完整版網(wǎng)絡(luò)安全攻防技術(shù)講義知識點歸納精簡后匯總

1、第1講:網(wǎng)絡(luò)安全概述1、計算機(jī)網(wǎng)絡(luò)：我們講的計算機(jī)網(wǎng)絡(luò)，其實就是利用通訊設(shè)備和線路將地理位 置不同的、功能獨立的多個計算機(jī)系統(tǒng) 互連起來，以功能完善的網(wǎng)絡(luò)軟件（即網(wǎng)絡(luò) 通信協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等 實現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳 遞的系 統(tǒng)。它的功能最主要的表現(xiàn)在兩個方面：一是實現(xiàn)資源共享（包括硬件資源和軟件 資源的共享;二是在用戶之間 交換信息。計算機(jī)網(wǎng)絡(luò)的作用是：不僅使分散在網(wǎng)絡(luò) 各處的計算機(jī)能共享網(wǎng)上的所有資源，并且為用戶提供強(qiáng)有力的通信手段和盡可能 完善的服務(wù)，從而極大的方便用戶。 從網(wǎng)管的角度來講，說白了就是運(yùn)用技術(shù)手段 實現(xiàn)網(wǎng)絡(luò)間的信息傳 遞，同時為用戶提供服務(wù)。計算機(jī)網(wǎng)絡(luò)通

2、常由三個部分組成，它們是資源子網(wǎng)、通信子網(wǎng)和通信協(xié)議。所謂通信子網(wǎng)就是計算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分；資源子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中面向用戶的部分 ，負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的 數(shù)據(jù)處理工 作；而通信雙方必須共同遵守的規(guī)則和約定就稱為通信協(xié)議，它的存在與否是計算機(jī)網(wǎng)絡(luò)與一般計算機(jī)互連系統(tǒng)的根本區(qū)別。2、計算機(jī)網(wǎng)絡(luò)安全的定義（從狹義的保護(hù)角度來看，計算機(jī)網(wǎng)絡(luò)安全是指計算 機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義來 說,凡是涉及到計算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。3、本課程中網(wǎng)絡(luò)安全：指網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及其

3、系統(tǒng)中的數(shù)據(jù)受到保 護(hù),不因偶然的或者惡意的破壞、更 改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，服務(wù) 不中斷。（主要指通過各種計算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，保護(hù)在公有通信網(wǎng)絡(luò)中傳輸、交換和存儲信息的機(jī)密性、完整性和真實性 ，并對信息的傳播及 內(nèi)容具有控制能 力,不涉及網(wǎng)絡(luò)可靠性、信息可控性、可用性和互操作性等領(lǐng)域。 網(wǎng)絡(luò)安全的主體是保護(hù)網(wǎng)絡(luò)上的數(shù)據(jù)和通信的安 全。1數(shù)據(jù)安全性是一組程序和功能，用來阻止對數(shù)據(jù)進(jìn)行非授權(quán)的泄漏、轉(zhuǎn)移、修 改和破壞。2通信安全性是一些保護(hù)措施，要求在電信中采用保密安全性、傳輸安全性、輻 射安全性的措施，并依要求對具備 通信安全性的信息采取物理安全性措施。注意，

4、此處網(wǎng)絡(luò)安全在不同的環(huán)境和應(yīng)用中有不同的解釋 ，注意區(qū)分：1計算機(jī)及系統(tǒng)安全。包括計算機(jī)系統(tǒng)機(jī)房環(huán)境的保護(hù) ，法律政策的保護(hù)，計算 機(jī)結(jié)構(gòu)設(shè)計安全性考慮，硬件系統(tǒng)的可靠安全運(yùn)行，計算機(jī)操作系統(tǒng)和應(yīng)用軟件的安 全，數(shù)據(jù)庫系統(tǒng)的安全，電磁信息泄露的防護(hù)等。本質(zhì)上是保護(hù) 系統(tǒng)的合法操作和正 常運(yùn)行。2網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取 權(quán)限、方式控制、安全審計、安全問 題跟蹤、計算機(jī)病毒防治和數(shù)據(jù)加密等。3網(wǎng)絡(luò)上信息傳播的安全。包括信息過濾等。它側(cè)重于保護(hù)信息的保密性、真 實性和完整性。避免攻擊者進(jìn)行有損 于合法用戶的行為。本質(zhì)上是保護(hù)用戶的利 益和隱私。4、安全的主

