网络信息对抗知识点.docVIP

一、基本概念

网络对抗(网络对抗:在信息网络环境中，以信息网络系统为载体，以计算机或计算机网络为目标，围绕信息侦察、信息干扰、信息欺骗、信息攻(反)击，为争夺信息优势而进行的活动的总称)

信息战(信息战:阻止、利用、扰乱或破坏敌方的信息及功能，保护己方军事信息和功能不受这些活动的影响并加以利用而采用的所有行动。换句话说，就是对敌方进行这些活动，而限制敌方进行这些活动。)

网络中心站(网络中心战是指:通过全球信息网格，将分散配置的作战要素集成为网络化的作战指挥体系、作战力量体系和作战保障体系，实现各作战要素间战场态势感知共享，最大限度地把信息优势转变为决策优势和行动优势，充分发挥整体作战效能。)

踩点技术(收集目标主机系统和计算机网络安全相关信息的过程，也称踩点，Footprinting。)获取有关目标计算机网络和主机系统安全态势的信息，主要收集的信息包括:

1)各种联系信息，包括名字、邮件地址和电话号码、传真号;

2)IP地址范围;

3)DNS服务器;

4)邮件服务器;

找出直接接入互连网的主机

查点技术(确定目标系统后，下一步获取目标系统的网络信息:可以通过互连网的域名授权注册机构来查询。获取帐号和共享资源信息)

提取系统的有效帐号或者输出资源名的过程称为查点。

比踩点和扫描更具有入侵性。

查点技术与操作系统密切相关，可收集的信息有:用户名/组用户信息、操作系统类型信息、路由表信息、SNMP信息等。

攻击目标的确定:

入侵的第一步是确定攻击目标:针对主机还是整个网段。

一般获取整个网络的信息比较难。

入侵单机的情况下，如果能够获得其他主机的信息，有助于入侵过程。

通过Internet可以获取大量的目标信息，从中筛选所需要的核心信息，锁定攻击目标。

蜜罐(是一种计算机网络中专门为吸引并“诱骗”那些试图非法侵入他人计算机系统的人为设计的“陷阱”系统。)

XSS(跨站点脚本(XSS)是一种通过虚假页面内容伪装用户的方法。这种欺骗是通过在易受攻击的页面来实现的。)

SQL注入攻击(ChrisAnley将SQL注入定义为:攻击者通过在查询操作中插入一系列的SQL语句到应用程序中来操作数据。)

DLL注入攻击(DLL注入就是将DLL插入到其它你指定的进程的地址空间中，使得我们可以对

感兴趣的进程进行操作。)

协议栈指纹识别(协议栈指纹识别是一项强大的技术，能够以很高的概率迅速确定操作系统的版本。虽然TCP/IP协议栈的定义已经成为一项标准，但是各个厂家，如微软和RedHat等在编写自己的TCP/IP协议栈时，却做出了不同的解释。这些解释因具有独一无二的特性，故被称为“指纹”。通过这些细微的差别，可以准确定位操作系统的版本。)

扫描

主动扫描:采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。被动扫描:通过监听工具收集数据包，再对数据包的不同特征进行分析，来识别操作系统。

木马(一种表面上有用，但实际有破坏作用的计算机程序，不想病毒那样进行自我复制)通过一段特定的程序(木马程序)来控制另一台计算机，它将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

蠕虫(蠕虫是通过分布式网络来扩散特定的信息，进而造成正常网络服务遭到拒绝并发生死锁的程序。)

病毒(是一种人为制造的，能够进行自我复制的，具有对计算机资源的破坏作用的一组程序或指令的集合)

HOOK(钩子(Hook)，是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。)

缓冲区溢出攻击(可以把缓存区溢出攻击理解为允许攻击者往某个程序变量中放一个比期望长度要长的值，由此以当前运行该程序的用户的特权执行任意命令。)

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。

SYNFlood攻击(原理:利用TCP连接三次握手过程，打开大量的半开TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求。)这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

LAND攻击(land攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在