目录
期末抱佛脚,飘过~~
1.端口扫描:发现远程主机开放的端口以及服务
常见技术:
TCP connect扫描、TCP SYN扫描、FTP代理扫描、TCP FIN扫描、UDP ICMP端口不能到达扫描。
简述两种原理及优缺点:
TCP connect扫描(全连接扫描):
1.调用socket函数connect()连接到目标主机上
2.完成一次完整的三次握手
3.若端口打开,则返回成功,否则返回-1
优点:稳定可靠,不需要特殊权限
缺点:扫描方式不隐蔽,会被日志记录,很容易被防火墙发现
TCP SYN扫描(半连接扫描):
1.扫描器向目标主机发送SYN包
2.若应答RST包,则端口关闭;若应答SYN、ACK包,则端口开放
3.发送一个RST包终止连接
优点:隐蔽性比全连接好,很少被记录
缺点:要超级用户或授权用户访问专门的系统调用
2.ARP欺骗攻击原理:
主机接收到一个应答包后,并不会验证自己是否发送过该arp请求包,也不会验证该包是否可信
而直接用应答包里的IP地址和MAC地址的对应关系替换掉arp缓存表里原有的对应关系。
3.缓冲区溢出攻击
原理:当输入到缓冲区的数据超过了为其分配的空间时,将会覆盖掉其他信息
使系统崩溃或插入可以控制系统的代码
危害:程序瘫痪,系统崩溃
跳转运行恶意代码,甚至可取得管理员权限
4.拒绝服务攻击 DOS
原理:通过向服务器发送大量的服务请求,用大量的数据包“淹没”目标主机,迫使目标主机疲于处理这些垃圾数据
或造成程序缓冲区溢出等危害,无法向合法用户提供正常服务
例:
Ping Of Death(死亡之ping):
利用ping命令发送不合法长度的测试包,使被攻击者无法正常工作。
SYN Flood (TCP SYN洪水攻击):
向目标主机发送大量SYN请求包,目标主机回ACK、SYN包,却无法连接到请求机,一直处于等待
大量无效请求使服务器资源耗尽,直至拒绝服务
5.计算机病毒
定义:依附于其他程序或文档,能够自我复制的恶意代码
三大机制:感染机制、触发机制、破坏机制
- 感染:寻找一个可执行文件,检查其是否有感染标记,若没有,则进行感染,将病毒代码放入宿主程序
- 触发:检查预定的触发条件是否满足,如果满足返回真值,反之返回假值
- 破环:对文件、内存、系统进行破环
6.蠕虫
定义:可以独立运行,并且能够利用漏洞把自身的一个包含所有功能的版本传播到另外的计算机上的恶意代码
机制:
- 信息收集:按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析,如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击
- 攻击渗透:通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,建立传输通道,将蠕虫代码渗透到被攻主机
- 现场处理:攻击成功后,要对被攻击的主机进行一些处理 a.将攻击代码隐藏。b.用注册表将蠕虫程序设为自启动状态
7.木马
定义:非授权的能够进行远程监控的恶意程序
四个工作环节:
- 植入:通过网络将木马程序植入到被控制的计算机
- 自启动:需要一些系统设置来让计算机自动启动木马程序
- 隐藏:1.主机隐藏:在主机系统上文件或进程表现正常,使被植入者无法感受到木马的存在。
2.通信隐藏:端口隐藏,内容隐藏
- 远程监控:远程监控、远程控制
8.PKI
PKI是在公钥技术为基础,通过CA(第三方可信任机构--认证中心)以数字证书为媒介,将个人、组织、设备的标识身份信息与各自的公钥捆绑在一起,产生用户的公钥证书
其主要目的是通过自动管理密钥和证书,为用户建立一个安全可信的网络运行环境.
CA:签发和管理数字证书
9.访问控制技术
访问能力表的特点:从主体出发描述控制信息,能力标记了某一主体对客体的访问权限,该主体能不能访问那个客体,对那个客体能做什么权限的访问
访问控制列表的特点:从客体出发描述控制信息,可以用来对某一资源指定任意一个用户的访问权限
强制访问控制:每个主体及客体都被赋予一定的安全级别,通过比较主体和访问客体的安全级别来决定主题是否可以访问该客体
- BLP 机密性:不上读/向下+同级读 不下写/向上+同级写 应用:防火墙
- Biba 完整性:不下读/向上+同级读 不上写/向下+同级写 应用:web服务器
基于角色的访问控制:用户通过所分配的角色获得相应客体的访问权限,实现对系统资源的访问控制
- 角色作为访问控制的主体
- 最小特权原则
- 角色继承
- 职责分离
- 角色容量限制
身份认证常用技术:1.静态口令 2.挑战/应答 3.认证令牌 4.零知识 5.生物特征
10.防火墙
定义:置于内外网之间的软、硬件系统,内外网’通信流‘的唯一通路,能根据防火墙设置的检查规则,允许或阻止这些信息进入计算机
双宿主机防火墙:
1. 结构和组件:有两个网络接口的计算机系统,可以连接两个网络,实现两个网络接口之间的访问控制
组件:堡垒主机 对组件要求:双网卡
2. OSI:应用层 组件作用:代理
3.工作特点:内外网不能直接通信,通过堡垒主机代理
屏蔽主机防火墙:
1. 结构和组件:包过滤路由器+堡垒主机
组件作用:a.路由器:提供数据包的过滤功能 b.堡垒主机:代理
2. OSI:网络层和应用层
3.工作特点:内外网不能直接通信,通过堡垒主机代理
屏蔽子网防火墙:
1.结构和组件:外部路由器、内部路由器、堡垒主机、DMZ(非军事区)
组件作用:外部路由器:对外界网络上的主机提供保护
内部路由器:保护内部网络免受来自外部网络和边界网络的干扰
2.OSI:网络层和应用层
3.工作特点:内外网不能直接通信,通过堡垒主机代理
4.为什么要划分出一个非军事区?
a.为了解决不同安全策略的需求问题
b.外网必须经过堡垒主机才能到达内部网,更有效地保护了内部网络
11.入侵检测
基于主机的入侵检测
原理:在每个需要保护的主机上运行一个代理程序,根据主机的审计数据和系统的日志发现可疑事件
检测系统可以运行在被检测的主机上,从而实现监控
优点:1、能确定是否攻击成功 2、监控更为细致 3、配置灵活 4、适用适用于加密和交换的环境 5、对网络流量不敏感
缺点:1、无法了解发生在下层协议的入侵活动 2、无法了解网络中其他主机的安全情况 3、性价比不高 4、可移植性差
基于网络的入侵检测
原理:通过监听网络中的分组数据包来获得分析攻击的数据源,分析可疑现象
优点:1、检测速度快 2、较全面发现入侵 3、入侵对象不易销毁证据 4、实时性强
缺点:1、对加密传输无能为力 2、无法了解主机内部的安全情况
异常检测
原理:总结正常操作应具有的活动规律,试图用定量的方式加以描述,当用户活动与用户轮廓有重大偏离时,即被认为是入侵
关键问题:1、行为变量的选择 2、参考阈值的选定
优点:1、可以检测到为止攻击 2、漏报率低
缺点:1、建立系统正常模型不方便 2、误报率高
误用检测
原理:收集非正常的行为特征建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
关键问题:攻击特征的正确表示
优点:1、更好的确定能力 2、开发特征库方便 3、误报率低
缺点:1、只能检测到已知攻击 2、漏报率高