课程名称︰网络管理与系统管理
课程性质︰选修
课程教师：蔡欣穆
开课学院：电资学院
开课系所︰资工系
考试日期（年月日）︰2016.04.20
考试时限（分钟）：180分钟
试题 :
Midterm
Test Time: 2016/4/20 (Wed.) 18:30 入场
Instructions and Announcements
˙ 考试时间共三小时，三人一组依照座位分配坐在一起，每组有 R204 的两台新电脑和
一台旧电脑可以使用。
˙ 所有题目请在 R204 的新电脑上完成，不可以使用自己的笔电作答，但可以使用笔电
或旧电脑查询资料。
˙ 为避免发生重大意外，请自行在过程中斟酌是否需要备份 VM。若真的不幸发生悲剧，
助教可以提供原始状态的 VM，但传输或下载 VM 需花费一些时间，请尽量避免此一情
况。
˙ 除第 6 大题外，完成题目时可使用召唤助教召唤助教过去评分。
如果还没完成就偷跑先召唤助教，会给予 penalty 2pt。有结果可以 demo 但 demo
失败不在此限。助教有权判断并决定是否给penalty。
˙ 组与组间禁止讨论，如被发现视为作弊行为，期中考 0 分。
˙ 各题后面黑色星号数目代表我们估计的难度。请参考，可用来决定解题顺序。
˙ 满分200pt，另有 bonus 20pt。
˙ Good Luck!!
(1) Traffic analysis using Wireshark (10 pt) ★☆☆☆☆
Given the file traffic.pcapng, please answer the following questions:
1. Which devices had possibly been involved in port-scanning attack(s)? Find
the IP addresses and MAC addresses of all attackers and victims. (3 pt)
2. Please filter out every ARP request in VLAN 5 between the time
2016-4-13 14:09:00 and 2016-4-13 14:10:00. Save the filtered packets to a
separate .pcapng file. (4 pt)
3. Please determine which device had pinged 8.8.8.8, successfully got the
reply, and had logged into PTT server via SSH. Find its IP address and
MAC address. (3 pt)
(2) Cisco Basics (20 pt) ★★☆☆☆
以下 <tid> 为组别编号 (01-19)，请自行取代成自己的组别。请以 SSH 连线到
10.8.0.4，帐号密码皆为 team<tid>，登入后进行以下操作：
1. 修改自己的密码(只要不是默认密码就可以) (4 pt)
2. 对于 interface Gi0/<tid> 做以下设定：
‧ 移除原本的设定 (4 pt)
‧ 将接口叙述设为 team<tid> (在 user mode 及 privileged mode 可以用 show
interfaces status 指令看到) (4 pt)
‧ 将该接口设为 trunk (4 pt)
‧ trunk 只允许 VLAN <100 + tid> 以及 VLAN 252 通过 (4 pt)
Warning and hint
˙ 下指令前请三思，严禁修改别组设定或是做题目范围以外的设定。违反者本题 0 分。
˙ 由于 switch 仅允许 15 个 users 同时登入，设定完成后请记得登出。
˙ 有些指令上课没教，请善用 ?、<Tab>、课堂投影片以及 Google。
˙ 上课有说过，Cisco 的设定档就是指令。
(3) Firewall and DNS
你会用到的 VM：pfSense, Lubuntu*2，root 密码: nasa2016
(3.1) Firewall (30 pt) ★★★☆☆
你是一家公司的网管。每天员工们都可以在上班时间愉快的上网。有一天老板觉得员工上
班用 facebook 的问题颇为严重，要求你不让员工连上 facebook (www.facebook.com)。
不过因为生意上的需要，老板还是要能上 facebook。
1. 切 vlan2 (192.168.2.254/24) for 员工和 vlan99 (192.168.99.254/24) for 老板。
VLAN 和之前作业一样是 802.1Q 的 tagged VLAN，一样要自己在 Lubuntu 上生
interface。 (3 pt)
2. vlan2 与 vlan99 都能正常上网，不必背 IP，也不必设定自己电脑的 IP。但是
vlan2 不能用 https 连上 facebook，vlan99 可以。 (9 pt)
3. 为了维护老板电脑的机密资料，vlan2 碰 (ping and ssh) 不到 vlan99 的电脑。但
是 vlan99 碰的到 vlan2 的电脑。 (6 pt)
