2017年上半年信息安全工程师下午案例分析试题三真题与答案（共20分）

阅读下列说明，回答问题 1 至问题 7，将解答写在答题纸的对 应栏内。

【说明】

扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。nmap 是一个 开放源码的网络扫描工具，可以查看网络系统 中有哪些主机在运行以及哪些服务是开放的。 namp 工具的命令选 项: sS 用于实现 SYN 扫描，该扫描类型是通过观察开放端口和关闭 端口对探测分组的响应来实现端口扫描的。请根据图 3-1 回答下列 问题。

【问题 1】 (2 分)

此次扫描的目标主机的 IP 地址是多少？

参考答案：192.168.220.1

参考解析：通常客户端首先向服务器发送SYN分组以便建立连接。目标服务器接收到SYN包后发回确认数据报文，该数据报文ACK=1。该题中，扫描主机发送SYN分组给目标主机(192.168.220.1)，目标主机反馈SYN、ACK报文给扫描主机。

【问题 2】(2 分)

SYN 扫描采用的传输层协议名字是什么?

参考答案：TCP协议

参考解析：SYN是TCP协议发起连接的同步位。

【问题 3】 (2 分)SYN 的含义是什么?

参考答案：SYN表示同步信号，是TCP建立连接时使用的握手信号。

参考解析：通常TCP连接使用的三次握手建立连接，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接。

【问题 4】 (4 分)

目标主机开放了哪几个端口?简要说明判断依据。

参考答案：目标主机开放了135端口和139端口。依据是如果端口开放，目标主机会响应扫描主机的SYN/ACK连接请求。

参考解析：如果端口开放，目标主机会响应扫描主机的SYN/ACK连接请求：如果端口关闭，则目标主机向扫描主机发送RST的响应。如果收到RST/ACK分组也表示该端口不在监听状态。客户端不管收到的是什么样的分组，都向发起方发送一个RST/ACK分组，表示该端口关闭。

【问题 5】(3 分〉

每次扫描有没有完成完整的三次握手?这样做的目的是什么?

参考答案：没有完成。目的是减少对方主机或者防火墙记录这样的扫描行为。

参考解析：从题目来看，扫描机首先发出一个SYN连接，目标机使用SYN+ACK应答，而扫描机就返回RST终止了三次握手。防火墙往往只记录成功的连接，而半连接的方式减少了对方主机或者防火墙记录这样的扫描行为。

【问题 6】(5 分〉

补全表3-1 所示的防火墙过滤器规则的空(1) - (5），达到防火墙禁止此类扫描流量进入和处出网络 ，同时又能允许网内用户访问外部网页服务器的目的。

表 3-1 防火墙过滤器规则表

参考答案：（1）UDP（2）*（3）80（4）0（5）*

参考解析：第1条规则，拒绝从外网往内网发送请求连接信息，所以ACK=0。

第2、3、4条规则，配置允许内网用户访问外部网页服务器。

第2条规则，允许内网往外网服务器80端口发送的请求连接和应答信息，所以目的端口为80。

第3条规则，允许内网向外网域名服务器发送的请求连接和应答信息，所以协议为UDP

第4条规则，允许外网域名服务器发往内网的应答信息，UDP协议不关心ACK，所以ACK=*。

第5条规则，其他流量一律不允许进出内外部网络，所以协议为*。

【问题 7】 (2 分)

简要说明为什么防火墙需要在迸出两个方向上对据数据包进行过滤。

参考答案：在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止内部用户通过本网络对外攻击，防止自己成攻击的源头或跳板。