取证分析挑战4VoIP（难度中级）.doc

取证分析挑战4: VoIP (难度：中级) 提交模版： 请将您的解答文档提交至：/challenge2010/，截止时间2010年6月30日周三23:59 pm（北京时间），结果将在2010年7月21日（周三）发布。 姓名 (必填): 电子邮件 (必填): 国家 (可选): 职业 (可选):  - 学生  - 安全职业者 - 其他 第一部分 / 问题1. 哪一种传输层协议被使用？ TCP或是UDP? 分数: 1分 使用的分析工具: 得分: 回答 第一部分/ 问题 2. 由日志文件是否可推断攻击者采用NMAP对蜜罐系统进行一个简单的扫描？ 请解释原因。 分数: 1分 使用的分析工具: 回答 第一部分/ 问题 3a. 分数: 1分 使用的分析工具: 回答 第一部分/ 问题 3b. 分数: 1分 使用的分析工具: 回答 第一部分/ 问题 3c. (c) 其中有一个工具被用于扫描小范围的 SIP分机号码 (a small subset of extensions)，请指出其中的分机号码是什么？ 以及为何攻击者使用这个工具? 分数: 2分 使用的分析工具: 回答 第一部分/ 问题 4a. 分数: 2分 使用的分析工具: 回答 第一部分/ 问题 4b. 分数: 6分 使用的分析工具: 回答 第一部分/ 问题 5. 分数: 1分 使用的分析工具: 回答 第一部分/ 问题 6. - 来源IP地址 - 尝试拨出的真实电话号码 分数: 3分 使用的分析工具: 回答 第一部分/ 问题 7. 分数: 5分 使用的分析工具: 回答 第一部分/ 问题 8a. a) 第一段：请用简单的文句叙述整个事件与时间点，以及可能的动机与攻击过程。 分数: 3分 使用的分析工具: 得分: 回答 第一部分/ 问题 8b. b) 第二段：针对此案例，请提出应对措施，需考虑其优先级与迫切性。并提出有效的解决方案或架构，防范此类攻击事件再次发生。 分数: 3分 使用的分析工具: 回答 第二部分/ 问题 1. 分数: 4分 使用的分析工具: 得分: 回答 第二部分/ 问题 2a. 分数: 1分 使用的分析工具: 回答 第二部分/ 问题 2b. 取样时间是多少微秒(milliseconds) ? 分数: 1分 使用的分析工具: 回答 第二部分/ 问题 3. 分数: 2分 使用的分析工具: 得分: 回答 第二部分/ 问题 4. 分数: 2分 使用的分析工具: 回答 第二部分/ 问题 5a. a) 找出Bonus，并描述你是如何找到的。 分数: 10分 使用的分析工具: 回答 第二部分/ 问题 5b. b) 如果双方使用VOIP通话， VOIP 报文在传递过程中，经过一个不可信任的网络，例如：无线网络或是因特网，而导致恶意攻击者收集到和这条问题相似的PCAP，你认为这是一个安全问题吗？ 为什么？ 分数: 3分 使用的分析工具: 回答 第二部分/ 问题 5c. c) 网络报文分析软件Wireshark，有一个选项"Use RTP timestamp"，有何用途 ? 分数: 2分 使用的分析工具: 得分: 回答 第二部分/ 问题 6. 当VOIP报文行经不可信任网络时，有何技术或是协议可使用来保护RTP流的机密性(Confidentiality)? 分数: 3分 使用的分析工具: 回答 第三部分/ 问题 1. 什么是 RTP注入（RTP injection），描述运作过程。何种条件下，RTP注入会成功运作? 分数: 2分 使用的分析工具: 回答 第三部分/ 问题 2.解释SIP password digest 如何被截获或是被窃取。这是否是一个安全问题？为什么？. 分数: 2分 使用的分析工具: 回答 第三部分/ 问题 3. 分数: 2分 使用的分析工具: 回答 T H E H O N E Y N E T P R O J E C T? | Forensic Challenge 2010 The work is licensed under a Creative Commons License. Copyright ? The Honeynet Project, 2010 Page 6 of 7