网络安全复习要点文档格式.docx
- 文档编号:21734673
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:63
- 大小:181.76KB
网络安全复习要点文档格式.docx
《网络安全复习要点文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全复习要点文档格式.docx(63页珍藏版)》请在冰豆网上搜索。
采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。
利用高技术提供的工具来检查系统存在的,可能提供黑客攻击、病毒泛滥等等的脆弱性。
对于危及安全的事件、行为、过程,及时做出响应的处理,杜绝危害进一步扩大,使得系统力求提供正常的
服务。
对所有数据进行备份,并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。
反击:
利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子处理犯罪案件,要求形成取证能
力和打击手段,依法打击犯罪和网络恐怖主义分子。
第二章
1、什么是网络攻击?
网络攻击者利用目前网络通信协议(如
TCP/IP
协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操
作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从
Internet
上下载的专用软件或者攻
1
击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、
色情或者有害信息(如特洛伊木马)等一系列过程的总称。
2、常见的网络攻击手段
①
控制类攻击
②
阻塞类攻击
③
探测类攻击
④
欺骗类攻击
⑤
漏洞类攻击
⑥
破坏类攻击
注意:
在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥
各自不同的作用。
3、阻塞类攻击
阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续
提供服务。
拒绝服务攻击(DoS,Denial
of
Service)是典型的阻塞类攻击,它是一类个人或多人利用
协议组的某些工
具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。
常见的方法:
TCP
SYN
洪泛攻击、Land
攻击、Smurf
攻击、电子邮件炸弹等多种方式。
4、TCP
洪泛攻击
5、Land
攻击
land
攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。
结果通常使存在漏洞的机器崩溃。
在
Land
攻击中,一个特别打造的
包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务
器向它自己的地址发送
一
ACK
消息,结果这个地址又发回
消息并创建一个空连接,每一个这样的连接都将
保留直到超时掉。
对
攻击反应不同,许多
UNIX
系统将崩溃,而
Windows
NT
会变的极其缓慢(大约持续五分钟)。
6、Smurf
Smurf
攻击是以最初发动这种攻击的程序名“Smurf”来命名的。
这种攻击方法结合使用了
IP
欺骗和
ICMP
回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进
行服务。
Smurf
攻击通过使用将回复地址设置成受害网络的广播地址的
应答请求(ping)数据包,来淹没受害主
机,最终导致该网络的所有主机都对此
应答请求做出答复,导致网络阻塞。
更加复杂的
将源地址改为第三方的受害者,最终导致第三方崩溃。
7、电子邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够
耗尽接受者网络的带宽。
由于这种攻击方式简单易用,也有很多发匿名邮件的工具,而且只要对方获悉你的电子邮件地址就可以进行攻击,
所以这是大家最值得防范的一个攻击手段。
8、阻塞类攻击后果:
DoS
攻击的后果:
使目标系统死机;
使端口处于停顿状态;
在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件;
扭曲系统的资源状态,使系统的处理速度降低。
9、
控制型攻击是一类试图获得对目标机器控制权的攻击。
最常见的三种:
口令攻击、特洛伊木马、缓冲区溢出攻击。
口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;
木马技术目前着
重研究更新的隐藏技术和秘密信道技术;
缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出
的缺陷进行攻击,现在研究制造缓冲区溢出。
10、口令攻击
攻击者攻击目标时常常把破译用户的口令作为攻击的开始。
只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户
能访问到的任何资源。
如果这个用户有域管理员或
root
用户权限,攻击就变得极其危险。
这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
获得普
通用户帐号的方法很多,如:
利用目标主机的
Finger
功能:
当用
命令查询时,主机系统会将保存的用户资料(如用户名、登录时
间等)显示在终端或计算机上;
X.500
服务:
有些主机没有关闭
的目录查询服务,也给攻击者提供了获得信息的一条
简易途径;
2
从电子邮件地址中收集:
有些用户电子邮件地址常会透露其在目标主机上的帐号;
查看主机是否有习惯性
的帐号:
有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
