《網(wǎng)絡安全攻防技術》講義知識點歸納(精簡后)

第1講：網(wǎng)絡安全概述1、計算機網(wǎng)絡：我們講的計算機網(wǎng)絡,其實就是利用通訊設備和線路將地理位置不同的、功能獨立的多個計算機系統(tǒng)互連起來,以功能完善的網(wǎng)絡軟件（即網(wǎng)絡通信協(xié)議、信息交換方式及網(wǎng)絡操作系統(tǒng)等）實現(xiàn)網(wǎng)絡中資源共享和信息傳遞的系統(tǒng)。它的功能最主要的表現(xiàn)在兩個方面:一是實現(xiàn)資源共享（包括硬件資源和軟件資源的共享）;二是在用戶之間交換信息。計算機網(wǎng)絡的作用是:不僅使分散在網(wǎng)絡各處的計算機能共享網(wǎng)上的所有資源,并且為用戶提供強有力的通信手段和盡可能完善的服務,從而極大的方便用戶。從網(wǎng)管的角度來講,說白了就是運用技術手段實現(xiàn)網(wǎng)絡間的信息傳遞,同時為用戶提供服務。計算機網(wǎng)絡通常由三個部分組成,它們是資源子網(wǎng)、通信子網(wǎng)和通信協(xié)議。所謂通信子網(wǎng)就是計算機網(wǎng)絡中負責數(shù)據(jù)通信的部分;資源子網(wǎng)是計算機網(wǎng)絡中面向用戶的部分,負責全網(wǎng)絡面向應用的數(shù)據(jù)處理工作;而通信雙方必須共同遵守的規(guī)則和約定就稱為通信協(xié)議,它的存在與否是計算機網(wǎng)絡與一般計算機互連系統(tǒng)的根本區(qū)別。2、計算機網(wǎng)絡安全的定義（從狹義的保護角度來看，計算機網(wǎng)絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義來說，凡是涉及到計算機網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網(wǎng)絡安全的研究領域。）3、本課程中網(wǎng)絡安全：指網(wǎng)絡信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，服務不中斷。（主要指通過各種計算機、網(wǎng)絡、密碼技術和信息安全技術，保護在公有通信網(wǎng)絡中傳輸、交換和存儲信息的機密性、完整性和真實性，并對信息的傳播及內(nèi)容具有控制能力，不涉及網(wǎng)絡可靠性、信息可控性、可用性和互操作性等領域。）網(wǎng)絡安全的主體是保護網(wǎng)絡上的數(shù)據(jù)和通信的安全。1）數(shù)據(jù)安全性是一組程序和功能，用來阻止對數(shù)據(jù)進行非授權的泄漏、轉(zhuǎn)移、修改和破壞。2）通信安全性是一些保護措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，并依要求對具備通信安全性的信息采取物理安全性措施。注意，此處網(wǎng)絡安全在不同的環(huán)境和應用中有不同的解釋，注意區(qū)分：1）計算機及系統(tǒng)安全。包括計算機系統(tǒng)機房環(huán)境的保護，法律政策的保護，計算機結構設計安全性考慮，硬件系統(tǒng)的可靠安全運行，計算機操作系統(tǒng)和應用軟件的安全，數(shù)據(jù)庫系統(tǒng)的安全，電磁信息泄露的防護等。本質(zhì)上是保護系統(tǒng)的合法操作和正常運行。2）網(wǎng)絡上系統(tǒng)信息的安全。包括用戶口令鑒別、用戶存取權限控制、數(shù)據(jù)存取權限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治和數(shù)據(jù)加密等。3）網(wǎng)絡上信息傳播的安全。包括信息過濾等。它側(cè)重于保護信息的保密性、真實性和完整性。避免攻擊者進行有損于合法用戶的行為。本質(zhì)上是保護用戶的利益和隱私。4、安全的主要屬性：完整性、保密性、可用性、不可抵賴性、可靠性。安全的其他屬性：可控性、可審查性、真實性（注：一般通過認證、訪問控制來實現(xiàn)真實性）。5、網(wǎng)絡安全的主要威脅因素：信息系統(tǒng)自身安全的脆弱性、操作系統(tǒng)與應用程序漏洞、安全管理問題、黑客攻擊、網(wǎng)絡犯罪。第2講網(wǎng)絡攻擊階段、技術及防范策略1、黑客與駭客。根本的區(qū)別在于是否以犯罪為目的。