信息系统攻击与防御

※信息系统攻击与防御※◆处于网络中的计算机系统具有脆弱性（Why？）答：①操作系统安全的脆弱性②网络安全的脆弱性③数据库安全的脆弱性④防火墙的局限性◆安全性相对较高的OS（Which？）答：Linux、UNIX◆黑客攻击的目标（What？）答：①终端用户资源：通常指普通用户用的电脑及其外设②网络资源：指路由器、交换机、集线器、布线系统和机房等③服务器资源：Web服务器、邮件服务器、文件传输服务器等④信息存储资源:存储资源上的信息是黑客最感兴趣的。开始：踩点-扫描（目的？）目标系统（识别OS？）●主动攻击：主机的攻击：DOS攻击类型及其原理？答：拒绝服务（DOS）攻击，即让目标机器停止提供服务或资源访问，凡是能导致合法用户不能够正常访问网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的明确，就是要组织合法用户对正常网络资源的访问，从而达到攻击的目的。木马（关键技术？）①隐藏（任务栏、进程管理等）②自动运行（加入用户经常执行的程序）——高级木马（隐藏手段？）——先进木马（技术及代表？）①冰河②蓝色火焰③灰鸽子●主动攻击：应用系统的攻击：（1）OS（2）数据库系统的攻击口令破解及其防范、SQL注入及其防范？（3）Web应用攻击：网络钓鱼、跨站脚本攻击、Cookie欺骗、网页挂马、CC攻击及其防御？网络攻击：（1）ARP攻击及其防御？攻击：ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。防御：为了解决ARP攻击问题，可以在网络中的交换机上配置802.1x协议。IEEE802.1x是基于端口的访问控制协议，它对连接到交换机的用户进行认证和授权。在交换机上配置802.1x协议后，攻击者在连接交换机时需要进行身份认证（结合MAC、端口、帐户、VLAN和密码等），只有通过认证后才能向网络发送数据。攻击者未通过认证就不能向网络发送伪造的ARP报文。※信息系统攻击与防御※（2）嗅探攻击？定义：捕获在网络中传输的数据信息就称为嗅探（sniff）。嗅探攻击属于网络第二层攻击。原理：在网卡被设置为混杂接受模式时，所有流经网卡的数据帧都会被网卡接受，然后把这些数据传给嗅探程序，分析出攻击者想要的敏感信息，如账号、密码或一些商业信息，这就实现了窃听的目的。Sniff工作在网络环境的底层，它是及其安静的，是一种被动攻击。（3）IP欺骗攻击（那些？）、假消息攻击（？）Ip欺骗攻击定义：伪造他人的IP地址，进行欺骗，获得信任，从而进一步攻击目标主机。原理：TCP协议的漏洞——半连接攻击的核心：预测TCP序列号假消息攻击：用于攻击目标配置不正确的主机。主要包括DNS高速缓存污染和伪造电子邮件。DNS高速缓存污染：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得攻击者可以掺入不正确的信息，并把用户引向攻击者指定的主机。（4）DDOS攻击（模型？）分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。模型见书P197图6.41（5）穿透防火墙（哪些方法？）①利用SOCKS代理穿透防火墙②利用Socks2HTTP配合SocksCap32穿透防火墙③利用HTTPTunel穿透防火墙攻破天网防火墙：①黑毒克星或NoSkyNet②黑洞2001③利用“反弹端口”型木马④强攻突破天网的保护实现：代理服务器机制（目的？）①提高访问速度②Proxy可以起到防火墙的作用③通过代理服务器访问一些不能直接访问的网站④安全性得到提高●构建安全防御系统：◆原则（？）关键原则：一个好的安全措施有一个平衡点，它不应该影响合法用户的正常工作。举例：一般的安全认证措施都会通过密码验证，管理员为加强安全性会定期地要求用户更换密码；如果片面强调更换密码的频率，可能迫使有的用户将密码写在便笺上然后贴在电脑上，安全性反而降低了。◆提供的安全服务有哪些（？）①认证服务：身份认证、信息认证②访问控制服务③数据加密服务：对称式加密、非对称式加密④信息的完整性服务⑤信息的不可否认性服务局域网采取的安全技术（？）①网络分段②以交换式集线器代替共享式集线器③VLAN的划分广域网采取的安全技术（？）①加密技术②VPN技术③身份认证技术●安全实现：访问控制、加密、认证、防火墙、IDS(HIDS、NIDS)、IPS◆安全相关术语1、弱口令※信息系统攻击与防御※容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的仅包含简单数字和字母的口令2、SSL安全套接层协议，为客户端(浏览器)到服务器端之间搭建一条加密通道，建立SSL连接保证数据在传输过程中不被窃取或篡改，确保机密信息的保密性、完整性和可信性3、XSS跨站脚本攻击，恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的4、SQL注入通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令5、网页挂马把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面！再加代码使得木马在打开网页时运行6、网络钓鱼通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式7、数字摘要是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数，也就是Hash函数。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度（128位）的密文这一串密文又称为数字指纹，它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。8、数字信封数字信封是将对称密钥通过非对称加密（即：有公钥和私钥两个）的结果分发对称密钥的方法。9、防火墙位于两个（或多个）网络间、实施网络之间访问控制的组件集合。它是一种位于内部网络与外部网络之间的网络安全系统。10、HIDSHIDS全称是Host-basedIntrusionDetectionSystem，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。11、IPS入侵防御系统(IPS:IntrusionPreventionSystem)是电脑网络安全设施，是对防病毒软件（AntivirusPrograms）和防火墙(PacketFilter,ApplicationGateway)的补充。入侵预防系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。12、VPN虚拟专用网络功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，并且易于使用的特点