网络安全入门（持续更新），那些年网络安全面试官常问的知识点

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

```

• 管道：将前面命令的结果作为后面命令的对象

  1. 演示

  ipconfig | findstr "IPv4"\\
  
  #查看本地开放的端口
  netstat -anop | findstr /i "listening"
  
  

• 重定向：将命令结果写入到文件中

  1. 演示

  #将本地端口信息写入到result.txt中
  netstat -anop > ./result.txt
  #将ipconfig /all的结果追加到result.txt中
  ipconfig /all >> ./result.txt
  
  

网络相关

• ipconfig：查看网络适配器；

• netsh：配置网络适配器，通过命令配置网络连接；
• ping：检测是否能与目标通信；发送的是ICMP报文（ping不同，不代表不能访问网站）；

• nslookup：请求DNS服务器解析域名；

路由操作

• tracert：路由跟踪，监测与目标通信，经过了哪些路由器；

• route：查看路由器信息；

网络连接排查

• netstat：查看使用tcp、udp、icmp协议通信的进程；

• telnet：远程管理操作系统，用于连接telnet服务器，常用来探测目标开放的端口；
• arp：查看arp缓存表（arp缓存表记录IP地址对应的mac地址，防止被arp欺骗）

进程和服务控制

• taskkill：结束指定进程；
• services.msc：图形化界面管理本地所有服务
• net start：启动服务

用户和组管理

用户

组

1. 一台计算机拥有多个用户，不同用户权限不同；同时，为了区分账户，操作系统为每个账户设置了一串编码——sid（类似于身份证号）；
2. 创建影子账户

https://blog.csdn.net/baidu_38844729/article/details/115708745

3. 内置账户

   • Administrator：windows默认管理员；
   • Guest：来宾账户，一旦开启任何人都可以登录，但是权限极低；
   • System：系统账户，代表当前操作系统（比Administrator的权限都高，也是提权的最终目标）；
   • Local Service：本地服务：
   • Network Service：网络服务

4. 用户组：方便批量管理用户的权限

   • 创建组

   

   • 将用户添加到某个组

   

5. 常用内置组

   • administrators：管理员组；
   • remote desktop users：远程登陆组；
   • Backup Operators：备份操作系统组；
   • Users：普通用户组，新建用户默认属于该组；
   • Authenticated Users：已认证的用户（登录成功过的用户），在修改权限时要特别注意这个组的权限，避免权限限制不到位；

NTFS权限

1. 常用文件系统（磁盘存储文件的方式/格式）
   • Windows：FAT、FAT32、NTFS等；
   • Linux：Ext、XFS、JFS等；
   • macOS：HFS、APFS等；
2. windows中最常用的是NTFS文件系统，其特点如下：
   • 支持对文件/文件夹设置权限（ACL：访问控制列表）；
   • 支持压缩；
   • 支持磁盘配额；

文件共享

文件共享服务采用SMB协议进行网络文件共享，对应TCP/445，windows默认开启该服务；

Windows注册表

1. 注册表：windows操作系统配置信息的集合，注册表有多个配置文件组成；
2. 快捷方式：regedit；
3. 注册表由五棵子树构成（其他三棵子树都是HKEY_LOCAL_MACHINE和HKEY_USERS中抽取出来的），每棵子树都由若干项（类似于文件夹）组成，每个项都由若干具体的值（类似于文件）构成。
   • HKEY_CLASSES_ROOT：
   • HKEY_CURRENT_USER：
   • HKEY_LOCAL_MACHINE：计算机硬件和操作系统的配置信息；
   • HKEY_USERS：
   • HKEY_CURRENT_CONFIG：当前系统的部分配置信息；

开机启动项

1. 路径
   • 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；
   • 计算机\HKE_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；

软件信息

1. 路径
   • 计算机\HKEY_LOCAL_MACHINE\SOFTWARE；
   • 计算机\HKEY_CURRENT_USER\Software；

用户信息

1. 路径：计算机\HKEY_LOCAL_MACHINE\SAM；

Windows防火墙

1. 概述：防火墙是用来控制数据流量进出的软件/设备，是网络传输中的拦路虎；

