网络安全考试提纲要点

1、1社会工程学手段应用的目的是什么?What is the purpose of the applicati on is a means of socialengin eeri ng?社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、 贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化，不仅能够利用系统的 弱点进行入侵，还能通过人性的弱点进行入侵，当黑客攻击与社会工程学攻击融 为一体时，将根本不存在所谓安全的系统。社会工程学方式主要采取非常规手段取得服务器的权限或网站的权限。比如收集管理员的各种信息，如管理员

2、喜欢进哪些网站，管理员喜欢用什么密码，在管 理员进的网站里面挂网页木马，破解管理员常进网站的数据库从而取得管理员密 码。黑客们常常利用社会工程学挖掘攻击目标的信息2可能被利用的隐私信息Private in formatio n that could be exploited包括身份证号，邮箱，亲人联系电话，社交好友联系表，本人及家人生日，邮箱账号，爱好及习惯等3安全模型p2dr，主动攻击被动攻击，安全服务，安全机制Security model p2dr, active attacks passive attacks, securityservices, security mecha ni sm

3、sP2DR莫型包括四个主要部分：Policy安全策略)、Protection(防护)、Detection(检 测)和 Response响应)。(1) 策略：根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。策略是模型的核心，所有的防护、检测和响应都 是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分。(2) 防护：通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。 采用的防护技术通常包

4、括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。（3）检测：是动态响应和加强防护的依据，通过不断地检测和监控网络系统， 来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。 当攻击者穿透防 护系统时，检测功能就发挥作用，与防护系统形成互补。（4）响应：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应 包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具 （如防火 墙、操作系统身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测 等）了解和评估系统的安全状态，

5、通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环， 在安全策略的指导下保证信息系统的安全。该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防 护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击 成功花费的时间就是安全体系提供的防护时间 Pt;在入侵发生的同时，检测系统 也在发挥作用，检测到入侵行为也要花费时间一检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间一响应时间RtoP2DR模型

6、就可以用一些典型的数学公式来表达安全的要求：公式 1: Pt > Dt + Rt oPt代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。 Rt代表从发现入侵行为 开始，系统能够做出足够的响应，将系统调整到正常状态的时间。那么，针对于 需要保护的安全目标，如果上述数学公式满足防护时间大于检测时间加上响应时 间，也就是在入侵者危害安全目标之前就能被检测到并及时处理。公式 2: Et = Dt + Rt 如果 Pt = 0。公式的前提是假设防护时间为0o

7、 Dt代表从入侵者破坏了安全目标系统开始，系 统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始，系统能够做 出足够的响应，将系统调整到正常状态的时间。比如，对 Web Serve被破坏的页 面进行恢复。那么，Dt与Rt的和就是该安全目标系统的暴露时间 Eto针对于需要 保护的安全目标，如果E越小系统就越安全。通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测和 响应就是安全”，“及时的检测和恢复就是安全”。而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时间Pt,降低检测时间 Dt和响应时间RtoP2DR模型也存在一个明显的弱点，就是忽略了内在的变

8、化因素如人员的流动、 人员的素质和策略贯彻的不稳定性. 实际上，安全问题牵涉面广，除了涉及到防 护、检测和响应，系统本身安全的"免疫力"的增强、系统和整个网络的优化，以 及人员这个在系统中最重要角色的素质的提升， 都是该安全系统没有考虑到的问 题.主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器 的端口 25找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使 接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一 些不利于你或你的公司系统的事情。 正因为如此，如果要寻找他们是很容易发现 的。主动攻击包括拒绝服务攻击、信息篡改

9、、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是进行访问， 数据的合法用户对这种活动一点 也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。1.1. 1安全服务安全服务是指开放某一层所提供的服务，用以保证系统或数据传输有足够的安全 性。一个安全的计算机网络应当能够提供以下的安全服务：1. 认证认证安全服务是防止主动攻击的重要措施。认证就是识别和证实，即识别一个实 体的身份和证实该实体身份的真实性。对于单机状态下的身份认证一般有用户口令、一次性密码和生理特征等方法。而 网络环境下的身份认证要采用高强度的密码技术，一般为对称密钥加密或公开密 钥加密的方法。2. 访问控制访问控制是确定不同

