《《网络安全攻防技术》讲义知识点归纳(精简后)汇总(良心出品必属精品).docx》由会员分享,可在线阅读,更多相关《《网络安全攻防技术》讲义知识点归纳(精简后)汇总(良心出品必属精品).docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品word 可编辑资料 - - - - - - - - - - - - -第 1讲: 网络安全概述1、 运算机网络 : 我们讲的运算机网络,其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个运算机系统互连起来 ,以功能完善的网络软件( 即网络通信协议、信息交换方式及网络操作系 统等 实现网络中资源共享和信息传递的系统;它的功能最主要的表现在两个方面:一是实现资源共享(包括硬件资源和软件资源的共享; 二是在用户之间交换信息;运算机网络的作用是:不仅使分散在网 络各处的运算机能共享网上的全部资源,并且为用户供应强有力的通 信手段和尽可能完善的服务,从而极大的便利用户;从网管的角度 来讲
2、,说白了就是运用技术手段实现网络间的信息传递 ,同时为用户供应服务;运算机网络通常由三个部分组成,它们是资源子网、通 信子网和通信协议;所谓通信子网就是运算机网络中负责数据通信的 部分 ;资源子网是运算机网络中面对用户的部分,负责全网络面对 应用的数据处理工作 ;而通信双方必需共同遵守的规章和商定就称为通信协议 ,它的存在与否是运算机网络与一般运算机互连系统的根本区分;2、运算机网络安全的定义( 从狭义的爱护角度来看, 运算机网络安全是指运算机及其网络系统资源和信息资源不受自然和人为有害因素的威逼和危害 , 从广义来说 , 凡是涉及到运算机网络上信息的保密性、完整性、可用性、真实性和可控性的相
3、关技术和理论都是运算机网络安全的讨论领域;3、本课程中网络安全 : 指网络信息系统的硬件、软件及其系统中的数据受到爱护 , 不因偶然的或者恶意的破坏、更改、泄露 , 系统能连续、牢靠、正常地运行, 服务不中断;( 主要指通过各种运算机、网络、密码技术和信息安全技术, 爱护在公有通信网络中传输、交换和储备信息的隐秘性、完整性和真实性, 并对信息的传播及内容具有掌握1第 1 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -能 力, 不涉及网络牢靠性、信息可控性、可用性和互操作性等领域;网络安全的主体是爱护网络上的数
4、据和通信的安全;1 数据安全性是一组程序和功能, 用来阻挡对数据进行非授权的泄漏、转移、修改和破坏;2 通信安全性是一些爱护措施, 要求在电信中采纳保密安全性、传输安全性、辐射安全性的措施, 并依要求对具备通信安全性的信息实行物理安全性措施;留意, 此处网络安全在不同的环境和应用中有不同的说明, 留意区分 :1 运算机及系统安全;包括运算机系统机房环境的爱护, 法律政策的爱护 , 运算机结构设计安全性考虑, 硬件系统的牢靠安全运行 , 运算机操作系统和应用软件的安全, 数据库系统的安全 , 电磁信息泄露的防护等;本质上是爱护系统的合法操作和正常运行;2 网络上系统信息的安全;包括用户口令鉴别、
5、用户存取权限控制、数据存取权限、方式掌握、安全审计、安全问题跟踪、运算机病毒防治和数据加密等;3 网络上信息传播的安全;包括信息过滤等;它侧重于爱护信息的 保密性、真实性和完整性;防止攻击者进行有损于合法用户的行为;本质上是爱护用户的利益和隐私;4、安全的主要属性 : 完整性、保密性、可用性、不行抵赖性、牢靠性;安全的其他属性 : 可控性、可审查性、真实性( 注: 一般通过认证、拜访掌握来实现真实性;5、网络安全的主要威逼因素: 信息系统自身安全的脆弱性、操作系统与应用程序漏洞、安全治理问题、黑客攻击、网络犯罪;2第 2 页,共 20 页 - - - - - - - - - -精品word 可
