安恒網安面試題來啦！兄弟們沖起來~（下）（安恒面試問題）

今天剛面完安恒滲透測試崗，給大家總結一下。

15.手工查找后門木馬的小技巧

1、首先最需要注意的地方是系統的啟動項，可以在“運行”-輸入“msconfig 命令” 在打開的系統配置實用程序里的啟動列表查看，并且服務也要注意一下，如果對電腦不是太熟悉的童鞋建議使用 360 安全衛士的開機加速功能，來查看有無異常的可以啟動項和服務項，因為在后門木馬中 99%都會注冊自己為系統服務，達到開機自啟動的目的，如果發現可疑項直接打開相應的路徑，找到程序文件，直接刪除并且禁止自啟動；

2、查看系統關鍵目錄 system32 和系統安裝目錄 Windows 下的文件，xp 系統下兩者默認路徑分別是 C:\WINDOWS\system32 和 C:\WINDOWS\。然后最新修改的文件中有沒有可疑的可執行文件或 dll 文件，這兩個地方都是木馬最喜歡的藏身的地方了（小提示：一定要設置顯示所有的文件的文件夾哦）。

3、觀察網絡連接是否存在異常，還有“運行”-“cmd”-“netstat -an”查看有沒有可疑或非正常程序的網絡連接，如果對電腦不是很熟悉建議大家使用 360 的流量監控功能更加直觀和方便，尤其注意一下遠程連接的端口，如果有類似于 8000 等端口就要注意了，8000 是灰鴿子的默認端口，記得有一次自己就在后門木馬測試中在網絡連接中發現 8000 端口，當然意思不是說只要沒有 8000 端口的網絡連接就一定安全，因為 8000 端口只是灰鴿子上線的默認端口，并且端口是可以更改的。

通過以上方法，可以查找到電腦的一些可疑文件，如果確認無疑，就可以手工進行刪除了。當然還可以借助殺毒軟件的力量。如果你真的中了木馬后門，不用慌。最好最徹底的方法是重裝系統后，在安全模式下，利用最新病毒庫的殺軟進行查殺。

16.描述 OSI（開放系統互聯基本

分層的好處是利用層次結構可以把開放系統的信息交換問題分解到一系列容易控制的軟硬件模塊－層中，而各層可以根據需要獨立進行修改或擴充功能，同時，有利于個不同制造廠家的設備互連，也有利于大家學習、理解數據通訊網絡。

OSI 參考模型中不同層完成不同的功能，各層相互配合通過標準的接口進行通信。

第 7 層應用層：OSI 中的最高層。為特定類型的網絡應用提供了訪問 OSI 環境的手段。應用層確定進程之間通信的性質，以滿足用戶的需要。應用層不僅要提供應用進程所需要的信息交換和遠程操作，而且還要作為應用進程的用戶代理，來完成一些為進行信息交換所必需的功能。它包括：文件傳送訪問和管理 FTAM、虛擬終端 VT、事務處理 TP、遠程數據庫訪問 RDA、制造報文規范 MMS、目錄服務 DS 等協議；應用層能與應用程序界面溝通，以達到展示給用戶的目的。在此常見的協議有:HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3 等。

第 6 層表示層：主要用于處理兩個通信系統中交換信息的表示方式。為上層用戶解決用戶信息的語法問題。它包括數據格式交換、數據加密與解密、數據壓縮與終端類型的轉換。

第 5 層會話層：在兩個節點之間建立端連接。為端系統的應用程序之間提供了對話控制機制。此服務包括建立連接是以全雙工還是以半雙工的方式進行設置，盡管可以在層 4 中處理雙工方式；會話層管理登入和注銷過程。它具體管理兩個用戶和進程之間的對話。如果在某一時刻只允許一個用戶執行一項特定的操作，會話層協議就會管理這些操作，如阻止兩個用戶同時更新數據庫中的同一組數據。

