赞
踩
目录
第1部分 绪论 2
第2部分 网络脆弱性分析 3
第3部分 网络侦察 5
第4部分 网络扫描 7
第5部分 拒绝服务攻击 11
第6部分 计算机木马 14
第7部分 口令攻击 15
第8部分 网络监听技术 16
第9部分 Web网站攻击技术 17
第1部分 绪论
网络空间监管的“三驾马车”:《网络安全法》、《数据安全法》、《个人信息保护法》,也被称为构建数据新秩序的三根支柱。
网络安全威胁的进化历程:
萌芽时代(目的不明,系统破坏)→黑客时代(脚本小子,一切为钱)→黑产时代(分工明确,团队作战)→网络战时代(国家对抗,无处不战)
APT(高级持续性威胁):针对特定对象,长期、有计划、有组织的网络攻击行为
潜伏性、持续性、复杂性 网络战时代的重要标志
1、网络空间的4个要素(设施、数据、用户、操作)见第一章PPT 61页
网络空间四要素:网络空间载体(设施);网络空间资源(数据);网络活动主体(用户);网络活动形式(操作);
网络空间载体:设施,信息通信技术系统的集合
网络操作对象:数据,表达人类所能理解的意图的信号状态
网络活动主体:用户,网络活动的主体要素,属于人的代理
网络活动形式:操作,对数据的加工、存储、传输、展示等服务形式
2、网络空间安全基本概念;
定义网络空间安全(424要素)
网络空间安全涉及到在网络空间中电磁设备、信息通信系统、运行数据、系统应用中所存在的安全问题,既要防止、保护包括互联网、各种电信网与通信系统、各种传播系统与广电网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器等在内的信息通信技术系统及其所承载的数据免受攻击;也要防止、应对运用或滥用这些信息通信技术系统而波及到政治安全、经济安全、文化安全、社会安全、国防安全等情况的发生。针对上述风险,需要采取法律、管理、技术、自律等综合手段来进行应对,确保信息通信技术系统及其所承载数据的机密性、可鉴别性(包括完整性、真实性、不可依赖性)、可用性、可控性得到保障。
3、网络安全属性;
机密性、完整性、可用性、不可否认性
(其它安全属性:可靠性,可信性)
4、网络攻击基本概念、分类(重点理解主动攻击、被动攻击);
概念(PPT p91):网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为,是入侵者实现入侵目的所采取的技术手段和方法。
分类:主动攻击和被动攻击
主动攻击:攻击者为了实现攻击目的,主动对系统进行非授权的访问行为。通常是具有攻击破坏性的攻击行为,会对系统造成直接的影响。又可分为以下3类: ①中断 ②篡改 ③伪造
被动攻击:利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。一般不对数据进行篡改,通过截取或者窃听等方式未经用户授权对消息内容进行获取,或对业务数据流进行分析。
5、网络安全防护技术的三个阶段和发展趋势;
第一代安全技术,以“保护”为目的,划分明确的网络边界,利用各种保护和隔离手段。
第二代安全技术,以“保障”为目的,以检测技术为核心,以恢复技术为后盾,融合了保护、检测、响应和恢复四大类技术。
第三代安全技术,以“顽存(也称为可生存、生存等)”为目的,即系统在遭受攻击、故障和意外事故的情况下,在一定时间内仍然具有继续执行全部或关键使命的能力。第三代安全技术的核心是入侵容忍技术。
网络安全防护技术的发展将会向可信化、网络化、集成化和可视化方向发展。
6、会描述网络攻击的一般过程。
一般而言都遵循“六阶段法”,包括网络侦察,网络扫描,网络渗透,权限提升,维持及破坏,毁踪灭迹共六个阶段。(以课为准!!!)
