第1讲:网络安全概述
1、计算机网络:我们讲的计算机网络,其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式及网络操作系统等)实现网络中资源共享和信息传递的系统。它的功能最主要的表现在两个方面:一是实现资源共享(包括硬件资源和软件资源的共享);二是在用户之间交换信息。计算机网络的作用是:不仅使分散在网络各处的计算机能共享网上的所有资源,并且为用户提供强有力的通信手段和尽可能完善的服务,从而极大的方便用户。从网管的角度来讲,说白了就是运用技术手段实现网络间的信息传递,同时为用户提供服务。计算机网络通常由三个部分组成,它们是资源子网、通信子网和通信协议。所谓通信子网就是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作;而通信双方必须共同遵守的规则和约定就称为通信协议,它的存在与否是计算机网络与一般计算机互连系统的根本区别。
2、计算机网络安全的定义(从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。)
3、本课程中网络安全:指网络信息系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破坏、更改、泄露,系统能连续、可靠、正常地运行,服务不中断。(主要指通过各种计算机、网络、密码技术和信息安全技术,保护在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息可控性、可用性和互操作性等领域。)网络安全的主体是保护网络上的数据和通信的安全。
1)数据安全性是一组程序和功能,用来阻止对数据进行非授权的泄漏、转移、修改和破坏。
2)通信安全性是一些保护措施,要求在电信中采用保密安全性、传输安全性、辐射安全性的措施,并依要求对具备通信安全性的信息采取物理安全性措施。
注意,此处网络安全在不同的环境和应用中有不同的解释,注意区分:
1)计算机及系统安全。包括计算机系统机房环境的保护,法律政策的保护,计算机结构设计安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。本质上是保护系统的合法操作和正常运行。
2)网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。
3)网络上信息传播的安全。包括信息过滤等。它侧重于保护信息的保密性、真实性和完整性。避免攻击者进行有损于合法用户的行为。本质上是保护用户的利益和隐私。
4、安全的主要属性:完整性、保密性、可用性、不可抵赖性、可靠性。
安全的其他属性:可控性、可审查性、真实性(注:一般通过认证、访问控制来实现真实性)。
5、网络安全的主要威胁因素:信息系统自身安全的脆弱性、操作系统与应用程序漏洞、安全管理问题、黑客攻击、网络犯罪。
第2讲 网络攻击阶段、技术及防范策略
1、黑客与骇客。根本的区别在于是否以犯罪为目的。黑客是指利用计算机技术,非法入侵或者擅自操作他人(包括国家机关、社会组织及个人)计算机信息系统,对电子信息交流安全具有不同程度的威胁性和危害性的人(一般是研究为主)。骇客指利用计算机技术,非法入侵并擅自操作他人计算机信息系统,对系统功能、数据或者程序进行干扰、破坏,或者非法侵入计算机信息系统并擅自利用系统资源,实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪的人(一般是犯罪为主)。骇客包括在黑客概念之中,前者基本上是计算机犯罪的主体,后者的行为不一定都构成犯罪。
2、网络黑客的主要攻击手法有:获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。
3、网络攻击过程一般可以分为本地入侵和远程入侵。
4、远程攻击的一般过程:远程攻击的准备阶段、远程攻击的实施阶段、远程攻击的善后阶段。
5、远程攻击的准备阶段:确定攻击目标、信息收集、服务分析、系统分析、漏洞分析。
6、常见的攻击目的有破坏型和入侵型两种。
破坏型攻击——是指只破坏攻击目标,使之不能正常工作,而不能随意控制目标上的系统运行。入侵型攻击——这
种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作,包括破坏性质的攻击。
7、信息收集阶段:利用一切公开的、可利用的信息来调查攻击目标。包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息。包括以下技术:低级技术侦察、Web搜索、Whois数据库、域名系统(DNS)侦察。
8、低级技术侦察,分别解释:社交工程、物理闯入、垃圾搜寻。
9、确定目标主机采用何种操作系统原理:协议栈指纹(Fingerprint)
