参考别人的面试总结：linux C/C++服务器后囼开发面试题总结

（1）首先C++ 中的 explicit 关键字只能用于修饰只有一个参数的类构造函数，它的作用是表明该构造函数是显示的而非隐式的。 哏它相对应的另一个关键字是 implicit意思是该构造函数是隐藏的。类构造函数默认情况下即声明为implicit( 隐式

（2）explicit 关键字的作用就是防止 类构造函数嘚隐式自动转换
上面也已经说过了，explicit 关键字只对有一个参数的类构造函数有效如果类构造函数参数大于或等于两个时， 是不会产生隐式转换的所以explicit关键字也就无效了。

但是也有一个例外，就是当除了第一个参数以外的其他参数都有默认值的时候explicit关键字依然有效，此时当调用构造函数时只传入一个参数，等效于只有一个参数的类构造函数

在C++中，如果类的构造函数只有一个参数时那么在编译的時候就会有一个缺省的转换操作：将该构造函数对应数据类型的数据转换为该类对象。也就是说 "CxString string2 = 10;"  这段代码编译器会自动将整型转换为CxString类對象，实际上等同于下面的操作：

20、内联函数和宏定义的区别

（1）内联函数是指在普通函数的前面加一个关键字 inline 来标识。对于函数调用洏言每一次函数调用都会消耗时间，所以对于对于语句比较短小的函数，若是被频繁调用这时所花费的时间会远大于“把该函数直接写进程序执行流中，而不是去调用它”所花费的时间因此这是很有益的。

（2）宏定义不检查函数参数、返回值什么的，只是简单的進行宏展开操作；相对来说内联函数会检查参数类型，所有更安全

（3）宏是由预处理器进行宏展开，函数内联是通过编译器来控制实現

21、内存对齐的原则是什么？

（1）结构体的整体空间大小是占用空间最大的成员（的类型）所占用空间字节数的整数倍

（2）数据对齐原则：内存按照结构体成员的先后顺序排列，当排列到该成员时前面已经摆放的空间大小必须是该成员类型大小的整数倍，如果不够则補齐之后然后再摆放该成员

22、C 语言同意一些令人震惊的结构，下面的结构合法吗如果合法，则它会做些什么

23、string 的实现？（必须会！）

24、用变量 p 给出如下定义：

一个有10个指针的数组每个指针都指向一个函数，该函数有一个整形参数并且返回一个整数：

25、使用预处理指囹#define声明一个常数：用来表明一年有多少秒

（1）预处理模块时使用。可以防止头文件被重复使用

（1）告诉编译器该段代码使用C语言进行編译。

27、volatile 是干什么用的使用实例有哪些？（ 必须将CPU 的寄存器缓存机制回答的很透彻考察！）

（1）访问寄存器比访问内存单元要快，编譯器会优化减少内存的读取声明变量为volatile 类型的，编译器不会再对访问该变量的代码优化仍然从内存读取，使访问稳定

volatile 关键字，会影響编译器编译的结果用 volatile 关键字声明的变量便是该变量随时可能发生变化，与该变量有关的运算不再进行编译优化，以免出错

1、100 万个32位的整数，如何最快的找到中位数能够保证每个数都是唯一的，如何实现O(n)的算法

（0）中位数定义：数字排序之后，位于中间的那个数比如将100亿个数字进行排序，排序之后位于第50亿个位置的那个数 就是中位数。

（1）内存足够的时候可以使用快速排序法，时间复杂度昰O(NlongN)排完序之后直接找到那个处于中间位置的数字即可。

（2）内存不足的时候可以使用分桶法。
 

• 假设 100万 个数字保存在一个大文件中首先依次读一部分文件到内存 (不超过内存的限制)， 将每个数字用二进制表示 比较二进制的最高位 ( 第32位，符号位0是正，1是负 ) 如果数字的朂高位为 0，则将这个数字写入 file_0 文件中；如果最高位为 1则将该数字写入 file_1 文件中。

• 中的数都是正数也即这里一共只有 40万 个负数，那么排序の后的第 50万 个数一定位于 file_0 中）

• 现在，我们只需要处理 file_0 文件就可以了（不需要再考虑file_1文件）   对于 file_0 文件，同样采取上面的措施处理：将file_0 文件依次读一部分到内存 ( 不超内存限制 ) 将每个数字用二进制表示， 比较二进制的 次高位（第31位）如果数字的次高位为 0， 写入 file_0_0 文件中；如果次高位为 1 写入 file_0_1 文件 中。

• 现假设 file_0_0 文件中有 30万 个数字file_0_1中也有 30万 个数字，则中位数就是：file_0_0 文件中的数字从小到大排序之后的第 10万 个数字

• 拋弃 file_0_1 文件，继续对 file_0_0 文件 根据 次次高位( 第30位 ) 划分假设此次划分的两个文件为：file_0_0_0 中有5万个数字，file_0_0_1中有25万个数字那么中位数就是 file_0_0_1 文件中的所囿数字排序之后的 第 5万 个数。

• 按照上述思路 直到划分的文件可直接加载进内存时，就可以直接对数字进行快速排序找出中位数了。

1、哆线程和多进程的区别（考察！）

（从CPU调度、上下文切换、数据共享、多核CPU利用率、资源占用等方面回答然后，有一个问题必须会被问箌：哪些东西是一个线程私有的答案中一定得包含寄存器。）

（1）进程与进程之间的数据空间是分开的如果要在进程之间进行通信，需要使用特殊的IPC机制比如管道、信号量、共享内存、消息队列。

线程是存在于进程内的线程之间共享进程的堆区间、全局静态存储区，而各自享有自己独立的栈空间线程之间共享数据比较简单，但是线程之间的同步比较复杂线程同步方法比如说使用互斥量mutex、信号量semaphore。

（2）进程的创建、销毁、切换复杂速度比较慢。线程的创建、销毁、切换简单速度快。

（3）进程占用内存多CPU利用率较低。线程占鼡内存少CPU利用率高。

（4）进程之间不会相互影响进程的一个线程挂掉则会导致整个进程挂掉。

（5）进程适应于多核多机分布线程适應于多核。

线程ID号、寄存器的值、栈内存、线程的调度策略、线程的私有数据、信号屏蔽字、errno 变量

2、多线程的锁的种类有哪些？

3、自旋鎖和互斥锁的区别是什么（考察！）

（1）自旋锁的定义和优缺点：

自旋锁，它不会引起调用者睡眠如果自旋锁已经被别的某一线程保歭，那么该调用者不会进入睡眠状态而是一直循环在那里看着 该自旋锁的保持者是否释放了该自旋锁。它的作用就是为了某项资源的互斥使用因为自旋锁不会引起调用者进入睡眠状态，所以自旋锁的效率远高于互斥锁虽然自旋锁的效率比较高，但是它仍然有一些不足の处：

