2022年《网络安全攻防技术》讲义知识点归纳汇总

1、第 1 讲: 网络安全概述 1、 运算机网络 : 我们讲的运算机网络 , 其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个运算机系统互连起来 , 以功能完善的网络软件 即网络通信协议、信息交换方式及网络操作系统等 实现网络中资源共享和信息传递的系统；它的功能最主要的表现在两个方面 : 一是实现资源共享 包括硬件资源和软件资源的共享 ; 二是在用户之间 交换信息；运算机网络的作用是 : 不仅使分散在网络各处的运算机能共享网上的全部资源 , 并且为用户供应强有力的通信手段和尽可能完善的服务 , 从而极大的便利用户；从网管的角度来讲 , 说白了就是运用技术手段实现网络间的信息传 递 , 同

2、时为用户供应服务；运算机网络通常由三个部分组成 , 它们是资源子网、通信子网和通信协议；所谓通信子网就 是运算机网络中负责数据通信的部分 ; 资源子网是运算机网络中面对用户的部分 , 负责全网络面对应用的数据处理工 作 ; 而通信双方必需共同遵守的规章和商定就称为通信协议 , 它的存在与否是运算机网络与一般运算机互连系统的根本区分；2、运算机网络安全的定义 从狭义的爱惜角度来看 , 运算机网络安全是指运算机及其网络系统资源和信息资源不受自然和人为有害因素的威逼和危害 , 从广义来说 , 凡是涉及到运算机网络上信息的保密性、完整性、可用性、真实 安全的争论领域；性和可控性的相关技术和理论都是运算

3、机网络3、本课程中网络安全 : 指网络信息系统的硬件、软件及其系统中的数据受到爱惜 , 不因偶然的或者恶意的破坏、更改、泄露 , 系统能连续、牢靠、正常地运行 , 服务不中断； 主要指通过各种运算机、网络、密码技术和信息安全技术, 爱惜在公有通信网络中传输、交换和储备信息的隐秘性、完整性和真实性 , 并对信息的传播及内容具有把握1 能 力, 不涉及网络牢靠性、信息可控性、可用性和互操作性等领域；网络安全的主体是爱惜网络上的数据和通信的安 全；1 数据安全性是一组程序和功能 漏、转移、修改和破坏；, 用来阻挡对数据进行非授权的泄2 通信安全性是一些爱惜措施 , 要求在电信中接受保密安全性、传输安

4、全性、辐射安全性的措施 , 并依要求对具备 通信安全性的信息采取物理安全性措施；留意, 此处网络安全在不同的环境和应用中有不同的说明 , 留意区分 : 1 运算机及系统安全；包括运算机系统机房环境的爱惜 , 法律政策的爱惜 , 运算机结构设计安全性考虑 , 硬件系统 的牢靠安全运行 , 运算机操作系统和应用软件的安全, 数据库系统的安全 , 电磁信息泄露的防护等；本质上是爱惜 系统的合法操作和正常运行；2 网络上系统信息的安全；包括用户口令鉴别、用户存取权限控制、数据存取权限、方式把握、安全审计、安全问 毒防治和数据加密等；题跟踪、运算机病3 网络上信息传播的安全；包括信息过滤等；它侧重于爱惜

5、信息的保密性、真实性和完整性；防止攻击者进行有损 本质上是爱惜用户的利益和隐私；于合法用户的行为；4、安全的主要属性 : 完整性、保密性、可用性、不行抵赖性、牢靠 性；安全的其他属性 : 可控性、可审查性、真实性 拜望把握来实现真实性； 注: 一般通过认证、5、网络安全的主要威逼因素 : 信息系统自身安全的脆弱性、操作系统与应用程序漏洞、安全治理问题、黑客攻击、网络犯罪；第 2 讲 网络攻击阶段、技术及防范策略 1、黑客与骇客；根本的区分在于是否以犯罪为目的；黑客是指利用运算机技术 , 非法入侵或者擅自操作他人 包括 国家机关、社会组织及个人运算机信息系统 , 对电子信息沟通安全具有不同程度的