10、远程攻击的实施阶段:作为破坏性攻击,可以利用工具发动攻击即可。作为入侵性攻击,往往需要利用收集到的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限。 包括三个过程:预攻击探测:为进一步入侵提供有用信息;口令破解与攻击提升权限;实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒。
11、远程攻击常用的攻击方法:第一类:使用应用程序和操作系统的攻击获得访问权:基于堆栈的缓冲区溢出、密码猜测、网络应用程序攻击。第二类:使用网络攻击获得访问权:嗅探、IP地址欺骗、会话劫持。第三类:拒绝服务攻击。
12、远程攻击的善后阶段:维护访问权、掩盖踪迹和隐藏。攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,最简单的方法就是删除日志文件。但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改。
13:黑客入侵的一般完整模式:隐藏自己→踩点→ 扫描→查点 →分析并入侵 →获取权限 →扩大范围 →安装后门→清除日志并隐身。(注意:一般完整的攻击过程都是先隐藏自己,然后再进行踩点或预攻击探测,检测目标计算机的各种属性和具备的被攻击条件,然后采取相应的攻击方法进行破坏,达到自己的目的,之后攻击者会删除自己的行为日志。)
14、为防止黑客入侵,个人用户常见防护措施:防火墙、杀毒软件定期升级和杀毒、定期及时升级系统和软件补丁、定期备份系统或重要文件、加密重要文件、关闭不常用端口、关闭不常用程序和服务、发现系统异常立刻检查。 15:网络管理常用的防护措施:完善安全管理制度、采用访问控制措施、运行数据加密措施、数据备份与恢复 。
16、物理环境的安全性体现:包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
第3讲:扫描与防御技术
1、扫描器:扫描器是一种自动检测远程或本地主机安全性弱点的程序。集成了常用的各种扫描技术。扫描器的扫描对象:能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的各项反馈信息。扫描器对网络安全的作用:据此提供一份可靠的安全性分析报告,报告可能存在的脆弱性。
2、网络扫描器的主要功能:扫描目标主机识别其工作状态(开/关机)、识别目标主机端口的状态(监听/关闭)、识别目标主机操作系统的类型和版本、识别目标主机服务程序的类型和版本、分析目标主机、目标网络的漏洞(脆弱点)、生成扫描结果报告。
3、网络扫描的作用:可以对计算机网络系统或网络设备进行安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。
4、网络漏洞:网络漏洞是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。
5、一个完整的网络安全扫描分为三个阶段:第一阶段:发现目标主机或网络。第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏洞。
6、网络安全扫描技术包括PING扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:1)PING扫描用于扫描第一阶段,识别系统是否活动。2)OS探测、穿透防火墙探测、端口扫描用于扫描第二阶段。OS探测是对目标主机运行的OS进行识别;穿透防火墙探测用于获取被防火墙保护的网络资料;端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统处于监听或运行状态的服务。3)漏洞扫描用于安全扫描第三阶段,通常是在端口扫描的基础上,进而检测出目标系统存在的安全漏洞。
7、漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:1)基于漏洞库的特征匹配:通过端口扫描得知目标主机开启的端口以及端口上的网络服务后,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看
是否有满足匹配条件的漏洞存在;2)基于模拟攻击:通过模拟黑客的攻击手段,编写攻击模块,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。
8、常用扫描工具:SATAN、Nmap、Nessus、X-scan
9、扫描技术一般可以分为主动扫描和被动扫描两种,它们的共同点在于在其执行的过程中都需要与受害主机互通正常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包,根据其回应判断扫描的结果。被动扫描由其性质决定,它与受害主机建立的通常是正常连接,发送的数据包也属于正常范畴,而且被动扫描不会向受害主机发送大规模的探测数据。
10、扫描的防御技术:反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防御技术。
11、防范主动扫描可以从以下几个方面入手:(1)减少开放端口,做好系统防护;(2)实时监测扫描,及时做出告警;(3)伪装知名端口,进行信息欺骗。
12、被动扫描防范方法到目前为止只能采用信息欺骗(如返回自定义的banner信息或伪装知名端口)这一种方法。
13、防火墙技术是一种允许内部网接入外部网络,但同时又能识别和抵抗非授权访问的网络技术,是网络控制技术中的一种。防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,控制所有从因特网流入或流向因特网的信息都经过防火墙,并检查这些信息,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
14、审计技术是使用信息系统自动记录下的网络中机器的使用时间、敏感操作和违纪操作等,为系统进行事故原因查询、事故发生后的实时处理提供详细可靠的依据或支持。审计技术可以记录网络连接的请求、返回等信息,从中识别出扫描行为。
15:为什么说扫描器是一把双刃剑?扫描器能够自动的扫描检测本地和远程系统的弱点,为使用者提供帮助。系统或网络管理员可以利用它来检测其所管理的网络和主机中存在哪些漏洞,以便及时打上补丁,增加防护措施,或用来对系统进行安全等级评估。黑客可以利用它来获取主机信息,寻找具备某些弱点的主机,为进一步攻击做准备。因此,扫描器是一把双刃剑。 普通用户对扫描的防御:用户要减少开放的端口,关闭不必的服务,合理地配置防火墙,以防范扫描行为。
第4讲:网络监听及防御技术
1、网络监听的概念:网络监听技术又叫做网络嗅探技术(Network Sniffing),是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域,网络监听技术对于网络攻击与防范双方都有着重要的意义,是一把双刃剑。对网络管理员来说,它是了解网络运行状况的有力助手,对黑客而言,它是有效收集信息的手段。网络监听技术的能力范围目前只限于局域网。
2:嗅探器(sniffer)是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。工作在网络的底层,能够把网络传输的全部数据记录下来。1)嗅探攻击的基本原理是:当网卡被设置为混杂接收模式时,所有流经网卡的数据帧都会被网卡接收,然后把这些数据传给嗅探程序,分析出攻击者想要的敏感信息,如账号、密码等,这样就实现了窃听的目的。2)嗅探器造成的危害:能够捕获口令;能够捕获专用的或者机密的信息;可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;窥探低级的协议信息。被动嗅探入侵往往是黑客实施一次实际劫持或入侵的第一步。3)Sniffer的正面应用:在系统管理员角度来看,网络监听的主要用途是进行数据包分析,通过网络监听软件,管理员可以观测分析实时经由的数据包,从而快速的进行网络故障定位。4)Sniffer的反面应用:入侵者与管理员感兴趣的(对数据包进行分析)有所不同,入侵者感兴趣的是数据包的内容,尤其是账号、口令等敏感内容。
3、网络传输技术:广播式和点到点式。 广播式网络传输技术:仅有一条通信信道,由网络上的所有机器共享。信道上传输的分组可以被任何机器发送并被其他所有的机器接收。点到点网络传输技术:点到点网络由一对对机器之间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题。
4、网卡的四种工作模式:(1)广播模式:该模式下的网卡能够接收网络中的广播信息。(2)组播模式:该模式下的网卡能够接受组播数据。(3)直接模式:在这种模式下,只有匹配目的MAC地址的网卡才能接收该数据帧。(4)混杂模式:(Promiscuous Mode)在这种模式下,网卡能够接受一切接收到的数据帧,而无论其目的MAC地址是什么。
5、共享式局域网就是使用集线器或共用一条总线的局域网。共享式局域网是基于广播的方式来发送数据的,因为集线器不能识别帧,所以它就不知道一个端口收到的帧应该转发到哪个端口,它只好把帧发送到除源端口以外的所有端口,这样网络上所有的主机都可以收到这些帧。如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式。处于监听模式下的主机可以监听到同一个网段下的其他主机发送信息的数据包。
6、在实际应用中,监听时存在不需要的数据,严重影响了系统工作效率。网络监听模块过滤机制的效率是该网络监听的关键。信息的过滤包括以下几种:站过滤,协议过滤,服务过滤,通用过滤。同时根据过滤的时间,可以分为两种过滤方式:捕获前过滤、捕获后过滤。
7、交换式以太网就是用交换机或其它非广播式交换设备组建成的局域网。这些设备根据收到的数据帧中的MAC地址决定数据帧应发向交换机的哪个端口。因为端口间的帧传输彼此屏蔽,因此节点就不担心自己发送的帧会被发送到非目的节点中去。交换式局域网在很大程度上解决了网络监听的困扰。
8、交换机的安全性也面临着严峻的考验,随着嗅探技术的发展,攻击者发现了有如下方法来实现在交换式以太网中的网络监听:溢出攻击;ARP欺骗(常用技术)。
9、溢出攻击:交换机工作时要维护一张MAC地址与端口的映射表。但是用于维护这张表的内存是有限的。如用大量的错误MAC地址的数据帧对交换机进行攻击,交换机就可能出现溢出。这时交换机就会退回到HUB的广播方式,向所有的端口发送数据包,一旦如此,监听就很容易了。
10、ARP的工作过程:(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;
(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。
11、ARP欺骗:计算机中维护着一个IP-MAC地址对应表,记录了IP地址和MAC地址之间的对应关系。该表将随着ARP请求及响应包不断更新。通过ARP欺骗,改变表里的对应关系,攻击者可以成为被攻击者与交换机之间的“中间人”,使交换式局域网中的所有数据包都流经自己主机的网卡,这样就可以像共享式局域网一样分析数据包了。
12、监听的防御:
1)通用策略:a、采用安全的网络拓扑结构,网络分段越细,嗅探器能够收集的信息就越少;b、数据加密技术:数据通道加密(SSH 、SSL和VPN);数据内容加密(PGP)。
2)共享网络下的防监听:检测处于混杂模式的网卡;检测网络通讯丢包率;检测网络带宽反常现象。
3)交换网络下的防监听:主要要防止ARP欺骗及ARP过载。交换网络下防范监听的措施主要包括:a.不要把网络安全信任关系建立在单一的IP或MAC基础上,理想的关系应该建立在IP-MAC对应关系的基础上。b.使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表,禁止自动更新,使用手动更新。c.定期检查ARP请求,使用ARP监视工具,例如ARPWatch等监视并探测ARP欺骗。d.制定良好的安全管理策略,加强用户安全意识。
第5讲:口令破解与防御技术
1、口令的作用:
2、口令破解获得口令的思路:
3、手工破解的步骤一般为:
4、自动破解:
5、口令破解方式:
6、词典攻击:
7、强行攻击:
8、组合攻击
9、社会工程学
10、重放:
11、Windows的口令文件:
12、Windows的访问控制过程:
13、口令攻击的防御:
1)好的口令:
2)保持口令的安全要点:
3)强口令?
14、对称加密方法加密和解密都使用同一个密钥。如果我加密一条消息让你来破解,你必须有与我相同的密钥来解密。这和典型的门锁相似。如果我用钥匙锁上门,你必须使用同一把钥匙打开门。
15、不对称加密使用两个密钥克服了对称加密的缺点:公钥和私钥。
私钥仅为所有者所知,不和其他任何人共享;公钥向所有会和用户通信的人公开。
用用户的公钥加密的东西只能用用户的私钥解开,所以这种方法相当有效。别人给用户发送用用户的公钥加密的信
息,只有拥有私钥的人才能解开。
16、随着生物技术和计算机技术的发展,人们发现人的许多生理特征如指纹、掌纹、面孔、声音、虹膜、视网膜等都具有惟一性和稳定性,每个人的这些特征都与别人不同,且终身不变,也不可能复制。这使得通过识别用户的这些生理特征来认证用户身份的安全性远高于基于口令的认证方式。利用生理特征进行生物识别的方法主要有指纹识别、虹膜识别、掌纹识别、面像识别;其中,虹膜和指纹识别被公认为是最可靠的两种生物识别。利用行为特征进行识别的主要有:声音、笔迹和击键识别等。
第6讲:欺骗攻击及防御技术
1、在Internet上计算机之间相互进行的交流建立在两个前提之下:
2、欺骗:
3、目前比较流行的欺骗攻击主要有5种:
4、最基本的IP欺骗技术:
5、TCP会话劫持:
6、TCP会话劫持过程:
7、IP欺骗攻击的防御:
8、ARP欺骗攻击
9、ARP欺骗原理:
10、ARP欺骗攻击在局域网内非常奏效,其危害有:
11、检测局域网中存在ARP欺骗攻击现象:
12、ARP欺骗攻击的防范:
13、执行电子邮件欺骗有三种基本方法,每一种有不同难度级别,执行不同层次的隐蔽。它们分别是:利用相似的电子邮件地址;直接使用伪造的E-mail地址;远程登录到SMTP端口发送邮件。
14)电子邮件欺骗的防御:
15、DNS欺骗的原理:
16、DNS欺骗主要存在两点局限性:
17、DNS欺骗的防御:
18、Web欺骗是一种电子信息欺骗,攻击者创造了一个完整的令人信服的Web世界,但实际上它却是一个虚假的复制。虚假的Web看起来十分逼真,它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点,这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。Web欺骗能够成功的关键是在受害者和真实Web服务器之间插入攻击者的Web服务器,这种攻击常被称为“中间人攻击(man-in-the-middle)”。典型案例:网络钓鱼。
19、防范Web欺骗的方法:
第7讲:拒绝服务攻击与防御技术
1、拒绝服务( Denial of Service,简称DoS),是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。
2、拒绝服务攻击是由于网络协议本身的安全缺陷造成的。
3、从实施DoS攻击所用的思路来看,DoS攻击可以分为:
4、典型拒绝服务攻击技术:
5、Ping of Death:
6、泪滴(Teardrop):
7、Land攻击:
8、Smurf攻击
9、分布式拒绝服务DDoS (Distributed Denial of Service)攻击
10、分布式拒绝服务攻击的软件一般分为客户端、服务端与守护程序,这些程序可以使协调分散在互联网各处的机器共同完成对一台主机攻击的操作,从而使主机遭到来自不同地方的许多主机的攻击。客户端:也称攻击控制台,它是发起攻击的主机;服务端:也称攻击服务器,它接受客户端发来的控制命令;守护程序:也称攻击器、攻击代
理,它直接(如SYN Flooding)或者间接(如反射式DDoS)与攻击目标进行通信。
11、分布式拒绝服务攻击攻击过程主要有以下几个步骤:
12、被DDoS攻击时的现象:
13、DDoS攻击对Web站点的影响:
14、拒绝服务攻击的防御:
15、DDOS工具产生的网络通信信息有两种:
16、DDoS的唯一检测方式是:
17、分布式拒绝服务攻击的防御:优化网络和路由结构;保护网络及主机系统安全;安装入侵检测系统;与ISP服务商合作;使用扫描工具.
18、无论是DoS还是DDoS攻击,其目的是使受害主机或网络无法及时接收并处理外界请求,表现为:制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。利用被攻击主机所提供服务程序或传输协议的本身的实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态。
第8讲:缓冲区溢出攻击及防御技术
1、缓冲区是包含相同数据类型实例的一个连续的计算机内存块。是程序运行期间在内存中分配的一个连续的区域,可以保存相同数据类型的多个实例,用于保存包括字符数组在内的各种数据类型。
2、所谓溢出,就是灌满, 使内容物超过顶端, 边缘,或边界,其实就是所填充的数据超出了原有的缓冲区边界。
3、所谓缓冲区溢出,就是向固定长度的缓冲区中写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖了缓冲区周围的内存空间。黑客借此精心构造填充数据,导致原有流程的改变,让程序转而执行特殊的代码,最终获取控制权。
4、常见缓冲区溢出类型:
5、缓冲区溢出攻击的过程:
6、缓冲区溢出的真正原因:
第9讲:Web攻击及防御技术
1、Web安全含三个方面:Web服务器的安全;Web客户端的安全;Web通信信道的安全。
2、针对Web服务器的攻击分为两类:
3、对Web应用危害较大的安全问题分别是:
4、Web服务器指纹:
5、Web页面盗窃的目的
6、Web盗窃防御方法:
7、跨站脚本攻击(Cross Site Script):
8、跨站脚本攻击的危害:
9、跨站脚本漏洞形成的原因:
10、实现跨站脚本的攻击至少需要两个条件:
11、XSS攻击最主要目标不是Web服务器本身,而是登录网站的用户。
12、防御跨站脚本攻击
13、所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(SQL注入原理:随着B/S网络应用的普及,Web应用多使用脚本语言(ASP、PHP等)加后台数据库系统进行开发。在这些网络程序中,用户输入的数据被当作命令和查询的一部分,送到后台的解释器中解释执行。相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段精心构造的数据库查询代码,根据网页返回的结果,获得某些他想得知的数据或者目标网站的敏感信息,这就是所谓的SQL Injection,即SQL注入。)
14、SQL注入受影响的系统:
15、SQL注入的防范:
第10讲:木马攻击与防御技术
1、木马的定义:
2、木马程序的企图可以对应分为三种:
3、木马的危害:
4、木马的特点:
5、木马实现原理:
6、木马植入技术可以大概分为主动植入与被动植入两类。 所谓主动植入,就是攻击者主动将木马程序种到本地或者是远程主机上,这个行为过程完全由攻击者主动掌握。而被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统。
7、在Windows系统中木马程序的自动加载技术主要有:
8、隐蔽性是木马程序与其它程序的重要区别,想要隐藏木马的服务端,可以是伪隐藏,也可以是真隐藏。伪隐藏是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。 常见隐藏技术:
9、常见木马使用的端口:
10、反弹窗口的连接技术与传统木马连接技术相比有何区别与优势?
