- •Сравните содержимое файла и результаты вывода на экран. Почему присутствует строка
- •-Для каждого из перечисленных выше инструментов опишите его функции, значение и положение в рабочем процессе анализа обеспечения безопасности.
- •-Почему w32. Nimda.Amm.Exe является единственным файлом в данных перехвата?
- •-Был ли сохранен файл? Да
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ
КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Защита операционных систем сетевых устройств
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №10
Направление/специальность подготовки: Информационная безопасность
Студенты:
Преподаватель: Скорых М.А. ______
(ФИО) (подпись)
Санкт-Петербург 2022
Используйте команду ifconfig , чтобы проверить, что у ВМ CyberOps Workstation теперь настроен IP-адрес из вашей локальной сети. Также можно проверить возможность подключения к какому-либо общедоступному веб-серверу, например командой ping www.cisco.com. Используйте сочетание клавиш Ctrl + C, чтобы остановить эхозапросы
Оболочка R1 открывается в окне терминала с черным текстом на белом фоне. Какой пользователь вошел в систему в этой оболочке? Как это можно определить?
Пользователь root. На это указывает знак # после подсказки.
Какой порт используется при взаимодействии с веб-сервером вредоносного ПО? Как это можно определить?
Порт 6666. Порт был указан в URL-адресе после разделителя :
Файл был полностью загружен? Да
В IDS были созданы оповещения, связанные с загрузкой файла? Да
Определите по этому оповещению, каков был источник и назначение адресов IPv4, используемых в этой транзакции.
Исходный IP-адрес: 209.165.200.235; IP-адрес назначения: 209.165.202.133.
Определите по этому оповещению, каковы были порты источника и назначения, используемые в этой транзакции.
Исходный порт: 53514; Порт назначения: 6666
Определите по этому оповещению, когда произошла загрузка 18/10 в 03:55
Определите по этому оповещению, какое сообщение было зарегистрировано сигнатурой IDS
Malicious Server Hit!
Какую пользу может представлять этот файл PCAP для аналитика кибербезопасности?
Файлы PCAP содержат пакеты, относящиеся к трафику, который видит захватывающая сетевая карта. Таким образом, PCAP очень полезен для повторного отслеживания сетевых событий, таких как связь с вредоносными конечными точками. Такие инструменты, как Wireshark, можно использовать для облегчения анализа PCAP.
Какие цепочки используются в данный момент на R1? INPUT, OUTPUT, FORWARD
При необходимости введите Ctrl + C, чтобы отменить загрузку. Загрузка была успешной в этот раз? Дайте пояснение
Нет. Брандмауэр блокирует подключения к серверу размещения вредоносных программ.
Каким может быть более агрессивным, но при этом допустимым подход к блокированию вредоносного сервера?
Вместо указания IP, протокола и порта правило может просто заблокировать IP-адрес сервера. Это полностью отключит доступ к этому серверу из внутренней сети.
Лаб №2
-Были ли метки времени Unix Epoch преобразованы в формат Human Readable? Изменились ли другие поля? Дайте пояснение.
Да, скрипт преобразован из Epoch в Human Readable. Скрипт изменил только поле метки времени, сохранив остальную часть файла.
Сравните содержимое файла и результаты вывода на экран. Почему присутствует строка
||Wed 31 Dec 1969 07:00:00 PM EST?
Причина дополнительной строки в том, что файл имеет пустую строку в конце, что привело к тому, что сценарий ошибочно интерпретировал ее как 0 и преобразовал ее в отметку времени, удобочитаемую человеком.
Интерпретируя пустую строку как 0, скрипт преобразовал 0 Unix Epoch в Human Readable. 0 Unix Epoch переводится как 0 секунд после полуночи 1 января 1970 года. Сценарий
отображает «Среда, 31 декабря 1969 года, 19:00:00 EST», поскольку он автоматически настраивается на часовой пояс. Поскольку рабочая станция CyberOps настроена на EST (UTC
-5), сценарий отображает полночь 1 января 1970 года минус 5 часов.
-Используйте nano (или другой текстовый редактор, удобный вам) для удаления дополнительной пустой строки в конце файла и повторно запустите сценарий AWK. [analyst@secOps lab.support.files]$ nano applicationX_in_epoch.log
Теперь выходные данные правильные? Дайте пояснение.
Да. Поскольку пустая строка была удалена, скрипт не создавал и не добавлял в файл журнала дополнительные данные.
-Хотя вывод результата на экран полезен для поиска и устранения неполадок сценария, но аналитику, скорее всего, потребуется сохранить выходные данные в текстовом файле. Перенаправьте выходные данные этого сценария в файл с именем applicationX_in_human.log, чтобы сохранить их в файл.
[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS="|"}{$3=strftime("%c",$3)} {print}' applicationX_in_epoch.log > applicationX_in_human.log
[analyst@secOps lab.support.files]$
-Что было выведено на экран этой командой? Ожидается ли это?
На экране ничего не печаталось. Да, это ожидаемо, поскольку вывод команды был перенаправлен в текстовый файл с именем applicationX_in_human.log.
-Сначала ответьте на следующие вопросы. Они имеют важное значение для построения сценария.
В контексте преобразования метки времени какой символ будет работать в качестве правильного разделителя для данного файла журнала Apache?
Космический персонаж.
-Сколько столбцов содержит данный файл журнала Apache? 7
-Какой столбец этого файла журнала Apache содержит метку времени в формате Unix Epoch?
Колонка 4
-Смог ли этот сценарий правильно преобразовать метки времени? Опишите выходные данные.
Нет. Все временные метки теперь указаны в среду, 31 декабря 1969 г., в 19:00:00 по восточному поясному времени.
-Перед тем как продолжить, подумайте об этих выходных данных сценария. Можете ли вы определить, что послужило причиной неправильных выходных данных? Ошибка сценария? Какие важные различия существуют между файлами applicationX_in_epoch.log и apache_in_epoch.log?
Проблема в квадратных скобках в файле курса. Сценарий ожидает, что метка времени будет в формате эпохи Unix, который не включает квадратные скобки. Поскольку скрипт не знает, какое число представляет символ «[», он принимает нуль и возвращает начало времени Unix в формате UTC -5.
-Смог ли сценарий правильно преобразовать метки времени в этот раз? Опишите выходные данные.
-Да. Вывод теперь отображает две строки для каждой записи журнала. В первой строке отображается метка времени в формате Unix Epoch, а во второй строке — та же запись журнала с меткой времени, отображаемой в формате, удобочитаемом человеком.