Ch1-2
1.网络空间的理解:Cyberspace ,“第五空间”
2.网络安全的属性?
除了保密性、完整性和可用性外,
还增加:真实性、不可否认性
3. 网络安全构成威胁的因素:
l 环境因素,
l 人为因素和
l 系统自身因素(硬件软件协议的缺陷与漏洞),
其中人为因素包括:恶意的(恶意攻击、违纪、违法和犯罪)和无意的(如工作疏忽造成失误、配置不当等)
4. 软件漏洞产生的原因?
(1) 系统基础设计错误导致漏洞
(2) 编码错误导致漏洞
(3) 安全策略实施错误导致漏洞
(4) 实施安全策略对象歧义导致漏洞
(5) 系统设计/实施时相关人员刻意留下后门
5. 为什么因特网不安全(因特网存在的问题)?
l 资源共享与分组交换
l 认证与可追踪性
l 尽力而为
l 匿名与隐私
l 对全球网络基础设施的依赖
6. 网络安全技术发展的几个阶段?
n 入侵阻止、
n 入侵检测、
n 入侵容忍
7. 攻击的定义
1、任何企图破坏、暴露、改变、失能、窃取或者获得未授权的访问或者使用资产的行为。
2、试图收集、破环、拒绝、降级或者损害信息系统资源或者信息本身的恶意行为。
8. 攻击的分类
Hansman 方法,四维度分法
n 攻击手段
n 攻击目标
n 漏洞利用
n 攻击的后果和影响
Icove分类:基于经验术语分类方法
Stallings :基于攻击实施手段的网络攻击分类
9. 攻击步骤:
n 踩点(信息收集和探测)、
n 扫描(目标端口扫描、操作系统识别和漏洞扫描)、
n 查点(针对已知弱点的目标进行更充分探查)、
n 权限获取(可以进行拒绝服务攻击)、(利用漏洞或者破解特权口令等)
n 权限提升(盗窃敏感信息)、
n 设置后门
n 消灭踪迹。
Ch3
1. 网络侦察的内容(1-5点)、
1. 主机的IP地址,网络的网段号,目标服务器的域名等
2. 各种静态的联系信息:姓名,邮件,地址,电话号码
3. 网络拓扑结构,是否由防护墙入侵检测系统等防御措施
4. 目标机构的业务
5. 其它一切对攻击有用的信息
方法(搜索引擎及专用搜索引擎https://www.shodan.io/)
n 搜索引擎
n Whois数据库
n 域名系统
n 网络拓扑
n 社交网络
n 其他:社会工程学、Web网站查询、情报来源、垃圾搜寻
及常用的侦察工具
查询网站注册:信息全球最大的注册机构是Network Solutions:http://www.networksolutions.com
http://www.uwhois.com/cgi/whois.cgi
http://www.internic.net/whois.html
Nslookup
Traceroute
Ch4网络扫描
1. 什么是网络扫描?其作用有哪些?()
使用网络扫描软件对特定目标进行各种试探性通信,以获取目标信息的行为。
作用:主机、端口、OS识别和漏洞识别
2. 若防火墙禁止PING 如何扫描主机?
(PING是基于ICMP的,构造一种异常的IP包发送给目标主机,如异常首部的IP包或者超长的IP包,主机或路由器会给出回应)
3. 如何实现端口扫描?
向目标端口发送探测数据包,根据收到的响应来判断端口的状态
(TCP 扫描、FTP代理扫描、UDP扫描)
4. 如何识别操作系统?
a) 通过获取旗标信息:客户端向服务器端提出连接请求时服务器端所返回的欢迎信息
b) 利用端口信息:不同操作系统通常会有一些默认开放的服务,这些服务使用特定的端口进行网络监听。
c) 通过TCP/IP协议栈指纹:根据OS在TCP/IP协议栈实现上的不同特点,通过其对各种探测的响应规律形成识别指纹,进而识别目标主机运行的操作系统。数据包的不同特征:TCP Window-size、 IP TTL、IP TOS、DF位等参数进行分析,来识别操作系统。
5. 漏洞扫描
方法
向探测目标发送特定报文,根据响应判断是否存在漏洞