Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - CZERWIEC 2019 (test 3)



PYTANIE NR 39.
Monitorując ruch sieciowy, wykryto, że na adres serwera wykonano tysiące zapytań DNS na sekundę z różnych adresów IP, co spowodowało zawieszenie systemu operacyjnego. Przyczyną tego był atak typu
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Rozproszone generowanie tysięcy zapytań na sekundę z wielu adresów IP prowadzi do odmowy usługi przez przeciążenie zasobów serwera/systemu. Taki scenariusz odpowiada atakowi DDoS, którego celem jest unieruchomienie usługi poprzez masowy, skoordynowany ruch.

Pełne wyjaśnienie:

Opis wskazuje na masowe obciążenie usługi: "tysiące zapytań na sekundę" oraz "z różnych adresów IP", które doprowadza do zawieszenia systemu. Kluczowe są tu dwa elementy: cel (niedostępność) oraz rozproszenie źródeł (wiele adresów IP). To jest typowy obraz ataku rozproszonej odmowy usługi, czyli DDoS.

Odpowiedź "DDoS (Distributed Denial of Service)" pasuje, ponieważ atak polega na jednoczesnym generowaniu bardzo dużej liczby żądań przez wiele hostów (często przejętych i sterowanych jako botnet). Skutkiem jest zużycie zasobów (CPU, pamięci, stosu sieciowego, limitów gniazd, kolejek), a w efekcie spowolnienie lub całkowita niedostępność usługi, a nawet zawieszenie systemu operacyjnego.

Pozostałe odpowiedzi nie opisują właściwego mechanizmu:

  • "DNS snooping" odnosi się do podejrzenia/pozyskiwania informacji (np. obserwowania zapytań lub danych związanych z DNS) i jest kojarzone raczej z rozpoznaniem, podsłuchem lub wyciekiem informacji, a nie z masowym przeciążeniem prowadzącym do odmowy usługi.
  • "Mail Bombing" to przeciążanie przez masowe wysyłanie wiadomości e-mail (inny protokół i inny wektor). W pytaniu przeciążenie wynika z zapytań DNS, nie z poczty.
  • "Flooding" jest nazwą ogólną dla techniki "zalewania" ruchem, ale w pytaniu istotne jest, że ruch pochodzi z wielu adresów IP, czyli ma charakter rozproszony. Dlatego właściwą klasyfikacją incydentu jest DDoS, a nie samo ogólne określenie metody.

Wskazówka egzaminacyjna: w zadaniach rozpoznawaj cel ataku (np. niedostępność) i cechę rozproszenia (wiele źródeł). Jeśli oba występują, najczęściej chodzi o DDoS.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest atak DDoS i jaki ma cel?
Atak DDoS to rozproszona odmowa usługi: wiele urządzeń jednocześnie generuje ruch, aby przeciążyć serwer lub łącze i spowodować niedostępność usługi. Celem jest spowolnienie lub unieruchomienie działania systemu, a nie kradzież danych.
Dlaczego wiele adresów IP sugeruje atak rozproszony?
Gdy źródeł ruchu jest dużo i są różne (wiele IP), wskazuje to na koordynację wielu hostów. To typowe dla botnetu lub sieci urządzeń sterowanych zdalnie. Pojedynczy DoS zwykle pochodzi z jednego lub nielicznych źródeł.
Co oznacza "tysiące zapytań na sekundę" w analizie incydentu?
Taka intensywność żądań jest objawem przeciążenia (flood). Może powodować zużycie CPU, pamięci i limitów obsługi połączeń, a w konsekwencji spadek wydajności lub niedostępność. To istotny wskaźnik ataku na dostępność.
Jak odróżnić DDoS od zwykłego przeciążenia serwera?
W DDoS widzisz nagły wzrost ruchu, często z wielu źródeł, bez typowego kontekstu użytkowego (brak realnych sesji, nienaturalne wzorce). Przy przeciążeniu "legalnym" wzrost bywa powiązany z kampanią, wdrożeniem lub ruchem użytkowników i ma bardziej spójne zachowanie.
Czy atak na DNS zawsze oznacza przejęcie domeny?
Nie. Atak może dotyczyć dostępności (np. zalewanie zapytaniami), a nie modyfikacji rekordów. Przejęcie domeny lub zmiana rekordów to inny typ incydentu (zwykle związany z kontem rejestratora, konfiguracją lub kompromitacją serwera DNS), a nie z masowym ruchem.
Jakie są typowe skutki DDoS dla systemu operacyjnego serwera?
Skutki to m.in. wysoka zajętość CPU, zapełnianie kolejek sieciowych, wzrost opóźnień, błędy usług, brak odpowiedzi na legalne żądania, a czasem zawieszenie lub restart procesów. Może ucierpieć cała maszyna, nie tylko jedna usługa.
Dlaczego "Mail Bombing" nie pasuje do opisu z zapytaniami DNS?
Mail Bombing polega na przeciążaniu poczty masową liczbą e-maili (SMTP/IMAP/POP3), a w pytaniu wprost wykryto zapytania dotyczące usługi nazw. To inny kanał i inny zestaw logów oraz objawów, więc nie odpowiada opisanej sytuacji.
Czy "flooding" i DDoS to to samo?
Nie do końca. "Flooding" to technika zalewania ruchem (metoda), która może wystąpić zarówno w DoS, jak i DDoS. DDoS to szersza klasyfikacja incydentu: rozproszona odmowa usługi, zwykle realizowana właśnie przez różne formy floodingu.
Jakie dane z monitoringu pomagają potwierdzić DDoS?
Pomagają m.in. liczba żądań na sekundę, liczba unikalnych źródeł, rozkład geograficzny/IP, typy pakietów i protokołów, błędy aplikacji, obciążenie CPU/RAM, a także porównanie z normalnym profilem ruchu. Wzorce nagłe i masowe są szczególnie podejrzane.
Jak przygotować się na egzamin z rozpoznawania ataków sieciowych?
Ucz się rozpoznawać: cel (dostępność vs poufność), wektor (DNS, HTTP, poczta), cechy rozproszenia (wiele źródeł), oraz typowe objawy w logach i metrykach. Trenuj na krótkich opisach incydentów: dopasuj nazwę ataku do symptomów.
info

Statystycznie 44% uczniów zna prawidłową odpowiedź. trudne

Według specjalistów z branży: "Rozproszone generowanie tysięcy zapytań na sekundę z wielu adresów IP prowadzi do odmowy usługi przez przeciążenie zasobów serwera/systemu."

Źródła:

  • NIST Special Publication 800-61 Revision 2: "Computer Security Incident Handling Guide" (opis typów incydentów, w tym DoS/DDoS), https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf - accessed 2026-02-27
  • Cloudflare Learning Center: "What is a DDoS attack?" https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/ - accessed 2026-02-27
  • Cloudflare Learning Center: "What is a DNS flood attack?" https://www.cloudflare.com/learning/ddos/dns-flood-ddos-attack/ - accessed 2026-02-27

Materiały:

  • Dokumentacja dostawców usług ochrony przed DDoS (opisy mechanizmów i typów ataków)
  • Publikacje NIST dotyczące obsługi incydentów i ataków na dostępność
  • Materiały edukacyjne z zakresu podstaw bezpieczeństwa sieci (DoS/DDoS, botnety, przeciążenia)
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego