网络安全考试

12010－2011网络安全考试范围虚拟机技术(virtualmachine)1什么是虚拟机技术、优点、主要软件产品在一台电脑上模拟多台PC，实现“同时”运行几个不同操作系统，不同操作系统间可以通过网络互访。虚拟机对计算机的CPU、内存要求很高Host:指物理存在的计算机HostOS:指在Host上运行的操作系统,虚拟机软件(VMWare)所在操作系统。GuestOS:在虚拟机环境中安装的操作系统，在一台计算机上可以安装多个GuestOS。可以是：win2K,XP,2003,linux/Unix等。VMWare创建了一个完全隔离、安全的虚拟机来封装操作系统及其应用程序。VMware虚拟化层(VirtualizationLayer)将物理硬件资源映射为虚拟机的资源,所以每个虚拟机都有自己独立的CPU、内存、磁盘和I/O设备，完全等同于一台标准的计算机。VMware中的GuestOS直接在X86保护模式下运行，使所有的虚拟机操作系统就像运行在单独的计算机上一样。广泛的设备支持、良好的性能和强大的功能.强大的虚拟网络连接选项，包括NAT设备、DHCP服务器和多个网络交换机，让您能够将虚拟机连接起来，并连接主机和公共网络。共享文件夹，拖放式操作，在虚拟机操作系统(GuestOS)和主机操作系统(HostOS)之间复制粘贴。虚拟机彼此隔离，确保一个虚拟机的崩溃不会影响其他虚拟机和主机。VMWARE：操作简单、执行效率高、应用最广VirtualPC：微软公司推出的虚拟机软件Xen：linux下的虚拟机软件其他虚拟机软件：Parallels，openVZ，Virtuozzo，z/VM，bochs，pearpc，qemu2vmware的网络模式：不需要知道具体内容，只需要知道每种网络模式的主要功能。VMWare提供了三种联网方式：bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。桥接模式：最简单的联网方式，直接将虚拟网卡桥接(bridging)到一个物理网卡上，与linux下一个网卡，绑定两个不同地址类似。实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。桥接模式下，虚拟机内部的网卡直接连到了物理网卡所在的网段上，虚拟机(GuestOS)和HostOS处于同一网段上。虚拟机(GuestOS)相当于网络中的一台“真实”主机，所以网络中的其他主机可以通过网络直接访问桥接的虚拟机。虚拟机也可以直接访问网络中其他主机和主操作系统(HostOS)。hostonly模式：用的是vmnet1，它包括两个组件，位于HostOS上的主机虚拟网卡(HostVirtualAdapter)和虚拟交换机(VirtualSwitch)。HostOS上的物理网卡和虚拟网卡HostVirtualAdapter之间不能通信。而虚拟机上的网卡和HostVirtualAdapter都连接到虚拟交换机上，它们组成了一个局域网，这样虚拟机就可以通过HostVirtualAdapter访问到HostOS.2NAT模式：实现HostOS与GuestOS的双向访问。但网络内其他机器不能直接访问GuestOS，GuestOS可通过HostOS用NAT协议访问网络内其他机器。NAT方式下hostOS内部出现了一个虚拟的网卡vmnet8(默认情况下)，vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet8。NAT方式下，vmware自带的dhcp服务会默认地加载到vmnet8网卡上，虚拟机就可以使用dhcp服务获得一个随机的内部地址。vmware自带了nat服务，提供了从vmnet8(内网)到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机使用的。网络嗅探技术嗅探器是能够捕获网络报文的设备（软件或硬件），嗅探器这个术语源于通用网络公司(NetworkGeneral)开发的捕获网络数据包软件Sniffer。以后的网络协议分析软件，嗅探软件，抓包软件都被称为Sniffer。1sniffer的网卡工作模式sniffer工作在共享式以太网，也就是说使用Hub来组成局域网，利用以太网数据传输采用广播方式的特点进行数据包的监听。本机的网卡需要设置成混杂模式。2BPF的组成结构（组件）以及每个组件的作用。BPF：数据包捕获技术BPF是一个核心态的组件，也是一个过滤器NetworkTap接收所有的数据包KernelBuffer，内核保存过滤器送过来的数据包UserBuffer，用户态上的数据包缓冲区Filter：用户定义的数据包过滤条件3基于BPF和Libpcap的sniffer流程，不需要记住具体的函数名称，但需要知道每个步骤实现的功能。1、正常情况下，链路层驱动程序将数据包发送给系统协议栈2、如果BPF正在此接口监听，驱动程序首先调用BPF，BPF将数据包发送给过滤器，过滤器对数据包进行过滤，数据被提交给与过滤器关联的上层应用程序3、链路层驱动将重新取得控制权，数据包被提交给上层的协议栈处理。4知道BPF、libpcap、winpcap、tcpdump（课件中没有）、ethereal技术或软件的作用。BPF：数据包捕获技术Libpcap：Libpcap库封装了BPF接口的数据包过滤过程。提供了系统独立的用户级网络数据包捕获接口并充分考虑到应用程序的可移植性。Libpcap可以在绝大多数类unix平台下工作。Winpcap：在windows平台下，一个与libpcap很类似的函数包winpcap提供捕获功能。Ethereal：最优秀的跨平台开源嗅探工具，有图形化界面和命令行两种版本。图形化的报文过滤器：通过displayfilter对话框来创建报文过滤器，用户可以通过指定不同协议的不同字段值来生成报文过滤规则，并且可以使用布尔表达式AND和OR来组合这些过滤规则。TCP会话流重组：ethereal通过followTCPStream来重组同一TCP会话的所有数据包。