5、要屬性：完整性、保密性、可用性、不可抵賴性、可靠性。安全的其他屬性：可控性、可審查性、真實性（注:一般通過認(rèn)證、訪問控制來實 現(xiàn)真實性。5、網(wǎng)絡(luò)安全的主要威脅因素：信息系統(tǒng)自身安全的脆弱性、操作系統(tǒng)與應(yīng)用程 序漏洞、安全管理問題、黑客攻擊、網(wǎng)絡(luò)犯罪。第2講網(wǎng)絡(luò)攻擊階段、技術(shù)及防范策略1、黑客與駭客。根本的區(qū)別在于是否以犯罪為目的。黑客是指利用計算機(jī)技 術(shù),非法入侵或者擅自操作他人（包括國家機(jī)關(guān)、社會組織及個人計算機(jī)信息系統(tǒng)， 對電子信息交流安全具有不同程度的威脅性和危害性的人（一般是研究為主。駭客 指利用計算機(jī)技術(shù)，非法入侵并擅自操作他人計算機(jī)信息系統(tǒng)，對系統(tǒng)功能、數(shù)據(jù)或 者程序進(jìn)行干 擾、破

6、壞，或者非法侵入計算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源 ，實施金 融詐騙、盜竊、貪污、挪用公款、竊取國家 秘密或其他犯罪的人（一般是犯罪為主。駭客包括在黑客概念之中，前者基本上是計算機(jī)犯罪的主體，后者的行為不一定 都構(gòu)成犯罪。2、網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術(shù)、電子郵 件攻擊、通過一個節(jié)點攻擊另一節(jié)點、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。3、網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵和遠(yuǎn)程入侵。4、遠(yuǎn)程攻擊的一般過程：遠(yuǎn)程攻擊的準(zhǔn)備階段、遠(yuǎn)程攻擊的實施階段、遠(yuǎn)程攻 擊的善后階段。5、遠(yuǎn)程攻擊的準(zhǔn)備階段：確定攻擊目標(biāo)、信息收集、服務(wù)分析、系統(tǒng)分析、漏 洞分析。6、常見

7、的攻擊目的有破壞型和入侵型兩種。破壞型攻擊一一是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo) 上的系統(tǒng)運(yùn)行。入侵型攻擊一一這種攻擊要獲得一定的權(quán)限才能達(dá)到控制攻擊目標(biāo)的目的。應(yīng)該說這種攻擊比破 壞型攻擊更為普遍，威脅性也更大。因為攻擊者一旦掌握了一定的權(quán)限、甚至是管 理員權(quán)限就可以對目標(biāo)做任何動作，包括破壞性質(zhì)的攻擊。7、信息收集階段：利用一切公開的、可利用的信息來調(diào)查攻擊目標(biāo)。包括目標(biāo) 的操作系統(tǒng)類型及版本、相關(guān)軟件的 類型、版本及相關(guān)的社會信息。包括以下技 術(shù):低級技術(shù)偵察、 Web搜索、Whois數(shù)據(jù)庫、域名系統(tǒng)（DNS偵察。8、低級技術(shù)偵察，分別解釋:社交工程、物理闖入、垃圾

8、搜尋。9、確定目標(biāo)主機(jī)采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint10、遠(yuǎn)程攻擊的實施階段：作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為 入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能 高的權(quán)限。包括三個過程：預(yù)攻擊探測：為進(jìn)一步入侵提供有 用信息；口令破解與攻 擊提升權(quán)限；實施攻擊:緩沖區(qū)溢出、拒絕服務(wù)、后門、木馬、病毒。11、遠(yuǎn)程攻擊常用的攻擊方法：第一類:使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪 問權(quán):基于堆棧的緩沖區(qū)溢出、密 碼猜測、網(wǎng)絡(luò)應(yīng)用程序攻擊。第二類：使用網(wǎng)絡(luò)攻 擊獲得訪問權(quán)：嗅探、IP地址欺騙、會話劫持。第三類：拒絕服務(wù) 攻擊。12、遠(yuǎn)程

9、攻擊的善后階段：維護(hù)訪問權(quán)、掩蓋蹤跡和隱藏。攻擊者在獲得系統(tǒng) 最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自 己的蹤跡,最簡單的方法就是刪除日志文件。但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對日志文件中有關(guān)自己的那部分作修改。13：黑客入侵的一般完整模式：隱藏自己-踩點-掃描-查點-分析并入侵f 獲取權(quán)限-擴(kuò)大范圍-安裝后門-清除日志并隱身。（注意:一般完整的攻擊過程 都是先隱藏自己，然后再進(jìn)行踩點或預(yù)攻擊探測 檢測目標(biāo)計算機(jī) 的各種屬性和具備 的被攻擊條件，然后采取相應(yīng)的攻擊方法進(jìn)行破壞，達(dá)到自己的目的，之后攻擊者會刪 除自己的行為日志。14、

