网络安全复习要点.doc

1、第一章1、网络不安全的原因: 自身缺陷开放性黑客攻击安全的几个概念: 2、信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。3、信息的安全需求： 保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施） 完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。） 可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统的可用性与

2、保密性之间存在一定的矛盾。）4、 计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。5、 PDRR模型的内涵：保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。6、 PDRR安全模型（1）PDRR安全模型保护：采用一切手段（主要指静态防护手段）保护信息系统的五大特性；检测：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击；恢复：及时恢复系统，使

3、其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径；响应：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低；（2）注意：保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。7、 信息保障体系的组成：法律与政策体系、标准与规范体系、人才培养体系、产业支撑体系、技术保障体系、组织管理体系8、 WPDRRC安全体系模型： 我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。 该模型全面涵盖了各个安全因

4、素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。 人核心政策（包括法律、法规、制度、管理）桥梁技术落实在WPDRRC六个环节的各个方面，在各个环节中起作用预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。检测：利用高技术提供的工具来检查系统存在的，可能提供黑客攻击、病毒泛滥等等的脆弱性。响应：对于危及安全的事件、行为、过程，及时做出响应的处理，杜绝危害进一步扩大，使得系统力求提供正常的服务。恢复：对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅

5、速恢复系统运转。反击：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。第二章1、什么是网络攻击？网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。2、常见的网络攻击手段 控

6、制类攻击 阻塞类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。3、阻塞类攻击 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。4、T

7、CP SYN 洪泛攻击5、Land攻击 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 在Land攻击中，一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。 对Land攻击反应不同，许多UNIX系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。 6、Smurf攻击 Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。 这种攻击方法结合使用了I

8、P欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。7、电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值得防范的

9、一个攻击手段。8、阻塞类攻击后果：DoS攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。9、 控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。 口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。10、口令攻击 攻击者攻击目标时常常

10、把破译用户的口令作为攻击的开始。 只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问 权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，攻击就变得极其危险。 这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如： 利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； 利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径； 从电子邮件地址中收集：有些用户

11、电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 1）猜测攻击。 首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。 2）字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8 万个英文单词的集合来说，入侵者不到一分半钟就可试完

12、。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。 3）穷举攻击 如果字典攻击仍然不能成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。 4）混合攻击 结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击 5）直接破解系统口令文件所有的攻击都不能奏效时，入侵者会寻找目标主机的安全漏洞和薄弱环节，伺机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。 6）网络嗅探 通过嗅探器在局域网内嗅探明文传输的口令字符串。

13、 7）键盘记录 在目标系统中安装键盘记录后门，记录操作员输入的口令字符串。11、探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。 主要包括：扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。12、欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实

14、施欺骗攻击。 主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。13、漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。 漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。 要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。14、破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。计算机中的“逻辑炸弹”是指

15、在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。15、攻击的目的 攻击动机 恶作剧 恶意破坏 商业目的 政治军事 攻击目的 破坏 入侵16、攻击的步骤 攻击的准备阶段 确定攻击目的 准备攻击工具 收集目标信息 攻击的实施阶段 隐藏自己的位置 利用收集到的信息获取帐号和密码，登录主机利用漏洞或者其他方法获得控制权并窃取网络资源和特权 攻击的善后阶段 对于Windows系统 禁止日志审计 清除事件日志 清除IIS服务日志 对于UNIX系统 为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序。17、攻击诀窍 基本方法 口令入侵 获取账号：Fing