网络安全是当下非常热门的行业，地位高、薪资高、前景好、需求大、岗位多，因此成为很多小伙伴转行学习的首选。而说起安全行业，很多小伙伴肯定最关注的就是面试问题了，网络安全面试时会问什么问题呢?这篇文章为大家总结一下网络安全热门面试题合集，一定要认真看完哦。

1、TCP三次握手过程

第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SENT状态，等待服务器确认;syn：同步序列编号。

第二次握手：服务器收到syn包，必须确认客户端的SYN，同时自己也发送一个SYN包，即SYN+ACK包，此时服务器进入SYN_RECV状态。

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据。

2、什么是SQL注入攻击?如何防范?

攻击者在HTTP请求中注入恶意的SQL代码，服务器使用参数构建数据库SQL命令时，恶意SQL将一起构造，并在数据库中执行。

防范：

web端：有效性检验;限制字符串输入的长度。

服务端：不用拼接SQL字符串;使用预编译的PrepareStatement;有效性检验;过滤SQL需要的参数中的特殊字符，比如：单引号、双引号。

3、DDoS攻击原理及防御

客户端向服务端发送请求链接数据包，服务端向客户端发送确认数据包，客户端不向服务端发送确认数据包，服务器一直等待来自客户端的确认。没有彻底根治的办法，除非不使用TCP。

DDoS预防：限制同时打开SYN半链接的数目;缩短SYN半链接的Time out时间;关闭不必要的服务。

4、如何进行信息收集

①服务器信息：ip、中间件、操作系统

②域名whois、ipwhois、网段归属

③子域名探测

④网站目录扫描、接口信息扫描

⑤端口扫描

⑥各大引擎搜索相关信息

5、web常用的加密算法有什么?

①单向散列加密：MD5、SHA、MAC

②对称加密：AES、DES

③非对称加密：RSA、RSA2

6、常用的渗透工具有哪些?

Burp Suite、Nmap、SQLmap、AWVS、蚁剑、冰蝎。

联系我时请说明是在起航培训网看到的，谢谢！

注意：起航培训网只是架起培训机构与学员之间的一道桥梁，帮助培训机构找学员，帮助学员找培训机构的平台，不产生金钱交易，如果你有资金往来，请及时通过电话与对方联系，调查清楚，确认无误在选择，否则造成你的损失，由自己承担，本平台概不负责，谢谢！