Linux初级工程师知识竞赛题库附答案(7)

17、第一次分析某客户的全流量告警,应该()

A、直接看设备中的告警

B、提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)

C、只看设备中命中威胁等级为高的告警

D、在分析告警的时候再和现场运维沟通

18、在全流量中发现告警,发现攻击者请求内容为http://127.0.0.1/sqllib/Less-1/?id=-1%27union%20select%201,group()concat(schema()name),3%20from%20information()schema.schemata–+,攻击者的攻击方式为:

A、SQL注入

B、跨站脚本攻击

C、上传木马

D、爆破账户密码

答案:A

19、你在设备上发现了一条告警,被攻击的端口为3389,该端口最有可能是():

A、mysql数据库开放端口

B、redis数据库开放端口

C、Windows远程桌面的服务端口

D、ssh端口

答案:C

20、在全流量设备上发现用户存在弱口令登录行为,你不应该():

A、记录后继续分析,检查是否还有其他用户使用相同弱口令

B、通知现场的运维,进行告警验证

C、直接登录发现弱口令的账号,查看里面的敏感信息

D、编写报告时,记录该问题

答案:C

21、在分析时,你发现全流量设备存储的数据时间跨度很长,数据量巨大,告警非常多,你不应该():

A、直接进行分析

B、通知现场运维注意设备内存情况

C、加载合适时间段的告警后开始分析

D、针对客户的资产创建子快照,针对分析

答案:A

22、在分析CS架构的全流量设备时,你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击,你应该如何写搜索表达式():

A、(ip.dst==192.168.20.30and(protocol==HTTPand((port.dst==80)andip.src==192.168.49.60)))

B、(ip.dst==192.168.49.60and(protocol==HTTPand((port.dst==80)andip.src==192.168.20.30)))

C、(ip.dst==192.168.20.30and(protocol==TCPand((port.dst==80)andip.src==192.168.49.60)))

D、(ip.dst==192.168.49.60and(protocol==TCPand((port.src==80)andip.src==192.168.20.30)))

答案:A

23、在第一次分析某客户流量告警时,发现有一内网IP对内网其他应用有持续的攻击行为,你的判断/做法是():

A、这个资产失陷了,记录下来写在报告中

B、核对资产清单后询问运维是否是扫描器行为再做判断

C、失陷主机在尝试横向移动,赶紧让用户封禁这个IP

D、一看就是用户的扫描器,把该IP加入白名单

答案:B

24、对于全流量设备发现的告警,你的态度是()

A、无条件相信设备的告警

B、设备显示什么告警都直接记录在报告中

C、每一条告警都具体分析

D、分析最具特征的告警,对告警进行验证后再提交

答案:D

25、当你发现了一个IP与一个矿池域名存在交互,你与客户确认后得知这个IP是一台小交换机,你的建议是()

A、建议客户把这台小交换机的流量给到全流量设备后做具体定位

B、让客户检查这一台小交换机

C、让客户逐一排查接在这台小交换机下的设备

D、无法做到准确定位,直接忽略

答案:A