网络安全_整理_防灾科技学院

网络安全攻击类型：从安全属性来看，攻击类型分为以下四类：中断、截取、篡改、伪造。从攻击方式来看，攻击类型分为被动攻击和主动攻击。被动攻击：如窃听或者偷窥,攻击者的目的是获取正在传送中的信息。非常难以被检测到,但可以防范主动攻击,常常是对数据流的修改,或者生成一个假的数据流。可以被检测到,但难以防范。网络安全的特征：保密性、完整性、可用性、不可否认性、可控性。网络安全威胁：物理安全威胁；操作系统的安全缺陷；网络协议的安全缺陷；应用软件的实现缺陷；用户使用的缺陷；恶意程序主流的网络攻击：1.口令破解2.欺骗攻击3.网络侦听4.DOS（拒绝服务攻击）5.数据篡改6.缓冲区溢出7.恶意扫描8.病毒9.社会工程学10.基础设施攻击OSI体系结构：七层（由下至上）分别为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。TCP/IP协议：（5层）：物理层、数据链路层、网络层、传输层、应用层。数据库安全威胁：篡改、损坏、窃取SQL注入攻击过程：SQL注入攻击的总体思路是：发现SQL注入位置；判断后台数据库类型；发现WEB虚拟目录上传ASP木马；得到管理员权限首先，判断环境，讯号注入点，判断数据库类型；其次，根据参数类型，在脑海中重构SQL原貌；接着，将查询条件替换成SQL语句，猜表名、字段名、用户名及密码。现代密码体制分为：对称密码体制：DES\古典密码学非对称：RSA公钥密码学密码编码学是对信息编码以隐蔽信息的一门学问。密码学包含两方面：编码学和分析学数据加密技术主要包含：数据传输加密、数据存储加密数据传输加密主要是对传输中的数据流进行加密常用的加密技术：链路加密、节点加密、端到端加密3种方式数据加密算法：DES算法；RSA算法算法具体描述DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；RSA是一种分组密码,既可以用于加密，也可用于数字签名古典加密算法：例如，取k=3，明文字母和密文字母的对应关系为明文：abcdefghijklmnopqrstuvwxyz密文:DEFGHIJKLMNOPQRSTUVWXYZABC三、数字签名与验证过程：发方将原文用哈希算法求得数字摘要，用签名私钥对数字摘要加密求得数字签名，然后将原文和数字签名一起发给收方，收方验证签名，即用发方公钥解密数字签名，得出数字摘要，收方将原文采用同样的哈希算法又得一新的数字摘要。将两个数字摘要进行比较，如果两者匹配，说明经数字签名的电子文件传输成功。Hash函数也称杂凑函数或散列函数，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是Hash值。算法不可逆，Hash值唯一Hash值的长度由算法的类型决定，MD4、MD5—128Bit；shA-1、shA-256:160Bit作用：效验数据的完整性，无法保证数据在发送过程中不被修改数字签名就是通过一个单向Hash函数对要传送的报文进行处理，用以认证报文来源并核实报文是否发生变换的数字字符串，该字符串称为消息的消息鉴别码或消息摘要。四、计算机病毒、木马、蠕虫的概念和区别大题计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。必须要寄生在别的程序中。能够自我复制，寄生在程序中，跟着程序一起执行特性：程序性（可执行性）；传染性；潜伏性；可触发性；破坏性；攻击的主动性；针对性非授权性；隐蔽性；衍生性；寄生性（依附性）；不可预见性；欺骗性；持久性分类：按攻击的系统分类攻击DOS系统的病毒；攻击Windows系统的病毒；攻击UNIX系统的病毒；攻击OS/2系统的病毒按XXX分类木马：是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息。木马原则上只是一种远程管理工具。而且本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)。远程管理工具蠕虫病毒：是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中（通常是经过网络连接）。蠕虫病毒不需要将其自身附着到宿主程序，它是一种独立智能程序。它利用网络进行复制和传播，传染途径是通过网络和电子邮件。自我传播自我复制自我执行网络攻击步骤：1）、预攻击探测。收集信息，如OS类型，提供的服务端口。2）、发现漏洞，采取攻击行为。破解口令文件或利用缓存溢出漏洞；3）、获得攻击目标的控制权系统。获得系统账号权限，并提升为root限权；4）、安装系统后门。方便以后使用；5）、继续渗透网络，直至获取机密数据。6）、消灭踪迹。端口扫描：1）、开放扫描：需要扫描方通过三次握手过程与目标主机建立完整的TCP连接，可靠性高，产生大量审计数据，容易被发现。优点：简单，不需要特殊的权限缺点：服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描2）、半开放扫描：扫描方不需要打开一个完全的TCP连接。优点：很少有系统会记录这样的行为缺点：在UNIX平台上，需要root权限才可以建立这样的SYN数据包3）、秘密扫描：不包含标准的TCP三次握手协议的任何部分，隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息优点：不是TCP建立连接的过程，所以比较隐蔽缺点：与SYN扫描类似，也需要构造专门的数据包。