搜索
第一个课件1)木马:盗取个人隐私信息、重要数据。2)僵尸网络:发起拒绝服务攻击,发送垃圾邮件,传播恶意代码3)域名劫持:网页挂马,僵尸网络控制,网络仿冒4)信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。5)网络安全:计算机网络环境下的信息安全,包括存储和传输。6)信息安全需求:保密性;完整性;可用性。7)信息保障:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。8)信息的可控性:即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。9)信息的不可否认性:即信息的行为人要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。10)PDRR模型:保护、检测、响应、恢复。网络攻击11)主动攻击:包含攻击者访问他所需要信息的主动行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。12)被动攻击:主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。13)探测型攻击:主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。14)阻塞类攻击:企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。15)拒绝服务攻击:是典型的阻塞类攻击,它利用Internet协议组的缺陷,使得合法用户无法对目标系统进行合法访问的攻击。16)欺骗类攻击:包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。17)控制型攻击:是一类试图获得对目标机器控制权的攻击,包括口令攻击、特洛伊木马、缓冲区溢出攻击。18)漏洞(Hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。19)破坏类攻击:指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。20)计算机病毒:是特殊功能的程序/代码片段,能在信息系统里非授权地传播、运行、破坏。21)逻辑炸弹:特定逻辑条件满足时实施破坏的计算机程序。22)逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。23)网络攻击过程:探测(踩点,扫描,查点,社会工程和场所探测)、攻击(各种攻击手段)、隐藏(日志清理,安装后门,内核套件)24)第三个课件:侦察公开信息收集1.信息收集就是信息的接收或汇集。2.信息收集原则:可靠性原则;完整性原则;实时性原则;准确性原则;易用性原则。3.信息收集方法:调查法;观察法;实验法;文献检索;网络信息收集。4.低级侦查技术分类:社会工程学;假冒来电显示;混入内部组织;垃圾搜寻。5.社会工程学的含义:导致人们泄漏信息或诱导人们的行为方式并造成信息系统、网络或数据的非授权访问、非授权使用、或非授权暴露的一切成功或不成功的尝试6.社会工程学攻击方式:打电话请求密码;伪造Email;填写调查表;人肉搜索引擎。7.DNS:DNS是一个把主机名映射为IP地址或者把IP地址映射为主机名的分布式数据库系统。8.扫描技术:主机扫描;端口扫描;操作系统指纹扫描9.端口扫描技术:开放扫描;半开放扫描;秘密扫描。10.TCPconnext()扫描:扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的,则连接成功否则,连接失败;优点,简单,不需要特殊的权限;缺点,服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描。11.端口扫描技术原理:开放扫描,需要扫描方通过三次握手过程与目标主机建立完整的TCP连接,可靠性高,产生大量审计数据,容易被发现;半开放扫描,扫描方不需要打开一个完全的TCP连接;秘密扫描,不包含标准的TCP三次握手协议的任何部分,隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。12.TCPSYN扫描:向目标主机的特定端口发送一个SYN包。如果应答包为RST包,则说明该端口是关闭的,否则,会收到一个SYN|ACK包。于是,发送一个RST,停止建立连接。由于连接没有完全建立,所以称为“半开连接扫描”;优点,很少有系统会记录这样的行为;缺点,在UNIX平台上,需要root权限才可以建立这样的SYN数据包13.IPIDheaderaka“dump”扫描:扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态;优点,不直接扫描目标主机也不直接和它进行连接,隐蔽性较好;缺点,对第三方主机的要求较高。14.TCPFin扫描:扫描器发送一个FIN数据包,如果端口关闭的,则远程主机丢弃该包,并送回一个RST包,否则的话,远程主机丢弃该包,不回送;优点,不是TCP建立连接的过程,所以比较隐蔽;缺点,与SYN扫描类似,也需要构造专门的数据包,在Windows平台无效,总是发送RST包;15.TCPXMAS扫描:扫描器发送的TCP包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应;优点,比较隐蔽;缺点,主要用于UNIX/Linux/BSD的TCP/IP的协议栈,不适用于Windows系统。16.TCPftpproxy扫描:用PORT命令让ftpserver与目标主机建立连接,而且目标主机的端口可以指定,如果端口打开,则可以传输否则,返回425Can'tbuilddataconnection:Connectionrefused.,Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息;优点,这种技术可以用来穿透防火墙;缺点,慢,有些ftpserver禁止这种特性。17.UDPICMP端口不可达扫描:开放的UDP端口并不需要送回ACK包,而关闭的端口也不要求送回错误包,所以利用UDP包进行扫描非常困难,有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMPPortUnreach错误;缺点,速度慢,而且UDP包和ICMP包都不是可靠的,需要root权限,才能读取ICMPPortUnreach消息。18.端口扫描的对策:设置防火墙过滤规则,阻止对端口的扫描;使用入侵检测系统;禁止所有不必要的服务,把自己的暴露程度降到最低。19.如何辨识一个操作系统:一些端口服务的提示信息,例如,telnet、http、ftp等服务的提示信息;CP/IP栈指纹;DNS泄漏出OS系统。20.栈指纹技术:利用TCP/IP协议栈实现上的特点来辨识一个操作系统。21.主动栈指纹识别技术:寻找不同操作系统之间在处理网络数据包上的差异,并且把足够多的差异组合起来,以便精确地识别出一个系统的OS版本22.主动栈指纹识别方法:课件15723.被动栈指纹识别方法:不是向目标系统发送分组,而是被动监测网络通信,以确定所用的操作系统24.操作系统识别的对策:端口扫描监测工具监视操作系统检测活动;让操作系统识别失效的补丁;防火墙和路由器的规则配置;使用入侵检测系统。25.延时扫描和分布式扫描:课件17126.查点:查点要对目标系统进行连接和查询,查点活动有可能会被目标系统记录。查点通常是针对特定操作系统进行。27.网络侦察:whois,DNS查询,路由追踪,实用网络工具第四个课件:扫描28.扫描:收集被扫描系统或网络的信息。步骤:定位目标主机或者目标网络;获取主机信息:操作系统类型、开放的端口和服务、运行的软件等;漏洞扫描,发现其运行在特定端口上的服务或软件是否存在漏洞。29.战争拨号:利用组织的电话、拨号和专用分组交换机(PBX)系统侵入内部网络和计算资源。30.战争拨号攻击过程:选择一个目标;与该目标对应的电话号码;下载并安装战争拨号器应用程序;开始拨号并等待;得到访问应答号码。31.战争拨号防御:使用VPN,只允许拨出,在攻击者之前找到有隐患的modern32.主机发现:ICMP扫描,TCP/UDP扫描,ARP扫描33.ICMP扫描:向每个可能的地址发出ICMPEcho请求包。如果有回应包,则对应的地址上有一个活动主机。但是,现在许多网络禁止进入的ICMP包。34.ICMP高级扫描:课件2935.ICMP扫描的防范:使用可以检测并记录ICMP扫描的工具,使用入侵检测系统,在防火墙或路由器中设置允许进出自己网络的ICMP分组类型。36.TCP/UDP扫描:向某个端口发送TCP包或者UDP包,如果没有任何返回,则可能没有活动主机37.ARP扫描:用于局域网,通过向目标主机发送ARP请求(查询目标主机的物理地址),如果目标主机回应一个ARP报文,则说明主机存活。优点,效率高,隐蔽性强。38.端口扫描:基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用。扫描可以确认各种配置的正确性,避免遭受不必要的攻击。安全管理员可以用来确保自己系统的安全性。黑客用来探查系统的入侵点。39.TCP扫描:开放扫描,半开放扫描,秘密扫描。40.开放扫描:需要扫描方通过三次握手过程与目标主机建立完整的TCP连接。可靠性高,产生大量审计数据,容易被发现41.半开放扫描:扫描方不需要打开一个完全的TCP连接42.秘密扫描:不包含标准的TCP三次握手协议的任何部分。隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息43.TCP扫描:TCPconnect()扫描(开放),TCPSYN扫描(半开放),TCPFin扫描(秘密),TCPXMAS扫描(秘密),用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)44.TCPXMAS扫描:扫描器发送的TCP包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应。优点,比较隐蔽。缺点,主要用于UNIX/Linux/BSD的TCP/IP的协议栈,不适用于Windows系统45.TCPNULL扫描:如果目标端口收到没有任何标准位的TCP数据包,关闭的端口需要返回一个RST数据包,打开的端口忽略这个数据包。46.UDP扫描:开放的UDP端口并不需要送回ACK包,而关闭的端口也不要求送回错误包,所以利用UDP包进行扫描非常困难。有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMPPortUnreach错误。缺点,速度慢,而且UDP包和ICMP包都不是可靠的,需要root权限,才能读取ICMPPortUnreach消息47.端口扫描的对策:设置防火墙过滤规则,阻止对端口的扫描;使用入侵检测系统;禁止所有不必要的服务,把自己的暴露程度降到最低48.漏洞扫描:是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。49.操作系统识别的防范:端口扫描监测工具监视操作系统检测活动;让操作系统识别失效的补丁;防火墙和路由器的规则配置;使用入侵检测系统50.漏洞:漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。51.系统弱点分类:设计上的缺陷;操作系统的弱点;软件的错误、缺陷和漏洞;数据库的弱点;网络安全产品的弱点;用户的管理的疏忽52.漏洞扫描器原理:一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。二是通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。53.漏洞扫描器原理CGI漏洞扫描流程举例:连接目标WEBSERVER,发送一个特殊的请求,接收目标服务器返回数据,根据返回数据判断目标服务器