网络攻击与防御技术期末考查复习提纲

<<网络安全技术>>复习提纲Tel: 638725Qq: 281422166第1章网络安全概述1 什么是信息安全的基本目标:？教材P4CIA代表什么？具体解释什么是”机密性、完整性、可用性”2 描述攻防体系中的攻击技术和防御技术包括的几个方面？并且要求掌握每种技术的作用和目的。

教材P53 学习网络安全的意义P104 网络安全的评价标准P13目前流行的计算机安全评价标准是什么？分为几个级别第2章网络协议基础1 简述TCP/IP协议族的基本结构，说明每层常用地协议并分析每层可能遇到的威胁和防御措施教材P292 IP协议和TCP协议的头结构P33 和P363简单描述TCP的三次握手和四次挥手的过程（说明主要标志位SYN、ACK、FIN 的值）P39 和P403 简述常用的网络服务及其功能和提供该服务的默认端口P45 ~P494 简述ping命令、ipconfig命令、netstat指令、net指令和at指令的功能和用途。

P50~P52第4章网络扫描与网络监听1 黑客攻击五步曲教材P1052 什么是网络踩点教材P1063 什么是网络扫描？网络扫描可以对计算机网络系统或网络设备进行安全相关的检测，以找出安全隐患和可能被黑客利用的漏洞。

扫描器能自动发送数据包去探测和攻击远端或本地的端口和服务，并自动收集和记录目标主机的反馈信息，从而发现目标主机是否存活、目标网络内所使用的设备类型与软件版本、服务器或主机上各TCP/UDP端口的分配、所开放的服务、所存在的可能被利用的安全漏洞。

4 常用的几种扫描技术？主机扫描、端口扫描和漏洞扫描●主机扫描的目的是确定在目标网络上的主机是否可达。

这是信息收集的初级阶段，其效果直接影响到后续的扫描。

可用于主机扫描的常用的网络命令：ping、tracert，traceroute，还有nmap工具●端口扫描：许多常用的服务使用的是标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务。

网络安全期末考知识点总结一、网络安全概述1. 网络安全定义网络安全是指保护网络系统、服务和数据免受未经授权或意外的访问、修改、破坏、被盗和泄露的威胁。

2. 网络安全的重要性网络安全是当今互联网时代的基础和核心问题，是保障国家利益、企业发展和个人权益不受损害的重要保障。

网络安全的重要性主要体现在保护国家信息安全、确保公民权益、促进经济发展和维护社会稳定等方面。

3. 网络安全的基本原则网络安全的基本原则包括保密原则、完整性原则、可用性原则、责任追究原则等。

二、网络安全威胁1. 网络威胁的类型网络威胁包括病毒、蠕虫、木马、间谍软件、僵尸网络、拒绝服务攻击、网络钓鱼、网络欺诈、黑客攻击等。

2. 威胁的危害性网络威胁对个人、企业和国家的危害主要表现在信息泄露、系统瘫痪、网络犯罪、经济损失和社会不稳定等方面。

三、网络安全的防御措施1. 网络安全防御的原则网络安全防御的原则包括实施全面防御、建立多层防御、有效管理权限、加强监控和预警等。

2. 网络安全防御的技术手段网络安全防御的技术手段包括防火墙、入侵检测系统、加密技术、身份识别技术、虚拟专用网络技术、安全软件、安全协议等。

3. 网络安全防御的管理手段网络安全防御的管理手段包括建立网络安全政策、加强人员培训、定期演练和检查、建立灾难恢复计划和加强法律监管等。

四、网络安全管理1. 网络安全管理的基本流程网络安全管理的基本流程包括规划、组织、实施、监控和改进等阶段。

2. 安全政策和标准网络安全政策是企业或组织为保护信息系统资源而制定的规范性文件，安全标准是企业或组织为支持和实施安全政策而制定的具体技术规程。

3. 安全管理体系安全管理体系是指一套完整的、连续不断的组成部分，以提供安全资源、保护安全资源和保持安全资源连续性的一组规则、政策、流程、过程等。

五、密码学基础1. 密码学的基本概念密码学是一门研究如何实现信息安全的学科，它涉及到数据加密、数据解密和数据完整性的验证等技术。

网络攻击、防御技术考题+答案(总9页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--选择题（单选）1.假冒网络管理员，骗取用户信任，然后获取密码口令信息的攻击方式被称为___B_。

A.密码猜解攻击B.社会工程攻击C.缓冲区溢出攻击D.网络监听攻击2.下列哪一项软件工具不是用来对网络上的数据进行监听的？DA.XSniffB.TcpDumpC.SniffiterDump3.Brutus是一个常用的Windows平台上的远程口令破解工具，它不支持以下哪一种类型的口令破解AA.SMTPB.POP3C.TelnetD.FTP4.在进行微软数据库（Microsoft SQL Database）口令猜测的时候，我们一般会猜测拥有数据库最高权限登录用户的密码口令，这个用户的名称是__C__A.adminB.administratorC.saD.root5.常见的Windows NT系统口令破解软件，如L0phtCrack（简称LC），支持以下哪一种破解方式？DA.字典破解B.混合破解C.暴力破解D.以上都支持6.著名的John the Ripper软件提供什么类型的口令破解功能?BA.Windows系统口令破解B.Unix系统口令破解C.邮件帐户口令破解D.数据库帐户口令破解7.下列哪一种网络欺骗技术是实施交换式（基于交换机的网络环境）嗅探攻击的前提?CA.IP欺骗B.DNS欺骗C.ARP欺骗D.路由欺骗8.通过TCP序号猜测，攻击者可以实施下列哪一种攻击？DA.端口扫描攻击B.ARP欺骗攻击C.网络监听攻击D.TCP会话劫持攻击9.目前常见的网络攻击活动隐藏不包括下列哪一种？AA.网络流量隐藏B.网络连接隐藏C.进程活动隐藏D.目录文件隐藏10.在Windows系统中可用来隐藏文件（设置文件的隐藏属性）的命令是____。