6、编辑资料 - - - - - - - - - - - - -第 2讲 网络攻击阶段、技术及防范策略1、黑客与骇客;根本的区分在于是否以犯罪为目的;黑客是指利 用运算机技术 , 非法入侵或者擅自操作他人( 包括 国家机关、社会组织及个人运算机信息系统, 对电子信息沟通安全具有不同程度的威逼性和危害性的人 ( 一般是讨论为主;骇客指利用运算机技术, 非法入侵并擅自操作他人运算机信息系统, 对系统功能、数据或者程序进行干扰、破坏 , 或者非法侵入运算机信息系统并擅自利用系统资源, 实施金融诈骗、盗窃、贪污、挪用公款、窃取国家隐秘或其他犯罪的人 ( 一般是犯罪为主;骇客包括在黑客概念之中, 前者基本上
7、是运算机犯罪的主体 , 后者的行为不肯定都构成犯罪;2、网络黑客的主要攻击手法有 : 猎取口令、放置木马、 web 欺诈技术、电子邮件攻击、通过一个节点攻击另一节点、 网络监听、查找系统漏洞、利用缓冲区溢出窃取特权等;3、网络攻击过程一般可以分为本地入侵和远程入侵;4、远程攻击的一般过程 : 远程攻击的预备阶段、远程攻击的实施阶段、远程攻击的善后阶段;5、远程攻击的预备阶段 : 确定攻击目标、信息收集、服务分析、系统分析、漏洞分析;6、常见的攻击目的有破坏型和入侵型两种;破坏型攻击是指只破坏攻击目标, 使之不能正常工作 , 而不能随便掌握目标上的系统运行;入侵型攻击这种攻击要获得肯定的权限才能
8、达到掌握攻击目标的目的;应当说这种攻击比破坏型攻击更为普遍, 威逼性也更大;由于攻击者一旦把握3第 3 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -了肯定的权限、甚至是治理员权限就可以对目标做任何动作, 包括破坏性质的攻击;7、信息收集阶段 : 利用一切公开的、可利用的信息来调查攻击目标;包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息;包括以下技术: 低级技术侦察、Web 搜寻、 Whois数据库、域名系统 (DNS 侦察;8、低级技术侦察 , 分别说明 : 社交工程、物理闯入、垃圾搜寻
9、;9、确定目标主机采纳何种操作系统原理: 协议栈指纹 (Fingerprint10、远程攻击的实施阶段: 作为破坏性攻击 , 可以利用工具发动攻击 即可;作为入侵性攻击, 往往需要利用收集到的信息 , 找到其系统漏洞 ,然后利用漏洞猎取尽可能高的权限;包括三个过程 : 预攻击探测 : 为进一步入侵供应有用信息 ; 口令破解与攻击提升权限; 实施攻击 : 缓冲区 溢出、拒绝服务、后门、木马、病毒;11、远程攻击常用的攻击方法: 第一类 : 使用应用程序和操作系统的攻击获得拜访权 : 基于堆栈的缓冲区溢出、密码推测、网络应用程序攻击;其次类 : 使用网络攻击获得拜访权:嗅探、 IP地址欺诈、会话劫
10、持;第三类 : 拒绝服务攻击;12、远程攻击的善后阶段: 爱护拜访权、掩盖踪迹和隐匿;攻击者 在获得系统最高治理员权限之后就可以任意修改系统上的文件了 , 所以一般黑客假如想隐匿自己的踪迹, 最简洁的方法就是删除日志文件;但这也明确无误地告知了治理员系统已经被入侵了;更常用的方法是只对日志文件中有关自己的那部分作修改;13: 黑客入侵的一般完整模式: 隐匿自己踩点扫描查点分析并入侵猎取权限扩大范畴安装后门清除日志并隐身;( 留意: 一般完整的攻击过程都是先隐匿自己, 然后再进行踩点或预攻击4第 4 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - -
11、 - - - - - - - - -探测, 检测目标运算机的各种属性和具备的被攻击条件, 然后实行相应的攻击方法进行破坏 , 达到自己的目的 , 之后攻击者会删除自己的行为日志;14、为防止黑客入侵 , 个人用户常见防护措施 : 防火墙、杀毒软件定期升级和杀毒、定期准时升级系统和软件补丁、 定期备份系统或重要文件、加密重要文件、关闭不常用端口、关闭不常用程序和服务、发现系统反常马上检查;15: 网络治理常用的防护措施: 完善安全治理制度、采纳拜访掌握措施、运行数据加密措施、数据备份与复原;16、物理环境的安全性表达: 包括通信线路的安全 , 物理设备的安全 , 机房的安全等;物理层的安全主要表
