网络安全考试总结.

2019/12/17网络安全1网络安全定义•网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。2019/12/17网络安全22019/12/17网络安全网络安全的基本需求•可靠性•可用性•保密性•完整性•不可抵赖性•可控性•可审查性•真实性机密性完整性抗抵赖性……可用性2019/12/17网络安全32019/12/17网络安全1.3网络安全的主要威胁因素•信息系统自身安全的脆弱性•操作系统与应用程序漏洞•安全管理问题•黑客攻击•网络犯罪2019/12/17网络安全4远程攻击的准备阶段•确定攻击目标•信息收集•服务分析•系统分析•漏洞分析2019/12/17网络安全5入侵系统的常用步骤•采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的2019/12/17网络安全6较高明的入侵步骤•端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途2019/12/17网络安全72019/12/17网络安全1.5网络安全策略及制订原则•安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。•即：网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素，所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。2019/12/17网络安全81.6.1网络安全体系层次•作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题。•根据网络的应用现状情况和网络的结构，安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全。2019/12/17网络安全9什么是扫描器•扫描器是一种自动检测远程或本地主机安全性弱点的程序。它集成了常用的各种扫描技术，能自动发送数据包去探测和攻击远端或本地的端口和服务，并自动收集和记录目标主机的反馈信息，从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。据此提供一份可靠的安全性分析报告，报告可能存在的脆弱性。2019/12/17网络安全10常用扫描工具•SATAN古老的经典•Nmap扫描技术集大成者•Nessus黑客的血滴子，网管的百宝箱•X-scan国内黑客的最爱2019/12/17网络安全11扫描三步曲•一个完整的网络安全扫描分为三个阶段：–第一阶段：发现目标主机或网络–第二阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息–第三阶段：根据收集到的信息判断或者进一步测试系统是否存在安全漏洞2019/12/17网络安全122.2常见的扫描技术•TCP/IP相关知识•常用网络命令•主机扫描•端口扫描–全扫描–半扫描–秘密扫描–认证(ident)扫描–FTP代理扫描•远程主机OS指纹识别•漏洞扫描2019/12/17网络安全13建立TCP连接ClientServerSYNJSYN,ACK,J+1ACKK+1SYN_SENT(主动打开)ESTABLISHEDLISTEN(被动监听)SYNRCVDESTABLISHED2019/12/17网络安全14常用网络命令--ping•Ping是最基本的扫描技术。•ping命令——主要目的是检测目标主机是不是可连通，继而探测一个IP范围内的主机是否处于激活状态。不要小瞧ping黑客的攻击往往都是从ping开始的2019/12/17网络安全15常用网络命令--ping的原理•ping是一个基本的网络命令，用来确定网络上具有某个特定IP地址的主机是否存在以及是否能接收请求。•Ping命令通过向计算机发送ICMP回应报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接。2019/12/17网络安全16常用网络命令--ping参数说明•ping在安装了TCP/IP协议后可以使用。2019/12/17网络安全17常用网络命令—ping命令使用-n:发送ICMP回应报文的个数2019/12/17网络安全182.4扫描的防御•反扫描技术•端口扫描监测工具•防火墙技术•审计技术•其它防御技术2019/12/17网络安全技术193.1.1基础知识与实例•2．数据传输过程中的封装过程：–数据链路层的叫做数据帧（Frame）；网络层的叫做数据包（Packet）或者叫做IP数据包；传输层的TCP的叫做Segment（数据段）、UDP的叫做Datagram（数据报文）；应用层的叫做消息（message）。–帧和数据包都是数据的传输形式。帧，工作在二层，数据链路层传输的是数据帧，包含数据包，并且增加相应MAC地址与二层信息；数据包，工作在三层，网络层传输的是数据包，包含数据报文，并且增加传输使用的IP地址等三层信息。一个数据报文Datagram可能被封装成一个或几个数据包Packets，在数据链路层中传输。2019/12/17网络安全技术20在以太网中，网卡用于连接访问介质并控制对介质的存取，负责将上层协议形成的协议数据单元（PDU）组成以太数据帧发送到网络上，并负责接收处理网络中传来的以太网帧。网卡必须绑定相应的通信协议（IPX、TCP/IP、NetBEUI）等，才能和网络上的计算机通信。以太网的工作原理以太网采用带冲突检测的载波帧听多路访问（CSMA/CD）机制。以太网中节点都可以看到在网络中发送的所有信息，因此，以太网是一种广播网络。以太网工作过程如下：当以太网中的一台主机要传输数据时，它将按如下步骤进行：1、监听信道上是否有信号在传输。如果有的话，表明信道处于忙状态，就继续监听，直到信道空闲为止。