网络攻防知识点---大学生考试复习专用

1、精选优质文档-倾情为你奉上第一章 网络安全概述1.信息安全等级3.网络安全目标：4.网络安全要素5.影响网络安全的主要因素6.PPDR模型7.PPDR模型基本思想第二章 黑客与黑客攻击1.黑客的动机2.黑客的攻击流程大体可以归纳以下9个步骤3.网络攻击发展趋势第三章 目标系统信息收集的技术1.攻击者在攻击前需要搜集汇总的与目标系统相关的信息主要包括以下几个当面：2.Google Hacking的含义3.网络扫描技术4.TCP扫描5.网络拓扑信息6.网络拓扑的一般算法7.主动探测是指8.主动探测技术第四章 漏洞扫描技术1.计算机系统漏洞指2.系统安全漏洞的特性3.漏洞的分类第五章 缓冲区溢出攻击

2、1.所谓缓冲区溢出攻击2.缓冲区溢出攻击的基本原理3.它在内存中从底地址到高地址通常分为5段4.利用堆和栈进行攻击的区别5.缓冲区溢出攻击的基本条件6.ShellCode概念7.系统管理上的防范8.软件开发过程中的防范策略第六章 网络欺骗攻击1.IP欺骗技术概念2.IP欺骗的防范方法3.ARP攻击的检测与防范4.DNS欺骗的方法5.DNS防御检测方法6.网络钓鱼是7.钓鱼网站3大特征 8.网络钓鱼的防御第七章 Web应用安全攻击1.常见的Web应用安全问题2.SQL注入攻击概念3.SQL注入攻击的总体思路如下4.SQL的攻击防范5.跨站脚本攻击的概念6.网站开发人员如何防范跨站脚本攻击7.常见

3、的会话状态信息的保存位置8.Web攻击的防范第八章 拒绝服务攻击1.带宽攻击概念2.连通性攻击概念3.拒绝服务攻击的概念4.分布式拒绝攻击概念5.DDoS攻击的过程可以分为三个阶段6.傀儡网络概念7.拒绝服务攻击的发展趋势8.拒绝服务攻击的检测第九章 恶意代码1.恶意代码概念 2.恶意代码的传播趋势 3.计算机病毒概念 4.计算机病毒主要由潜伏机制，传染机制和表现机制构成。5.计算机病毒的特点 6.计算机病毒的防范 7.特洛伊木马概念 8.木马的隐藏技术包括 9.木马植入手段 10.木马的特点 11.木马的防范技术 12.计算机蠕虫概念 13.蠕虫的基本程序结构 14.蠕虫的特点 15.病毒、

4、木马和蠕虫的区别第十五章 蜜罐主机和蜜罐网1.蜜罐概念 2.蜜罐的初衷及功能 3.蜜罐最大的优势 4.蜜罐按价值体现分类 5.蜜罐的优缺点 6.运行蜜罐时存在的风险 第十六章 可信计算1.可信计算的基本思想 2.可信概念 3.可信计算的主要思路、目的及意义 4.TCB概念 6.可信机制主的体现 7.在一个可信平台中有三个可信根 第十七章 信息安全风险评估1.信息安全风险评估的基本思想 2.网络信息安全评估目的 3.信息安全风险评估概念 4.狭义的风险评估包括 5.风险评估的基本要素 6.资产分类 7.威胁分类 8.脆弱点概念 9.信息安全风险概念 10.影响概念 11.安全措施概念 12.安全

5、需求概念 13.ISO/IEC13335-1对他们之间的关系主要表现在 14.风险评估方法 15.风险评估可分为四个阶段 第一章 网络安全概述1.信息安全等级：第一级 计算机安全 第二级 网络安全 第三级 信息系统安全2.计算机安全是信息安全的基础，网络安全是信息安全的核心3.网络安全目标：（1）进不来（2）看不懂（3）改不了（4）拿不走（5）跑不掉4.网络安全要素：（1）机密性（2）完整性（3）可用性（4）可控性（5）不可抵赖性。(1)可靠性. 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特 性.可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标.可靠