12、达在通信线路的牢靠性 ( 线路备 份、网管软件、传输介质,软硬件设备安全性 ( 替换设备、拆卸设备、增加设备 ,设备 的备份 , 防灾难才能、防干扰才能, 设备的运行环境( 温度、湿度、烟尘,不间断电源保证 , 等等;第 3讲: 扫描与防备技术1、扫描器 : 扫描器是一种自动检测远程或本地主机安全性弱点的程序;集成了常用的各种扫描技术;扫描器的扫描对象: 能自动发送数据包去探测和攻击远端或本地的端口和服务, 并自动收集和记录目标主机的各项反馈信息;扫描器对网络安全的作用: 据此供应一份牢靠的安全性分析报告 , 报告可能存在的脆弱性;2、网络扫描器的主要功能: 扫描目标主机识别其工作状态( 开
13、/关机 、识别目标主机端口的状态( 监听 /关闭 、识 别目标主机操作系统的类型和版本、识别目标主机服务程序的类型和版本、分析目标主机、目标网络的漏洞 ( 脆弱 点 、生成扫描结果报告;3、网络扫描的作用 : 可以对运算机网络系统或网络设备进行安全相关的检测 , 以找出安全隐患和可能被黑客利用的漏洞;5第 5 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -4、网络漏洞 : 网络漏洞是系统软、硬件存在安全方面的脆弱性, 安全漏洞的存在导致非法用户入侵系统或未经授权获得拜访权限 , 造成信息篡改、拒绝服务或系统崩
14、溃等问题;5、一个完整的网络安全扫描分为三个阶段: 第一阶段 : 发觉目标主机或网络;其次阶段 : 发觉目标后进一步搜集目标信息 , 包括操作系统类型、运行的服务以及服务软件的版本等;假如目标是一个网络, 仍可以进一步发觉该网络的拓扑结构、路由设备以及各主机的信息;第三 阶段: 依据收集到的信息判定或者进一步测试系统是否存在安全漏洞;6、网络安全扫描技术包括PING扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:1 PING扫描用 于扫描第一阶段 , 识别系统是否活动;2 OS探测、穿透防火墙探测、端口扫描用于扫描 其次阶段; OS 探测是对目标主机运行的OS 进行识别 ; 穿透防火
15、墙探测用于猎取被防火墙爱护的网络资料; 端口扫描是通过与目标系统的TCP/IP 端口连接 , 并查看该系统处于监听或运行状态的服务; 3 漏洞扫描用于安全扫描第三阶段 , 通常是在端口扫 描的基础上 , 进而检测出目标系统存在的安全漏洞;7、漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:1基于漏洞库的特点匹配 : 通过端口扫描得知目标主机开启的端口以及端口上的网络服务后, 将这些相关信息与网络漏洞扫描系统供应的漏洞库进行匹配 , 查看是否有满意匹配条件的漏洞存在 ; 2 基于模拟攻击 : 通过模拟黑客的攻击手段 , 编写攻击模块 , 对目标主机系统进 行攻击性的安全漏洞扫描, 如测试
16、弱势口令等 , 如模拟攻击胜利 , 就说明目标主机系统存在安全漏洞;8、常用扫描工具 :SATAN 、 Nmap 、 Nessus、 X-scan6第 6 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -9、扫描技术一般可以分为主动扫描和被动扫描两种, 它们的共同点在于在其执行的过程中都需要与受害主机互通正常或非正常的数据报文;其中主动扫描是主动向受害主机发送各种探测数据包, 依据其回应判定扫描的结果;被动扫描由其性质打算 , 它与受害主机建立的通常 是正常连接 , 发送的数据包也属于正常范畴, 而且被动扫描不