2、若没有监听到任何信号，就传输数据3、传输的时候继续监听，如发现冲突则执行退避算法，随机等待一段时间后，重新执行步骤1（当冲突发生时，涉及冲突的计算机会发送会返回到监听信道状态。注意：每台计算机一次只允许发送一个包，一个拥塞序列，以警告所有的节点）4、若未发现冲突则发送成功，所有计算机在试图再一次发送数据之前，必须在最近一次发送后等待9.6微秒（以10Mbps运行）。2019/12/17网络安全技术213.2.4网络监听工具举例•常用的网络监听工具–Tcpdump/Windump–Ngrep–Ethereal/Wireshark–SnifferPro–NetXray•网络监听工具的主要功能大都相似，我们以Wireshark为例。2019/12/17网络安全技术223.3监听的防御•3.3.1通用策略•3.3.2共享网络下的防监听•3.3.3交换网络下的防监听2019/12/17网络安全技术233.3.1通用策略•由于嗅探器是一种被动攻击技术，因此非常难以被发现。•完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。•这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的安全防范。2019/12/17网络安全技术243.3.2共享网络下的防监听•虽然共享式局域网中的嗅探很隐蔽，但也有一些方法来帮助判断：–检测处于混杂模式的网卡–网络通讯丢包率非常高–网络带宽出现反常•检测技术–网络和主机响应时间测试–ARP检测（如AntiSniff工具）2019/12/17网络安全技术253.3.3交换网络下的防监听•交换网络下防监听，主要要防止ARP欺骗及ARP过载。如何防范ARP欺骗将在后续章节讲述。ARP过载则是指通过发送大量ARP数据包使得交换设备出现信息过载，工作于广播模式。•交换网络下防范监听的措施主要包括：–不要把网络安全信任关系建立在单一的IP或MAC基础上，理想的关系应该建立在IP-MAC对应关系的基础上。–使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表，禁止自动更新，使用手动更新。–定期检查ARP请求，使用ARP监视工具，例如ARPWatch等监视并探测ARP欺骗。–制定良好的安全管理策略，加强用户安全意识。2019/12/17网络安全264.2口令破解方式•4.2.1口令破解方式概述•4.2.2词典攻击•4.2.3强行攻击•4.2.4组合攻击•4.2.5常见攻击方式的比较•4.2.6其它的攻击方式2019/12/17网络安全274.2.2词典攻击•所谓的词典，实际上是一个单词列表文件。这些单词有的纯粹来自于普通词典中的英文单词，有的则是根据用户的各种信息建立起来的，如用户名字、生日、街道名字、喜欢的动物等。•简而言之，词典是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件。2019/12/17网络安全284.2.2词典攻击(2)•使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程，就是词典攻击。•多数用户都会根据自己的喜好或自己所熟知的事物来设置口令，因此，口令在词典文件中的可能性很大。而且词典条目相对较少，在破解速度上也远快于穷举法口令攻击。•在大多数系统中，和穷举尝试所有的组合相比，词典攻击能在很短的时间内完成。2019/12/17网络安全294.2.2词典攻击(3)•用词典攻击检查系统安全性的好处是能针对特定的用户或者公司制定。•如果有一个词很多人都用来作为口令，那么就可以把它添加到词典中。•在Internet上，有许多已经编好的词典可以用，包括外文词典和针对特定类型公司的词典。•例如，在一家公司里有很多体育迷，那么就可以在核心词典中添加一部关于体育名词的词典。2019/12/17网络安全304.2.2词典攻击(4)•经过仔细的研究了解周围的环境，成功破解口令的可能性就会大大的增加。•从安全的角度来讲，要求用户不要从周围环境中派生口令是很重要的。2019/12/17网络安全31Windows口令破解程序•L0phtcrack•NTSweep•NTCrack•PWDump22019/12/17网络安全32Unix口令破解程序•Crack•JohntheRipper•XIT•Slurpie2019/12/17网络安全334.5.1口令破解防御概述•保持口令的安全要点如下：–不要将口令写下来–不要将口令存于电脑文件中–不要选取显而易见的信息作口令–不要让别人知道–不要在不同系统上使用同一口令–为了防止眼捷手快的人窃取口令，在输入口令时应当确定无人在身边–定期更换口令，至少6个月要改变一次2019/12/17网络安全345.1概述•目前比较流行的欺骗攻击主要有5种：–IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权；–ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人；–电子邮件欺骗：电子邮件发送方地址的欺骗；–DNS欺骗：域名与IP地址转换过程中实现的欺骗；–Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。2019/12/17网络安全35TCP三次握手建立一个连接、四次挥手断开一个连接2019/12/17网络安全36TCP三步握手连接建立•1.客户端主动与服务器联系，TCP首部控制位中的SYN设置为1，发送带有SYN的TCP段，并把初始序号告诉对方。•2.服务器端收到带有SYN的报文，记录客户端的初始序号，选择自己的初始序号，设置控制位中的SYN和ACK。因为SYN占用一个序号，所以确认序号设置为客户端的初始序号加1，对客户端的SYN进行确认。•3.服务器端的报文到达客户端，客户端设置ACK控制位，并把确认号设为服务器的初始序号加1，以确认服务器的SYN报文段，这个报文只是确认信息，告诉服务器已经成功建立了连接。•完成三次握手，客户端与服务器开