1、完整性、保密性、可用性、不可抵赖性、可靠性。安全的其他属性:可控性、可审查性、真实性(注:一般通过认证、访问控制来实现真实性 。5、网络安全的主要威胁因素:信息系统自身安全的脆弱性、操作系统与应用程序漏洞、安全管理问题、黑客攻击、 网络犯罪。第 2讲 网络攻击阶段、技术及防范策略1、黑客与骇客。根本的区别在于是否以犯罪为目的。黑客是指利用计算机技术,非法入侵或者擅自操作他人(包括 国家机关、社会组织及个人计算机信息系统,对电子信息交流安全具有不同程度的威胁性和危害性的人(一般是 研究为主 。骇客指利用计算机技术,非法入侵并擅自操作他人计算机信息系统,对系统功能、数据或者程序进行干 扰、破坏,或
2、者非法侵入计算机信息系统并擅自利用系统资源,实施金融诈骗、盗窃、贪污、挪用公款、窃取国家 秘密或其他犯罪的人(一般是犯罪为主 。骇客包括在黑客概念之中,前者基本上是计算机犯罪的主体,后者的行为 不一定都构成犯罪。2、网络黑客的主要攻击手法有:获取口令、放置木马、 web 欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、 网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。3、网络攻击过程一般可以分为本地入侵和远程入侵。4、远程攻击的一般过程:远程攻击的准备阶段、远程攻击的实施阶段、远程攻击的善后阶段。5、远程攻击的准备阶段:确定攻击目标、信息收集、服务分析、系统分析、漏洞分析。6、常见的攻击目
3、的有破坏型和入侵型两种。破坏型攻击是指只破坏攻击目标,使之不能正常工作,而不能随意控制目标上的系统运行。入侵型攻击这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。 因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作,包括破坏性质的攻击。7、信息收集阶段:利用一切公开的、可利用的信息来调查攻击目标。包括目标的操作系统类型及版本、相关软件的 类型、版本及相关的社会信息。包括以下技术:低级技术侦察、 Web 搜索、 Whois 数据库、域名系统(DNS 侦察。8、低级技术侦察,分别解释:社交工程、物理闯入、垃圾搜寻。9、确定目
4、标主机采用何种操作系统原理:协议栈指纹(Fingerprint 10、远程攻击的实施阶段:作为破坏性攻击,可以利用工具发动攻击即可。作为入侵性攻击,往往需要利用收集到 的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限。 包括三个过程:预攻击探测:为进一步入侵提供有 用信息;口令破解与攻击提升权限;实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒。11、远程攻击常用的攻击方法:第一类:使用应用程序和操作系统的攻击获得访问权:基于堆栈的缓冲区溢出、密 码猜测、网络应用程序攻击。第二类:使用网络攻击获得访问权 :嗅探、 IP 地址欺骗、会话劫持。第三类:拒绝服务 攻击。12、远程攻击的善后阶段
5、:维护访问权、掩盖踪迹和隐藏。攻击者在获得系统最高管理员权限之后就可以任意修改 系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,最简单的方法就是删除日志文件。但这也明确无误地告诉 了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改。13:黑客入侵的一般完整模式:隐藏自己踩点 扫描查点 分析并入侵 获取权限 扩大范围 安装后门 清除日志并隐身。 (注意:一般完整的攻击过程都是先隐藏自己,然后再进行踩点或预攻击探测,检测目标计算机 的各种属性和具备的被攻击条件,然后采取相应的攻击方法进行破坏,达到自己的目的,之后攻击者会删除自己的 行为日志。14、为防止黑客入侵,个人用
6、户常见防护措施:防火墙、杀毒软件定期升级和杀毒、定期及时升级系统和软件补丁、 定期备份系统或重要文件、加密重要文件、关闭不常用端口、关闭不常用程序和服务、发现系统异常立刻检查。 15:网络管理常用的防护措施:完善安全管理制度、采用访问控制措施、运行数据加密措施、数据备份与恢复 。 16、物理环境的安全性体现:包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通 信线路的可靠性(线路备份、网管软件、传输介质 ,软硬件设备安全性(替换设备、拆卸设备、增加设备 ,设备 的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘 ,不间断电源保障,等等。第 3讲:扫描与防御
