TCP/IP ve Ağ Güvenliği Değerlendirme Sınavı

TCP/IP ve Ağ güvenliği bilginizi sınayacak orta seviye bir sınav.

Sorular ve cevaplarla ilgili yorumlarınız için bilgi@bga.com.tr adresine e-posta gönderebilirsiniz.

Soru-1:Aşağıdakilerden hangisi bir TCP bağlantısında görülmez?

CLOSE_WAIT
FIN_WAIT_2
SYN_WAIT_2
SYN_SEND
LAST_ACK

Soru-2:Aşağıdaki çıktıya göre 111.222.113.122 IP adresine yönelik port tarama işlemi hangi araç kullanılarak gerçekleştirmiş olabilir? <pre>

# tcpdump -n -i eth0
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:34:57.579931 IP 78.186.11.22.50059 > 111.222.113.122.http: S 2978516166:2978516166(0) win 2048
13:34:57.580143 IP 111.222.113.122.http > 78.186.11.22.50059: R 0:0(0) ack 2978516167 win 0
13:34:57.583374 IP 78.186.11.22.50059 > 111.222.113.122.telnet: S 2978516166:2978516166(0) win 1024
13:34:57.583398 IP 111.222.113.122.telnet > 78.186.11.22.50059: R 0:0(0) ack 2978516167 win 0
13:34:57.590210 IP 78.186.11.22.50059 > 111.222.113.122.ftp: S 2978516166:2978516166(0) win 2048
13:34:57.590231 IP 111.222.113.122.ftp > 78.186.11.22.50059: R 0:0(0) ack 2978516167 win 0
13:34:57.593399 IP 78.186.11.22.50059 > 111.222.113.122.https: S 2978516166:2978516166(0) win 3072
13:34:57.593413 IP 111.222.113.122.https > 78.186.11.22.50059: R 0:0(0) ack 2978516167 win 0

Superscan
Nessus
Nmap
Hping

Soru-3:Aşağıdaki çıktıda *** lı satırlar neden kaynaklanmaktadır? <pre>

# tcptraceroute www.google.com
Selected device eth0, address 192.168.1.107, port 43314 for outgoing packets
Tracing the path to www.google.com (209.85.227.99) on TCP port 80 (www), 30 hops max
1  192.168.1.1  0.743 ms  0.627 ms  0.615 ms
2  * * *
3  * * *
4  * * *
5  * * *
6  * * *
7  * * *
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  wy-in-f99.1e100.net (209.85.227.99) [open]  78.605 ms  79.352 ms  81.694 ms

Aradaki ağ cihazlarında TCP paketlerinin geçişine izin yoktur.
Aradaki ağ/güvenlik cihazları UDP paketlerine izin vermemektedir.
Aradaki ağ/güvenlik cihazları ICMP time exceeded in-transit paketlerine izin vermemektedir.
www.google.com önünde çalışan IPS traceroute paketlerini engellemektedir.

Soru-4:Linux sistemlerde LISTEN modda olan bir TCP portun hangi uygulamaya ait olduğu nasıl bulunur?

netstat -an
netstat -ant|grep LISTEN
netstat -antp|grep LISTEN
netstat -B

Soru-5:Aşağıdakilerden hangisi geçerli bir soket durumu değildir?

UNKNOWN
CLOSING
SLEEPING
CLOSED

Soru-6:Aşağıdakilerden hangisi geçerli bir UDP bağlantı durumudur?

UDP_SENT
CLOSE_WAIT
SYN_SEND
FIN_WAIT1
Hiçbiri

Soru-7:Aşağıdakilerden hangisi multicast MAC adresidir?

Hiçbiri
02:01:5c:0b:0c:10
01:01:5b:00:12:02
01:00:5e:01:02:03

Soru-8:DF biti set edilmiş 1600 Bytelık bir paket MTU boyutu 700 Byte olan bir ağa geldiğinde aşağıdaki durumlardan hangisi oluşur?

Paket düşürülür ve geriye bir mesaj dönmez
Kaynağa ICMP TTL Expired mesajı gönderilir
TCP RST paketi gönderilir
Kaynağa ICMP "Fragmentation Needed but the Don't Fragment Bit was set" paketi gönderilir.