一般网络攻击都分为三个阶段:
攻击的准备阶段:确定攻击目的、准备攻击工具和收集目标信息
攻击的实施阶段:隐藏自己的位置 、利用收集到的信息获取帐号和密码并登陆主机、 利用漏洞或者其他方法获得控制权并窃取网络资源和特权。
攻击的善后阶段:消除攻击的痕迹、植入后门,退出。
第2部分 网络脆弱性分析
1、理解影响网络安全的因素;
1)环境和灾害因素
2)人为因素:多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的
3)系统自身因素
计算机系统硬件系统的故障
软件:操作系统、支撑软件和应用软件,各软件越来越复杂,代码规模越来越庞大,不管是开发者开发软件时的疏忽,还是编程者安全知识的局限,均可能导致软件漏洞问题。
网络和通信协议:设计之初重点考虑网络互联问题,缺乏认证、加密等安全机制
2、网络体系结构脆弱性;
问题一:分组交换
Internet是基于分组交换的,这使得它比电信网(采用电路交换)更容易受攻击:
问题二:认证与可追踪性
Internet 没有认证机制,任何一个终端接入即可访问全网(而电信网则不是,有UNI、NNI接口之分),这导致一个严重的问题就是IP欺骗:攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中
问题三:尽力而为(best-effort)
因特网采取的是尽力而为策略:把网络资源的分配和公平性完全寄托在终端的自律上是不现实的(DDoS利用的就是这一点)
问题四:匿名与隐私
普通用户无法知道对方的真实身份,也无法拒绝来路不明的信息(如邮件)
问题五:对全球网络基础实施的依赖
全球网络基础设施不提供可靠性、安全性保证,这使得攻击者可以放大其攻击效力
问题六:无尺度网络
无尺度网络的典型特征是网络中的大部分结点只和很少结点连接,而有极少数结点与非常多的结点连接。这种关键结点(称为“枢纽”或“集散结点”)的存在使得无尺度网络对意外故障有强大的承受能力(删除大部分网络结点而不会引发网络分裂),但面对针对枢纽结点的协同性攻击时则显得脆弱(删除少量枢纽结点就能让无尺度网络分裂成微小的孤立碎片)。
问题七:互联网的级联特性
互联网是一个由路由器将众多小的网络级联而成的大网络。当网络中的一条通讯线路发生变化时,附近的路由器会通过“边界网关协议(BGP)”向其邻近的路由器发出通知。这些路由器接着又向其他邻近路由器发出通知,最后将新路径的情况发布到整个互联网。也就是说,一个路由器消息可以逐级影响到网络中的其它路由器,形成“蝴蝶效应”。
问题八:中间盒子(Middle Box)
违背了“端到端原则”,从源端到目的端的数据分组的完整性无法被保证,互联网透明性逐渐丧失
3、理解IP、ICMP、ARP、UDP、TCP、DNS常见协议的不足及可被利用进行的网路攻击;其他几个路由交换协议本次考试暂未涉及。
IP
IPv4:
IPv4协议没有认证机制:
没有消息源认证:源地址假冒
没有完整性认证:篡改
IPv4没有加密机制
无机密性:监听应用数据
泄露拓扑等信息:网络侦察
无带宽控制:
DDoS攻击
IPsec(互联网安全协议):
端到端的确保 IP 通信安全:认证、加密及密钥管理
为IPv6制定(必选),支持IPv4(可选)
IPv6:
1)IPv4向IPv6过渡技术的安全风险
2)无状态地址自动配置的安全风险
3)IPv6中PKI管理系统的安全风险
4)IPv6编址机制的隐患
IPv6的安全机制对网络安全体系的挑战所带来的安全风险:正在服役的IDS/IPS/WAF不一定支持,于是可以畅行无阻
ICMP
1)利用“目的不可达”报文对攻击目标发起拒绝服务攻击。
2)利用“改变路由”报文破坏路由表,导致网络瘫痪。
3)木马利用ICMP协议报文进行隐蔽通信。
4)利用“回送(Echo)请求或回答”报文进行网络扫描或拒绝服务攻击
ARP
1)网络嗅探:窃听、假冒、流量劫持
