播方式和主要危害。九、在進(jìn)行網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)時(shí)，通常包含哪些主要階段？請(qǐng)按順序列出這些階段，并簡(jiǎn)要說(shuō)明每個(gè)階段的核心任務(wù)。十、解釋什么是“防火墻”。說(shuō)明狀態(tài)檢測(cè)防火墻與代理防火墻在工作原理和性能特點(diǎn)上的主要區(qū)別。列舉至少兩種常見(jiàn)的防火墻部署方式。十一、你捕獲到了一段疑似被篡改的HTTP請(qǐng)求流量。請(qǐng)描述你會(huì)使用哪些工具或方法來(lái)分析這段流量，以嘗試確定篡改的具體內(nèi)容或方式。十二、什么是“數(shù)字簽名”？請(qǐng)簡(jiǎn)述其工作原理，并說(shuō)明它在確保信息完整性、來(lái)源可靠性和不可否認(rèn)性方面的作用。十三、描述一下你理解中的“滲透測(cè)試”。請(qǐng)列舉滲透測(cè)試中常用的至少三種不同類(lèi)型的測(cè)試方法（如攻擊類(lèi)型劃分），并簡(jiǎn)要說(shuō)明其中一種方法的原理和目標(biāo)。十四、解釋什么是“零信任安全模型”。請(qǐng)簡(jiǎn)述其核心理念，并說(shuō)明它與傳統(tǒng)的“可信任網(wǎng)絡(luò)”模型相比，在安全策略上有何顯著不同。十五、假設(shè)你發(fā)現(xiàn)了一個(gè)新的、未知的軟件漏洞，但該漏洞尚未被公開(kāi)披露，也沒(méi)有相應(yīng)的補(bǔ)丁。請(qǐng)描述在這種情況下，你認(rèn)為個(gè)人或組織應(yīng)如何處理，并說(shuō)明相關(guān)的安全原則或最佳實(shí)踐。試卷答案一、TCP三次握手過(guò)程：客戶(hù)端發(fā)送SYN包（seq=x）給服務(wù)器，進(jìn)入SYN_SENT狀態(tài)；服務(wù)器收到后，回復(fù)SYN-ACK包（seq=y,ack=x+1），進(jìn)入SYN_RCVD狀態(tài)；客戶(hù)端收到后，發(fā)送ACK包（seq=x+1,ack=y+1），進(jìn)入ESTABLISHED狀態(tài)，服務(wù)器也進(jìn)入ESTABLISHED狀態(tài)，連接建立成功。作用：確保雙方都有發(fā)送和接收數(shù)據(jù)的能力，并同步雙方的初始序列號(hào)，為可靠數(shù)據(jù)傳輸?shù)於ɑA(chǔ)。若第二次SYN包丟失，服務(wù)器會(huì)發(fā)送SYN-ACK包后等待一段時(shí)間超時(shí)，然后釋放SYN_RCVD狀態(tài)，重新進(jìn)入監(jiān)聽(tīng)狀態(tài)?？蛻?hù)端超時(shí)后，會(huì)重發(fā)第二次SYN包（seq=x）?？蛻?hù)端最終會(huì)重發(fā)SYN包直到超時(shí)或收到服務(wù)器的SYN-ACK包，完成連接建立。二、Session機(jī)制：服務(wù)器為每個(gè)訪問(wèn)的用戶(hù)創(chuàng)建一個(gè)唯一的SessionID，并通過(guò)Cookie（或URL重寫(xiě)）將此ID發(fā)送給客戶(hù)端。客戶(hù)端每次請(qǐng)求時(shí)攜帶該SessionID，服務(wù)器根據(jù)ID識(shí)別用戶(hù)，并從服務(wù)器端存儲(chǔ)（如內(nèi)存、數(shù)據(jù)庫(kù)）中查找或更新用戶(hù)會(huì)話(huà)信息。Session信息存儲(chǔ)在服務(wù)器端，客戶(hù)端只存儲(chǔ)SessionID。Cookie機(jī)制：客戶(hù)端存儲(chǔ)由服務(wù)器發(fā)送的小塊數(shù)據(jù)（名值對(duì)）。服務(wù)器通過(guò)Set-Cookie頭發(fā)送Cookie給客戶(hù)端，客戶(hù)端在后續(xù)請(qǐng)求中自動(dòng)攜帶該Cookie。Cookie通常用于存儲(chǔ)少量、不敏感的用戶(hù)偏好或會(huì)話(huà)ID。