软件设计师 培训资料 PX11010500006_电子教材_专题6网络安全.docVIP

《软件设计师》学习资料 目录 TOC \h \z \t S03-一级目录,1,S04-二级目录,2,S05-三级目录,3 六、网络安全 2 （一）常见网络攻击技术 2 1．预探测与扫描技术 2 2．监听技术 3 3．病毒 3 4．木马 4 5．漏洞攻击 5 6．口令攻击 5 7．欺骗攻击 5 8．DOS和DDOS攻击 6 （二）常见网络防御技术 6 1．防火墙技术 6 2．入侵检测系统 7 3．防病毒系统 8 （三）密码学原理及其应用 8 1．加解密术语及模型 8 2．加解密相关协议及应用 10 六、网络安全 （一）常见网络攻击技术 1．预探测与扫描技术 在准备攻击阶段，攻击者事先要进行探测和扫描，内容包括网络拓扑（图6.1）、主机操作系统及用户组、主机IP及端口打开情况（图6.2）等，知道了这些情况，攻击者才能选择合适的攻击手段。常用探测和扫描常用工具包括X-Scan、WinScan、SuperScan、Ping Sweep等。 图6.1 网络拓扑探测 扫描发现的主机及打开的端口扫描范围 扫描发现的主机及打开的端口 扫描范围 图6.2 SuperScan扫描主机及端口 2．监听技术 网络监听技术早期用于网络管理，后来被一些攻击者使用，通过在网络上实施监听可以获取账号、密码等关键信息，常见监听手段如下：在要监听的网络中接入一台主机，并将该主机的网卡设为混杂（promiscuous）模式。正常的网卡应该只是接收发往自身的数据报文、广播和组播报文，而混杂模式的网卡对报文中的目的硬件地址不加任何检查而全部接收，从而可以获取到任何在这个局域网内传输的信息。 常用的监听软件包括Sniffer、Netxray、Wireshark等，通过这些软件可以将网卡捕获到的数据按照协议分组的形式展现出来，可以方便的查看每一层数据分组的头部字段和数据部分的详细信息（图6.3）。 图6.3 Sniffer查看数据分组头部及数据 3．病毒 根据《中华人民共和国计算机信息系统安全保护条例》中的定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机病毒主要包含3部分：引导部分、传染部分、表现部分。 引导部分的作用是将病毒主体加载到内存，为传染部分做准备，例如驻留内存、修改中断、修改高端内存、保存原中断向量等操作。 传染部分的作用是将病毒代码复制到传染目标上去。 表现部分是病毒间差异最大的部分，根据编制者的不同目的而千差万别。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。 计算机病毒表现的现象主要包括： 计算机无法启动； 计算机运行速度明显变慢； 系统经常报告内存不足； 磁盘空间迅速减少； 多了很多文件或文件异常丢失； 没有运行网络程序时，网卡不停收发数据。 等等。 4．木马 木马即特洛伊木马（Trojan Horse），名称源自希腊神话，指植入并伪装成良性程序的程序。木马往往可以在被植入的计算机上打开端口（俗称后门），从而便于远端计算机进行控制。木马的原理类似于远程控制软件，如QQ的远程协助，通过安装在一台计算机上的程序，另一台机器可以实施远程控制并获取所需数据。 计算机中完整的木马程序一般由两部分组成：一个是服务器程序，另一个是控制器程序（图6.4）。“中了木马”就是指安装了木马的服务器程序，若用户的计算机被安装了服务器程序并开始运行，则拥有控制器程序的人就可以通过网络控制用户的计算机，为所欲为，这时用户计算机上的各种文件、程序，以及在其上使用的账号、密码就无安全可言了。 木马主要依靠E-mail、下载等途径传播，还可以通过脚本漏洞进行传播和感染。然后，木马通过一定的提示诱使目标主机运行木马的服务器端程序。例如，目标主机打开了不知名者发送的捆绑有木马的E-mail附件，当目标主机打开E-mail附件阅读的同时，木马服务器端程序也已经在后台运行着。由于木马程序都非常小，所以很难判断文件中是否带有木马程序。此外，木马服务器程序还可以通过修改注册表实现自启动功能。 远程控制 远程控制 攻击者 被控制主机 木马控制器程序 木马服务器程序 图6.4 木马程序组成 由此可见，典型的病毒和木马的区别主要在于： （1）病毒程序在一台主机上，不需要网络就可以运行，而木马程序由两台主机上的服务器端和控制端组成，其需要网络进行控制，离开网络木马就不能工作。 （2）病毒可以自己传播和繁殖（复制），而木马自身不繁殖，依靠手工操作（例如下载文件、打开邮件传播）。 （3）病毒一般以破坏软硬件系统和影响用户正常使用为目的，而木马以