Skip to content

Interviewfragen zu Networking

TCP/IP, the OSI model, DNS, TLS, firewalls and the protocols every security pro must know cold.

73 Fragen Fragen in dieser Sammlung
Verbirgt HTTPS vor Ihrem Provider oder Netzwerk, welche Website Sie besuchen?

Größtenteils nein. Der Ziel-Hostname wird im Klartext in der SNI-Erweiterung des TLS-ClientHello gesendet, und Ihre DNS-Abfrage verrät ihn meist ebenfalls, sodass ein Provider oder Netzwerk sehen kann, WELCHE Seite Sie besuchen — selbst über HTTPS. Sie können nur den Pfad und Inhalt nicht lesen. Encrypted ClientHello (ECH) und DNS-over-HTTPS können diese Lücke schließen, sind aber nicht universell. „HTTPS verbirgt alles“ ist der Irrtum.

Mid-levelNetworkingWeb Security
Die vollständige Antwort
Verbirgt der private / Inkognito-Modus deine Aktivität vor deinem ISP oder Arbeitgeber?

Nein. Der private/Inkognito-Modus verhindert nur, dass der lokale Browser Verlauf, Cookies und Formulardaten nach der Sitzung speichert — am Netzwerkpfad ändert er nichts. Dein ISP, der Proxy deines Arbeitgebers, der DNS-Resolver und die Seiten, bei denen du dich anmeldest, sehen deine Aktivität weiterhin. Der Irrtum ist „Inkognito = unsichtbar”; tatsächlich ist es Privatsphäre vor anderen Nutzern desselben Geräts, nicht Anonymität vor dem Netzwerk.

JuniorWeb SecurityNetworking
Die vollständige Antwort
Ist 127.0.0.1 die einzige Loopback-Adresse?

Nein. Der ganze Bereich 127.0.0.0/8 ist für Loopback reserviert, also lösen 127.0.0.2, 127.1.1.1 und so weiter alle zum lokalen Host auf. Das ist wichtig für SSRF und das Umgehen von Allow-Lists — ein Angreifer kann 127.0.0.2 oder andere Kodierungen nutzen, um eine naive Prüfung „127.0.0.1 blockieren“ zu umgehen — und für das Binden mehrerer lokaler Dienste. (In IPv6 ist Loopback die einzelne Adresse ::1.)

JuniorNetworkingLinux Internals
Die vollständige Antwort
Ist die MAC-Adresse eines Geräts dauerhaft und weltweit eindeutig?

Nein. Eine MAC wird vom Hersteller vergeben (OUI plus Geräte-ID) und ist „eingebrannt“, aber praktisch jedes Betriebssystem erlaubt es, sie per Software zu überschreiben (macchanger, ip link set address). MAC-Adressen sind also fälschbar und dürfen nicht zur Authentifizierung dienen — MAC-Filterung ist schwach, und Smartphones randomisieren die MAC inzwischen aus Datenschutzgründen. „Dauerhaft und eindeutig“ ist der Irrtum.

JuniorNetworking
Die vollständige Antwort
Wirkt NAT wie eine Firewall und sichert Ihr Netzwerk?

Nein. NAT (und PAT) bildet private Adressen auf eine öffentliche IP ab und verwirft als Nebeneffekt unaufgeforderte eingehende Verbindungen, weil für sie keine Zuordnung existiert. Das ist keine Sicherheitsrichtlinie — keine Inspektion, keine Regeln, kein Logging — und NAT-Traversal, Hole Punching sowie ausgehend initiiertes C2 passieren ungehindert. NAT ist ein Adressierungswerkzeug; Sie brauchen trotzdem eine echte Firewall. „NAT = Firewall“ ist der Irrtum.

Mid-levelNetworking
Die vollständige Antwort
Welchen Port verwendet traceroute?

Fangfrage — es gibt keinen einzelnen traceroute-Port. Das klassische Unix-traceroute sendet UDP-Datagramme an hohe, unwahrscheinliche Ports ab etwa 33434 mit steigendem TTL; Windows tracert nutzt stattdessen ICMP Echo. Es funktioniert, indem es die ICMP-Time-Exceeded-Nachrichten liest, die Router beim Ablauf des TTL zurücksenden, nicht durch das Anvisieren eines reservierten Ports. Und ICMP selbst hat überhaupt keine Ports.

JuniorNetworking
Die vollständige Antwort
Macht Sie die Nutzung eines VPN online anonym?

Nein. Ein VPN verschlüsselt den Traffic bis zum VPN-Server und verbirgt Ihre IP vor dem Ziel, aber der Anbieter kann Ihre Aktivität sehen und protokollieren, und Logins, Cookies sowie Browser-Fingerprinting identifizieren Sie weiterhin. Es verlagert das Vertrauen von Ihrem lokalen Netzwerk/Provider auf den VPN-Betreiber — das ist Privatsphäre gegenüber dem lokalen Netzwerk, keine Anonymität. Tor und strenge operative Disziplin sind andere Werkzeuge für ein anderes Ziel.

JuniorNetworkingGovernance, Risk & Compliance
Die vollständige Antwort
Ein Scan zeigt, dass Ihr Server noch SSLv3/TLS 1.0 und RC4 unterstützt. Was tun Sie?

SSLv3, TLS 1.0 und RC4 sind gebrochen oder veraltet und ermöglichen Downgrade- und Entschlüsselungsangriffe; deaktivieren Sie sie daher und verlangen Sie TLS 1.2 oder 1.3 mit starken, forward-secret Cipher-Suiten, wobei der seltene Verlust sehr alter Clients in Kauf genommen wird. Sie aus Kompatibilitätsgründen aktiviert zu lassen, hält die Schwäche ausnutzbar. Ein zweites Zertifikat hinzuzufügen oder auf ein selbstsigniertes zu wechseln, entfernt die schwachen Protokolle nicht, und das selbstsignierte schadet dem Vertrauen, ohne die Kryptografie zu beheben.

Mid-levelCryptographyNetworking
Die vollständige Antwort
Sie wollen den PCI-DSS-Geltungsbereich reduzieren. Was ist der Standardansatz?

