前言
近日考研期间,适逢深信服”翔鹰计划”线上实习结束,公司给了秋招提前批的面试机会,准备了大概两天就去面试了,岗位是技服工程师。由于前期通过笔试,故直接进入技术面、业务面和HR面。
时间线
- 7.19 2020年”翔鹰计划”结束,成绩考核通过,简历转入公司秋招简历池;
- 7.23 技服工程师线上技术(一面)面试
- 7.30 技服工程师线上业务(二面)面试
- 8.4 技服工程师线上HR面试
- 9.18 offer沟通
- 9.22 签订三方协定(虽然最后没签
技术面(一面)
邮件中面试官约定的事件是上午11:00,大概提前两分钟左右进入房间调试设备,不过不知道是牛客网平台原因还是公司网络原因,面试官声音一直断断续续,中间还出现突然静音的情况,于是后期换了腾讯会议。
面试时间为45分钟,首先进行自我介绍,然后面试官进行提问。问题包括技术问题和非技术问题合计共十个左右,具体如下。
技术问题
简要介绍VLAN
回答了VLAN的定义,虚拟局域网。主要作用为将同一网段根据功能划分成不同的虚拟子网。以公司为例,为保证主管、业务、销售、技术等各个部门之间网络的专有通信,引入VLAN技术,实现各部门人员之间在对应虚拟子网内部的高效安全通信,不会产生业务互相影响的情况。
简要介绍交换机
交换机是二层设备,位于数据链路层,主要作用为端口数据帧转发。提到了ARP协议,提出每个交换机维护一个ARP表,以保证不同主机之间的正常通信。顺便讲了一下ARP广播单播,以及相同网段之间主机如何进行通信。
针对ARP协议的攻击
简单讲了ARP欺骗和ARP洪泛攻击,重点介绍了攻击手法及危害。
ARP欺骗的防御方法
由于对ARP欺骗的防御掌握不深入,所以当时简单提到了修改帧结构及增加校验部分,以及进行相关检测。面试官追问哪个设备进行相关检测,然后就没有答上来。面试结束后,参考FreeBuf上的一篇文章:浅谈ARP欺骗的实现与防御,归纳两个防御手段:
- 主机欺骗:在本机添加一条静态的ARP映射,这样就无需询问网关MAC地址;
- 网关欺骗:在网关中也添加一条到主机的静态ARP映射。
对路由选择协议的认识
回答了路由优先级顺序:直连路由>静态路由>动态路由>默认路由。静态路由部分只提到需要在路由器上手动配置。动态路由部分提到了内部网关协议与外部网关协议。外部网关协议包括BGP,内部网关协议又分为基于距离矢量的协议和基于链路状态的协议。详细介绍了RIP协议和OSPF协议的工作原理,重点介绍衡量路径优劣的标准。
网络排查问题:公司中一楼无法正常连网,二楼可正常连网但网速较慢,三楼可正常上网,针对此种情况如何排查解决。
由于公司和个人网络的排查有所差别,同时我也没有了解过公司的网络排查标准,于是按照个人网络问题进行排查。首先讲了个人PC无法正常联网的排查步骤:
- ping 127.0.0.1,检查TCP/IP协议是否正常配置;
- ping 本机地址,检查网络适配器是否正常配置;
- ping 网关地址,检查网关是否正常配置;
- ping 外网地址,排查重点放在hosts文件中DNS解析是否正常。
网速较慢这个问题没怎么关注过,简单提到了猜想——公司访问流量限速,当然这是在胡说八道,但是可以用来缓解尴尬,委婉地告诉面试官不怎么会。
攻击网站的常见手段
回答了SQL注入、XSS、CSRF、一句话木马,然后追问一句话木马的工作原理,笼统地回答了一下。
了解磁盘冗余阵列RAID吗?
由于昨天准备的时候刚看到RAID的相关知识,简要回答了RAID 0,RAID 1,RAID 3,RAID 5,RAID p+q等组合方式的特点及优缺点。RAID p+q以RAID 10为例进行详细介绍。
了解虚拟化技术吗?
