2017年上半年信息安全工程师下午案例分析试题三真题与答案(共20分)

2017年上半年信息安全工程师下午案例分析试题三真题与答案(共20分)

阅读下列说明,回答问题 1 至问题 7,将解答写在答题纸的对 应栏内。

【说明】

扫描技术是网络攻防的一种重要手段,在攻和防当中都有其重要意义。nmap 是一个 开放源码的网络扫描工具,可以查看网络系统 中有哪些主机在运行以及哪些服务是开放的。 namp 工具的命令选 项: sS 用于实现 SYN 扫描,该扫描类型是通过观察开放端口和关闭 端口对探测分组的响应来实现端口扫描的。请根据图 3-1 回答下列 问题。

【问题 1】 (2 分)

此次扫描的目标主机的 IP 地址是多少?

参考答案192.168.220.1

参考解析:通常客户端首先向服务器发送SYN分组以便建立连接。目标服务器接收到SYN包后发回确认数据报文,该数据报文ACK=1。该题中,扫描主机发送SYN分组给目标主机(192.168.220.1),目标主机反馈SYN、ACK报文给扫描主机。

【问题 2】(2 分)

SYN 扫描采用的传输层协议名字是什么?

参考答案TCP协议

参考解析:SYN是TCP协议发起连接的同步位。

【问题 3】 (2 分)SYN 的含义是什么?

参考答案SYN表示同步信号,是TCP建立连接时使用的握手信号。

参考解析:通常TCP连接使用的三次握手建立连接,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接。

【问题 4】 (4 分)

目标主机开放了哪几个端口?简要说明判断依据。

参考答案目标主机开放了135端口和139端口。依据是如果端口开放,目标主机会响应扫描主机的SYN/ACK连接请求。

参考解析:如果端口开放,目标主机会响应扫描主机的SYN/ACK连接请求:如果端口关闭,则目标主机向扫描主机发送RST的响应。如果收到RST/ACK分组也表示该端口不在监听状态。客户端不管收到的是什么样的分组,都向发起方发送一个RST/ACK分组,表示该端口关闭。

【问题 5】(3 分〉

每次扫描有没有完成完整的三次握手?这样做的目的是什么?

参考答案没有完成。目的是减少对方主机或者防火墙记录这样的扫描行为。

参考解析:从题目来看,扫描机首先发出一个SYN连接,目标机使用SYN+ACK应答,而扫描机就返回RST终止了三次握手。防火墙往往只记录成功的连接,而半连接的方式减少了对方主机或者防火墙记录这样的扫描行为。

【问题 6】(5 分〉

补全表3-1 所示的防火墙过滤器规则的空(1) - (5),达到防火墙禁止此类扫描流量进入和处出网络 ,同时又能允许网内用户访问外部网页服务器的目的。

表 3-1 防火墙过滤器规则表

参考答案(1)UDP(2)*(3)80(4)0(5)*

参考解析:第1条规则,拒绝从外网往内网发送请求连接信息,所以ACK=0。

第2、3、4条规则,配置允许内网用户访问外部网页服务器。

第2条规则,允许内网往外网服务器80端口发送的请求连接和应答信息,所以目的端口为80。

第3条规则,允许内网向外网域名服务器发送的请求连接和应答信息,所以协议为UDP

第4条规则,允许外网域名服务器发往内网的应答信息,UDP协议不关心ACK,所以ACK=*。

第5条规则,其他流量一律不允许进出内外部网络,所以协议为*。

【问题 7】 (2 分)

简要说明为什么防火墙需要在迸出两个方向上对据数据包进行过滤。

参考答案在进入方向过滤是为了防止被人攻击,而在出口方向过滤则是为了防止内部用户通过本网络对外攻击,防止自己成攻击的源头或跳板。

—— 完 ——
相关推荐
评论

立 为 非 似

中 谁 昨 此

宵 风 夜 星

。 露 , 辰

文章点击榜

细 无 轻 自

如 边 似 在

愁 丝 梦 飞

。 雨 , 花