6、威逼性和危害性的人 一般是 争论为主；骇客指利用运算机技术, 非法入侵并擅自操作他人运算机信息系统, 对系统功能、数据或者程序进行干扰、破坏 , 或者非法侵入运算机信息系统并擅自利用系统资源 , 实施金融诈骗、盗窃、贪污、挪用公款、窃取国家隐秘或其他犯罪的人 一般是犯罪为主；骇客包括在黑客概念之中 , 前者基本上是运算机犯罪的主体 , 后者的行为 不愿定都构成犯罪；2、网络黑客的主要攻击手法有: 猎取口令、放置木马、 web 欺诈技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、查找 系统漏洞、利用缓冲区溢出窃取特权等；3、网络攻击过程一般可以分为本地入侵和远程入侵；4、远程攻击的一般过

7、程 : 远程攻击的预备阶段、远程攻击的实施阶 段、远程攻击的善后阶段；5、远程攻击的预备阶段 : 确定攻击目标、信息收集、服务分析、系 统分析、漏洞分析；6、常见的攻击目的有破坏型和入侵型两种；破坏型攻击是指只破坏攻击目标, 使之不能正常工作 , 而不能随意把握目标上的系统运行；入侵型攻击这 种攻击要获得确定的权限才能达到把握攻击目标的目的；应当说这种攻击比破坏型攻击更为普遍, 威逼性也更大；由于攻击者一旦把握3 了确定的权限、甚至是治理员权限就可以对目标做任何动作 , 包括破坏性质的攻击；7、信息收集阶段 : 利用一切公开的、可利用的信息来调查攻击目标；包括目标的操作系统类型及版本、相关软件

8、的类型、版本及相关的社会信息；包括以下技术 : 低级技术侦察、 Web 搜寻、 Whois 数据库、域名系统 DNS 侦察；8、低级技术侦察 , 分别说明 : 社交工程、物理闯入、垃圾搜寻；9、确定目标主机接受何种操作系统原理: 协议栈指纹 Fingerprint 10、远程攻击的实施阶段 : 作为破坏性攻击 , 可以利用工具发动攻击即可；作为入侵性攻击, 往往需要利用收集到的信息 , 找到其系统漏洞 ,然后利用漏洞猎取尽可能高的权限；包括三个过程 : 预攻击探测 : 为进一步入侵供应有用信息 ; 口令破解与攻击提升权限; 实施攻击 : 缓冲区溢出、拒绝服务、后门、木马、病毒；11、远程攻击常

9、用的攻击方法: 第一类 : 使用应用程序和操作系统的攻击获得拜望权 : 基于堆栈的缓冲区溢出、密 码估计、网络应用程序攻击；其次类 : 使用网络攻击获得拜望权 劫持；第三类 : 拒绝服务 攻击； : 嗅探、 IP 地址欺诈、会话12、远程攻击的善后阶段 : 爱惜拜望权、掩盖踪迹和隐匿；攻击者在获得系统最高治理员权限之后就可以任意修改系统上的文件了 , 所以一般黑客假如想隐匿自己的踪迹 , 最简洁的方法就是删除日志文件；但这也明确无误地告知了治理员系统已经被入侵了；更常用的方法是只对日志文件中有关自己的那部分作修改；13: 黑客入侵的一般完整模式 : 隐匿自己踩点扫描查点分析并入侵猎取权限扩大范

10、畴安装后门清除日志并隐身； 留意: 一般完整的攻击过程都是先隐匿自己, 然后再进行踩点或预攻击探测, 检测目标运算机 的各种属性和具备的被攻击条件 , 然后实行相应的攻击方法进行破坏 , 达到自己的目的 , 之后攻击者会删除自己的 行为日志；14、为防止黑客入侵 , 个人用户常见防护措施 : 防火墙、杀毒软件定期升级和杀毒、定期准时升级系统和软件补丁、定期备份系统或重要文件、加密重要文件、关闭不常用端口、关闭不常用程序和服务、发 现系统反常立刻检查； 15: 网络治理常用的防护措施 : 完善安全治理制度、接受拜望把握措施、运行数据加密措施、数据备份与复原；16、物理环境的安全性表达: 包括通信

