网络攻击与防御课后学习整理

第1章网络安全概述1.小题信息安全的主要目标通俗讲：保护信息系统，使其没有危险，不受威胁，不出事故。——形象描绘为：进不来、看不懂、改不了、拿不走、跑不掉。信息安全的属性为：机密性、完整性、可用性、可控性、不可抵赖性。信息安全3个阶段：计算机安全（基础）、网络安全（核心）、信息系统安全（目标）。P2DR模型包括四个主要部分：Policy(安全策略)Protection(防护)Detection(检测)Response(响应)APPDRR模型认为网络安全由风险评估（Assessment）、安全策略（Policy）、系统防护（Protection）、动态检测（Detection）、实时响应（Reaction）和灾难恢复（Restoration）六部分完成。2.名词解释信息安全：防止任何对信息进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让信息处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。——在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或被非授权使用和篡改。3.简答1.信息安全的属性：机密性：对信息资源开放范围的控制，保证信息与信息系统不被非授权者所获取与使用，防范措施是密码技术、访问控制、防计算机电磁泄漏等安全措施完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改。可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。指保证信息与信息系统可被授权人正常使用，确保信息系统处于可靠的运行状态之下。可控性：对信息的传播及内容具有控制能力。不可抵赖性：也称为不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。在电子商务中非常重要。2.网络防范原理？网络防范可分为积极防范和消极防范两种积极安全防范的原理：对正常的网络行为建立模型，要处理的网络数据和保存在模型内的正常模式相匹配，如果不在正常范围内，就认为是攻击行为，对其做出处理。优点：可阻挡未知攻击。缺点：建模困难消极安全防范的原理：对已发现的攻击行为，经分析建模，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。优点：建模相对容易、系统开销小。缺点：被动，不能阻挡未知攻击3.PPDR模型工作原理？是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。4.APPDRR模型工作原理？网络安全第一个重要环节是风险评估，通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是第二个重要环节，起着承上启下的作用：一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节，体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。4.分析资料：网络安全现状：信息成为人类社会的重要资源，与物质、能源并列已成为社会发展的三大资源，人类开始从主要依赖物质和能源的社会步入物质、能源和信息三位一体的社会第2章黑客与黑客攻击(看书)1.小题黑客的动机：好奇心、虚荣心、技术挑战、报复、金钱、政治目的黑客攻击流程：攻击前奏（踩点、扫描、查点）实施攻击（获取访问权、权限提升、窃取、拒绝服务攻击）巩固控制（掩盖痕迹、创建后门）2.分析黑客攻击发展趋势？网络攻击技术手段改变迅速，自动化程度和攻击速度不断提高；网络攻击工具化（反侦破、攻击模式智能化、攻击工具变异）；安全漏洞的发现和利用速度越来越快；有组织的攻击越来越多（攻击的群体从个体到有组织的群体变化）；攻击的目的和目标在改变；攻击者的数量增加，破坏效果加大；防火墙渗透率越来越高；越来越不对称的威胁；对基础设施的威胁越来越大；基于公共无线网络的攻击第3章目标系统信息收集（看书）1.小题信息收集的内容：IP地址、地理位置、网络拓扑、用户列表、服务列表、网络管理员的教育背景、家庭背景、作息时间。目的：攻击者通过汇总和分析收集到的信息来对目标系统进行总体安全评估，进而拟定出目标系统可能存在的安全缺陷。第4章漏洞扫描技术（看书）1.小题漏洞的特点：漏洞的长久性、漏洞的隐蔽性、漏洞的必然被发现性扫描器按照运行环境可以分为两大类：主机漏洞扫描器和网络漏洞扫描器。常用的漏洞扫描工具包括：X－SCAN、流光扫描、SSS扫描器、S-GUIVer扫描器2.名词解释系统漏洞：专业上讲是在硬件、软件、协议的具体实现或系统安全策略上（主要是人为）存在的缺陷，是系统的一组特性，从而可以使恶意的主体（攻击者或者攻击程序）能够利用这组特性，在未授权的情况下访问或破坏系统。漏洞扫描技术：网络安全防御中的一项重要技术，采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，来发现系统漏洞的技术。3.简答1.漏洞的分类？按照漏洞的形成原因划分程序逻辑结构漏洞:程序设计人员在编写程序时，因逻辑设计不合理或者错误而造成的程序逻辑漏洞。如Windows2000用户登录的中文输入法漏洞程序设计错误漏洞:在设计程序时，由于技术上的疏忽造成的漏洞，最典型的是缓冲区溢出漏洞，也是被利用最多的漏洞开放式协议造成的漏洞:TCP/IP协议，最初设计只考虑实用性，没有考虑其安全性，如透明传输(嗅探攻击）、三次握手（拒绝服务攻击）人为管理上的漏洞:弱口令、默认密码等漏洞严重性等级划分:高（A类）：允许过程用户未经授权访问的漏洞中（B类）：允许本地用户非法访问的漏洞低（C类）：允许拒绝服务的漏洞从用户群体划分：大众软件漏洞：专用软件漏洞：从数据访问划分：能读按规定不能读的数据：内存中的数据、用户输入的数据、数据库中的数据、网上传输的数据等；能把指定的内容写入不该写入的地方；能执行非授权输入的数据从触发条件划分：主动触发漏洞：攻击者能主动利用该漏洞进行攻击，；被动触发漏洞：必须要计算机管理人员配合才能进行攻击所利用的漏洞；从漏洞发现时间上划分:已发现很久的漏洞，刚发现的漏洞，0Day漏洞。第5章缓冲区溢出攻击1.小题目前，利用缓冲区溢出漏洞进行的攻击比例：占所有系统攻击总数的80%以上缓冲区溢出攻击之所以日益普遍，其原因在于各种操作系统和应用软件上存在的缓冲区溢出问题数不胜数，隐蔽性和破坏力高（攻击效果好）后果：导致程序运行失败、系统崩溃以及重新启动等；严重：可以利用缓冲区溢出执行非授权指令，甚至取得系统特权，进而进行各种非法操作攻击者要实现缓冲区溢出攻击，必须完成两个任务，一是在程序的地址空间里安排适当的代码；二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。2.名词解释缓冲区：是程序运行期间，由操作系统或编译器在内存中分配的，包含相同数据类型实例的一个连续的内存存储区域。溢出：填充的数据超出了原有的缓冲区边界。缓冲区溢出：向固定长度的缓冲区中写入超出其预先分配长度的内容，从而覆盖缓冲区周围的内存空间，造成缓冲区中数据的溢出。Shellcode：植入代码的核心组成部分，是一段能完成特殊任务的自包含的二进制代码。3.简答1.缓冲区溢出的原理？向缓冲区内填充数据，如果数据的长度很长（如同啤酒），超过了缓冲区（啤酒杯）本身的容量，那么结果就如同啤酒一样，四处溢出，数据也会溢出存储空间！装不下的啤酒会流到桌子上，而装不下的数据则会覆盖在合法数据上。2.存在缓冲区溢出的原因？在理想的情况下，程序应检查每个数据的长度，并且不允许超过缓冲区的长度大小。但有些程序设计人员在设计时，假设数据长度总是与所分配的存储空间相匹配，而不作检查，从而为缓冲区溢出埋下隐患。3.利用缓冲区溢出需要的三个条件：–1.有问题程序返回点的精确位置――可以把它覆盖成任意地址。–2.ShellCode――一个提供给我们想要的功能的代码。–3.JMPESP的地址――把返回点覆盖JMPESP的地址，这样可跳入ShellCode。第6章网络欺骗类攻击与防御1.小题TCP序列号的产生方式：64K规则：用于比较老的机器中，非常容易猜测序列号。时间相关规则：序列号产生器根据时间来产生伪随机序列。由于各计算机上的时钟并不完全相同，增加了序列号随机性。随机产生规则：新的Linux内核随机产生，序列号基本上很难猜测。建立IP和MAC地址见的映射可使用静态映射和动态映射两种方式。钓鱼网站目的：骗取用户私密信息，进而盗取受害者资金；假冒受害者进行欺诈性在线交易活动；假冒受害者向好友发送信息进行行骗，从而获得非法经济利益。钓鱼网站3大特性：热点效应、对象分散、手段多样。2.名词解释欺骗：实质上就是一种冒充身份通过认证骗取信任的一种攻击方式——攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交互，最终获取信息或为进一步攻击做准备。IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权。——就是伪造数据包源IP地址的攻击，通过源IP地址的伪造使得某台主机能够伪装成另外一台主机骗取权。ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，实施攻击。效果明显，威力惊人。DNS（DomainNameSystem，域名系统）能够提供主机名和IP地址之间的映射。DNS欺骗：域名与IP地址转换过程中实现的欺骗。DNS存在设计上的缺陷，仅通过序列号进行有效性鉴别。缓存感染：攻击者使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的恶意服务器上，攻击者从这些服务器上获取用户信息DNS信息劫持：攻击者通过监听客户端和DNS服务器的对话，猜测服务器响应给客户端的DNS查询ID。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。DNS重定向：攻击者能够将DNS名称查询重定向到恶意DNS服务器Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。钓鱼网站：是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的网址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的网页代码，以此来骗取用户银行或信用卡账号、密码等私人资料。3.简答IP欺骗原理？第一阶段：主机间的信任关系；第二阶段（核心阶段）：IP地址伪造技术、TCPSYN洪流攻击技术与TCP序列号猜测技术；第三阶段：信任关系。前提：主机A与主机B存在信任关系，主机B有对主机A进行操作的权限如主机X想冒充主机B对主机A进行攻击，需先让B失去响应X→B；X先想法让B失去工作能力（拒绝服务攻击（SYN洪流））X→A：SYN；X假冒B向A发出SYN连接请求后，A不能分辨A→B：SYN，ACK；A回应B，但B已无法响应X→A：ACK；X设法预测到ISN，假冒B回复给A，建立连接2.IP欺骗的防范方法？1禁止基于IP地址的信任关系。2安装过滤路由器，对内使用IP信任关系，外部过滤使用内部IP的数据包。3在通信时要求加密传输和验证。3.ARP欺骗的基本原理？就是欺骗者利用ARP协议的安全漏洞，通过向目标终端大量发送伪造的ARP协议报文欺骗目标终端，使目标终端误以为是与期望主机通信，而实际上是与欺骗者进行通信4.DNS欺骗原理？正常：在浏览器输入；用户计算机将会向DNS服务器发出请求；DNS服务器进行处理分析得到；D