信息安全技术应用大赛竞赛试题以及仿真测试题Word文件下载.docx

1、第三阶段：场外攻防对抗5防守场外渗透测试2.1 第一阶段：2.1.1 网络环境搭建和网络安全部署拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：场景描述：某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。技术要求：1. 根据拓扑图正确连接设备。2. 根据大赛规划设置IP地址与VLAN等基本信息。3. 由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。4. 外网运行OSPF多区域路由协议；RC与FWA组成Area0，RA与RC组成Area1，RB与FWA组成Area2，RA与RB

2、组成Area3，RB与RC组成Area4，将Area2设为末梢区域，Area1上做虚链路。5. RB与RC之间运行PPP，采用CHAP单向认证，RA为主认证方。6. PCA访问RA时，使用策略路由使流量按照FWA-RB-RA的线路转发。7. 通过RC访问外网的FTP服务，要求使用QoS将下载流量限制在2M范围内。8. 当内网用户访问外网时，由FWB上通过开启NAT功能实现。9. SWA与SWB之间使用链路捆绑，由2条千兆以太网线相连。10. RS-SWA-SWB之间通过MSTP技术实现冗余链路的收敛，防止环路的产生，并且要求SWB的0/3端口阻断。11. 在RS上开启DHCP服务，要求PCC与

3、PCB可以通过RS获取地址，且SWA、SWB可以阻断除RS之外的任何其他DHCP server服务。12. 将PCB的MAC地址与SWB的端口进行端口绑定，要求SWB的0/2端口只允许PCB接入。13. 通过dhcp snooping 实现PCC的IP地址、MAC地址与SWA的端口进行三元组绑定，要求SWA的0/1接口只允许PCC的IP接入。14. PCB，PCC访问PCA时，必须使用WEB认证，由FWB设置。15. 在防火墙配置禁止PCB和PCC禁止使用QQ聊天软件。16. PCA可以通过telnet远程管理RS设备，在FWB中配置反向NAT。17. 网络中所有的PC均可访问大赛主网络。18

4、. 将通过RS访问外网的所有的数据镜像到IDS所连接的端口上，使用DCNIDS监控内网所有TCP数据包，并将所捕获的数据生成报告。将IDS服务器架设到PCC上，并提供搭建成功IDS正常运行截图与所生成的风险评估柱状图报表。安全要求19. 为保证安全，请为基础网络设备（路由器、交换机）设置使能密码。20. 为保证安全，请为网络中所有的设备设置telnet远程登录（ IDS与堡垒服务器DCST除外），并设置安全的用户名与口令。文档要求：21. 将所有设备的配置文件整理上传22. 整理提交相应文档。2.1.2 主机系统加固部分【场景1说明】：堡垒主机要求 windows2003 Server版本；并

5、预设2个帐号 stud 1、 stud 2，开启Terminal Services；开启如下服务：Task Schedule、Remote Registry、Print spooler、 Telnet、Computer Browser、Messenger、Alerter、DHCP Client。Terminal Services；开启三个共享 C$ 、ADMIN$、IPC$共享，；未设置带密码的屏幕保护；选手资料准备：通过mstsc.exe登录目标服务器。【场景2说明】：堡垒主机要求Red Hat Enterprise5版本；开启ssh服务进程；系统预制root相应属性为非安全属性；/etc/

6、profile中UMASK值置077；并允许root账户网络登录；选手工具资料：远程登录工具如Putty。1. 任务一：SCENE1账号口令策略【考题要求】 通过配置windows账号口令策略加强其安全性，包括：禁用Guest账号；禁用使用的账号stud 1、 stud 2；删除不使用的帐号stud 1、 stud 2密码策略配置：启用密码复杂性要求、密码最小长度8位、密码最长保留期30天、强制密码历史5次；账户锁定策略设置：复位账户锁定计数器10分钟、账户锁定时间20分钟；账户锁定阈值：5次无效登录；2. 任务二：SCENE1系统服务加固关闭以下系统服务：Task Schedule、Remo

7、te Registry、Print spooler、Computer Browser、Messenger、Alerter、DHCP Client。3. 任务三：SCENE1关闭默认共享关闭系统默认共享：包括关闭分区默认共享（C$、D$、E$.），关闭管理默认共享（admin$），关闭IPC$默认共享。4. 任务四：对SCENE1进行TCP/IP堆栈加固拒绝服务 （DoS） 攻击是一种网络攻击，通过加固TCP/IP堆栈来完成防御。（请修改注册表加固TCP/IP堆栈）。5. 任务五：SCENE1启用屏幕保护启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击，设置带密码的屏幕保护，主要通过修改屏幕保

8、护的时间，将屏幕保护时间修改为10分钟。6. 任务六：SCENE2敏感系统账号设置锁定以下账号：sync; halt; new; uucp; operator; games; gopher7. 任务七：SCENE2账号口令安全更改系统管理员账号为复杂密码；配置账号超时5分钟自动注销设置密码策略：最大口令使用日期180天、最小口令长度8位、口令过期前警告天数30天8. 任务八：SCENE2文件系统安全系统UMASK设置为0222.2.3 安全评估（裁判组）1. 参赛选手登录安全评估系统，填写相应设备的IP、用户名和口令等，点击提交； 2. 提交相应文档；3. 各参赛队提交信息后暂停，裁判组进行安

9、全评估。2.2 第二阶段：2.2.1场景说明【场景3说明】Linux服务器；操作系统telnet具有弱口令；建立一个场景4信息的文本文档，该文档内容要包含场景4的登录ip地址和帐号密码。【场景4说明】堡垒主机要求 windowsxp sp2简体中文版本；建立一个场景5 信息的文本文档；该文档内容要包含场景5的登录ip地址和帐号密码；要求至少开启的有3389端口，80端口，139端口。开放21端口。【场景5说明】堡垒主机要求 win2003简体中文版本；停止Serv-U；需确认IIS目录设置为权限可写入；使用Access数据库。2.2.2任务说明场景3主机信息收集登录Windows客户端，通过L

10、scanPort端口扫描工具，获取服务器场景3的系统信息（已知windows xp地址），查看端口开放情况及相应服务（如ftp，3389远程连接，http服务等）。场景3服务器端口扫描通过使用HScan扫描工具来对该服务器进行扫描，罗列出开放了哪些端口，并将开放的端口信息的对应服务写下来。场景3密码扫描利用攻击工具，猜测场景3登录口令，并通过该口令进入目标系统场景3。查找场景4的登录信息在场景3机器上查找场景4登录信息。场景4的FTP登录帐号和密码破译通过破译场景4的FTP帐号和密码，将里面放置的场景5的登录IP获取。查找场景5的登录信息在场景4机器上查找场景5登录信息。场景5服务器IIS权限

11、探测从攻击客户端上利用iisputscan工具，对其进行IIS写权限探测，验证该目录是否可写；若该目录验证可写，上传1.txt至场景5。场景5 WEB网站数据库下载从攻击客户端浏览器访问场景5服务器的WEB网站，查看其页面代码，寻找网站的conn.asp（数据库调用文件），通过该文件获取里面的数据库地址或数据库的用户名和密码。2.2.3文档说明提交相应截图和文档。2.3 第三阶段：2.3.1场景说明【场景6说明】堡垒主机要求 windows2003 Server未安装任何补丁版本并预设2个帐号 stud 1 stud2，开启远程桌面访问。开启远程桌面服务。开启三个共享 C$ 、ADMIN$、I

12、PC$共享，开启远程桌面连接服务。未设置带密码的屏幕保护。远程登录工具。赛场规则：1. 不可以插拔堡垒服务器网线；2. 不得重启堡垒服务器以及重启堡垒服务器中的虚拟机；3. 不得关闭21、22、23、80、1433、3306、3389、8080服务端口；4. 不得在堡垒服务器中开启防火墙功能，不得安装杀毒软件；5. 不得在堡垒服务器前端架设硬件防火墙，不得在设备上配置ACL阻断外部的访问；6. 禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意工具攻击大赛主网络。一经发现违反以上赛场规则者，取消本阶段比赛资格。2.3.2任务说明场景6加固加固自己堡垒主机场景6系统。保证自己的场景6系统可以坚持

13、30分钟以上。对手场景6攻击攻击对手已经加固过的场景6系统。可采用溢出、弱口令、绕过登录验证、绕过防注入系统、cookie注入、Sql注入、ASP 注入、PHP注入、JSP注入等多种方法。被入侵后的总结参赛选手需要从安全设备和日志系统中，获得入侵者的基本信息并记录提交作为成功防守的评判。2.4文档部分评判标准2.4.1电子文件的存放位置 将竞赛所需要的文档放置在电脑PCD的桌面，新建“竞赛文档+工位号”文件夹，在此文件夹下再建立两个子文件夹，分别命名为“设备配置文件”（存放所有设备的配置文件）和“竞赛验收文档”（存放最终的竞赛结果）。2.4.2电子文件的命名规则计算机网络组建与安全维护提交文件

