Unit1-概述
1.网络攻击和防御分别包括哪些内容
1.攻击技术
网络监听,网络扫描,网络入侵,网络后门,网络隐身
2.防御技术
安全操作系统和操作系统的安全配置
加密技术,防火墙技术,入侵检测,网络安全协议。
2.网络安全的层次体系
1.物理安全
防盗,防火,防静电,防雷击,防电磁泄露
2.逻辑安全
需口令,文件许可等来实现。可限制登录的次数或对试探操作加上时间限制,可以用软件保护存储在计算机文件信息等
3.操作系统安全
操作系统是最基本最重要的软件,不允许一个用户修改另一个账户产生的数据。
4.联网安全
访问控制服务:用来保护计算机和联网资源不被非授权使用。
通信安全服务:用来认证数据机要性,完整性,以及各通信的可信赖性。
3.我国网络安全标准
5个等级:用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证保护级。
Unit2-协议基础
1.TCP/IP协议族结构
1.网络接口层
物理连接,传输的所有功能
安全威胁:搭线窃听和监听
保护:数据加密,数据标签加密,数据标签,流量填充等方式
2.网络层
主机之前通信必须的协议组成,通信的协议必须可路由的。
IP/ICMP/IGMP/RAP
安全威胁:IP欺骗攻击
保护:使用防火墙过滤和打系统补丁
3.传输层
网络中数据进行分段,执行数学检查来保证所收数据的完整性,为多个应用同时传输数据多路复用数据流
TCP/UDP
安全威胁:dos攻击,TCP三次握手的缺陷型
保护:防火墙过滤
4.应用层
提供远程访问和资源共享,Telnet服务,FTP,SMTP,HTTP。
安全威胁:SMTP:邮件炸弹,病毒,匿名邮件和木马,保护:认证,附件病毒扫描和用户安全意识教育
FTP:明文传输,黑客恶意传输非法使用 ,保护:不许匿名登录,单独的服务器分区,禁止执行程序等
HTTP:恶意程序(ActiveX控件,ASP程序和CGI程序)
2.常用的网络的服务及端口
20/21:FTP端口,文件传输协议,20用于数据传输,21用于命令传输
23:Telnet远程登录服务
25:SMTP简单邮件传输协议
53:DNS域名服务器,域名解析
80/8080:HTTP超文本传输协议,实现网页
110:POP3,接收邮件
161:SNMP简单网络管理协议
443:HTTPS
1080:Socks
3.ping,ipconfg,netstat,net,at功能用途
ping:通过发生ICMP包来验证与另一台TCP/IP计算机的IP级连接,检测网络的连接性和可到达性。
ipconfig:显示所有TCP/IP网络配置信息,刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。
netstat:显示活动的连接,计算机监听的端口,以太网统计信息,IP路由表,IPv4统计信息。
net:查看计算机上的用户列表,添加删除用户,与对方计算机建立连接,启动或者停止某网络服务。
at:建立一个计划任务,并设置在某一时刻执行。
tracert:路由跟踪实用程序,用来确定IP数据报访问目标采取的路径。
Unit4-网络扫描与网络监听
1.黑客攻击五部曲
1.隐藏IP
肉鸡/多级跳板(sock代理)
2.踩点扫描
对攻击目标多方面了解。目的:利用各种工具在攻击目标的IP地址和地址段内的主机上寻找漏洞
扫描策略:被动式策略和主动式策略。
3.获得系统或管理员权限
连接到远程计算机,对其进行控制,达到自己的目的。
获得系统及管理员权限的方法有:系统漏洞,管理漏洞,软件漏洞,监听获得敏感信息,弱口令获得密码,穷举法,攻破与目标机有信任关系另一台机器获得控制权,欺骗。
4.种植后门
保持长期对胜利果实的访问权。
5.在网络中隐身
入侵完毕后,清除登录日志及其他相关日志。
2.网络踩点原因
探察对方的各方面情况,确定攻击的时机,摸清对方最薄弱的环节和守卫最松散的时刻,为下一步的入侵提供良好环境。
3.扫描种类
1.扫描策略
1.主动式策略
基于网络的,通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现漏洞。可能会对系统造成破坏。
X-Scan
2.被动式扫描
基于主机的,对系统中不合适的设置,脆弱的口令及其他同安全规则抵触的对象进行检查。不会对系统造成破坏。
GetNTUser,PortScan,Shed
2.扫描方式
1.慢速扫描
对非连续端口进行的,源地址不一致,时间间隔长而没有规律的扫描
2.乱序扫描
对连续的端口进行的,源地址一致,时间间隔短的扫描
4.网络监听技术的原理
监听的目的:截获通信的内容
