网安复试知识简略版
文章目录
- 计算机网络(数据通信,资源共享,分布式处理)
-
- 1. 概念
-
- 网络体系结构
- 2.网络设备
- 3.数据链路层功能
- 4.局域网
- 5.以太网
- 6.广域网协议
- 7.链路层设备
- 8.网络层(主要任务是把分组从源端传到目的端,为分组交换网络的不同主机提供通信服 务)
- 9.传输层
- 10.应用层
- 操作系统
-
- 1.操作系统四个特性
- 2.操作系统功能
- 3.进程
- 4.内存管理
- 网络安全基础知识
-
- 1.什么是网络安全(Network Security)
- 2.为什么不安全
- 3.安全威胁
- 4.病毒(Computer Virus)
- 5.安全技术
- 6.密码学 (Cryptology)
- 7.数字签名 (Digital Signature)
- 8.消息认证 (message authentication)
- 9.身份认证 (Authentication)
- 10.PKI 技术 (Public Key Infrastructure)
- 11.防火墙技术 (Firewall)
- 12.入侵检测技术(IDS,Intrusion Detection System)
- 13.虚拟专用网络(VPN,Virtual Private Network)
- 14.访问控制(Access Control,通过一些策略限制访问能力和范围,防止非法入侵)
- 15.网络攻击(Cyber Attacks)
- 14.缓冲区溢出攻击(Buffer Overflow)
- 15.SQL 注入(Sql Inject)
- 16.计算机病毒,人造的会破坏系统功能的程序
计算机网络(数据通信,资源共享,分布式处理)
1. 概念
网络体系结构
- 为什么要分层:
各层相对独立,可以分别采用最适合的技术实现,不用管具体怎么实现
便于网络的设计和故障排除
通过网络组件标准化,允许多个供应商进行开发
通过定义在模型的每一层实现什么功能,鼓励产业的标准化
允许各种类型的网络硬件和软件互相通讯
防止对某一层所作的改动影响到其他层,有利于开发
- 对等实体(使用相同协议,同一层)
协议(对等实体才有,语法:传输格式, 语义:规定功能,同步:操作顺序)
接口(两层之间,上用下)
服务(下面给上面提供服务) - PDU(协议数据单元)=SDU(服务数据单元)+PCI(协议控制信息)
PDU(Protocol Data Unit)
SDU(Service Data Unit)
PCI(Protocol Control Information)
- OSI 七层(法定标准,学习方便):
应用层,表示层,会话层,传输层,网络层,数据链路层,物理层。- 应用层:程序。
- 表示层:数据格式变换,加密解密,数据压缩和恢复。
- 会话层:建立管理终止会话连接,使用校验点实现数据同步。
- 传输层:端对端通信(进程之间的通信),可靠传输、不可靠传输、差错 控制,流量控制(接收端和发送端发送速度控制),复用分用(用时使用同一个传输层,传输层把信息交付相应进程),单位是报文段或者用户数据报
- 网络层:把分组从源端传输到目的端,为不同主机提供统一服务,路由控制(最佳路径),流量控制,差错控制,拥塞控制(宏观的调整),单位是数据报
- 数据链路层:组装成帧,差错控制(错帧),流量控制,访问控制(控制对信道的访问)
- 物理层:比特流的透明传输,定义接口特性,比特编码与同步
表示层一般处理数据格式化、代码转化、数据加密,Java中fastjson就做着类似的工作
- 四层(实际标准,TCP/IP 协议栈):先实现才有理论
- HTTP FTP DNS
- TCP UDP IP
- 相同点:分层,都基于协议栈,都可以使用在异构网络
- 不同点:
- OSI 定义了服务,协议,接口,TCP/IP 实现了异构网互联问题;
- OSI 网络层有无连接和面向连接,传输层面向连接,TCP/IP 网络层无连接,传输层有无连接和面向连接
- 五层模型结合了两种层次的优点
- 资源子网实现数据处理,资源共享,通信子网实现数据通信(路由器,交换机和网桥,集线器和中继器)
- 速率:数据传输率或者比特率,带宽:网络设备最高速率,吞吐量:单位时间内成功传输的数据量
- 时延=发送时延+传播时延+排队时延+处理时延
- RTT 从发送到收到确认,使用 Ping 命令
- 时延带宽积=传播时延×信道带宽,利用率=处理时间/总时间
时延带宽积:某时链路上可容纳的最大的比特数。
RTT(Round-Trip Time): 往返时延,在计算机网络中它也是一个重要的性能指标,它表示从发送端发送数据开始,到发送端收到来自接收端的确认(接收端收到数据后便立即发送确认),总共经历的时延
2.网络设备
- 物理层设备:
- 中继器(再生数字信号,不会存储转发):两端的网段一定是统一协议,速率也相同
- 集线器:放大信号,不分割冲突域,平分带宽 (多端口的中继器)
3.数据链路层功能
- 其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。
- 差错控制:奇偶校验码,CRC(循环冗余校验码)
丢弃差错帧,迟到,确认和超时重传,自动重传,丢弃重复帧,累计确认 - 流量控制:点对点流量控制,相邻节点之间,停止等待(一个一个发),滑动窗口 (后退 N 帧和选择重传,自动重传)
- 组帧
- 介质访问控制(采取措施是通信不会互相干扰):
- 信道划分
- 轮询访问控制,主节点依次询问所有从节点,使用令牌,无冲突