3ScanningTechniques网络扫描的目的是获取目标网络的拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。被扫描主机的响应（TCP和UDP扫描）及其含义。TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCPack包到80端口，如果获得了RST返回，机器是活跃的。TCPconnect扫描：最基本的扫描方式，实际上是利用linux提供的系统调用函数connect与目标主机建立TCP连接，完成三次握手。UDP扫描：这种扫描攻击用来确定目标主机上哪个UDP端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。UDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,tftp,NFS,DNS。ICMP数据包的发送速度有限制。而UDP扫描速度更快。TCP扫描的响应：目标主机响应SYN/ACK，则表示这个端口开放。目标主机发送RST，则表示这个端口没有开放。目标主机没有响应，则可能是有防火墙或主机未运行。UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端口关闭。目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。DoSTechniques拒绝服务攻击(DoS)：就是利用系统的漏洞使计算机系统无法提供正常的服务。DoS攻击除了利用漏洞进行攻击之外，也可以利用大量合法的服务请求来占用过多的服务资源，使服务过载，从而无法响应其他用户的合法请求。这些服务资源包括网络带宽、文件空间、CPU处理能力、内存空间、连接的进程数。目的：使目标主机无法提供正常的服务或是使目标主机崩溃。而其他类型攻击的目的都是为了获取其控制权。掌握synflooding攻击和smurf攻击过程及所利用的漏洞。SYNFLOOD攻击原理利用协议设计缺陷：操作系统的TCP/IP协议栈的请求建立TCP连接的队列长度是有限的。当队列排满时，后面的连接请求就被拒绝。在TCP连接的三次握手中，服务器在发出SYN+ACK应答报文后如果没有收到客户端的ACK报文的（三次握手无法完成）。这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间大约为30秒-2分钟）SYNFLOOD攻击过程Step1：攻击程序向被攻击服务器发送大量带有虚假源地址（未被使用的）的TCPSYN包，请求建立TCP连接。4Step2：当服务器收到这些数据包时，向虚假源地址发送一个SYN/ACK的响应数据包，由于源地址是不存在的地址，因此，目标主机发送的SYN/ACK包不会得到确认，目标主机一直等待这个连接直至超时，当这种带有虚假地址的连接请求数目超过了系统规定的最大连接请求数目时，目标主机就无法为其他正常用户提供服务。Synflood防御技术缩短SYNTimeout时间SYN-cookie技术地址状态监控的解决方法Smurf攻击原理：Smurf攻击属于放大攻击。放大攻击的基本原理就是发送一个数据包产生多个响应。smurf攻击过程：黑客向一个局域网（LAN）的广播地址发送一个ping数据包，如果路由器配置允许广播数据包，则路由器将这个广播消息发送给LAN的每一台主机，然后每台主机都发送一个ping响应数据包。Smurf攻击需要指定被攻击主机为源地址。Smurf攻击的条件smurf攻击中包括三方：攻击者、中间网络（也属于受害对象）、目标主机。smurf攻击中攻击者发送一个源地址为目标主机的ICMP回显请求给中间网络的广播地址。smurf攻击的关键是找到允许广播数据包的中间网络。TrojanHorse&Backdoor木马的主要功能和实现木马的关键技术主要功能收集密码或密码文件收集系统关键信息远程文件操作远程进程控制修改注册表其它的特殊功能关键技术传播方式木马的传播：手工，Email，利用漏洞，文件捆绑，文件伪装，web网页启动方式自启动方式：修改配置、服务、驱动，替换或感染系统文件修改配置：注册表，修改默认Shell如explorer.exe，添加用户初始化程序、动态链接库，启动组。Msconfig查询。文件关联启动木马。系统服务和驱动：安装自己的服务、驱动（CreateService函数），修改原有（ImagePath、ServiceDll），替换、感染原有服务、驱动。替换感染系统文件：关闭sfc，替换系统文件，在导入表中添加后门Dll项。隐藏方式：木马程序的文件,进程,启动隐藏，包括程序启动隐藏，服务端进程隐藏，网络连接隐藏。常见隐藏：文件属性，相似文件名，隐藏目录，重绑定端口，dll加载，无进程，添加版权签名。内核态的rootkit。内核态，ring0：特权级CPU指令，OS核心层，完全控制权。运行方式：作为进程，作为动态链接库（替换，动态嵌入hook，挂接api，远程线程等）。获取活动进程信息：PSAPI（ProcessStatus），系统钩子，金山词霸；PDH；ToolHelpAPI。5通讯方式：与远程的木马客户控制端的通信,发送信息执行命令等.常规方式绑定端口，后门作为服务端运行，等待连接。反向连接，后门作为客户端运行，主动连接外网的client。重绑定合法端口，绕过防火墙。传输的数据加密传输的数据通过HTTP,SOAP等协议封装利用FTP协议打开通路端口复用截获所有网络封包，检查特征字符复制句柄（套接字）或对象（Object）关闭原始句柄或对象，后门使用新的句柄或对象进行通讯很容易就绕过防火墙，但是要注意传输的协议问题，如80对应HTTPhttp-tunnel技术：在HTTP连接上建立一个虚拟的双向数据传输通道。自己的协议实现实现自己的协议（可靠传输）或者TCP协议利用RawSocket，IpFilterDriver，WinPcap等