區(qū)別：Session數(shù)據(jù)存儲(chǔ)在服務(wù)器端，Cookie數(shù)據(jù)存儲(chǔ)在客戶(hù)端。Session更安全，但Cookie有存儲(chǔ)容量限制且可能被篡改（需服務(wù)器端驗(yàn)證）。場(chǎng)景：用戶(hù)登錄網(wǎng)站后，服務(wù)器使用Session存儲(chǔ)用戶(hù)的登錄狀態(tài)和購(gòu)物車(chē)信息。即使關(guān)閉瀏覽器再打開(kāi)，只要攜帶SessionID，服務(wù)器就能恢復(fù)用戶(hù)狀態(tài)。而用戶(hù)的語(yǔ)言偏好可以選擇用Cookie存儲(chǔ)，因?yàn)檫@不是敏感信息，且用戶(hù)下次訪問(wèn)時(shí)能自動(dòng)應(yīng)用此偏好。三、TCP/IP四層模型：1.應(yīng)用層（ApplicationLayer）：處理用戶(hù)應(yīng)用程序間的通信，如HTTP,FTP,SMTP,DNS。直接為用戶(hù)應(yīng)用程序提供服務(wù)。2.傳輸層（TransportLayer）：提供端到端的進(jìn)程間通信，負(fù)責(zé)數(shù)據(jù)分段、重組、流量控制和差錯(cuò)控制。主要協(xié)議是TCP（可靠）和UDP（快速，不可靠）。使用端口號(hào)標(biāo)識(shí)進(jìn)程。3.網(wǎng)絡(luò)層（InternetLayer）：負(fù)責(zé)將數(shù)據(jù)包從源主機(jī)路由到目的主機(jī)，跨越多個(gè)網(wǎng)絡(luò)。處理IP地址和路由。主要協(xié)議是IP。ICMP用于錯(cuò)誤報(bào)告。4.網(wǎng)絡(luò)接口層（NetworkInterfaceLayer/LinkLayer）：處理與物理網(wǎng)絡(luò)的接口細(xì)節(jié)，如以太網(wǎng)。負(fù)責(zé)數(shù)據(jù)幀的傳輸和接收，處理物理尋址（MAC地址）。五層模型在傳輸層和網(wǎng)際層之間增加了一個(gè)網(wǎng)絡(luò)層（NetworkLayer），功能與四層模型的網(wǎng)絡(luò)層類(lèi)似，但更側(cè)重于路由選擇。四、VPN（VirtualPrivateNetwork）：利用公網(wǎng)，通過(guò)使用相應(yīng)的協(xié)議以低廉的成本方便地構(gòu)建虛擬的專(zhuān)用網(wǎng)絡(luò)。IPSecVPN：基于IP層，對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。工作在隧道模式，將原始IP包封裝在新的IP包中。常用于站點(diǎn)到站點(diǎn)（站點(diǎn)間）的可靠安全連接。主要協(xié)議有ESP（封裝安全載荷）和AH（認(rèn)證頭）。需要公鑰基礎(chǔ)設(shè)施（PKI）進(jìn)行密鑰交換。SSL/TLSVPN：基于應(yīng)用層或傳輸層，通常使用SSL/TLS協(xié)議加密應(yīng)用數(shù)據(jù)（如HTTP流量）。工作方式多樣，可以是遠(yuǎn)程訪問(wèn)（客戶(hù)端到網(wǎng)關(guān)）或網(wǎng)關(guān)到網(wǎng)關(guān)。部署相對(duì)簡(jiǎn)單，常用于遠(yuǎn)程用戶(hù)訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。主要依賴(lài)證書(shū)和密碼套件進(jìn)行認(rèn)證和加密。五、常見(jiàn)Web安全漏洞：1.SQL注入：在輸入字段注入惡意SQL代碼，欺騙數(shù)據(jù)庫(kù)執(zhí)行非預(yù)期操作。2.跨站腳本（XSS）：在網(wǎng)頁(yè)中注入惡意腳本，在用戶(hù)瀏覽器中執(zhí)行，竊取信息或進(jìn)行會(huì)話(huà)劫持。3.跨站請(qǐng)求偽造（CSRF）：誘導(dǎo)已認(rèn)證的用戶(hù)在當(dāng)前登錄狀態(tài)下，對(duì)Web應(yīng)用發(fā)送非預(yù)期的請(qǐng)求。