14、的命名规则表项目文件类型命名规则备 注计算机网络信息安全配置文件CFG-设备名称参赛队-工位号.txt竞赛验收文件Test-参赛队工位号.doc2.4.3考评内容 输出文档标准：实验所输出的文档需保存为.doc或.docx。 文档的完整性：实验用所有路由器、交换机、防火墙的配置命令的导出是否完整。 文档图片完整性： IDS设备、堡垒服务器所完成配置的页面是否截屏并完整。 文档的说明：对于输出的配置命令或截屏是否有正确的配置功能说明。 文档页面设置：上下空：2.5cm；左空：3.0cm（以便装订）；行间距：1.5倍；正文字号：宋体小四号； 文档页眉页角：页眉：“竞赛名称”+“工位号”；页脚：页码

15、（当前页码/总页数）2.5团队风貌与协作评判标准考评内容如下： 团队风貌：团队精神面貌好 组织与管理能力：团队成员分工合作，任务均匀 团队协作与沟通：团队成员有交流、沟通 工作环境及设备摆放符合企业生产“5S”：操作符合5S（整理、整顿、清扫、清洁、素养） 工作计划性：工作计划性强，按时完成任务。信息安全技术竞赛仿真测试题 注意事项1. 测试时间：180分钟2. 设备清单 3PC+2FW+1 3layer switch +2 swith+ 1 IDS+3 Router3. 防火墙IPS功能需要许可，如果防火墙还原后，许可失效，请从FTP自行下载4. 测试过程：a） 审题b） 准备阶段和设备初始

16、化c） 网络环境搭建与调试d） 网络系统加固e） 主机系统加固f） 网络攻击g） 收尾工作网络拓朴结构示意图一、网络环境搭建与调试（40分）根据表1-3和网络拓扑图中的信息，连接并配置设备，实现网络功能，并将所有交换机/路由器的配置文件通过tftp上传到服务器上，文件命名格式为设备名-config.txt，例如：S1-config.txt。表1 设备IP地址设备设备名称设备接口IP地址路由器R1Loopback 0169.254.15.253/32Fa0/0211.78.45.1/30串口211.78.45.6/30R2169.254.15.254/32S0/0211.78.45.5/30S0

17、/1211.78.45.9/30R3211.78.45.10/30172.16.1.254/24三层交换机S1VLAN1192.168.1.254VLAN20192.168.20.254VLAN21192.168.21.254VLAN22192.168.22.254VLAN23192.168.23.254VLAN50192.168.50.254VLAN100192.168.100.1防火墙F1、F2内网IP192.168.1.1外网IP211.78.45.2/30二层交换机S2192.168.1.2服务器Server192.168.50.100配置好IIS 的WEB、FTP服务，内容自定义，禁

18、止WINDOWS防火墙，将SERVER C盘完全共享，开启远程桌面。PC机PCA自由机，配置除IDS外所有的网络设备，最放置于VLAN21ADMINIDS管理机PC远程电脑表2 基本网络需求说明需求详细说明Corp-A基本要求（1） 内网所有设备都可以访问外网（2） 结合MSTP实现负载均衡：聚合链路是VLAN20、21的主路径，另一条单线链路是VLAN22、23的主路径（3） VLAN21网络的用户通过DHCP获取IP地址（4） DHCP地址池在S1上配置（5） 外网路由设备可以通过tftp形式上传文件到服务器Corp-B（1） 内部网络可以访问外网（2） R3和R2之间采用PPP连接，CH

19、AP认证密码为654321设备命名、密码规范（1） 交换机、路由器根据拓扑图进行主机名命名（2） R3远程登录用户名admin，密码admin，特权密码secret路由（1） R1/R2之间采用OSPF协议，且配置基于接口的验证，采用MD5验证方式，key-id为7，key为xieshang表3 功能需求说明名称实现功能详细说明安全功能（1） 只允许内部用户和VPN用户远程登录管理优化功能实施QoS 策略，使得CorpA内部设备访问服务器的FTP数据报带宽限制为1Mbps，突发量为2M字节，超过带宽的FTP报文一律丢弃，而VPN用户访问服务器的FTP数据报带宽限制为200Mbps，突发量为50

