绪论
1、网络空间的4个要素(设施、数据、用户、操作)见第一章PPT 61页
下面这个图要背好
2、网络空间安全基本概念;
⽹络空间安全涉及到⽹络空间中的电磁设备、电⼦信息系统、运⾏数据和系统应⽤中所存在的安全问题。既要防⽌、保护“信息通信技术系统”及其所承载数据受到损害也要应对这些信息通信技术系统所引发的政治安全、经济安全、⽂化安全、社会安全与国防安全。⽹络空间安全主要研究⽹络空间中的安全威胁和防护问题。包括基础设施、信息系统的安全和可信、以及相关信息的机密性、完整性、可⽤性、真实性和可控性
3、网络安全属性;
包括基础设施、信息系统的安全和可信、以及相关信息的机密性、完整性、可⽤性、真实性和可控性
4、网络攻击基本概念、分类(重点理解主动攻击、被动攻击);
PPT里概念有三大部分:
- 网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为,是入侵者实现入侵目的所采取的技术手段和方法。
- 网络攻击是指利用敌方网络系统的安全缺陷,为窃取、修改、伪造或破坏信息,以及降低、破坏网络使用效能而采取的各种措施和行动。由于计算机硬件和软件、网络协议和结构以及网络管理等方面不可避免地存在安全漏洞,使得网络攻击防不胜防。
- 网络攻击是指利用安全缺陷或不当配置对网络信息系统的硬件、软件或通信协议进行攻击,损害网络信息系统的完整性、可用性、机密性和抗抵赖性,导致被攻击信息系统敏感信息泄露、非授权访问、服务质量下降等后果的攻击行为。
分类:
- 主动攻击:攻击者为了实现攻击目的,主动对系统进行非授权的访问行为。通常是具有攻击破坏性的攻击行为,会对系统造成直接的影响。又可分为以下3类:①中断 是对系统的可用性进行攻击。如破坏计算机硬件、网络或文件管理系统②篡改 是对系统的完整性进行攻击。如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。③伪造 是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录。
- 被动攻击:利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。一般不对数据进行篡改,通过截取或者窃听等方式未经用户授权对消息内容进行获取,或对业务数据流进行分析。
5、网络安全防护技术的三个阶段和发展趋势;
- 第一代安全技术:以保护为目的,划分明确的网络边界,访问控制、物理安全,密码技术
- 第二代安全技术:以保障为目的,以检测技术为核心,以恢复为后盾,融合了保护、检测、响应和恢复四大类技术。防⽕墙 Firewall、⼊侵检测系统 IDS、虚拟专⽤⽹ VPN、公钥基础结构 PKI
- 第三代安全技术:以顽存为目的,即系统在遭受攻击、故障和意外事故的情况下,在一定时间内仍然具有继续执行全部或关键使命的能力。其核心技术是入侵容忍技术,实时性能、功能、安全调整、实时状况感知以及响应。
发展趋势:可信化、网络化、集成化、可视化
6、会描述网络攻击的一般过程。
⽹络攻击⼀按都分为三个阶段
- 准备阶段:确定攻击⽬的、准备攻击⼯具和收集⽬标信息
收集和⽬标相关的信息。⽐如⽹络信息(域名,⽹络拓扑结构、IP)、系统信息(操作系统版本、开放的⽹络服务)、⽤户信息(⽤户标识、邮件账号、联系⽅式等) - 实施阶段:隐藏⾃⼰的位置、利⽤收集到的信息获得账号密码登录主机,利⽤漏洞或者其他⽅法获得主机的控制权并窃取⽹络资源和特权。权限获取
- 善后阶段:消除攻击的痕迹、植⼊后⻔,退出安装后⻔(⽊⻢等)系统⽇志清除、应⽤程序⽇志清除
