2025年軟考網(wǎng)絡(luò)工程師網(wǎng)絡(luò)安全試題及答案1.單項選擇題（每題1分，共20分）1.1在SSL/TLS握手階段，用于協(xié)商對稱加密算法的報文是A.ClientHello?B.ServerHello?C.Certificate?D.Finished答案：B1.2下列哪一項最能有效防御ARP欺騙攻擊A.靜態(tài)ARP表?B.802.1X?C.IPSec?D.DHCPSnooping答案：A1.3關(guān)于SM4分組密碼，下列描述正確的是A.分組長度128bit，密鑰長度128bit，迭代32輪B.分組長度256bit，密鑰長度256bit，迭代16輪C.分組長度64bit，密鑰長度128bit，迭代48輪D.分組長度128bit，密鑰長度256bit，迭代24輪答案：A1.4在WindowsServer2022中，用于強制審核目錄服務(wù)修改的組策略設(shè)置位于A.計算機配置→Windows設(shè)置→安全設(shè)置→高級審核策略→DS訪問B.用戶配置→管理模板→系統(tǒng)→審核C.計算機配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接D.用戶配置→Windows設(shè)置→安全設(shè)置→本地策略答案：A1.5下列關(guān)于HTTP/3的說法錯誤的是A.基于QUIC?B.強制使用TLS1.3?C.使用TCP作為傳輸層?D.支持0RTT答案：C1.6在Linux系統(tǒng)中，若需對/sbin/auditctl進行完整性保護，應(yīng)使用的內(nèi)核安全模塊是A.SELinux?B.AppArmor?C.IMA?D.Smack答案：C1.7關(guān)于DNSSEC，下列記錄類型用于存放公鑰的是A.RRSIG?B.DNSKEY?C.NSEC?D.DNAME答案：B1.8在IPv6中，用于實現(xiàn)本地網(wǎng)段內(nèi)重復(fù)地址檢測的ICMPv6類型是A.135?B.136?C.133?D.134答案：B1.9在零信任架構(gòu)中，用于持續(xù)評估終端安全狀態(tài)的協(xié)議是A.RADIUS?B.TACACS+?C.PostureAgentviaSWG?D.NetFlow答案：C1.10下列哪條iptables規(guī)則可丟棄所有來自/24的TCPSYN包A.iptablesAINPUTs/24ptcpsynjDROPB.iptablesAINPUTd/24ptcpsynjACCEPTC.iptablesAFORWARDs/24ptcpjDROPD.iptablesAOUTPUTs/24ptcpsynjDROP答案：A1.11在PKI體系中，負(fù)責(zé)發(fā)布證書撤銷狀態(tài)的在線服務(wù)是A.CA?B.RA?C.OCSP?D.LDAP答案：C1.12關(guān)于WAF的消極安全模型，下列說法正確的是A.基于白名單?B.基于黑名單?C.基于機器學(xué)習(xí)異常檢測?D.基于令牌環(huán)答案：B1.13在TLS1.3中，不再支持的算法套件是A.TLS_AES_256_GCM_SHA384?B.TLS_CHACHA20_POLY1305_SHA256C.TLS_RSA_WITH_AES_128_CBC_SHA?D.TLS_AES_128_GCM_SHA256答案：C1.14在802.1X認(rèn)證中，EAPTLS必須依賴A.預(yù)共享密鑰?B.證書?C.匿名身份?D.令牌答案：B1.15下列哪項最能降低BGP劫持風(fēng)險A.RPKIROV?B.BCP38?C.DHCPSnooping?D.802.1AE答案：A1.16在Windows中，用于查看當(dāng)前用戶訪問令牌的命令是A.whoami/groups?B.netuser?C.gpresult/z?D.klist答案：A1.17關(guān)于量子密鑰分發(fā)(QKD)，下列說法正確的是A.基于RSA算法?B.基于量子不可克隆定理?C.依賴DiffieHellman?D.使用經(jīng)典信道傳輸密鑰答案：B1.18在SNMPv3中，提供認(rèn)證與加密的安全級別是A.noAuthNoPriv?B.authNoPriv?C.authPriv?D.privNoAuth答案：C1.19下列哪條命令可將OpenSSL生成的私鑰轉(zhuǎn)換為PKCS8格式A.opensslpkcs8topk8informPEMoutformPEMinkey.pemoutpk8.pemB.opensslrsainkey.pemoutpk8.pemC.openssldgstsha256outpk8.pemkey.pemD.opensslx509inkey.pemoutpk8.pem答案：A1.20在等級保護2.0中，安全區(qū)域邊界不包括A.邊界防護?B.訪問控制?C.入侵防范?D.安全計算環(huán)境答案：D2.多項選擇題（每題2分，共20分，每題至少有兩個正確答案，多選少選均不得分）2.1以下哪些屬于IPSecSA的必需參數(shù)A.SPI?B.加密算法?C.生存時間?D.密鑰素材?E.端口號答案：ABCD2.2關(guān)于GDPR的技術(shù)措施，下列正確的有A.假名化?B.加密?C.數(shù)據(jù)最小化?D.知情權(quán)?E.