7、技术1、扫描器:扫描器是一种自动检测远程或本地主机安全性弱点的程序。集成了常用的各种扫描技术。扫描器的扫描 对象:能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的各项反馈信息。扫 描器对网络安全的作用:据此提供一份可靠的安全性分析报告,报告可能存在的脆弱性。2、网络扫描器的主要功能:扫描目标主机识别其工作状态(开 /关机 、识别目标主机端口的状态(监听 /关闭 、识 别目标主机操作系统的类型和版本、识别目标主机服务程序的类型和版本、分析目标主机、目标网络的漏洞(脆弱 点 、生成扫描结果报告。3、网络扫描的作用:可以对计算机网络系统或网络设备进行安全相关的检测,以找
8、出安全隐患和可能被黑客利用的 漏洞。4、网络漏洞:网络漏洞是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入侵系统或XX 获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。5、一个完整的网络安全扫描分为三个阶段:第一阶段:发现目标主机或网络。第二阶段:发现目标后进一步搜集目 标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络 的拓扑结构、路由设备以及各主机的信息。第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏 洞。6、网络安全扫描技术包括 PING 扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:1
9、PING 扫描用 于扫描第一阶段,识别系统是否活动。 2 OS 探测、穿透防火墙探测、端口扫描用于扫描第二阶段。 OS 探测是对目 标主机运行的 OS 进行识别;穿透防火墙探测用于获取被防火墙保护的网络资料;端口扫描是通过与目标系统的 TCP/IP端口连接,并查看该系统处于监听或运行状态的服务。 3漏洞扫描用于安全扫描第三阶段,通常是在端口扫 描的基础上,进而检测出目标系统存在的安全漏洞。7、漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:1基于漏洞库的特征匹配:通过端口扫描得知 目标主机开启的端口以及端口上的网络服务后,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有
10、满足匹配条件的漏洞存在; 2基于模拟攻击:通过模拟黑客的攻击手段,编写攻击模块,对目标主机系统进 行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。8、常用扫描工具:SATAN 、 Nmap 、 Nessus 、 X-scan9、扫描技术一般可以分为主动扫描和被动扫描两种,它们的共同点在于在其执行的过程中都需要与受害主机互通正 常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包,根据其回应判断扫描的结果。被动 扫描由其性质决定,它与受害主机建立的通常是正常连接,发送的数据包也属于正常范畴,而且被动扫描不会向受 害主机发送大规模的探测数据
11、。10、扫描的防御技术:反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防御技术。11、防范主动扫描可以从以下几个方面入手:(1减少开放端口,做好系统防护; (2实时监测扫描,及时做出告 警; (3伪装知名端口,进行信息欺骗。12、被动扫描防范方法到目前为止只能采用信息欺骗(如返回自定义的 banner 信息或伪装知名端口这一种方法。 13、防火墙技术是一种允许内部网接入外部网络,但同时又能识别和抵抗非授权访问的网络技术,是网络控制技术 中的一种。防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,控制所有从因特网流入或流向因特 网的信息都经过防火墙,并检查这些信息,通过允许、
