网络安全技术.docx
《网络安全技术.docx》由会员分享,可在线阅读,更多相关《网络安全技术.docx(19页珍藏版)》请在冰点文库上搜索。
网络安全技术
网络安全技术大纲
第1章
网络脆弱性的原因
1.开放性的网络环境
2.协议本身的脆弱性
3.操作系统的漏洞
4.人为因素
网络安全的定义
网络安全是指网络系统的硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统联系可靠正常地运行,网络服务不中断。
网络安全的基本要素
1.保密性
2.完整性
3.可用性
4.可控性
5.不可否认性
课后习题
选择题
1.计算机网络的安全是指网(络中信息的安全)。
2.嘻嘻风险主要是指(信息存储安全、信息传输安全、信息访问安全).
3.以下(数据存储的唯一性)不是保证网络安全的要素。
4.信息安全就是要防止非法攻击和病毒的传播,保障电子信息的有效性,从具体的意义上来理解,需要保证以下(保密性、完整性、可用性、可控性、不可否认性)几个方面
5.(信息在理解上出现的偏差)不是信息失真的原因.
6.(实体安全)是用来保证硬件和软件本身的安全的。
7.黑客搭线窃听属于信息(传输安全)风险。
8.(入网访问控制)策略是防止非法访问的第一档防线。
9.对企业网络最大的威胁是(内部员工的恶意攻击)。
10.在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的,这是对(可用性的攻击).
11.从系统整体看,“漏洞”包括(技术因素、认得因素、规划,策略和执行该过程)等几方面。
问答题
网络本身存在哪些安全缺陷?
1。
伤害身体
2。
心理方面
3.易惹是非
4。
影响学业
5.安全问题
6.网络内容的伤害
7.社会角色及观念的改变
第2章
黑客入侵攻击的一般过程
1.确定攻击目标
2.收集被攻击对象的有关信息
3.利用适当的工具进行扫描
4.建立模拟环境,进行模拟攻击
5.实施攻击
6.清除痕迹
7.创建后门
扫描器的作用
1.检测主机是否在线
2.扫描目标系统开放的端口
3.获取目标操作系统的敏感信息
4.扫描其他系统的敏感信息
常用扫描器
1.Nmap
2.ISS
3.ESM
4.流光(fluxay)
5.X—scan
6.SSS
7.LC
网络监听
网络监听的一个前提条件是将网卡设置为混杂模式
木马的分类
1.远程访问型木马
2.键盘记录木马
3.密码发送型木马
4.破坏型木马
5.代理木马
6.FTP木马
7.下载型木马
木马的工作过程
1。
配置木马
2。
传播木马
3.启动木马
4.建立连接
5。
远程控制
拒绝服务攻击的定义
拒绝服务攻击从广义上讲可以指任何导致网络设备(服务器、防火请、交换机、路由器等)不能正常提供服务的攻击。
拒绝服务攻击原理
1.死亡之Ping
2.SYNFlood攻击
3.Land攻击
4.Teardrop攻击
5.CC攻击
分布式拒绝服务攻击原理
分布式拒绝服务攻击是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式。
课后习题
选择题
1.网络攻击的发展趋势是(黑客技术与网络病毒日益融合)。
2.拒绝服务攻击(用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击).
3.通过非直接技术攻击称做(社会工程学)。
4.网络型安全漏洞扫描器的主要功能有(端口扫描检测、后门程序扫描检测、密码破解扫描检测、应用撑血扫描检测、系统安全信息扫描检测)。
5.在程序编写上防范缓冲区溢出攻击的方法有(编写证券、安全的代码,程序指针完整性检测,数组边界检查)。
6.HTTP默认端口号为(80)。
7.对于反弹端口型木马,(木马的客户端或第三服务器)主动打开端口,并处于监听状态。
8.关于“攻击工具日益先进,攻击者需要的技能日趋下降”观点不正确的是(网络受到攻击的可能性将越来越小)。
9.网络监听是(监视网络的状态、传输的数据流)。
10.漏洞评估产品在选择时应注意(是否具有针对性、主机和数据库漏洞的检测功能,产品的扫描能力,产品的评估能力,陈品的漏洞修复能力)。
11.DDoS攻击破坏了(可用性).