Der PCI-DSS-Geltungsbereich umfasst Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alles, was mit ihnen verbunden ist oder sie beeinflussen kann; eine wirksame Netzwerksegmentierung isoliert daher das Karteninhaberdaten-Umfeld (CDE) und nimmt fremde Systeme aus dem Geltungsbereich, was Kosten, Aufwand und Risiko senkt. Alle Server zu verschlüsseln definiert keine Grenze, und verbundene Systeme bleiben im Geltungsbereich; überall ungezielt Firewalls hinzuzufügen ist keine Segmentierung, wenn es die Datenflüsse nicht einschränkt und validiert; und Kartennummern nicht mehr laut vorzulesen ist Hygiene, keine Geltungsbereichskontrolle. Die systemische Antwort lautet: zu kontrollieren, wo Karteninhaberdaten liegen und was sie erreichen kann.

SeniorGovernance, Risk & ComplianceNetworking
Die vollständige Antwort
Während der dynamischen Analyse kontaktiert die Probe ein aktives C2 und kann Befehle empfangen. Was ist das sichere Vorgehen?

Nutze simulierte Netzwerkdienste oder einen eng überwachten, nicht zuordenbaren Egress, um das C2-Verhalten zu studieren, ohne dem Angreifer deine echte IP zu zeigen oder zuzulassen, dass der Host schädliche Befehle erhält. Interaktion über die Firmen-IP verrät den Operator und riskiert echten Schaden. Das Bridging der Sandbox ins LAN lädt zur Ausbreitung ein. Das Abschalten der Logs verwirft die Analysedaten. Kontrolliere das Netzwerk, um zu beobachten, ohne dich zu exponieren oder instrumentalisiert zu werden.

SeniorMalwareNetworking
Die vollständige Antwort
Eine Firewall-Prüfung findet eine Regel „Quelle beliebig / Ziel beliebig / erlauben“ nahe dem Anfang der Richtlinie. Was ist das Problem und die Lösung?

Da Firewalls Regeln von oben nach unten auswerten, kurzschließt eine breite any/any-Erlauben-Regel nahe dem Anfang alle darunterliegenden Regeln und lässt allen Verkehr durch — die Firewall hört praktisch auf, irgendetwas durchzusetzen. Ersetzen Sie sie durch explizite Least-Privilege-Regeln für die tatsächlich benötigten Flüsse, so geordnet, dass spezifische Erlaubnisse und Verweigerungen wirken, abschließend mit einer Standardverweigerung. Sie effizient zu nennen ist falsch, sie ans Ende zu verschieben kann die Standardverweigerung weiterhin verdecken, und ein Umbenennen ändert nichts daran, was sie erlaubt.

Mid-levelNetworking
Die vollständige Antwort
Das Unternehmen verlässt sich darauf: „Wer einmal im VPN ist, ist vertrauenswürdig." Welchen Architekturwechsel schlägst du vor?

Vertrauen anhand des Netzwerkstandorts bedeutet, dass ein einziger Fuß in der Tür breite laterale Bewegung gewährt — eine gephishte VPN-Zugangsdatei und der Angreifer ist „drin". Zero Trust beseitigt implizites Vertrauen: Jeder Zugriff wird authentifiziert, autorisiert und laufend anhand von Identität und Geräte-Posture neu bewertet, mit Least Privilege und Segmentierung (NIST SP 800-207). Ein zweites oder breiteres VPN dehnt nur dasselbe Flat-Trust-Problem aus, und dem LAN statt dem VPN zu vertrauen wiederholt den ursprünglichen Fehler.

SeniorNetworkingIdentity & Access Management
Die vollständige Antwort
Eine neue VM wurde mit SSH (22) und RDP (3389) offen für 0.0.0.0/0 gestartet. Was ist die richtige Behebung?

Management-Ports, die für das gesamte Internet offen sind, werden innerhalb von Minuten gescannt und per Brute Force angegriffen, daher besteht die Lösung darin, die Angriffsfläche zu verkleinern: Beschränke den Security-Group-Ingress auf bekannte Admin-CIDRs oder VPN, oder entferne den eingehenden Verkehr ganz mittels Bastion oder SSM Session Manager. SSH auf einen Nicht-Standard-Port zu verschieben ist Security by Obscurity, die Scanner trivial aushebeln. Ein stärkeres Passwort verkleinert die exponierte Fläche nicht und stoppt kein Credential Stuffing. Auf eine Host-Firewall zu vertrauen ignoriert die Angriffsfläche, die die Security Group offen ins Internet bewirbt.

Mid-levelCloudNetworking
Die vollständige Antwort
Ein geschäftskritischer Produktionsdienst scheint anfällig für einen Memory-Corruption-Exploit, der ihn zum Absturz bringen könnte. Was tun Sie?

Die Rules of Engagement schließen DoS in Produktion meist aus, und ein ungeplanter Absturz verursacht echten Geschäftsschaden und kann den Auftrag nichtig machen. Prüfen Sie zuerst den Scope; ist ein destruktiver Proof of Concept nicht autorisiert, beweisen Sie die Schwachstelle mit sichereren Mitteln und dokumentieren Sie die wahrscheinliche Auswirkung klar. Den Exploit für einen Screenshot abzufeuern ist leichtsinnig. Ihn wiederholt für „Zuverlässigkeitsmetriken" auszuführen vervielfacht den Ausfall. Ihn stillschweigend zu überspringen verbirgt dem Kunden ein ernstes, ausnutzbares Risiko.

Mid-levelNetworkingGovernance, Risk & Compliance
Die vollständige Antwort
Sie knacken das Passwort eines Dienstkontos aus einem erfassten Hash. Was ist der wertvollste nächste Schritt, um das Risiko zu demonstrieren?

Es zählt die Auswirkung: Ein wiederverwendetes oder überprivilegiertes Dienstkonto, das Domänen-Admin oder kritische Systeme freischaltet, ist das relevante Finding — prüfen Sie also die Wiederverwendung und mappen Sie die Rechte und den Lateral-Movement-Pfad. Zuerst alle anderen Hashes zu knacken ist Beschäftigung, die das Wesentliche verzögert. Das Passwort des Dienstkontos zu ändern ist destruktiv, bricht die Produktion und warnt die Verteidiger. Eine aktive Anmeldeinformation im Klartext per E-Mail zu senden ist selbst eine Exposition und schlechte operative Sicherheit.

SeniorIdentity & Access ManagementNetworking
Die vollständige Antwort
Mitten im Einsatz entdecken Sie einen ausnutzbaren Host, der eindeutig NICHT im vereinbarten Scope liegt. Was tun Sie?

