搜索
第一章网络安全概述1.信息安全等级3.网络安全目标:4.网络安全要素5.影响网络安全的主要因素6.PPDR模型7.PPDR模型基本思想第二章黑客与黑客攻击1.黑客的动机2.黑客的攻击流程大体可以归纳以下9个步骤3.网络攻击发展趋势第三章目标系统信息收集的技术1.攻击者在攻击前需要搜集汇总的与目标系统相关的信息主要包括以下几个当面:2.GoogleHacking的含义3.网络扫描技术4.TCP扫描5.网络拓扑信息6.网络拓扑的一般算法7.主动探测是指8.主动探测技术第四章漏洞扫描技术1.计算机系统漏洞指2.系统安全漏洞的特性3.漏洞的分类第五章缓冲区溢出攻击1.所谓缓冲区溢出攻击2.缓冲区溢出攻击的基本原理3.它在内存中从底地址到高地址通常分为5段4.利用堆和栈进行攻击的区别5.缓冲区溢出攻击的基本条件6.ShellCode概念7.系统管理上的防范8.软件开发过程中的防范策略第六章网络欺骗攻击1.IP欺骗技术概念2.IP欺骗的防范方法3.ARP攻击的检测与防范4.DNS欺骗的方法5.DNS防御检测方法6.网络钓鱼是7.钓鱼网站3大特征8.网络钓鱼的防御第七章Web应用安全攻击1.常见的Web应用安全问题2.SQL注入攻击概念3.SQL注入攻击的总体思路如下4.SQL的攻击防范5.跨站脚本攻击的概念6.网站开发人员如何防范跨站脚本攻击7.常见的会话状态信息的保存位置8.Web攻击的防范第八章拒绝服务攻击1.带宽攻击概念2.连通性攻击概念3.拒绝服务攻击的概念4.分布式拒绝攻击概念5.DDoS攻击的过程可以分为三个阶段6.傀儡网络概念7.拒绝服务攻击的发展趋势8.拒绝服务攻击的检测第九章恶意代码1.恶意代码概念2.恶意代码的传播趋势3.计算机病毒概念4.计算机病毒主要由潜伏机制,传染机制和表现机制构成。5.计算机病毒的特点6.计算机病毒的防范7.特洛伊木马概念8.木马的隐藏技术包括9.木马植入手段10.木马的特点11.木马的防范技术12.计算机蠕虫概念13.蠕虫的基本程序结构14.蠕虫的特点15.病毒、木马和蠕虫的区别第十五章蜜罐主机和蜜罐网1.蜜罐概念2.蜜罐的初衷及功能3.蜜罐最大的优势4.蜜罐按价值体现分类5.蜜罐的优缺点6.运行蜜罐时存在的风险第十六章可信计算1.可信计算的基本思想2.可信概念3.可信计算的主要思路、目的及意义4.TCB概念6.可信机制主的体现7.在一个可信平台中有三个可信根第十七章信息安全风险评估1.信息安全风险评估的基本思想2.网络信息安全评估目的3.信息安全风险评估概念4.狭义的风险评估包括5.风险评估的基本要素6.资产分类7.威胁分类8.脆弱点概念9.信息安全风险概念10.影响概念11.安全措施概念12.安全需求概念13.ISO/IEC13335-1对他们之间的关系主要表现在14.风险评估方法15.风险评估可分为四个阶段第一章网络安全概述1.信息安全等级:第一级计算机安全第二级网络安全第三级信息系统安全2.计算机安全是信息安全的基础,网络安全是信息安全的核心3.网络安全目标:(1)进不来(2)看不懂(3)改不了(4)拿不走(5)跑不掉4.网络安全要素:(1)机密性(2)完整性(3)可用性(4)可控性(5)不可抵赖性。(1)可靠性.可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性.可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标.可靠性用于保证在人为或者随机性破坏下系统的安全程度.(2)可用性.可用性是网络信息可被授权实体访问并按需求使用的特性.可用性是网络信息系统面向用户的安全性能.可用性应满足身份识别与确认,访问控制,业务流控制,路由选择控制,审计跟踪等要求.(3)保密性.保密性是网络信息不被泄露给非授权的用户,实体或过程,或供其利用的特性.即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性.保密性主要通过信息加密,身份认证,访问控制,安全通信协议等技术实现,它是在可靠性和可用性基础之上,保障网络信息安全的重要手段.(4)完整性.完整性是网络信息未经授权不能进行改变的特性.即网络信息在存储或传输过程中保持不被偶然或蓄意地删除,修改,伪造,乱序,重放,插入等破坏和丢失的特性.完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输.(5)不可抵赖性.不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性.即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺.利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息.(6)可控性.可控性是对网络信息的传播及内容具有控制能力的特性.安全模型的主要方面.5.影响网络安全的主要因素:(1)物理因素(2)技术因素(3)管理因素(4)用户意识6.PPDR模型:PPDR模型由四个主要部分组成:安全策略(Policy)、保护(Protection)、检测(Detection)和响应(Response)。PPDR模型是在整体的安全策略的控制和指导下,综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测系统)了解和评估系统的安全状态,通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。7.PPDR模型基本思想:(1)策略.PPDR安全模型的核心是安全策略,所有的防护,检测,响应都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段.策略体系的建立包括安全策略的制订,评估,执行等.(2)保护.保护就是采用一切手段保护信息系统的保密性,完整性,可用性,可控性和不可否认性.应该依据不同等级的系统安全要求来完善系统的安全功能,安全机制.保护通常采用身份认证,防火墙,客户端软件,加密等传统的静态的安全技术来实现.(3)检测.检测是PPDR模型中非常重要的环节,检测是进行动态响应和动态保护的依据,同时强制网络落实安全策略,检测设备不间断地检测,监控网络和系统,及时发现网络中新的威胁和存在的弱点,通过循环的反馈来及时做出有效的响应.网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁.(4)响应.响应在PPDR安全系统中占有最重要的位置,它是解决潜在安全问题最有效的方法.响应指的是在系统检测到安全漏洞后做出的处理方法.安全标准的主要内容.第二章黑客与黑客攻击1.黑客的动机:好奇心、虚荣心、技术挑战、报复、金钱、政治目的。2.黑客的攻击流程大体可以归纳以下9个步骤:踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。3.网络攻击发展趋势:(1)网络攻击技术手段改变迅速,自动化程度和攻击速度不断提高;(2)网络攻击工具化;(3)安全漏洞的发现和利用速度越来越快;(4)有组织的攻击越来越多;(5)攻击的目的和目标在改变;(6)攻击者的数量增加,破坏效果加大;(7)防火墙渗透率越来越高;(8)越来越不对称的威胁;(9)对基础设施的威胁越来越大;(10)基于公共无线网络的攻击。第三章目标系统信息收集的技术1.攻击者在攻击前需要搜集汇总的与目标系统相关的信息主要包括以下几个当面:(1)系统的一般信息,如系统的软硬件平台类型、系统的用户、系统的服务和应用等;(2)系统及服务的管理、配置情况,如系统是否禁止root远程登录,SMTP服务器是否支持decode别名等;(3)系统口令的安全性,如系统是否存在弱口令,缺省用户的口令是否没有改动等;(4)系统提供的服务的安全性以及系统整体的安全性能,这一点可以从该系统是否提供安全性较差的服务、系统服务的版本是否是弱安全版本以及是否存在其他的一些不安全因素来做出判断。2.GoogleHacking的含义是利用Google搜索引擎搜索信息来进行入侵的技术和行为。3.网络扫描技术:按照扫描对象来分,扫描技术主要分为两类:基于主机的安全扫描技术和基于网络的安全扫描技术。按照扫描过程来分,扫描技术又可分为4类:Ping扫描技术,端口扫描技术,操作系统探测扫描技术和已知漏洞的扫描技术。4.TCP扫描:利用三次握手过程与目标主机建立完整或不完整的TCP连接。TCPconnect()扫描:该请求使用标准的connect()函数向目标主机提出连接请求,如果目标主机在指定的端口上出于监听状态并且准备接收连接请求,则connect()操作成功,表明此时目标主机的指定端口出于开放状态;如果connect()操作失败,则表明目标主机的该端口未开放。使用这种方法可以检测到目标主机上的各个端口的开放状况。5.网络拓扑信息:主要包括交换机、路由器等网络实体键的连接信息,以及为了保证最终得到的网络拓扑的准确性和完备性而必需的实体基础信息。6.网络拓扑的一般算法是从临时地址集出发逐一探测每个IP的存活状态,将存活的设备加入结果集后探测路由,并通过猜测等手段获知更多的IP加入临时地址集中,然后重复上述步骤。7.主动探测是指主动的、有目的性的向目标发送探测数据报,通过提取和分析响应数据报的特性信息。8.主动探测技术:(1)根据端口扫描结果分析;(2)利用Banner信息分析;(3)TCP/IP栈查询法第四章漏洞扫描技术1.计算机系统漏洞指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。2.系统安全漏洞的特性:(1)漏洞的长久性;(2)漏洞的隐蔽性;(3)漏洞的必然被发现性。3.漏洞的分类(1)按漏洞的成因分类:1)软件编写存在的漏洞;2)系统配置不当;3)口令失窃;4)嗅探未加密数据;5)设计存在缺陷。(2)按漏洞被利用的方式分类:1)物理接触;2)主机模式;3)客户及模式;4)中间人方式‘第五章缓冲区溢出攻击1.所谓缓冲区溢出攻击,通常就是认为改写堆栈中存储的EIP内容,是程序跳转到指定的ShellCode处去执行。2.缓冲区溢出攻击的基本原理是向缓冲区写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序和数据,从而使计算机转去执行预设的程序,以达到攻击的目的。3.它在内存中从底地址到高地址通常分为5段,分别是代码段、初始化数据段、非初始化数据段、堆段和栈段。4.利用堆和栈进行攻击的区别:(1)管理方式不同;(2)产生碎片不同;(3)生长方向不同;(4)分配方式不同。5.缓冲区溢出攻击的基本条件:(1)精确定位溢出程序的返回点;(2)编写ShellCode;(3)把返回点地址覆盖成ShellCode的地址。6.ShellCode概念:是一组能完成预设功能的机器代码,通常以十六进制数组的形式存在,本质上对应着可直接执行的汇编程序。7.系统管理上的防范:(1)关闭不需要的特权程序;(2)及时下载操作系统和各种应用软件及程序开发工具的最新补丁;(3)使用安全产品。8.软件开发过程中的防范策略:(1)编写正确的代码;(2)数组边界检查;(3)程序指针完整性检查;(4)非执行的缓冲区;(5)改进C语言函数。第六章网络欺骗攻击1.IP欺骗技术概念:IP欺骗技术就是通过IP地址的伪造使得某台主机能够伪装成另外一台主机骗取权限从而进行攻击的技术,而被伪装的主机往往具有某种特权或者被另外的主机所信任。2.IP欺骗的防范方法:(1)禁止基于IP地址的信任关系;(2)安装过滤路由器;(3)使用加密方法。3.ARP攻击的检测与防范:(1)检测方法:1)在局域网内部使用抓包软件进行抓包分析;2)监视ARP缓存表;(2)防范方法:1)静态绑定;2)使用ARP服务器;3)使用防ARP攻击软件。4.DNS欺骗的方法:(1)感染缓存;(2)劫持DNS信息;(3)重定向DNS。5.DNS防御检测方法:(1)监听检测。了解DNS欺骗原理后可知,如果收到DNS欺骗攻击,那么客户端至少收到两个DNS应答包,一个是合法应答包一个是伪造应答包。根据这个特点可以使用监听检测的方法。如果在一定时间间隔内,一个DNS请求得到了两个或两个以上的应答包,则可能出现了DN