计算机网络安全技术（第7版）（微课版） 课件全套 石淑华 第1-6章 网络安全概述 - Windows 安全

网络安全的重要性没有网络安全，就没有国家安全没有网络安全，就没有社会稳定运行没有网络安全，就没有个人信息安全的保障网络安全的重要性网络安全关系到“国计民生”来源：

中国互联网络发展状况统计调查

2023.6截至2023年6月，我国网民规模达10.79亿人，较2022年12月增长1109万人；互联网普及率达76.4%，较2022年12月提升0.8个百分点。截至2023年6月，我国手机网民规模达10.76亿人，较2022年12月增长1109万人，网民使用手机上网的比例为99.8%。第52次中国互联网络发展状况统计报告信息泄露—对个人的影响

2013年12月，支付宝大量用户信息被泄露。泄露规模：约5亿客人信息（涉及2014-2018年入住客户）

泄露内容：姓名、护照号码、联系方式、出生日期、部分信用卡信息及入住时间记录攻击方式：

攻击者通过第三方收购的喜达屋酒店预订系统漏洞，持续渗透4年未被发现后果：被英国ICO罚款1840万英镑遭遇集体诉讼赔偿超1.2亿美元品牌声誉严重受损万豪国际集团数据泄露（2018）信息泄露—对个人的影响信息泄露—对个人的影响2022年4月，美国知名投资公司CashAppInvesting的820万客户数据被泄漏。（CashApp是由金融服务公司Block推出的一款移动支付应用，帮助用户发送、接收和存储钱款以及购买理财产品等，）信息泄露—对个人的影响2022年6月，万豪酒店20GB的敏感数据被泄露思考：如果泄露的是自己信息，后果是什么？2.法律层面的保护：《网络安全法》第42条讨论企业数据保护义务。

《中华人民共和国个人信息保护法》（2021）安全事件对社会的影响2013年4月，美联社官方推特账户遭到黑客入侵，发出“白宫发生两次爆炸、奥巴马总统受伤”的消息，令美股猛然下挫。2020年4月葡萄牙跨国能源公司EDP集团遭黑客勒索安全事件对社会的影响1重点加强电网设施的安全建设及电力企业内部的安全防护尤为重要1.EDP集团是欧洲能源行业（天然气和电力）最大的运营商之一。2.下载10TB的私密信息；3.索要1580的比特币赎金（约1090万美元/990万欧元）2019年3月，委内瑞拉全国性断电，导致数百万民众一连几天陷入黑暗，停电也使得全国80%的地区停水，那场几乎全国性的、反复遭到破坏、持续数天仍无法全面恢复供电的电力灾难。视频1安全事件对社会的影响2委内瑞拉大停电事件的三点警示一、电力等工业基础设施成为网络战首选目标除电力外，水库、大坝、银行、证券、保险、民航、铁路等涉及国计民生的工业基础设施基本也实现了信息化和网络化。由于它们对于保障国家经济命脉、社会稳定至关重要，也都极易成为网络战攻击的首选目标。二、网络战已经成为国家安全的重大风险

有大量针对我国实施攻击的境外APT组织三、工业与网络安全跨产业协作迫在眉睫对国家安全层面的影响1.2010年，美国情报机构使用“震网”病毒（Stuxnet）攻击伊朗核设施。（网络战的教科书范例）伊朗纳坦兹建立核工厂•影响：该病毒攻击了伊朗的核设施，导致大量离心机损坏，严重影响了伊朗的核计划。这一事件展示了网络攻击对国家安全和关键基础设施的潜在威胁。•启示：震网病毒事件凸显了网络安全在国家安全中的重要性，尤其是对关键基础设施的保护。美国选举干预事件（2016年）背景：2016年美国总统大选期间，俄罗斯黑客被指控通过网络攻击和社交媒体操纵干预选举。影响：黑客入侵了民主党全国委员会的电子邮件系统，并泄露了大量内部信息，影响了选民的舆论和选举结果2。启示：这一事件表明，网络攻击不仅威胁技术安全，还可能影响政治稳定和国家安全。斯诺登事件斯诺登事件对国家安全层面的影响爱德华·斯诺登，前CIA（美国中央情报局）技术分析员棱镜计划是由美国国家安全局自2007年起开始实施的绝密电子监听计划参考资料：电影

第四公民（劳拉·珀特阿斯执导，爱德华·斯诺登主演的纪录片，于2014年10月24日在美国上映。该片讲述的是斯诺登将美国国家安全局机密文件披露给英国《卫报》和美国《华盛顿邮报》等新闻媒体的过程及后续，还原“棱镜门”事件。）斯诺登事件对国家安全层面的影响2022年，美国国家安全局（NSA）针对西北工业大学的攻击。对国家安全层面的影响2022年，美国国家安全局（NSA）针对西北工业大学的攻击。（视频）美国针对中国境内目标使用的黑客攻击Quantum（量子）攻击系统（2022年）系统包括9个模块，自动化、工业化的攻击1.QUANTUMINSERT（量子注入）2.QUANTUMBOT（量子傀儡）3.QUANTUMBISCUIT（量子饼干）4.QUANTUMDNS（量子DNS）5.QUANTUMHAND（量子掌握）6.QUANTUMPHANTOM（量子幻影）7.QUANTUMSKY（量子天空）8.QUANTUMCOPPER（量子警察）9.QUANTUMSMACKDOWN（量子下载）/s?id=1727994745034458308&wfr=spider&for=pc网络、数据安全,事关国家安全数据竞争事关国家竞争网络系统脆弱性分析主讲老师石淑华网络系统脆弱性的原因开放的系统协议本身的脆弱性操作系统的漏洞应用软件的漏洞人为因素用户身份和位置真假难辨开放性的网络环境在因特网上没有人知道你是一条狗公开的网络协议开放性的网络环境常见安全风险应用层传输层网络层链路层物理层漏洞、缓冲区溢出攻击WEB应用的攻击、病毒及木马、TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描……IP欺骗、Smurf攻击、ICMP攻击、地址扫描……MAC欺骗、MAC泛洪、ARP欺骗……设备破坏、线路侦听信息安全的脆弱性及常见安全攻击协议栈自身的脆弱性信息安全的脆弱性及常见安全攻击协议栈自身脆弱性缺乏数据源验证机制缺乏机密性保障机制缺乏完整性验证机制针对TCP/IP协议的攻击协议本身的脆弱性层协议名称攻击类型攻击利用的漏洞网络层ARPARP欺骗ARP缓存的更新机制IPIP欺骗IP层数据包是不需要认证的传输层TCPSYNFlood攻击TCP三次握手机制应用层FTP、SMTP监听明文传输操作系统的安全性操作系统程序本身的Bug操作系统的安全配置不到位操作系统的安全性应用软件的漏洞数据库、中间件、各类应用服务器、应用软件应用软件的漏洞AdobePhotoshop在2022年5月公布了存在高危漏洞，攻击者可通过诱导用户打开恶意文件实现任意代码执行。2022年1-6月，检测出存在高危漏洞的移动应用占比变化应用软件的漏洞2023年全球10大数据安全和网络攻击事件盘点网络安全概念主讲老师石淑华涉及网络安全的学科信息论通信技术网络技术计算机科学密码技术应用数学数论信息论法律网络安全发展历程1969年，美国兰德公司首次公开提到计算机安全问题。七八十年代，由于各类计算机管理系统开始发展，“计算机安全”开始逐步演化为“信息系统安全”。二十世纪八十年代后期，“网络安全”和“信息安全”开始被广泛采用。后来出现了信息安全、网络安全、信息网络安全、网络信息安全等概念。2017年，《网络安全法》出台后，“信息安全”调整为“网络安全”，“信息安全等级保护制度”调整为“网络安全等级保护制度”。网络安全概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因，而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络：包括网络设施、信息系统、数据资源等。网络安全的要素保密性（confidentiality）完整性（integrity）可用性（availability）可控性（controllability）不可否认性（Non-repudiation）CIA信息安全金三角保密性保密性：确保信息不暴露给未授权的实体或进程。目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击举例说明：通过加密技术保障信息的保密性信息安全的要素明文任何类型的未加密数据，用M表示举例：“Hello，我是A！”密文加密的消息，用C表示举例：55e@ETVBtt5%FhtjRG$gfh加密过程解密过程完整性只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据。可以防篡改。明文举例：“Hello，这里是深圳职业技术大学！”密文举例：“Hello，这里是深圳技术大学！被篡改信息不完整！！！信息安全的要素可用性得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。提供服务的服务器提供资源服务授权的用户未授权的用户不提供资源服务访问服务器资源信息安全的要素可控性可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。信息安全的要素不可否认性对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。信息安全的要素服务器B服务器A审计日志用户X用户Y数字签名网络安全的目的进不来拿不走改不了跑不了看不懂网络安全发展历史主讲老师石淑华信息安全发展历史通信保密阶段（20世纪40-70年代）计算机安全阶段（20世纪70-80年代）信息系统安全阶段（20世纪90年代）信息安全保障阶段（21世纪）信息安全发展历史通信保密阶段（20世纪40-70年代）计算机安全阶段（20世纪70-80年代）信息系统安全阶段（20世纪90年代）信息安全保障阶段（21世纪）通信保密阶段又称通信安全时代主要安全威胁：搭线窃听、密码学分析重点是通过密码技术，保证数据的保密性与完整性。标志事件：1949年Shannon发表的《保密通信的信息理论》1977年美国国家标准局公布的数据加密标准(DES)1976年Diffie和hellman在提出的公钥密码体制计算机安全阶段（20世纪70-80年代）主要威胁：扩展到非法访问、恶意代码、脆弱口令等。重点：确保计算机系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。主要标志：1983年美国国防部公布的可信计算机系统评估准则（TCSEC）信息系统安全阶段（20世纪90年代）重点：保护信息系统不被破坏。强调信息的保密性、完整性、可控性、可用性。主要威胁：网络入侵、病毒破坏、信息对抗的攻击等。主要保护措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN、安全管理等。主要标志：1996年美国《信息技术安全性通用评估准则》，简称CC标准。信息安全保障阶段（21世纪）重点：保障国家信息基础设施不被破坏。主要安全威胁：集团、国家的有组织的对信息基础设施进行攻击等。主要保护措施：灾备技术、建设面向网络恐怖与网络犯罪的国际法律秩序与国际联动的网络安全事件的应急响应技术。主要标志是：2010年美国审议了《2010年网络安全法案》,2011年英国公布新的《网络安全战略》.国际信息安全标准发展的联系1985年美国国防部TCSEC1991年美国联邦政府评价准则FC1996年国际通用准则CC1999年ISO标准154081990年加拿大CTCPEC1990年欧洲ITSEC2001年GB/T18336我国信息安全的发展历程1994年公安部颁布“中华人民共和国计算机信息系统安全保护条例”2000年启动阶段，成立网络与信息安全协调小组，2001年制定GB183362014年中央网络安全与信息化领导小组成立，“网络安全法”被写入政府工作报告2015年十二届全国人大常委会审议了《网络安全法（草案）》我国信息安全的发展历程2016年12月27日发布并实施《国家网络空间安全战略》2017年6月1日《网络安全法》正式生效2019年5月《信息安全技术网络安全等级保护基本要求》等核心标准正式发布。等保2.0网络安全等级保护制度等保1.0等保2.0标志：《中华人民共和国网络安全法》，《网络安全法》的出台将等级保护工作从政府政令上升到国家法律。我国信息安全的发展历程2016年12月27日发布并实施《国家网络空间安全战略》2017年6月1日《网络安全法》正式生效2019年5月《信息安全技术网络安全等级保护基本要求》等核心标准正式发布。2020年颁布《中华人民共和国个人信息保护法》网络安全涉及的内容主讲老师石淑华网络安全涉及的内容数学编程语言心理学法律计算机通信信息安全等级保护的内容等保2.0通用要求技术管理扩展要求云计算、移动互联、物联网、工业控制系统工、物、移、云信息安全等级保护-通用部分物理和环境安全网络和通信安全设备和计算安全应用和数据安全技术物理安全：免遭地震、水灾、火灾等环境事故，以及人为操作失误、错误或者各种计算机犯罪行为导致的破坏。环境安全：考虑及防范火灾、电力供应中断等，还要考虑环境的温度和湿度是否适宜。信息安全等级保护-通用技术部分物理和环境安全网络和通信安全设备和计算安全应用和数据安全技术信息系统网络建设以维护用户网络活动的保密性、网络数据传输的完整性和应用系统可用性为基本目标。强调对网络整体的安全保护，包括：通信传输、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和集中管控。信息安全等级保护-通用技术部分物理和环境安全网络和通信安全设备和计算安全应用和数据安全技术通常指网络设备、安全设备和终端设备等节点设备自身的安全保护能力，一般通过启用防护软件的相关安全配置和策略来实现。包括各设备的操作系统本身的安全以及安全管理与配置内容。信息安全等级保护-通用技术部分物理和环境安全网络和通信安全设备和计算安全应用和数据安全技术指保障应用程序使用过程和结果的安全。包括：1.

