По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Разработчики программного обеспечения должны держать много информации у себя в голове. Существует множество вопросов, которые нужно задать, когда речь заходит о создании веб-сайта или приложения: Какие технологии использовать? Как будет настроена структура? Какой функционал нам нужен? Как будет выглядеть пользовательский интерфейс? Особенно на рынке программного обеспечения, где производство приложений больше похоже на гонку за репутацией, чем на хорошо обдуманный процесс, один из важнейших вопросов, который часто остается на дне “Списка важных”: Как наш продукт будет защищен?
Если вы используете надежный, открытый фреймворк для создания своего продукта (и, если он доступен и пригоден, почему бы и нет?), тогда базовые проблемы безопасности, как атаки CSFR и кодирование пароля, могут быть уже решены за вас.
Тем не менее, быстро развивающимся разработчикам будет полезно освежить свои знания о стандартных угрозах, дабы избежать ошибок новичка. Обычно самое слабое место в безопасности вашего программного обеспечения - это вы.
А кто может заниматься взломом?. Есть этичный хакер – это тот, кто ищет возможные слабости в безопасности и приватно рассказывает их создателям проекта.
А чёрный хакер, которого так же зовут “Взломщик (cracker)” – это тот, кто использует эти слабости для вымогательства или собственного блага.
Эти два вида хакеров могут использовать одинаковый набор инструментов и, в общем, пытаются попасть в такие места, куда обычный пользователь не может попасть. Но белые хакеры делают это с разрешением, и в интересах усиления защиты, а не уничтожения её. Черные хакеры – плохие ребята.
Вот некоторые примеры наиболее распространённых атаках, которые используют слабости в защите: Внедрение SQL-кода и межсайтовый скриптинг XXS.
SQL атаки
SQL-инъекция (SQLi) - это тип инъекционной атаки, которая позволяет выполнять вредоносные SQL команды, для получения данных или вывода из строя приложения. По сути, злоумышленники могут отправлять команды SQL, которые влияют на ваше приложение, через некоторые входные данные на вашем сайте, например, поле поиска, которое извлекает результаты из вашей базы данных. Сайты, закодированные на PHP, могут быть особенно восприимчивы к ним, и успешная SQL-атака может быть разрушительной для программного обеспечения, которое полагается на базу данных (например, ваша таблица пользователей теперь представляет собой пустое место).
Вы можете проверить свой собственный сайт, чтобы увидеть, насколько он восприимчив к такого рода атакам. (Пожалуйста, тестируйте только те сайты, которыми вы владеете, так как запуск SQL-кодов там, где у вас нет разрешения на это, может быть незаконным в вашем регионе; и определенно, не очень смешно.) Следующие полезные нагрузки могут использоваться для тестов:
' OR 1='1 оценивается как константа true, и в случае успеха возвращает все строки в таблице
' AND 0='1 оценивается как константа false, и в случае успеха не возвращает строк.
К счастью, есть способы ослабить атаки SQL-кода, и все они сводятся к одной основной концепции: не доверяйте вводимым пользователем данным.
Смягчение последствий SQL-кодов.
Чтобы эффективно сдержать атаки, разработчики должны запретить пользователям успешно отправлять необработанные SQL-команды в любую часть сайта.
Некоторые фреймворки сделают большую часть тяжелой работы за вас. Например, Django реализует концепцию объектно-реляционного отображения, или ORM с использованием наборов запросов. Мы будем рассматривать их в качестве функций-оболочек, которые помогают вашему приложению запрашивать базу данных с помощью предопределенных методов, избегая использование необработанного SQL.
Однако возможность использовать фреймворк никогда не является гарантией. Когда мы имеем дело непосредственно с базой данных, существуют и другие методы, которые мы можем использовать, чтобы безопасно абстрагировать наши SQL-запросы от пользовательского ввода, хотя они различаются по эффективности. Они представлены по порядку от более к менее важному:
Подготовленные операторы с переменной привязкой (или параметризованные запросы)
Хранимые процедуры
Белый список или экранирование пользовательского ввода
Если вы хотите реализовать вышеприведенные методы, то эти шпаргалки - отличная отправная точка для более глубокого изучения. Достаточно сказать, что использование этих методов для получения данных вместо использования необработанных SQL-запросов помогает свести к минимуму вероятность того, что SQL будет обрабатываться любой частью вашего приложения, которая принимает входные данные от пользователей, тем самым смягчая атаки SQL-кодов.
Межсайтовые скриптовые атаки (XSS)
Если вы являетесь хакером, то JavaScript - это в значительной степени ваш лучший друг. Правильные команды будут делать все, что может сделать обычный пользователь (и даже некоторые вещи, которые он не должен делать) на веб-странице, иногда без какого-либо взаимодействия со стороны реального пользователя.
Межсайтовые скриптовые атаки, или XSS, происходят, когда код JavaScript вводится на веб-страницу и изменяет ее поведение. Его последствия могут варьироваться от появления неприятных шуток до более серьезных обходов аутентификации или кражи учетных данных.
XSS может происходить на сервере или на стороне клиента и, как правило, поставляется в трех вариантах: DOM (Document Object Model - объектная модель документа) на основе хранимых и отображаемых XSS. Различия сводятся к тому, где полезная нагрузка атаки вводится в приложение.
XSS на основе DOM
XSS на основе DOM возникает, когда полезная нагрузка JavaScript влияет на структуру, поведение или содержимое веб-страницы, загруженной пользователем в свой браузер. Они чаще всего выполняются через измененные URL-адреса, например, в фишинговых письмах.
Чтобы увидеть, насколько легко было бы для введенного JavaScript манипулировать страницей, мы можем создать рабочий пример с веб-страницей HTML. Попробуйте создать файл в локальной системе под названием xss-test.html (или любым другим) со следующим кодом HTML и JavaScript:
<html>
<head>
<title>My XSS Example</title>
</head>
<body>
<h1 id="greeting">Hello there!</h1>
<script>
var name = new URLSearchParams(document.location.search).get('name');
if (name !== 'null') {
document.getElementById('greeting').innerHTML = 'Hello ' + name + '!';
}
</script>
</h1>
</html>
На этой веб-странице будет отображаться заголовок "Hello!” если только он не получает параметр URL из строки запроса со значением name. Чтобы увидеть работу скрипта, откройте страницу в браузере с добавленным параметром URL, например:
file:///path/to/file/xss-test.html?name=Victoria
Наша небезопасная страница принимает значение параметра URL для имени и отображает его в DOM. Страница ожидает, что значение будет хорошей дружественной строкой, но что, если мы изменим его на что-то другое? Поскольку страница принадлежит нам и существует только в нашей локальной системе, мы можем тестировать ее сколько угодно. Что произойдет, если мы изменим параметр name, скажем, на:
<img+src+onerror=alert("pwned")>
Это всего лишь один пример, который демонстрирует, как может быть выполнена атака XSS. Смешные всплывающие оповещения могут быть забавными, но JavaScript может принести много вреда, в том числе помогая злоумышленникам украсть пароли и личную информацию.
Хранимые и отраженные XSS
Хранимые (stored) XSS возникают, когда полезная нагрузка атаки хранится на сервере, например, в базе данных. Атака влияет на жертву всякий раз, когда эти сохраненные данные извлекаются и отображаются в браузере.
Например, вместо того чтобы использовать строку URL-запроса, злоумышленник может обновить свою страницу профиля на социальном сайте, чтобы внедрить скрытый сценарий, скажем, в раздел “Обо мне”. Сценарий, неправильно сохраненный на сервере сайта, будет успешно выполняться всё время, пока другой пользователь просматривает профиль злоумышленника.
Одним из самых известных примеров этого является червь Samy, который практически захватил MySpace в 2005 году. Он распространялся путем отправки HTTP-запросов, которые копировали его на страницу профиля жертвы всякий раз, когда просматривался зараженный профиль. Всего за 20 часов он распространился на более чем миллион пользователей.
Отраженные (reflected) XSS аналогично возникают, когда введенные данные перемещаются на сервер, однако вредоносный код не сохраняется в базе данных. Вместо этого он немедленно возвращается в браузер веб-приложением.
Подобная атака может быть осуществлена путем заманивания жертвы для перехода по вредоносной ссылке, которая отправляет запрос на сервер уязвимого веб-сайта. Затем сервер отправит ответ злоумышленнику, а также жертве, что может привести к тому, что злоумышленник сможет получить пароли или совершить действия, которые якобы исходят от жертвы.
Ослабление XSS
Во всех этих случаях XSS могут быть сдержаны с помощью двух ключевых стратегий: проверка полей формы и предотвращение прямого ввода данных пользователем на веб-странице.
Проверка полей формы
Фреймворки снова могут нам помочь, когда речь заходит о том, чтобы убедиться, что представленные пользователем формы находятся в актуальном состоянии. Один из примеров - встроенные классы полей Django, которые предоставляют поля, проверяющие некоторые часто используемые типы, а также задают нормальные значения по умолчанию.
Например, поле электронной почты Django использует набор правил, чтобы определить, является ли предоставленный ввод действительным письмом. Если отправленная строка содержит символы, которые обычно не присутствуют в адресах электронной почты, или если она не имитирует общий формат адреса электронной почты, то Django не будет считать это поле допустимым и форма не будет отправлена.
Если вы не можете полагаться на фреймворк, можете реализовать вашу собственную проверку входных данных. Это можно сделать с помощью нескольких различных методов, включая преобразование типа, например, гарантируя, что число имеет тип int(); проверка минимальных и максимальных значений диапазона для чисел и длин строк; использование заранее определенного массива вариантов, который позволяет избежать произвольного ввода, например, месяцев года; и проверка данных на соответствие строгим регулярным формулировкам.
К счастью, нам не нужно начинать все с нуля. Помогут доступные ресурсы с открытым исходным кодом, такой как валидация репозитория регулярных выражений OWASP, который предоставляет шаблоны для сопоставления их с некоторыми распространенными формами данных. Многие языки программирования предлагают библиотеки проверки, специфичные для их синтаксиса, и мы можем найти множество таких библиотек на GitHub.
Хотя это и может показаться утомительным, правильно реализованная проверка ввода может защитить наше приложение от восприимчивости к XSS.
Предотвращение прямого ввода данных
Элементы приложения, которые непосредственно возвращают пользовательский ввод в браузер, при обычной проверке могут быть неочевидны. Мы можем определить области приложения, которые могут быть подвержены риску, изучив несколько вопросов:
Как происходит поток данных через приложение?
Что ожидает пользователь, когда он взаимодействует с этими входными данными?
Где на нашей странице появляются данные? Становятся ли они встроенными в строку или атрибут?
Вот некоторые примеры полезных нагрузок, с которыми мы можем поиграть, чтобы проверить входные данные на нашем сайте (опять же, только на нашем собственном сайте!). Успешное выполнение любого из этих образцов может указывать на возможную уязвимость к XSS из-за прямого ввода данных.
"><h1>test</h1>
'+alert(1)+'
"onmouserover="alert(1)
http://"onmouseover="alert(1)
Как правило, если вы можете обойти прямой ввод данных, сделайте это. Кроме того, убедитесь, что вы полностью понимаете эффективность выбранных методов; например, использование innerText вместо innerHTML в JavaScript гарантирует, что содержимое будет задано как обычный текст вместо (потенциально уязвимого) HTML.
Аккуратнее с вводом!
Разработчики программного обеспечения явно находятся в невыгодном положении, когда речь заходит о конкуренции с черными хакерами. Несмотря на всю проделанную работу по защитите каждого ввода, который потенциально может скомпрометировать наше приложение, злоумышленнику достаточно только найти тот, который мы пропустили. Это все равно что установить засовы на всех дверях, но оставить окно открытым!
Однако, научившись мыслить в том же ключе, что и злоумышленник, мы можем лучше подготовить наше программное обеспечение к противостоянию плохим парням. Как бы ни было интересно добавлять функции как можно быстрее, мы избежим большого количества долгов по кибербезопасности, если заранее продумаем поток нашего приложения, проследим за данными и обратим внимание на наши входные данные.
Если ты готовишься к собеседованию на позиции IT - специалиста, такие как сетевой инженер, DevOPS, системный администратор или инженер технической поддержки, то тебе определенно будет полезно пробежаться по собранному нами списку вопросов, которые буду ждать тебя при приеме на работу.
Помимо вопросов, мы подготовили ответы на них. Если вы торопитесь и не хотите сильно погружаться в вопрос (например, вы проходите собеседование на должность project/product менеджера в IT) - то для вас подойдут короткие ответы.
Если вы хотите глубже вникнуть в суть вопроса, под основными вопросами мы добавили ссылки на расширенные материалы по тематике. Погнали.
Видео: топ 35 вопросов на собеседовании IT - спецу | Что тебя ждет и как отвечать, чтобы получить оффер?
Навигация
Что такое линк?
Перечислите 7 уровней модели OSI.
Что такое IP - адрес?
Что такое LAN?
Расскажите нам про DHCP
А про DNS?
Что такое WAN?
Что означает термин "нода"? Что такое "хост"?
Какая максимальная длина кабеля UTP?
Что такое маршрутизатор?
Что такое коммутатор?
В чем разница между роутером, свичем и хабом?
3 уровня иерархии сетей от Cisco?
Что такое VLAN и зачем они нужны?
Что такое PING?
Какие режимы передачи данных бывают?
Что такое Ethernet?
Что такое VPN?
Что такое MAC - адрес?
Что такое TCP и UDP? В чем разница между ними?
Что такое NIC?
Зачем нужен прокси сервер?
Какие типы сетевых атак вы знаете?
Что такое NAT?
Объявление
А знаете ли вы про MST (Multiple Spanning Tree)?
А про RSTP (Rapid Spanning Tree) что скажете?
А про протокол RIP что скажете?
Расскажите нам про EIGRP, а мы послушаем
Ого, кажется у вас неплохой опыт. А что скажете про BGP?
Так, продолжайте про OSPF?
Что такое VTP?
Что думаете про модный SD WAN?
Пару слов про MPLS?
И пару слов про шифрование трафика. Какие алгоритмы вам знакомы?
В сетях вы разбираетесь. Поговорим про телефонию. Какие кодеки вам знакомы?
А разницу между FXS и FXO портом знаете?
А что по вашему лучше - SIP или PRI?
Зачем нужен протокол RTP?
А термин SBC вам знаком?
И последний вопрос. Про SDP знаете?
Итоги
Что такое линк?
Линк это соединение между двумя сетевыми устройствами. По смыслу, термин включает в себя как тип соединительной линии (кабеля), так и протоколы, которые работают на этому линке.
Перечислите 7 уровней модели OSI.
Очень частый и важный вопрос. Уровни снизу вверх:
Физический (Physical)
Канальный (Data Link)
Сетевой (Network)
Транспортный (Transport)
Сеансовый (Session)
Представления (Presentation)
Приложений (Application)
Подробно почитать про модель OSI и посмотреть веселый поучительный ролик
Что такое IP - адрес?
Уникальный внутри подсети идентификатор устройства третьего уровня модели OSI. Сейчас его больше всего четвертой версии, но мир идет в сторону IPv6 (шестая версия).
Детально про IP - адрес мы написали тут и сняли видео.
Что такое LAN?
LAN (Local Area Network) или локальная вычислительная сеть - локалка. Это сеть между компьютерами и другими сетевыми устройствами, которые расположены в одном и том же (небольшом) месте.
Для подробностей от том, что такое LAN и чем он отличается от WAN почитайте нашу статью.
Расскажите нам про DHCP
DHCP (Dynamic Host Configuration Protocol). Протокол конфигурации для IP - адресов. Например, DHCP сервер раздает адреса в подсети, отвечая на запросы, а DHCP клиента запрашивает.
Очень много полезной информации про DHCP тут
А про DNS?
DNS - Domain Name System.Это система доменных имен. Когда я открыл сайт hh.ru, чтобы откликнуться на вакансию вашей компании, мой ноутбук отправил запрос на DNS сервер, который преобразовал имя сайта в IP - адрес. И вот я здесь.
Чтобы узнать больше деталей про DNS сервер перейдите к статье.
Что такое WAN?
WAN (Wide Area Network) - это глобальная вычислительная сеть, которая не ограничена географической локацией - квартира, этаж или здание. Отличный пример WAN сети - интернет, через который вы сейчас читаете эту статью.
Что означает термин "нода"? Что такое "хост"?
Как правило, в сетях, нодой или хостом называют некий сетевой узел. Так, маршрутизатор, коммутатор и даже компьютер может быть назван "нодой" и "хостом".
Какая максимальная длина кабеля UTP?
Одно плечо кабеля работает на дистанции до 100 метров. Потом нужен репитер или коммутатор.
Что такое маршрутизатор?
Маршрутизатор (роутер, так как это одно и то же) это устройство третьего уровня модели OSI, которое маршрутизирует IP - пакеты между подсетями. Маршрутизатор запоминает таблицы маршрутизации, дистанцию до других подсетей, узкие места и прочие параметры.
Что такое коммутатор?
Коммутатор (или как его называют свич) - устройство, которое работает на втором уровне модели OSI. Свич оперирует с MAC - адресами и в корпоративных сетях именно в него подключаются оконечные устройства (компьютеры, МФУ и прочее).
В чем разница между роутером, свичем и хабом?
Роутер работает на третьем уровне модели OSI, свич на втором, хаб на первом. А еще хабы уже не используют, ибо они туповат.
Будьте смелыми и попробуйте так и сказать на собеседовании - "туповаты", а потом напишите нам в комментариях, прошли ли вы успешно собеседование. По нашим наблюдениям, чем проще умеет выражаться IT - специалист, тем проще и лучше всем.
Но перед тем как говорить как мы подсказываем выше, будьте уверены в своих знаниях темы и почитайте и посмотрите подробное видео о том, в чем разница между роутером, свичем и хабом?
3 уровня иерархии сетей от Cisco?
Изи. Уровень доступа (access layer), уровень распределения (distribution layer) и уровень ядра (core layer).
Почитайте по иерархическую Cisco модель в деталях. Это важно.
Что такое VLAN и зачем они нужны?
VLAN (Virtual Local Area Network), или так называемые виртуальные локальные сети, которые позволяют на на одном физическом порту роутера создать несколько виртуальных локальных сетей сразу. Это экономия портов и красивый дизайн сети.
За подробностями про VLAN милости просим по ссылке.
Что такое PING?
Это самый базовый инструмент инженера, который позволяет понять ""А жив ли хост?". Работает по протоколу ICMP.
Какие режимы передачи данных бывают?
симплексный
полудуплексный
полнодуплексный
Подробности можно найти про симплекс, дуплекс и полудуплекс можно найти тут.
Что такое Ethernet?
Ethernet - стандарт, описывающий подключение к локальным сетям через кабель (различные кабели). Существуют различные стандарты Ethernet, отличающиеся по скорости работы.
Вот тут мы рассказываем про Ethernet детально и на пальцах
Что такое VPN?
VPN позволяет установить виртуальное защищенное соединение, которое называют туннелем, между вашим устройством, или даже целой сетью и другим удаленным устройством, или же - другой удаленной сетью
Немного расслабиться и посмотреть короткое анимационное видео про VPN можно по ссылке.
Что такое MAC - адрес?
Уникальный идентификатор устройства на втором уровне модели OSI. С MAC - адресами работают коммутаторы
Очень подробно про mac - адресу мы написали тут.
Что такое TCP и UDP? В чем разница между ними?
Оба термина относятся к транспортному уровню модели OSI и является транспортными протоколами. TCP - надежный и проверяет доставку - подходит для чувствительного к потерям трафика, а UDP допускает потерю данных.
Если нужны подробности - потрясающее видео про TCP и UDP и статья доступны по ссылке
Что такое NIC?
NIC это Network Interface Card. Это ни что иное как сетевая карта устройства.
Зачем нужен прокси сервер?
Прокси (proxy) сервер - это элемент сетевой инфраструктуры, который выполняет роль посредника между клиентским компьютером (терминал, браузер, приложение), находящимся во внутренней сети и другим сервером, который живёт во внешней сети или наоборот.
Прыгайте за подробным чтивом про прокси вот сюда.
Какие типы сетевых атак вы знаете?
DoS, DDoS, фишинг или Bruteforce. Есть еще "злое" ПО, такое как: бэкдоры (Backdoor), майнеры (Miner), банкеры (Bank, шпионские программы (Spyware), рекламное ПО (Adware), руткиты (Rootkit).
Веселое видео и подробная статья про сетевые угрозы ждет вас тут.
Что такое NAT?
NAT технология позволяет множеству внутренних устройств с внутренним IP - адресом выходить в интернет под внешними IP - адресами и получать пакеты обратно на внутренний IP - адрес.
Технология богатая. Вот тут можно погрузиться в теорию про NAT.
Объявление
На текущем этапе мы перебрали базовые термины, которых будет достаточно не инженеру (проджекту или продакту, как мы сказали в начале статьи). Сейчас мы начнем "лупить" из тяжелой артиллерии: углубимся в сетевые стандарты и протоколы.
Все, что будет дальше, пригодится именно технарям.
А знаете ли вы про MST (Multiple Spanning Tree)?
Да, знаю. Это третья вариация алгоритмов связующего дерева и он обеспечивает отсутствие петель и широковещательного шторма. Основная идея MST в так называемых множественных связующих деревьях.
Классика. Подробности работы MST (Multiple Spanning Tree) вы найдете тут.
А про RSTP (Rapid Spanning Tree) что скажете?
Скажу. С развитием протоколов маршрутизации, классический STP перестал "вывозить". Он просто не такой быстрый. Поэтому, на его смены пришел быстрый RSTP.
Почитать про быстрый STP можно в нашей статье.
А про протокол RIP что скажете?
Рест ин пис RIPv1 и да здравствует RIPv2. Это протокол маршрутизации, который хранит информацию о маршрутизации и сетевых путях. Сетевой путь - это простой фрагмент информации, который говорит, какая сеть подключена к какому интерфейсу маршрутизатора.
Ах да. Про разницу RIPv1 и RIPv2 можно почитать тут. А про детали работы протокола RIP информации много здесь.
Расскажите нам про EIGRP, а мы послушаем
Устраивайтесь поудобнее. EIGRP это проприетарный протокол компании Cisco Systems. Если быть точным, то Enhanced Interior Gateway Routing Protocol это протокол "внутреннего шлюза". У EIGRP высокий показатель масштабируемости и высокая скорость сходимости сети.
Вот такой ответ. Но, мы рекомендуем вам погрузиться в EIGRP. У нас на этот счет есть целый цикл статей из 7 частей про EIGRP. Информации там очень много, но после прочтения статьи вероятность того, что вам зададут вопрос про EIGRP, на который вы не будете знать ответа - минимальна.
Ого, кажется у вас неплохой опыт. А что скажете про BGP?
На BGP возложена великая задача - соединение автономных систем во всем Интернете. А, я не сказал про то, что такое автономная системы - это совокупность точек маршрутизации и связей между ними, объединенная общей политикой взаимодействия, которая позволяет этой системе обмениваться данными с узлами, находящимися за ее пределами.
Мы не лыком шиты. Цикл из 5 статей по BGP вас ждет по ссылке.
Так, продолжайте про OSPF?
OSPF (Open Shortest Path First) - протокол внутренней маршрутизации с учетом состояния каналов (Interior gateway protocol, IGP). Как правило, данный протокол маршрутизации начинает использоваться тогда, когда протокола RIP уже не хватает по причине усложнения сети и необходимости в её легком масштабировании.
Хотите углубиться в OSPF? Вот вам цикл статей:
Протокол маршрутизации OSPF: LSA, области и виртуальные ссылки
Расширенные возможности OSPF: Области
OSPF: создание конкретных типов областей
Ручная фильтрация маршрутов OSPF
Что такое VTP?
Думаю вы имеет ввиду VLAN Trunking Protocol, который создан для того, чтобы передавать информацию о VLAN между коммутаторами.
Детально про VPT
Что думаете про модный SD WAN?
Software Defined Wide Area Network определенно интересны, так как помогают серьезно сэкономить на каналах передачи данных, не теряя качества, а также ускорить включение в общую сеть организации новых территориально удаленных филиалов.
SD WAN по полочкам.
Пару слов про MPLS?
MPLS (Multiprotocol label switching) является протоколом для ускорения и формирования потоков сетевого трафика, что, по сути, означает сортировку MPLS и расстановку приоритетов в пакетах данных на основе их класс обслуживания (например, IP-телефон, видео или транзакции, например).
И пару слов про шифрование трафика. Какие алгоритмы вам знакомы?
Существуют алгоритмы 3DES, Triple DES, AES. А, кстати, в России популярны "Магма" и "Кузнечик".
Почитайте про типы шифрования в России и зарубежом
В сетях вы разбираетесь. Поговорим про телефонию. Какие кодеки вам знакомы?
Кодеков не мало. Но на моем опыте, наибольшей популярностью пользуются G.711 и G.729. Причем 711 используется внутри сетей и его полоса 64 кбит/с, а 729 снаружи для экономии полосы пропускания - он занимает только 8 кбит/с.
Про телефонные кодеки все, что нужно знать
А разницу между FXS и FXO портом знаете?
Конечно. FXS - для подключения аналоговой телефонного аппарата. FXO - для подключения аналоговой телефонной линии.
Глубинное погружение в разницу между FXO и FXS на кейсах
А что по вашему лучше - SIP или PRI?
Протокол SIP - это современный и очень гибкий стандарт, обладающий большим количеством функций, в то время как ISDN PRI доказал свою надежность на протяжении 20 лет использования. PRI дороже в обслуживании но безопаснее, а SIP дешевле и быстрее с точки зрения запуска.
Вся разница между SIP и PRI в статье.
Зачем нужен протокол RTP?
Для передачи голоса в VoIP сетях. SIP делает сигнализацию, а RTP отправляет голос. Кстати, RTP ходит напрямую между телефонами.
Чтиво про протокол RTP
А термин SBC вам знаком?
Знаком. Session Border Controller (контроллер граничных сессий) - сетевое устройство, которое может обеспечить безопасность VoIP, а также соединять несовместимые (разнородные) сигнальные протоколы и медиа потоки, поступающие от различных устройств. SBC - устройства используются в корпоративных сетях и сетях провайдеров услуг и, как правило, развертываются на границе сети (точка входа провайдера в корпоративный контур).
А вот тут можете почитать про SBC в подробностях.
И последний вопрос. Про SDP знаете?
Да. Протокол SDP используется для установления соединения и согласования параметров передачи и приема аудио или видео потоков между оконечными устройствами. Наиболее важными параметрами обмена являются IP - адреса, номера портов и кодеки.
Детально про SDP можно почитать тут.
Итоги
Мы рассмотрели топ 40 вопрос, которые могут быть заданы на собеседовании, связанном с IT специальностью. Под каждым вопросом мы дали короткий ответ на такой вопрос - но лучше всего детально изучать вопрос. Поэтому, под большинством материалов вам будет доступна ссылка на подробный материал, который раскрывает суть каждого вопроса, чтобы точно быть уверенном в успехе собеседования.
И еще: почитайте статью, где мы собрали большинство IT терминов - определенно будет полезно.
Удачи на собеседовании :)
Так как многие используют у себя в качестве платформы виртуализации Hyper-V, сегодня мы решили немного рассказать о том, как "правильно" использовать данную платформу – в плане сохранения ресурсов и просто с точки зрения логики. Рекомендации описанные ниже вполне смогут сохранить вам немного драгоценных вычислительных ресурсов. Поэтому ниже вы найдете 14 хинтов, которые могут помочь сохранить ресурсы.
Не плодите виртуальные сущности!
Первый хинт, и достаточно очевидный -не создавайте ненужных виртуальных машин и не оставляйте их запущенными! Процесс VMMS.exe постоянно проверяет статус всех виртуальных машин, в том числе и без каких-либо активных процессов, помимо ОС запущенных на них. Таким образом, на данный процесс тратятся дорогие ресурсы.
Далее, задумайтесь, сколько виртуальных коммутаторов у вас создано – подумайте, в каком случае вы можете просто использовать VLAN или другие механизмы сегментирования для логического разделения сети между виртуальными машинами. Причина такая же как и в предыдущем случае – VMMS.exe постоянно проверяет состояние виртуальных свитчей и тратит ресурсы!
Настройте антивирус так, чтобы он не проверял Hyper-V процессы и директории, так как такое ПО как антивирус постоянно производит I/O операции для файлов, и, соответственно, может отобрать ресурс у процессов, выполняемых между виртуальными машинами. То есть:
Процессы Hyper-V - VMMS.exe и VMWP.exe
Папки с виртуальными машинами - файлы с виртуальными жесткими дисками и файлы конфигурации
Папки со снэпшотами-V - снэпшоты и чекпоинты
Используйте официально поддерживаемы гостевые ОС – будет быстрее!
Старайтесь использовать только те гостевые системы, на которые возможно установить Integration Services – дополнения, которые включают в себя VMBUS и VSP/VSC компоненты, используется для значительного улучшения связи между Windows, на котором установлен Hyper-V и виртуальными машинами. Список поддерживаемых систем можно найти по ссылке: https://docs.microsoft.com
Кроме того, старайтесь хранить виртуальные машины, которые не поддерживают установку Integration Services на отдельном сервере Hyper-V. Если это невозможно – используйте отдельный виртуальный свитч. Дело в том, что они используют совершенно разные механизмы общения с оригинальной системой – коммуникации через VMBUS и коммуникации через эмуляцию. Эмуляция быстрее, но возможна только при установленных Integration Services.
Старайтесь использовать виртуальные машины Generation Type 2 (второго поколения), которые загружаются с помощью SCSI контроллера, вместо IDE (SCSI быстрее). Кроме того, машины второго поколения используют VMBUS и VSP/VSC архитектуру на boot уровне, что улучшает общую производительность.
Внимательнее относитесь к расположению виртуальных машин!
Не храните виртуальные машины на одном жестком диске вместе с системными файлами и файлами гипервизора – опять же из-за того, что ОС занимает свою долю в операциях ввода-ввывода, и у жесткого диска легко не может хватить производительности для задач, выполняемых на виртуальных машинах. Соответственно, всегда изменяйте папку хранения виртуальных машин по умолчанию на что-то иное. Изначально, путь выглядит так:C:ProgramDataWindowsHyper-VVirtual Machines
Если возможно – используйте для каждой виртуальной машины разные тома. Наличие нескольких виртуальных машин на одном логическом томе также повышает количество производимых I/O операций.
Регулярно дефрагментируйте жесткий диск перед созданием виртуального жесткого диска и просто проводите дефрагментацию разделов, где хранятся виртуальные машины.
Старайтесь использовать SCSi контроллеры для виртуальных жестких дисков – выиграйте по скорости. Для приложений вроде SQL лучше хранить логи и сами данные на разных SCSi разделах
При создании виртуальной машины лучше используйте виртуальные жесткие диски фиксированного размера – это так же даст прирост производительности.
В общем о ресурсах
В то же время, рекомендуется использовать динамически аллоцируемую оперативную память. Однако, для некоторых приложений также лучше будет использовать изначально большой объем фиксированной ОЗУ – но это применимо только к узкому ряду приложений, вроде Sharepoint.
Старайтесь использовать Windows Server Core Operating System, так как там нет графической оболочки, система потребляет меньше ресурсов.
Если же вы используете обычный Windows с обычным, всем очень хорошо знакомым GUI всегда закрывайте другие окна, приложения и так далее – все, что хотя бы теоретически может повлиять на производительность.