2023届深信服校招技术笔试真题附高分答案

2023届深信服校招技术笔试真题附高分答案

一、单项选择题，每题2分，共20分1.在TCP三次握手过程中，第二次握手时服务器回应的报文段中，以下哪个标志位一定为1？A.SYNB.ACKC.FIND.PSH2.若一个IPv4数据报总长度为1500字节，其中IP首部长20字节，TCP首部长20字节，则该报文的数据部分最大可承载多少字节？A.1460B.1480C.1440D.14203.在Linux系统中，执行命令`chmod4755script.sh`后，该文件的权限中新增的特殊位是：A.SUIDB.SGIDC.StickyD.无特殊位4.以下关于HTTP/2的描述，错误的是：A.支持头部压缩B.基于文本协议C.支持多路复用D.支持服务器推送5.在MySQL默认的InnoDB隔离级别下，同一事务中两次执行`SELECTFROMtWHEREid=1`可能看到不同结果，该现象称为：A.脏读B.不可重复读C.幻读D.丢失更新6.对一段长度为256bit的明文使用AES-128-ECB加密，若明文恰好为一块，则密文长度为：A.128bitB.256bitC.192bitD.512bit7.在Python3中，执行`[range(3),range(2)]`得到的结果是：A.[0,1,2,0,1]B.[0,1,2,3,4]C.[[0,1,2],[0,1]]D.语法错误8.当交换机收到一个目的MAC地址不在MAC表中的帧时，其处理方式为：A.丢弃B.退回源端口C.泛洪D.请求ARP9.在公钥基础设施PKI中，负责签发并管理用户证书的机构是：A.RAB.CAC.OCSPD.CRL10.若一个进程处于不可中断睡眠状态（D状态），则下列信号中唯一能将其唤醒的是：A.SIGKILLB.SIGCONTC.SIGSTOPD.无法被信号唤醒二、填空题，每题2分，共20分11.在OSI七层模型中，负责路由选择与逻辑寻址的层是________层。12.若某CIDR地址块为/27，则该网络可用主机地址数量为________个。13.在Linux内核中，系统调用号保存在寄存器________中（x86_64架构）。14.当HTTPS服务器配置HSTS时，浏览器在收到响应头`Strict-Transport-Security:max-age=31536000;includeSubDomains`后，未来________秒内强制使用HTTPS访问该域名及其子域。15.在TCP拥塞控制中，当发送方检测到三个重复ACK时，拥塞窗口将被设置为________。16.在MySQL中，查看当前线程列表的命令是________。17.在RSA算法里，若公钥指数e取值为65537，则其十六进制表示为________。18.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，使用零压缩后的最短合法写法为________。19.在Python中，使用`with`语句管理资源时，对象必须实现________方法和________方法。20.在BGP路由协议中，用于防止路由环路的属性是________。三、判断题，每题2分，共20分21.UDP协议通过校验和字段保证数据绝对可靠，若校验失败则自动重传。22.在Linux中，硬链接不能跨文件系统，而软链接可以。23.HTTP状态码301表示临时重定向，302表示永久重定向。24.对称加密算法的加密与解密使用相同密钥，因此计算速度通常优于非对称加密。25.在子网掩码为92的情况下，网络被划分为4个子网，每个子网62台主机。26.使用`volatile`关键字修饰的变量，编译器会禁止任何优化，保证每次读写都访问内存。27.在DNS查询中，递归查询由客户端发起，迭代查询由服务器发起。28.在C语言中，`malloc`申请的内存在进程结束后会自动由操作系统回收，因此无需`free`。29.当Linux系统负载大于CPU核心数时，一定存在进程处于运行态。30.在防火墙规则中，iptables的FORWARD链用于处理本机进程产生的数据包。四、简答题，每题5分，共20分31.简述TCP四次挥手过程中TIME_WAIT状态的作用，并说明为什么主动关闭方需要维持该状态。32.说明MySQL索引下推（ICP）技术的原理及其对查询性能的影响。33.描述Linux内核完全公平调度器CFS的核心思想，并指出其与传统O(1)调度器的主要区别。34.解释HTTPS中间人攻击的常见手段，并给出服务端与客户端各两种防御措施。五、讨论题，每题5分，共20分35.结合深信服上网行为管理产品场景，讨论如何基于DPI技术识别并阻断TLS隧道内的恶意流量，同时兼顾用户隐私合规要求。36.在零信任架构下，传统基于边界防火墙的防护模型面临哪些挑战？请给出网络微分段与身份驱动的访问控制两种解决思路，并比较其优劣。37.某企业采用多云混合部署，业务流量需经互联网加密传输。讨论在不同云厂商之间建立IPsec隧道与采用SSLVPN各自的适用场景、性能瓶颈及运维复杂度。38.随着HTTP/3基于QUIC协议普及，传统基于TCP的四层负载均衡设备面临哪些技术瓶颈？提出一种兼顾性能与兼容性的升级方案，并评估其风险。答案与解析一、单项选择题1.B2.A3.A4.B5.B6.B7.A8.C9.B10.D二、填空题11.网络12.3013.rax14.3153600015.ssthresh16.SHOWPROCESSLIST17.0x1000118.2001:db8::ff00:42:832919.__enter__,__exit__20.AS-Path三、判断题21.×22.√23.×24.√25.√26.√27.×28.×29.×30.×四、简答题31.TIME_WAIT保证最后一个ACK丢失后仍能重传，确保连接可靠终止；同时让旧报文在网络中消逝，避免后续新连接被污染。主动方需维持2MSL时长。32.ICP将WHERE条件下推到存储引擎层，先过滤再回表，减少IO；对联合索引有效，可把筛选率高的条件下推，降低回表次数，提升IO-bound场景性能。33.CFS用红黑树管理可运行队列，按虚拟运行时间vruntime调度，保证公平；O(1)用固定时间片+优先级数组，实时类优先。CFS无时间片概念，动态调整，减少饥饿。34.攻击者伪造证书、剥离HTTPS降级为HTTP。服务端：HSTS+证书钉扎；客户端：内置可信CA列表+校验主机名。双向认证与DANE亦可增强。五、讨论题35.通过DPI识别TLS握手特征SNI、ALPN、证书指纹与流量时序，结合AI模型检测异常长连接或已知恶意JA3指纹；对加密内容不解密，采用元数据审计与脱敏日志，满足最小化存储与GDPR合规。36.边界模型无法防护内网横向移动；微分段以标签/ID为粒度划分安全域，控制东西向流量，部署复杂但细粒度；身份驱动以用户设备信任评分动态授权，易扩展但依赖IAM成熟度，二者可叠加。37.IPsec隧道适合固定子网互联，吞吐高但NAT穿越复杂，需维护SPD/SADB；SSLVPN面向用户移动接入