10、用户对信息资源的访问权限。3. 数据保密性数据保密性的安全服务是使系统只对授权的用户提供信息，对于未被授权的使用 者，这些信息是不可获得或不可理解的。4. 数据完整性数据完整性的服务是针对被非法篡改的信息、 文件和业务流设置的防范措施，以 保证资源的可获得性。5. 不可否认性不可否认性的安全服务是针对对方进行抵赖的防范措施，可用于证实发生过的操 作。1.1. 2安全机制安全机制分为实现安全服务和对安全系统的管理两种类型。ISO749& 2建议的安全机制有：1. 加密机制加密机制用于加密数据或流通中的信息， 其可以单独使用，也可以同其他机制结 合使用。具体到加密手段，一般有软件加密和硬件

11、加密。2. 数字签名机制数字签名机制是由对信息进行签字和对已签字的信息进行证实这样两个过程组 成。其必须保证签字只能由签字者的私有信息产生。3. 访问控制机制访问控制机制是根据实体的身份及其有关信息来决定该实体的访问权限。一般采用访冋控制信息库、认证信息（口令等）和安全标签等技术。4. 数据完整性机制在通信中，发送方根据要发送的信息产生一条额外的信息（如校验码），并将其加密后随信息本体一同发出；收方接收到信息本体以后，产生相应的额外信息， 并与接收到的额外信息进行比较，以判断在通信过程中信息本体是否被篡改过。5. 认证机制认证机制可通过认证信息（如口令、指纹等）实现同级之间的认证。6 通信业务

12、填充机制通过填充冗余的业务流来防止攻击者进行业务流分析，填充过的信息要进行加密 保护方可有效。7 路由控制机制预先设置好网络中的路由策略和策略路由，以便提供安全的子网和链路。8.公证机制公证机制是由第三方参与的签名机制。 是基于通信双方对第三方的绝对信任， 让 公证方备有适用的数字签名、加密或完整性机制等。公证方可以利用公证机制对 实体间的通信进行实时的或非实时的公证。4 GOOGLE Hacker，搜索引擎高级功能，人肉搜索GOOGLE Hacker, search engine adva need features, huma n fleshsearchGoogle hacker （Goo

13、gle黑客）是利用GOOGL提供的搜索功能查找黑客们想找到的 信息。一般是查找网站后台，网管的个人信息，也可以用来查找某人在网络上的 活动。人肉搜索引擎，是指利用人工参与来提纯搜索引擎提供信息的一种机制， 实际上 就是通过其他人来搜索自己搜不到的东西， 与知识搜索的概念差不多，只是更强 调搜索过程的互动而已。5使用Web whois查询网易的注册信息，相关的一些公开服务以及结构NetEase Web whois query using registrati on in formati on, somepublic services, and related structuresWHOISS是一

14、个用来查询已经被注册域名的详细信息的数据库，包括域名注册人（或单位）、域名注册商、域名注册时间、域名到期时间、域名注册人联系方式 等。6 了解从当前位置到目标服务器的路由路径，可以使用哪个程序，实现地图可视化，可以使用哪个软件Un dersta nding rout ing path from the curre nt locati on to thedesti nati on server, you can use which program to achieve mapvisualizatio n, which software can be used答:Tracert/ tracerou

15、te软件:VisualRoute NeoTrace Trout7主机发现的网络扫描可以利用的协议包括Protocol n etwork sca n can take adva ntage of a host, such asdiscovery, includingARP ICMP, TCP UDP8 nmap扫描器携带参数代表不同的扫描方法，要求能够解释nmap portable scanner parameters representingdifferentsca nning method can expla in the requireme nts扫描类型-sTTCP connect()扫

16、描：这是最基本的TCP扫描方式。connect()是一种系统调 用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect() 就会成功返回，否则这个端口是不可达的。这项技术最大的优点是，你勿需root 权限。任何UNIXffl户都可以自由使用这个系统调用。 这 种扫描很容易被检测到， 在目标主机的日志中会记录大批的连接请求以及错误信息。-sSTC祠步扫描(TCP SYN):因为不必全部打开一个TCP连接，所以这项技术通 常称为半开扫描(half-open)。你可以发出一个TCP同步包(SYN)，然后等待回 应。 如果对方返回SYN|ACK响应)包就表示目标端口正在监听；如果

