安全服务面试

118.什么叫脱壳?
而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加
壳的过程中可能被压缩、加密......。当加壳后的文件执行时，壳－这段代码先于
原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权
交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的
都是为了隐藏程序真正的 OEP（入口点，防止被破解）。加壳"指的是对编译好的 EXE、DLL
等文件采用加壳来进行保护；"脱壳"指的
就是将文件外边的壳去除，恢复文件没有加壳前的状态。 壳出于程序作者想对
程序资源压缩、注册保护的目的，把壳分为压缩壳、密码壳、加密壳三种。顾名
思义，压缩壳只是为了减小程序体积对资源进行压缩，常见的压缩壳包括 FSG、
ASPack、UPX、北斗等；加密壳也就是常说的保护壳、猛壳，它对程序输入表
等内容进行加密保护，具有良好的保护效果，常见的加密壳包括 ASPROTECT、
ACPROTECT、PELock、幻影等；密码壳平时使用得不多，加密壳的程序只有
在正确输入密码后才能运行
119.什么叫"人肉搜索"?
是一种类比的称呼，主要是用来区别传统搜索引擎。它主要是指通过集中许多网
民的力量去搜索信息和资源的一种方式，它包括利用互联网的机器搜索引擎（如
百度等）及利用各网民在日常生活中所能掌握的信息来进行收集信息的一种方式
[1] 。
120.SYN Flood 的基本原理？
SYN Flood 是当前最流行的 DoS（拒绝服务攻击）与 DDoS（分布式拒绝服
第 49 页 共 152 页 务攻击）的方式之一，这是一种利用 TCP 协议缺陷，发送大量伪造的 TCP 连接
请求，从而使得被攻击方资源耗尽（CPU 满负荷或内存不足）的攻击方式。要
明白这种攻击的基本原理，还是要从 TCP 连接建立的过程开始说起：大家都知道，TCP 与
UDP 不同，它是基于连接的，也就是说：为了在服务
端和客户端之间传送 TCP 数据，必须先建立一个虚拟电路，也就是 TCP 连接，
建立 TCP 连接的标准过程是这样的：
首先，请求端（客户端）发送一个包含 SYN 标志的 TCP 报文，SYN 即同步
（Synchronize），同步报文会指明客户端使用的端口以及 TCP 连接的初始序
号；
第二步，服务器在收到客户端的 SYN 报文后，将返回一个 SYN+ACK 的报
文，表示客户端的请求被接受，同时 TCP 序号被加一，ACK 即确认
（Acknowledgement）。
第三步，客户端也返回一个确认报文 ACK 给服务器端，同样 TCP 序列号被
加一，到此一个 TCP 连接完成。
以上的连接过程在 TCP 协议中被称为三次握手（Three-way Handshake）。
问题就出在 TCP 连接的三次握手中，假设一个用户向服务器发送了 SYN 报文后
突然死机或掉线，那么服务器在发出 SYN+ACK 应答报文后是无法收到客户端
的 ACK 报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再
次发送 SYN+ACK 给客户端）并等待一段时间后丢弃这个未完成的连接，这段
时间的长度我们称为 SYN Timeout，一般来说这个时间是分钟的数量级（大约
为 30 秒-2 分钟）；一个用户出现异常导致服务器的一个线程等待 1 分钟并不是
什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为
了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的
保存并遍历也会消耗非常多的 CPU 时间和内存，何况还要不断对这
个列表中的 IP 进行 SYN+ACK 的重试。实际上如果服务器的 TCP/IP 栈不够强
大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器
端也将忙于处理攻击者伪造的 TCP 连接请求而无暇理睬客户的正常请求（毕竟
客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响
应，这种情况我们称作：服务器端受到了 SYN Flood 攻击（SYN 洪水攻击）。
从防御角度来说，有几种简单的解决方法，第一种是缩短 SYN Timeout 时间，
第 50 页 共 152 页 由于 SYN Flood 攻击的效果取决于服务器上保持的 SYN 半连接数，这个值
=SYN 攻击的频度 x SYN Timeout，所以通过缩短从接收到 SYN 报文到确定这
个报文无效并丢弃改连接的时间，例如设置为 20 秒以下（过低的 SYN Timeout
设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。
第二种方法是设置 SYN Cookie，就是给每一个请求连接的 IP 地址分配一个
Cookie，如果短时间内连续受到某个 IP 的重复 SYN 报文，就认定是受到了攻
击，以后从这个 IP 地址来的包会被一概丢弃。
可是上述的两种方法只能对付比较原始的 SYN Flood 攻击，缩短 SYN Timeout
时间仅在对方攻击频度不高的情况下生效，SYN Cookie 更依赖于对方使用真实
的 IP 地址，如果攻击者以数万/秒的速度发送 SYN 报文，同时利用 SOCK_RAW
随机改写 IP 报文中的源地址，以上的方法将毫无用武之地。
121.什么是手机"越狱"？
所谓 iOS 系统的越狱就是取得系统最高权限的行为，越狱前后 iOS 系统本身并
不会发生质的改变，只是越狱后可以对 iOS 系统进行更充分的利用而已。
越狱的好处：
1、越狱之后操作性更强，取得了手机的最高权限，就可以修改手机内容，包括
安装免费的破解软件、自定义功能、美化等等。
2、越狱后可以绕过 AppStore 免费下载 APP。
越狱的坏处：
1、越狱后失去保修。
2、越狱之后，后台程序运行，桌面主题等都会加大耗电。
3、越狱就是打破 iOS 系统封闭，所以手机就相对变得不安全了。
122.主机被入侵，你会如何处理这件事自查解决方案?