2. 产品分类

   • 软件：windows安全中心、火绒、360、Linux Firewalld等；
   • 硬件：启明星辰（天清汉马USG防火墙、下一代防火墙等）、奇安信等；

3. 入站规则：控制数据流量的进入（默认为拒绝状态）；出战规则：控制数据流量的出去；

4. 防火墙原理：基于数据包的五元组（源IP、源端口、协议、目标IP、目标端口）对数据包进行过滤，识别的是IP、端口和协议；

5. 访问方式/流量分类

   • ping：使用ICMP协议（网络层协议，没有端口）；
   • web访问：使用http或https协议，占用TCP/80或TCP/443端口；
   • 文件共享：使用SMB协议，占用TCP/445端口；
   • 文件服务：使用FTP协议，占用TCP/21端口；
   • telnet远程命令：使用telnet协议，占用TCP/23端口；
   • 远程桌面：使用rdp协议，占用TCP/3389端口；
   • 域名解析：使用DNS协议，占用UDP/53端口；

6. 实验：准备虚拟机Win7（防火墙开启）、虚拟机Win10（防火墙开启）

   • 
   • win10可以ping通win7；

   

   

   

   

   

   

   

   

   

   

   • win7共享一个文件夹，但是win10无法访问；

   

   • win10可以telnet win7；
   • win10无法远程桌面到win7；

第二章 计算机网络

网络拓扑结构

1. 星型拓扑
   • 有中心节点；
   • 结构简单，拓展容易，排查轻松；
   • 容易产生单点故障，中心节点一旦发生故障，其下的整个字网络将瘫痪（对中心节点增加冗余设备）；
2. 网型拓扑
3. 树型拓扑

网络参考模型

1. OSI七层模型
   • 应用层（第七层）：用户操作使用应用软件的层次，产生原始数据；
   • 表示层（第六层）：对原始数据进行格式转换（例如转换为ASCII、二进制、BCD等）、加密、压缩等，便于在网络中传输；
   • 会话层（第五层）：建立、管理和终止会话；
   • 传输层（第四层）：定义传输数据时使用的协议、端口、进程等；
   • 网络层（第三层）：寻找目标IP地址（地名），选择网络路径实现不同网络之间的通信（根据路由选择路径）；
   • 数据链路层（第二层）：根据MAC地址（经纬度）表寻址（IP地址与MAC地址对应）；
   • 物理层（第一层）：将数据转换为信号（光信号、电信号、无线信号等），数据传输的物理通道；
2. TCP/IP（传输控制协议/网际协议）五层协议簇/栈
   • 应用层（第五层）：用户操作使用应用软件的层次，产生原始数据；对原始数据进行格式转换（例如转换为ASCII、二进制、BCD等）、加密、压缩等，便于在网络中传输；建立、管理和终止会话；
   • 传输层（第四层）：定义传输数据时使用的协议、端口、进程等；
   • 网络层（第三层）：寻找目标IP地址（地名），选择网络路径实现不同网络之间的通信（根据路由选择路径）；
   • 数据链路层（第二层）：根据MAC地址（经纬度）表寻址（IP地址与MAC地址对应）；
   • 物理层（第一层）：将数据转换为信号（光信号、电信号、无线信号等），数据传输的物理通道；
3. 为什么使用TCP/IP，不适用OSI？
   • OSI没有考虑协议问题，不适用于现在庞大复杂的网络环境，而TCP/IP中容纳了许许多多的协议，可以在当今的网络中进行数据传输。

TCP/IP五层协议栈

各层协议

1. 应用层：应用层的所有协议都基于传输层协议的某个端口（端口范围：tcp（065535）、udp（065535），0~1023为公认端口）；

   • 常用端口及协议大全：https://www.lddgo.net/network/port
   • ftp：tcp/21
   • ssh：tcp/22
   • telnet：tcp/23
   • dns：tcp/53、udp/51
   • http：tcp/80
   • https：tcp/443
   • mysql：tcp/3306
   • rdp：tcp/3389

2. 传输层：TCP传输控制协议（数据更加安全可靠，不会丢失）、UDP用户数据协议（传输速率更加高效）；

3. 网络层：ARP（地址解析协议）、RARP（逆地址解析协议）、ICMP（网际控制报文协议）、IGMP（网际组管理协议）；

4. 数据链路层：Ethernet协议；

5. 物理层

封装与解封装

1. TCP/IP五层协议栈中，各层数据的结构；

2. 封装：对原始数据进行格式转换，并逐层加上特殊内容；
3. 解封装：将格式化后的结果转为原始数据，并逐层丢掉特殊内容；
4. IP地址与MAC地址的关系：IP地址类似于地址名（例如，北京市朝阳区AA小区BB栋CC层DD号），MAC地址类似于经纬度（北纬33°28′，东经44°32′）；网络通信中要知道自己要去哪里（IP地址），并且怎么去（根据MAC地址）；

IP地址

1. IPv4有32为二进制数组成，为了方便表示，每八位划分为一组，并用点分十进制表示；

#IP地址：11000000.10101000.01111000.00100000
