网络安全复习要点文档格式.docx
《网络安全复习要点文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全复习要点文档格式.docx(14页珍藏版)》请在冰点文库上搜索。
(4)恶意软件
7.基于单一攻击属性的分类
1.中断
2.拦截
3.窃听
4.篡改
5.伪造
8.网络攻击的新特点
(1)网络的自动化程度和攻击速度不断提高
(2)攻击工具越来越复杂
(3)黑客利用安全漏洞的速度越来越快
(4)防火墙被攻击者渗透的情况越来越多
(5)安全威胁的不对称性在增加
(6)攻击网络基础设施产生的破坏效果越来越大
(7)网络攻击已经由过去的个人行为,逐步演变为有准备有组织的集团行为。
第二章
1.一般黑客的攻击过程可以分为三个阶段:
第一阶段,探测和发现
第二阶段,获得访问权限
第三阶段,攻击实施
2.探测和发现的内容
1.主机是否存活
2.主机操作系统类型
3.开放的服务
4.是否存漏洞在问题
3.获得访问权限的方法
(1)网络嗅探(NetworkSniffing)
(2)网络欺骗(NetworkSpoofing)
(3)会话劫持(SessionHijacking)
(4)缓冲区溢出
(5)口令猜测
(6)SQL注入
(7)拒绝式服务攻击
第三章
1.口令破解技术方法
穷举法字典法
2.攻击者要进行口令攻击通常需要具备如下条件:
高性能计算机;
大容量的在线字典或其他字符列表;
已知的加密算法;
可读的口令文件;
口令以较高的概率包含于攻击字典之中。
3.口令攻击方式
从用户主机
网络监听
远端系统破解
4.Linux系统口令攻击
passwd文件中每一行代表一个用户条目,格式为:
LOGNAME:
PASSWORD:
UID:
GID:
USERINFO:
HOME:
SHELL
shadow的格式为:
root:
xyDfccTrt180x:
0:
admin:
/:
/bin/sh
5.防止口令攻击的一般方法
1.使用相对安全的口令
2.对网络监听进行监测和防止
3.防止监听
4.身份鉴别
6.网络嗅探技的组成
1.网络硬件设备
2.捕获驱动程序
3.缓冲区
4.实时分析程序
5.解码程序
7.网卡四种模式
1.广播模式
2.组播模式
3.单一模式
4.混杂模式
8.网络嗅探预防措施
1.网络分割
2.数据加密
9.网络扫描器功能
1.发现一个主机和网络的能力
2.发现主机正运行的服务
3.发现漏洞
10.主动探测
1.标志攫取探测
2.TCP/IP堆栈指纹识别
3.ICMP栈指纹识别
11.漏洞扫描
1.漏洞库的匹配方法
2.插件(功能模块)技术
12.ARP欺骗攻击防御方法
1.设置静态ARP缓存
2.交换机端口绑定
3.划分虚拟局域网
4.安装防护软件
ARP欺骗
ARP(AddressResolutionProtocal)协议是一种将IP转化成同IP对应网卡物理地址的一种协议,或者说ARP协议是一种将IP地址转化成MAC地址的一种协议。
ARP欺骗一般通过两种途径产生,一种是发送伪造的ARP请求报文,一种是伪造的ARP应答报文。
ARP欺骗的核心思想就是向目标主机发送一个伪造了源IP地址和MAC地址映射的ARP请求或应答,使目标主机收到该数据帧后更新其ARP缓存,从而达到欺骗目标主机的目的。
13什么是缓冲区溢出
当写入程序超过缓冲区的边界时,这就是所谓的“缓冲区溢出”。
14.缓冲区溢出防范措施
1.安全编码
2.非执行的缓冲区
3.及时打补丁或升级
15.拒绝服务攻击
通过某些手段使得目标系统或者网络不能提供正常的服务
16.一些典型的DoS攻击
PingofDeath
发送异常的(长度超过IP包的最大值)
Land
程序发送一个TCPSYN包,源地址与目的地址相同,源端口与目的端口相同,从而产生DoS攻击
SYNFlood
快速发送多个SYN包
UDPFlood
Teardrop
IP包的分片装配
Smurf
给广播地址发送ICMPEcho包,造成网络阻塞
第四章
1.计算机病毒特征及其分类
(1)非授权可执行性
(2)传染性
(3)破坏性
(4)隐蔽性
(5)潜伏性
(6)寄生性
2.计算机病毒寄生方式分类
文件型病毒
引导型病毒
混合型病毒
3.在现今的网络时代,病毒的发展呈现出以下趋势:
(1)制作病毒的方法更简单
(2)病毒传播速度更快,传播渠道更多
(3)病毒与黑客程序相结合
(4)蠕虫病毒更加泛滥
(5)病毒更加智能化、隐蔽化,更难以被实时监测、
4.引导型病毒:
以硬盘和软盘的非文件区域(系统区域)为感染对象。
引导型病毒会去改写磁盘上的引导扇区(BOOTSECTOR)的内容,
5.文件型病毒
主要以感染文件扩展名为.COM、.EXE和,.OVL等可执行程序为主。
6.网络蠕虫病毒传播
扫描
攻击
复制
7.木马和病毒的区别
病毒可以自我复制
木马是一个完整程序
8.反弹端口:
由木马服务端主动连接客户端
9.木马隐藏技术
启动方式
1.利用注册表
2.插入文件中或与其他文件绑定在一起
3.利用特定的系统文件或其他特殊方式隐蔽启动
运行方式
1.远程线程插入
2.DLL注入
3.HookingAPi
通信方式
1.端口寄生
2.反弹端口
3.潜伏技术
10.计算机病毒检测方法
1.外观检测法
2.特征代码发(主要方法)
3.校验和法
4.软件模拟法
第五章
1.防火墙系统应具有以下5个方面的特性:
1.内部网和外部网直接通信的数据传输都必须经过防火墙。
2.只有被授权的合法数据,才可以通过防火墙,其他的数据将被防火墙丢弃。
3.防火墙本身不受各种攻击的影响,否则,防火墙的保护功能将大大降低。
4.采用目前新的信息安全技术,如现代加密技术、一次口令系统、智能卡等增强防火墙的保护功能,为内部网提供更好的保护。
5.人机界面良好,用户配置使用方便,易管理。
系统管理员可方便地设置防火墙,并对Internet的访问者、被访问者、访问协议以及访问方式进行控制。
2.防火墙不足和缺陷
1.限制有用的网络和服务
2.无法防范内部网络的攻击
3.无法防范通过防火墙以外的其他途径攻击
4.不能完全防范已感染的软件或病毒
5.无法防范数据驱动型攻击
6.不能防范新的网络安全问题
3.包过滤技术优缺点
优点
1.易实现
2.效率高
3.透明服务
4.价格便宜
缺点
1.不过滤应用数据
2.漏洞可能性大
3.依赖单一部件
4.不能防止IPDNS欺骗
4.地址翻译技术
静态翻译
动态翻译
端口转换
负载平衡翻译
5.VPN至少应该能提供如下功能:
(1)加密数据。
保证通过公网传输的信息的保密性。
(2)信息认证和身份认证。
保证信息的完整性、合法性,并能鉴别用户的身份。
(3)访问控制。
不同的用户具有不同的访问权限。
第六章
1.入侵检测系统模块
数据收集
1.主机和网络日志文件
2.目录和文件中的异常变化
3.程序执行的异常行为
4.物理形式的入侵
数据分析
结果处理
2.入侵检测分类
基于误用
基于异常
第七章
1.漏洞;
指系统中存在的功能性或安全性的逻辑缺陷
2.漏洞研究
漏洞挖掘
漏洞分析
3漏洞挖掘过程
第八章
1.网络诱骗作用
1.消耗攻击者资源、加重工作量、迷惑攻击者
2.掌握攻击者行为、跟踪攻击者
3.有效制止攻击者的破坏行为
2.蜜网
网络服务、数据采集、入侵者活动监控
3.蜜网核心功能
1.数据控制
2.数据捕获
3.数据分析
第九章
1计算机取证的障碍
证据的真实性、有效性、及时性
2.计算机取证方法
基于主机的取证
基于网络的取证
3.网络取证的特性
1.从受害网络中获得的,而不是从受害计算机中获得的信息;
2.从路由器、防火墙、服务器、IDS监视器、其它网络设备得到的日志记录;
3.地理上分散、格式不统一;
4.依赖的时间不一致;
5.需要耗费大量精力和时间来组装;
6.通过网络监视来增加日志中获得的数据
4.Windows系统下数据的收集可能存在的位置
1.碎片空间,从中可以获得不可恢复的已删除文件信息。
2.空闲和未分配空间,可以取得已删除文件,包括已损坏或不可访问的簇。
3.逻辑文件系统。
4.事件日志。
5.注册表。
6.应用程序日志。
7.交换文件Pagefile.sys,含有近期的系统内存信息。
8.特殊应用程序级别的文件,如InternetExplorer的Internet历史纪录(index.dat),Netscape的fat.db、history.hst文件,以及浏览器的缓存区域。
9.应用程序生成的临时文件。
10回收站。
11打印机的后台打印缓存。
12电子邮件文件,如outlook的.pst文件,aol邮件的.ost文件。
第十章
1.应急响应阶段
1.准备
(1)风险评估
(2)制订安全政策,建立安全防御/控制设施
(3)建立应急预案
(4)准备应急人员和资源
(5)建立支持应急响应的平台
2.事件检测
3.抑制阶段
4.根除阶段
5.恢复阶段
6.总结阶段
2.应急响应关键技术
(1)入侵检测
(2)事件隔离与快速恢复
(3)网络追踪和定位
(4)取证技术
3.响应系统应满足的要求
1.综合、分析、验证并确定突发事件的要求
2.获取攻击者的自发证据
3.指定响应战略
4.实时启动网络保护系统并报警
5.对受损网络进行监视
6.对攻击源进行阻断
7.根除系统的感染源
4.虚拟存储技术
冷备份
又叫离线备份,执行备份时服务器不能接受来自应用的数据更新
热备份
又叫在线备份,同步数据备份,用户和应用在更新数据时,系统也可以进行备份。
升级会员 