网络安防基础知识点.docVIP

网络攻防体系 攻击技术：网络侦查、网络入侵、网络后门、网络隐身/防御技术 ：操作系统安全、加密技术、防火墙技术、入侵检测技术 攻击流程 侦查 目的：收集信息、找出弱点，为入侵做准备/内容：域名及IP分布、存在的漏洞、目标网络拓扑及操作系统类型、开放的端口和提供服务等 入侵 目的：攻击目标主机，获得管理员权限等/内容：破坏网站、拒绝服务攻击、缓冲区溢出攻击、SQL注入攻击等 留后门 目的：长期控制目标主机/内容：留后门账号、留木马、线程插入技术等 隐身 目的：消除入侵痕迹/内容：删除应用程序日志、删除系统日志、借助代理跳板攻击等 1、网络安全概念 广义：保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、更改和泄露，保证网络系统正常运行、网络服务不中断。 狭义：机密性，完整性，可用性，可控性，不可抵赖性 2、基本安全威胁：窃听，篡改，拒绝服务，非法使用 3、网络安全问题的根源 客观原因：网络的开放性和资源的共享性； 网络中软硬件的脆弱性； 主观原因：人为恶意破坏； 使用者安全意识淡薄。 4 PDRR：防护，检测，响应，恢复 5、网络安全的服务 (ISO定义的几种基本的安全服务): 认证服务；访问控制服务；数据机密性服务； 数据完整性服务；不可否认服务。 6、保障网络安全的措施 物理措施，法律与安全策略措施，技术措施 7、常用的网络安全技术 加密技术，防火墙技术，入侵检测技术，漏洞扫描技术，防病毒技术，安全认证技术，主机监控技术，安全审计技术、补丁管理与分发技术…… 1、信息收集：为更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。 2、途径：利用社会工程学收集信息：伪装；引诱；恐吓；说服；渗透 利用搜索引擎收集信息 利用网络扫描工具收集信息：ping命令、DNS查询所使用的nslookup命令 注册信息查询工具所使用的Whois命令、路由跟踪技术所使用的tracert命令 地理信息查询所使用的IP2Location命令、ARP探测技术 网络监听 定义；利用计算机等设备的网络接口截获网络中数据包的一种手段。 实现：利用网卡的混杂模式能接收所有流过网卡的帧（还有广播、多播、直接模式） 3、TCP协议的工作原理：三次握手 建立连接、报文传输、四次挥手 断开连接 1、漏洞扫描概念 是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术。 2、漏洞扫描的基本步骤： PING扫射发现目标主机或网络； 操作系统探测和端口扫描； 测试系统是否存在安全漏洞 。 3、漏洞扫描的两种基本方法： 匹配“”规则；模拟黑客攻击。 4、常用的端口扫描技术 如何利用TCP SYN判断一个端口是否处于开启状态。 扫描程序发送的是一个SYN数据包，当返回SYN/ACK信息时，表示端口处于侦听状态；当返回RST信息时，表示端口没有处于侦听状态。 5、漏洞扫描系统的配置使用： 基本命令：ifconfig，netconfig 注意的问题：四个网口不能处于相同网段，局域网中存在防火墙时需开启端口80，443和10851端口 缓冲区溢出基本概念 1、用户输入的数据长度大于程序为其分配的内存空间，超出的数据就会覆盖程序为其他数据分配的内存空间，形成缓冲区溢出。存在原因：C/C++等编程语言对数组下标访问越界不做检查 利用的不安全系统函数：strcpy(目的地，源地址 )，字符串拷贝函数；memcpy（），内存空间拷贝函数 2、分类：栈溢出攻击、堆溢出攻击 3、栈概念：栈是限定仅能在表尾进行插入和删除操作的线性表 2个指针：ESP栈指针寄存器，指向系统栈最上面一个栈帧的顶部；EBP基址指针寄存器：指向系统栈最上面一个栈帧的底部 2种操作：入栈 PUSH指令， ESP= ESP -4 出栈 POP指令，ESP=ESP+4 4、函数栈帧结构（从低到高） 1、防火墙概念 防火墙是指隔离在内部网络和外部网络之间的一道防御系统，用来阻断来自外部网络的威胁和入侵，作为保证内部网络信息安全的屏障。 2、防火墙的功能 3、防火墙的局限性 不能防范恶意的内部用户；不能防范不通过防火墙的连接；不能防范所有的威胁。 4、IP地址 给定IP和子网掩码，计算网络号，判断IP地址是否是合法的主机IP地址 5、包过滤技术 策略制定的基础；两条基本策略；包过滤规则的匹配过 程；访问控制表的制定 6、NAT 主要作用：隐藏内部网络的IP地址；解决地址紧缺问题 7、防火墙的配置 两种工作模式（路由模式，透明模式）； 当包过滤规则