2023年下半年信息安全工程师《案例分析》真题答案(2)
试题二(15分)
Wireshark抓包信息如下:
问题1(2分)根据Wireshark抓取的数据包,写出扫描源地址?
【参考答案】192.168.85.129,发起访问用随机端口访问目的机器的知名端口如80/443/21等
问题2(2分)要产生如图流量包视图,请写出Wireshark过滤规则?
【参考答案】ip.addr ==192.168.85.129&&ip.addr ==192.168.85.132
或者ip.addr eq 192.168.85.129 and ip.addr eq 192.168.85.132
问题3(3分)根据流量包分析目标系统开放了哪些端口,说明理由?
【参考答案】80,因为只有80端口完成了正常的三次握手,建立连接。
问题4(2分)此流量包属于什么类型扫描?
【参考答案】完全连接扫描
问题5(2分)Wireshark抓包截图中有很多RST/ACK分组,写出RST/ACK分组的TCP标志位值是多少?
【参考答案】0x14
问题6(2分)如果要用iptalbes对这些扫描流量进行过滤,需要使用iptables filter表中哪条链?【参考答案】INPUT
如果是本地服务器,配置INPUT链;如果中间有台专业Linux防火墙,那么配置FORWARD链。
必须熟练掌握 iptables的四表五链,常考的就是Filter表。
问题7(2分)写出一条iptables基于源地址防止以上扫描的过滤规则。
【参考答案】iptables –A INPUT -s 192.168.85.129 –d 192.168.85.132 –p tcp –j DROP
或者 iptalbes –A INPUT –s 192.168.85.129 –j DROP