2024年网络安全最全网络工程师面试时喜欢问的问题_网络工程师面试常见问题及答案(2)，绝对干货

最新推荐文章于 2024-08-09 11:22:26 发布

师从阳

最新推荐文章于 2024-08-09 11:22:26 发布

阅读量1k

点赞数 24

分类专栏：程序员文章标签： web安全网络面试

本文链接：https://blog.csdn.net/2301_77121488/article/details/138514543

版权

程序员专栏收录该内容

201 篇文章 0 订阅

订阅专栏

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

两种主要算法：距离向量法（Distance Vector Routing）和链路状态算法（Link-State Routing）。

由此可分为距离矢量（如：RIP、IGRP、EIGRP）&链路状态路由协议（如：OSPF、IS-IS）。路由协议是路由器之间实现路由信息共享的一种机制，它允许路由器之间相互交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时，它需要及时地将这一变化通知与之相连接的其他路由器，以保证数据的正确传递。路由协议不承担网络上终端用户之间的数据传输任务。

什么是 Cache 什么是 Buffer？区别是什么？ cache，直译是高速缓存存储器，有硬件来实现。起到设备间处理速度协调作用。例如 CPU 的 L2，L1，内存的作用等。

buffer，直译是缓冲区，有软件在 RAM 中实现。起到加快响应速度的作用。例如：WEB 缓存，各个应用软件中的缓存，队列。

共同点都是在 RAM 中实现，但实现的方式不一样。

什么是 MBR

MBR，master boot record，主引导记录。引导 OS 作用的。

你在局域网内想获得 IP 192.168.1.2 的 MAC，在 XP 系统的命令提示符中如何操作？

先 ping 192.168.1.2 在用 ARP -a 命令查看 arp 列表即可获得 [可用 nbtstat -a 192.168.1.2 一次获得]

查看编辑本地策略，可以在开始/运行中输入什么

gpedit.msc

将 FAT32 转换为 NTFS 分区的命令是什么

convert x: /fs:ntfs x:表示要转换的分区

手动更新 DHCP 分配的 IP 地址是什么

ipconfig /renew

XP 每个分区下都有个 System Volume Information 名的隐藏目录是做什么的？还有

pagefile.sys 文件？

System Volume Information 该目录是 XP 的自动还原功能所要用到的，存储的是还原点文件。pagefile.sys 就是 PF，虚拟内存的文件。

默认时 XP 的文件共享是没办法设置用户权限的，只有一个是否允许网络用户更改我的文件选项，但要需要对此共享文件夹设置不同的用户权限，该怎么做？

打开资源管理器—工具—文件夹选项—查看—使用简单文件共享（推荐）把前面的勾勾去掉，或者打开组策略编辑器—计算机配置----windows 设置—本地策略—安全选项—网络访问:本地帐户的共享安全模式，把该属性修改为“经典”模式也可以。

19. QQ 等即时消息软件采用的基本网络传输协议是什么？

采用的是 UDP 和 TCP 协议，QQ 主要采用 UDP，在某些情况下采用 TCP，即时消息多数采用

UDP 协议

刚刚装好的 XP 系统 C 盘下只显示哪几个文件夹？

只有 windows，program files ,documents and settings,System Volume

Information(有隐藏属性)，RECYCLER(有隐藏属性)。

Windows XP 系统盘 C 盘根目录下都有哪几个重要的文件（隐藏文件）

ntldr ,ntdetect.com,boot.ini

简述计算机从加电到启动系统时主板的工作流程，

按照屏幕显示顺序描述加电–[自检]—BIOS信息—显卡的参数–CPU的参数–内存的参数–硬盘的参数—光驱的参数—显示PCI等主板的其他的I/O等参数----（如果有RAID卡这步应该会显示）----BIOS将更新ESCD最后给出（Verifying DMI Poll

DATA…Update Success）字样—读取MBR记录-----调用NTLDR做一系列操作（这时的控制权从BIOS移交到硬盘/OS）—读取boot.ini文件（显示操作系统选择菜单）进入给定的操作—等等一系列操作都属于操作系统的部分了，不在这个问题的范围—最终看到桌面

电脑开机时主机内发出嘀嘀的鸣叫声，且显示器无任何信号，此现象可能是哪方面所导致，怎样处理？可能是内存问题导致，一般是内存松动，灰尘较多。可以做清扫灰尘，从新插好内存等操作。根据不同的鸣叫身也可以判断是其他硬件等问题
如果电脑的系统瘫痪（XP系统盘为C），正常启动无法进入系统，而C盘中又有重要文件，请问有几种拯救方法，该如何操作？可能是内存问题导致，一般是内存松动，灰尘较多。可以做清扫灰尘，从新插好内存等操作。根据不同的鸣叫身也可以判断是其他硬件等问题
重装系统格式化C盘之前该注意哪些方面？（系统可运行前提）磁盘空间允许最好备份整个windows目录。主要备份program files 目录，我的文档目录， documents and settings目录。另：备份一些软件的安装信息等。
如何设置宽带路由器（基本步骤）

宽带路由的设置，不复杂关键就几个步骤 :设置好拨号属性，一般都是PPPOE，ISP提供的用户名密码等 ;设置好内网的合法IP地址 ;建议启动防火墙功能。

27. 什么是VLAN，如何在CISCO交换机增加一个VLAN，又如何删除？ VLAN又称虚拟局域网，是指在网络层对局域网进行划分，一个VLAN组成一个逻辑子网，即一个独立的广播域，各子网自己产生的广播网络流量被限制在各子网内部，降低数据帧的碰撞率，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中．在CISCO交换机中增加一个VLAN 2如下命令:

Switch>enable Switch#vlan database Switch(vlan)#vlan 2

Switch(vlan)#exit

//以下设置vlan端口：

Switch(config)#int e0/6 //设置端口6从属vlan 2

Switch1(config-if)#vlan-membership static 2

Switch#vlan database

Switch(vlan)#no vlan 2

Switch(vlan)#exit

Switch>no int vlan 2t

28. 磁盘RAID级别有几种，分别是哪几种？你了解或者使用过哪几种，请写出它们的大概描述和区别。 RAID级别有以下几种：NRAID，JBOD，RAID0，RAID1，RAID0+1，RAID3，RAID5等。目前经常使用的是RAID0，RAID1，RAID3，RAID5和RAID（0+1）。它们的区别大致如下：

RAID 0 存取速度最快但没有容错

RAID 1 完全容错但成本比较高，磁盘利用率为50% RAID 3 写入性能最好但没有多任务功能

RAID 5 具备多任务及容错功能写入时有overhead

RAID 0+1 速度快、完全容错但成本高

知道现在流行的SAN网络平台吗？它主要是为计算机的哪个领域提出的一个解决方

案？

SAN 是指存储区域网络，它是一种高速网络或子网络，提供在计算机与存储系统之间的数据传输。一个 SAN 网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成，从而保证数据传输的安全性和力度。

请说出几种动态路由协议，并谈谈动态路由和静态路由的区别动态路由协议的种类：

（1）RIP 路由协议

RIP 协议最初是为 Xerox 网络系统的 Xerox parc 通用协议而设计的，是 Internet 中常用的路由协议。RIP 采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用 RIP 协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。

RIP 使用非常广泛，它简单、可靠，便于配置。但是 RIP 只适用于小型的同构网络，因为它允许的最大站点数为 15，任何超过 15 个站点的目的地均被标记为不可达。而且 RIP 每隔 30s 一次的路由信息广播也是造成网络的广播风暴的重要原因之一。

（2）OSPF 路由协议

0SPF 是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在 OSPF 的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用 0SPF 的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。

与 RIP 不同，OSPF 将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。

（3）BGP 和 BGP4 路由协议

BGP 是为 TCP／IP 互联网设计的外部网关协议，用于多个自治域之间。它既不是基于纯粹的链路状态算法，也不是基于纯粹的距离向量算法。它的主要功能是与其它自治域的 BGP 交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP 更新信息包括网络号／自治域路径的成对信息。自治域路径包括到达某个特定网络须经过的自治域串，这些更新信息通过 TCP 传送出去，以保证传输的可靠性。

为了满足 Internet 日益扩大的需要，BGP 还在不断地发展。在最新的 BGP4 中，还可以将相似路由合并为一条路由。

（4）IGRP 和 EIGRP 协议

EIGRP 和早期的 IGRP 协议都是由 Cisco 发明，是基于距离向量算法的动态路由协议。 EIGRP(Enhanced Interior Gateway Routing Protocol)是增强版的 IGRP 协议。它属于动态内部网关路由协议，仍然使用矢量－距离算法。但它的实现比 IGRP 已经有很大改进，其收敛特性和操作效率比 IGRP 有显著的提高。

它的收敛特性是基于 DUAL ( Distributed Update Algorithm ) 算法的。DUAL 算法使得路径在路由计算中根本不可能形成环路。它的收敛时间可以与已存在的其他任何路由协议相匹敌。

Enhanced IGRP 与其它路由选择协议之间主要区别包括：收敛宽速（Fast Convergence）、支持变长子网掩模（Subnet Mask）、局部更新和多网络层协议。执行 Enhanced IGRP 的路由器存储了所有其相邻路由表，以便于它能快速利用各种选择路径（Alternate Routes）。如果

没有合适路径，Enhanced IGRP 查询其邻居以获取所需路径。直到找到合适路径，Enhanced

IGRP 查询才会终止，否则一直持续下去。

EIGRP 协议对所有的 EIGRP 路由进行任意掩码长度的路由聚合，从而减少路由信息传输，节省带宽。另外 EIGRP 协议可以通过配置，在任意接口的位边界路由器上支持路由聚合。

EIGRP 不作周期性更新。取而代之，当路径度量标准改变时，Enhanced IGRP 只发送局部更新（Partial Updates）信息。局部更新信息的传输自动受到限制，从而使得只有那些需要信息的路由器才会更新。基于以上这两种性能，因此 Enhanced IGRP 损耗的带宽比 IGRP 少得多。

使用增强的内部网关路由选择协议，一个路由器保持一份它的邻近路由器的路由表副本。如果它不能从这些表中找到一条到达目的地的路由，它向它的邻近路由器询问一个路由并且它们轮流询问它们的邻近的路由器直到找到一个路由。为了保持所有的路由器注意邻近路由器的状态，每个路由器定时发出“握手”信息包。一个在一定时间间隔内没有收到“握手” 信息包的路由器被认为是无效的。

静态路由是指路由表由网络管理人员手动设定的一种路由方式。静态路由的好处是网络寻址快捷，适用于网络变动不大的网络系统。

动态路由是指路由表不是由网络管理人员手动设定，而是由路由器通过端口进行地址学习自动生成路由表的方式。动态路由的好处是对网络变化的适应性强，适用于网络环境变化大的网络系统。

在一个路由器中，可同时配置静态路由和一种或多种动态路由。它们各自维护的路由表都提供给转发程序，但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级，当其它路由表表项与它矛盾时，均按静态路由转发。

31. RIP 版本 1 跟版本 2 的区别？

答：①RIP-V1 是有类路由协议，RIP-V2 是无类路由协议②RIP-V1 广播路由更新，RIP-V2 组播路由更新③RIP-V2 路由更新所携带的信息要比 RIP-V1 多

32.描述 RIP 和 OSPF，它们的区别、特点

RIP 协议是一种传统的路由协议，适合比较小型的网络，但是当前 Internet 网络的迅速发展和急剧膨胀使 RIP 协议无法适应今天的网络。

OSPF 协议则是在 Internet 网络急剧膨胀的时候制定出来的，它克服了 RIP 协议的许多缺陷。

RIP 是距离矢量路由协议；OSPF 是链路状态路由协议。

RIP&OSPF 管理距离分别是：120 和 110

1．RIP 协议一条路由有 15 跳（网关或路由器）的限制，如果一个 RIP 网络路由跨越超过 15

跳（路由器），则它认为网络不可到达，而 OSPF 对跨越路由器的个数没有限制。

2．OSPF 协议支持可变长度子网掩码（VLSM），RIP 则不支持，这使得 RIP 协议对当前 IP 地址的缺乏和可变长度子网掩码的灵活性缺少支持。

3．RIP 协议不是针对网络的实际情况而是定期地广播路由表，这对网络的带宽资源是个极大的浪费，特别对大型的广域网。OSPF 协议的路由广播更新只发生在路由状态变化的时候，采用 IP 多路广播来发送链路状态更新信息，这样对带宽是个节约。

4．RIP 网络是一个平面网络，对网络没有分层。OSPF 在网络中建立起层次概念，在自治域中可以划分网络域，使路由的广播限制在一定的范围内，避免链路中继资源的浪费。

5．OSPF 在路由广播时采用了授权机制，保证了网络安全。

上述两者的差异显示了 OSPF 协议后来居上的特点，其先进性和复杂性使它适应了今天日趋

庞大的 Internet 网，并成为主要的互联网路由协议

33. HSRP 是什么?它是如何工作的？

答：HSRP 是热备份路由协议，思科专有。通过 HSRP，一组路由器可以一起协同工作，来代表一台虚拟路由器，备份组像一台路由器一样工作，一个虚拟 IP 地址和 MAC 地址，从末端主机来看，虚拟主路由器是一台有自己 IP 地址和 MAC 地址的路由器，它不同于实际物理路由器，那么该组中一台路由器失效则另一台路由器接替工作，路由选择照常。

介绍一下 ACL 和 NAT？NAT 有几种方式？

ACL：1、访问控制列表（ACL）是应用在路由器接口的指令列表（规则），用来告诉路由器哪些数据包可以接收转发，哪些数据包需要拒绝；2、ACL 的工作原理：读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤；3、使用 ACL 实现网络控制：实现访问控制列表的核心技术是包过滤；4、ACL 的两种基本类型（标准访问控制列表；扩展访问控制列表）

NAT：改变 IP 包头使目的地址，源地址或两个地址在包头中被不同地址替换。静态 NAT、动态 NAT、PAT

35. STP 协议的主要用途是什么？为什么要用 STP

主要用途：1、STP 通过阻塞冗余链路，来消除桥接网络中可能存在的路径回环；2、当前活动路径发生故障时，STP 激活冗余链路恢复网络连通性。原因：交换网络存在环路时引起：广播环路（广播风暴）；桥表损坏

、VPN 有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（AccessVPN ）、企业内部虚拟网（IntranetVPN ）和企业扩展虚拟网

（ExtranetVPN），这三种类型的 VPN 分别与传统的远程访问网络、企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应。

※以思科路由器为例,你写下单臂路由的配置命令？答：router(config)#interface f0/1.1

router(config-if)#encapsulation dotlQ 100 router(config-if)#ip add 192.168.1.1 255.255.255.0 router(config-if)#no shutdown

router(config-if)#interface f0/1.2 router(config-if)#i encapsulation dotlQ 200 router(config-if)#i ip add 192.168.2.1 255.255.255.0 router(config-if)#no shutdown

什么是 VPN？

VPN（V irtual Private Network）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。

38. VPN 的加密技术。VPN 采用何种加密技术依赖于 VPN 服务器的类型，因此可以分为两种情况。

1、对于 PPTP 服务器，将采用 MPPE 加密技术 MPPE 可以支持 40 位密钥的标准加密方案和

128 位密钥的增强加密方案。只有在 MS-CHAP、MS- CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE 需要这些类型的身份验证生成的公用客户和服务器密钥。2、对于 L2TP 服务器，将使用 IPSec 机制对数据进行加密 IPSec 是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程 VPN 服务器之间进行协商。IPSec 可用的加密包括 56 位密钥的数据加密标准 DES 和 56 位密钥的三倍 DES（3DES）

VPN 的身份验证方法：1、PPP 的身份验证方法；2、CHAP：CHAP 通过使用 MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。3、MS- CHAP：同 CHAP 相似，微软开发 MS-CHAP 是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且 MS- CHAP 不要求使用原文或可逆加密密码。4、MS-CHAP v2：MS-CHAP v2 是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将 VPN 连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

5、EAP：EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于 VPN 来说，使用 EAP 可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安全性。

6、在 Windows 系统中，对于采用智能卡进行身份验证，将采用 EAP 验证方法；对于通过密码进行身份验证，将采用 CHAP、MS-CHAP 或 MS- CHAP v2 验证方法。

40. VLAN 和 VPN 有什么区别？分别实现在 OSI 的第几层？

VPN 是一种三层封装加密技术，VLAN 则是一种第二层的标志技术（尽管 ISL 采用封装），尽管用户视图有些相象，但他们不应该是同一层次概念。

VLAN（V irtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

VLAN 在交换机上的实现方法，可以大致划分为 2 大类：基基于端口划分的静态 VLAN；2、基于 MAC 地址|IP 等划分的动态 VLAN。当前主要是静态 VLAN 的实现。

跨交换机 VLAN 通讯通过在 TRUNK 链路上采用 Dot1Q 或 ISL 封装（标识）技术。 VPN（虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

VPN 使用三个方面的技术保证了通信的安全性：隧道协议、数据加密和身份验证。

■VPN 使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

■VPN 采用何种加密技术依赖于 VPN 服务器的类型，因此可以分为两种情况。

对于 PPTP 服务器，将采用 MPPE 加密技术 MPPE 可以支持 40 位密钥的标准加密方案和 128 位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE 需要这些类型的身份验证生成的公用客户和服务器密钥。对于 L2TP 服务器，将使用 IPSec 机制对数据进行加密 IPSec 是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程 VPN 服务器之间进行协商。 IPSec 可用的加密包括 56 位密钥的数据加密标准 DES 和 56 位密钥的三倍 DES (3DES)。

■VPN 的身份验证方法

前面已经提到 VPN 的身份验证采用 PPP 的身份验证方法，下面介绍一下 VPN 进行身份验证的几种方法。

CHAP CHAP 通过使用 MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

MS-CHAP 同 CHAP 相似，微软开发 MS-CHAP 是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。

MS-CHAP v2 MS-CHAP v2 是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将 VPN 连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于 VPN 来说，使用 EAP 可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安全性。在 Windows 系统中，对于采用智能卡进行身份验证，将采用 EAP 验证方法；对于通过密码进行身份验证，将采用 CHAP、MS-CHAP 或 MS-CHAP v2 验证方法。

什么是静态路由？什么是动态路由？各自的特点是什么？

静态路由是由管理员在路由器中手动配置的固定路由，路由明确地指定了包到达目的地必须经过的路径，除非网络管理员干预，否则静态路由不会发生变化。静态路由不能对网络的改变作出反应，所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。静态路由特点

1、它允许对路由的行为进行精确的控制；

2、减少了网络流量；

3、是单向的；

4、配置简单。动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有：距离向量路由协议（如 RIP）和链路状态路由协议（如 OSPF）。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤

1、向其它路由器传递路由信息；

2、接收其它路由器的路由信息；

3、根据收到的路由信息计算出到每个目的网络的最优路径，并由此生成路由选择表；

4、根据网络拓扑的变化及时的做出反应，调整路由生成新的路由选择表，同时把拓扑变化以路由信息的形式向其它路由器宣告。

动态路由适用于网络规模大、拓扑复杂的网络。动态路由特点：

1、无需管理员手工维护，减轻了管理员的工作负担。

2、占用了网络带宽。

3、在路由器上运行路由协议，使路由器可以自动根据网络拓朴结构的变化调整路由条目；

42.常见的认证方式：

1）口令验证协议（PAP）

PAP 是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP 以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与 NAS 建立连接获取 NAS 提供的所有资源。所以，一旦用户密码被第三方窃取，PAP 无法提供避免受到第三方攻击的保障措施。

2）挑战-握手验证协议（CHAP）

CHAP 是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS 向远程

用户发送一个挑战口令（challenge），其中包括会话 ID 和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用 MD5 单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话 ID 以及用户口令，其中用户名以非哈希方式发送。

CHAP 对 PAP 进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP 为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP 将不定时的向客户端重复发送挑战口令，从而避免第 3 方冒充远程客户（remote client impersonation）进行攻击。

43. PAT 和 NAT 有什么区别？

PAT 叫端口地址转换，NAT 是网络地址转换，由 RFC 1631 定义。PAT 可以看做是 NAT 的一部分。在 NAT 时，考虑一种情形，就是只有一个 Public IP，而内部有多个 Private IP，这个时候 NAT 就要通过映射 UDP 和 TCP 端口号来跟踪记录不同的会话，比如用户 A、B、C 同时访问 CSDN，则 NAT 路由器会将用户 A、B、C 访问分别映射到 1088、1098、23100（举例而已，实际上是动态的），此时实际上就是 PAT 了。

由上面推论，PAT 理论上可以同时支持（65535 - 1024）= 64511 个连接会话。但实际使用中由于设备性能和物理连接特性是不能达到的，CISCO 的路由器 NAT 功能中每个 Public IP 最多能有效地支持大约 4000 个会话。

操作系统使用 Windows 2000 Professional，数据库是 MSDE，在上面部署公司开发的 B/S

架构的应用程序，有哪些方面需要注意？

Windows 2000 Pro 有 10 个并发连接的限制，MSDE（SQL Server 桌面数据库）有 5 个用户连接限制，而且 Pro 的 IIS 只能建立一个 Web 站点，这些限制对于应用服务器的部署都是需要考虑的。在设计程序的时候，则用完的数据库连接马上释放掉，否则容易出现超过限制而不能连接数据库的问题。

45 交换机是如何转发数据包的?

交换机通过学习数据帧中的源 MAC 地址生成交换机的 MAC 地址表，交换机查看数据帧的目标 MAC 地址，根据 MAC 地址表转发数据，如果交换机在表中没有找到匹配项，则向除接受到这个数据帧的端口以外的所有端口广播这个数据帧。

简述 STP 的作用及工作原理.

作用:(1) 能够在逻辑上阻断环路，生成树形结构的拓扑;

(2) 能够不断的检测网络的变化，当主要的线路出现故障断开的时候，STP 还能通过计算激活阻起到断的端口，起到链路的备份作用。

工作原理: STP 将一个环形网络生成无环拓朴的步骤：选择根网桥（Root Bridge）

选择根端口（Root Ports）选择指定端口（Designated Ports）

生成树机理

每个 STP 实例中有一个根网桥每个非根网桥上都有一个根端口每个网段有一个指定端口

非指定端口被阻塞 STP 是交换网络的重点,考察是否理解.

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。