网络攻防复习四川大学Word格式文档下载.docx
《网络攻防复习四川大学Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络攻防复习四川大学Word格式文档下载.docx(18页珍藏版)》请在冰豆网上搜索。
23)网络攻击过程:
探测(踩点,扫描,查点,社会工程和场所探测)、攻击(各种攻击手段)、隐藏(日志清理,安装后门,内核套件)
24)
第三个课件:
侦察公开信息收集
1.信息收集就是信息的接收或汇集。
2.信息收集原则:
可靠性原则;
完整性原则;
实时性原则;
准确性原则;
易用性原则。
3.信息收集方法:
调查法;
观察法;
实验法;
文献检索;
网络信息收集。
4.低级侦查技术分类:
社会工程学;
假冒来电显示;
混入内部组织;
垃圾搜寻。
5.社会工程学的含义:
导致人们泄漏信息或诱导人们的行为方式并造成信息系统、网络或数据的非授权访问、非授权使用、或非授权暴露的一切成功或不成功的尝试
6.社会工程学攻击方式:
打电话请求密码;
伪造Email;
填写调查表;
人肉搜索引擎。
7.DNS:
DNS是一个把主机名映射为IP地址或者把IP地址映射为主机名的分布式数据库系统。
8.扫描技术:
主机扫描;
端口扫描;
操作系统指纹扫描
9.端口扫描技术:
开放扫描;
半开放扫描;
秘密扫描。
10.TCPconnext()扫描:
扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的,则连接成功否则,连接失败;
优点,简单,不需要特殊的权限;
缺点,服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描。
11.端口扫描技术原理:
开放扫描,需要扫描方通过三次握手过程与目标主机建立完整的TCP连接,可靠性高,产生大量审计数据,容易被发现;
半开放扫描,扫描方不需要打开一个完全的TCP连接;
秘密扫描,不包含标准的TCP三次握手协议的任何部分,隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。
12.TCPSYN扫描:
向目标主机的特定端口发送一个SYN包。
如果应答包为RST包,则说明该端口是关闭的,否则,会收到一个SYN|ACK包。
于是,发送一个RST,停止建立连接。
由于连接没有完全建立,所以称为“半开连接扫描”;
优点,很少有系统会记录这样的行为;
缺点,在UNIX平台上,需要root权限才可以建立这样的SYN数据包
13.IPIDheaderaka“dump”扫描:
扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态;
优点,不直接扫描目标主机也不直接和它进行连接,隐蔽性较好;
缺点,对第三方主机的要求较高。
14.TCPFin扫描:
扫描器发送一个FIN数据包,如果端口关闭的,则远程主机丢弃该包,并送回一个RST包,否则的话,远程主机丢弃该包,不回送;
优点,不是TCP建立连接的过程,所以比较隐蔽;
缺点,与SYN扫描类似,也需要构造专门的数据包,在Windows平台无效,总是发送RST包;
15.TCPXMAS扫描:
扫描器发送的TCP包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应;
优点,比较隐蔽;
缺点,主要用于UNIX/Linux/BSD的TCP/IP的协议栈,不适用于Windows系统。
16.TCPftpproxy扫描:
用PORT命令让ftpserver与目标主机建立连接,而且目标主机的端口可以指定,如果端口打开,则可以传输否则,返回"
425Can'
tbuilddataconnection:
Connectionrefused."
,Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息;
优点,这种技术可以用来穿透防火墙;
缺点,慢,有些ftpserver禁止这种特性。
17.UDPICMP端口不可达扫描:
开放的UDP端口并不需要送回ACK包,而关闭的端口也不要求送回错误包,所以利用UDP包进行扫描非常困难,有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMPPortUnreach错误;
缺点,速度慢,而且UDP包和ICMP包都不是可靠的,需要root权限,才能读取ICMPPortUnreach消息。
18.端口扫描的对策:
设置防火墙过滤规则,阻止对端口的扫描;
使用入侵检测系统;
禁止所有不必要的服务,把自己的暴露程度降到最低。
19.如何辨识一个操作系统:
一些端口服务的提示信息,例如,telnet、http、ftp等服务的提示信息;
CP/IP栈指纹;
DNS泄漏出OS系统。
20.栈指纹技术:
利用TCP/IP协议栈实现上的特点来辨识一个操作系统。
21.主动栈指纹识别技术:
寻找不同操作系统之间在处理网络数据包上的差异,并且把足够多的差异组合起来,以便精确地识别出一个系统的OS版本
22.主动栈指纹识别方法:
课件157
23.被动栈指纹识别方法:
不是向目标系统发送分组,而是被动监测网络通信,以确定所用的操作系统
24.操作系统识别的对策:
端口扫描监测工具监视操作系统检测活动;
让操作系统识别失效的补丁;
防火墙和路由器的规则配置;
使用入侵检测系统。
25.延时扫描和分布式扫描:
课件171
26.查点:
查点要对目标系统进行连接和查询,查点活动有可能会被目标系统记录。
查点通常是针对特定操作系统进行。
27.网络侦察:
whois,DNS查询,路由追踪,实用网络工具
第四个课件:
扫描
28.扫描:
收集被扫描系统或网络的信息。
步骤:
定位目标主机或者目标网络;
获取主机信息:
操作系统类型、开放的端口和服务、运行的软件等;
漏洞扫描,发现其运行在特定端口上的服务或软件是否存在漏洞。
29.战争拨号:
利用组织的电话、拨号和专用分组交换机(PBX)系统侵入内部网络和计算资源。
30.战争拨号攻击过程:
选择一个目标;
与该目标对应的电话号码;
下载并安装战争拨号器应用程序;
开始拨号并等待;
得到访问应答号码。
31.战争拨号防御:
使用VPN,只允许拨出,在攻击者之前找到有隐患的modern
32.主机发现:
ICMP扫描,TCP/UDP扫描,ARP扫描
33.ICMP扫描:
向每个可能的地址发出ICMPEcho请求包。
如果有回应包,则对应的地址上有一个活动主机。
但是,现在许多网络禁止进入的ICMP包。
34.ICMP高级扫描:
课件29
35.ICMP扫描的防范:
使用可以检测并记录ICMP扫描的工具,使用入侵检测系统,在防火墙或路由器中设置允许进出自己网络的ICMP分组类型。
36.TCP/UDP扫描:
向某个端口发送TCP包或者UDP包,如果没有任何返回,则可能没有活动主机
37.ARP扫描:
用于局域网,通过向目标主机发送ARP请求(查询目标主机的物理地址),如果目标主机回应一个ARP报文,则说明主机存活。
优点,效率高,隐蔽性强。
38.端口扫描:
基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用。
扫描可以确认各种配置的正确性,避免遭受不必要的攻击。
安全管理员可以用来确保自己系统的安全性。
黑客用来探查系统的入侵点。
39.TCP扫描:
开放扫描,半开放扫描,秘密扫描。
40.开放扫描:
需要扫描方通过三次握手过程与目标主机建立完整的TCP连接。
可靠性高,产生大量审计数据,容易被发现
41.半开放扫描:
扫描方不需要打开一个完全的TCP连接
42.秘密扫描:
不包含标准的TCP三次握手协议的任何部分。
隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息
43.TCP扫描:
TCPconnect()扫描(开放),TCPSYN扫描(半开放),TCPFin扫描(秘密),TCPXMAS扫描(秘密),用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)
44.TCPXMAS扫描:
扫描器发送的TCP包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应。
