Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - TEST WIEDZY NR 2



PYTANIE NR 30.
Podczas monitorowania sieci zauważyłeś, że pewien komputer wysyła dużą ilość danych do wielu różnych komputerów w sieci. Co to może oznaczać?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Wysyłanie dużej ilości danych do wielu hostów może mieć kilka przyczyn:
może to być normalna rola komputera (np. serwer plików), legalna dystrybucja treści (streaming) albo objaw infekcji i masowej komunikacji/rozsyłania danych. Sama obserwacja nie rozstrzyga jednoznacznie.

Pełne wyjaśnienie:

Zaobserwowanie, że jeden komputer wysyła dużo danych do wielu różnych komputerów, jest klasycznym przykładem anomalii, która wymaga interpretacji kontekstowej. Taki wzorzec nie wskazuje automatycznie jednej przyczyny, bo podobnie może wyglądać zarówno ruch legalny, jak i złośliwy.

Odpowiedź "Wszystkie powyższe odpowiedzi są prawdopodobne" jest poprawna, ponieważ każda z wymienionych sytuacji może generować ruch typu "jeden nadawca → wielu odbiorców":

  • Serwer plików: wiele stacji może pobierać pliki/aktualizacje lub korzystać z udziałów sieciowych. W efekcie serwer intensywnie wysyła dane do wielu klientów.
  • Infekcja złośliwym oprogramowaniem: komputer może skanować sieć, próbować rozprzestrzeniać się na inne hosty, wysyłać dane do wielu adresatów lub realizować zadania w ramach botnetu. To często daje nietypowy, rozproszony ruch.
  • Strumieniowanie multimediów: jeśli komputer pełni rolę źródła transmisji (np. lokalny serwer wideo, prezentacja, webcast w sieci firmowej), może wysyłać duże ilości danych równolegle do wielu odbiorców.

Pojedyncze wskazanie tylko "serwer plików" jest niewystarczające, bo ten sam objaw może wynikać z incydentu bezpieczeństwa. Z kolei samo "zainfekowany" też nie jest pewne bez dodatkowych dowodów (np. nietypowe porty, procesy, alerty EDR, połączenia do podejrzanych domen). Podobnie "streaming" może być prawdziwy, ale wymaga potwierdzenia (aplikacja, protokół, harmonogram zdarzeń).