10、為防止黑客入侵，個人用戶常見防護(hù)措施：防火墻、殺毒軟件定期升級和殺 毒、定期及時升級系統(tǒng)和軟件補(bǔ)丁、定期備份系統(tǒng)或重要文件、加密重要文件、關(guān)閉不常用端口、關(guān)閉不常用程序和服務(wù)、發(fā)現(xiàn)系統(tǒng)異常立刻檢查。15:網(wǎng)絡(luò)管理常用的防護(hù)措施：完善安全管理制度、采用訪問控制措施、運(yùn)行數(shù)據(jù)加密措施、數(shù) 據(jù)備份與恢復(fù)。16、物理環(huán)境的安全性體現(xiàn)：包括通信線路的安全，物理設(shè)備的安 全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟 件、傳輸介質(zhì)，軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備，設(shè)備的備份，防 災(zāi)害能力、防干擾能力，設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵，不間斷電源保障，等第3講:掃

11、描與防御技術(shù)1、掃描器:掃描器是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點的程序。集成了 常用的各種掃描技術(shù)。掃描器的掃描 對象:能自動發(fā)送數(shù)據(jù)包去探測和攻擊遠(yuǎn)端或 本地的端口和服務(wù)，并自動收集和記錄目標(biāo)主機(jī)的各項反饋信息。掃 描器對網(wǎng)絡(luò)安 全的作用：據(jù)此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。2、網(wǎng)絡(luò)掃描器的主要功能：掃描目標(biāo)主機(jī)識別其工作狀態(tài)（開/關(guān)機(jī)、識別目標(biāo) 主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉、識別目標(biāo)主機(jī)操作系統(tǒng)的類型和版本、識別目標(biāo)主 機(jī)服務(wù)程序的類型和版本、分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點、生成掃描結(jié)果報告03、網(wǎng)絡(luò)掃描的作用：可以對計算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，

12、以找出安全隱患和可能被黑客利用的 漏洞。4、網(wǎng)絡(luò)漏洞：網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存 在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限，造成信息篡改、拒絕服務(wù)或系 統(tǒng)崩潰等問題。5、一個完整的網(wǎng)絡(luò)安全掃描分為三個階段：第一階段:發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。 第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目 標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服 務(wù)軟件的版本等。如果目標(biāo)是一個網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò) 的拓?fù)浣Y(jié)構(gòu)、路 由設(shè)備以及各主機(jī)的信息。第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測試系統(tǒng) 是否存在安全漏洞。6、網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃描、操作系統(tǒng)探測、穿透防火墻探測、端 口掃描、漏

13、洞掃描等：1 PING掃描用于掃描第一階段，識別系統(tǒng)是否活動。2 OS探 測、穿透防火墻探測、端口掃描用于掃描第二階段。OS探測是對目標(biāo)主機(jī)運(yùn)行的OS進(jìn)行識別；穿透防火墻探測用于獲取被防火墻保護(hù)的網(wǎng)絡(luò)資料 ；端口掃描是通 過與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)。3漏洞掃描用于安全掃描第三階段，通常是在端口掃 描的基礎(chǔ)上，進(jìn)而檢測出目標(biāo)系統(tǒng)存 在的安全漏洞。7、漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：1基于漏洞庫的特征匹配：通過端口掃描得知 目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)后，將 這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否

14、有滿足匹配條件的漏洞存在；2基于模擬攻擊：通過模擬黑客的攻擊手段，編 寫攻擊模塊，對目標(biāo)主機(jī)系統(tǒng)進(jìn) 行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。8、常用掃描工具：SATAN、Nmap、Nessus、X-scan9、掃描技術(shù)一般可以分為主動掃描和被動掃描兩種，它們的共同點在于在其執(zhí) 行的過程中都需要與受害主機(jī)互通正?；蚍钦５臄?shù)據(jù)報文。其中主動掃描是主 動向受害主機(jī)發(fā)送各種探測數(shù)據(jù)包，根據(jù)其回應(yīng)判斷掃描的結(jié)果。被動 掃描由其性 質(zhì)決定，它與受害主機(jī)建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被 動掃描不會向受 害主機(jī)發(fā)送大規(guī)模的探測數(shù)據(jù)。

15、10、掃描的防御技術(shù)：反掃描技術(shù)、端口掃描監(jiān)測工具、防火墻技術(shù)、審計技 術(shù)、其它防御技術(shù)。11、防范主動掃描可以從以下幾個方面入手:（1減少開放端口，做好系統(tǒng)防護(hù)；（2 實時監(jiān)測掃描，及時做出告 警；（3偽裝知名端口，進(jìn)行信息欺騙。12、被動掃描防范方法到目前為止只能采用信息欺騙 （如返回自定義的banner 信息或偽裝知名端口這一種方法。13、防火墻技術(shù)是一種允許內(nèi)部網(wǎng)接入外部網(wǎng) 絡(luò)，但同時又能識別和抵抗非授權(quán)訪問的網(wǎng)絡(luò)技術(shù)，是網(wǎng)絡(luò)控制技術(shù) 中的一種。防火 墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，控制所有從因特網(wǎng)流入或流向因特 網(wǎng)的信息都經(jīng)過防火墻，并檢查這些信息，通過允許、

16、拒絕或重新定 向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng) 絡(luò)的服務(wù)和訪問的審計和控制。14、審計技術(shù)是使用信息系統(tǒng)自動記錄下的網(wǎng)絡(luò)中機(jī)器的使用時間、敏感操作 和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因 查詢、事故發(fā)生后的實時處理提供詳細(xì)可靠的依據(jù)或支持。審計技術(shù)可以記錄網(wǎng)絡(luò)連接的請求、返回等信息，從中識別出掃描行 為。15:為什么說掃描器是一把雙刃劍？掃描器能夠自動的掃描檢測本地和遠(yuǎn)程系統(tǒng) 的弱點，為使用者提供幫助。系統(tǒng) 或網(wǎng)絡(luò)管理員可以利用它來檢測其所管理的網(wǎng)絡(luò) 和主機(jī)中存在哪些漏洞，以便及時打上補(bǔ)丁，增加防護(hù)措施，或用來對系統(tǒng)進(jìn)行安全等 級評估。黑客可以利用它來獲取主機(jī)信息，尋找具備某些弱點的主機(jī)，為

17、進(jìn)一步攻擊 做準(zhǔn)備。因此，掃描器是一把雙刃劍。普通用戶對掃描的防御：用戶要減少開放的 端口，關(guān)閉不必的服務(wù)，合理地配置防火 墻，以防范掃描行為。第4講:網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)1、網(wǎng)絡(luò)監(jiān)聽的概念：網(wǎng)絡(luò)監(jiān)聽技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù) （Network Sniffing，是一 種在他方未察覺的情況下捕獲其通 信報文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng) 絡(luò)監(jiān)聽技術(shù)對于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對網(wǎng)絡(luò)管理員來說，它是了解網(wǎng)絡(luò)運(yùn)行狀況的有力助手，對黑客而言，它是有效收集信息的手 段。網(wǎng)絡(luò)監(jiān)聽 技術(shù)的能力范圍目前只限于局域網(wǎng)。2:嗅探器（sniffer是利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計

18、算機(jī)的數(shù)據(jù)報 文的一種技術(shù)。工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來。1嗅探攻擊的基本原理是：當(dāng)網(wǎng)卡被設(shè)置為混雜接收模式時，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會被 網(wǎng)卡接收，然后把這些數(shù)據(jù)傳給嗅探程序，分析出攻擊者想要的敏感信息，如賬號、密 碼等,這樣就 實現(xiàn)了竊聽的目的。2嗅探器造成的危害：能夠捕獲口令；能夠捕獲專 用的或者機(jī)密的信息；可以用來危害網(wǎng)絡(luò)鄰 居的安全，或者用來獲取更高級別的訪問 權(quán)限;窺探低級的協(xié)議信息。被動嗅探入侵往往是黑客實施一次實際劫持或入侵的第一步。3 Sniffer的正面應(yīng)用：在系統(tǒng)管理員角度來看，網(wǎng)絡(luò)監(jiān)聽的主要用途是進(jìn)行 數(shù)據(jù)包分析，通過網(wǎng)絡(luò)監(jiān)聽軟件，管理員可以觀測分

19、析實時經(jīng)由的數(shù)據(jù)包，從而快速的 進(jìn)行網(wǎng)絡(luò)故障定位。4 Sniffer的反面應(yīng)用：入侵者與管理員感興趣的（對數(shù)據(jù)包進(jìn) 行分析有所不同，入侵者感興趣的是數(shù)據(jù)包的內(nèi)容，尤其是賬號、口令等敏感內(nèi) 容。3、網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點到點式。 廣播式網(wǎng)絡(luò)傳輸技術(shù)：僅有一條通信信道,由網(wǎng)絡(luò)上的所有機(jī)器共享。信 道上傳輸?shù)姆纸M可以被任何機(jī)器發(fā)送并被其他所 有的機(jī)器接收。點到點網(wǎng)絡(luò)傳輸技術(shù)：點到點網(wǎng)絡(luò)由一對對機(jī)器之 間的多條連接構(gòu) 成，分組的傳輸是通過這些連接直接發(fā)往目標(biāo)機(jī)器，因此不存在發(fā)送分組被多方接收 的問題。4、網(wǎng)卡的四種工作模式：（1廣播模式:該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的 廣播信息。（2組播模式:該模式

20、下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3直接模式：在這種 模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4混雜模 式:（Promiscuous Mode在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其 目的MAC地址是什么。5、共享式局域網(wǎng)就是使用集線器或共用一條總線的局域 網(wǎng)。共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的 ，因為集線器不能識別幀，所以它 就不知道一個端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個端口 ，它只好把幀發(fā)送到除源端口以外 的所有 端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都可以收到這些幀。如果共享式局域網(wǎng)中的一 臺主機(jī)的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的 話，那么，對于這臺主機(jī)的網(wǎng)絡(luò)接口而言，任何 在這個局

