Скачиваний:
27
Добавлен:
10.04.2023
Размер:
104.8 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ

КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Защита операционных систем сетевых устройств

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №10

Направление/специальность подготовки: Информационная безопасность

Студенты:

Преподаватель: Скорых М.А. ______

(ФИО) (подпись)

Санкт-Петербург 2022

Используйте команду ifconfig , чтобы проверить, что у ВМ CyberOps Workstation теперь настроен IP-адрес из вашей локальной сети. Также можно проверить возможность подключения к какому-либо общедоступному веб-серверу, например командой ping www.cisco.com. Используйте сочетание клавиш Ctrl + C, чтобы остановить эхозапросы

Оболочка R1 открывается в окне терминала с черным текстом на белом фоне. Какой пользователь вошел в систему в этой оболочке? Как это можно определить?

Пользователь root. На это указывает знак # после подсказки.

Какой порт используется при взаимодействии с веб-сервером вредоносного ПО? Как это можно определить?

Порт 6666. Порт был указан в URL-адресе после разделителя :

Файл был полностью загружен? Да

В IDS были созданы оповещения, связанные с загрузкой файла? Да

Определите по этому оповещению, каков был источник и назначение адресов IPv4, используемых в этой транзакции.

Исходный IP-адрес: 209.165.200.235; IP-адрес назначения: 209.165.202.133.

Определите по этому оповещению, каковы были порты источника и назначения, используемые в этой транзакции.

Исходный порт: 53514; Порт назначения: 6666

Определите по этому оповещению, когда произошла загрузка 18/10 в 03:55

Определите по этому оповещению, какое сообщение было зарегистрировано сигнатурой IDS

Malicious Server Hit!

Какую пользу может представлять этот файл PCAP для аналитика кибербезопасности?

Файлы PCAP содержат пакеты, относящиеся к трафику, который видит захватывающая сетевая карта. Таким образом, PCAP очень полезен для повторного отслеживания сетевых событий, таких как связь с вредоносными конечными точками. Такие инструменты, как Wireshark, можно использовать для облегчения анализа PCAP.

Какие цепочки используются в данный момент на R1? INPUT, OUTPUT, FORWARD

При необходимости введите Ctrl + C, чтобы отменить загрузку. Загрузка была успешной в этот раз? Дайте пояснение

Нет. Брандмауэр блокирует подключения к серверу размещения вредоносных программ.

Каким может быть более агрессивным, но при этом допустимым подход к блокированию вредоносного сервера?

Вместо указания IP, протокола и порта правило может просто заблокировать IP-адрес сервера. Это полностью отключит доступ к этому серверу из внутренней сети.

Лаб №2

-Были ли метки времени Unix Epoch преобразованы в формат Human Readable? Изменились ли другие поля? Дайте пояснение.

Да, скрипт преобразован из Epoch в Human Readable. Скрипт изменил только поле метки времени, сохранив остальную часть файла.

Сравните содержимое файла и результаты вывода на экран. Почему присутствует строка

||Wed 31 Dec 1969 07:00:00 PM EST?

Причина дополнительной строки в том, что файл имеет пустую строку в конце, что привело к тому, что сценарий ошибочно интерпретировал ее как 0 и преобразовал ее в отметку времени, удобочитаемую человеком.

Интерпретируя пустую строку как 0, скрипт преобразовал 0 Unix Epoch в Human Readable. 0 Unix Epoch переводится как 0 секунд после полуночи 1 января 1970 года. Сценарий

отображает «Среда, 31 декабря 1969 года, 19:00:00 EST», поскольку он автоматически настраивается на часовой пояс. Поскольку рабочая станция CyberOps настроена на EST (UTC

-5), сценарий отображает полночь 1 января 1970 года минус 5 часов.

-Используйте nano (или другой текстовый редактор, удобный вам) для удаления дополнительной пустой строки в конце файла и повторно запустите сценарий AWK. [analyst@secOps lab.support.files]$ nano applicationX_in_epoch.log

Теперь выходные данные правильные? Дайте пояснение.

Да. Поскольку пустая строка была удалена, скрипт не создавал и не добавлял в файл журнала дополнительные данные.

-Хотя вывод результата на экран полезен для поиска и устранения неполадок сценария, но аналитику, скорее всего, потребуется сохранить выходные данные в текстовом файле. Перенаправьте выходные данные этого сценария в файл с именем applicationX_in_human.log, чтобы сохранить их в файл.

[analyst@secOps lab.support.files]$ awk 'BEGIN {FS=OFS="|"}{$3=strftime("%c",$3)} {print}' applicationX_in_epoch.log > applicationX_in_human.log

[analyst@secOps lab.support.files]$

-Что было выведено на экран этой командой? Ожидается ли это?

На экране ничего не печаталось. Да, это ожидаемо, поскольку вывод команды был перенаправлен в текстовый файл с именем applicationX_in_human.log.

-Сначала ответьте на следующие вопросы. Они имеют важное значение для построения сценария.

В контексте преобразования метки времени какой символ будет работать в качестве правильного разделителя для данного файла журнала Apache?

Космический персонаж.

-Сколько столбцов содержит данный файл журнала Apache? 7

-Какой столбец этого файла журнала Apache содержит метку времени в формате Unix Epoch?

Колонка 4

-Смог ли этот сценарий правильно преобразовать метки времени? Опишите выходные данные.

Нет. Все временные метки теперь указаны в среду, 31 декабря 1969 г., в 19:00:00 по восточному поясному времени.

-Перед тем как продолжить, подумайте об этих выходных данных сценария. Можете ли вы определить, что послужило причиной неправильных выходных данных? Ошибка сценария? Какие важные различия существуют между файлами applicationX_in_epoch.log и apache_in_epoch.log?

Проблема в квадратных скобках в файле курса. Сценарий ожидает, что метка времени будет в формате эпохи Unix, который не включает квадратные скобки. Поскольку скрипт не знает, какое число представляет символ «[», он принимает нуль и возвращает начало времени Unix в формате UTC -5.

-Смог ли сценарий правильно преобразовать метки времени в этот раз? Опишите выходные данные.

-Да. Вывод теперь отображает две строки для каждой записи журнала. В первой строке отображается метка времени в формате Unix Epoch, а во второй строке — та же запись журнала с меткой времени, отображаемой в формате, удобочитаемом человеком.

Соседние файлы в предмете Защита операционных систем сетевых устройств