1)猜测攻击。
首先使用口令猜测程序进行攻击。
口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩
写、生日、宠物名、部门名等。
在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,
并在很短的时间内就可以完成猜测攻击。
2)字典攻击。
如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次
又一次尝试,直到成功。
据有的传媒报导,对于一个有
8
万个英文单词的集合来说,入侵者不到一分半钟就可试完。
所以,如
果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
3)穷举攻击
✓如果字典攻击仍然不能成功,入侵者会采取穷举攻击。
一般从长度为
1
的口令开始,按长度递增进行尝试攻击。
由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。
如果每
千分之一秒检查一个口令,那么
86%的口令可以在一周内破译出来。
4)混合攻击
✓结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击
5)直接破解系统口令文件
所有的攻击都不能奏效时,入侵者会寻找目标主机的安全漏洞和薄弱环节,伺机偷走存放系统口令的文件,然后破译加密的口
令,以便冒充合法用户访问这台主机。
6)网络嗅探
✓通过嗅探器在局域网内嗅探明文传输的口令字符串。
7)键盘记录
✓在目标系统中安装键盘记录后门,记录操作员输入的口令字符串。
11、探测类攻击
信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。
主要包括:
扫描技术、体系结构刺探、系统信息服务收集等。
目前正在发展更先进的网络无踪迹信息探测技术。
网络安全扫描技术:
网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞
进行逐项检查。
它既可用于对本地网络进行安全增强,也可被网络攻击者用来进行网络攻击。
12、欺骗类攻击
欺骗类攻击包括
欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是
通过配制或设置一些假信息来实施欺骗攻击。
主要包括:
ARP
缓存虚构、DNS
高速缓存污染、伪造电子邮件等。
13、漏洞类攻击
针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜
防。
漏洞(Hole):
系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用
户XX获得访问权或提高其访问权限。
要找到某种平台或者某类安全漏洞也是比较简单的。
在
上的许多站点,不论是公开的还是秘密的,都提
供漏洞的归档和索引等。
14、破坏类攻击
破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手
段。
计算机中的“逻辑炸弹”是指在特定逻辑条件满足时,实施破坏的计算机程序,该程序触发后造成计算机数据丢失、计算机不
能从硬盘或者软盘引导,甚至会使整个系统瘫痪,并出现物理损坏的虚假现象。
15、攻击的目的
•攻击动机
–
恶作剧
恶意破坏
商业目的
政治军事
•攻击目的
破坏
入侵
16、攻击的步骤
•攻击的准备阶段
确定攻击目的
准备攻击工具
收集目标信息
•攻击的实施阶段
隐藏自己的位置
利用收集到的信息获取帐号和密码,登录主机
利用漏洞或者其他方法获得控制权并窃取网络资源和特权
攻击的善后阶段
✓对于
系统
▪禁止日志审计
▪清除事件日志
▪清除
IIS
服务日志
✓为了下次攻击的方便,攻击者都会留下一个后门,充当后门的工具种类非常多,最典型的是木马程序。
17、攻击诀窍
3
•基本方法
口令入侵
•获取账号:
,X.500
,电子邮件地址
,默认账号
•获取密码:
网络监听
,Bruce,漏洞与失误
特洛伊木马程序
WWW
欺骗
电子邮件攻击
•电子邮件轰炸
,电子邮件欺骗
黑客软件
•Back
Orifice2000、冰河
安全漏洞攻击
•Outlook
,IIS,Serv-U
对防火墙的攻击
•Firewalking、Hping
渗透
路由器攻击
常用攻击工具
✓网络侦查工具
▪superscan
,Nmap
✓拒绝服务攻击工具
▪DDoS
攻击者
1.4
sqldos
Trinoo
✓木马
▪BO2000
,冰河
,NetSpy
18、网络安全攻击(或者叫渗透测试)是网络安全评估的重要手段。
第三章
网络侦察技术
1、网络扫描
•网络扫描重点介绍三种扫描类型
地址扫描:
发现计算机网络上存活的计算机;
端口扫描:
发现计算机网络的服务;
端口号和网络服务相关联;
入侵者在进行攻击前,首先要了解目标系统的一些信息:
(1)如目标主机运行的是什么操作系统;
是否有保护措施,运行什么服务;
运行的服务的版本等等。
(2)判断运行服务的方法就是通过端口扫描,因为常用的服务是使用标准的端口,只要扫描到相应的端口,就能知道目标主
机上运行着什么服务,然后入侵者才能针对这些服务进行相应的攻击。
–漏洞扫描:
发现计算机系统上的漏洞。
(1)漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询
;
(3)漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序
(4)外部扫描与内部扫描:
1)是否通过
来进行。
•常用的扫描器
Nmap
Nessus
X-Scan
–
2、扫描器
扫描器的定义
扫描器是一种收集系统信息,自动检测远程或本地主机安全性弱点的程序。
扫描器的作用:
✓可以发现远程服务器是否存活;
✓它对外开放的各种
端口的分配及提供的服务;
✓它所使用的软件版本(如操作系统或其他应用软件的版本);
✓所存在可能被利用的系统漏洞.
3、常用的扫描器
(1)Nmap(端口扫描器)
✓UDP、TCP
connect、TCP
SYN(半开)、ftp
proxy(跳跃攻击)、Reverse-ident、ICMP(ping)、FIN、ACK
sweep、Xmas
Tree、SYN
sweep
和
NULL
扫描。
✓通过
来鉴别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的
Ping
侦测下属的
主机、欺骗扫描、端口过滤探测、直接的
RPC
扫描、分布扫描、灵活目标选择以及端口的描述。
(2)Nessus(漏洞扫描器)
✓www.nessus.org
✓Nessus
是图形化的界面,使得它使用起来相当简便,它还对扫描出的漏洞给出详细的利用方法和补救方
法。
✓所以,Nessus
是攻击者和网管都应该学会使用的漏洞检查利器
。
(3)X-scan
✓http:
//xfocus.org
✓提供了图形界面和命令行两种操作方式
✓远程操作系统类型及版本、标准端口状态及端口
banner
信息、CGI
漏洞、RPC
漏洞、SQL-SERVER
默认帐
户、弱口令,NT
主机共享信息、用户信息、组信息、NT
主机弱口令用户
4、对抗扫描的方法
防火墙:
阻止扫描数据。
4
网络入侵检测系统:
检测扫描数据。
仅仅允许必须的端口开放,过滤或关闭其他端口。
管理员适当配置系统的
协议栈的性质,以对抗操作系统的指纹识别。
使用者的安全教育。
5、网络监听
什么叫网络监听?
监视网络状态,数据流程以及网络上信息传输的技术。
•网络嗅探的目的是截获通信的内容。
•嗅探(监听)的方法是对协议进行分析。
•当黑客成功地登录进一台网络上的主机,并取得了
权限之后,而且还想利用这台主机去攻击同一网段上的其它
主机时,这时网络监听是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。
(1)以太网的监听
✓共享以太网上的嗅探器
▪以太网逻辑上是总线拓扑结构,采用广播的通信方式。
▪数据的传输是依靠帧中的
MAC
地址来寻找目的主机。
只有与数据帧中目标地址一致的那台主
机才能接收数据(广播帧除外,它永远都是发送到所有的主机)。
但是,当网卡工作在混杂模式(Promiscuous)下时,无论帧中的目标物理地址是什么,主机都将接收。
如果在这台主机上安装
嗅探器,就可以达到监听的目的。
(2)交换式网络上的嗅探器(Ethernet
Switch)
✓交换以太网中,交换机能根据数据帧中的目的
地址将数据帧准确地送到目的主机的端口,而不是所
有的端口。
✓所以交换式网络环境在一定程度上能抵御
Sniffer
攻击。
✓在交换环境中,Sniffer
的简单的做法就是伪装成为网关(欺骗交换机)
(3)常用工具
✓ARP
欺骗(ARP
poisoning/spoofing)/“中间人”攻击
6、什么是
ARP?