第 4 層傳輸層：—常規數據遞送－面向連接或無連接。為會話層用戶提供一個端到端的可靠、透明和優化的數據傳輸服務機制。包括全雙工或半雙工、流控制和錯誤恢復服務；傳輸層把消息分成若干個分組，并在接收端對它們進行重組。不同的分組可以通過不同的連接傳送到主機。這樣既能獲得較高的帶寬，又不影響會話層。在建立連接時傳輸層可以請求服務質量，該服務質量指定可接受的誤碼率、延遲量、安全性等參數，還可以實現基于端到端的流量控制功能。

第 3 層網絡層：本層通過尋址來建立兩個節點之間的連接，為源端的運輸層送來的分組，選擇合適的路由和交換節點，正確無誤地按照地址傳送給目的端的運輸層。它包括通過互連網絡來路由和中繼數據；除了選擇路由之外，網絡層還負責建立和維護連接，控制網絡上的擁塞以及在必要的時候生成計費信息。

第 2 層數據鏈路層：在此層將數據分幀，并處理流控制。屏蔽物理層，為網絡層提供一個數據鏈路的連接，在一條有可能出差錯的物理連接上，進行幾乎無差錯的數據傳輸（差錯控制）。本層指定拓撲結構并提供硬件尋址。常用設備有網卡、網橋、交換機；

第 1 層物理層：處于 OSI 參考模型的最底層。物理層的主要功能是利用物理傳輸介質為數據鏈路層提供物理連接，以便透明的傳送比特流。常用設備有（各種物理設備）集線器、中繼器、調制解調器、網線、雙絞線、同軸電纜。

數據發送時，從第七層傳到第一層，接收數據則相反。

上三層總稱應用層，用來控制軟件方面。下四層總稱數據流層，用來管理硬件。除了物理層之外其他層都是用軟件實現的。數據在發至數據流層的時候將被拆分。

在傳輸層的數據叫段，網絡層叫包，數據鏈路層叫幀，物理層叫比特流，這樣的叫法叫 PDU（協議數據單元）[2]

各層功能

(1)物理層(Physical Layer)

物理層是 OSI 參考模型的最低層，它利用傳輸介質為數據鏈路層提供物理連接。它主要關心的是通過物理鏈路從一個節點向另一個節點傳送比特流，物理鏈路可能是銅線、衛星、微波或其他的通訊媒介。它關心的問題有：多少伏電壓代表 1？多少伏電壓代表 0？時鐘速率是多少？采用全雙工還是半雙工傳輸？總的來說物理層關心的是鏈路的機械、電氣、功能和規程特性。

(2)數據鏈路層(Data Link Layer)

數據鏈路層是為網絡層提供服務的，解決兩個相鄰結點之間的通信問題，傳送的協議數據單元稱為數據幀。數據幀中包含物理地址（又稱 MAC 地址）、控制碼、數據及校驗碼等信息。該層的主要作用是通過校驗、確認和反饋重發等手段，將不可靠的物理鏈路轉換成對網絡層來說無差錯的數據鏈路。此外，數據鏈路層還要協調收發雙方的數據傳輸速率，即進行流量控制，以防止接收方因來不及處理發送方來的高速數據而導致緩沖器溢出及線路阻塞。

(3)網絡層(Network Layer)

網絡層是為傳輸層提供服務的，傳送的協議數據單元稱為數據包或分組。該層的主要作用是解決如何使數據包通過各結點傳送的問題，即通過路徑選擇算法（路由）將數據包送到目的地。另外，為避免通信子網中出現過多的數據包而造成網絡阻塞，需要對流入的數據包數量進行控制（擁塞控制）。當數據包要跨越多個通信子網才能到達目的地時，還要解決網際互連的問題。

(4)傳輸層(Transport Layer)

傳輸層的作用是為上層協議提供端到端的可靠和透明的數據傳輸服務，包括處理差錯控制和流量控制等問題。該層向高層屏蔽了下層數據通信的細節，使高層用戶看到的只是在兩個傳輸實體間的一條主機到主機的、可由用戶控制和設定的、可靠的數據通路。傳輸層傳送的協議數據單元稱為段或報文。

(5)會話層(Session Layer)

會話層主要功能是管理和協調不同主機上各種進程之間的通信（對話），即負責建立、管理和終止應用程序之間的會話。會話層得名的原因是它很類似于兩個實體間的會話概念。例如，一個交互的用戶會話以登錄到計算機開始，以注銷結束。