17、返回 RS数据包， 就表示目标端口没有监听程序；如果收到一个SYN|AC包，源主机就会马上发出 一个RST复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核 自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。-sF -sF -sN秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式：即使SYN3 描都无法确定的情况下使用。一些防火墙和包过滤软件能够对发送到被限制端口 的SYh数据包进行监视，而 且有些程序比如synlogger和courtney能够检测那些扫描。这些高级的扫描方式可以逃过这些干扰。这些

18、扫描方式的理论依据是：关闭的端口需要 对你的探测包回应RST包，而打开的端口必需忽略有问题的包 （参 考RFC793第64页）。FIN扫描使用暴露的FIN数据包来探测，而圣诞树扫描打开数 据包的FIN、URG口PUS标志。不幸的是，微软决定完全忽略这个标准，另起炉灶。所以这种扫描方式对 Windows95/NT无效。不过，从另外的角度讲，可以使用 这种方式来分别两种不同的平台。如果使用这种扫描方式可以发现打开的端口，你就可以确定目标注意运行的不是 Windows系统。如果使用-sF、-sX或者-sN扫描 显示所有的端口都是关闭的，而使用SYN3描显示有打开的端口，你可以确定目 标主机可能运行的

19、是 Windwos系统。现在这种方式没有什么太大的用处，因为nmap 有内嵌的操作系统检测功能。还有其它几个系统使用和windows同样的处理方式，包括Cisco、BSDI、HP/UX MYS IRIX。在应该抛弃数据包时，以上这些系 统都会从打 开的端口发出复位数据包。-sPping扫描：有时你只是想知道此时网络上哪些主机正在运行。通过向你指定 的网络内的每个IP地 址发送ICMP echo请求数据包，nma就可以完成这项任务。 如果主机正在运行就会作出响应。不幸的是，一些站点例如：阻塞ICMPecho请求数据包。然而，在默认的情况下nma也能够向80端口发送TCPack 包，如果你收到一个

20、RST包，就表示主机正在运行。nma使用的第三种技术是： 发送一个SYF包,然后等待一个RST或者SYN/AC包。对于非root用户，nma使用 connect（）方法。在默认的情况下（root用户），nma并行使用ICM嗣AC!技术。注意，nma在任何情况下都会进行ping扫描，只有目标主机处于运行状态， 才会进行后续的扫描。如果你只是想知道目标主机是否运行，而不想进行其它扫描，才会用到这个选项。-sUUDP3描：如果你想知道在某台主机上提供哪些 UDP用户数据报协议,RFC768） 服务，可以使用这种扫描方法。nma首先向目标主机的每个端口发出一个0字节 的UD包，如果我们收到端口不可达的

21、ICMF消肖息，端口就是关闭的，否则我们就 假设它是打开的。有些人可能会想UDP3描是没有什么意思的。但是，我经常会想到最近出现 的solaris rpcbind 缺陷。rpcbind隐藏在一个未公开的UD端口上，这个端口号 大于32770。所以即使端口 111（portmap的众所周知端口号）被防火墙阻塞有关 系。但是你能发现大于30000的哪个端口上有程序正在监听吗？使用UDP3描就能！ cDc Back Orifice 的后门程序就隐藏在 Window主机的一个可配置的UD端口中。 不考虑一些通常的安全缺陷，一些服务例如：snmp、tftp、NFS使用UD协议。不 幸的是，UDP3描有时

22、非常缓慢，因为大多数主机限制ICMPS误信息的比例（在RFC181中的建议）。例如，在Linux内核中（在net/ipv4/icmp.h 文件中）限制每4 秒钟只能出现80条目标不可达的ICMP肖息，如果超过这个比例，就会给1/4秒钟 的处罚。solaris的限制更加严格，每秒钟只允许出现大约2条ICMPf可达消息， 这样，使扫描更加缓慢。nma会检测这个限制的比例，减缓发送速度，而不是发送大量的将被目标主机丢弃的无用数据包。不过Micro$oft忽略了 RFC1812勺这个建议，不对这个比例做任何的限制。所 以我们可以能够快速扫描运行Win95/NT的主机上的所有65!个端口。-sAACK描

23、：这项高级的扫描方法通常用来穿过防火墙的规则集。 通常情况下， 这有助于确定一个防火墙是功能比较完善的或者是一个简单的包过滤程序，只是阻塞进入的SYN包。这种扫描是向特定的端口发送AC包（使用随机的应答/序列号）。如果返回 一个RST包,这个端口就标记为unfiltered 状态。如果什么都没有返 回，或者返 回一个不可达ICMP消息，这个端口就归入filtered 类。注意，nmap通常不输出 un filtered 的端口，所以在输出中通常不显示所有被探测的端口。显然，这种扫描方式不能找出处于打开状态的端口。-sW对滑动窗口的扫描：这项高级扫描技术非常类似于ACK扫描，除了它有时可 以检测

24、到处于打开状态的端口，因为滑动窗口的大小是不规则的，有些操作系统 可以报告其大小。这些系统至少包括：某些版本的AIX、Amiga、BeOS BSD、Cray、Tru64 UNIX DG/UX Ope nV MS Digital UNIX Ope nBSD Ope nStep QNX Rhapsody、SunOSl.x、Ultrix、VAX VXWORKS从nmap-hackers 邮件 3列表的文 档中可以得到完整的列表。-sRRPCm描。这种方法和nma的其它不同的端口扫描方法结合使用。选择所有处于打开状态的端口向它们发出SunRP程序的NUL命令，以确定它们是 否是RPC 端口，如果是，就

25、确定是哪种软件及其版本号。因此你能够获得防火墙的一些信 息。诱饵扫描现在还不能和RP（扫描结合使用。-bFTP反弹攻击（bounee attack）:FTP 协议（RFC 959）有一个很有意思的特征， 它支持代理FTF连接。也就是说，我能够从连接到FTP服务器 ， 并且可以要求这台FTP服务器为自己发送In ternet上任何地方的文件！ 1985年, RFC95完成时，这个特征就能很好地工作了。然而，在今天的In ternet中，我们不能让人们劫持FTRI艮务器，让它向In ternet上的任意节点发送数据。如同 Hobbit在1995年写的文章中所说的，这个协议"能够用来 做投

26、递虚拟的不可达邮 件和新闻，进入各种站点的服务器，填满硬盘，跳过防火墙，以及其它的骚扰活 动，而且很难进行追踪"。我们可以使用这个特征，在一台代理FTP服务器扫描TCP端口。因此，你需要连接到防火墙后面的一台FTP服务器，接着进行端口扫描。 如果在这台FTP服务器中有可读写的目录，你还可以向目标端口任意发送数据（不过nma不能为你做这些）。传递给-b功能选项的参数是你要作为代理的FTP服务器。语法格式为：-b user name:passwordserver:port 。除了 server以外，其余都是可选的。-P0在扫描之前，不必ping主机。有些网络的防火墙不允许 ICMP ec

27、ho请求穿过，使用这个选项可以对这些网络进行扫描。就是一个例子，因此在扫描这个站点时，你应该一直使用-P0或者-PT 80选项。-PT扫描之前，使用TCP pin确定哪些主机正在运行。nmap不是通过发送ICMP echo请求包然后等待响应来 实现这种功能，而是向目标网络 （或者单一主机）发出TCPACK包然后等待回应。如果主机正在运行就会返回 RST包。只有在目标网络/主机阻塞了 ping包，而仍旧允许你对其进行扫描时，这个选项才有效。对于非 root 用户，我们使用connect（）系统调用来实现这项功能。使用 -PT来设定目标端口。默认的端口号是 80，因为这个端口通常不会被过滤。-PS

28、对于root用户，这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。如果主机正在运行就返 回一个RST包(或者一个SYN/ACK包)。-PI设置这个选项，让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。使用这个选项让 nmap发现正在运行的主机的同时，nmap也会对你的直接子网广播地址进行观察。直接子网广播地址一些外部可达的IP地址，把外部的包转换为一个内向的IP广播包，向一个计算机子网发送。这些IP广播包应该删除，因为会造成拒绝服务攻击 侧如smurf)。-PB这是默认的ping扫描选项。它使用ACK(-PT和ICMP(-PI)两种扫描类型并

29、行扫描。如果防火墙能够过滤其中一种包，使用这种方法，你就能够穿过防火墙。-O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描，获得远程主机的标志。换句话说，nmap使用一些技术检测目标主机操作系统网络协议栈的特征。nmap使用这些信息建立远程主机的指纹特征，把它和已知的操作系统指纹特征数据库做比较，就可以知道目标主机操作系统的类型。-I这个选项打开nmap的反向标志扫描功能。Dave Goldsmith 1996年向bugtap发出的邮件注意到这个协议， ident协议(rfc 1413)允许使用TCP连接给出任何进程拥有者的用户名，即使这个进程并没有初始化连接。例如，

30、你可以连接到HTTP端口，接着使用identd确定这个服务器是否由root用户运行。这种扫描只能在同目标端口 建立完全的TCP连接时(例如：-sT扫描选项)才能成功。使用-I选项是，远程主机的identd精灵进程就会查询在 每个打开的端口上监听的进程的拥有者。显然，如果远程主机没有运行identd程序，这种扫描方法无效。-f这个选项使nmap使用碎片IP数据包发送SYN FIN、XMAS NULL。使用碎片数据包增加包过滤、入侵检 测系统的难度，使其无法知道你的企图。不过，要慎重使用这个选项！有些程序在处理这些碎片包时会有 麻烦，我最喜欢的嗅探器在接受到碎片包的头36个字节时，就会发生segm

31、entation faulted。因此，在nmap中使用了 24个字节的碎片数据包。虽然包过滤器和防火墙不能防这种方法，但是有很多网络出于性能上的 考虑，禁止数据包的分片。-v冗余模式。强烈推荐使用这个选项，它会给岀扫描过程中的详细信息。使用这个选项，你可以得到事半 功倍的效果。使用-d选项可以得到更加详细的信息。-h快速参考选项。-oN把扫描结果重定向到一个可读的文件logfilename中。-oM把扫描结果重定向到logfilename文件中，这个文件使用主机可以解析的语法。你可以使用-oM -来代替logfilename，这样输岀就被重定向到标准输岀stdout。在这种情况下，正常的输岀

32、将被覆盖，错误信息荏苒可以输岀到标准错误stderr。要注意，如果同时使用了 -v选项，在屏幕上会打印岀其它的信息。-resume某个网络扫描可能由于control-C或者网络损失等原因被中断，使用这个选项可以使扫描接着以前的扫 描进行。logfilename是被取消扫描的日志文件，它必须是可读形式或者机器可以解析的形式。而且接着进 行的扫描不能增加新的选项，只能使用与被中断的扫描相同的选项。nmap会接着日志文件中的最后一次成功扫描进行新的扫描。-iL从inputfilename文件中读取扫描的目标。在这个文件中要有一个主机或者网络的列表，由空格键、制 表键或者回车键作为分割符。如果使用-i

33、L -，nmap就会从标准输入stdin读取主机名字。你可以从指定目标一节得到更加详细的信息。-iR让nmap自己随机挑选主机进行扫描。-P这个选项让你选择要进行扫描的端口号的范围。例如，-p 23表示：只扫描目标主机的23号端口。-p20-30,139,60000-表示：扫描 20到30号端口-F快速扫描模式，只扫描在 nmap-services文件中列出的端口。显然比扫描所有65535个端口要快。-D使用诱饵扫描方法对目标网络 /主机进行扫描。如果nmap使用这种方法对目标网络进行扫描，那么从 目标主机/网络的角度来看，扫描就象从其它主机(decoy1,等)发出的。从而，即使目标主机的ID

34、S入侵检测系统)对端口扫描发岀报警，它们也不可能知道哪个是真正发起扫描的地址，哪个是无辜的。这种扫描方法 可以有效地对付例如路由跟踪、response-dropping等积极的防御机制，能够很好地隐藏你的IP地址。在一些情况下，nmap可能无法确定你的源地址(nmap会告诉你)。在这种情况下，可以使用这个选项给出你的IP地址。在欺骗扫描时，也使用这个选项。使用这个选项可以让目标认为是其它的主机对自己进行扫描。-e告诉nmap使用哪个接口发送和接受数据包。nmap能够自动对此接口进行检测，如果无效就会告诉你。-g设置扫描的源端口。一些天真的防火墙和包过滤器的规则集允许源端口为DNS(53)或者F

35、TP-DATA(20的包通过和实现连接。显然，如果攻击者把源端口修改为20或者53,就可以摧毁防火墙的防护。在使用 UDP扫描时，先使用53号端口；使用TCP3描时，先使用20号端口。注意只有在能够使用这个端口进行扫描时， nmap才会使用这个端口。例如，如果你无法进行TCP扫描，nmap会自动改变源端口，即使你使用了-g选项。-r告诉nmap不要打乱被扫描端口的顺序。-randomize hosts使nmap在扫描之前，打乱每组扫描中的主机顺序，nmap每组可以扫描最多2048台主机。这样，可以使扫描更不容易被网络监视器发现，尤其和-scan delay选项组合使用，更能有效避免被发现。-M

36、设置进行TCP connect()扫描时，最多使用多少个套接字进行并行的扫描。使用这个选项可以降低扫描速度，避免远程目标宕机。9操作系统类型探测的基本原理，多种方法实现The basic principle of detecting the type of operating system, a variety of methods to achieve按照获取信息的方式来分，操作系统识别方法可分为主动式和被动式两种。主动式是指客户机主动向远程主机发送信息，远程主机一般要对这些信息作出反应，回复一些信息，发送者再对这些返回的信息进行分析， 就有可能得知远程主 机的操作系统类型。主动式识别方法还

37、可分为标识攫取和 TCP / IP栈探询两种方式。被动式是指通过Sniffer等网络嗅探工具收集流经网络的数据报文，再从这些数 据报文中得到主机操作系统信息，它的分析方法和主动式基本上是一样的。10操作系统主动探测技术，被动探测技术Operati ngsystem activedetecti ontech no logy, passivedetecti on tech no logy操作系统探测目的：得到OS言息，以及提供服务的计算机程序的信息1二进制信息探测最简单方式，OS自动返回2. HTTP向应分析送HTTP连接后，分析响应包获得3. 栈指纹分析不同OS和系统架构的多样性，使得协议栈具体

38、实现不同，对错误包响应，默认 值等都能提供OS依据1）主动栈指纹探测主动向主机发起连接，分析收到响应来确定 OS类型。方法：FIN探测，Bogus标志探测，统计ICMP ERRO报文，ICMP ERRO报文引用。2）被动栈指纹探测在网络监听中，分析系统流量，用默认值来猜测OS类型，包括TCP初始窗口尺寸,Do not Frafme nt位，TCP ISN（初始序列号）采样。11漏洞扫描，模拟攻击和漏洞库，分别针对未知和已知漏洞Vul nerability sca nning, simulated attacks and vuln erabilitydatabase, respectively,

39、 for the unknown and the knownvuln erabilities漏洞扫描技术的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑 客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。 若模拟攻击成功，则表明目标主机系统存在安全漏洞。基于网络系统漏洞库，漏洞扫描大体包括CG漏洞扫描、POP漏洞扫描、FTPS洞 扫描、SSHS洞扫描、HTTS洞扫描等。这些漏洞扫描是基于漏洞库，将扫描结 果

40、与漏洞库相关数据匹配比较得到漏洞信息；漏洞扫描还包括没有相应漏洞库的 各种扫描，比如Uni code遍历目录漏洞探测、FTP弱势密码探测、OPENRela那件 转发漏洞探测等，这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试 出目标主机的漏洞信息。12发现目标主机的方法有哪些？如arp应答，icmp应答，其它各种有 回应的探测包Find the target host methods are there? If arp resp on se, icmpresp on se, a variety of other probes have resp on ded发送 ICMP ECHO/TI

41、MESTAMP/NETMASK文、发送 TCPSYN/AC包、发送 SCTP INIT/COOKIE-ECHO, a TCP ACK packet to port 8013确定目标主机服务的方法有哪些Objective method to determ ine which hosti ng service服务发现扫描原理两种：1探测分析2服务发现协议扫描器：npnp snmp ssdp14 arp攻击与防范的各种情况，arp攻击的本质原因是什么arp attack and preve nt a variety of situati ons, and what isthe n ature of

42、the reas ons for the attack arpARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以 保证通信的进行。ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。无法对外网（互联网、非本区域内的局域网）进行攻击。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的 ARP1信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP向应包就能更改 目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马， 则感染该ARP木马的系统将会

43、试图通过“ ARP欺骗”手段截获所在网络内其它计 算机的通信信息，并因此造成网内其它计算机的通信故障。某机器A要向主机B发送报文，会查询本地的 ARPS存表，找到B的IP地址对应的 MAC地址后，就会进行数据传输。如果未找到，则 A广播一个ARP青求报文（携 带主机A的IP地址Ia物理地址Pa），请求IP地址为lb的主机B回答物理地址Pb。 网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A 主机发回一个ARP向应报文。其中就包含有B的MAC地址，A接收到B的应答后， 就会更新本地的ARPS存。接着使用这个MAC地址发送数据（由网卡附加MAC地 址）。因此，本地高速缓

44、存的这个 ARP表是本地网络流通的基础，而且这个缓存 是动态的。15交换式以太网如何实施arp攻击？Switched Ether net how to impleme nt arp attack?交换式以太网是通过交换机将网内主机相连. 交换机将对每个端口收到数据帧进 行源和目的MAC地址检测.然后与内部动态的MAC端口映射表进行比较，若数据 帧的源MAC地址不在映射表中，则将该MAC地址和对应接收端口加入映射表中， 同时根据映射表中与目的MAC地址对应的端口号.交换机把数据帧仅从该端口发 送出去。因此交换机的每个端口可平行、安全、同时地互相传输信息，其它端口 的主机即使将网卡设置为混杂模式，

45、也只能监听到连结在同一端口上主机问的数 据传输。针对交换式以太网的特点，要使本不应到达本地的数据帧到达本地，实 现对网络中通信的监听和进一步的 DNS欺骗攻击，目前有两种方法：MAC洪泛和 ARF欺 骗。MAC洪泛是指向交换机发送大量含有虚假 MAC地址和IP地址的数据帧，溢出交换 机中存储MAC端口映射表的有限空间，致使交换机就进入了所谓的“打开失效模 式（Failopen Mode）即进入和集线器相同的广播转发模式；ARF欺骗则是通过欺骗被攻击技|者将攻击者的MAC地址作为网关MAC地址或使 被I攻击者认为网关的MAC地址是广播地址FF- FF-FF- FF-FF- FF。MAC洪泛容 易

46、造成网络不稳定且攻击者需要处理接收到的网内大量数据包，所以ARP欺骗技术较为常用。因此，本文将介绍以ARP欺骗突破交换一式以太网对数据监听 的限制，成为“中间人”截获 DNSS文，进而伪造DNSS文进行DNS欺骗的技 术。16 icmp路由重定向攻击icmp route redirecti on attacksICMP重定向报文是ICMF控制报文中的一种。在特定的情况下，当路由器检测到 一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发，ICMP虽然不是路由协议，但是有时它也可以指导数据包的流向（使数据流向正确的网关）

47、o ICMP 协议通过ICMP重定向数据包（类型5、代码0网络重定向）达到这个目的。°2 ICMP重定向攻击ICMP重定向报文是当主机采用非最优路由发送数据报 时，路由器会发回ICMP重定向报文来通知主机最优路由的存 在。并且重定向报文必须由路由器生成，当主机作为路由 器使用时，必须将其内核配置成可以发送重定向报文。ICMP重定向攻击也可以达到类似ARP欺骗的攻击效 果。假设主机A（IP地址为）经默认路由器（IP地址 为）与另一个网络中的主机D（IP地址为172.1622） 通信，与主机A同属一个网络的攻击者（IP她址为）,

48、 通过修改内核设置，充当与主机A直接相连的路由器。攻击 者要想监听主机A的通信内容，可以构造如图1所示的 ICMP重定向报文，指示主机A将数据包转发到攻击者的机 器上，攻击者对所有的数据进行过滤后再转发给默认路由器, 这就是“中间人”攻击。同样，ICMP重定向攻击也可以达 到拒绝服务（DoS）攻击的目的。VER HLENService TypePACKET LENIdentificationFlagFragmentation offsetTime to liveProtocol (ICMP)Header ChecksumSource IP address (1 72.16Destination

49、 IP address (172.162 )OptionType Code(l)ChecksumIP address of the target router (172.164)VER HLENService TypePACKET.LENIdentificationFlagFragmentation offsetTime to liveProtocol (IP)Header ChecksumSource TP address (1726.2 )Destination IP address ( )Option8 bytes of data图1 ICMP重定向报文2, CC攻击

50、，也是流量攻击的一种，CC就是模拟多个用户（多少线程就是多少用户）不停17 icmp udp floo（攻击icmp udp flood attackICMP®( In ternet Co ntrol Message Protocol) In ternet 控制报文协议。它是 TCP/IP 协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指 网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽 然并不传输用户数据，但是对于用户数据的传递起着重要的作用这是一种DDOS攻击，通过对其目标发送超过65535字节的数据包，就可以令目标 主机瘫痪，如果大

51、量发送就成了洪水攻击UDPFIooc是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量 UDP小包冲击DNSI艮务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFIooc经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于 UDP协议是一种无连接的服务，在UDPFLOO攻击中，攻击者可发送大量伪造源IP 地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个 UDP的 端口提供相关服务的话，那么就可针对相关的服务进行攻击。18 dns欺骗攻击dns spoofi ng attacksDNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

52、原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只 能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉” 了对方的网站，而是冒名顶替、招 摇撞骗罢了。佃http攻击-网页木马钓鱼http attacks - phish ing Troja n网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常 的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自 动将配置好的木马的服务端下载到访问者的电脑上来自动执行。http攻击:流量攻击，就是我们常说的 DDOS和DO

53、S等攻击，这种攻击属于最常见的流量攻击中的带宽攻击，-般是使用大量数据包淹没一个或多个路由器、服务器和防火墙，使你的网站处于瘫痪状态无法正常打开。但是这种攻击成本都会很咼地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中 止。而CC攻击基本上都是针对端口的攻击，以上这两种攻击基本上都属于硬性流量的攻击 网页木马: 网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件 中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服 务端下载

54、到访问者的电脑上来自动执行。钓鱼：网络钓鱼（Phishing?，与钓鱼的英语fishing?发音相近，又名钓鱼法或钓鱼式攻击）是通过 大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网 站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是"社会工程攻击”的一种形式。20 ip源地址欺骗攻击ip source address spoofi ng attacksiP自

55、身的缺点。IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是 本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络 内，该IP包就会被发送到网关，再由网关决定将其发送到何处。这是IP路由IP包的方法。P路由IP包时对IP头中提供的IP源地址不做任何检查，并且认为IP头中的IP源地址 即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通讯 时，它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来与源主 机进行数据通讯。IP的这种数据通讯方式虽然非常简单和高效，但它同时也是IP的一个安全隐患，很多网络安全事故都是因为IP这个的缺点

56、而引发的。黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的 分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还 是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。21 syn floods击及防范syn flood attack and Preve nti on各种欺骗攻击、洪泛攻击的基本原理，造成影响，防范方法等，分布式拒绝服务攻击DDossyn攻击该攻击以多个随机的源主机地址向目的主机发送 SYN包,而在收到目的主机的SYN AC后并 不回应，这样，目的主机就为

57、这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。DDos攻 击一个攻击者可以利用您的电脑攻击另一台电脑。 通过利用安全漏洞或弱点， 攻击者可以控 制您的电脑。他或她可以迫使您的电脑向一个网站发送大量的数据，或者是向某个电子邮件地址发送垃圾广告。 这种攻击就是”分布式的”， 因为攻击者在利用多台计算机， 也包括 您的计算机，来发动拒绝服务攻击。smurf攻击该攻击向一个子网的广播地址发一个带有特定请求 （如ICMP回应请求）的包，并且将源地址 伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。SYN Floo是当前最流行