黑客是指利用計算機技術，非法入侵或者擅自操作他人（包括國家機關、社會組織及個人）計算機信息系統(tǒng)，對電子信息交流安全具有不同程度的威脅性和危害性的人（一般是研究為主）。駭客指利用計算機技術，非法入侵并擅自操作他人計算機信息系統(tǒng)，對系統(tǒng)功能、數(shù)據(jù)或者程序進行干擾、破壞，或者非法侵入計算機信息系統(tǒng)并擅自利用系統(tǒng)資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或其他犯罪的人（一般是犯罪為主）。駭客包括在黑客概念之中，前者基本上是計算機犯罪的主體，后者的行為不一定都構成犯罪。2、 網(wǎng)絡黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術、電子郵件攻擊、通過一個節(jié)點攻擊另一節(jié)點、網(wǎng)絡監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權等。3、 網(wǎng)絡攻擊過程一般可以分為本地入侵和遠程入侵。4、 遠程攻擊的一般過程：遠程攻擊的準備階段、遠程攻擊的實施階段、遠程攻擊的善后階段。5、 遠程攻擊的準備階段：確定攻擊目標、信息收集、服務分析、系統(tǒng)分析、漏洞分析。6、 常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標，使之不能正常工作，而不能隨意控制目標上的系統(tǒng)運行。入侵型攻擊——這種攻擊要獲得一定的權限才能達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因為攻擊者一旦掌握了一定的權限、甚至是管理員權限就可以對目標做任何動作，包括破壞性質(zhì)的攻擊。7、信息收集階段：利用一切公開的、可利用的信息來調(diào)查攻擊目標。包括目標的操作系統(tǒng)類型及版本、相關軟件的類型、版本及相關的社會信息。包括以下技術：低級技術偵察、Web搜索、Whois數(shù)據(jù)庫、域名系統(tǒng)（DNS）偵察。8、 低級技術偵察，分別解釋：社交工程、物理闖入、垃圾搜尋。9、 確定目標主機采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）10、 遠程攻擊的實施階段：作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權限。包括三個過程：預攻擊探測：為進一步入侵提供有用信息；口令破解與攻擊提升權限；實施攻擊：緩沖區(qū)溢出、拒絕服務、后門、木馬、病毒。11、 遠程攻擊常用的攻擊方法：第一類：使用應用程序和操作系統(tǒng)的攻擊獲得訪問權：基于堆棧的緩沖區(qū)溢出、密碼猜測、網(wǎng)絡應用程序攻擊。第二類：使用網(wǎng)絡攻擊獲得訪問權:嗅探、IP地址欺騙、會話劫持。第三類：拒絕服務攻擊。12、 遠程攻擊的善后階段：維護訪問權、掩蓋蹤跡和隱藏。攻擊者在獲得系統(tǒng)最高管理員權限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件。但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對日志文件中有關自己的那部分作修改。13：黑客入侵的一般完整模式：隱藏自己f踩點f掃描f查點f分析并入侵f獲取權限f擴大范圍f安裝后門一清除日志并隱身。（注意：一般完整的攻擊過程都是先隱藏自己，然后再進行踩點或預攻擊探測，檢測目標計算機的各種屬性和具備的被攻擊條件，然后采取相應的攻擊方法進行破壞，達到自己的目的，之后攻擊者會刪除自己的行為日志。）14、為防止黑客入侵，個人用戶常見防護措施：防火墻、殺毒軟件定期升級和殺毒、定期及時升級系統(tǒng)和軟件補丁、定期備份系統(tǒng)或重要文件、加密重要文件、關閉不常用端口、關閉不常用程序和服務、發(fā)現(xiàn)系統(tǒng)異常立刻檢查。15：網(wǎng)絡管理常用的防護措施：完善安全管理制度、采用訪問控制措施、運行數(shù)據(jù)加密措施、數(shù)據(jù)備份與恢復。16、物理環(huán)境的安全性體現(xiàn)：包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。