网络安全复习要点

1第一章1、网络不安全的原因: 自身缺陷开放性黑客攻击安全的几个概念: 2、信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。3、信息的安全需求：保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态” 。 （任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。 ）可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。 单机系统的信息保密阶段信息保密技术的研究成果： 发展各种密码算法及其应用：DES（数据加密标准） 、RSA （公开密钥体制） 、ECC （椭圆曲线离散对数密码体制）等。 计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则） 、ITSEC（信息技术安全评价准则）等。 信息保障阶段信息保障技术框架 IATF：由美国国家安全局制定，提出“纵深防御策略”DiD （Defense-in-Depth Strategy） 。在信息保障的概念下，信息安全保障的 PDRR 模型的内涵已经超出了传统的信息安全保密，而是保护（Protection） 、检测（Detection） 、响应（Reaction）和恢复（ Restore）的有机结合。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。4、 计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则） 、ITSEC（信息技术安全评价准则）等。5、 PDRR 模型的内涵：保护（Protection） 、检测（Detection） 、响应（Reaction）和恢复（ Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。6、 PDRR 安全模型（1）PDRR 安全模型1. 保护：采用一切手段（主要指静态防护手段）保护信息系统的五大特性2. 检测：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击3. 响应：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低4. 恢复: 及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径注意：保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。7、 信 息保障体系的组成：2法律与政策体系、标准与规范体系、 人才培养体系、 产业支撑体系、 技术保障体系、 组织管理体系8、 WPDRRC 安全体系模型：WPDRRC 安全体系模型我国 863 信息安全专家组博采众长推出了 WPDRRC 安全体系模型。该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。人核心政策（包括法律、法规、制度、管理）桥梁技术落实在 WPDRRC 六个环节的各个方面，在各个环节中起作用 WPDRRC 安全体系模型预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。 虽然目前 Internet 是以光速传播的，但攻击过程还是有时间差和空间差。 如果只以个人的能力实施保护，结果永远是保障能力小于或等于攻击能力，只有变成举国体制、协作机制，才可能做到保障能力大于等于攻击能力。保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。 我国已提出实行计算机信息系统的等级保护问题，应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。 现有技术和产品十分丰富。检测：利用高技术提供的工具来检查系统存在的，可能提供黑客攻击、病毒泛滥等等的脆弱性。 具备相应的技术工具 形成动态检测制度 建立报告协调机制响应：对于危及安全的事件、行为、过程，及时做出响应的处理，杜绝危害进一步扩大，使得系统力求提供正常的服务。 通过综合建立起来响应的机制，如报警、跟踪、处理（封堵、隔离、报告）等； 提高实时性，形成快速响应的能力。恢复：对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。反击：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。相关技术及工具：取证、证据保全、举证、起诉、打击、媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪。9、安全产品类型信息保密产品、用户授权认证产品、安全平台/系统、 安全检测与监控产品第二章31、网络攻击：网络攻击者利用目前网络通信协议（如 TCP/IP 协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从 Internet 上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。2、常见的网络攻击手段：阻塞类攻击、控制类攻击、探测类攻击、欺骗类攻击、漏洞类攻击、破坏类攻击。注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。3、阻塞类攻击阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用 Internet 协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。常见的方法：TCP SYN 洪泛攻击、Land 攻击、Smurf 攻击、电子邮件炸弹等多种方式。4、TCP SYN 洪泛攻击5、Land 攻击 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 在 Land 攻击中，一个特别打造的 SYN 包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送 SYN 一 ACK 消息，结果这个地址又发回 ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。 对 Land 攻击反应不同，许多 UNIX 系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟） 。 6、Smurf 攻击 Smurf 攻击是以最初发动这种攻击的程序名“Smurf”来命名的。 这种攻击方法结合使用了 IP 欺骗和 ICMP 回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此 ICMP 应答请求做出答复，导致网络阻塞。更加复杂的 Smurf 将源地址改为第三方的受害者，最终导致第三方崩溃。7、电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值得防范的一个攻击手段。48、阻塞类攻击后果：DoS 攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。9、 控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。10、口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或 root 用户权限，攻击就变得极其危险。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如： 利用目标主机的 Finger 功能：当用 Finger 命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； 利用目标主机的 X.500 服务：有些主机没有关闭 X.500 的目录查询服务，也给攻击者提供了获得信息的一条简易途径； 从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 1）猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。2）字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有 8 万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。3）穷举攻击如果字典攻击仍然不能成功，入侵者会采取穷举攻击。一般从长度为 1 的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么 86%的口令可以在一周内破译出来。4）混合攻击结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击5）直接破解系统口令文件所有的攻击都不能奏效时，入侵者会寻找目标主机的安全漏洞和薄弱环节，伺机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。6）网络嗅探5通过嗅探器在局域网内嗅探明文传输的口令字符串。7）键盘记录在目标系统中安装键盘记录后门，记录操作员输入的口令字符串。11、 探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。12、 欺骗类攻击欺骗类攻击包括 IP 欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP 缓存虚构、DNS 高速缓存污染、伪造电子邮件等。13、 漏洞类攻击针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。要找到某种平台或者某类安全漏洞也是比较简单的。在 Internet 上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。14、 破坏类攻击破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。 逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。15、攻击的目的攻击动机：恶作剧、恶意破坏、商业目的、政治军事攻击目的：破坏、入侵16、 攻击的步骤攻击的准备阶段：确定攻击目的、准备攻击工具、收集目标信息攻击的实施阶段：隐藏自己的位置、利用收集到的信息获取帐号和密码，登录主机、利用漏洞或者其他方法获得控制权并窃取网络资源和特权攻击的善后阶段：1.对于 Windows 系统：禁止日志审计、清除事件日志、清除 IIS 服务日志2.对于 UNIX 系统3.为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序。17、攻击诀窍基本方法:A口令入侵: 获取账号：Finger ，X.500 ，电子邮件地址 ，默认账号;获取密码：网络监听 ，Bruce，漏洞与失误;特洛伊木马程序 ;WWW 欺骗; 电子邮件攻击;电子邮件轰炸 ，电子邮件欺骗B黑客软件:Back Orifice2000、冰河C安全漏洞攻击：Outlook ，IIS，Serv-U6D对防火墙的攻击：Firewalking 、Hping E渗透 F路由器攻击 常用攻击工具 ： 1.网络侦查工具 ：superscan ，Nmap；2.拒绝服务攻击工具：DDoS 攻击者 1.4 , sqldos , Trinoo； 3.木马:BO2000 ，冰河 ， NetSpy 18、网络安全攻击（或者叫渗透测试）是网络安全评估的重要手段。第三章 网络侦察技术1、 网络扫描（网络扫描重点介绍三种扫描类型）a 地址扫描：发现计算机网络上存活的计算机；b 端口扫描：发现计算机网络的服务；端口号和网络服务相关联；（1）入侵者在进行攻击前，首先要了解目标系统的一些信息：如目标主机运行的是什么操作系统；是否有保护措施，运行什么服务；运行的服务的版本等等。（2）判断运行服务的方法就是通过端口扫描，因为常用的服务是使用标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务，然后入侵者才能针对这些服务进行相应的攻击。c 漏洞扫描：发现计算机系统上的漏洞。（1）漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询 ；（3）漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序 ；（4）外部扫描与内部扫描：1） 是否通过 Internet 来进行。常用的扫描器：Nmap、Nessus、X-Scan2、扫描器扫描器的定义：扫描器是一种收集系统信息，自动检测远程或本地主机安全性弱点的程序。 扫描器的作用：可以发现远程服务器是否存活;它对外开放的各种 TCP 端口的分配及提供的服务;它所使用的软件版本(如操作系统或其他应用软件的版本);所存在可能被利用的系统漏洞.3、常用的扫描器：（1 ）Nmap(端口扫描器)（a） UDP、TCP connect、TCP SYN（半开） 、ftp proxy（跳跃攻击） 、Reverse-ident、ICMP(ping)、FIN、ACK sweep、Xmas Tree、SYN sweep 和 NULL 扫描。 （b）通过 TCP/IP 来鉴别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的 Ping 侦测下属的主机、欺骗扫描、端口过滤探测、直接的 RPC 扫描、分布扫描、灵活目标选择以及端口的描述。 （2）Nessus( 漏洞扫描器) ；Nessus 是图形化的界面，使得它使用起来相当简便，它还对扫描出的漏洞给出详细的利用方法和补救方法。所以，Nessus 是攻击者和网管都应该学会使用的漏洞检查利器 。（3）X-scan ； 提供了图形界面和命令行两种操作方式 ；远程操作系统类型及版本、标准端口状态及端口 banner 信息、CGI 漏洞、RPC 漏洞、SQL-SERVER 默认帐户、弱口令，NT 主机共享信息、用户信息、组信息、NT 主机弱口令用户 。4、对抗扫描的方法 防火墙：阻止扫描数据。 网络入侵检测系统：检测扫描数据。 仅仅允许必须的端口开放，过滤或关闭其他端口。 管理员适当配置系统的 TCP/IP 协议栈的性质，以对抗操作系统的指纹识别。 使用者的安全教育。5、网络监听7网络监听:监视网络状态，数据流程以及网络上信息传输的技术。 网络嗅探的目的是截获通信的内容。 嗅探（监听）的方法是对协议进行分析。 当黑客成功地登录进一台网络上的主机，并取得了 root 权限之后，而且还想利用这台主机去攻击同一网段上的其它主机时，这时网络监听是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 （1）以太网的监听 共享以太网上的嗅探器 以太网逻辑上是总线拓扑结构，采用广播的通信方式。 数据的传输是依靠帧中的 MAC 地址来寻找目的主机。只有与数据帧中目标地址一致的那台主机才能接收数据（广播帧除外，它永远都是发送到所有的主机）。 但是，当网卡工作在混杂模式（Promiscuous）下时，无论帧中的目标物理地址是什么，主机都将接收。如果在这台主机上安装嗅探器，就可以达到监听的目的。 （2）交换式网络上的嗅探器（Ethernet Switch） 交换以太网中，交换机能根据数据帧中的目的 MAC 地址将数据帧准确地送到目的主机的端口，而不是所有的端口。 所以交换式网络环境在一定程度上能抵御 Sniffer 攻击。 在交换环境中，Sniffer 的简单的做法就是伪装成为网关（欺骗交换机） （3）常用工具 ARP 欺骗（ARP poisoning/spoofing）/“中间人”攻击6、什么是 ARP？ ARP (Address Resolution Protocol) 提供 IP 地址到相应的硬件地址（物理地址或 MAC 地址）之间的映射 应用在局域网中（广播 ARP 请求） IP 地址称为逻辑地址，数据在物理网络上传输使用的是硬件地址（数据链路层协议帧封装的需要） 。 如果一台主机需要知道路由器或另外一台主机的物理地址，就需要使用 ARP 协议。 控制信息有：ARP 请求（广播）和 ARP 应答（单播） ARP 请求和响应是内核处理的。7、网络监听的防范方法 ：确保以太网的整体安全性 、采用加密技术 8、检测网络监听的手段 ：反应时间、 DNS 测试 、利用 ping 进行监测 、利用 ARP 数据包进行监测 9、口令破解 黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。 字典文件 用户的名字、生日、电话号码、身份证号码、所居住街道的名字等。10、口令攻击类型 ：字典攻击、强行攻击、组合攻击 11、口令破解器 ：工作原理第四章 拒绝服务攻击1、 拒绝服务攻击概述 DoS 定义：拒绝服务攻击 DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一8种破坏性攻击方式。 DoS 攻击思想：a.服务器的缓冲区满，不接收新的请求。B. 使用 IP 欺骗，迫使服务器将合法用户的连接复位，影响合法用户的连接。2、拒绝服务攻击分类 攻击模式 ： 消耗资源（网络带宽、存储空间、 CPU 时间等） ；破坏或改变配置信息；物理破坏或者改变网络部件；利用服务程序中的处理错误使服务失效 发起方式：传统的拒绝服务攻击 ；分布式拒绝服务攻击（Distributed Denial of Service ）（1）攻击模式：消耗资源 针对网络连接的拒绝服务攻击 ping 、flooding、SYN flooding ping、finger 广播包 广播风暴（SMURF 攻击） 消耗磁盘空间 Email ERROR-LOG FTP 站点的 incoming 目录 制造垃圾文件 消耗 CPU 资源和内存资源 main() fork()； main()； （2）攻击模式：破坏或更改配置信息 修改服务用户群（apache 服务器，access.conf 配置文件） 删除口令文件（tmp 目录安全问题，Linux）（3）攻击模式：物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 （4）攻击模式：利用服务程序中的处理错误使服务失效 LAND 攻击3、服务端口攻击【1】 （1） SYN Flooding（同步包风暴拒绝服务攻击） Smurf 攻击 利用处理程序错误的拒绝服务攻击 9（2）SYN Flooding 具有以下特点 针对 TCP/IP 协议的薄弱环节进行攻击 发动攻击时，只要很少的数据流量就可以产生显著的效果 攻击来源无法定位（IP 欺骗） 在服务端无法区分 TCP 连接请求是否合法 同步包风暴攻击的本质是利用 TCP/IP 协议集的设计弱点和缺陷 只有对现有的 TCP/IP 协议集进行重大改变才能修正这些缺陷（3）SYN Flooding 应对：化系统配置、化路由器配置、用防火墙、动监视、完善基础设施 【2】 （1）Smurf 攻击 ：种攻击方法结合使用了 IP 欺骗和 ICMP 回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务。 （2）Smurf 攻击 应对 ： 实际发起攻击的网络 过滤掉源地址为其他网络的数据包 被攻击者利用的中间网络 配置路由器禁止 IP 广播包 被攻击的目标 与 ISP 协商，由 ISP 暂时阻止这些流量（3）Land 攻击 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过 IP 欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能 对 Land 攻击反应不同，许多 UNIX 系统将崩溃，而 Windows 会变的极其缓慢（大约持续五分钟） 4、 电子邮件轰炸 定义：在很短时间内收到大量无用的电子邮件 SMTP