11、线路的安全 , 物理设备的安全 , 机房的安全等；物理层的安全主要表达在通 信线路的牢靠性 线路备份、网管软件、传输介质 , 软硬件设备安全性 替换设备、拆卸设备、增加设备 , 设备 的备份 , 防灾难才能、防干扰才能 , 设备的运行环境 温度、湿度、烟尘 , 不间断电源保证 , 等等；第 3 讲: 扫描与防范技术1、扫描器 : 扫描器是一种自动检测远程或本地主机安全性弱点的程序；集成了常用的各种扫描技术；扫描器的扫描对象: 能自动发送数据包去探测和攻击远端或本地的端口和服务 , 并自动收集和记录目标主机的各项反馈信息；扫描器对网络安全的作用 : 据此供应一份牢靠的安全性分析报告 , 报告可能

12、存在的脆弱性；2、网络扫描器的主要功能 : 扫描目标主机识别其工作状态 开 / 关机 、识别目标主机端口的状态 监听 / 关闭 、识 别目标主机操作系统的类型和版本、识别目标主机服务程序的类型和版本、分析目标主 机、目标网络的漏洞 脆弱 点 、生成扫描结果报告；3、网络扫描的作用 : 可以对运算机网络系统或网络设备进行安全相 关的检测 , 以找出安全隐患和可能被黑客利用的 漏洞；5 4、网络漏洞 : 网络漏洞是系统软、硬件存在安全方面的脆弱性 , 安全漏洞的存在导致非法用户入侵系统或未经授权 信息篡改、拒绝服务或系统崩溃等问题；5、一个完整的网络安全扫描分为三个阶段 机或网络；其次阶段 : 发

13、觉目标后进一步搜集目获得拜望权限 , 造成: 第一阶段 : 发觉目标主标信息 , 包括操作系统类型、运行的服务以及服务软件的版本等；假如目标是一个网络 , 仍可以进一步发觉该网络 的拓扑结构、路由设备以及各主机的信息；第三阶段: 依据收集到的信息判定或者进一步测试系统是否存在安全漏洞；6、网络安全扫描技术包括 PING 扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:1 PING 扫描用 于扫描第一阶段 , 识别系统是否活动； 2 OS 探测、穿透防火墙探测、端口扫描用于扫描其次阶段； OS 探测是对目标主机运行的 OS 进行识别 ; 穿透防火墙探测用于猎取被防火墙爱惜的网络资料 ;

14、 端口扫描是通过与目标系统的TCP/IP 端口连接 , 并查看该系统处于监听或运行状态的服务； 3 漏洞扫描用于安全扫描第三阶段 , 通常是在端口扫 描的基础上 , 进而检测出目标系统存在的安全漏洞；7、漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:1 基于漏洞库的特点匹配 : 通过端口扫描得知目标主机开启的端口以及端口上的网络服务后 , 将这些相关信息与网络漏洞扫描系统供应的漏洞库进行匹配 , 查看是否有中意匹配条件的漏洞存在; 2 基于模拟攻击 : 通过模拟黑客的攻击手段 , 编写攻击模块 , 对目标主机系统进 行攻击性的安全漏洞扫 描, 如测试弱势口令等 , 如模拟攻击成功 ,

15、 就说明目标主机系统存在安全 漏洞；8、常用扫描工具 :SATAN 、 Nmap 、 Nessus 、 X-scan 6 9、扫描技术一般可以分为主动扫描和被动扫描两种 , 它们的共同点在于在其执行的过程中都需要与受害主机互通正常或非正常的数据报文；其中主动扫描是主动向受害主机发送各种探测数据包 , 依据其回应判定扫描的结果；被动扫描由其性质准备 , 它与受害主机建立的通常是正常连接 , 发送的数据包也属于正常范畴, 而且被动扫描不会向受害主机发送大规模的探测数据；10、扫描的防范技术 : 反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防范技术；11、防范主动扫描可以从以下几个方面入

16、手:1 削减开放端口 , 做好系统防护 ; 2实时监测扫描 , 准时做出告警; 3假装知名端口 , 进行信息欺诈；12、被动扫描防范方法到目前为止只能接受信息欺诈 如返回自定义的 banner 信息或假装知名端口这一种方法； 13 、防火墙技术是一种答应内部网接入外部网络 , 但同时又能识别和抗击非授权拜望的网络技术, 是网络把握技术中的一种；防火墙的目的是要在内部、外部两个网络之间建立一个安全把握点 , 把握全部从因特网流入或流向因特网的信息都经过防火墙 , 并检查这些信息 , 通过答应、拒绝或重新定向经过防火墙的数据流 , 实现对进、出内部网 把握；络的服务和拜望的审计和14、审计技术是使

17、用信息系统自动记录下的网络中机器的使用时间、敏捷操作和违纪操作等, 为系统进行事故缘由查询、事故发生后的实时处理供应详细牢靠的依据或支持；审计技术可以记录网络连接的请求、返回等信息 , 从中 识别出扫描行为；15: 为什么说扫描器是一把双刃剑.扫描器能够自动的扫描检测本地和远程系统的弱点 , 为使用者供应帮忙；系统 或网络治理员可以利用它来检测其所治理的网络和主机中存在哪些漏洞, 以便准时打上补丁 ,增加防护措施 , 或用 来对系统进行安全等级评估；黑客可以利用它来猎取主机信息 , 查找具备某些弱点的主机, 为进一步攻击做预备；因此 ,扫描器是一把双刃剑；一般用户对扫描的防范 : 用户要削减开

18、放的端口, 关闭不必的服务 , 合理地配置防火 墙, 以防范扫描行为；第 4 讲: 网络监听及防范技术1、网络监听的概念 : 网络监听技术又叫做网络嗅探技术 Network Sniffing , 是一种在他方未察觉的情形下捕获其通 信报文或通信内容的技术；在网络安全领域, 网络监听技术对于网络攻击与防范双方都有着重要的意义 , 是一把双 刃剑；对网络治理员来说 , 它是明白网络运行状况的有力助手 , 对黑客而言 , 它是有效收集信息的手段；网络监听 技术的才能范畴目前只限于局域网；2: 嗅探器 sniffer是利用运算机的网络接口截获目的地为其它计算机的数据报文的一种技术；工作在网络的底层 ,

19、 能 够把网络传输的全部数据记录下来； 1 嗅探攻击的基本原理是 : 当网卡被设置为混杂接收模式时 , 全部流经网卡的数据帧都会被网卡接收 , 然后把这些数据传给嗅探程序 , 分析出攻击者想要的敏捷信息 , 如账号、密码等 , 这样就实现了窃听的目的； 2 嗅探器造成的危害 : 能够捕获口令 ; 能够捕获专用的或者隐秘的信息 ; 可以用来危害网络邻居的安全 , 或者用来猎取更高级别的拜望权限 ; 窥探低级的协议信息；被动嗅探入侵往往是黑客实施一次实际劫持 或入侵的第一步； 3 Sniffer 的正面应用 : 在系统管理员角度来看 , 网络监听的主要用途是进行数据包分析 , 通过网 络监听软件,

20、 治理员可以观测分析实时经由的数据包, 从而快速的进行网络故障定位； 4 Sniffer 的反面应用 : 入侵 者与治理员感爱好的 对数据包进行分析 有所不同 , 入侵者感爱好的是数据包的内容 , 特殊是账号、 口令等敏捷内容； 3 、网络传输技术 : 广播式和点到点式；广播式网络传输技术 : 仅有一条通信信道 , 由网络上的全部机器共享；信 道上传输的分组可以被任何机器发送并被其他全部的机器接收；点到点8 网络传输技术 : 点到点网络由一对对机器之间的多条连接构成 , 分组的传输是通过这些连接直接发往目标机器 , 因此不存在发送分组被多方接收的问题； 4 、网卡的四种工作模式 :1 广播模式

21、 : 该模式下的网卡能够接收网络中的广播信息； 2 组播模式 : 该模式下的网卡能够接受组播数据； 3 直接模式 : 在这种模式下 , 只有匹配目的 MAC 地址的网卡才能接收该数据帧； 4混 杂模式 :Promiscuous Mode在这种模式下 ,网卡能够接受一切接收到的数据帧, 而无论其目的 MAC 地址是什么；5、共享式局域网就是使用集线器或共用一条总线的局域网；共享式局域网是基于广播的方式来发送数据的, 由于集 线器不能识别帧 , 所以它就不知道一个端口收到的帧应当转发到哪个端口 , 它只好把帧发送到除源端口以外的全部 端口, 这样网络上全部的主机都可以收到这些帧；假如共享式局域网中

22、的一台主机的网卡被设置成混杂模式状态的 话,那么, 对于这台主机的网络接口而言, 任何在这个局域网内传输的信息都是可以被听到的；主机的这种状态也 就是监听模式；处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包；6、在实际应用中 , 监听时存在不需要的数据 效率；网络监听模块过滤机制的效率是该网络监, 庄重影响了系统工作 听的关键；信息的过滤包括以下几种 : 站过滤 , 协议过滤 , 服务过滤 , 通用过滤；同时依据过 滤的时间 , 可以分为 两种过滤方式 : 捕获前过滤、捕获后过滤；7、交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网；这些设备依据收到的数据帧中

23、的 MAC 地 址准备数据帧应发向交换机的哪个端口；由于端口间的帧传输彼此屏蔽 , 因此节点就不担心自己发送的帧会被发送到非目的节点中去；交换式局域网在很大程度上解决了网络监听的困扰；8、交换机的安全性也面临着庄重的考查, 随着嗅探技术的进展 , 攻击者发觉了有如下方法来实现在交换式以太网中 的网络监听 : 溢出攻击; ARP 欺诈 常用技术；9 9、溢出攻击 : 交换机工作时要爱惜一张 MAC 地址与端口的映射表；但是用于爱惜这张表的内存是有限的；如用大 量的错误 MAC 地址的数据帧对交换机进行攻击 , 交换机就可能显现溢出；这时交换机就会退回到 HUB 的广播方式 , 向全部的端口发送数

24、据包 , 一旦如此 , 监听就很简洁了；10、 ARP 的工作过程 :1主机 A 不知道主机 B 的 MAC 地址, 以广播方式发出一个含有主机 B 的 IP 地址的 ARP 请求 ; 2网内所有主机受到 ARP 请求后 , 将自己的 IP 地址与请求中的 IP 地址相比较, 仅有 B 做出 ARP 响应, 其中含有自己的 MAC 地址; 3主机 A 收到 B 的 ARP 响应, 将该条 IP-MAC 映射记录写入 ARP 缓存中 , 接着进行通信； 11 、 ARP 欺诈: 运算机中爱惜着一个 IP-MAC 地址对应表 ,记录了 IP 地址和 MAC 地址之间的对应关系；该表将随 着 ARP

25、 请求及响应包不断更新；通过 ARP 欺诈, 转变表里的对应关系 , 攻击者可以成为被攻击者与交换机之间的“ 中间人” , 使交换式局域网中的所有数据包都流经自己主机的网卡, 这样就可以像共享式局域网一样分析数据包了； 12 、监听的防范 : 1 通用策略 :a 、接受安全的网络拓扑结构, 网络分段越细 , 嗅探器能够收集的信息就越少 ; b 、数据加密技术 : 数 据通道加密 SSH 、SSL 和 VPN ; 数据内容加密 PGP ；2 共享网络下的防监听 : 检测处于混杂模式的网卡 ; 检测网络通讯丢 包率; 检测网络带宽反常现象；3 交换网络下的防监听 : 主要要防止 ARP 欺诈及 A

26、RP 过载；交换网络下防范监听的措施主要包括:a. 不要把网络安全信任关系建立在单一的 IP 或 MAC 基础上 , 理想的关系应当建立在 IP-MAC 对应关系 的基础上； b. 使用静态的 ARP 或者 IP-MAC 对应表代替动态的 ARP 或者 IP-MAC 对应表 , 禁止自动更新 , 使用手动更新； c. 定期检查10 ARP 请 求, 使用 ARP 监视工具 , 例如 ARPWatch 等监视并探测 ARP 欺诈； d. 制定良好的安全治理策略 第 5 讲: 口令破解与防范技术 1、口令的作用 : 2、口令破解获得口令的思路 : 3、手工破解的步骤一般为 : 4、自动破解 : 5

27、、口令破解方式 : 6、词典攻击 : 7、强行攻击 : 8、组合攻击 9、社会工程学 10、重放 : 11、 Windows 的口令文件 : , 加强用户安全意识；12、 Windows 的拜望把握过程 : 13、口令攻击的防范 : 1 好的口令 : 2 保持口令的安全要点 : 3 强口令 . 11 14、对称加密方法加密和解密都使用同一个密钥；假如我加密一条消息让你来破解 , 你必需有与我相同的密钥来解密；这和典型的门锁相像；假如我用钥匙锁上门 , 你必需使用同一把钥匙打开门；15、不对称加密使用两个密钥克服了对称加密的缺点 : 公钥和私钥；私钥仅为全部者所知 , 不和其他任何人共享 ; 公

28、钥向全部会和用户通信的人公开；用用户的公钥加密的东西只能用用户的私钥解开 , 所以这种方法相当有效；别人给用户发送用用户的公钥加密的信息, 只有拥有私钥的人才能解开；16、随着生物技术和运算机技术的进展, 人们发觉人的许多生理特征如指纹、掌纹、面孔、声音、虹膜、视网膜等 都具有惟一性和稳固性, 每个人的这些特点都与别人不同, 且终身不变 , 也不行能复制；这使得通过识别用户的这 些生理特点来认证用户身份的安全性远高于基于口令的认证方式；利用生理特点进行生物识别的方法主要有指纹识别、虹膜识别、掌纹识别、面像识别; 其中, 虹膜和指纹识别被公认为是最牢靠的两种生物识别；利用行为特点进 行识别的主要

29、有 : 声音、笔迹和击键识别等；第 6 讲: 欺诈攻击及防范技术1、在 Internet 上运算机之间相互进行的沟通建立在两个前提之下: 2、欺诈 : 3、目前比较流行的欺诈攻击主要有 5 种: 12 4、最基本的 IP 欺诈技术 : 5、 TCP 会话劫持 : 6、 TCP 会话劫持过程 : 7、 IP 欺诈攻击的防范 : 8、 ARP 欺诈攻击 9、 ARP 欺诈原理 : 10、 ARP 欺诈攻击在局域网内特殊奏效 , 其危害有 : 11、检测局域网中存在 ARP 欺诈攻击现象 : 12、 ARP 欺诈攻击的防范 : 13、执行电子邮件欺诈有三种基本方法, 每一种有不同难度级别 , 执行不

30、同层次的隐匿；它们分别是 : 利用相像的 电子邮件地址 ; 直接使用伪造的 E-mail 地址; 远程登录到 SMTP 端口发送邮件；14 电子邮件欺诈的防范 : 15、 DNS 欺诈的原理 : 16、 DNS 欺诈主要存在两点局限性 : 17、 DNS 欺诈的防范 : 18、 Web 欺诈是一种电子信息欺诈, 攻击者制造了一个完整的令人信服的 Web 世界, 但实际上它却是一个虚假的复 制；虚假的 Web 看起来特殊逼真 , 它拥有相同的网页和链接；然而攻击者把握着这个虚假的 Web 站点, 这样受害者的浏览器和 Web 之间的全部网络通信就完全被攻击者截获； Web 欺诈能够成功的关键是在

31、受害者和真实 Web 13 服务器 之间插入攻击者的 Web 服务器 , 这种攻击常被称为“ 中间人攻 击 man-in-the-middle ”；典型案例 : 网络钓鱼； 19 、防范 Web 欺 骗的方法 : 第 7 讲: 拒绝服务攻击与防范技术1、拒绝服务 Denial of Service,简称 DoS , 是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞 , 对 目标系统发起大规模的攻击 , 用超出目标处理才能的海量数据包消耗可用系统资源、带宽资源等, 或造成程序缓冲区溢出错误 , 致使其无法处理合法用户的正常请求, 无法供应正常服务 , 最终致使网络服务瘫痪 , 甚至系统死

32、机；简洁 的说, 拒绝服务攻击就是让攻击目标瘫痪的一种“ 损人不利己” 的攻击 手段；2、拒绝服务攻击是由于网络协议本身的安全缺陷造成的；3、从实施 DoS 攻击所用的思路来看 , DoS 攻击可以分为 : 4、典型拒绝服务攻击技术 : 5、 Ping of Death: 6、泪滴 Teardrop : 7、 Land 攻击: 8、 Smurf 攻击 9、分布式拒绝服务 DDoS Distributed Denial of Service 攻击 10、分布式拒绝服务攻击的软件一般分为客户端、服务端与守护程序, 这些程序可以使和谐分散在互联网各处的机器共同完成对一台主机攻击的操作 , 从而使主机

33、遭到来自不同地方的许多主机的攻击；客户14 端: 也称攻击把握台 , 它是发起攻击的主机 ; 服务端 : 也称攻击服务器 ,它接受客户端发来的把握命令; 守护程序 : 也称攻击器、攻击代理,它直接（如 SYN Flooding ）或者间接（如反射式 DDoS）与攻 击目标进行通信； 11 、分布式拒绝服务攻击攻击过程主要有以下几个 步骤： 12 、被 DDoS 攻击时的现象： 13 、DDoS 攻击对 Web 站点的影响： 14 、拒绝服务攻击的防范： 15 、DDOS 工具产生的网络通信信息有两种： 16 、DDoS 的唯独检测方式是： 17 、分布式拒绝服务攻击 的防范 : 优化网络和路由

34、结构 ; 爱惜网络及主机系统安全 ; 安装入侵检测 系统; 与 ISP 服务商合 作; 使用扫描工具 . 18 、无论是 DoS 仍是 DDoS 攻击,其目的是使受害主机或网络无法准时接收并处理外界请求,表现为 : 制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信；利用被攻击主机供应服务或 传输协 议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务 请求,使被攻击主机无法准时处理其它正常的请求；利用被攻击主机 所供应服务程序或传输协议的本身的实现缺陷,反复发送畸形的攻击数据引发系统错误的支配大量系统资源,使主机处于挂起状态；第8 讲：缓冲区溢出攻击及防范技术

35、 1 、缓冲区是包含相同数据类型实例的一个连续的运算机内存块；是程序运行期间在内存中支配的一个连续的区域,可以储存相同数据类型的多个实例,用于储存包括字符数组在内的各种数据类型； 2 、所谓溢出,就是灌满,使内容物超过顶端, 边缘,或边界,其实就是所填充的数据超出了原有的缓冲区边界； 3 、所谓缓冲区溢出,就是向固定长度的缓冲区中写入超出其预先支配长度的内容,造成缓冲区中数据的溢出,从而 掩盖了缓冲区周围的内存空间；黑客借此细心构造填充数据,导致原有流程的转变,让程序转而执行特殊的代码,最终猎取把握权； 4 、常见缓冲区溢出类型： 5 、缓冲区溢出攻击的过程： 6 、缓冲区溢出的真正缘由：第9

36、 讲：Web 攻击及防范技术 1 、Web 安全含三个方面： Web 服务器的安全； Web 客户端的安全； Web 通信信道的安全； 2 、针对 Web 服务15 器的攻击分为两类： 3 、对 Web 应用危害较大的安全问题分别是：4、Web 服务器指纹： 5 、Web 页面盗窃的目的 6 、Web 盗窃防范方法： 7 、跨站脚本攻击 Cross Site Script： 8 、跨站脚本攻击的危害： 9 、跨站脚本漏洞形成的缘由： 10 、实现跨站脚本的攻击至少需 要两个条件： 11 、XSS 攻击最主要目标不是 Web 服务器本身,而是 登录网站的用户； 12 、防范跨站脚本攻击 13 、

37、所谓 SQL 注入,就是 通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询 字符串,最终达到欺 骗服务器执行恶意的 SQL 命令； （SQL 注入原 理：随着 B/S 网络应用的普及, Web 应用多使用脚本语言（ ASP、PHP 等）加后台数据库系统进行开发；在这些网络程序中,用户输入的数据被当作命令和查询的一部分,送到后台的解释器中说明执行；相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判定,使应用程序存在安全隐患；攻击者可以提交一段细心构造的数据库查询代码,依据网页返回的结果,获得某些他想得知的数据或者目标网站的敏捷信息,这就是所谓的 SQL I

38、njection,即 SQL 注入； ） 14 、SQL 注入受影响的系统： 15 、SQL 注入的防范：第 10 讲：木马攻击与防范技术 1 、木马的定义： 2 、木马程序的妄图可以对应分为三种 : 3 、木马的危害： 4 、木马的特点： 5 、木马实现原理： 6 、木马植入技术可以大致分为主动植入与被动植入两类； 所谓主动植入,就是攻击者主动将木马程序种到本地或 者是远程主机上,这个行为过程完全由攻击者主动把握；而被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统； 7 、在Windows 系统中木马程序的自动加载

39、技术主要有： 8 、隐匿性是木马程序与其它程序的重要区分,想要隐匿木马的服务端,可以是伪隐藏,也可以是真隐匿；伪隐匿是指程序的进程仍然存在,只不过是让它消逝在进程列表里；真隐匿就是让程序完全的消逝,不以一个进程或者服务的方式工作；常见隐匿技术： 9 、常见木马使用的端口：16 10、反弹窗口的连接技术与传统木马连接技术相比有何区分与优势？11、木马的远程监控功能：猎取目标机器信息,记录用户大事,远程 操作； 12 、木马的检测方法： : 端口扫描和连接检查；检查系统进程；检查 ini 文件、注册表和服务；监视网络通讯； 13 、木马的清除与善后：知道了木马加载的地方,第一要作的当然是将木马登记

40、项删除,这样木马就无法在开机时启动了；不过有些木马会监视注册表,一旦你删除,它立刻就会复原回来；因此,在删除前需要将木马 进程停止,然后依据木马登记的目录将相应的木马程序删除；以冰河为例说明详细清除步骤并适当说明；1 断开网络连接； 2） 检查进程并扫描； 3 第一运行注册表编辑器,检查注册表中 txt 文件的关联设置；4 接着检查注册表中的 EXE 文件关 联设置； 5 进入系统目录System32,删除冰河木马的可执行文件 kernel32.exe 和sysexplr.exe；6 修改文件关联； 7 重 新启动,然后用杀毒软件对系统进行一次全面的扫描,这样可以排除遗漏的木马程序；以网络治理

41、员角度在清除木 马后进行善后工作： 1 判定特洛伊木马存在时间长短；2 调查攻击者在入侵机器之后有哪些行动；3 对于安全性要求 一般的场合,修改全部的密码,以及其他比较敏捷的信息（例如信用卡号码等）；4 在安全性要求较高的场合,任何未知的潜在风险都是不可忍耐的,必要时应当调整治理员或网络安全的负责人,完全检测整个网络,修改全部密码,在此基础上再执行后继风险分析；对于被入侵的机器,重新进行完全的格式化和安装； 14 、木马的防范：木马实质上是一个程序,必需运行后才能工作,所以会在运算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹,用户可以通过“ 查、堵、杀” 等方法检测和清除木

42、马；其详细防范技术方 法主要包括：检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口,安装防病毒软件,监视网络通信,堵住把握通路和杀掉可疑进程等；常用的防范木马程序的措施： 1 准时修补漏洞,安装补丁； 2 运行实时监控程序； 3 培养风险意识,不使用来历不17 明的软件； 4 即时发觉,即时清除 ； 第 11 讲：运算机病毒 1 、狭义的运算机病毒,是指编制或者在运算机程序中插入的破坏运算机功能或者毁坏数据,影响运算机使用,且能自我复制的一组运算机指令或者程序代码；运算机病毒一般依附于其他程序或文档,是能够自身 复制,并且产生用 户不知情或不期望、甚至恶意的操作的非正常程 序； 但是随着黑客技术的进展,病毒、木马、蠕虫往往交叉在一起 相互借鉴技术,因此人们经常说的运算机病毒往往是指广义上的病毒,它是一切恶意程序的统称； 2 、运算机病毒的特点： 3 、运算机病毒的破坏性： 4 、运算机病毒引起的反常状况： 5 、依据运算机病毒的链接方式分类： 6 、依据运算机病毒的破坏情形分类： 7 、按寄生方式和传染途径分类 : 8 、运算机病毒程序的模块划分： 9 、运算机病毒的生命周期： 10 、病毒传播途径：11、病毒感染目标：