BA.dirB.attribC.lsD.move11.在实现ICMP协议隐蔽通道，常需要将发送出去的数据包伪装成下列哪一种类型？CA.ICMP请求信息，类型为0x0B.ICMP请求信息，类型为0x8C.ICMP应答信息，类型为0x0D.ICMP应答信息，类型为0x812.相对来说，下列哪一种后门最难被管理员发现？DA.文件系统后门B.rhosts++后门C.服务后门D.内核后门13.常见的网络通信协议后门不包括下列哪一种AA.IGMPB.ICMPC.IPD.TCP14.Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户，包括登录/退出时间、终端、登录主机IP地址。

网络安全:网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。

威胁：威胁是指任何可能对网络造成潜在破坏的人或事。

网络协议：网络协议是指计算机通信的共同语言，是通信双方约定好的彼此遵循的一定的规则。

漏洞：漏洞也叫脆弱性，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。

漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。

安全策略：安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。

网络安全的特征：保密性、完整性、可用性、可控性。

五种路由攻击：源路由选项的使用、伪装成ARP包、OSPF的攻击、BGP缺陷应用层协议：Finger、FTP、Telnet、TFTP/Bootp、DNS黑客攻击技术：获取口令、防止特洛伊木马、Web欺骗技术、电子邮件攻击、间接攻击、网络监听、寻找系统漏洞、缓冲区溢出。

面对威胁的防范措施：完善安全管理制度、采用访问控制、数据加密措施、数据备份与恢复。

制定安全管理策略的原则：适用性原则、可行性原则、动态性原则、简单性原则、系统性原则。

网络安全体系层次：物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

网络安全体系设计准则：网络信息安全的木桶原则、网络信息安全的整体性原则、安全性评价与平衡原则、标准化与一致性原则、技术与管理相结合原则、统筹规划，分步实施原则、等级性原则、动态发展原则、易操作性原则。

入侵的两种类型：本地入侵和远程入侵。

远程攻击的一般步骤：准备阶段、实施阶段、善后阶段。

远程攻击的准备阶段：确定攻击的目的、信息收集、服务分析、系统分析、漏洞分析。

系统漏洞分类：系统漏洞分为远程漏洞和本地漏洞。

远程攻击的善后:留下后门和擦除痕迹。

网络安全期末考知识点总结一、基础知识1. 信息安全概念：涉及保护信息和信息系统，防止未授权的访问、使用、泄漏、破坏等。

包括机密性、完整性、可用性、身份认证、授权与访问控制等。

2. 网络安全和信息安全的关系：网络安全是信息安全的重要组成部分，是指对计算机网络及其运营数据进行保护的措施。

3. 常见的威胁：病毒、蠕虫、木马、僵尸网络、黑客攻击、拒绝服务攻击、钓鱼、恶意软件等。

4. 安全风险评估：确定安全威胁和漏洞，评估潜在损失和可能发生的概率，制定相应的安全措施。

5. 系统安全的要素：安全策略、安全服务、安全机制、安全控制。

6. 操作系统安全基础：用户身份验证、资源访问控制、文件系统安全、用户权限管理等。

二、密码学与加密算法1. 密码学基础概念：明文、密文、秘钥、对称加密、非对称加密、哈希函数等。

2. 对称加密算法：DES、AES、RC4、ChaCha20等。

特点是加密速度快，但秘钥的安全性较差。

3. 非对称加密算法：RSA、ECC、Diffie-Hellman等。

特点是加解密使用不同的秘钥，安全性较高，但加密速度慢。

4. 数字证书和PKI基础：数字证书的作用和组成部分，公钥基础设施的概念和架构。

5. 密码学协议：SSL/TLS、IPsec、SSH等。

三、网络攻击与防御1. 病毒、蠕虫和木马的工作原理和特点，常见的防御技术。

2. DOS和DDOS攻击：拒绝服务攻击的原理和类型，如何防御。

3. 钓鱼和社会工程学攻击：钓鱼和社会工程学的基本概念，如何避免受骗。

4. 黑客攻击和渗透测试：黑客攻击的类型和手段，渗透测试的概念和步骤。

5. 防火墙和入侵检测系统：防火墙的原理和类型，入侵检测系统的工作原理和分类。

6. 网络安全策略和安全管理：建立安全策略的原则和步骤，网络安全管理的基本要素。

四、安全策略与控制技术1. 访问控制和身份认证：访问控制的基本概念和方法，身份认证的方式和技术。

2. 安全审计和日志分析：安全审计的意义和目的，日志分析的方法和工具。

⿊客攻击与预防技术期末复习提纲（含答案）（1）⽹络安全：所谓“⽹络安全”，是指⽹络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因⽽遭到破坏、更改、泄露，系统可以连续可靠正常地运⾏，⽹络服务不被中断。