在Windows平台无效，总是发送RST包。拒接服务攻击：DoS（DenialofService）是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。Tcp办法/SYN办法scanf原理常见的拒绝服务攻击：SYNFlood攻击欺骗攻击：IP欺骗、ARP欺骗、Web欺骗、DNS欺骗原理IP欺骗原理：利用主机之间的正常信任关系来发动的ARP欺骗原理：ARP协议虽然是一个高效的数据链路层协议，但作为一个局域网协议，它是建立在各主机之间相互信任的基础上的，所以ARP高速缓存根据所接收到的ARP协议包随时进行动态更新，ARP协议没有连接概念，任意主机即使在没有ARP请求的时候也可以做出应答，ARP协议没有认证机制，只要接收到的协议包是有效的，主机就无条件的根据协议包的内容刷新主机ARP缓存，并不检查协议包的合法性，所以攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存，进行地址欺骗或者拒绝服务攻击。Web欺骗原理：在受攻击者和其他Web服务器之间设立起攻击者的Web服务器，这种攻击种类再安全问题中称为“来自中间的攻击”。DNS欺骗原理：冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。防火墙概念：指隔离在本地网络与外界网络之间的一道防御系统。一般是指用来在两个或多个网络间加强访问控制的一个或多组网络设备。四种体系结构：包过滤防火墙（筛选路由器）、双重宿主主机结构、屏蔽主机体系结构、屏蔽子网体系结构。防火墙技术：包过滤技术、应用网关技术、电路网关技术、状态监测技术。入侵检测入侵检测技术概念：从计算机系统或网络中收集、分析信息，检测任何破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违法安全策略的行为和遭到攻击的迹象，并做出相应的反应。入侵检测系统（IDS）概念：加载入侵检测技术的系统。入侵检测系统的基本构成（CIDF模型）：事件发生器、事件分析器、响应单元和事件数据库。四部分组成入侵检测分类：1）、按数据来源分为：基于主机（HIDS）、基于网络（NIDS）、基于应用2）、按检测原理：误用入侵检测、异常基于主机的入侵检测系统的原理主要用于保护运行关键应用的服务器。是监视与分析主机的审计记录和入职文件来检测入侵。优点：1）、能够监视特定的系统行为。2）、能够确定攻击是否成功。3）、有些攻击在网络数据中很难发现，或者根本没有通过网络而在本地进行，这时网络入侵检测系统讲无能为力，只能借助HIDS。缺点：1）HIDS安装在需要保护的设备上，这回降低应用系统的效率。它依赖于服务器固有的日志和监视能力，如果服务器没有配置日志功能，则必须重新配置。2）全面部署HIDS的代价太大，维护升级不方便。基于网络的入侵检测系统原理：主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组，采集数据，分析可疑现象。优点：1）、成本低，可以检测到主机型检测系统检测不到的攻击行为；2）、入侵者消除入侵证据困难且不影响操作系统的性能；3）、架构网络型入侵检测系统简单。缺点：1）、如果网络流速高时可能会丢失很多封包，容易让入侵者有机可乘；2)、无法检测加密的封包，无法直接检测出对主机的入侵。基于应用的入侵检测系统：可以是HIDS的一个特殊子集，也可以时NIDS实现的进一步的细化。特征：使用监控传感器在应用层收集信息。异常入侵检测（基于行为的检测）前提：假定所有的入侵行为都是异常的。异常检测建立系统或用户的“正常”行为特征轮廓。根据异常行为和使用计算机资源的情况检测出来的入侵。特点：用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。误用入侵检测前提：假定所有可能的入侵行为都能被识别和表示。建立“异常”行为特征轮廓。利用已知系统和应用软件的弱点攻击模式来检测入侵。特点：可直接检测不利或不可接受的行为。入侵检测系统的工作步骤：信息收集、信息分析入侵检测技术：滥用检测技术异常检测技术高级检测技术入侵诱骗技术入侵响应技术蜜罐概念：是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。主要技术：网络欺骗、端口重定向、报警、数据控制和数据捕获蜜网概念：蜜网是一种研究性蜜罐，是在各种网络迹象中获取所需的信息，而不是对攻击诱骗或检测组成：蜜网作为蜜罐技术中的高级工具，一般由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统，也可以使用虚拟化软件来构建虚拟蜜网。VPN定义：通过一个公用网络建立一个临时的安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，形成逻辑上的专用网络。虚拟专用网络是一门网络新技术。提供一种通过公用网络安全地对企业内部专用网络进行远程访问的链接方式。网络层封装协议主要包括两类：第2层隧道协议：它首先把各种网络层协议（如IP协议）封装到数据链路层协议PPP的数据帧中，再把整个PPP帧装入到隧道协议中。可看出隧道协议封装的是数据链路层的数据包。如：PPTP、L2F、L2TP,主要用于构建基于Internet远程访问的VPN第3层隧道协议:：如IPSec、GRE。即把第3层即网络层的各种协议直接封装到隧道协议中进行传输。主要用于构建IntranetVPN和ExtranetVPN。