奇安信一面就凉凉了

昨天晚上群里小伙伴发了一通牢骚，他明明面试的某区域的安服岗，结果面试官上来一通各种问护网中安全设备相关的问题。

简单的防火墙，waf还能说上一二，但是问到全流量，蜜罐，态势，感觉就傻眼了，每个连是干啥的都不是很明白。

最主要是他简历写了参加过护网，所以面试官才各种问设备相关问题，也不知道是不是在为今年护网招人呢~

那啥也别说了，我们面试经里面其实已经更新了很多的设备相关的内容了，甚至我还有专栏专门写各种设备的功能，部署方式，护网中如何使用。

题目1：
在状态检测防火墙中，当TCP三次握手未完成时防火墙如何决策数据包？请结合会话表（Session Table）的生成机制说明其与路由器的ACL本质区别。

答案：
状态防火墙的核心在于会话状态跟踪：

1. 首包（SYN）会触发会话表创建，此时状态为"NEW"，仅允许出站
2. 收到SYN-ACK后状态转为"ESTABLISHED"，生成完整五元组会话条目
3. 未完成握手的会话会在超时（默认30-60秒）后自动清除

与ACL的差异：

• 状态感知：防火墙基于双向流量状态动态更新策略（如关联FTP数据通道）
• 协议解耦：支持应用层协议识别（如SIP/H.323动态端口协商）
• 会话粒度：精确到每个连接而非单纯五元组（如跟踪ICMP Query ID）

题目2：
某WAF规则使用正则表达式/(?:unions+alls+select)/i防御SQL注入，但出现大量误报。请分析误报原因，并给出改进方案（需包含最少两种优化手段）。

答案：
误报原因：

• 未考虑编码变形：如UNION%0AALL%0ASELECT
• 业务场景冲突：报表系统包含"union all select"合法查询
• 正则贪婪匹配：可能误判JSON字段内容

改进方案：

1. 上下文识别：添加(?=<.*?b(from|where)b)限制匹配位置
2. 协议解析：结合HTTP参数解析器，仅检测Parameter Value部分
3. 评分机制：设置多规则联合评分（如检测伴随的information_schema访问）
4. 白名单机制：对特定URL路径禁用该规则

题目3：
在全流量分析系统中，如何通过元数据（Metadata）检测APT攻击中的C2通信？请列举至少三种特征提取方法及对应的检测场景。

答案：

1. 时序特征：检测心跳包规律性（如每5分钟发送58字节数据包）
   • 使用FFT分析时间间隔频率分布
2. 协议异常：HTTP头中异常User-Agent格式（如Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) 与浏览器真实版本不匹配）
3. DNS隐蔽信道：
   • 长域名请求（如xj38s9.example.com长度>30字符）
   • TXT记录频繁查询
   • 域名熵值检测（如k8s-dhcp.qw12ab.xyz熵值>4.5）

题目4：
设计高交互蜜罐时，如何避免攻击者通过"honeytoken"特征识别蜜罐环境？请从系统层、网络层、应用层各给出一个具体方案。

答案：
系统层：

• 修改内核标识符：/proc/sys/kernel/ostype改为"CentOS"（实际为Honeyd虚拟环境）
  网络层：
• 注入背景流量：模拟NTP/SSDP等协议的正常通信流量模式
  应用层：
• 在Web蜜罐中插入伪Cookie：Set-Cookie: PHPSESSID=1a2b3c; path=/; HttpOnly（与真实CMS版本匹配）