Soru-9:Path MTU Discovery (PMTU-D) ne amaçla kullanılır

Uçtan uca hangi hızla veri transferi yapılabileceğini belirlemek için
Uçtan uca parket parçalaması olmasın diye aradaki gateway sistemlerin desteklediği minimum MTU değerini belirlemek için.
Uçtan uca aradaki gateway sistemlerin bulunması için
Hedef sistemdeki açık portları belirlemek için Soru-10:Pasif FTP'de 20 ve 21. portlar kullanılır Doğru Yanlış Soru-11: 0-1023 arası portlar aşağıdakilerden hangi tanıma girmektedir? Registered port numbers Dynamic ports Well known port numbers

Soru-10:Pasif FTP'de 20 ve 21. portlar kullanılır

Doğru
Yanlış

Soru-11: 0-1023 arası portlar aşağıdakilerden hangi tanıma girmektedir?

Registered port numbers
Dynamic ports
Well known port numbers
Private ports

Soru-12: IANA tarafından belirlenen "Registered Ports" aralığı aşağıdakilerden hangisidir?

1024-65525
1024-49151
1024-48151
0-1023

Soru-13: Aşağıdakilerden hangisi yanlıştır?

Frame=Layer 2 (Data Link Layer) PDU
Packet=Layer 3 (Network Layer) PDU
Segment=Layer 4 (Transport Layer) PDU
Packet=Layer 1 (Physical Layer) PDU

Soru-14: C0A80101 hex ifadesi ile gösterilen IP adresi aşağıdakilerden hangisidir?

192.168.1.2
192.168.1.22
192.168.1.11
192.168.1.1

Soru-15: Parçalanmış bir paketin parçalarından biri hedefe ulaşmazsa tüm paket tekrardan gönderilmelidir?

Doğru
Yanlış

Soru-16: Aşağıdaki IPS kuralı ne işe yarar?

drop ip any any -> $EXT_NET any (msg: "Test-12"; ttl:<3;)

EXT_NET'e doğru giden tüm paketleri engeller
EXT_NET'e doğru yapılan traceroute çalışmalarını engeller
Gelen paketlerin TTL değerlerini 3 yapar
Port taramalarını engeller

Soru-17: Aşağıdaki sniffer çıktısı incelenirse seçeneklerden hangisi doğrudur?

#tcpdump -i eth0 -n icmp
...
07:48:50.514124 IP 192.168.1.107 > 192.168.1.106: ICMP 192.168.1.107 udp port 999 unreachable,

192.168.1.107'den 192.168.1.107 IP adresinde ping isteği gönderilmiştir.
Kapalı olan bir porta(999) gönderilen UDP isteğine dönen ICMP cevabıdır.
999. ICMP portuna gelen tarama isteğidir.
999 TCP portuna gelen SYN isteğine karşılık dönen ICMP cevabıdır.

Soru-18: Aşağıdaki sniffer çıktısına bakarak Nmap ile yapılan port taramanın türünü belirleyiniz.

root@bt:~# tcpdump -i any tcp
...

08:02:48.042279 IP 192.168.1.105.62455 > 192.168.1.107.99: S 3504537880:3504537880(0) win 3072 

08:02:48.042298 IP 192.168.1.107.99 > 192.168.1.105.62455: S 2346618514:2346618514(0) ack 3504537881 win 32792 

08:02:48.042306 IP 192.168.1.105.62455 > 192.168.1.107.99: R 3504537881:3504537881(0) win 0

...

nmap -sT 192.168.1.107
nmap -sV 192.168.1.107
nmap -sU 192.168.1.107
nmap -sS 192.168.1.107

Soru-19: Aşağıdaki port tarama çıktısına göre seçeneklerden hangisi daha doğrudur? 11.22.33.44 -> Linux işletim sistemine sahiptir

# nmap -sS 11.22.33.44 --top-ports 100
 

Starting Nmap 5.30BETA1 ( http://nmap.org ) at 2010-06-13 15:08 EEST
Nmap scan report for 11.22.33.44
Host is up (0.013s latency).

PORT      STATE SERVICE
7/tcp     open  echo
9/tcp     open  discard
13/tcp    open  daytime
21/tcp    open  ftp
22/tcp    open  ssh
23/tcp    open  telnet
25/tcp    open  smtp
26/tcp    open  rsftp
37/tcp    open  time
53/tcp    open  domain
79/tcp    open  finger
80/tcp    open  http
81/tcp    open  hosts2-ns
88/tcp    open  kerberos-sec
106/tcp   open  pop3pw
...
427/tcp   open  svrloc
443/tcp   open  https
444/tcp   open  snpp
445/tcp   open  microsoft-ds
465/tcp   open  smtps
513/tcp   open  login
514/tcp   open  shell
515/tcp   open  printer
543/tcp   open  klogin
544/tcp   open  kshell
548/tcp   open  afp
554/tcp   open  rtsp
587/tcp   open  submission
631/tcp   open  ipp
646/tcp   open  ldp
873/tcp   open  rsync
990/tcp   open  ftps
993/tcp   open  imaps
995/tcp   open  pop3s
1025/tcp  open  NFS-or-IIS
....