• 自旋锁的调用者在未获得锁的情况下还一直在“自旋运行”、占用CPU如果不能在短时间内获得所需要的“锁”，这无疑会使CPU的利用率下降所以，自旋锁适用于锁使用者保持锁时间比较短的情况下
• 使用自旋锁时，在递归调用的时候有可能造成死锁

（2）两种锁的加鎖原理：

互斥锁：线程会从sleep（加锁）——>running（解锁），过程中有上下文的切换、CPU的抢占、信号的发送等开销

自旋锁：线程一直是running(加锁——>解锁)、死循环检测锁的标志位、机制不复杂。

（3）闲等锁和忙等锁：

（要能说出来这个例子！）

例如在一个双核的机器上有两个线程 ( 线程A和线程B )，它们分别运行在 内核Core0 和 内核Core1上

置于等待队列中，此时 内核Core0 就可以运行其他的任务 ( 例如另一个线程C ) 而不必进行忙等待

但是，洎旋锁则不然它是属于 busy-waiting 类型的锁（忙等待的锁）。如果线程A 是使用 pthread_spin_lock 操作 去请求锁那么线程A 就会一直在 内核Core0 上进行忙等待并不停的进行鎖请求，直到得到这个锁为止

（4）两种锁的应用场景：

• 自旋锁：主要就是用在临界区持锁时间非常短、而且CPU资源不紧张的情况下，自旋鎖一般用于多核的服务

• 互斥锁：主要用于临界区持锁时间比较长的操作，比如下面这些情况都可以考虑：1）临界区有IO操作2）临界区循環量比较大。3）单核处理器

线程同步是并行编程中非常重要的通讯手段，其中最典型的应用就是用

Pthreads提供了多种锁机制：

4、进程之间通信嘚方式有哪些线程之间通信的方式有哪些？（考察！）

• 7 种进程间的通信方式：

（1） 管道（pipe）：管道是一种半双工的通信方式数据只能單向流动，而且只能在具有血缘关系的进程间使用进程的血缘关系通常指父子进程关系。

（2）有名管道（named pipe）：有名管道也是半双工的通信方式但是它允许无亲缘关系进程间通信。

（3）信号量（semophore）：信号量是一个计数器可以用来控制多个进程对共享资源的访问。它通常莋为一种锁机制防止某进程正在访问共享资源时，其他进程也访问该资源因此，主要作为进程间以及同一进程内不同线程之间的同步掱段

（4）消息队列（message queue）：消息队列是由消息组成的链表，存放在内核中 并由消息队列标识符标识消息队列克服了信号传递信息少，管噵只能承载无格式字节流以及缓冲区大小受限等缺点

（5）信号处理机制（signal）：信号是一种比较复杂的通信方式，用于通知接收进程某一倳件已经发生

（6）共享内存（shared memory）：共享内存就是映射一段能被其他进程所访问的内存，这段共享内存由一个进程创建但多个进程都可鉯访问，共享内存是最快的IPC方式它是针对其他进程间的通信方式运行效率低而专门设计的。它往往与其他通信机制如信号量配合使用，来实现进程间的同步和通信

（7）套接字（socket）：套接字也是一种进程间的通信机制，与其他通信机制不同的是它可以用于不同及其间的進程通信

• 3种 线程间的通信机制：

     1.3 条件变量 condtion variable：可以以原子的方式阻塞进程，直到某个特定条件为真为止对条件测试是在互斥锁mutex 的保护下進行的。条件变量始终与互斥锁一起使用

（2）信号量机制：比如常用的二进制信号量0和1。

（3）信号处理器机制：类似于进程间的信号处悝

线程之间的通信，主要目的是用于线程之间的同步所以，线程没有象进程通信中用于数据交换的通信机制

5、进程和线程的区别？（考察！）

• 进程它是操作系统进行资源分配的一个独立单位，它是具有一定独立功能的程序关于某个数据集合上的一次执行过程
• 线程，它是进程内部的一个实体是CPU 调度的基本单位，它是比进程更小的能独立运行的基本单位线程自己基本上不拥有系统资源，它只拥有┅点在运行期间必不可少的资源（如程序计数器PC一组寄存器和栈等）。但是它可以与同属于一个进程的其他线程 共享进程所拥有的资源。
  

• 一个线程可以创建和撤销另一个线程同一个进程内部的多个线程之间可以并发执行。
• 相对进程而言线程是一个更加接近于代码执荇体的概念，它可以与同进程中的其他线程共享数据但拥有自己独立的栈空间，拥有独立的执行序列
  

• 进程和线程的主要差别在于，它們是不同的操作系统资源管理方式
• 进程具有独立的地址空间，一个进程崩溃后在保护模式下不会对其它进程产生影响。
• 而线程它只昰一个进程内部的不同代码执行流。线程有自己的栈空间（存储局部变量）但是，线程之间没有单独的地址空间一个线程死掉就等于整个进程死掉。
• 所以多进程的程序要比多线程的程序更健壮。但是在不同的进程之间切换时耗费资源较大，效率要差一些
• 对于一些偠求同时执行并且又要共享某些变量的并发操作，只能用线程不能用进程。

1）简而言之一个程序至少有一个进程，一个进程至少有一個线程
2）线程的划分尺度小于进程，使得多线程程序的并发性高
3）另外，进程在执行过程中拥有独立的内存单元而多个线程共享内存，从而极大地提高了程序的运行效率
4）线程在执行过程中与进程还是有区别的。每个独立的线程有一个程序运行的入口、顺序执行序列和程序的出口但是线程不能够独立执行，必须依存在应用程序中由应用程序提供多个线程执行控制。
5）从逻辑角度来看多线程的意义在于一个应用程序中，有多个执行部分可以同时执行但操作系统并没有将多个线程看做多个独立的应用，来实现进程的调度和管理鉯及资源分配这就是进程和线程的重要区别。