2)阻止目标的数据包通过网关:恶意修改网关IP和MAC地址的映射关系
UDP
1)假冒攻击
2)泛洪攻击,攻击者可以向被攻击者发送大量的UDP消息,被攻击目标会忙于处理这些消息而浪费大量的存储资源和计算资源,从而实现拒绝服务攻击的目的
3)劫持攻击,通信双方并不知道谁将和他们建立通信,攻击者可以同时发送数据包给通信双方,以便于达到欺骗对方的目的。
4)进行网络扫描
TCP
1)网络扫描
2)拒绝服务(DoS)攻击
3)TCP会话劫持攻击
4)SYN泛洪攻击
5)ACK泛洪攻击
6)序列号预测攻击
7)LAND攻击
DNS
域名欺骗:域名系统(包括 DNS 服务器和解析器)接收或使用来自未授权主机的不正确信息,事务 ID 欺骗和缓存投毒
网络通信攻击:针对 DNS 的网络通信攻击主要是DDoS攻击、恶意网址重定向和中间人(man-in-the-middle, MITM)攻击。DNS域名解析过程劫持。
第3部分网络侦察
信息收集是指攻击者为了更加有效地实施攻击而在攻击前或攻击过程中对目标实施的所有探测活动。其手段一般不应该对目标系统造成破坏。
1、网络侦察需要侦察的目标的基本信息;
(一)静态信息
各种联系信息,包括姓名、邮件地址、电话号码等
DNS、邮件、Web等服务器
主机或网络的IP地址(段)、名字和域
网络拓扑结构
业务信息
(二)动态信息
目标主机是否开机
目标主机是否安装了某种你感兴趣的软件
目标主机安装的是什么操作系统
目标主机上是否有某种安全漏洞可用于攻击
(三)其它一切对网络攻击产生作用的各种信息
(四)找指定条件(如某地域、某厂家)的联网主机或设备
2、网络侦察的常用手段和方法;
网络信息收集方法
踩点(footprinting)
扫描(scanning)
查点(enumeration)
3、百度常用高级语法;
1)site:[域]
eg:site:csdn.net test 即在csdn.net的域中搜索含“test”的结果
用途:返回与特定域相关的检索结果;
2)link:[web页面]
eg:link:www.csdn.net 即查看和www.csdn.net相链接的所有站点
用途:给出和指定Web页面相链接的站点,可能泄露目标站点的业务关系;
3)intitle:[条件]
eg:site:www.csdn.net intitle:”index of” 即查看www.csdn.net站点中是否有通过Web服务器获得的索引目录
用途:用于检索标题中含有特定检索文本的页面。在查找那些将Web页面配置成可显示不同的文件系统目录的索引时将非常有用。可能返回站点管理员意外泄露的敏感文件和配置数据;
4)related:[站点]
用途:显示与特定的检索页面类似的Web页面;
eg:related:www.csdn.net。
5)cache:[页面]
用途:显示来自于Baidu快照的页面内容。对于查找最近被移出或当前不可用的页面时非常有用;
示例:cache:www.csdn.net (查找www.csdn.net中最近被Baidu bot抓取的页面)。
6)filetype:[后缀]
用途:检索特定类型的文件;
示例:filetype:ppt site:www.csdn.net (查找www.csdn.net中所有的ppt文件)
7)inurl:[关键词]
用途:限定在URL中搜索
eg:cnkikw inurl:sanzhiyu.php 即查找URL中有字符串“sanzhiyu.php”且网页正文中包含字符串“cnkikw”的所有网页。
8)Not(-)
用途:过滤Web页面中所包含的特定条件;
示例:苹果 –手机
9)Plus(+)
用途:告诉Baidu不应该把某个词过滤掉(注意:不是告诉Baidu所有的页面都要包含某个条件);
示例:site:www.csdn.net +how +the。
10)并行(|)
用途:用来表达多个条件中的任何一个
4、Shodan和ZoomEye的基本特点;
联网设备搜索引擎Shodan搜索对象分为网络设备、网络服务、网络系统、banner信息关键字四类
ZoomEye(“钟馗之眼”)为知道创宇旗下404实验室驱动打造的中国第一款同时也是全球著名的网络空间搜索引擎,通过分布在全球的大量测绘节点针对全球范围内的IPv4、IPv6地址库及网站域名库进行24小时不间断探测、识别,根据对多个服务端口协议进行测绘,最终实现整个或者局部地区的网络空间进行画像。
5、ping、nslookup、tracert(tracerout)等常见命令的作用;
ping 主机名/IP地址/域名 测试网络连通性
ipconfig 显示本机网络信息
arp -a (IP) 显示本机(对应IP)的arp缓存
tracert 跟踪从一台主机到世界上任意一台其它主机之间的路由。
nslookup 查看当前主机的DNS服务器,以及IP地址
nslookup 域名 查看任意域名的信息
nbtstat -n : 得到本机所在的工作组,计算机名以及网卡地址等等;
nbtstat -a ip地址 : 得到该IP地址的主机所在的工作组,计算机名以及网卡地址
6、针对网络侦察常用手段会描述网络侦察的防御措施。
(一)防御搜索引擎和基于Web的侦察
(二)防御WHOIS检索
(三)防御基于DNS的侦察
第4部分 网络扫描
1、网络扫描的四个目的;
识别目标主机的工作状态(开/关机) 主机扫描
识别目标主机端口的状态(监听/关闭) 端口扫描
识别目标主机的操作系统类型 操作系统识别
识别目标系统可能存在的漏洞 漏洞扫描
2、主机发现的技术分类及具体做法;
(一)基于ICMP协议的主机发现
Broadcast ICMP扫描
将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。
缺点:
只适合于UNIX/Linux系统,Windows 会忽略这种请求包;
这种扫描方式容易引起广播风暴
由于大部分防火墙会对ICMP查询报文进行过滤,查询报文无法到达目标主机。目标主机没有接收到查询报文自然不能做出任何回答。
所以没有接收到与ICMP查询报文对应的应答,无法确定是防火墙对ICMP查询报文进行了过滤,还是网络中没有与IP地址对应的存活主机。
(二)基于IP协议的主机发现(基于IP异常分组的扫描)
①发送首部异常的IP数据包,接收数据包的主机在对数据包进行检查时报错,并想源主机返回“参数有问题”的ICMP差错报告报文。
②有意制造分片时间超时。在规定的时间内目的主机未能接收到全部的分片,将向数据包的源主机发送“分片重组超时”的ICMP报文。
基于IP协议的主机发现的实质是针对被扫描IP地址有意制造通信错误,并通过是否接收到被扫描IP地址反馈的ICMP差错报告报文来判断相应初期的工作状态。
(三)反向映射探测
目标主机无法从外部直接到达,采用反向映射技术,通过目标系统的路由设备探测被过滤设备或防火墙保护的网络和主机。
想探测某个未知网络内部的结构时,可以推测可能的内部IP地址(列表),并向这些地址发送数据包。目标网络的路由器收到这些数据包时,会进行IP识别并转发,对不在其服务范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文。
没有收到错误报文的IP地址可认为在该网络中。
这种方法也会受过滤设备的影响。
3、端口扫描的技术分类及具体做法;
(一)TCP扫描
①TCP Connect扫描(TCP全连接扫描)
尝试同目标端口建立正常的TCP连接(直接调用系统提供的connect(…)函数)。
连接建立成功 结论:目标端口开放
连接建立失败 结论:目标端口关闭
优点:稳定可靠,不需要特殊的权限。
缺点:扫描方式不隐蔽,服务器会记录下客户机的连接行为。
②SYN扫描(“半开放”扫描)
源主机与目的主机建立TCP三次握手只进行到第二阶段。
优点:很少有系统会记录这样的行为。
缺点:需要管理员权限才可以构造这样的SYN数据包。
③FIN扫描
TCP报文段首部结构中的FIN标志位。按照RFC793的规定,主机端口接收到FIN标志位设置为1的报文时,如果端口处于关闭状态,应当回复RST标志位设置为1的报文复位连接;如果端口处于监听状态则忽略报文,不进行任何回应。
未收到任何响应 端口开放
收到RST响应 端口关闭
优点:没有利用TCP建立连接的过程,比较隐蔽。
缺点:①与SYN扫描类似,也需要管理员权限构造专门的数据包;如果网络传输过程中扫描数据包丢失或者应答丢失,扫描主机会做出错误的结论 ②只适用于Unix系统的目标主机,Windows系统总是发送RST报文段。
④Xmas扫描和Null扫描
Xmas扫描和Null扫描是FIN扫描的两个变种。
Xmas扫描打开FIN、URG、ACK、PSH、RST、SYN标记,既全部置1
Null扫描关闭所有标记,既全部置0。
扫描过程同FIN扫描一样:关闭的端口会返回RST包,而开放的端口会忽略该包
(二)FTP代理扫描
FTP代理扫描利用FTP代理连接选项来进行,通过FTP服务器扫描目标主机的TCP端口。以S代表用于扫描的主机,T代表被扫描的目标主机,F代表支持FTP代理连接选项的FTP服务器,S、F及T之间能够进行网络通信。FTP代理扫描的基本步骤如下。
(1)S与F建立FTP会话。
(2)S使用PORT命令指定目标主机T上的一个端口P。
(3)S使用LIST命令让F尝试启动一个到目标端口P的数据传输。
(4)如果目标端口P处于监听状态,数据传输将成功;否则,S会收到数据连接无法建立的应答。
(5)S持续利用PORT和LIST命令对目标主机T上的端口进行扫描,获取所有指定端口的信息。
优点:不但难以跟踪,而且可以穿越防火墙。
缺点:一些FTP服务器禁止这种特性。
(三)UDP扫描
扫描主机向目标主机的UDP端口发送UDP数据包,如果目标端口处于监听状态,将不会做出任何响应;而如果目标端口处于关闭状态,将会返回ICMP_PORT_UNREACH错误
从表面上看,目标端口工作状态不同对扫描数据包将做出不同响应,区分度很好。但实际应用中必须考虑到UDP数据包和ICMP错误消息在通信中都可能丢失,不能保证到达,这将使得判断出现偏差。
大多数主机对ICMP错误消息的比例做了限制
4、会描述端口扫描的隐匿性策略;
随机端口扫描(Random Port Scan)
慢扫描(Slow Scan)
分片扫描(Fragmentation Scanning)
将TCP连接控制报文分成多个短IP报文段传送
隐蔽性好,可穿越防火墙,躲避安全检测
缺点:
可能被进行排队过滤的防火墙丢弃;
某些程序在处理这些小数据包时会出现异常。
诱骗(Decoy):伪造源地址,目标主机分不清
分布式协调扫描(Coordinated Scans)
5、操作系统识别的依据和方法。
根据使用的信息可分为三类:通过获取旗标信息,利用端口信息,通过TCP/IP协议栈指纹
(一)旗帜信息
旗标(banner):客户端向服务器端提出连接请求时服务器端所返回的欢迎信息
(二)端口信息
端口扫描的结果在操作系统检测阶段也可以加以利用。不同操作系统通常会有一些默认开放的服务,这些服务使用特定的端口进行网络监听。例如,Windows一般开放udp_137, udp_138, tcp_139, tcp_445端口,而Linux通常会打开512、513、514、2049端口。端口工作状态的差异能够为操作系统检测提供一定的依据
(三)TCP/IP协议栈指纹
前面两种识别操作系统的方法简单明了,但是判断结果却有可能不准确
系统管理可以修改网络服务的旗标信息,优秀的网络管理员会将旗标中泄露系统信息的关键字删除甚至用一些虚假信息伪装替代
端口的使用也可以动态调整,管理员可以将默认开放的端口关闭,并为需要开放的服务指定监听端口
相对而言,对TCP/IP协议指纹进行分析时最为精确的一种检测操作系统的方法
① FIN标志位探测
② BOGUS标记探测
③ TCP ISN取样
④ DF检测
⑤ TCP初始化窗口大小
⑥ ACK确认号的值
⑦ TCP选项
⑧ ICMP差错报告报文统计
⑨ ICMP消息引用
⑩ TOS服务类型
⑪ SYN洪泛限度
⑫ TCP协议可选项
6、小结
主机扫描
目的:判断目标主机是否正在运行
手段:利用ICMP报文、IP数据报
端口扫描
目的:判断目标端口是否开放
手段:利用TCP连接、FTP proxy
操作系统识别
目的:判断目标操作系统的类型
手段:主动扫描、被动扫描
漏洞扫描
目的:判断目标系统是否存在特定漏洞
手段:利用特殊报文
第5部分 拒绝服务攻击
1、拒绝服务攻击基本概念和分类(按攻击目标分类、按攻击机制分类)、目的;
(一)概念:
攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需服务或者使服务质量降低
(二)分类:
2、几种常见的剧毒包型拒绝服务攻击;
WinNuke攻击
泪滴(Teardrop)攻击
Land攻击
Ping of death 攻击
循环攻击
3、几种常见的直接风暴型拒绝服务攻击方式;
PING风暴攻击(直接型)
SYN风暴攻击(直接型)
TCP连接耗尽攻击(直接型)
UDP风暴攻击(直接型)
HTTP风暴攻击(直接型)
对邮件系统的DoS攻击(直接型)
4、反射型分布式拒绝服务攻击的基本原理和常见的攻击形式;
基本原理:
通过中间主机(反射器)间接向目标主机发送大量数据包,以达到拒绝服务攻击的目的。
常见攻击形式:
NTP反射式拒绝服务攻击
DNS反射式拒绝服务攻击
SSDP反射式拒绝服务攻击等
5、理解僵尸网络的基本原理和分类;
僵尸网络(Botnet)是僵尸主人(BotMaster)通过命令与控制(Command and Control,C&C)信道控制的具有协同性的恶意计算机群,其中,被控制的计算机称为僵尸主机(Zom-bie,俗称“肉鸡”),僵尸主人用来控制僵尸主机的计算机程序称为僵尸程序(Bot)。
两种典型僵尸网络架构:①基于IRC的僵尸网络 ②基于P2P的僵尸网络
6、理解拒绝服务攻击的检测和响应技术。
检测技术:
① 依据DDoS攻击工具的特征标志检测
② 统计检测
③ 主机网络连接特征检测
④ 根据异常流量来检测
响应技术:
a.分组过滤
b.源端控制
c.追溯(Traceback)
d.路由器动态检测和控制
第6部分 计算机木马
1、恶意代码(软件)分类及区别;
恶意代码(malicious code)是指在未授权的情况下经存储介质或网络侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。
恶意代码主要包括如下类型:
计算机病毒(Virus)
网络蠕虫(Worms)
特洛伊木马(Trojan horse)
逻辑炸弹(Logic Bomb)
内核工具(Rootkit)
僵尸程序(bot)
网络钓鱼(Phishing)
恶意广告(Dishonest Adware)
……
2、远程控制木马的工作原理和入侵过程;
远程控制型木马一般采用网络应用中常见的客户端/服务器模式,由客户端程序和服务器端程序两部分组成。服务器端程序提供服务,而客户端程序接受服务。服务器端程序一般会打开一个默认的端口进行监听,如果有客户端程序提出连接请求,服务器端程序就会自动运行,应答客户端程序的请求。
入侵过程:
① 配置木马
② 传播木马
③ 启动木马
④ 建立连接
⑤ 远程控制
3、反向连接木马的工作方式及优点;
黑客最关注的时受害者的IP地址。但由于NAT技术和DHCP技术的影响,无法保证攻击者随时根据IP地址找到感染主机
黑客为木马客户端主机配置一个静态的、因特网可路由的IP地址,并将此IP地址和木马客户端监听端口配置在木马的服务器端程序内。黑客传播木马服务器端程序,与此同时,黑客在实施控制的主机上运行木马客户端程序,该程序在指定端口监听。木马的服务器端程序植入感染主机并获得运行机会后,根据预先配置的IP地址和端口号主动连接木马的客户端程序。网络连接建立以后,黑客即可以利用木马的客户端程序对遭受感染的主机实施远程控制。
优点:①解决动态IP地址的问题; ②解决内网地址的问题; ③绕过防火墙的限制;
缺点:容易暴露控制端
4、木马的隐藏技术;
启动隐藏
木马文件/目录隐藏
进程隐藏
通信隐藏
5、恶意代码静态检测技术和动态检测技术各自的优缺点;
静态(特征码)检测技术
优点:是简单、检测速度快、准确率高
缺点:不能检测未知恶意软件,对于恶意代码变体的容忍度也很低,稍微变形便无法识别;用户需要不断地升级(离线或在线)杀毒软件特征库,同时随着特征库越来越大,检测的效率会越来越低。
动态检测技术
优点:在大规模样本检测能力
缺点:检测的准确率还有待提高、对计算能力的要求比较高、有监督机器学习方法中的样本标注问题等,同时近几年越来越多的对机器学习算法进行攻击的研究,如对抗样本,表明少量精心设计的样本即可导致机器学习检测算法出错。
6、针对木马(恶意代码)的防范措施。
及时修补漏洞,安装补丁
培养风险意识,不使用来历不明的软件
不打开可疑短信、邮件及其附件
安装杀毒软件且不关闭查杀功能,即时发现,即时清除
移动存储设备:用前查杀
关闭不必要的网络端口和服务
第7部分 口令攻击
1、针对静态口令的破解技术;
2、口令防御基本措施。
①强壮的密码策略
②用户意识
③密码过滤软件
④保护密码文件
⑤分组分类
⑥其它
尽可能使用认证工具而不是口令:使用一次性密码令牌或智能卡,或者使用生物特征进行认证,比如指纹或视网膜扫描。
定期进行密码破解测试:定制执行密码破解评估,帮助找出弱口令。
预防主机和网络中的密码窃取木马和网络监听软件。
及早发现密码文件泄露:Honeywords Projec
第8部分 网络监听技术
1、网络监听基本概念;
网络监听( Network Listening):是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing )
2、交换式网络流量劫持的常见方法;
①端口镜像
②MAC攻击(MAC洪泛)
③端口盗用
④ARP欺骗
利用ARP请求
利用ARP响应
3、MAC攻击的攻击思路;
持续发送大量源MAC地址为随机值的数据帧,虚假的MAC地址记录信息将不断增加到交换机的MAC地址表中,因此这种攻击也称为“MAC冲刷”。由于交换机MAC地址表中都是虚假的记录,当有数据帧需要发送时,交换机无法通过MAC地址表找到数据帧目的MAC对应的端口,此时交换机只能采用洪泛的方法,向所有物理端口转发数据帧。这时交换机以类似于集线器的模式工作,向其它所有的物理端口转发数据。
4、端口盗用的具体实施方法;
向交换机发送欺骗性的数据帧,在交换机的MAC地址表中使被监听主机的MAC地址与黑客所处的交换机端口联系在一起。在此条件下,如果出现目的MAC地址为被监听主机MAC地址的数据帧,交换机将依据MAC地址表中的错误信息,将数据帧发往黑客所处的端口。
5、ARP欺骗的基本原理和过程(利用ARP请求和ARP响应实施ARP欺
骗各自的优缺点);
基本原理:
ARP缓存表
ARP请求以广播形式发送(本机IP和MAC地址会填入ARP请求的源地址字段)
局域网中某主机与请求的IP相同,则进行回应
主机的ARP高速缓存会主动学习ARP请求
ARP协议工作高效,但缺乏验证机制
利用ARP请求
主机A以“主机B的IP和主机A的MAC地址”发送ARP请求
该欺骗性的请求将刷新局域网中所有主机的ARP缓存
影响面大,容易被发现,主机B上会弹出IP地址冲突提示
利用ARP响应
主机A以“主机B的IP和主机A的MAC地址”发送ARP响应给主机C,即使主机C并没有发送过针对主机B的ARP请求
