网络安全课程复习大纲

1、课程安排考核方式：笔试名词4*5命令与工具5*5简答8*5讨论综合15*12022-5-27网络入侵与防范讲义1command 主机扫描如何做 端口扫描如何做 TCP connect、TCP SYN 常用网络命令+参数 nmap st Netstat Ping Net /use /group 等 At MstscTasklist Nslookup TracertIpconfigLstelnetftpcommandXscan、流光SnifferSuperscanVMwareSAMInsideNmap冰河、灰鸽子WinPEWincapcuteFtpIISRegeditServices.mscMst

2、scGpedit.mscLILO核心内容 所有的概念 常见的步骤 基本的原理2022-5-27网络入侵与防范讲义4课程内容网络安全概述扫描与防御技术网络监听及防御口令破解及防御欺骗攻击及防御拒绝服务攻击及防御2022-5-27网络入侵与防范讲义5u 缓冲区溢出攻击及缓冲区溢出攻击及防御防御u WEB攻击及防御攻击及防御u 木马攻击及防御木马攻击及防御u 计算机病毒计算机病毒u 典型防御技术典型防御技术 网络安全概述 网络安全基础知识 网络安全的重要性 网络安全的根源 网络攻击过程 网络安全策略及其原则 常用的防护措施2022-5-27网络入侵与防范讲义62022-5-27网络入侵与防范讲义7网

3、络安全的基本需求 可靠性 可用性 保密性 完整性 不可抵赖性 可控性 可审查性 真实性2022-5-27网络入侵与防范讲义7机密性完整性抗抵赖性可用性2022-5-27网络入侵与防范讲义8安全漏洞简介p漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。p漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。2022-5-27网络入侵与防范讲义82022-5-27网络入侵与防范讲义9网络安全主要威胁来源2022-5-27网络入侵与防范讲义9网络网络内部

4、、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、篡信息丢失、篡改、销毁改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2022-5-27网络入侵与防范讲义10网络攻击过程入侵一般可以分为本地入侵和远程入侵在这里我们主要讲的是远程的网络入侵： 网络攻击准备阶段网络攻击的实施阶段网络攻击的善后阶段2022-5-27网络入侵与防范讲义10常见的问题常见的攻击方式常见的防范措施安全策略网络安全体系层次攻击的步骤2022-5-27网络入侵与防范讲义11扫描与防御技术扫描技术基础常见的扫描技术扫描工具赏析扫描的防御2022-5-

5、27网络入侵与防范讲义122022-5-27网络入侵与防范讲义13什么是网络扫描器网络扫描器可以通过执行一些脚本文件来模拟对网络系统进行攻击的行为并记录系统的反应，从而搜索目标网络内的服务器、路由器、交换机和防火墙等设备的类型与版本，以及在这些远程设备上运行的脆弱服务，并报告可能存在的脆弱性。2022-5-27网络入侵与防范讲义132022-5-27网络入侵与防范讲义14扫描三步曲一个完整的网络安全扫描分为三个阶段：第一阶段：发现目标主机或网络第二阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备

6、以及各主机的信息第三阶段：根据收集到的信息判断或者进一步测试系统是否存在安全漏洞2022-5-27网络入侵与防范讲义142022-5-27网络入侵与防范讲义15常见的扫描技术主机扫描端口扫描全扫描半扫描秘密扫描远程主机OS指纹识别漏洞扫描2022-5-27网络入侵与防范讲义152022-5-27网络入侵与防范讲义16常用扫描工具比较2022-5-27网络入侵与防范讲义16主机扫描主机扫描端口扫描端口扫描OS识别识别漏洞扫描漏洞扫描NmapNessusX-scan扫描工具扫描工具扫描技术扫描技术网络嗅探及防御网络嗅探概述嗅探技术 嗅探的防御2022-5-27网络入侵与防范讲义17基础知识网络嗅探

7、的概念网络监听技术又叫做网络嗅探技术，顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。 网络监听技术的能力范围目前只限于局域网，它是主机的一种工作模式，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。 2022-5-27网络入侵与防范讲义18基础知识 网卡的四种工作模式（1）广播模式：该模式下的网卡能够接收网络中的广播信息。（2）组播模式：该模式下的网卡能够接受组播数据。（3）直接模式：在这种模式下，只有匹配目的MAC地址的网卡才能接收该数据帧。（4）

8、混杂模式：（Promiscuous Mode）在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。 2022-5-27网络入侵与防范讲义19网络监听防御的通用策略 由于嗅探器是一种被动攻击技术，因此非常难以被发现。 完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。 这主要包括采用安全的网络拓扑结构和数据加密技术两方面。 2022-5-27网络入侵与防范讲义20口令破解及防御口令的历史与现状 口令攻击方式 典型的口令破解工具口令攻击的综合应用口令攻击的防御2022-5-27网络入侵与防范讲义212022-5-27网络入侵

9、与防范讲义22词典攻击因为大多数人都会使用普通词典中的单词作为口令，发起词典攻击通常是一个比较好的开端。词典攻击使用的是一个包含大多数词典单词的文件，利用这些单词来猜测口令。2022-5-27网络入侵与防范讲义222022-5-27网络入侵与防范讲义23强行攻击如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种攻击方式叫做强行攻击（也叫做暴力破解）。使用强行攻击，先从字母a开始，尝试aa、ab、ac等等，然后尝试aaa、aab、aac 。 2022-5-27网络入侵与防范讲义232022-5-27网络入侵与防范讲义24组合攻击词典攻击虽然速度快，但是只能

10、发现词典单词口令；强行攻击能发现所有口令，但是破解的时间长。而且在很多情况下，管理员会要求用户的口令是字母和数字的组合，而这个时候，许多的用户就仅仅会在他们的口令后面添加几个数字，例如，把口令从ericgolf改成ericgolf2324。而实际上这样的口令是很弱的，有一种攻击是在使用词典单词的基础上为单词的串接几个字母和数字，这种攻击就叫做组合攻击。2022-5-27网络入侵与防范讲义24欺骗攻击及防御概述 IP欺骗及防御技术ARP欺骗及防御技术 电子邮件欺骗及防御技术DNS欺骗及防御技术Web欺骗及防御技术2022-5-27网络入侵与防范讲义252022-5-27网络入侵与防范讲义26IP

11、欺骗 最基本的IP欺骗技术有三种：基本地址变化使用源站选路截取数据包利用Unix机器上的信任关系 这三种IP欺骗技术都是早期使用的，原理比较简单，因此效果也十分有限。 IP欺骗高级应用TCP会话劫持。2022-5-27网络入侵与防范讲义262022-5-27网络入侵与防范讲义27ARP欺骗原理ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。原理：主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包

12、里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。2022-5-27网络入侵与防范讲义272022-5-27网络入侵与防范讲义28ARP欺骗攻击的防范MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用ARP欺骗防护软件，如ARP防火墙。发现正在进行ARP欺骗的主机并将其隔离。2022-5-27网络入侵与防范讲义282022-5-27网络入侵与防范讲义29电子邮件欺骗原理及

13、实现方法 执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽。它们分别是： 利用相似的电子邮件地址 修改邮件客户软件设置 远程登录到25号端口2022-5-27网络入侵与防范讲义292022-5-27网络入侵与防范讲义30DNS欺骗的原理及实现步骤当客户主机向本地DNS服务器查询域名的时候，如果服务器的缓存中已经有相应记录，DNS服务器就不会再向其他服务器进行查询，而是直接将这条记录返回给用户。而入侵者欲实现DNS欺骗，关键的一个条件就是在DNS服务器的本地Cache中缓存一条伪造的解析记录。2022-5-27网络入侵与防范讲义302022-5-27网络入侵与防范讲义31