(6)表示層(Presentation Layer)

表示層處理流經結點的數據編碼的表示方式問題，以保證一個系統應用層發出的信息可被另一系統的應用層讀出。如果必要，該層可提供一種標準表示形式，用于將計算機內部的多種數據表示格式轉換成網絡通信中采用的標準表示形式。數據壓縮和加密也是表示層可提供的轉換功能之一。

(7)應用層(Application Layer)

應用層是 OSI 參考模型的最高層，是用戶與網絡的接口。該層通過應用程序來完成網絡用戶的應用需求，如文件傳輸、收發電子郵件等。

17.TCP 和 UDP 的區別

TCP 協議和 UDP 協議特性區別總結：

1.TCP 協議在傳送數據段的時候要給段標號；UDP 協議不

2.TCP 協議可靠；UDP 協議不可靠

3.TCP 協議是面向連接；UDP 協議采用無連接

4.TCP 協議負載較高，采用虛電路；UDP 采用無連接

5.TCP 協議的發送方要確認接收方是否收到數據段（3 次握手協議）

6.TCP 協議采用窗口技術和流控

當數據傳輸的性能必須讓位于數據傳輸的完整性、可控制性和可靠性時，TCP協議是當然的選擇。當強調傳輸性能而不是傳輸的完整性時，如：音頻和多媒體應用，UDP 是最好的選擇。在數據傳輸時間很短，以至于此前的連接過程成為整個流量主體的情況下，UDP 也是一個好的選擇，如：DNS 交換。把 SNMP建立在 UDP 上的部分原因是設計者認為當發生網絡阻塞時，UDP 較低的開銷使其有更好的機會去傳送管理數據。TCP 豐富的功能有時會導致不可預料的性能低下，但是我們相信在不遠的將來，TCP 可靠的點對點連接將會用于絕大多數的網絡應用。

18.脫殼

而從技術的角度出發，殼是一段執行于原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼后的文件執行時，殼－這段代碼先于原始程序運行，他把壓縮、加密后的代碼還原成原始程序代碼，然后再把執行權交還給原始代碼。軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的 OEP（入口點，防止被破解）。

19.“人肉搜索”

是一種類比的稱呼，主要是用來區別傳統搜索引擎。它主要是指通過集中許多網民的力量去搜索信息和資源的一種方式，它包括利用互聯網的機器搜索引擎（如百度等）及利用各網民在日常生活中所能掌握的信息來進行收集信息的一種方式。

20.SYN Flood 的基本原理

SYN Flood 是當前最流行的 DoS（拒絕服務攻擊）與 DDoS（分布式拒絕服務攻擊）的方式之一，這是一種利用 TCP 協議缺陷，發送大量偽造的 TCP 連接請求，從而使得被攻擊方資源耗盡（CPU 滿負荷或內存不足）的攻擊方式。要明白這種攻擊的基本原理，還是要從 TCP 連接建立的過程開始說起：

大家都知道，TCP 與 UDP 不同，它是基于連接的，也就是說：為了在服務端和客戶端之間傳送 TCP 數據，必須先建立一個虛擬電路，也就是 TCP 連接，建立 TCP 連接的標準過程是這樣的：

首先，請求端（客戶端）發送一個包含 SYN 標志的 TCP 報文，SYN 即同步（Synchronize），同步報文會指明客戶端使用的端口以及 TCP 連接的初始序號；

第二步，服務器在收到客戶端的 SYN 報文后，將返回一個 SYN+ACK 的報文，表示客戶端的請求被接受，同時 TCP 序號被加一，ACK 即確認

（Acknowledgement）。

第三步，客戶端也返回一個確認報文 ACK 給服務器端，同樣 TCP 序列號被加一，到此一個 TCP 連接完成。

以上的連接過程在 TCP 協議中被稱為三次握手（Three-way Handshake）。問題就出在 TCP 連接的三次握手中，假設一個用戶向服務器發送了 SYN 報文后突然死機或掉線，那么服務器在發出 SYN+ACK 應答報文后是無法收到客戶端的 ACK 報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發送 SYN+ACK 給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為 SYN Timeout，一般來說這個時間是分鐘的數量級（大約為 30 秒-2 分鐘）；一個用戶出現異常導致服務器的一個線程等待 1 分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU 時間和內存，何況還要不斷對這個列表中的 IP 進行 SYN+ACK 的重試。實際上如果服務器的 TCP/IP 棧不夠強大，最后的結果往往是堆棧溢出崩潰—即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求（畢竟客

