|
|
【说明】
域名系统是网络空间的中枢神经系统,其安全性影响范围大,也是网络攻防的重点。李工在日常的流量监控中,发现以下可疑流量,请协助分析其中可能的安全事件。
|
|
|
问题:3.1
(4分)
域名系统采用授权的分布式数据查询系统,完成域名和IP地址的解析。李工通过上述流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。
(1)域名系统的服务端程序工作在网络的哪一层?
(2)图3-1中的第一个网络分组要解析的域名是什么?
(3)给出上述域名在DNS查询包中的表示形式(16进制)。
(4)由图3-1可知李工所在单位的域名服务器的IP地址是什么?
|
|
|
问题:3.2
(2分)
鉴于上述DNS协议分组包含大量奇怪的子域名,如想知道是哪个应用程序发送的上述网络分组,请问在Windows系统下,李工应执行哪条命令以确定上述DNS流量来源?
|
|
|
问题:3.3
(6分)
通过上述的初步判断,李丁认为192.168.229.1的计算机可能已经被黑客所控制(CC攻击)。黑客惯用的手法就是建立网络隐蔽通道,也就是指利用网络协议的某些字段秘密传输信息,以掩盖恶意程序的通信内容和通信状态。
(1)请问上述流量最有可能对应的恶意程序类型是什么?
(2)上述流量中隐藏的异常行为是什么?请简要说明。
(3)信息安全目标包括保密性、完整性、不可否认性、可用性和可控性。请问上述流量所对应的网络攻击违反了信息安全的哪个目标?
|
|
|
问题:3.4
(6分)
通过上述的攻击流分析,李工决定用防火墙隔离该计算机。李工所运维的防火墙是Ubuntu系统自带的iptables防火墙。
(1)请问iptables默认实现数据包过滤的表是什么?该表默认包含哪几条链?
(2)李工首先要在iptables防火墙中查看现有的过滤规则,请给出该命令。
(3)李工要禁止该计算机继续发送DNS数据包,清给出相应过滤规则。
|
|
|
问题:3.5
(2分)
在完成上述处置以后,李工需要分析事件原因,请说明导致DNS成为CC攻击的首选隐蔽传输通道协议的原因。
|
|
|
|
|