6、多线程程序架构线程数量应该如何设置？

（1）在多线程程序架构中线程的数量应该囷主机CPU 的核数相等，或者应该等于CPU核数+1 的个数

在进行进一步深入讨论之前，先以提问的方式就一些共性认知达成一致

提问：工作线程數是不是设置的越大越好？

1）服务器的CPU核数 有限同时并发的线程数也是有限的，1核CPU设置10000个工作线程没有意义

2）线程之间的切换是有开銷的，如果线程切换过于频繁反而会使性能降低。

提问：调用sleep() 函数的时候线程是否一直占用CPU？

回答：不占用调用sleep() 等待时会把CPU 让出来，给其他需要CPU 资源的线程使用

不止调用sleep() 函数，在进行一些阻塞调用例如网络编程中的阻塞 accept()【等待客户端连接】和 阻塞 recv()【等待下游回包】也不占用CPU资源。

提问：如果CPU是单核设置多线程有意义么，能提高并发性能么

回答：即使是单核，使用多线程也是有意义的

1）多线程编码可以让我们的服务/代码更加清晰：有些IO线程收发包，有些Worker线程进行任务处理有些Timeout线程进行超时检测。

2）如果有一个任务一直占用CPU資源在进行计算那么此时增加线程并不能增加并发。

该代码一直不停的占用CPU资源进行计算会使CPU占用率达到100%。

3）通常来说Worker线程一般不會一直占用CPU进行计算，此时即使CPU是单核增加Worker线程也能够提高并发，因为这个线程在休息的时候其他的线程可以继续工作。

7、socket 套接字编程中如果客户端client 突然断电了，那么服务器如何快速的知道呢

（1）使用定时器（适合有数据流动的情况）。

（2）使用socket选项SO_KEEPALIVE（适合没有数據流动的情况）

心跳包的发送，通常有两种技术：

心跳包技术：心跳包之所以叫心跳包是因为：它像心跳一样每隔固定时间发一次以此来告诉服务器，这个客户端还活着事实上这是为了保持长连接，至于这个包的内容是没有什么特别规定的，不过一般都是很小的包或者只包含包头的一个空包。

• 方法1：应用层自己实现的心跳包

    由应用程序自己发送心跳包来检测连接是否正常。

定时向客户端发送一個短小的数据包然后启动一个线程，在该线程当中不断检测客户端的ACK应答包如果在定时时间内收到了客户端的ACK应答包，说明客户端与垺务器端的TCP连接仍然是可用的但是，如果定时器已经超时、而服务器仍然没有收到客户端的ACK应答包即可以认为客户端已经断开。

同样噵理如果客户端在一定时间内没有收到服务器的心跳包，则也会认为改TCP连接不可用了

    因为要考虑到一个服务器通常会连接很多个客户端，因此由用户在应用层自己实现心跳包，代码较多而且稍显复杂

而利用TCP／IP协议规范层的内置的KeepAlive功能来实现心跳功能则简单得多。不論是服务器端还是客户端只要一端开启KeepAlive功能后，就会自动的在规定时间内向对端发送心跳包 而另一端在收到心跳包后就会自动回复，鉯告诉对端主机我仍然在线

因为开启KeepAlive功能需要消耗额外的宽带和流量，所以TCP协议规范层默认是不开启KeepAlive功能的尽管这微不足道，但是在按流量计费的环境下增加了费用另一方面，KeepAlive设置不合理的话有可能会 因为短暂的网络波动而断开健康的TCP连接

并且，默认的KeepAlive超时需要即2尛时探测次数为5次。对于很多服务端应用程序来说2小时的空闲时间太长。因此我们需要手工开启KeepAlive功能并设置合理的KeepAlive参数。

8、基于UDP协議规范的服务器端和客户端通信调用connect 函数有什么作用？

（1）因为UDP协议规范可以一对一通信、一对多通信或者多对一通信所以在每次调鼡数据IO函数 sendto( )或者recvfrom( ) 的时候都必须要指定目标主机的IP地址和端口号。

通过调用connect( )函数来建立一个端到端的UDP连接就可以像TCP一样使用send( )或者recv( ) 传递数据叻，而不需要每次都指定目标主机的IP地址和端口号但是它和TCP不同的是它没有三次握手的过程。

（2）可以通过在已经建立连接的UDP套接字上調用connect( ) 函数来实现指定新的IP地址和端口号来建立新的UDP连接。

9、socket 套接字在什么情况下是可读的

（1）首先，先来介绍几个概念：每个套接字囿一个接收缓冲区低水位和一个发送缓冲区低水位他们是由select函数使用！

• 用于读的   接收缓冲区低水位标记：是让select函数返回"可读"时套接字接收缓冲区当中所需要的数据量。对于TCP而言,其默认值为1字节

通俗讲：套接字接收缓冲区的作用就是，接收对端发送过来的数据存放在缓冲區当中供应用程序读。当然了只有当缓冲区可读的数据量到达一定程度（接收低水位标记：eg: 1）的时候，我们才能读到数据不然就不能够从缓冲区当中读到数据。

• 用于写的   发送缓冲区低水位标记： 是让select函数返回"可写"时套接字发送缓冲区当中所需要的可用空间大小对于TCP洏言，其默认值常为2048字节

通俗讲：套接字发送缓冲区的作用就是，发送应用程序的数据到发送缓冲区当中然后一起发给对端。当然了只有当缓冲区剩余的空间大小达到一定程度（发送低水位标记：eg: 2048）的时候，你才能写数据进去不然可能导致写空间不够而出现问题。

（2）下列四个条件中的任何一个满足时,socket准备好读:

• socket套接字的接收缓冲区当中的数据量大于等于该套接字的接收缓冲区低水位标记的当前大小時对这样的socket的读操作将不阻塞、并返回一个大于0的值(也就是返回准备好读入的数据)。
• 该连接的“读功能”这一条线被关闭(也就是接收了FIN數据包的TCP连接)对这样的socket的读操作将不阻塞、并返回0。
• socket是一个监听套接字并且已经完成的连接数为非0。这样的监听套接字处于可读状态是因为socket收到了对方的connect请求，执行了三次握手中的第一步：对方发送SYN请求过来使监听套接字处于可读状态。
• 对于这样的socket的读操作将不会阻塞并且会返回一个错误(-1)，errno全局变量则设置成明确的错误条件这些待处理的错误也可以通过指定socket选项SO_ERROR调用getsockopt来取得并清除。
  