数据本身的安全，主要是采用密码算法对数据进行主动保护；2.

数据存储的安全，通过数据备份、异地容灾等手段保证。信息安全等级保护-通用管理部分等保2.0通用要求技术物理和环境安全网络和通信安全设备和计算安全应用和数据安全管理安全策略和管理制度安全管理机构和人员安全建设管量安全运维管理扩展要求云计算、移动互联、物联网、工业控制系统三分的技术，七分的管理木桶理论网络安全不是目标，而是过程没有绝对的安全安全原则信息安全方面法律法规主讲老师石淑华信息安全的要求从国家层面：要制定和完善信息安全法律、法规，宣传信息安全道德规范；从公民的层面：要培养自己职业道德素养，做一个遵纪守法的公民。信息安全法历史瑞典1973年就颁布了《数据法》，世界上首部直接涉及计算机安全问题的法规。1983年美国公布了可信计算机系统评价准则（TCSEC），简称橙皮书。橙皮书为计算机的安全级别进行了分类，分为A、B、C、D级，由高到低。美国国外网络安全法律政策1987年《计算机安全法》《2002年联邦信息安全管理法》《2010年网络安全法案》《国家网络基础设施保护法案2010》英国2010年《战略防务与安全审查--“在不确定的时代下建立一个安全的英国”》2011年《网络安全战略》国外网络安全法律政策澳大利亚2001年《保护国家信息基础设施政策》2009年《国家信息安全战略》国外网络安全法律政策印度2000年《信息技术法》2013年《国家网络安全政策》国外网络安全法律政策《中华人民共和国刑法》拒不履行信息网络安全管理义务罪第二百八十六条之一网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，将受到什么处罚？A、处五年以下有期徒刑或者拘役B、拘留C、罚款D、警告2006年10月16日由25岁的湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的文件传染。2007年2月12日，湖北省公安厅宣布，李俊以及其同伙共8人已经落网，这是中国警方破获的首例计算机病毒大案。李俊因非法交易被判4年有期徒刑。我国信息安全相关的法律、法规法律：在我国专指由全国人民代表大会及其常委会依照立法程序制定，其法律效力仅次于宪法。法规：法律效力相对低于宪法和法律的规范性文件，可以由国务院及其所属政府部门根据宪法和法律规定而制定和颁布的行政法规。2017年6月，《中华人民共和国网络安全法》正式实施，标志着网络安全被提升至国家安全战略的新高度，网络安全保护成为必须遵守的法则和义务。我国信息安全相关的法律、法规2017年6月，《中华人民共和国网络安全法》正式实施，标志着网络安全被提升至国家安全战略的新高度，网络安全保护成为必须遵守的法则和义务。指出：国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才。强调：网络运营者应当按照《网络安全等级保护制度》的要求，履行的安全保护义务，建立健全用户信息保护制度。《中华人民共和国网络安全法》第一章总则

（1---14）第二章网络安全支持与促进（15---20）第三章网络运行安全（21---39）

第一节一般规定

第二节关键信息基础设施的运行安全第四章网络信息安全

（40---50）第五章监测预警与应急处置（51---58）第六章法律责任

（59---75）第七章附则

（76---79）定位：保护功能《中华人民共和国网络安全法》第一条

为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。第二条

在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。1.

个人信息保护案例：2018年，某快递公司因内部员工泄露用户信息，导致大量个人信息被非法出售。依据《网络安全法》第42条和第64条，公司被责令整改并罚款。意义：该案凸显了企业在个人信息保护中的责任，法律要求其采取技术措施防止信息泄露。2.

关键信息基础设施保护案例：2019年，某能源公司因未按规定对其关键信息基础设施进行等级保护测评，被监管部门依据《网络安全法》第31条和第59条处罚。意义：该案强调了关键信息基础设施运营者的安全保护义务，确保国家安全和社会稳定。3.

网络产品和服务的安全审查案例：2020年，某科技公司未对其网络产品进行安全检测，导致用户数据泄露。依据《网络安全法》第22条和第60条，公司被责令整改并罚款。意义：该案表明网络产品和服务提供者必须确保产品符合国家标准，保障用户安全。《中华人民共和国网络安全法》-案例4.

网络实名制案例：2021年，某社交平台未严格执行实名制，导致大量虚假账号传播谣言。依据《网络安全法》第24条和第61条，平台被责令整改并罚款。意义：该案强调了网络运营者落实实名制的责任，防止虚假信息传播。5.

网络安全事件应急响应案例：2022年，某金融机构遭遇网络攻击，未及时报告和处置，导致客户数据泄露。依据《网络安全法》第25条和第59条，机构被责令整改并罚款。意义：该案凸显了网络安全事件应急响应的重要性，运营者需及时报告并采取措施。6.

跨境数据传输案例：2023年，某跨国公司未经安全评估将中国用户数据传输至境外，违反《网络安全法》第37条，被责令停止传输并罚款。意义：该案表明跨境数据传输需符合法律规定，确保数据安全。《中华人民共和国网络安全法》-案例我国信息安全相关的法律、法规时间名称1988年中华人民共和国保守国家秘密法（法律）1991年计算机软件保护条例（法规）1994年中华人民共和国计算机信息系统安全保护条例（法规）1997年计算机信息网络国际联网安全保护管理办法（法规）1999年计算机信息系统安全保护等级划分准则（规范性文件）2004年中华人民共和国电子签名法（法律）2017年中华人民共和国网络安全法（法律）2019年网络安全等级保护制度2.0（规范性文件）2019年中华人民共和国密码法（法律）2021年中华人民共和国数据安全法（法律）2021年中华人民共和国个人信息保护法（法律）2021年关键信息基础设施安全保护条例（法规）/信息安全的重要性“美国加密技术公司RSA为美国政府在加密算法里安置后门。”——斯诺登信息安全的重要性密码是国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑。《中华人民共和国密码法》规范密码应用和管理，促进密码事业发展，保障网络与信息安全。作为高等院校计算机与信息技术专业学生学习内容涉及：密码理论、黑客攻防、访问控制、等技术层面的内容；目的：保护网络，不能使用某些工具、技术非法入侵他人的计算机或者企业的网络。信息安全领域的职业道德信息安全领域的职业道德一、维护国家、社会和公众信息的安全自觉维护国家信息安全，拒绝并抵制泄露国家机密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络谋取非法利益和破坏社会和谐的行为；自觉维护公众信息的安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私信息的行为；作为信息安全从业人员二、诚实守信，遵纪守法不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。信息安全领域的职业道德作为信息安全从业人员三、努力工作，尽职尽责热爱信息安全工作岗位；充分认识信息安全专业工作的责任和使命；为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力。信息安全领域的职业道德作为信息安全从业人员黑客攻防概述黑客是一个中文词语，皆源自英文hacker，随着灰鸽子的出现，灰鸽子成为了很多假借黑客名义控制他人电脑的黑客技术，于是出现了“骇客”与"黑客"分家。2012年电影频道节目中心出品的电影《骇客（Hacker)》也已经开始使用骇客一词，显示出中文使用习惯的趋同。2.1 概述黑客实际上，黑客（或骇客）与英文原文Hacker、Cracker等含义不能够达到完全对译，这是中英文语言词汇各自发展中形成的差异。Hacker一词，最初曾指热心于计算机技术、水平高超的电脑高手，尤其是程序设计人员，逐渐区分为白帽、灰帽、黑帽等，其中黑帽（blackhat）实际就是cracker。凯文•米特尼克是美国20世纪最著名的黑客之一，他是《社会工程学》的创始人《欺骗的艺术》史上5大最危险的黑客电影：骇客追缉令/video/av2149309/2.1 概述凯文•米特尼克2.1 概述传统现在动机对技术的兴趣政治、经济利益手段渗透入侵木马僵尸网络危害拒绝服务信息泄露2.1 概述网络攻击发展趋势12攻击组织化手段体系化3动机利益化2.1 概述攻击从个人作战向组织犯罪转变2.1 概述攻击手段体系化APT内部威胁组合攻击SQL注入僵尸网络跨站脚本木马后门0DAY漏洞APT:

AdvancedPersistentThreat--------高级持续性威胁/v?pd=wisenatural&vid=1032041754210152819Bvp47-美国NSA方程式组织的顶级

2.1 概述动机利益化2.1 概述黑客攻击的一般过程确定目标信息收集踩点扫描攻击口令破解监听欺骗社会工程学ARP/IP欺骗拒绝服务漏洞利用缓冲区溢出管理漏洞隐藏日志清除留下后门木马扫描器工作原理及应用石淑华扫描器概念原理扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。概念扫描器是检测本地或远程主机（设备）安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。扫描器分类漏洞扫描：是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。扫描器主机操作系统存活类型端口UDPTCP口令检测漏洞检测系统漏洞应用软件漏洞网络

Nmap扫描主机ICMP常用类型类型代码描述00EchoReply30NetworkUnreachable31HostUnreachable32ProtocolUnreachable33PortUnreachable50Redirect80EchoRequestTCPSYN扫描的原理TCP数据包

NMAP主机发现主机发现（HostDiscovery）识别网络上的主机状态。例如，发送ARP、ICMP或TCP请求，根据响应情况判断主机是否存活。默认情况下，Nmap会发送四种不同类型的数据包来探测目标主机是否存活：①

发送

ICMPechorequest

-sP

②

发送TCPSYNpackettoport-PS（默认目的端口为80）③

发送TCPACKpackettoport-PA（默认目的端口为80）④

发送ARPrequest-PR（广播域）依次发送这四个报文对目标主机进行探测，只要收到其中一个包的回复，目标主机存活。使用四种不同类型的数据包可以避免因防火墙或丢包造成错误判断。-P0或者-Pn（无ping）

TCP端口扫描原理：TCP三次握手ClientServerSYNSYN+ACKACK端口的状态Open：意味着能够与目标主机在这个端口建立连接closed：关闭Filtered：表示防火墙或者其它的网络安全软件掩盖了这个端口，无法确定其状态。

unfiltered:未过滤的,仅用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。open|filtered：端口是开放的或被屏蔽（无法确定端口是开放还是被过滤）closed|filtered：端口是关闭的或被屏蔽（无法确定端口是开放还是被过滤）

全连接端口扫描ClientServerSYNSYN+ACKACKClientServerSYNRST有的系统回复：RST+ACK端口开放端口关闭原理RST2.2.2 全连接端口扫描全连接扫描的优缺点优点缺点AB不需要管理员权限效率较低操作系统记录日志2.2.3 半开连接端口扫描原理：三次握手的过程ClientServerSYNSYN+ACKACK？ClientServerSYNRST端口开放端口关闭2.2.3 半开连接端口扫描SYN（半连接）扫描的优缺点优点缺点AB扫描效率高操作系统不记录日志扫描主机需要管理员权限会被防火墙或IDS记录日志2.2.4 Nmap扫描主机其他扫描方式FIN扫描（-sF）圣诞树扫描（-sX）2.2.4 Nmap扫描主机UDP主机扫描的原理2.2.4 Nmap扫描主机UDP主机扫描UDP（数据随机）（端口开放，无响应）端口关闭，系统返回ICMP端口不可达2.2.4 Nmap扫描主机UDP扫描的优缺点优点缺点AB可同时扫描主机存活和端口状态扫描结果不够准确（返回的ICMP包可能会被防火墙阻断）2.2.4 Nmap扫描参数nmap-sTTCPconnect扫描nmap-sS使用SYN扫描，不需要完成三次握手nmap-sU扫描UDP端口nmap-sFFIN扫描，用于探测防火墙状态，nmap-sV扫描目标主机的端口和软件版本nmap-O远程检测操作系统和软件nmap-A综合扫描，包含1-10000的端口ping扫描，操作系统扫描，脚本扫描，路由跟踪，服务探测-P0(无ping)完全跳过Nmap发现阶段。2.2 信息收集思考：扫描器通过什么来判断端口的状态呢？2.2.5 主机扫描的防护端口扫描的防范关闭不必要的端口和服务必要时使用防火墙屏蔽端口使用IDS检测对重要主机的TCP连接请求网络查询主讲老师石淑华渗透步骤信息收集漏洞利用清除痕迹留下后门内网渗透信息收集第一步踩点扫描查点信息收集网络踩点的第一步网络踩点GooglehackingWhois域名IP地址知识点：GooglehackingGooglehacking自动提取网页的程序网页蜘蛛、网络机器人爬虫协议网站根目录下robots.txtUser-agent:GooglebotAllow:/folder1/myfile.htmlDisallow:/folder1/网络爬虫Googlehacking敏感信息举例标题包含Indexof:暴露网站的内容细节