11、木马的远程监控功能:获取目标机器信息,记录用户事件,远程操作。
12、木马的检测方法::端口扫描和连接检查;检查系统进程;检查ini文件、注册表和服务 ;监视网络通讯 。
13、木马的清除与善后:知道了木马加载的地方,首先要作的当然是将木马登记项删除,这样木马就无法在开机时启动了。不过有些木马会监视注册表,一旦你删除,它立即就会恢复回来。因此,在删除前需要将木马进程停止,然后根据木马登记的目录将相应的木马程序删除。以冰河为例说明具体清除步骤并适当解释。1)断开网络连接;2)检查进程并扫描;3)首先运行注册表编辑器,检查注册表中txt文件的关联设置;4)接着检查注册表中的EXE文件关联设置;5)进入系统目录System32,删除冰河木马的可执行文件kernel32.exe和sysexplr.exe;6)修改文件关联;7)重新启动,然后用杀毒软件对系统进行一次全面的扫描,这样可以排除遗漏的木马程序。 以网络管理员角度在清除木马后进行善后工作:1)判断特洛伊木马存在时间长短;2)调查攻击者在入侵机器之后有哪些行动;3)对于安全性要求一般的场合,修改所有的密码,以及其他比较敏感的信息(例如信用卡号码等);4)在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
14、木马的防范:木马实质上是一个程序,必须运行后才能工作,所以会在计算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹,用户可以通过“查、堵、杀”等方法检测和清除木马。其具体防范技术方法主要包括:检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口,安装防病毒软件,监视网络通信,堵住控制通路和杀掉可疑进程等。常用的防范木马程序的措施:
1)及时修补漏洞,安装补丁;2)运行实时监控程序;3)培养风险意识,不使用来历不明的软件; 4)即时发现,即时清除 。
第11讲:计算机病毒
1、狭义的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,且能自我复制的一组计算机指令或者程序代码。计算机病毒一般依附于其他程序或文档,是能够自身复制,并且产生用户不知情或不希望、甚至恶意的操作的非正常程序。 但是随着黑客技术的发展,病毒、木马、蠕虫往往交叉在一起相互借鉴技术,因此人们经常说的计算机病毒往往是指广义上的病毒,它是一切恶意程序的统称。
2、计算机病毒的特点:
3、计算机病毒的破坏性:
4、计算机病毒引起的异常状况:
5、按照计算机病毒的链接方式分类:
6、按照计算机病毒的破坏情况分类:
7、按寄生方式和传染途径分类:
8、计算机病毒程序的模块划分:
9、计算机病毒的生命周期:
10、病毒传播途径:
11、病毒感染目标:
12、计算机病毒的触发机制:
13、计算机病毒的破坏机制:
14、典型的计算机病毒:
15、计算机病毒的预防措施:
16、清除计算机病毒是根据不同类型病毒对感染对象的修改,并按照病毒的感染特性对感染对象进行恢复。该恢复过程是从感染对象中清除病毒,恢复被病毒感染前的原始信息。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。1)文件型病毒的清除:消除病毒的过程实际上是病毒感染过程的逆过程。通过检测工作(跳转、解码),可以得到病毒体的全部代码,分析病毒对文件的修改,把这些修改还原即可将病毒解除。2)引导型病毒的清除:引导型病毒占据软盘或硬盘的第一个扇区,在开机后先于操作系统得到对计算机的控制,影响系统的I/O存取速度,干扰系统的正常运行。可用重写引导区的方法予以清除。3)内存中病毒的清除:找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。
17、手机病毒
18、手机病毒与传统电脑病毒的区别:
19、手机病毒的危害:
20、如怀疑计算机中毒,可采用以下步骤进行查找:1)查进程:首先排查进程,注意开机后什么都不要启动。第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下加以识别;第二步:打开进程查看类安全软件(如冰刃等),先查看有没有隐藏进程,然后查看系统进程的路径是否正确;第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。2)查自启动项目:进程排查完毕,如果没有发现异常,则开始排查启动项。第一步:用msconfig察看是否有可疑的服务,开始——运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎查阅)。第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查。 第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。3)查网络连接:这个时候可以连接到Internet,然后查看是否有可疑的连接,查看IP地址有否异常;如果发现异常,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。记下异常点。4)查安全模式:重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除。5)查映像劫持:打开注册表编辑器,定位到: HKEY_LOCAL_MACHINESOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。6)查CPU时间 :如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,对这个进程需要引起一定的警惕。