Die Autorisierung definiert den Auftrag: Tests außerhalb des vereinbarten Scopes sind potenziell illegal und verletzen die Rules of Engagement, egal wie verlockend das Ziel ist. Dokumentieren Sie, was Sie gesehen haben, stoppen Sie und holen Sie die schriftliche Freigabe des Kunden ein, bevor Sie weitermachen. Ausnutzen für „mehr Findings" rechtfertigt niemals unbefugten Zugriff. Heimliches Ausnutzen in der Annahme, nicht erwischt zu werden, ist sowohl unethisch als auch eine Straftat, und den Scope selbst zu erweitern entzieht dem Kunden seine informierte Einwilligung.

Mid-levelNetworkingGovernance, Risk & Compliance
Die vollständige Antwort
Für einen internetexponierten Server gibt es einen Patch für eine kritische, nicht authentifizierte RCE, aber das Team fürchtet Ausfallzeit. Wie gehst du vor?

Eine nicht authentifizierte RCE auf einem internetexponierten Server ist Notfall-Niveau: verkleinere das Expositionsfenster mit einem getesteten, gestaffelten oder rollierenden Deployment und ergänze in der Zwischenzeit kompensierende Kontrollen (Zugriff beschränken, WAF-Regeln). Auf das Quartalsfenster zu warten lässt ein wurmfähiges Loch wochenlang offen. Blind in der Produktion zur Geschäftszeit ohne Tests zu patchen riskiert einen Ausfall und einen verpfuschten Rollback. Sich auf die Perimeter-Firewall zu verlassen bringt nichts — der Dienst ist bereits exponiert und der Exploit braucht keine Anmeldedaten.

SeniorNetworkingGovernance, Risk & Compliance
Die vollständige Antwort
Eine Überprüfung zeigt, dass das Netzwerk flach ist — Finanzserver teilen sich eine Broadcast-Domäne mit dem Gäste-WLAN. Was empfiehlst du zuerst?

Flache Netzwerke lassen ein einziges kompromittiertes Gästegerät direkt die wertvollsten Systeme erreichen. Segmentiere nach Vertrauensstufe und erzwinge Verkehr mit geringsten Rechten zwischen den Zonen, damit laterale Bewegung eingedämmt und überwacht wird. Eine Edge-Firewall tut nichts für Ost-West-Verkehr zwischen Hosts, die bereits drinnen sind. Die Finanzserver neu zu adressieren ist Security-by-Obscurity, die jeder Scan aushebelt. Antivirus ist eine Erkennungsschicht, kein Ersatz für die architektonische Kontrolle der Isolierung sensibler Systeme.

SeniorNetworking
Die vollständige Antwort
Eine öffentliche API fiel aus, weil ihr TLS-Zertifikat abgelaufen war. Über das Erneuern hinaus — was ist die dauerhafte Lösung?

Manuelle Erneuerungen scheitern, also beseitige das Problem technisch mit automatisierter ACME-Erneuerung plus Ablaufüberwachung, die Tage im Voraus alarmiert. Eine Kalendererinnerung ist der manuelle Prozess, der bereits versagt hat. Ein langlebiges selbstsigniertes Zertifikat zerstört das öffentliche Vertrauen und verstößt gegen moderne Laufzeitgrenzen (CAs deckeln die Gültigkeit bei ~398 Tagen, Tendenz fallend). TLS zu deaktivieren tauscht einen Verfügbarkeitsausfall gegen einen katastrophalen Verlust von Vertraulichkeit und Integrität.

Mid-levelCryptographyNetworking
Die vollständige Antwort
Ihnen fällt auf, dass ein einzelner Host Tausende ungewöhnlicher, langer TXT-Record-DNS-Anfragen an eine einzige Domain stellt. Was ist die wahrscheinlichste Erklärung und Maßnahme?

TXT-Anfragen mit hohem Volumen und hoher Entropie oder lange Subdomains an eine einzige Domain sind eine klassische Signatur für DNS-Tunneling / C2-und-Exfiltration: Daten werden im DNS eingeschmuggelt, um die Egress-Filterung zu umgehen. Erfassen Sie eine Anfragestichprobe zur Analyse, sinkholen oder blockieren Sie die Domain, um den Kanal zu kappen, und pivotieren Sie zum Host, um den verantwortlichen Prozess zu finden. Es als normales Caching oder langsame Website abzutun übersieht eine laufende Exfiltration. Den DNS-Server neu zu starten ändert nichts am kompromittierten Endgerät und stört nur die Namensauflösung.

Mid-levelNetworkingThreat Intelligence
Die vollständige Antwort
Erkläre die Cyber Kill Chain von Lockheed Martin und wie ein Blue Team sie nutzt.

Die Cyber Kill Chain modelliert einen Einbruch als sieben aufeinanderfolgende Stufen: Aufklärung, Bewaffnung, Auslieferung, Ausnutzung, Installation, Command and Control (C2) und Actions on Objectives. Verteidiger ordnen jeder Stufe Erkennungen und Maßnahmen zu; da die Stufen sequenziell sind, stört das Brechen eines einzelnen Glieds – die Phishing-Mail blockieren, das C2 abschalten – den gesamten Angriff. Sie drängt dazu, früh zu erkennen statt erst beim finalen Einbruch.

Mid-levelThreat IntelligenceDFIR (Forensics & Incident Response)Networking
Die vollständige Antwort
Erkläre DNS-Datenexfiltration und wie ein Blue Team sie erkennen würde.

DNS-Exfiltration kodiert gestohlene Daten in DNS-Anfragen (z. B. lange Subdomain-Labels an einen vom Angreifer kontrollierten autoritativen Server) und nutzt aus, dass DNS fast immer ausgehend erlaubt und oft unüberwacht ist. Erkenne sie über Anomalien: ungewöhnlich hohes Anfragevolumen zu einer Domain, lange Subdomains mit hoher Entropie, viele eindeutige Subdomains je Eltern-Domain, Missbrauch von TXT/NULL-Records und Anfragen an neu registrierte oder seltene Domains.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
Die vollständige Antwort
Erkläre, wie SPF, DKIM und DMARC zusammenarbeiten, um E-Mail-Spoofing zu verhindern.

SPF veröffentlicht, welche IPs für eine Domain Mail senden dürfen. DKIM fügt eine kryptografische Signatur hinzu, damit der Empfänger prüfen kann, dass die Nachricht nicht verändert wurde und von der Domain stammt. DMARC bindet die SPF/DKIM-Ergebnisse über das Alignment an den sichtbaren From:-Header, sagt Empfängern, was bei Fehlschlag zu tun ist (none/quarantine/reject), und sendet Berichte. SPF und DKIM allein schützen das vom Nutzer gesehene From nicht – DMARC erzwingt das.

Mid-levelNetworkingWeb SecurityIdentity & Access Management
Die vollständige Antwort
Was ist ein Honeypot, welche Typen gibt es, und welchen Wert bietet er einem Blue Team?

Ein Honeypot ist ein Ködersystem oder -dienst ohne legitimen geschäftlichen Zweck, das bewusst exponiert wird, um Angreifer anzulocken. Da nichts Gutartiges ihn je berühren sollte, ist jede Interaktion ein hochsicherer Alarm. Honeypots mit niedriger Interaktion emulieren Dienste günstig; solche mit hoher Interaktion sind echte Systeme, die reichere Intel liefern, aber mehr Risiko bergen. Honeytokens sind dieselbe Idee, angewandt auf gefälschte Anmeldedaten, Dateien oder Datensätze. Wert: frühe Erkennung, wenige Fehlalarme und Threat Intelligence.

JuniorThreat IntelligenceNetworkingDFIR (Forensics & Incident Response)
Die vollständige Antwort
Erklären Sie Defense in Depth und wie es sich vom Verlassen auf eine einzige starke Kontrolle unterscheidet.

Defense in Depth schichtet mehrere, vielfältige und unabhängige Kontrollen über Menschen, Prozesse und Technik, sodass der Ausfall einer einzelnen Kontrolle nicht zur Kompromittierung führt. Es geht davon aus, dass jede Kontrolle irgendwann versagt, und nutzt Redundanz und Vielfalt, um einen Angreifer zu verlangsamen, zu erkennen und einzudämmen.

SeniorNetworking
Die vollständige Antwort
Wie sichert man Container-Images ab?

Beginne mit einem minimalen, vertrauenswürdigen Basis-Image (distroless oder slim), um die Angriffsfläche zu verkleinern, scanne Images in der CI und in der Registry auf bekannte CVEs, fixiere und verifiziere Image-Digests, führe als Nicht-Root-Benutzer aus und vermeide es, Secrets einzubacken. Signiere Images und erzwinge Admission-Richtlinien, sodass nur gescannte, signierte Images laufen. Baue regelmäßig neu, damit gepatchte Basis-Layer durchfließen.

Mid-levelCloudNetworking
Die vollständige Antwort
Was sind die Grundlagen der Kubernetes-Sicherheit (RBAC und Network Policies)?

RBAC steuert, was Identitäten gegen die Kubernetes-API tun können — Roles und ClusterRoles gewähren Verben auf Ressourcen, über RoleBindings an Subjekte gebunden — und sollte geringste Rechte befolgen, indem cluster-admin und Wildcards vermieden werden. Network Policies steuern den Pod-zu-Pod-Verkehr, der standardmäßig alles erlaubt, bis du ein Default-Deny anwendest und dann erforderliche Flüsse explizit zulässt. Zusammen begrenzen sie den Wirkungsradius, wenn ein Pod oder Token kompromittiert wird.

SeniorCloudNetworking
Die vollständige Antwort
Wie fügen sich CloudTrail und GuardDuty in Cloud-Logging und -Monitoring ein?

CloudTrail zeichnet jeden API-Aufruf im Konto auf — wer was wann von wo aus getan hat — und liefert dir den maßgeblichen Audit-Trail für Untersuchungen und Compliance. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der CloudTrail-, VPC-Flow- und DNS-Logs analysiert, um Funde wie Anmeldedaten-Exfiltration oder Krypto-Mining sichtbar zu machen. CloudTrail ist die zu schützende Quelle der Wahrheit; GuardDuty verwandelt diese Telemetrie in umsetzbare Alarme.

Mid-levelCloudNetworking
Die vollständige Antwort
Was ist der Unterschied zwischen Security Groups und Network ACLs?

Security Groups sind zustandsbehaftete Firewalls, die an Instanzen/ENIs angehängt sind: Sie haben nur Allow-Regeln, und der Rückverkehr eines erlaubten Flusses wird automatisch zugelassen. Network ACLs sind zustandslose Filter an der Subnetzgrenze: Sie haben geordnete Allow- und Deny-Regeln, und du musst den Rückverkehr auf ephemeren Ports explizit erlauben. Security Groups sind die primäre Kontrolle; NACLs ergänzen grobe Leitplanken auf Subnetzebene wie das Blockieren eines IP-Bereichs.

Mid-levelNetworkingCloud
Die vollständige Antwort
Was ist Perfect Forward Secrecy und warum ist es wichtig?

Perfect Forward Secrecy (PFS) bedeutet, dass jede Sitzung einen einzigartigen Schlüssel aus einem flüchtigen Schlüsselaustausch ableitet, der danach verworfen wird. Stiehlt ein Angreifer später den langlebigen privaten Schlüssel des Servers, kann er zuvor erfassten Verkehr dennoch nicht entschlüsseln, weil dieser Schlüssel nie zur Ableitung der Sitzungsschlüssel diente. Erreicht wird das mit flüchtigem Diffie-Hellman (DHE/ECDHE).

Mid-levelCryptographyNetworking
Die vollständige Antwort
Erkläre mir den TLS-1.3-Handshake.

Client und Server einigen sich in einem einzigen Roundtrip mittels ephemerem Diffie-Hellman (ECDHE) auf ein gemeinsames Geheimnis. Das ClientHello trägt die unterstützten Gruppen und einen Key Share; der Server antwortet mit seinem Key Share und Zertifikat, beide Seiten leiten dieselben Schlüssel ab, und Anwendungsdaten fließen sofort, mit Forward Secrecy als Standard.

Mid-levelNetworkingCryptography
Die vollständige Antwort
Erklären Sie Defense in Depth und geben Sie ein Beispiel.

Defense in Depth bedeutet, mehrere unabhängige Sicherheitsmaßnahmen zu schichten, sodass bei Ausfall einer Maßnahme die anderen das Asset weiterhin schützen. Sie geht davon aus, dass keine einzelne Maßnahme perfekt ist — etwa durch die Kombination von Firewall, Netzwerksegmentierung, Endpunktschutz, MFA, Least Privilege und Verschlüsselung, statt sich allein auf den Perimeter zu verlassen.

JuniorNetworkingIdentity & Access Management
Die vollständige Antwort
Erklären Sie den Unterschied zwischen einem IDS und einem IPS.

Ein IDS (Intrusion Detection System) überwacht den Datenverkehr und löst Alarme aus, blockiert aber nicht — es liegt typischerweise außerhalb des Datenpfads. Ein IPS (Intrusion Prevention System) sitzt inline im Datenpfad und kann bösartigen Verkehr aktiv verwerfen oder blockieren. Das IPS verhindert, aber ein Fehlalarm kann legitimen Verkehr unterbrechen.

JuniorNetworkingThreat Intelligence
Die vollständige Antwort
Erklären Sie den Unterschied zwischen TCP und UDP und wann Sie jedes verwenden würden.

TCP ist verbindungsorientiert und zuverlässig: Es nutzt einen Drei-Wege-Handshake, garantiert geordnete Zustellung und überträgt verlorene Pakete erneut. UDP ist verbindungslos und schnell, ohne Garantien für Zustellung, Reihenfolge oder Überlastkontrolle. Nutzen Sie TCP für Genauigkeit (Web, E-Mail, Dateiübertragung) und UDP für geschwindigkeitssensiblen Verkehr (DNS, VoIP, Streaming, Gaming).

JuniorNetworking
Die vollständige Antwort
Was ist eine Firewall, und was ist der Unterschied zwischen einer zustandslosen und einer zustandsbehafteten?

Eine Firewall steuert den Verkehr zwischen Netzwerkzonen, indem sie ihn anhand von Regeln zulässt oder verweigert. Eine zustandslose Firewall bewertet jedes Paket isoliert gegen die Regeln; eine zustandsbehaftete Firewall verfolgt den Zustand von Verbindungen, um Rückverkehr für von ihr erlaubte Sitzungen zuzulassen. Next-Gen-Firewalls ergänzen das Bewusstsein für die Anwendungsschicht.

JuniorNetworking
Die vollständige Antwort
Ist ARP ein TCP- oder UDP-Protokoll?

Weder noch. ARP ist ein Layer-2-Protokoll (Sicherungsschicht), das direkt in einem Ethernet-Frame gekapselt wird und nicht in einem IP-Paket. Da es niemals über IP läuft, kann es weder TCP noch UDP verwenden — das sind Layer-4-Transporte, die IP darunter benötigen. Die Aufgabe von ARP besteht darin, eine bekannte IP-Adresse zur passenden MAC-Adresse im selben lokalen Netzsegment aufzulösen.

JuniorNetworking
Die vollständige Antwort
Hätten Sie auf einer Firewall lieber einen gefilterten oder einen geschlossenen Port?

Gefiltert. Ein gefilterter Port verwirft das Paket still, sodass der Scanner keine Antwort erhält und auf ein Timeout warten muss — er erfährt nichts darüber, ob der Host überhaupt existiert, und der Scan wird drastisch verlangsamt. Ein geschlossener Port sendet ein TCP-RST zurück, das bestätigt, dass der Host lebt und antwortet, und liefert dem Angreifer so gratis Aufklärungswert.

Mid-levelNetworking
Die vollständige Antwort
Verhindert HTTPS Man-in-the-Middle-Angriffe vollständig?

Nicht von allein. HTTPS verhindert MITM nur, wenn die Zertifikatsvalidierung strikt erzwungen wird und der Client die Website von Anfang an über HTTPS erreicht. Wenn einer Rogue-CA vertraut wird (Unternehmens-Proxy, von Malware installierte Root), wenn der Nutzer Zertifikatswarnungen wegklickt oder wenn SSL-Stripping die Verbindung auf HTTP herabstuft, bevor TLS startet, kann ein Angreifer sich weiterhin dazwischensetzen.

Mid-levelNetworking
Die vollständige Antwort
Ist HTTPS dasselbe wie SSL? Und was ist der Unterschied zwischen SSL und TLS?

HTTPS ist kein eigenes Protokoll — es ist ganz normales HTTP, das innerhalb eines verschlüsselten TLS-Tunnels läuft. SSL ist der alte Name: SSL 2.0/3.0 sind die veralteten, unsicheren Vorgänger von TLS, das sie abgelöst hat (TLS 1.0 bis 1.3). Wenn Leute „SSL-Zertifikat“ oder „SSL“ sagen, meinen sie fast immer eigentlich TLS.

JuniorNetworkingCryptography
Die vollständige Antwort
Welchen Port verwendet ping?

Fangfrage — ping verwendet keinen Port. Es läuft über ICMP, ein Layer-3-Protokoll, das direkt auf IP aufsitzt. Ports existieren nur in Layer-4-Protokollen wie TCP und UDP, daher hat ICMP (und somit ping) keinen. ICMP verwendet stattdessen Typ- und Code-Felder, z. B. Echo Request Typ 8 und Echo Reply Typ 0.

JuniorNetworking
Die vollständige Antwort
Wie viele Pakete werden beim TCP-Drei-Wege-Handshake ausgetauscht?

Drei. Der Client sendet ein SYN, der Server antwortet mit einem kombinierten SYN-ACK (ein Paket, das sowohl das SYN des Clients bestätigt als auch das eigene SYN des Servers sendet), und der Client schließt mit einem ACK ab. Der Trick ist, dass SYN-ACK ein einzelnes Paket ist, nicht zwei, sodass die Summe drei beträgt — genau das, was „Drei-Wege“ benennt.

JuniorNetworking
Die vollständige Antwort
Erkläre die Zero-Trust-Architektur und was sich bei ihrer Einführung ändert.

Zero Trust verwirft die Annahme, dass das Sich-im-Netzwerk-Befinden dich vertrauenswürdig macht. Jede Anfrage an eine Ressource wird auf ihre eigenen Merkmale hin authentifiziert und autorisiert — Verifikation von Identität, Gerätegesundheit und Kontext — durch einen Policy Decision Point, der Least-Privilege-Zugriff pro Session gewährt. Es gibt keine vertrauenswürdige interne Zone; der Netzwerkstandort einer Anfrage ist nur ein Signal, kein Freifahrtschein.

SeniorIdentity & Access ManagementNetworkingCloud
Die vollständige Antwort
Erläutern Sie mir eine Penetrationstest-Methodik wie PTES.

PTES definiert sieben Phasen: Pre-Engagement (Scope, Rules of Engagement, Autorisierung), Intelligence Gathering (OSINT, Aufklärung), Threat Modeling, Schwachstellenanalyse, Exploitation, Post-Exploitation (Pivoting, wertvolle Daten, Persistenz) und Reporting. Die Struktur macht Einsätze wiederholbar, vertretbar und an das Geschäftsrisiko gebunden statt an Ad-hoc-Hacking. Pre-Engagement und Reporting sind die Phasen, die Juniors unterschätzen.

Mid-levelNetworkingWeb Security
Die vollständige Antwort
Wie unterscheidet sich ein Red-Team-Einsatz von einem Penetrationstest?

Ein Pentest zielt auf breite Abdeckung — so viele Schwachstellen wie möglich in einem abgegrenzten Ziel finden. Ein Red Team ist zielgetriebene Adversary Emulation: ein Ziel wählen (z. B. die wertvollsten Daten erreichen), die TTPs eines bestimmten Bedrohungsakteurs emulieren, verdeckt bleiben, um Detektion und Reaktion zu testen, und lautes Scanning vermeiden. Red Teaming misst das blaue Team und die ganze Organisation, nicht nur das Asset; beide brauchen strenge Rules of Engagement und Autorisierung.

SeniorNetworkingThreat Intelligence
Die vollständige Antwort
Erläutern Sie mir den Lebenszyklus des Schwachstellenmanagements.

Schwachstellenmanagement ist eine fortlaufende Schleife: Assets und Schwachstellen entdecken (Scanning, Asset-Inventar), nach echtem Risiko priorisieren (CVSS plus Ausnutzbarkeit, Exposition und Asset-Kritikalität — Frameworks wie EPSS und SSVC helfen), beheben oder mindern, den Fix verifizieren und über Trends und SLAs berichten. Der Scan ist der leichte Teil; die Disziplin liegt darin, zu priorisieren und die Schleife zu schließen, damit das Risiko mit der Zeit tatsächlich sinkt.

Mid-levelNetworkingCloud
Die vollständige Antwort
Welche Ports nutzen SSH, HTTP, HTTPS, DNS, RDP und SMB, und warum sind sie wichtig?

SSH nutzt TCP 22, HTTP TCP 80, HTTPS TCP 443, DNS den 53 (UDP und TCP), RDP TCP 3389 und SMB TCP 445. Die Well-Known-Ports zu kennen, erlaubt es, Scan-Ausgaben zu lesen, Firewall-Regeln zu schreiben und Alarme schnell zu triagieren — ein Dienst auf seinem erwarteten Port statt auf einem unerwarteten ist ein sofortiges Signal.

JuniorNetworking
Die vollständige Antwort
Wie funktioniert die DNS-Auflösung — rekursiv vs. autoritativ?

Ein Stub-Resolver fragt einen rekursiven Resolver nach einem Namen. Ist er nicht im Cache, durchläuft der rekursive Resolver die Hierarchie: Er fragt einen Root-Server (der auf die TLD verweist), den TLD-Server (der auf die autoritativen Server der Domain verweist) und schließlich den autoritativen Server, der den eigentlichen Eintrag hält. Die Antwort wird unterwegs gemäß ihrer TTL gecacht. DNS nutzt Port 53 — UDP für die meisten Anfragen, TCP für große.

JuniorNetworking
Die vollständige Antwort
Was ist der Unterschied zwischen einem Forward-Proxy und einem Reverse-Proxy?

Ein Forward-Proxy steht vor den Clients und stellt ausgehende Anfragen in deren Namen — für Egress-Kontrolle, Filterung, Caching und Anonymität. Ein Reverse-Proxy steht vor den Servern und empfängt eingehende Anfragen in deren Namen — für Lastausgleich, TLS-Terminierung, Caching und als Sicherheitsfassade für eine WAF. Die Richtung, in die er zeigt, clientseitig oder serverseitig, ist die entscheidende Unterscheidung.

Mid-levelNetworkingWeb Security
Die vollständige Antwort
Wie funktioniert traceroute, und welche Rolle spielt das TTL-Feld?

Traceroute entdeckt die Router zwischen Ihnen und einem Ziel, indem es das TTL-Feld ausnutzt. Es sendet Pakete mit TTL=1, dann 2, dann 3 und so weiter. Jeder Router verringert die TTL; erreicht die TTL null, verwirft dieser Router das Paket und gibt eine ICMP-Time-Exceeded-Nachricht zurück, die seine Adresse offenbart. Durch das schrittweise Erhöhen der TTL bildet traceroute jeden Hop der Reihe nach ab, bis das Ziel erreicht ist.

Mid-levelNetworking
Die vollständige Antwort
Was ist NAT, und wie unterscheidet sich PAT davon?

NAT (Network Address Translation) schreibt die Quell- und/oder Ziel-IP um, während Pakete eine Grenze überqueren, und bildet typischerweise private interne Adressen auf öffentliche ab. PAT (Port Address Translation oder NAT Overload) erweitert dies, indem es auch Ports übersetzt, sodass viele interne Hosts sich eine einzige öffentliche IP teilen — jeder Fluss durch seinen Port unterschieden. PAT ist das, was Heim- und Büro-Router nutzen, um ein ganzes LAN hinter eine Adresse zu setzen.

Mid-levelNetworking
Die vollständige Antwort
Erklären Sie das OSI-Modell und was jede Schicht hinzufügt.

Das OSI-Modell teilt Netzwerke in sieben Schichten, von denen jede eine Verantwortung hinzufügt: Bitübertragung (Bits auf dem Kabel), Sicherung (Frames und MAC-Adressierung), Vermittlung (IP-Routing), Transport (TCP/UDP, Ports, Zuverlässigkeit), Sitzung (Verwaltung von Verbindungen), Darstellung (Kodierung, Verschlüsselung, Kompression) und Anwendung (Protokolle wie HTTP). Jede Schicht kapselt die darüberliegende, während die Daten den Stapel hinabwandern.

JuniorNetworking
Die vollständige Antwort
Was ist ein Subnetz, und was macht eine Subnetzmaske?

Ein Subnetz ist eine logische Unterteilung eines IP-Netzes. Die Subnetzmaske markiert, welche Bits einer IP-Adresse der Netz-Anteil und welche der Host-Anteil sind — zum Beispiel bedeutet /24 (255.255.255.0), dass die ersten 24 Bit das Netz und die letzten 8 die Hosts kennzeichnen. Subnetting steuert, wie Verkehr geroutet wird, und erlaubt es, ein Netz in kleinere Broadcast-Domänen zu segmentieren.

JuniorNetworking
Die vollständige Antwort
Erklären Sie den TCP-Drei-Wege-Handshake.

TCP öffnet eine Verbindung in drei Schritten. Der Client sendet ein SYN mit einer initialen Sequenznummer, der Server antwortet mit SYN-ACK (bestätigt die Nummer des Clients und sendet seine eigene), und der Client gibt ein ACK zurück. Nach diesem Austausch haben sich beide Seiten auf die Start-Sequenznummern geeinigt, und die Verbindung ist für eine zuverlässige, geordnete Byte-Zustellung aufgebaut.

JuniorNetworking
Die vollständige Antwort
TCP vs. UDP — worin unterscheiden sie sich und wann wählt man welches?

TCP ist verbindungsorientiert: es macht einen Handshake, nummeriert Bytes, überträgt Verluste neu und steuert die Überlastung, was eine zuverlässige geordnete Zustellung auf Kosten von Latenz und Overhead bietet. UDP ist verbindungslos und nach dem Prinzip senden-und-vergessen — kein Handshake, keine Neuübertragung, keine Ordnung. Nutzen Sie TCP, wenn Korrektheit zählt (Web, E-Mail, Dateiübertragung), und UDP, wenn Geschwindigkeit mehr zählt als Perfektion (DNS, VoIP, Gaming, Video).

JuniorNetworking
Die vollständige Antwort
Wie vergleicht sich das TCP/IP-Modell mit dem OSI-Modell?

Das TCP/IP-Modell hat vier Schichten — Netzzugang, Internet, Transport und Anwendung — und beschreibt, wie das reale Internet funktioniert. OSI hat sieben. Sie bilden eng aufeinander ab: Die Anwendungsschicht von TCP/IP nimmt die Anwendungs-, Darstellungs- und Sitzungsschicht von OSI auf; seine Netzzugangsschicht vereint die Bitübertragungs- und Sicherungsschicht von OSI. OSI ist die bessere Referenz zum Lehren und zur Fehlersuche; TCP/IP ist die tatsächlich umgesetzte Protokollsuite.

JuniorNetworking
Die vollständige Antwort
Was ist ein VLAN, und welchen Sicherheitswert hat es?

Ein VLAN (Virtual LAN) partitioniert einen physischen Switch logisch in getrennte Layer-2-Broadcast-Domänen, sodass Geräte in unterschiedlichen VLANs sich selbst auf derselben Hardware nicht direkt erreichen können. Es wird auf Trunk-Verbindungen mit einem 802.1Q-Tag gekennzeichnet. Der Sicherheitswert ist die Segmentierung: das Isolieren von Benutzer-, Server-, Gast- und IoT-Verkehr begrenzt die Broadcast-Reichweite und die laterale Bewegung, wobei VLAN-übergreifender Verkehr durch einen Router oder eine Firewall geleitet wird, wo Richtlinien angewendet werden.

Mid-levelNetworking
Die vollständige Antwort
Was ist der Unterschied zwischen einem VPN und einem Proxy?

Ein VPN erstellt einen verschlüsselten Tunnel auf Netz-/Betriebssystemebene, sodass der gesamte Verkehr eines Geräts hindurchgeleitet und Ende-zu-Ende geschützt wird — genutzt für sicheren Fernzugriff. Ein Proxy arbeitet auf Anwendungsebene, leitet den Verkehr bestimmter Anwendungen oder Protokolle weiter und verschlüsselt ihn nicht zwingend. Die großen Unterschiede sind der Geltungsbereich (ganzes Gerät vs. pro Anwendung) und dass ein VPN per Design verschlüsselt, während viele Proxys das nicht tun.

JuniorNetworking
Die vollständige Antwort
Was ist eine DMZ in der Netzwerkarchitektur, und warum würde man eine einsetzen?

Eine DMZ (demilitarisierte Zone) ist ein Netzsegment, das zwischen dem nicht vertrauenswürdigen Internet und dem vertrauenswürdigen internen Netz sitzt und öffentlich erreichbare Dienste wie Web-, Mail- und DNS-Server beherbergt. Firewall-Regeln lassen das Internet die DMZ erreichen, beschränken aber den Zugriff der DMZ auf das interne Netz streng. Das Ziel ist Eindämmung: wird ein öffentlicher Server kompromittiert, steckt der Angreifer in der Pufferzone fest, statt im LAN zu landen.

Mid-levelNetworking
Die vollständige Antwort
Erkläre mir, wie du eine brandneue Zielmaschine enumerierst.

Man beginnt mit einem vollständigen TCP-Portscan und enumeriert dann jeden offenen Dienst gründlich — Banner, Versionen, Standardanmeldedaten, anonymer Zugriff und Webinhalte — bevor man irgendeinen Exploit anrührt. Die meisten Maschinen fallen durch gründliche Enumerierung, nicht durch clevere Exploits, was den Kern der „try harder“-Haltung ausmacht.

JuniorNetworkingLinux Internals
Die vollständige Antwort
Warum alle 65535 Ports scannen, und wie macht man das effizient mit nmap?

Der Standard-nmap-Scan deckt nur die 1000 häufigsten Ports ab, also würde ein Dienst auf einem hohen Port komplett übersehen. Das effiziente Muster ist zuerst ein schneller SYN-Scan aller 65535 Ports, dann ein fokussierter Versions- und Standardskript-Scan nur gegen die als offen gefundenen Ports.

JuniorNetworking
Die vollständige Antwort
Du hast einen Host mit einer zweiten Netzwerkschnittstelle kompromittiert. Wie pivotierst du?

Nutze den kompromittierten Host als Relais in das unerreichbare Subnetz. Richte eine Portweiterleitung für einen einzelnen Dienst ein oder einen dynamischen SOCKS-Proxy (SSH -D oder chisel) und leite deine Werkzeuge mit proxychains darüber, damit deine Angreifer-Maschine interne Hosts über den Pivot erreicht.

SeniorNetworking
Die vollständige Antwort
Was prüfst du, wenn du SMB und SNMP offen auf einem Host findest?

Bei SMB enumerierst du Freigaben, prüfst auf anonymen/Null-Session-Zugriff, listest Benutzer auf und bestimmst die Version für bekannte CVEs. Bei SNMP probierst du Standard-Community-Strings wie „public“ und gehst die MIB durch, um Benutzernamen, laufende Prozesse, installierte Software und Netzwerkdetails zu extrahieren.

Mid-levelWindows InternalsNetworking
Die vollständige Antwort
Erklären Sie den Unterschied zwischen passiver und aktiver Aufklärung, mit Beispielen für jede.