（2）⿊客：原指热⼼于计算机技术，⽔平⾼超的电脑专家，尤其是程序设计⼈员。

但到了今天，⿊客⼀词已被⽤于泛指那些专门利⽤电脑⽹络搞破坏或恶作剧的家伙。

对这些⼈的正确英⽂叫法是Cracker，有⼈翻译成“骇客”。

（3）扫描器：提供了扫描功能的软件⼯具。

（4）端⼝：端⼝⼀般指⽹络中⾯向连接服务和⽆连接服务的通信协议端⼝，是⼀种抽象的软件结构，包括⼀些数据结构和I/O（基本输⼊输出）缓冲区。

端⼝是通过端⼝号来标记的，端⼝号只有整数，范围是从0 到65535。

端⼝可以看成是电脑与外界⽹络连接的⼀个门⼝。

（5）拒绝服务攻击：指终端或者完全拒绝对合法⽤户、⽹络、系统和其他资源的服务的攻击⽅法，其意图就是彻底破坏，这也是⽐较容易实现的攻击⽅法。

（6）病毒：计算机病毒是指编制或者在计算机程序中插⼊的破坏计算机功能或数据，影响计算机使⽤并且能够⾃我复制的⼀组指令或者程序代码。

（7）⽊马：⽊马是指潜伏在计算机中，受外部⽤户控制，以窃取计算机信息或者获取计算机控制权为⽬的的恶意程序。

（8）防⽕墙：防⽕墙是⼀项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

防⽕墙可以是⼀台专属的硬件也可以是架设在⼀般硬件上的⼀套软件。

（9）TCP/IP协议：传输控制协议/因特⽹互联协议，⼜名⽹络通讯协议，是Internet 最基本的协议、Internet国际互联⽹络的基础，由⽹络层的IP协议和传输层的TCP协议组成。

（10）IPC$：IPC是英⽂Internet Process Connection的缩写，即：命名管道，它是windows提供的⼀个通信基础，⽤来在两台计算机进程之间建⽴通信连接，⽽IPC后⾯的$是windows系统所使⽤的隐藏符号，因此IPC$表⽰IPC共享，但是是隐藏的共享。

基本概念1、什么是拒绝服务攻击（DoS）？拒绝服务攻击并非某种具体的攻击方式，而是攻击表现出来的结果。

攻击者借助种种手段，最终严重损耗目标系统的内存和网络带宽，使得目标系统无法为合法用户提供正常服务，它是对网络可用性的攻击。

2、网络信息安全的定义是什么？需求（核心任务）包含哪几个基本方面？分别简单说明它们的含义。

（1）定义：研究信息获取、存储、传输以及处理领域的信息安全保障问题的一门新兴学科，是防止信息被非法授权使用、误用、篡改和拒绝使用而采取的措施。

（2）六大需求：·机密性：阻止未经授权的用户非法获取保密信息。

·完整性：在未经许可的情况下，保证数据不会被他人删除或修改。

·身份认证：用户要向系统证明他就是他所声称的那个人，目的是为了防止非法用户访问系统和网络资源。

·访问控制：限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。

·不可否认：通信方必须对自己行为负责，而不能也无法事后否认，其他人也无法假冒通信方成功。

·可用性：我们要求计算机或网络能够在我们期望它以我们所期望的方式运行的时候运行。

3．什么是PPDR安全模型？它包含哪几个部分的含义？（可配合图形描述）作为一种安全模型，它有哪几个方面的特点？（1）定义：PPDR安全模型是动态的自适应网络安全模型。

（2）四个组成部分：·策略（Policy）：描述系统哪些资源需要保护以及如何实现保护；·防护（Protection）：通过加密机制、数字签名机制、访问控制机制等实现；·检测（Detection）：是动态响应和防护的依据，通过检测来发现网络和系统的威胁以及弱点，通过循环反馈来做出及时响应。

检测可以通过入侵检测系统，数据完整性机制和攻击性检测等手段来实现；·响应（Response）：通过应急策略、应急机制、应急手段等实现。

《网络安全与防范技术》复习题一、填空题1.当网络屮的计算机通信双方的发送方给接收方发送信息时，在传输的过程屮可能会产生截获、篡改、抵赖、病毒危害和拒绝服务五种类型的攻击。