第2部分 网络脆弱性分析
1、理解影响网络安全的因素;
- 环境和灾害因素:⾃然灾害如⽕灾⽔灾雷电等可能破坏数据,需要事先做好防备。
- 人为因素:⼈员疏忽或者⿊客攻击。
- 系统自身因素:硬件系统故障、软件故障或者安全缺陷、⽹络和通信协议的缺陷
2、网络体系结构脆弱性;
- 分组交换
- 所有⽤户共享资源,给予⼀个⽤户的服务会受到其他⽤户的影响
- 攻击数据包在被判断为恶意之前都会被转发到受害者。
- 认证与可追踪性
- 因特⽹没有认证机制,会导致IP欺骗。攻击者可以伪造数据包中任何区域的内容,然后发送数据包到因特⽹中。
- 路由器不具备数据追踪功能。很难验证⼀个数据包是否来源于其所声称的地址。攻击者可以通过IP欺骗隐藏来源。
- 尽力而为服务策略
- best-effort的服务策略只要是交给网络的数据,⽆论是正常⽤户发送的正常流量还是攻击者发送的恶意流量,网络都会尽可能地送到⽬的地。
- 把⽹络资源的分配和公平性完成寄托与终端⽤户的⾃律上。
- 匿名与隐私
- 普通⽤户⽆法知道对⽅的真实身份,也⽆法拒绝来路不明的信息(邮件等)
- 对全球⽹络基础设施的依赖
- 全球⽹络基础设施不提供可靠性、安全性保证。这使得攻击者可以放⼤其攻击效⼒。
- ⾸先,⼀些不恰当的协议设计导致⼀些数据包⽐其他数据包耗费更多的资源其次,因特⽹是⼀个⼤集体。其中存在的很多不安全系统会严重威胁整个⽹络的安全。
3、理解IP、ICMP、ARP、UDP、TCP、DNS常见协议的不足及可被利用进行的网路攻击;其他几个路由交换协议本次考试暂未涉及。
这个有点多,看书吧
第3部分 网络侦察
1、网络侦察需要侦察的目标的基本信息;
- 静态信息
各种联系信息,包括姓名、邮箱、电话号码等
DNS、Web服务器
主机所在的⽹络段,IP地址
⽹络拓扑结构 - 动态信息
⽬标主机是否开机
⽬标主机是否安装了你所感兴趣的软件
⽬标主机安装的操作系统种类
⽬标主机上是否有安全漏洞可⽤于攻击 - 其他⼀切可对⽹络攻击产⽣作⽤的信息。
2、网络侦察的常用手段和方法;
- 搜索引擎信息收集
- Whois查询
- DNS信息查询
- ⽹络拓扑发现
- 利⽤社交⽹络获取信息
- 其他⽅法
- 社会⼯程学
- 垃圾搜寻
- 查阅web站点
3、百度常用高级语法;
- site:[域] – site:zhihu.com
返回与特定域相关的检索结果。 - link:[Web⻚⾯] – link:www.csdn.net
给出和指定web⻚⾯相链接的站点。可能泄露⽬标站点的业务关系 - Intitle:[条件]
⽤于检索标题中含有特定检索⽂本的⻚⾯ - intext:[条件]
⽤于检索正⽂中含有特定检索⽂本的⻚⾯ - related:[站点]
显示与特定的检索⻚⾯有关联(类似)的web⻚⾯ - filetype:[后缀]
⽤于查找特定类型的⽂件 - cache:[⻚⾯] – cache:www.csdn.net 查找csdn.net中最近被Baidu bot抓取的⻚⾯显示来⾃于Baidu快照的⻚⾯内容。对于查找最近被移除或者当前不可⽤的⻚⾯时⾮常有⽤。
- Not
过滤Web⻚⾯中所包含的特定条件 - Plus
告诉Baidu不应该把这个关键词过滤掉
4、Shodan和ZoomEye的基本特点;
能够在互联⽹上搜索主机、服务器、摄像头、打印机和路由器等设备
搜索对象:⽹络设备、⽹络服务、⽹络系统、banner信息
搜索格式:A B C fiter:value filter:value filter:value
5、ping、nslookup、tracert(tracerout)等常见命令的作用;
Traceroute :⽹络故障诊断和获取⽹络拓扑结构的⼯具。
nslookup:查询DNS的记录,查看域名解析是否正常,在⽹络故障的时候⽤来诊断⽹络问题.查询域名对应的IP地址
ping:检测⽹络连通性。
6、针对网络侦察常用手段会描述网络侦察的防御措施。
- 防御搜索引擎侦察
- 对⼰⽅的web站点内容建⽴严格的信息披露策略。根据策略确定哪些敏感的数据和信息不应该在Web站点上出现。还要对员⼯进⾏培训,要求他们不在新闻组或者BBS上发布敏感信息。
- 要求搜索引擎移除不期望公开的web⻚⾯索引,
- 防御Whois查询
- 保证Whois中的记录没有可以额外供攻击者使⽤的信息。如管理员的账户名。
- 还要对员⼯进⾏培训,防⽌他们掉进社会⼯程学的圈套。
- 防御DNS侦察
- 概念补充:区域传送:DNS服务器之间通过复制数据库⽂件进⾏同步。对于拥有此功能的DNS服务器,攻击者可以通过此DNS服务器作为跳板,获取⽬标主机的信息。
- 避免通过DNS泄露额外的信息。例如:域名不应该泄露计算机的操作系统,⽤途等信息。
- 使⽤DNS分离技术,在⼏台DNS服务器上分散存储DNS信息,使得内部和外部⽤户使⽤不同的DNS服务。
- 限制DNS区域传送。使⽤防⽕墙配置过滤规则,使得仅仅允许少数已知的辅助DNS服务器进⾏区域传送。
- 防御社会⼯程学攻击和垃圾检索
- 培养员⼯的安全意识。对于计算机配置、⼝令等敏感信息的电话询问,在没有确认其身份的情况下,不可以透露相关信息技术部⻔遇到修改权限、重置密码等请求时,需要对⻬进⾏⼆次身份认证。特别强调来电显示技术,不能仅凭借来电显示确定对⽅身份。
- 使⽤碎纸机和光盘粉碎机等设备。对带有敏感信息的废弃设备和纸张等,都需要经过粉碎或者焚烧处理。
第4部分 网络扫描
1、网络扫描的四个目的;
- 判断主机的⼯作状态、即其是否开机。若其没有开机,⼀切攻击都是徒劳的。(主机扫描)
- 判断主机端⼝的开放状态。(端⼝扫描)
- 判断主机服务的操作系统类型(操作系统识别)
- 判断主机中可能存在的安全漏洞。(漏洞扫描)向主机发送精⼼设计的探测数据包,根据⽬标主机的响应,判断其是否存在某安全漏洞。
2、主机发现的技术分类及具体做法;
- ICMP扫描
使⽤ping命令检查与另⼀台主机的⽹络连通情况。本质是向对⽅发送ICMP请求报⽂。如果对⽅主机回复了,说明在线。不回复不⼀定不在线。
- 基于IP协议的主机发现
基于IP协议的主机发现实质上是攻击者针对被扫描的IP地址,有意制造通信错误,并通过是否收到被攻击者反馈的ICMP差错报⽂推断其⼯作状态(判断是否收到ICMP差错报告报⽂)。- 主机在收到⾸部异常的IP数据报时应当返回”参数问题“ICMP报⽂。
- 另一种方法是有意制造分片时间超时,将会向数据包源主机发送“分片重组超时”的ICMP报文。
3、端口扫描的技术分类及具体做法;
- TCP扫描:尝试向⽬标端⼝建⽴正常的TCP连接(三次握⼿四次挥⼿)。直接使⽤系统提供的connect函数。如果连接建⽴成功,说明端⼝开放;建⽴失败则说明⽬标端⼝关闭。
- FTP代理扫描:FTP代理选项允许客户端控制⼀个FTP服务器向另⼀个服务器传输数据。FTP代理选项使得FTP客户端能够控制FTP服务器向⽹络上的任何⼀台主机发送⽂件。
设S为攻击机,T为⽬标主机,F为FTP代理连接的FTP服务器
