| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 计算机网络面试题总结(三) -> 正文阅读 |
|
[网络协议]计算机网络面试题总结(三) |
目录 1、SQL 注入???????? SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入攻击的总体思路
SQL注入攻击实例 ????????比如,在一个登录界面,要求输入用户名和密码,可以这样输入实现免帐号登录:
因为存在or,前面的查询必然成立,后方用--分开,后方为注释,进行解释说明。 应对方法 ????????参数绑定:使用预编译手段,绑定参数是最好的防SQL注入的方法。目前许多的ORM框架及JDBC等都实现了SQL预编译和参数绑定功能,攻击者的恶意SQL会被当做SQL的参数而不是SQL命令被执行。在mybatis的mapper文件中,对于传递的参数我们一般是使用#和$来获取参数值。当使用#时,变量是占位符,就是一般我们使用javajdbc的PrepareStatement时的占位符,所有可以防止sql注入;当使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 使用正则表达式过滤传入的参数 2、XSS 攻击????????XSS是一种经常出现在web应用中的计算机安全漏洞,与SQL注入一起成为web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些脚本代码嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
解决办法:不信任任何客户端提交的数据,只要是客户端提交的数据就应该先进行相应的过滤处理然后方可进行下一步的操作。
3、XSS 攻击分类????????反射性XSS攻击 (非持久性XSS攻击):漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性XSS攻击包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击) ????????持久性XSS攻击 (留言板场景):XSS攻击向量(一般指XSS攻击代码)存储在网站数据库,当一个页面被用户打开的时候执行。也就是说,每当用户使用浏览器打开指定页面时,脚本便执行。与非持久性XSS攻击相比,持久性XSS攻击危害性更大。从名字就可以了解到,持久性XSS攻击就是将攻击代码存入数据库中,然后客户端打开时就执行这些攻击代码。 4、TCP和UDP分别对应的常见应用层协议TCP对应的应用层协议
UDP对应的应用层协议
5、地址解析协议ARP????????网络层的ARP协议完成了主机或路由器的IP地址到物理地址的映射。物理地址是数据链路层和物理层使用的地址,而IP地址是网络层和以上各层使用的地址,是一种逻辑地址(称IP地址为逻辑地址是因为IP地址使用软件来实现的)。 ???????? 每一台主机或路由器都有自己的ARP高速缓存,里面有本局域网上的各主机和路由器的IP地址到硬件地址的映射表。 ? ARP协议的使用过程 ??????? 检查ARP高速缓存,有对应表项则写入MAC帧,没有则用目的地址为FF-FF-FF-FF-FF-FF的帧封装并广播ARP请求分组,同一局域网中所有主机都能收到该请求。目的主机收到后会向源主机单播一个ARP响应分组,源主机收到后将此映射写入ARP缓存(10~20分钟更新一次)。 ARP的四种典型场景
请求分组包含:我的IP地址,硬件地址,目标IP地址。 响应分组包含:自身的IP地址和硬件地址 6、5层模型传输的数据的类型
?7、IP地址的分类,以及私有Ip地址?????????最初设计互联网络时,为了便于寻址以及层次化构造网络,每个IP地址包括两个标识码(ID),即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID,网络上的一个主机(包括网络上工作站,服务器和路由器等)有一个主机ID与其对应。IP地址根据网络ID的不同分为5种类型,A类地址、B类地址、C类地址、D类地址和E类地址。
????????127为回环测试地址,网络ID全0表示为当前网络。主机号全为“0”表示指向本网,表示为一个网段,常用在路由表中,主机号全1表示为广播地址。严格说来,0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合:所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达.?网络中0.0.0.0的IP地址表示整个网络,即网络中的所有主机。它的作用是帮助路由器发送路由表中无法查询的包。如果设置了全零网络的路由,路由表中无法查询的包都将送到全零网络的路由中去。 有哪些私有(保留)地址
8、网络地址转换协议NAT? ? ? ? 专用网络内部的主机要链接外部的广域网的话需要运用NAT,需要一个连入广域网有唯一IP的路由器,在该路由器上安装NAT软件,将本地地址转换为全球唯一的ip地址,与因特网链接。NAT需要构建NAT转换表,既要存广域网(WAN,外网)的ip地址和端口号也要存局域网(LAN,内网)的ip地址和端口号。 9、HTTP协议下常用的7种请求方法
10、TCP/IP协议各层的作用
11、点对点协议 PPP与高级数据链路控制HDLC????????在通信线路质量较差的年代,使用高级数据链路控制 HDLC 作为实现可靠传输的数据链路层协议,但现在 HDLC 已经很少使用了,对于点对点的链路,简单得多的点对点协议 PPP 是目前使用得最广泛的数据链路层协议。 ????????PPP 协议的特点是简单、只检测差错而不纠正差错、不使用序号也不进行流量控制、可同时支持多种网络层协议。HDLC、PPP只支持全双工链路,都可以实现透明传输,都可以实现差错检测,但不纠正差错。PPP协议是面向字节的,无序号和确认机制,不可靠。HDLC协议是面向比特的,有编号和确认机制,是可靠的。 12、信道划分访问介质访问控制???????? 频分多路复用FDM,时分多路复用TDM,波分多路复用WDM,码分多路复用。
13、动态信道划分,随机访问介质访问控制????????ALOHA协议,CSMA协议,CSMA/CD协议,CSMA/CA协议。 ??????? 纯ALOHA协议思想不监听信道,不按时间槽发送,随机发送。如果发生冲突,接收方就会检测出差错,然后不给予确认,发送方在一定的时间内收不到响应帧就判断发生了冲突,然后等一随机时间再重传。 ??????? 时隙ALOHA协议把时间分成若干相同的时间片,所有的用户在时间片开始时刻同步接入网络信道,若发生冲突,则必须等到下一个时间片开始时刻再发送。控制了想发就发的随意性。 ??????? 载波监听多点接入CSMA,分为1-坚持CSMA,非坚持CSMA,p-坚持CSMA。1-坚持CSMA,如果一个主机发送消息,那么它先监听信道,空闲则直接传输,不必等待,忙则一直监听,知道空闲马上传输,如果有冲突,则等待一个随机长的时间再监听,重复上述过程。对于非坚持CSMA来说,如果线路正忙,则等待一个随机的时间之后再进行监听,采用随机的重发延时间可以减少冲突发生的可能性,但是存在大家都延迟等待的可能,使传输媒体处于空闲状态,媒体利用率低。对于p-CSMA来说,空闲则以p概率直接传输,不必等待;1-p的概率等待到下一个时间槽再传输。忙则等待一个随机的时间之后再进行监听。但是这三种CSMA在发生冲突后,都坚持把数据帧传完,造成浪费。 ??????? 以太网采用的是具有冲突检测的载波监听多点接入 CSMA/CD 协议,协议的要点是:发送前先监听、边发送边监听,一旦发现总线上出现了碰撞就立即停止发送。然后按照退避算法等待一段随机时间后再次发送,因此每一个站在自己发送数据之后的一小段时间内存在遭遇碰撞的可能性。以太网上各站点都平等地争用以太网信道。该方法中帧的传输时延至少要两倍与信号在总线上的传播时延。以太网规定最短帧长为64B。 ??????? 载波监听多点接入碰撞避免CSMA/CA协议用于无线局域网,对于CSMA/CD协议无法做到260度全面碰撞检测,隐蔽站问题,当A和C都检测不到信号,认为信道空闲时,同时向终端b发送数据帧,就会造成冲突。发送帧之前先检测信道是否空闲,如果空闲则发送RTS,RTS包括发射端的地址、接收端的地址、写一份数据报将持续发送的时间等信息;信道忙则等待。接收端接收到RTS之后则响应CTS。发送端收到CTS帧之后,开始发送数据帧(同时预约信道,发送方告诉其他站点自己要发送多长时间),接收端收到数据帧之后,将用CRC开检验数据是否正确,正确则响应ACK帧。 ? 14、轮询协议和令牌传递协议??????? 轮询协议主节点轮流“邀请”从属节点发送数据,存在轮询开销,等待延迟和单点故障的问题。 令牌是一个特殊格式的MAC控制帧,不含有任何信息,控制信道的使用,确保同一时刻只有一个节点独占信道。每一个节点都可以在一定的时间内获得发送数据的权力,并不是无限制的持有令牌。令牌传送方式的网络常用于负载较重、通信量较大的网络。 15、IEEE 802现有标准
16、10BASE-T以太网??????? 以太网提供的是无连接、不可靠的服务。发送方和接收方之间无“无握手过程”,不对发送方的数据帧编号,接收方不向发送方进行确认,差错帧直接丢弃,差错纠正有高层负责。10BASE-T是传送基带信号的双绞线以太网,T代表采用双绞线,10BASE-T采用的是无屏蔽双绞线,传输速度为10Mb/s。物理上采用星型拓扑,逻辑上总线型,每段双绞线最长为100m,采用曼彻斯特编码与CSMA/CD介质访问控制。 17、RIP协议和距离向量算法??????? RIP是一种分布式的基于距离向量的路由选择协议,是因特网的协议标准,最大的优点是简单。RIP协议要求网络中每一个路由器都维护从它自己到其他每一个目的网络的唯一最佳距离记录。距离通常是指跳数,即从源端口到目的端口所经过的路由器的个数,从一个路由器直接相连的网络的距离为一,RIP要求一条路由最多包含15个路由器,距离为16表示网络不可达。 ??????? RIP只适合于小型网络,在创建路由表的过程中,每一个路由器只和相邻路由器交换信息,路由器之间交换的信息是自己的路由表,没30秒交换一次路由信息,然后路由器根据新信息更新路由表。若180秒没有收到邻居路由器的通告,则判断邻居断开链接了,并跟新路由表。RIP协议的特点是好消息传的快,坏消息传的慢,有一个路由器宕机了,要经过很多次交换才能确定其宕机了。 18 、OSPF协议和链路状态算法??????? 开放最短路径优先OSPF协议,开放标明OSPF协议不是受某一家厂商控制的,而是公开发表的。最短路径优先是因为使用了最短路径算法SPF。OSPF协议使用洪泛法向自治系统内的所有路由器发送消息。发送的信息就是本路由器相邻的所有路由器的链路状态(本路由器和那些路由器相邻,以及该链路的度量/费用、距离、时延、带宽)。只有链路状态发生变化时,路由器才向所有路由器洪泛发送此信息。OSPF,每隔30分钟需要刷新一次数据库中的链路状态,适用于较大的互联网规模。 19、BGP协议??????? BGP协议所交换的网络可达性信息就是要到达某个网络所要经过的一系列AS。当BGP发言人互相交换了网络可达性信息后,各BGP发言人就根据所采用的策略从收到的路由信息中找出到达各自AS的最好路由。BGP是应用层协议,一个BGP发言人与其他自治系统中的BGP发言人要交换路由信息,就要先建立TCP连接。BGP支持CIDR,因此BGP路由表应当包括目的网络前缀、下一跳路由器,以及到达该目的网络要经过的各个自治系统序列。在BGP刚运行时,BGP的邻站是交换整个BGP路由表,但以后只需在发生变化时跟新有变化的部分。这样做对节省网络带宽和减少路由器的处理开销都有好处。 20、RIP、OSPF和BGP协议之间的比较??????? RIP是一种分布式的基于路由向量的内部网关路由选择协议,通过广播UDP报文来交换路由信息。OSPF是一种内部网关协议,要交换的信息量较大,应使报文的长度尽量的短,所以不适用传输层协议,而是直接使用IP。BGP是一个外部网关协议,在不同的自治系统之间交换路由信息,由于网络环境复杂,需要保证可靠传输,所以采用TCP。 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/27 13:52:05- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |