阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应#内。
【说明】
域名系统是网络空间的中枢神经系统,其安全性影响范围大,也是网络攻防的重点。李 工在日常的流量监控中,发现以下可疑流量,请协助分析其中可能的安全事件。
【问题1】(4分)
域名系统采用授权的分布式数据查询系统,完成域名和IP地址的解析。李工通过上述 流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。
(1) 域名系统的服务端程序工作在网络的哪一层?
(2) 图3-1中的第一个网络分组要解析的域名是什么?
(3) 给出上述域名在DNS查询包中的表示形式(16进制)。
(4) 由图3-1可知李工所在单位的域名服务器的IP地址是什么?
【问题2】(2分)
鉴于上述DNS协议分组包含大量奇怪的子域名,如想知道是哪个应用程序发送的上述 网络分组,请问在Windows系统下,李工应执行哪条命令以确定上述DNS流量来源?
【问题3】(6分)
通过上述的初步判断,李工认为192.168.229.1的计算机可能己经被黑客所控制(CC攻 击)。黑客惯用的手法就是建立网络隐蔽通道,也就是指利用网络协议的某些字段秘密传输 信息,以掩盖恶意程序的通信内容和通信状态。
(1) 请问上述流量最有可能对应的恶意程序类型是什么?
(2) 上述流量中隐藏的异常行为是什么?请简要说明。
(3) 信息安全目标包括保密性、完整性、不可否认性、可用性和可控性。请问上述流量 所对应的网络攻击违反了信息安全的哪个目标?
【问题4】(6分)
通过上述的攻击流分析,李工决定用防火墙隔离该计算机。李工所运维的防火墙是 Ubuntu系统自带的iptables防火墙。
(1) 请问iptables默认实现数据包过滤的表是什么?该表默认包含哪几条链?
(2) 李工首先要在iptables防火墙中查看现有的过滤规则,请给出该命令。
(3) 李工要禁止该计算机继续发送DNS数据包,请给出相应过滤规则。
【问题5】(2分)
在完成上述处置以后,李工需要分析事件原因,请说明导致DNS成为CC攻击的首选 隐蔽传输通道协议的原因。
【问题1】
(1) 应用层
(2) www.humen.com
(3) 7777770568756d656e03636f6d
(4) 192.168.229.133
【问题2】
由流量的源端口号和netstat/b对应的进程关联即可得知
【问题3】
(1) 特洛伊木马
(2) 执行ipconfig命令,回传网络信息
(3) 机密性
【问题4】
(1) filter; INPUT, FORWARD, OUTPUT
(2) iptables -L
(3) iptables -I INPUT -s 192.168.229.1 -j DROP
【问题5】
放行
本题围绕域名协议的攻防问题,重点考查协议的分析、协议攻击的原理以及网络攻击的防护。
题目给出网络流量,要求考生对Wireshark工具、域名协议和防火墙的实际操作非常熟悉。
【问题1】
域名协议是典型的网络应用,工作在应用层。
从Wireshark第一个分组中的info栏可以明确得知其查询的域名为www.humen.com。而且从图中下半部分可以知道上述域名的编码方法,分别是长度+每一级域名的ASCII 码。字母w的ASCII 码值可以从图中t的ASCII 码值(十六进制74)推导出来,为77,字母a的ASCII码值为十六进制61,因此com的 ASCII码值为636f6d,以此类推。
域名解析的目的IP地址就是域名服务器的IP地址。所以查看查询分组的目的地址即可,即李工所在单位的域名服务器的P地址为192.168.229.133。
【问题2】
由流量的源端口号和netstat/b对应的进程关联,即可得知 DNS流量来源。
【问题3】
病毒是能够自我复制和传播的代码片段,通常病毒无法远程控制。
蠕虫也是一种类似病毒的计算机程序,但它不会去修改其他程序,它越来越多地自我复制导致计算机系统变慢。蠕虫可以进行远程控制。
特洛伊木马不会像病毒和蠕虫那样自我复制。它具备很好的隐藏能力,悄悄地窃取用户的重要信息。根据题目所给信息(具有远程控制功能、隐蔽通信、窃取敏感信息),判断其属于特洛伊木马。
题目所给出的是域名的 TXT记录,在该记录的最后包含命令信息,从图中最下面一行可知执行的是ipconfig命令。
【问题4】
iptables 的4表5链当中,filter表是负责过滤的,其包含INPUT, OUTPUT和转发FORWARD。
查看选项是list的缩写L。
对隧道流量可以禁止(丢弃,DROP)其发送的所有流量,只要其源IP地址为攻击者的机器。
【问题5】
只要计算机能够上网,DNS域名系统就必须是放行的,不会被安全设备所拦截,这就是最根本的原因。