Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - TEST WIEDZY NR 2



PYTANIE NR 29.
Załóżmy, że monitorujesz lokalną sieć komputerową za pomocą narzędzia do analizy sieci. Zauważyłeś, że pewien komputer wysyła niezwykle dużą ilość danych do innego komputera w sieci. Jakie jest najbardziej prawdopodobne wyjaśnienie tej sytuacji?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Sama obserwacja niezwykle dużego transferu między dwoma hostami w LAN nie przesądza o jednej przyczynie.
Może to wynikać zarówno z normalnych działań (kopiowanie dużych plików, strumieniowanie), jak i z incydentu bezpieczeństwa (np. infekcja i wysyłka danych). Dlatego najbardziej prawdopodobne jest, że każda z opcji może wyjaśniać sytuację.

Pełne wyjaśnienie:

Duży wolumen danych wysyłanych z jednego komputera do drugiego w sieci lokalnej jest objawem, a nie diagnozą. Bez dodatkowych informacji (jak protokół, porty, czas trwania, pory dnia, nazwy procesów, korelacja z logami serwera, wskaźniki kompromitacji) nie da się uczciwie wskazać jednej pewnej przyczyny.

Odpowiedź "Wszystkie powyższe odpowiedzi są prawdopodobne" jest poprawna, bo wymienione scenariusze są typowe:

  • "Komputer jest zainfekowany wirusem" (szerzej: złośliwym oprogramowaniem) – malware może wykonywać masową wysyłkę danych, np. eksfiltrację plików lub rozsyłanie treści do innych hostów.
  • "Komputer jest używany do przesyłania dużych plików" – legalne kopiowanie obrazów ISO, archiwów, kopii zapasowych, projektów graficznych lub maszyn wirtualnych w LAN generuje bardzo duży transfer.
  • "Komputer jest używany do strumieniowania multimediów" – serwer multimediów, transmisja z kamery IP, udostępnianie ekranu lub stream wideo do wielu klientów może powodować stały wysoki bitrate również wewnątrz sieci lokalnej.

Dlaczego pozostałe odpowiedzi (pojedynczo) nie są "najbardziej prawdopodobne" w oderwaniu od kontekstu? Ponieważ każda z nich wymaga dodatkowych przesłanek. Infekcję potwierdza się m.in. korelacją z alertami EDR/AV, nietypowymi domenami, procesami i harmonogramem. Transfer dużych plików rozpoznaje się po protokołach (np. SMB/FTP/SFTP), wzorcach sesji i kierunku ruchu. Strumieniowanie sugerują protokoły multimedialne, stały strumień i charakterystyczny rozkład pakietów.

