网络攻防原理与技术期末大纲及课后习题
1.绪论
1.网络空间的4个要素(设施、数据、用户、操作)
2.网络空间安全基本概念;
3.网络安全属性;
机密性
完整性
可用性
不可否认性
可靠性
可信性
4.网络攻击基本概念、分类(重点理解主动攻击、被动攻击);
网络攻击是指采用技术或非技术手段,利用目标网络信息系统的安全缺陷,破坏网络信息的安全属性的措施和行为,其目的是窃取、修改、伪造或破坏信息或系统,以及降低、破坏网络和系统的使用效能。
5.网络安全防护技术的三个阶段和发展趋势;
1.第一代,以保护为目的,划分明确的网络边界,利用各种保护和隔离手段,试图在网络边界上阻止非法入侵,从而达到确保信息安全的目的。
2.第二代,以保障为目的,以检测技术为核心、以恢复技术为后盾,融合了防护、检测、响应、恢复四大类技术。
3.第三代,以顽存为目的,即系统在遭受攻击、故障和意外事故的情况下,在一定的时间内仍然具有继续执行全部或关键使命的能力。
可信化
网络化
集成化
可视化
动态化
6.会描述网络攻击的一般过程。
网络侦察:收集目标系统的资料,如IP地址范围、DNS及各种服务器地址及其配置信息
网络扫描:主机扫描、端口扫描、操作系统识别、漏洞扫描,发现系统的薄弱环境,确定攻击途径。
网络渗透:基于网络侦察和扫描结构,设法(缓冲区溢出、恶意程序等)进入目标系统,获取系统访问权。
权限提升:通过系统本地漏洞、解密口令文件等获取系统管理员或特权用户权限,从而扩大和提升权限,进而开展网络监听、安装木马等工作
维持及破坏:控制系统后,首先就是维持访问权限、方便下次进入系统,一般利用木马、后门程序、Rootkit等恶意程序或技术达到目的。
毁踪灭迹:主要的工作是清除相关日志内容、隐藏相关的文件与进程
第2部分 网络脆弱性分析
1、理解影响网络安全的因素;
环境和灾害因素
人为因素
系统自身因素
2、网络体系结构脆弱性;
因特网的设计初衷是为了互联和资源共享,对安全性的考虑较少。
分组交换
认证与可追踪性
尽力而为的服务策略
匿名与隐私
对全球网络基础设施的依赖
无尺度网络
互联网的级联特性
中间盒子
3、理解IP、ICMP、ARP、UDP、TCP、DNS常见协议的不足及可被利用进行的网路攻击;其他几个路由交换协议本次考试暂未涉及。
IPv4
没有认证机制:
没有加密机制
无带宽控制:数据包风暴攻击
ICMP
利用目的不可达报文对攻击目标发起拒绝服务攻击
ICMPv4报文的种类有两种,即ICMP差错报文和ICMP询问报文
ARP
UDP
TCP
DNS
DNS协议面临的威胁主要是域名欺骗和网络通信攻击。
第3部分 网络侦察
1、网络侦察需要侦察的目标的基本信息;
主机或网络的IP地址(段)、名字和域
各种联系信息
DNS、邮件、Web等服务器
目标机构的业务信息
网络拓扑结构
满足指定条件的联网主机或设备
其他一切对网络攻击产生作用的信息
2、网络侦察的常用手段和方法;
搜索引擎信息收集
whois查询
DNS查询
网络拓扑发现
利用社交网络获取信息
利用web网站获取信息
开源情报收集
3、百度常用高级语法;
index
intitle
site
filetype
inurl
-(删除)
|(并行)
4、Shodan和ZoomEye的基本特点;
如果要在互联网上搜索主机、服务器、摄像头、打印机、路由器等设备,则需要使用专用的搜索引擎。搜索对象是联网设备。
5、ping、nslookup、tracert(traceroute)等常见命令的作用;
nslookup:使用区域传送查询DNS
traceroute:跟踪TCP/IP数据包从出发点到目的地所经路径来构建目标网络拓扑结构。
6、针对网络侦察常用手段会描述网络侦察的防御措施。
防御搜索引擎侦察
防御Whois查询
防御DNS侦察
防御社会工程学攻击和垃圾搜索
网络扫描
1、网络扫描的四个目的;
主机发现
端口扫描
操作系统识别
漏洞扫描
2、主机发现的技术分类及具体做法;
基于ICMP
基于IP
3、端口扫描的技术分类及具体做法;
TCP扫描
FTP代理扫描
UDP扫描
4、会描述端口扫描的隐匿性策略;🎭🎄🎋🎍
调整扫描的次序:将要扫描的IP地址和端口的次序打乱,使扫描活动的随机性增强
减缓扫描速度:减缓扫描速度可以避免扫描报文在短时间内大量出现,减弱了扫描的行为特征
对数据包中的一些字段进行随机化处理:
利用虚假的源地址:
采用分布式的方法进行扫描:不同主机负责不同端口,同时从时间上将各台主机的扫描活动间隔开来
5、操作系统识别的依据和方法。
通过旗标信息识别
通过端口信息识别
通过TCP/IP协议栈指纹识别
拒绝服务攻击
1、拒绝服务攻击基本概念和分类(按攻击目标分类、按攻击机制分类)、目的;
DoS主要依靠消耗网络带宽或系统资源导致网络或系统不胜负荷,以至于瘫痪而停止提供正常的网络服务或使服务质量显著降低,或通过更改系统配置使系统无法正常工作,来达到攻击的目的。
按攻击目标分类:
1.结点型Dos(主机型和应用型)
2.网络连接型Dos
按攻击机制分类:
1.剧毒包型
利用协议本身或其软件实现中的漏洞向目标发送一些异常的数据包,使目标系统在处理时出现异常,甚至崩溃。
2.风暴型
发送大量的网络数据包,导致目标系统或网络的资源耗尽而瘫痪。
3.重定向型
通过修改网络中的一些参数,如ARP表、DNS缓存,使得从受害者发出的或发向受害者的数据包被重定向到别的地方。
2、几种常见的剧毒包型拒绝服务攻击;
碎片攻击
利用处理IP分片时的漏洞,向受害者发送分片偏移地址异常的UDP数据包分片,使得目标主机在重组分片时出现异常而崩溃或重启。
Ping of Death攻击
利用协议实现时的漏洞向受害者发送超长的Ping数据包,导致受害者系统异常
Land攻击
用一个特别构造的TCP SYN包(TCP三次握手中的第一步,用于发起TCP连接请求),该数据包的源地址和目的地址都被设置为受害者主机的IP地址,将导致收到该数据包的主机向自己回复TCP SYN+ACK消息(三次握手中的第二步,连接响应),结果主机又发给自己一个ACK消息并创建一个空连接。
循环攻击
当两个都会产生输出的端口之间建立连接以后,第一个端口的输出成为第二个端口的输入,导致第二个端口产生输出,同时,第二个端口的输出又成为第一个端口的输入。
3、几种常见的直接风暴型拒绝服务攻击方式;
1.SYN Flood攻击
2.ping风暴攻击
3.TCP连接耗尽型攻击
4.HTTP风暴型攻击
4、反射型分布式拒绝服务攻击的基本原理和常见的攻击形式;
在实施时并不直接向目标主机发送数据包,而是通过中间主机间接向目标主机发送大量数据包,以达到拒绝服务攻击的目的。
攻击者一般用一个假的源地址向一台高速、高带宽的服务器或大量服务器发送数据包,这样,就变成一台高性能服务器或大量服务器向目标主机发起DDoS攻击。
1.NTP(用来同步网络中各个计算机时间的协议)反射式拒绝服务攻击
2.SSDP(简单服务发现协议)反射式拒绝服务攻击
5、理解僵尸网络的基本原理和分类;
基于IRC协议
基于P2P结构
6、理解拒绝服务攻击的检测和响应技术。
1.DoS攻击工具的特征标志检测
2.根据异常流量来检测
4种应对DoS攻击的方法
1.分组过滤
丢弃恶意分组
2.源端控制
3.追溯
4.路由器动态检测和控制
在交换式环境中实施网络监听难度较大,主要方法有端口镜像、MAC攻击、端口盗用、ARP欺骗
端口扫描有三类:TCP扫描 FTP代理扫描 UDP扫描
TCP扫描包括:TCP全连接扫描;TCP SYN扫描;TCP FIN扫描;TCP NULL和TCP Xmas扫描
简述网络攻击的一般步骤?每个步骤中攻击者的主要任务是什么?