21、域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦牭降摹Ｖ鳈C(jī)的這種狀態(tài)也就是監(jiān)聽模式。處于監(jiān)聽模式下的主機(jī)可以監(jiān)聽到同一個網(wǎng)段下的其他主機(jī)發(fā)送信息的數(shù)據(jù) 包。6、在實際應(yīng)用中，監(jiān)聽時存在不需要的數(shù)據(jù)，嚴(yán)重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān) 聽模塊過濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān) 聽的關(guān)鍵。信息的過濾包括以下幾種：站過濾，協(xié) 議過濾，服務(wù)過濾，通用過濾。同時根據(jù)過濾的時間，可以分為 兩種過濾方式：捕獲前 過濾、捕獲后過濾。7、交換式以太網(wǎng)就是用交換機(jī)或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這 些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的 MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個端口。 因為端口間的幀傳輸彼此屏蔽，因此節(jié)點就不擔(dān)心自己發(fā)送的幀會被發(fā)送 到非

22、目的 節(jié)點中去。交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽的困擾。8、交換機(jī)的安全性也面臨著嚴(yán)峻的考驗，隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有 如下方法來實現(xiàn)在交換式以太網(wǎng)中 的網(wǎng)絡(luò)監(jiān)聽：溢出攻擊；ARP欺騙（常用技術(shù)。9、溢出攻擊：交換機(jī)工作時要維護(hù)一張 MAC地址與端口的映射表。但是用于維護(hù)這張表的內(nèi)存是有限的。如用大 量的錯誤MAC地址的數(shù)據(jù)幀對交換機(jī)進(jìn)行 攻擊，交換機(jī)就可能出現(xiàn)溢出。 這時交換機(jī)就會退回到HUB的廣播方式，向所有的 端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容易了。10、ARP的工作過程:（1主機(jī)A不知道主機(jī)B的MAC地址，以廣播方式發(fā)出 一個含有主機(jī)B的IP地址的ARP請求；（2網(wǎng)內(nèi)

23、所有主機(jī)受到ARP請求后，將自己 的IP地址與請求中的IP地址相比較，僅有B做出ARP響應(yīng)，其中含有 自己的MAC 地址；（3主機(jī)A收到B的ARP響應(yīng),將該條IP-MAC映射記錄寫入ARP緩存中，接 著進(jìn)行通信。11、ARP欺騙:計算機(jī)中維護(hù)著一個IP-MAC地址對應(yīng)表，記錄了 IP 地址和MAC地址之間的對應(yīng)關(guān)系。該表將隨 著ARP請求及響應(yīng)包不斷更新。通 過ARP欺騙,改變表里的對應(yīng)關(guān)系，攻擊者可以成為被攻擊者與交換機(jī)之間的中間人”使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機(jī)的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。12、監(jiān)聽的防御：1通用策略:a、采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)分段越

24、細(xì)，嗅探器能夠收集的信 息就越少；b、數(shù)據(jù)加密技術(shù)：數(shù)據(jù)通道加密（SSH、SSL和VPN ;數(shù)據(jù)內(nèi)容加密 （PGP 02共享網(wǎng)絡(luò)下的防監(jiān)聽：檢測處于混雜模式的網(wǎng)卡；檢測網(wǎng)絡(luò)通訊丟包率；檢測網(wǎng) 絡(luò)帶寬反常現(xiàn)象。3交換網(wǎng)絡(luò)下的防監(jiān)聽：主要要防止ARP欺騙及ARP過載。交換網(wǎng)絡(luò)下防范監(jiān) 聽的措施主要包括：a.不要把網(wǎng)絡(luò) 安全信任關(guān)系建立在單一的IP或MAC基礎(chǔ)上，理 想的關(guān)系應(yīng)該建立在IP-MAC對應(yīng)關(guān)系的基礎(chǔ)上。b.使用靜態(tài)的ARP或者IP- MAC 對應(yīng)表代替動態(tài)的ARP或者IP-MAC對應(yīng)表，禁止自動更新，使用手動更新。 c.定期檢查ARP請求,使用ARP監(jiān)視工具，例如ARPWatch等監(jiān)視并

25、探測ARP欺 騙。d.制定良好的安全管理策略，加強(qiáng)用戶安全意識。第5講:口令破解與防御技術(shù)1、口令的作用：2、口令破解獲得口令的思路：3、手工破解的步驟一般為：4、自動破解：5、口令破解方式：6、詞典攻擊：7、強(qiáng)行攻擊：8、組合攻擊9、社會工程學(xué)10、重放：11、Windows的口令文件：12、Windows的訪問控制過程：13、口令攻擊的防御：1好的口令：2保持口令的安全要點：3強(qiáng)口令？14、對稱加密方法加密和解密都使用同一個密鑰。如果我加密一條消息讓你來 破解，你必須有與我相同的密鑰來解 密。這和典型的門鎖相似。如果我用鑰匙鎖上 門，你必須使用同一把鑰匙打開門。15、不對稱加密使用兩個密鑰

26、克服了對稱加密的缺點 ：公鑰和私鑰。私鑰僅為所有者所知，不和其他任何人共享；公鑰向所有會和用戶通信的人公 開。用用戶的公鑰加密的東西只能用用戶的私鑰解開，所以這種方法相當(dāng)有效。別 人給用戶發(fā)送用用戶的公鑰加密的信息,只有擁有私鑰的人才能解開。16、隨著生物技術(shù)和計算機(jī)技術(shù)的發(fā)展，人們發(fā)現(xiàn)人的許多生理特征如指紋、 掌紋、面孔、聲音、虹膜、視網(wǎng)膜等 都具有惟一性和穩(wěn)定性，每個人的這些特征都 與別人不同，且終身不變，也不可能復(fù)制。這使得通過識別用戶的這些生理特征來認(rèn) 證用戶身份的安全性遠(yuǎn)高于基于口令的認(rèn)證方式。利用生理特征進(jìn)行生物識別的方 法主要有指紋識 別、虹膜識別、掌紋識別、面像識別；其中，虹膜

27、和指紋識別被公認(rèn) 為是最可靠的兩種生物識別。利用行為特征進(jìn)行識別的主要有：聲音、筆跡和擊鍵識別等。第6講:欺騙攻擊及防御技術(shù)1、在Internet上計算機(jī)之間相互進(jìn)行的交流建立在兩個前提之下：2、欺騙：3、目前比較流行的欺騙攻擊主要有 5種：4、最基本的IP欺騙技術(shù)：5、TCP會話劫持：6、TCP會話劫持過程：7、IP欺騙攻擊的防御：8、ARP欺騙攻擊9、ARP欺騙原理：10、ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：11、檢測局域網(wǎng)中存在 ARP欺騙攻擊現(xiàn)象：12、ARP欺騙攻擊的防范：13、執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執(zhí)行不同層次 的隱蔽。它們分別是：利用相似的

28、電子郵件地址；直接使用偽造的E-mail地址;遠(yuǎn)程 登錄到SMTP端口發(fā)送郵件。14電子郵件欺騙的防御：15、DNS欺騙的原理：16、DNS欺騙主要存在兩點局限性：17、DNS欺騙的防御：18、Web欺騙是一種電子信息欺騙，攻擊者創(chuàng)造了一個完整的令人信服的 Web 世界，但實際上它卻是一個虛假的復(fù) 制。虛假的Web看起來十分逼真，它擁有相同 的網(wǎng)頁和鏈接。然而攻擊者控制著這個虛假的Web站點，這樣受害者 的瀏覽器和Web之間的所有網(wǎng)絡(luò)通信就完全被攻擊者截獲。Web欺騙能夠成功的關(guān)鍵是在受害者和真實Web服務(wù)器之間插入攻擊者的 Web服務(wù)器，這種攻擊常被稱為 中間人 攻擊（man-in-the-

29、middle 典型案例：網(wǎng)絡(luò)釣魚。19、防范Web欺騙的方法：第7講:拒絕服務(wù)攻擊與防御技術(shù)1、拒絕服務(wù)（Denial of Service,簡稱DoS是利用傳輸協(xié)議中的某個弱點、系統(tǒng) 存在的漏洞、或服務(wù)的漏洞，對目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的 海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯誤，致使其無法處理合法用戶的正常請求，無法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死 機(jī)。簡單的說,拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種損人不利己”的攻擊手段。2、拒絕服務(wù)攻擊是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。3、從實施DoS攻擊所用的思路來看，DoS攻擊可以分為：4、

30、典型拒絕服務(wù)攻擊技術(shù)：5、Ping of Death:6、淚滴（Teardrop :7、Land 攻擊：8、Smurf 攻擊9、分布式拒絕服務(wù) DDoS （Distributed Denial of Service 攻擊10、分布式拒絕服務(wù)攻擊的軟件一般分為客戶端、服務(wù)端與守護(hù)程序，這些程序可以使協(xié)調(diào)分散在互聯(lián)網(wǎng)各處的機(jī) 器共同完成對一臺主機(jī)攻擊的操作，從而使主 機(jī)遭到來自不同地方的許多主機(jī)的攻擊?？蛻舳?：也稱攻擊控制臺，它是發(fā)起攻擊的 主機(jī);服務(wù)端:也稱攻擊服務(wù)器，它接受客戶端發(fā)來的控制命令；守護(hù)程序：也稱攻擊 器、攻擊代理，它直接（如SYN Flooding）或者間接（如反射式 DDoS

