服务攻防
171、一次完整的 HTTP 请求过程
域名解析 --> 发起 TCP 的 3 次握手 --> 建立 TCP 连接后发起 http 请求 --> 服务器
响应 http
请求,浏览器得到 html 代码 --> 浏览器解析 html 代码,并请求 html 代码中的资源(如
js、
css、图片等) --> 浏览器对页面进行渲染呈现给用户。
第
65
页 共
152
页
第
66
页 共
152
页
172、如果存在 SQL 注入怎么判断不同的数据库。
注释符判断 /*是 MySQL 中的注释符,返回错误说明该注入点不是 MySQL,继续提交如下查
询字符:--是 Oracle 和 MSSQL 支持的注释符,如果返回正常,则说明为这两种数据库类
型之一。继 续提交如下查询字符:;是子句查询标识符,Oracle 不支持多行查询,因此如
果返回错误,则说明很可能是 Oracle 数据库。
函数判断 and (select count(*)from MSysAccessObjects)>0 access 数据库 and
(select count(*)from sysobjects)>0 返回正常说明是 mssql 数据库 and
length(user())>10
返回正常说明是 Mysql Oracle 可以根据 from dual
虚拟库判断
173、哪些漏洞是 WAF 不能防御的?请举出至少三类漏洞。
越权漏洞(水平越权.垂直越权.交叉越权) 未授权访问 弱口令漏洞
174、如何寻找真实 IP
可以利用查询目标网站的根域名、子域名、泛域名甚至多级子域名来获取真实的 IP。查
看网站备案号,看其他的域名都有什么,来获取真实 ip
175、访问网页,在浏览器输入 url,按下回车之后会经历什么
URL 解析 DNS 查询 TCP 连接 HTTP 请求 响应请求页面渲染
176、ARP 欺骗原理
每台主机都有一个 ARP 缓存表,缓存表中记录了 IP 地址与 MAC 地址的对应关系,而
局域网数据传输依靠的是 MAC 地址。在 ARP 缓存表机制存在一个缺陷就是当请求主机收到
ARP 应答包后,不会去验证自己是否向对方主机发送过 ARP 请求包,就直接把这个返回包中
的 IP 地址与 MAC 地址的对应关系保存进 ARP 缓存表中,如果原有相同 IP 对应关系,原
有的则会被替换。这样攻击者就有了偷听主机传输的数据的可能
177、ARP 欺骗防护
(1) 在主机绑定网关 MAC 与 IP 地址为静态 (默认为动态) ,命令: arp -s 网关 IP 网
关 MAC
(2) 在网关绑定主机 MAC 与 IP 地址
(3) 使用 ARP 防火墙
178、syn 洪流的原理
伪造大量的源 IP 地址,分别向服务器端发送大量的 SYN 包,此时服务器端会返回
SYN/ACK 包,因为源地址是伪造的,所以伪造的 IP 并不会应答,服务器端没有收到伪造
IP 的回应,会重试 3~5 次并且等待一个 SYNTime (一般为 30 秒至 2 分钟),如果超时则
丢弃这个连接。攻击者大量发送这种伪造源地址的 SYN 请求,服务器端将会消耗非常多的
第
67
页 共
152
页
资源 (CPU 和内存)来处理这种半连接,同时还要不断地对这些 IP 进行 SYN+ACK 重试。最
后的结果是服务器无暇理睬正常的连接请求,导致拒绝服务。
179、多线程、多进程区别
数据方面:多进程数据是分开的,共享复杂同步简单;多线程数据是同步的,共享简单,
同步复杂
内存方面:多进程占用内存多,利用率低,多线程占用内存少,利用率高
创建销毁切换方面:多进程复杂速度慢;多线程简单快
可靠性方面:进程间不相互影响;一个线程挂掉会导致整个进程挂掉
180、什么是中间人攻击
中间人攻击是一个 (缺乏)相互认证的攻击;由于客户端与服务器之间在 SSL 握手的过
程中缺乏相互认证而造成的漏洞
181、防御中间人攻击的方案
(1) 公钥基础建设 PKI 使用 PKI 相互认证机制,客户端验证服务器,服务器验证客户
端。上述两个例子中都是只验证服务器,这样就造成了 SSL 握手环节的漏洞而如果使用相互
认证的的话,基本可以更强力的相互认证。
(2) 延迟测试: 使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情
况下都要花费 20 秒来计算,并且整个通讯花费了 60 秒计算才到达对方这就能表明存在第
三方中间人。
(3)使用其他形式的密钥交换形式
182、描述 tcp/udp 的区别及优劣,及其发展前景
TCP——传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交
换数据前,必须先在双方之间建立一个 TCP 连接,之后才能传输数据
TCP 提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传
到另一端。 (TCP 建立连接 完整性强 速度慢)
UDP-用户数据报协议,是一个简单的面向数据报的运输层协议。UDP 不提供可靠性,它
只是把应用程序传给 IP 层的数据报发送出去,但是并不能保证它们能到达目的地。
由于 UDP 在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等
机制,故而传输速度很快 (UDP 不建立连接 不可靠 速度快)
优劣:当数据传输的性能必须让位于数据传输的完整性、可控制性和可靠性时 TCP 协议
是当然的选择。当强调传输性能而不是传输的完整性时,如: 音频和多媒体应用,UDP 是最
好的选择。在数据传输时间很短,以至于此前的连接过程成为整个流量主体的情况下,
UDP 也
是一个好的选择,如: DNS 交换
183、公司网络安全具体指什么
1) 基础网络安全 (按网络区域划分
第
68
页 共
152
页
网络终端安全: 防病毒 (网络病毒、邮件病毒)、非法入侵、共享资源控制内部局域网
(LAN)安全: 内部访问控制 (包括接入控制)、网络阻塞 (网络风暴)、病毒检测;
外网 (Internet) 安全: 非法入侵、病毒检测、流量控制、外网访问控制。
2) 系统安全 (系统层次划分):
硬件系统级安全: 门禁控制、机房设备监控 (视频) 、防火监控、电源监控(后备电源)、
设备运行监控,
操作系统级安全: 系统登录安全、系统资源安全、存储安全、服务安全等
应用系
统级安全:登录控制、操作权限控制。
(3)数据、应用安全 (信息对象划分)
本地数据安全: 本地文件安全、本地程序安全
服务器数据安全: 数据库安全、服务器文件安全、服务器应用系统、服务程序安全
184、如何判断计算机可能已经中马
计算机系统运行速度减慢
计算机系统经常无故发生死机
计算机系统中的文件长度发生变化
计算机存储的容量异常减少
系统引导速度减慢
丢失文件或文件损坏。
计算机屏幕上出现异常显示
计算机系统的蜂鸣器出现异常声响.
磁盘卷标发生变化。
系统不识别硬盘
对存储系统异常访问
185、木马的传播途径主要有哪些
木马主要是依靠邮件、下载等途径进行传播。
木马也可以通过各种脚本进行传播: 比如,IE 浏览器在执行脚本时存在一些漏洞入侵
者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后,入
侵者便可以通过客户端程序与目标主机上的服务端建立连接,进而控制目标主机。
对于通信协议的选择,绝大多数木马使用的是 TCP/IP 协议,但也有使用 UDP 协议的
木马。所以,做好木马的检测工作可以及时的发现以及处理木马,降低木马所带来的损失。
原文地址:https://blog.csdn.net/m0_74402888/article/details/142746542
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!