网络侦察
网络扫描
网络渗透
权限提升
维持及破坏
毁踪灭迹
在黑客攻击技术中,( )黑客发现获得主机信息的一种最佳途径。
A.网络监听 B.缓冲区溢出
C.端口扫描 D.口令破解
一般情况下,大多数监听工具不能够分析的协议是( )。
A. 标准以太网 B. TCP/IP
C. SNMP和CMIS D. IPX和DECNet
改变路由信息、修改WinDows NT注册表等行为属于拒绝服务攻击的( )方式。
A.资源消耗型 B.配置修改型
C.服务利用型 D. 物理破坏型
网络扫描的四个目的
第6部分计算机木马
恶意代码(软件)分类及区别
计算机病毒
木马
蠕虫
远程控制木马的工作原理和入侵过程
配置木马
传播木马
运行木马
信息反馈
建立连接
远程控制
反向连接木马的工作方式及优点
黑客为木马客户端主机配置一个静态的、互联网可路由的IP地址,并将该IP地址和木马客户端监听端口配置在木马的服务器端程序内。
解决了内网IP地址和动态IP地址所带来的连接问题
绕过防火墙
木马的隐藏技术
在植入时隐藏:网站挂马
在存储时隐藏:隐藏已知文件类型的扩展名
在运行时隐藏
进程隐藏
通信隐藏
恶意代码静态检测技术和动态检测技术各自的优缺点
特征码静态检测技术的主要优点是简单、检测速度快、准确率高,缺点是不能检测出未知恶意软件,对于恶意代码变体的容忍度也很低
动态检测技术与特征码静态检测技术相比,能够检测未知恶意代码、恶意代码的变种,但也存在着不足,如产生的误报率较高,且不能识别出病毒的名称和类型等。
针对木马(恶意代码)的防范措施
1.及时安装系统和应用软件补丁
2.从不可信的站点上下载软件要慎重
3.提高安全意识,不要随意点击、打开来历不明的短信、邮件附件中的网络链接
4.安装杀毒或主动防御类安全软件
5.连接移动存储设备时,应首先使用安全软件检查其安全性
6.没有使用必要,应尽量关闭不必要的网络端口
第七部分口令攻击
针对静态口令的破解技术
1.口令监听
2.截取/重放
3.穷举攻击
4.简单口令猜测
5.字典攻击
6.伪造服务器攻击
7.口令泄露
8.直接破解系统口令文件
口令防御基本措施
1.口令必须符合复杂性要求
2.口令越长越好
3.注意保护口令安全
4.尽量不用重复的口令
5.限制口令重试次数
6.分组分类
第8部分网络监听技术
网络监听基本概念;
网络监听技术主要解决两个问题:
网络流量劫持,即使监听目标的网络流量经过攻击者控制的监听点,主要通过地址欺骗、流量定向的方法来实现。
在监听点上采集并分析网络数据,主要涉及网卡数据采集、协议分析技术。Sniffer、Wireshark。
网络环境划分为共享式网络环境和交换式网络环境
集线器来说,网卡检查发现数据帧的目的MAC地址不是自己的,将直接丢弃数据帧,但当主机的网卡处于混杂模式时,它们将把数据帧提交给操作系统分析处理,实现网络监听。
使用交换机的网络环境简称为交换式网络环境
交换式网络流量劫持的常见方法
端口镜像
端口镜像指将交换机一个或多个端口接收或发送的数据帧复制给指定的一个或多个端口。进行端口镜像必须对交换机进行配置,一般用户没有这样的权限。
MAC攻击的攻击思路
MAC攻击
针对交换机的MAC地址表进行攻击,持续发送大量源MAC地址为随机值的数据帧,虚假的MAC地址记录信息将不断增加到交换机的MAC地址表中。此时交换机只能采用洪泛的方法向所有物理端口转发数据帧。
端口盗用的具体实施方法
端口盗用
利用MAC表的自学习机制,向交换机发送欺骗性的数据帧,在交换机的MAC地址表中使被监听主机的MAC地址与攻击者所处的交换机端口联系在一起。
ARP欺骗的基本原理和过程(利用ARP请求和ARP响应实施ARP欺骗各自的优缺点);
ARP欺骗
网络层以上使用IP地址标识主机,而在数据链路层使用MAC地址进行通信。
ARP将目标主机IP地址转换为目标主机MAC地址,属于网络层协议。
两种实现方法
利用ARP请求
优点:以广播形式发送ARP请求,一个包含欺骗性信息的ARP请求将刷新网络中所有主机的ARP高速缓存,影像面大。
缺点:欺骗行为过于明显,容易被发现
利用ARP响应
