1. 網路工程師面試題
網路工程師面試題 1: 交換機是如何轉發數據包的?
交換機通過學習數據幀中的源MAC地址生成交換機的MAC地址表,交換機查看數據幀的目標MAC地址,根據MAC地址表轉發數據,如果交換機在表中沒有找到匹配項,則向除接受到這個數據幀的埠以外的所有埠廣播這個數據幀。
2 簡述STP的作用及工作原理.
作用:(1) 能夠在邏輯上阻斷環路,生成樹形結構的拓撲;
(2) 能夠不斷的檢測網路的變化,當主要的線路出現故障斷開的時候,STP還能通過計算激活阻起到斷的埠,起到鏈路的備份作用。
工作原理: STP將一個環形網路生成無環拓樸的步驟:
選擇根網橋(Root Bridge)
選擇根埠(Root Ports)
選擇指定埠(Designated Ports)
生成樹機理
每個STP實例中有一個根網橋
每個非根網橋上都有一個根埠
每個網段有一個指定埠
非指定埠被阻塞 STP是交換網路的重點,考察是否理解.
3:簡述傳統的多層交換與基於CEF的多層交換的區別
簡單的說:傳統的多層交換:一次路由,多次交換
基於CEF的多層交換:無須路由,一直交換.
4:DHCP的作用是什麼,如何讓一個vlan中的DHCP伺服器為整個企業網路分配IP地址?
作用:動態主機配置協議,為客戶端動態分配IP地址.
配置DHCP中繼,也就是幫助地址.(因為DHCP是基於廣播的,vlan 或路由器隔離了廣播)
5:有一台交換機上的所有用戶都獲取不了IP地址,但手工配置後這台交換機上的同一vlan間的用戶之間能夠相互ping通,但ping不通外網,請說出排障思路.
1:如果其它交換機上的終端設備能夠獲取IP地址,看幫助地址是否配置正確;
2:此交換機與上連交換機間是否封裝為Trunk.
3:單臂路由實現vlan間路由的話看子介面是否配置正確,三層交換機實現vlan間路由的話看是否給vlan配置ip地址及配置是否正確.
4:再看此交換機跟上連交換機之間的級連線是否有問題;
排障思路.
6:什麼是靜態路由?什麼是動態路由?各自的特點是什麼?
靜態路由是由管理員在路由器中手動配置的固定路由,路由明確地指定了包到達目的地必須經過的路徑,除非網路管理員干預,否則靜態路由不會發生變化。靜態路由不能對網路的改變作出反應,所以一般說靜態路由用於網路規模不大、拓撲結構相對固定的網路。
靜態路由特點
1、它允許對路由的行為進行精確的控制;
2、減少了網路流量;
3、是單向的;
4、配置簡單。
動態路由是網路中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由表的過程。是基於某種路由協議來實現的。常見的路由協議類型有:距離矢量路由協議(如RIP)和鏈路狀態路由協議(如 OSPF)。路由協議定義了路由器在與其它路由器通信時的一些規則。動態路由協議一般都有路由演算法。其路由選擇演算法的必要步驟
1、向其它路由器傳遞路由信息;
2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網路的最優路徑,並由此生成路由選擇表;
4、根據網路拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化以路由信息的形式向其它路由器宣告。
動態路由適用於網路規模大、拓撲復雜的網路。
動態路由特點:
1、無需管理員手工維護,減輕了管理員的工作負擔。
2、佔用了網路帶寬。
3、在路由器上運行路由協議,使路由器可以自動根據網路拓樸結構的變化調整路由條目;
能否根據具體的環境選擇合適的路由協議
7:簡述有類與無類路由選擇協議的區別
有類路由協議:路由更新信息中不含有子網信息的協議,如RIPV1,IGRP
無類路由協議:路由更新信息中含有子網信息的協議,如OSPF,RIPV2,IS-IS,EIGRP 是否理解有類與無類
8:簡述RIP的防環機制
1.定義最大跳數 Maximum Hop Count (15跳)
2.水平分割 Split Horizon (默認所有介面開啟,除了Frame-Relay的物理介面,可用sh ip interface 查看開啟還是關閉)
3.毒化路由 Poizoned Route
4.毒性反轉 Poison Reverse (RIP基於UDP,UDP和IP都不可靠,不知道對方收到毒化路由沒有;類似於對毒化路由的Ack機制)
5.保持計時器 hold-down Timer (防止路由表頻繁翻動)
6.閃式更新 Flash Update
7.觸發更新 Triggered Update (需手工啟動,且兩邊都要開 Router (config-if)# ip rip triggered )
當啟用觸發更新後,RIP不再遵循30s的周期性更新時間,這也是與閃式更新的區別所在。
RIP的4個計時器:
更新計時器(update): 30 s
無效計時器(invalid): 180 s (180s沒收到更新,則置為possible down狀態)
保持計時器(holddown): 180s (真正起作用的只有60s)
刷新計時器(flush): 240s (240s沒收到更新,則刪除這條路由)
如果路由變成possible down後,這條路由跳數將變成16跳,標記為不可達;這時holddown計時器開始計時。
在holddown時間內即使收到更優的路由,不加入路由表;這樣做是為了防止路由頻繁翻動。
什麼時候啟用holddown計時器: 「當收到一條路由更新的跳數大於路由表中已記錄的該條路由的跳數」
9:簡述電路交換和分組交換的區別及應用場合. 電路交換連接
根據需要進行連接
每一次通信會話期間都要建立、保持,然後拆除
在電信運營商網路中建立起來的專用物理電路
分組交換連接
將傳輸的數據分組
多個網路設備共享實際的物理線路
使用虛電路/虛通道(Virtual Channel)傳輸
若要傳送的數據量很大,且其傳送時間遠大於呼叫時間,則採用電路交換較為合適;當端到端的通路有很多段的鏈路組成時,採用分組交換傳送數據較為合適。
10:簡述PPP協議的優點. 支持同步或非同步串列鏈路的傳輸
支持多種網路層協議
支持錯誤檢測
支持網路層的地址協商
支持用戶認證
允許進行數據壓縮
11: pap和chap認證的區別
PAP(口令驗證協議 Password Authentication Protocol)是一種簡單的明文驗證方式。NAS(網路接入伺服器,Network Access Server)要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,並利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
CHAP(挑戰-握手驗證協議 Challenge-Handshake Authentication Protocol)是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希演算法(one-way hashing algorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希演算法對口令進行加密。因為伺服器端存有客戶的明文口令,所以伺服器可以重復客戶端進行的操作,並將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack)。在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶(remote client impersonation)進行攻擊。
12:ADSL是如何實現數據與語音同傳的?
物理層:頻分復用技術.(高頻傳輸數據,低頻傳輸語音)具體講解的話可以說明:調制,濾波,解調的過程.
13:OSPF中那幾種網路類型需要選擇DR,BDR?
廣播型網路和非廣播多路訪問NBMA網路需要選.
14:OSPF中完全末梢區域的特點及適用場合
特點:不能學習其他區域的路由
不能學習外部路由
完全末梢區域不僅使用預設路由到達OSPF自主系統外部的目的地址,而且使用這個預設路由到達這個區域外部的所有目的地址.一個完全末梢區域的ABR不僅阻塞AS外部LSA,而且阻塞所有匯總LSA.
適用場合:只有一出口的網路.
15:OSPF中為什麼要劃分多區域?
1、減小路由表大小
2、限制lsa的擴散
3、加快收斂
4、增強穩定性
16:NSSA區域的特點是什麼?
1.可以學習本區域連接的外部路由;
2.不學習其他區域轉發進來的外部路由
17:你都知道網路的那些冗餘技術,請說明.
交換機的冗餘性:spanning-tree、ethernet-channel
路由的冗餘性:HSRP,VRRP,GLBP.
(有必要的話可以詳細介紹)
18:HSRP的轉換時間是多長時間?
10s
19:標准訪問控制列表和擴展訪問控制列表的區別.
標准訪問控制列表:基於源進行過濾
擴展訪問控制列表: 基於源和目的地址、傳輸層協議和應用埠號進行過濾
20:NAT的原理及優缺點.
原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.
優點:節省IP地址,能夠處理地址重復的情況,增加了靈活性,消除了地址重新編號,隱藏了內部IP地址.
缺點:增加了延遲,丟失了端到端的IP的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要更多的內存來存儲一個NAT表,需要更多的CPU來處理NAT的過程.
21: 對稱性加密演算法和非對稱型加密演算法的不同?
對稱性加密演算法的雙方共同維護一組相同的密鑰,並使用該密鑰加密雙方的數據,加密速度快,但密鑰的維護需要雙方的協商,容易被人竊取;非對稱型加密演算法使用公鑰和私鑰,雙方維護對方的公鑰(一對),並且各自維護自己的私鑰,在加密過程中,通常使用對端公鑰進行加密,對端接受後使用其私鑰進行解密,加密性良好,而且不易被竊取,但加密速度慢.
22: 安全關聯的作用?
SA分為兩步驟:1.IKE SA,用於雙方的對等體認證,認證對方為合法的對端;2.IPSec SA,用於雙方認證後,協商對數據保護的方式.
23: ESP和AH的區別?
ESP除了可以對數據進行認證外,還可以對數據進行加密;AH不能對數據進行加密,但對數據認證的支持更好 .
24: snmp的兩種工作方式是什麼,有什麼特點?
首先,SNMP是基於UDP的,有兩種工作方式,一種是輪詢,一種是中斷.
輪詢:網管工作站隨機開埠輪詢被管設備的UDP的161埠.
中斷:被管設備將trap報文主動發給網管工作站的UDP的162埠.
特點:輪詢一定能夠查到被管設備是否出現了故障,但實時性不好.
中斷實時性好(觸發更新),但不一定能夠將trap報文報告給網管工作站.
2. 關於網路工程師的面試題有哪些
網路工程師能夠從事計算機信息系統的設計、建設、運行和維護工作。下面是我為你整理的網路工程師面試題,希望對你有所幫助!
1、用戶名與口令被破解
攻擊原理:用戶名與口令,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,後果是嚴重的。
防範技巧:涉及用戶名與口令的程序最好封裝在伺服器端,盡量少在ASP文件里出現,涉及與資料庫連接的用戶名與口令應給予最小的許可權。出現次數多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與資料庫連接,在理想狀態下只給它以執行存儲過程的許可權,千萬不要直接給予該用戶修改、插入、刪除記錄的許可權。
2、驗證被繞過
攻擊原理:現在需要經過驗證的ASP程序大多是在頁面頭部加一個判斷語句,但這還不夠,有可能被黑客繞過驗證直接進入。
防範技巧:需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
3、inc文件泄露問題
攻擊原理:當存在ASP的主頁正在製作且沒有進行最後調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,並能在瀏覽器中查看到資料庫地點和結構的細節,並以此揭示完整的源代碼。
防範技巧:程序員應該在網頁發布前對它進行徹底的調試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統默認的或者有特殊含義容易被用戶猜測到的名稱,盡量使用無規則的英文字母。
4、自動備份被下載
攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,比如:UltraEdit就會備份一個.bak文件,如你創建或者修改了some.asp,編輯器會自動生成一個叫 some.asp.bak文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載some.asp.bak文件,這樣some.asp的源程序就會被下載。
防範技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為後綴的文件要特別小心。
5、特殊字元
攻擊原理:輸入框是黑客利用的一個目標,他們可以通過輸入腳本語言等對用戶客戶端造成損壞;如果該輸入框涉及數據查詢,他們會利用特殊查詢語句,得到更多的資料庫數據,甚至表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過。
防範技巧:在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數字,屏蔽掉特殊字元。同時對輸入字元的長度進行限制。而且不但要在客戶端進行輸入合法性檢查,同時要在伺服器端程序中進行類似檢查。
6、資料庫下載漏洞
攻擊原理:在用Access做後台資料庫時,如果有人通過各種方法知道或者猜到了伺服器的Access資料庫的路徑和資料庫名稱,那麼他也能夠下載這個Access資料庫文件,這是非常危險的。
防範技巧:
(1)為你的資料庫文件名稱起個復雜的非常規的名字,並把它放在幾層目錄下。所謂 “非常規”,打個比方說,比如有個資料庫要保存的是有關書籍的信息,可不要給它起個“book.mdb”的名字,而要起個怪怪的名稱,比如d34ksfslf.mdb,並把它放在如./kdslf/i44/studi/的幾層目錄下,這樣黑客要想通過猜的方式得到你的Access資料庫文件就難上加難了。
(2)不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如:
DBPath = Server.MapPath(“cmddb.mdb”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath
假如萬一給人拿到了源程序,你的Access資料庫的名字就一覽無余了。因此建議你在ODBC里設置數據源,再在程序中這樣寫:
conn.open“shujiyuan”
(3)使用Access來為資料庫文件編碼及加密。首先在“工具→安全→加密/解密資料庫”中選取資料庫(如:employer.mdb),然後按確定,接著會出現“資料庫加密後另存為”的窗口,可存為:“employer1.mdb”。
要注意的是,以上的動作並不是對資料庫設置密碼,而只是對資料庫文件加以編碼,目的是為了防止他人使用別的工具來查看資料庫文件的內容。
接下來我們為資料庫加密,首先打開經過編碼了的 employer1.mdb,在打開時,選擇“獨占”方式。然後選取功能表的“工具→安全→設置資料庫密碼”,接著輸入密碼即可。這樣即使他人得到了 employer1.mdb文件,沒有密碼他也是無法看到 employer1.mdb中的內容。
7、防範遠程注入攻擊
這類攻擊在以前應該是比較常見的攻擊方式,比如POST攻擊,攻擊者可以隨便的改變要提交的數據值已達到攻擊目的.又如:COOKIES 的偽造,這一點更值得引起程序編寫者或站長的注意,不要使用COOKIES來做為用戶驗證的方式,否則你和把鑰匙留給賊是同一個道理.
比如:
If trim(Request. cookies (“uname”))=”fqy” and Request.cookies(“upwd”) =”fqy#e3i5.com” then
……..more………
End if
我想各位站長或者是喜好寫程序的朋友千萬別出這類錯誤,真的是不可饒恕.偽造COOKIES 都多少年了,你還用這樣的就不能怪別人跑你的密碼.涉及到用戶密碼或者是用戶登陸時,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一個信息,SessionID,它的隨機值是64位的,要猜解它,不可能.例:
if not (rs.BOF or rs.eof) then
login=”true”
Session(“username”&sessionID) = Username
Session(“password”& sessionID) = Password
‘Response.cookies(“username”)= Username
‘Response.cookies(“Password”)= Password
下面我們來談談如何防範遠程注入攻擊,一般的攻擊都是將單表提交文件拖到本地,將Form ACTION=”chk.asp” 指向你伺服器中處理數據的文件即可.如果你全部的數據過濾都在單表頁上,那麼恭喜你,你將已經被腳本攻擊了.
怎麼才能制止這樣的遠程攻擊?好辦,請看代碼如下: 程序體(9)
‘個人感覺上面的代碼過濾不是很好,有一些外部提交竟然還能堂堂正正的進來,於是再寫一個.
‘這個是過濾效果很好,建議使用.
if instr(request.servervariables(“http_referer”),”http://”&request.servervariables(“host”) )<1 then response.write “處理 URL 時伺服器上出錯。
如果您是在用任何手段攻擊伺服器,那你應該慶幸,你的所有操作已經被伺服器記錄,我們會第一時間通知公安局與國家安全部門來調查你的IP. ”
response.end
end if
程序體(9)
本以為這樣就萬事大吉了,在表格頁上加一些限制,比如maxlength啦,等等..但天公就是那麼不作美,你越怕什麼他越來什麼.你別忘了,攻擊者可以突破sql注入攻擊時輸入框長度的限制.寫一個SOCKET程序改變HTTP_REFERER?我不會。網上發表了這樣一篇文章:
————len.reg—————–
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt擴展(&E)]
@=”C:Documents and SettingsAdministrator桌面len.htm”
“contexts”=dword:00000004
———–end———————-
———–len.htm——————
———-end———————–
用法:先把len.reg導入注冊表(注意文件路徑)
然後把len.htm拷到注冊表中指定的地方.
打開網頁,游標放在要改變長度的輸入框上點右鍵,看多了一個叫擴展的選項了吧
單擊搞定! 後記:同樣的也就可以對付那些限制輸入內容的腳本了.