第3講：掃描與防御技術1、 掃描器：掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。集成了常用的各種掃描技術。掃描器的掃描對象：能自動發(fā)送數(shù)據(jù)包去探測和攻擊遠端或本地的端口和服務，并自動收集和記錄目標主機的各項反饋信息。掃描器對網(wǎng)絡安全的作用：據(jù)此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。2、 網(wǎng)絡掃描器的主要功能：掃描目標主機識別其工作狀態(tài)（開/關機）、識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）、識別目標主機操作系統(tǒng)的類型和版本、識別目標主機服務程序的類型和版本、分析目標主機、目標網(wǎng)絡的漏洞（脆弱點）、生成掃描結果報告。3、 網(wǎng)絡掃描的作用：可以對計算機網(wǎng)絡系統(tǒng)或網(wǎng)絡設備進行安全相關的檢測，以找出安全隱患和可能被黑客利用的漏洞。4、 網(wǎng)絡漏洞：網(wǎng)絡漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導致非法用戶入侵系統(tǒng)或未經(jīng)授權獲得訪問權限，造成信息篡改、拒絕服務或系統(tǒng)崩潰等問題。5、 一個完整的網(wǎng)絡安全掃描分為三個階段：第一階段：發(fā)現(xiàn)目標主機或網(wǎng)絡。第二階段：發(fā)現(xiàn)目標后進一步搜集目標信息，包括操作系統(tǒng)類型、運行的服務以及服務軟件的版本等。如果目標是一個網(wǎng)絡，還可以進一步發(fā)現(xiàn)該網(wǎng)絡的拓撲結構、路由設備以及各主機的信息。第三階段：根據(jù)收集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞。6、 網(wǎng)絡安全掃描技術包括PING掃描、操作系統(tǒng)探測、穿透防火墻探測、端口掃描、漏洞掃描等：1）PING掃描用于掃描第一階段，識別系統(tǒng)是否活動。2）OS探測、穿透防火墻探測、端口掃描用于掃描第二階段。OS探測是對目標主機運行的OS進行識別；穿透防火墻探測用于獲取被防火墻保護的網(wǎng)絡資料；端口掃描是通過與目標系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務。3）漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎上，進而檢測出目標系統(tǒng)存在的安全漏洞。7、 漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：1）基于漏洞庫的特征匹配：通過端口掃描得知目標主機開啟的端口以及端口上的網(wǎng)絡服務后，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；2）基于模擬攻擊：通過模擬黑客的攻擊手段，編寫攻擊模塊，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。8、 常用掃描工具：SATAN、Nmap、Nessus、X-scan9、 掃描技術一般可以分為主動掃描和被動掃描兩種，它們的共同點在于在其執(zhí)行的過程中都需要與受害主機互通正常或非正常的數(shù)據(jù)報文。其中主動掃描是主動向受害主機發(fā)送各種探測數(shù)據(jù)包，根據(jù)其回應判斷掃描的結果。被動掃描由其性質(zhì)決定，它與受害主機建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被動掃描不會向受害主機發(fā)送大規(guī)模的探測數(shù)據(jù)。10、 掃描的防御技術：反掃描技術、端口掃描監(jiān)測工具、防火墻技術、審計技術、其它防御技術。11、 防范主動掃描可以從以下幾個方面入手：（1）減少開放端口，做好系統(tǒng)防護；（2）實時監(jiān)測掃描，及時做出告警；（3）偽裝知名端口，進行信息欺騙。12、 被動掃描防范方法到目前為止只能采用信息欺騙（如返回自定義的banner信息或偽裝知名端口）這一種方法。13、 防火墻技術是一種允許內(nèi)部網(wǎng)接入外部網(wǎng)絡，但同時又能識別和抵抗非授權訪問的網(wǎng)絡技術，是網(wǎng)絡控制技術中的一種。防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡之間建立一個安全控制點，控制所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都經(jīng)過防火墻，并檢查這些信息，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。14、 審計技術是使用信息系統(tǒng)自動記錄下的網(wǎng)絡中機器的使用時間、敏感操作和違紀操作等，為系統(tǒng)進行事故原因查詢、事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。審計技術可以記錄網(wǎng)絡連接的請求、返回等信息，從中識別出掃描行為。15：為什么說掃描器是一把雙刃劍？掃描器能夠自動的掃描檢測本地和遠程系統(tǒng)的弱點，為使用者提供幫助。系統(tǒng)或網(wǎng)絡管理員可以利用它來檢測其所管理的網(wǎng)絡和主機中存在哪些漏洞，以便及時打上補丁，增加防護措施，或用來對系統(tǒng)進行安全等級評估。黑客可以利用它來獲取主機信息，尋找具備某些弱點的主機，為進一步攻擊做準備。因此，掃描器是一把雙刃劍。普通用戶對掃描的防御：用戶要減少開放的端口，關閉不必的服務，合理地配置防火墻，以防范掃描行為。第4講：網(wǎng)絡監(jiān)聽及防御技術1、網(wǎng)絡監(jiān)聽的概念：網(wǎng)絡監(jiān)聽技術又叫做網(wǎng)絡嗅探技術（NetworkSniffing），是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術。在網(wǎng)絡安全領域，網(wǎng)絡監(jiān)聽技術對于網(wǎng)絡攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對網(wǎng)絡管理員來說，它是了解網(wǎng)絡運行狀況的有力助手，對黑客而言，它是有效收集信息的手段。網(wǎng)絡監(jiān)聽技術的能力范圍目前只限于局域網(wǎng)。2：嗅探器（sniffer）是利用計算機的網(wǎng)絡接口截獲目的地為其它計算機的數(shù)據(jù)報文的一種技術。工作在網(wǎng)絡的底層，能夠把網(wǎng)絡傳輸?shù)娜繑?shù)據(jù)記錄下來。1）嗅探攻擊的基本原理是：當網(wǎng)卡被設置為混雜接收模式時，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會被網(wǎng)卡接收，然后把這些數(shù)據(jù)傳給嗅探程序，分析出攻擊者想要的敏感信息，如賬號、密碼等，這樣就實現(xiàn)了竊聽的目的。2）嗅探器造成的危害：能夠捕獲口令；能夠捕獲專用的或者機密的信息；可以用來危害網(wǎng)絡鄰居的安全，或者用來獲取更高級別的訪問權限；窺探低級的協(xié)議信息。被動嗅探入侵往往是黑客實施一次實際劫持或入侵的第一步。3）Sniffer的正面應用：在系統(tǒng)管理員角度來看，網(wǎng)絡監(jiān)聽的主要用途是進行數(shù)據(jù)包分析，通過網(wǎng)絡監(jiān)聽軟件，管理員可以觀測分析實時經(jīng)由的數(shù)據(jù)包，從而快速的進行網(wǎng)絡故障定位。4）Sniffer的反面應用：入侵者與管理員感興趣的（對數(shù)據(jù)包進行分析）有所不同，入侵者感興趣的是數(shù)據(jù)包的內(nèi)容，尤其是賬號、口令等敏感內(nèi)容。3、 網(wǎng)絡傳輸技術：廣播式和點到點式。廣播式網(wǎng)絡傳輸技術：僅有一條通信信道，由網(wǎng)絡上的所有機器共享。信道上傳輸?shù)姆纸M可以被任何機器發(fā)送并被其他所有的機器接收。點到點網(wǎng)絡傳輸技術：點到點網(wǎng)絡由一對對機器之間的多條連接構成，分組的傳輸是通過這些連接直接發(fā)往目標機器，因此不存在發(fā)送分組被多方接收的問題。4、 網(wǎng)卡的四種工作模式：（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其目的MAC地址是什么。5、 共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)。共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因為集線器不能識別幀，所以它就不知道一個端口收到的幀應該轉(zhuǎn)發(fā)到哪個端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡上所有的主機都可以收到這些幀。如果共享式局域網(wǎng)中的一臺主機的網(wǎng)卡被設置成混雜模式狀態(tài)的話，那么，對于這臺主機的網(wǎng)絡接口而言，任何在這個局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦牭降摹Ｖ鳈C的這種狀態(tài)也就是監(jiān)聽模式。處于監(jiān)聽模式下的主機可以監(jiān)聽到同一個網(wǎng)段下的其他主機發(fā)送信息的數(shù)據(jù)包。6、在實際應用中，監(jiān)聽時存在不需要的數(shù)據(jù)，嚴重影響了系統(tǒng)工作效率。網(wǎng)絡監(jiān)聽模塊過濾機制的效率是該網(wǎng)絡監(jiān)聽的關鍵。信息的過濾包括以下幾種：站過濾，協(xié)議過濾，服務過濾，通用過濾。同時根據(jù)過濾的時間，可以分為兩種過濾方式：捕獲前過濾、捕獲后過濾。7、 交換式以太網(wǎng)就是用交換機或其它非廣播式交換設備組建成的局域網(wǎng)。這些設備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應發(fā)向交換機的哪個端口。因為端口間的幀傳輸彼此屏蔽，因此節(jié)點就不擔心自己發(fā)送的幀會被發(fā)送到非目的節(jié)點中去。交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡監(jiān)聽的困擾。8、 交換機的安全性也面臨著嚴峻的考驗，隨著嗅探技術的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來實現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡監(jiān)聽：溢出攻擊；ARP欺騙（常用技術）。9、 溢出攻擊：交換機工作時要維護一張MAC地址與端口的映射表。但是用于維護這張表的內(nèi)存是有限的。如用大量的錯誤MAC地址的數(shù)據(jù)幀對交換機進行攻擊，交換機就可能出現(xiàn)溢出。這時交換機就會退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容易了。10、 ARP的工作過程:⑴主機A不知道主機B的MAC地址，以廣播方式發(fā)出一個含有主機B的IP地址的ARP請求；（2）網(wǎng)內(nèi)所有主機受到ARP請求后，將自己的IP地址與請求中的IP地址相比較，僅有B做出ARP響應，其中含有自己的MAC地址；（3）主機A收到B的ARP響應，將該條IP-MAC映射記錄寫入ARP緩存中，接著進行通信。11、 ARP欺騙：計算機中維護著一個IP-MAC地址對應表，記錄了IP地址和MAC地址之間的對應關系。該表將隨著ARP請求及響應包不斷更新。通過ARP欺騙，改變表里的對應關系，攻擊者可以成為被攻擊者與交換機之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。12、監(jiān)聽的防御：1） 通用策略：a、采用安全的網(wǎng)絡拓撲結構，網(wǎng)絡分段越細，嗅探器能夠收集的信息就越少；b、數(shù)據(jù)加密技術：數(shù)據(jù)通道加密（SSH、SSL和VPN）；數(shù)據(jù)內(nèi)容加密（PGP）。2） 共享網(wǎng)絡下的防監(jiān)聽：檢測處于混雜模式的網(wǎng)卡；檢測網(wǎng)絡通訊丟包率；檢測網(wǎng)絡帶寬反?，F(xiàn)象。3） 交換網(wǎng)絡下的防監(jiān)聽：主要要防止ARP欺騙及ARP過載。交換網(wǎng)絡下防范監(jiān)聽的措施主要包括：a.不要把網(wǎng)絡安全信任關系建立在單一的IP或MAC基礎上，理想的關系應該建立在IP-MAC對應關系的基礎上。b.使用靜態(tài)的ARP或者IP-MAC對應表代替動態(tài)的ARP或者IP-MAC對應表，禁止自動更新，使用手動更新。c.定期檢查ARP請求，使用ARP監(jiān)視工具，例如ARPWatch等監(jiān)視并探測ARP欺騙。d.制定良好的安全管理策略，加強用戶安全意識。第5講：口令破解與防御技術1、 口令的作用：2、 口令破解獲得口令的思路：3、 手工破解的步驟一般為：4、 自動破解：5、 口令破解方式：6、 詞典攻擊：7、 強行攻擊：8、 組合攻擊9、 社會工程學10、重放：11、Windows的口令文件：12、 Windows的訪問控制過程：13、 口令攻擊的防御：1） 好的口令：2） 保持口令的安全要點：3） 強口令？14、 對稱加密方法加密和解密都使用同一個密鑰。如果我加密一條消息讓你來破解，你必須有與我相同的密鑰來解密。這和典型的門鎖相似。如果我用鑰匙鎖上門，你必須使用同一把鑰匙打開門。15、 不對稱加密使用兩個密鑰克服了對稱加密的缺點：公鑰和私鑰。私鑰僅為所有者所知，不和其他任何人共享；公鑰向所有會和用戶通信的人公開。用用戶的公鑰加密的東西只能用用戶的私鑰解開，所以這種方法相當有效。別人給用戶發(fā)送用用戶的公鑰加密的信息，只有擁有私鑰的人才能解開。16、隨著生物技術和計算機技術的發(fā)展，人們發(fā)現(xiàn)人的許多生理特征如指紋、掌紋、面孔、聲音、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)定性，每個人的這些特征都與別人不同，且終身不變，也不可能復制。這使得通過識別用戶的這些生理特征來認證用戶身份的安全性遠高于基于口令的認證方式。利用生理特征進行生物識別的方法主要有指紋識別、虹膜識別、掌紋識別、面像識別；其中，虹膜和指紋識別被公認為是最可靠的兩種生物識別。利用行為特征進行識別的主要有：聲音、筆跡和擊鍵識別等。第6講：欺騙攻擊及防御技術1、 在Internet上計算機之間相互進行的交流建立在兩個前提之下：2、 欺騙：3、 目前比較流行的欺騙攻擊主要有5種：4、 最基本的IP欺騙技術：5、 TCP會話劫持：6、TCP會話劫持過程：7、 IP欺騙攻擊的防御：8、 ARP欺騙攻擊9、ARP欺騙原理：10、 ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：、檢測局域網(wǎng)中存在ARP欺騙攻擊現(xiàn)象：、ARP欺騙攻擊的防范：13、執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址；直接使用偽造的E-mail地址；遠程登錄到SMTP端口發(fā)送郵件。14)電子郵件欺騙的防御：15、DNS欺騙的原理：16、DNS欺騙主要存在兩點局限性：17、DNS欺騙的防御：18、 Web欺騙是一種電子信息欺騙，攻擊者創(chuàng)造了一個完整的令人信服的Web世界，但實際上它卻是一個虛假的復制。虛假的Web看起來十分逼真，它擁有相同的網(wǎng)頁和鏈接。然而攻擊者控制著這個虛假的Web站點，這樣受害者的瀏覽器和Web之間的所有網(wǎng)絡通信就完全被攻擊者截獲。Web欺騙能夠成功的關鍵是在受害者和真實Web服務器之間插入攻擊者的Web服務器，這種攻擊常被稱為“中間人攻擊(man-in-the-middle)”。典型案例：網(wǎng)絡釣魚。19、 防范Web欺騙的方法：第7講：拒絕服務攻擊與防御技術1、 拒絕服務(DenialofService，簡稱DoS)，是利用傳輸協(xié)議中的某個弱點、系統(tǒng)存在的漏洞、或服務的漏洞，對目標系統(tǒng)發(fā)起大規(guī)模的進攻，用超出目標處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯誤，致使其無法處理合法用戶的正常請求，無法提供正常服務，最終致使網(wǎng)絡服務癱瘓，甚至系統(tǒng)死機。簡單的說，拒絕服務攻擊就是讓攻擊目標癱瘓的一種“損人不利己”的攻擊手段。2、 拒絕服務攻擊是由于網(wǎng)絡協(xié)議本身的安全缺陷造成的。3、 從實施DoS攻擊所用的思路來看，DoS攻擊可以分為：4、 典型拒絕服務攻擊技術：5、 PingofDeath：6、 淚滴(Teardrop)：7、 Land攻擊：8、 Smurf攻擊9、 分布式拒絕服務DDoS(DistributedDenialofService)攻擊10、 分布式拒絕服務攻擊的軟件一般分為客戶端、服務端與守護程序，這些程序可以使協(xié)調(diào)分散在互聯(lián)網(wǎng)各處的機器共同完成對一臺主機攻擊的操作，從而使主機遭到來自不同地方的許多主機的攻擊。客戶端：也稱攻擊控制臺，它是發(fā)起攻擊的主機；服務端：也稱攻擊服務器，它接受客戶端發(fā)來的控制命令；守護程序：也稱攻擊器、攻擊代理，它直接（如SYNFlooding）或者間接（如反射式DDoS）與攻擊目標進行通信。11、 分布式拒絕服務攻擊攻擊過程主要有以下幾個步驟：12、 被DDoS攻擊時的現(xiàn)象：13、 DDoS攻擊對Web站點的影響：14、 拒絕服務攻擊的防御：15、 DDOS工具產(chǎn)生的網(wǎng)絡通信信息有兩種：16、 DDoS的唯一檢測方式是：17、 分布式拒絕服務攻擊的防御:優(yōu)化網(wǎng)絡和路由結構;保護網(wǎng)絡及主機系統(tǒng)安全;安裝入侵檢測系統(tǒng);與ISP服務商合作;使用掃描工具.18、 無論是DoS還是DDoS攻擊，其目的是使受害主機或網(wǎng)絡無法及時接收并處理外界請求，表現(xiàn)為制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡擁塞，使被攻擊主機無法正常和外界通信。利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷，反復高頻的發(fā)出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身的實現(xiàn)缺陷，反復發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)。第8講：緩沖區(qū)溢出攻擊及防御技術1、 緩沖區(qū)是包含相同數(shù)據(jù)類型實例的一個連續(xù)的計算機內(nèi)存塊。是程序運行期間在內(nèi)存中分配的一個連續(xù)的區(qū)域，可以保存相同數(shù)據(jù)類型的多個實例，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型。2、 所謂溢出，就是灌滿，使內(nèi)容物超過頂端，邊緣，或邊界，其實就是所填充的數(shù)據(jù)超出了原有的緩沖區(qū)邊界。3、 所謂緩沖區(qū)溢出，就是向固定長度的緩沖區(qū)中寫入超出其預先分配長度的內(nèi)容，造成緩沖區(qū)中數(shù)據(jù)的溢出，從而覆蓋了緩沖區(qū)周圍的內(nèi)存空間。黑客借此精心構造填充數(shù)據(jù)，導致原有流程的改變，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲取控制權。4、 常見緩沖區(qū)溢出類型：5、 緩沖區(qū)溢出攻擊的過程：6、 緩沖區(qū)溢出的真正原因：第9講：Web攻擊及防御技術1、 Web安全含三個方面：Web服務器的安全；Web客戶端的安全；Web通信信道的安全。2、 針對Web服務器的攻擊分為兩類：3、 對Web應用危害較大的安全問題分別是：4、 Web服務器指紋：5、 Web頁面盜竊的目的6、 Web盜竊防御方法：7、 跨站腳本攻擊（CrossSiteScript）：8、 跨站腳本攻擊的危害：9、 跨站腳本漏洞形成的原因：10、 實現(xiàn)跨站腳本的攻擊至少需要兩個條件：11、 XSS攻擊最主要目標不是Web服務器本身，而是登錄網(wǎng)站的用戶。12、 防御跨站腳本攻擊13、 所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。（SQL注入原理：隨著B/S網(wǎng)絡應用的普及，Web應用多使用腳本語言（ASP、PHP等）加后臺數(shù)據(jù)庫系統(tǒng)進行開發(fā)。在這些網(wǎng)絡程序中，用戶輸入的數(shù)據(jù)被當作命令和查詢的一部分，送到后臺的解釋器中解釋執(zhí)行。相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。攻擊者可以提交一段精心構造的數(shù)據(jù)庫查詢代碼，根據(jù)網(wǎng)頁返回的結果，獲得某些他想得知的數(shù)據(jù)或者目標網(wǎng)站的敏感信息，這就是所謂的SQLInjection，即SQL注入。）14、 SQL注入受影響的系統(tǒng)：15、 SQL注入的防范：第10講：木馬攻擊與防御技術1、木馬的定義：2、木馬程序的企圖可以對應分為三種:3、木馬的危害：4、木馬的特點：5、木馬實現(xiàn)原理：6、木馬植入技術可以大概分為主動植入與被動植入兩類。所謂主動植入，就是攻擊者主動將木馬程序種到本地或者是遠程主機上，這個行為過程完全由攻擊者主動掌握。而被動植入，是指攻擊者預先設置某種環(huán)境，然后被動等待目標系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標系統(tǒng)。7、在Windows系統(tǒng)中木馬程序的自動加載技術主要有：8、隱蔽性是木馬程序與其它程序的重要區(qū)別，想要隱藏木馬的服務端，可以是偽隱藏，也可以是真隱藏。偽隱藏是指程序的進程仍然存在，只不過是讓它消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務的方式工作。常見隱藏技術：9、常見木馬使用的端口：10、反彈窗口的連接技術與傳統(tǒng)木馬連接技術相比有何區(qū)別與優(yōu)勢？11、木馬的遠程監(jiān)控功能：獲取目標機器信息，記錄用戶事件，遠程操作。12、 木馬的檢測方法：：端口掃描和連接檢查；檢查系統(tǒng)進程；檢查ini文件、注冊表和服務；監(jiān)視網(wǎng)絡通訊。13、 木馬的清除與善后：知道了木馬加載的地方，首先要作的當然是將木馬登記項刪除，這樣木馬就無法在開機時啟動了。不過有些木馬會監(jiān)視注冊表，一旦你刪除，它立即就會恢復回來。因此，在刪除前需要將木馬進程停止，然后根據(jù)木馬登記的目錄將相應的木馬程序刪除。以冰河為例說明具體清除步驟并適當解釋。1）斷開網(wǎng)絡連接；2）檢查進程并掃描；3）首先運行注冊表編輯器，檢查注冊表中txt文件的關聯(lián)設置；4）接著檢查注冊表中的EXE文件關聯(lián)設置；5）進入系統(tǒng)目錄System32，刪除冰河木馬的可執(zhí)行文件kernel32.exe和sysexplr.exe；6）修改文件關聯(lián)；7）重新啟動，然后用殺毒軟件對系統(tǒng)進行一次全面的掃描，這樣可以排除遺漏的木馬程序。以網(wǎng)絡管理員角度在清除木馬后進行善后工作：1）判斷特洛伊木馬存在時間長短；2）調(diào)查攻擊者在入侵機器之后有哪些行動；3）對于安全性要求一般的場合，修改所有的密碼，以及其他比較敏感的信息（例如信用卡號碼等）；4）在安全性要求較高的場合，任何未知的潛在風險都是不可忍受的，必要時應當調(diào)整管理員或網(wǎng)絡安全的負責人，徹底檢測整個網(wǎng)絡，修改所有密碼，在此基礎上再執(zhí)行后繼風險分析。對于被入侵的機器，重新進行徹底的格式化和安裝。14、 木馬的防范：木馬實質(zhì)上是一個程序，必須運行后才能工作，所以會在計算機的文件系統(tǒng)、系統(tǒng)進程表、注冊表、系統(tǒng)文件和日志等中留下蛛絲馬跡，用戶可以通過“查、堵、殺”等方法檢測和清除木馬。其具體防范技術方法主要包括：檢查木馬程序名稱、注冊表、系統(tǒng)初始化文件和服務、系統(tǒng)進程和開放端口，安裝防病毒軟件，監(jiān)視網(wǎng)絡通信，堵住控制通路和殺掉可疑進程等。常用的防范木馬程序的措施：1）及時修補漏洞，安裝補??；2）運行實時監(jiān)控程序；3）培養(yǎng)風險意識，不使用來歷不明的軟件；4）即時發(fā)現(xiàn)，即時清除。第11講：計算機病毒1、 狹義的計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，且能自我復制的一組計算機指令或者程序代碼。計算機病毒一般依附于其他程序或文檔，是能夠自身復制，并且產(chǎn)生用戶不知情或不希望、甚至惡意的操作的非正常程序。但是隨著黑客技術的發(fā)展，病毒、木馬、蠕蟲往往交叉在一起相互借鑒技術，因此人們經(jīng)常說的計算機病毒往往是指廣義上的病毒，它是一切惡意程序的統(tǒng)稱。2、 計算機病毒的特點：3、 計算機病毒的破壞性：4、 計算機病毒引起的異常狀況：5、 按照計算機病毒的鏈接方式分類：6、 按照計算機病毒的破壞情況分類：7、 按寄生方式和傳染途徑分類：8、 計算機病毒程序的模塊劃分：9、 計算機病毒的生命周期：10、病毒傳播途徑：11、病毒感染目標：12、計算機病毒的觸發(fā)機制：13、計算機病毒的破壞機制：14、典型的計算機病毒：15、計算