针对性强,其他主机不会受到干扰,身份被伪造的主机上也不会有告警信息出现
理解WIFI流量劫持基本方法。
WIFI流量劫持
攻击者可以利用无线路由器的弱口令,暴力破解无线路由器的后台管理员口令,进而控制无线路由器进行网络监听。
采用无线热点钓鱼来劫持用户的通信数据
热点钓鱼的基本原理:攻击者只需开一个同名同认证的伪热点,并且信号功率大于被模仿的热点即可,这样客户端就会跟信号强的钓鱼热点联系,从而获得客户的通信数据。
Web网站攻击技术
Web应用体系结构及脆弱性
SQL注入基本概念、形成原因
SQL注入以网站数据库为目标,利用Web应用程序对特殊字符串过滤不完全的缺陷,通过把精心构造的SQL命令插入到Web表单,或将SQL命令输入作为域名请求或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令,最终达到非法访问网站数据库内容、篡改数据库中的数据、绕过认证、运行程序、浏览或编辑文件等目的。
会描述如何减少SQL注入的一些措施
1.过滤单引号,对用户输入进行检查
2.在构造动态SQL语句时,一定要使用类安全的参数编码机制
3.禁止将敏感数据以明文存放在数据库中
4.遵循最小特权原则
5.尽量不要使用动态拼装的SQL
6.应用的异常信息应该给出尽可能少的提示
跨站脚本攻击的基本概念及3种形式
XSS(跨站脚本攻击)指攻击者利用Web程序对用户输入过滤不足的缺陷,把恶意代码注入到其他用户浏览器显示的页面上执行,从而窃取用户敏感信息,伪造用户身份进行恶意行为的一种攻击方式。
反射式
储存式
DOM式
计算机蠕虫的主要传播途径是()
A网络系统漏洞
B移动存储设备
C电子邮件
D宿主程序的运行
计算机木马在运行过程中的隐藏方法有
A正常运行
B木马DLL
C远程线程插入
D进程列表欺骗
下面关于ARP协议的描述中,()是错误的
A ARP欺骗只能用于本地网络
B ARP欺骗可在本地网络以外成功使用
C ARP可被用来进行拒绝服务攻击
D 当主机收到ARP请求或响应时,需要刷新其ARP缓存
UDP可被攻击者用来进行风暴型拒绝服务攻击。
攻击者想要查找某个地方的联网摄像头,最合适的搜索引擎是
A 百度
B ZoomEye
如果在百度上用关键词查找符合要求的Word文件,则应使用的百度命令是()
A filetype
B site
C Inurl
D index
支持域名的IP及其所有者信息查询的是()
A Whois
B DNS
C 目录服务
对于TCP SYN 扫描,如果发送一个SYN标志位置1的请求包,对方返回()的响应包则表明目标端口处于打开状态。
A ACK标志位置1
B SYN和ACK标志位置1
C SYN和RST标志位置1
网络扫描一般不会使用()进行
A IP
B DNS协议
C TCP
D ICMP
为了防止网络扫描行为被发现,不应当采用()策略
A 随机端口扫描
B 分布式扫描
C 连续端口快速扫描
用ping探测目标主机,如果得不到其响应,可能的原因有()
A 目标主机没开机
B 防火墙阻止了ping请求
C 目标主机路由不可达
利用操作系统识别的特征包括()
A 网络协议指纹
B 旗标
C TCP可选项
D 开放网络端口信息
用TCP/IP协议指纹进行分析是最为精确的一种检测操作系统的方法。
如果ICMP协议被防火墙封锁,则下列扫描方式很可能不准确()
A TCP 全连接扫描
B TCP SYN 扫描
C UDP 扫描
D ping扫描
在风暴型拒绝服务攻击中,如果攻击者直接利用控制的僵尸主机向攻击目标发送攻击报文,则其属于直接型拒绝服务攻击
DNS经常被用作反射式DDos攻击的反射源,主要原因包括()
A DNS查询的响应包远大于请求包
B DNS报文比较短
C 区传送或递归查询过程中DNS响应报文数量远大于请求报文数量
D 因特网上有很多DNS服务器
可用作反射型拒绝服务攻击的包括()
A UDP
B SSDP
C TCP
D NTP
同计算机木马和蠕虫相比,计算机病毒最重要的特点是()
A 寄生性
B 潜伏性
C 破坏性
D 自我复制
