信息安全面试:安全基础.
目录:
HTTPS 的实现原理:
3389 无法连接的几种情况:
ARP 欺骗原理:
ARP 欺骗防护:
CIA三元组:
syn 洪流的原理::
什么是同源策略:
TCP 三次握手的过程以及对应的状态转换:
TCP 和 UDP 协议区别:
多线程、多进程区别:
NTLM 原理:
什么是中间人攻击:
防御中间人攻击的方案:
描述 tcp/udp 的区别及优劣,及其发展前景:
公司网络安全具体指什么:
如何判断计算机可能已经中马:
木马的传播途径主要有哪些:
HTTPS 的实现原理:
(1)Client 发送 random1 + 对称加密套件列表 + 非对称加密套件列表.
(2) Server 收到信息,选择对称加密件 + 非对称加密套件,并和 random2 + 证书(公在证书中)
一起返回.(3)Client 验证证书有效性,并用 random1 + random2 生成 pre-master,通过服务器公钥
加密 + 浏览器确认,发送给 Server(4) Server 收到 pre-master,根据约定的加密算法对random1 + random2 + pre-master
(解密)生成master-secret,然后发送服务器确认(5) Client 收到生成同样的 master-secert,对称加密秘钥传输完毕3389 无法连接的几种情况:
(1)端口被修改 (2)防护拦截 (3)处于内网(需进行端口转发)ARP 欺骗原理:
每台主机都有一个 ARP 缓存表,缓存表中记录了 IP 地址与 MAC 地址的对应关系,而局域网数据
传输依靠的是 MAC 地址。在ARP 缓存表机制存在一个缺陷就是当请求主机收到ARP 应答包后,不会
去验证自己是否向对方主机发送过 ARP请求包,就直接把这个返回包中的 IP 地址与 MAC 地址的对
应关系保存进 ARP缓存表中,如果原有相同 P 对应关系,原有的则会被替换。这样攻击者就有了偷
听主机传输的数据的可能.ARP 欺骗防护:
(1)在主机绑定网关 MAC 与IP 地址为静态 (默认为动态),命令: arp -s 网关 IP 网关MAC(2)在网关绑定主机 MAC 与 IP 地址(3) 使用 ARP 防火墙CIA三元组:
(1)机密性 (2)完整性 (3)可用性syn 洪流的原理::
伪造大量的源IP 地址,分别向服务器端发送大量的 SYN 包,此时服务器端会返回SYN/ACK 包,因为
源地址是伪造的,所以伪造的 IP 并不会应答,服务器端没有收到伪造IP 的回应,会重试3~5 次并且
等待一个 SYNTime (一般为 30 秒至2 分钟),如果超时则丢弃这个连接。攻击者大量发送这种伪造
源地址的 SYN 请求,服务器端将会消耗非常多的资源 (CPU 和内存)来处理这种半连接,同时还要不
断地对这些 P 进行SYN+ACK 重试。最后的结果是服务器无眼理正常的连接请求,导致拒绝服务.什么是同源策略:
同源策略限制不同源对当前 document 的属性内容进行读取或设置。不同源的区分:协议、域名、
子域名、IP、端口,以上有不同时即不同源TCP 三次握手的过程以及对应的状态转换:
(1)客户端向服务器端发送一个 SYN 包,包含客户端使用的端口号和初始序列号x(2) 服务器端收到客户端发送来的 SYN 包后,向客户端发送一个 SYN 和 ACK都置位的 TCP 报文,
包含确认号 xx1 和服务器端的初始序列号 y(3)客户端收到服务器端返回的 SYNSACK 报文后,向服务器端返回一个确认号为yy1、序号为xx1
的ACK 报文,一个标准的 TCP 连接完成TCP 和 UDP 协议区别:
(1)tcp 面向连接;udp 面向报文(2)tcp 对系统资源的要求多; udp 结构简单(3)tcp 保证数据完整性和顺序;;udp 不保证多线程、多进程区别:
(1)数据方面: 多进程数据是分开的,共享复杂同步简单;多线程数据是同步的,共享简单,同步复杂(2)内存方面:多进程占用内存多,利用率低,多线程占用内存少,利用率高(3)创建销毁切换方面:多进程复杂速度慢;多线程简单快(4)可靠性方面:进程间不相互影响,一个线程挂掉会导致整个进程挂掉NTLM 原理:
(1)Windows 认证包括三个部分: 本地认证、网络认证、域认证。(2)在本地登录 Windows 的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码
进行验证,当我们登录系统的时候,系统会自动地读取 SAM 文件中的“密码”与我们输入的“密码”进行
比对,如果相同证明认证成功。(3)这个 SAM 文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库。Windows
本身不保存明文密码,只保留密码的 Hash。在 Windows 中密码Hash 目前称之为 NTLM Hash,
其中 NTLM 全称是:“NT LAN Manager”。(4)这个NTLM 是一种网络认证协议,与 NTLM Hash 的关系就是: NTLM 网络认协议是以
NTLM Hash作为根本凭证进行认证的协议。也就是说 NTLM 与 NTLMHash 相互对应。在本地认证的
过程中,其实就是将用户输入的密码转换为 NTLMHash 与 SAM 中的 NTLM Hash 进行比较。什么是中间人攻击:
中间人攻击是一个 (缺乏)相互认证的攻击; 由于客户端与服务器之间在 SSI握手的过程中缺乏相互
认证而造成的漏洞防御中间人攻击的方案:
(1)公钥基础建设 PKI 使用 PKI 相互认证机制,客户端验证服务器,服务器验证客户端。上述
两个例子中都是只验证服务器,这样就造成了 SSL 握手环节的漏洞而如果使用相互认证的的话,基
本可以更强力的相互认证。(2)延迟测试: 使用复杂加密哈希函数进行计算以造成数十秒的延迟,如果双方通常情况下都要
花费 20 秒来计算,并且整个通讯花费了 60 秒计算才到达对方这就能表明存在第三方中间人。(3)使用其他形式的密钥交换形式描述 tcp/udp 的区别及优劣,及其发展前景:
(1)TCP一传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,
必须先在双方之间建立一个 TCP 连接,之后才能传输数据。(2)TCP 提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。(TCP 建立连接 完整性强 速度慢)(3)UDP-用户数据报协议,是一个简单的面向数据报的运输层协议。UDP 不提供可靠性,它只是把应
用程序传给 IP 层的数据报发送出去,但是并不能保证它们能到达目的地。(4)由于 UDP 在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而
传输速度很快 (UDP 不建立连接 不可靠 速度快)(5)优劣:当数据传输的性能必须让位于数据传输的完整性、可控制性和可靠性时TCP 协议是当然的
选择。当强调传输性能而不是传输的完整性时,比如: 音频和多媒体应用,UDP是最好的选择。在数据
传输时间很短,以至于此前的连接过程成为整个流量主体的情况下,UDP 也是一个好的择。如:DNS交换公司网络安全具体指什么:
(1)基础网络安全 (按网络区域划分):
网络终端安全:防病毒(网络病毒、邮件病毒)、非法入侵、共享资源控制:内部局域网(LAN)安全: 内部访问控制 (包括接入控制)、网络阻塞 (网络风暴)、病毒检测;外网 (Internet) 安全: 非法入侵、病毒检测、流量控制、外网访问控制(2) 系统安全 (系统层次划分):
硬件系统级安全: 门禁控制、机房设备监控(视频) 、防火监控、电源监控(居备电源)、设备运行监控操作系统级安全:系统登录安全、系统资源安全、存储安全、服务安全等;应用系统级安全:登录控制、操作权限控制(3)数据、应用安全(信息对象划分):
本地数据安全:本地文件安全、本地程序安全;服务器数据安全;数据库安全、服务器文件安全、服务器应用系统、服务程序安全如何判断计算机可能已经中马:
(1)计算机系统运行速度减慢.(2)计算机系统经常无故发生死机.(3)计算机系统中的文件长度发生变化.(4)计算机存储的容量异常减少.(5)系统引导速度减慢.(6)丢失文件或文件损坏.
(7)计算机屏幕上出现异常显示.(8)计算机系统的蜂鸣器出现异常声响.(9)磁盘卷标发生变化.(10)系统不识别硬盘.(11)对存储系统异常访问.(12)键盘输入异常.(13)文件的日期、时间、属性等发生变化.
(14)文件无法正确读取、复制或打开.(15)命令执行出现错误.(16)虚假报警.(17)换当前盘。有些病毒会将当前盘切换到 C 盘.(18)时钟倒转,有些病毒会命名系统时间倒转,逆向计时.(19)Windows 操作系统无故频繁出现错误.(20)系统异常重新启动.(21)一些外部设备工作异常.(22)异常要求用户输入密码.(23)Word 或 Excel 提示执行“宏”.木马的传播途径主要有哪些:
(1)木马主要是依靠邮件、下载等途径进行传播.(2)木马也可以通过各种脚本进行传播: 比如:IE 浏览器在执行脚本时存在一些漏洞入侵
者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后,入
侵者便可以通过客户端程序与目标主机上的服务端建立连接,进而控制目标主机.(3)对于通信协议的选择,绝大多数木马使用的是 TCP/IP 协议,但也有使用UDP 协议的
木马。所以,做好木马的检测工作可以及时的发现以及处理木马,降低木马所带来的损失.
学习书籍:网安面试必考题合集....
