【期末复习】网络空间安全导论
1、TCP/IP安全结构各个层次可采取的安全措施:
网络空间安全体系结构:
物理层:
对于使设备位于防火防水的环境中;备份设备、线路,做好设备防盗,不间断电源保障;
网络层:
对外网进行入网访问控制;使用VPN保证传输安全;使用防火墙、入侵检测系统;对网络资源进行访问控制;
系统层安全:
对系统进行加固;对系统进行备份;对系统进行安全配置:安装杀毒软件等等操作;定期扫描系统漏洞
应用层安全:
加固数据库;使用安全身份认证统一授权;使用防病毒软件
管理层安全:
规范安全管理;进行安全风险评估;合理的人员角色定义;明确部门安全职责划分;制定严格的安全管理制度。
TCP/IP安全结构:
数据链路层:封装成帧、透明传输、差错控制 ,加解密,数字签名
网络接口层包括了物理层和数据链路层,主要的方法就是子网划分,物理隔绝。
网络层:式样包过滤防火墙,VPN等
运输层:使用安全协议SSL/TLS等等
应用层:使用用户安全认证,代理服务防火墙
2、常见的访问控制模型
3、防火墙的各种类型及其特点
这部分应该只用记得有哪些类型的防火墙即可。
3.1、包过滤防火墙
-
原理:工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
-
优点:
- 速度快,性能高;对用户透明。
-
缺点:
- 维护比较困难(需要对TCP/IP了解)
- 安全性低(IP欺骗等)
- 不提供有用的日志,或根本就不提供
- 不能处理网络层以上的信息
3.2、 应用层代理防火墙
-
原理:工作在应用层,通过编写不同的应用代理程序,对应用层的协议和服务进行过滤,实现对应用层数据的检测和分析
-
优点
- 对服务进行全面的控制,全控制提供哪些服务
- 火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻
- 提供很详细的日志和安全审计功能
-
缺点
- 要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件
- 每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级
3.3、状态检测防火墙
-
原理:工作在网络层到应用层,对各层次进行监测,抽取状态信息,通过规则表和连接状态表,综合判断是否允许数据包通过
-
优点:
- 安全性较好;性能高效
- 配置方便,应用范围广;扩展性好
-
缺点:
- 无法过滤垃圾邮件、广告以及木马程序等
- 由于检测的内容比较多,因此防火墙的性能不高
- 配置比较复杂
9、常用防火墙的模型
9.1、包过滤结构防火墙 :
其实就是一个包过滤防火墙
9.2、双重宿主主机防火墙:
例:外网➡️内网:
外网➡️外主机➡️➡️内主机➡️内网
特点:
- 访问速度慢
- 如何保护双重宿主主机本身的安全
9.3、屏蔽主机体系结构防火墙
9.4、屏蔽子网防火墙
组成:周边网络(牺牲主机),堡垒主机(核心),外部路由器,内部路由器
优点:安全性高
缺点:
- 不能防御内部攻击者,不能防御绕过防火墙的攻击
- 不能防御完全新的威胁
- 不能防御数据驱动的攻击
10、如何利用个人防火墙禁止一个IP
10.1、禁止IP
控制面板➡️系统与安全界面➡️WIndows防火墙➡️高级设置
新建规则➡️自定义➡️勾选下列IP,添加IP➡️阻止连接
10.2、禁止端口
控制面板➡️系统与安全界面➡️WIndows防火墙➡️高级设置
新建规则➡️端口➡️选择端口➡️阻止连接
4、入侵对方系统的常见方法有哪些?
4.1、口令攻击
破解或者绕开口令验证过程,冒充合法用户潜入系统,夺取控制权
包含以下几种方式:
-
社会工程学攻击
-
猜测攻击
-
字典攻击
-
穷举攻击
-
混合攻击
暴力破解:利用字典,穷举等方式爆破用户账号、密码等等
4.2、木马攻击
木马伪装成工具程序或者游戏等,诱使用户打开,攻击者就可以通过网络远程控制受害者的主机或者将用户的密码发送攻击者
4.3、网络监听
截获网络上传输的信息,通常用来获取用户口令或密码。
4.4、后门攻击
利用系统的后门,实现对系统的控制
4.5、漏洞扫描
扫描找到系统的漏洞,例如最近比较热门的Log4j漏洞,或者利用XSS漏洞等入侵系统
4.6、传播病毒
编写一段可执行的程序,通过U盘、网络介质等传播,破坏被感染电脑的数据,消耗系统资源等等
4.7、跨站攻击
攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
其他攻击方式:
拒绝服务攻击
SQL注入
缓冲区溢出攻击
5、Dos、DDoS技术的要领及防范措施
5.1、Dos
想办法让目标主机或系统拒绝提供服务或资源访问,这些资源包括、CPU、磁盘空间、内存、进程、网络带宽等,从而阻止正常用户的访问
SYN Flood利用了TCP协议的缺陷,不断向受害者发送请求但是第三次握手的时候不发生确认信息,消耗大量的CPU和内存资源。
5.2、DDoS
是使用网络上两个或两个以上被攻陷的电脑作为 “僵尸” 向特定的目标发动 “拒绝服务” 式攻击。
攻击者➡️肉机(控制别的肉机相当于主机,防止溯源)➡️肉机
5.3、如何防范
- 配置好骨干节点上的防火墙
- 用足够的机器来承受黑客的攻击
- 使用Express Forwarding 过滤掉不必要的服务和端口,即在路由器上过滤掉假IP
- 使用单播反向通路转发
- 过滤掉所有RFC1918 IP地址
- 限制SYN/ICMP 流量
6、 如何检查系统中是否有木马或者病毒?恶意代码的攻击原理是什么?
6.1、
- 首先查看电脑是否有被病毒入侵的表现:
- 屏幕上出现不应出现的字符图像等等
- 运行速度变慢,经常死机
-
打开任务管理器的进程查看是否有可疑程序
-
在DOS环境下输入 netstat -ano 查看是否有可疑IP链接
-
安装杀毒软件进行扫描
-
使用工具进行扫描,有两种方式,一种是基于异常库去匹配,若匹配则拒绝,一种是基于正常库匹配,如匹配则接受,第一种比较更严格。
6.2、
找漏洞
特征匹配
复制传染
脚本植入
主要包括拒绝服务攻击、信息窃取、数据破坏、修改系统配置等四个方面
1.渗透技术
渗透技术的任务是保证恶意代码能够植入到目标主机中
2.自启动技术
自启动技术的任务是保证恶意代码在受害主机下一次开机启动后也被激活
3.自我保护技术
自我保护技术是使常用的检测工具无法检测到恶意代码的存在
攻击技术
攻击技术是指一切试图跨越系统安全边界危害受害主机的可用性、可靠性、数据完整性、或者消耗受害主机的系统资源以及利用受害主机危害他人的所有行为
7、计算机网络安全策略模型有哪些?
网络空间安全模型:PDR、P2DR、P2DR2
Pt > Dt + Rt Pt防护时间 Dt入侵时间 Rt响应时间
8、对称加密算法和公开密钥算法的基本特点,分析他们的异同点
对称加密算法:
DES 3DES TDEA Blowfish RC5 IDEA AES
- 算法公开
- 计算量小
- 加密速度快
- 加密效率高
- 加密与解密使用的钥匙相同
- 密钥交换、密钥管理比较困难
- 通常用对称加密算法加密大量的明文
公开密钥算法:
RSA ELGamal 背包算法 Rabin Diffie - Hellman 长的都是
- 计算量大
- 解决的了密钥分配问题与数字签名问题
https://www.cnblogs.com/zl222333zl/p/13836557.html
11、漏洞挖掘的方法
- SQL 注入 利用sql拼接问题,导致数据被窃取、更改、删除
- 跨站脚本攻击 XSS(Cross-site scripting)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击
- 弱口令漏洞,通常认为容易被别人猜测到后者被破解工具破解的口令均为弱口令
- 文件上传漏洞:如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器
- CRSF:跨站请求伪造,大概意思是攻击者盗用用户的身份,以用户的名义发送恶意请求
- 越权访问:使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定
12、常用网络命令,并给出相应的功能介绍
-
ping 用于确定本地主机是否能与另一台主机交换
-
netstat -an 查看所有端口占用情况
-
ipconfig 查看DNS、IP、Mac等
-
arp 探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
-
net share 查看你机器的共享资源
-
NET USE
作用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。
-
NET USER
作用:添加或更改用户帐号或显示用户帐号信息。该命令也可以写为 net users。
-
Net Start
作用:启动服务,或显示已启动服务的列表。
命令格式:net start service -
Net Pause
作用:暂停正在运行的服务。
命令格式:net pause service -
Net Continue
作用:重新激活挂起的服务。
命令格式:net continue service -
NET STOP
作用:停止 Windows NT 网络服务。
命令格式:net stop service
Ipconfig命令的常用参数的含义如下。
(1)/?
