网络攻防复习四川大学摘要.doc

第一个课件 木马：盗取个人隐私信息、重要数据。 僵尸网络：发起拒绝服务攻击，发送垃圾邮件，传播恶意代码 域名劫持：网页挂马，僵尸网络控制，网络仿冒 信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。 网络安全：计算机网络环境下的信息安全，包括存储和传输。 信息安全需求：保密性；完整性；可用性。 信息保障：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。 信息的可控性：即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯。 信息的不可否认性：即信息的行为人要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。 PDRR模型：保护、检测、响应、恢复。 网络攻击 主动攻击：包含攻击者访问他所需要信息的主动行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。? 被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。 探测型攻击：主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。 阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击：是典型的阻塞类攻击，它利用Internet协议组的缺陷，使得合法用户无法对目标系统进行合法访问的攻击。 欺骗类攻击：包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 控制型攻击：是一类试图获得对目标机器控制权的攻击，包括口令攻击、特洛伊木马、缓冲区溢出攻击。 漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。 破坏类攻击：指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。 计算机病毒：是特殊功能的程序/代码片段，能在信息系统里非授权地传播、运行、破坏。 逻辑炸弹：特定逻辑条件满足时实施破坏的计算机程序。 逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。 网络攻击过程：探测（踩点，扫描，查点，社会工程和场所探测）、攻击（各种攻击手段）、隐藏（日志清理，安装后门，内核套件） 第三个课件：侦察 公开信息收集 信息收集就是信息的接收或汇集。 信息收集原则：可靠性原则；完整性原则；实时性原则；准确性原则；易用性原则。 信息收集方法：调查法；观察法；实验法；文献检索；网络信息收集。 低级侦查技术分类：社会工程学；假冒来电显示；混入内部组织；垃圾搜寻。 社会工程学的含义：导致人们泄漏信息或诱导人们的行为方式并造成信息系统、网络或数据的非授权访问、非授权使用、或非授权暴露的一切成功或不成功的尝试 社会工程学攻击方式：打电话请求密码；伪造Email；填写调查表；人肉搜索引擎。 DNS：DNS是一个把主机名映射为IP地址或者把IP地址映射为主机名的分布式数据库系统。 扫描技术：主机扫描；端口扫描；操作系统指纹扫描 端口扫描技术：开放扫描；半开放扫描；秘密扫描。 TCP connext()扫描：扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败；优点，简单，不需要特殊的权限；缺点，服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描。 端口扫描技术原理：开放扫描，需要扫描方通过三次握手过程与目标主机建立完整的TCP连接，可靠性高，产生大量审计数据，容易被发现；半开放扫描，扫描方不需要打开一个完全的TCP连接；秘密扫描，不包含标准的TCP三次握手协议的任何部分，隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。 TCP SYN扫描：向目标主机的特定端口发送一个SYN包。如果应答包为RST包，则说明该端口是关闭的，否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接。由于连接没有完全建立，所以称为“半开连接扫描”；优点，很少有系统会记录这样的行为；缺点，在UNIX平台上，需要root权限才可以建立这样的SYN数据包 IP ID header aka “dump” 扫描：扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态 ；优点，不直接扫描目标主机也不直接和它进行连接，隐蔽性较好；缺点，对第三方