2025网络安全面试题大全(附答案详解).docxVIP

2025网络安全面试题大全(附答案详解)

一、网络安全基础概念

1.请简述OSI参考模型与TCP/IP模型的核心差异，并说明各层对应的典型协议。

OSI（开放系统互连）模型分为7层：物理层（双绞线、光纤）、数据链路层（MAC地址、交换机）、网络层（IP、ICMP）、传输层（TCP、UDP）、会话层（RPC、NetBIOS）、表示层（JPEG、SSL）、应用层（HTTP、SMTP）。其设计强调严格分层，每层功能独立；TCP/IP模型简化为4层：网络接口层（物理+数据链路）、网际层（IP）、传输层（TCP/UDP）、应用层（HTTP、DNS等）。核心差异在于OSI是理论框架，TCP/IP是实际应用标准，且OSI的会话层和表示层在TCP/IP中未明确区分。

2.对称加密与非对称加密的本质区别是什么？列举常见算法并说明适用场景。

对称加密使用同一密钥加密和解密（如AES256、DES），优点是速度快，适合大量数据加密（如文件传输）；缺点是密钥分发风险高。非对称加密使用公钥加密、私钥解密（如RSA、ECC），解决了密钥分发问题，但计算复杂，适合小数据量（如密钥交换、数字签名）。例如HTTPS中，客户端用服务器公钥加密AES会话密钥，服务器用私钥解密后，双方用AES加密实际数据。

3.解释CIA三要素及其在实际安全场景中的优先级权衡。

CIA指机密性（Confidentiality，数据不泄露）、完整性（Integrity，数据未篡改）、可用性（Availability，数据可正常访问）。典型场景：医疗系统中，机密性（患者隐私）优先级高于完整性；金融交易中，完整性（交易金额准确）优先于机密性；DDoS攻击则直接威胁可用性。企业需根据业务目标调整优先级，如国防系统侧重机密性，公共云服务侧重可用性。

4.认证（Authentication）与授权（Authorization）的区别是什么？举例说明。

认证是验证“你是谁”（如密码、指纹），授权是确定“你能做什么”（如角色权限）。例如：员工通过AD域账号密码登录（认证），系统根据其“财务岗”角色赋予查看工资表但不可修改的权限（授权）。二者结合实现最小权限原则，常见于OAuth2.0（认证）+RBAC（授权）的组合。

二、网络协议与典型攻击

5.详细说明DDoS攻击的常见类型及防御措施。

DDoS（分布式拒绝服务）通过大量傀儡机（僵尸网络）向目标发送流量/请求，耗尽资源。常见类型：

流量型：UDP洪水（伪造源IP发送UDP包）、ICMP洪水（Ping洪流），攻击网络带宽；

连接型：SYN洪水（发送大量未完成TCP三次握手的SYN包），耗尽服务器半连接表；

应用层：HTTP洪水（模拟正常用户发送大量HTTP请求），消耗应用层资源（如Apache进程）。

防御措施：

流量清洗（通过CDN或专用设备过滤异常流量）；

黑洞路由（将攻击流量引向无效IP）；

限速与连接数限制（如Nginx设置max_conns）；

购买DDoS云防护服务（如阿里云DDoS高防）；

架构优化（分布式部署、弹性扩缩容）。

6.分析XSS攻击的三种类型及针对性防御方法。

XSS（跨站脚本）利用浏览器对HTML/JS的信任执行恶意代码，分为：

反射型：恶意脚本随HTTP响应反射回客户端（如搜索框输入scriptalert(1)/script），仅影响当前用户；

存储型：脚本存储在服务端（如评论区存储恶意代码），所有访问该页面的用户都会执行；

DOM型：通过修改客户端DOM树触发（如location.search未过滤直接插入DOM）。

防御核心是输入输出编码+内容安全策略（CSP）：

输入阶段：使用正则表达式过滤特殊字符（、、script）；

输出阶段：对HTML内容进行转义（如将转为lt;），对JS上下文中的内容使用JSON.stringify；

启用CSP头（ContentSecurityPolicy:defaultsrcself），限制外域脚本加载；

对存储型XSS，需额外校验数据库存储的用户输入。

7.简述SQL注入的原理、攻击流程及防御最佳实践。

原理：用户输入未过滤，直接拼接到SQL语句中，导致执行任意SQL命令。攻击流程：

1.探测注入点（如URL参数?id=1，观察报错信息）；

2.枚举数据库信息（如?id=1unionselect1,version()）；

3.提取敏感数据（如?id=1unionselectusername,passwordfromusers）；

4.破坏数据（如?id=1;dr