戶端的正常請求比率非常之小），此時從正常客戶的角度看來，服務器失去響應，這種情況我們稱作：服務器端受到了 SYN Flood 攻擊（SYN 洪水攻擊）。

從防御角度來說，有幾種簡單的解決方法，第一種是縮短 SYNTimeout 時間，由于 SYNFlood 攻擊的效果取決于服務器上保持的 SYN 半連接數，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到 SYN 報文到確定這個報文無效并丟棄改連接的時間，例如設置為 20 秒以下（過低的 SYN Timeout 設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。

第二種方法是設置 SYN Cookie，就是給每一個請求連接的 IP 地址分配一個Cookie，如果短時間內連續受到某個 IP 的重復 SYN 報文，就認定是受到了攻擊，以后從這個 IP 地址來的包會被一概丟棄。

可是上述的兩種方法只能對付比較原始的 SYNFlood 攻擊，縮短 SYNTimeout時間僅在對方攻擊頻度不高的情況下生效，SYN Cookie 更依賴于對方使用真實的 IP 地址，如果攻擊者以數萬/秒的速度發送 SYN 報文，同時利用 SOCK_RAW隨機改寫 IP 報文中的源地址，以上的方法將毫無用武之地。

21.什么是手機”越獄“

所謂 iOS 系統的越獄就是取得系統最高權限的行為，越獄前后 iOS 系統本身并不會發生質的改變，只是越獄后可以對 iOS 系統進行更充分的利用而已。

越獄的好處：

1、越獄之后操作性更強，取得了手機的最高權限，就可以修改手機內容，包括安裝免費的破解軟件、自定義功能、美化等等。

2、越獄后可以繞過 AppStore 免費下載 APP。

越獄的壞處：

1、越獄后失去保修。

2、越獄之后，后臺程序運行，桌面主題等都會加大耗電。

3、越獄就是打破 iOS 系統封閉，所以手機就相對變得不安全了。

22. NAT（網絡地址轉換）協議

內網的計算機以 NAT（網絡地址轉換）協議，通過一個公共的網關訪問 Internet。內網的計算機可向 Internet 上的其他計算機發送連接請求，但 Internet 上其他的計算機無法向內網的計算機發送連接請求。

NAT（Network Address Translator）是網絡地址轉換，它實現內網的 IP 地址與公網的地址之間的相互轉換，將大量的內網 IP 地址轉換為一個或少量的公網 IP地址，減少對公網 IP 地址的占用。NAT 的最典型應用是：在一個局域網內，只需要一臺計算機連接上 Internet，就可以利用 NAT 共享 Internet 連接，使局域網內其他計算機也可以上網。使用 NAT 協議，局域網內的計算機可以訪問 Internet上的計算機，但 Internet 上的計算機無法訪問局域網內的計算機。

A 類 10.0.0.0–10.255.255.255

B 類 172.16.0.0–172.31.255.255

C 類 192.168.0.0–192.168.255.255

內網保留地址編輯

Internet 設計者保留了 IPv4 地址空間的一部份供專用地址使用,專用地址空間中的 IPv4 地址叫專用地址,這些地址永遠不會被當做公用地址來分配,所以專用地址永遠不會與公用地址重復。

IPv4 專用地址如下：

IP 等級 IP 位置

ClassA 10.0.0.0-10.255.255.255

默認子網掩碼:255.0.0.0

ClassB 172.16.0.0-172.31.255.255

默認子網掩碼:255.240.0.0

ClassC 192.168.0.0-192.168.255.255

默認子網掩碼:255.255.0.0

內網是可以上網的.內網需要一臺服務器或路由器做網關,通過它來上網

做網關的服務器有一個網關（服務器/路由器）的 IP 地址,其它內網電腦的 IP 可根據它來隨意設置,前提是IP前三個數要跟它一樣,第四個可從0-255中任選但要跟服務器的 IP 不同。