优点,比较隐蔽。
缺点,主要用于UNIX/Linux/BSD的TCP/IP的协议栈,不适用于Windows系统
45.TCPNULL扫描:
如果目标端口收到没有任何标准位的TCP数据包,关闭的端口需要返回一个RST数据包,打开的端口忽略这个数据包。
46.UDP扫描:
开放的UDP端口并不需要送回ACK包,而关闭的端口也不要求送回错误包,所以利用UDP包进行扫描非常困难。
有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMPPortUnreach错误。
缺点,速度慢,而且UDP包和ICMP包都不是可靠的,需要root权限,才能读取ICMPPortUnreach消息
47.端口扫描的对策:
禁止所有不必要的服务,把自己的暴露程度降到最低
48.漏洞扫描:
是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
49.操作系统识别的防范:
使用入侵检测系统
50.漏洞:
漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
51.系统弱点分类:
设计上的缺陷;
操作系统的弱点;
软件的错误、缺陷和漏洞;
数据库的弱点;
网络安全产品的弱点;
用户的管理的疏忽
52.漏洞扫描器原理:
一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。
二是通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。
若模拟攻击成功,则表明目标主机系统存在安全漏洞。
53.漏洞扫描器原理CGI漏洞扫描流程举例:
连接目标WEBSERVER,发送一个特殊的请求,接收目标服务器返回数据,根据返回数据判断目标服务器是否有此CGI漏洞。
54.漏洞扫描器原理:
主机型安全扫描器;
网络型安全扫描器
第五个课件
55.根据漏洞形成原因的方式分类:
输入验证错误,缓冲区溢出,设计错误,意外情况处置错误,访问验证错误,配置错误,竞争条件,环境错误等。
56.根据漏洞被攻击者利用的方式分类:
本地(local)攻击漏洞:
要想利用此类漏洞,攻击者必须是系统的本地合法用户或已经通过其他攻击方法获得了本地权限的非法用户。
远程(remote)攻击漏洞:
利用此类漏洞,攻击者可通过网络,对连接在网络上的远程主机进行攻击。
57.根据漏洞导致的直接威胁分类:
普通用户访问权限,本地管理员权限,远程管理员权限。
58.根据漏洞导致的直接威胁分类:
权限提升,本地拒绝服务,远程拒绝服务,读取受限文件。
59.根据漏洞导致的直接威胁分类:
远程非授权文件存取,口令恢复,欺骗,信息泄露。
60.缓冲区溢出漏洞:
向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出,破坏程序的堆栈,使程序转而执行其他的指令,达到攻击的目的。
61.缓冲区溢出漏洞攻击方法:
在进程的地址空间安排适当的代码;
利用进程中存在的代码;
植入法。
62.典型的拒绝服务攻击有两种形式:
资源耗尽和资源过载。
第六个课件:
嗅探
63.嗅探的特点:
隐蔽性强;
手段灵活。
64.网络监听:
网络监听的目的是截获通信的内容;
监听的手段是对协议进行分析
65.网络监听位置:
网关;
带镜像端口的交换机;
路由器;
防火墙;
甚至同一冲突域内的任意主机。
66.网络监听的危害:
捕获口令,捕获专用的或者机密的信息,可以用来危害网络用户、服务器的安全,窥探低级的协议信息。
67.嗅探的好处:
网络问题的诊断;
网络程序的调试;
为网络入侵提供依据;
记录网络事件。
第七个课件:
缓冲区溢出攻击
68.缓冲区溢出:
指写入缓冲区的数据量超过该缓冲区能容纳的最大限度,造成溢出的数据改写了与该缓冲区相邻的原始数据的情形。
69.缓冲区溢出攻击:
向缓冲区中填入过多的数据,超出边界,导致数据外溢,覆盖了相邻的内存空间,利用缓冲区溢出改写数据、改变程序执行流程,干扰系统运行,破坏系统完全性,任意执行恶意代码
70.缓冲区溢出可能发生的位置:
栈,堆,数据段,BSS段。
71.缓冲区溢出攻击的防御技术:
类型安全的编程语言;
相对安全的函数库;
修改的编译器;
内核补丁;
静态分析方法;
动态检测方法;
处理器结构方面的改进
第八个课件:
拒绝服务攻击
72.拒绝服务攻击:
通过某些手段使得目标系统或者网络不能提供正常的服务。
73.拒绝服务攻击特点:
技术原理简单,工具化,难以防范,有些DoS可以通过管理的手段防止
74.拒绝服务的形式:
消耗有限的物理资源;
修改配置信息造成DoS;
物理部件的移除或破坏
75.攻击方式分类:
带宽消耗;
系统资源消耗,程序实现上的缺陷;
修改(篡改)系统策略
76.拒绝服务攻击受害者类型分类:
服务器端,客户端。
77.典型的拒绝服务攻击:
剧毒包型DoS攻击;
风暴型DoS攻击;
分布式DoS攻击
78.剧毒包型DoS攻击:
也叫做杀手包攻击,主要是利用协议本身或者其软件实现中的漏洞,通过一些非正常的(畸形的)数据包使得受害者系统在处理时出现异常,导致受害者系统崩溃,主要是利用协议或软件漏洞来达到攻击效果,有时也称这类攻击为漏洞攻击,也有称之为协议攻击。
79.Land攻击:
攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃
80.僵尸网络:
是指采用一种或多种传播手段,使大量主机感染僵尸程序(bot程序),从而在控制者和被感染主机之间通过命令和控制体系所形成的一个一对多控制的网络。
81.拒绝服务攻击检测:
由于剧毒包类型拒绝服务攻击的数据包是“畸形”的,它们有明显不同于正常数据包的特征,在网络入口检测就可以了。
82.Smurf攻击:
攻击者向一个广播地址发送ICMPEcho(端口7)请求,并且用受害者的IP地址作为源地址,广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMPEcho-Reply应答,受害者主机会被这些大量的应答包淹没
83.DDOS攻击:
它是一种基于DoS的特殊形式的拒绝服务攻击,或者说是一种它的变种和增强版;
具体就是一种分布、协作的大规模攻击方式;
这种攻击主要瞄准较大的站点,像商业公司,搜索引擎和政府部门的站点。
攻击者利用一批受控制的机器(主控端和攻击端)向同一台机器(受害者)发起攻击,每个攻击端也是一台已被入侵并运行特定程序的系统主机,攻击端的程序由主控端的攻击程序来控制。
第九个课件:
计算机病毒
1.计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。
2.编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
3.计算机病毒分类:
引导型,文件型,混合型病毒;
源码型,入侵型,操作系统型,外壳型;
良性病毒,恶性病毒;
单机病毒,网络病毒。
4.引导型:
当系统引导时进入内存,控制系统;
5.文件型:
病毒一般附着在可执行文件上;
6.混合型:
既可感染引导区,又可感染文件。
7.OS型:
替换OS的部分功能,危害较大;
8.源码型:
在源程序编译之前插入病毒代码;
较少;
9.外壳型:
附在正常程序的开头或末尾;
最常见;
10.入侵型:
病毒取代特定程序的某些模块;
难发现。
11.良性病毒:
不包含对计算机系统产生直接破坏作用的代码,这类病毒为了表现它的存在,只是不停的传播,并不破坏计算机系统和数据;
12.恶性病毒:
包含了破坏计算机系统的操作,在其传染时会对系统产生直接破坏。
13.伴随型病毒:
产生EXE文件的伴随体COM,病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
14.“蠕虫”型病毒:
只占用内存,不改变文件,通过网络搜索传播病毒。
15.寄生型病毒:
除了伴随和“蠕虫”型以外的病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
16.变型病毒(幽灵病毒):
使用复杂算法,每传播一次都具有不同内容和长度。
一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
17.单机病毒:
单机病毒的载体是软盘、优盘与光盘等可移动存储设备,常见的病毒传染方式是经过软盘传入硬盘,然后再通过硬盘感染其它的软盘,软盘又感染其它的系统
18.网络病毒:
病毒通过网络作为传输介质,比如QQ、E-mail、FTP、Web方式,网络病毒的破换能力远远强于单机病毒
19.网络病毒的特点:
网上蔓延,危害更大;
网上传染方式多,工作站、服务器交叉感染;
混合特征:
集文件感染、蠕虫、木马等于一身;
利用网络脆弱性、系统漏洞;
更注重欺骗性;
清除难度大,破坏性强
20.计算机病毒的特点:
刻意编写,人为破坏;
自我复制能力;
夺取系统控制权;
隐蔽性;
潜伏性
21.计算机病毒的传播途径:
移动存储设备,硬盘,网络,点对点通讯系统和无线通道
22.计算机病毒的症状:
启动或运行速度明显变慢;
文件大小、日期变化;
死机增多;
莫名其妙地丢失文件;
磁盘空间不应有的减少;
有规律地出现异常信息;
自动生成一些特殊文件;
无缘无故地出现打印故障。
23.计算机病毒的破坏性:
攻击系统数据区;
攻击文件;
攻击内存;
干扰系统运行,使运行速度下降;
干扰键盘、喇叭或屏幕;
攻击CMOS;
干扰打印机;
网络病毒破坏网络系统
24.病毒的组成:
引导部分,设置传染标记与搜寻目标,将病毒程序加载到内存合适的区域,完成病毒激活前的全部工作;
传染部分,设置传染的激发条件与将病毒寄生在宿主程序上;
破坏部分,根据触发机制执行具体的破坏操作。
25.病毒的防治:
校验和法,行为监测法,软件模拟法。
26.计算机蠕虫的两个最基本特征:
“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
27.木马的分类:
主动型,BO,冰河;
反弹端口型,Boinet,灰鸽子,广外女生;
嵌入木马,将控制命令嵌入到正常的网络命令中。
28.蠕虫与病毒之间的关系
29.蠕虫的分类:
主机蠕虫,网络蠕虫;
邮件蠕虫,网页蠕虫,系统漏洞蠕虫
30.蠕虫的行为特征:
主动攻击;
行踪隐蔽;
利用系统、网络应用服务漏洞,防不胜防;
造成网络拥塞;
降低系统性能;
产生安全隐患;
反复性;
破坏性
31.蠕虫的工作原理:
扫描,攻击,复制。
32.蠕虫的防治:
课件65
33.木马:
其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。
34.木马的结构:
木马程序;
木马配置程序;
控制程序
35.木马的工作原理:
配置木马;
传播木马;
运行木马;
信息反馈;
建立连接;
远程控制
36.木马的传播方式:
邮件,qq等即时通讯工具,软件下载网站,病毒和蠕虫,带木马传播介质传播
37.木马的危害:
窃取数据;
接受非授权操作者的指令;
远程管理服务端进程;
篡改文件与数据;
删除文件与数据;
操纵注册表;
监视服务器的一切动作;
释放病毒;
毁灭系统
38.木马的特性:
非授权性;
欺骗性;
自动运行性;
自动恢复性;
自动性;
功能特殊性
39.木马的分类(功能):
破坏型;
密码发送型;
远程访问型;
键盘记录型;
DOS攻击型;
代理型;
FTP型;
程序杀手型
40.木马的分类(传输方式):
主动型;
反弹端口型;
嵌入木马
第十一个课件:
欺骗
41.IP欺骗:
一台主机设备冒充另外一台主机的IP地址,与其它设备通信,以达到非法使用网上资源或隐藏身份从事破坏活动的目的。
42.IP欺骗的动机:
隐藏自己的IP地址,防止被追踪;
以IP为授权依据;
穿越防火墙
43.IP欺骗的形式:
单向IP欺骗;
双向IP欺骗;
TCP会话劫持
44.简单IP欺骗的防范:
禁止基于IP地址的信任关系;
路由器上设置欺骗过滤器
45.ARP协议:
是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。
46.ARP欺骗:
是针对ARP协议的一种攻击技术,此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定电脑或所有电脑无妨正常连接。
47.中间人攻击:
黑客插入攻击主机到两个目标主机通信路径之间;
攻击主机转发两个目标计算机通信帧,通信并不中断。
48.ARP欺骗的防范:
停止使用地址动态绑定和ARP高速缓存定期更新的策略,在ARP高速缓存中保存永久的IP地址与硬件地址映射表,允许由系统管理人员进行人工修改。
在路由器的ARP高速缓存中放置所有受托主机的永久条目,也可以减少并防止ARP欺骗,但路由器在寻径中同样存在安全漏洞。
使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
49.会话劫持的分类:
被动劫持,实际上就是藏在后面监听所有的会话流量。
常常用来发现密码或者其他敏感信息;
主动劫持,找到当前活动的会话,并且把会话接管过来。
迫使一方下线,由劫持者取而代之,危害更大,因为攻击者接管了一个合法的会话之后,可以做许多危害性更大的事情
50.会话劫持步骤:
找到一个活动的会话;
猜测正确的序列号码;
把合法的用户断开。
51.会话劫持的防范:
部署交换式网络,用交换机替代集线器;
TCP会话加密;
防火墙配置;
检测。
52.Web欺骗的方式:
使用相似的域名;
改写URL。
53