FTP代理扫描步骤如下1. S与F建⽴会话 2. S使⽤PORT命令指定⼀个T上的端⼝P 3. S使⽤LIST命令让F尝试启动⼀个到⽬标端⼝P的数据传输 4. 如果⽬标端⼝P处于监听状态,则数据传输成功;否则失败。 5. S持续利⽤PORT和LIST命令对⽬标主机T进⾏端⼝扫描 - UDP代理扫描:攻击机向⽬标主机的端⼝发送UDP数据包,如果该端⼝打开,则不会有回应;若端⼝未打开,将会返回ICMP_PORT_UNREACH错误。依次判断端⼝是否开放
4、会描述端口扫描的隐匿性策略;
如果扫描过程中持续性地向⽬标主机发送⼤量的探测报⽂,很容易被防⽕墙、⼊侵检测系统发现。由此需要扫描活动越隐蔽越好
- 调整扫描的次序(随机端⼝扫描)。⽐如如果要扫描192.168.123.0/24⽹段的所有主机。如果按照192.168.123.1,192.168.123.2,192.168.123.3,192.168.123.4顺序扫描,很容易被发现。我们将要扫描的IP地址和端⼝地址次序随机打乱,增强随机性,降低被发现的概率。
- 减缓扫描速度(慢扫描):避免探测数据包在短时间内⼤量出现,减弱扫描的⾏为特征。
- 对数据包中⼀些字段进⾏随机化处理。传统扫描软件发出的报⽂⾥的字段都是固定的,正常的连接中不会出现这些字段。在探测报⽂的⾸部字段中随机填⼊合适的数值,可以加⼤对⽅检测的难度。
- 伪造源地址:防⽌攻击⽅泄露。
- 分布式协同扫描:将扫描任务交给多台主机完成,将扫描任务分散开来。
5、操作系统识别的依据和方法。
旗标信息识别、通过端口信息识别、TCP/IP协议栈指纹识别
- 通过旗标信息
旗标(banner):客户端向服务器端提出连接请求时,服务器返回的欢迎信息。 - 通过端⼝信息
不同的操作系统通常都会有⼀些默认开放的服务,这些服务使⽤特定的端⼝进⾏⽹络监听。端⼝⼯作状态的差异能够为操作系统检测提供⼀定的依据。 - 通过TCP/IP协议栈指纹
根据操作系统在TCP/IP协议栈实现上的不同特点,通过对探测的响应规律形成指纹,进⽽识别⽬标主机运⾏的操作系统。- 即通过向⽬标主机发送构造的特殊包并监控其应答的⽅式来确定操作系统的类型。⽐如向⼀个关闭的端⼝发送UDP数据包,Windows系统会返回RST,Linux不返回。
- Linux内核限制每秒钟发送ICMP差错⽂的数量。不同操作系统对相同的TCP数据包的响应体现在:响应顺序不同、响应值不同、⼆者都不同
第5部分 拒绝服务攻击
1、拒绝服务攻击基本概念和分类(按攻击目标分类、按攻击机制分类)、目的;
拒绝服务攻击(DoS Denial of Service), 通过消耗⽹络带宽或者系统资源,使得⽹络或者系统不堪负荷,以⾄于瘫痪⽽停⽌提供正常的⽹络服务或者⽹络服务质量显著下降,或者通过更改系统配置使得系统⽆法正常⼯作,大多数情况下,拒绝服务攻击指的是前者。
拒绝服务攻击的分类:
(1)按攻击目标分类
- 结点型DoS
- 主机型:主要对主机的CPU、磁盘、操作系统等进行DoS攻击
- 应用型:主要对应用软件进行DoS攻击
- ⽹络连接型:
利⽤⽬标⽤户获取服务器资源时需要交换DNS数据包的特性,发送⼤量的
伪装DNS数据包导致⽬标⽤户⽹络拥塞,不能访问⽬标服务器。
(2)按攻击方式分类
- 资源破坏型DoS:耗尽网络带宽、主机内存、CPU和磁盘等
- 物理破坏型DoS:摧毁主机或网络结点的DoS攻击
- 服务终止型DoS:攻击导致服务崩溃或终止
2、几种常见的剧毒包型拒绝服务攻击;
利⽤协议本身或者软件的漏洞,向受害者主机发送⼀些畸形的数据包使得受害者的主机崩溃。
- 碎片攻击(Teardrop)
利⽤异常的数据分⽚导致接收⽅在处理分⽚数据时崩溃。 - Ping of Death攻击(死亡之ping 或 ICMP Bug攻击)
