Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - CZERWIEC 2023 (test 3)



PYTANIE NR 23.
Administrator zaobserwował nadmierny ruch w sieci lokalnej i podejrzewa włamanie. Które narzędzie pomoże zdiagnozować ten problem?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Wireshark służy do przechwytywania i analizy pakietów w sieci, więc pozwala zobaczyć, jakie hosty i protokoły generują nadmierny ruch oraz wykryć anomalie typowe dla ataków. McAfee to głównie ochrona antywirusowa, a ipconfig i tracert dają jedynie podstawową diagnostykę konfiguracji i trasy, bez analizy pakietów.

Pełne wyjaśnienie:

Nadmierny ruch w sieci lokalnej i podejrzenie włamania wymagają narzędzia, które pokaże co dokładnie płynie w sieci: jakie protokoły są używane, z jakich adresów IP/MAC pochodzi ruch, do jakich portów jest kierowany i czy pojawiają się wzorce typowe dla nadużyć (np. skanowanie, nietypowe zapytania, powtarzalne pakiety).

Odpowiedź "Program Wireshark." jest właściwa, ponieważ Wireshark jest analizatorem pakietów (snifferem). Umożliwia przechwytywanie ramek/pakietów z interfejsu sieciowego i ich szczegółową analizę (nagłówki, porty, protokoły, strumienie), co jest kluczowe przy diagnozowaniu anomalii ruchu i wstępnym rozpoznaniu incydentu bezpieczeństwa.

Pozostałe propozycje nie spełniają celu pytania:

  • "Program McAfee." – to oprogramowanie ochronne (antywirus/EDR w zależności od wersji). Może wykrywać zagrożenia na hoście, ale samo w sobie nie jest typowym narzędziem do diagnostyki nadmiernego ruchu na poziomie pakietów i nie zastępuje analizy przechwyconego ruchu.
  • "Polecenie ipconfig." – służy do sprawdzania i odświeżania parametrów konfiguracji IP na lokalnym komputerze (np. adres IP, maska, brama, DNS). Pomaga w diagnozie problemów z adresacją, ale nie pokazuje, jaki ruch i w jakiej skali przechodzi przez sieć.
  • "Polecenie tracert." – służy do badania ścieżki pakietów do hosta docelowego. Jest użyteczne w analizie tras i opóźnień, ale nie daje wglądu w zawartość i charakter ruchu w LAN (nie przechwytuje pakietów).

