2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书样题

2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书（样题）赛项时间8:30-13:00，共计 4：30小时，含赛题发放、收卷及午餐时间。赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段任务 1网络平台搭建60平台搭建与安全设备配置防护任务2网络安全设备配置与防护8：240第二阶段系统安全攻防任务 1Web应用程序 SQLInject安全攻防30-11：30150及运维安全管控任务2二层网络 Sniffer监听安全攻防150任务3ARP拒绝服务（ DOS/DDO）S安全攻防100中场收卷11：30-12：00第三阶段分组对抗系统加固12：00-13：00300系统攻防三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任务“操作文档” ，“操作文档”需要存放在裁判组专门提供的U盘中。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U盘的根目录下建立一个名为“ xx工位”的文件夹（xx用具体的工位号替代） ，赛题第一阶段完成任务操作的文档放置在文件夹中。例如：08工位，则需要在 U盘根目录下建立“ 08工位”文件夹，并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。特别说明： 只允许在根目录下的“ 08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。（一）赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、 IP地址规划表、设备初始化信息。1.网络拓扑图PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统： Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1： MicrosoftInternetExplorer虚拟机安装服务 / 工具 2： Ethereal虚拟机安装服务 / 工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统： Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1： MicrosoftInternetExplorer虚拟机安装服务 / 工具 2： Ethereal虚拟机安装服务 / 工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统： Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统： KaliLinux（Debian764Bit）虚拟机安装服务 /工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）2.IP地址规划表设备名称接口IP地址互联可用 IP数量防火墙 DCFWEthX与PC-3相连见赛场 IP参数表地址池VPN地址池见赛场 IP参数表无线交换机DCWSEthX与DCRS相连见赛场 IP参数表

地址池地址池见赛场 IP参数表WEB应用防火墙 WAFEthX与DCRS相连见赛场 IP参数表EthX与DCST相连见赛场 IP参数表三层交换机DCRSVlan2与DCW相连S见赛场 IP参数表Vlan10与WAF相连见赛场 IP参数表Vlan20与PC-1所在用户区相连见赛场 IP参数表Vlan30与PC-2所在用户区相连见赛场 IP参数表Vlan40与DCBI相连见赛场 IP参

数表Vlan100直连服务器区见赛场 IP参数表Vlan110直连用户区见赛场 IP参数表网络日志系统DCBIEthX与DCRS相连见赛场 IP参数表堡垒服务器DCSTEthX与WAF相连见赛场 IP参数表PC-1无与DCRS相连见赛场 IP参数表PC-2无与DCFW相连见赛场 IP参数表PC-3无与DCFW相连见赛场 IP参数表

服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分备注赛题 IP地址和网络连接接口参见“ IP地址规划表”；3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙 DCFWETH0adminadmin网络日志系统DCBIETH0admin123456WEB应用防火ETH5adminadmin123

墙WAF三层交换机-Console--无线交换机DCWS-Console--堡垒服务器DCSTEth1参见“DCST登录用户表”备注所有设备的默认管理接口、 管理 IP地址不允许修改 ;如果修改对应设备的缺省管理 IP及管理端口，涉及此设备的题目按 0分处理。（二）第一阶段任务书（ 300分）该阶段需要提交配置或截图文档，命名如下表所示：阶段任务序号文档名称第一阶段任务 11任务 12赛场 IP参数表任务23任务 2-DCFW4任务 2-DCBI5任务 2-WAF6任务 2-DCRS7任务 2-DCWS任务 1：网络平台搭建（ 60分）平台搭建要求如下：

题号网络需求1根据网络拓扑图所示，按照 IP地址参数表，对 WAF的名称、各接口 IP地址进行配置。2根据网络拓扑图所示， 按照 IP地址参数表， 对DCRS的名称、各接口 IP地址进行配置。3根据网络拓扑图所示， 按照 IP地址参数表， 对DCFW的名称、各接口 IP地址进行配置。4根据网络拓扑图所示，按照 IP地址参数表，对 DCWS的各接口IP地址进行配置。5根据网络拓扑图所示， 按照 IP地址参数表， 对DCBI的名称、各接口 IP地址进行配置。6根据网络拓扑图所示，按照 IP地址参数表，在 DCRS交换机上创建相应的 VLAN，并将相应接口划入 VLAN。7采用静态路由的方式，全网络互连。完整填写“赛场IP参数表”。任务 2：网络安全设备配置与防护（ 240分）DCFW:在总公司的 DCFW上配置，连接LAN接口开启 PING,HTTP,HTTPS功能，连接 Internet接口开启 PING、HTTPS功能；并且新增一个用户，用户名 dcn2017，密码 dcn2017，该用户只有读 -执行权限；DCFW配置 NTP和LOG，ServerIP为，NTP认证密码为 Dcn2017；DCFW连接 LAN的接口配置二层防护， ARPFlood超过 500个每秒时丢弃超出的 ARP包， ARP扫描攻击超过 300个每秒时弃超出的ARP包；配置静态 ARP绑定， MAC地址与 IP地址绑定；DCFW连接 Internet的区域上配置以下攻击防护：FW1，FW2攻击防护启以下Flood防护：ICMP洪水攻击防护，警戒值 2000，动作丢弃；UDP供水攻击防护，警戒值 1500，动作丢弃；SYN洪水攻击防护，警戒值 5000，动作丢弃；开启以下 DOS防护：PingofDeath攻击防护；Teardrop攻击防护；IP选项，动作丢弃；ICMP大包攻击防护，警戒值 2048，动作丢弃；限制LAN到Internet流媒体 RTSP应用会话数，在周一至周五TOC\o"1-5"\h\z8:00-17:00每5秒钟会话建立不可超过 20；DCBI:在公司总部的 DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口 ;增加非admin账户 DCN201，7密码 dcn2017，该账户仅用于用户查询设备的系统状态和统计报表 ;在公司总部的 DCBI上配置，监控周一至周五 9：00-18：00PC-1所在网段用户访问的 URL中包含 xunlei的HTTP访问记录， 并且邮件发送告警 ;在公司总部的 DCBI上配置， 监控PC-1所在网段用户周一至周五9：00-18：00的即时聊天记录 ;公司总部 LAN中用户访问网页中带有 “MP3”、“MKV”、“RMV”B需要被DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警；DCBI监控 LAN中用户访问网络游戏，包括“游戏”、“魔兽世界”并作记录；WAF:在公司总部的 WAF上配置，编辑防护策略，定义 HTTP请求体的最大长度为 512，防止缓冲区溢出攻击；在公司总部的 WAF上配置，防止某源 IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。大量请求的确认值是：10秒钟超过 3000次请求；在公司总部的 WAF上配置，对公司网站（）进行安全评估，检查网站是否存在安全漏洞， 便于在攻击没有发生的情况下提前做出防护措施；DCRS:DCRS为接入交换机，为终端产生防止 MAC地址防洪攻击，请配置端口安全， 每个已划分 VLAN的端口最多学习到 5个MAC地址，发生违规阻止后续违规流量通过， 不影响已有流量并产生 LOG日志；Ex/x为专用接口，限定 MAC地址 00-1可以连接； 将连接DCFW的双向流量镜像至 Netlog进行监控和分析；DCRS配置认证， Radius服务器IP地址认证密码 Dcn2017,Ex/x号端口开启功能，接入该端口通过 PC上的软件进行认证；接入 DCRSEx/x，仅允许 IP地址为源的数据包为合法包，以其它IP地址为源地址，交换机直接丢弃；DCW：SAP通过 option43方式进行正常注册上线；设置AP工作在 5G频段；设置 SSIDDCN，加密模式为 wpa-personal,其口令为： chinaskill设置 SSIDGUEST不进行认证加密；GUSET最多接入 10个用户，用户间相互隔离，并对 GUEST网络进行流控，上行 1M，下行 2M；（三）第二阶段：系统安全攻防及运维安全管控（ 400分）提示1：本阶段用到堡垒服务器 DCST中的服务器场景，获取服务器IP地址方式如下：Windows服务器的 IP地址可以通过拓扑界面获得， 如果获得不了，采用如下方法获得：通过 DCST场景里的网络拓扑图，启动连接设备进入服务器，用户名为 administrator，密码：空执行 ipconfig/all，即可获得服务器 IP地址提示 2：每个任务提交一个 word文档，请在文档中标明题号，按顺序答题。将关键步骤和操作结果进行截屏，并辅以文字说明，保存到提交文档中。提示 3：文档命名格式为：“第X阶段” -“任务 X”-“任务名称” 。例：“第二阶段、任务2”的答案提交文档，文件名称为：第二阶段-任务2-XSS和 CSRF攻防 .doc或第二阶段 -任务2-XSS和CSRF攻防.docx。任务1：Web应用程序 SQLInject安全攻防（ 150分）拓扑结构：任务环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 /工具 1： MicrosoftInternetExplorer虚拟机安装服务 /工具 2： Ethereal虚拟机安装服务 /工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1： MicrosoftInternetExplorer虚拟机安装服务 / 工具 2： Ethereal虚拟机安装服务 / 工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： KaliLinux（Debian732Bit）虚拟机安装服务 /工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）DCST：服务器场景： WebServ2003服务器场景操作系统： MicrosoftWindows2003Server服务器场景安装服务 /工具 1：；服务器场景安装服务 /工具 2： Php6；服务器场景安装服务 /工具 3： MicrosoftSqlServer2000；服务器场景安装服务 /工具 4： EditPlus；在PC-1上， Web访问 DCST中的 WebServ2003服务器场景，进入页面，分析该页面源程序，找到提交的变量名，并截图；对该任务题目 1页面注入点进行 SQL注入渗透测试，使该 Web站点可通过万能用户名、任意密码登录，并将测试过程截图；进入 DCST中的 WebServ2003服务器场景的 C:\AppServ\www目录，找到程序，使用 EditPlus工具分析并修改 PHP源程序，使之可以抵御 SQL注入，并将修改后的 PHP源程序截图；再次对该任务题目 1页面注入点进行渗透测试， 验证此次利用该注入点对该 DCST中的 WebServ2003服务器场景进行 SQL注入渗透测试无效，并将验证过程截图；在PC-1上， Web继续访问 DCST中的 WebServ2003服务器场景，"/"->"EmployeeInformationQuery"，分析该页面源程序，找到提交的变量名，并截图；对该任务题目 5页面注入点进行渗透测试，根据输入“ _”的返回结果确定是注入点，并将测试过程截图；通过对该任务题目 5页面注入点进行 SQL注入渗透测试，在WebServ2003服务器场景中添加账号“ Hacker”，并将该账号添加至管理员组，并将注入代码及测试过程截图；进入 DCST中的 WebServ2003服务器场景的 C:\AppServ\www目录，找到程序，使用 EditPlus工具分析并修改 PHP源程序，使之可以抵御 SQL注入渗透测试， 并将修改后的 PHP源程序截图；再次对该任务题目 5页面注入点进行渗透测试， 验证此次利用注入点对该 WebServ2003服务器场景进行 SQL注入渗透测试无效，并将验证过程截图。

任务 2：二层网络 Sniffer监听安全攻防（ 150分）拓扑结构：任务环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 /工具 1：MicrosoftInternetExplorer虚拟机安装服务 /工具 2：Ethereal虚拟机安装服务 /工具 3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 /工具 1： MicrosoftInternetExplorer虚拟机安装服务 /工具 2： Ethereal虚拟机安装服务 /工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： KaliLinux（Debian732Bit）虚拟机安装服务 /工具 2：Macof虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）DCST：服务器场景： WebServ2003服务器场景操作系统： MicrosoftWindows2003Server服务器场景安装服务 /工具 1：；服务器场景安装服务 /工具 2： Php6；服务器场景安装服务 /工具 3： MicrosoftSqlServer2000；服务器场景安装服务 /工具 4： EditPlus ；多层交换机：交换机操作平台： DCRS-6200使PC-1、PC-3、DCST中的 WebServ2003服务器场景能够在同一个网段（ VLAN10）内相互 Ping通。查看 DCRS交换机 VLAN10的MAC地址表容量信息，并将 DCRS交换机配置相关参数、查看命令、查看结果截图。从PC-3发起MACFlooding渗透测试，使 DCRS交换机的 MAC地址表溢出，使其在 MAC地址表溢出的条件下，无法学习到PC-1和DCST中的 WebServ2003服务器场景的 MAC地址表信息，查看 DCRS交换机的 MAC地址表信息， 并将渗透测试过程截图。PC-3打开 wireshark，验证在 DCRS交换机 MAC地址表溢出的条件下，可以监听到 PC-1登录 DCST中的 WebServ2003服务器场景的用户名 &密码，并将该验证过程截图。在PC-1和DCST中的 WebServ2003服务器场景之间建立 IPSecVPN，阻止 PC-3发起 Sniffer渗透测试。在PC-1和DCST中的 WebServ2003服务器场景之间建立 IPSecVPN，PC-3再次打开 wireshark，监听PC-1访问 DCST中的WebServ2003服务器场景流量， 验证此时 PC-3无法监听到 PC-1访问 DCST中的 WebServ2003服务器场景的 HTTP流量， 并将验证过程截图。任务 3：STP漏洞利用安全攻防（ 100分）拓扑结构变更部分：VLAN10PC-1VLAN20PC-2DCSTBackTrack5任务环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 /工具1：MicrosoftInternetExplorer虚拟机安装服务 /工具 2：Ethereal虚拟机安装服务 /工具 3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统： Windows732位旗舰版VMwareWorkstation10虚拟机操作系统： WindowsXP虚拟机安装服务 / 工具 1： MicrosoftInternetExplorer虚拟机安装服务 / 工具 2： Ethereal虚拟机安装服务 / 工具 3： HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系： Bridge（桥接）DCST：渗透测试主机场景： BackTrack5服务器场景操作系统： BackTrack5（Ubuntu32Bit）安装服务/工具1：MetasploitFramework多层交换机：交换机操作平台： DCRS-6200在DCRS交换机划分 VLAN10、VLAN20，将 PC-1接入 VLAN10，PC-2接入 VLAN20，VLAN10通过跳线直接连接 VLAN20，在DCRS交换机开启生成树协议， 生成树协议模式为 STP，DCRS交换机优先级为 0，防止网络出现物理环路，显示 DCRS交换机生成树协议的状态，并将该信息截屏；DCST渗透测试主机场景 BackTrack5双链路上联 DCRS交换机，其中1条链路连接 VLAN10，另外 1条链路连接 VLAN20，同时向DCRS交换机发起生成树协议漏洞利用渗透测试， 使DCST渗透测试主机场景 BackTrack5能够监听到 PC-1访问PC-2的Telnet服务的登录密码， 显示 DCRS交换机生成树协议的状态，并将该信息截屏；配置 DCRS交换机生成树协议安全特性，阻止生成树协议漏洞利用渗透测试，并将 DCRS交换机相关配置信息截屏；在DCRS交换机配置生成树协议安全特性的条件下， DCST渗透测试主机场景 BackTrack5不能监听到 PC-1访问PC-2的Telnet服务的登录密码，由 DCST渗透测试主机场景BackTrack5再次向DCRS交换机发起生成树协议漏洞利用渗透测试，再次显示 DCRS交换机生成树协议的状态，并将以上验证过程截屏；由DCST渗透测试主机场景 BackTrack5向DCRS交换机发起生成树协议漏洞利用渗透测试， 提高 DCRS交换机 CPU的利用率，显示 DCRS交换机 CPU的利用率，并将该信息截屏；配置 DCRS交换机生成树协议安全特性，阻止生成树协议漏洞利用渗透测试，并将配置信息截屏；在DCRS交换机配置生成树协议安全特性的条件下， DCRS交换机不会受 DCST渗透测试主机场景 BackTrack5的生成树协议漏洞利用渗透测试影响，此时由 DCST渗透测试主机场景BackTrack5再次向 DCRS交换机发起生成树协议漏洞利用渗透测试，显示 DCRS交换机 CPU的利用率，并将该验证截屏；（四）第三阶段任务书（ 300分）假定各位选手是 Taojin电子商务企业的信息安全工程师， 负责服务器