信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2025/2/26）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2025/2/26

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內(nèi)容（2025/2/26）

試題三（共20分）
閱讀下列說明和圖，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】域名系統(tǒng)是網(wǎng)絡(luò)空間的中樞神經(jīng)系統(tǒng)，其安全性影響范圍大，也是網(wǎng)絡(luò)攻防的重點。李工在日常的流量監(jiān)控中，發(fā)現(xiàn)如圖3-1所示的可疑流量，請協(xié)助分析其中可能的安全事件。
【問題1】（4分）
域名系統(tǒng)釆用授權(quán)的分布式數(shù)據(jù)査詢系統(tǒng)，完成域名和IP地址的解析。李工通過上述流量可以判斷域名解析是否正常、有無域名劫持攻擊等安全事件發(fā)生。
（1）域名系統(tǒng)的服務(wù)端程序工作在網(wǎng)絡(luò)的哪一層？
（2）圖3-1中的第一個網(wǎng)絡(luò)分組要解析的域名是什么？
（3）給出上述域名在DNS查詢包中的表示形式（16進制）。
（4）由圖3-1可知李工所在單位的域名服務(wù)器的IP地址是什么？

【問題2】 (2分)
簽于上述DNS協(xié)議分組包含大量奇怪的子域名，如想知道是哪個應(yīng)用程序發(fā)送的上述網(wǎng)絡(luò)分組，請問在Windows系統(tǒng)下，李工應(yīng)執(zhí)行哪條命令以確定上述DNS流量來源?
【問題3】（6分）
通過上述的初步判斷，李工認為192.168.229.I的計算機可能已經(jīng)被黑客所控制（CC攻擊）。黑客慣用的手法就是建立網(wǎng)絡(luò)隱蔽通道，也就是指利用網(wǎng)絡(luò)協(xié)議的某些字段秘密傳輸信息，以掩蓋惡意程序的通信內(nèi)容和通信狀態(tài)。
（1）請問上述流量最有可能對應(yīng)的惡意程序類型是什么？
（2）上述流量中隱藏的異常行為是什么？請簡要說明。
（3）信息安全目標包括保密性、完整性、不可否認性、可用性和可控性，請問上述流量所對應(yīng)的網(wǎng)絡(luò)攻擊違反了信息安全的哪個目標？
【問題4】（6分）
通過上述的攻擊流分析，李工決定用防火墻隔離該計算機，李工所運維的防火墻是Ubuntu系統(tǒng)自帶的iptables防火墻。
（1）請問iptables默認實現(xiàn)數(shù)據(jù)包過濾的表是什么？該表默認包含哪幾條鏈？
（2）李工首先要在ipables防火墻中査看現(xiàn)有的過濾規(guī)則，請給出該命令。
（3）李工要禁止該計算機繼續(xù)發(fā)送DNS數(shù)據(jù)包，請給出相應(yīng)過濾規(guī)則。
【問題5】（2分）
在完成上述處置以后，李工需要分析事件原因，請說明導致DNS成為CC攻擊的首選隱蔽傳輸通道協(xié)議的原因。
信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2025/2/26

信管網(wǎng)考友試題答案分享：

信管網(wǎng)cnit**************：
應(yīng)用層 www.humen.com 133netstat -bdos攻擊 可用性filter input output forward iptables -l iptables -t filter -a input -s 192.168.229.1 -p udp --sport 53 -j ｄｒｏｐ更隱蔽 不太容易被發(fā)現(xiàn)和攔截

信管網(wǎng)疾風20**：
3、dns查詢風暴 4、（3）iptables -a input -s 192.168.229.1 -p udp -dport 53 -j ｄｒｏｐ 5、更隱蔽，入侵檢測和防火墻設(shè)備不會對dns流量進行攔截過濾

信管網(wǎng)cnit**************：
網(wǎng)絡(luò)層 www.humen.com 192.168.229.133netstat -b域名劫持 可用性filter input output forward

信管網(wǎng)cnit**************：
應(yīng)用層 www.humen.com 7777770568756d656e05636f6d 192.168.229.133netstatdns放大攻擊 發(fā)送大量域名到dns，導致dns…… 可用性filter input、output、forward iptables -l iptables -a input -s 192.168.229.1 -d 192.168.229.133 -p tcp —dport 53 -j ｄｒｏｐ異常的dns請求

信管網(wǎng)ihea***：
問題三的標準答案，1）后門&木馬2）通過dns隧道發(fā)送base64編碼的查詢信息，獲取敏感數(shù)據(jù)或進行控制3）保密性 可用性和可控性 這幾個字符是題中圖片有的v2luzg93 cybjucdp hy3nva4k 5lul5asq base64編碼是windows ip配置 以太

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2025/2/26