绿盟春招面试题

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

以下是为您设计的12道网络安全流量分析题目，覆盖SSH、Telnet、DNS、APT、爆破流量、C2等核心技术，每个题目均包含真实应用场景和详细专业答案：

题目1：SSH隧道隐蔽通信检测

场景：某金融公司内网服务器发现异常SSH外联流量，会话持续时间长达12小时，但登录日志中无对应操作记录。
问题：如何判断该SSH会话是否被用于隐蔽隧道传输数据？列出3个关键流量特征。
答案：

1. 数据包大小分布：正常SSH交互命令的包大小随机（几十到几百字节），隧道传输会出现固定块大小（如1024/4096字节的规律性载荷）

2. 空闲会话特征：持续存在SSH_MSG_CHANNEL_DATA流量包，但无SSH_MSG_CHANNEL_EXTENDED_DATA（交互式终端的击键事件）

3. 熵值检测：解密后载荷熵值接近8（加密数据），若熵值低于6可能为压缩文件（如tar.gz）传输

4. 端口复用：检查是否通过-R参数建立反向隧道，将外部端口映射到内部服务的22端口

题目2：Telnet协议弱密码爆破分析

场景：某工厂物联网设备管理网络流量异常，监测到多个IP对192.168.1.100:23发起高频连接。
问题：如何从流量中提取Telnet爆破字典？给出分析步骤。
答案：

1. 过滤Telnet协议：Wireshark使用 tcp.port == 23 过滤流量

2. 提取登录尝试：定位TCP流中包含 Username: 和 Password: 的交互流

3. 爆破模式识别：统计同一源IP在失败响应后持续发送新凭证（Login incorrect响应后立即重试）

4. 字典还原：从Telnet数据段的Payload中提取明文的用户名/密码组合（如 admin\x0d\x0apassword123\x0d\x0a）

题目3：DNS隐蔽数据渗漏检测

场景：某公司DNS服务器监测到 data.xxx.com 子域存在大量TXT查询，单日请求量达50万次。
问题：如何验证是否为DNS隧道？列举3种检测方法。
答案：

1. 请求类型异常：正常DNS以A记录为主，隧道常用TXT/NULL/MX记录（如dig TXT a1b2c.data.xxx.com）

2. 域名熵值计算：检测子域名随机性（如 k3Fg9.data.xxx.com 的熵值高于正常业务域名）

3. 请求频率分析：单个客户端每秒请求数超过50次（正常用户行为通常<10次/秒）

4. Payload长度检测：请求域名总长度接近253字节限制（如a1b2...z9.data.xxx.com）

---

题目4：APT横向移动流量识别

场景：某政府机构内网中，多台主机出现异常SMB流量，目标为DC服务器的445端口。
问题：如何区分正常文件共享与APT横向移动行为？
答案：

1. 身份验证异常：非管理员账户（如普通用户）访问\\dc01\ADMIN$等高权限共享目录

2. 敏感操作检测：流量中存在 CreateProcess 或 ServiceControl 的RPC调用（通过SMB传输PsExec命令）

3. 时间窗口分析：攻击常发生在非工作时间（如凌晨2-4点）

4. 日志关联：Windows安全事件ID 4624（登录类型3）与ID 5145（网络共享访问）的时间戳匹配

题目5：SSH暴力破解攻击溯源

场景：某云服务器安全组告警显示，22端口在5分钟内接收了2000次连接尝试。
问题：如何通过流量分析定位攻击者IP并提取爆破字典？
答案：

1. 高频连接检测：统计源IP的SYN包速率（如 >50次/秒）

2. 协议交互分析：过滤SSH协议版本交换阶段（SSH-2.0-*）但未完成认证的TCP流

3. 字典提取：从SSH_MSG_USERAUTH_REQUEST数据包中提取用户名（如payload中的 root\x00 字段）

4. GeoIP关联：攻击IP大多来自特定国家（如越南/俄罗斯的VPS服务商）

题目6：C2心跳流量识别

场景：某企业网络出口监测到周期性HTTPS流量，每10分钟向 api.telemetry.example 发送256字节POST请求。
问题：如何判断是否为C2心跳？提供3个技术验证点。
答案：

