新年祝大家新年新气象,财运亨通,大吉大利,薪资翻倍,心想事成,废话不多说,直接上题,今天有点忙,不好意思,以后争取一天双更,祝大家金三银四。
1.获取eth0网卡上80端口的数据包信息(centos 7是ens33)
tcpdump -i eth0 port 80
2.请用iptables控制来自192.168.1.2主机的80端口请求
iptables -A INPUT -s 192.168.1.2 -p tcp --dport 80 -j ACCEPT
3.TCP三次握手
(1) 建立连接时,客户端发送SYN(SYN=j)包到服务器,并进入SYN_SEND状态,等待服务器响应、确认
(2) 服务器收到SYN包,必须确认客户端的SYN(ACK=j+1),同时自己也发送一个SYN包,即SYN+ACK包此时服务器进入SYN_RECV状态
(3) 客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕客户端和服务器端进入ESTABLISHED状态,完成三次握手
为了保证服务端能收到客户端的信息并能做出正确的响应而进行前两次握手,为了保证客户端能够收到服务端的信息并能做出正确的响应而进行后两次响应
4.四次挥手
(1) 一端主动关闭连接。向另一端发送FIN包。
(2) 接收到FIN包的另一端回应一个ACK数据包。
(3) 另一端发送一个FIN包。
(4) 接收到FIN包的原发送方发送ACK对它进行确认。
5.如何将本地80端口的请求转发到8080端口,当前主机IP为192.168.16.1,其中本地网卡eth0(centos 7是ens33)
iptables -t nat -A PREROUTING -i eth0 -d 192.168.16.1 -p tcp --dport 80 -jREDIRECT --to-ports 8080
6.什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
NAT(Network Address Translation,网络地址转换)是将IP数据包头中的IP地址转换为另一个IP地址的过程。分为DNAT (目的网络地址转换)和SNAT(源网络地址转换)
SNAT主要是用于内网主机通过路由器或网关访问外网
DNAT将外部地址和端口的访问映射到内部地址和端口
7.简述DDOS攻击的原理,如何解决?
分布式服务拒绝攻击就是用一台主服务器来控制N台肉鸡对目标服务器进行合理的资源请求,导致服务器资源耗尽而不能进行正常的服务。 几种流行的DDOS攻击方式:SYN/ACK FLOOD攻击、TCP全连接攻击、CC攻击(百科:攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS,和伪装就
叫:cc(ChallengeCollapsar)。CC主要是用来攻击页面的。)
测试:首先是网站如果打不开的话,可以尝试着用3389连接一下服务器看看,然后还可以用PING
命令来测试,再一种方式就是用telnet来登录80端口看看,看会不会出现黑屏。如果这些方式测试都连接不上的话,那就说明受到DDOS攻击了。 然后如果除了80端口之外的其他端口连接都正常,PING命令测试也正常,但就是80端口访问不了,然后看看IIS是否正常,可以把80端口改成其他端口测试,如果可以正常访问,那就说明很可能受到CC攻击。
防御DDOS攻击:
<1>要有充足的网络带宽和稳定安全的机房:选择口碑好、服务好、安全防护好点的机房,网络带宽直接决定了能抗受攻击的能力。
<2>软硬设备的防护:硬件DDOS防火墙黑洞、冰盾都不错,软件如web服务器都有相应的ddos防护模块,iptables,做单IP的并发限制,流量限制,syn及部分攻击限制。
<3>网站架构优化,避免单点提供服务,集群,冗余,负载均衡、缓存技术的架设。
<4>服务器系统自身的优化及安全参数调配
<5>采用高性能的网络设备
8.出于安全考虑,如何实现让别人ping不通你的在线的服务器
防火墙上用ACL封ICMP协议或者在服务器上使用iptables封icmp
在服务器上修改内核参数:echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
9.给主机host:172.16.0.2增加gateway10.0.0.1
route add -host 172.16.0.2 gw 10.0.0.1
10.ftp、https、smtp、pops、ssh的端口号
ftp(20和21)、https(443)、smtp(25)、pops(110)、ssh(22)
11.DNS 进行域名解析的过程
客户端发出DNS 请求翻译IP 地址或主机名。DNS 服务器在收到客户机的请求后:
(1)检查DNS 服务器的缓存,若查到请求的地址或名字,即向客户机发出应答信息;
(2)若没有查到,则在数据库中查找,若查到请求的地址或名字,即向客户机发出应答信息;
(3)若没有查到,则将请求发给根域DNS 服务器,并依序从根域查找顶级域,由顶级查找二级域,二级域查找三级,直至找到要解析的地址或名字,即向客户机所在网络的DNS服务器发出应答信息,DNS 服务器收到应答后现在缓存中存储,然后,将解析结果发给客户机。
(4)若没有找到,则返回错误信息。
12.什么是静态路由,其特点是什么?什么是动态路由,其特点是什么?