Passive Aufklärung sammelt Informationen, ohne direkt mit den Systemen des Ziels zu interagieren — OSINT, DNS-Einträge, Certificate Transparency. Aktive Aufklärung berührt das Ziel, etwa Portscans oder Banner-Grabbing, was lauter ist, aber mehr Details liefert.

JuniorNetworkingThreat Intelligence
Die vollständige Antwort
Führen Sie mich durch die Phasen eines Penetrationstests vom Kickoff bis zur Übergabe.

Ein Pentest durchläuft Pre-Engagement (Scope und Einsatzregeln), Aufklärung, Scanning und Enumeration, Ausnutzung, Post-Exploitation und Reporting. Jede Phase speist die nächste, und im Reporting wird der Wert tatsächlich an den Kunden geliefert.

JuniorNetworkingWeb Security
Die vollständige Antwort
Sie haben einen Host in einem segmentierten Netzwerk kompromittiert. Erklären Sie, wie Sie pivotieren, um Systeme zu erreichen, die Sie nicht direkt berühren können.

Pivoting verwandelt einen kompromittierten Host in ein Relais, damit Sie interne Segmente erreichen, zu denen Ihre Maschine nicht routen kann. Sie nutzen Port-Forwarding, einen SOCKS-Proxy über Ihren C2-Kanal (z. B. Chisel, SSH-Dynamic-Forwarding) oder agentenbasiertes Routing und führen dann Werkzeuge durch diesen Tunnel, um das nächste Subnetz anzugreifen.

SeniorNetworkingWindows Internals
Die vollständige Antwort
Sie haben eine Shell mit niedrigen Rechten auf einer Linux-Maschine. Führen Sie mich durch, wie Sie zu root eskalieren würden.

Enumerieren Sie zuerst: aktuelle Rechte, sudo-Rechte, SUID/SGID-Binaries, Cron-Jobs, beschreibbare Dateien im PATH, Kernel-Version und gespeicherte Zugangsdaten. Nutzen Sie dann den einfachsten zuverlässigen Weg — oft eine fehlkonfigurierte sudo-Regel oder ein SUID-GTFOBin — bevor Sie zu einem Kernel-Exploit greifen.

Mid-levelLinux InternalsNetworking
Die vollständige Antwort
Erklären Sie Reverse Shells im Vergleich zu Bind Shells und wann Sie welche wählen würden.

Eine Bind Shell öffnet einen lauschenden Port auf dem Ziel und wartet, dass Sie sich verbinden. Eine Reverse Shell lässt das Ziel ausgehend zu einem von Ihnen kontrollierten Listener verbinden. Reverse Shells gewinnen meist, weil ausgehender Verkehr eingehende Firewall-Regeln und NAT umgeht.

Mid-levelNetworkingLinux Internals
Die vollständige Antwort
Ein Kunde fragt, warum er für einen Pentest zahlen soll, wenn er bereits Schwachstellenscans durchführt. Wie antworten Sie?

Ein Schwachstellenscan ist eine automatisierte, in die Breite gehende Bestandsaufnahme potenzieller Schwächen, oft mit Fehlalarmen. Ein Penetrationstest ist menschengeführt: Er validiert Funde, verkettet sie und demonstriert durch tatsächliche Ausnutzung echte geschäftliche Auswirkungen.

JuniorNetworkingWeb Security
Die vollständige Antwort
Erkläre Defense in Depth und nenne ein konkretes Beispiel für die Anwendung.

Defense in Depth bedeutet, mehrere unabhängige Sicherheitskontrollen zu staffeln, sodass bei Versagen einer Kontrolle die anderen das Asset weiterhin schützen. Keine Kontrolle gilt als perfekt, daher stapelt man präventive, detektierende und reagierende Maßnahmen über die Schichten Netzwerk, Host, Anwendung und Daten.

JuniorNetworkingIdentity & Access Management
Die vollständige Antwort
Erkläre mir, wie du einen frisch aufgesetzten, internetzugänglichen Linux-Server härten würdest.

Angriffsfläche reduzieren (ungenutzte Pakete/Dienste entfernen), SSH nur per Schlüssel und ohne Root-Login erzwingen, das System gepatcht halten, eine Default-Deny-Firewall betreiben, die nur nötige Ports freigibt, geringste Rechte über sudo und Dateirechte durchsetzen, auditd und zentrales Logging aktivieren sowie Integritätsüberwachung plus ein MAC wie SELinux oder AppArmor ergänzen.

SeniorLinux InternalsNetworking
Die vollständige Antwort
Was ist Netzwerksegmentierung, und wie verhält sie sich zu einem Zero-Trust-Modell?

Segmentierung teilt ein Netzwerk in isolierte Zonen, sodass ein Einbruch in einer die anderen nicht ungehindert erreichen kann, was laterale Bewegung begrenzt. Zero Trust geht weiter: Es entfernt implizites Vertrauen auf Basis des Netzwerkstandorts vollständig und authentifiziert und autorisiert jede Anfrage, egal woher sie stammt – Mikrosegmentierung ist eine Möglichkeit, es umzusetzen.

SeniorNetworkingIdentity & Access Management
Die vollständige Antwort
Was ist eine PKI, und erkläre mir, wie ein Client das Zertifikat eines Servers validiert.

Eine PKI ist das System aus CAs, Zertifikaten und Richtlinien, das öffentliche Schlüssel an Identitäten bindet. Um ein Serverzertifikat zu validieren, baut ein Client eine Kette zu einer vertrauenswürdigen Wurzel auf, prüft jede Signatur, kontrolliert Gültigkeitsdaten und Hostname, bestätigt die Schlüsselverwendung und prüft die Sperrung über CRL oder OCSP.

Mid-levelCryptographyNetworking
Die vollständige Antwort
Warum sind DNS-Logs für die Detektion nützlich, und welche Bedrohungen kann man darin finden?

Fast alles berührt DNS, daher offenbaren DNS-Logs Bedrohungen, die andere Quellen verpassen: Command-and-Control-Beaconing (regelmäßige Callbacks zu einer Domain), DNS-Tunneling und -Exfiltration (hohes Volumen langer, kodierter Subdomains) sowie algorithmisch generierte (DGA) Domains. Man erkennt sie über Muster wie Abfrageregelmäßigkeit, Entropie, Record-Typen und Volumen statt über eine einzelne verdächtige Abfrage.

SeniorNetworkingDFIR (Forensics & Incident Response)Threat Intelligence
Die vollständige Antwort

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.