2022年《網(wǎng)絡(luò)安全攻防技術(shù)》講義知識(shí)點(diǎn)歸納匯總2

1、第 1 講:網(wǎng)絡(luò)安全概述 1、 運(yùn)算機(jī)網(wǎng)絡(luò) :我們講的運(yùn)算機(jī)網(wǎng)絡(luò) , 其實(shí)就是利用通訊設(shè)備和線路將地理位置不同的、 功能獨(dú)立的多個(gè)運(yùn)算機(jī)系統(tǒng)互連起來(lái) , 以功能完善的網(wǎng)絡(luò)軟件 即網(wǎng)絡(luò)通信協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)；它的功能最主要的表現(xiàn)在兩個(gè)方面 :一是實(shí)現(xiàn)資源共享 包括硬件資源和軟件資源的共享 ; 二是在用戶之間 交換信息； 運(yùn)算機(jī)網(wǎng)絡(luò)的作用是 :不僅使分散在網(wǎng)絡(luò)各處的運(yùn)算機(jī)能共享網(wǎng)上的全部資源 , 并且為用戶供應(yīng)強(qiáng)有力的通信手段和盡可能完善的服務(wù) , 從而極大的便利用戶；從網(wǎng)管的角度來(lái)講 , 說(shuō)白了就是運(yùn)用技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)間的信息傳遞 , 同時(shí)為用戶

2、供應(yīng)服務(wù)；運(yùn)算機(jī)網(wǎng)絡(luò)通常由三個(gè)部分組成 , 它們是資源子網(wǎng)、通信子網(wǎng)和通信協(xié)議；所謂通信子網(wǎng)就 據(jù)通信的部分 ; 資源子網(wǎng)是運(yùn)算機(jī)網(wǎng)絡(luò)中面對(duì)用戶的部分是運(yùn)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù) , 負(fù)責(zé)全網(wǎng)絡(luò)面對(duì)應(yīng)用的數(shù)據(jù)處理工 作 ; 而通信雙方必需共同遵守的規(guī)章和商定就稱為通信協(xié)議 , 它的存在與否是運(yùn)算機(jī)網(wǎng)絡(luò)與一般運(yùn)算機(jī)互連系統(tǒng)的根 本區(qū)分；2、運(yùn)算機(jī)網(wǎng)絡(luò)安全的定義 從狹義的愛(ài)惜角度來(lái)看 ,運(yùn)算機(jī)網(wǎng)絡(luò)安全是指運(yùn)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受 自然和人為有害因素的威逼和危害 ,從廣義來(lái)說(shuō),凡是涉及到運(yùn)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí) 性和可控性的相關(guān)技術(shù)和理論都是運(yùn)算機(jī)網(wǎng)絡(luò)安全的爭(zhēng)論領(lǐng)域；3、本

3、課程中網(wǎng)絡(luò)安全 :指網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的破壞、更 改、泄露 ,系統(tǒng)能連續(xù)、牢靠、正常地運(yùn)行 ,服務(wù)不中斷； 主要指通過(guò)各種運(yùn)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技 術(shù),愛(ài)惜在公有通信網(wǎng)絡(luò)中傳輸、交換和儲(chǔ)備信息的隱秘性、完整性和真實(shí)性 ,并對(duì)信息的傳播及內(nèi)容具有把握能 力,不涉及網(wǎng)絡(luò)牢靠性、信息可控性、可用性和互操作性等領(lǐng)域；網(wǎng)絡(luò)安全的主體是愛(ài)惜網(wǎng)絡(luò)上的數(shù)據(jù)和通信的安 全；1 數(shù)據(jù)安全性是一組程序和功能 改和破壞；,用來(lái)阻擋對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的泄漏、轉(zhuǎn)移、修2 通信安全性是一些愛(ài)惜措施,要求在電信中接受保密安全性、傳輸安全性、輻射安全性的措施 ,并依要求

4、對(duì)具備 通信安全性的信息實(shí)行物理安全性措施；留意 ,此處網(wǎng)絡(luò)安全在不同的環(huán)境和應(yīng)用中有不同的說(shuō)明 ,留意區(qū)分 : 1 運(yùn)算機(jī)及系統(tǒng)安全；包括運(yùn)算機(jī)系統(tǒng)機(jī)房環(huán)境的愛(ài)惜,法律政策的愛(ài)惜 ,運(yùn)算機(jī)結(jié)構(gòu)設(shè)計(jì)安全性考慮 ,硬件系統(tǒng) 的牢靠安全運(yùn)行 ,運(yùn)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安 全,數(shù)據(jù)庫(kù)系統(tǒng)的安全 ,電磁信息泄露的防護(hù)等；本質(zhì)上是愛(ài)惜 系統(tǒng)的合法操作和正常運(yùn)行；2 網(wǎng)絡(luò)上系統(tǒng)信息的安全；包括用戶口令鑒別、用戶存取權(quán)限把握、數(shù)據(jù)存取權(quán)限、方式把握、安全審計(jì)、安全問(wèn)題跟蹤、運(yùn)算機(jī)病毒防治和數(shù)據(jù)加密等；3 網(wǎng)絡(luò)上信息傳播的安全；包括信息過(guò)濾等；它側(cè)重于愛(ài)惜信息的保密性、真實(shí)性和完整性；防止攻擊者進(jìn)行有損 益

5、和隱私；于合法用戶的行為；本質(zhì)上是愛(ài)惜用戶的利4、安全的主要屬性 :完整性、保密性、可用性、不行抵賴性、牢靠性；安全的其他屬性 :可控性、可審查性、真實(shí)性 現(xiàn)真實(shí)性 ；注:一般通過(guò)認(rèn)證、拜望把握來(lái)實(shí)5、網(wǎng)絡(luò)安全的主要威逼因素 :信息系統(tǒng)自身安全的脆弱性、操作系統(tǒng)與應(yīng)用程序漏洞、安全治理問(wèn)題、黑客攻擊、網(wǎng)絡(luò)犯罪；第 2 講 網(wǎng)絡(luò)攻擊階段、技術(shù)及防范策略1、黑客與駭客；根本的區(qū)分在于是否以犯罪為目的；黑客是指利用運(yùn)算機(jī)技術(shù),非法入侵或者擅自操作他人包括 國(guó)家機(jī)關(guān)、社會(huì)組織及個(gè)人運(yùn)算機(jī)信息系統(tǒng),對(duì)電子信息溝通安全具有不同程度的威逼性和危害性的人一般是 爭(zhēng)論為主 ；駭客指利用運(yùn)算機(jī)技術(shù) ,非法入侵并擅

6、自操作他人運(yùn)算機(jī)信息系統(tǒng) ,對(duì)系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干 擾、破壞 ,或者非法侵入運(yùn)算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源 ,實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家隱秘或其他犯罪的人 一般是犯罪為主 ；駭客包括在黑客概念之中,前者基本上是運(yùn)算機(jī)犯罪的主體,后者的行為 不愿定都構(gòu)成犯罪；2、網(wǎng)絡(luò)黑客的主要攻擊手法有:獵取口令、放置木馬、 web 欺詐技術(shù)、電子郵件攻擊、通過(guò)一個(gè)節(jié)點(diǎn)攻擊另一節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽(tīng)、查找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等；3、網(wǎng)絡(luò)攻擊過(guò)程一般可以分為本地入侵和遠(yuǎn)程入侵；4、遠(yuǎn)程攻擊的一般過(guò)程 :遠(yuǎn)程攻擊的預(yù)備階段、遠(yuǎn)程攻擊的實(shí)施階段、遠(yuǎn)程攻擊的善后階段；5、遠(yuǎn)程攻擊的預(yù)備階

7、段 :確定攻擊目標(biāo)、信息收集、服務(wù)分析、系統(tǒng)分析、漏洞分析；6、常見(jiàn)的攻擊目的有破壞型和入侵型兩種；破壞型攻擊 是指只破壞攻擊目標(biāo) ,使之不能正常工作 ,而不能任憑把握目標(biāo)上的系統(tǒng)運(yùn)行；入侵型攻擊 這種攻擊要獲得確定的權(quán)限才能達(dá)到把握攻擊目標(biāo)的目的；應(yīng)當(dāng)說(shuō)這種攻擊比破壞型攻擊更為普遍 ,威逼性也更大；理員權(quán)限就可以對(duì)目標(biāo)做任何動(dòng)作由于攻擊者一旦把握了確定的權(quán)限、甚至是管 ,包括破壞性質(zhì)的攻擊；7、信息收集階段 :利用一切公開(kāi)的、可利用的信息來(lái)調(diào)查攻擊目標(biāo)；包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會(huì)信息；包括以下技術(shù):低級(jí)技術(shù)偵察、 Web 搜尋、 Whois 數(shù)據(jù)庫(kù)、域名系

8、統(tǒng) DNS 偵察；8、低級(jí)技術(shù)偵察 ,分別說(shuō)明 :社交工程、物理闖入、垃圾搜尋；9、確定目標(biāo)主機(jī)接受何種操作系統(tǒng)原理:協(xié)議棧指紋 Fingerprint 10、遠(yuǎn)程攻擊的實(shí)施階段 :作為破壞性攻擊 ,可以利用工具發(fā)動(dòng)攻擊即可；作為入侵性攻擊 ,往往需要利用收集到的信息 ,找到其系統(tǒng)漏洞 ,然后利用漏洞獵取盡可能高的權(quán)限； 包括三個(gè)過(guò)程 :預(yù)攻擊探測(cè) :為進(jìn)一步入侵供應(yīng)有 用信息 ;口令破解與攻擊提升權(quán)限 ;實(shí)施攻擊 :緩沖區(qū)溢出、拒絕服務(wù)、后門(mén)、木馬、病毒；11、遠(yuǎn)程攻擊常用的攻擊方法:第一類 :使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問(wèn)權(quán) :基于堆棧的緩沖區(qū)溢出、密碼估計(jì)、網(wǎng)絡(luò)應(yīng)用程序攻擊；其次類

9、:使用網(wǎng)絡(luò)攻擊獲得拜望權(quán) :嗅探、 IP 地址欺詐、會(huì)話劫持；第三類:拒絕服務(wù) 攻擊；12、遠(yuǎn)程攻擊的善后階段 :愛(ài)惜拜望權(quán)、掩蓋蹤跡和隱匿；攻擊者在獲得系統(tǒng)最高治理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了 ,所以一般黑客假如想隱匿自己的蹤跡 ,最簡(jiǎn)潔的方法就是刪除日志文件；但這也明確無(wú)誤地告知 了治理員系統(tǒng)已經(jīng)被入侵了；更常用的方法是只對(duì)日志文件中有關(guān)自己的那部分作修改；13:黑客入侵的一般完整模式 :隱匿自己 踩點(diǎn) 掃描 查點(diǎn) 分析并入侵 獵取權(quán)限 擴(kuò)大范疇 安裝后門(mén) 清除日志并隱身； 留意 :一般完整的攻擊過(guò)程都是先隱匿自己 ,然后再進(jìn)行踩點(diǎn)或預(yù)攻擊探測(cè) 的被攻擊條件 ,然后實(shí)行相應(yīng)的攻擊

10、方法進(jìn)行破壞 除自己的 行為日志；,檢測(cè)目標(biāo)運(yùn)算機(jī) 的各種屬性和具備 ,達(dá)到自己的目的 ,之后攻擊者會(huì)刪14、為防止黑客入侵 ,個(gè)人用戶常見(jiàn)防護(hù)措施 :防火墻、殺毒軟件定期升級(jí)和殺毒、定期準(zhǔn)時(shí)升級(jí)系統(tǒng)和軟件補(bǔ)丁、定期備份系統(tǒng)或重要文件、加密重要文件、關(guān)閉不常用端口、關(guān)閉不常用程序和服務(wù)、發(fā)覺(jué)系統(tǒng)反常立刻檢查； 15:網(wǎng)絡(luò)治理常用的防護(hù)措施 :完善安全治理制度、接受拜望把握措施、運(yùn)行數(shù)據(jù)加密措施、數(shù)據(jù)備份與復(fù)原 ； 16、物理環(huán)境的安全性表達(dá) 全,機(jī)房的安全等；物理層的安全主要表達(dá)在通:包括通信線路的安全 ,物理設(shè)備的安 信線路的牢靠性 線路備份、網(wǎng)管軟件、傳輸介質(zhì) ,軟硬件設(shè)備安全性 替換設(shè)備

11、、拆卸設(shè)備、增加設(shè)備 ,設(shè)備 的備份 ,防災(zāi)難才能、防干擾才能 ,設(shè)備的運(yùn)行環(huán)境 溫度、濕度、煙塵 ,不間斷電源保證 ,等等；第 3 講:掃描與防范技術(shù)1、掃描器 :掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序；集成了常用的各種掃描技術(shù)；掃描器的掃描對(duì)象:能自動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)和攻擊遠(yuǎn)端或本地的端口和服務(wù) ,并自動(dòng)收集和記錄目標(biāo)主機(jī)的各項(xiàng)反饋信息；掃 描器對(duì)網(wǎng)絡(luò)安全的作用 :據(jù)此供應(yīng)一份牢靠的安全性分析報(bào)告,報(bào)告可能存在的脆弱性；2、網(wǎng)絡(luò)掃描器的主要功能 :掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài) 開(kāi) /關(guān)機(jī) 、識(shí)別目標(biāo)主機(jī)端口的狀態(tài) 監(jiān)聽(tīng) /關(guān)閉 、識(shí) 別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本、識(shí)別目標(biāo)主機(jī)服

12、務(wù)程序的類型和版本、分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞 果報(bào)告；脆弱 點(diǎn) 、生成掃描結(jié)3、網(wǎng)絡(luò)掃描的作用 :可以對(duì)運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè) ,以找出安全隱患和可能被黑客利用的 漏洞；4、網(wǎng)絡(luò)漏洞 :網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性 ,安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán) 統(tǒng)崩潰等問(wèn)題；獲得拜望權(quán)限 ,造成信息篡改、拒絕服務(wù)或系5、一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段 :第一階段 :發(fā)覺(jué)目標(biāo)主機(jī)或網(wǎng)絡(luò)；其次階段 :發(fā)覺(jué)目標(biāo)后進(jìn)一步搜集目標(biāo)信息 ,包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等；假如目標(biāo)是一個(gè)網(wǎng)絡(luò),仍可以進(jìn)一步發(fā)覺(jué)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的

13、信息；第三階段 是否存在安全漏 洞；:依據(jù)收集到的信息判定或者進(jìn)一步測(cè)試系統(tǒng)6、網(wǎng)絡(luò)安全掃描技術(shù)包括 PING 掃描、操作系統(tǒng)探測(cè)、穿透防火墻探測(cè)、端 口掃描、漏洞掃描等 :1 PING 掃描用 于掃描第一階段 ,識(shí)別系統(tǒng)是否活動(dòng)； 2 OS 探測(cè)、穿透防火墻探測(cè)、端口掃描用于掃描其次階段； OS 探測(cè)是對(duì)目 標(biāo)主機(jī)運(yùn)行的 OS 進(jìn)行識(shí)別 ;穿透防火墻探測(cè)用于獵取被防火墻愛(ài)惜的網(wǎng)絡(luò)資料 ;端口掃描是通過(guò)與目標(biāo)系統(tǒng)的 TCP/IP 端口連接 ,并查看該系統(tǒng)處于監(jiān)聽(tīng)或運(yùn)行狀態(tài)的服務(wù)； 3 漏洞掃描用于安全掃描第三階段 在的安全漏洞；,通常是在端口掃 描的基礎(chǔ)上 ,進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存7、漏洞掃描主

14、要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞 :1 基于漏洞庫(kù)的特點(diǎn)匹配 :通過(guò)端口掃描得知 目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)后 ,將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)供應(yīng)的漏洞庫(kù)進(jìn)行匹配 ,查看是否有中意匹配條件的漏洞存在 ; 2 基于模擬攻擊 :通過(guò)模擬黑客的攻擊手段 ,編寫(xiě)攻擊模塊 ,對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描 ,如測(cè)試弱勢(shì)口令等 ,如模擬攻擊成功 ,就說(shuō)明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞；8、常用掃描工具 :SATAN 、 Nmap 、 Nessus 、 X-scan 9、掃描技術(shù)一般可以分為主動(dòng)掃描和被動(dòng)掃描兩種,它們的共同點(diǎn)在于在其執(zhí)行的過(guò)程中都需要與受害主機(jī)互通正 ?；蚍钦?/p>

15、常的數(shù)據(jù)報(bào)文；其中主動(dòng)掃描是主動(dòng)向受害主機(jī)發(fā)送各種探測(cè)數(shù)據(jù)包 ,依據(jù)其回應(yīng)判定掃描的結(jié)果；被動(dòng) 掃描由其性質(zhì)準(zhǔn)備 ,它與受害主機(jī)建立的通常是正常連接 ,發(fā)送的數(shù)據(jù)包也屬于正常范疇 ,而且被動(dòng)掃描不會(huì)向受 害主機(jī)發(fā)送大規(guī)模的探測(cè)數(shù)據(jù)；10、掃描的防范技術(shù) :反掃描技術(shù)、端口掃描監(jiān)測(cè)工具、防火墻技術(shù)、審計(jì)技術(shù)、其它防范技術(shù)；11、防范主動(dòng)掃描可以從以下幾個(gè)方面入手:1 削減開(kāi)放端口 ,做好系統(tǒng)防護(hù) ; 2實(shí)時(shí)監(jiān)測(cè)掃描 ,準(zhǔn)時(shí)做出告 警; 3 假裝知名端口 ,進(jìn)行信息欺詐；12、被動(dòng)掃描防范方法到目前為止只能接受信息欺詐如返回自定義的 banner 信息或假裝知名端口這一種方法； 13、防火墻技術(shù)是

16、一種答應(yīng)內(nèi)部網(wǎng)接入外部網(wǎng)絡(luò),但同時(shí)又能識(shí)別和抗擊非授權(quán)拜望的網(wǎng)絡(luò)技術(shù),是網(wǎng)絡(luò)把握技術(shù) 中的一種；防火墻的目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全把握點(diǎn) ,把握全部從因特網(wǎng)流入或流向因特 網(wǎng)的信息都經(jīng)過(guò)防火墻 ,并檢查這些信息 ,通過(guò)答應(yīng)、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流 ,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和拜望的審計(jì)和把握；14、審計(jì)技術(shù)是使用信息系統(tǒng)自動(dòng)記錄下的網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏捷操作和違紀(jì)操作等 ,為系統(tǒng)進(jìn)行事故緣由查詢、事故發(fā)生后的實(shí)時(shí)處理供應(yīng)詳細(xì)牢靠的依據(jù)或支持；審計(jì)技術(shù)可以記錄網(wǎng)絡(luò)連接的請(qǐng)求、返回等信息 ,從中 識(shí)別出掃描行為；15:為什么說(shuō)掃描器是一把雙刃劍.掃描器能夠自動(dòng)的掃

17、描檢測(cè)本地和遠(yuǎn)程系統(tǒng)的弱點(diǎn) ,為使用者供應(yīng)幫忙；系統(tǒng) 或網(wǎng)絡(luò)治理員可以利用它來(lái)檢測(cè)其所治理的網(wǎng)絡(luò)和主機(jī)中存在哪些漏洞 ,以便準(zhǔn)時(shí)打上補(bǔ)丁 ,增加防護(hù)措施 ,或用 來(lái)對(duì)系統(tǒng)進(jìn)行安全等級(jí)評(píng)估；黑客可以利用它來(lái)獵取主機(jī)信息,查找具備某些弱點(diǎn)的主機(jī),為進(jìn)一步攻擊做預(yù)備； 因此,掃描器是一把雙刃劍；一般用戶對(duì)掃描的防范 :用戶要削減開(kāi)放的端口 ,關(guān)閉不必的服務(wù) ,合理地配置防火 墻,以防范掃描行為；第 4 講:網(wǎng)絡(luò)監(jiān)聽(tīng)及防范技術(shù)1、網(wǎng)絡(luò)監(jiān)聽(tīng)的概念 :網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù) Network Sniffing , 是一種在他方未察覺(jué)的情形下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)；在網(wǎng)絡(luò)安全領(lǐng)域,網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)

18、對(duì)于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義,是一把雙 刃劍；對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō) ,它是明白網(wǎng)絡(luò)運(yùn)行狀況的有力助手 ,對(duì)黑客而言 ,它是有效收集信息的手段；網(wǎng)絡(luò)監(jiān)聽(tīng) 技術(shù)的才能范疇目前只限于局域網(wǎng)；2:嗅探器 sniffer 是利用運(yùn)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它運(yùn)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)； 工作在網(wǎng)絡(luò)的底層 , 能 夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)； 1 嗅探攻擊的基本原理是 :當(dāng)網(wǎng)卡被設(shè)置為混雜接收模式時(shí),全部流經(jīng)網(wǎng)卡的 數(shù)據(jù)幀都會(huì)被網(wǎng)卡接收 ,然后把這些數(shù)據(jù)傳給嗅探程序,分析出攻擊者想要的敏捷信息,如賬號(hào)、密碼等 ,這樣就 實(shí)現(xiàn)了竊聽(tīng)的目的； 2 嗅探器造成的危害 :能夠捕獲口令 ;能夠捕獲專用的

19、或者隱秘的信息 ;可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全 ,或者用來(lái)獵取更高級(jí)別的拜望權(quán)限 ;窺探低級(jí)的協(xié)議信息；被動(dòng)嗅探入侵往往是黑客實(shí)施一次實(shí)際劫持 或入侵的第一步； 3 Sniffer 的正面應(yīng)用 :在系統(tǒng)治理員角度來(lái)看 ,網(wǎng)絡(luò)監(jiān)聽(tīng)的主要用途是進(jìn)行數(shù)據(jù)包分析 ,通過(guò)網(wǎng) 絡(luò)監(jiān)聽(tīng)軟件 ,治理員可以觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包 ,從而快速的進(jìn)行網(wǎng)絡(luò)故障定位； 4 Sniffer 的反面應(yīng)用 :入侵 者與治理員感愛(ài)好的 對(duì)數(shù)據(jù)包進(jìn)行分析 有所不同 , 入侵者感愛(ài)好的是數(shù)據(jù)包的內(nèi)容, 特殊是賬號(hào)、 口令等敏捷內(nèi)容； 3、網(wǎng)絡(luò)傳輸技術(shù) :廣播式和點(diǎn)到點(diǎn)式；廣播式網(wǎng)絡(luò)傳輸技術(shù) :僅有一條通信信道,由網(wǎng)絡(luò)上的全部機(jī)器共

20、享；信道上傳輸?shù)姆纸M可以被任何機(jī)器發(fā)送并被其他所有的機(jī)器接收；點(diǎn)到點(diǎn)網(wǎng)絡(luò)傳輸技術(shù):點(diǎn)到點(diǎn)網(wǎng)絡(luò)由一對(duì)對(duì)機(jī)器之間的多條連接構(gòu)成,分組的傳輸是通過(guò)這些連接直接發(fā)往目標(biāo)機(jī)器,因此不存在發(fā)送分組被多方接收的問(wèn)題； 4、網(wǎng)卡的四種工作模式 :1 廣播模式 :該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的 廣播信息； 2 組播模式 :該模式下的 網(wǎng)卡能夠接受組播數(shù)據(jù)； 3 直接模式 :在這種 模式下 ,只有匹配目的 MAC 地址的網(wǎng)卡才能接收該數(shù)據(jù)幀； 4 混 雜模 式:Promiscuous Mode在這種模式下 ,網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀 ,而無(wú)論其 目的 MAC 地址是什么； 5、共享式局域網(wǎng)就是使用集線器或共

21、用一條總線的局域網(wǎng)；共享式局域網(wǎng)是基于廣播的方式來(lái)發(fā)送數(shù)據(jù)的 就不知道一個(gè)端口收到的幀應(yīng)當(dāng)轉(zhuǎn)發(fā)到哪個(gè)端口,由于集 線器不能識(shí)別幀 ,所以它 ,它只好把幀發(fā)送到除源端口以外的全部 端口,這樣網(wǎng)絡(luò)上全部的主機(jī)都可以收到這些幀；假如共享式局域網(wǎng)中的一 臺(tái)主機(jī)的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的 話,那么,對(duì)于這臺(tái)主機(jī)的網(wǎng)絡(luò)接口而言 ,任何 在這個(gè)局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦?tīng)到的；主機(jī)的這種狀態(tài)也 就是監(jiān)聽(tīng)模 式；處于監(jiān)聽(tīng)模式下的主機(jī)可以監(jiān)聽(tīng)到同一個(gè)網(wǎng)段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包；6、在實(shí)際應(yīng)用中 ,監(jiān)聽(tīng)時(shí)存在不需要的數(shù)據(jù) ,莊重影響了系統(tǒng)工作效率；網(wǎng)絡(luò)監(jiān)聽(tīng)模塊過(guò)濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵；信息的過(guò)濾

22、包括以下幾種:站過(guò)濾 ,協(xié)議過(guò)濾 ,服務(wù)過(guò)濾 ,通用過(guò)濾；同時(shí)依據(jù)過(guò)濾的時(shí)間 過(guò)濾、捕獲后過(guò)濾；,可以分為 兩種過(guò)濾方式 :捕獲前7、交換式以太網(wǎng)就是用交換機(jī)或其它非廣播式交換設(shè)備組建成的局域網(wǎng)；這些設(shè)備依據(jù)收到的數(shù)據(jù)幀中的 MAC 地 址準(zhǔn)備數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口；由于端口間的幀傳輸彼此屏蔽,因此節(jié)點(diǎn)就不擔(dān)憂自己發(fā)送的幀會(huì)被發(fā)送到非目的節(jié)點(diǎn)中去；交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽(tīng)的困擾；8、交換機(jī)的安全性也面臨著莊重的考查,隨著嗅探技術(shù)的進(jìn)展 ,攻擊者發(fā)覺(jué)了有如下方法來(lái)實(shí)現(xiàn)在交換式以太網(wǎng)中 的網(wǎng)絡(luò)監(jiān)聽(tīng) :溢出攻擊 ; ARP 欺詐 常用技術(shù) ；9、溢出攻擊 :交換機(jī)工作時(shí)要愛(ài)惜一張

23、 MAC 地址與端口的映射表；但是用于愛(ài)惜這張表的內(nèi)存是有限的；如用大量的錯(cuò)誤 MAC 地址的數(shù)據(jù)幀對(duì)交換機(jī)進(jìn)行攻擊 , 交換機(jī)就可能顯現(xiàn)溢出；這時(shí)交換機(jī)就會(huì)退回到 HUB 的廣播方式 , 向全部的 端口發(fā)送數(shù)據(jù)包 ,一旦如此 ,監(jiān)聽(tīng)就很簡(jiǎn)潔了；10、 ARP 的工作過(guò)程 :1 主機(jī) A 不知道主機(jī) B 的 MAC 地址, 以廣播方式發(fā)出 一個(gè)含有主機(jī) B 的 IP 地址的 ARP 請(qǐng)求 ; 2 網(wǎng)內(nèi)全部主機(jī)受到 ARP 請(qǐng)求后 ,將自己 的 IP 地址與請(qǐng)求中的 IP 地址相比較 ,僅有 B 做出 ARP 響應(yīng) ,其中含有 自己的 MAC 地址 ; 3 主機(jī) A 收到 B 的 ARP 響應(yīng),

24、將該條 IP-MAC 映射記錄寫(xiě)入 ARP 緩存中 ,接 著進(jìn)行通信； 11、 ARP 欺詐 :運(yùn)算機(jī)中愛(ài)惜著一個(gè) IP-MAC 地址對(duì)應(yīng)表 ,記錄了 IP 地址和 MAC 地址之間的對(duì)應(yīng)關(guān)系；該表將隨著 ARP 請(qǐng)求及響應(yīng)包不斷更新；通過(guò) ARP 欺詐,轉(zhuǎn)變表里的對(duì)應(yīng)關(guān)系 ,攻擊者可以成為被攻擊者與交換機(jī)之間的“中間人” , 使交換式局域網(wǎng)中的全部數(shù)據(jù)包都流經(jīng)自己主機(jī)的網(wǎng)卡 , 這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了； 12、監(jiān)聽(tīng)的防范 : 1 通用策略 :a 、接受安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),網(wǎng)絡(luò)分段越細(xì) ,嗅探器能夠收集的信息就越少 ; b 、數(shù)據(jù)加密技術(shù) :數(shù) 據(jù)通道加密 SSH 、 SSL

25、 和 VPN ;數(shù)據(jù)內(nèi)容加密 PGP ；2 共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng) :檢測(cè)處于混雜模式的網(wǎng)卡 ;檢測(cè)網(wǎng)絡(luò)通訊丟包率 ;檢測(cè)網(wǎng)絡(luò)帶寬反?，F(xiàn)象；3 交換網(wǎng)絡(luò)下的防監(jiān)聽(tīng) :主要要防止 ARP 欺詐及 ARP 過(guò)載；交換網(wǎng)絡(luò)下防范監(jiān) 聽(tīng)的措施主要包括 :a. 不要把網(wǎng)絡(luò) 安全信任關(guān)系建立在單一的 IP 或 MAC 基礎(chǔ)上 ,理 想的關(guān)系應(yīng)當(dāng)建立在 IP-MAC 對(duì)應(yīng)關(guān)系的基礎(chǔ)上； b. 使用靜態(tài)的 ARP 或者 IP-MAC 對(duì)應(yīng)表代替動(dòng)態(tài)的 ARP 或者 IP-MAC 對(duì)應(yīng)表 , 禁止自動(dòng)更新 , 使用手動(dòng)更新；c. 定期檢查 ARP 請(qǐng) 求, 使用 ARP 監(jiān)視工具 , 例如 ARPWatch 等監(jiān)視

26、并探測(cè) ARP 欺 騙； d. 制定良好的安全治理策略 , 加強(qiáng)用戶安全意識(shí)；第 5 講:口令破解與防范技術(shù)1、口令的作用 : 2、口令破解獲得口令的思路 : 3、手工破解的步驟一般為 : 4、自動(dòng)破解 : 5、口令破解方式 : 6、詞典攻擊 : 7、強(qiáng)行攻擊 : 8、組合攻擊 9、社會(huì)工程學(xué) 10、重放 : 11、 Windows 的口令文件 : 12、 Windows 的拜望把握過(guò)程 : 13、口令攻擊的防范 : 1 好的口令 : 2 保持口令的安全要點(diǎn) : 3 強(qiáng)口令 . 14、對(duì)稱加密方法加密和解密都使用同一個(gè)密鑰；假如我加密一條消息讓你來(lái)破解 ,你必需有與我相同的密鑰來(lái)解 門(mén),你必需

27、使用同一把鑰匙打開(kāi)門(mén)；密；這和典型的門(mén)鎖相像；假如我用鑰匙鎖上15、不對(duì)稱加密使用兩個(gè)密鑰克服了對(duì)稱加密的缺點(diǎn):公鑰和私鑰；私鑰僅為全部者所知 ,不和其他任何人共享 ;公鑰向全部會(huì)和用戶通信的人公 開(kāi)；用用戶的公鑰加密的東西只能用用戶的私鑰解開(kāi) 人給用戶發(fā)送用用戶的公鑰加密的信息,只有擁有私鑰的人才能解開(kāi)；,所以這種方法相當(dāng)有效；別16、隨著生物技術(shù)和運(yùn)算機(jī)技術(shù)的進(jìn)展 ,人們發(fā)覺(jué)人的許多生理特點(diǎn)如指紋、掌紋、面孔、聲音、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)固性 ,每個(gè)人的這些特點(diǎn)都與別人不同 ,且終身不變 ,也不行能復(fù)制；這使得通過(guò)識(shí)別用戶的這 些生理特點(diǎn)來(lái)認(rèn)證用戶身份的安全性遠(yuǎn)高于基于口令的認(rèn)證方

28、式；利用生理特點(diǎn)進(jìn)行生物識(shí)別的方法主要有指紋識(shí) 別、虹膜識(shí)別、掌紋識(shí)別、面像識(shí)別;其中 ,虹膜和指紋識(shí)別被公認(rèn)為是最牢靠的兩種生物識(shí)別；利用行為特點(diǎn)進(jìn) 行識(shí)別的主要有 :聲音、筆跡和擊鍵 識(shí)別等；第 6 講:欺詐攻擊及防范技術(shù) 1、在 Internet 上運(yùn)算機(jī)之間相互進(jìn)行的溝通建立在兩個(gè)前提之下 : 2、欺詐 : 5 種: 3、目前比較流行的欺詐攻擊主要有 4、最基本的 IP 欺詐技術(shù) : 5、 TCP 會(huì)話劫持 : 6、 TCP 會(huì)話劫持過(guò)程 : 7、 IP 欺詐攻擊的防范 : 8、 ARP 欺詐攻擊 9、 ARP 欺詐原理 : 10、 ARP 欺詐攻擊在局域網(wǎng)內(nèi)特殊奏效 ,其危害有 :

29、11、檢測(cè)局域網(wǎng)中存在 ARP 欺詐攻擊現(xiàn)象 : 12、 ARP 欺詐攻擊的防范 : 13、執(zhí)行電子郵件欺詐有三種基本方法,每一種有不同難度級(jí)別 ,執(zhí)行不同層次的隱匿；它們分別是 :利用相像的 電子郵件地址 ;直接使用偽造的 E-mail 地址 ;遠(yuǎn)程 登錄到 SMTP 端口發(fā)送郵件；14電子郵件欺詐的防范 : 15、 DNS 欺詐的原理 : 16、 DNS 欺詐主要存在兩點(diǎn)局限性 : 17、 DNS 欺詐的防范 : 18、 Web 欺詐是一種電子信息欺詐 ,攻擊者制造了一個(gè)完整的令人信服的 Web 世界 ,但實(shí)際上它卻是一個(gè)虛假的復(fù)制；虛假的 Web 看起來(lái)特殊逼真 ,它擁有相同的網(wǎng)頁(yè)和鏈接

30、；然而攻擊者把握著這個(gè)虛假的 Web 站點(diǎn),這樣受害者 的瀏覽器和Web 之間的全部網(wǎng)絡(luò)通信就完全被攻擊者截獲； Web 欺詐能夠成功的關(guān)鍵是在受害者和真實(shí) Web 服務(wù)器 之間插入攻擊者的 Web 服務(wù)器 ,這種攻擊常被稱為 “中間人 攻擊 man-in-the-middle ” ；典型案例 :網(wǎng)絡(luò)釣魚(yú)； 19、防范 Web 欺詐的方法 : 第 7 講:拒絕服務(wù)攻擊與防范技術(shù)1、拒絕服務(wù) Denial of Service,簡(jiǎn)稱 DoS ,是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞,對(duì) 目標(biāo)系統(tǒng)發(fā)起大規(guī)模的攻擊,用超出目標(biāo)處理才能的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等,或造成

31、程序緩沖 區(qū)溢出錯(cuò)誤 ,致使其無(wú)法處理合法用戶的正常請(qǐng)求,無(wú)法供應(yīng)正常服務(wù) ,最終致使網(wǎng)絡(luò)服務(wù)癱瘓 ,甚至系統(tǒng)死機(jī)； 簡(jiǎn)潔的說(shuō) ,拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己 ”的攻擊手 段；2、拒絕服務(wù)攻擊是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的；3、從實(shí)施 DoS 攻擊所用的思路來(lái)看 , DoS 攻擊可以分為 : 4、典型拒絕服務(wù)攻擊技術(shù) : 5、 Ping of Death: 6、淚滴 Teardrop : 7、 Land 攻擊 : 8、 Smurf 攻擊 9、分布式拒絕服務(wù) DDoS Distributed Denial of Service 攻擊 10、分布式拒絕服務(wù)攻擊的軟件一般分為

32、客戶端、服務(wù)端與守護(hù)程序 ,這些程 序可以使和諧分散在互聯(lián)網(wǎng)各處的機(jī) 器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作 ,從而使主機(jī)遭到來(lái)自不同地方的許多主機(jī)的攻擊；客戶端:也稱攻擊把握臺(tái) , 它是發(fā)起攻擊的主機(jī) ;服務(wù)端 :也稱攻擊服務(wù)器 ,它接受客戶端發(fā)來(lái)的把握命令 ;守護(hù)程序 :也稱攻擊器、攻擊代理,它直接（如 SYN Flooding）或者間接（如反射式 DDoS）與攻擊目標(biāo)進(jìn)行通信； 11、分布式拒絕服務(wù)攻擊攻擊過(guò)程主要有以下幾個(gè)步驟： 12、被 DDoS 攻擊時(shí)的現(xiàn)象： 13、DDoS 攻擊對(duì) Web 站點(diǎn)的影響： 14、拒絕服務(wù)攻擊的防范：15、DDOS 工具產(chǎn)生的網(wǎng)絡(luò)通信信息有兩種： 16、DD

33、oS 的唯獨(dú)檢測(cè)方式是：17、分布式拒絕服務(wù)攻擊的防范:優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu) ;愛(ài)惜網(wǎng)絡(luò)及主機(jī)系統(tǒng)安全;安裝入侵檢測(cè)系統(tǒng) ;與 ISP 服務(wù)商合 作;使用掃描工具 . 18、無(wú)論是 DoS 仍是 DDoS 攻擊,其目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法準(zhǔn)時(shí)接收并處理外界請(qǐng)求,表現(xiàn)為 :制造大流量無(wú) 用數(shù)據(jù),造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞,使被攻擊主機(jī)無(wú)法正常和外界通信；利用被攻擊主機(jī)供應(yīng)服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷,反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求,使被攻擊主機(jī)無(wú)法準(zhǔn)時(shí)處理其它正常的請(qǐng)求；利用被攻擊主機(jī)所供應(yīng)服務(wù)程序或傳輸協(xié)議的本身的實(shí)現(xiàn)缺陷,反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤的支配大量系統(tǒng)資源,使主

34、機(jī)處于掛起狀態(tài)；第 8 講：緩沖區(qū)溢出攻擊及防范技術(shù) 1、緩沖區(qū)是包含相同數(shù)據(jù)類型實(shí)例的一個(gè)連續(xù)的運(yùn)算機(jī)內(nèi)存塊；是程序運(yùn)行期間在內(nèi)存中支配的一個(gè)連續(xù)的區(qū)域,可以儲(chǔ)存相同數(shù)據(jù)類型的多個(gè)實(shí)例,用于儲(chǔ)存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型； 2、所謂溢出,就是灌滿,使內(nèi)容物超過(guò)頂端,邊緣,或邊界,其實(shí)就是所填充的數(shù)據(jù)超出了原有的緩沖區(qū)邊界； 3、所謂緩沖區(qū)溢出,就是向固定長(zhǎng)度的緩沖區(qū)中寫(xiě)入超出其預(yù)先支配長(zhǎng)度的內(nèi)容,造成緩沖區(qū)中數(shù)據(jù)的溢出,從而掩蓋了緩沖區(qū)四周的內(nèi)存空間；黑客借此細(xì)心構(gòu)造填充數(shù)據(jù),導(dǎo)致原有流程的轉(zhuǎn)變,讓程序轉(zhuǎn)而執(zhí)行特殊的代碼,最終獲取把握權(quán)； 4、常見(jiàn)緩沖區(qū)溢出類型： 5、緩沖區(qū)溢出攻擊的過(guò)

35、程： 6、緩沖區(qū)溢出的真正緣由： 第 9 講： Web 攻擊及防范技術(shù) 1、Web 安全含三個(gè)方面： Web 服務(wù)器的安全； Web 客戶端的安全； Web 通信信道的安全； 2、針對(duì) Web 服務(wù)器的攻擊分為兩類： 3、對(duì) Web 應(yīng)用危害較大的安全問(wèn)題分別是： 4、Web 服務(wù)器指紋： 5、Web 頁(yè)面盜竊的目的 6、Web 盜竊防范方法： 7、跨站腳本攻擊 Cross Site Script： 8、跨站腳本攻擊的危害： 9、跨站腳本漏洞形成的緣由： 10、實(shí)現(xiàn)跨站腳本的攻擊至少需要兩個(gè)條件： 11、XSS 攻擊最主要目標(biāo)不是 Web 服務(wù)器本身,而是登錄網(wǎng)站的用戶； 12、防范跨站腳本攻

36、擊 13、所謂 SQL 注入,就是通過(guò)把SQL 命令插入到 Web 表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令； （SQL 注入原理：隨著 B/S 網(wǎng)絡(luò)應(yīng)用的普及,Web 應(yīng)用多使用腳本語(yǔ)言（ ASP、PHP 等）加后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行開(kāi)發(fā)；在這些網(wǎng)絡(luò)程序中,用戶輸入的數(shù)據(jù)被當(dāng)作命令和查詢的一部分,送到后臺(tái)的解 釋器中說(shuō)明執(zhí)行；相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候,沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判定,使應(yīng)用程序存 在安全隱患；攻擊者可以提交一段細(xì)心構(gòu)造的數(shù)據(jù)庫(kù)查詢代碼,依據(jù)網(wǎng)頁(yè)返回的結(jié)果,獲得某些他想得知的數(shù)據(jù)或者目標(biāo)網(wǎng)站的敏捷信息,這就是所謂的 SQL

37、Injection,即 SQL 注入； ） 14、SQL 注入受影響的系統(tǒng)：15、SQL 注入的防范：第 10 講：木馬攻擊與防范技術(shù) 1、木馬的定義： 2、木馬程序的妄圖可以對(duì)應(yīng)分為三種 : 3、木馬的危害： 4、木馬的特點(diǎn)： 5、木馬實(shí)現(xiàn)原理： 6、木馬植入技術(shù)可以大致分為主動(dòng)植入與被動(dòng)植入兩類；所謂主動(dòng)植入,就是攻擊者主動(dòng)將木馬程序種到本地或 者是遠(yuǎn)程主機(jī)上,這個(gè)行為過(guò)程完全由攻擊者主動(dòng)把握；而被動(dòng)植入,是指攻擊者預(yù)先設(shè)置某種環(huán)境,然后被動(dòng)等待目標(biāo)系統(tǒng)用戶的某種可能的操作,只有這種操作執(zhí)行,木馬程序才有可能植入目標(biāo)系統(tǒng)； 7、在 Windows 系統(tǒng)中木馬程序的自動(dòng)加載技術(shù)主要有： 8、

38、隱匿性是木馬程序與其它程序的重要區(qū)分,想要隱匿木馬的服務(wù)端,可以是偽隱匿,也可以是真隱匿；偽隱匿是 指程序的進(jìn)程仍然存在,只不過(guò)是讓它消逝在進(jìn)程列表里；真隱匿就是讓程序完全的消失,不以一個(gè)進(jìn)程或者服務(wù)的方式工作； 常見(jiàn)隱匿技術(shù)： 9、常見(jiàn)木馬使用的端口： 10、反彈窗口的連接技術(shù)與傳統(tǒng)木馬連接技術(shù)相比有何區(qū)分與優(yōu)勢(shì)？ 11、木馬的遠(yuǎn)程監(jiān)控功能：獵取目標(biāo)機(jī)器信息,記錄用戶大事,遠(yuǎn)程操作； 12、木馬的檢測(cè)方法： :端口掃描和連接檢查；檢查系統(tǒng)進(jìn)程；檢查 ini 文件、注冊(cè)表和服務(wù) ；監(jiān)視網(wǎng)絡(luò)通訊 ； 13、木馬的清除與善后：知道了木馬加載的地方,第一要作的當(dāng)然是將木馬登記項(xiàng)刪除,這樣木馬就無(wú)法在

39、開(kāi)機(jī)時(shí)啟動(dòng)了；不過(guò)有些木馬會(huì)監(jiān)視注冊(cè)表,一旦你刪除,它立刻就會(huì)復(fù)原回來(lái)；因此,在刪除前需要將木馬進(jìn)程 停止, 然后依據(jù)木馬登記的目錄將相應(yīng)的木馬程序刪除；以冰河為例說(shuō)明詳細(xì)清 除步驟并適當(dāng)說(shuō)明； 1 斷開(kāi)網(wǎng)絡(luò)連接； 2） 檢查進(jìn)程并掃描； 3 第一運(yùn)行注冊(cè)表編 輯器,檢查注冊(cè)表中 txt 文件的關(guān)聯(lián)設(shè)置； 4 接著檢查注冊(cè)表中的 EXE 文件關(guān) 聯(lián)設(shè) 置； 5 進(jìn)入系統(tǒng)目錄 System32,刪除冰河木馬的可執(zhí)行文件 kernel32.exe 和 sysexplr.exe；6 修改文件關(guān)聯(lián)； 7 重 新啟動(dòng),然后用殺毒軟件對(duì)系統(tǒng)進(jìn)行一次全面的掃描,這樣可以排除遺漏的木馬程序；以網(wǎng)絡(luò)治理員角度在

40、清除木馬后進(jìn)行善后工作： 1判定特洛伊木馬存在時(shí)間長(zhǎng)短；2 調(diào)查攻擊者在入侵機(jī)器之后有哪些行動(dòng)； 3 對(duì)于安全性要求 一般的場(chǎng)合,修改全部的密碼,以及其他比較敏捷的信息（例如信用卡號(hào)碼等）；4 在安全性要求較高的場(chǎng)合,任何未知的潛在風(fēng)險(xiǎn)都是不行忍耐的,必要時(shí)應(yīng)當(dāng)調(diào)整治理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人,完全檢測(cè)整個(gè)網(wǎng)絡(luò),修改全部密碼, 在此基礎(chǔ)上再執(zhí)行后繼風(fēng)險(xiǎn)分析；對(duì)于被入侵的機(jī)器,重新進(jìn)行徹 底的格式化和安裝； 14、木馬的防范：木馬實(shí)質(zhì)上是一個(gè)程序,必需運(yùn)行后才能工作,所以會(huì)在運(yùn)算機(jī)的文件系統(tǒng)、系統(tǒng)進(jìn)程表、注冊(cè)表、系統(tǒng)文件和日志等中留下蛛絲馬跡,用戶可以通過(guò)“查、堵、殺 ”等方法檢測(cè)和清除木馬；其詳細(xì)

41、防范技術(shù)方 法主要包括：檢查木馬程序名稱、注冊(cè)表、系統(tǒng)初始化文件和服務(wù)、系統(tǒng)進(jìn)程和開(kāi)放端口,安裝防病毒軟件,監(jiān)視網(wǎng)絡(luò)通信,堵住把握通路和殺掉可疑進(jìn)程等；常用的防范木馬程序的措施： 1 準(zhǔn)時(shí)修補(bǔ)漏洞,安裝補(bǔ)?。? 運(yùn)行實(shí)時(shí)監(jiān)控程序； 3 培養(yǎng)風(fēng)險(xiǎn)意識(shí),不使用來(lái)歷不明的軟件； 4 即時(shí)發(fā)覺(jué),即時(shí)清 除 ； 第 11 講：運(yùn)算機(jī)病毒 1、狹義的運(yùn)算機(jī)病毒,是指編制或者在運(yùn)算機(jī)程序中插入的破壞運(yùn)算機(jī)功能或者毀壞數(shù)據(jù),影響運(yùn)算機(jī)使用,且能自我復(fù)制的一組運(yùn)算機(jī)指令或者程序代碼；運(yùn)算機(jī)病毒一般依附于其他程序或文檔,是能夠自身復(fù)制,并且產(chǎn)生用 戶不知情或不期望、甚至惡意的操作的非正常程序；但是隨著黑客技術(shù)的發(fā)展,病毒、木馬、蠕蟲(chóng)往往交叉在一起 相互借鑒技術(shù),因此人們經(jīng)常說(shuō)的運(yùn)算機(jī)病毒往往是指廣義上的病毒,它是一切惡意程序的統(tǒng)稱； 2、運(yùn)算機(jī)病毒的特點(diǎn)：3、運(yùn)算機(jī)病毒的破壞性： 4、運(yùn)算機(jī)病毒引起的反常狀況： 5、依據(jù)運(yùn)算機(jī)病毒的鏈接方式分類： 6、依據(jù)運(yùn)算機(jī)病毒的破壞情形分類： 7、按寄生方式和傳染途徑分類 : 8、運(yùn)算機(jī)病毒程序的模塊劃分： 9、運(yùn)算機(jī)病毒的生命周期： 10、病毒傳播途徑：11、病毒感染目標(biāo)： 12、運(yùn)算機(jī)病毒的觸發(fā)機(jī)制： 13、運(yùn)算機(jī)病毒的破壞機(jī)制： 14、