#表示为：192.168.120.32

2. 子网掩码：确定IP地址中的网络位和主机位，1对应的位置位网络位，0对应的位置位主机位；

#192.168.120.32/16：192.168.120.32的前16位表示网段
IP地址：192.168.120.32         11000000.10101000.01111000.00100000
子网掩码：255.255.0.0           11111111.11111111.00000000.00000000
网段：192.168.0.0

#192.168.1.1/10：192.168.1.1的前20位表示网段
IP地址：192.168.1.1              11000000.10101000.00000001.00000001
子网掩码：255.255.240.0           11111111.11111111.11110000.00000000
网段：192.168.11110000.00000000

IP地址分类

1. IP地址分类（普通人类使用ABC三类地址）
   • A类：1.0.0.0 ~ 127.255.255.255，主要分配给主机多局域网少的大型网络；
   • B类：128.0.0.0 ~ 191.255.255.255， 一般用于大型公司和政府机构；
   • C类：192.0.0.0 ~ 223.255.255.255 ，一般用于小型公司、校园网、研究机构等；
   • D类：224.0.0.0 ~ 239.255.255.255，特殊用途，又称做广播地址；
   • E类：240.0.0.0 ~ 255.255.255.255，暂时保留
2. 常见的私网地址
   • A类：10.0.0.0 ~ 10.255.255.255；
   • B类：172.16.0.0 ~ 172.31.255.255；
   • C类：192.168.0.0 ~ 192.168.255.255；
   • 127.0.0.0 ~ 127.255.255.255 为系统回环地址；

子网划分

网络分析工具

WireShark

科来

网络协议

Ethernet协议

1. Ethernet协议属于二层协议，用于在数据中封装MAC地址；

2. 二层中的数据叫做帧或者报文，二层封装的帧有两种结构；EthernetII帧结构和802.3帧结构。

   • EthernetII 帧结构

   

   • 802.3帧结构

ARP协议

1. ARP（Address Resolution Protocol）地址解析协议：找出IP地址对应的MAC地址；同一网络下通信，需要使用ARP协议获取目标的MAC地址，不同网络下通信，需要使用ARP协议获取网关的MAC地址；

2. ARP协议属于网络层，工作在数据链路层，封装在数据链路层的上层（2.5层，不是网络层）；

3. ARP协议原理

   • 主机发送ARP广播报文；
   • 目标主机收到请求后，进行单播相应；

4. ARP利用（局域网攻击，ARP报文无法跨越路由器；属于中间人攻击，）：我是你要找的目标（将自己伪装成目标IP，将给出自己网关的真实MAC地址），请将消息发送给我。

   • 
   • ARP攻击：攻击机向靶机发送的ARP应答报文中使用的是虚假的MAC地址，导致靶机无法通信；
   • ARP欺骗：攻击机向靶机发送的ARP应答报文中使用的是攻击者的MAC地址，导致靶机将信息发送的信息被窃取；

   

   

   

   

   

   

   

   • 无感利用：攻击机开启IP转发，靶机将流量发送给攻击机，攻击机再将流量转发出去，从此充当中间人窃听通信，并且靶机不易发现；

   

   

5. ARP攻击研判与防御（攻击者一般伪装成为网关）

   • 研判：路由跟踪（与外网通信，第一条路有一定是网关，如果被攻击了，就不是或者根本无法跟踪）、查看ARP缓存表中记录的MAC地址是否正确；
   • 防御：下载安全软件并开启局域网防御（原理：以极快的速度发送ARP广播报文，赶在被欺骗之前获取到正确的MAC地址）、以极快的速度清理ARP缓存表（下一次通信之前一定会再次获取MAC地址，赶在被欺骗之前获取到正确的MAC地址）；

ICMP协议

1. ICMP（Internet Contorl Message Protocol）网络控制报文协议：在主机和路由器之间传递的控制报文（例如，网络是否可达），是一种用于直接和路由器交互的报文，封装在网络层的上层，但属于三层协议；

2. ICMP报文结构

   • type：ICMP类型

   类型0：ICMP应答报文
   类型3：目标不可达
   类型5：ICMP重定向
   
   
   
   

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

88468bb227d8f959.jpeg)

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-gVvQ5idc-1713269444421)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！