1、病毒木马排查。
1.1、使用 netstat 查看网络连接，分析是否有可疑发送行为，如有则停止。
(linux
常见木马，清理命令 chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i
/usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp
第 51 页 共 152 页 /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp
/usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f
/root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls
-l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' |
xargs killall -9;）
1.2、使用杀毒软件进行病毒查杀。
2、服务器漏洞排查并修复
2.1、查看服务器账号是否有异常，如有则停止删除掉。
2.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+
特殊符号）大小写，10 位及以上。
2.3、查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 后台密码，
提高密码强度（字每+数字+特殊符号）大小写，10 位及以上。
2.4、查看 WEB 应用是否有漏洞，如 struts, ElasticSearch 等，如有则请升级。
2.5、查看 MySQL、SQLServer、FTP、WEB 管理后台等其它有设置密码的地
方，提高密码强度（字每+数字+特殊符号）大小写，10 位及以上。
2.6、查看 Redis 无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的 SSH
登录密钥文件，删除掉，修改 Redis 为有密码访问并使用强密码，不需要公网访
问最好 bind 127.0.0.1 本地访问。
2.7、如果有安装第三方软件，请按官网指引进行修复。3、开启云盾服务，并开启所有云盾
安全防护功能对您的主机进行安全防护，免
于再次遭到恶意攻击。
实施安全防御方案
请您尽快开启云盾服务，开启步骤详见：
http://help.aliyun.com/view/11108300_13730770.html
同时也建议您开启云盾应用防火墙功能，开启步骤详见：
4、如果问题仍未解决
经过以上处理还不能解决问题，强烈建议您将系统盘和数据盘的数据完全下载备
份到本地保存后，重置全盘（登陆 www.aliyun.com , 进入我的阿里云-》管理
控制台-》云服务器 ECS 控制台-》点击进行您需要进行初始化的实例，备份完
服务器数据后关闭实例，点击"重置磁盘"，按您的实际情况选择系统盘和数据
第 52 页 共 152 页 盘重置即可）后，重新部署程序应用并对数据进行杀毒后上传，并重新进行前述
的 3 步处理。
内网网址
123. NAT（网络地址转换）协议?
内网的计算机以 NAT（网络地址转换）协议，通过一个公共的网关访问 Internet。
内网的计算机可向 Internet 上的其他计算机发送连接请求，但 Internet 上其他
的计算机无法向内网的计算机发送连接请求。
NAT（Network Address Translator）是网络地址转换，它实现内网的 IP 地址
与公网的地址之间的相互转换，将大量的内网 IP 地址转换为一个或少量的公网
IP 地址，减少对公网 IP 地址的占用。NAT 的最典型应用是：在一个局域网内，
只需要一台计算机连接上 Internet，就可以利用 NAT 共享 Internet 连接，使局
域网内其他计算机也可以上网。使用 NAT 协议，局域网内的计算机可以访问
Internet 上的计算机，但 Internet 上的计算机无法访问局域网内的计算机。
A 类 10.0.0.0--10.255.255.255
B 类 172.16.0.0--172.31.255.255
C 类 192.168.0.0--192.168.255.255
内网保留地址编辑
Internet 设计者保留了 IPv4 地址空间的一部份供专用地址使用,专用地址空间中
的 IPv4 地址叫专用地址,这些地址永远不会被当做公用地址来分配,所以专用地
址永远不会与公用地址重复.
IPv4 专用地址如下：
IP 等级 IP 位置 Class A 10.0.0.0-10.255.255.255
默认子网掩码:255.0.0.0
Class B 172.16.0.0-172.31.255.255
默认子网掩码:255.240.0.0
Class C 192.168.0.0-192.168.255.255
默认子网掩码:255.255.0.0
内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网
做网关的服务器有一个网关（服务器/路由器）的 IP 地址,其它内网电脑的 IP 可
第 53 页 共 152 页 根据它来随意设置,前提是 IP 前三个数要跟它一样,第四个可从 0-255 中任选但
要跟服务器的 IP 不同
124.内网穿透?
即 NAT 穿透，采用端口映射，让外网的电脑找到处于内网的电脑，同时也可基
于 HTTP/2 实现 web 内网穿透。
125.虚拟专用网络?
功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。
VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。例如某公司员工出差
到外地，他想访问企业内网的服务器资源，这种访问就属于远程访
问。
让外地员工访问到内网资源，利用 VPN 的解决方法就是在内网中架设一台 VPN
服务器。外地员工在当地连上互联网后，通过互联网连接 VPN 服务器，然后通
过 VPN 服务器进入企业内网。为了保证数据安全，VPN 服务器和客户机之间的
通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数
据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上 VPN
使用的是互联网上的公用链路，因此 VPN 称为虚拟专用网络，其实质上就是利
用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术，用户无论是在
外地出差还是在家中办公，只要能上互联网就能利用 VPN 访问内网资源，这就
是 VPN 在企业中应用得如此广泛的原因。