网站地址中有data/admin/ver.txt：织梦CMS，暴露过大量漏洞敏感信息百度：indexof/adminGooglehacking敏感信息被爬虫扒出搜索时大海捞针高级搜索高级搜索GooglehackingInurl:网址中包含指定字符Intitle:网页标题中包含指定字符

Intext:网页内容中包含指定字符

Inurl:amin查找管理员入口Inurl:php?查找注入或包含漏洞入口Inurl:viewerframe?mode=motion查找在线摄像头Intitle:”indexof”查找文件目录结构Intitle:phpMyAdmin查找PHP数据库管理入口Intitle:管理查找中文网站的管理入口Intext:”poweredbydedecms”查找使用织梦的网站Intext:username&password查找登录页面Intext:登录查找中文网站后台高级搜索GooglehackingSite:搜索指定的网站Filetype:指定搜索文件类型

Cache:缓存里的内容

与其他关键字搭配使用，限定搜索范围搜素二级域名数据库相关文件mdb、sql备份文件bak包含文件inc文档文件docx、xlsx查询指定网页的缓存（快照）高级搜索空间搜索引擎空间搜索引擎

是一种专门用于搜索和索引互联网上可用的网络资源和信息的工具。它们通常提供对网络空间中各种资产的搜索，包括但不限于域名、IP地址、服务器、应用程序等。以下是一些常用的网络空间搜索引擎：1.FOFA

：它通过网络空间测绘帮助研究人员或企业迅速进行网络资产匹配，例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。Shodan：一款国外的网络空间搜索引擎，能够查询到连接到互联网的各种设备，如红绿灯、安全摄像头等。Shodan的基本语法包括主机名/域名、端口、网络范围和城市等。Zoomeye：一款国内的空间搜索引擎，提供对网络空间中各种资产的搜索，如域名、IP地址、服务器、应用程序等。Censys：也是一款常用的网络空间搜索引擎。360Quake：由360网络安全响应中心

自主设计研发的全球网络空间测绘系统，能够对全球IPv4、IPv6地址进行持续性探测，实时感知全球网络空间中各类资产并发现其安全风险。

1.FOFA/1.搜索：title="后台"2.is_domain=true表示搜索域名ip="0"&&port="2078"Fofa语法header=“edu"从http头中搜索“edu”body="网络空间测绘"从html正文中搜索“网络空间测绘”

domain=""搜索根域名带有的网站。

icp="京ICP证030173号"查找备案号为“京ICP证030173号”的网站

js_name="js/jquery.js"查找网站正文中包含js/jquery.js的资产

cname=""查找cname为""的网站cname_domain=""查找cname包含“”的网站

cloud_name="Aliyundun"new通过云服务名称搜索资产host="."从url中搜索”.”port="6379"查找对应“6379”端口的资产ip=""从ip中搜索包含“”的网站ZoomEys：/Shodan：

https://www.shodan.io/知识点：Whois查询网络踩点的第二步网络踩点GooglehackingWhois域名IP地址Whois查询域名WHOIS查询：注册人、电话、邮箱、DNS、地址IP地址WHOIS查询：网段所属网络名称、国家、地区、管理员WHOIS反查：使用邮箱、电话等反查获得更多关联域名信息WHOIS的概念IP地址查询地理位置查询IP地址查询

http://www.webscan.cc旁站查询IP地址查询192.168.1.10A段B段C段D段C段查询：IP地址A、B、C段相同其他IP地址信息C段查询dnsenum是一款用于收集DNS信息的工具，通过字典爆破、搜索引擎、whois查询、区域传输等手段，获取域名背后的DNS信息并发现不连续的IP地址。可以用它进行如下操作：获取主机记录（A记录）获取域名服务器获取MX记录通过Google抓取获取额外的域名和子域（Googlequery=“allinurl:-wwwsite:domain”）通过字典文件进行暴力破解子域，也可以对具有NS记录的子域执行递归查询计算C类网络地址范围并对其进行whois查询dnsenumdnsenum[Options]＜domain＞[选项]：--dnsserver＜server＞将此DNS服务器用于A、NS和MX查询。-h、--help打印此帮助消息。-t、--timeout＜value＞tcp和udp超时值，以秒为单位（默认值：10s）。--threads＜value＞将执行不同查询的线程数。-v、--verbose详细：显示所有进度和所有错误消息。口令破解主讲老师石淑华口令认证的优缺点20世纪80年代，当计算机开始在商业公司里广泛应用时，人们很快就意识到需要保护计算机中的信息。仅仅使用一个userID来标识用户身份，容易被冒名登录。基于这一考虑，口令认证要求用户登录时不仅要提供userID来标识自己是谁，还要提供只有自己才知道的口令来向系统证明自己的身份。口令认证的历史口令认证的优缺点口令是一种非常常见的身份认证方式基于用户名口令的身份认证实现简单广泛应用于各种系统登陆认证口令认证的优点口令认证的优缺点单因子的认证，安全性仅依赖于口令；用户往往选择容易记忆，也容易被猜测的弱口令；不同安全级别系统，用户往往采用相同口令，低安全级别系统较容易被攻破，威胁到高安全级别系统；口令认证的缺点口令认证的优缺点用户的口令以文件方式保存在认证方，入侵者容易利用系统漏洞，获取文件进行离线破解；口令在传输过程中容易被截获；口令认证的缺点口令认证的优缺点只能单向认证，系统认证用户，用户无法认证系统；口令认证易遭受重放攻击。口令认证的缺点破解口令的方法常见破解方式字典攻击暴力破解组合攻击破解口令的方法字典攻击字典是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件。使用一个或多个字典文件，利用里面的单词列表进行口令猜测的过程，就是字典攻击。常见破解方式破解口令的方法暴力破解如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种攻击方式叫做暴力破解。分布式暴力破解常见破解方式破解口令的方法组合攻击字典攻击虽然速度快，但是只能破解字典单词口令；暴力破解能发现所有口令，但是破解的时间长。组合攻击是在使用字典单词的基础上，在单词的后面串接几个字母和数字进行攻击的攻击方式。常见破解方式破解口令的方法常见攻击方式的比较破解口令的方法社会工程学偷窥口令蠕虫键盘记录类木马网络嗅探重放攻击其他破解方式撞库攻击2014年12月25日上午10：59，乌云网发布漏洞报告称，大量12306用户数据在网络上疯狂传播。本次泄露事件被泄露的数据达131653条，包括用户账号、明文密码、身份证和邮箱等多种信息，共约14M数据。撞库攻击大事件撞库攻击12306回应：泄露的用户信息系经其他网站渠道流出国内安全机构知道创宇确认12306数据泄露事件为“撞库攻击”。撞库攻击大事件撞库攻击2014年，用户账号泄露，京东称遭受撞库攻击。2015年，黑客窃取9900万个淘宝账户，阿里称遭遇撞库。2016年，百度云遭撞库攻击,50万账号被盗。撞库攻击大事件撞库攻击黑客收集互联网已泄露的用户+密码信息黑客生成对应的字典表利用字典表，尝试批量登陆其他网站，得到一系列可以登陆的用户撞库攻击定义撞库攻击建议：不同的站点设置不同的密码对抗撞库撞库攻击的防范口令不出现在黑客字典中口令不能被轻易猜解出来破解口令的防范方式避免选取弱口令选择安全的口令硬盘分区采用NTFS格式正确设置和管理帐户禁止不需要的服务关闭不用的端口禁止建立空连接破解口令的防范方式防止口令猜测攻击密码长度最小值密码必须符合复杂性要求强制密码历史密码最长使用期限密码最短使用期限破解口令的防范方式设置安全策略账户锁定阈值账户锁定时间破解口令的防范方式设置账户锁定策略不要将口令写下来不要将口令存于电脑文件中不要选取显而易见的信息作口令不要让别人知道不要在不同系统上使用同一口令为了防止眼捷手快的人窃取口令，在输入口令时应当确定无人在身边定期更换口令，至少6个月要改变一次破解口令的防范方式保护口令的安全习惯SMB协议SMB的全称是ServerMessageBlock，是一种协议。SMB是一种客户机/服务器、请求/响应协议。通过SMB协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。此外通过SMB协议，应用程序可以访问远程服务器端的文件、以及打印机等资源。SMB2.0:Windowsvista之后SMB3.0:包括：WindowsServer2022、WindowsServer2019、WindowsServer2016、WindowsServer2012R2。hydra工具俗称九头蛇，是一款非常强大的暴力破解工具，支持多种服务协议的账号和密码进行爆破，包括Web登录、数据库、SSH、FTP等服务连通性常见参数

选项说明-R继续上一次破解-I忽略现有还原文件（不等待10秒）-sPORT指定默认端口-lLOGIN指定破解登录用户名-LFILE使用文件指定多个用户名-pPASS指定密码-PFILE指定密码字典-xMIN:MAX:CHARSET密码暴力生成-y禁止在暴力破解中使用符号-r对选项-x使用非随机方法-ensrn：空密码试探，s：使用指定用户和密码试探。-u循环用户-CFILE冒号分隔用户名密码：“login:pass”格式-MFILE要攻击的服务器列表，每行一个条目，’:'指定端口-oFILE将找到的登录/密码写入文件-bFORMAT指定-o输出格式，默认text,可选json,jsonv1-f/-F找到用户名/密码后中止破解，-f:每个主机，-F：所有-tTASKS每个主机并行线程数，默认16-TTASKS所有并行线程数，默认64-w/-WTIME最大等待响应时间-cTIME所有进程每次尝试登录等待时间-4/-6IPv4(默认)/IPv6地址-v/-V/-d详细日志模式/每次尝试仅显示用户名密码/调试模式-k不重做失败的尝试（适用于-M批量扫描）-q不要打印错误连接消息-U服务模块详细使用信息kali使用hydra工具进行smb密码爆破字典文件连通性Hydrahydra-Luser.txt-Ppass.txt33smb嗅探原理主讲老师石淑华什么是嗅探网络嗅探（NetworkSniffer）是指利用计算机的网络接口截获其他计算机的通信数据报文的一种手段。网络嗅探的基础是数据捕获,目的是对数据进行分析，挑选出重点关注的数据。网卡的工作原理网卡的工作模式直接模式广播模式混杂模式混杂模式PromiscuousMode嗅探的步骤更改网卡工作模式捕获数据包分析数据包混杂模式协议分析软件人工或智能网络嗅探的工作环境1-HUB集线器（Hub）是物理层设备，它从一个接口收到数据，会把数据从其他全部接口发送出去。HUBPC1PC2PC3网络嗅探的工作环境2-交换机交换机（switch）是数据链路层设备，正常情况下，交换机只把转发给接收者所在的接口。switchPC1PC2PC3交换环境下的网络嗅探1-端口镜像如果嗅探者是交换机的管理员，则可以在交换机上配置机端口镜像，把需要嗅探的接口上的收和发的流量，镜像到嗅探器所连接的接口。switchPC1PC2PC3ARP欺骗交换环境下的网络嗅探2-结合ARP欺骗在交换机上配置端口镜像，把需要嗅探的接口上的收和发的流量，镜像到嗅探器所连接的接口。switchPC1PC2PC3嗅探软件介绍Wireshark（Ethereal）SnifferProIrisEffTechHTTPSniffer……嗅探的防御尽量工作在交换网络中对传输的关键数据加密在网络中布置入侵检测系统（IDS）wireshack的应用主讲老师石淑华作用：网络管理员使用Wireshark来检测网络问题网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错普通使用者使用Wireshark来学习网络协定的相关知识Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。Wiresharkwireshack主页wireshack的窗口wireshack的捕获过滤wireshack捕获过滤的语法Logicale­xpressions（逻辑运算符）:

区分大小写:TCP(错误)

wireshack捕获过滤案例hostdsthosttcpnotudptcpdst80portrange

wireshack的显示过滤Wireshark显示过滤器的背景色:黄色绿色：过滤器语法正确并可以运行粉色

过滤器语法错误并不能运行C过滤器逻辑表达错误并不能运行D过滤器语法正确但可能不会过滤出用户想要的数据包framecontains"0032"

绿色：过滤器语法正确并可以运行粉色

过滤器语法错误并不能运行C过滤器逻辑表达错误并不能运行D过滤器语法正确但可能不会过滤出用户想要的数据包wireshack的案例1ARP欺骗的工作原理主讲老师石淑华ARP协议AddressResolutionProtocol即地址解析协议，解析IP地址与MAC地址的对应关系。ARP协议的基本功能就是:查询目标设备的MAC地址，完成数据封装。ARP工作原理bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aaWho

hasWho

hasARP

requestARP

replyisataa:aa:aa:aa:aa:aa这个ARPrequest和我没关系ARPCache在安装了以太网网络适配器（既网卡）或TCP/IP协议的计算机中，都有ARP

Cache用来保存IP地址以及解析的MAC地址。Windows系统默认的ARP缓存表的生存时间是120秒，最大生命期限是10分钟。ARP缓存的更新bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aaWho

hasWho

hasARP

replyisataa:aa:aa:aa:aa:aaInternet地址物理地址

bb:bb:bb:bb:bb:bbInternet地址物理地址aa:aa:aa:aa:aa:aaInternet地址物理地址

bb:bb:bb:bb:bb:bbARP

requestARP缓存的更新bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aaWho

hasWho

hasARP

replyisataa:aa:aa:aa:aa:aa主机A的ARP缓存记录Internet地址

物理地址

bb:bb:bb:bb:bb:bb主机B的ARP缓存记录Internet地址物理地址aa:aa:aa:aa:aa:aa主机C的ARP缓存记录Internet地址物理地址

bb:bb:bb:bb:bb:bbARP

request主机B主机C主机AARP协议实现的特点通过ARP缓存保存无需请求可以应答接受ARPrequest单播包ARP欺骗的工作原理基于ARPrequest的欺骗bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aa从ARPrequest里学习Internet地址物理地址aa:aa:aa:aa:aa:aaARP欺骗的攻击者ARP

requestWhohas

Tellcc:cc:cc:cc:cc:ccInternet地址物理地址cc:cc:cc:cc:cc:ccARP欺骗的工作原理基于ARPreply的欺骗bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aa从ARPreply里学习Internet地址物理地址aa:aa:aa:aa:aa:aaARP欺骗的攻击者ARP

replyisatcc:cc:cc:cc:cc:ccInternet地址物理地址cc:cc:cc:cc:cc:ccARP欺骗的工作原理基于ARPreply的欺骗bb:bb:bb:bb:bb:bb攻击对象cc:cc:cc:cc:cc:ccaa:aa:aa:aa:aa:aa收到ARPreply，我会缓存起来!Internet地址物理地址

aa:aa:aa:aa:aaARP欺骗的攻击者ARP

replyisatcc:cc:cc:cc:cc:ccInternet地址物理地址cc:cc:cc:cc:cc:cc网络拓扑bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:cc网关：aa:aa:aa:aa:aa:aaARP欺骗的攻击者Internet上网ARP欺骗+中间人攻击(单向欺骗)bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:cc网关：aa:aa:aa:aa:aa:aaARP欺骗的攻击者Internet上网Internet地址物理地址

cc:cc:cc:cc:cc:ccInternet地址物理地址bb:bb:bb:bb:bb:bbARP欺骗+中间人攻击(双向欺骗)bb:bb:bb:bb:bb:bbcc:cc:cc:cc:cc:cc网关：aa:aa:aa:aa:aa:aaARP欺骗的攻击者Internet上网Internet地址物理地址

cc:cc:cc:cc:cc:ccInternet地址物理地址

cc:cc:cc:cc:cc:ccARP欺骗攻击实例主讲老师石淑华利用SwitchSniffer完成ARP欺骗---实验拓扑GW：5400:0f:e2:50:4b:a0被攻击者ARP欺骗的攻击者PC1:0000:0c:29:e1:b4:aePC2:dc:4a:3e:46:45:0e安装:SwitchSniffer

wireshark欺骗前PC2的arp缓存SwitchSniffer设置备注：安装在PC1：00上欺骗后PC2的arp缓存后前ping54Wireshark安装在00双向欺骗截获双向数据包ARP欺骗的防御主讲老师石淑华ARP欺骗的防御MAC的静态绑定依靠第三方软件（ARP防火墙）交换机的DAI技术（DynamicARPInspection）防御方法1---MAC的静态绑定在主机的ARP缓存表配置静态记录：C:\>arp-s20-01-e6-b4-55-6c防御方法2---第三方软件交换机上启动DAI功能DAI---DynamicARPInspectionDHCPSnooping+DAI防ARP欺骗方案DAI保证接入交换机只传递“合法的”的ARP请求和应答信息。DNS的工作原理黑客攻防主讲老师石淑华DNS概念DNS（DomainNameSystem，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，是把域名解析为IP地址的过程。的IP地址是什么？5DNS服务器DNS客户端DNSresponseDNSqueryDNS查询过程本地缓存的IP地址是什么？其他DNS服务器23指定DNS服务器1HOSTS文件本地缓存45迭代查询（Iterativequery）计算机1本地DNS服务器a.com根..com递归查询

