运维面试题
- 网络须知
- 为什么不能两次握手,必须三次握手?
- 为什么要四次挥手?
- 三次握手有什么缺陷可以被黑客利用?
- 怎么防范拒绝服务攻击?
- 局域网的网络地址192.168.1.0/24,局域网络连接其它网络的网关地址是192.168.1.1。主机192.168.1.20访问172.16.1.0/24网络时,其路由设置正确的是:
- 在局域网络内的某台主机用ping 命令测试网络连接时发现网络内部的主机都可以连同,而不能与公网连通,问题可能是:
- 写一条192.168.10.0网段从网关192.168.9.1出去的路由
- 给主机host:172.16.0.2增加gateway10.0.0.1
- 网站出现500,502,400,403,404都是什么意思,怎么排查和解决
- 什么是静态路由、动态路由?其特点是什么?
- dns既采用了tcp协议,又采用了udp协议,什么时候采用tcp协议?什么时候采用udp协议?为什么要这么设计?
最近正巧看到关于运维面试的问题,经过自己的筛选,把重要的问题和答案摘录一下,以备将来面试时使用,也分享给大家。
网络须知
为什么不能两次握手,必须三次握手?
保证可靠的核心就是双方都需要确认自己发送和接受信息的功能正常,但因为网络环境的不稳定性,这一秒能收发下一秒可能网络核心就发生严重拥塞,所以世界上不存在完全可靠的通信协议.
两次握手会怎样?
若建立连接只需两次握手,客户端并没有太大的变化,在获得服务端的应答后进入ESTABLISHED状态,即确认自己的发送和接受信息的功能正常.但如果服务端在收到连接请求后就进入ESTABLISHED状态,不能保证客户端能收到自己的信息,此时如果网络拥塞,客户端发送的连接请求迟迟到不了服务端,客户端便超时重发请求,如果服务端正确接收并确认应答,双方便开始通信,通信结束后释放连接。此时,如果那个失效的连接请求抵达了服务端,由于只有两次握手,服务端收到请求就会进入ESTABLISHED状态,等待发送数据或主动发送数据。但此时的客户端早已进入CLOSED状态,服务端将会一直等待下去,这样浪费服务端连接资源。
死锁是可能发生的?
作为例子,考虑计算机S和C之间的通信,假定C给S发送一个连接请求分组,S收到了这个分组,并发送了确认应答分组。按照两次握手的协定,S认为连接已经成功地建立了,可以开始发送数据分组。可是,C在S的应答分组在传输中被丢失的情况下,将不知道S是否已准备好,不知道S建立什么样的序列号,C甚至怀疑S是否收到自己的连接请求分组。在这种情况下,C认为连接还未建立成功,将忽略S发来的任何数据分组,只等待连接确认应答分组。而S在发出的分组超时后,重复发送同样的分组。这样就形成了死锁。
为什么要四次挥手?
因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,“你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了,我才能发送FIN报文,因此不能一起发送。故需要四步握手。
三次握手有什么缺陷可以被黑客利用?
黑客仿造IP大量的向server发送TCP连接请求报文包,从而将server的半连接队列(上文所说的未连接队列,即server收到连接请求SYN之后将client加入半连接队列中)占满,从而使得server拒绝其他正常的连接请求。即拒绝服务攻击
怎么防范拒绝服务攻击?