怎麼辦?我們的限制被饒過了,所有的努力都白費了?不,舉起你de鍵盤,說不。讓我們繼續回到腳本字元的過濾吧,他們所進行的注入無非就是進行腳本攻擊。我們把所有的精力全都用到ACTION以後的頁面吧,在chk.asp頁中,我們將非法的字元全部過濾掉,結果如何?我們只在前面虛晃一槍,叫他們去改注冊表吧,當他們改完才會發現,他們所做的都是那麼的徒勞。
8、ASP木馬
已經講到這里了,再提醒各位論壇站長一句,小心你們的文件上傳:為什麼論壇程序被攻破後主機也隨之被攻擊者占據。原因就在……對!ASP木馬!一個絕對可惡的東西。病毒么?非也.把個文件隨便放到你論壇的程序中,您老找去吧。不吐血才怪哦。如何才能防止ASP木馬被上傳到伺服器呢?方法很簡單,如果你的論壇支持文件上傳,請設定好你要上傳的文件格式,我不贊成使用可更改的文件格式,直接從程序上鎖定,只有圖象文件格式,和壓縮文件就完全可以,多給自己留點方便也就多給攻擊者留點方便。怎麼判斷格式,我這里收集了一個,也改出了一個,大家可以看一下:
程序體(10)
‘判斷文件類型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload=”gif,jpg,bmp,jpeg”
Forumupload=split(Forumupload,”,”)
for i=0 to ubound(Forumupload)
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
CheckFileExt=true
exit Function
else
CheckFileExt=false
end if
next
End Function
‘驗證文件內容的合法性
set MyFile = server.CreateObject (“Scripting.FileSystemObject”)
set MyText = MyFile.OpenTextFile (sFile, 1) ‘ 讀取文本文件
sTextAll = lcase(MyText.ReadAll): MyText.close
‘判斷用戶文件中的危險操作
sStr =”8 .getfolder .createfolder .deletefolder .createdirectory
.deletedirectory”
sStr = sStr & “ .saveas wscript.shell script.encode”
sNoString = split(sStr,” ”)
for i = 1 to sNoString(0)
if instr(sTextAll, sNoString(i)) <> 0 then
sFile = Upl.Path & sFileSave: fs.DeleteFile sFile
Response.write “
”& sFileSave &”文件中含有與操作目錄等有關的命令”&_
“
”& mid(sNoString(i),2) &”,為了安全原因,不能上傳。”&_”
”
Response.end
end if
next
程序體(10)
3. 一般網路工程師面試都會考什麼樣的問題
一 請簡述網路定義,並談談自己對網路的理解
二 請描述osi七層模型,並簡要概括各層功能
三 請描述tcp/ip模型,並簡要介紹各層功能
四 請簡要敘述交換機和集線器的區別
五 請說出自己配置過的路由器型號,並說出幾個最常用的配置命令
六 請說出幾種動態路由協議,並談談動態路由和靜態路由的區別
七 win2000中為何要引入域的概念
八 復制和剪切操作對文件許可權會產生什麼影響
九 請介紹幾種方式用來在web伺服器上創建虛擬主機
十 請簡要介紹NNTP伺服器中虛擬目錄的作用
十一 請介紹幾種你所使用過的代理伺服器
十二 請提供幾種郵件伺服器的建設方案
十三 請描述Exchange5.5和Exchange2000的區別
十四 說出你所使用過的資料庫產品
十五 你認為SQL2000資料庫中最難的部分是什麼,為什麼?
十六 介紹你所使用過的網管軟體,以及它的特點
十七 win2000中的dns伺服器新增了哪些功能
十八 dhcp伺服器的作用是什麼?你可以提供哪些dhcp伺服器的建設方案
十九 dns和wins伺服器的區別有哪些?
二十 你認為網路工程師最重要的能力是什麼?
二十一如果你負責將一個公司的所有計算機接入互聯網,你會選擇哪種接入方式,為什麼?
二十二 如果你面臨的用戶對計算機都不熟悉,你將如何開展工作?
二十三 你會選擇讓哪種操作系統裝在公司內的計算機上,為什麼?
二十四 常用的備份方式有哪些?
二十五 你用過哪些操作系統,簡述一下它們的特點?
二十六 將來在公司建設企業內部網時,你會選擇哪種網路?
二十七 你用過哪種型號的路由器?
二十八說說交換機和集線器的區別,你會在企業內部網中選擇哪種交換機產品?
二十九 簡要介紹你所管理過的網路
三十 談談你認為網路中最容易出現的故障有哪些?