ARP
(Address
Resolution
Protocol)
提供
地址到相应的硬件地址(物理地址或
地址)之间的映射
✓应用在局域网中(广播
请求)
✓IP
地址称为逻辑地址,数据在物理网络上传输使用的是硬件地址(数据链路层协议帧封装的需要)。
✓如果一台主机需要知道路由器或另外一台主机的物理地址,就需要使用
协议。
✓控制信息有:
请求(广播)和
应答(单播)
请求和响应是内核处理的。
7、网络监听的防范方法
✓确保以太网的整体安全性
✓采用加密技术
8、检测网络监听的手段
✓反应时间
✓DNS
测试
✓利用
ping
进行监测
数据包进行监测
9、口令破解
•黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。
•字典文件
用户的名字、生日、电话号码、身份证号码、所居住街道的名字等。
10、口令攻击类型
✓字典攻击
✓强行攻击
✓组合攻击
11、口令破解器
✓工作原理
第四章
拒绝服务攻击
1、拒绝服务攻击概述
•DoS
定义
拒绝服务攻击
DoS(Denial
Service)是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。
攻击思想
服务器的缓冲区满,不接收新的请求。
使用
欺骗,迫使服务器将合法用户的连接复位,影响合法用户的连接。
2、拒绝服务攻击分类
•攻击模式
消耗资源
•网络带宽、存储空间、
CPU
时间等
破坏或改变配置信息
物理破坏或者改变网络部件
利用服务程序中的处理错误使服务失效
•发起方式
传统的拒绝服务攻击
分布式拒绝服务攻击(Distributed
Denial
Service
(1)攻击模式:
5
针对网络连接的拒绝服务攻击
•ping
、flooding、SYN
flooding
•ping、finger
广播包
•广播风暴(SMURF
攻击)
消耗磁盘空间
•ERROR-LOG
•FTP
站点的
incoming
目录
•制造垃圾文件
消耗
资源和内存资源
•main()
•{
•fork();
•main();
•}
(2)攻击模式:
破坏或更改配置信息
修改服务用户群(apache
服务器,access.conf
配置文件)
删除口令文件(tmp
目录安全问题,Linux)
(3)攻击模式:
物理破坏或改变网络部件
计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备
(4)攻击模式:
•LAND
3、服务端口攻击
【1】
(1)
•SYN
Flooding(同步包风暴拒绝服务攻击)
•Smurf
•利用处理程序错误的拒绝服务攻击
(2)
Flooding
具有以下特点
•针对
协议的薄弱环节进行攻击
•发动攻击时,只要很少的数据流量就可以产生显著的效果
•攻击来源无法定位(IP
欺骗)
•在服务端无法区分
连接请求是否合法
(3)
同步包风暴攻击的本质是利用
协议集的设计弱点和缺陷
只有对现有的
协议集进行重大改变才能修正这些缺陷
(4)
应对
•优化系统配置
•优化路由器配置
•使用防火墙
•主动监视
•完善基础设施
6
【2】
这种攻击方法结合使用了
回复方法使大量网络数据充斥目标系统,引起目标系统拒绝为
正常请求进行服务。
•实际发起攻击的网络
过滤掉源地址为其他网络的数据包
•被攻击者利用的中间网络
配置路由器禁止
•被攻击的目标
与
ISP
协商,由
暂时阻止这些流量
•攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过
欺骗的方
式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从
而很大程度地降低了系统性能
•对
会变的极其缓慢(大约持续五分
钟)
•127.0.0.1
电子邮件轰炸
•定义:
在很短时间内收到大量无用的电子邮件
•SMTP
端口
(TCP
25)
•邮件列表炸弹
KaBoom!
这种攻击有两个特点
•真正的匿名,发送邮件的是邮件列表
•难以避免这种攻击,除非被攻击者更换电子邮件地址,或者向邮件列表申请退出
•病毒发送电子邮件炸弹
•应对方法
配置路由器和防火墙,识别邮件炸弹的源头,不使其通过
提高系统记账能力,对事件进行追踪
禁止邮件匿名发送
5、分布式拒绝服务攻击
DDoS
•分布式拒绝服务
DDoS(Distributed
Service)攻击是对传统
攻击的发展。
攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。
6、传统的拒绝服务攻击的缺点
受网络资源的限制
隐秘性差
7、DDoS
克服了这两个致命弱点
●突破了传统攻击方式从本地攻击的局限性和不安全性
●其隐蔽性和分布性很难被识别和防御
8、被
DDoS
攻击时可能的现象
被攻击主机上有大量等待的
连接
端口随意
大量源地址为假的无用的数据包
高流量的无用数据造成网络拥塞
利用缺陷,反复发出服务请求,使受害主机无法及时处理正
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 复习 要点