4.文件上傳漏洞：允許用戶(hù)上傳惡意文件（如Webshell），導(dǎo)致服務(wù)器被控制。5.權(quán)限繞過(guò)：在未授權(quán)的情況下訪問(wèn)或操作了超出權(quán)限的數(shù)據(jù)或功能。危害舉例（以SQL注入為例）：攻擊者可以通過(guò)SQL注入獲取數(shù)據(jù)庫(kù)敏感信息（如用戶(hù)密碼、信用卡號(hào)），修改數(shù)據(jù)庫(kù)內(nèi)容，刪除數(shù)據(jù)，甚至獲得服務(wù)器控制權(quán)，導(dǎo)致數(shù)據(jù)泄露、業(yè)務(wù)中斷或系統(tǒng)被接管。六、Linux服務(wù)器安全加固措施：1.最小化安裝：只安裝必要的系統(tǒng)組件和服務(wù)，減少攻擊面。目的：減少潛在的可利用漏洞數(shù)量。2.禁用不必要的服務(wù)：如不使用的網(wǎng)絡(luò)服務(wù)（telnet,ftp,rpc服務(wù)等）。目的：關(guān)閉潛在的后門(mén)或攻擊入口。3.強(qiáng)化用戶(hù)權(quán)限管理：使用強(qiáng)密碼策略，禁用root遠(yuǎn)程登錄，創(chuàng)建專(zhuān)用用戶(hù)運(yùn)行服務(wù)，使用sudo限制權(quán)限。目的：防止未授權(quán)訪問(wèn)和命令執(zhí)行，降低系統(tǒng)被完全控制的風(fēng)險(xiǎn)。4.及時(shí)更新系統(tǒng)和軟件：定期應(yīng)用安全補(bǔ)丁。目的：修復(fù)已知漏洞，保持系統(tǒng)安全性。5.配置防火墻規(guī)則：使用iptables或firewalld限制入站和出站流量，僅開(kāi)放必要端口。目的：隔離內(nèi)部網(wǎng)絡(luò)，阻止非法訪問(wèn)。七、對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密區(qū)別：對(duì)稱(chēng)加密：加密和解密使用相同密鑰。速度快，適合加密大量數(shù)據(jù)。但密鑰分發(fā)困難（密鑰共享的難題）。非對(duì)稱(chēng)加密：使用一對(duì)密鑰，公鑰和私鑰。公鑰可公開(kāi)，私鑰需保密。用公鑰加密的數(shù)據(jù)只能用私鑰解密，反之亦然。速度慢，適合加密少量數(shù)據(jù)（如對(duì)稱(chēng)密鑰）或用于認(rèn)證。解決了密鑰分發(fā)問(wèn)題。協(xié)同工作舉例（HTTPS）：客戶(hù)端想與服務(wù)器建立安全連接?？蛻?hù)端生成一個(gè)隨機(jī)的對(duì)稱(chēng)密鑰（KeyA），用服務(wù)器的公鑰加密KeyA后發(fā)送給服務(wù)器。服務(wù)器用私鑰解密得到KeyA。之后客戶(hù)端和服務(wù)器都使用KeyA進(jìn)行對(duì)稱(chēng)加密通信。這樣既利用了對(duì)稱(chēng)加密的速度，又解決了非對(duì)稱(chēng)加密的密鑰分發(fā)問(wèn)題，并保證了初始密鑰的機(jī)密性。八、惡意軟件（Malware）理解：指設(shè)計(jì)用于損害、干擾、獲取非授權(quán)訪問(wèn)或?qū)τ?jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或用戶(hù)數(shù)據(jù)進(jìn)行惡意操作的軟件代碼或程序。類(lèi)型舉例：1.病毒（Virus）：需要依附于宿主程序或文件傳播，感染后通常會(huì)自我復(fù)制。2.木馬（TrojanHorse）：偽裝成合法軟件，誘騙用戶(hù)安裝后執(zhí)行惡意操作，如竊取信息、創(chuàng)建后門(mén)。3.間諜軟件（Spyware）：秘密收集用戶(hù)信息（如瀏覽習(xí)慣、密碼）并發(fā)送給攻擊者。危害舉例（以木馬為例）：用戶(hù)下載并運(yùn)行偽裝成游戲或工具的木馬程序，木馬在后臺(tái)安裝服務(wù)，創(chuàng)建后門(mén)，使攻擊者可以遠(yuǎn)程控制用戶(hù)計(jì)算機(jī)，竊取敏感信息，或?qū)⑵溆米鱀DoS攻擊的僵尸節(jié)點(diǎn)。