- 缩短服务器接收客户端SYN报文之后的等待连接时间,即SYNtimeout时间,也就是server接收到SYN报文段,到最后放弃此连接请求的超时时间,将SYNtimeout设置的更低,便可以成倍的减少server的负荷,但是过低的SYNtimeout可能会影响正常的TCP连接的建立,一旦网络不通畅便可能导致client连接请求失败。
- SYNcookie + SYN proxy 无缝集成(较好的解决方案)SYNcookie:当server接收到client的SYN之后,不立即分配资源,而是根据client发送过来的SYN包计算出一个cookie值,这个cookie值用来存储server返回给client的SYN+ACK数据包中的初始序列号,当client返回第三次握手的ACK包之后进行校验,如果校验成功则server分配资源,建立连接。SYNproxy代理,作为server与client连接的代理,代替server与client建立三次握手的连接,同时SYNproxy与client建立好了三次握手连接之后,确保是正常的TCP连接,而不是TCP泛洪攻击,类似VPN。
局域网的网络地址192.168.1.0/24,局域网络连接其它网络的网关地址是192.168.1.1。主机192.168.1.20访问172.16.1.0/24网络时,其路由设置正确的是:
A route add –net 192.168.1.0 gw 192.168.1.1 netmask 255.255.255.0metric1
B route add –net 172.16.1.0 gw 192.168.1.1 netmask 255.255.255.255metric1
C route add –net 172.16.1.0 gw 172.16.1.1 netmask 255.255.255.0metric 1
D route add default 192.168.1.0 netmask 172.168.1.1 metric 1
在局域网络内的某台主机用ping 命令测试网络连接时发现网络内部的主机都可以连同,而不能与公网连通,问题可能是:
A 主机IP设置有误
B 没有设置连接局域网的网关
C 局域网的网关或主机的网关设置有误
D 局域网DNS服务器设置有误
写一条192.168.10.0网段从网关192.168.9.1出去的路由
routeadd -net 192.168.10.0/24gw 192.168.9.1
给主机host:172.16.0.2增加gateway10.0.0.1
- routeadd 172.16.0.2 gw 10.0.0.1
- 或者网卡配置文件更改
网站出现500,502,400,403,404都是什么意思,怎么排查和解决
500:服务器内部错误,因为服务器上的程序写的有问题,需要打开错误日志,查看日志,分析错误信息。
502:网关错误,服务器作为网关或代理,从上游服务器收到无效响应。Nginx出现最多,出现502要么是nginx配置的不对,要么是php-fpm资源不够,可以分析php-fpm的慢执行日志,优化php-fpm的执行速度。
400:错误请求,服务器不理解请求的语法。这可能是用户发起的请求不合理,需要检查客户端的请求。
403:服务器拒绝请求。检查服务器配置,是不是对客户端做了限制。
404:未找到请求的资源。检查服务器上是否存在请求的资源,看是否是配置问题。
什么是静态路由、动态路由?其特点是什么?
静态路由
是由系统管理员设计与构建的路由表规定的路由。适用于网关数量有限的场合,且网络拓朴结构不经常变化的网络。其缺点是不能动态地适用网络状况的变化,当网络状况变化后必须由网络管理员修改路由表。
动态路由
是由路由选择协议而动态构建的,路由协议之间通过交换各自所拥有的路由信息实时更新路由表的内容。动态路由可以自动学习网络的拓朴结构,并更新路由表。其缺点是路由广播更新信息将占据大量的网络带宽。
dns既采用了tcp协议,又采用了udp协议,什么时候采用tcp协议?什么时候采用udp协议?为什么要这么设计?
首先明确一个重要概念:UDP报文的最大长度为512字节,而TCP则允许报文长度超过512字节。
- 辅助DNS服务器同步采用TCP协议
DNS的规范规定了2种类型的DNS服务器,一个叫主DNS服务器,一个叫辅助DNS服务器。在一个区中主DNS服务器从自己本机的数据文件中读取该区的DNS数据信息,而辅助DNS服务器则从区的主DNS服务器中读取该区的DNS数据信息。当一个辅助DNS服务器启动时,它需要与主DNS服务器通信,并加载数据信息,这就叫做区传送(zone transfer)。辅助域名服务器会定时(一般是3小时)向主域名服务器进行查询以便了解数据是否有变动。如有变动,则会执行一次区域传送,进行数据同步。区域传送将使用TCP而不是UDP,因为数据同步传送的数据量比一个请求和应答的数据量要多得多。 - 域名解析时使用UDP协议
客户端向DNS服务器查询域名,一般返回的内容都不超过512字节,用UDP传输即可。不用经过TCP三次握手,这样DNS服务器负载更低,响应更快。