迭代查询迭代查询迭代查询查询.com查询a.com权威的应答321DNS欺骗的原理黑客攻防主讲老师石淑华什么是DNS欺骗改变DNS原始指向的IP的行为都可以称为DNS欺骗。DNS欺骗的主要形式hosts文件篡改DNS劫持hosts文件篡改默认位置为：%SystemRoot%\system32\drivers\etc\DNS劫持DNS劫持是指拦截域名解析的请求，分析请求的域名，按照需求修改某些域名对应的IP地址，其效果就是使特定域名的网络不能访问，或者是访问网络钓鱼网站，给受害者造成巨大损失。DNS劫持案例—Cain中间人攻击IP欺骗的攻击与防御黑客攻防主讲老师石淑华IP欺骗的定义IP地址欺骗是指行动产生的IP数据包伪造源IP地址，以便冒充其他系统或发件人的身份。

IP欺骗的目的：有效地隐藏攻击者的身份或者为了绕过系统认证过程。IP欺骗的原理IP协议是TCP/IP协议族中非可靠传输的网络层协议，它不保持任何连接状态信息，也不提供可靠性保障机制，这使得我们可以在IP数据报的源地址和目的地址字段填入任何的IP地址。IP欺骗案例1---SYN洪水攻击攻击者伪造的IP地址不可达或根本不存在。IP欺骗案例2---TCP会话劫持TCP会话劫持的基本工作过程利用的是被攻击的目标主机与其它主机之间的信任关系，通过伪造被攻击方信任的IP地址来进行冒充，从而获得对目标主机的访问权。

IP欺骗的防御在路由器上设置不允许声称来自内部的网络的外来包通过。防止外网用户对内网用户进行IP欺骗。另一方面需要目标设备采取更强有力的认证措施，不仅仅根据源IP就信任来访者，更多的需要强口令等认证手段。

木马主讲老师石淑华木马特洛伊木马木马

木马（Trojan）是指隐藏在计算机中的一段具有特殊功能的恶意代码，是一种黑客常用远程控制的工具，具有隐蔽性、潜伏性、危害性、非授权性等典型的特征。

木马的概念木马木马与病毒相同：破坏性、隐蔽性等区别：木马没有传染性木马与远控相同：工作原理一样不同：授权性，隐蔽性木马与后门木马（trojan）是后门（backdoor）程序的一种。后门可在软件开发过程故意产生，也可以使用过程中植入。木马在软件使用过程中植入。

木马与病毒、远程控制软件的区别

木马

木马的分类（按照功能）远程控制信息发送代理键盘记录破坏利用CPU木马

木马的分类（按照工作原理）传统木马DLL木马反弹端口网页木马C/S（Client-Server）模式的程序：

Server程序（被控制端）负责打开端口，端口处于监听状态。

Client程序（控制端）主动去连接。控制端被控制端端口监听木马的工作原理

传统木马工作原理木马的工作原理

反弹端口木马的工作原理反弹端口型木马是Client程序（控制端）打开端口，处于监听状态，

Server程序（被控制端）主动发起会话去连接。把Client程序（控制端）的信息（IP+端口）在配置木马时写入。利用反弹端口原理，躲避防火墙拦截。控制端被控制端端口监听木马的工作原理

反弹端口木马与传统木马的区别传统木马反弹端口木马AB攻击者主动连接被攻击者被攻击者主动连接攻击者DLL木马就是把一个实现了木马功能的代码。

DLL是编译好的代码，与一般程序没什么大

差别，只是它不能独立运行，需要可执行程

序调用。特点：隐藏性。

因为DLL运行时是直接挂在调用它的程序的

进程里的，并不会另外产生进程。DLL木马的工作原理DLL木马的工作原理木马

木马的传播途径下载挂马即时通讯工具病毒传播其他

木马的工作过程木马服务器端程序：G-server.exe客户端程序：G-client.exe进行服务器配置远程控制如何清除？控制端被控制端Win-7Win-2003端口：7626木马

冰河木马实验

实验拓扑

反弹端口木马的实验

反弹端口木马的工作原理服务端（被控制端）会主动连接客户端（控制端）目标了解：反弹端口木马（灰鸽子）的危害；熟悉：灰鸽子木马的工作原理；掌握：灰鸽子木马的配置和操作；内容通过灰鸽子木马实际攻击演示操作，掌握灰鸽子木马的攻击原理，为防范灰鸽子木马的学习作准备。木马

灰鸽子木马的实验拓扑控制端被控制端Win-2000Win-2003监听端口：80木马Kali系统常用框架的简介主讲老师石淑华1. Metasploit介绍Metasploit是一个免费的、可下载的框架。通过它可以很实施对计算机软件漏洞实施攻击。msfconsole主要用于管理Metasploit数据库，管理会话、配置并启动Metasploit模块。据封装。（1） auxiliary辅助模块，辅助渗透（端口扫描、登录密码爆破、漏洞验证等）。（2） exploits漏洞利用模块，通常是对某些可能存在漏洞的目标进行漏洞利用。（3） payloads攻击载荷，主要是攻击成功后在目标机器执行的代码。（4） encoders 编码器模块，主要包含各种编码工具，对payload进行编码加密。（5） evasion躲避模块，用来生成免杀payload。（6） nops

空指令模块，用来在攻击载荷中添加空指令区，以提高攻击可靠性的组件。Metasploit的模块searchname查找metasploit框架中所有的渗透攻击和其他模块。showexploit列出metasploit框架Q中的所有渗透攻击模块。showpayloads列出metasploit框架中的所有攻击载荷。showauxiliary列出metasploit框架中的所有辅助攻击载荷。Info展示出制定渗透攻击或模块的相关信息。usename装载一个渗透攻击或模块。LHOST你本地可以让目标主机连接的IP地址Q,通常当目标主机不在同一个局域网内时|使用。RHOST远程主机或是目标主机。setfunction设置特定的配置参数(EG:设置本地或远程主机参数)。showoptions列出某个渗透攻击或模块中所有的配置参数。setpayloadname指定想要使用的攻击载荷。Msfconsole常用命令Msfvenom是Kali系统主要用来生成带后门的软件。Msfvenom介绍-pwindows/meterpreter/reverse_tcp系统作用方式Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功以后的攻击载荷使用，攻击载荷在溢出攻击成功以后，给我们返回一个控制通道。后渗透模块(Meterpreter)介绍