




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书(样题)赛项时间8:30-13:00,共计 4:30小时,含赛题发放、收卷及午餐时间。赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段任务 1网络平台搭建60平台搭建与安全设备配置防护任务2网络安全设备配置与防护8:240第二阶段系统安全攻防任务 1Web应用程序 SQLInject安全攻防30-11:30150及运维安全管控任务2二层网络 Sniffer监听安全攻防150任务3ARP拒绝服务( DOS/DDO)S安全攻防100中场收卷11:30-12:00第三阶段分组对抗系统加固12:00-13:00300系统攻防三、赛项内容本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档” ,“操作文档”需要存放在裁判组专门提供的U盘中。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U盘的根目录下建立一个名为“ xx工位”的文件夹(xx用具体的工位号替代) ,赛题第一阶段完成任务操作的文档放置在文件夹中。例如:08工位,则需要在 U盘根目录下建立“ 08工位”文件夹,并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。特别说明: 只允许在根目录下的“ 08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、 IP地址规划表、设备初始化信息。1.网络拓扑图PC环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统: Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统: WindowsXP虚拟机安装服务 / 工具 1: MicrosoftInternetExplorer虚拟机安装服务 / 工具 2: Ethereal虚拟机安装服务 / 工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统: Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统: WindowsXP虚拟机安装服务 / 工具 1: MicrosoftInternetExplorer虚拟机安装服务 / 工具 2: Ethereal虚拟机安装服务 / 工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统: Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统: KaliLinux(Debian764Bit)虚拟机安装服务 /工具:MetasploitFramework虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)2.IP地址规划表设备名称接口IP地址互联可用 IP数量防火墙 DCFWEthX与PC-3相连见赛场 IP参数表地址池VPN地址池见赛场 IP参数表无线交换机DCWSEthX与DCRS相连见赛场 IP参数表
地址池地址池见赛场 IP参数表WEB应用防火墙 WAFEthX与DCRS相连见赛场 IP参数表EthX与DCST相连见赛场 IP参数表三层交换机DCRSVlan2与DCW相连S见赛场 IP参数表Vlan10与WAF相连见赛场 IP参数表Vlan20与PC-1所在用户区相连见赛场 IP参数表Vlan30与PC-2所在用户区相连见赛场 IP参数表Vlan40与DCBI相连见赛场 IP参
数表Vlan100直连服务器区见赛场 IP参数表Vlan110直连用户区见赛场 IP参数表网络日志系统DCBIEthX与DCRS相连见赛场 IP参数表堡垒服务器DCSTEthX与WAF相连见赛场 IP参数表PC-1无与DCRS相连见赛场 IP参数表PC-2无与DCFW相连见赛场 IP参数表PC-3无与DCFW相连见赛场 IP参数表
服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分备注赛题 IP地址和网络连接接口参见“ IP地址规划表”;3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙 DCFWETH0adminadmin网络日志系统DCBIETH0admin123456WEB应用防火ETH5adminadmin123
墙WAF三层交换机-Console--无线交换机DCWS-Console--堡垒服务器DCSTEth1参见“DCST登录用户表”备注所有设备的默认管理接口、 管理 IP地址不允许修改 ;如果修改对应设备的缺省管理 IP及管理端口,涉及此设备的题目按 0分处理。(二)第一阶段任务书( 300分)该阶段需要提交配置或截图文档,命名如下表所示:阶段任务序号文档名称第一阶段任务 11任务 12赛场 IP参数表任务23任务 2-DCFW4任务 2-DCBI5任务 2-WAF6任务 2-DCRS7任务 2-DCWS任务 1:网络平台搭建( 60分)平台搭建要求如下:
题号网络需求1根据网络拓扑图所示,按照 IP地址参数表,对 WAF的名称、各接口 IP地址进行配置。2根据网络拓扑图所示, 按照 IP地址参数表, 对DCRS的名称、各接口 IP地址进行配置。3根据网络拓扑图所示, 按照 IP地址参数表, 对DCFW的名称、各接口 IP地址进行配置。4根据网络拓扑图所示,按照 IP地址参数表,对 DCWS的各接口IP地址进行配置。5根据网络拓扑图所示, 按照 IP地址参数表, 对DCBI的名称、各接口 IP地址进行配置。6根据网络拓扑图所示,按照 IP地址参数表,在 DCRS交换机上创建相应的 VLAN,并将相应接口划入 VLAN。7采用静态路由的方式,全网络互连。完整填写“赛场IP参数表”。任务 2:网络安全设备配置与防护( 240分)DCFW:在总公司的 DCFW上配置,连接LAN接口开启 PING,HTTP,HTTPS功能,连接 Internet接口开启 PING、HTTPS功能;并且新增一个用户,用户名 dcn2017,密码 dcn2017,该用户只有读 -执行权限;DCFW配置 NTP和LOG,ServerIP为,NTP认证密码为 Dcn2017;DCFW连接 LAN的接口配置二层防护, ARPFlood超过 500个每秒时丢弃超出的 ARP包, ARP扫描攻击超过 300个每秒时弃超出的ARP包;配置静态 ARP绑定, MAC地址与 IP地址绑定;DCFW连接 Internet的区域上配置以下攻击防护:FW1,FW2攻击防护启以下Flood防护:ICMP洪水攻击防护,警戒值 2000,动作丢弃;UDP供水攻击防护,警戒值 1500,动作丢弃;SYN洪水攻击防护,警戒值 5000,动作丢弃;开启以下 DOS防护:PingofDeath攻击防护;Teardrop攻击防护;IP选项,动作丢弃;ICMP大包攻击防护,警戒值 2048,动作丢弃;限制LAN到Internet流媒体 RTSP应用会话数,在周一至周五TOC\o"1-5"\h\z8:00-17:00每5秒钟会话建立不可超过 20;DCBI:在公司总部的 DCBI上配置,设备部署方式为旁路模式,并配置监控接口与管理接口 ;增加非admin账户 DCN201,7密码 dcn2017,该账户仅用于用户查询设备的系统状态和统计报表 ;在公司总部的 DCBI上配置,监控周一至周五 9:00-18:00PC-1所在网段用户访问的 URL中包含 xunlei的HTTP访问记录, 并且邮件发送告警 ;在公司总部的 DCBI上配置, 监控PC-1所在网段用户周一至周五9:00-18:00的即时聊天记录 ;公司总部 LAN中用户访问网页中带有 “MP3”、“MKV”、“RMV”B需要被DCBI记录;邮件内容中带有“银行账号”记录并发送邮件告警;DCBI监控 LAN中用户访问网络游戏,包括“游戏”、“魔兽世界”并作记录;WAF:在公司总部的 WAF上配置,编辑防护策略,定义 HTTP请求体的最大长度为 512,防止缓冲区溢出攻击;在公司总部的 WAF上配置,防止某源 IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。大量请求的确认值是:10秒钟超过 3000次请求;在公司总部的 WAF上配置,对公司网站()进行安全评估,检查网站是否存在安全漏洞, 便于在攻击没有发生的情况下提前做出防护措施;DCRS:DCRS为接入交换机,为终端产生防止 MAC地址防洪攻击,请配置端口安全, 每个已划分 VLAN的端口最多学习到 5个MAC地址,发生违规阻止后续违规流量通过, 不影响已有流量并产生 LOG日志;Ex/x为专用接口,限定 MAC地址 00-1可以连接; 将连接DCFW的双向流量镜像至 Netlog进行监控和分析;DCRS配置认证, Radius服务器IP地址认证密码 Dcn2017,Ex/x号端口开启功能,接入该端口通过 PC上的软件进行认证;接入 DCRSEx/x,仅允许 IP地址为源的数据包为合法包,以其它IP地址为源地址,交换机直接丢弃;DCW:SAP通过 option43方式进行正常注册上线;设置AP工作在 5G频段;设置 SSIDDCN,加密模式为 wpa-personal,其口令为: chinaskill设置 SSIDGUEST不进行认证加密;GUSET最多接入 10个用户,用户间相互隔离,并对 GUEST网络进行流控,上行 1M,下行 2M;(三)第二阶段:系统安全攻防及运维安全管控( 400分)提示1:本阶段用到堡垒服务器 DCST中的服务器场景,获取服务器IP地址方式如下:Windows服务器的 IP地址可以通过拓扑界面获得, 如果获得不了,采用如下方法获得:通过 DCST场景里的网络拓扑图,启动连接设备进入服务器,用户名为 administrator,密码:空执行 ipconfig/all,即可获得服务器 IP地址提示 2:每个任务提交一个 word文档,请在文档中标明题号,按顺序答题。将关键步骤和操作结果进行截屏,并辅以文字说明,保存到提交文档中。提示 3:文档命名格式为:“第X阶段” -“任务 X”-“任务名称” 。例:“第二阶段、任务2”的答案提交文档,文件名称为:第二阶段-任务2-XSS和 CSRF攻防 .doc或第二阶段 -任务2-XSS和CSRF攻防.docx。任务1:Web应用程序 SQLInject安全攻防( 150分)拓扑结构:任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 /工具 1: MicrosoftInternetExplorer虚拟机安装服务 /工具 2: Ethereal虚拟机安装服务 /工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 / 工具 1: MicrosoftInternetExplorer虚拟机安装服务 / 工具 2: Ethereal虚拟机安装服务 / 工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: KaliLinux(Debian732Bit)虚拟机安装服务 /工具:MetasploitFramework虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)DCST:服务器场景: WebServ2003服务器场景操作系统: MicrosoftWindows2003Server服务器场景安装服务 /工具 1:;服务器场景安装服务 /工具 2: Php6;服务器场景安装服务 /工具 3: MicrosoftSqlServer2000;服务器场景安装服务 /工具 4: EditPlus;在PC-1上, Web访问 DCST中的 WebServ2003服务器场景,进入页面,分析该页面源程序,找到提交的变量名,并截图;对该任务题目 1页面注入点进行 SQL注入渗透测试,使该 Web站点可通过万能用户名、任意密码登录,并将测试过程截图;进入 DCST中的 WebServ2003服务器场景的 C:\AppServ\www目录,找到程序,使用 EditPlus工具分析并修改 PHP源程序,使之可以抵御 SQL注入,并将修改后的 PHP源程序截图;再次对该任务题目 1页面注入点进行渗透测试, 验证此次利用该注入点对该 DCST中的 WebServ2003服务器场景进行 SQL注入渗透测试无效,并将验证过程截图;在PC-1上, Web继续访问 DCST中的 WebServ2003服务器场景,"/"->"EmployeeInformationQuery",分析该页面源程序,找到提交的变量名,并截图;对该任务题目 5页面注入点进行渗透测试,根据输入“ _”的返回结果确定是注入点,并将测试过程截图;通过对该任务题目 5页面注入点进行 SQL注入渗透测试,在WebServ2003服务器场景中添加账号“ Hacker”,并将该账号添加至管理员组,并将注入代码及测试过程截图;进入 DCST中的 WebServ2003服务器场景的 C:\AppServ\www目录,找到程序,使用 EditPlus工具分析并修改 PHP源程序,使之可以抵御 SQL注入渗透测试, 并将修改后的 PHP源程序截图;再次对该任务题目 5页面注入点进行渗透测试, 验证此次利用注入点对该 WebServ2003服务器场景进行 SQL注入渗透测试无效,并将验证过程截图。
任务 2:二层网络 Sniffer监听安全攻防( 150分)拓扑结构:任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 /工具 1:MicrosoftInternetExplorer虚拟机安装服务 /工具 2:Ethereal虚拟机安装服务 /工具 3:HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 /工具 1: MicrosoftInternetExplorer虚拟机安装服务 /工具 2: Ethereal虚拟机安装服务 /工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: KaliLinux(Debian732Bit)虚拟机安装服务 /工具 2:Macof虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)DCST:服务器场景: WebServ2003服务器场景操作系统: MicrosoftWindows2003Server服务器场景安装服务 /工具 1:;服务器场景安装服务 /工具 2: Php6;服务器场景安装服务 /工具 3: MicrosoftSqlServer2000;服务器场景安装服务 /工具 4: EditPlus ;多层交换机:交换机操作平台: DCRS-6200使PC-1、PC-3、DCST中的 WebServ2003服务器场景能够在同一个网段( VLAN10)内相互 Ping通。查看 DCRS交换机 VLAN10的MAC地址表容量信息,并将 DCRS交换机配置相关参数、查看命令、查看结果截图。从PC-3发起MACFlooding渗透测试,使 DCRS交换机的 MAC地址表溢出,使其在 MAC地址表溢出的条件下,无法学习到PC-1和DCST中的 WebServ2003服务器场景的 MAC地址表信息,查看 DCRS交换机的 MAC地址表信息, 并将渗透测试过程截图。PC-3打开 wireshark,验证在 DCRS交换机 MAC地址表溢出的条件下,可以监听到 PC-1登录 DCST中的 WebServ2003服务器场景的用户名 &密码,并将该验证过程截图。在PC-1和DCST中的 WebServ2003服务器场景之间建立 IPSecVPN,阻止 PC-3发起 Sniffer渗透测试。在PC-1和DCST中的 WebServ2003服务器场景之间建立 IPSecVPN,PC-3再次打开 wireshark,监听PC-1访问 DCST中的WebServ2003服务器场景流量, 验证此时 PC-3无法监听到 PC-1访问 DCST中的 WebServ2003服务器场景的 HTTP流量, 并将验证过程截图。任务 3:STP漏洞利用安全攻防( 100分)拓扑结构变更部分:VLAN10PC-1VLAN20PC-2DCSTBackTrack5任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 /工具1:MicrosoftInternetExplorer虚拟机安装服务 /工具 2:Ethereal虚拟机安装服务 /工具 3:HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统: Windows732位旗舰版VMwareWorkstation10虚拟机操作系统: WindowsXP虚拟机安装服务 / 工具 1: MicrosoftInternetExplorer虚拟机安装服务 / 工具 2: Ethereal虚拟机安装服务 / 工具 3: HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系: Bridge(桥接)DCST:渗透测试主机场景: BackTrack5服务器场景操作系统: BackTrack5(Ubuntu32Bit)安装服务/工具1:MetasploitFramework多层交换机:交换机操作平台: DCRS-6200在DCRS交换机划分 VLAN10、VLAN20,将 PC-1接入 VLAN10,PC-2接入 VLAN20,VLAN10通过跳线直接连接 VLAN20,在DCRS交换机开启生成树协议, 生成树协议模式为 STP,DCRS交换机优先级为 0,防止网络出现物理环路,显示 DCRS交换机生成树协议的状态,并将该信息截屏;DCST渗透测试主机场景 BackTrack5双链路上联 DCRS交换机,其中1条链路连接 VLAN10,另外 1条链路连接 VLAN20,同时向DCRS交换机发起生成树协议漏洞利用渗透测试, 使DCST渗透测试主机场景 BackTrack5能够监听到 PC-1访问PC-2的Telnet服务的登录密码, 显示 DCRS交换机生成树协议的状态,并将该信息截屏;配置 DCRS交换机生成树协议安全特性,阻止生成树协议漏洞利用渗透测试,并将 DCRS交换机相关配置信息截屏;在DCRS交换机配置生成树协议安全特性的条件下, DCST渗透测试主机场景 BackTrack5不能监听到 PC-1访问PC-2的Telnet服务的登录密码,由 DCST渗透测试主机场景BackTrack5再次向DCRS交换机发起生成树协议漏洞利用渗透测试,再次显示 DCRS交换机生成树协议的状态,并将以上验证过程截屏;由DCST渗透测试主机场景 BackTrack5向DCRS交换机发起生成树协议漏洞利用渗透测试, 提高 DCRS交换机 CPU的利用率,显示 DCRS交换机 CPU的利用率,并将该信息截屏;配置 DCRS交换机生成树协议安全特性,阻止生成树协议漏洞利用渗透测试,并将配置信息截屏;在DCRS交换机配置生成树协议安全特性的条件下, DCRS交换机不会受 DCST渗透测试主机场景 BackTrack5的生成树协议漏洞利用渗透测试影响,此时由 DCST渗透测试主机场景BackTrack5再次向 DCRS交换机发起生成树协议漏洞利用渗透测试,显示 DCRS交换机 CPU的利用率,并将该验证截屏;(四)第三阶段任务书( 300分)假定各位选手是 Taojin电子商务企业的信息安全工程师, 负责服务器
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 电容裂项型功率变换器
- 2024-2025学年新教材高中政治 第二单元 人民当家作主 4.2 坚持人民民主专政(1)教学实录 部编版必修3
- 水资源管理中的性别平等实践计划
- 物体在斜面上运动 教学设计-2023-2024学年科学三年级下册教科版
- 河流治理与生态恢复方案计划
- 九年级物理上册 第8章 第三节 电话和传感器教学实录 (新版)教科版
- 二 认识多位数(新教案)2024-2025学年四年级下册数学【探究乐园】高效课堂(苏教版)教用
- 五年级数学下册教案-3 公因数与最大公因数的练习课-苏教版
- 混合运算(教案)青岛版四年级上册数学
- 暑假班主任工作的规划计划
- 混凝土工安全教育培训试题及答案
- Python程序设计(2022秋)学习通超星期末考试答案章节答案2024年
- 2025年蛇年年度营销日历营销建议【2025营销日历】
- 2024年黑龙江哈尔滨“丁香人才周”(秋季)事业单位引才招聘2074人易考易错模拟试题(共500题)试卷后附参考答案
- 混凝土购销协议(15篇)
- 汽车维修接待课件 任务2.1 主动预约客户
- ISO22301新版标准翻译(中英对照)
- 公司事故隐患内部报告奖励机制
- 2024年AI大模型场景探索及产业应用调研报告-前瞻
- 学术论文的撰写方法与规范
- 建设工程施工合同农民工工资补充协议
评论
0/150
提交评论