网络安全应急响应 核心知识点复习

一、DDOS攻击

知识点提炼: DDOS即分布式拒绝服务攻击,主要目标是耗尽目标主机/服务器的带宽资源;常见攻击类型包含ICMP Flood、UDP Flood、TCP Flood等。目前技术条件下无法依靠单纯成本投入实现完全防御。防护思路以服务器、网络、应用多层防护为主,不可通过盲目开放端口抵御攻击。
题型:判断题 | 难易度:非常简单
DDOS攻击按目前的技术,只要投入足够多的成本,可以完全防御
题型:单选题 | 难易度:非常简单
下列哪个选项中,不是DDOS攻击方法
A. ICMP Flood
B. UDP Flood
C. TCP Flood
D. 流量分析

二、数据泄露

知识点提炼: 数据泄露是网络安全常见风险,按照泄露来源可划分为外部泄露内部泄露两大类,是应急响应中重点排查场景之一。
题型:客观填空题 | 难易度:非常简单
数据泄露途径大致可分为__泄露和__泄露两种 (填空)

三、Webshell

知识点提炼: Webshell是网站后门程序,常用开发语言为PHP、JSP、ASP;检测方式分为流量检测、文件检测、日志检测三类。防御手段包括服务器加固、权限管控、防火墙策略、漏洞修补、文件上传白名单、部署检测工具等。
题型:客观填空题 | 难易度:非常简单
Webshell检测的方法中,一般分为3种检测,分别是基于______的Webshell检测 (填空)
题型:单选题 | 难易度:非常简单
下列哪个不属于Webshell经常使用的语言
A. PHP
B. SHELL
C. JSP
D. ASP

四、网页篡改

知识点提炼: 攻击者篡改网页主要目的:谋取经济利益、恶意损毁目标形象、展示攻击能力。防御方式包括更新系统补丁、设置高强度管理员密码、关闭闲置端口与服务、规范网站代码、收紧目录权限、防范ARP欺骗等。
题型:问答题 | 难易度:非常简单
通常来说,攻击者攻击Web服务器,篡改网页的原因是什么?

五、挖矿木马病毒

知识点提炼: 挖矿木马典型特征:CPU占用飙升、系统卡顿、主动连接远程矿池、删除后反复复活。感染后第一处置动作是隔离主机;传播方式多利用系统/软件漏洞。清除加固需阻断矿池连接、删除启动项/定时任务、查杀木马、修复系统漏洞、规避弱密码。
题型:单选题 | 难易度:非常简单
当机器感染了挖矿木马,第一时间的处置办法是
A. 确认挖矿进程
B. 挖矿木马清除
C. 挖矿程序连接的远程服务器进行渗透测试
D. 隔离被感染的服务器/主机
题型:单选题 | 难易度:非常简单
下列关于挖矿木马传播的方法中,正确的是
A. 利用应用软件或操作系统的漏洞传播
B. 把受害者的机器窃取到身边传播
C. 与受害者的机器进行聊天通信
D. 与受害者的机器进行物理攻击

六、勒索病毒

知识点提炼: 经典勒索病毒WannaCry利用永恒之蓝漏洞(SMB协议,默认端口445)。常见传播途径:系统漏洞、弱密码RDP、邮件附件、软件供应链。主机感染后优先隔离,禁止使用移动设备拷贝数据、反复读写磁盘;恢复优先依靠备份。破解攻击者私钥解密难度极高。
题型:客观填空题 | 难易度:非常简单
WannaCry勒索病毒,使用的漏洞名字是什么__(输入漏洞的中文名) (填空)
题型:多选题 | 难易度:非常简单
永恒之蓝漏洞使用的是什么协议,该协议默认的端口号是多少
A. SMB 443
B. SMB 445
C. FTP 443
D. FTP 445

七、应急响应基础技能(命令与工具)

知识点提炼: 1. Linux常用:find查找文件、netstat查看网络连接、crontab管理定时任务、lastb查看错误登录、stat查看文件时间、lsof查看进程打开文件、iptables防火墙、uname -a查看系统信息。 2. Windows常用:tasklist查看进程、regedit打开注册表、eventvwr打开事件查看器、msinfo32查看系统信息、任务管理器排查进程。 3. 工具:Volatility内存取证工具(跨平台),imageinfo查看系统信息、pslist查看进程、hashdump读取密码;360星图可分析Web日志。
题型:单选题 | 难易度:非常简单
在linux系统中,查找文件可以使用哪个命令进行?
A. find
B. var
C. console
D. mkdir
题型:单选题 | 难易度:非常简单
关于volatility工具的使用,通常需要使用哪个命令,分析内存镜像的操作系统信息
A. imageinfo
B. search
C. pslist
D. memdump

八、应急响应基本概念

知识点提炼: 网络安全应急响应标准PDCERF六阶段:准备、检测、抑制、根除、恢复、总结。常见应急场景:勒索病毒、挖矿木马、Webshell、网页篡改。抑制策略包含断网、修改防火墙规则、加强监控等;准备阶段以预防为主,总结阶段负责复盘优化安全策略。
题型:客观填空题 | 难易度:非常简单
网络安全应急响应PDCERF(6阶段)方法分别为__阶段__阶段__阶段__阶段__阶段__阶段 (填空)
题型:多选题 | 难易度:非常简单
以下哪些属于常见的网络安全应急响应场景
A. 勒索病毒
B. 挖矿木马
C. Webshell
D. 网页篡改

九、系统后门与账号、启动项排查

知识点提炼: Windows可通过带$符号创建隐藏账号、修改文件关联、IFEO、注册表Run项、Userinit、任务计划程序植入后门。Linux超级用户root的UID为0;可通过/etc/crontab查看定时任务。排查恶意程序可对比文件摘要、使用Rootkit检测工具,不建议直接重装系统。
题型:客观填空题 | 难易度:非常简单
在Linux操作系统中,超级用户的uid值为__ (填空)
题型:单选题 | 难易度:非常简单
在linux系统中,查看任务计划的命令是
A. top
B. fdisk
C. crontab
D. last