9100/tcp  open  jetdirect
9999/tcp  open  abyss
10000/tcp open  snet-sensor-mgmt
32768/tcp open  unknown
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown

11.22.33.44 IP adresindeki tüm portlar açıktır
11.22.33.44 IP adresinde syncookie özelliği açıktır.
11.22.33.44 IP adresinde synproxy özelliği açıktır.
11.22.33.44 IP adresi önünde bir adet stateless güvenlik cihazı vardır

Soru-20: PUNYCODE tipinde yazılmış "xn--gvenlikegitimleri-22b.com" adresinin UTF-8 karşılığı nedir?

guvenlikeğitimleri.com
güvenlikeğitimleri.com
güvenlikegitimleri.com
guvenlikegitimleri.com

Soru-21: Aşağıdaki sniffer çıktısına göre seçeneklerden hangisi doğrudur?

Ethernet II, Src: 02:02:02:02:02:02, Dst: ff:ff:ff:ff:ff:ff
    Destination: ff:ff:ff:ff:ff:ff (Broadcast)
    Source: 02:02:02:02:02:02 (02:02:02:02:02:02)
    Type: ARP (0x0806)
    Trailer: 000000000000000000000000000000000000
Address Resolution Protocol (request/gratuitous ARP)
    Hardware type: Ethernet (0x0001)
    Protocol type: IP (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (0x0001)
    Sender MAC address: 02:02:02:02:02:02 (02:02:02:02:02:02)
    Sender IP address: 192.168.1.1 (192.168.1.1)
    Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)
    Target IP address: 192.168.1.1 (192.168.1.1)
0000  ff ff ff ff ff ff 02 02 02 02 02 02 08 06 00 01   ................
0010  08 00 06 04 00 01 02 02 02 02 02 02 c0 a8 01 01   ................
0020  ff ff ff ff ff ff c0 a8 01 01 00 00 00 00 00 00   ................
0030  00 00 00 00 00 00 00 00 00 00 00 00               ............

Normal ARP isteğidir
Normal ARP cevabıdır
RARP paketidir
Gratuitous ARP paketidir

Soru-22: Aşağıdaki önermelerden hangisi yanlıştır(teoride)?

ARP istekleri broadcast olabilir
UDP paketleri broadcast olabilir
ICMP paketleri broadcast olabilir
TCP paketleri broadcast olabilir

Soru-23: ICMP Type 3 Code 3 mesajı aşağıdakilerden hangisidir?

Port Unreachable
Destination Network Unreachable for Type of Service
Host Unreachable
Communication Administratively Prohibited

Soru-24: HTTP KeepAlive özelliği ne sağlar?

Http isteklerinin es zamanlı olarak gönderilmesi islemidir
Her HTTP istegi için ayrı bir TCP baglantısı açmak yerine bir adet TCP baglantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteginin aktarılabilmesini saglar.

Soru-25: Aşağıdaki çıktıya göre seçeneklerden hangisi daha doğrudur?

root@seclabs:~# tcptraceroute www.gulegulegit.com -n
Selected device eth0, address , port 37363 for outgoing packets
Tracing the path to www.gulegulegit.com.com (91.93.11.12) on TCP port 25 (smtp), 30 hops max
 1  11.200.19.13  0.443 ms  0.266 ms  0.261 ms
 2  192.168.1.58  0.659 ms  0.215 ms  0.329 ms
 3  212.2.18.28  0.883 ms  0.711 ms  0.515 ms
 4  217.1.21.13  1.367 ms  1.401 ms  1.356 ms
 5  85.129.156.177  1.400 ms  1.601 ms  2.002 ms
 6  91.44.145.12  2.647 ms  1.849 ms  1.711 ms
 7  84.51.1.154  8.038 ms  6.321 ms  5.473 ms
 8  91.93.11.12  4.447 ms  6.408 ms  4.604 ms
 9  91.93.11.12 [open]  7.484 ms  9.092 ms  8.722 ms

www.gulegulegit.com(91.93.11.12 önünden Firewall vardır
www.gulegulegit.com(91.93.11.12 önünde NAT yapan bir cihaz vardır
www.gulegulegit.com(91.93.11.12 önünde IPS vardır
91.93.11.12 IP adresine gelen paketler kaybolmaktadır

Bilgi Güvenliği AKADEMİSİ Nedir?

Gelişmelerden Haberdar Olun!

Bilgi Güvenliği AKADEMİSİ BLOG

Kariyer Planınızda Sertifikaların Önemi