1、第 1講:網絡安全概述1、 計算機網絡:我們講的計算機網絡 , 其實就是利用通訊設備和線路將地理位置不同的、 功能獨立的多個計算機系統 互連起來 , 以功能完善的網絡軟件 (即網絡通信協議、信息交換方式及網絡操作系統等 實現網絡中資源共享和信息傳 遞的系統。它的功能最主要的表現在兩個方面 :一是實現資源共享 (包括硬件資源和軟件資源的共享 ; 二是在用戶之間 交換信息。 計算機網絡的作用是 :不僅使分散在網絡各處的計算機能共享網上的所有資源 , 并且為用戶提供強有力的通 信手段和盡可能完善的服務 , 從而極大的方便用戶。 從網管的角度來講 , 說白了就是運用技術手段實現網絡間的信息傳 遞 ,

2、同時為用戶提供服務。計算機網絡通常由三個部分組成 , 它們是資源子網、通信子網和通信協議。所謂通信子網就 是計算機網絡中負責數據通信的部分 ; 資源子網是計算機網絡中面向用戶的部分 , 負責全網絡面向應用的數據處理工 作 ; 而通信雙方必須共同遵守的規則和約定就稱為通信協議 , 它的存在與否是計算機網絡與一般計算機互連系統的根 本區別。2、計算機網絡安全的定義(從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受 自然和人為有害因素的威脅和危害,從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實 性和可控性的相關技術和理論都是計算機網絡安全的研究領域。

3、 3、本課程中網絡安全:指網絡信息系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的破壞、更 改、泄露,系統能連續、可靠、正常地運行,服務不中斷。 (主要指通過各種計算機、網絡、密碼技術和信息安全技 術,保護在公有通信網絡中傳輸、交換和存儲信息的機密性、完整性和真實性,并對信息的傳播及內容具有控制能 力,不涉及網絡可靠性、信息可控性、可用性和互操作性等領域。 網絡安全的主體是保護網絡上的數據和通信的安 全。1數據安全性是一組程序和功能,用來阻止對數據進行非授權的泄漏、轉移、修改和破壞。2通信安全性是一些保護措施,要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施,并依要求對具

4、備 通信安全性的信息采取物理安全性措施。注意,此處網絡安全在不同的環境和應用中有不同的解釋,注意區分:1計算機及系統安全。包括計算機系統機房環境的保護,法律政策的保護,計算機結構設計安全性考慮,硬件系統 的可靠安全運行,計算機操作系統和應用軟件的安全,數據庫系統的安全,電磁信息泄露的防護等。本質上是保護 系統的合法操作和正常運行。2網絡上系統信息的安全。包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式控制、安全審計、安全問 題跟蹤、計算機病毒防治和數據加密等。3網絡上信息傳播的安全。包括信息過濾等。它側重于保護信息的保密性、真實性和完整性。避免攻擊者進行有損 于合法用戶的行為。本質上是保

5、護用戶的利益和隱私。4、安全的主要屬性:完整性、保密性、可用性、不可抵賴性、可靠性。安全的其他屬性:可控性、可審查性、真實性(注:一般通過認證、訪問控制來實現真實性 。5、網絡安全的主要威脅因素:信息系統自身安全的脆弱性、操作系統與應用程序漏洞、安全管理問題、黑客攻擊、 網絡犯罪。第 2講 網絡攻擊階段、技術及防范策略1、黑客與駭客。根本的區別在于是否以犯罪為目的。黑客是指利用計算機技術,非法入侵或者擅自操作他人(包括 國家機關、社會組織及個人計算機信息系統,對電子信息交流安全具有不同程度的威脅性和危害性的人(一般是 研究為主 。駭客指利用計算機技術,非法入侵并擅自操作他人計算機信息系統,對系

6、統功能、數據或者程序進行干 擾、破壞,或者非法侵入計算機信息系統并擅自利用系統資源,實施金融詐騙、盜竊、貪污、挪用公款、竊取國家 秘密或其他犯罪的人(一般是犯罪為主 。駭客包括在黑客概念之中,前者基本上是計算機犯罪的主體,后者的行為 不一定都構成犯罪。2、網絡黑客的主要攻擊手法有:獲取口令、放置木馬、 web 欺騙技術、電子郵件攻擊、通過一個節點攻擊另一節點、 網絡監聽、尋找系統漏洞、利用緩沖區溢出竊取特權等。3、網絡攻擊過程一般可以分為本地入侵和遠程入侵。4、遠程攻擊的一般過程:遠程攻擊的準備階段、遠程攻擊的實施階段、遠程攻擊的善后階段。5、遠程攻擊的準備階段:確定攻擊目標、信息收集、服務分

7、析、系統分析、漏洞分析。6、常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊是指只破壞攻擊目標,使之不能正常工作,而不能隨意控制目標上的系統運行。入侵型攻擊這種攻擊要獲得一定的權限才能達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍,威脅性也更大。 因為攻擊者一旦掌握了一定的權限、甚至是管理員權限就可以對目標做任何動作,包括破壞性質的攻擊。7、信息收集階段:利用一切公開的、可利用的信息來調查攻擊目標。包括目標的操作系統類型及版本、相關軟件的 類型、版本及相關的社會信息。包括以下技術:低級技術偵察、 Web 搜索、 Whois 數據庫、域名系統(DNS 偵察。8、低級技術偵察,分別解釋:

8、社交工程、物理闖入、垃圾搜尋。9、確定目標主機采用何種操作系統原理:協議棧指紋(Fingerprint 10、遠程攻擊的實施階段:作為破壞性攻擊,可以利用工具發動攻擊即可。作為入侵性攻擊,往往需要利用收集到 的信息,找到其系統漏洞,然后利用漏洞獲取盡可能高的權限。 包括三個過程:預攻擊探測:為進一步入侵提供有 用信息;口令破解與攻擊提升權限;實施攻擊:緩沖區溢出、拒絕服務、后門、木馬、病毒。11、遠程攻擊常用的攻擊方法:第一類:使用應用程序和操作系統的攻擊獲得訪問權:基于堆棧的緩沖區溢出、密 碼猜測、網絡應用程序攻擊。第二類:使用網絡攻擊獲得訪問權 :嗅探、 IP 地址欺騙、會話劫持。第三類:

9、拒絕服務 攻擊。12、遠程攻擊的善后階段:維護訪問權、掩蓋蹤跡和隱藏。攻擊者在獲得系統最高管理員權限之后就可以任意修改 系統上的文件了,所以一般黑客如果想隱匿自己的蹤跡,最簡單的方法就是刪除日志文件。但這也明確無誤地告訴 了管理員系統已經被入侵了。更常用的辦法是只對日志文件中有關自己的那部分作修改。13:黑客入侵的一般完整模式:隱藏自己踩點 掃描查點 分析并入侵 獲取權限 擴大范圍 安裝后門 清除日志并隱身。 (注意:一般完整的攻擊過程都是先隱藏自己,然后再進行踩點或預攻擊探測,檢測目標計算機 的各種屬性和具備的被攻擊條件,然后采取相應的攻擊方法進行破壞,達到自己的目的,之后攻擊者會刪除自己的

10、 行為日志。 14、為防止黑客入侵,個人用戶常見防護措施:防火墻、殺毒軟件定期升級和殺毒、定期及時升級系統和軟件補丁、 定期備份系統或重要文件、加密重要文件、關閉不常用端口、關閉不常用程序和服務、發現系統異常立刻檢查。 15:網絡管理常用的防護措施:完善安全管理制度、采用訪問控制措施、運行數據加密措施、數據備份與恢復 。 16、物理環境的安全性體現:包括通信線路的安全,物理設備的安全,機房的安全等。物理層的安全主要體現在通 信線路的可靠性(線路備份、網管軟件、傳輸介質 ,軟硬件設備安全性(替換設備、拆卸設備、增加設備 ,設備 的備份,防災害能力、防干擾能力,設備的運行環境(溫度、濕度、煙塵 ,

11、不間斷電源保障,等等。第 3講:掃描與防御技術1、掃描器:掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。集成了常用的各種掃描技術。掃描器的掃描 對象:能自動發送數據包去探測和攻擊遠端或本地的端口和服務,并自動收集和記錄目標主機的各項反饋信息。掃 描器對網絡安全的作用:據此提供一份可靠的安全性分析報告,報告可能存在的脆弱性。2、網絡掃描器的主要功能:掃描目標主機識別其工作狀態(開 /關機 、識別目標主機端口的狀態(監聽 /關閉 、識 別目標主機操作系統的類型和版本、識別目標主機服務程序的類型和版本、分析目標主機、目標網絡的漏洞(脆弱 點 、生成掃描結果報告。3、網絡掃描的作用:可以對計算機

12、網絡系統或網絡設備進行安全相關的檢測,以找出安全隱患和可能被黑客利用的 漏洞。4、網絡漏洞:網絡漏洞是系統軟、硬件存在安全方面的脆弱性,安全漏洞的存在導致非法用戶入侵系統或未經授權 獲得訪問權限,造成信息篡改、拒絕服務或系統崩潰等問題。5、一個完整的網絡安全掃描分為三個階段:第一階段:發現目標主機或網絡。第二階段:發現目標后進一步搜集目 標信息,包括操作系統類型、運行的服務以及服務軟件的版本等。如果目標是一個網絡,還可以進一步發現該網絡 的拓撲結構、路由設備以及各主機的信息。第三階段:根據收集到的信息判斷或者進一步測試系統是否存在安全漏 洞。6、網絡安全掃描技術包括 PING 掃描、操作系統探

13、測、穿透防火墻探測、端口掃描、漏洞掃描等:1 PING 掃描用 于掃描第一階段,識別系統是否活動。 2 OS 探測、穿透防火墻探測、端口掃描用于掃描第二階段。 OS 探測是對目 標主機運行的 OS 進行識別;穿透防火墻探測用于獲取被防火墻保護的網絡資料;端口掃描是通過與目標系統的 TCP/IP端口連接,并查看該系統處于監聽或運行狀態的服務。 3漏洞掃描用于安全掃描第三階段,通常是在端口掃 描的基礎上,進而檢測出目標系統存在的安全漏洞。7、漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞:1基于漏洞庫的特征匹配:通過端口掃描得知 目標主機開啟的端口以及端口上的網絡服務后,將這些相關信息與網

14、絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在; 2基于模擬攻擊:通過模擬黑客的攻擊手段,編寫攻擊模塊,對目標主機系統進 行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。8、常用掃描工具:SATAN 、 Nmap 、 Nessus 、 X-scan9、掃描技術一般可以分為主動掃描和被動掃描兩種,它們的共同點在于在其執行的過程中都需要與受害主機互通正 常或非正常的數據報文。其中主動掃描是主動向受害主機發送各種探測數據包,根據其回應判斷掃描的結果。被動 掃描由其性質決定,它與受害主機建立的通常是正常連接,發送的數據包也屬于正常范疇,而

15、且被動掃描不會向受 害主機發送大規模的探測數據。10、掃描的防御技術:反掃描技術、端口掃描監測工具、防火墻技術、審計技術、其它防御技術。11、防范主動掃描可以從以下幾個方面入手:(1減少開放端口,做好系統防護; (2實時監測掃描,及時做出告 警; (3偽裝知名端口,進行信息欺騙。12、被動掃描防范方法到目前為止只能采用信息欺騙(如返回自定義的 banner 信息或偽裝知名端口這一種方法。 13、防火墻技術是一種允許內部網接入外部網絡,但同時又能識別和抵抗非授權訪問的網絡技術,是網絡控制技術 中的一種。防火墻的目的是要在內部、外部兩個網絡之間建立一個安全控制點,控制所有從因特網流入或流向因特 網

16、的信息都經過防火墻,并檢查這些信息,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網 絡的服務和訪問的審計和控制。14、審計技術是使用信息系統自動記錄下的網絡中機器的使用時間、敏感操作和違紀操作等,為系統進行事故原因 查詢、事故發生后的實時處理提供詳細可靠的依據或支持。審計技術可以記錄網絡連接的請求、返回等信息,從中 識別出掃描行為。15:為什么說掃描器是一把雙刃劍?掃描器能夠自動的掃描檢測本地和遠程系統的弱點,為使用者提供幫助。系統 或網絡管理員可以利用它來檢測其所管理的網絡和主機中存在哪些漏洞,以便及時打上補丁,增加防護措施,或用 來對系統進行安全等級評估。黑客可以利用它來獲

17、取主機信息,尋找具備某些弱點的主機,為進一步攻擊做準備。 因此,掃描器是一把雙刃劍。 普通用戶對掃描的防御:用戶要減少開放的端口,關閉不必的服務,合理地配置防火 墻,以防范掃描行為。第 4講:網絡監聽及防御技術1、網絡監聽的概念:網絡監聽技術又叫做網絡嗅探技術 (Network Sniffing ,是一種在他方未察覺的情況下捕獲其通 信報文或通信內容的技術。在網絡安全領域,網絡監聽技術對于網絡攻擊與防范雙方都有著重要的意義,是一把雙 刃劍。對網絡管理員來說,它是了解網絡運行狀況的有力助手,對黑客而言,它是有效收集信息的手段。網絡監聽 技術的能力范圍目前只限于局域網。2:嗅探器 (sniffer

18、是利用計算機的網絡接口截獲目的地為其它計算機的數據報文的一種技術。 工作在網絡的底層, 能 夠把網絡傳輸的全部數據記錄下來。 1嗅探攻擊的基本原理是:當網卡被設置為混雜接收模式時,所有流經網卡的 數據幀都會被網卡接收,然后把這些數據傳給嗅探程序,分析出攻擊者想要的敏感信息,如賬號、密碼等,這樣就 實現了竊聽的目的。 2嗅探器造成的危害:能夠捕獲口令;能夠捕獲專用的或者機密的信息;可以用來危害網絡鄰 居的安全,或者用來獲取更高級別的訪問權限;窺探低級的協議信息。被動嗅探入侵往往是黑客實施一次實際劫持 或入侵的第一步。 3 Sniffer 的正面應用:在系統管理員角度來看,網絡監聽的主要用途是進行

19、數據包分析,通過網 絡監聽軟件,管理員可以觀測分析實時經由的數據包,從而快速的進行網絡故障定位。 4 Sniffer 的反面應用:入侵 者與管理員感興趣的 (對數據包進行分析 有所不同, 入侵者感興趣的是數據包的內容, 尤其是賬號、 口令等敏感內容。 3、網絡傳輸技術:廣播式和點到點式。 廣播式網絡傳輸技術:僅有一條通信信道,由網絡上的所有機器共享。信 道上傳輸的分組可以被任何機器發送并被其他所有的機器接收。點到點網絡傳輸技術:點到點網絡由一對對機器之 間的多條連接構成,分組的傳輸是通過這些連接直接發往目標機器,因此不存在發送分組被多方接收的問題。 4、網卡的四種工作模式:(1廣播模式:該模式

20、下的網卡能夠接收網絡中的廣播信息。 (2組播模式:該模式下的 網卡能夠接受組播數據。 (3直接模式:在這種模式下,只有匹配目的 MAC 地址的網卡才能接收該數據幀。 (4混 雜模式:(Promiscuous Mode在這種模式下,網卡能夠接受一切接收到的數據幀,而無論其目的 MAC 地址是什么。 5、共享式局域網就是使用集線器或共用一條總線的局域網。共享式局域網是基于廣播的方式來發送數據的,因為集 線器不能識別幀,所以它就不知道一個端口收到的幀應該轉發到哪個端口,它只好把幀發送到除源端口以外的所有 端口,這樣網絡上所有的主機都可以收到這些幀。如果共享式局域網中的一臺主機的網卡被設置成混雜模式狀

21、態的 話,那么,對于這臺主機的網絡接口而言,任何在這個局域網內傳輸的信息都是可以被聽到的。主機的這種狀態也 就是監聽模式。處于監聽模式下的主機可以監聽到同一個網段下的其他主機發送信息的數據包。6、在實際應用中,監聽時存在不需要的數據,嚴重影響了系統工作效率。網絡監聽模塊過濾機制的效率是該網絡監 聽的關鍵。信息的過濾包括以下幾種:站過濾,協議過濾,服務過濾,通用過濾。同時根據過濾的時間,可以分為 兩種過濾方式:捕獲前過濾、捕獲后過濾。7、交換式以太網就是用交換機或其它非廣播式交換設備組建成的局域網。這些設備根據收到的數據幀中的 MAC 地 址決定數據幀應發向交換機的哪個端口。因為端口間的幀傳輸彼

22、此屏蔽,因此節點就不擔心自己發送的幀會被發送 到非目的節點中去。交換式局域網在很大程度上解決了網絡監聽的困擾。8、交換機的安全性也面臨著嚴峻的考驗,隨著嗅探技術的發展,攻擊者發現了有如下方法來實現在交換式以太網中 的網絡監聽:溢出攻擊; ARP 欺騙(常用技術 。9、溢出攻擊:交換機工作時要維護一張 MAC 地址與端口的映射表。但是用于維護這張表的內存是有限的。如用大 量的錯誤 MAC 地址的數據幀對交換機進行攻擊, 交換機就可能出現溢出。 這時交換機就會退回到 HUB 的廣播方式, 向所有的端口發送數據包,一旦如此,監聽就很容易了。10、 ARP 的工作過程 :(1主機 A 不知道主機 B

23、的 MAC 地址, 以廣播方式發出一個含有主機 B 的 IP 地址的 ARP 請求; (2網內所有主機受到 ARP 請求后,將自己的 IP 地址與請求中的 IP 地址相比較,僅有 B 做出 ARP 響應,其中含有 自己的 MAC 地址; (3主機 A 收到 B 的 ARP 響應,將該條 IP-MAC 映射記錄寫入 ARP 緩存中,接著進行通信。 11、 ARP 欺騙:計算機中維護著一個 IP-MAC 地址對應表,記錄了 IP 地址和 MAC 地址之間的對應關系。該表將隨 著 ARP 請求及響應包不斷更新。通過 ARP 欺騙,改變表里的對應關系,攻擊者可以成為被攻擊者與交換機之間的 “中間人”

24、, 使交換式局域網中的所有數據包都流經自己主機的網卡, 這樣就可以像共享式局域網一樣分析數據包了。 12、監聽的防御:1通用策略:a 、采用安全的網絡拓撲結構,網絡分段越細,嗅探器能夠收集的信息就越少; b 、數據加密技術:數 據通道加密(SSH 、 SSL 和 VPN ;數據內容加密(PGP 。2共享網絡下的防監聽:檢測處于混雜模式的網卡;檢測網絡通訊丟包率;檢測網絡帶寬反常現象。3交換網絡下的防監聽:主要要防止 ARP 欺騙及 ARP 過載。交換網絡下防范監聽的措施主要包括:a. 不要把網絡 安全信任關系建立在單一的 IP 或 MAC 基礎上,理想的關系應該建立在 IP-MAC 對應關系的

25、基礎上。 b. 使用靜態的 ARP 或者 IP-MAC 對應表代替動態的 ARP 或者 IP-MAC 對應表, 禁止自動更新, 使用手動更新。 c. 定期檢查 ARP 請 求, 使用 ARP 監視工具, 例如 ARPWatch 等監視并探測 ARP 欺騙。 d. 制定良好的安全管理策略, 加強用戶安全意識。第 5講:口令破解與防御技術1、口令的作用:2、口令破解獲得口令的思路:3、手工破解的步驟一般為:4、自動破解:5、口令破解方式:6、詞典攻擊:7、強行攻擊:8、組合攻擊9、社會工程學10、重放:11、 Windows 的口令文件:12、 Windows 的訪問控制過程:13、口令攻擊的防御

26、:1好的口令:2保持口令的安全要點:3強口令?14、對稱加密方法加密和解密都使用同一個密鑰。如果我加密一條消息讓你來破解,你必須有與我相同的密鑰來解 密。這和典型的門鎖相似。如果我用鑰匙鎖上門,你必須使用同一把鑰匙打開門。15、不對稱加密使用兩個密鑰克服了對稱加密的缺點:公鑰和私鑰。私鑰僅為所有者所知,不和其他任何人共享;公鑰向所有會和用戶通信的人公開。用用戶的公鑰加密的東西只能用用戶的私鑰解開,所以這種方法相當有效。別人給用戶發送用用戶的公鑰加密的信息,只有擁有私鑰的人才能解開。16、隨著生物技術和計算機技術的發展,人們發現人的許多生理特征如指紋、掌紋、面孔、聲音、虹膜、視網膜等 都具有惟一

27、性和穩定性,每個人的這些特征都與別人不同,且終身不變,也不可能復制。這使得通過識別用戶的這 些生理特征來認證用戶身份的安全性遠高于基于口令的認證方式。利用生理特征進行生物識別的方法主要有指紋識 別、虹膜識別、掌紋識別、面像識別;其中,虹膜和指紋識別被公認為是最可靠的兩種生物識別。利用行為特征進 行識別的主要有:聲音、筆跡和擊鍵識別等。第 6講:欺騙攻擊及防御技術1、在 Internet 上計算機之間相互進行的交流建立在兩個前提之下:2、欺騙:3、目前比較流行的欺騙攻擊主要有 5種:4、最基本的 IP 欺騙技術:5、 TCP 會話劫持:6、 TCP 會話劫持過程:7、 IP 欺騙攻擊的防御:8、

28、 ARP 欺騙攻擊9、 ARP 欺騙原理:10、 ARP 欺騙攻擊在局域網內非常奏效,其危害有:11、檢測局域網中存在 ARP 欺騙攻擊現象:12、 ARP 欺騙攻擊的防范:13、執行電子郵件欺騙有三種基本方法,每一種有不同難度級別,執行不同層次的隱蔽。它們分別是:利用相似的 電子郵件地址;直接使用偽造的 E-mail 地址;遠程登錄到 SMTP 端口發送郵件。14電子郵件欺騙的防御:15、 DNS 欺騙的原理:16、 DNS 欺騙主要存在兩點局限性:17、 DNS 欺騙的防御:18、 Web 欺騙是一種電子信息欺騙,攻擊者創造了一個完整的令人信服的 Web 世界,但實際上它卻是一個虛假的復

29、制。虛假的 Web 看起來十分逼真,它擁有相同的網頁和鏈接。然而攻擊者控制著這個虛假的 Web 站點,這樣受害者 的瀏覽器和 Web 之間的所有網絡通信就完全被攻擊者截獲。 Web 欺騙能夠成功的關鍵是在受害者和真實 Web 服務器 之間插入攻擊者的 Web 服務器,這種攻擊常被稱為“中間人攻擊 (man-in-the-middle” 。典型案例:網絡釣魚。 19、防范 Web 欺騙的方法:第 7講:拒絕服務攻擊與防御技術1、拒絕服務(Denial of Service,簡稱 DoS ,是利用傳輸協議中的某個弱點、系統存在的漏洞、或服務的漏洞,對 目標系統發起大規模的進攻,用超出目標處理能力的

30、海量數據包消耗可用系統資源、帶寬資源等,或造成程序緩沖 區溢出錯誤,致使其無法處理合法用戶的正常請求,無法提供正常服務,最終致使網絡服務癱瘓,甚至系統死機。 簡單的說,拒絕服務攻擊就是讓攻擊目標癱瘓的一種“損人不利己”的攻擊手段。2、拒絕服務攻擊是由于網絡協議本身的安全缺陷造成的。3、從實施 DoS 攻擊所用的思路來看, DoS 攻擊可以分為:4、典型拒絕服務攻擊技術:5、 Ping of Death:6、淚滴(Teardrop :7、 Land 攻擊:8、 Smurf 攻擊9、分布式拒絕服務 DDoS (Distributed Denial of Service攻擊10、分布式拒絕服務攻擊的

31、軟件一般分為客戶端、服務端與守護程序,這些程序可以使協調分散在互聯網各處的機 器共同完成對一臺主機攻擊的操作,從而使主機遭到來自不同地方的許多主機的攻擊。客戶端:也稱攻擊控制臺, 它是發起攻擊的主機;服務端:也稱攻擊服務器,它接受客戶端發來的控制命令;守護程序:也稱攻擊器、攻擊代理，它直接（如 SYN Flooding）或者間接（如反射式 DDoS）與攻擊目標進行通信。 11、分布式拒絕服務攻擊攻擊過程主要有以下幾個步驟： 12、被 DDoS 攻擊時的現象： 13、DDoS 攻擊對 Web 站點的影響： 14、拒絕服務攻擊的防御： 15、DDOS 工具產生的網絡通信信息有兩種： 16、DDoS

32、 的唯一檢測方式是： 17、分布式拒絕服務攻擊的防御:優化網絡和路由結構;保護網絡及主機系統安全;安裝入侵檢測系統;與 ISP 服務商合 作;使用掃描工具. 18、無論是 DoS 還是 DDoS 攻擊，其目的是使受害主機或網絡無法及時接收并處理外界請求，表現為:制造大流量無 用數據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正常和外界通信。利用被攻擊主機提供服務或傳輸協 議上處理重復連接的缺陷，反復高頻的發出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。 利用被攻擊主機所提供服務程序或傳輸協議的本身的實現缺陷，反復發送畸形的攻擊數據引發系統錯誤的分配大量 系統資源，使主機處

33、于掛起狀態。 第 8 講：緩沖區溢出攻擊及防御技術 1、緩沖區是包含相同數據類型實例的一個連續的計算機內存塊。是程序運行期間在內存中分配的一個連續的區域， 可以保存相同數據類型的多個實例，用于保存包括字符數組在內的各種數據類型。 2、所謂溢出，就是灌滿， 使內容物超過頂端， 邊緣，或邊界，其實就是所填充的數據超出了原有的緩沖區邊界。 3、所謂緩沖區溢出，就是向固定長度的緩沖區中寫入超出其預先分配長度的內容，造成緩沖區中數據的溢出，從而 覆蓋了緩沖區周圍的內存空間。黑客借此精心構造填充數據，導致原有流程的改變，讓程序轉而執行特殊的代碼， 最終獲取控制權。 4、常見緩沖區溢出類型： 5、緩沖區溢出

34、攻擊的過程： 6、緩沖區溢出的真正原因： 第 9 講：Web 攻擊及防御技術 1、Web 安全含三個方面：Web 服務器的安全；Web 客戶端的安全；Web 通信信道的安全。 2、針對 Web 服務器的攻擊分為兩類： 3、對 Web 應用危害較大的安全問題分別是： 4、Web 服務器指紋： 5、Web 頁面盜竊的目的 6、Web 盜竊防御方法： 7、跨站腳本攻擊(Cross Site Script： 8、跨站腳本攻擊的危害： 9、跨站腳本漏洞形成的原因： 10、實現跨站腳本的攻擊至少需要兩個條件： 11、XSS 攻擊最主要目標不是 Web 服務器本身，而是登錄網站的用戶。 12、防御跨站腳本攻

35、擊 13、所謂 SQL 注入，就是通過把 SQL 命令插入到 Web 表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺 騙服務器執行惡意的 SQL 命令。 （SQL 注入原理：隨著 B/S 網絡應用的普及，Web 應用多使用腳本語言（ASP、PHP 等）加后臺數據庫系統進行開發。在這些網絡程序中，用戶輸入的數據被當作命令和查詢的一部分，送到后臺的解 釋器中解釋執行。相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存 在安全隱患。攻擊者可以提交一段精心構造的數據庫查詢代碼，根據網頁返回的結果，獲得某些他想得知的數據或 者目標網站的敏感信息，這就是所謂的 SQ

36、L Injection，即 SQL 注入。 ） 14、SQL 注入受影響的系統： 15、SQL 注入的防范： 第 10 講：木馬攻擊與防御技術 1、木馬的定義： 2、木馬程序的企圖可以對應分為三種: 3、木馬的危害： 4、木馬的特點： 5、木馬實現原理： 6、木馬植入技術可以大概分為主動植入與被動植入兩類。 所謂主動植入，就是攻擊者主動將木馬程序種到本地或 者是遠程主機上，這個行為過程完全由攻擊者主動掌握。而被動植入，是指攻擊者預先設置某種環境，然后被動等 待目標系統用戶的某種可能的操作，只有這種操作執行，木馬程序才有可能植入目標系統。 7、在 Windows 系統中木馬程序的自動加載技術主要

37、有： 8、隱蔽性是木馬程序與其它程序的重要區別，想要隱藏木馬的服務端，可以是偽隱藏，也可以是真隱藏。偽隱藏是 指程序的進程仍然存在，只不過是讓它消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務 的方式工作。 常見隱藏技術： 9、常見木馬使用的端口： 10、反彈窗口的連接技術與傳統木馬連接技術相比有何區別與優勢？ 11、木馬的遠程監控功能：獲取目標機器信息，記錄用戶事件，遠程操作。 12、木馬的檢測方法：:端口掃描和連接檢查；檢查系統進程；檢查 ini 文件、注冊表和服務 ；監視網絡通訊 。 13、木馬的清除與善后：知道了木馬加載的地方，首先要作的當然是將木馬登記項刪除，這樣木

38、馬就無法在開機時 啟動了。不過有些木馬會監視注冊表，一旦你刪除，它立即就會恢復回來。因此，在刪除前需要將木馬進程停止， 然后根據木馬登記的目錄將相應的木馬程序刪除。以冰河為例說明具體清除步驟并適當解釋。1斷開網絡連接；2） 檢查進程并掃描；3首先運行注冊表編輯器，檢查注冊表中 txt 文件的關聯設置；4接著檢查注冊表中的 EXE 文件關 聯設置；5進入系統目錄 System32，刪除冰河木馬的可執行文件 kernel32.exe 和 sysexplr.exe；6修改文件關聯；7重 新啟動，然后用殺毒軟件對系統進行一次全面的掃描，這樣可以排除遺漏的木馬程序。 以網絡管理員角度在清除木 馬后進行善

39、后工作：1判斷特洛伊木馬存在時間長短；2調查攻擊者在入侵機器之后有哪些行動；3對于安全性要求 一般的場合，修改所有的密碼，以及其他比較敏感的信息（例如信用卡號碼等） ；4在安全性要求較高的場合，任何 未知的潛在風險都是不可忍受的，必要時應當調整管理員或網絡安全的負責人，徹底檢測整個網絡，修改所有密碼， 在此基礎上再執行后繼風險分析。對于被入侵的機器，重新進行徹底的格式化和安裝。 14、木馬的防范：木馬實質上是一個程序，必須運行后才能工作，所以會在計算機的文件系統、系統進程表、注冊 表、系統文件和日志等中留下蛛絲馬跡，用戶可以通過“查、堵、殺”等方法檢測和清除木馬。其具體防范技術方 法主要包括：

40、檢查木馬程序名稱、注冊表、系統初始化文件和服務、系統進程和開放端口，安裝防病毒軟件，監視 網絡通信，堵住控制通路和殺掉可疑進程等。常用的防范木馬程序的措施： 1及時修補漏洞，安裝補丁；2運行實時監控程序；3培養風險意識，不使用來歷不明的軟件； 4即時發現，即時清 除 。 第 11 講：計算機病毒 1、狹義的計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，且能 自我復制的一組計算機指令或者程序代碼。計算機病毒一般依附于其他程序或文檔，是能夠自身復制，并且產生用 戶不知情或不希望、甚至惡意的操作的非正常程序。 但是隨著黑客技術的發展，病毒、木馬、蠕蟲往往交叉在一起 相互借鑒技術，因此人們經常說的計算機病毒往往是指廣義上的病毒，它是一切惡意程序的統稱。 2、計算機病毒的特點： 3、計算機病毒的破壞性： 4、計算機病毒引起的異常狀況： 5、按照計算機病毒的鏈接方式分類： 6、按照計算機病毒的破壞情況分類： 7、按寄生方式和傳染途徑分類: 8、計算機病毒程序的模塊劃分： 9、計算機病毒的生命周期： 10、病毒傳播途徑： 11、病毒感染目標： 12、計算機病毒的觸發機制： 13、計算機病毒的破壞機制： 14、典型的計算機病毒： 15、計算機病毒的預防措施：