W praktyce administrator po takiej obserwacji powinien wykonać kolejne kroki: sprawdzić protokół i porty, zidentyfikować aplikację generującą ruch na hoście, ocenić czy transfer jest zgodny z polityką firmy oraz czy nie występują inne symptomy incydentu. Dopiero wtedy wybiera się jedną, najbardziej uzasadnioną hipotezę.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co może oznaczać bardzo duży transfer danych między dwoma komputerami w LAN?
Najczęściej oznacza intensywną usługę lub proces: kopiowanie dużych plików, backup, replikację danych, strumieniowanie wideo/audio albo dystrybucję aktualizacji. Może też wskazywać na incydent bezpieczeństwa (np. nieautoryzowane kopiowanie lub eksfiltrację). Sam wolumen nie wystarcza do diagnozy.
Jak odróżnić przesyłanie plików od strumieniowania na podstawie analizy ruchu?
Sprawdź protokoły i wzorzec ruchu. Transfer plików często widać jako sesje SMB/FTP/SFTP z dużymi "burstami" danych i wyraźnym początkiem/końcem. Streaming częściej generuje stały lub cykliczny bitrate, czasem na portach i protokołach związanych z mediami, oraz dłuższe, stabilne połączenia.
Dlaczego infekcja złośliwym oprogramowaniem może powodować duży upload w sieci lokalnej?
Malware może kopiować dane na inny host (np. serwer sterujący w sieci), rozsyłać pliki, wykonywać propagację po udziałach sieciowych albo szyfrować i przenosić archiwa. Duży transfer jest wtedy skutkiem ubocznym działania złośliwego procesu, ale do potwierdzenia potrzebne są dodatkowe wskaźniki.
Jakie dane warto sprawdzić w Wiresharku, gdy widzę anomalię transferu?
W praktyce sprawdza się: kto jest nadawcą i odbiorcą (IP/MAC), jakie protokoły dominują, na jakich portach, jak długo trwa sesja oraz czy to ruch ciągły czy "falami". Pomocne są statystyki (Top Talkers, Conversations) i filtry, aby powiązać ruch z konkretną usługą.
Czy duży transfer w LAN zawsze oznacza włamanie albo wirusa?
Nie. Duży transfer często jest normalny: kopie zapasowe, migracje danych, synchronizacja chmury lokalnej, instalacja systemu z obrazu, praca na plikach wideo, dystrybucja aktualizacji. Podejrzenie incydentu rośnie dopiero, gdy transfer jest nietypowy czasowo, dotyczy nieznanych hostów lub towarzyszą mu inne symptomy.
Jakie są typowe legalne przyczyny dużego transferu między hostami?
Najczęstsze to: kopiowanie archiwów i obrazów ISO, przenoszenie maszyn wirtualnych, backup na serwer plików, replikacja baz danych, udostępnianie multimediów w sieci lokalnej, a także aktualizacje i dystrybucja oprogramowania w organizacji. Warto porównać to z harmonogramem zadań IT.
Kiedy taki ruch powinien wzbudzić podejrzenia administratora?
Gdy jest niezgodny z polityką (np. stacja robocza wysyła dane do wielu hostów), występuje nocą bez zaplanowanych zadań, dotyczy wrażliwych serwerów, używa nietypowych portów lub szyfrowanych tuneli bez uzasadnienia, albo gdy host równolegle generuje alerty AV/EDR i dziwne połączenia.
Jakie są najczęstsze błędy na egzaminie przy interpretacji dużego transferu?
Typowe pomyłki to: automatyczne uznanie, że to "wirus", ignorowanie legalnych procesów (backup, kopie), brak rozróżnienia kierunku ruchu (upload vs download), mylenie internetu z LAN oraz nieuwzględnianie kontekstu (harmonogram zadań, rola hosta). W zadaniach testowych liczy się kompletne rozważenie opcji.
Jakie inne narzędzia poza snifferem pomagają wyjaśnić źródło transferu?
Pomagają m.in. logi systemowe i aplikacyjne, narzędzia EDR/antywirus, monitor procesów na hoście, NetFlow/sFlow na przełącznikach, systemy SIEM oraz logi serwerów plików. Dzięki nim można powiązać ruch z użytkownikiem, procesem i usługą, a nie tylko z adresem IP.
Jak podejść do odpowiedzi "wszystkie powyższe" na egzaminie INF.2?
Traktuj ją jako poprawną tylko wtedy, gdy każda z pozostałych opcji rzeczywiście może być prawdziwa w opisanym, ogólnym scenariuszu i nie ma danych zawężających. Jeśli w treści byłyby wskazówki (np. konkretny protokół lub objawy infekcji), wtedy "wszystkie powyższe" zwykle przestaje pasować.
info

Statystycznie 69% uczniów zna prawidłową odpowiedź. średnie

Specjaliści zwracają uwagę: "Dlatego najbardziej prawdopodobne jest, że każda z opcji może wyjaśniać sytuację."

Źródła:

  • Wireshark User's Guide – rozdziały o przechwytywaniu i analizie ruchu (Display Filters, Statistics), https://www.wireshark.org/docs/wsug_html_chunked/ (dostęp: 2026-03-01)
  • Cisco – dokumentacja szkoleniowa i materiały o podstawach ruchu sieciowego i diagnostyce (sekcje dot. analizy ruchu, protokołów aplikacyjnych), https://www.cisco.com/c/en/us/support/docs/index.html (dostęp: 2026-03-01)
  • NIST – Computer Security Incident Handling Guide (omówienie etapów analizy i identyfikacji zdarzeń, w tym eksfiltracji), https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf (dostęp: 2026-03-01)

Materiały:

  • Dokumentacja narzędzia Wireshark (podręcznik użytkownika)
  • Materiały szkoleniowe z podstaw bezpieczeństwa sieci (np. segmentacja, IOC, malware)
  • Kursy sieciowe obejmujące analizę ruchu i protokoły aplikacyjne

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego