网安面试题(TCP/IP协议)
- TPC/IP是一个怎样的系统。
开放的系统,协议族定义和很多实现是公开的。
- 请尽可能详细描述出什么是FIFO。
当一台分组交换机接收到分组时,他们通常存储在缓存或队列中,并通过先到达先服务(FCFS)的方式处理,这种最简单的分组处理调度方式,称为先进先出(FIFO)。
- 在端到端的论点上,TCP实现了什么功能以保持了两者之间的一致性?
差错控制、流量控制。
- 画出TCP/IP体系结构,以及封装解封装过程。
- 请描述你对IP的理解。
IP是Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议。
设计IP的目的是提高网络的可扩展性:
①解决互联网问题,实现大规模、异构网络的互联互通;
②分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。
根据端到端的设计原则,IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。
- 分别描述出ICMP、TCP、UDP的传输方式。
ICMP是存储在IP数据报中,基于网络层进行传输的;
TCP是面向有连接、保证数据有效性和准确性的可靠传输;
UDP是面向无连接、不能保证数据的有效性和准确性的不可靠传输。
- 请描述你对端口号的理解。
端口号是16位的非负整数(0~65535),每个传输协议可使用这些端口号,它们被用于确定正确的接收数据的具体服务。
标准的端口号由Internet号码分配机构(IANA)分配。熟知端口号(01023)、注册端口号(102449151)和动态/私有端口号(49152~65535)。
- 请根据自己的理解描述Internet与VPN。
Internet(因特网),有很多网络互连起来的网络合集。
internet(小写i)表示使用常见协议族互联的多个网络;
Internet(大写I)表示可使用TCP/IP通信的世界范围的主机合集。Internet是一个internet。
VPN(虚拟专用网),有助于保证内联网中潜在的敏感资源职工授权用户访问,通常使用隧道概念。可安全有效的使不同的网络进行通讯。
- RFC是什么?有哪些特点?
Internet社会中的每个官方标准都以一个RFC(征求意见)的形式发布。
RFC可以通过多种方式创建,RFC发布者(RFC编者)对一个已发布的RFC创建多个文件。
不是所有RFC都是标准,只有标准跟踪类别的RFC被认为是官方标准。
RFC的大小不等,从几页到几百页。每个RFC由一个数字来标识,新的RFC被赋予更大的数字。
- DoS攻击的原理是什么?DDoS攻击与DoS攻击的区别?
原理:DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
区别:DoS攻击是一对一的攻击;而DDoS是分布式的攻击通过控制肉机(僵尸机)进行攻击。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络宽带攻击和连通性攻击。
DDoS为(Distributed Denial of Service)的缩写,即分布式阻断服务,黑客利用DDoS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的,这样就形成了DDoS攻击。有些DDoS 会伪装攻击来源,假造封包的来源IP,使人难以追查。
- 抓取网络中的SMTP、POP3、QQ、HTTP流量,对数据包进行分析能得到哪些关键参数。
通用参数:源MAC,目标MAC,源IP,目标IP、相关端口号
SMTP:邮件大小、邮件唯一识别码、发送方和接收方的邮件地址、邮件传输时间
POP3:基于SMTP的参数上增加了发送方邮件登陆的密码
QQ:QQ号码、每次通讯时间
HTTP:访问对象的服务器信息、操作系统信息、浏览器信息
- 请描述防火墙、IDS、IPS、WAF的部署方式,可以适当画图解释。
防火墙:路由模式、透明模式、混合模式
IDS、IPS:镜像口监听模式、路由模式、透明桥模式、混合模式
WAF:透明代理模式、反向代理模式、路由代理模式、端口镜像模式
- 说出你知道的安全厂商及相关安全设备。
360、绿盟、启明等。
防火墙、IDS、IPS、WAF、蜜罐等。
- TCP和UDP的基本概念。
TCP(传输控制协议)是面向连接的可靠的基于IP的传输层协议,它的主要目的是为数据提供可靠的端到端的传输,它能够处理数据的顺序传输和错误恢复,并保证数据能够到达目的地。
UDP(用户数据报协议)是一种无连接的传输层协议,提供面向事物的简单的不可靠信息传输服务。
- 一个企业中有DHCP服务器一台,并且该服务器运行正常,可分配地址范围10.0.1.1~10.0.1.50。请说明在什么情况下,可能导致超过租期或从未连接至该内网的电脑获取了与原有可分配的网段不同的其他网段的IP地址(如10.0.2.10)。请问如何解决该事件?
现象:内网同网段中有另一台DHCP服务器,并且可分配IP地址为10.0.2.10/24。当终端连入该网络时,优先选择了10.0.2.10/24的网段,拒绝了原DHCP服务器提供的OFFER包,导致了该现象的发生。
解决:紧急状况下,可优先选择手动分配合理的IP地址及相关信息,即可达到正常通讯的作用;非紧急状况下,建议通过流量分析、排查,找到该非法DHCP的终端后进行后续处理。
- 已有设备的物理地址(网卡地址、MAC地址)作为最底层通信地址,为何还需要IP地址?
网络通讯是基于IP地址实现的
- 某企业中有DHCP服务器一台,今天有一新员工小张办理入职后将自己新买的笔记本电脑连入公司内网,DHCP可分配的IPv4地址为192.168.0.151~192.168.0.180,请根据以下信息描述小张电脑在接入内网并获取IP地址的过程。
①PC广播FF.FF.FF.FF.FF.FF查找同网络中的所有DHCP
②当DHCP收到数据包后,将IP:192.168.0.151,加上响应的租约期限和其他的配置信息(比如DNS,网关等等),构造成一个OFFER数据包反馈给PC
③PC收到反馈数据包后,知道了DHCP的MAC和IP,并且附带DHCP提供的可使用的IP及相关配置信息,此时PC发出请求包给对应的DHCP说明使用192.168.0.151这个IP地址及其他相关配置信息
④DHCP收到该PC发出的请求包后,确定PC的MAC地址并查找租约记录,最终以ACK数据包进行反馈,通知PC可以使用该IP地址
- 网络抓包后发现某主机存有大量25和110端口通信数据,此主机最有可能是什么?请描述出25和110端口对应协议的工作原理。
25 SMTP 简单邮件传输协议
110 POP3 邮件协议3
邮件服务器
- 请描述TCP/IP结构和OSI结构的共同点。
①它们都是网络通信模型。
②它们都有网络层、传输层和应用层。
③它们都有统一的网络地址分配方案,使得整个TCP/IP设备在网中都具有惟一的地址
- 请描述你对端口镜像的理解。
端口镜像,通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。
6448
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
