信息安全工程師案例分析當天每日一練試題地址：www.njjt123.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.njjt123.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/11/20）在線測試：www.njjt123.com/exam/ExamDayAL.aspx?t1=6&day=2022/11/20

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2022/11/20）

試題三（共20分）
閱讀下列說明和圖，回答問題1至問題5，將解答填入答題紙的對應欄內。
【說明】域名系統是網絡空間的中樞神經系統，其安全性影響范圍大，也是網絡攻防的重點。李工在日常的流量監(jiān)控中，發(fā)現如圖3-1所示的可疑流量，請協助分析其中可能的安全事件。
【問題1】（4分）
域名系統釆用授權的分布式數據査詢系統，完成域名和IP地址的解析。李工通過上述流量可以判斷域名解析是否正常、有無域名劫持攻擊等安全事件發(fā)生。
（1）域名系統的服務端程序工作在網絡的哪一層？
（2）圖3-1中的第一個網絡分組要解析的域名是什么？
（3）給出上述域名在DNS查詢包中的表示形式（16進制）。
（4）由圖3-1可知李工所在單位的域名服務器的IP地址是什么？

【問題2】 (2分)
簽于上述DNS協議分組包含大量奇怪的子域名，如想知道是哪個應用程序發(fā)送的上述網絡分組，請問在Windows系統下，李工應執(zhí)行哪條命令以確定上述DNS流量來源?
【問題3】（6分）
通過上述的初步判斷，李工認為192.168.229.I的計算機可能已經被黑客所控制（CC攻擊）。黑客慣用的手法就是建立網絡隱蔽通道，也就是指利用網絡協議的某些字段秘密傳輸信息，以掩蓋惡意程序的通信內容和通信狀態(tài)。
（1）請問上述流量最有可能對應的惡意程序類型是什么？
（2）上述流量中隱藏的異常行為是什么？請簡要說明。
（3）信息安全目標包括保密性、完整性、不可否認性、可用性和可控性，請問上述流量所對應的網絡攻擊違反了信息安全的哪個目標？
【問題4】（6分）
通過上述的攻擊流分析，李工決定用防火墻隔離該計算機，李工所運維的防火墻是Ubuntu系統自帶的iptables防火墻。
（1）請問iptables默認實現數據包過濾的表是什么？該表默認包含哪幾條鏈？
（2）李工首先要在ipables防火墻中査看現有的過濾規(guī)則，請給出該命令。
（3）李工要禁止該計算機繼續(xù)發(fā)送DNS數據包，請給出相應過濾規(guī)則。
【問題5】（2分）
在完成上述處置以后，李工需要分析事件原因，請說明導致DNS成為CC攻擊的首選隱蔽傳輸通道協議的原因。
信管網試題答案與解析：www.njjt123.com/st/522953774.html

信管網考友試題答案分享：

信管網cnitpm474648934957：
應用層；www.humen.com；  ；192.168.229.133＜br＞nslookup；＜br＞拒絕服務攻擊；一直向服務器發(fā)起域名解析服務請求；可用性可控性；＜br＞     input output forward；  iptables -i；＜br＞iptables -a input -i eth0 -p udp --dport 53 -s 192.168.229.1  -j reject＜br＞iptables -a output -i eth0 -p udp --dport 53 -d 192.168.229.1 -j reject＜br＞dns包內部數據載荷部分內容不容易被發(fā)現

信管網cnitpm565185319045：
[問題一] （1）應用層 （2）www.humen.com （3）0x0003 （4）192.168.229.133 [問題二] nslookup [問題三] （1）蠕蟲 （2）域名被更改 （3）完整性 [問題四]

信管網cnitpm567003198839：
應用層 www.humen.com 77 77 77 05 68 75 6d 65 6e 03 63 6f 6d 192.68.229.133 netstat -b dos 發(fā)現大量域名請求dns服務器進行解析，導致dns解析服務不正常 可用性、可控性 filter、ipbut forwrad output iptables-l

信管網來一個痛快的：
問題1： 傳輸層 www.humen.com 192.168.229.133 問題2： 問題3： 木馬 可能是子域名掃描或者是拒絕服務攻擊， 可用性 問題4： filter表 input、output、forward iptables -l 問題5：

信管網cnitpm580781263662：
3、（1）dos攻擊 （2）發(fā)送大量奇怪的子域名，導致域名服務器工作異常，無法提供服務 （3）可用性和可控性 4、（1）filter； input forword ouput （2）iptables -l （3）iptables -a input 192.168.229.1 -dport 53 -j ｄｒｏｐ 5、非常隱蔽，不容易被防火墻檢查及攔截

信管網試題答案與解析：www.njjt123.com/st/522953774.html