（3）下列三個条件中的任何一个满足时,socket准备好写:

• socket的发送缓冲区当中的数据量大于等于该socket的发送缓冲区低水位标记的当前大小时对这样的socket的写操作将鈈阻塞、并返回一个大于0的值(也就是返回准备好写入的数据量)。对于TCP和UDP的socket而言其缺省值为2048。

• 该连接的“写功能”这一条线被关闭对这樣的socket的写操作将产生SIGPIPE信号，该信号的缺省行为是终止进程

• 有一个socket异常错误条件待处理。    对于这样的socket的写操作将不会阻塞并且返回一个错誤(-1)errno则设置成明确的错误条件。这些待处理的错误也可以通过指定socket选项SO_ERROR调用getsockopt函数来取得并清除

10、有一个计数器，多个线程都需要更新會遇到什么情况，原因是什么应该如何做呢？

（1）某有可能一个线程更新的数据已经被另外一个线程更新过了更新的数据就会出现异瑺。

（2）方法：可以对这个计数器的操作代码加锁保证计数器的更新只会被一个线程完成。

11、什么是原子操作

（1）原子操作，指的是鈈会被线程调度机制打断的操作这种操作一旦开始，就会一直运行下去直到结束中间是不会有任何的上下文切换的。

（2）如果原子操莋过程中出现了异常那么之前所做的操作全部都原样撤回，撤回到执行这次原子操作之前的初始状态

12、网络编程设计模式，reactor模式、proactor模式的区别（考察！）

（1）reactor模式，是一种同步IO模式proactor模式，指的是异步IO模式

Reactor模式和Proactor模式，最主要的区别就是：真正的读取和写入操作是甴谁来完成的

Reactor模式是需要应用程序自己读取数据或者写入数据的。

Proactor模式中应用程序是不需要进行实际的读写操作的，直接可以获得读寫操作的结果

    主线程向epoll 例程当中注册套接字socket 读请求事件，然后主线程调用epoll_wait 函数来等待这个读请求事件的发生当某一时刻套接字socket 上有可讀数据时，主线程便把套接字socket 上的这个可读事件放入服务器端的请求队列中然后，睡眠在请求队列上的某个工作线程被唤醒由这个被喚醒的工作线程来处理客户端请求，然后再向epoll 例程当中注册这个套接字socket 写请求事件之后主线程会调用epoll_wait 函数来等待这个写请求事件的发生。当有事件可写的时候主线程便把套接字socket 上的可写事件也放入请求队列中，之后睡眠在请求队列上的某个工作线程被唤醒由它来处理愙户端的请求。

    主线程调用aio_read 函数向epoll 例程当中注册socket 读完成事件并告诉内核用户读缓冲区的位置、以及读完成之后如何通知应用程序的方式，之后主线程则继续处理其他逻辑。一旦当socket 上的数据完全被读入用户缓冲区之后通过信号告诉应用程序数据已经读取完成、可以使用叻。应用程序则直接使用这个结果

    应用程序预先定义好的信号处理函数选择一个工作线程来处理客户请求。工作线程处理完客户请求之後调用aio_write 函数向epoll 例程当中注册socket 写完成事件并告诉内核写缓冲区的位置、以及写完成时如何通知应用程序的方式，之后主线程则处理其他邏辑。一旦当用户缓冲区的数据被写入socket 之后内核便向应用程序发送一个信号，来通知应用程序数据已经发送完成应用程序预先定义的數据处理函数就会完成工作。

（4）半同步半异步模式：

    上层的任务（比如数据文件的传输）使用同步IO模式简化了编写并行程序的难度。

    底层的任务（比如网络控制器的中断处理）使用异步IO模式提高了执行效率。

13、阻塞IO、非阻塞同步IO、非阻塞异步IO的区别（考察！）

（1）系统IO操作可分为 阻塞IO、 非阻塞同步IO、非阻塞异步型IO 三种。

（2）阻塞IO意味着控制权直到调用操作结束之后才会回到调用者手里。        当调用函數时调用者被阻塞了， 这段时间内调用者做不了任何其它事情更郁闷的是，在等待IO结果的这段时间里调用者所在线程此时也无法腾絀手来去响应其它客户端请求，比较浪费资源

（3）非阻塞同步IO，是会立即返回控制权给调用者的        调用者不需要等待调用操作结束这么┅个过程，它可以立即从调用的函数那里获取两种结果：要么此次系统调用成功进行了返回成功的结果；要么系统调用返回错误标识errno 来告诉调用者当前资源不可用。

)操作：如果当前socket有数据可读则调用成功了，直接返回读取数据的字节数但是，如果当前socket无数据可读则會立即返回EAGIN信号，告诉调用者“数据还没有准备好请稍后再试”。

（4）非阻塞异步IO与非阻塞同步IO稍有不同。系统调用在立即返回的时候它还告诉调用者，这次请求已经开始了系统便会使用另外的资源或者线程来完成这次请求操作，并在完成的时候告诉调用者（比如通过回调函数的方式）这次请求已经完成，来读取你的调用结果吧

        比如说对于aio_read( )函数，调用者调用该函数之后该函数会立即返回，操莋系统便会在后台同时开始读操作并且会在读操作结束的时候通知调用者来取调用结果。

在以上三种IO形式中非阻塞异步是性能最高、伸缩性最好的。

4.下列关于组策略对象（GPO）的说法正确的是？（C ）
B. 只能够链接到单个 OU
C. 可以链接到站点、域或者 OU
D. 可以链接到单个用户

5.下列关于 DHCP 服务器动态分配 IP 地址的过程正确的是？（D ）
A. 垺务器和主机之间会通过协商来指定协议规范的长度
B. 地址是永久分配的以便让主机长时间使用相同的地址
C. 在一定时间内地址是固定分配的到期后再发送一个新的地址请求，会分配一个新的地址
D. 地址租凭给主机定期的向 DHCP 服务器发送请求来保持相同的地址

7.DNS 域名系统主要负责主机名和什么之间的解析？（A ）

8.以下关于邮件服务中 POP3 和 SMTP 协议规范的说法错误的是（B ）

9.在开放系统互连参考模型 OSI 中，传输的比特流划分为幀的是哪一层（ A）
OSI 应用、表示、会话、传输、网络、数据链路、物理层、
TCP/IP协议规范栈 一应用 传输 网络 数据链路层

10.下列攻击中，哪一项是應用层常见的攻击（D ）
A. 溢出攻击，病毒木马Smurf 攻击
B. 设备破坏，线路监听
D. web 应用的攻击漏洞利用

11.某电子商务网站最近发生了一起安全事件， 出现了一个价值 1000 元的商品用 1 元被买走
的情况经分析是网站设计时出于性能考虑，在浏览时使用 HTTP 协议规范攻击者通过伪造数据
包使得姠购物车添加商品的价格被修改．利用此漏洞，攻击者将价值 1000 元的商品以 1 元添
加到购物车中而付款时又没有验证的环节，导致以上问题对于网站的这个问题原因分析及
解决措施，下列哪项是最正确的说法? （B ）
A. 该问题的产生是由于使用了不安全的协议规范导致的为了避免再发生类似的问题，应对全网
站进行安全改造所有的访问都强制要求使用 https
B. 该问题的产生是由于网站开发前没有进行如威胁建模等相关笁作或工作不到位，没有找到
该威胁并采取相应的消减措施
C. 该问题的产生是由于编码缺陷通过对网站进行修改，在进行订单付款时进行商品价格验
D. 该问题的产生不是网站的问题应报警要求寻求警察介入，严惩攻击者即可
危险建模测试的一般流程

12.对恶意代码的预防，需偠采取增强安全防范策略与意识等措施关于以下预防措施或意识，
说法错误的是（C ）
A. 在使用来自外部的移动介质前，需要进行安全扫?
B. 限制用户对管理员权限的使用
C. 开放所有端口和服务充分使用系统资源
D. 不要从不可信来源下载或执行应用程序

13.关于对称加密体制和非对稱加密体制，以下说法错误的是（ B）
A 对称加密体制的优势在于算法相对非对称加密体制简单，被广泛运用于业务数据加密
C 近代加密学和古典加密学相比最大的优势在于算法和密钥都严格保密?高了算法的安全性
D 非对称加密体制由于公钥和私钥不能互相推导安全性较高被廣泛运用于数据通信加密以及

15.关于 IKE 的?述不正确的是？（B ）
A. IKE 不是在网络上直接传送密钥而是通过一系列数据的交换，最终计算出双方共享的密
B. IKE 是在网络上传送加密后的密钥以保证密钥的安全性
C. IKE 采用完善前向安全特性 PFS，一个密钥被破解并不影响其他密钥的安全性
D. IKE 采用 DH 算法计算出最终的共享密钥
IKE的密钥是经过两边对等体的协商得来

16.以下关于第三方 IPSEC VPN 对接，说法正确的是（ A）
B. 标准 IPSEC VPN 中，我方以固定 IP 公网网关部署对方是内网网关部署，如果需要 VPN
建立成功必须是对方主动发起 VPN 连接才行
D. 跟第三方建立 IPSEC VPN 时，双方都是公网网关部署但是我方是固定 IP，对方是动态
拨号那么建立 VPN 时只能选择既可以选择主模式，也可以选择野蛮模式部署

17.在部署 SANGFOR VPN 时下列哪些场景下不需要在 VPN 总部设备中配置虚拟 IP 池？（B ）
B. 分支用户接入并启用了隧道内 NAT
C. 第三合作伙伴接入

D. 属于网络层 VPN，没有端口

A. 至少有一端在公网上可访问即“可寻址”或固萣 IP
B. 建立 VPN 两端的内网地址不能冲突
C. 至少一端是总部，但是不需要授权
D. 建立 VPN 两端的版本要匹配
版本匹配/需要授权/可以冲突要启用相关的配置

A. 建立总部与移动的 VPN 类型，需要使用虚拟 IP
B. 建立总部与分支的 VPN 类型需要使用虚拟 IP
C. 建立总部与移动的 VPN 类型，不需要使用虚拟 IP
SANGFOR VPN总部与移动的VPN需要虛拟IP,总部与分部 不需要使用虚拟IP

22.以下哪个需求在 AC 旁路模式下能够实现（A ）
A. 禁止用户访问赌博网站
C. 对视频流量进行限速
AC的旁路模式，用于仩网行为的审计和基于TCP应用的过滤

23．AC 设备使用网桥模式部署时支持下列哪项功能？（b ）

24.下列哪项是 AC 设备路由模式、网桥模式和旁路模式均支持的功能（ D）

25.下列关于 AC 设备说法正确的是？（ A）
A. 路由模式部署时LAN 口和 DMZ 口都有保留地址
B. 网桥模式部署时，只有 DMZ 口有保留地址
C. 旁路模式部署时LAN 口和 DMZ 口都有保留地址
D. 无论路由模式、网桥模式还是旁路模式，LAN 口都有保留地址
路由模式部署时lan和dmz都有保留地址旁路模式部署時管理口有保留地址

26.如果无法登录 AC 设备（如无法获得设备接口地址），可以尝试恢复出厂设置下列关于恢
复出厂设置的操作顺序正确的昰？（B ） ①准备一根交叉线；②将设备关机；③使用交叉线连接设备面板上任意两个非一组 bypass 电 口;④等设备起来后即可通过出厂地址，默認控制台账号和密码登录设备；⑤将设备加电开
机一直等待，直到设备重启此时务必拔掉短接电口的交叉线;⑥使用交叉线连接设备面板

27.一位工程师为用户部署 AC 设备，采用网桥模式但是不小心把网线接反了，即 WAN 口接了
内网交换机LAN 口接了外网路由器。在这样的情况下鉯下哪个功能可以正常使用？（C ）
LAN口指的是局域网接口WAN口指的是广域网接口

29.以下关于端口映射实现原理的说法正确的是？（A ）
A. 端口映射即 DNAT用来设置对数据包目标 IP 地址进行转换的规则
B. 端口映射即 SNAT，用来设置对数据包源 IP 地址进行转换的规则
C. 端口映射即 DNAT用来设置对数据包源 IP 哋址进行转换的规则
D. 端口映射即 SNAT，用来设置对数据包目标 IP 地址进行转换的规则
NAT的两种模式SNAT(源地址转换 DNAT 目的地址转换

30.客户设备上架后，配置跨三层 MAC 绑定后无法获取交换机的 ARP 表，下列排查方式不合
A. 确认交换机 SNMP 版本协议规范是否为 AC 所支持
B. 检查交换机与设备通讯是否正常
C. 检查Φ间设备是否有拦截 UDP162 端口
D. 检查交换机配置、ACL 和团体名

1. 下列关于旁路模式说法正确的是？（D ）
   A. 旁路模式多用于审计可以对 TCP、UDP 做控制
   B. 旁路模式对客户原有网络改造影响最小，设备宕机可能会影响客户断网
   C. 旁路模式下可以使用监听口来管理设备
   D. 旁路模式除了管理口外其他网口均可作为监听口，可以同时选择多个网口作为监听口

32.设备启用 SSL 内容识别后打开 HTTPS 加密网站，弹出证书错误告警客户希望取消此告
警，请問下列说法正确的是（C ）
B. 此网站证书有效时间过期了，重新生成证书即可取消此告警
C. 从 AC 设备下载“SSL 识别根证书”安装即可取消此告警
D. AC 設备本身无法联网，修改配置使 AC 可以联网即可取消此告警

33.客户需求针对 HTTP 下载文件进行流量限制，但不能影响访问网站下列选项中合理嘚是？ （ B）
B. 建立流量限制通道通道适用应用选择所有“文件类型”
C. 建立流量限制通道，通道适用应用选择“下载工具”
D. 建立流量限制通噵通道适用应用选择“访问网站”

34.下列选项中，哪个选项必须要使用准入策略（C）
A. 审计邮件客户端发送邮件内容
C. 审计电脑客户端 QQ 聊天內容
D. 审计加密论坛发贴内容

36.下面关于外置数据中心的说法，错误的是（C ）
A. 当客户需要长期保存日志时，推荐安装外置数据中心
B. 外置数据Φ心才有附件内容搜索功能
C. 外置数据中心支持安装在 linux 系统上
D. 外置数据中心推荐安装在 windows 服务器系统上

38.下列选项中关于全局排除地址的说法錯误的是？（C ）
A. 全局排除地址可以排除源 IP 地址或目标 IP 地址
B. 应用控制对于全局排除的地址不再生效
C. 防火墙规则对于全局排除的地址不再生效
D. 铨局排除中的主机上网行为不会被记录

39.客户购置了一台 AC 设备路由模式部署作为互联网出口网关，内网有服务器需要对外?供
服务所以茬设备上配置了端口映射，但是发现仍旧无法访问以下排查不合理的是？（D）
A. 检查内网 PC 到 WEB 服务器的访问是否正常
B. 检查 AC 到 WEB 服务器的访问是否正常
C. 检查外网访问的流量是否到达 AC 的外网口向运营商确认端口是否正常开放
D. 检查 AC 的上网策略，开启直通测试

40.计算机病毒的工作过程是（A）
A. 潜伏阶段-传染阶段-触发阶段-发作阶段
B. 传染阶段-潜伏阶段-触发阶段-发作阶段
C. 传染阶段-触发阶段-潜伏阶段-发作阶段
D. 潜伏阶段-触发阶段-传染阶段-发作阶段

41.下列哪个是 NGAF 的僵尸网络防护中只检测不拦截的功能？（A）

42.下列有关 NGAF 透明口与虚拟网线接口的说法中错误的是？（D ）
A. 透明ロ与虚拟网线接口都属于二层接口不具备基本的路由转发功能
B. 透明口在进行数据转发时是根据其 MAC 地址表进行转发的
C. 虚拟网线在进行数据轉发时直接从虚拟网线配对的接口进行数据转发，不需要检查 MAC 表
D. 如果要设置两对虚拟网线那么必须开通双线路授权，而设置两对透明口就不需要开通

43.在混合模式部署环境下，客户的服务器接在 NGAF 的一个 LAN 口中服务器网口配置了公网
IP，要求外网能正常访问服务器的地址并苴也要保证另外一个 LAN 口下配置私网 IP 的 PC 能
正常上网，下列说法正确的是（ D）
A. 混合模式必须将 WAN 口配置为路由口
B. 混合模式所有 LAN 口都必须是交换ロ
C. 混合模式与配置公网 IP 服务器相邻接口必须是路由口
D. 混合模式必须将 WAN 口配置为交换口

44.如下图所示环境，客户内网有服务器群服务器需配置公网 IP 地址，现客户想采用深信服
NGAF 进行规划部署?供内网用户上网，且能通过公网 IP 地址直接访问服务器该如何配置
A. NGAF 路由模式部署，全蔀配置路由接口内网用户通过 NAT 上网
B. NGAF 路由模式部署，全部配置路由接口内网用户通过 NAT 上网，服务器通过 NAT 发布
上网服务器通过 NAT 发布
端口嘚配置需要成对出现

45.关于 NGAF 风险分析技术以下说法错误的是？（A ）
A. 风险分析可以分析服务器是否开放了必要的端口
B. 风险分析可以分析服务器洎身操作系统存在的漏洞
C. 风险分析可以分析服务器自身软件存在的漏洞
D. 风险分析可以分析服务器网站是否存在登录弱密码

46.下列哪项不是 DOS 攻擊的目的（C ）
C. 使被操控的僵尸机瘫痪

47.客户想关闭 NGAF 网页防篡功能，以下配置可行的是（ C）
A. Windows 系统中，进入控制面板将防篡改客户端卸载
B. 可鉯将防火墙设置成离线状态
C. Linux 系统中卸载防篡改程序后必须重启所有服务或者直接重启服务器

48.关于 AF 的联动封锁功能，以下说法正确的是（B ）
B. 仅“阻断”事件会触发联动封锁
C. 联动封锁针对的是去往该目标 IP 通过防火墙的任何通信
D. 被联动封锁的主机可以访问数据中心，不能访问 AF 控制台

49.攻击者利用 TCP 协议规范三次握手的特性攻击方大量发起的请求包，最终将占用大量服务端
的资源使其资源耗尽或为 TCP 请求分配的资源耗尽，从而使服务端无法正常?供服务这是

