试题三(共 18 分)
阅读下列说明和图,回答问题 1 至问题 9,将解答填入答题纸的对应栏内。【说明】Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。有一天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过查看 NTA 全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事件。
图 3-1
【问题 1】(2 分)
Windows 系统提供的日志有三种类型,分别是系统日志、应用程序日志和安全日志,请问图 3-1 的日志最有可能来自哪种类型的日志?问题 1 解析:Windows 日志有三种类型:系统日志、应用程序日志和安全日志,它们对应的文件名为 Sysevent.evt、Appevent.evt 和 Secevent.evt。这些日志文件通常存放在操作系统安装的区域“system32\config”目录下。系统日志包含由 Windows 系统组件记录的事件,记录系统进程和设备驱动程序的活动;应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动;安全日志记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。根据图 3-1 中的事件来源“Microsoft Windows security auditing”安全审计,可知该日志最有可能来自安全日志。
参考答案:安全日志
【问题 2】(2 分)
请选择 Windows 系统所采用的记录日志信息的文件格式后缀名。备选项:A.log B.txt C.xml D.evt
问题 2 解析:Windows 日志有三种类型:系统日志、应用程序日志和安全日志,它们对应的文件名为 Sysevent.evt、Appevent.evt 和 Secevent.evt。日志文件的后缀名是.evt。
参考答案:D
【问题 3】(2 分)
访问 Windows 系统中的日志记录有多种方法,请问通过命令行窗口快速访问日志的命令名字(事件查看器)是什么?
问题 3 解析:通过命令行窗口快速访问事件查看器,可以使用命令“eventvwr”。也可以在开始菜单的运行中输入“eventvwr.msc”。
参考答案:eventvwr
【问题 4】(2 分)
Windows 系统通过事件 ID 来记录不同的系统行为,图 3-1 的事件 ID 为 4625,请结合任务类别,判断导致上述日志的最有可能的情况。备选项:A.本地成功登录B. 网络失败登录C.网络成功登录D. 本地失败登录
问题 4 解析:根据任务类别 logon,说明是登录事件,事件 ID:4624 表示登录成功,4625 表示登录失败,所以可以排除 AC。另外事件日志详细信息中还会列出登录类型,题干中并没有列出说明,所以需要结合上下文来判断,根据问题 5 针对 3389 的远程桌面端口,以及图 3-1 的登录失败的事件频率,可以基本判定是通过远程桌面进行的暴力密码攻击,属于网络登录。
参考答案:B
【问题 5】(2 分)
王工通过对攻击流量的关联分析定位到了图 3-2 所示的网络分组,请指出上述攻击针对的是哪一个端口。
问题 5 解析:根据图 3-2 所示的网络分组,发现是 IP 地址 192.168.69.69 的主机与 IP 地址192.168.1.100 的主机之间的通信,由 192.168.69.69 向 192.168.1.100 发起了针对目标端口为 3389 的 TCP 链接,该端口对应的是远程桌面 RDP 服务,根据图 3-1 的登录失败的事件频率,可以基本判定是通过远程桌面进行的暴力密码攻击。
参考答案:3389
【问题 6】(2 分)
如果要在 Wireshark 当中过滤出上述流量分组,请写出在显示过滤框中应输入的过滤表达式。
问题 6 解析:图 3-2 中流量分组都是 IP 地址 192.168.69.69 的主机与 IP 地址 192.168.1.100 的主机之间的通信,所以可以设定两个 IP 地址的过滤表。即 ip.addr == 192.168.69.69 andip.addr == 192.168.1.100 。
参考答案:ip.addr == 192.168.69.69 and ip.addr == 192.168.1.100【问题 7】(2 分)Windows 系统为了实现安全的远程登录使用了 tls 协议,请问图 3-2 中,服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。
问题 7 解析:SSL/TSL 通过四次握手,图 3-2 的四次握手如下:
1)客户端发送序号 12161 的数据包发起 Client Hello 请求;
2)服务器回应序号 12162 的数据包 Server Hello,其中包含协商版本信息、加密方法以及数字证书;
3)客户端发送序号 12164 的数据包回应,其中包含约定好的 HASH 计算握手消息;
4)服务器发送序号 12165 的数据包完成握手,其中包含密码加密一段握手消息。所以服务器传输数字证书在第二次握手阶段,数据包序号 12162;四次握手完成后开始传递加密数据,对应序号是 12168。
参考答案:服务器数字证书在序号 12162 为的数据包中传递;通信双方是从序号为 12168 的数据包开始传递加密数据。
【问题 8】(2 分)
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪一种网络安全事件?
问题 8 解析:有害程序事件:是指插入信息系统的一段程序,会对信息系统的完整性、保密性和可用性产生危害,甚至影响营销系统的正常运转。计算机病毒、蠕虫事件、混合攻击程序事件等都是有害程序,这类事件具有故意编写、传播有害程序的特点。网络攻击事件:是指通过网络技术、利用系统漏洞和协议对信息系统实施攻击,对信息系统造成危害或造成系统异常的安全事件,如 DDoS 攻击、后门攻击、漏洞攻击等。信息破坏事件:是指通过网络等其他手段,对系统中的信息进行篡改或窃取、泄露等的安全事件,主要包括信息篡改、信息泄露等。信息内容安全事件:是指利用网络信息发布、传播危害国家安全、社会安全和公共利益安全的事件。设备实施故障:是指因信息系统本身的故障或人为破坏信息系统设备而导致的网络安全事件。灾害性事件:是指外界环境对系统造成物理破坏而导致的网络安全事件。题干表述的攻击是通过网络技术对信息系统造成一场的安全事件,属于网络攻击事件。参考答案:网络攻击事件
【问题 9】(2 分)
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?
问题 9 解析:由于基本判定为利用 3389 端口进行的暴力密码攻击。针对的是保密性。
参考答案:保密性
3576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