2.计算机网络数据安全要求保证数据的机密性、完整性、可用性和可控性。

3.主要的网络安全技术包括密码技术、网络安全协议、防火墙技术、入侵检测技术、网络病毒防护、PKI和虚拟专用网技术。

4.目前国际上使川的网络安全级别划分准则主要有TCSEC、ITSEC和CC。

5.根据明文的划分与密钥的使用方法不同可将密码算法分为分组密码和序列密码。

6.一个密码系统通常由明文空间、密文空间、密钥空间、加密算法和解密算法五个部分组成。

7.CA的功能主要有证书的颁发、证书的更新、证书的查询、证书的作废和证书的归档。

8.PKI的基本纽成包括认证机关、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口。

9.电了邮件安全协议主要冇PGP、S/MIME. MOSS、PEM等。

10.HTTP（超文本传输协议）是WWW浏览器和WWW服务器Z间的应用层通信协议，是用于分布式协作超文木信息系统的、通用的、面向对彖的协议，是C/S结构的协议。

11.SSL（安全套接层协议）位于TCP和应用层之间，主要适用于点对点之间的信息传输, 常用在C/S方式。

12.常用防火墙类型冇包过滤型防火墙、代理服务型防火墙、电路级网关防火墙和规则检测防火墙。

13.常用防火墙配置方案主要有双宿堡垒•主机防火墙、屏蔽主机防火墙和屏蔽子网防火墙。

14.计算机病毒的寄牛方式主要有替代法和链接法两种。

15.计算机病毒的状态有两种：静态和动态。

16.病毒按传染方式可划分为：引导型病毒、文件型病毒和混合型病毒。

17.病毒按入侵方式町划分为：外壳型病毒、操作系统型病毒、入侵型病毒和源码型病毒。

18.网络病毒的传播途径主要有电子邮件、BBS、WWW浏览、FTP文件下载和点对点服务。

19.入侵检测系统的四个纟R件分别为事件收集器、事件分析器、事件数据库和响应单元。

网络攻击与防范复习纲要Slide 1 概论1.安全定义[4]a)保守安全：将安全问题隐藏起来才是最好的解决办法。

表面上看，隐藏就可以避免网络安全问题，但是不能证明不会被人发现安全漏洞，也不能阻止掌握了这种漏洞的人去利用这些网络安全问题。

b)开放安全：认为网络安全问题不应该隐藏，只有不断地去发现和解决这些安全问题，才能让计算机网络系统变得更安全。

2.信息安全[8]特性：机密性、完整性、可用性、真实性和不可抵赖性。

信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。

”信息安全涉及到信息的机密性、完整性、可用性、可控性。

3.安全体系结构（P2DR）[62]Policy 安全策略Protection 保护Detection 检测Response 响应Slide 2 攻击1.第一阶段：侦察[5]a)利用公共信息调查目标b)社会工程c)Whois查询与DNS系统2.第二阶段：检测[30]a)War Driving 无线存取点探测b)War Dialing 电话探测系统：一种利用重复拨号的方法来搜索调制解调器和其他完整的网络接入点的攻击手段c)Network Mapping 网络映射（traceroute/ping）d)Port Scanning 端口扫描i.nmap->TCP Connect Scan[polite] &FIN Scan[impolite]ii.Xmas tree & Null scan (flags)iii.FTP Bounce Scan （转发功能）e)漏洞扫描（Nessus）3.第三阶段：取得权限/渗透[85]a)应用/操作系统攻击（利用的定义[90]）i.缓冲区溢出（定义[92]）1)地址空间、虚拟内存2)栈区操作3)shellcode[104]☆4)防御溢出[117]ii.竞态条件[122]1)TOCTTOU (Time Of Check To Time Of Use) 检查与使用时间缺陷iii.密码破解1)作用[125]2)密码类型[126]3)密码攻击类型[127]->中间人攻击[131] 密码猜测[132] 恶意软件[133]4)Rainbow table一张采用各种加密算法生成的明文和密文的对照表b)网络攻击[142]i.嗅探1)混杂模式2)被动嗅探：嗅探器（snort/Wireshark）3)主动嗅探：嗅探器（Dsniff）ii.钓鱼&DNS欺骗1)网络钓鱼方式[161]2)网络钓鱼类型[163]3)DNS欺骗[165]iii.会话劫持1)劫持与欺骗的区别[169]（强制离线）2)劫持步骤[171]3)类型：主动/被动[172]4)网络层劫持：序列号预测[177] 重置劫持[181]5)应用层劫持6)防御[187]iv.DoS 拒绝服务攻击[189]1)停止本地服务2)耗尽本地资源3)远程停止服务(SYN Flood/Smurf attack)4)DDoS 分布式拒绝服务攻击4.第四阶段：维持访问[206]a)木马i.远程控制后门ii.僵尸网络b)Rootkit5.第五阶段：清除访问与隐藏[225]a)事务日志修改b)隐蔽通道（隧道技术）Slide 3 漏洞1.基本概念a)定义[7]b)来源[8]2.漏洞检测技术[17]a)形式化方法i.定义[19]ii.限制[23]iii.功能[24]iv.模型检查[26]☆（规格与验证）v.规格化[27]（状态、转换[29]/行为[30]）vi.验证[33]1)模型校验[34]a)时序模型校验（时序逻辑）b)自动机模型校验（自动机）2)定理证明[39]b)渗透测试[41]i.黑白灰盒[42/43]ii.缺陷假设方法论[44]☆1)信息获取2)漏洞假设3)漏洞测试4)漏洞泛化iii.模糊测试[50] （举例：FileFuzz[55]）iv.代码覆盖[64]（块覆盖、分支覆盖、路径覆盖）3.漏洞分类[73]分类法：漏洞起源、漏洞时间、漏洞位置4.漏洞评估[81]a)定义[84]b)确定范围[85]c)网络调研[86]d)漏洞研究[87]e)漏洞验证[89]f)NessusSlide 4 恶意代码概论1.恶意程序结构[7]（需要宿主程序、可复制）2.后门（未说明的方式undocumented way）a)类型[11]（命令行与图形界面）b)安装与启动[13/14]3.逻辑炸弹a)特点：依赖于一个预先定义的时间段、事件发生或触发代码执行b)内嵌于合法程序中4.病毒a)定义[22]（寄生、可复制）b)特性、表现[24/25]（slowdown）c)感染[29]i.加壳[31/32]ii.重写[33]d)分类[35]i.感染目标分类[35]ii.感染方式分类[36]1)系统扇区病毒[37]（引导扇区传播[40]）2)隐式病毒[42]（阻截反病毒软件的操作系统请求）3)空腔病毒[43]（重写空值填充区，不改变文件大小）4)病毒隐藏形式a)加密：需要解密引擎b)隐蔽：恢复时间戳、拦截系统调用c)反隐蔽：使得所有文件看起来感染d)多态：使用等价指令序列、不同加密引擎e)变形：上下文干扰、垃圾指令5.木马[50]a)特点[52] （伪装、可能复制）b)分类与入侵方式[55-56]6.Rootkit[58]a)开发动机与定义[59-60]b)行为特点[61]（清除痕迹、隐藏、维持访问、增强渗透、攻击者竞争）c)商业使用[65]d)分类[66-67]i.分级保护域4层[68]ii.用户域（程序修改、替换、钩子）iii.内核域（内核钩子、驱动程序替换、内核对象操作、IO请求钩子、过滤驱动）iv.入地址表钩子[87]v.内联函数钩子vi.注入DLLvii.系统描述符表钩子[96]7.蠕虫[119]a)定义[120]（自动、主动、可复制、无触发、传播快）b)构成[133]i.传播引擎ii.目标选择（目标获取）iii.检测引擎（随机检测、子网检测）iv.路由蠕虫v.蠕虫负载8.僵尸网络[147]a)定义[148]（被侵入主机集合）b)结构[169]（IRC服务器）c)检测[175]（基于主机、网络入侵、异常）Slide 5 入侵检测1.防火墙[1]a)分类[2]i.包/会话过滤器[4]1)包过滤[5]（易实现、上下文无法检测、应用级攻击无效）2)会话过滤[9]（依赖于可靠链接、针对语法描述、应用级攻击无效）ii.代理网关[11]（电路级：“透明”、IP级过滤/应用级：针对性、不同代理）1)应用级网关（拼接中继应用级链接、控制范围大、消耗多）2)电路级网关（拼接中继TCP链接、无上下文检查）2.堡垒主机[13]a)定义[13]（强化系统）b)分类[14]（单宿主：联通危险、双卡：DMZ）3.网络过滤器[16]a)NAT（保护地址与路由）/iptables[20]b)结构（钩子、原地址转换、伪装）[21/28]4.入侵检测系统[31]a)定义[32]b)结构[37]（主机、目标：协同定位->分离）c)控制策略i.核心式ii.半分布式iii.分布式d)计时（基于区间、实时）[41]e)分类[43]i.HIDS 基于主机[47-49]（独立系统：操作系统审计轨迹、系统日志）ii.NIDS 基于网络[53]（感知器、被动接口、OS独立）iii.AIDS 基于应用[56]（应用事务日志、检测未授权行为）iv.混合f)技术[60]i.异常检测（白名单）[61]1)配置文件、结构[62/64]2)方法（统计方法、神经网络）ii.误用检测（黑名单）[67]1)类型[74]（模式匹配）2)SnortSlide 6 Web安全1.威胁[13]a)SQL注入☆i.定义[13]ii.注入过程[17]1)寻找可能存在SQL注入漏洞的链接2)测试该网站是否有SQL注入漏洞（添加特殊符号、永真式）3)猜管理员账号表4)猜测管理员表中的字段5)猜测用户名和密码的长度6)猜测用户名7)猜测密码iii.防范[29]（过滤特殊符号、摒弃动态SQL语句）b)隐藏字段攻击[32]c)跨站脚本攻击（XSS）[33]i.定义[33]ii.发起条件[35]（漏洞存在、访问页面）iii.过程[36]1)寻找XSS漏洞2)注入恶意代码3)欺骗用户访问iv.防御[49]d)其他攻击：拒绝服务攻击、缓冲区溢出、COOKIE、传输层、异常错误处理、未验证的重定向e)上传漏洞[60]i.客户端检测绕过[63]ii.服务器端检测绕过1)内容类型检测[65]2)路径/扩展名检测[66]3)黑白名单[68]4)文件头检测[69]5)解析漏洞[70]2.攻击方法[71]a)基础信息采集[72]（服务器发现、服务发现、服务器识别、隐藏内容发现）b)Web服务器攻击[80]c)分析Web应用[82]d)攻击认证系统[84]（用户名枚举、密码攻击）e)攻击授权系统[88]（HTTP请求篡改、COOKIE参数修改）f)攻击会话管理机制[91]（COOKIE分析）Slide 7 安全操作系统1.概述[2]a)安全威胁[3]（保密性、完整性、可用性）b)应用监视器i.模型[5]ii.定义[6]（主体、客体）iii.概念[7-9]（主体属性、客体属性、访问控制列表）iv.安全策略分类[11]（军用：机密性、商用：完整性）2.安全基础模型[12]a)访问控制矩阵模型[13]i.表示：Q=(S,O,A) S主体集合O客体集合A访问控制矩阵b)自助访问控制（DAC）i.概念[16]（允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型）ii.Take-Grant模型1)三元组(S,O,G) S主体集合O客体集合G描述系统授权状态的有向图2)四种访问模式[19-20]3)两种操作[21-24]iii.优缺点[25]c)强制访问控制（MAC）i.原则[27]：最小特权原则、知其所需ii.安全类[33]1)表示：L=(C,S)2) C 密级构成线性格：安全层次分类，保密性表现3)S 范围构成子集格：依照特性划分系统资源iii.BLP模型1)概念[35]：状态机模型；形式化定义系统、系统状态、状态间转换规则2)访问类结构->支配：3)两个重要性质[37]：唯一最大下界唯一最小上界4)两个重要访问类[37]：格系统最大元素、格系统最小元素5)访问策略[39]：简单安全特性（下读）、星号特性（上写），不上读不下写d)RBAC模型[41]（基于角色的访问控制模型）i.概念[43-45]：静态集合、动态集合、操作（用户分配UA、权限分配PA、用户登陆user_sessions、激活与去活角色session_roles）ii.结构[46]:3.SELinuxa)定义[78]（提供一系列安全策略，包括强制访问控制，通过内核安全模块使用）b)图示[79] (AVC=Access Vector Cache 访问向量缓存)c)安全模型[83]i.类型增强（TE）ii.基于角色的访问控制（RBAC）iii.多级安全（MLS）d)安全上下文（security context）i.定义[84]ii.三个安全属性[85]1)用户标识2)角色（四种）3)类型（也称为域）iii.格式：user: role :typeiv.安全标识符[92] SIDv.对象生命期[94]1)临时对象：内核数据结构驻留内存表->SID2)永久对象：文件、目录文件系统->PSIDvi.决策[97]1)访问决策（访问向量：bitmap）2)过渡决策（新创建对象）vii.结构[103]（内核代码、共享库、安全策略、工具、文件系统）1)Linux安全模块（LSM）：用户态库、策略服务器2)策略与策略文件viii.策略语言[115]1)目标类2)许可3)类型增强（域转移、类型转移）4)基于角色的访问控制（添加组件、添加策略语言、继承、转移）5)多级安全（客体与许可的限制）ix.用户空间与使用[133]。

《网络攻击和防御技术》期末复习提纲：1.网络安全问题主要表现在哪些方面？常用防范措施有哪些？整体网络的安全问题主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、使用系统安全和网络管理的安全等。

防范措施：*物理措施*防问措施*数据加密*病毒防范*其他措施。

包括信息过滤、容错、数据镜像、数据备份和审计等。

2.简述数据报文的传送过程。

在进行数据传输时，相邻层之间通过接口进行通信，发送方由高层到低层逐层封装数据，接收方由低层到高层逐层解包数据。

如果接收方和方送方位于同一网段，则不需要进行路由选路，不经路由设备直达接收方。

如果通信双方不在同一网段，例如我们访问互联网，则需要进行路由选路，经过若干路由设备。

报文经过路由设备时进行的处理过程是这样的：在路由设备的物理层接收报文，然后向上传递到数据链路层、网络层。

在网络层路由设备会判断报文的目的IP地址是否是本地网络，然后将报文重新打包下发到数据链路层和物理层发送出去。

在这个过程中网络层的目的IP地址始终保持不变，而数据链路层的MAC地址更改成本地目的主机的MAC地址或下一个路由器的MAC地址。

3.在网络中定位一台计算机的方法是使用____IP地址____或_____域名DN___。

4.私有IP地址通常由路由器使用___NAT_____协议来转换为公有地址。

5. ping命令是用于检测____网络连接性_______和__主机可到达性_________的主要TCP/IP 命令。

使用ping命令默认情况下将发送__4_________次ICMP数据包，每个数据包的大小为_____32_______个字节。

6. ping命令的常用参数的含义：-n,-t,-l。

-n 指定发送数据包的数目，默认为4个。

-t 对目标持续不断地发送ICMP数据包，按Ctrl+C 组键停止。

-l 指定发包时，单个数据包的大小，默认是32KB。

7.ping命令出现“Request timed out.”信息的可能原因有哪些？* 和对方网络连接有问题（对方关机、此IP不存在、网络有问题）。

1.网络攻击和防御分别包括哪些内容？攻击技术包括以下几个方面：（1）网络监听（2）网络扫描（3）网络入侵（4）网络后门（5）网络隐身防御技术主要给包括以下几个方面：（1）安全操作系统和操作系统的安全配置(2)加密技术(3)防火墙技术(4)入侵技术(5)网络安全协议2.简述ping指令、ipconfig指令、netstat指令、net指令、at指令和tracert指令功能和用途ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。

Ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议和域名系统设置。

Netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息。

Net指令在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。

At指令用来建立一个计划，并设置在某一时刻执行。

Tracert是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。

3．简述黑客攻击和网络安全的关系。

黑客攻击和网络安全是紧密结合起来的，研究网络安全不研究黑客攻击等同于纸上谈兵，研究攻击技术不研究网络安全等同于闭门造车。

某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。

4、网络监听技术的原理是什么？网络监听的目的是截获通信的内容，监听的手段是对协议进行分析，sniffer pro 就是一个完善的网络监听工具。

监听器Sniffer的原理是：在局域网中与其它计算机进行数据交换时，数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。

因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。

但是，当主机工作在监听模式下时，无论接收到的数据包中的目的地址是什么，主机都将其接收下来。

然后对数据包进行分析，就得到了局域网中通信的数据。

第二章网络攻击行径分析破坏型攻击P9 定义，常见类型（病毒攻击，Dos）Dos常见类型和手段●Ping of DeathPPT+书上都有原理ping -s (设置数据包大小) IP_Addr防御方法：对重新组装过程添加检查，以确保在分组重组后不会超过最大数据包大小约束;创建一个具有足够空间的内存缓冲区来处理超过最大准则的数据包。

●IGMP/ICMP Flood防御方法：被攻击目标可以在其网络边界直接过滤并丢弃ICMP/IGMP数据包使攻击无效化。

●Teardrop第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。

为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏，甚至机器重新启动。

防御方法：1. 网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的IP地址对报文进行分组，源IP地址和目的IP地址均相同的报文归入同一组，然后对每组IP 报文的相关分片信息进行检查，丢弃分片信息存在错误的报文。

2. 为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。

●UDP Flood攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

攻击端口为非业务端口：丢弃所有UDP包；建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。

这种方法需要专业的防火墙或其他防护设备支持。

●SYN Flood图见PPT利用型攻击P11●口令猜测首先获得账号（使用Finger命令查询时会保存用户名；社工-email等），然后破译口令。

网络监听：很多协议没有采用任何加密或身份认证技术（Telnet、FTP、HTTP、SMTP等传），用户帐户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可很容易收集到帐户和密码。

缓冲区溢出：编制有缓冲区溢出错误的SUID程序来获得超级用户权限。

●特洛伊木马基于C/S结构的远程控制程序，是一类隐藏在合法程序中的恶意代码，这些代码或者执行恶意行为，或者为非授权访问系统的特权功能而提供后门。

网络攻防技术复习大纲一、选择、判断、填空题。

1、管理员常用的网络命令PING基于的协议基础是SMTP。

2、管理员常用的网络命令TRACEROUTE基于的协议基础是SMTP。

3、DNS的域名空间结构是树状结构。

4、在IP地址动态分配的时候，可以作为法庭上的重要证据来使用的是DHCP日志。

5、IPv6提供的地址空间是128位。

6、最通用的电子邮件传输协议是SMTP。

7、在各种电子邮件传输协从中，网际消息访问协议是IMAP4。

8、在各种电子邮件传输协从中，因特网电子邮件的第1个离线协议标准是POP3。

9、称为安全套接字协议的是SSL。

10、一般来说，信息安全的基本目标是保密性；完整性；可用性。

11、特洛伊木马是一种基于远程控制的黑客工具，其实质是C/S结构的网络程序。

12、安全威胁中的基本安全威胁有信息泄露；完整性破坏；拒绝服务；非法使用。

13、主要的可实现威胁包括渗入威胁；植入威胁。

14、主要的渗入类型的威胁有假冒；旁路控制；授权侵犯。

15、主要的植入类型的威胁有特洛伊木马、陷阱门。

16、不考虑主要的可实现威胁，潜在威胁主要有窃听；流量分析；操作人员的不慎所导致的信息泄露；媒体废弃物所导致的信息泄露。

17、下面属于主动攻击类型的是：伪装攻击；重发攻击；消息篡改；拒绝服务。

18、IPv6提供了地址自动配置机制，其中包括无状态地址自动配置；状态地址自动配置。

19、移动IPv6的基本操作包括移动检测；家乡代理注册；三角路由；路由优化。

20、暴库通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

21、文件传输协议FTP支持的功能有文本文件的传输；二进制文件的传输；字符集翻译。

22、对于单钥加密体制来说，可以按照加解密运算的特点将其分为流密码；分组密码。

23、古典密码基本的工作原理是代换；换位。

24、密钥流生成器的主要组合部分有驱动部分；组合部分。

25、分组密码的工作模式有电码本模式；密码分组链接模式；输出反馈模式；密码反馈模式；计数器模式。

第一个课件1)木马：盗取个人隐私信息、重要数据。

2)僵尸网络：发起拒绝服务攻击，发送垃圾邮件，传播恶意代码3)域名劫持：网页挂马，僵尸网络控制，网络仿冒4)信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

5)网络安全：计算机网络环境下的信息安全，包括存储和传输。

6)信息安全需求：保密性；完整性；可用性。

7)信息保障：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

8)信息的可控性：即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯。

9)信息的不可否认性：即信息的行为人要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。

10)PDRR模型：保护、检测、响应、恢复。

网络攻击11)主动攻击：包含攻击者访问他所需要信息的主动行为。

主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。

12)被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。

被动攻击包括嗅探、信息收集等攻击方法。

13)探测型攻击：主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。

14)阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。

15)拒绝服务攻击：是典型的阻塞类攻击，它利用Internet协议组的缺陷，使得合法用户无法对目标系统进行合法访问的攻击。

16)欺骗类攻击：包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。

17)控制型攻击：是一类试图获得对目标机器控制权的攻击，包括口令攻击、特洛伊木马、缓冲区溢出攻击。

网络攻击与防御技术期末复习重点开卷：90分钟单选30个30分；简答5个52分；综合1个18分1、密码猜解、社会工程学p77、缓冲区溢出p12、P136、网络监听P11\题p7的一般概念（1）密码破译技术是指实施密码破译过程中常用的各种技术、手段、措施、方法和工具。