监听的手段:对协议进行分析
原理:广播中报头包含目的机的正确地址,当主机工作在监听模式下,无论接收到的数据包中目的地址是什么,主机都会记录下来,然后对数据包进行分析,得到局域网中通信的数据。可以监听同一个网段所有的数据包,不能监听不同网段的计算机传输的信息。
防监听的手段:建立交换网络,使用加密技术和使用一次性口令技术。
Unit5-网络入侵
1.社会工程学攻击的原理
使用计谋和假情报去获得密码和其他敏感信息。
主要包括两种方式:打电话请求密码和伪造E-mail
2.暴力攻击的原理
常见的暴力攻击:字典攻击 :通过使用某种具体的密码来缩小尝试的范围。
暴力破解操作系统密码:扫描得到用户,然后利用字典中每一个密码来登录系统。
暴力破解邮箱密码:字典文件配置方案。
防御:不使用弱口令,利用数字,字母和特殊字符的组合。
3.Unicode漏洞原理
微软IIS4.0与IIS5.0都存在利用扩展Unicode字符取代”/“和”\”并利用”../“目录遍历。
4.缓冲区溢出攻击的原理
当目标操作系统收到了超过了它的能接收的最大的信息量时,将发生缓冲区溢出,这些多余的数据是程序的缓冲区溢出,然后覆盖实际的程序数据。
缓冲区溢出使目标系统的程序被修改,经过这种修改的结果将在系统上产生一个后门。
5.拒绝服务的原理与种类
1.原理
造成目标计算机拒绝提供服务的攻击,使目标计算机或网络无法提供正常服务。
带宽攻击:以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,导致合法用户的请求无法通过。
连通性攻击:大量的连接请求冲击主机,导致计算机无法再处理合法用户的请求。
2.种类
计算机网络带宽攻击和连通性攻击
SYN flooding和Smurf攻击利用TCP/IP协议中设计的弱点。
1.SYN风暴
同时发送大量TCP请求,系统会过多的半连接而耗尽内存资源,进而拒绝为合法用户提供服务。
2.Smurf攻击
结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使用大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务,属于间接,借力攻击的方式。
3.利用处理程序错误进行攻击
1.Ping of death
攻击者故意创建一个长度大于65535的ping包,并将该包发送到目标受害主机,由于目标主机的服务程序无法处理过大的包,而引起系统崩溃,挂起或重启。
2.Teardrop攻击
利用IP包的分段/重组技术在系统实现中一个错误
3.Land攻击
利用目标受害系统的自身资源实现攻击意图,由于目标受害系统具有漏洞和通信协议的弱点,提供了攻击机会。
6.DDOS的特点,手段与防范
1.特点
先利用一些典型的黑客入侵手段控制一些高带宽的服务器,然后在服务器上安装进程,多台机器的力量对单一攻击目标实施攻击。 隐蔽性和分布性难被识别和防御
2.手段
每个主控端是一台已被入侵并运行了特定程序的系统主机,每个主控端主机能控制多个代理端/分布端。多个代理端/分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝服务攻击数据包。
攻击者——>主控端——>分布端——>目标主机
3.防范
确保服务器的系统文件是最新的版本,并及时更新系统补丁
关闭不必要的服务
限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量
正确设置防火墙等
Unit6-网络后门与网络隐身
1.木马的由来,与后门的区别
1.由来
来自于”特洛伊木马“,Trojan horse
2.后门
绕过安全控制而获取对程序或系统访问权,保持对目标主机长久控制的关键策略,可以通过建立服务端和克隆挂你员账号来实现。
3.木马
驻留在对方服务器系统中的一种程序,由客户端和服务端组成。隐藏着可以控制用户整个计算机系统,打开后门等危害系统安全的功能。
4.区别
都是提供网络后门的功能,但是木马功能稍微强大一些,一般还有远程控制的功能,后门程序功能比较单一,只是提供客户端能登录对方主机。
2.网络代理跳板的功能
隐藏自己真实IP,通过某一台主机设置为代理,通过主机在入侵其他主机,会留下代理IP地址而有效地保护自己的安全。
Unit7-恶意代码
1.研究恶意代码的必要性
在internet安全事件中,恶意代码造成的经济损失占很大比例,且已成为信息战,网络战的重要手段。
2.恶意代码长期存在的原因
系统漏洞层出不穷,利益驱使
3.恶意代码定义与分类
1.定义
经过存储介质和网络进行传播,从一台计算机系统到另一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。
非授权性与破坏性
2.分类
1.计算机病毒
编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响使用,并能自我复制的一组计算机指令或程序代码。
潜伏,传染,破坏
2.计算机蠕虫
通过计算机网络自我复制,消耗系统资源和网络资源的程序
扫描,攻击,扩散
3.特洛伊木马
一种与远程计算机建立连接,使远程计算机能够通过网络控制本地计算机的程序
欺骗,隐藏,信息窃取
4.逻辑炸弹
一段嵌入计算机系统程序的,通过特殊的数据或时间作为条件触发,试图完成一定破坏功能的程序
潜伏,破坏
5.病菌
不依赖于系统软件,能够自我复制和传播,以消耗系统资源为目的的程序
传染,拒绝服务
6.用户级Rootkit
通过替代或者修改被系统管理员或普通用户执行的程序进入系统,从而实现隐藏和创建后门的程序
隐藏,潜伏
7.核心级Rootkit
嵌入操作系统内核进行隐藏和创建后门的程序
隐藏,潜伏
Unit8-操作系统安全基础
1.如何关掉不需要的端口服务
用端口扫描器扫描系统所开放的端口,在%System%\system32\drivers\etc\services文件中有知名端口和服务的对照表。
本机开放的端口和服务,在IP地址设置窗口中单击“高级”按钮,在出现的“高级TCP/IP设置“对话框中选择”选项“选项卡”,选择“TCP/IP”筛选,单击属性。
2.安全策略与安全模型
1.安全策略
有关管理,保护和发布敏感信息的法律,规定和实施细则。
2.安全模型
对安全策略所表达的安全的需求的简单,抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。
3.可信计算基
操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件,硬件和负责系统安全管理的人员一起组成了系统的可信计算基。
Unit9-密码学与信息加密
1.密码学包含哪些概念和功能
1.术语
明文:被隐蔽的消息称作明文,通常用m表示。 Message,Plaintext
密文:将明文隐蔽后的结果称作密文,通常用c表示。 Ciphertext
加密( Encryption ):将明文变换成密文的过程称作加密。
解密( Decryption ):合法用户由密文恢复出明文的过程称作脱密。
密钥( key ) :控制或参与密码变换的可变参数。密钥又分为加密密钥和脱密密钥。
密码体制:一个密码体制由五部分组成:明文空间(M);密文空间(C);密钥空间(K);加密变换
E; 解密变换 D 。
2.功能
1.机密性
提供只允许特定用户访问和阅读信息,任何非授权用户对信息都不可理解的服务,通过数据加密实现
2.鉴别
消息的接受者应该能够确认消息的来源:入侵者不可能伪装为他人。
提供与数据和身份识别有关的服务。通过数据加密、数据散列或数字签名来实现
3.数据完整性
提供确保数据在存储和传输过程中不被未授权修改(窜改、删除、插入和重放等)的服务。通过数据加密、数据散列或数字签名来实现。
4.抗抵赖性
提供阻止用户否认先前的言论或行为的服务。通过对称加密或非对称加密,以及数字签名等,并借助可信的注册机构或证书机构的辅助,提供这种服务。
2.对称加密算法的基本原理
1.原理
加密密钥能够从解密密钥中推算出来。在大多数对称算法中,加解密的密钥是相同的,对称算法要求发送者和接受者在安全通信之前,协商一个密钥。
对称加密算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息加解密。
2.分类
序列密码:RC4流密码
分组密码:DES:Feistel结构。分组长度64bit,Feistel16轮,密钥56bit,密文64bit
AES:分组长度128bit,密文128bit ,公开的;单钥体制分组密码;密钥长度可变,可按需要增大。没有用Feistel结构。密钥扩展算法生成的AES的轮密钥统一都是128位,与AES的明文密文分组大小一样。N轮,N+1个轮密钥,16个字节。
3.公开密钥算法的基本原理
1.原理
加密与解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。加密密钥公开。
2.分类
RSA:基于大数不可能质因数分解假设的公钥体系
4.PGP
PGP(Pretty Good Privacy)加密技术是一个基于RSA公钥加密体系的邮件加密软件,提出了公共钥匙或不对称文件加密的技术
5.PKI
PKI(Public Key Infrastructure)公钥基础设施,采用证书管理公钥,通过第三方的可信任机构认证中心(Certificate Authority,CA)把用户的公钥和用户的其他标识信息捆绑在一起,在Internet上验证用户身份。
Unit10-防火墙与入侵检测
1.防火墙分类与原理
1.分组过滤防火墙
作用在协议族的网络层和传输层,根据分组包头源地址,目的地址和端口号,协议类型等标志确认是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地地的出口端。
2.应用代理防火墙
应用网关,作用在应用层,完全”阻隔“网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
3.状态检测防火墙
直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
2.防火墙模型与优缺点
1.筛选路由器模型
第一道防线,实现包过滤,创建相应的过滤策略时对工作人员的TCP/IP的知识有要求。如被攻破,内部网络将变得十分危险,不能够隐藏内部信息,不具备监视和日志记录功能
2.单宿主堡垒主机模型
由包过滤路由器和堡垒主机组成,安全性比较高,但增加了成本开销和降低了系统性能,并且能对内部计算机用户也产生影响。
3.双宿主堡垒主机模型
安全系数高,能从外部网上直接访问内部系统,但如允许用户注册到堡垒主机,则网络主机都会受到攻击威胁。
4.屏蔽子网模型
两个包过滤路由器和一个堡垒主机,存在DMZ网络后,支持网络层和应用层安全功能,但也会增加系统开销。
3.入侵检测系统及面临的挑战
对系统资源的非授权使用能及时判断,记录和报警的一种硬软件系统。
面临挑战:
缺乏共享数据的机制
缺乏集中协调的机制
缺乏揣摩数据在一段时间内变化的能力
缺乏有效的跟踪分析
Unit11-IP安全与Web安全
1.IP安全的必要性
IP协议维系着整个TCP/IP协议的体系结构,IP包本身并不具备任何安全特性,导致在网络上传输的数据容易遭受到各式各样的攻击,比如伪造IP包地址,修改其内容,重播以前的包,以及在传输途中拦截并查看包的内容。
IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。定义了一种标准的,健壮的以及包容广泛的机制,可用它为IP及上层协议(比如TCP或者UDP)提供安全保证。
IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力,机密性等。IPsec通过支持一系列加密算法,如DES,3DES,IDEA,AES确保通信双方的机密性。
协议族包括2个安全协议:AH协议和ESP协议
AH协议:验证头,可以证明数据的起源地,保障数据的完整性以及防止相同数据包在internet重播
ESP协议:封装安全载荷,具有所有AH的功能,还可以利用加密技术保障数据机密性。
2.IPSec的实现方式
1.传输模式
用于两台主机之间,保护传输层协议头,实现端到端的安全性。
2.隧道模式
用于主机与路由器或两部路由器之间,保护整个IP数据包。
3.Web安全性中网络层,传输层,应用层安全性的实现机制
1.网络层
IPSec提供端到端的安全性机制,可在网络层上对数据包进行安全处理。
2.传输层
安全套接层SSL和TLS(Transport Layer Security,传输层安全)通常工作在TCP层之上,可以为更高层协议提供安全服务。
3.应用层
将安全服务直接嵌入到应用程序中,从而在应用层实现通信安全。SET(Secure Electronic Transaction 安全电子交易)是一种安全交易协议,S/MIME,PGP,是用于安全电子邮件的一种标准。
Unit12-网络安全方案设计
1.设计网络安全方案需要注意哪些地方
1.网络必须有一个整体,动态的安全概念。
2.针对用户所遇到的问题,运用产品和技术解决问题。
3.不仅仅要考虑到技术还要考虑到策略与管理,技术是关键,策略是核心,管理是保证。
4.一定要了解到用户实际网络系统环境,对当前可能遇到的安全风险和威胁做一个量化和评估。
5.动态安全,既能考虑到现在的情况,也能适用以后网络系统的升级,留一个比较好的升级接口。
6.没有决定安全,只有相对安全。只能做到避免风险,消除风险源,不能消灭风险。
7.系统是基础,人是核心,管理是保证,减少人为错误,管理是关键,系统的安全配置,动态跟踪,人的有效管理,都依靠管理来约束。