1、第 1 講: 網絡安全概述 1、 運算機網絡 : 我們講的運算機網絡 , 其實就是利用通訊設備和線路將地理位置不同的、功能獨立的多個運算機系統互連起來 , 以功能完善的網絡軟件 即網絡通信協議、信息交換方式及網絡操作系統等 實現網絡中資源共享和信息傳遞的系統；它的功能最主要的表現在兩個方面 : 一是實現資源共享 包括硬件資源和軟件資源的共享 ; 二是在用戶之間 交換信息；運算機網絡的作用是 : 不僅使分散在網絡各處的運算機能共享網上的全部資源 , 并且為用戶供應強有力的通信手段和盡可能完善的服務 , 從而極大的便利用戶；從網管的角度來講 , 說白了就是運用技術手段實現網絡間的信息傳 遞 , 同

2、時為用戶供應服務；運算機網絡通常由三個部分組成 , 它們是資源子網、通信子網和通信協議；所謂通信子網就 是運算機網絡中負責數據通信的部分 ; 資源子網是運算機網絡中面對用戶的部分 , 負責全網絡面對應用的數據處理工 作 ; 而通信雙方必需共同遵守的規章和商定就稱為通信協議 , 它的存在與否是運算機網絡與一般運算機互連系統的根本區分；2、運算機網絡安全的定義 從狹義的愛惜角度來看 , 運算機網絡安全是指運算機及其網絡系統資源和信息資源不受自然和人為有害因素的威逼和危害 , 從廣義來說 , 凡是涉及到運算機網絡上信息的保密性、完整性、可用性、真實 安全的爭論領域；性和可控性的相關技術和理論都是運算

3、機網絡3、本課程中網絡安全 : 指網絡信息系統的硬件、軟件及其系統中的數據受到愛惜 , 不因偶然的或者惡意的破壞、更改、泄露 , 系統能連續、牢靠、正常地運行 , 服務不中斷； 主要指通過各種運算機、網絡、密碼技術和信息安全技術, 愛惜在公有通信網絡中傳輸、交換和儲備信息的隱秘性、完整性和真實性 , 并對信息的傳播及內容具有把握1 能 力, 不涉及網絡牢靠性、信息可控性、可用性和互操作性等領域；網絡安全的主體是愛惜網絡上的數據和通信的安 全；1 數據安全性是一組程序和功能 漏、轉移、修改和破壞；, 用來阻擋對數據進行非授權的泄2 通信安全性是一些愛惜措施 , 要求在電信中接受保密安全性、傳輸安

4、全性、輻射安全性的措施 , 并依要求對具備 通信安全性的信息采取物理安全性措施；留意, 此處網絡安全在不同的環境和應用中有不同的說明 , 留意區分 : 1 運算機及系統安全；包括運算機系統機房環境的愛惜 , 法律政策的愛惜 , 運算機結構設計安全性考慮 , 硬件系統 的牢靠安全運行 , 運算機操作系統和應用軟件的安全, 數據庫系統的安全 , 電磁信息泄露的防護等；本質上是愛惜 系統的合法操作和正常運行；2 網絡上系統信息的安全；包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式把握、安全審計、安全問 毒防治和數據加密等；題跟蹤、運算機病3 網絡上信息傳播的安全；包括信息過濾等；它側重于愛惜

5、信息的保密性、真實性和完整性；防止攻擊者進行有損 本質上是愛惜用戶的利益和隱私；于合法用戶的行為；4、安全的主要屬性 : 完整性、保密性、可用性、不行抵賴性、牢靠 性；安全的其他屬性 : 可控性、可審查性、真實性 拜望把握來實現真實性； 注: 一般通過認證、5、網絡安全的主要威逼因素 : 信息系統自身安全的脆弱性、操作系統與應用程序漏洞、安全治理問題、黑客攻擊、網絡犯罪；第 2 講 網絡攻擊階段、技術及防范策略 1、黑客與駭客；根本的區分在于是否以犯罪為目的；黑客是指利用運算機技術 , 非法入侵或者擅自操作他人 包括 國家機關、社會組織及個人運算機信息系統 , 對電子信息溝通安全具有不同程度的

6、威逼性和危害性的人 一般是 爭論為主；駭客指利用運算機技術, 非法入侵并擅自操作他人運算機信息系統, 對系統功能、數據或者程序進行干擾、破壞 , 或者非法侵入運算機信息系統并擅自利用系統資源 , 實施金融詐騙、盜竊、貪污、挪用公款、竊取國家隱秘或其他犯罪的人 一般是犯罪為主；駭客包括在黑客概念之中 , 前者基本上是運算機犯罪的主體 , 后者的行為 不愿定都構成犯罪；2、網絡黑客的主要攻擊手法有: 獵取口令、放置木馬、 web 欺詐技術、電子郵件攻擊、通過一個節點攻擊另一節點、網絡監聽、查找 系統漏洞、利用緩沖區溢出竊取特權等；3、網絡攻擊過程一般可以分為本地入侵和遠程入侵；4、遠程攻擊的一般過

7、程 : 遠程攻擊的預備階段、遠程攻擊的實施階 段、遠程攻擊的善后階段；5、遠程攻擊的預備階段 : 確定攻擊目標、信息收集、服務分析、系 統分析、漏洞分析；6、常見的攻擊目的有破壞型和入侵型兩種；破壞型攻擊是指只破壞攻擊目標, 使之不能正常工作 , 而不能隨意把握目標上的系統運行；入侵型攻擊這 種攻擊要獲得確定的權限才能達到把握攻擊目標的目的；應當說這種攻擊比破壞型攻擊更為普遍, 威逼性也更大；由于攻擊者一旦把握3 了確定的權限、甚至是治理員權限就可以對目標做任何動作 , 包括破壞性質的攻擊；7、信息收集階段 : 利用一切公開的、可利用的信息來調查攻擊目標；包括目標的操作系統類型及版本、相關軟件

8、的類型、版本及相關的社會信息；包括以下技術 : 低級技術偵察、 Web 搜尋、 Whois 數據庫、域名系統 DNS 偵察；8、低級技術偵察 , 分別說明 : 社交工程、物理闖入、垃圾搜尋；9、確定目標主機接受何種操作系統原理: 協議棧指紋 Fingerprint 10、遠程攻擊的實施階段 : 作為破壞性攻擊 , 可以利用工具發動攻擊即可；作為入侵性攻擊, 往往需要利用收集到的信息 , 找到其系統漏洞 ,然后利用漏洞獵取盡可能高的權限；包括三個過程 : 預攻擊探測 : 為進一步入侵供應有用信息 ; 口令破解與攻擊提升權限; 實施攻擊 : 緩沖區溢出、拒絕服務、后門、木馬、病毒；11、遠程攻擊常

9、用的攻擊方法: 第一類 : 使用應用程序和操作系統的攻擊獲得拜望權 : 基于堆棧的緩沖區溢出、密 碼估計、網絡應用程序攻擊；其次類 : 使用網絡攻擊獲得拜望權 劫持；第三類 : 拒絕服務 攻擊； : 嗅探、 IP 地址欺詐、會話12、遠程攻擊的善后階段 : 愛惜拜望權、掩蓋蹤跡和隱匿；攻擊者在獲得系統最高治理員權限之后就可以任意修改系統上的文件了 , 所以一般黑客假如想隱匿自己的蹤跡 , 最簡潔的方法就是刪除日志文件；但這也明確無誤地告知了治理員系統已經被入侵了；更常用的方法是只對日志文件中有關自己的那部分作修改；13: 黑客入侵的一般完整模式 : 隱匿自己踩點掃描查點分析并入侵獵取權限擴大范

10、疇安裝后門清除日志并隱身； 留意: 一般完整的攻擊過程都是先隱匿自己, 然后再進行踩點或預攻擊探測, 檢測目標運算機 的各種屬性和具備的被攻擊條件 , 然后實行相應的攻擊方法進行破壞 , 達到自己的目的 , 之后攻擊者會刪除自己的 行為日志；14、為防止黑客入侵 , 個人用戶常見防護措施 : 防火墻、殺毒軟件定期升級和殺毒、定期準時升級系統和軟件補丁、定期備份系統或重要文件、加密重要文件、關閉不常用端口、關閉不常用程序和服務、發 現系統反常立刻檢查； 15: 網絡治理常用的防護措施 : 完善安全治理制度、接受拜望把握措施、運行數據加密措施、數據備份與復原；16、物理環境的安全性表達: 包括通信

11、線路的安全 , 物理設備的安全 , 機房的安全等；物理層的安全主要表達在通 信線路的牢靠性 線路備份、網管軟件、傳輸介質 , 軟硬件設備安全性 替換設備、拆卸設備、增加設備 , 設備 的備份 , 防災難才能、防干擾才能 , 設備的運行環境 溫度、濕度、煙塵 , 不間斷電源保證 , 等等；第 3 講: 掃描與防范技術1、掃描器 : 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序；集成了常用的各種掃描技術；掃描器的掃描對象: 能自動發送數據包去探測和攻擊遠端或本地的端口和服務 , 并自動收集和記錄目標主機的各項反饋信息；掃描器對網絡安全的作用 : 據此供應一份牢靠的安全性分析報告 , 報告可能

12、存在的脆弱性；2、網絡掃描器的主要功能 : 掃描目標主機識別其工作狀態 開 / 關機 、識別目標主機端口的狀態 監聽 / 關閉 、識 別目標主機操作系統的類型和版本、識別目標主機服務程序的類型和版本、分析目標主 機、目標網絡的漏洞 脆弱 點 、生成掃描結果報告；3、網絡掃描的作用 : 可以對運算機網絡系統或網絡設備進行安全相 關的檢測 , 以找出安全隱患和可能被黑客利用的 漏洞；5 4、網絡漏洞 : 網絡漏洞是系統軟、硬件存在安全方面的脆弱性 , 安全漏洞的存在導致非法用戶入侵系統或未經授權 信息篡改、拒絕服務或系統崩潰等問題；5、一個完整的網絡安全掃描分為三個階段 機或網絡；其次階段 : 發

13、覺目標后進一步搜集目獲得拜望權限 , 造成: 第一階段 : 發覺目標主標信息 , 包括操作系統類型、運行的服務以及服務軟件的版本等；假如目標是一個網絡 , 仍可以進一步發覺該網絡 的拓撲結構、路由設備以及各主機的信息；第三階段: 依據收集到的信息判定或者進一步測試系統是否存在安全漏洞；6、網絡安全掃描技術包括 PING 掃描、操作系統探測、穿透防火墻探測、端口掃描、漏洞掃描等:1 PING 掃描用 于掃描第一階段 , 識別系統是否活動； 2 OS 探測、穿透防火墻探測、端口掃描用于掃描其次階段； OS 探測是對目標主機運行的 OS 進行識別 ; 穿透防火墻探測用于獵取被防火墻愛惜的網絡資料 ;

14、 端口掃描是通過與目標系統的TCP/IP 端口連接 , 并查看該系統處于監聽或運行狀態的服務； 3 漏洞掃描用于安全掃描第三階段 , 通常是在端口掃 描的基礎上 , 進而檢測出目標系統存在的安全漏洞；7、漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞:1 基于漏洞庫的特點匹配 : 通過端口掃描得知目標主機開啟的端口以及端口上的網絡服務后 , 將這些相關信息與網絡漏洞掃描系統供應的漏洞庫進行匹配 , 查看是否有中意匹配條件的漏洞存在; 2 基于模擬攻擊 : 通過模擬黑客的攻擊手段 , 編寫攻擊模塊 , 對目標主機系統進 行攻擊性的安全漏洞掃 描, 如測試弱勢口令等 , 如模擬攻擊成功 ,

15、 就說明目標主機系統存在安全 漏洞；8、常用掃描工具 :SATAN 、 Nmap 、 Nessus 、 X-scan 6 9、掃描技術一般可以分為主動掃描和被動掃描兩種 , 它們的共同點在于在其執行的過程中都需要與受害主機互通正常或非正常的數據報文；其中主動掃描是主動向受害主機發送各種探測數據包 , 依據其回應判定掃描的結果；被動掃描由其性質準備 , 它與受害主機建立的通常是正常連接 , 發送的數據包也屬于正常范疇, 而且被動掃描不會向受害主機發送大規模的探測數據；10、掃描的防范技術 : 反掃描技術、端口掃描監測工具、防火墻技術、審計技術、其它防范技術；11、防范主動掃描可以從以下幾個方面入

16、手:1 削減開放端口 , 做好系統防護 ; 2實時監測掃描 , 準時做出告警; 3假裝知名端口 , 進行信息欺詐；12、被動掃描防范方法到目前為止只能接受信息欺詐 如返回自定義的 banner 信息或假裝知名端口這一種方法； 13 、防火墻技術是一種答應內部網接入外部網絡 , 但同時又能識別和抗擊非授權拜望的網絡技術, 是網絡把握技術中的一種；防火墻的目的是要在內部、外部兩個網絡之間建立一個安全把握點 , 把握全部從因特網流入或流向因特網的信息都經過防火墻 , 并檢查這些信息 , 通過答應、拒絕或重新定向經過防火墻的數據流 , 實現對進、出內部網 把握；絡的服務和拜望的審計和14、審計技術是使

17、用信息系統自動記錄下的網絡中機器的使用時間、敏捷操作和違紀操作等, 為系統進行事故緣由查詢、事故發生后的實時處理供應詳細牢靠的依據或支持；審計技術可以記錄網絡連接的請求、返回等信息 , 從中 識別出掃描行為；15: 為什么說掃描器是一把雙刃劍.掃描器能夠自動的掃描檢測本地和遠程系統的弱點 , 為使用者供應幫忙；系統 或網絡治理員可以利用它來檢測其所治理的網絡和主機中存在哪些漏洞, 以便準時打上補丁 ,增加防護措施 , 或用 來對系統進行安全等級評估；黑客可以利用它來獵取主機信息 , 查找具備某些弱點的主機, 為進一步攻擊做預備；因此 ,掃描器是一把雙刃劍；一般用戶對掃描的防范 : 用戶要削減開

18、放的端口, 關閉不必的服務 , 合理地配置防火 墻, 以防范掃描行為；第 4 講: 網絡監聽及防范技術1、網絡監聽的概念 : 網絡監聽技術又叫做網絡嗅探技術 Network Sniffing , 是一種在他方未察覺的情形下捕獲其通 信報文或通信內容的技術；在網絡安全領域, 網絡監聽技術對于網絡攻擊與防范雙方都有著重要的意義 , 是一把雙 刃劍；對網絡治理員來說 , 它是明白網絡運行狀況的有力助手 , 對黑客而言 , 它是有效收集信息的手段；網絡監聽 技術的才能范疇目前只限于局域網；2: 嗅探器 sniffer是利用運算機的網絡接口截獲目的地為其它計算機的數據報文的一種技術；工作在網絡的底層 ,

19、 能 夠把網絡傳輸的全部數據記錄下來； 1 嗅探攻擊的基本原理是 : 當網卡被設置為混雜接收模式時 , 全部流經網卡的數據幀都會被網卡接收 , 然后把這些數據傳給嗅探程序 , 分析出攻擊者想要的敏捷信息 , 如賬號、密碼等 , 這樣就實現了竊聽的目的； 2 嗅探器造成的危害 : 能夠捕獲口令 ; 能夠捕獲專用的或者隱秘的信息 ; 可以用來危害網絡鄰居的安全 , 或者用來獵取更高級別的拜望權限 ; 窺探低級的協議信息；被動嗅探入侵往往是黑客實施一次實際劫持 或入侵的第一步； 3 Sniffer 的正面應用 : 在系統管理員角度來看 , 網絡監聽的主要用途是進行數據包分析 , 通過網 絡監聽軟件,

20、 治理員可以觀測分析實時經由的數據包, 從而快速的進行網絡故障定位； 4 Sniffer 的反面應用 : 入侵 者與治理員感愛好的 對數據包進行分析 有所不同 , 入侵者感愛好的是數據包的內容 , 特殊是賬號、 口令等敏捷內容； 3 、網絡傳輸技術 : 廣播式和點到點式；廣播式網絡傳輸技術 : 僅有一條通信信道 , 由網絡上的全部機器共享；信 道上傳輸的分組可以被任何機器發送并被其他全部的機器接收；點到點8 網絡傳輸技術 : 點到點網絡由一對對機器之間的多條連接構成 , 分組的傳輸是通過這些連接直接發往目標機器 , 因此不存在發送分組被多方接收的問題； 4 、網卡的四種工作模式 :1 廣播模式

21、 : 該模式下的網卡能夠接收網絡中的廣播信息； 2 組播模式 : 該模式下的網卡能夠接受組播數據； 3 直接模式 : 在這種模式下 , 只有匹配目的 MAC 地址的網卡才能接收該數據幀； 4混 雜模式 :Promiscuous Mode在這種模式下 ,網卡能夠接受一切接收到的數據幀, 而無論其目的 MAC 地址是什么；5、共享式局域網就是使用集線器或共用一條總線的局域網；共享式局域網是基于廣播的方式來發送數據的, 由于集 線器不能識別幀 , 所以它就不知道一個端口收到的幀應當轉發到哪個端口 , 它只好把幀發送到除源端口以外的全部 端口, 這樣網絡上全部的主機都可以收到這些幀；假如共享式局域網中

22、的一臺主機的網卡被設置成混雜模式狀態的 話,那么, 對于這臺主機的網絡接口而言, 任何在這個局域網內傳輸的信息都是可以被聽到的；主機的這種狀態也 就是監聽模式；處于監聽模式下的主機可以監聽到同一個網段下的其他主機發送信息的數據包；6、在實際應用中 , 監聽時存在不需要的數據 效率；網絡監聽模塊過濾機制的效率是該網絡監, 莊重影響了系統工作 聽的關鍵；信息的過濾包括以下幾種 : 站過濾 , 協議過濾 , 服務過濾 , 通用過濾；同時依據過 濾的時間 , 可以分為 兩種過濾方式 : 捕獲前過濾、捕獲后過濾；7、交換式以太網就是用交換機或其它非廣播式交換設備組建成的局域網；這些設備依據收到的數據幀中

23、的 MAC 地 址準備數據幀應發向交換機的哪個端口；由于端口間的幀傳輸彼此屏蔽 , 因此節點就不擔心自己發送的幀會被發送到非目的節點中去；交換式局域網在很大程度上解決了網絡監聽的困擾；8、交換機的安全性也面臨著莊重的考查, 隨著嗅探技術的進展 , 攻擊者發覺了有如下方法來實現在交換式以太網中 的網絡監聽 : 溢出攻擊; ARP 欺詐 常用技術；9 9、溢出攻擊 : 交換機工作時要愛惜一張 MAC 地址與端口的映射表；但是用于愛惜這張表的內存是有限的；如用大 量的錯誤 MAC 地址的數據幀對交換機進行攻擊 , 交換機就可能顯現溢出；這時交換機就會退回到 HUB 的廣播方式 , 向全部的端口發送數

24、據包 , 一旦如此 , 監聽就很簡潔了；10、 ARP 的工作過程 :1主機 A 不知道主機 B 的 MAC 地址, 以廣播方式發出一個含有主機 B 的 IP 地址的 ARP 請求 ; 2網內所有主機受到 ARP 請求后 , 將自己的 IP 地址與請求中的 IP 地址相比較, 僅有 B 做出 ARP 響應, 其中含有自己的 MAC 地址; 3主機 A 收到 B 的 ARP 響應, 將該條 IP-MAC 映射記錄寫入 ARP 緩存中 , 接著進行通信； 11 、 ARP 欺詐: 運算機中愛惜著一個 IP-MAC 地址對應表 ,記錄了 IP 地址和 MAC 地址之間的對應關系；該表將隨 著 ARP

25、 請求及響應包不斷更新；通過 ARP 欺詐, 轉變表里的對應關系 , 攻擊者可以成為被攻擊者與交換機之間的“ 中間人” , 使交換式局域網中的所有數據包都流經自己主機的網卡, 這樣就可以像共享式局域網一樣分析數據包了； 12 、監聽的防范 : 1 通用策略 :a 、接受安全的網絡拓撲結構, 網絡分段越細 , 嗅探器能夠收集的信息就越少 ; b 、數據加密技術 : 數 據通道加密 SSH 、SSL 和 VPN ; 數據內容加密 PGP ；2 共享網絡下的防監聽 : 檢測處于混雜模式的網卡 ; 檢測網絡通訊丟 包率; 檢測網絡帶寬反常現象；3 交換網絡下的防監聽 : 主要要防止 ARP 欺詐及 A

26、RP 過載；交換網絡下防范監聽的措施主要包括:a. 不要把網絡安全信任關系建立在單一的 IP 或 MAC 基礎上 , 理想的關系應當建立在 IP-MAC 對應關系 的基礎上； b. 使用靜態的 ARP 或者 IP-MAC 對應表代替動態的 ARP 或者 IP-MAC 對應表 , 禁止自動更新 , 使用手動更新； c. 定期檢查10 ARP 請 求, 使用 ARP 監視工具 , 例如 ARPWatch 等監視并探測 ARP 欺詐； d. 制定良好的安全治理策略 第 5 講: 口令破解與防范技術 1、口令的作用 : 2、口令破解獲得口令的思路 : 3、手工破解的步驟一般為 : 4、自動破解 : 5

27、、口令破解方式 : 6、詞典攻擊 : 7、強行攻擊 : 8、組合攻擊 9、社會工程學 10、重放 : 11、 Windows 的口令文件 : , 加強用戶安全意識；12、 Windows 的拜望把握過程 : 13、口令攻擊的防范 : 1 好的口令 : 2 保持口令的安全要點 : 3 強口令 . 11 14、對稱加密方法加密和解密都使用同一個密鑰；假如我加密一條消息讓你來破解 , 你必需有與我相同的密鑰來解密；這和典型的門鎖相像；假如我用鑰匙鎖上門 , 你必需使用同一把鑰匙打開門；15、不對稱加密使用兩個密鑰克服了對稱加密的缺點 : 公鑰和私鑰；私鑰僅為全部者所知 , 不和其他任何人共享 ; 公

28、鑰向全部會和用戶通信的人公開；用用戶的公鑰加密的東西只能用用戶的私鑰解開 , 所以這種方法相當有效；別人給用戶發送用用戶的公鑰加密的信息, 只有擁有私鑰的人才能解開；16、隨著生物技術和運算機技術的進展, 人們發覺人的許多生理特征如指紋、掌紋、面孔、聲音、虹膜、視網膜等 都具有惟一性和穩固性, 每個人的這些特點都與別人不同, 且終身不變 , 也不行能復制；這使得通過識別用戶的這 些生理特點來認證用戶身份的安全性遠高于基于口令的認證方式；利用生理特點進行生物識別的方法主要有指紋識別、虹膜識別、掌紋識別、面像識別; 其中, 虹膜和指紋識別被公認為是最牢靠的兩種生物識別；利用行為特點進 行識別的主要

29、有 : 聲音、筆跡和擊鍵識別等；第 6 講: 欺詐攻擊及防范技術1、在 Internet 上運算機之間相互進行的溝通建立在兩個前提之下: 2、欺詐 : 3、目前比較流行的欺詐攻擊主要有 5 種: 12 4、最基本的 IP 欺詐技術 : 5、 TCP 會話劫持 : 6、 TCP 會話劫持過程 : 7、 IP 欺詐攻擊的防范 : 8、 ARP 欺詐攻擊 9、 ARP 欺詐原理 : 10、 ARP 欺詐攻擊在局域網內特殊奏效 , 其危害有 : 11、檢測局域網中存在 ARP 欺詐攻擊現象 : 12、 ARP 欺詐攻擊的防范 : 13、執行電子郵件欺詐有三種基本方法, 每一種有不同難度級別 , 執行不

30、同層次的隱匿；它們分別是 : 利用相像的 電子郵件地址 ; 直接使用偽造的 E-mail 地址; 遠程登錄到 SMTP 端口發送郵件；14 電子郵件欺詐的防范 : 15、 DNS 欺詐的原理 : 16、 DNS 欺詐主要存在兩點局限性 : 17、 DNS 欺詐的防范 : 18、 Web 欺詐是一種電子信息欺詐, 攻擊者制造了一個完整的令人信服的 Web 世界, 但實際上它卻是一個虛假的復 制；虛假的 Web 看起來特殊逼真 , 它擁有相同的網頁和鏈接；然而攻擊者把握著這個虛假的 Web 站點, 這樣受害者的瀏覽器和 Web 之間的全部網絡通信就完全被攻擊者截獲； Web 欺詐能夠成功的關鍵是在

31、受害者和真實 Web 13 服務器 之間插入攻擊者的 Web 服務器 , 這種攻擊常被稱為“ 中間人攻 擊 man-in-the-middle ”；典型案例 : 網絡釣魚； 19 、防范 Web 欺 騙的方法 : 第 7 講: 拒絕服務攻擊與防范技術1、拒絕服務 Denial of Service,簡稱 DoS , 是利用傳輸協議中的某個弱點、系統存在的漏洞、或服務的漏洞 , 對 目標系統發起大規模的攻擊 , 用超出目標處理才能的海量數據包消耗可用系統資源、帶寬資源等, 或造成程序緩沖區溢出錯誤 , 致使其無法處理合法用戶的正常請求, 無法供應正常服務 , 最終致使網絡服務癱瘓 , 甚至系統死

32、機；簡潔 的說, 拒絕服務攻擊就是讓攻擊目標癱瘓的一種“ 損人不利己” 的攻擊 手段；2、拒絕服務攻擊是由于網絡協議本身的安全缺陷造成的；3、從實施 DoS 攻擊所用的思路來看 , DoS 攻擊可以分為 : 4、典型拒絕服務攻擊技術 : 5、 Ping of Death: 6、淚滴 Teardrop : 7、 Land 攻擊: 8、 Smurf 攻擊 9、分布式拒絕服務 DDoS Distributed Denial of Service 攻擊 10、分布式拒絕服務攻擊的軟件一般分為客戶端、服務端與守護程序, 這些程序可以使和諧分散在互聯網各處的機器共同完成對一臺主機攻擊的操作 , 從而使主機

33、遭到來自不同地方的許多主機的攻擊；客戶14 端: 也稱攻擊把握臺 , 它是發起攻擊的主機 ; 服務端 : 也稱攻擊服務器 ,它接受客戶端發來的把握命令; 守護程序 : 也稱攻擊器、攻擊代理,它直接（如 SYN Flooding ）或者間接（如反射式 DDoS）與攻 擊目標進行通信； 11 、分布式拒絕服務攻擊攻擊過程主要有以下幾個 步驟： 12 、被 DDoS 攻擊時的現象： 13 、DDoS 攻擊對 Web 站點的影響： 14 、拒絕服務攻擊的防范： 15 、DDOS 工具產生的網絡通信信息有兩種： 16 、DDoS 的唯獨檢測方式是： 17 、分布式拒絕服務攻擊 的防范 : 優化網絡和路由

34、結構 ; 愛惜網絡及主機系統安全 ; 安裝入侵檢測 系統; 與 ISP 服務商合 作; 使用掃描工具 . 18 、無論是 DoS 仍是 DDoS 攻擊,其目的是使受害主機或網絡無法準時接收并處理外界請求,表現為 : 制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信；利用被攻擊主機供應服務或 傳輸協 議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務 請求,使被攻擊主機無法準時處理其它正常的請求；利用被攻擊主機 所供應服務程序或傳輸協議的本身的實現缺陷,反復發送畸形的攻擊數據引發系統錯誤的支配大量系統資源,使主機處于掛起狀態；第8 講：緩沖區溢出攻擊及防范技術

35、 1 、緩沖區是包含相同數據類型實例的一個連續的運算機內存塊；是程序運行期間在內存中支配的一個連續的區域,可以儲存相同數據類型的多個實例,用于儲存包括字符數組在內的各種數據類型； 2 、所謂溢出,就是灌滿,使內容物超過頂端, 邊緣,或邊界,其實就是所填充的數據超出了原有的緩沖區邊界； 3 、所謂緩沖區溢出,就是向固定長度的緩沖區中寫入超出其預先支配長度的內容,造成緩沖區中數據的溢出,從而 掩蓋了緩沖區周圍的內存空間；黑客借此細心構造填充數據,導致原有流程的轉變,讓程序轉而執行特殊的代碼,最終獵取把握權； 4 、常見緩沖區溢出類型： 5 、緩沖區溢出攻擊的過程： 6 、緩沖區溢出的真正緣由：第9

36、 講：Web 攻擊及防范技術 1 、Web 安全含三個方面： Web 服務器的安全； Web 客戶端的安全； Web 通信信道的安全； 2 、針對 Web 服務15 器的攻擊分為兩類： 3 、對 Web 應用危害較大的安全問題分別是：4、Web 服務器指紋： 5 、Web 頁面盜竊的目的 6 、Web 盜竊防范方法： 7 、跨站腳本攻擊 Cross Site Script： 8 、跨站腳本攻擊的危害： 9 、跨站腳本漏洞形成的緣由： 10 、實現跨站腳本的攻擊至少需 要兩個條件： 11 、XSS 攻擊最主要目標不是 Web 服務器本身,而是 登錄網站的用戶； 12 、防范跨站腳本攻擊 13 、

37、所謂 SQL 注入,就是 通過把 SQL 命令插入到 Web 表單遞交或輸入域名或頁面請求的查詢 字符串,最終達到欺 騙服務器執行惡意的 SQL 命令； （SQL 注入原 理：隨著 B/S 網絡應用的普及, Web 應用多使用腳本語言（ ASP、PHP 等）加后臺數據庫系統進行開發；在這些網絡程序中,用戶輸入的數據被當作命令和查詢的一部分,送到后臺的解釋器中說明執行；相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判定,使應用程序存在安全隱患；攻擊者可以提交一段細心構造的數據庫查詢代碼,依據網頁返回的結果,獲得某些他想得知的數據或者目標網站的敏捷信息,這就是所謂的 SQL I

38、njection,即 SQL 注入； ） 14 、SQL 注入受影響的系統： 15 、SQL 注入的防范：第 10 講：木馬攻擊與防范技術 1 、木馬的定義： 2 、木馬程序的妄圖可以對應分為三種 : 3 、木馬的危害： 4 、木馬的特點： 5 、木馬實現原理： 6 、木馬植入技術可以大致分為主動植入與被動植入兩類； 所謂主動植入,就是攻擊者主動將木馬程序種到本地或 者是遠程主機上,這個行為過程完全由攻擊者主動把握；而被動植入,是指攻擊者預先設置某種環境,然后被動等待目標系統用戶的某種可能的操作,只有這種操作執行,木馬程序才有可能植入目標系統； 7 、在Windows 系統中木馬程序的自動加載

39、技術主要有： 8 、隱匿性是木馬程序與其它程序的重要區分,想要隱匿木馬的服務端,可以是偽隱藏,也可以是真隱匿；偽隱匿是指程序的進程仍然存在,只不過是讓它消逝在進程列表里；真隱匿就是讓程序完全的消逝,不以一個進程或者服務的方式工作；常見隱匿技術： 9 、常見木馬使用的端口：16 10、反彈窗口的連接技術與傳統木馬連接技術相比有何區分與優勢？11、木馬的遠程監控功能：獵取目標機器信息,記錄用戶大事,遠程 操作； 12 、木馬的檢測方法： : 端口掃描和連接檢查；檢查系統進程；檢查 ini 文件、注冊表和服務；監視網絡通訊； 13 、木馬的清除與善后：知道了木馬加載的地方,第一要作的當然是將木馬登記

40、項刪除,這樣木馬就無法在開機時啟動了；不過有些木馬會監視注冊表,一旦你刪除,它立刻就會復原回來；因此,在刪除前需要將木馬 進程停止,然后依據木馬登記的目錄將相應的木馬程序刪除；以冰河為例說明詳細清除步驟并適當說明；1 斷開網絡連接； 2） 檢查進程并掃描； 3 第一運行注冊表編輯器,檢查注冊表中 txt 文件的關聯設置；4 接著檢查注冊表中的 EXE 文件關 聯設置； 5 進入系統目錄System32,刪除冰河木馬的可執行文件 kernel32.exe 和sysexplr.exe；6 修改文件關聯； 7 重 新啟動,然后用殺毒軟件對系統進行一次全面的掃描,這樣可以排除遺漏的木馬程序；以網絡治理

41、員角度在清除木 馬后進行善后工作： 1 判定特洛伊木馬存在時間長短；2 調查攻擊者在入侵機器之后有哪些行動；3 對于安全性要求 一般的場合,修改全部的密碼,以及其他比較敏捷的信息（例如信用卡號碼等）；4 在安全性要求較高的場合,任何未知的潛在風險都是不可忍耐的,必要時應當調整治理員或網絡安全的負責人,完全檢測整個網絡,修改全部密碼,在此基礎上再執行后繼風險分析；對于被入侵的機器,重新進行完全的格式化和安裝； 14 、木馬的防范：木馬實質上是一個程序,必需運行后才能工作,所以會在運算機的文件系統、系統進程表、注冊表、系統文件和日志等中留下蛛絲馬跡,用戶可以通過“ 查、堵、殺” 等方法檢測和清除木

42、馬；其詳細防范技術方 法主要包括：檢查木馬程序名稱、注冊表、系統初始化文件和服務、系統進程和開放端口,安裝防病毒軟件,監視網絡通信,堵住把握通路和殺掉可疑進程等；常用的防范木馬程序的措施： 1 準時修補漏洞,安裝補丁； 2 運行實時監控程序； 3 培養風險意識,不使用來歷不17 明的軟件； 4 即時發覺,即時清除 ； 第 11 講：運算機病毒 1 、狹義的運算機病毒,是指編制或者在運算機程序中插入的破壞運算機功能或者毀壞數據,影響運算機使用,且能自我復制的一組運算機指令或者程序代碼；運算機病毒一般依附于其他程序或文檔,是能夠自身 復制,并且產生用 戶不知情或不期望、甚至惡意的操作的非正常程 序； 但是隨著黑客技術的進展,病毒、木馬、蠕蟲往往交叉在一起 相互借鑒技術,因此人們經常說的運算機病毒往往是指廣義上的病毒,它是一切惡意程序的統稱； 2 、運算機病毒的特點： 3 、運算機病毒的破壞性： 4 、運算機病毒引起的反常狀況： 5 、依據運算機病毒的鏈接方式分類： 6 、依據運算機病毒的破壞情形分類： 7 、按寄生方式和傳染途徑分類 : 8 、運算機病毒程序的模塊劃分： 9 、運算機病毒的生命周期： 10 、病毒傳播途徑：11、病毒感染目標：