网络安全 复习提纲

网络安全:网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连

续、可靠、正常地运行，服务不中断。

威胁：威胁是指任何可能对网络造成潜在破坏的人或事。

网络协议：网络协议是指计算机通信的共同语言，是通信双方约定好的彼此遵循的一定的规则。

漏洞：漏洞也叫脆弱性，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。

安全策略：安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。

网络安全的特征：保密性、完整性、可用性、可控性。

五种路由攻击：源路由选项的使用、伪装成ARP包、OSPF的攻击、BGP缺陷应用层协议：Finger、FTP、Telnet、TFTP/Bootp、DNS

黑客攻击技术：获取口令、防止特洛伊木马、Web欺骗技术、电子邮件攻击、间接攻击、网络监听、寻找系统漏洞、缓冲区溢出。

面对威胁的防范措施：完善安全管理制度、采用访问控制、数据加密措施、数据

备份与恢复。

制定安全管理策略的原则：适用性原则、可行性原则、动态性原则、简单性原则、

系统性原则。

网络安全体系层次：物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

网络安全体系设计准则：网络信息安全的木桶原则、网络信息安全的整体性原则、安全性评价与平衡原则、标准化与一致性原则、技术与管理相结合原则、统筹规划，分步实施原则、等级性原则、动态发展原则、易操作性原则。

入侵的两种类型：本地入侵和远程入侵。

远程攻击的一般步骤：准备阶段、实施阶段、善后阶段。

远程攻击的准备阶段：确定攻击的目的、信息收集、服务分析、系统分析、漏洞分析。

系统漏洞分类：系统漏洞分为远程漏洞和本地漏洞。

远程攻击的善后:留下后门和擦除痕迹。

扫描技术：扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。

扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的程序。

网络扫描器可通过执行一些脚本文件来模拟对网络系统进行攻击的行为并记录系统的反应，从而搜索目标网络内的服务器、路由器、交换机和防火墙等设备的类型与版本，以及在这些远程设备上运行的脆弱服务，并报告可能存在的脆弱性。漏洞扫描：使用漏洞扫描程序对目标系统进行信息查询。

全扫描：这是最基本的TCP扫描，使用系统提供的connect（）函数来连接目标端口，尝试与目标主机的某个端口建立一次完整的三次握手过程。

半连接扫描：没有建立一个完整的TCP连接，但扫描程序也能从目标主机的应答中知道目标主机的某个端口是否开放的扫描。

秘密扫描：不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽的多。

扫描三步曲:

第一阶段：发现目标主机或网络。

第二阶段：发现目标后进一步搜集目标信息，包括对目标主机运行的操作系统类型进行识别、通过端口扫描技术查看该系统处于监听或运行章台的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。

第三阶段：根据收集到的信息判断或者进一步测试系统是否存在安全漏洞。

常见的扫描技术：主机扫描、端口扫描（全扫描、半扫描、秘密扫描）、远程主机OS指纹识别、漏洞扫描

常用扫描器：SATAN、ISS Internet Scanner、Nessus、Nmap、X-Scan。

扫描防御的建议：用户要减少开放的端口，关闭不必要的服务，屏蔽敏感信息，合理地配置防火墙和IDS，安装系统补丁，以防范扫描行为。对于专门从事反黑客工作的专业人员，最好还要适当利用陷阱技术。

网络嗅探：网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。

（1）交换式以太网：使用交换机或其他非广播式交换设备组建成的局域网。（2）网卡的四种工作模式：

广播模式：该模式下的网卡能够接收网络中的广播信息。

组播模式：该模式下的网卡能够接受特定的组播数据。

直接模式：在这种模式下，网卡在工作时只接受目的地址匹配本机MAC地址的数据帧。

混杂模式：在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的

MAC地址是什么。

网络嗅探防御通用策略：安全的网络拓扑结构、会话加密、注意重点区域的安全防护

ARP检测：

地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件

地址到IP地址的解析。适用于所有基于以太网的IPV4协议。

我们可以使用这类分组来校验网卡是否被设置为混杂模式。

在混杂模式下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。

基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。

以太网的嗅探技术:共享式网络下的嗅探技术

交换式网络下的嗅探技术

溢出攻击,采用ARP欺骗

（1）词典攻击：使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程。

强行攻击:如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种攻击方式叫做强行攻击（也叫做暴力破解）。（2）组合攻击：组合攻击是在使用词典单词的基础上在单词的后面串接几个字母和数字进行攻击的攻击方式，它介于词典攻击和强行攻击之间。

典型口令破解工具：John The Ripper、L0phtcrack

口令破解的防御：

使用强口令、防止未授权泄露、修改和删除

采用一次性口令技术避免窃听和重放攻击

制定口令管理策略

口令认证：安全控件、动态口令、U顿、数字证书、短信验证

可以代替口令认证的还有什么？

可以使用IC卡代替口令认证。

要对网络口令进行安全保护，如何做？e.g.淘宝网管理员

①动态口令②短信验证③IE安全控件④次数限制

（1）欺骗：一种冒充身份通过认证以骗取信任的攻击方式。

（2）IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权。