14、Web欺骗Web欺骗是一种电子信息欺骗，攻击者创造了一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制。虚假的Web看起来十分逼真，它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点，这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。实例：网络钓鱼2022-5-27网络入侵与防范讲义31拒绝服务攻击及防御拒绝服务攻击概述典型拒绝服务攻击技术 分布式拒绝服务攻击 拒绝服务攻击的防御分布式拒绝服务攻击的防御2022-5-27网络入侵与防范讲义32拒绝服务攻击的概念“拒绝服务”这个词来源于英文Denial of Service（简称DoS），它是一种简单的破坏性攻击

15、，通常攻击者利用TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起大规模的进攻，致使攻击目标无法对合法的用户提供正常的服务。简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。 2022-5-27网络入侵与防范讲义33典型拒绝服务攻击技术死亡之Ping（Ping of Death）“泪滴”（teardrop）IP欺骗DoS攻击 UDP“洪水”SYN“洪水”Land攻击2022-5-27网络入侵与防范讲义34典型拒绝服务攻击技术(Cont.)Smurf攻击Fraggle攻击 分布式反射拒绝服务攻击电子邮件炸弹畸形消息攻击 Slashdot effect Wi

16、nNuke攻击2022-5-27网络入侵与防范讲义35分布式拒绝服务攻击分布式拒绝服务DDoS (Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 2022-5-27网络入侵与防范讲义36分布式拒绝服务攻击(Cont.) DDoS攻击示例：2022-5-27网络入侵与防范讲义37缓冲区溢出攻击及防御缓冲区溢出概述 缓冲区溢出危害 缓冲区溢出分析 常见的溢出形式实例：ida溢出漏洞攻击

17、缓冲区溢出的防御2022-5-27网络入侵与防范讲义382022-5-27网络入侵与防范讲义39缓冲区溢出概述什么是缓冲区？它是指程序运行期间，在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型。所谓溢出，其实就是所填充的数据超出了原有的缓冲区边界，并非法占据了另一段内存区域。两者结合进来，所谓缓冲区溢出，就是由于填充数据越界而导致原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获取控制权。2022-5-27网络入侵与防范技术392022-5-27网络入侵与防范讲义40堆堆(Heap)，用于存储程序运行过程中动态分配的数据块。堆的大小并不固定，可动态扩

18、张或缩减。当进程调用malloc等函数分配内存时，新分配的内存就被动态添加到堆上（堆被扩张）；当利用free等函数释放内存时，被释放的内存从堆中被剔除（堆被缩减）。随着系统动态分配给进程的内存数量的增加，Heap(堆) 一般来说是向内存的高地址方向增长的。2022-5-27网络入侵与防范技术402022-5-27网络入侵与防范讲义41栈(Cont.)函数被调用的时候，栈中的压入情况如下：2022-5-27网络入侵与防范技术41最先压入栈最先压入栈最后压入栈最后压入栈2022-5-27网络入侵与防范讲义42缓冲区溢出的原理如果在堆栈中压入的数据超过预先给堆栈分配的容量时，就会出现堆栈溢出，从而使

19、得程序运行失败；如果发生栈溢出的是大型程序还有可能会导致系统崩溃。 2022-5-27网络入侵与防范技术422022-5-27网络入侵与防范讲义43将控制程序转移到攻击代码的形式转移方式分为以下几种：function Pointers（函数指针）activation Records（激活记录）Longjmp buffers（长跳转缓冲区） 2022-5-27网络入侵与防范技术43WEB攻击及防御 Web安全概述 Web服务器指纹识别 Web盗窃 网页验证码攻击 SQL注入 跨站脚本攻击 防御Web攻击2022-5-27网络入侵与防范讲义442022-5-27网络入侵与防范讲义45Web服务器指

20、纹识别Http指纹识别的原理：记录不同服务器对Http协议执行中的微小差别进行识别。Http指纹识别比TCP/IP堆栈指纹识别复杂许多，理由是定制Http服务器的配置文件、增加插件或组件使得更改Http的响应信息变的很容易，这样使得识别变的困难；然而定制TCP/IP堆栈的行为需要对核心层进行修改，所以就容易识别。2022-5-27网络入侵与防范讲义452022-5-27网络入侵与防范讲义46Web盗窃 HTTP指纹识别是为了判断服务器的版本，从而找到服务器的漏洞。 而Web盗窃的目的是通过对各个网页页面源码的详细分析，找出可能存在于代码、注释或者设计中的关键缺陷和脆弱点，以此来确定攻击的突破点

21、。 盗窃web服务器的两种方法：逐页手工扫描和自动扫描。2022-5-27网络入侵与防范讲义462022-5-27网络入侵与防范讲义47网页验证码验证码技术属于人机区分问题，这在英文中称为CAPTCHA，它是是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。验证码技术的主要思想是必须通过人为参与完成信息提交过程，并且对验证码字体和背景做了相关处理。2022-5-27网络入侵与防范讲义472022-5-27网络入侵与防范讲义48基于验证码的表单提交流程

22、为了防止攻击者利用程序自动注册、登录、发帖，验证码技术日益得到广泛的应用。基于验证码的表单提交流程如图所示。2022-5-27网络入侵与防范讲义482022-5-27网络入侵与防范讲义49SQL注入原理程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 受影响的系统：对输入的参数不进行检查和过滤的系统。2022-5-27网络入侵与防范讲义492022-5-27网络入侵与防范讲义50什么是X

23、SS攻击XSS是跨站脚本攻击(Cross Site Script) 。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该网页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。本来跨站脚本攻击(Cross Site Scripting)应该缩写为CSS，但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此人们将跨站脚本攻击缩写为XSS。2022-5-27网络入侵与防范讲义50木马攻击及防御 概述 木马的实现原理与攻击技术 木马实例 木马的防御技术 木马的发展趋势2022-5-27网络入侵与防范讲义512022-5-2

24、7网络入侵与防范讲义52特洛伊木马分类 从木马技术的功能角度可分为：(1).破坏型(2).密码发送型(3).远程访问型(4).键盘记录木马(5).DoS攻击木马(6).代理木马(7).FTP木马(8).程序杀手木马(9).反弹端口型木马2022-5-27网络入侵与防范讲义522022-5-27网络入侵与防范讲义53木马的实现原理与攻击技术木马实现原理植入技术自动加载技术隐藏技术连接技术监控技术2022-5-27网络入侵与防范讲义53计算机病毒计算机病毒概述病毒的工作原理与分类 典型的计算机病毒 预防与清除计算机病毒常用防病毒软件介绍 病毒技术的新动向2022-5-27网络入侵与防范讲义54计算

25、机病毒程序的模块划分 病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。 病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成。 与之相对应的机制是：传播机制、触发机制和破坏机制。 有的病毒不具备所有的模块，如“巴基斯坦智囊病毒”没有破坏模块。 2022-5-27网络入侵与防范讲义55计算机病毒的传播机制 病毒传播途径病毒感染目标和过程感染长度和感染次数交叉感染寄生感染插入感染和逆插入感染没有入口点的感染OBJ、LIB和源码的感染零长度感染2022-5-27网络入侵与防范讲义56计算机病毒常用技术 病毒的隐藏技术 花指令 计算机病毒的简单加密 病毒的多态 病毒代码的优化 远程线程技术 进程/线程之间的互相保护2022-5-27网络入侵与防范讲义57蠕虫的工作流程蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图所示。 2022-5-27网络入侵与防范讲义58典型防御技术 身份认证 防火墙 入侵检测系统 vpn 蜜罐与取证一次性口令认证 “一次性口令”是只能使用一次的口令，在这之后，这个口令马上失效。 使用一次性口令的思想是，动态产生无法预测的口令，而这个口令也只能用来访问系统一次。第二次使用这个口令时，会返回一个错误。2022-5-27网络入