12.当感觉到操作系统运行速度明显减慢,打开任务管理器后发现CPU的使用率达到100%时,最有可能受到(拒绝服务)攻击。
13.在网络攻击活动中,TribalFloodNetwork(TEN)是(拒绝服务)类的攻击程序。
14.(个人防火墙)类型的软件能够阻止外部主机对本地计算机的端口扫描。
15。
以下属于木马入侵的常见方法是(捆绑欺骗,邮件冒名欺骗,危险下载,打开邮件中的附件)。
16。
局域网中如果某平台计算机收到了ARP欺骗,那么它发出去的数据包中,(目标MAC地址)地址是错误的。
17。
在Windows操作系统中,对网关IP和MAC地址进行绑定的操作行为(ARP—s192.168.0。
100—0a-03-aa-5d-ff).
18.当用户通过域名访问某一合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是(DNS缓存中毒)。
19.下面描述与木马相关的是(由各户端程序和服务器端程序组成夹)。
20。
死亡之ping属于(拒绝服务攻击)。
21.由有限的空间输入超长的字符串是(缓冲区溢出)攻击手段。
22。
Windows操作系统设置账户锁定策略,这可以防止(暴力攻击)。
判断题
1.冒充信件回复、下载电子贺卡同意书,使用的是叫做)(字典攻击)的方法。
(错)
2.当服务器遭受到DoS攻击的时候,只需要重新启动系统就可以阻止攻击。
(错)
3.一般情况下,采用Portscan可以比较快速地了解某台主机上提供了哪些网络服务。
(对)
4.DoS攻击不但能是目标主机停止服务,还能入侵系统,打开后门
得到想要的资料.(错)
5.社会工程攻击目前不容忽视,面对社会工程攻击,最好的方法是对员工进行全面的教育。
(对)
6.ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。
(错)
7.木马有时成为木马病毒,但不具有计算机的病毒的主要特征。
(对)
问答题
1.一般的黑客攻击有哪些步骤?
各步骤主要完成什么工作?
第一,就是用软件扫描IP段,确定那些计算机有漏洞(果如是已知IP,直接扫描他的漏洞就行了)也就是我们所说的“抓肉鸡”第二,就是利用“肉鸡”漏洞,PING入。
当然有防火墙的,你的想办法绕过防火墙,窃取权限,关闭或卸载妨碍的软件。
第三,进入系统,释放病毒或删除系统自身文件。
(当然要是服务器的话,攻击一般有2种。
一,就是盗取服务器最高权限,二,就是利用数据包对服务器进行攻击,让服务器死机,或重启)
2.扫描器只是黑客攻击的工具吗?
常用扫描器有哪些?
1。
扫描工具就是扫描工具。
2。
扫描工具可以自带破解插件以及字典,或者扫描工具是一个集合体。
举例:
小榕流光软件最初就是定义为扫描工具,但其自身在破解、漏洞分析等方面都有杰出表现.
3。
扫描工具:
是对端口,漏洞,网络环境等探测。
有非法扫描和良性扫描,非法扫描工具可以叫做黑客工具,良性4.扫描可以叫做安全工具。
5。
黑客攻击工具:
为达到个人目的而采取的不正当的手段与方法,这种手段和方法的实现可以使用黑客工具。
对于黑客工具中总体而言,扫描工具只是一个辅助工具。
1、端口扫描工具
2、数据嗅探工具
3.什么是网络监听?
网络监听的作用是什么?
网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。
也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。
但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等,象外科技。
网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息.也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法.但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等。
4.特洛伊木马是什么?
工作原理是什么?
特洛伊木马目前一般可理解为“为进行非法目的的计算机病毒”,在电脑中潜伏,以达到黑客目的。
原指一希腊传说。
在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。
夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。
后人常用“特洛伊木马"这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。
现在有的病毒伪装成一个实用工具、一个可爱的游戏、一个位图文件、甚至系统文件等等,这会诱使用户将其打开等操作直到PC或者服务器上.这样的病毒也被称为“特洛伊木马”(trojanwooden—horse),简称“木马”。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:
建立木马连接所必须的硬件实体.控制端:
对服务端进行远程控制的一方。
服务端:
被控制端远程控制的一方。
INTERNET:
控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:
实现远程控制所必须的软件程序.控制端程序:
控制端用以远程控制服务端的程序。
木马程序:
潜入服务端内部,获取其操作权限的程序。
木马配置程序:
设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:
通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:
即控制端,服务端的网络地址,也是木马进行数据传输的目的地.控制端端口,木马端口:
即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
木马原理用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一。
配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:
木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍.
(2)信息反馈:
木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等
5.用木马攻击的一般过程是什么?
木马攻击一般过程:
从本质上看,木马都是网络客户/服务模式,它分为客户端和服务端,其原理是一台主机提供服务,另一台主机接受服务,作为服务器的主机一般都会打开一个默认的端口进行监听。
如果有客户机向服务器的这一端口提出连接请求,服务器上的响应程序就会自动运行,来应答客户机的请求。
这个程序被称为守护进程。
从进程上看大致可分为六步来阐述木马的攻击原理:
1、木马的配置
2、木马的传播
3、木马的自启动
4、木马的信息泄露
5、建立连接
6、远程控制
6.什么是拒绝服务攻击?
分为哪几类?
Synflood:
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
Smurf:
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。
子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
Land-based:
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
PingofDeath:
根据TCP/IP的规范,一个包的长度最大为65536字节。
尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。
当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,该攻击会造成主机的宕机。
Teardrop:
IP数据包在网络传递时,数据包可以分成更小的片段。
攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击.第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。
为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
PingSweep:
使用ICMPEcho轮询多个主机。
Pingflood:
该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
第3章
计算机病毒的特征
1.传染性
2.破坏性
3.潜伏性及不可触发性
4.非授权性
5.隐蔽性
6.不可预见性
计算机病毒引起的异常现象
1.运行速度缓慢,CPU使用率异常高
2.查找可疑进程
3.蓝屏
4.浏览器出现异常
5.应用程序图标被篡改或空白
计算机病毒技术原理
1.特征代码法
2.校验和法
3.行为监测法
4.虚拟机技术
练习题
1.计算机病毒病毒是一种(程序),其特性不包括(自生性)。
2.下列叙述中正确的是(计算机病毒可以通过读写磁盘或网络等方式进行传播)。
3.就是年纪病毒的传播方式有(通过共享资源传播,通过网页恶意脚本传播,通过网络文件传输传播,通过电子邮件传播)。
4.(Iloveyou)病毒是定期发作的,可以设置FlashROM写状态来避免病毒破环ROM。
5.以下(word)不是杀毒软件。
6.效率最高、最保险的杀毒方式是(磁盘格式化)。
7.网络病毒与一般病毒相比,(传播性广)。
8.计算机病毒按其表现性质可分为(良性的,恶性的).
9.计算机病毒的破坏方式包括(删除修改文件类,抢占系统资源类,非法访问系统进程类,破坏操作系统类)。
10.用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串代表的病毒,这种病毒的检测方法叫做(特征字的识别法).
11.计算机病毒的特征(隐蔽性,潜伏性,传染性,破坏性,可触发性)。
12。
(复合型病毒)病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件。
13.以下描述的现象中,不属于计算机病毒的是(Windows“控制面板”中无“本地连接”图标).
14.某个U盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(将U盘重新格式化).
判读题
1.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。
(错)
2.将文件的属性设为只读不可以保护其不被病毒感染。
(对)
3.重新格式化硬盘可以清楚所有病毒。
(错)
4.GIF和JPG格式的文件不会感染病毒。
(错)
5.蠕虫病毒是指一个程序(或一组程序),会自我复制,传播到其他计算机系统中去.(对)
6.在OutlookExpress中仅预览邮件的内容而打不开邮件的附件是不会中毒的(错)
7.木马与传统病毒不同的是:
木马不自我复制。
(对)
8。
文本文件不会感染宏病毒。
(对)
9。
蠕虫病毒既可以在互联网上传播,也可以在局域网上传播。
而且由于局域网本身的特性,蠕虫在局域网上传播速度更快,危害更大。
(对)
10.世界第一个攻击硬件的病毒是“CIH”。
(对)
11.间谍软件具有计算机病毒的所有特征.(错)
12.防病毒墙可以部署在局域网的出口处,防止病毒进入局域网。
(对)
问答题
1.什么是计算机病毒?
2.计算机病毒有哪些特征?
3.计算机病毒是如何分类的?
举例说明有哪些种类的病毒。
4.就三件病毒的检测方法有哪些?
简述其原理。
第4章
古典加密技术
1.替换密码技术
2.换位密码技术
对称加密算法及其应用
现代密码学主要有两种基于密钥加密算法,分别是对称加密算法和公开加密算法。
1.混合加密体系
在混合加密体系中,使用对称加密算法(如DES算法)对要发送的数据进行加密、解密,同时使用公开密钥算法(最常用的是DSA算法)来加密对称加密算法的密钥,这样就可以综合发挥两种加密算法的有点,既加快了加、解密的速度,又解决了对称加密算法中密钥保存和管理的困难。
2.数字签名
一个完善的数字起签名应该解决好下面3个问题.
1.接收方能够核实发送方对报文的签名,如果当事双方对签名真伪发生争议,应该能够在第三方面前通过验证真伪来确认其真伪。
2.发送方时候不能否认自己对报文的签名.
3.除了发送方的任何人不能伪造签名,也不能对接收或发送的信息进行篡改、伪造。
鉴别技术
为了防止信息在发送的过程中被非法窃听,保证信息的机密性,采用数据加密技术对信息进行加密,这是在前面的学习内容;另一方面,为了防止信息被篡改或伪造,保证信息的完整性,可以使用报文鉴别技术。
TGP系统的基本工作原理
TGP加密软件是一个基于RSA公开密钥加密体系和对称加密体系相结合的邮件加密软件包.它不仅可以对邮件加密,还具备对文件/文件夹、虚拟驱动器、整个硬盘、网络硬盘、即时通信等的加密功能和永久粉碎资料等功能。
SSL协议和SET协议
1.SSL协议
2.SET协议
PIK概述
PIK即“公钥基础设施”,是一种按照既定标准的密钥管理平台,能够为所有网络应用提供加密、数字签名、识别和认证密码等服务及所必需的密钥和证书管理体系。
第5章
防火墙的功能
1.内部网络和外部网络之间的所有网络数据都必须经过防火墙
2.只有符合安全策略的数据流才能通过防火墙
3.防火墙自身具有非常强的抗攻击能力
防火墙除了具备上述3个基本特征性外,一般来说,还具有以下几种功能
1.针对用户制订各种访问控制策略。
2.对网络存取和访问进行监控审计。
3.支持VPN功能.
4.支持网络地址转换。
5.支持的身份认证等。
防火墙的局限性
1.防火墙不能防范不经过防火墙的攻击。
2.防火墙不能解决来自内部网络的攻击和安全问题。
3.防火墙不能防止策略配置不当或错误配置引起的安全威胁.
4.防火墙不能防止利用服务器漏洞所进行的攻击。
5.防火墙不能防止受病毒感染的文件的传输。
6.防火墙不能防止可接触的人为或自然的破坏。
防火墙的分类
1.软件防火墙和硬件防火墙
2.单机防火墙和网络防火墙
防火墙实现技术原理
1.包过滤防火墙的原理
包过滤防火墙是一种通用、廉价、有效的安全手段。
包过滤防火墙不针对各个具体的网络服务才去特殊的处理方式,而大多数路由器都提供分组过滤功能。
2.包过滤防火墙的特点
包过滤防火墙的有点如下
1.利用路由器本身的包过滤功能,以防问控制列表(AccessControlACL)方式实现。
2.处理速度较快.
3.对安全要求低的网络采用路由器附带防火墙的方法,不需要其他设备。
4.对用户来说是透明的,用户的应用层不受影响。
包过滤防火墙的缺点如下
1.无法阻止“IP欺骗”。
。
黑客可以在网络上伪造假的IP地址、路由信息欺骗防火墙。
2.对路由器中过滤规则的设置和配置十分复杂,涉及规则的逻辑一致性、作用端口的有效性和规则库的正确性,一般的网络系统管理员难以胜任。
3.不支持应用层协议,无法发现基于应用层的攻击,访问公职粒度粗。
4.实施的是静态的、固定的控制,不能跟踪TCP状态.
5.不支持用户认证,只判断数据包来自哪台集齐,不能判断来自哪个用户。
代理防火墙工作原理
代理服务器作为一个用户保密货值突破用户访问限制的数据转发通道,在网络上应用广泛。
一个完整的呃代理设备包含一个服务器端和客户端,服务器端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。
代理防火墙的特点
状态检测防火墙
状态检测防火墙激技术是CheckPoint在基于“包过滤”原理的“动态包过滤”技术发展而来的。
这种防火墙技术通过一种被称为“状态监视"的模块,在不影响网络安全正常工作的前提下,采用抽取想关数据的方法,对网络通信的各个层次实现监测,并根据各种过滤规则作出安全策略。
防火墙的主要参数
1.硬件参数
2.并发连接数
3.吞吐量
4.安全过滤带宽
5.用户数限制
6.VPN功能
第6章
账户安全策略
1.Windows强密码原则
2.用户策略
3.重新命名Administrator帐号
4.创建一个陷阱用户
5.禁用或删除不必要的帐号
根键
1.HKEY_CLASSES_ROOT
一种是已注册的各类文件的扩展名;另一种是各种文件类型的有关信息
2.HKEY_CURRENT_USER
HKEY_CURRENT_USER是指HKEY_USERS结中某个分值的指针,包含当前用户的登录信息
3.HKEY_USER
HKEY_USER包含计算机上所有的配置文件
4.HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE包含了本地计算机(相对网络环境而言)的硬件和软件的全部信息
5.HKEY_CURRENT_CONFIG
本关键字包含的主要内容是计算机的当前配置情况
进程
进程是操作系统当前运行的执行程序。
程序是指令的有序集合,背身没有任何运行的含义,是一个静态的概念.而进程是程序在处理机上的一次执行过程,是一个动态的概念。
服务的启动方式
对于任意一个服务,通常都有3种启动类型,即“自动”、“手动”和“已禁用”。
安全模板的意义
安全模板是由WindowsServer2003支持的安全属性的文件(扩展名为“.inf”)组成的。
安全模板将所有的安全属性组织到一个位置,以简化安全性管理。
第7章
Web服务器软件的安全防范措施
1.及时进行Web服务器软件安全漏洞,安全管理人员在Web服务器软件的配置管理和使用上,应该采取有效的防范措施,以提升Web站点的安全性
2.对Web服务器进行全面的漏洞扫描,并及时修复这些安全漏洞,以防范攻击者利用这些安全漏洞实施攻击。
3.采用提升服务器安全性的一般性措施,例如,设置强口令;对Web服务进行严格的安全配置;关闭不需要的服务;不到必要的时候不向用户暴露Web服务器的想关信息等。
Web应用程序的安全防范措施
1.在满足需求的情况下,尽量使用静态页面代替动态页面.
2.对于必须提供用户交互、采用动态页面的Web站点,尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包,并定期进行Web应用程序的安全评估和漏洞检测,升级并修复安全漏洞。
3.强化程序开发者在Web应用开发过程的安全意识,对用户输入的数据进行严格验证,并采用有效的代码安全质量保障技术,对代码进行安全检测.
4.操作后台数据库时,尽量采用视图、存储过程等技术,以提升安全性。
5.使用Web服务器软件提供的日志功能,对Web应用程序的所有访问请求进行日志记录和安全审计。
Web传输的安全威胁级防范
1。
启用SSL。
使用HTTPS来保障Web站点传输时的机密性、完整性和身份真实性。
下一小节将通过实验介绍SSL安全通信的具体实现方法.
2。
通过加密的连接通道来管理Web站点,尽量避免使用未经加密的telnetl。
FTP、HTTP来进行Web站点的后台管理,而是使用SSH、SFTP等安全协议。
3。
采用静态绑定MAC地址、在服务网段内进行ARP等攻击行为的检测、在网关位置部署防火墙和人侵检测系统等检测和防护手段,应对拒绝服务攻击。
升级会员 