4. 老板想从国外也能连回自己的电脑工作。请尝试使 windows 可以 ssh 到防火墙后面
vlan99 老板的电脑。 (12 pt)
Hint
˙ windows 碰不到 Lubuntu，只碰的到 pfSense。想办法让 windows ssh pfSense 的
port 12345 时，实际上可以连到 Lubuntu 的 port 22。
˙ You might need to use port forwarding。
˙ 这次 pfSense 对外的网卡和电脑是 bridge 不是 NAT。
˙ 需要改 DNS 的话可以直接改 Lubuntu 的设定档。
(3.2) DNS (30 pt) ★★★☆☆
1. 老板突发奇想请你架一台公司自己的 DNS 服务器，请帮助他架设并且设定让老板的电
脑和员工电脑使用这台 DNS 服务器。(公司资源有限，没有多的服务器可以用，所以
聪明的网管你只好帮老板把 DNS 服务器架在老板的电脑上。) (9 pt)
2. 为了避免往后可能产生不必要的麻烦，请不要让 vlan2, vlan99 网段以外的 IP 可以
透过这台做 DNS 查询。(Hint: allow-recursion) (9 pt)
3. 老板受够难记的 ip 了，请帮他在 DNS server 上设定
"boss.nasagroup<Group ID>.com" 指向老板的电脑，以及
"employee.nasagroup<Group ID>.com" 指向员工的电脑 (6 pt)
4. 老板请你帮员工的电脑设一个别名叫做 "e.nasagroup<Group ID>.com" ，想必是因为
老板想要节省宝贵的时间而不是记不得 employee 怎么拼。你有种预感，性格古怪的
老板之后很有可能会再请你帮他设定其他别名，为了维护方便，请将别名全部指向最
初设定的 domain name 而不是 IP 位址。 (6 pt)
Hint
˙ 请就 VM 当时拿到的 ip 设定，不需要考虑之后可能会拿到不同 ip 的情形
Figure 1: VM Structure http://i.imgur.com/VRzG0US.png
(4) SSH (40 pt) ★★★★☆
你会用到的 VM：Lubuntu (你可以使用第三大题的其中一台 Lubuntu，或是开一台新的
Lubuntu)
1. SSH public key authentication (6 pt)
使用SSH 连线到远端主机时，除了可以使用密码登入，也可以使用公钥认证登入。在
这个题目里，我们要用公钥认证登入工作站。请产生一组公钥和私钥，其中公钥必须
要上传到工作站上，而私钥则要妥善保管，不可以让别人知道。
‧ 金钥类型必须是 RSA 3072-bit 以上，或是 ECDSA 256-bit 以上，不可以用DSA。
‧ 三个人分别要产生三组金钥，分别用于登入三个人的工作站帐号。
‧ 私钥档名不可以是 ~/.ssh/id_rsa 或 ~/.ssh/id_ecdsa。
‧ 私钥必须设定密码，不可以明文存在硬盘上。
2. SSH local forwarding (10 pt)
SSH 除了可以在远端主机上执行指令，也可以将远端主机才能连上的 port 转回给本
机，让本机的程式透过远端主机间接连上服务。在这个题目里，我们要使用本机的
telnet 程式连上只有工作站才能使用的 echo server。
‧ 使用SSH 连线到工作站上。
‧ 在本机执行 telnet localhost <某个自己指定的port> 必须要能透过工作站连到
intern.csie.ntu.edu.tw:7。
3. SSH remote forwarding (10 pt)
SSH 不只可以将远端的服务转回给本机的服务使用，也可以将本机的服务转给远端主
机使用。在这个题目里，我们要让远端主机可以连线回本机。
‧ 本机安装并启动 SSH 服务器。
‧ 使用 SSH 连上到工作站上。
‧ 能在工作站透过自己指定的 port 用 SSH 连线回本机。
4. SSH SOCKS proxy (14 pt)
如果我们有很多服务必须要透过远端主机的网络才能存取，透过 local forwarding
功能把每个要使用的 port 都转送回本机是一大麻烦。这时候可以请 SSH client 在
本机启动一个 proxy server，这样我们只要指定要使用的 proxy server 就能连上远
端服务。
‧ 使用 SSH 连上到工作站上。
‧ 设定浏览器使用本机上 SSH 启动的 proxy server 来对外连线。
‧ 连线到 https://icanhazip.com/，确认显示的 IPv4 位址是工作站的。
以下是Bonus!! (20 pt) ★★★★★
5. 透过 SSH 使用 Git 版本管理软件 (8 pt)
现在有很多应用程式支援透过 SSH 来加密传输资料，但是这也代表有些时候你无法
控制 SSH 指令执行使用的参数，因为 SSH 是由应用程式启动，而不是你手动输入
指令执行的。这时候为了让 SSH 能用正确的设定执行，就必须要将设定值存在设定
档才行。
‧ 三个人分别在自己的工作站家目录开新资料夹并建立空白的 git repo
(git init