設(shè)計隱私答案：ABCE2.3以下哪些攻擊可導(dǎo)致DNS緩存投毒A.生日攻擊?B.Kaminsky攻擊?C.中間人?D.TCPRST注入?E.反射放大答案：ABC2.3在Linux下，可用于文件完整性檢查的工具包括A.AIDE?B.Tripwire?C.chkrootkit?D.sha256sum?E.rpmV答案：ABDE2.4以下哪些屬于Web安全響應(yīng)頭A.XFrameOptions?B.ContentSecurityPolicy?C.StrictTransportSecurityD.XXSSProtection?E.XForwardedFor答案：ABCD2.5關(guān)于國密算法，下列說法正確的有A.SM2基于橢圓曲線?B.SM3輸出256bit摘要?C.SM4為流密碼D.SM9基于標(biāo)識密碼?E.ZUC用于4G加密答案：ABDE2.6以下哪些端口被IANA分配給遠(yuǎn)程桌面協(xié)議A.3389?B.3390?C.3391?D.3392?E.3393答案：ABCDE2.7在Windows日志中，事件ID4624表示A.賬戶登錄成功?B.賬戶登錄失敗?C.特權(quán)提升?D.特殊權(quán)限使用?E.Kerberos認(rèn)證票證授予答案：A2.8以下哪些屬于NISTSP80063B推薦的MFA因素A.記憶秘密(口令)?B.查找秘密?C.帶外設(shè)備?D.加密硬件?E.生物特征答案：ABCDE2.9以下哪些命令可查看Linux系統(tǒng)當(dāng)前監(jiān)聽端口A.sslnt?B.netstattunlp?C.lsofiPn?D.nmapsT?E.fuserntcp答案：ABCE2.10關(guān)于勒索軟件防御，有效的技術(shù)措施有A.應(yīng)用白名單?B.離線備份?C.宏腳本默認(rèn)禁用?D.網(wǎng)絡(luò)分段?E.漏洞掃描答案：ABCDE3.填空題（每空2分，共20分）3.1在TLS1.3中，用于實現(xiàn)0RTT的擴展稱為________。答案：EarlyData3.2在IPv6中，用于本地鏈路地址前綴的固定部分是________。答案：FE80::/103.3在Windows中，用于強制刪除打開文件句柄的命令是________。答案：handlec3.4在Linux審計系統(tǒng)auditd中，定義文件監(jiān)控規(guī)則的選項是________。答案：w3.5在PKI中，CRL的下一更新字段使用的時間格式為________。答案：UTCTime或GeneralizedTime3.6在SNMPv3USM中，HMACSHA1的認(rèn)證密鑰最小長度為________字節(jié)。答案：203.7在802.11i中，CCMP使用的加密算法是________。答案：AES3.8在等級保護2.0中，第三級系統(tǒng)每年至少開展________次等級測評。答案：13.9在BGP中，用于攜帶團體屬性的路徑屬性類型碼是________。答案：83.10在量子通信中，BB84協(xié)議共使用________組共軛基。答案：24.簡答題（每題10分，共30分）4.1簡述IPSec中IKEv2與IKEv1的主要區(qū)別，并說明為何IKEv2更適合移動互聯(lián)網(wǎng)場景。答案：1)初始交換由6條消息減為4條，降低延遲；2)內(nèi)置NATT支持，無需額外草案；3)支持MOBIKE，可在地址變化時更新SA，保持VPN不斷；4)內(nèi)置EAP認(rèn)證，便于與SIM卡、證書、令牌結(jié)合；5)支持初始交換并行發(fā)起，提高多宿主終端效率；6)刪除冗余加密套件，減少CPU占用與電池消耗。因此，對移動節(jié)點頻繁切換、帶寬受限、電量敏感的場景更優(yōu)。4.2說明Kerberos認(rèn)證過程中TGT的作用，并分析如果KDC長期不更新krbtgt密鑰可能帶來的風(fēng)險。答案：TGT（TicketGrantingTicket）是用戶首次登錄后由KDC頒發(fā)的初始票據(jù)，用于后續(xù)向TGS請求業(yè)務(wù)票據(jù)，避免重復(fù)輸入口令。TGT包含用戶身份、會話密鑰、有效期，并用krbtgt密鑰加密。若krbtgt密鑰長期不更新，攻擊者一旦獲取該密鑰，可偽造任意TGT，實現(xiàn)域內(nèi)持久化橫向移動，且難以被發(fā)現(xiàn)。因此建議每180天更新一次krbtgt密鑰，并在更新后強制使舊密鑰過期。4.3描述如何利用HSTS與CSP聯(lián)合緩解中間人攻擊與XSS攻擊，并給出配置示例。答案：HSTS強制瀏覽器使用HTTPS，杜絕SSL剝離；CSP限制資源加載來源，阻止內(nèi)聯(lián)腳本執(zhí)行。聯(lián)合配置：(1)服務(wù)端響應(yīng)頭StrictTransportSecurity:maxage=63072000;includeSubDomains;preloadContentSecurityPolicy:defaultsrc'self';scriptsrc'self';objectsrc'none';frameancestors'none'(2)效果：即使受害者首次被中間人降級到HTTP，瀏覽器因HSTS預(yù)加載列表仍強制HTTPS；CSP阻止攻擊者注入外部惡意腳本，降低XSS風(fēng)險。5.