12、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网 络的服务和访问的审计和控制。14、审计技术是使用信息系统自动记录下的网络中机器的使用时间、敏感操作和违纪操作等,为系统进行事故原因 查询、事故发生后的实时处理提供详细可靠的依据或支持。审计技术可以记录网络连接的请求、返回等信息,从中 识别出扫描行为。15:为什么说扫描器是一把双刃剑?扫描器能够自动的扫描检测本地和远程系统的弱点,为使用者提供帮助。系统 或网络管理员可以利用它来检测其所管理的网络和主机中存在哪些漏洞,以便及时打上补丁,增加防护措施,或用 来对系统进行安全等级评估。黑客可以利用它来获取主机信息,寻找具备某些弱点的主机,为进一步攻
13、击做准备。 因此,扫描器是一把双刃剑。 普通用户对扫描的防御:用户要减少开放的端口,关闭不必的服务,合理地配置防火 墙,以防范扫描行为。第 4讲:网络监听及防御技术1、网络监听的概念:网络监听技术又叫做网络嗅探技术 (Network Sniffing ,是一种在他方未察觉的情况下捕获其通 信报文或通信内容的技术。在网络安全领域,网络监听技术对于网络攻击与防范双方都有着重要的意义,是一把双 刃剑。对网络管理员来说,它是了解网络运行状况的有力助手,对黑客而言,它是有效收集信息的手段。网络监听 技术的能力范围目前只限于局域网。2:嗅探器 (sniffer是利用计算机的网络接口截获目的地为其它计算机的
14、数据报文的一种技术。 工作在网络的底层, 能 够把网络传输的全部数据记录下来。 1嗅探攻击的基本原理是:当网卡被设置为混杂接收模式时,所有流经网卡的 数据帧都会被网卡接收,然后把这些数据传给嗅探程序,分析出攻击者想要的敏感信息,如账号、密码等,这样就 实现了窃听的目的。 2嗅探器造成的危害:能够捕获口令;能够捕获专用的或者机密的信息;可以用来危害网络邻 居的安全,或者用来获取更高级别的访问权限;窥探低级的协议信息。被动嗅探入侵往往是黑客实施一次实际劫持 或入侵的第一步。 3 Sniffer 的正面应用:在系统管理员角度来看,网络监听的主要用途是进行数据包分析,通过网 络监听软件,管理员可以观测
15、分析实时经由的数据包,从而快速的进行网络故障定位。 4 Sniffer 的反面应用:入侵 者与管理员感兴趣的 (对数据包进行分析 有所不同, 入侵者感兴趣的是数据包的内容, 尤其是账号、 口令等敏感内容。 3、网络传输技术:广播式和点到点式。 广播式网络传输技术:仅有一条通信信道,由网络上的所有机器共享。信 道上传输的分组可以被任何机器发送并被其他所有的机器接收。点到点网络传输技术:点到点网络由一对对机器之 间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题。 4、网卡的四种工作模式:(1广播模式:该模式下的网卡能够接收网络中的广播信息。 (2组播模
16、式:该模式下的 网卡能够接受组播数据。 (3直接模式:在这种模式下,只有匹配目的 MAC 地址的网卡才能接收该数据帧。 (4混 杂模式:(Promiscuous Mode在这种模式下,网卡能够接受一切接收到的数据帧,而无论其目的 MAC 地址是什么。 5、共享式局域网就是使用集线器或共用一条总线的局域网。共享式局域网是基于广播的方式来发送数据的,因为集 线器不能识别帧,所以它就不知道一个端口收到的帧应该转发到哪个端口,它只好把帧发送到除源端口以外的所有 端口,这样网络上所有的主机都可以收到这些帧。如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的 话,那么,对于这台主机的网络接口而言,任
17、何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也 就是监听模式。处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。6、在实际应用中,监听时存在不需要的数据,严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监 听的关键。信息的过滤包括以下几种:站过滤,协议过滤,服务过滤,通用过滤。同时根据过滤的时间,可以分为 两种过滤方式:捕获前过滤、捕获后过滤。7、交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。这些设备根据收到的数据帧中的 MAC 地 址决定数据帧应发向交换机的哪个端口。因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧会被发送
18、到非目的节点中去。交换式局域网在很大程度上解决了网络监听的困扰。8、交换机的安全性也面临着严峻的考验,随着嗅探技术的发展,攻击者发现了有如下方法来实现在交换式以太网中 的网络监听:溢出攻击; ARP 欺骗(常用技术 。9、溢出攻击:交换机工作时要维护一张 MAC 地址与端口的映射表。但是用于维护这张表的内存是有限的。如用大 量的错误 MAC 地址的数据帧对交换机进行攻击, 交换机就可能出现溢出。 这时交换机就会退回到 HUB 的广播方式, 向所有的端口发送数据包,一旦如此,监听就很容易了。10、 ARP 的工作过程 :(1主机 A 不知道主机 B 的 MAC 地址, 以广播方式发出一个含有主机
19、 B 的 IP 地址的 ARP 请求; (2网内所有主机受到 ARP 请求后,将自己的 IP 地址与请求中的 IP 地址相比较,仅有 B 做出 ARP 响应,其中含有 自己的 MAC 地址; (3主机 A 收到 B 的 ARP 响应,将该条 IP-MAC 映射记录写入 ARP 缓存中,接着进行通信。 11、 ARP 欺骗:计算机中维护着一个 IP-MAC 地址对应表,记录了 IP 地址和 MAC 地址之间的对应关系。该表将随 着 ARP 请求及响应包不断更新。通过 ARP 欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的 “中间人” , 使交换式局域网中的所有数据包都流经自己主机
20、的网卡, 这样就可以像共享式局域网一样分析数据包了。 12、监听的防御:1通用策略:a 、采用安全的网络拓扑结构,网络分段越细,嗅探器能够收集的信息就越少; b 、数据加密技术:数 据通道加密(SSH 、 SSL 和 VPN ;数据内容加密(PGP 。2共享网络下的防监听:检测处于混杂模式的网卡;检测网络通讯丢包率;检测网络带宽反常现象。3交换网络下的防监听:主要要防止 ARP 欺骗及 ARP 过载。交换网络下防范监听的措施主要包括:a. 不要把网络 安全信任关系建立在单一的 IP 或 MAC 基础上,理想的关系应该建立在 IP-MAC 对应关系的基础上。 b. 使用静态的 ARP 或者 IP
21、-MAC 对应表代替动态的 ARP 或者 IP-MAC 对应表, 禁止自动更新, 使用手动更新。 c. 定期检查 ARP 请 求, 使用 ARP 监视工具, 例如 ARPWatch 等监视并探测 ARP 欺骗。 d. 制定良好的安全管理策略, 加强用户安全意识。第 5讲:口令破解与防御技术1、口令的作用:2、口令破解获得口令的思路:3、手工破解的步骤一般为:4、自动破解:5、口令破解方式:6、词典攻击:7、强行攻击:8、组合攻击9、社会工程学10、重放:11、 Windows 的口令文件:12、 Windows 的访问控制过程:13、口令攻击的防御:1好的口令:2保持口令的安全要点:3强口令?
22、14、对称加密方法加密和解密都使用同一个密钥。如果我加密一条消息让你来破解,你必须有与我相同的密钥来解 密。这和典型的门锁相似。如果我用钥匙锁上门,你必须使用同一把钥匙打开门。15、不对称加密使用两个密钥克服了对称加密的缺点:公钥和私钥。私钥仅为所有者所知,不和其他任何人共享;公钥向所有会和用户通信的人公开。用用户的公钥加密的东西只能用用户的私钥解开,所以这种方法相当有效。别人给用户发送用用户的公钥加密的信息,只有拥有私钥的人才能解开。16、随着生物技术和计算机技术的发展,人们发现人的许多生理特征如指纹、掌纹、面孔、声音、虹膜、视网膜等 都具有惟一性和稳定性,每个人的这些特征都与别人不同,且终
23、身不变,也不可能复制。这使得通过识别用户的这 些生理特征来认证用户身份的安全性远高于基于口令的认证方式。利用生理特征进行生物识别的方法主要有指纹识 别、虹膜识别、掌纹识别、面像识别;其中,虹膜和指纹识别被公认为是最可靠的两种生物识别。利用行为特征进 行识别的主要有:声音、笔迹和击键识别等。第 6讲:欺骗攻击及防御技术1、在 Internet 上计算机之间相互进行的交流建立在两个前提之下:2、欺骗:3、目前比较流行的欺骗攻击主要有 5种:4、最基本的 IP 欺骗技术:5、 TCP 会话劫持:6、 TCP 会话劫持过程:7、 IP 欺骗攻击的防御:8、 ARP 欺骗攻击9、 ARP 欺骗原理:10
24、、 ARP 欺骗攻击在局域网内非常奏效,其危害有:11、检测局域网中存在 ARP 欺骗攻击现象:12、 ARP 欺骗攻击的防范:13、执行电子邮件欺骗有三种基本方法,每一种有不同难度级别,执行不同层次的隐蔽。它们分别是:利用相似的 电子邮件地址;直接使用伪造的 E-mail 地址;远程登录到 SMTP 端口发送邮件。14电子邮件欺骗的防御:15、 DNS 欺骗的原理:16、 DNS 欺骗主要存在两点局限性:17、 DNS 欺骗的防御:18、 Web 欺骗是一种电子信息欺骗,攻击者创造了一个完整的令人信服的 Web 世界,但实际上它却是一个虚假的复 制。虚假的 Web 看起来十分逼真,它拥有相同
25、的网页和链接。然而攻击者控制着这个虚假的 Web 站点,这样受害者 的浏览器和 Web 之间的所有网络通信就完全被攻击者截获。 Web 欺骗能够成功的关键是在受害者和真实 Web 服务器 之间插入攻击者的 Web 服务器,这种攻击常被称为“中间人攻击 (man-in-the-middle” 。典型案例:网络钓鱼。 19、防范 Web 欺骗的方法:第 7讲:拒绝服务攻击与防御技术1、拒绝服务(Denial of Service,简称 DoS ,是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对 目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成
26、程序缓冲 区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。 简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。2、拒绝服务攻击是由于网络协议本身的安全缺陷造成的。3、从实施 DoS 攻击所用的思路来看, DoS 攻击可以分为:4、典型拒绝服务攻击技术:5、 Ping of Death:6、泪滴(Teardrop :7、 Land 攻击:8、 Smurf 攻击9、分布式拒绝服务 DDoS (Distributed Denial of Service攻击10、分布式拒绝服务攻击的软件一般分为客户端、服务端与守护程序,这些程序
27、可以使协调分散在互联网各处的机 器共同完成对一台主机攻击的操作,从而使主机遭到来自不同地方的许多主机的攻击。客户端:也称攻击控制台, 它是发起攻击的主机;服务端:也称攻击服务器,它接受客户端发来的控制命令;守护程序:也称攻击器、攻击代理,它直接(如 SYN Flooding)或者间接(如反射式 DDoS)与攻击目标进行通信。 11、分布式拒绝服务攻击攻击过程主要有以下几个步骤: 12、被 DDoS 攻击时的现象: 13、DDoS 攻击对 Web 站点的影响: 14、拒绝服务攻击的防御: 15、DDOS 工具产生的网络通信信息有两种: 16、DDoS 的唯一检测方式是: 17、分布式拒绝服务攻击
28、的防御:优化网络和路由结构;保护网络及主机系统安全;安装入侵检测系统;与 ISP 服务商合 作;使用扫描工具. 18、无论是 DoS 还是 DDoS 攻击,其目的是使受害主机或网络无法及时接收并处理外界请求,表现为:制造大流量无 用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。利用被攻击主机提供服务或传输协 议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。 利用被攻击主机所提供服务程序或传输协议的本身的实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量 系统资源,使主机处于挂起状态。 第 8 讲:缓冲区溢出攻击及防御技术 1、缓冲区是包含相同数据类型实例的一个连续的计算机内存块。是程序运行期间在内存中分配的一个连续的区域, 可以保存相同数据类型的多个实例,用于保存包括字符数组在内的各种数据类型。 2、所谓溢出,就是灌满, 使内容物超过顶端,