在计算机网络传输过程中，除了合法的接收者外，还有非授权者，非授权者通过各种办法在信息传输过程中截取信息（如搭线窃听、电磁窃听、声音窃听等来取机密信息），因此机密信息在网络中传输通常要进行加密，但有时还是能够被非授权用户截获，通过密码破译获得明文甚至是密钥，使机密泄露。

常见方法：穷举法（蛮力猜测）、利用漏洞、字典法破译、缺省的登录界面（ShellScripts）攻击法、通过网络监听非法得到用户口令、直接猜测、人为的失误、获取密码存放文件（2）社会工程学（Social Engineering，又被翻译为：社交工程学）在上世纪60年代左右作为正式的学科出现，广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题，经过多年的应用发展，社会工程学逐渐产生出了分支学科，如公安社会工程学（简称公安社工学）和网络社会工程学。

计算机网络社会工程学攻击社会工程是指攻击者通过使用计谋和假情报的方法，以获取系统管理员密码或其它所需信息的一门科学。

还有一种社会工程的形式是攻击者试图通过混淆一个计算机系统来模拟一个合法用户。

例如，一个攻击者冒充某公司经理给该公司人员打电话，在解释他的账号被意外锁定之后，他说服该职员根据他的指示更改管理员权限，随后攻击者所做的仅仅是登陆那台计算机并获取相关信息。

社会工程学是一种通过自然的、社会的和制度上的途径并强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。

它实际上是攻击者通过利用人际关系的互动性而发出的攻击。

目前，社会工程学攻击主要包括打电话请求密码和伪造电子邮件两种方式。

第 1讲:网络安全概述1、计算机网络:我们讲的计算机网络 , 其实就是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来 , 以功能完善的网络软件 (即网络通信协议、信息交换方式及网络操作系统等实现网络中资源共享和信息传递的系统。

它的功能最主要的表现在两个方面 :一是实现资源共享 (包括硬件资源和软件资源的共享 ; 二是在用户之间交换信息。

计算机网络的作用是 :不仅使分散在网络各处的计算机能共享网上的所有资源 , 并且为用户提供强有力的通信手段和尽可能完善的服务 , 从而极大的方便用户。

从网管的角度来讲 , 说白了就是运用技术手段实现网络间的信息传递 , 同时为用户提供服务。

计算机网络通常由三个部分组成 , 它们是资源子网、通信子网和通信协议。

所谓通信子网就是计算机网络中负责数据通信的部分 ; 资源子网是计算机网络中面向用户的部分 , 负责全网络面向应用的数据处理工作 ; 而通信双方必须共同遵守的规则和约定就称为通信协议 , 它的存在与否是计算机网络与一般计算机互连系统的根本区别。

2、计算机网络安全的定义(从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。

3、本课程中网络安全:指网络信息系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破坏、更改、泄露,系统能连续、可靠、正常地运行,服务不中断。

(主要指通过各种计算机、网络、密码技术和信息安全技术,保护在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息可控性、可用性和互操作性等领域。

网络安全的主体是保护网络上的数据和通信的安全。

1数据安全性是一组程序和功能,用来阻止对数据进行非授权的泄漏、转移、修改和破坏。

《网络攻击与防御》复习题一、判断题1.防火墙构架于内部网与外部网之间，是一套独立的硬件系统。

（×）2.非法访问一旦突破数据包过滤型防火墙，即可对主机上的软件和配置漏洞进行攻击。

（×）3. GIF和JPG格式的文件不会感染病毒。

（×）4.发现木马，首先要在计算机的后台关掉其程序的运行。

（√）5.公钥证书是不能在网络上公开的，否则其他人可能假冒身份或伪造数字签名。

（×）6.复合型防火墙防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能。

（√）7.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。

（×）8.入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，仅提供对外部攻击的实时保护。

（×）二、单选题1．黑客窃听属于（B）风险。

A.信息存储安全B.信息传输安全C.信息访问安全D.以上都不正确2．通过非直接技术攻击称作（B）攻击手法A.会话劫持B.社会工程学C.特权提升D.应用层攻击3．拒绝服务攻击（A）。

A.用超出被攻击目标处理能力的海量数据包水泵可用系统、带宽资源等方法的攻击B.全称是Distributed Denial of ServiceC.拒绝来自一个服务器所发送回应请求的指令D.入侵控制一个服务器后远程关机4．下列叙述中正确的是（D）。

A.计算机病毒只感染可执行文件B.计算机病毒只感染文本文件C.计算机病毒只能通过软件复制的方式进行传播D.计算机病毒可以通过读写磁盘或网络等方式进行传播5．数字签名技术是公开密钥算法的一个典型应用，在发送端，采用（B）对要发送的信息进行数字签名。

A.发送者的公钥B.发送者的私钥C.接收者的公钥D.接收者的私钥6．数字证书采用公钥体制时，每个用户庙宇一把公钥，由本人公开，用其进行（A）。

A.加密和验证签名B.解密和签名C.加密D.解密7．对企业网络最大的威胁是（ D ）。