该参数显示Ipconfig命令的帮助信息。
(2)/all
该参数显示本计算机全部的网络配置信息,其详细说明见下一节。
(3)/release
该参数释放指定网卡的IP地址。
(4)/renew
该参数为指定的网卡重新分配IP地址。
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-x] [-t] [interval]
-a 显示所有连接和侦听端口。
-b 显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下,已知可执行程序承载多个独立的组件,这些情况下,显示创建连接或侦听端口时涉及的组件序列。在此情况下,可执行程序的名称位于底部 [] 中,它调用的组件位于顶部,直至达到 TCP/IP。注意,此选项可能很耗时,并且在你没有足够权限时可能失败。
-e 显示以太网统计信息。此选项可以与 -s 选项结合使用。
-f 显示外部地址的完全限定域名(FQDN)。
-n 以数字形式显示地址和端口号。
-o 显示拥有的与每个连接关联的进程 ID。
-p proto 显示 proto 指定的协议的连接;proto可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s选项一起用来显示每个协议的统计信息,proto 可以是下列任何一个:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
-q 显示所有连接、侦听端口和绑定的非侦听 TCP 端口。绑定的非侦听端口不一定与活动连接相关联。
-r 显示路由表。
-s 显示每个协议的统计信息。默认情况下,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息;-p 选项可用于指定默认的子网。
-t 显示当前连接卸载状态。
-x 显示 NetworkDirect 连接、侦听器和共享终结点。
-y 显示所有连接的 TCP 连接模板。无法与其他选项结合使用。
interval 重新显示选定的统计信息,各个显示间暂停的间隔秒数。按 CTRL+C 停止重新显示统计信息。如果省略,则 netstat 将打印当前的配置信息一次。
**1.导出注册表
格式:regedit /l:system /R:user /e filename.reg regpath
含义:/l system 指定system.dat文件的路径
:/R user 指定user.dat文件的路径
:/E filename.reg指定表编辑器要进行导出到那个REG文件中的操作
Regpath:指定要导出哪个注册表的分支,若省略则表示导出整个注册表
2.导入注册表
格式:regedit /l:system /R:user
含义:同上
3.重建注册表
格式:regedit /l:system /R:user /C file.reg
含义:用指定的注册表文件来重建注册表
4.删除分支
格式:regedit /l:system /R:user /D regpath
含义:都差不多,就是删除/D regpath指定的分支,若删除整个注册表**
13、黑客进行网络入侵的五部曲,对每个步骤进行简要说明
来无影, 漏洞扫描,植入控制权,留后门,去无踪
来无影:隐藏自己的身份,不被入侵主机发现
漏洞扫描:扫描入侵主机的漏洞,端口、IP、域名等等
植入控制权:入侵对方的主机,利用口令破解、缓存溢出漏洞等等,获得系统账号权限
留后门:留下一个后门,为以后的访问留下控制权限
去无踪:消除自己入侵的痕迹,防止对方管理员发现
书上部分:
14、Windows操作系统安全配置策略有哪些?
- 升级电脑系统,比如Win7➡️Win10
- 操作系统安装补丁,在Windows更新里面,检查更新
- 设置Windows自带防火墙,“控制面板”➡️“安全和维护”,打开防火墙。
- 安装第三方杀毒软件,比如360
- 保护系统帐号安全,删掉不必要的账户,设置陷阱账户(设置超长超复杂的密码,权限设置最低),给管理员账户改名(避免重点攻击
- 给账号设置一个安全的密码
- 设置屏幕保护程序,防止离开的时候,电脑被人操作
- 关闭系统默认共享 cmd net share 控制面板 - 管理工具 - 服务 -服务 停止Server服务
- 文件加密,对文件进行压缩的时候进行加密
15、入侵检测的基本步骤