九、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)階段：1.準(zhǔn)備（Preparation）階段：建立應(yīng)急響應(yīng)團(tuán)隊(duì)，制定應(yīng)急預(yù)案，準(zhǔn)備響應(yīng)工具和資源，進(jìn)行安全意識(shí)培訓(xùn)。2.識(shí)別（Identification）階段：監(jiān)控系統(tǒng)發(fā)現(xiàn)異常，初步判斷是否發(fā)生安全事件，確定事件性質(zhì)和范圍。3.遏制（Containment）階段：限制事件影響范圍，防止事件擴(kuò)散或進(jìn)一步損害，保護(hù)關(guān)鍵系統(tǒng)和數(shù)據(jù)。可能包括隔離受感染系統(tǒng)、斷開(kāi)網(wǎng)絡(luò)連接等。4.根除（Eradication）階段：清除導(dǎo)致事件發(fā)生的威脅（如惡意軟件、攻擊者訪問(wèn)），修復(fù)漏洞，確保威脅不再存在。5.恢復(fù)（Recovery）階段：將受影響的系統(tǒng)恢復(fù)到正常運(yùn)行狀態(tài)，驗(yàn)證系統(tǒng)安全性和業(yè)務(wù)功能，分析事件原因。6.事后總結(jié)（Post-IncidentActivity/LessonsLearned）階段：對(duì)整個(gè)應(yīng)急響應(yīng)過(guò)程進(jìn)行評(píng)估，總結(jié)經(jīng)驗(yàn)教訓(xùn)，改進(jìn)應(yīng)急預(yù)案、技術(shù)防護(hù)和流程。十、防火墻理解：網(wǎng)絡(luò)安全設(shè)備或軟件，根據(jù)預(yù)設(shè)的安全規(guī)則（策略），監(jiān)控和控制進(jìn)出網(wǎng)絡(luò)或網(wǎng)絡(luò)區(qū)域的流量。狀態(tài)檢測(cè)防火墻：維護(hù)一個(gè)“狀態(tài)表”，跟蹤每個(gè)連接的狀態(tài)（如TCP連接的SYN,ESTABLISHED狀態(tài)）。對(duì)于已建立的、符合狀態(tài)表的連接流量，允許通過(guò)；對(duì)于新的、未在狀態(tài)表的連接請(qǐng)求，根據(jù)規(guī)則判斷是否允許建立連接。性能較高，能提供較好的安全性。代理防火墻（應(yīng)用層網(wǎng)關(guān)）：作為客戶(hù)端和服務(wù)器之間的中介?？蛻?hù)端先連接到代理，代理再連接到目標(biāo)服務(wù)器。代理檢查應(yīng)用層數(shù)據(jù)（如HTTP請(qǐng)求內(nèi)容），根據(jù)規(guī)則決定是否轉(zhuǎn)發(fā)。安全性高（能深度檢查內(nèi)容），但性能較低，且用戶(hù)需要知道并配置代理服務(wù)器地址。部署方式：網(wǎng)絡(luò)邊界部署（作為唯一出口），內(nèi)部網(wǎng)絡(luò)部署（區(qū)域隔離），主機(jī)端部署（HIDS/HIPS功能）。十一、分析篡改的HTTP請(qǐng)求流量：1.使用Wireshark等抓包工具：對(duì)網(wǎng)絡(luò)接口進(jìn)行捕獲，找到目標(biāo)HTTP請(qǐng)求。2.檢查請(qǐng)求頭：查看請(qǐng)求方法（GET/POST/PUT等）、URL、Host、User-Agent、Cookie、Authorization等字段是否異?；虮淮鄹摹＠?，Host字段是否指向惡意域名？3.檢查請(qǐng)求體（如果存在）：對(duì)于POST或PUT請(qǐng)求，查看載荷內(nèi)容是否被篡改?？梢允褂檬M(jìn)制查看或根據(jù)內(nèi)容類(lèi)型（如JSON,XML）進(jìn)行解析檢查。對(duì)比預(yù)期內(nèi)容。4.檢查響應(yīng)：對(duì)比響應(yīng)狀態(tài)碼、響應(yīng)頭、響應(yīng)體。響應(yīng)是否被篡改？是否包含惡意內(nèi)容？5.分析流量上下文：查看該請(qǐng)求之前的流量，是否有異常的請(qǐng)求或連接？6.（如果可能）進(jìn)行重放和驗(yàn)證：嘗試向服務(wù)器發(fā)送原始的、未被篡改的請(qǐng)求，看是否能得到預(yù)期的正常響應(yīng)，以驗(yàn)證篡改的有效性。十二、數(shù)字簽名理解：使用非對(duì)稱(chēng)加密技術(shù)生成的、附加在數(shù)據(jù)上的數(shù)字憑證，用于驗(yàn)證數(shù)據(jù)來(lái)源的合法性、確保數(shù)據(jù)完整性，并防止發(fā)送方否認(rèn)其發(fā)送過(guò)該數(shù)據(jù)。工作原理：發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)（或數(shù)據(jù)的哈希值）進(jìn)行加密，生成數(shù)字簽名。接收方使用發(fā)送方的公鑰對(duì)數(shù)字簽名進(jìn)行解密，得到一個(gè)哈希值。同時(shí)，接收方也計(jì)算數(shù)據(jù)本身的哈希值。如果兩個(gè)哈希值相同，則證明數(shù)據(jù)在傳輸過(guò)程中未被篡改，且確實(shí)來(lái)自持有對(duì)應(yīng)私鑰的發(fā)送方。作用：1.完整性：確保數(shù)據(jù)在傳輸或存儲(chǔ)過(guò)程中未被修改。任何篡改都會(huì)導(dǎo)致哈希值變化，解密簽名時(shí)驗(yàn)證失敗。2.來(lái)源可靠性：接收方可以通過(guò)公鑰確認(rèn)數(shù)據(jù)確實(shí)來(lái)自聲稱(chēng)的發(fā)送方，因?yàn)橹挥邪l(fā)送方能使用其私鑰生成有效的簽名。3.不可否認(rèn)性：發(fā)送方在持有私鑰的情況下，無(wú)法否認(rèn)其發(fā)送過(guò)該已簽名的數(shù)據(jù)。十三、滲透測(cè)試?yán)斫猓涸谑跈?quán)情況下，模擬黑客的攻擊行為，對(duì)目標(biāo)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用進(jìn)行安全測(cè)試，以發(fā)現(xiàn)安全漏洞并評(píng)估其被利用的風(fēng)險(xiǎn)，從而提供改進(jìn)建議。常用測(cè)試方法類(lèi)型：1.掃描與枚舉（Scanning&Enumeration）：使用工具（如Nmap,Nessus,OpenVAS）掃描目標(biāo)，識(shí)別開(kāi)放的端口、服務(wù)、操作系統(tǒng)版本、運(yùn)行的應(yīng)用程序、用戶(hù)賬戶(hù)等。2.漏洞利用（VulnerabilityExploitation）：嘗試?yán)冒l(fā)現(xiàn)的漏洞獲取系統(tǒng)訪問(wèn)權(quán)限、提權(quán)或執(zhí)行惡意操作。使用工具（如Metasploit）或編寫(xiě)腳本。3.權(quán)限維持（PrivilegeEscalation）：在獲得初步訪問(wèn)權(quán)限后，嘗試提升權(quán)限，以獲得更高權(quán)限的操作能力。目標(biāo)：驗(yàn)證漏洞是否真實(shí)存在并可被利用，評(píng)估攻擊者可能達(dá)到的效果。十四、零信任安全模型理解：一種網(wǎng)絡(luò)安全理念，核心思想是“從不信任，始終驗(yàn)證”（NeverTrust,AlwaysVerify）。它要求對(duì)網(wǎng)絡(luò)內(nèi)部和外部的所有用戶(hù)（包括員工、設(shè)備、應(yīng)用程序）進(jìn)行持續(xù)的驗(yàn)證和授權(quán)，才允許其訪問(wèn)特定的資源，且訪問(wèn)權(quán)限應(yīng)遵循最小權(quán)限原則。與傳統(tǒng)“可信任網(wǎng)絡(luò)”模型區(qū)別：1.信任基礎(chǔ)不同：傳統(tǒng)模型基于網(wǎng)絡(luò)邊界，認(rèn)為一旦內(nèi)部網(wǎng)絡(luò)就默認(rèn)可信任；零信任模型不基于網(wǎng)絡(luò)位置，無(wú)論內(nèi)部或外部，任何