1. JA3指纹比对：提取Client Hello的TLS扩展和密码套件生成JA3哈希，匹配已知C2工具（如Cobalt Strike）

2. 证书链异常：服务器证书为自签名，且Subject字段包含 CN=Update Server 但无有效CA签发

3. 心跳规律性：严格定时请求（间隔10分钟±1秒），正常API调用存在时间抖动

4. 载荷分析：解密后载荷为固定头（如 0xdeadbeef） + Base64编码的RC4加密指令

题目7：Telnet协议劫持检测

场景：某工控系统Telnet会话中出现异常 reboot 命令，但操作员未执行该操作。
问题：如何通过流量分析确认是否存在中间人攻击？
答案：

1. 序列号分析：检查TCP序列号是否连续（劫持可能导致SEQ跳跃）

2. 内容注入检测：在Telnet流中搜索 IAC（0xFF）命令，如攻击者注入 IAC DO LINEMODE 修改会话参数

3. 时间戳异常：合法操作与可疑命令的时间间隔过短（如0.5秒内完成高危操作）

4. MAC地址验证：ARP表中是否存在同一IP对应多个MAC地址的情况

题目8：DNS放大攻击流量分析

场景：某IDC监测到UDP/53出口流量激增，单个源IP每秒发送500个DNS查询。
问题：如何判断是否为DNS反射攻击？
答案：

1. 查询类型分析：攻击常使用ANY类型查询（响应包体积最大）

2. 源IP伪造检测：检查DNS响应包数量是否远超查询包（反射比 > 50:1）

3. 响应包大小：正常A记录响应约60字节，ANY类型响应可达4000字节

4. 受害者识别：响应包目标IP不属于本地网络（攻击者伪造源IP指向受害者）

---

题目9：SSH证书登录异常检测

场景：某服务器配置了证书登录，但日志中出现多次 Certificate invalid 错误。
问题：如何通过流量分析识别证书伪造攻击？
答案：

1. 证书字段验证：检查SSH_MSG_USERAUTH_REQUEST中的证书Subject字段是否匹配合法用户（如 user@example.com）

2. 签名算法检测：攻击者可能使用弱签名算法（如SHA1），而服务器要求SHA256

3. 证书有效期：提取证书的Valid Before/After字段，比对服务器时间

4. CA公钥比对：攻击证书的CA公钥指纹与服务器信任列表不一致

题目10：APT持久化后门通信

场景：某主机每天凌晨3点向 download.update.example 发送HTTPS请求，返回载荷为PNG文件但熵值异常。
问题：如何验证是否为图片隐写C2通信？
答案：

1. 文件头检测：实际载荷头与Content-Type声明不符（如PNG头缺失 89 50 4E 47）

2. 熵值分析：计算载荷熵值，正常PNG约7.2，隐写加密数据熵接近8

3. LSB隐写检测：使用Stegdetect工具分析像素最低位是否存在异常分布

4. 时序关联：请求触发后立即出现外联行为（如下载PE文件或启动新进程）

题目11：RDP协议暴力破解防护

场景：某企业远程办公系统检测到多用户账户被锁定，怀疑遭受RDP爆破攻击。
问题：如何从流量中提取攻击特征并封禁来源？
答案：

1. 连接频率统计：单一IP在5分钟内发起超过50次TCP/3389连接

2. 协议版本分析：攻击流量可能使用旧版RDP协议（如Pre-CredSSP的协议漏洞）

3. 错误代码模式：服务器返回 STATUS_LOGON_FAILURE (0xC000006D) 后客户端立即重试

4. 自动化工具特征：NLA（Network Level Authentication）协商失败后仍尝试登录

题目12：C2重定向流量分析

场景：某主机感染恶意软件后，首先请求 http://cdn.example.com/logo.png，返回302跳转到 http://c2.malware.example。
问题：如何通过流量分析识别C2重定向机制？
答案：

1. HTTP头分析：检查响应头中的 Location 字段是否指向非常用域名

2. Cookie跟踪：首次请求可能携带唯一标识符（如 Cookie: SESSIONID=0x7a3d...）

3. 载荷隐写：logo.png 文件中可能包含加密的C2 IP/端口信息（如末尾追加Base64字符串）

4. JA3S指纹：重定向后的HTTPS连接使用与正常CDN不同的TLS指纹

。