17、会向受害主机发送大规模的探测数据;10、扫描的防备技术 : 反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防备技术;11、防范主动扫描可以从以下几个方面入手 :(1 削减开放端口 , 做好系统防护 ; (2 实时监测扫描 , 准时做出告 警; (3 假装知名端口 , 进行信息欺诈;12、被动扫描防范方法到目前为止只能采纳信息欺诈( 如返回自定义的 banner信息或假装知名端口这一种方法;13 、防火墙技术是一种答应内部网接入外部网络, 但同时又能识别和抗击非授权拜访的网络技术, 是网络掌握技术中的一种;防火墙的目的是要在内部、外部两 个网络之间建立一个安全掌握点, 掌握全部从因特网
18、流入或流向因特 网的信息都经过防火墙, 并检查这些信息 , 通过答应、拒绝或重新定向经过防火墙的数据流 , 实现对进、出内部网络的服务和拜访的审计和掌握;14、审计技术是使用信息系统自动记录下的网络中机器的使用时 间、敏锐操作和违纪操作等, 为系统进行事故缘由查询、事故发生后的实时处理供应具体牢靠的依据或支持;审计技术可以记录网络连接 的恳求、返回等信息 , 从中 识别出扫描行为;15: 为什么说扫描器是一把双刃剑.扫描器能够自动的扫描检测本地和远程系统的弱点 , 为使用者供应帮忙;系统或网络治理员可以利用它来检测其所治理的网络和主机中存在哪些漏洞, 以便准时打上补丁 ,7第 7 页,共 20
19、 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -增加防护措施 , 或用 来对系统进行安全等级评估;黑客可以利用它来猎取主机信息 , 查找具备某些弱点的主机, 为进一步攻击做预备;因此 ,扫描器是一把双刃剑;一般用户对扫描的防备: 用户要削减开放的端 口, 关闭不必的服务 , 合理地配置防火墙, 以防范扫描行为;第 4讲: 网络监听及防备技术1、网络监听的概念 : 网络监听技术又叫做网络嗅探技术(Network Sniffing ,是一种在他方未察觉的情形下捕捉其通信报文或通信内容的技术;在网络安全领域, 网络监听技术对于网
20、络攻击与防范双方都有 着重要的意义 , 是一把双刃剑;对网络治理员来说, 它是明白网络运行状况的有力助手 , 对黑客而言 , 它是有效收集信息的手段;网络监听技术的才能范畴目前只限于局域网;2: 嗅探器 (sniffer是利用运算机的网络接口截获目的地为其它计 算机的数据报文的一种技术;工作在网络的底层 ,能 够把网络传输的全部数据记录下来;1嗅探攻击的基本原理是 : 当网卡被设置为混杂接收模式时 , 全部流经网卡的数据帧都会被网卡接收 , 然后把这些数据传给嗅探程序 , 分析出攻击者想要的敏锐信息, 如账号、密码等 , 这样就实现了窃听的目的;2嗅探器造成的危害 : 能够捕捉口令 ; 能够捕
21、捉专用的或者隐秘的信息 ; 可以用来危害网络邻居的安全 , 或者用来猎取更高级别的拜访权限 ; 窥探低级的协议信息;被动嗅探入侵往往是黑客实施一次实际劫持或入侵的第一步;3 Sniffer的正面应用 : 在系统治理员角度来看 , 网络监听的主要用途是进行数据包分析, 通过网 络监听软件, 治理员可以观测分析实时经由的数据包, 从而快速的进行网络故 障定位; 4 Sniffer的反面应用 : 入侵 者与治理员感爱好的( 对数据包进行分析有所不同 ,入侵者感爱好的是数据包的内容,特别是账 号、 口令等敏锐内容;3 、网络传输技术 : 广播式和点到点式;广播式网络传输技术 : 仅有一条通信信道 ,
22、由网络上的全部机器共享;信道上传输的分组可以被任何机器发送并被其他全部的机器接收;点到点8第 8 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -网络传输技术 : 点到点网络由一对对机器之间的多条连接构成 , 分组的传输是通过这些连接直接发往目标机器, 因此不存在发送分组被多方接 收的问题; 4 、网卡的四种工作模式 :(1广播模式 : 该模式下的网卡能 够接收网络中的广播信息;(2组播模式 : 该模式下的网卡能够接受组播数据; (3直接模式 : 在这种模式下 , 只有匹配目的MAC 地址的网卡 才能接收该数据
23、帧;(4混 杂模式 :(Promiscuous Mode在这种模式下 ,网卡能够接受一切接收到的数据帧, 而无论其目的 MAC 地址是什么;5、共享式局域网就是使用集线器或共用一条总线的局域网;共享式局 域网是基于广播的方式来发送数据的, 由于集线器不能识别帧 , 所以它就不知道一个端口收到的帧应当转发到哪个端口, 它只好把帧发送到除源端口以外的全部端口, 这样网络上全部的主机都可以收到这些帧; 假如共享式局域网中的一台主机的网卡被设置成混杂模式状态的话,那么, 对于这台主机的网络接口而言, 任何在这个局域网内传输的信息 都是可以被听到的;主机的这种状态也就是监听模式;处于监听模式下的主机可以
24、监听到同一个网段下的其他主机发送信息的数据包;6、在实际应用中 , 监听时存在不需要的数据, 严峻影响了系统工作效率;网络监听模块过滤机制的效率是该网络监听的关键;信息的过滤包括以下几种 : 站过滤 , 协议过滤 , 服务过滤 , 通用过滤;同时依据过滤的时间 , 可以分为两种过滤方式 : 捕捉前过滤、捕捉后过滤;7、交换式以太网就是用交换机或其它非广播式交换设备组建成的 局域网;这些设备依据收到的数据帧中的MAC 地 址打算数据帧应发向交换机的哪个端口;由于端口间的帧传输彼此屏蔽, 因此节点就不担忧自己发送的帧会被发送到非目的节点中去;交换式局域网在很大程度上解决了网络监听的困扰;8、交换机
25、的安全性也面临着严肃的考查 , 随着嗅探技术的进展 , 攻击者发觉了有如下方法来实现在交换式以太网中 的网络监听 : 溢出攻击; ARP 欺诈 ( 常用技术 ;9第 9 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -9、溢出攻击 : 交换机工作时要爱护一张MAC 地址与端口的映射表;但是用于爱护这张表的内存是有限的;如用大 量的错误 MAC 地址的数据帧对交换机进行攻击 , 交换机就可能显现溢出; 这时交换机就会退回到 HUB 的广播方式 , 向全部的端口发送数据包 , 一旦如此 , 监听就很简洁了;10、
26、ARP 的工作过程 :(1主机 A不知道主机 B的 MAC 地址,以广播方式发出一个含有主机B的 IP地址的 ARP 恳求 ; (2网内全部主机受到 ARP 恳求后 , 将自己的 IP地址与恳求中的IP地址相比较, 仅有 B做出 ARP 响应, 其中含有自己的 MAC 地址; (3主机 A收到 B的 ARP 响应, 将该条 IP-MAC映射记录写入 ARP 缓存中 , 接着进行通信; 11 、 ARP 欺诈: 运算机中爱护着一个IP-MAC地址对应表 , 记录了 IP地址和 MAC 地址之间的对应关系;该表将随着 ARP 恳求及响应包不断更新;通过ARP 欺诈, 转变表里的对应关系 , 攻击者
27、可以成为被攻击者与交换机之间的“中间人” ,使交换式局域网中的所 有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样分 析数据包了;12 、监听的防备 :1 通用策略 :a、采纳安全的网络拓扑结构, 网络分段越细 , 嗅探器能够收集的信息就越少; b、数据加密技术 : 数 据通道加密 (SSH 、 SSL 和 VPN ; 数据内容加密 (PGP ;2 共享网络下的防监听 : 检测处于混杂模式的网卡; 检测网络通讯丢包率; 检测网络带宽反常现象;3 交换网络下的防监听 : 主要要防止 ARP 欺诈及 ARP 过载;交换 网络下防范监听的措施主要包括:a.不要把网络安全信任关系建立在单一的
28、 IP或 MAC 基础上 , 抱负的关系应当建立在IP-MAC对应关系 的基础上; b.使用静态的 ARP 或者 IP-MAC对应表代替动态的ARP 或者 IP-MAC对应表 ,禁止自动更新 ,使用手动更新;c.定期检查10第 10 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -ARP 请 求,使用 ARP 监视工具 ,例如 ARPWatch 等监视并探测 ARP欺诈; d.制定良好的安全治理策略,加强用户安全意识;第 5讲: 口令破解与防备技术1、口令的作用 :2、口令破解获得口令的思路:3、手工破解的步骤
29、一般为:4、自动破解 :5、口令破解方式 :6、词典攻击 :7、强行攻击 :8、组合攻击9、社会工程学10、重放 :11、 Windows 的口令文件 :12、 Windows 的拜访掌握过程 :13、口令攻击的防备 :1 好的口令 :2 保持口令的安全要点 :3 强口令 .11第 11 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -14、对称加密方法加密和解密都使用同一个密钥;假如我加密一条消息让你来破解 , 你必需有与我相同的密钥来解密;这和典型的门锁相像;假如我用钥匙锁上门, 你必需使用同一把钥匙打开门
30、;15、不对称加密使用两个密钥克服了对称加密的缺点: 公钥和私钥;私钥仅为全部者所知 , 不和其他任何人共享 ; 公钥向全部会和用户通信的人公开;用用户的公钥加密的东西只能用用户的私钥解开, 所以这种方法相当有效;别人给用户发送用用户的公钥加密的信息, 只有拥有私钥的人才能解开;16、随着生物技术和运算机技术的进展, 人们发觉人的很多生理特点如指纹、掌纹、面孔、声音、虹膜、视网膜等都具有惟一性和稳固性, 每个人的这些特点都与别人不同, 且终身不变 , 也不行能复制;这使得通过识别用户的这些生理特点来认证用户身份的安全性远高于基于口令的认证方式;利用生理特点进行生物识别的方法主要有指纹识别、虹膜
31、识别、掌纹识别、面像识别; 其中, 虹膜和指纹识别被公认为是最牢靠的两种生物识别;利用行为特点进行识别的主要有 : 声音、笔迹和击键识别等;第 6讲: 欺诈攻击及防备技术1、在 Internet上运算机之间相互进行的沟通建立在两个前提之下:2、欺诈 :3、目前比较流行的欺诈攻击主要有5种:12第 12 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -4、最基本的 IP欺诈技术 :5、 TCP 会话劫持 :6、 TCP 会话劫持过程 :7、 IP欺诈攻击的防备 :8、 ARP 欺诈攻击9、 ARP 欺诈原理 :1
32、0、 ARP 欺诈攻击在局域网内特别奏效, 其危害有 :11、检测局域网中存在ARP 欺诈攻击现象 :12、 ARP 欺诈攻击的防范 :13、执行电子邮件欺诈有三种基本方法, 每一种有不同难度级别 , 执行不同层次的隐匿;它们分别是: 利用相像的电子邮件地址 ; 直接使用伪造的 E-mail地址; 远程登录到 SMTP 端口发送邮件;14 电子邮件欺诈的防备 :15、 DNS 欺诈的原理 :16、 DNS 欺诈主要存在两点局限性:17、 DNS 欺诈的防备 :18、 Web 欺诈是一种电子信息欺诈, 攻击者制造了一个完整的令人信服的 Web 世界, 但实际上它却是一个虚假的复制;虚假的 Web
33、 看起来特别逼真 , 它拥有相同的网页和链接;然而攻击者掌握着这个虚假的 Web 站点, 这样受害者的浏览器和 Web 之间的全部网络通信就完全被攻击者截获;Web 欺诈能够胜利的关键是在受害者和真实Web13第 13 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -服务器之间插入攻击者的Web 服务器 , 这种攻击常被称为“中间人攻击 (man-in-the-middle ” ;典型案例 : 网络钓鱼; 19 、防范 Web 欺诈的方法 :第 7讲: 拒绝服务攻击与防备技术1、拒绝服务 (Denial of
34、Service,简称 DoS , 是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞, 对 目标系统发起大规模的攻击 , 用超出目标处理才能的海量数据包消耗可用系统资源、带宽资源等, 或造成程序缓冲区溢出错误 , 致使其无法处理合法用户的正常恳求, 无法供应正常服务 , 最终致使网络服务瘫痪 , 甚至系统死机;简洁的说, 拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段;2、拒绝服务攻击是由于网络协议本身的安全缺陷造成的;3、从实施 DoS攻击所用的思路来看 , DoS攻击可以分为 :4、典型拒绝服务攻击技术:5、 Ping of Death:6、泪滴 (Teardrop :
35、7、 Land攻击:8、 Smurf攻击9、分布式拒绝服务DDoS (Distributed Denial of Service攻击10、分布式拒绝服务攻击的软件一般分为客户端、服务端与守护程序, 这些程序可以使和谐分散在互联网各处的机器共同完成对一台主机攻击的操作 , 从而使主机遭到来自不同地方的很多主机的攻击;客户14第 14 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -端: 也称攻击掌握台 ,它是发起攻击的主机 ; 服务端 : 也称攻击服务器 ,它接受客户端发来的掌握命令; 守护程序 : 也称攻击器、
36、攻击代理,它直接(如SYN Flooding)或者间接(如反射式DDoS)与攻击目标进行通信;11 、分布式拒绝服务攻击攻击过程主要有以下几个 步骤: 12 、被 DDoS 攻击时的现象:13 、DDoS攻击对 Web 站点的影响: 14 、拒绝服务攻击的防备:15 、DDOS工具产生的网络通信信息有两种: 16 、DDoS的唯独检测方式是:17 、分布式拒绝服务攻击的防备 : 优化网络和路由结构 ; 爱护网络及主机系统安全; 安装入侵检测系统; 与 ISP服务商合作; 使用扫描工具 . 18 、无论是 DoS 仍是DDoS攻击,其目的是使受害主机或网络无法准时接收并处理外界请 求,表现为 :
37、 制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信;利用被攻击主机供应服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务恳求,使被攻击主机无法准时处理其它正常的恳求;利用被攻击主机所供应服务程序或传输协议的本身的实现缺陷,反复发送畸形的攻击数据引发系统错误的安排大量系统资源,使主机处于挂起状态;第8 讲:缓冲区溢出攻击及防备技术1 、缓冲区是包含相同数据类型实例的一个连续的运算机内存块;是程序运行期间在内存中安排的一个 连续的区域,可以储存相同数据类型的多个实例,用于储存包括字符数组在内的各种数据类型;2 、所谓溢出,就是灌满,使内容物超过顶端,
38、边缘,或边界,其实就是所填充的数据超出了原有的缓冲区边 界; 3 、所谓缓冲区溢出,就是向固定长度的缓冲区中写入超出其预先安排长度的内容,造成缓冲区中数据的溢出,从而掩盖了缓冲区四周的内存空间;黑客借此细心构造填充数据,导致原有流程的转变,让程序转而执行特别的代码,最终猎取掌握权;4 、常见缓冲区溢出类型: 5 、缓冲区溢出攻击的过程:6 、缓冲区溢出的真正缘由:第9 讲: Web攻击及防备技术1 、Web安全含三个方面: Web服务器的安全; Web客户端的安全; Web通信信道的安全;2 、针对 Web 服务15第 15 页,共 20 页 - - - - - - - - - -精品word
39、 可编辑资料 - - - - - - - - - - - - -器的攻击分为两类:3 、对 Web 应用危害较大的安全问题分别是:4、Web服务器指纹: 5 、Web页面盗窃的目的6 、Web盗窃防备方 法: 7 、跨站脚本攻击 (Cross Site Script: 8 、跨站脚本攻击的危害: 9 、跨站脚本漏洞形成的缘由:10 、实现跨站脚本的攻击至少需要两个条件:11 、XSS 攻击最主要目标不是Web 服务器本身,而是登录网站的用户;12 、防备跨站脚本攻击13 、所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面恳求的查询字符串,最终达到欺骗服务器执
40、行恶意的SQL 命令;(SQL 注入原理:随着 B/S网络应用的普及, Web 应用多使用脚本语言( ASP、PHP等)加后台数据库系统进行开发;在这些网络程序中,用户输入的数据被当作命令和查询的一部分,送到后台的解释器中说明执行;相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判定,使应用程序存在安全隐患;攻击者可以提交一段细心构造的数据库查询代码,依据网页返回的结果,获得某些他想得知的数据或 者目标网站的敏锐信息,这就是所谓的SQL Injection,即 SQL 注入; ) 14 、SQL 注入受影响的系统:15 、SQL 注入的防范:第 10 讲:木马攻击与防备技术
41、1 、木马的定义: 2 、木马程序的妄想可以对应分为三种 : 3 、木马的危害: 4 、木马的特点: 5 、木马实现原理: 6 、木马植入技术可以大致分为主动植入与被动植入两类; 所谓主动植入,就是攻击者主动将木马程序种到本地或者是远程主机上,这个行为过程完全由攻击者主动把握;而被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统;7 、在Windows 系统中木马程序的自动加载技术主要有:8 、隐匿性是木马程序与其它程序的重要区分,想要隐匿木马的服务端,可以是伪隐藏,也可以是真隐匿;伪隐匿是指程序的进程仍旧存在,只不过
42、是让它消逝在进程列表里;真隐匿就是让程序完全的消逝,不以一个进程 或者服务的方式工作;常见隐匿技术:9 、常见木马使用的端口:16第 16 页,共 20 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -10、反弹窗口的连接技术与传统木马连接技术相比有何区分与优势?11、木马的远程监控功能:猎取目标机器信息,记录用户大事,远程 操作; 12 、木马的检测方法: : 端口扫描和连接检查;检查系统进程;检查 ini文件、注册表和服务;监视网络通讯; 13 、木马的清除与善后:知道了木马加载的地方,第一要作的当然是将木马登记 项删除
43、,这样木马就无法在开机时启动了;不过有些木马会监视注册表,一旦你删除,它立刻就会复原回来;因此,在删除前需要将木马 进程停止,然后依据木马登记的目录将相应的木马程序删除;以冰河为例说明具体清除步骤并适当说明;1 断开网络连接; 2) 检查进程并扫描; 3 第一运行注册表编辑器,检查注册表中txt文件的关联设 置; 4 接着检查注册表中的EXE 文件关 联设置; 5 进入系统目录 System32,删除冰河木马的可执行文件kernel32.exe和 sysexplr.exe;6 修改文件关联; 7 重 新启动,然后用杀毒软件对系 统进行一次全面的扫描,这样可以排除遗漏的木马程序;以网络治理员角度
44、在清除木马后进行善后工作: 1 判定特洛伊木马存在时间长短; 2 调查攻击者在入侵机器之后有哪些行动;3 对于安全性要求一般的场合,修改全部的密码,以及其他比较敏锐的信息(例如信用卡号码等); 4 在安全性要求较高的场合,任何未知的潜在风险都是不行忍耐的,必要时应当调整治理员或网络安全的负责人,完全检测整个网络,修改全部密码,在此基础上再执行后继风险分析;对于被入侵的机器,重新进行完全的格式化和安装;14 、木马的防范:木马实质上是一个程序,必需运行后才能工作,所以会在运算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹,用户可以通过“查、堵、杀”等方法检测和清除木马;其具体防范技术方 法主要包括:检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口,安装防病毒软件,监视网络通信,堵住掌握通路