6、性用 于保证在人为或者随机性破坏下系统的安全程度. (2)可用性.可用性是网络信息可被授权实体访问并按需求使用的特性.可用性是网络信息 系统面向用户的安全性能.可用性应满足身份识别与确认,访问控制,业务流控制,路由选择 控制,审计跟踪等要求. (3)保密性. 保密性是网络信息不被泄露给非授权的用户, 实体或过程, 或供其利用的特性. 即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性.保密性主要通过信息 加密,身份认证,访问控制,安全通信协议等技术实现,它是在可靠性和可用性基础之上,保 障网络信息安全的重要手段. (4)完整性.完整性是网络信息未经授权不能进行改变的特性.即网络信息

7、在存储或传输过 程中保持不被偶然或蓄意地删除,修改,伪造,乱序,重放,插入等破坏和丢失的特性.完整 性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输. (5)不可抵赖性.不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信 参与者的真实同一性.即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺.利用信息 源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认 已经接收的信息. (6)可控性.可控性是对网络信息的传播及内容具有控制能力的特性. 安全模型的主要方面.5.影响网络安全的主要因素：（1）物理因素（2）技术因素（3

8、）管理因素（4）用户意识6.PPDR模型：PPDR模型由四个主要部分组成：安全策略（Policy)、保护（Protection)、检测（Detection)和响应（Response)。PPDR模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。7.PPDR模型基本思想：(1)策略.PPDR 安全模型的核心是安全策略,所有的防护,检测,响应都是依据安全策略 实施的,安全策略为安全管理提供管理方向和

9、支持手段.策略体系的建立包括安全策略的制订, 评估,执行等. (2)保护.保护就是采用一切手段保护信息系统的保密性,完整性,可用性,可控性和不 可否认性.应该依据不同等级的系统安全要求来完善系统的安全功能,安全机制.保护通常采 用身份认证,防火墙,客户端软件,加密等传统的静态的安全技术来实现.(3)检测.检测是 PPDR 模型中非常重要的环节,检测是进行动态响应和动态保护的依据, 同时强制网络落实安全策略,检测设备不间断地检测,监控网络和系统,及时发现网络中新的 威胁和存在的弱点,通过循环的反馈来及时做出有效的响应.网络的安全风险是实时存在的, 检测的对象主要针对系统自身的脆弱性及外部威胁.

10、(4)响应.响应在 PPDR 安全系统中占有最重要的位置,它是解决潜在安全问题最有效的方 法.响应指的是在系统检测到安全漏洞后做出的处理方法. 安全标准的主要内容. 第二章 黑客与黑客攻击1.黑客的动机：好奇心、虚荣心、技术挑战、报复、金钱、政治目的。2.黑客的攻击流程大体可以归纳以下9个步骤：踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。3.网络攻击发展趋势：（1）网络攻击技术手段改变迅速，自动化程度和攻击速度不断提高；（2）网络攻击工具化；（3）安全漏洞的发现和利用速度越来越快；（4）有组织的攻击越来越多；（5）攻击的目的和目标在改变；（6）攻击者的数量增

11、加，破坏效果加大；（7）防火墙渗透率越来越高；（8）越来越不对称的威胁；（9）对基础设施的威胁越来越大；（10）基于公共无线网络的攻击。第三章 目标系统信息收集的技术1.攻击者在攻击前需要搜集汇总的与目标系统相关的信息主要包括以下几个当面：（1）系统的一般信息，如系统的软硬件平台类型、系统的用户、系统的服务和应用等；(2)系统及服务的管理、配置情况，如系统是否禁止root远程登录，SMTP服务器是否支持decode别名等；(3) 系统口令的安全性，如系统是否存在弱口令，缺省用户的口令是否没有改动等；(4) 系统提供的服务的安全性以及系统整体的安全性能，这一点可以从该系统是否提供安全性较差的服务

