2019上半年信息安全工程師下午應用技術（案例分析）題型舉例

試題一

閱讀下列說明,回答問題1至問題4,將解答填入答題紙的對應欄內。

【說明】惡意代碼是指為達到惡意目的專門設計的程序或者代碼。常見的惡意代碼類型有特洛伊木馬、蠕蟲、病毒、后門、rootkit、僵尸程序、廣告軟件。

2017年5月,勒索軟件wanacry席卷全球,國內大量高校及企事業(yè)單位的計算機被攻擊,文件及數(shù)據(jù)被加密后無法使用,系統(tǒng)或服務無法正常運行,損失巨大。

【問題1】（2分）

按照惡意代碼的分類,此次爆發(fā)的惡意軟件屬于哪種類型?

【問題2】（2分）

此次勒索軟件針對的攻擊目標是windows還是linux類系統(tǒng)?

【問題3】（6分）

惡意代碼具有的共同特征是什么?

【問題4】（5分）

由于此次勒索軟件需要利用系統(tǒng)的smb服務漏洞(端口號445)進行傳播,我們可以配置防火墻過濾規(guī)則來阻止勒索軟件的攻擊,請?zhí)顚懕?-1中的空（1）-（5）,使該過濾規(guī)則完整。

注:假設本機ip地址為:1.2.3.4,”*”表示通配符。

試題二

閱讀下列說明,答問題1至問題3,將解答填入答題紙的對應欄內。

【說明】在linux系統(tǒng)中,用戶賬號是用戶的身份標志,它由用戶名和用戶口令組成。

【問題1】（4分）

linux系統(tǒng)將用戶名和口令分別保存在哪些文件中?

【問題2】（7分）

linux系統(tǒng)的用戶名文件通常包含如下形式的內容:root:x:0:0:root:root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

文件中的一行記錄對應著一個用戶,每行記錄用冒號(:)分隔為7個字段,請問第1個冒號(第二列)和第二個冒號(第三列)的含義是什么?上述用戶名文件中,第三列的數(shù)字分別代表什么含義?

【問題3】（4分）

linux系統(tǒng)中用戶名文件和口令字文件的默認訪問權限分別是什么?

試題四

閱讀下列說明和c語言代碼,回答問題1至問題4,將解答寫在答題紙的對應欄內。

【說明】

在客戶服務器通信模型中,客戶端需要每隔一定時間向服務器發(fā)送數(shù)據(jù)包,以確定服務器是否掉線,服務器也能以此判斷客戶端是否存活,這種每隔固定時間發(fā)一次的數(shù)據(jù)包也稱為心跳包。心跳包的內容沒有什么特別的規(guī)定,一般都是很小的包。

某系統(tǒng)采用的請求和應答兩種類型的心跳包格式如圖4-1所示。

心跳包類型占1個字節(jié)，主要是請求和響應兩種類型；

心跳包數(shù)據(jù)長度字段占2個字節(jié)，表示后續(xù)數(shù)據(jù)或者負載的長度。

接收端收到該心跳包后的處理函數(shù)是process_heartbeat(),其中參數(shù)p指向心跳包的報文數(shù)據(jù),s是對應客戶端的socket網絡通信套接字。

【問題1】（4分）

（1）心跳包數(shù)據(jù)長度字段的最大取值是多少?

（2）心跳包中的數(shù)據(jù)長度字段給出的長度值是否必須和后續(xù)的數(shù)據(jù)字段的實際長度一致？

【問題2】（5分）

（1）上述接收代碼存在什么樣的安全漏洞?

（2）該漏洞的危害是什么?

【問題3】（2分）

模糊測試(fuzzing)是一種非常重要的信息系統(tǒng)安全測評方法,它是一種基于缺陷注入的自動化測試技術。請問模糊測試屬于黑盒測試還是白盒測試?其測試結果是否存在誤報?

【問題4】（4分）

模糊測試技術能否測試出上述代碼存在的安全漏洞?為什么?

試題五

閱讀下列說明和圖,回答問題1至問題5,將解答寫在答題紙的對應欄內。

【說明】

入侵檢測系統(tǒng)(ids)和入侵防護系統(tǒng)(ips)是兩種重要的網絡安全防御手段,ids注重的是網絡安全狀況的監(jiān)管,ips則注重對入侵行為的控制。

【問題1】（2分）

網絡安全防護可以分為主動防護和被動防護,請問ids和ips分別屬于哪種防護?

【問題2】（4分）

入侵檢測是動態(tài)安全模型(p2dr)的重要組成部分。請列舉p2dr模型的4個主要組成部分。

【問題3】（2分）

假如某入侵檢測系統(tǒng)記錄了如圖5-1所示的網絡數(shù)據(jù)包：

請問圖中的數(shù)據(jù)包屬于哪種網絡攻擊?該攻擊的具體名字是什么?

【問題4】（4分）

入侵檢測系統(tǒng)常用的兩種檢測技術是異常檢測和誤用檢測,請問針對圖中所描述的網絡攻擊應該采用哪種檢測技術?請簡要說明原因。

【問題5】（3分）

snort是一款開源的網絡入侵檢測系統(tǒng),它能夠執(zhí)行實時流量分析和ip協(xié)議網絡的數(shù)據(jù)包記錄.

snort的配置有3種模式,請給出這3種模式的名字。