信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2023/6/24）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2023/6/24

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2023/6/24）

试题三（共20分）
阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。
【说明】域名系统是网络空间的中枢神经系统，其安全性影响范围大，也是网络攻防的重点。李工在日常的流量监控中，发现如图3-1所示的可疑流量，请协助分析其中可能的安全事件。
【问题1】（4分）
域名系统釆用授权的分布式数据査询系统，完成域名和IP地址的解析。李工通过上述流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。
（1）域名系统的服务端程序工作在网络的哪一层？
（2）图3-1中的第一个网络分组要解析的域名是什么？
（3）给出上述域名在DNS查询包中的表示形式（16进制）。
（4）由图3-1可知李工所在单位的域名服务器的IP地址是什么？

【问题2】 (2分)
签于上述DNS协议分组包含大量奇怪的子域名，如想知道是哪个应用程序发送的上述网络分组，请问在Windows系统下，李工应执行哪条命令以确定上述DNS流量来源?
【问题3】（6分）
通过上述的初步判断，李工认为192.168.229.I的计算机可能已经被黑客所控制（CC攻击）。黑客惯用的手法就是建立网络隐蔽通道，也就是指利用网络协议的某些字段秘密传输信息，以掩盖恶意程序的通信内容和通信状态。
（1）请问上述流量最有可能对应的恶意程序类型是什么？
（2）上述流量中隐藏的异常行为是什么？请简要说明。
（3）信息安全目标包括保密性、完整性、不可否认性、可用性和可控性，请问上述流量所对应的网络攻击违反了信息安全的哪个目标？
【问题4】（6分）
通过上述的攻击流分析，李工决定用防火墙隔离该计算机，李工所运维的防火墙是Ubuntu系统自带的iptables防火墙。
（1）请问iptables默认实现数据包过滤的表是什么？该表默认包含哪几条链？
（2）李工首先要在ipables防火墙中査看现有的过滤规则，请给出该命令。
（3）李工要禁止该计算机继续发送DNS数据包，请给出相应过滤规则。
【问题5】（2分）
在完成上述处置以后，李工需要分析事件原因，请说明导致DNS成为CC攻击的首选隐蔽传输通道协议的原因。
信管网试题答案与解析：www.cnitpm.com/st/522953774.html

信管网考友试题答案分享：

信管网cnitpm608010681303：
问题一： 1）应用层 2）www.humen.com 3） 4）192.168.229.133 问题二： nslookup 问题三： 1） 2） 3）

信管网cnitpm608010681303：
问题一： （1）应用层 （2）www.human.com （3）0x0002 （4）192.168.229.133 问题二： nslookup 问题三： （1）dns劫持 （2） （3）

信管网renshengrumeng：
问题1： 1、域名系统的服务端程序工作在网络的应用层 2、域名是www.humen.com 3、0x0002 4、192.168.229.133 问题2： 1、netstat 问题3： 1、木马病毒程序 2、隐藏的异常行为是目标主机不断地收到外部同一ip来源的网络访问 3、可用性 问题4： 1、 表是iptable ,该表默认包含input链、output链、ｄｒｏｐ链、forward链 2、iptables-list 3、

信管网cnitpm621885858108：
（1）应用层 www.humen.com 7777770568756d656e03636f6d 192.168.229.133 （2）netstat -h （3）dos 对dns服务器发送大量无意义解析请求 可用性 （4）filter input、output、 （5）通常默认情况下不会针对dns服务器进行策略配置，所以对dns进行攻击更加隐蔽

信管网15917454343：
1、1）应用层 2）www.humen.com 4）192.168.229.133 3、3）保密性

信管网试题答案与解析：www.cnitpm.com/st/522953774.html