静态路由是由系统管理员设计与构建的路由表规定的路由。适用于网关数量有限的场合,且网络拓朴结构不经常变化的网络。其缺点是不能动态地适用网络状况的变化,当网络状况变化后必须由网络管理员修改路由表。动态路由是由路由选择协议而动态构建的,路由协议之间通过交换各自所拥有的路由信息实时更新路由表的内容。动态路由可以自动 学习 网络的拓朴结构,并更新路由表。其缺点是路由广播更新信息将占据大量的网络带宽。
13.用什么命令查询指定IP 地址的服务器端口
nmap 指定IP地址
14.添加路由表并查看
route add -net 203.208.39.104 netmask 255.255.255.255 gw 192.168.1.1
netstat –r
15.一台linux服务器,IP为192.168.0.199,仅开放TCP80端口,请在iptables上执行什么命
令?
iptables -A INPUT -p tcp -dport 80 -d 192.168.0.199 -j ACCEPT iptables -A INPUT -p tcp -d 192.168.0.199 -j DROP
16.限制 apache 每秒新建连接数为 1,峰值为 3
iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m limit --limit 1/second -j ACCEPT
17.TCP/UDP各有什么优缺点
TCP:优点:可靠、稳定
TCP的可靠体现在TCP在传输数据之前,会有三次握手来建立连接,而且在数据传递时,有确认、窗口、重传、拥塞控制机制,在数据传完之后,还会断开连接用来节约系统资源
TCP:缺点:慢,效率低,占用系统资源高,易被攻击
在传递数据之前要先建立连接,这会消耗时间,而且在数据传递时,确认机制、重传机制、拥塞机制等都会消耗大量时间,而且要在每台设备上维护所有的传输连接。然而,每个链接都会占用系统的CPU、内存等硬件资源。因为TCP有确认机制、三次握手机制,这些也导致TCP容易被利用,实现DOS、DDOS、CC等攻击
UDP:优点:快,比TCP稍安全
UDPm没有TCP拥有的各种机制,是一个无状态的传输协议,所以传递数据非常快,没有TCP的这些机制,被攻击利用的机制就少一些,但是也无法避免被攻击
UDP:缺点:不可靠,不稳定
因为没有TCP的那些机制,UDP在传输数据时,如果网络质量不好,就会很容易丢包,造成数据的缺失
适用场景:
TCP:当对网络通讯质量有要求时,比如HTTP、HTTPS、FTP等传输文件的协议, POP、SMTP等邮件传输的协议
UDP:对网络通讯质量要求不高时,要求网络通讯速度要快的场景
18.常见HTTP状态码
200--请求已成功,请求所希望的响应头或数据体将随此响应返回
301--被请求的资源已永久移动到新位置
302--请求的资源临时从不同的 URI响应请求
401--当前请求需要用户验证
403--服务器已经理解请求,但是拒绝执行
404--请求的网页不存在
500--服务器内部错误
503--服务器暂时不可用
19.对称加密与非对称加密
对称密钥加密,又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。
它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难且较为不安全。进行一对一的双向保密通信。常见的对称加密算法:DES,AES等。
非对称密钥加密,又称公钥加密,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。
从功能角度而言非对称加密比对称加密功能强大且较为安全,但加密和解密速度却比对称密钥加密慢得多。多对一的单向保密通信。最常用的非对称加密算法:RSA
20.什么是数字签名
数字签名必须保证实现以下三点功能:
报文鉴别。即接受者能够核实发送者对报文的签名。
报文的完整性。即接受者确信所收到的数据和发送者发送的完全一样而没有被篡改过。
不可否认。发送者事后不能抵赖对报文的签名。
21.cookie和session区别?
Cookie和Session都是客户端与服务器之间保持状态的解决方案,具体来说,cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