31、）與攻擊目標(biāo)進(jìn)行 通信。11、分布式拒絕服務(wù)攻擊攻擊過程主要有以下幾個步驟：12、被DDoS攻擊時的現(xiàn)象：13、DDoS攻擊對Web站點的影響：14、拒絕服務(wù)攻擊的防御： 15、DDOS工具產(chǎn)生的網(wǎng)絡(luò)通信信息有兩種：16、DDoS的唯一檢測方式是： 17、分布式拒絕服務(wù)攻擊的防御：優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu)；保護(hù)網(wǎng)絡(luò)及主機(jī)系統(tǒng)安全；安 裝入侵檢測系統(tǒng)；與ISP服務(wù)商合作;使用掃描工具.18、無論是DoS還是DDoS攻 擊，其目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時接收并處理外界請求，表現(xiàn)為：制造大流 量無用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信。利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié) 議上處

32、理重復(fù)連接的缺陷，反復(fù)高頻的發(fā) 出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機(jī)無法及時處理其它正常的請求。利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身的實現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù) 引發(fā)系統(tǒng)錯誤的分配大量 系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)。第8講：緩沖區(qū)溢出攻擊及防御技術(shù)1、緩沖區(qū)是包含相同數(shù)據(jù)類型實例的一個連續(xù)的計算機(jī)內(nèi)存塊。是程序運(yùn)行期間在內(nèi)存中分配的一個連續(xù)的區(qū)域，可以保存相同數(shù)據(jù)類型的多個實例，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型。2、所謂溢出，就是灌滿， 使內(nèi)容物超過頂端，邊緣，或邊界，其實就是所填充的數(shù)據(jù)超出了原有的緩沖區(qū)邊 界。3、所謂緩沖區(qū)溢出，就是向固定長度的緩沖區(qū)中寫入超出其預(yù)先分

33、配長度的 內(nèi)容，造成緩沖區(qū)中數(shù)據(jù)的溢出，從而 覆蓋了緩沖區(qū)周圍的內(nèi)存空間。黑客借此 精心構(gòu)造填充數(shù)據(jù)，導(dǎo)致原有流程的改變，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲取控制權(quán)。4、常見緩沖區(qū)溢出類型：5、緩沖區(qū)溢出攻擊的過程：6、緩沖區(qū)溢 出的真正原因：第9講：Web攻擊及防御技術(shù)1、Web安全含三個方面：Web服 務(wù)器的安全；Web客戶端的安全；Web通信信道的安全。2、針對Web服務(wù)器的 攻擊分為兩類：3、對Web應(yīng)用危害較大的安全問題分別是：4、Web服務(wù)器指紋：5、Web頁面盜竊的目的6、Web盜竊防御方法：7、跨站腳本攻擊（Cross Site Script: 8、跨站腳本攻擊的危害：9、跨站腳

34、本漏洞形成的原因：10、實現(xiàn)跨站 腳本的攻擊至少需要兩個條件：11、XSS攻擊最主要目標(biāo)不是 Web服務(wù)器本身， 而是登錄網(wǎng)站的用戶。12、防御跨站腳本攻擊13、所謂SQL注入，就是通過把 SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺 騙服務(wù)器執(zhí)行惡意的SQL命令。（SQL注入原理：隨著B/S網(wǎng)絡(luò)應(yīng)用的普及， Web應(yīng)用多使用腳本語言（ASP、PHP等）加后臺數(shù)據(jù)庫系統(tǒng)進(jìn)行開發(fā)。在這些 網(wǎng)絡(luò)程序中，用戶輸入的數(shù)據(jù)被當(dāng)作命令和查詢的一部分，送到后臺的解 釋器中 解釋執(zhí)行。相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性 進(jìn)行判斷，使應(yīng)用程序存 在安全隱

35、患。攻擊者可以提交一段精心構(gòu)造的數(shù)據(jù)庫查 詢代碼，根據(jù)網(wǎng)頁返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或者目標(biāo)網(wǎng)站的敏感信息，這就是所謂的SQL Injection,即SQL注入。）14、SQL注入受影響的系統(tǒng):15、SQL注入的防范：第10講：木馬攻擊與防御技術(shù)1、木馬的定義：2、木馬程序的企圖可以對應(yīng) 分為三種：3、木馬的危害：4、木馬的特點：5、木馬實現(xiàn)原理：6、木馬植入技 術(shù)可以大概分為主動植入與被動植入兩類。所謂主動植入，就是攻擊者主動將木馬程序種到本地或 者是遠(yuǎn)程主機(jī)上，這個行為過程完全由攻擊者主動掌握。而被 動植入，是指攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動等待目標(biāo)系統(tǒng)用戶的某種可能的操作，只有

36、這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。7、在Windows系統(tǒng)中木馬程序的自動加載技術(shù)主要有：8、隱蔽性是木馬程序與其它程序的重要區(qū)別，想要隱藏木馬的服務(wù)端，可以是偽隱藏，也可以是真隱藏。偽隱藏是 指程 序的進(jìn)程仍然存在，只不過是讓它消失在進(jìn)程列表里。真隱藏則是讓程序徹底的消 失，不以一個進(jìn)程或者服務(wù) 的方式工作。常見隱藏技術(shù)：9、常見木馬使用的端 口 : 10、反彈窗口的連接技術(shù)與傳統(tǒng)木馬連接技術(shù)相比有何區(qū)別與優(yōu)勢？11、木馬的遠(yuǎn)程監(jiān)控功能：獲取目標(biāo)機(jī)器信息，記錄用戶事件，遠(yuǎn)程操作。12、木馬的檢測方法：端口掃描和連接檢查；檢查系統(tǒng)進(jìn)程；檢查 ini文件、注冊表和服 務(wù)；監(jiān)視網(wǎng)絡(luò)通訊。

37、13、木馬的消除與善后：知道了木馬加載的地方，首先要作 的當(dāng)然是將木馬登記項刪除，這樣木馬就無法在開機(jī)時啟動了。不過有些木馬會監(jiān)視注冊表，一旦你刪除，它立即就會恢復(fù)回來。因此，在刪除前需要將木馬進(jìn)程 停止，然后根據(jù)木馬登記的目錄將相應(yīng)的木馬程序刪除。以冰河為例說明具體清 除步驟并適當(dāng)解釋。1斷開網(wǎng)絡(luò)連接；2）檢查進(jìn)程并掃描；3首先運(yùn)行注冊表編 輯器，檢查注冊表中txt文件的關(guān)聯(lián)設(shè)置；4接著檢查注冊表中的EXE文件關(guān)聯(lián)設(shè) 置；5進(jìn)入系統(tǒng)目錄System32,刪除冰河木馬的可執(zhí)行文件 kernel32.exe和 sysexplr.exe； 6修改文件關(guān)聯(lián)；7重新啟動，然后用殺毒軟件對系統(tǒng)進(jìn)行一次全

38、面 的掃描，這樣可以排除遺漏的木馬程序。以網(wǎng)絡(luò)管理員角度在清除木 馬后進(jìn)行善后工作：1判斷特洛伊木馬存在時間長短；2調(diào)查攻擊者在入侵機(jī)器之后有哪些行 動；3對于安全性要求 一般的場合，修改所有的密碼，以及其他比較敏感的信息（例如信用卡號碼等）；4在安全性要求較高的場合，任何 未知的潛在風(fēng)險都是 不可忍受的，必要時應(yīng)當(dāng)調(diào)整管理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人，徹底檢測整個網(wǎng)絡(luò)，修改所有密碼，在此基礎(chǔ)上再執(zhí)行后繼風(fēng)險分析。對于被入侵的機(jī)器，重新進(jìn)行徹 底的格式化和安裝。14、木馬的防范：木馬實質(zhì)上是一個程序，必須運(yùn)行后才能 工作，所以會在計算機(jī)的文件系統(tǒng)、系統(tǒng)進(jìn)程表、注冊 表、系統(tǒng)文件和日志等中 留下蛛絲馬跡

39、，用戶可以通過 查、堵、殺”等方法檢測和清除木馬。具具體防范技 術(shù)方法主要包括：檢查木馬程序名稱、注冊表、系統(tǒng)初始化文件和服務(wù)、系統(tǒng)進(jìn) 程和開放端口，安裝防病毒軟件，監(jiān)視 網(wǎng)絡(luò)通信，堵住控制通路和殺掉可疑進(jìn)程 等。常用的防范木馬程序的措施：1及時修補(bǔ)漏洞，安裝補(bǔ)?。?2運(yùn)行實時監(jiān)控程 序；3培養(yǎng)風(fēng)險意識，不使用來歷不明的軟件；4即時發(fā)現(xiàn)，即時清 除。第11講：計算機(jī)病毒1、狹義的計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞 計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，且能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒一般依附于其他程序或文檔，是能夠自身復(fù)制，并且產(chǎn)生 用戶不知情或不希望、甚至惡意的操作的非正常程序。但是隨著黑客技術(shù)的發(fā)展，病毒、木馬、蠕蟲往往交叉在一起 相互借鑒技術(shù)，因此人們經(jīng)常說的計算機(jī) 病毒往往是指廣義上的病毒，它是一切惡意程序的統(tǒng)稱。2、計算機(jī)病毒的特點：3、計算機(jī)病毒的破壞性：4、計算機(jī)病毒引起的異常狀況：5、按照計算機(jī)病毒的 鏈接方式分類：6、按照計算機(jī)病毒的破壞情況分類：7、按寄生方式和傳染途徑分類：8、計算機(jī)病毒程序的模塊劃分：9、計算機(jī)病毒的生命周期：10、病毒傳 播途徑：11、病毒感染目標(biāo)：12、計算機(jī)病毒的觸發(fā)機(jī)制：13、計算機(jī)病毒的破壞機(jī) 制：14、典型的計算機(jī)病毒：15、計算機(jī)病毒的預(yù)防措施