ARP协议是无状态协议,主机不检查自己是否发送过ARP请求,都会接收下ARP响应
针对性强,除被欺骗的主机C,其他主机不受干扰,被伪造的主机B上也不会有警告信息
6、理解WIFI流量劫持基本方法。
无线热点钓鱼的方式来劫持用户的通信数据。
在无线Wi-Fi网络中,每个热点都时时刻刻广播着一种名为Beacon的数据包,里面带有热点名等相关信息。用户网卡被收集之后经过筛选分析,即可得知附近有哪些热点,各自的信号如何。功率大的热点,用户接收时的信号强度(RSSI)自然也会高一些,客户端总是与信号最强的热点联系。
热点钓鱼的基本原理是:攻击者只需开一个同名同认证的伪热点,并且使信号功率大于被模仿的热点即可,这样客户端就会与信号强的钓鱼热点联系,从而获得客户的通信数据
第9部分 Web网站攻击技术
1、Web应用体系结构及脆弱性;
Web客户端(即浏览器)的脆弱性
Web客户端负责将网站返回的页面展现给浏览器用户,并将用户输入的数据传输给服务器。浏览器的安全性直接影响到客户端主机的安全。利用浏览器漏洞渗透目标主机已经成为主流的攻击方式。
Web服务器的脆弱性
Web应用程序在Web服务器上运行。Web服务器的安全直接影响到服务器主机和Web应用程序的安全。
Web应用程序的脆弱性
很多程序员在编写代码时,并没有考虑安全因素,因此开发出来的应用程序往往存在安全隐患。此外,Web应用编程语言的种类多、灵活性高,一般程序员不易深入理解和正确利用,导致使用这些语言时不规范,留下了安全漏洞。
HTTP协议的脆弱性
无状态使攻击变得容易
基于ASCII码,无需弄清复杂的二进制编码机制,攻击者就可了解协议中的明文信息
互联网中存在的大量中间盒子,HTTP标准(RFC 2616和RFC 7320)的理解如果不一致,就有可能导致一些新的攻击发生
Cookie的脆弱性
由于Cookie中包含了一些敏感信息,如用户名、计算机名、使用的浏览器和曾经访问的网站等,攻击者可以利用它来进行窃密和欺骗攻击
数据库的安全脆弱性
由于网站后台数据库中保存了大量的应用数据,因此它常常成为攻击者的目标。
2、SQL注入基本概念、形成原因;
SQL注入(SQL Injection)攻击以网站数据库为目标,利用Web应用程序对特殊字符串过滤不完全的缺陷,通过精心构造的字符串达到非法访问网站数据库内容或在数据库中执行命令的目的。
3、会描述如何减少SQL注入的一些措施;
(1)过滤单引号。
(2)在构造动态SQL语句时,一定要使用类安全(type-safe)的参数编码机制
(3)禁止将敏感性数据以明文方式存放在数据库中,这样即使数据库被SQL注入漏洞攻击,也会减少泄密的风险。
(4)遵循最小特权原则。只给访问数据库的Web应用提供所需的最低权限,撤销不必要的公共许可,使用强大的加密技术来保护敏感数据并维护审查跟踪,并确保数据库打了最新补丁。
(5)尽量不要使用动态拼装的SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。
(6)应用的异常信息应该给出尽可能少的提示
4、跨站脚本攻击的基本概念及3种形式。
基本概念:
跨站脚本攻击(Cross Site Scripting,XSS)是指攻击者利用Web程序对用户输入过滤不足的缺陷,把恶意代码(包括HTML代码和客户端脚本)注入到其他用户浏览器显示的页面上执行,从而窃取用户敏感信息、伪造用户身份进行恶意行为的一种攻击方式
XSS主要有3种形式:反射式跨站脚本攻击(Reflected Cross-site Scripting)、储存式跨站脚本攻击(Persisted Cross-site Scripting)和DOM式跨站脚本攻击。
源文件:https://trieyes.lanzouj.com/b01f54sih 密码:helloworld
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。