W praktyce administrator powinien zebrać dane uzupełniające: dokąd trafiają pakiety (LAN czy Internet), jakie porty/protokoły dominują, czy ruch jest ciągły czy skokowy, oraz czy koreluje to z usługą uruchomioną na hoście. Dopiero wtedy można postawić wiarygodną diagnozę.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co oznacza, że komputer wysyła dużo danych do wielu hostów w LAN?
To wzorzec "jeden nadawca → wielu odbiorców", który może być legalny (np. udostępnianie plików, dystrybucja aktualizacji, streaming) albo podejrzany (skanowanie i próby propagacji malware). Do oceny potrzebujesz kontekstu: portów, protokołów, odbiorców i czasu trwania ruchu.
Jak odróżnić serwer plików od infekcji na podstawie ruchu sieciowego?
Sprawdź, czy ruch odpowiada typowym usługom plikowym i czy jest zgodny z rolą hosta. Infekcja częściej generuje nietypowe porty, połączenia do wielu losowych hostów, skoki ruchu i brak uzasadnienia biznesowego. Pomaga korelacja z logami, procesami oraz alertami AV/EDR.
Dlaczego streaming multimediów może powodować ruch do wielu komputerów naraz?
Podczas transmisji wideo/audio źródło musi dostarczyć strumień wielu odbiorcom. Jeśli nie ma multicastu, nadawca często wysyła osobne strumienie do każdego klienta, co szybko zwiększa łączny transfer. W LAN może to wyglądać jak "zalewanie" wielu stacji dużą ilością danych.
Jakie objawy w ruchu sieciowym mogą wskazywać na malware?
Niepokojące są: liczne krótkie połączenia do wielu hostów, skanowanie portów, komunikacja z nietypowymi adresami, powtarzalne wzorce i brak związku z pracą użytkownika. Sama "duża ilość danych" nie wystarcza, ale w połączeniu z innymi sygnałami podnosi ryzyko incydentu.
Co sprawdzić jako pierwsze, gdy widzę duży ruch wychodzący z jednego komputera?
Ustal kierunek i cel ruchu (LAN czy Internet), top rozmówców, porty i protokoły, a także procesy generujące ruch na hoście. Następnie zweryfikuj, czy komputer ma uzasadnioną rolę (serwer/usługa). Jeśli nie, rozważ izolację hosta i skan bezpieczeństwa.
Czy duży transfer zawsze oznacza atak lub infekcję?
Nie. Duży transfer bywa normalny przy kopiach zapasowych, aktualizacjach, udostępnianiu plików czy streamingu. O podejrzeniu incydentu decyduje "nietypowość" względem normalnego profilu hosta oraz dodatkowe wskaźniki, np. nowe procesy, alerty AV/EDR i nieznane połączenia.
Jakie narzędzia pomagają analizować, kto z kim wymienia dane w sieci?
Przydatne są analizatory pakietów i narzędzia przepływów. W praktyce często używa się Wireshark do wglądu w pakiety oraz rozwiązań zbierających statystyki połączeń (np. NetFlow/sFlow w środowisku sieciowym). Kluczowe są zestawienia "top talkers" i "top destinations".
Kiedy warto odizolować komputer, który wysyła dane do wielu hostów?
Gdy ruch jest nieuzasadniony rolą komputera, szybko narasta lub obejmuje wiele losowych adresów/portów, a dodatkowo pojawiają się symptomy kompromitacji (alerty bezpieczeństwa, podejrzane procesy, nietypowe zadania). Izolacja ogranicza ryzyko rozprzestrzeniania i ułatwia analizę.
Jakie błędy najczęściej popełnia się przy interpretacji anomalii ruchu?
Najczęstsze to pochopne wskazanie jednej przyczyny (np. zawsze "wirus"), ignorowanie kontekstu (rola hosta, pora dnia), mylenie ruchu legalnego z podejrzanym oraz brak korelacji z logami i procesami na stacji. Dobra praktyka to weryfikacja kilkoma niezależnymi źródłami danych.
Jak odpowiadać na egzaminie na pytania o monitoring i anomalie sieciowe?
Szukaj odpowiedzi, która obejmuje wszystkie realne scenariusze z opisu. Jeśli pojedyncza obserwacja nie daje rozstrzygnięcia, poprawna bywa odpowiedź typu "może oznaczać różne rzeczy" pod warunkiem, że alternatywy są sensowne technicznie. Unikaj wyboru "najbardziej strasznej" opcji bez przesłanek.
info

Około 56% zdających odpowiada poprawnie na to pytanie. średnie

Według specjalistów z branży: "Sama obserwacja nie rozstrzyga jednoznacznie."

Źródła:

  • NIST Special Publication 800-94: Guide to Intrusion Detection and Prevention Systems (IDPS), final publication - https://csrc.nist.gov/publications/detail/sp/800-94/final (dostęp: 2026-03-01)
  • Wireshark User’s Guide (dokumentacja analizy ruchu i statystyk) - https://www.wireshark.org/docs/wsug_html_chunked/ (dostęp: 2026-03-01)
  • MITRE ATT&CK, technika T1041 Exfiltration Over C2 Channel (kontekst eksfiltracji/komunikacji) - https://attack.mitre.org/techniques/T1041/ (dostęp: 2026-03-01)

Materiały:

  • Dokumentacja Wireshark (analiza strumieni i statystyk rozmów)
  • NIST SP 800-94 (podstawy IDS i interpretacja zdarzeń)
  • MITRE ATT&CK (przykładowe techniki eksfiltracji i komunikacji C2)
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego