网络信息安全对抗（北京邮电大学版）考点总结

你敢酱油党，一本书一天总结考点，就这样总结出来了！！！！

 

 

作业1：通过社会工程学手段尝试获知异性同学的a)生肖b)星座c)出生日期d)生辰八字(bonus: 2分)，并详述你的社会工程学攻击过程，包括成功的和失败的。

社会工程学攻击尝试报告: 1. 攻击目标:    通过社会工程学手段尝试获知异性同学的生肖、星座、出生日期和生辰八字。: 2. 攻击思路:    为了要获取目标信息，我们想到了问卷调查，这样可以让陌生人或同学自然地给出 一些: 基本信息，而且目标信息并不存在关键如电话等内容，相信问卷难度并不大。: 3. 准备工作:    首先是设计问卷调查。因为要获取星座、生肖以及生辰八字，想到与其联系紧密的星座: 运势、心理测试与算命等问题，于是将问卷调查的主题定为对大学生关注运势情况的调查: 。以此为主题从星座到星座运势、心理测试、生辰与算命等内容设置了相应问题。

1.IP欺骗、ARP欺骗、DNS欺骗和TCP会话劫持的原理和过程。

答：IP欺骗攻击原理过程：

1. 使得被信任的主机丧失工作能力，

2. 同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。

3. 然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作

ARP欺骗的原理和过程

通过伪造IP地址和MAC地址实现ARP欺骗

1.A与C之间为正常情况下通信

2.B向C发送一个自己伪造的ARP应答，源IP地址为C的IP，MAC为伪造的

3.A接收到B的应答，更新地址ARP缓存表

4.B向C发送一个伪造的ARP应答，源ＩＰ地址为Ａ的IP，MAC同上

5.C同样会更新本地ARP表

6.A与C的通信，信息都将被B获取

DNS：入侵者早DNS服务器一步向客户端发送，响应数据报，从而修改客户端的DNS缓存。

TCP会话劫持的原理和过程

（1）诡谈通信中的保温获取<源IP，源TCP端口，目的IP，目的TCP端口>从而客户得知其中一台主机对将要收到的下一个报文段中seq和ackseq值的要求。

（2）在另一台主机发出报文前，向被攻击主机发送带净荷的假报文。

（3）由假报文携带净荷是攻击主机设定的被攻击机回复seq荷ackaeq值都是根据假报文而设定，因为不是根据其报文的净荷设定的被攻击机向另外一台合法主机发送的报文。

2.病毒、蠕虫、木马的区别。

答：病毒：（存在形式）寄生；(复制形式)插入到宿主程序；(传染机制)宿主程序运行；(攻击目标)针对本地文件；(触发传染)计算机使用者；(影响重点)文件系统；(防治措施)从宿主文件摘除；(计算机使用者角色)病毒传播中的关键环节；(对抗主体)，计算机使用者和反病毒厂商。

蠕虫：独立个体、自身复制、系统存在漏掉、针对网络上的其他计算机、程序自身、网络性能和系统性能、为系统打补丁、无关、系统软件和服务软件提供商和网络管理人员。

木马是具有欺骗性的文件，是一种基于远程控制的黑客攻击，具有隐蔽性和非授权性的特点。它不具有传染性，不会特意去感染其它文件，通过将自身伪装起来，吸引用户下载执行。

3、如何防范拒绝服务攻击

1、网关防范Syncookie:建立TCP连接时，要求客户端响应一个数字回执，来证明自己的真实性；

HIP：采用行为统计方法耳区别攻击包和正常包，对所有访问建立信任级别，当发生DDos攻击时，信任级别高的有优先访问权；

客户计算瓶颈：讲访问时的资源瓶颈从服务器端转移到客户端，从而大大提高DDOS的代价。

2、路由器的防范：基于骨感路由的防范方法：Push back siff ；基于路由器的ACL和限流。

3、主机防范：关闭不必要的服务；限制同时打开的Syn半连接数目

4.拒绝服务攻击（DOS）的原理与类型。

拒绝服务指攻击者通过相应的手段，导致目标机器或网络停止向合法用户提供正当的服务或资源访问

类型：  SYN泛洪 UDP洪水 ping洪流 泪滴攻击 IP欺骗DOS  Land攻击 smurf攻击 Fraggle 攻击

5.分布式拒绝服务攻击（DDOS）原理。

和拒绝服务相似，采用多台计算机作为目标，发送信息的攻击源头，从而使被攻击者更加难以防范

类型： SYN flood  LAND攻击 ZCMP flood  Application lovel flood 

6.消除入侵踪迹的步骤。

禁用审计功能，消除日志文件 隐藏文件

7、RADIUS的特征是什么？

1． 客户机/服务器(C/S)模式   一个网络接入服务器(以下简称NAS)作为RADIUS的客户机，它负责将用户信息传入RADIUS服务器，然后按照RADIUS服务器的不同的响应来采取相应动作。另外，RADIUS服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。   

2．网络安全（Network Security）   NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密，并且这些信息不会在两者之间泄漏出去。  

3．灵活认证机制（Flexible Authentication Mechanisms）   RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。   

4．协议可扩展性(Extensible Protocol)   所有的认证协议都是基于“属性－长度－属性值”3元素而组成的。

（非作业重点）：

1、网络信息对抗的基本原理（作战步骤）

①通过传播，把智能攻击武器注入敌方系统的最弱环节（无保护的链路之中）

②智能武器通过感染病毒传播到下一个节点---有保护的链路之中，从而对有保护的节点构成威胁

③通过一级级地感染，最终到达预定目标---敌方指挥中心的计算机系统，用特定的事件和时间激发，对敌方系统造成灾难性的破坏。

2、网络信息对抗的特点？

1.以夺取和控制制网络权为首要目的

2.人员素质要求高且技术性强

3.行动更加隐蔽且突然

4.效费比高

5.破坏性是长久的、持续的

6.网络信息对抗的战斗力可以准确地进行控制

系统攻防的基础：安全漏洞

系统攻防的核心：安全漏洞、Exploit(渗透攻击)/恶意代码、安全防御与检测机制三者之间的技术博弈

社会工程学防范：

1.尽量不使用真名上网，将真实世界与网络世界划清明确的界限；

2.不轻易相信别人，尤其是未曾谋面或未建立起信任关系的陌生人；

3.别把自己的电脑或移动终端轻易留给别人使用，必要时刻(如维修电脑时)务必清理上面的个人隐私信息

网络安全攻防：

网络接口层：网络嗅探；

网络层：IP源地址欺骗、ARP欺骗、ICMP协议攻击；

传输层：TCP重置攻击、会话劫持、SYN洪泛、UDP洪泛；

应用层：敏感信息窃听、篡改与身份假冒；

3、安全模型

多级安全模型：(1)BLP模型 (2)Biba模型 (3)Clark-Wilson模型 

多变安全模型：(1)Lattice模型 (2)Chinese Wall模型 (3)BMA模型 (4)Clark-Wilson模型 

4、缓冲区溢出攻击原理

缓冲区溢出便是通过往往程序的缓冲区内写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。

5、缓冲区溢出攻击过程

①将要执行的代码放入目标系统的内存中

②向缓冲区写入适当的代码，溢出缓冲区并修改返回地址内容

③控制程序跳转去执行入侵者预先安排的代码

6、缓冲区溢出攻击类别：

（1）基于堆栈的缓冲区溢出攻击 （2）基于堆的缓冲区溢出攻击 （3）基于LIB库的缓冲区溢出攻击

6、嗅探器的工作原理：利用以太网特性把网络适配卡置为杂乱模式状态，使该网卡具备“广播地址”，它对遇到的每个帧都产生一个硬件中断以提醒操作系统流经该物理媒体上的每一个报文包，基于这种模式，可以分析各种信息包，从而描述出网络结构和使用的机器。

7、网络嗅探分为共享式网络嗅探和交换式网络嗅探，后者包括MAC洪水攻击、ARP欺骗攻击、MAC地址伪造攻击。

8、OSI参考模型：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层

作用：

第一层：物理层。物理层是OSI参考模型的最低层，向下直接与物理传输介质相连接

第二层：数据链路层。这是OSI模型中极其重要的一层，它介于物理层与网络层之间，把从物理层来的原始数据打包成帧，一个帧是放置数据的、逻辑的、结构化的包。

第三层：网络层。网络层定义网络操作系统通信用的协议，为信息确定地址，把逻辑地址和名字翻译成物理的地址。

第四层，传输层。与数据链路层和网络层一样，传输层的功能是保证数据可靠地从发送结点发送到目标结点，负责错误的确认和恢复，以确保信息的可靠传递。

第五层，会话层。会话层负责建立并维护两个结点间的通信链接，也为结点间通信确定正确的顺序。

第六层，表示层。这一层处理数据格式化问题，由于不同的软件应用程序经常使用不同的数据格式化方案， 所以数据格式化是必需的。

第七层，应用层。应用层是OSI模型的最高层，控制着计算机用户绝大多数对应用程序和网络服务的直接访问。

9、TCP/IP参考模型：网络接口层、网际互联层、传输层、应用层

第一层，网络接口层。网络接口层与OSI参考模型中的物理层和数据链路层相对应。

第二层，网际互联层。网际互联层对应于OSI参考模型的网络层，负责将源主机的报文分组发送到目的主机，源主机与目的主机可以在一个网上，也可以在不同的网上。

第三层，传输层。传输层对应于OSI参考模型的传输层，为应用层实体提供端到端的通信功能。该层定义了两个主要的协议：传输控制协议（TCP）和用户数据报协议（UDP）。

第四层，应用层。应用层对应于OSI参考模型的高层，为用户提供所需要的各种服务。

10、OSI参考模型与TCP/IP参考模型比较：

相似之处：它们都采用了层次体系结构,每一层实现的特定功能大体相似

不同之处：OSI模型有三个主要概念:服务、接口和协议，TCP/IP参考模型最初没有明确区分服务、接口和协议；两个模型在层的数量上有明显的差别；另一个差别是OSI模型在网络层支持无连接和面向连接的通信，但是在传输层仅有面向连接的通信，TCP/IP模型在网间网层只有一种通信模式，在传输层支持两种模式，特别要指出的是，这两者的协议标准是不相同的

11、扫描防范：首先要禁止对ICMP包的回应，当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的

防范端口扫描的方法：

（1）关闭闲置端口，禁止不必要服务

（2）屏蔽敏感信息

（3）合理配置网络安全设备

（4）陷阱技术

12、基于目标计算机系统的防范方法主要三类：网关防范、路由器防范、主机防范

1.网关防范就是利用专门技术和设备在网关上防范DDoS攻击，网关防范主要采用的技术有SynCookie方法、基于IP访问记录的HIP方法、客户计算瓶颈方法等；

2. 路由器防范方法主要有pushback和SIFF方法

3. 主机防范：关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out 时间、及时更新系统补丁

13一次性口令概念：一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术；

一次性口令工作原理：当用户向服务器发出连接请求时，服务器向用户提出挑战（challenge）。挑战通常是由两部分组成的一个字符串。挑战的一部分是种子值（seed），它是分配给用户的在系统内具有唯一性的一个数值，也就是说，一个种子对应于一个用户，同时它是非保密的；而另一部分是迭代值（iteration），它是服务器临时产生的一个数值，与通行短语和种子值不同的是它总是不断变化的。用户收到挑战后，将种子值，迭代值和通行短语输入到“计算器”中进行计算，并把结果作为回答返回服务器。服务器暂存从用户那里收到回答，因为它也知道用户的通行短语，所以它能计算出用户正确的回答，通过比较就可以核实用户的确切身份，如下图所示：

14、Kerberos认证技术：MIT为分布式网络设计的可信第三方认证协议，它可提供安全的网络认证，允许个人访问网络中不同的机器，设计目标是通过密钥系统为客户机/ 服务器应用程序提供强大的认证服务；

Kerberos认证技术认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个会话密钥“session key”

15、PKI体系结构：终端实体、证书机构、注册机构和PKI存储库。