2025年信息系统安全专家Wireshark在网络木马流量分析中的实战应用专题试卷及解析.pdfVIP

2025年信息系统安全专家WIRESHARK在网络木马流量分析中的实战应用专题试卷及解析1

2025年信息系统安全专家Wireshark在网络木马流量分

析中的实战应用专题试卷及解析

2025年信息系统安全专家Wireshark在网络木马流量分析中的实战应用专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在使用Wireshark分析可疑网络流量时，发现某主机频繁向一个固定IP地址的

80端口发送HTTPGET请求，且请求的UserAgent字段为”Mozilla/5.0(compatible;

Bot/1.0)“，这最可能表明什么？

A、正常的网页浏览行为

B、搜索引擎爬虫活动

C、基于HTTP的木马通信

D、浏览器自动更新请求

【答案】C

【解析】正确答案是C。UserAgent字段显示为”Bot/1.0”且通信模式固定，这是木马

通信的典型特征。A选项正常浏览会有更多样化的UserAgent；B选项搜索引擎爬虫通

常有明确的标识和更规范的请求模式；D选项浏览器更新会有特定的更新服务器域名。

知识点：木马通信特征识别。易错点：容易将所有HTTP请求都视为正常流量。

2、在Wireshark中分析木马流量时，发现大量TCP包的标志位为PSH,ACK，且

数据长度固定为1024字节，这最可能是什么类型的木马？

A、基于ICMP的木马

B、基于UDP的木马

C、基于TCP的木马

D、基于DNS的木马

【答案】C

【解析】正确答案是C。PSH,ACK标志位组合表明数据需要立即推送，固定长度的

数据包是TCP木马的特征。A选项ICMP木马不会使用TCP；B选项UDP木马使

用UDP协议；D选项DNS木马使用DNS协议。知识点：TCP标志位分析。易错点：

容易忽略标志位组合的含义。

3、使用Wireshark追踪TCP流时，发现通信内容包含”cmd.exe”字符串，且伴随

有”dir”、“cd”等命令，这最可能是什么类型的木马？

A、键盘记录木马

B、远程控制木马

C、文件窃取木马

D、DDoS木马

2025年信息系统安全专家WIRESHARK在网络木马流量分析中的实战应用专题试卷及解析2

【答案】B

【解析】正确答案是B。cmd.exe和系统命令的出现表明木马正在执行远程控制功

能。A选项键盘记录木马会记录按键；C选项文件窃取木马会传输文件；D选项DDoS

木马会发送大量请求。知识点：木马功能识别。易错点：容易混淆不同木马的特征。

4、在Wireshark中观察到某主机周期性向外部IP发送DNS查询，查询的域名看

似随机但长度固定，这可能是哪种木马的通信方式？

A、DNS隧道木马

B、HTTP隧道木马

C、ICMP隧道木马

D、TCP隧道木马

【答案】A

【解析】正确答案是A。DNS隧道木马通过DNS查询传输数据，固定长度的随机

域名是典型特征。B选项HTTP隧道使用HTTP协议；C选项ICMP隧道使用ICMP

协议；D选项TCP隧道使用TCP协议。知识点：DNS隧道木马识别。易错点：容易

忽略DNS查询的异常模式。

5、分析Wireshark捕获的流量时，发现某主机频繁向外部IP的443端口发送TLS

加密数据，且证书自签名，这最可能是什么？

A、正常的HTTPS浏览

B、基于TLS的木马通信

C、邮件客户端通信

D、VPN连接

【答案】B

【解析】正确答案是B。自签名证书和固定通信模式表明是木马通信。A选项正常

浏览会有合法证书；C选项邮件客户端使用特定端口；D选项VPN连接会有更多流量

特征。知识点：TLS流量分析。易错点：容易将所有TLS流量视为正常。

6、在Wireshark中使用”tcp.flags.syn==1andtcp.flags.ack==0”过滤条件，目的是

捕获什么？

A、TCP连接建立请求

B、TCP连接终止请求

C、TCP数据传输

D、TCP连接重置

【答案】A

【