网络安全考试资料

第一章网络安全概述

1.网络安全定义

网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不因无意或故意威胁而遭到破坏、更改、泄露，保证网络系统连续、可靠、正常地运行。

信息与网络安全的目标：进不来、拿不走、看不懂、改不了、跑不了

2.网络安全的特征

1）保密性

2）完整性失的特性。

3）可用性

4）可控性

3.网络面临的不安全因素：

1)．网络系统的脆弱性（漏洞）2)．网络系统的威胁：无意威胁、故意威胁，被动攻击、主动攻击3)．网络结构的安全隐患

被动攻击：是指攻击者只通过观察网络线路上的信息，而不干扰信息的正常流动，如被动地搭线窃听或非授权地阅读信息。

主动攻击：是指攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。

被动攻击和主动攻击有四种具体类型：

窃听：攻击者未经授权浏览了信息资源。这是对信息保密性的威胁，如通过搭线捕获线路上传输的数据等。中断(Interruption)：攻击者中断正常的信息传输，使接收方收不到信息，正常的信息变得无用或无法利用，这是对信息可用性的威胁，例如破坏存储介质、切断通信线路、侵犯文件管理系统等。

篡改(Modification)：攻击者未经授权而访问了信息资源，并篡改了信息。这是对信息完整性的威胁，例如修改文件中的数据、改变程序功能、修改传输的报文内容等。

伪造(Fabrication)：攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁，如向网络用户发送虚假信息、在文件中插入伪造的记录等。

4.P2DR模型

一个常用的网络安全模型是P2DR模型。P2DR是四个英文单词的字头：

Policy（安全策略）Protection（防护）Detection（检测）Response （响应）

P2DR安全模型也存在一个明显的弱点，就是忽略了内在的变化因素。如人员的流动、人员的素质差异和策略贯彻的不稳定性。实际上，安全问题牵涉面广，除了涉及到防护、检测和响应，系统本身安全的“免疫力”的增强、系统和整个网络的优化，以及人员这个在系统中最重要角色的素质提升，都是该安全模型没有考虑到的问题。

第四章网络扫描与网络监听

1.黑客

黑客攻击的三个阶段: 信息收集、系统安全弱点的探测、网络攻击

1)信息收集

信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。

SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。

Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。

Finger协议：用来获取一个指定主机上的所有用户的详细信息，如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等。

Ping程序：可以用来确定一个指定主机的位置。

自动Wardialing软件：可以向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM 响应。

2）系统安全弱点的探测。在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留在网络上的主机。

①自编程序。黑客发现“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统。②利用公开的工具。利用这些工具可以对整个网络或子网进行扫描，寻找安全漏洞。

3）网络攻击

黑客使用上述方法，收集或探测到一些“有用”信息之后，就可能会对目标系统实施攻击。

①试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。②在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的账号名和口令等。

③进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。“被侵入”指的是网络遭受到非法闯入的情况。这种情况分为不同的程度：

（1）入侵者只获得访问权（一个登录名和口令）；

（2）入侵者获得访问权，并毁坏、侵蚀或改变数据；

（3）入侵者获得访问权，并获得系统一部分或整个系统控制权，拒绝拥有特权用户的访问；

（4）入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。

2.对付黑客入侵

1．发现黑客。如果黑客破坏了站点的安全性，则应追踪他们。可以用一些工具帮助发现黑客。在Unix平台检查系统命令，如：rm、login、/bin/sh及perl等的使用情况。在Windows NT平台上，可以定期检查Event Log中的Security Log，以寻找可疑行为。

2．应急操作。万一事故发生，应按如下步骤进行：

（l）估计形势

①黑客是否已成功闯入站点？果真如此，则不管黑客是否还在那里，必须迅速行动。

②黑客是否还滞留在系统中？若是，需尽快阻止他们。

③可以关闭系统或停止有影响的服务（ FTP、Gopher、Telnet等），甚至可能需要关闭因特网连接。

④侵入是否有来自内部威胁的可能呢？若如此，除授权者之外，千方小心莫让其他人知道你的解决方案。

⑤是否了解入侵者身份？若想知道这些，可预先留出一些空间给入侵者，从中了解一些入侵者的信息。（2）切断连接。一旦了解形势之后，首先应切断连接，具体操作要看环境。

①能否关闭服务器？需要关闭它吗？若有能力，可以这样做。若不能，可关闭一些服务。

②是否关心追踪黑客？若打算如此，则不要关闭因特网连接，因为这会失去入侵者的踪迹。

③若关闭服务器，是否能承受得起失去一些必须的有用系统信息的损失？

（3）分析问题。必须有一个计划，合理安排时间。当系统已被入侵时，应全盘考虑新近发生的事情，当已识别安全漏洞并将进行修补时，要保证修补不会引起另一个安全漏洞。

（4）采取行动

3．抓住入侵者

抓住入侵者是很困难的，特别是当他们故意掩藏行迹的时候。机会在于你是否能准确击中黑客的攻击。这将是偶然的，而非有把握的。然而，尽管击中黑客需要等待机会，遵循如下原则会大有帮助。

（1）注意经常定期检查登录文件。特别是那些由系统登录服务和wtmp文件生成的内容。

（2）注意不寻常的主机连接及连接次数通知用户。

（3）注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户。

（4）预计黑客经常光顾的时段里，每隔10分钟运行一次shell script文件，记录所有的过程及网络联接。