利⽤协议实现时的漏洞,向受害者发送超⻓的ping包,导致受害者系统异常 - Land攻击
向受害者发送TCP SYN包,⽽这些包的源地址和⽬的IP地址被伪装成受害者的IP地 址。源端⼝和⽬的端⼝也是相同的。(感觉有点像是自身形成了一个回路,然后系统就崩溃了) - 循环攻击(振荡攻击)
当两个都会产⽣输出的端⼝之间建⽴连接以后,第⼀个端⼝的输出成为第⼆个端⼝的输⼊,导致第⼆个端⼝产⽣输出,同时第⼆个端⼝的输出也成为第⼀个端⼝的输⼊。如此,⼀两个端⼝之间就会有⼤量的数据包产⽣。导致拒绝服务。
3、几种常见的直接风暴型拒绝服务攻击方式;
⽤于攻击的分组类型包括:TCP floods、ICMP echo请求/响应报⽂、UDP洪流
- PING⻛暴攻击
- SYN⻛暴攻击(建⽴TCP半连接),消耗服务器半连接资源。
- TCP连接耗尽型(建⽴完整的TCP连接)
- UDP⻛暴攻击:向受害者主机发送⼤量较⻓的UDP数据包,占⽤⽹络带宽,达到阻塞⽹络的⽬的。
- HTTP⻛暴攻击:⽤HTTP协议对⽹⻚上的资源进⾏合法请求,不停地从受害者出获取数据,占⽤连接的同时占⽤带宽。
- 对邮件系统的攻击
- 邮件炸弹:往⼀个邮件地址发送⼤量相同的邮件,耗尽其存储空间。
- 垃圾邮件
4、反射型分布式拒绝服务攻击的基本原理和常见的攻击形式;
-
不直接向目标主机发送数据包,而是通过中间主机间接向目标主机发送大量数据包。攻击者⼀般伪装源地址为受害主机的IP地 址,向⼀台⾼速、⾼带宽服务器或者⼤量服务器发送⼤量数据包。服务器收到这些包以后就向这个源地址回复⼤量响应包。这样就变成了多台⾼性能的服务器向⽬标主机发起DoS攻击。⼀般攻击者会选择使⽤回复响应包数量远⼤于请求数据包的协议服务器,形成流量放⼤攻击,增强破坏性。
-
NTP反射式拒绝服务攻击
- NTP协议:⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后,就会返回与NTP服务器进⾏通信过
的最后600个客户端的IP地址。响应包按照6个IP地址⼀组,⼀次请求最多会返回100个响应包。 - 攻击者实施NTP攻击的步骤
- 扫描。利⽤扫描软件在Internet上扫描开放了123端⼝的服务器。并进⼀步确认其是否开启了NTP服务。
- 攻击。利⽤控制的僵⼫⽹络伪装被攻击主机的IP向NTP服务器发送monlist请求。
- 防治⽅法
需要基础电信运营商在全⽹范围内组织实施源地址验证。
在国际出⼊⼝和互联互通层⾯对NTP流量进⾏监测和调控,降低来⾃国外⼤规模NTP DRDoS攻击的可能性。
- NTP协议:⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后,就会返回与NTP服务器进⾏通信过
-
SSDP反射式拒绝服务攻击
Simple Service Discovery Protocol 。⽤于在局域⽹内发现通⽤的即插即⽤设备。UPnP协议。(通⽤即插即⽤技术)- SSDP DRDoS 攻击流量就是⼤量的SSDP应答消息。
- 攻击者通过伪造SSDP请求源地址字段,使得智能即插即⽤设备将SSDP应答消息发送⾄攻击⽬标
- 防范:
- 关闭不需要要启动即插即⽤服务设备的即插即⽤服务。
- 确认所有连接外⽹的设备没有将即插即⽤服务暴露于互联⽹上。对⾮信任⽹络禁⽤SSDP协议。防⽌设备被攻击者利⽤为攻击反射结点。
5、理解僵尸网络的基本原理和分类;
-
僵尸网络
僵⼫主⼈通过命令与控制信道控制的具有协同性的恶意计算机群-
IRC僵⼫⽹络
- 控制者通过⼀个IRC服务器控制⼤量僵⼫主机。但是当IRC服务器被攻破,控制者就回失去对僵⼫⽹络的控制权。结构简单,但是健壮性差,容易被摧毁。
-
P2P僵⼫⽹络
基于P2P控制与命令机制。⽹络中的每⼀台僵⼫主机都与该僵⼫⽹络中的某台或者某些僵⼫主机建⽴连接。⽽且建⽴连接之后,它还可以对所要连接的主机进⾏更新。这样,僵⼫⽹络主⼈只要通过向⼀台对等主机发送控制信息,进⽽控制整个⽹络。
-
6、理解拒绝服务攻击的检测和响应技术。
拒绝服务攻击检测技术
- DoS攻击工具的特征标志检测:特定端口、标志位、特定数据内容
- 根据异常流量来检测:大量目标主机域名解析、极限通讯流量、特大型的ICMP和UDP数据包、不属于正常连接通信的TCP和UDP数据包、数据段内容只包含文字和数字字符
拒绝服务攻击响应技术
从原理上讲,主要有4种应对DoS攻击的方法:第一种是通过丢弃恶意分组的方法;第二种是在源端控制DoS攻击;第三种是追溯发起攻击的源端;第四种是路由器动态检测流量并进行监控
- 分组过滤,丢弃恶意分组
- 源端控制:通常参与DoS攻击的分组使用的源IP地址都是假冒的,可以通过源端过滤减少或消除假冒IP地址的访问,如使用路由器检查来自与其直连的网络分组源IP地址,如果非法则扔掉。
- 追溯:IP追溯、ICMP追溯、链路测试(从离受害主机最近的路由器开始,交互测试其上游链路,递归执行,知道确定攻击路径)
- 路由器动态检测和控制:攻击检测系统、攻击缓解系统、监控管理系统
- 流量清洗(最有效)对DDoS攻击与正常业务数据混合在⼀起的流量进⾏净化,净化掉DDoS攻击流量,保留正常的业务流量。
第6部分 计算机木马
1、恶意代码(软件)分类及区别;
2、远程控制木马的工作原理和入侵过程;
木马程序即是服务器端程序。
控制端程序作为客户端,用于攻击者远程控制被植入木马的机器。
远程控制木马进行网络入侵的过程:
配置木马
传播木马
启动木马
信息反馈
建立连接
远程控制
3、反向连接木马的工作方式及优点;
优点:
解决动态IP地址的问题;
解决内网地址的问题;
绕过防火墙的限制;
缺点:容易暴露控制端
4、木马的隐藏技术;
- 加载时的隐藏:
- 存储时的隐藏:⽊⻢⽂件/⽬录隐藏:通过某种⼿段使得⽤户⽆法发现⽊⻢⽂件和⽬录。例如使⽤隐藏,还有更换图标等
- 运行时的隐藏
- 启动隐藏:使得⽬标主机在运⾏⽊⻢程序时不被发现。
- 进程隐藏:隐藏⽊⻢进程,使得其在任务管理器中不可⻅。
- 伪隐藏:指程序的进程依然存在,只不过让他消失在进程列表中。
设置窗⼝不可⻅
把⽊⻢注册成服务
欺骗查看进程的函数
使⽤可变的⾼端⼝
使⽤系统服务端⼝ - 真隐藏:让程序彻底消失,不以⼀个进程或者服务的⽅式⼯作。
- 替换系统驱动或者DLL
- 动态嵌⼊,使⽤窗⼝hook、挂接API、远程现成等⽅式将⽊⻢程序嵌⼊到正在运⾏的进程中
- 通信隐藏:不直接与控制者进⾏通信,通过特殊的ICMP报文、端口复用技术或通过中间⽅交换信息。⽐如⽹盘、⽹⻚、电⼦邮件等。
- 伪隐藏:指程序的进程依然存在,只不过让他消失在进程列表中。
5、恶意代码静态检测技术和动态检测技术各自的优缺点;
静态检测(特征检测):根据恶意代码的特征码(代码散列码、代码中的关键字、字节串、特定端口等)进行检测
特征码检测技术的主要优点是简单、检测速度快、准确率高,不足:不能检测未知恶意软件,对于恶意代码变体的容忍度也很低,稍微变形便无法识别;用户需要不断地升级(离线或在线)杀毒软件特征库,同时随着特征库越来越大,检测的效率会越来越低。
动态检测:根据恶意代码执行后的异常行为进行检测
与特征码静态检测技术相比,动态检测技术能够检测未知恶意代码、恶意代码的变种,不足:产生的误报率较高,且不能识别出病毒的名称和类型等。
6、针对木马(恶意代码)的防范措施。
及时修补漏洞,安装补丁
培养风险意识,不使用来历不明的软件
不打开可疑短信、邮件及其附件
安装杀毒软件且不关闭查杀功能,即时发现,即时清除
移动存储设备:用前查杀
关闭不必要的网络端口和服务
第7部分 口令攻击
1、针对静态口令的破解技术;
根据是否需要联⽹,分为
- 在线破解
- 离线破解
根据是否利⽤个⼈信息,分为
- 漫步攻击:不关⼼攻击对象的信息,⽽只关注在允许的猜测次数内,猜测出更多的⼝令。基于PCFG的算法和Markov算法是⽬前主流的2种漫步攻击算法
- 定向攻击:尽可能以最快速度猜测出所给定⽬标(如⽹站、个⼈电脑)的⼝令。因此,攻击者会利⽤与攻击对象相关的个⼈信息(⼈⼝学相关信息),增强猜测的针对性;⽤户在其他⽹站或系统中泄露的⼝令也可以被攻击者利⽤来进⾏定向攻击。
2、口令防御基本措施。
(一)强壮的密码策略
(二)用户意识
(三)密码过滤软件
(四)保护密码文件
(五)分组分类
尽可能使用认证工具而不是口令:使用一次性密码令牌或智能卡,或者使用生物特征进行认证,比如指纹或视网膜扫描。
定期进行密码破解测试:定制执行密码破解评估,帮助找出弱口令。
预防主机和网络中的密码窃取木马和网络监听软件。
第8部分 网络监听技术
1、网络监听基本概念;
指在计算机⽹络接⼝处截获⽹上计算机之间通信的数据,也称⽹络嗅探
2、交换式网络流量劫持的常见方法;
交换式网络流量劫持
-
端⼝镜像:把交换机的⼀个或者多个端⼝数据镜像到某个端⼝的⽅法
-
MAC洪泛:
-
ARP欺骗
-
端⼝盗⽤
-
DHCP欺骗:(动态主机配置协议)黑客模拟为DHCP服务器
-
DNS劫持
-
CDN⼊侵
-
WIFI流量劫持
3、MAC攻击的攻击思路;
在局域⽹中发送带有欺骗性MAC地址源的数据。CAM表中将会填充伪造的MAC地址记录。随着记录增多,与CAM表相关的交换机内存将被耗尽,这时交换机以类似于集线器的模式⼯作,向其它所有的物理端⼝转发数据。
4、端口盗用的具体实施方法;
利用交换机MAC地址表自学习机制,使受害者MAC指向攻击者交换机的端口地址
5、ARP欺骗的基本原理和过程(利用ARP请求和ARP响应实施ARP欺骗各自的优缺点);
ARP协议工作原理:
ARP缓存表
ARP请求以广播形式发送(本机IP和MAC地址会填入ARP请求的源地址字段)
局域网中某主机与请求的IP相同,则进行回应
主机的ARP高速缓存会主动学习ARP请求
ARP协议工作高效,但缺乏验证机制
- 利⽤ARP请求
主机A以“主机B的IP和主机A的MAC地址”发送ARP请求该欺骗性的请求将刷新局域⽹中所有主机的ARP缓存。使得所有发送给B的数据包都发送给A。
但是该⽅法影响⾯⼤,容易被发现,主机B上会弹出IP地址冲突提示。 - 利⽤ARP响应
主机A以“主机B的IP和主机A的MAC地址”发送ARP响应给主机C,即使主机C并没有发送过针对主机B的ARP请求。ARP协议是⽆状态协议,主机不检查⾃⼰是否发送过ARP请求,都会接收下ARP响应。于是此时主机C发给B的所有请求都会发送给A主机。针对性强,除被欺骗的主机C,其他主机不受⼲扰,被伪造的主机B上也不会有警告信息
6、理解WIFI流量劫持基本方法。
攻击者可以利用无线路由器的弱口令,暴力破解无线路由器后台管理员密码,进而控制无线路由器进行监听。也可以使用热点钓鱼,攻击者只需开一个同名同认证的伪热点,并且使信号功率大于被模仿的热点即可。
第9部分 Web网站攻击技术
1、Web应用体系结构及脆弱性;
- Web客户端的脆弱性
浏览器的安全直接影响到客户端主机的安全。利⽤浏览器漏洞渗透⽬标主机也已经成为主流的攻击⽅式 - Web服务器的脆弱性
Web服务器的安全直接影响到服务器主机和Web应⽤程序的安全。流⾏的IIS服务器,Apache服务器和Tomcat服务器都被爆出过很多漏洞。攻击者利⽤这些漏洞,不仅可以对⽬标主机发起DoS攻击,严重的还可以获得服务器的管理员权限和数据库访
问权限,窃取⼤量有⽤信息。 - Web应⽤程序的脆弱性
很多程序员编写Web应⽤程序时没哟考虑安全因素,开发出来的程序往往存在安全隐患。Web应⽤编程语⾔种类多,灵活性⾼,⼀般程序员不容易深⼊理解和正确使⽤,导致使⽤不规范,留下了安全漏洞。例如SQL注⼊就是利⽤Web应⽤程序检查不严格,从⽽获取后台数据库内容 - HTTP协议的脆弱性
HTTP是⼀种简单的,⽆状态的应⽤层协议。⽆状态使得攻击变得容易基于ASCII码,⽆需弄清复杂的⼆进制编码机制就可以了解协议中的明⽂信息。
且绝⼤多数HTTP协议运⾏在80端⼝,很多防⽕墙都设置为允许80端⼝的内容通过。攻击者可以利⽤这⼀点渗透到内⽹中。 - Cookie的脆弱性
Cookie是⽹站为了辨别⽤户身份,为了进⾏会话跟踪⽽存储在⽤户本地终端上的⼀些数据。⼀般由服务器端⽣成,发送给客户端。服务器可以通Cookie中的信息确定HTTP传输中的状态。 - 数据库安全的脆弱性
主流的数据库管理软件:SQL Server、Oracle、MySQL由于⽹站后台数据库中包含了⼤量数据,因此其常常成为攻击者的⽬标。最常⻅的攻
击⼿段:SQL注⼊
2、SQL注入基本概念、形成原因;
SQL注⼊攻击以⽹站数据库为⽬标,利⽤Web应⽤程序对特殊字符串过滤不完全的缺陷,通过精⼼构造的字符串达到⾮法访问⽹站数据库内容或在数据库中执⾏命令的⽬的。
3、会描述如何减少SQL注入的一些措施;
- 对⽤户的输⼊进⾏检查,根据参数的类型,可对单引号、双引号、分号、冒号、逗号、连接号等进⾏过滤。
- 在构造动态SQL语句时,使⽤类安全(type-safe)的参数编码机制
- 禁⽌将敏感性数据以明⽂⽅式存放在数据库中,这样即使被攻击,也能减少泄密⻛险
- 遵循最⼩特权原则。只给访问数据库的Web应⽤提供最低权限,撤销不必要的权限,并保证数据库打了最新补丁
- 尽量不要使⽤动态拼接的SQL
- 应⽤的异常信息应该给出尽量少的提示。最好⽤⾃定义的错误信息对原始错误信息进⾏包装。
4、跨站脚本攻击的基本概念及3种形式。
攻击者利⽤Web程序对⽤户输⼊过滤不⾜的缺陷,把恶意代码注⼊到其他⽤户的浏览器显示
的⻚⾯上执⾏,从⽽窃取⽤户敏感信息、伪造⽤户身份进⾏恶意⾏为的⼀种攻击⽅式
- 反射式跨站脚本攻击
也称为⾮持久性跨站脚本攻击,与本地脚本漏洞不同的是:Web客户端使⽤Server端脚本⽣成⻚⾯为⽤户提供数据时,如果未经验证的⽤户数据被包含在⻚⾯中⽽未经HTML实体编码,客户端代码便能够注⼊到动态⻚⾯中。 - 存储式跨站脚本攻击
也称为持久性跨站脚本攻击。如果Web应⽤程序允许存储⽤户数据,并且存储的输⼊数据没有经过正确的过滤,就有可能发⽣这类攻击。 - DOM式跨站脚本攻击
该类攻击不是按照“数据是否保留在服务端”划分的,是反射式XSS的⼀种特例。会动态的将攻击者可控的内容加⼊⻚⾯的JavaScript框架、单⻚⾯程序或者API。理想来说,我们应该避免将攻击者可控的数据发送给不安全的JavaScript API。
是通过修改⻚⾯DOM结点数据信息形成的。
858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