W praktyce, po wskazaniu Wireshark jako narzędzia diagnostycznego, administrator zwykle: wybiera właściwy interfejs, wykonuje przechwycenie, filtruje ruch (np. po adresie IP/MAC, porcie, protokole), a następnie identyfikuje urządzenia lub usługi generujące nadmiar transmisji. To stanowi podstawę do dalszych działań: izolacji hosta, korekty konfiguracji lub wdrożenia zabezpieczeń.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest Wireshark i do czego służy w sieci LAN?
Wireshark to analizator pakietów, który pozwala przechwytywać i oglądać ruch sieciowy "klatka po klatce". Dzięki temu można sprawdzić, jakie urządzenia i protokoły generują ruch, wykryć anomalie oraz zebrać dane pomocne przy diagnozowaniu awarii i incydentów bezpieczeństwa.
Jak Wireshark pomaga wykryć podejrzany ruch i włamanie?
Umożliwia podejrzenie źródeł i celów połączeń (adresy IP/MAC, porty), częstotliwości pakietów oraz nietypowych protokołów. Filtry wyświetlania pomagają szybko zawęzić analizę do podejrzanego hosta lub usługi i ocenić, czy ruch przypomina np. skanowanie portów lub komunikację z nieznanym serwerem.
Dlaczego ipconfig nie wystarcza do diagnozy nadmiernego ruchu?
ipconfig pokazuje głównie lokalną konfigurację sieciową komputera (adres IP, bramę, DNS) i nie mierzy ani nie analizuje strumieni pakietów w sieci. Może pomóc wykryć błąd adresacji, ale nie wskaże, kto generuje duży ruch ani jaka jest jego zawartość.
Kiedy używa się tracert zamiast Wireshark?
tracert stosuje się, gdy problem dotyczy trasy do hosta docelowego (np. gdzie "giną" pakiety, na którym przeskoku rosną opóźnienia). Do analizy nadmiernego ruchu i podejrzenia włamania potrzebny jest zwykle wgląd w pakiety, więc częściej wybiera się Wireshark lub inne narzędzie do przechwytywania ruchu.
Jakie filtry w Wireshark warto znać na egzamin?
Warto rozumieć ideę filtrów przechwytywania i filtrów wyświetlania oraz umieć filtrować po protokołach (np. DNS/HTTP), adresach IP i portach. Na egzaminie często chodzi o sam dobór narzędzia, ale podstawowe filtrowanie ułatwia wskazanie źródła anomalii w ruchu.
Czy program antywirusowy typu McAfee może zdiagnozować ruch sieciowy?
Może sygnalizować zagrożenia na stacji (np. złośliwy proces), czasem ma moduły sieciowe, ale nie jest typowym analizatorem pakietów do szczegółowego podglądu ruchu. W zadaniach egzaminacyjnych do diagnozy nadmiernego ruchu i analizy "co leci w sieci" właściwszy jest Wireshark.
Jak odróżnić narzędzie do analizy pakietów od poleceń diagnostycznych Windows?
Narzędzie do analizy pakietów przechwytuje i dekoduje ramki/pakiety (widzisz protokoły, porty, zawartość). Polecenia typu ipconfig i tracert dostarczają informacji o konfiguracji lub trasie, ale nie pokazują szczegółów przesyłanych danych ani nie identyfikują bezpośrednio "szumu" w sieci.
Co może powodować nadmierny ruch w sieci lokalnej poza atakiem?
Częste przyczyny to pętla w sieci (błędne połączenie), burze broadcast/multicast, źle skonfigurowane urządzenie, awaria sterownika karty sieciowej lub intensywne kopie danych. Wireshark pomaga rozpoznać typ pakietów i kierunek, co ułatwia odróżnienie awarii od działań złośliwych.
Jak bezpiecznie używać Wireshark w firmie podczas incydentu?
Przechwytywanie ruchu może zawierać dane wrażliwe, więc należy działać zgodnie z procedurami organizacji: ograniczyć zakres przechwycenia, chronić pliki z zrzutami, nie udostępniać ich nieuprawnionym osobom i wykonywać analizę na wydzielonym stanowisku. Zawsze dokumentuj, co i kiedy przechwycono.
Jak przygotować się do pytania o narzędzia sieciowe na INF.2?
Ułóż "mapę narzędzi": co służy do konfiguracji (np. ipconfig), co do trasy (tracert), co do testu łączności (ping), a co do analizy ruchu (Wireshark). Ćwiczenia praktyczne: uruchom polecenia, zobacz ich wynik i powiąż je z typowymi problemami (awaria vs anomalia ruchu).
info

To pytanie poprawnie rozwiązuje 56% zdających egzamin. średnie

Specjaliści zwracają uwagę: "Wireshark służy do przechwytywania i analizy pakietów w sieci, więc pozwala zobaczyć, jakie hosty i protokoły generują nadmierny ruch oraz wykryć anomalie typowe dla ataków."

Źródła:

  • Wireshark User’s Guide – dokumentacja projektu Wireshark, rozdziały dotyczące przechwytywania i analizy pakietów: https://www.wireshark.org/docs/wsug_html_chunked/ (dostęp: 02.03.2026)
  • Microsoft Learn – polecenie ipconfig (Windows): https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ipconfig (dostęp: 02.03.2026)
  • Microsoft Learn – polecenie tracert (Windows): https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/tracert (dostęp: 02.03.2026)

Materiały:

  • Dokumentacja Wireshark: przewodniki "User’s Guide" i "Capture Filters/Display Filters"
  • Materiały o podstawach TCP/IP (warstwy, porty, protokoły) dla poziomu technika
  • Ćwiczenia laboratoryjne z analizy ruchu (HTTP/DNS/ARP) w sieci testowej
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego