信息安全等级测评师培训教程初级学习笔记

第页网络平安测评1.1网络全局1.1.1构造平安a〕应保证主要网络设备的业务处理实力有冗余空间，满意业务顶峰期须要b〕应保证网络各个局部的带宽满意业务顶峰期须要；c〕应在业务终端及业务效劳器之间进展路由限制建立平安的访问路径；d〕应绘制及当前运行状况相符的网络拓扑构造图；e〕应依据各局部的工作职能,重要性和所涉及信息的重要程度等因素，划分不同的子网和网段，并依据便利管理和限制的原那么为各子网,网段安排地址段f〕应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段及其他网段之间实行牢靠的技术隔离手段g〕应依据对业务效劳的重要次序来制定带宽安排优先级别，保证在网络发生拥堵时优先爱护重要主机。1.1.2边界完整性检查a〕应能够对非授权设备私自联到内部网络的行为进展检查，精确定位，并对其进展有效阻断；技术手段：网络接入限制，关闭网络设备未运用的端口,IP/MAC地址绑定等管理措施：进入机房全程陪伴,红外视频监控等b〕应能够对内部网络用户私自联到外部网络的行为进展检查，精确定位，并对其进展有效阻断；1.1.3入侵防范a〕应在网络边界处监视以下攻击行为：端口扫描,强力攻击,木马后门攻击,拒绝效劳攻击,缓冲区溢出攻击,IP碎片攻击和网络蠕虫攻击等；b〕当检测到攻击行为时，记录攻击源IP,攻击类型,攻击目的,攻击时间，在发生严峻入侵事务时应供应报警1.1.4恶意代码防范a〕应在网络边界处对恶意代码进展检测和去除；b〕应维护恶意代码库的升级和检测系统的更新1.2路由器1.2.1访问限制a〕应在网络边界处部署访问限制设备，启用访问限制功能；能够起访问限制功能的设备有：网闸,防火墙,路由器和三层路由交换机等b〕应能依据会话状态信息为数据流供应明确的允许/拒绝访问的实力，限制粒度为端口级；c〕应对进出网络的信息内容进展过滤，实现对应用层,FTP,TELNET,SMTP,POP3等协议命令级的限制d〕应在会话处于非活泼确定时间或会话完毕后终止网络连接；e〕应限制网络最大流量数及网络连接数；路由器可依据IP地址,端口,协议来限制应用数据流的最大流量；依据IP地址来限制网络连接数路由器的带宽策略一般采纳分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址,目的地址,用户和协议4个方面来限制带宽f〕重要网段应实行技术手段防止地址欺瞒地址欺瞒中的地址可以使MAC地址，也可以使IP地址。目前发生比拟多的是ARP地址欺瞒，ARP地址欺瞒是MAC地址欺瞒的一种。ARP〔AddressResolutionProtocol，地址解析协议〕是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺瞒分为2种，一种是对网络设备ARP表的欺瞒，另一种是对内网PC的网关欺瞒。解决方法：1在网络设备中把全部PC的IP-MAC输入到一个静态表中，这叫IP-MAC绑定；2.在内网全部PC上设置网关的静态ARP信息，这叫PCIP-MAC绑定。一般要求2个工作都要做，称为IP-MAC双向绑定g〕应按用户和系统之间的允许访问规那么，确定允许或拒绝用户对受控系统进展资源访问，限制粒度为单个用户h〕应限制具有拨号访问权限的用户数量1.2.2平安审计a〕应对网络系统中的网络设备运行状况,网络流量,用户行为等进展日志记录；b〕审计记录应包括：事务的日期和时间,用户,事务类型,事务是否胜利及其他及审计相关的信息；c〕应能够依据记录数据进展分析，并生成审计报表；d〕应对审计记录进展爱护，防止受到未预期的删除,修改或覆盖等；1.2.3网络设备防护a〕应对登陆网络设备的用户进展身份鉴别；——用户登录路由器的方式包括：&1利用限制台端口〔Console〕通过串口进展本地连接登录；&2利用协助端口〔AUX〕通过MODEM进展远程拨号连接登录&3利用虚拟终端〔VTY〕通过TCP/IP网络进展远程登录——无论哪一种登录方式，都须要对用户身份进展鉴别，口令是路由器用来防止非授权访问的常用手段，是路由器平安的一局部。——须要加强对路由器口令的管理，包括口令的设置和存储，最好的口令存储方式是保存在TACACS+或RADIUS认证效劳器上。检查方法：在特权模式下输入命令showrunning-config会输出该路由器相关配置信息检查配置信息中是否存在类似如下的配置信息Linevty04〔虚拟终端〕LoginPasswordxxxxxLineaux0〔协助端口〕LoginPasswordxxxxxxLinecon0〔限制台端口〕LoginPasswordxxxxx为特权用户设置口令时，应当运用enablesecret命令该命令用于设定具有管理员权限的口令，enablesecret命令采纳的是MD5算法，这种算法比enablepassword加密算法强，不简单被破解。假如设备启用了AAA认证，那么查看配置信息应当存在类似如下配置信息aaanew-modeltacacs-serverhostsingle-connectingtacacs-serverkeyshared1aaanew-modelradius-serverkeyshared1linevty04aaaauthorizationloginb〕应对网络设备的管理员登录地址进展限制；c〕网络设备用户的标识应唯一；d〕主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进展身份鉴别；双因子鉴别还须要访问者拥有鉴别特征：采纳令牌,智能卡,数字证书和生物信息等e〕身份鉴别信息应具有不易被冒用的特点，口令应有困难度要求并定期更换；f〕应具有登录失败处理功能，可实行完毕会话,限制非法登录次数和当网络登录连接超时自动退出等措施；g〕当对网络设备进展远程管理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听；不应当运用明文传送的Telnet,效劳，应当采纳SSH,S等加密协议等方式来进展交互式管理h〕应实现设备特权用户的权限别离；1.3交换机1.3.1访问限制a〕应在网络边界部署访问限制设备，启用访问限制功能；b〕应能依据会话状态信息为数据流供应明确的允许/拒绝访问的实力，限制粒度为端口级c〕应对进出网络的信息内容进展过滤，实现对应用层,,SMTP,POP3等协议命令级的限制d〕应在会话处于非活泼确定时间或会话完毕后终止网络连接；e〕应限制网络最大流量数及网络连接数交换机可依据IP地址,端口,协议来限制应用数据流的最大流量；依据IP地址来限制网络连接数交换机的带宽策略一般采纳分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址,目的地址,用户和协议4个方面来限制带宽f〕重要网段应实行技术手段防止地址欺瞒g〕应按用户和系统之间的允许访问规那么，确定允许或拒绝用户对受控系统进展资源访问，限制粒度为单个用户。1.3.2平安审计a〕应对网络系统中的网络设备运行状况,网络流量,用户行为等进展日志记录；b〕审计记录应包括：时间的日期和时间,用户,事务类型,事务是否胜利及其他及审计相关的信息；c〕应能够依据记录数据进展分析，并生成审计报表d〕应对审计记录进展爱护，防止受到未预期的删除,修改或者覆盖等1.3.3网络设备爱护a〕应对登陆网络设备的用户进展身份鉴别；b〕应对网络设备的管理员登陆地址进展限制c〕网络设备用户的标识须唯一d〕主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进展身份鉴别；e〕身份鉴别信息应具有不易被冒用的特点，口令应有困难度要求并定期更换；f〕应具有登录失败处理功能，可实行完毕会话,限制非法登录次数和当网络登录连接超时自动退出等措施；g〕当对网络设备进展远程管理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听h〕应实现设备特权用户的权限别离1.3.3网络设备防护a〕应对登录网络设备的用户进展身份鉴别b〕应对网络设备的管理员登录地址进展限制；c〕网络设备用户的标识应唯一；d〕主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进展身份鉴别e〕身边鉴别信息应当具有不易被冒用的特点，口令应有困难程度要求并定期更换；f〕应具有登录失败处理的功能，可实行完毕会话，限制非法登录次数和当网络登录连接超时自动退出的措施；g〕当对网络设备进展远程管理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听h〕应实现设备特权用户的权限别离1.4防火墙1.4.1访问限制a〕应在网络边界部署访问限制设备，启用访问限制功能；b〕应能依据会话状态信息为数据流供应明确的允许/拒绝访问的实力，限制粒度为端口级；防火墙的平安策略的配置应当依据信息系统的应用进展配置，只允许授权的IP地址,协议,端口通过，对于没有明确允许通过的数据流默认应当是被制止的。同时可以通过配置NAT,静态地址映射,IP地址绑定等措施隐藏内部网络信息，以最大限度地保证被爱护网络的平安c〕应对进出网络的信息内容进展过滤，实现对应用层,FTP,Telnet,SMTP，POP3等协议命令级的限制d〕应在会话处于非活泼确定时间或会话完毕后终止网络连接；e〕应限制网络最大流量数及网络连接数；f〕重要网段应实行技术手段防止地址欺瞒g〕应按用户和系统之间的允许访问规那么，确定允许或拒绝用户对受控系统进展资源访问，限制粒度为单个用户h〕应限制具有拨号访问权限的用户数量1.4.2平安审计a〕应对网络系统中的网络设备运行状况,网络流量,用户行为等进展日志记录；b〕审计记录包括：事务的日期和时间,用户,事务类型,事务是否胜利及其他审计相关的信息；c〕应能依据记录数据进展分析，并生成审计报表；d〕应对审计记录进展爱护，防止受到未预期的删除,修改或覆盖等；1.4.3网络设备防护a〕应对登录网络设备的用户进展身份鉴别b〕应对网络设备的管理员登录地址进展限制；须要对远程管理防火墙的登录地址进展限制，可以是某一特定的IP地址，也可以来自某一子网,地址范围或地址组c〕网络设备用户的标识应唯一；d〕主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进展身份鉴别e〕身份鉴别信息应具有不易被冒用的特点，口令应有困难程度要求并定期更换；f〕应具有登录失败处理功能，可实行完毕会话,限制非法登录次数和当网络登录连接超时自动退出等措施；g〕当对网络设备进展远程管理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听h〕应实现设备特权用户的权限别离1.5入侵检测/防卫系统1.5.1访问限制a〕应在网络边界部署限制设备，启用访问限制；此处的访问限制主要指入侵防卫系统具有的访问限制功能，入侵检测系统IDS不具有此功能b〕应能依据会话状态信息为数据流供应明确的允许/拒绝访问的实力，限制粒度为端口级c〕应对进出网络的信息内容进展过滤，实现对应用层,，SMTP,POP3等协议命令级的限制；d〕应在会话处于非活泼确定时间或会话完毕后终止网络连接；e〕应限制网络最大流量数及网络连接数f〕重要网段应实行技术手段防止地址欺瞒g〕应按用户和系统之间的允许访问规那么，确定允许或拒绝用户对受控系统进展资源访问，限制粒度为单个用户；h〕应限制具有拨号访问权限的用户数量1.5.2平安审计a〕应对网络系统中的网络设备进展运行状况,网络流量,用户行为等进展日志记录；b〕审计记录应包括：事务的日期和时间,用户,事务类型,事务是否胜利及其他审计相关的信息；c〕应能够依据记录数据进展分析，并生成审计报表；d〕应对审计记录进展爱护，防止受到未预期的删除,修改或覆盖等；1.5.3网络设备防护a〕应对登录网络设备的用户进展身份鉴别b〕应对网络设备的管理员登录地址进展限制；c〕网络设备用户的标识应唯一；d〕主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进展身份鉴别e〕身边鉴别信息应具有不易被冒用的特点，口令应有困难程度要求并定期更换；f〕应具有登录失败处理功能，可实行完毕会话,限制非法登录次数和当网络登录连接超时自动退出等措施h〕应实现设备特权用户的权限别离第2章主机平安测评2.1操作系统测评2.1.1身份鉴别a〕应对登录操作系统和数据库系统的用户进展身份标识和鉴别b〕操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有困难度要求并定期更换；WindowsOS中查看“本地平安策略—账户策略—密码策略〞中的相关工程：设置密码历史要求〔此设置可确保用户无法复用密码〕：24设置密码最长运用期限：70天设置密码最短运用期限：2天设置最短密码长度：8个字符设置密码困难性要求：启用启用密码可逆加密：不启用LinuxOS：PASS_MAX_DAYS90PASS_MIN_DAYS0PASS_MIN_LEN8PASS_WARN_AGE7登录密码过期提前7天提示修改FAIL_DELAY10登录错误时等待时间10秒FAILLOG_ENABYES登录错误记录到日志FAILLOG_SU_ENABYES当限定超级用户管理日志时运用FAILLOG_SG_ENABYES当限定超级用户组管理日志时运用MD5_CRYPT_ENABYES当运用md5为密码的加密方法时运用c〕应启用登录失败处理功能，可实行完毕会话,限制非法登录次数和自动退出等措施d〕当对效劳器进展远程管理时，应实行必要措施，防止鉴别信息在网络传输过程中被窃听e〕应为操作系统和数据库系统的不同用户安排不同的用户名，确保用户名具有唯一性f〕应采纳2种或2种以上组合的鉴别技术对管理用户进展身份鉴别2.1.2访问限制a〕应启用访问限制功能，依据平安策略限制用户对资源的访问；访问限制是平安防范和爱护的主要策略，它不仅应用及网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法适用和访问，适用访问限制的目的在于通过限制用户对特定资源的访问来爱护系统资源。主要涉及2个方面的内容：文件系统和默认共享文件权限：在windows系统中，重要目录不能对“everyone〞账户开放，在权限限制方面，尤其要留意文件权限更改后对于应用系统的影响；在Linux系统中，应坚持Linux系统主要目录的权限设置状况，对于配置文件权限制不能大于644，对于可执行文件不能大于755。以root身份登录Linux，运用〞Ls-l文件名〞查看重要文件和目录权限设置是否合理默认共享：WindowsOS的默认共享功能的设计初衷是为了便利网管通过网络对计算机进展远程管理而设的，它的存在依靠于系统效劳的“server〞。为保证系统平安性，通常我们可以将其关闭。LinuxOS通常不存在默认共享在命令模式下输入netshare，查看共享查看注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为“0〞〔0表示共享开启〕b〕应依据管理用户的角色安排权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限；c〕应实现操作系统和数据库系统特权用户的权限别离；d〕应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令e〕应及时删除多余的,过期的账户，防止共享账户的存在f〕应对重要信息资源设置敏感标记；g〕应依据平安策略严格限制用户对有敏感标记重要信息资源的操作2.1.3平安审计a〕审计范围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户；b〕审计内容应包括重要用户行为,系统资源的异样运用和重要系统命令的运用等系统内重要的平安相关事务；c〕审计记录应包括事务的日期,时间,类型,主体标识,客体标识和结果等；d〕应能够依据记录数据进展分析，并生成审计报表；e〕应爱护审计进程，防止受到未预期的中断；f〕应爱护审计记录，防止受到未预期的删除,修改或覆盖等；2.1.4剩余信息爱护a〕应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中b〕应确保系统内的文件,目录和数据库记录等资源所在的存储空间，被释放或重新安排给其他用户前得到完全去除；2.1.5入侵防范a〕应能够检测到对重要效劳器进展入侵的行为，能够记录入侵的源IP，攻击的类型,目的,时间，并在发生严峻入侵事务时供应报警；b〕应能够对重要程序的完整性进展检测，并在检测到完整性受到破坏后具有复原的措施；c〕操作系统应遵循最小安装的原那么，仅安装须要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁及时得到更新2.1.6恶意代码防范a〕应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b〕主机防恶意代码产品应具有及网络防恶意代码产品不同的恶意代码库c〕应支持防恶意代码的统一管理2.1.7资源限制a〕应通过设定终端接入方式,网络地址范围等条件限制终端登录；b〕应依据平安策略设置登录终端的操作超时锁定；c〕应对重要效劳器进展监视，包括监视效劳器的CPU,硬盘,内存,网络等资源的运用状况；d〕应限制单个用户对系统资源的最大或最小运用限度；e〕应能够对系统的效劳水平降低到预先规定的最小值进展检测和报警2.2数据库系统测评2.2.1身份鉴别a〕应对登录操作系统和数据库系统的用户进展身份标识和鉴别；b〕操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有困难程度要求并定期更换；c〕应启用登录失败处理功能，可实行完毕会话,限制非法登录次数和自动退出等措施d〕当对效劳器进展远程管理时，应实行必要措施，防止鉴别信息在网络传输过程中被窃听e〕应为操作系统和数据库系统的不同用户安排不同的用户名，确保用户名具有唯一性；f〕应采纳2种或2种以上组合的鉴别技术对管理用户进展身份鉴别2.2.2访问限制a〕应启用访问限制功能，依据平安策略限制用户对资源的访问；b〕应依据管理用户的角色安排权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限；c〕应实现操作系统和数据库系统特权用户的权限别离；d〕应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；e〕应及时删除多余的,过期的账户，防止共享账户的存在；f〕应对重要信息资源设置敏感标记；g〕应依据平安策略严格限制用户对有敏感标记重要信息资源的操作；2.2.3平安审计a〕审计范围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户；

b〕审计内容应包括重要用户行为,系统资源的异样运用和重要系统命令的运用等系统内重要的平安相关事务c〕审计记录应包括事务的日期,时间,类型,主体标识,客体标识和结果等d〕应能依据记录数据进展分析，并生成审计报表；e〕应爱护审计进程，防止受到未预期的中断；f〕应爱护审计记录，防止受到未预期的删除,修改或覆盖等；2.2.4资源限制a〕应通过设定终端接入方式,网络地址范围等条件限制终端登录；b〕应依据平安策略设置登录终端的操作超时锁定；c〕应限制单个用户对系统资源的最大或最小运用限度第3章应用平安测评3.1身份鉴别a〕应供应专用的登录限制模块对登录用户进展身份标识和鉴别；b〕应对同一用户采纳2种或者2种以上组合的鉴别技术实现用户身份鉴别；c〕应供应用户身份标识唯一和鉴别信息困难度检测功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；d〕应供应登录失败处理功能，可实行完毕会话,限制非法登录次数和自动退出等措施；e〕应启用身份鉴别,用户身份标识唯一性检查,用户身份鉴别信息困难度检查，以及登录失败处理功能，并依据平安策略配置相关参数；3.2访问限制a〕应供应访问限制功能，依据平安策略限制用户对文件,数据库表等客体的访问；b〕访问限制的覆盖范围应包括及资源访问相关的主体,客体及它们之间的操作；c〕应有授权主体配置访问限制策略，并严格限制默认账户的访问权限；d〕应授予不同账户为完成各自承当任务所需的最小权限，并在它们之间形成相互制约的关系；e〕应具有对重要信息资源设置敏感标记的功能；f〕应依据平安策略严格限制用户对有敏感标记重要信息资源的操作；3.3平安审计a〕应供应覆盖到每个用户的平安审计功能，对应用系统重要平安事务进展审计；b〕应保证无法单独中断审计进程，无法删除,修改或覆盖审计记录；c〕审计记录的内容至少应包括事务的日期,时间,发起者信息,类型,描述和结果等；d〕应供应对审计记录数据进展统计,查询,分析及生成审计报表的功能3.4剩余信息爱护a〕应保证用户鉴别信息所在的存储空间呗释放或再安排给其他用户前被完全去除，无论这些信息是存放在硬盘上还是在内存中；b〕应保证系统内的文件,目录和数据库记录等资源所在的存储空间呗释放或重新安排给其他用户前得到完全去除；3.5通信完整性a〕应采纳密码技术保证通信过程中的数据的完整性；3.6通信保密性a〕在通信双方建立连接之前，应用系统应利用密码技术进展会话初始化验证；b〕应对通信过程中的整个报文或会话过程进展加密；3.7抗抵赖a〕应具有在恳求的状况下为数据原发者或接收者供应数据原发证据的功能；b〕应具有在恳求的状况下为数据原发者或接收者供应数据接收证据的功能；3.8软件容错a〕应供应数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；b〕应供应自动爱护功能，当故障发生时自动爱护当前全部状态，保证系统能够进展复原；3.9资源限制a〕当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方面能够自动完毕会话；b〕应能够对系统的最大并发会话连接数进展限制；c〕应能够对单个账户的多重并发会话进展限制；d〕应能够对一个时间段内可能的并发会话连接数进展限制；e〕应能够对一个访问账户或一个恳求进程占用的资源安排最大限额和最小限额；f〕应能够对系统效劳水平降低到预先规定的最小值进展检测和报警；g〕应供应效劳优先级设定功能，并在安装后依据平安策略设定访问账户或恳求进程的优先级，依据优先级安排系统资源；第4章数据平安测评4.1数据完整性a〕应能够检测到系统管理数据,鉴别信息和重要业务数据在传输过程中的完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；b〕应能够检测到系统管理数据,鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；4.2数据保密性a〕应采纳加密或其他有效措施实现系统管理数据,鉴别信息和重要业务数据传输保密性；b〕应采纳加密或其他爱护措施实现系统管理数据,鉴别信息和重要业务数据存储保密性；4.3备份和复原a〕应供应本地数据备份及复原功能，完全数据备份至少每天一次，备份介质场外存放；b〕应供应异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；c〕应采纳冗余技术设计网络拓扑构造，防止关键节点存在单点故障；d〕应供应主要网络设备,通信线路和数据处理系统的硬件冗余，保证系统的高可用性第7章工具测试7.1测试目的工具测试，是利用各种测试工具，通过对目标系统的扫描,探测等操作，使其产生特定的响应等活动，查看,分析响应结果，获得证据以证明信息系统平安爱护措施是否得以有效实施的一种方法7.2测试内容利用工具测试，不仅可以直接获得到目标系统本身存在的系统,应用等方面的漏洞，同时，也可以通过在不同的区域接入测试工具所得到的测试结果，推断不同区域之间的访问限制状况。7.3测试流程7.3.1收集信息1〕网络设备目标网络设备的根本信息，如路由器,交换机型号等；须要了解目标系统网络设备的物理端口状况，是否具备接入测试工具的条件；目标网络设备的IP地址2〕平安设备目标平安设备的根本信息，比方防火墙，IDS或者特殊平安设备型号等；目标平安设备的IP地址，留意防火墙，IDS等可能工作在透亮模式或没有IP地址主机目标主机的根本信息，包括主机操作系统，运行的主要应用等目标主机的IP地址目标主机的主要业务时间段，为选择工具测试时间段做打算网络拓扑结果目标系统的网络结果，直接影响到测试时的接入点的设置。须要了解目标系统的网络区域划分，比方应用区，数据库区等；目标系统各个网络设备,平安设备的位置；确定目标系统不同区域之间的关系，比方区域级别的关系及区域之间的或许业务数据流程。7.3.2规划接入点工具测试的首要原那么是在不影响目标系统正常运行的前提下严格依据方案选定范围进展测试。接入点规划的，根本的,共性的原那么：由低级别系统向高级别系统探测；同一系统同等重要程度功能区域之间要相互探测；由较低重要程度区域向较高重要程度区域探测；由外联接口向系统内部探测；跨网络隔离设备〔包括网络设备和平安设备〕要分段探测；7.3.3编制工具测试作业指导书工具测试作业指导书是工具测试顺当进展,测试证据精确获得的重要保证，是对之前各个打算阶段中获得到信息的总结，也是对我们进呈现场工具测试的指导文件。7.3.4现场测试现场测试，是工具测试的一个重要实施阶段，也是取得工具测试证据的重要阶段。测试过程中，必需具体记录每一接入点测试的起止时间,接入IP地址〔包括接入设备的IP地址配置，掩码,网管配置等〕。假如测试过程中出现异样状况，要及时记录。测试结果要及时整理,保存，重要验证步骤要抓图为证，为测试结果的整理打算足够必要的证据。7.3.5结果整理从整理的结果中，可以分析出被测系统中各个被测个体存在的漏洞状况，也可以依据各个接入点测试结果的统计整理，分析出各个区域之间的访问限制策略配置状况。7.4考前须知1〕工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备,主机,平安设备等是否都在正常运行，测试时间段是否为可测试时间段；2〕接入系统的设备,工具的IP地址等配置要经过被测系统相关人员确认3〕对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响〔例如口令探测可能会造成的账号锁定等状况〕，要事先告知被测系统相关人员。4〕对于测试过程中的关键步骤,重要证据，要及时利用抓图等取证工具取证。5〕对于测试过程中出现的异样状况〔效劳器出现故障,网络中断等〕要及时记录。6〕测试完毕后，须要被测方人员确认被测系统状态正常并签字后离场。附录A信息平安技术A.1标识及鉴别A.1.1技术简介标识是指用户〔设备〕向信息系统〔或对等实体〕说明其身份的行为；鉴别是指信息系统利用单一或者多重鉴别机制对用户〔设备〕所声称身份的真实性进展验证的过程基于用户所知的信息例如：个人标识号〔PIN〕，口令等2〕基于用户所持有的物品例如：门卡,智能卡,硬件令牌等记忆令牌,智能令牌3〕基于用户特征例如：指纹,虹膜,视网膜扫描结果或者其他生物特征等特有信息A.1.2典型产品1〕硬件令牌基于时间的动态令牌：在确定的时间间隔内依据口令计算器〔令牌〕通过某种算法和其他要素动态生成一个口令，认证端依据一样的算法和要素计算出同一时刻的口令，进展比对。基于挑战应答的令牌：其在实现原理上及时间令牌相像，同样是认证端随机生成挑战数，客户端对其进展加密运算并回传，及认证端相比对。数字证书数字证书是由认证中心生成并经认证中心数字签字的，标记网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。A.2访问限制A.2.1技术简介1〕按访问限制策略划分自主访问限制,强制访问限制,基于角色的访问限制〔Role-BasedAccessControl，RBAC〕自主访问限制运用自主访问限制机制的系统允许资源全部者(主体)自主确定谁可以访问,如何访问其资源〔客体〕强制访问限制强制访问限制是一种不允许主体干预的访问限制类型，在强制访问限制机制下，系统内的每一个用户或主体被给予一个访问标签以表示他对敏感性客体的访问许可级别，同样，系统内的每一个客体也被给予一个敏感性标签以反映该信息的敏感性级别，系统内的“引用监视器〞通过比拟主客体相应的标签来确定是否授予一个主体队客体的访问恳求。——主体对客体的访问必需满意以下条件：A主体的平安级别不低于客体的平安级别；B主体的类别包含客体的类别基于角色的访问限制〔Role-BasedAccessControl，RBAC〕系统定义了各种角色，每种角色可以完成确定的职能，不同的用户依据其职能和责任被给予响应的角色，一旦某个用户称为某角色的成员，那么此用户可以完成该角色所具有的职能2〕按层面划分网络访问限制主要限制网络设备或主机设备可以及哪些设备建立什么样的连接以及通过网络传输什么样的数据主机访问限制主要是指OS和DB供应的访问限制功能；它是限制OS或DB用户或进程可以访问哪些文件系统,系统设备或数据表，以及可以对它们进展哪些访问操作〔如读,写,执行等〕应用访问限制访问限制往往嵌入应用程序〔或中间件〕中以供应更细粒度的数据访问限制。通过内置的访问限制模型，应用程序可以限制用户对功能模块和数据的访问，以及对它们可以进展哪些操作等物理访问限制它主要是限制用户对物理环境和设备的物理访问，具体方式有给房间加锁,安装电子门禁系统，以及给设备加上防损设施等A.2.2典型产品1〕交换机网络交换机主要是通过其虚拟局域网〔VLAN〕功能实现网络访问限制；VLAN技术是基于链路层和网络层之间的隔离技术三层交换机由于集成了路由模块，也可以通过路由的访问限制列表实现网络访问限制功能，具体实现原理及路由器的实现原理一样2〕路由器路由器工作在网络层，主要是通过访问限制列表来实现访问限制功能。访问限制列表是一种基于简单的包过滤的流向限制技术，在路由器上读取网络层及传输层包头中的信息来源地址,目的地址,源端口,目的端口等，依据预先定义好的规那么对包进展过滤，从而到达访问限制的目的标准访问限制列表的具体格式为access-listACL号permit/denyhostIP也可以对某个网段进展过滤access-list10deny55〔将来自/24的全部计算机数据包进展过滤丢弃〕参见PS13〕防火墙防火墙是最常见和成熟的网络访问限制产品，它一般部署在网络系统的边界处，属于网络边界的平安爱护设备。所谓网络边界是采纳不同平安策略的2个网络连接处，比方用户网路和互联网之间连接，和其他业务往来单位的网络连接，用户内网不同部门之间的连接等。依据防火墙的性能和功能，它的访问限制可以到达不同的级别&连接限制，限制哪些应用程序终结点之间可建立连接；&协议限制，限制用户通过一个应用程序可以进展什么操作；&数据限制，防火墙可以限制应用数据流的通过包过滤防火墙依据分组包头源地址,目的地址和端口号,协议类型等标识确定是否允许数据包通过，所依据的信息来源于IP,TCP或UDP包头。只有满意过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包那么被从数据流中丢弃应用代理防火墙它作用在应用层，分别及客户端和效劳器建立单独的连接，彻底隔断内网及外网的直接通信。它在应用层能够供应强大的数据包内容过滤的功能，主要包括&堵塞URL地址&关键字过滤&阻挡Java，ActiveX和JavaScript等不平安内容的传输&防止特洛伊木马的传输&防止邮件缓存溢出状态检测防火墙状态检测技术是继“包过滤〞技术和“应用代理〞技术后开展起来的防火墙技术。它在保存了对每个数据包的头部,协议,地址,端口等信息进展分析的根底上，进一步开展了“会话功能〞，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的全部信息，以后这个连接都基于这个状态信息进展4〕网闸由于防火墙缺乏对未知网络协议漏洞造成的平安问题有效解决，并且无法检测基于内容的网络攻击，而互联网上病毒泛滥,信息恐惊,计算机犯罪等威胁日益严峻，由此诞生了基于协议对内容进展检查的产品——网闸网闸是运用带有多种限制功能的固态开关读写介质连接2个独立主机系统的信息平安设备。常见的网闸产品主要分为2类：空气开关型和专用交换通道型。5〕平安操作系统或操作系统加固产品A.3密码技术A.3.1技术简介1〕对称密钥加密〔私钥加密〕信息的发送方和接收方用同一个密钥去加密和解密数据。最大优势是加/解密速度快，适合于大数据量进展加密。对称密钥的加密算法有DES,3DES,AES等〔3S〕对于具有n个用户的网络，须要n〔n-1〕/2个密钥〔即Cn2〕2〕非对称密钥加密〔公钥加密〕须要运用一对密钥来分别完成加密和解密操作，一个公开，即公开密钥，另一个由用户自己隐私保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者用私用密钥去解密。非对称密钥加密算法主要有RSA,DSA,和ECC等〔AAC〕单向哈希函数A.3.2典型产品VPNVPN概念VPN工作原理VPN涉及的关键技术IPSec协议SSL协议VPN的应用领域远程访问组建内联网构建外联网A.4平安审计和监控A.4.1技术简介1〕平安审计平安审计功能&记录,跟踪系统运行状况&检测平安事务&对潜在的攻击者起到震慑或警告作用平安审计的分类系统级,应用级和用户级审计系统级审计要求至少能够记录登陆结果〔胜利和失败〕,登录标识,登录尝试的日期和时间，退出的日期和时间，所运用的设备,登录后运行的内容〔如用户启动应用的尝试，无论胜利或失败〕,修改配置文件的恳求等；应用级审计跟踪监控和记录诸如翻开和关闭数据文件，读取,编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。用户审计跟踪通常记录用户直接启动的全部命令,全部的标识和鉴别尝试和所访问的文件和资源。2〕平安监控概念P276A.4.2典型产品平安审计的典型产品是网络平安审计系统〔1〕，平安监控的典型产品是入侵检测系统〔2〕和入侵防护系统〔3〕。网络平安审计系统网络平安审计系统供应了一个统一的集中管理平台。对网络中的网络设备,效劳器主机,数据库,Web效劳器等通用应用效劳系统以及各种特定业务系统在运行过程中产生的日志,消息,状态等信息进展实时采集，在实时分析的根底上，检测各种软硬件系统的运行状态，发觉各种异样事务并发出实时告警，并通过可视化的界面和报表向管理人员供应精确,详尽的统计分析数据和异样分析报告，帮助管理人员及时发觉平安隐患，实行有效措施。包括网络探测引擎,数据管理中心,审计中心3局部2〕入侵检测系统〔IDS〕通常由数据采集局部,数据分析局部,限制台局部以及日志局部几个局部构成，并且这几个部件往往放在不同的主机上。数据采集局部从整个信息系统中获得事务，并向系统的其他局部供应此事务。数据分析局部分析得到的数据，并产生分析结果。限制台局部那么是对分析结果做出反响的功能单元，它可以做出切断连接,改变文件属性等剧烈反响，也可以只是简单的报警。日志局部是存放各种中间和最终数据的地方的统称，它可以是困难的数据库，也可以是简单的文本文件。数据采集&1系统和网络日志文件&2目录和文件中的不期望的改变&3程序执行中的不期望行为&4物理形式的入侵信息数据分析目前有3种技术手段来进展分析〔各有什么优缺点〕P280-281实时的入侵检测&模式匹配实时的入侵检测&统计分析&完整性分析事后分析模式匹配：将收集到的信息及的网络入侵和系统误用模式数据库进展比拟，从而发觉违反平安策略的行为统计分析：统计分析的方法首先给系统对象〔如用户,文件,目录和设备等〕创立一个统计描述，统计正常运用时的一些测量属性〔如访问次数,操作失败次数和延时等〕。测量属性的平均值将被用来及网络,系统的行为进展比拟，任何视察值在正常值范围之外时，就认为有入侵发生。完整性分析：完整性分析主要关注某个文件或对象是否被更改，这常常包括文件盒目录的内容及属性，它在发生被更改的，被特洛伊化的应用程序方面特殊有效。限制响应方式有：记录日志,发出报警声,发送电子邮件通知管理员依据数据采集源的不同，IDS可分为主机型和网络型2种主机型入侵检测系统〔HIDS〕何时选择,优缺点网络型入侵检测系统〔NIDS〕概念,部署的地方,优缺点3〕入侵防卫系统〔IPS〕基于主机的入侵防卫系统〔HIPS〕基于网络的入侵防卫系统〔NIPS〕什么状况下选择IDS，还是IPS须要实地考察应用环境。IPS比拟适合于阻挡大范围的,针对性不是很强的攻击，但对单独目标的攻击阻截可能失效，自动预防系统也无法阻挡特地的恶意攻击者的操作。在金融应用系统中，用户除了关切遭恶意入侵外，更担忧误操作引发灾难性后果。这类系统中适合选择IDS。目前IPS还不具备足够智能识别全部对数据库应用的攻击，一般能做的也就是检测缓冲区溢出，另外IPS跟防火墙配置息息相关，假如没有安装防火墙，那么没必要安装这类在线工具。假如用户熟知网段中的协议运用并易于统计分析，那么可采纳这类技术。A.5恶意代码防范A.5.1技术简介蠕虫,逻辑炸弹,特洛伊木马等A.5.2典型产品1〕防病毒软件2〕防病毒网关A.6备份及复原A.6.1技术简介1〕数据备份完全备份,差异备份〔不去除标记，即：备份后不标记为已备份文件〕,增量备份〔去除标记〕2〕系统备份本地和远程2种方式：本地备份主要运用容错技术和冗余配置来应对硬件故障；远程备份主要应对灾难事务，有热站和冷站的选择3〕备份及复原等级1：本地备份,本地保存的冷备份2：本地备份,异地保存的冷备份数据备份后送往异地保存，在本地要做好重要网络设备,通信线路和效劳器的硬件冗余3：本地热备份站点备份4：异地活动互援备份主从系统不再固定，而是互为对方的备份系统，且备份中心也放在了异地。依据实际要求及资金投入，还可以选择&2个系统之间只限于关键应用和数据的相互备份&2个系统之间互为镜像，即0数据丢失等A.6.2典型产品1〕双机备份2〕单机容错〔可以实现更多的可用性〕A.7Web平安防护A.7.1技术简介常见的针对Web攻击的手段有SQL注入利用现有应用程序，将恶意SQL命令注入到后台数据库引擎执行的实力跨站脚本攻击〔XSS〕它允许恶意Web用户将代码植入到供应应其他用户运用的页面中。网页挂马网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，再加代码使得木马在翻开网页时运行，网页挂马的方法多种多样。A.7.2典型产品1〕Web平安检查效劳远程网页木马检查,远程网页漏洞检查基于Web效劳器的入侵防卫系统〔WIPS〕基于攻击特征检测方法以SNORT为代表的这种检测方法，类似于传统的IDS，通过抽取SQL注入,XSS攻击中的关键字，构建攻击特征库，依据特征库进展比对检测。缺点：漏报率很高，假如设置了过于严格的特征，又可能限制客户的web业务体验，甚至产生误报。基于异样攻击检测方法此方法的核心思想是通过学习期的训练，为Web应用程序自动建立各参数的正常运用模型〔URL/COOKIE〕。在此后的检测过程中依据此模型来推断实际网络中的各种行为是否异样。优势：能够不受限制地发觉各种异样行为，但异样并不意味着攻击，其误报率较高，实时性不够。VXIDVXID技术〔包括针对SQL注入攻击的VSID技术，以及针对XSS攻击的VXSSD等技术在内的Web应用攻击防护技术统称〕优势：这种基于原理的检测方式防止了对固化特征的匹配造成的高漏报率，也防止了由于检测规那么过于严苛造成的误报。A.8终端平安A.8.1技术简介内网平安问题，实质上并不是因为威胁高深莫测，而是在于内网平安管理有章可循，假如内网平安管理制度能够科学有效执行下去，内网平安问题将得到根本解决。合理管理主要包含以下几个方面〔5〕准入限制终端平安检查进程管理外设监控终端审计A.8.2典型产品管理产品很多，比方非法外联监控系统,内网平安管理系统,内网平安风险管理及审计系统和合规管理系统等这些产品一般由客户端代理〔Client〕,管理效劳器〔Server〕和策略网关〔Checkpoint〕等部件组成附录B网络攻击技术B.1网络攻击概述B.1.1网络攻击开展1〕网络攻击的自动化程度和攻击速度不断提高&扫描工具开展&攻击传播技术开展&攻击工具的限制和协调变得更加简单2〕攻击工具越来越困难攻击工具的特征比以前更难发觉，已经具备了反侦破，动态行为，攻击工具更加成熟的特点；3〕黑客利用平安漏洞的速度越来越快B.1.2网络攻击分类分类模式类型攻击角度主动攻击和被动攻击攻击目的拒绝效劳攻击〔DoS〕,获得系统权限,获得敏感信息攻击切入点缓冲区溢出,系统设置漏洞纵向实施过程获得初级权限攻击,提升最高权限攻击,后门攻击,跳板攻击攻击的类型对各种OS的攻击,对网络设备的攻击,对特定应用系统的攻击攻击分类

在最高层次，攻击可被分为两类：

主动攻击

被动攻击

主动攻击包含攻击者访问他所需信息的成心行为。比方远程登录到指定机器的端口25找出公司运行的邮件效劳器的信息；伪造无效IP地址去连接效劳器，使承受到错误IP地址的系统奢侈时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，假如要找寻他们是很简单发觉的。主动攻击包括拒绝效劳攻击,信息篡改,资源运用,欺瞒等攻击方法。

被动攻击主要是收集信息而不是进展访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探,信息收集等攻击方法。

说明：这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数状况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不确定包括可被跟踪的行为，因此更难被发觉。从另一个角度看，主动攻击简单被发觉但多数公司都没有发觉，所以发觉被动攻击的时机几乎是零。

再往下一个层次看，当前网络攻击的方法没有标准的分类模式，方法的运用往往特别敏捷。从攻击的目的来看，可以有拒绝效劳攻击(Dos),获得系统权限的攻击,获得敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击,系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获得初级权限攻击,提升最高权限的攻击,后门攻击,跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击,对网络设备的攻击,对特定应用系统的攻击等。所以说，很难以一个统一的模式对各种攻击手段进展分类。

事实上黑客实施一次入侵行为，为到达他的攻击目的会结合采纳多种攻击手段，在不同的入侵阶段运用不同的方法。因此在这篇攻击方法探讨中我们依据攻击的步骤，逐一探讨在每一步骤中可采纳的攻击方法及可利用的攻击工具。B.2网络攻击过程攻击或许分为4个步骤：信息搜集阶段，入侵阶段，提升权限阶段，隐藏踪迹阶段B.2.1信息收集攻击者搜集目标信息一般采纳7个根本步骤1〕找到初始信息一些常见的方法：&利用公开渠道搜集——公司新闻信息,公司员工信息,新闻组&Whois〔程序〕——攻击者会对一个域名执行Whois程序以找到附加的信息通过查看Whois的输出，攻击者会得到一些特别有用的信息：得到一个物理地址,一些人名和号码〔可利用来发起一次社交工程攻击〕。特别重要的是通过whois可获得攻击域的主要的〔及次要的〕效劳器IP地址&Nslookup&找到附加IP地址的一个方法是对一个特定域询问DNS&另一个得到地址的简单方法是Ping域名攻击者得到网络的地址，能够把此网络当作初始点2〕找到网络的地址范围当攻击者有了一些机器的IP地址之后，下一步须要做的就是找出网络的地址范围或者子网掩码，以保证攻击者能几种精力应付一个网络而没有闯入其他网络攻击者可以用2种方法找到这一信息&ARIN允许任何人搜寻whois数据库找到“网络上的定位信息,自治系统号码〔ASN〕,有关网络句柄和其他有关的接触点〔POC〕〞。ARINwhois允许询问IP地址，帮忙找到关于子网地址和网络如何被分割的策略信息&Traceroute可以知道一个数据包通过网络的路径，因此利用这一信息，能确定主机是否在一样的网络上。攻击者进入和确定公司地址范围的2种方法，既然有了地址范围，攻击者能接着搜集信息，下一步是找到网络上活动的机器3〕找到活动机器知道了IP范围之后，攻击者想知道哪些机器是活动的，哪些不是Ping运用Ping可以找到网络上哪些机器是活动的【一次ping一台机器】Pingwar一次同时Ping多台机器〔这种技术叫PingSweeping〕Nmap其主要是一个端口扫描仪，但也能PingSweep一个地址范围4〕找到开放端口和入口点为了确定系统中哪一个端口是开放的，攻击者会运用被称为portscanner〔端口扫描仪〕的程序。可以再一系列端口上进展以找出哪些是开放的目前流行的扫描类型是：TCPSYN扫描TCPconntect扫描FIN扫描ACK扫描常用端口扫描程序如下：Xscan：〔windows环境下〕Nmap：〔UNIX环境下〕5〕弄清操作系统攻击者知道哪些机器是活动的和哪些端口是开放的，下一步是要识别每台主机运行哪种操作系统Nmap：目前它能检测出接近400种不同的设备Xscan：可识别出常见的操作系统及网络设备6〕弄清每个端口运行的是哪种效劳&系统默认的端口21端口—FTP效劳，25端口—邮件效劳&Telnet&漏洞扫描器7〕画出网络图攻击者得到了各种信息，现在可以画出网络图使他能找出最好的入侵方法&Traceroute是用来确定源到目的地路径的程序，结合这个信息，攻击者可确定网络的布局图和每一个部件的位置&VisualPing是一个真实展示包经过网络的路线的程序，不仅向攻击者展示了经过的系统，也展示了系统的地理位置&Cheops利用了用于绘制网络图并展示网络的图形表示的技术，是使整个过程自动化的程序。假如从网络上运行，能够绘出它访问的网络局部B.2.2入侵阶段1．拒绝效劳攻击〔DenialofServiceDoS〕分2种类型：&攻击者发送一些非法的数据或数据包〔系统无法运用这些资源〕，使得系统或者网络瘫痪&向系统或网络发送大量信息，使系统或网络不能响应典型的手段：2．传统拒绝效劳攻击PingofDeathTeardrop碎片攻击的典型攻击Land攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺瞒的方式发送给被攻击主机，这种包可以造成被攻击主机因试图及自己建立连接而陷入死循环，从而很大程度地降低了系统性能。Smurf该攻击向一个子网的播送地址发一个带有特定恳求〔如ICMP回应恳求〕的包，并且将源地址伪装成想要攻击的主机地址。子网上全部主机都回应播送包恳求而向被攻击主机发包，使该主机受到攻击。SYNflood【PS:SYN〔synchronous〕是TCP/IP建立连接时运用的握手信号。在客户机和效劳器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，效劳器运用SYN+ACK应答表示接收到了这个消息，最终客户机再以ACK消息响应。这样在客户机和效劳器之间才能建立起牢靠的TCP连接，数据才可以在客户机和效劳器之间传递。】3分布式拒绝效劳攻击DDoS是攻击者常常采纳而且难以防范的攻击手段典型的拒绝效劳攻击工具如下：TFN2KTrinoo4口令攻击类型：字典攻击——运用一个包含大多数字典单词的文件，用这些单词猜想用户口令强行攻击——假如有速度足够快的计算机能尝试字母,数字,特殊字符全部的组合，将最终能破解全部的口令。组合攻击——运用词典单词，并在单词尾部串接几个字母和数字其他攻击类型口令攻击工具〔破解〕&L0phtcrack&NTSweep&NTCrack&PWDump2&Crack&JohntheRipper5欺瞒攻击IP欺瞒,电子邮件欺瞒,Web欺瞒,非技术类欺瞒IP欺瞒根本地址变化，IP欺瞒的最根本形式是搞清晰一个网络的配置，然后改变自己的IP地址，伪装成别人机器的IP地址。运用源路由选择截取数据包，利用UNIX机器上的信任关系电子邮件欺瞒Web欺瞒非技术类欺瞒6缓冲区溢出攻击B.2.3保存阶段〔1〕后门和特洛伊木马〔2〕Netcat一个能让系统将数据发送给别人的计算机并且从别的系统得到数据的程序B.2.4隐藏踪迹阶段须要隐藏4个方面的信息&日志文件&文件信息&另外的信息&网络通信流量工具：elsave.exePSPs1子网掩码子网掩码(subnetmask)又叫网络掩码,地址掩码,子网络遮罩，它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。子网掩码不能单独存在，它必需结合IP地址一起运用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两局部。子网掩码(subnetmask)是每个运用互联网的人必须要驾驭的根底知识，只有驾驭它，才能够真正理解TCP/IP协议的设置。子网掩码——屏蔽一个IP地址的网络局部的“全1〞比特模式。对于A类地址来说，默认的子网掩码是；对于B类地址来说默认的子网掩码是255.255.0.0；对于C类地址来说默认的子网掩码是。利用子网掩码可以把大的网络划分成子网，即VLSM〔可变长子网掩码〕，也可以把小的网络归并成大的网络即超网。构成要想理解什么是子网掩码，就不能不了解IP地址的构成。互联网是由很多小型网络构成的，每个网络上都有很多主机，这样便构成了一个有层次的构造。IP地址在设计时就考虑到地址安排的层次特点，将每个IP地址都分割成网络号和主机号两局部，以便于IP地址的寻址操作。IP地址的网络号和主机号各是多少位呢？假如不指定，就不知道哪些位是网络号,哪些是主机号，这就须要通过子网掩码来实现。规那么子网掩码的设定必需遵循确定的规那么。及二进制IP地址一样，子网掩码由1和0组成，且1和0分别连续。子网掩码的长度也是32位，左边是网络位，用二进制数字“1〞表示，1的数目等于网络位的长度；右边是主机位，用二进制数字“0〞表示，0的数目等于主机位的长度。这样做的目的是为了让掩码及ip地址做AND运算时用0遮住原主机数，而不改变原网络段数字，而且很简单通过0的位数确定子网的主机数〔2的主机位数次方-2，因为主机号全为1时表示该网络播送地址，全为0时表示该网络的网络号，这是两个特殊地址〕。只有通过子网掩码，才能说明一台主机所在的子网及其他子网的关系，使网络正常工作。作用子网掩码是一个32位地址，是及IP地址结合运用的一种技术。它的主要作用有两个，一是用于屏蔽IP地址的一局部以区分网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。二是用于将一个大的IP网络划分为假设干小的子网络。运用子网是为了减少IP的奢侈。因为随着互联网的开展，越来越多的网络产生，有的网络多那么几百台，有的只有区区几台，这样就奢侈了很多IP地址，所以要划分子网。运用子网可以提高网络应用的效率。通过IP地址的二进制及子网掩码的二进制进展及运算，确定某个设备的网络地址和主机号，也就是说通过子网掩码辨别一个网络的网络局部和主机局部。子网掩码一旦设置，网络地址和主机地址就固定了。子网一个最显著的特征就是具有子网掩码。及IP地址一样，子网掩码的长度也是32位，也可以运用十进制的形式。例如，为二进制形式的子网掩码：11111111.11111111.11111111.00000000，采纳十进制的形式为：。通过计算机的子网掩码推断两台计算机是否属于同一网段的方法是，将计算机十进制的IP地址和子网掩码转换为二进制的形式，然后进展二进制“及〞(AND)计算〔全1那么得1，不全1那么得0〕，假如得出的结果是一样的，那么这两台计算机就属于同一网段。计算方式由于子网掩码的位数确定于可能的子网数目和每个子网的主机数目。在定义子网掩码前，必需弄清晰原来运用的子网数和主机数目。依据子网数利用子网数来计算在求子网掩码之前必需先搞清晰要划分的子网数目，以及每个子网内的所需主机数目。1)将子网数目转化为二进制来表示2)取得该二进制的位数，为N3)取得该IP地址的类子网掩码，将其主机地址局部的的前N位置1即得出该IP地址划分子网的子网掩码。如欲将B类IP地址划分成27个子网：1)27=110112)该二进制为五位数，N=5主机地址即为划分成27个子网的B类IP地址的子网掩码〔事实上是划成了32-2=30个子网〕。这一段介绍的是旧标准下计算的方法，关于旧的标准后文在介绍，在新标准中那么可以先将27减去1，因为计算机是从0开场计算的，从0到27事实上是有28个，所以说假如须要27个就须要将27减去1。依据主机数利用主机数来计算1)将主机数目转化为二进制来表示2)假如主机数小于或等于254〔留意去掉保存的两个IP地址〕，那么取得该主机的二进制位数，为N，这里确定N<8。假如大于254，那么N>8，这就是说主机地址将占据不止8位。主机地址位数全部置1，然后从后向前的将N位全部置为0，即为子网掩码值。如欲将B类IP地址划分成假设干子网，每个子网内有主机700台：1)700=10101111002)该二进制为十位数，N=10主机地址即。这就是该欲划分成主机为700台的B类IP地址的子网掩码。/24表示网段是，子网掩码是24位，子网掩码为：，用二进制表示为：11111111111111111111111100000000，这里为什么是24呢，就是因为子网掩码里面的前面连续的“1〞的个数为24个，确定要连续的才行。再给你举个例子，/28表示的意思是网段是，子网掩码为：40，用二进制表示为：11111111111111111111111111110000。这时候你或许就怀疑了，就是24和28两个字不一样，为什么网段是一样的呢？24位说明网络位是24位，那么主机位就是32-24=8位了，那么子网的IP个数是254个，即是从00000001到11111110.28位说明网络位是28位，那么主机位4位，那么子网的IP个数是14个，即是从00000001到00001110.增量计算法子网ID增量计算法〔即计算每个子网的IP范围〕其根本计算步骤如下：第1步，将所需的子网数转换为二进制，如所需划分的子网数为“4〞，那么转换成成二进制为00000100；第2步，取子网数的二进制中有效位数，即为向缺省子网掩码中参与的位数〔既向主机ID中借用的位数〕。如前面的00000100，有效位为“100〞，为3位〔在新标准中只须要2位就可以了〕；第3步，确定子网掩码。如IP地址为B类网络，那么缺省子网掩码为：，借用主机ID的3位以后变为：255.255.224〔11100000〕0，即将所借的位全表示为1，用作子网掩码。第4步，将所借位的主机ID的起始位段最右边的“1〞转换为十进制，即为每个子网ID之间的增量，如前面的借位的主机ID起