應(yīng)用題（共60分）5.1協(xié)議分析題（15分）給出一段經(jīng)過Wireshark捕獲的TLS1.3握手流量（十六進制片段，已提供ClientHello、ServerHello、EncryptedExtensions、Certificate、CertificateVerify、Finished）。問題：(1)指出用于密鑰交換的算法套件編號（2字節(jié)）；(2)計算ServerHello隨機數(shù)字段的十進制值；(3)說明CertificateVerify中使用的簽名算法；(4)若客戶端曾發(fā)送EarlyData，如何在抓包中識別其結(jié)束邊界？答案：(1)0x1301(TLS_AES_128_GCM_SHA256)；(2)將隨機數(shù)16字節(jié)轉(zhuǎn)為大端整數(shù)：示例結(jié)果為134711966...（具體數(shù)值依抓包）；(3)通過CertificateVerify的SignatureAlgorithm字段，如0x0804表示rsa_pss_rsae_sha256；(4)查找TLSInnerPlaintext類型為0x17（ApplicationData）且后續(xù)出現(xiàn)EndOfEarlyData消息類型0x05，或觀察UDPQUIC幀中STREAMFIN位。5.2防火墻規(guī)則設(shè)計（15分）某企業(yè)網(wǎng)絡(luò)拓?fù)洌篋MZ服務(wù)器區(qū)：/28；辦公內(nèi)網(wǎng)：/16；外網(wǎng)：/0。需求：a)僅允許外網(wǎng)訪問DMZ的TCP80/443；b)辦公網(wǎng)可訪問DMZ的TCP22管理端口，但需限制源IP為/24；c)禁止DMZ主動發(fā)起向內(nèi)網(wǎng)的新連接；d)允許DMZ訪問外網(wǎng)DNS（UDP53）；e)記錄所有被拒絕的包。請用iptables寫出完整規(guī)則鏈，并說明默認(rèn)策略。答案：PINPUTDROPPFORWARDDROPPOUTPUTACCEPTAINPUTmstatestateESTABLISHED,RELATEDjACCEPTAINPUTilojACCEPTDMZ訪問控制AFORWARDieth0d/28ptcpmmultiportdports80,443mstatestateNEWjACCEPTAFORWARDs/24d/28ptcpdport22mstatestateNEWjACCEPTAFORWARDidmzs/28d/16mstatestateNEWjLOGlogprefix"DMZ2LAN_DROP:"AFORWARDidmzs/28d/16jDROPAFORWARDidmzs/28pudpdport53jACCEPTAFORWARDmstatestateESTABLISHED,RELATEDjACCEPT默認(rèn)拒絕日志AFORWARDjLOGlogprefix"FWD_REJECT:"AINPUTjLOGlogprefix"IN_REJECT:"5.3VPN帶寬與延遲計算（15分）總部與分支通過IPSec隧道互聯(lián)，物理鏈路帶寬100Mbps，RTT50ms，MTU1500B。采用ESPAES256SHA256，封裝增加56B開銷。問題：(1)計算有效PPS（包每秒）上限；(2)若啟用TCP窗口規(guī)模選項，理論最大吞吐量為多少？(3)為提高小文件傳輸效率，應(yīng)如何調(diào)整TCP初始擁塞窗口？答案：(1)最大包長=1500B，有效數(shù)據(jù)=1500202056=1404B；PPS=100×10^6/(1500×8)=8333pps；(2)吞吐=Window/RTT，設(shè)窗口256kB，吞吐=256×8/0.05=40.96Mbps；(3)在Linux用iproutechangedefaultinitcwnd20，將初始擁塞窗口提高到20MSS，減少小文件RTT次數(shù)。5.4綜合滲透與防御（15分）場景：內(nèi)網(wǎng)Web服務(wù)器0存在SQL注入，攻擊者已獲取低權(quán)用戶webapp，目標(biāo)為讀取/etc/shadow。已知：a)內(nèi)核版本5.10，未打補??；b)服務(wù)器啟用SELinuxenforcing，webapp域為httpd_t；c)通過注入可寫目錄/var/www/html/uploads，但無法執(zhí)行命令；d)內(nèi)核存在CVE20213490eBPF漏洞，可本地提權(quán)。問題：(1)寫出利用eBPF漏洞的簡要步驟；(2)給出SELinux策略加固方案，阻止httpd_t域讀取shadow文件；(3)若已開啟audit=1，給出檢測此類攻擊的audit規(guī)則。答案：(1)步驟：1)通過SQL注入上傳編譯好的eBPFexploit.so；2)利用注入SELECT...INTODUMPFILE'/var/www/html/uploads/x.so'；3)觸發(fā)Web功能加載.so，執(zhí)行提權(quán)代碼，獲取root；4)讀取/etc/shadow并回傳。(2)加固：semanagefcontextatshadow_t'/etc/shadow.'setseboolPhttpd_can_read_shadow0audit2allowaMhttpd_shadow_denialsemodule