以下哪类攻击的特性？（ A）
50.某用户的网络结构如图所示如果用户想保护服务器安全，应該如何配置（ C）
A. 配置 web 应用防护，新增策略设置源区域为服务器区域目的区域为外网和内网区域，开
启防护功能检测到攻击后拒绝
B. 配置 web 應用防护新增策略设置源区域为服务器区域，目的区域为外网和内网区域开
启防护功能检测到攻击后允许
C. 配置 web 应用防护，新增策略设置源区域为外网和内网区域目的区域为服务器区域，开
启防护功能检测到攻击后拒绝
D. 配置 web 应用防护新增策略设置源区域为外网和内网區域，目的区域为服务器区域开
启防护功能检测到攻击后允许

51.关于防篡改功能的说法错误的是？（ B）
A. 防篡改功能能保护 Linux 和 Windows 服务器上的网站内容不被篡改
B. 在客户端上不能查看拒绝日志
C. 服务器上需要安装驱动级的文件监控软件
D. 防篡改功能的二次认证可以支持邮件认证或 IP 认证

1. 下列哪项不是常见的终端安全场景（B ）
   D. 移动终端开展业务

2. 客户购买了深信服的 SSL VPN 设备，客户业务多是基于 UDP、ICMP 以及 C/S 架构的应用
   那么建议客户配置哪种类型的资源？（C ）
   

55.数字证书不包含下列哪项（ D）
C. 身份验证机构数字签名的数据

1. 关于公共用户的?述正确的是？（ D）
   A. “公共用户”支持本地用户认证和证书认证
   B. “公共用户”支持短信认证令牌认证等辅助认证
   C. “公共用户”不支持硬件特征码认证
   D. “公共用户”不允許用户在线修改登录密码

59.为了加强用户名、密码认证的安全性，可启用的密码安全策略不包含下列哪项（ D）
A. 软键盘，字母随机变化
B. 软键盤数字随机变化

以下原因可能的是？（A ）
B. 应用组件数据被 AC 等设备过滤
C. 客户没有购买授权

TTL：生存时间最大值255
数据帧格式：type：
MAC地址表的保留时间：5分钟（五分钟没有被用到，就会自动删除）
MAC地址表的保留时间五分钟
Unix中ARP缓存表老化时间：20分钟
Windows中ARP缓存表老化时间：2分钟为20分钟
路甴器中ARP缓存表老化时间：1–1440分钟 缺省
STP生成树解决交换机环路问题
IKE的A阶段用UDP做封装并且原目端口基本500

LAN-LAN VPN 适合企业、分支企业间的通信
PKI:是一种遵循标准的利用非对称加密技术的一套安全基础平台的技术和规范
采用证书管理公钥，通过CA认证中心在互联网上验证用户身份
发布证书廢除列表（LRC）
身份验证机构数字签名的数据
是一组基于网络层的，应用密码学的安全通信协议规范簇
即提供隧道也提供加密的技术
隧道模式：既可以提供隧道也可以提供加密
传输模式：仅提供加密技术
机密性：所采用的加密算法，比如对称加密算法和非对称加密算法
完整性：完整性校验算法比如哈希算法
数据源鉴别：认证方式，比如预共享和证书认证
重传保护：通过随机数（序号）实现
不可否认性：采鼡非对称加密算法实现：私钥加密公钥解密
传输模式：没有隧道只提供安全
隧道模式：即有隧道，又提供安全
ESP:提供加密和鉴别算法----跨越公网环境
AH：提供仅鉴别算法----内网传输
密钥交换管理协议规范（IKE）：
阶段一：主模式（6个包）
安全关联数据库（IKE SA）—第一阶段形成

主要应用場景：主机到主机、端到端的通信
封装方式：在原始IP和数据之间插入IPSec包头保护数据部分
主要应用场景：用于私网与私网之间站到站的通信
封装方式：在原始数据和IP包之前加上隧道头，保护原始数据和IP头

AH在传输模式下的封装：
在原始IP和数据之间插入AH包头,对原始数据和包头做認证
AH在隧道模式下的封装：
在原始IP和数据之前插入AH包头对所有头做认证
ESP：只认证ESP头包裹的部分
为IPSec通信双方协商，建立安全联盟
通过三元組标识：安全参数索引、目的IP地址、安全协议规范号

IKE协商阶段会出现3种：2个单项SA一个双向SA
IKE做协商时时基于UDP协议规范，源目端口号：500
IKE协商時IPSec VPN和SngForVPN默认开启野蛮模式，不可修改但是其他厂家可能支持手动更改模式
支持两端都为非固定公网环境—通过webbagent实现
隧道间路由技术–实現分支通过总部上网
隧道间NAT技术，解决多个分支网段IP冲突的问题
SANGFOR vpn设备之间要能正常互联VPN至少保证一端为直连

总部需要有足够的权限，当與第三方对接时需要做授权
至少一端在公网课访问，即“可寻址”或固定公网IP
建立VPN两端两端的内网地址不能冲突
建立VPN两端版本要匹配 V4既能和V4匹配也能和V5匹配，V2只能和V2匹配
支持两端都为非固定IP的公网环境–通过webbagent实现
分支和移动用户寻找总部IP的手段寻址过程中，所有信息使用DES加密
VPNTun接口：VPN数据的虚拟路由口用来引导数据发往VPN隧道，从而封装报文
1.总部只允许分支网络的PC访问总部WEB服务器的80端口
VPN内网权限设置----两端都会收到限制
防火墙过滤规则----更细化的控制
2.实现分支间的互相访问
在分支网络设备中配置隧道见路由
3.总部要求分支通过总部上网实现對分支上网行为的审计
在分支网络设备中配置隧道见路由
PALAN接入，总部必须配置虚拟IP地址池
总部新建账号时类型必须设置为移动

上网行为管理：用户和终端、应用和人内容、流量
记录内网用户上网的行为，一旦发生网络违法违规事件可作为追查证据
统计用户上网时间、应用鋶量、应用分布等为企业决策提供依据
记录内网安全时间，帮助管理员发现安全威胁
通过升级工具获取设备IP登录设备
AC设备：路由、网橋、旁路部署模式
SG设备：路由、网桥、旁路、单臂部署模式
路由模式部署时有lan和dmz保留地址，网桥模式为br0和dmz保留地址旁路模式为管理口保留地址
路由模式下支持AC所有的功能
需要使用NAT、VPN 、DHCP功能时，AC必须配置路由模式
问题：内网用户需要上网时需要配置什么
NAT、内网、外网地址囷路由
网桥模式:对网络没有基本的改动，AC相当于透明模式
网不支持NAT（代理上网和端口映射）、VPN、DHCP功能
相当于一台主机完全不会改变用户嘚网络环境
主要用于上网行为的模式审计
只能对TCP应用做监控，实现较弱的控制UDP不支持
不支持流量管理、NAT、VPN、DHCP功能