将虚拟化与云计算技术结合起来回答,大致提到了SaaS,PaaS,IaaS,公有云,私有云,混合云等名词并进行解释。面试官让说出自己对虚拟化的理解,结合aDesk云桌面产品进行了相关说明(感觉自己讲的语无伦次)。本来还想加上虚拟现实技术,后来面试官话锋转到下个问题,只好作罢。
常见的加密算法
终于问到密码学了!(不是)分成对称加密和非对称加密两部分进行回答。对称加密主要介绍了DES,AES,RC4,RC5。非对称加密介绍了三大困难问题及对应的RSA,DH交换和ECC密码体制。顺带提到了消息摘要算法和数字签名算法。
以上提到的算法的实际应用
刚开始想回答数字证书等知识,后来确定回答主题为非对称加密+对称加密:对称加密具有加密效率高的特点,相应地安全性较低;非对称加密无法处理大量数据,但安全性较高。故流行的通信方式为通信双方使用非对称加密算法对对称加密密钥进行加解密,从而实现密钥共享,随后使用该密钥结合对称加解密算法进行消息传输。围绕该主题并结合HTTPS加密过程客户端与服务器的相应操作进行作答。
非技术问题
有没有考过网络认证证书+计算机网络知识学习途径
没考过证书,计网知识除”翔鹰计划”培训外,还上过学校的对应课程,进行过系统学习。
经历的压力较大的事情
聊了聊”美亚杯”比赛的事情(现在感觉当时的回答驴唇不对马嘴)
“基于数字水印与神经网络的图像攻击检测系统”项目相关
这个项目中负责的部分
水印的提取与嵌入算法的实现,水印置乱算法实现,信噪比检验。
项目中遇到哪些难题,如何解决?
只提到当时嵌入提取算法matlab转python实现过程中出现的问题,即无论怎么调整参数,使用python语言实现的算法嵌入水印后的图像都具有明显的水印标记,无法通过信噪比测试。解决方法就是python调matlab脚本(说出来我自己都觉得low,但是当时这个bug调了大概一晚上,所以印象很深刻)。
项目中学到了什么?
从技术和团队合作两方面进行回答。结合自己负责的技术部分简单讲了一下这些算法,同时提到了matlab和python编程。团队合作方面,首先提到了模块化即各司其职,相互配合,以写代码为例提出即使补充注释,方便后期代码整合;然后提到积极讨论,制定多个方案并进行测试。
合作过程中,如果发生冲突或受到质疑如何解决?
这种问题就非常简单了,首先强调团队精神即荣辱与共,大家为共同目标奋斗;然后回答鼓励大家积极讨论,针对同一解决方案各抒己见;最后就是提出质疑需要有理有据。
热爱读书吗?读过印象最深刻的书是什么?
这个问题就俨然成为一股清流。先问了问是技术书还是其他书,得到回答是都可以。后来好像也没怎么介绍看的书,这个问题就奇奇怪怪地一扫而过了。
业务面(二面)
邮件约定面试时间为上午11:00,大概提前五分钟进入面试房间,11:20左右结束,共面试25分钟左右。主要问题包含自我介绍及相关问题。
自我介绍
简单介绍了一下自己的学校、专业及学习情况,日常爱好,相关技术栈,参加的比赛及获奖情况,实习经历等。‘
相关问题
简要介绍印象深刻的项目经历(扮演角色,工作内容,学习内容,结果)
把参与20年作品赛的项目拿出来详细讲了讲,感觉面试官对合作而非技术细节感兴趣。
团队合作时有没有受到质疑?如何解决的?
结合项目经历简单讲了一下解决办法(其实没什么质疑
参加过什么实习?聊一下实习经历
啊这…显然没参加过什么实习,提到了”翔鹰计划”但是面试官没让继续说下去,这个问题就结束了(感觉不是很满意?
大学有没有和人发生过冲突?评价下自己的性格,最讨厌什么样的人?
这三个问题感觉是对面试者人际交往能力和性格的把握吧,就正常回答了一下。
你本科学的是网络空间安全,和网络安全有什么区别?
这个问题算是遇到的比较有趣的非常规问题了,简单讲了一下国家讲网络空间作为”第五空间”的发展战略,以及这个专业广阔的发展前景,还聊了聊网络空间安全和信息安全的区别与联系。
网络空间安全对口的公司有什么?
举了BAT,360,奇安信,绿盟,安恒等经典公司,当然提到了深信服的网络安全、超融合、云计算等标杆。
在学校参加过何种比赛?
由于校园经历偏作品赛比较多,CTF比赛没拿到什么好成绩,所以就简要介绍了几个本专业作品赛的情况。
课余时间如何安排生活?
看技术书+保持几个爱好。
看过哪些技术书籍+日常逛哪些论坛?
举了几个密码学技术书籍,外加计算机网络自顶向下、深入理解计算机系统、软件测试等。论坛聊了Freebuf、先知社区等。
简单聊了下技服工程师跨省调度的政策,就是不能回原籍省份工作也不能在学校所在省份工作。
HR面
邮件约定时间为下午16:45,进入房间大概等到17:00开始面试,整个时长为25min。首先进行自我介绍,然后面试官了解情况,大概问了如下几个问题:
概括本科三年生活。
从技术和日常生活的角度进行概括,技术上提到了CTF比赛和参加的项目,生活角度没怎么提。
本科最有挑战和最有成就的事情。
最有挑战的事情选择了其中一个做过的项目,最有成就的事情选择了”美亚杯”比赛经历。
为什么选择”翔鹰计划”实习?
一是为了了却去年的遗憾,二是线上实习的形式比较安全高效,结合开学时间与暑假安排的考虑,最终选择了”翔鹰计划”。
技服工程师这个岗位是做什么的,为什么选择这个岗位?
简单介绍了一下自己对技术服务的理解。选择原因确定为两点:个人代码水平不高+热爱与人打交道。
追问:为什么不选择售前经理?
个人还是比较热爱技术。(感觉这个岗位和技术关系不大)
概括一下自己的优点和缺点(各两条)。
评价一下自己是个怎么样的人?
有没有长时间坚持的事情?
运动。
确定不考研了吗,为什么?
总感觉说正在备考拿不到offer,于是胡乱编造了一些理由。
期望岗位是什么?想去什么样的公司?
这个问题回答的比较粗略,给面试官一种没有准备好进入工作+对未来没有明确规划的感觉。可能是因为真的没有准备好本科毕业直接工作吧。事后仔细想想,个人期望岗位还是管理岗,对专注安全的乙方公司没什么向往,对大厂还是比较向往的(阿里、百度、腾讯、字节)。除此之外当个测试工程师或者去公司实验室进行安全研究感觉也挺好。现阶段还是一门心思学习,重点还是提升下学历吧。
还有没有投递其他公司?收到过其他offer吗?
实话实说,并没有,甚至连华为提前批都没打算投。。。
工作情况相关
随机工作省份可以接受吗?偏远地区呢?
个人不能接受过于偏远的地区,对其他工作地点没有太大的执念。不回原籍和学校所在地倒是无所谓。
家庭状况:独生子女?父母同意吗?女朋友呢?
啊这…
最后简单聊了一下拿到offer的后续安排以及薪资问题。
目前状态
- 7.23 等业务面通知中…
- 7.30 等HR面通知中…
- 8.4 HR面试结束,等offer中,大概率凉…
- 9.18 offer沟通
- 9.22 没有去签三方协定,选择继续考研
面试总结
各种意义上来说这次面试都是人生中经历的第一次完整的企业面试,不仅体验了整套面试流程,还发现了一些重点问题,并且引发一些思考。
- 仔细回顾大学本科真的没有做什么惊天动地的事情,技术水平也比较平庸,这种状态下直接工作感觉难度较大。倒不是说找不到工作,但是能进的公司个人不太喜欢。当然也不想当拿钱少的用爱发电的社畜。
- 技术方面:大学阅读的技术书籍太少了,对于Web安全的掌握并不到位,这两点需要后续加强。不管从事哪一个与安全相关的岗位,应聘时技术短板都是致命的。
- 应聘技巧:针对不同内容进行准备,多刷面经,提高算法及代码能力。面试时扬长避短,努力主导谈论的话题。该掩饰的时候千万不要实话实说。
- 认识到自己的平凡,好好学习,未来可期。