20、0K字节，超过带宽的FTP报文一律丢弃。附加功能利用NTP服务器为交换机提供精确的时间，NTP服务器地址为198.15.76.5（1） 启动SSH，要求SSH采用AAA本地认证。（2） 内网用户在工作时间只允许访问外网WEB服务器以及VPN连接CorpA，其余时段不受限制。二、网络系统加固（50分）设备需求功能说明基本配置PCA手工配置IP地址为192.168.1.2，连接防火墙F1。（1） 防火墙F1上配置，实现PCA、ADMIN通过WEB认证方式可访问internet，WEB认证方式为https，用户名为 user/user（2） PC可通过防火墙F1 外网IP：211.78.45.2地址

21、端口映射80、21到SERVER，也即PC可FTP访问SERVER、WEB浏览访问SERVER（3） F1上配置，使PCA、ADMIN可直 访问SERVER。（4） 防火墙全局DNS服务器地址为202.101.172.35，防火墙DNS默认不允许内网用户PCA、ADMIN访问网站。网关加固（1） 禁止PCA用户从INTERNET下载 EXE 类型文件。（2） 不允许PCA用户访问*;*（3） 禁止内网用户访问包含“化工”，“计算机”、“医药” 三个敏感词的网页。具体要求为：如果页面中包含“化工”，“计算机”、“医药”三个词中的任何两个或者任何一个关键字出现的次数在两次或两次以上，则对该页面进行

22、阻断并记录日志信息。（4） 内网电脑上行 每 IP 最大带宽3200K 所有IP 最大带宽5000K、下行每 IP 最大带宽4000K 所有IP 最大带宽9000KVPN配置防火墙F1上配置，实现SCVPN功能，要求：（1） 使PC可通过访问防火墙FW e0/1地址211.78.45.2：8666，获得172.16.1.0/24地址。（2） 用户名 scvpn/scvpn （3） 登录成功后跳转到FWA e0/1地址的80端口，也即SERVER的HTTP站点。（4） 允许用户同名登录3次，（5） PC可以ping通PCA、ADMIN、SERVER。安全防护配置防火墙F1的外网接口和VPN接口，

23、使它们具有以下防护：（1） IP 地址扫描攻击防护功能，在3秒时间内，有10个以上相同IP地址的ICMP包请求，则发出警报，但允许数据包通行。（2） 端口扫描攻击防护功能，在3秒时间内，有10个以上相同IP地址的TCP SYN包请求，则发出警报，但允许数据包通行。（3） IP 地址欺骗攻击防护功能（4） 配置 SYN Flood 攻击防护功能（5） 配置 ICMP Flood 攻击防护功能（6） 配置 Ping of Death 攻击防护功能（7） DNS Query Flood 攻击防护功能IPS部分（1） 配置F1的入侵防御系统，防止密码暴力破解，每分钟登录上限为5次，入侵防御手段为屏蔽攻

24、击者的IP连续24小时。（如需要LIC，请自行安装）安全日志（1） 安全日志发送到87773084邮箱高可用性（1） A/P方式的HA（2） F1 关机后，可自动切换到F2，不影响正常访问。结果验证（1） PCA可以PING通ADMIN。（2） PCA和ADMIN还可以上外网（3） PC远程SCVPN接入，并访问服务器SERVER的共享，远程桌面登录 192.168.50.100。（4） 关闭F1，重新验证以上结果IDS系统（1） 解压WINXP虚拟机操作系统，并放到“D:学生姓名VM”目录下，利用虚拟机软件打开后操作，安装光盘等自行准备。（2） 在虚拟机上，完成IDS设备的管理服务器的安装配

25、置（3） IDS设备的地址为192.168.1.200，配置管理服务器的IP地址为192.168.1.199。（4） 数据库密码为sa，数据库文件位于C:IDSDB，日志文件位于C:IDSLOG。（5） 配置新的管理用户名为 net/zime2011，定义新的入侵检测策略，策略名称zime2011，对WEB、FTP、pop3/SMTP、ICMP、TCP SYN进行检测。（6） 在ADMIN的虚拟机上，打开实时检测，监控网络行为。三、网络攻击部分（5分）远程计算机网络攻击（1） PC实施 ping 211.78.45.2 L 60000 -6 网络攻击（2） PC实施对IP ：211.78.45.2端口扫描网络攻击（3） PC实施对IP ：211.78.45.2地址欺骗网络攻击结束部分（5分）日志（2） 防火墙F1配置文件上传FTP # export configration ftp server 10.5.10.230 user net password net “20110416组号”+FW2011.txt。（3） 导出IDS告警类别的统计数据