12、、系统服务的版本是否是弱安全版本以及是否存在其他的一些不安全因素来做出判断。 2.Google Hacking的含义是利用Google搜索引擎搜索信息来进行入侵的技术和行为。3.网络扫描技术：按照扫描对象来分，扫描技术主要分为两类：基于主机的安全扫描技术和基于网络的安全扫描技术。按照扫描过程来分，扫描技术又可分为4类：Ping扫描技术，端口扫描技术，操作系统探测扫描技术和已知漏洞的扫描技术。4.TCP扫描：利用三次握手过程与目标主机建立完整或不完整的TCP连接。 TCP connect()扫描：该请求使用标准的connect()函数向目标主机提出连接请求，如果目标主机在指定的端口上出于监听状态

13、并且准备接收连接请求，则connect（）操作成功，表明此时目标主机的指定端口出于开放状态；如果connect（）操作失败，则表明目标主机的该端口未开放。使用这种方法可以检测到目标主机上的各个端口的开放状况。5.网络拓扑信息：主要包括交换机、路由器等网络实体键的连接信息，以及为了保证最终得到的网络拓扑的准确性和完备性而必需的实体基础信息。6.网络拓扑的一般算法是从临时地址集出发逐一探测每个IP的存活状态，将存活的设备加入结果集后探测路由，并通过猜测等手段获知更多的IP加入临时地址集中，然后重复上述步骤。7.主动探测是指主动的、有目的性的向目标发送探测数据报，通过提取和分析响应数据报的特性信息。

14、8.主动探测技术：（1）根据端口扫描结果分析；（2）利用Banner信息分析；（3）TCP/IP栈查询法第四章 漏洞扫描技术1.计算机系统漏洞指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。2.系统安全漏洞的特性：（1）漏洞的长久性；（2）漏洞的隐蔽性；（3）漏洞的必然被发现性。3.漏洞的分类（1）按漏洞的成因分类：1）软件编写存在的漏洞；2）系统配置不当；3）口令失窃；4）嗅探未加密数据；5）设计存在缺陷。（2）按漏洞被利用的方式分类：1）物理接触；2）主机模式；3）客户及模式；4）中间人方式第五章 缓冲区溢出攻击1.所

15、谓缓冲区溢出攻击，通常就是认为改写堆栈中存储的EIP内容，是程序跳转到指定的ShellCode处去执行。2.缓冲区溢出攻击的基本原理是向缓冲区写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序和数据，从而使计算机转去执行预设的程序，以达到攻击的目的。3.它在内存中从底地址到高地址通常分为5段，分别是代码段、初始化数据段、非初始化数据段、堆段和栈段。4.利用堆和栈进行攻击的区别：（1）管理方式不同；（2）产生碎片不同；（3）生长方向不同；（4）分配方式不同。5.缓冲区溢出攻击的基本条件：（1）精确定位溢出程序的返回点；（2）编写ShellCode；（3）把返回点地址覆盖成ShellCod

16、e的地址。6.ShellCode概念：是一组能完成预设功能的机器代码，通常以十六进制数组的形式存在，本质上对应着可直接执行的汇编程序。7.系统管理上的防范：（1）关闭不需要的特权程序；（2）及时下载操作系统和各种应用软件及程序开发工具的最新补丁；（3）使用安全产品。8.软件开发过程中的防范策略：（1）编写正确的代码；（2）数组边界检查；（3）程序指针完整性检查；（4）非执行的缓冲区；（5）改进C语言函数。第六章 网络欺骗攻击1.IP欺骗技术概念：IP欺骗技术就是通过IP地址的伪造使得某台主机能够伪装成另外一台主机骗取权限从而进行攻击的技术，而被伪装的主机往往具有某种特权或者被另外的主机所信任。

17、2.IP欺骗的防范方法：（1）禁止基于IP地址的信任关系；（2）安装过滤路由器；（3）使用加密方法。3.ARP攻击的检测与防范：（1）检测方法：1）在局域网内部使用抓包软件进行抓包分析；2）监视ARP缓存表；（2）防范方法：1）静态绑定；2）使用ARP服务器；3）使用防ARP攻击软件。4.DNS欺骗的方法：（1）感染缓存；（2）劫持DNS信息；（3）重定向DNS。5.DNS防御检测方法：（1）监听检测。了解DNS欺骗原理后可知，如果收到DNS欺骗攻击，那么客户端至少收到两个DNS应答包，一个是合法应答包一个是伪造应答包。根据这个特点可以使用监听检测的方法。如果在一定时间间隔内，一个DNS请求得

18、到了两个或两个以上的应答包，则可能出现了DNS欺骗攻击。因为DNS服务器不会给出多个结果不同的应答包，即使站点有多个IP地址，DNS服务器也会在一个应答包中返回，并将不同的IP地址放入多个应答御中。（2）交叉检查。这种方法是当客户端收到DNS应带包之后，向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字来进行判断，如果二者一直则表明没有受到攻击，否则说明被欺骗。6.网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出的敏感信息（如用户名、口令、账号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。7.钓鱼网站3大特征：热点效应、对象分散和手段

19、多样。8.网络钓鱼的防御：（1）查验“可信网站”；（2）仔细核对网站域名；（3）养成良好的上网习惯；（4）查看安全证书；（5）查询网站备案。第七章 Web应用安全攻击1.常见的Web应用安全问题：（1）已知弱点和错误配置；（2）隐藏字段；（3）后门和调试漏洞；（4）跨站点脚本编写；（5）参数篡改；（6）更改cookie；（7）输入信息控制；（8）缓冲区溢出；（9）直接访问浏览；（10）客户端网络宽带滥用。2.SQL注入攻击概念：SQL注入攻击是黑客对数据库进行攻击的常用手段之一，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些希望窃取的数据。当应用程序使用输入内容来构造动态SQL语

20、句已访问数据库时，会发生SQL注入攻击；如果代码使用存储过程，而这些存储过程作为包含为筛选的用户输入的字符串来传递，与会发生SQL注入。3.SQL注入攻击的总体思路如下：（1）发现SQL注入位置；（2）判断后台数据库类型；（3）发现Web虚拟目录；（4）确定XP_CMD SHELL的可执行情况；（5）上传ASP木马程序；（6）获取管理员权限。4.SQL的攻击防范：（1）在构造动态SQL语句时，一定要使用类安全（type-safe）的参数加码机制;(2)在部署你的应用前，始终要做安全审评(security review);(3)严禁在数据库里明文存放敏感性数据；（4）编写自动化的单元测试校验数据

21、访问层和应用程序不受SQL注入攻击；（5）给访问数据库的Web应用功能最低的权限；（6）注入分析器的防范。5.跨站脚本攻击的概念：跨站脚本攻击指的是攻击者向网站的Web页面里插入恶意的HTML代码，当用户浏览此网页时，这段HTML代码会被执行，从而获取用户的隐秘信息。6.网站开发人员如何防范跨站脚本攻击：（1）过滤输入的特殊字符；（2）对动态生成的页面的字符进行编码；（3）限制服务器的响应；（4）长度限制；（5）使用HTTP host禁用HTTP Get；（6）Cookie检查；（7）URL会话标示符。7.常见的会话状态信息的保存位置是在网页中的隐藏字段、URL参数和cookie中。8.Web

22、攻击的防范：（1）安装防火墙；（2）对机密信息实施加密保护；（3）为客户/服务器通信双方提供身份认证，建立安全心道；（4）对软件采用数字签名。第八章 拒绝服务攻击1.带宽攻击概念：带宽攻击是指以极大的通信量冲击网络，使得所有可用的网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。2.连通性攻击概念：连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终导致计算机无法在处理合法用户的请求。3.拒绝服务攻击的概念：凡是能导致合法用户不能够访问正常服务的行为都算是拒绝服务攻击。4.分布式拒绝攻击概念：分布式拒绝攻击是指攻击者通过控制不同地点的一定数量的PC或路由器

23、，同时向一个或者数个目标发起攻击，致使攻击目标不能为合法用户提供服务。5.DDoS攻击的过程可以分为三个阶段：获取目标信息、占领傀儡计算机和攻击实施。6.傀儡网络概念：傀儡网络是指互联网上受到黑客集中控制的一群计算机所组成的网络，往往被黑客用来发动大规模的网络攻击，例如分布式拒绝攻击、发送海量的垃圾邮件等。7.拒绝服务攻击的发展趋势：（1）放追踪技术；（2）攻击过程日趋智能化；（3）攻击手段日趋多样化；（4）DoS攻击工具更易操作，功能将更完善，破坏性更大，这样使得怀有恶意的非黑客人员也能够使用以进行破坏。8.拒绝服务攻击的检测：（1）主机异常现象检测；（2）主机网络连接特征检测；(3)伪造数

24、据包的检测；（4）统计检测。第九章 恶意代码1.恶意代码概念：恶意代码泛指所有不怀好意的程序代码，是一种可造成目标系统信息泄露和资源滥用，破坏系统的完整性和可用性，违背目标系统安全策略的程序代码。2.恶意代码的传播趋势：首先，恶意代码的危害性越来越大，隐蔽性却越来越强，并且逐渐拥有了抗检测能力；其次，恶意代码的分类界限越来越模糊，很多恶意代码同时具有病毒、木马和蠕虫的特征。再次，恶意代码的传播和植入能力由被动向主动转变，由本地主机向网络发展；最后，在攻击目标方面，恶意代码已经由单机环境向网络环境转变，并出现了手机病毒。3.计算机病毒概念：计算机病毒是指编制或者在计算机程序中插入的，破坏数据，影

25、响计算机使用，并能自我复制的一组计算机指令或者程序代码。4.计算机病毒主要由潜伏机制，传染机制和表现机制构成。5.计算机病毒的特点：（1）传染性；（2）隐蔽性；（3）潜伏性；（4）多态性；（5）破坏性。6.计算机病毒的防范：（1）养成良好的安全习惯；（2）安装防火墙和专业的杀毒软件进行全面监控；（3）经常升级操作系统安全补丁；（4）迅速隔离受感染的计算机；（5）及时备份计算机中有价值的信息。7.特洛伊木马概念：特洛伊木马也成为木马，是指那些表面上是有用或必需的，而实际目的却是完成一些不为人知的功能，危害计算机安全并导致严重破坏计算机程序，具有隐蔽性和非授权性的特点。8.木马的隐藏技术包括启动隐

26、藏、进程隐藏、文件/目录隐藏、内核模块隐藏、原始分发隐藏和通信隐藏。9.木马植入手段：（1）下载植入木马；（2）通过电子邮件来传播；（3）木马程序隐藏在一些具有恶意目的的网站中；（4）利用系统的一些漏洞植入；（5）攻击者成功入侵目标系统后，把木马植入目标系统。10.木马的特点：（1）隐蔽性；（2）欺骗性；（3）顽固性；（4）危害性；(5)潜伏性。11.木马的防范技术：（1）利用工具查杀木马；（2）查看系统注册表；（3）检查网络通信状态；（4）查看目前的运行任务；（5）查看系统启动项；（6）使用内存检测工具检查；（7）用户安全意识策略；（8）纵深防御保护系统安全。12.计算机蠕虫概念：计算机蠕虫

27、是一种具有自我复制和传播能力、可独立自动运行的恶意程序。13.蠕虫的基本程序结构为传播模块、隐藏模块和目的功能模块。14.蠕虫的特点：（1）独立性；（2）利用漏洞主动攻击；（3）传播方式多样；（4）伪装和隐藏方式好；(5)采用技术更先进。15.病毒、木马和蠕虫的区别：病毒侧重于破坏操作系统和应用程序的功能，木马侧重于窃取敏感信息的能力；蠕虫则重于在网络中的自我传播能力。P174图第十五章 蜜罐主机和蜜罐网1.蜜罐概念：蜜罐是一种安全资源，它的价值就在于被扫描、攻击和攻陷，并对这些攻击活动进行监视、检测和分析。2.蜜罐的初衷及功能：蜜罐的初衷是为了吸引那些试非法入侵他人计算机系统的人，借此搜集证

28、据，同时隐藏真实的服务器地址，进而可以掌握黑客如何得逞，系统存在那些漏洞等有效信息。因此蜜罐具有：发现攻击、产生警告、记录攻击信息、欺骗、协助调查等功能。另外蜜罐还具有在必要的时候根据其收集的证据来起诉入侵者的功能。3.蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值高。将蜜罐和传统工具相结合，根据实际需求、灵活部署。合理配置，系统将得到更好的安全保障。4.蜜罐按价值体现分类：（1）欺骗型蜜罐；（2）威慑型蜜罐；（3）检测型蜜罐；（4）研究型蜜罐。5.蜜罐的优缺点：优点：（1）数据价值高；（2）节省资源；（3）简洁性；（4）投资回报； 缺点：（1）视野有限；（2）指纹识

29、别；（3）具有风险。6.运行蜜罐时存在的风险：（1）未发现黑客对蜜罐的接管；（2）对蜜罐失去控制；（3）对第三方的损害；第十六章 可信计算1.可信计算的基本思想是在计算机系统中首先建立一个信任根，在建立一条信任链，从信任跟开始到硬件平台，到操作系统，再到应用，一级测量认证一级，一级信任关系扩大到整个计算机系统从而确保计算机系统的可信。2.可信概念：如果一个实体的行为总是以所预期的方式达到预期的目标，该实体是可信的。3.可信计算的主要思路、目的及意义：可信计算的主要思路是在PC硬件平台上引入安全芯片加工，通过提供的安全特性来提高终端系统的安全性。其目的主要是通过提高增强现有的PC终端体系结构的安

30、全性，来保证整个计算机的网络安全。意义就是在计算机网络中，搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可，并且终端具有对恶意代码防御和免疫能力，如对病毒、木马等有免疫能力。4.TCB概念：TCB是“计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信的计算机系统所要求的附加用户服务。”5.可信计算平台基于可信平台模块，以密码技术为支持、安全操作系统为核心。6.可信机制主的体现：（1）可信的度量：任何将要获得控制权的实体，都需要先对该实体进行度量，主要是指完整性的计算。从平台加电开始，直到运行环境的建立，这个过程就一

31、直在进行;. （2）度量的存储：所有度量值将形成一个序列，并保存在TPM中，同时还包括度量过程日志的存储; （3）度量的报告：对平台是否可信的询问正是通过“报告”机制来完成的，任何需要知道平台状态的实体需要让TPM报告它这些度量值和相关日志信息，这个过程需要询问实体和平台之间进行双向的认证。如果平台的可信环境被破坏了，询问者有权拒绝与该平台的交互或向该平台提供服务。7.在一个可信平台中有三个可信根：度量可信根、存储可信根、报告可信根。第十七章 信息安全风险评估1.信息安全风险评估的基本思想：是在信息安全事件放生之前，通过有效的手段对组织面临的信息安全风险进行识别、分析，并在此基础上选取相应的安全措施，将组织面临的信息安全风险控制在可接受的范围内，以此达到保护信息系统安全的目的。2.网络信息安全评估目的：（1）确定信息资产的价值；（2）确定对这些信息资产的机密性、完整性、可用性和可审性的威胁；（3）确定该组织当前实际存在的漏洞；（4）识别与该组织信息资产有关的风险；（5）提出改变现状的建议，使风险减少到可接受的水平；（6）提供