网络攻击与防范复习纲要
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络攻击与防范复习纲要
Slide 1 概论
1.安全定义[4]
a)保守安全:将安全问题隐藏起来才是最好的解决办法。
表面上看,隐藏就可以
避免网络安全问题,但是不能证明不会被人发现安全漏洞,也不能阻止掌握了
这种漏洞的人去利用这些网络安全问题。
b)开放安全:认为网络安全问题不应该隐藏,只有不断地去发现和解决这些安全
问题,才能让计算机网络系统变得更安全。
2.信息安全[8]
特性:机密性、完整性、可用性、真实性和不可抵赖性。
信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。
”
信息安全涉及到信息的机密性、完整性、可用性、可控性。
3.安全体系结构(P2DR)[62]
Policy 安全策略Protection 保护Detection 检测Response 响应
Slide 2 攻击
1.第一阶段:侦察[5]
a)利用公共信息调查目标
b)社会工程
c)Whois查询与DNS系统
2.第二阶段:检测[30]
a)War Driving 无线存取点探测
b)War Dialing 电话探测系统:一种利用重复拨号的方法来搜索调制解调器和其
他完整的网络接入点的攻击手段
c)Network Mapping 网络映射(traceroute/ping)
d)Port Scanning 端口扫描
i.nmap->TCP Connect Scan[polite] &FIN Scan[impolite]
ii.Xmas tree & Null scan (flags)
iii.FTP Bounce Scan (转发功能)
e)漏洞扫描(Nessus)
3.第三阶段:取得权限/渗透[85]
a)应用/操作系统攻击(利用的定义[90])
i.缓冲区溢出(定义[92])
1)地址空间、虚拟内存
2)栈区操作
3)shellcode[104]☆
4)防御溢出[117]
ii.竞态条件[122]
1)TOCTTOU (Time Of Check To Time Of Use) 检查与使用时间缺陷
iii.密码破解
1)作用[125]
2)密码类型[126]
3)密码攻击类型[127]->中间人攻击[131] 密码猜测[132] 恶意软件[133]
4)Rainbow table一张采用各种加密算法生成的明文和密文的对照表
b)网络攻击[142]
i.嗅探
1)混杂模式
2)被动嗅探:嗅探器(snort/Wireshark)
3)主动嗅探:嗅探器(Dsniff)
ii.钓鱼&DNS欺骗
1)网络钓鱼方式[161]
2)网络钓鱼类型[163]
3)DNS欺骗[165]
iii.会话劫持
1)劫持与欺骗的区别[169](强制离线)
2)劫持步骤[171]
3)类型:主动/被动[172]
4)网络层劫持:序列号预测[177] 重置劫持[181]
5)应用层劫持
6)防御[187]
iv.DoS 拒绝服务攻击[189]
1)停止本地服务
2)耗尽本地资源
3)远程停止服务(SYN Flood/Smurf attack)
4)DDoS 分布式拒绝服务攻击
4.第四阶段:维持访问[206]
a)木马
i.远程控制后门
ii.僵尸网络
b)Rootkit
5.第五阶段:清除访问与隐藏[225]
a)事务日志修改
b)隐蔽通道(隧道技术)
Slide 3 漏洞
1.基本概念
a)定义[7]
b)来源[8]
2.漏洞检测技术[17]
a)形式化方法
i.定义[19]
ii.限制[23]
iii.功能[24]
iv.模型检查[26]☆(规格与验证)
v.规格化[27](状态、转换[29]/行为[30])
vi.验证[33]
1)模型校验[34]
a)时序模型校验(时序逻辑)
b)自动机模型校验(自动机)
2)定理证明[39]
b)渗透测试[41]
i.黑白灰盒[42/43]
ii.缺陷假设方法论[44]☆
1)信息获取
2)漏洞假设
3)漏洞测试
4)漏洞泛化
iii.模糊测试[50] (举例:FileFuzz[55])
iv.代码覆盖[64](块覆盖、分支覆盖、路径覆盖)
3.漏洞分类[73]
分类法:漏洞起源、漏洞时间、漏洞位置
4.漏洞评估[81]
a)定义[84]
b)确定范围[85]
c)网络调研[86]
d)漏洞研究[87]
e)漏洞验证[89]
f)Nessus
Slide 4 恶意代码概论
1.恶意程序结构[7](需要宿主程序、可复制)
2.后门(未说明的方式undocumented way)
a)类型[11](命令行与图形界面)
b)安装与启动[13/14]
3.逻辑炸弹
a)特点:依赖于一个预先定义的时间段、事件发生或触发代码执行
b)内嵌于合法程序中
4.病毒
a)定义[22](寄生、可复制)
b)特性、表现[24/25](slowdown)
c)感染[29]
i.加壳[31/32]
ii.重写[33]
d)分类[35]
i.感染目标分类[35]
ii.感染方式分类[36]
1)系统扇区病毒[37](引导扇区传播[40])
2)隐式病毒[42](阻截反病毒软件的操作系统请求)
3)空腔病毒[43](重写空值填充区,不改变文件大小)
4)病毒隐藏形式
a)加密:需要解密引擎
b)隐蔽:恢复时间戳、拦截系统调用
c)反隐蔽:使得所有文件看起来感染
d)多态:使用等价指令序列、不同加密引擎
e)变形:上下文干扰、垃圾指令
5.木马[50]
a)特点[52] (伪装、可能复制)
b)分类与入侵方式[55-56]
6.Rootkit[58]
a)开发动机与定义[59-60]
b)行为特点[61](清除痕迹、隐藏、维持访问、增强渗透、攻击者竞争)
c)商业使用[65]
d)分类[66-67]
i.分级保护域4层[68]
ii.用户域(程序修改、替换、钩子)
iii.内核域(内核钩子、驱动程序替换、内核对象操作、IO请求钩子、过滤驱动)
iv.入地址表钩子[87]
v.内联函数钩子
vi.注入DLL
vii.系统描述符表钩子[96]
7.蠕虫[119]
a)定义[120](自动、主动、可复制、无触发、传播快)
b)构成[133]
i.传播引擎
ii.目标选择(目标获取)
iii.检测引擎(随机检测、子网检测)
iv.路由蠕虫
v.蠕虫负载
8.僵尸网络[147]
a)定义[148](被侵入主机集合)
b)结构[169](IRC服务器)
c)检测[175](基于主机、网络入侵、异常)
Slide 5 入侵检测
1.防火墙[1]
a)分类[2]
i.包/会话过滤器[4]
1)包过滤[5](易实现、上下文无法检测、应用级攻击无效)
2)会话过滤[9](依赖于可靠链接、针对语法描述、应用级攻击无效)
ii.代理网关[11](电路级:“透明”、IP级过滤/应用级:针对性、不同代理)
1)应用级网关(拼接中继应用级链接、控制范围大、消耗多)
2)电路级网关(拼接中继TCP链接、无上下文检查)
2.堡垒主机[13]
a)定义[13](强化系统)
b)分类[14](单宿主:联通危险、双卡:DMZ)
3.网络过滤器[16]
a)NAT(保护地址与路由)/iptables[20]
b)结构(钩子、原地址转换、伪装)[21/28]
4.入侵检测系统[31]
a)定义[32]
b)结构[37](主机、目标:协同定位->分离)
c)控制策略
i.核心式
ii.半分布式
iii.分布式
d)计时(基于区间、实时)[41]
e)分类[43]
i.HIDS 基于主机[47-49](独立系统:操作系统审计轨迹、系统日志)
ii.NIDS 基于网络[53](感知器、被动接口、OS独立)
iii.AIDS 基于应用[56](应用事务日志、检测未授权行为)
iv.混合
f)技术[60]
i.异常检测(白名单)[61]
1)配置文件、结构[62/64]
2)方法(统计方法、神经网络)
ii.误用检测(黑名单)[67]
1)类型[74](模式匹配)
2)Snort
Slide 6 Web安全
1.威胁[13]
a)SQL注入☆
i.定义[13]
ii.注入过程[17]
1)寻找可能存在SQL注入漏洞的链接
2)测试该网站是否有SQL注入漏洞(添加特殊符号、永真式)
3)猜管理员账号表
4)猜测管理员表中的字段
5)猜测用户名和密码的长度
6)猜测用户名
7)猜测密码
iii.防范[29](过滤特殊符号、摒弃动态SQL语句)
b)隐藏字段攻击[32]
c)跨站脚本攻击(XSS)[33]
i.定义[33]
ii.发起条件[35](漏洞存在、访问页面)
iii.过程[36]
1)寻找XSS漏洞
2)注入恶意代码
3)欺骗用户访问
iv.防御[49]
d)其他攻击:拒绝服务攻击、缓冲区溢出、COOKIE、传输层、异常错误处理、未
验证的重定向
e)上传漏洞[60]
i.客户端检测绕过[63]
ii.服务器端检测绕过
1)内容类型检测[65]
2)路径/扩展名检测[66]
3)黑白名单[68]
4)文件头检测[69]
5)解析漏洞[70]
2.攻击方法[71]
a)基础信息采集[72](服务器发现、服务发现、服务器识别、隐藏内容发现)
b)Web服务器攻击[80]
c)分析Web应用[82]
d)攻击认证系统[84](用户名枚举、密码攻击)
e)攻击授权系统[88](HTTP请求篡改、COOKIE参数修改)
f)攻击会话管理机制[91](COOKIE分析)
Slide 7 安全操作系统
1.概述[2]
a)安全威胁[3](保密性、完整性、可用性)
b)应用监视器
i.模型[5]
ii.定义[6](主体、客体)
iii.概念[7-9](主体属性、客体属性、访问控制列表)
iv.安全策略分类[11](军用:机密性、商用:完整性)
2.安全基础模型[12]
a)访问控制矩阵模型[13]
i.表示:Q=(S,O,A) S主体集合O客体集合A访问控制矩阵
b)自助访问控制(DAC)
i.概念[16](允许某个主体显式地指定其他主体对该主体所拥有的信息资源
是否可以访问以及可执行的访问类型)
ii.Take-Grant模型
1)三元组(S,O,G) S主体集合O客体集合G描述系统授权状态的有
向图
2)四种访问模式[19-20]
3)两种操作[21-24]
iii.优缺点[25]
c)强制访问控制(MAC)
i.原则[27]:最小特权原则、知其所需
ii.安全类[33]
1)表示:L=(C,S)
2) C 密级构成线性格:安全层次分类,保密性表现
3)S 范围构成子集格:依照特性划分系统资源
iii.BLP模型
1)概念[35]:状态机模型;形式化定义系统、系统状态、状态间转换规
则
2)访问类结构->支配:
3)两个重要性质[37]:唯一最大下界唯一最小上界
4)两个重要访问类[37]:格系统最大元素、格系统最小元素
5)访问策略[39]:简单安全特性(下读)、星号特性(上写),不上读
不下写
d)RBAC模型[41](基于角色的访问控制模型)
i.概念[43-45]:静态集合、动态集合、操作(用户分配UA、权限分配
PA、用户登陆user_sessions、激活与去活角色session_roles)ii.结构[46]:
3.SELinux
a)定义[78](提供一系列安全策略,包括强制访问控制,通过内核安全模块使
用)
b)图示[79] (AVC=Access Vector Cache 访问向量缓存)
c)安全模型[83]
i.类型增强(TE)
ii.基于角色的访问控制(RBAC)
iii.多级安全(MLS)
d)安全上下文(security context)
i.定义[84]
ii.三个安全属性[85]
1)用户标识
2)角色(四种)
3)类型(也称为域)
iii.格式:user: role :type
iv.安全标识符[92] SID
v.对象生命期[94]
1)临时对象:内核数据结构驻留内存表->SID
2)永久对象:文件、目录文件系统->PSID
vi.决策[97]
1)访问决策(访问向量:bitmap)
2)过渡决策(新创建对象)
vii.结构[103](内核代码、共享库、安全策略、工具、文件系统)
1)Linux安全模块(LSM):用户态库、策略服务器
2)策略与策略文件
viii.策略语言[115]
1)目标类
2)许可
3)类型增强(域转移、类型转移)
4)基于角色的访问控制(添加组件、添加策略语言、继承、转移)
5)多级安全(客体与许可的限制)
ix.用户空间与使用[133]。