2024年3月30日 星期六

申論題模擬─資訊安全防護技術(2024-03-31)

 申論題模擬─資訊安全防護技術(2024-03-31)

Question #7  A honey pot deployed with the IP 172.16.1.108 was compromised by an attacker.

Given below is an excerpt from a Snort binary capture of the attack. Decipher the activity carried out by the attacker by studying the log. Please note that you are required to infer only what is explicit in the excerpt.

(Note: The student is being tested on concepts learnt during passive OS fingerprinting, basic TCP/IP connection concepts and the ability to read packet signatures from a sniff dump.)

03/15-20:21:24.107053 211.185.125.124:3500(RTMP Port) -> 172.16.1.108:111

03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773

A. 111 Port The attacker has conducted a network sweep on port 111

B. The attacker has scanned and exploited the system using Buffer Overflow

C. The attacker has used a Trojan on port 32773                          D. The attacker has installed a backdoor


根據提供的 Snort 二進制捕獲,讓我們分析攻擊者進行的活動:

  1. 03/15-20:21:24.107053 211.185.125.124:3500(RTMP Port) -> 172.16.1.108:111

    • 這行表示從 IP 地址 211.185.125.124 的 3500 端口向 IP 地址 172.16.1.108 的 111 端口發起了連接。
    • 端口 111 通常與遠程過程調用(RPC)服務相關聯。
    • 攻擊者可能試圖在端口 111 上進行網絡掃描或偵查,以收集有關目標系統上可用的 RPC 服務的信息。

  2. 03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773

    • 這行表示另一個連接,這次是從 IP 地址 211.185.125.124 的 790 端口到另一個主機,IP 地址為 172.16.1.103,端口為 32773。
    • 端口 32773 不是一個眾所周知的端口,並且在摘錄中沒有指定其用途。
    • 從提供的信息中無法確定端口 32773 的活動。

基於給定的詳情,我們可以推斷:

  • 選項 A:攻擊者可能在 RTMP 連接的同時對蜜罐的 111 端口(RPC 服務)進行了網絡掃描或偵查。
  • 選項 B:在提供的摘錄中並沒有明確指示發生緩衝區溢出攻擊。
  • 選項 C:沒有跡象表明在端口 32773 上使用了特洛伊木馬。
  • 選項 D:根據提供的信息,並沒有安裝後門的證據。

因此,最合理的答案是: A. 111 端口,攻擊者在端口 111 上進行了網絡掃描。


  1. 談論常見的攻擊類型,例如端口掃描、緩衝區溢出攻擊、特洛伊木馬和後門,以及如何檢測和防範這些攻擊。
  2. 解釋 RPC 服務和其在網絡通信中的作用,以及為什麼攻擊者可能對目標系統的 RPC 端口進行掃描。
  3. 探討 RTMP(Real-Time Messaging Protocol)及其在網絡通信中的用途,以及攻擊者可能為什麼選擇使用 RTMP 來進行攻擊。
  4. 討論如何使用 Snort 或類似的入侵檢測系統來監視和識別網絡上的異常活動,以提前發現和防止攻擊。
  5. 分析如何構建一個安全的網絡架構,包括防火牆、入侵檢測系統和安全策略,以最大程度地減少受到類似攻擊的風險。
標籤: ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)

IPAS考試常錯題本

 IPAS考試常錯題本 112年度第2次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/o7Bp1vx3CgzSUptb6 112年度第1次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/ywbTMNPDxsPKzgYeA 11...

  • IPAS初級考試題庫
    112年度第2次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/LQTjBYCdFVtGm5TW7 112年度第1次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/uzsSr7p5zbpjdtoM8 111年度第2次初級資訊安全...
  • 申論題模擬─資通安全法令與規範(2024/1/10)
     申論題模擬─資通安全法令與規範 一、 特定非公務機關的定義為何?試述我國的關鍵基礎設施的定義與選定 二、 資通安全管理法的子法有那些?試概要論述 三、 對於資通系統和資通服務的定義,你認為有哪些關鍵特徵需要特別注意? 四、 資通安全的目的是保障國家安全和維護社會...
  • IPAS考試常錯題本
     IPAS考試常錯題本 112年度第2次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/o7Bp1vx3CgzSUptb6 112年度第1次初級資訊安全工程師 資訊安全管理概論 https://forms.gle/ywbTMNPDxsPKzgYeA 11...