23.內網穿透

即 NAT 穿透，采用端口映射，讓外網的電腦找到處于內網的電腦，同時也可基于 HTTP/2實現 web 內網穿透。

24.虛擬專用網絡

功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN 網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。例如某公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬于遠程訪問。

讓外地員工訪問到內網資源，利用 VPN 的解決方法就是在內網中架設一臺 VPN服務器。外地員工在當地連上互聯網后，通過互聯網連接 VPN 服務器，然后通過 VPN 服務器進入企業內網。為了保證數據安全，VPN 服務器和客戶機之間通訊數據都進行了加密處理。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣，但實際上 VPN使用的是互聯網上的公用鏈路，因此 VPN 稱為虛擬專用網絡，其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了 VPN 技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用 VPN 訪問內網資源，這就是 VPN 在企業中應用得如此廣泛的原因。

25.二層交換機

二層交換機工作于 OSI 模型的第 2 層（數據鏈路層），故而稱為二層交換機。二層交換技術的發展已經比較成熟，二層交換機屬數據鏈路層設備，可以識別數據包中的 MAC 地址信息，根據 MAC 地址進行轉發，并將這些 MAC 地址與對應的端口記錄在自己內部的一個地址表中。

過程

（1）當交換機從某個端口收到一個數據包，它先讀取包頭中的源 MAC 地址，

這樣它就知道源 MAC 地址的機器是連在哪個端口上的；

（2）再去讀取包頭中的目的 MAC 地址，并在地址表中查找相應的端口；

（3）如表中有與這目的 MAC 地址對應的端口，把數據包直接復制到這端口上；

（4）如表中找不到相應的端口則把數據包廣播到所有端口上，當目的機器對源機器回應時，交換機又可以學習一目的 MAC 地址與哪個端口對應，在下次傳送數據時就不再需要對所有端口進行廣播了。

不斷的循環這個過程，對于全網的 MAC 地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表。

26.路由技術

路由器工作在 OSI 模型的第三層—網絡層操作，其工作模式與二層交換相似，但路由器工作在第三層，這個區別決定了路由和交換在傳遞包時使用不同的控制信息，實現功能的方式就不同。工作原理是在路由器的內部也有一個表，這個表所標示的是如果要去某一個地方，下一步應該向哪里走，如果能從路由表中找到數據包下一步往哪里走，把鏈路層信息加上轉發出去；如果不能知道下一步走向哪里，則將此包丟棄，然后返回一個信息交給源地址。

路由技術實質上來說不過兩種功能：決定最優路由和轉發數據包。

27.三層交換機

三層交換機就是具有部分路由器功能的交換機，三層交換機的最重要目的是加快大型局域網內部的數據交換，所具有的路由功能也是為這目的服務的，能夠做到一次路由，多次轉發。對于數據包轉發等規律性的過程由硬件高速實現，而像路由信息更新、路由表維護、路由計算、路由確定等功能，由軟件實現。三層交換技術就是二層交換技術+三層轉發技術。傳統交換技術是在 OSI 網絡標準模型第二層——數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發，既可實現網絡路由功能，又可根據不同網絡狀況做到最優網絡性能。

28.IPv6 地址表

IPv6 的 128 位地址通常寫成 8 組，每組為四個十六進制數的形式。比如：

AD80:0000:0000:0000:ABAA:0000:00C2:0002 是一個合法的 IPv6 地址。這個地址比較長，看起來不方便也不易于書寫。零壓縮法可以用來縮減其長度。如果幾個連續段位的值都是 0，那么這些 0 就可以簡單的以::來表示，上述地址就可寫成 AD80::ABAA:0000:00C2:0002。同時前導的零可以省略，因此2001:0DB8:02de::0e13 等價于 2001:DB8:2de::e13。

看完直接上班！！！

TCP/IP 網絡 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。