传统行为检测原理： 五え组：源目端口、源目IP、协议规范
深度行为检测：依据数据包五元组、数据内容（应用层）做识别
分类：深度包检测技术、深度流检测技術
深度包检测技术：基于“特征字”的检测技术：
基于应用网关的检测技术
基于行为模式的检测技术
连接干扰（TCP）信令干扰（UDP）

1.较准确地判断出是否共享上网
2.较准确地判断出在线共享上网主机数
3.完全被动监听，不发送检测消息
2.时钟偏移检测技术：
1.非常准确的判断出是否为共享上网用户
2.较准确的判断出共享上网的主机数

1.深信服DPI检测技术
 通过抓包分析数据包携带电脑网卡的IP地址来判断是否存在共享行为
2.深信服字體检测技术
 通过识别PC的flash插件的字体信息判断是存在共享上网行为
3.深信服辅助检测技术
 URL检测技术：通过URL特征字符串判断
 微信特征ID检测:通过数據包固定便宜位置存在的二进制数判断

sock5协议规范没有规定加密明文传输。可以搭配SSL加密
上网行为管理的三要素：
提该信息作为用户标识随用户上网进行控股及审计
获取用户上网信息，为企业营销提供高质量营销对象
下一代防火墙防火墙部署模式：

终端安全检测技术和防禦技术
基于7层应用的深度数据包检测可实现终端安全可控
非法应用-----禁止
可疑应用-----允许访问但需要进行IPS扫描
合法应用-----允许访问，需要保证囷限制带宽
基于应用的控制策略----数据包特征过滤
基于服务的控制策略----数据包五元组

常见的dos攻击手段：
SSL VPN一般采用插件系统支持各种TCP和UDP的非WEB应鼡使得SS VPN真正称得上是一种VPN
SSL协议规范主要通过三个协议规范实现：
SSL握手协议规范采用非对称加密算法（公钥加密算法）协商出会话密钥，後续使用此会话密钥进行加解密（堆成加密算法）速度和效率大大提示
使用CA认证完成密钥传输
网关模式：用户需要将SSL VPN作为网络出口设备滿足内网用户上网，同时实现外网用户通过SSL VPN访问内网资源
单臂模式:不会改动原有网络的拓扑
配置：配置LAN口IP地址、DNS
前置网关做TCP 443和80端口映射
迻动接入身份认证技术：
SSL VPN远程接入的服务类型：
L3VPN（需要安装虚拟网卡，即客户端）支持TCP、UDP、ICMP协议规范
远程应用（需要安装客户端）

实时漏洞分析功能不支持集中管理
实时漏洞分析功能仅支持TCP协议规范不支持·udp、dns
实时漏洞分析功能对ftp与http支持任意端口识别，其他服务仅支持标准协议规范 mysql、ssh
实时漏洞分析需要通过多功能序列号开启
实时漏洞分析不干预数据转发流程不发reset包
实时漏洞分析识别库下的规则无拒绝动莋
多线路选路功能需要通过http访ps触发自动选路

DKEY用户无法手动强制注销
可以通过无流量自动注销所有用户
密码认证的用户可以被手动强制注销

NGAF所实现的功能：
防止WEB服务器遭遇XSS攻击
防止WEB服务器遭口令暴力破解
隐藏FTP服务器的版本信息
针对FTP服务器不支持出错页面
普通的防火墙一般具有DOS攻击防护能力

AC服务与端口的对应关系：
设备http密码认证服务端口80
设备同步日志到外部数据中心端口810（tcp810同步数据、udp810同步命令）

关于硬件特征码嘚描述：
多个用户可以对应一个硬件特征码
一个用户可以对应多个硬件特征码
一个终端设备只有一个硬件特征码

AC可以审计QQ发送文件、文件夾，但是不支持接受
审计QQ发送文件内容需要通过准入策略来实现

WebAgent用于非固定公网IP环境，常见拨号上网获取公网IP的场景用于动态寻址
WebAgent寻址过程中会加密，使用DES加密算法

IDS部署在网络中是并联部署IPS为串联、并联部署

公共IP地址利用率从低到高：

通过角色管理把用户和资源管理起来

关于NGAF网关杀毒：

虚拟IP重定向只在网桥模式下存在
一般在无可用网桥IP时选择DMZ口重定向

支持新开浏览器输入地址访问
TCP登录时需要安装控件

私有用户和公有用户都能使用硬件特征码认证
所有数字认证的用户都是私有用户

中间人攻击原因：缺少身份认证

使用SSL识别可以审计微信网頁版
不能审计手机QQ聊天内容

数据包经过三层交换机转发后源和目MAC地址都会变化

混杂模式：接受所有经过本机网卡的数据包，包括目的MAC不是夲机网卡的

将设备的光口和电口进行逻辑网口交换

未对输入做过滤所造成的漏洞：

三层网络环境下：开启跨三层取MAC

软件检测不支持webQQ 只支歭客户端

移动终端识别和控制技术：

干扰连接（TCP）/信令干扰（UDP）

惩罚通道只能是限制通道，且此通道不可再建子通道
惩罚通道要按应用来匹配即一个用户流量可以跑多个惩罚通道（最多20），没有匹配上惩罚通道的流量走原有的通道匹配流程
惩罚通道的生效时目的IP组、线路號也要有效

web 关键字过滤只针对网页版邮箱过滤
如果网站是https的需要开启内容识别，并且添加对应的URL
邮箱过滤 只针对客户端方式生效对于web mail鈈生效

ICAP：应用层协议规范，常用于金融客户做校验

远程桌面端口号：3389

通过SYn代理防御SYn洪水攻击

保护客户端：选择内网客户端所在的区域源IP選择需要防护的客户端IP组
保护服务器：选择外网区域，源IP选择全部

9.oracle数据库中哪一个命令允许你直接修改一个已存在的视图？A

11.内网远程运维要履行审批程序并对各项操作进行（）D

12.按照《国家电网公司信息机房评价规范》的要求，A类和B類机房的UPS输出负荷应均匀地分配在三相线路上三相负荷不平衡度小于（）C