- 随机介质访问控制,CSMA(载波监听多路访问协议),检测总线是否有人在发送数据,空闲发送,忙时随机时间等待后发送(1-坚持:忙则一直监听) (非坚持:随机监听空闲发送) (P-坚持:空闲时间以 p 概率发送)
- CMSA/CD(多了碰撞检测):半双工,二进制规避算法,争用期,
最小帧长: 帧的传输时延至少要两倍信号在总线中的传播时延 - CSMA/CA:碰撞规避
(1)接受信号的强度往往会小于发送信号的强度,且在无线介质上信号强度动态变化范围很广。因此若要实现碰撞检测,在硬件上的花费就会过大;
(2)在无线通信中,并非所有的站点都能够听见对方。而“所有站点都能够听见对方”正是实现CSMA/CD协议必备的基础。
4.局域网
广播信道,网络拓扑,介质访问控制
5.以太网
最广泛的局域网技术,采用曼彻斯特编码,使用 CSMA/CD,MAC 地址(48 位全球唯一,标识网卡),
MAC 帧:目的地址(6 字节)可以使广播地址,源地址(6 字节), MTU 最少为 46 字节
6.广域网协议
PPP 协议,HDLC 协议
PPP(Point-to-Point)
HDLC(High-Level Linked Control)
7.链路层设备
- 网桥:根据 MAC 帧的目的地址对帧进项转发和过滤,查表后发送到相应端口,分割了冲突域(网段),吞吐量是所有冲突域速率之和,即插即用,自学习算法建表
- 以太网交换机(多端口网桥):每个端口都是一个冲突域,所有冲突域可以独占带宽,经常使用存储转发交换机,放入高速缓存,查看是否出错,出错丢弃,没出错就转发
- 冲突域:同一和时间只能有一个主机发送消息,冲突域中所有人都能收到所有帧
- 广播域:一个站点发送信号,所有可以接收到的都在一个广播域中(使用路由器隔离)
8.网络层(主要任务是把分组从源端传到目的端,为分组交换网络的不同主机提供通信服 务)
- 功能:路由选择与分组转发,异构网络互联,拥塞控制(全局性)
- 数据交换方式:电路交换,报文交换,分组转发
- IP 数据报:固定部分 20 字节,每个分片都得加 IP 头部
- IP 地址分类:
- A 类:1.0.0.0——126.0.0.0
- B 类:128.0.0.0----191.255.0.0
- C 类:192.0.0.0—223.255.255.0
- D 类:多播地址
- E 类:保留地址
- 私 有 地 址 :
- 10.0.0.0–10.255.255.255
- 172.16.0.0-172.31.255.255
- 192.168.0.0-192.168.255.255
- 本机地址:127.0.0.1,使用
ping127.0.0.1测试 TCP/IP 是否正常
- 网络地址转换 NAT:在专用网和英特网之间的路由器上安装 NAT 软件,至少有一 个外部全球 IP 地址,与之通信时,目的地址或者源地址都只填写 NAT 的地址,使 用 NAT 转换表(外部网关 IP 地址:端口号,内网:端口号)
(1)静态NAT
内部本地地址一对一转换成内部全局地址,相当内部本地的每一台PC都绑定了一个全局地址,即使这个地址没有被使用,其他的电脑也不能拿来转换使用,这样容易造成IP地址的资源浪费,一般是用于在内网中对外提供 服务的服务器
(2)动态NAT
顾名思义,动态地址转换就是,在内部 本地地址转换的 时候,在地址池中选择一个空闲的,没有正在被使用的地址,来进行转换,一般选择的是在地址池定义中排在前面的地址,当数据传输或者访问完成时就会放回地址池中,以供内部本地的其他主机使用,但是,如果这个地址正在被使用的时候,是不能被另外的主机拿来进行地址转换的
(3)端口复用 NAPT
路由器通过地址,端口号进行转换,多个内部本地转换成一个内部全局,通过IP地址,端口号进行标识不同的主机,一个IP地址 可用端口数为4000个
- 子网掩码和 IP 地址相与得到网络地址
- 路由表:取出 IP 地址,看是否可直接交付,特定主机,检测路径,默认路由。
- 无分类编址 CIDR;只要前缀相同,他们就属于同一个地址快
- ARP 协议:
- ARP 高速缓存(IP 地址与 MAC 地址的映射)
- 广播 ARP 请求分组,仅有一个主机响应,不在同一个广播域内,下一跳填默认路由的 MAC地址
- DHCP 动态 IP 地址分配:应用层协议,是客户端/服务器方式,基于 UDP, 广播方式交互
- ICMP 协议
- 差错报告报文:终点不可达,源点抑制,时间超过(TTL=0),参数问题(首部出问题),改变路由
- 询问报文:会送请求和回答报文,时间戳请求和回答报文,掩码地址请求和回答报文
- 应用:
- PING,测试两个主机之间的连通性,使用 ICMP 会送请求会回答报文
- Traceroute:跟踪一个分组从原点到终点的路径,使用时间超过差错报告报文
- IPV6
- IP 地址 128位
- 即插即用
- 隧道技术:将其他协议的数据帧或包当做数据重新封装
- RIP 路由算法:基于距离向量,路由表存储到每一个目的网络的最佳距离
- OSPF 算法:使用链路数据库,泛洪更新,收敛速度快
9.传输层
- UDP:无连接,面向报文,不对数据分组,无拥塞控制,适合实时性应用
- TCP:面向连接,可靠有序,不丢不重,只能有两个端点,点对点连接,面向字节,
拥塞控制:慢开始和拥塞避免,快重传和快恢复
10.应用层
- FTP、SMTP、HTTP,POP3(TCP)110
- DNS 到 IP 的映射:本地-根-顶级-权限
- FTP 控制端口 21,数据连接窗口 20
- HTTP
- URL:唯一表示一个资源(统一资源定位符)
- HTTP 协议定义了浏览器(万维网客户进程)曾瑶放服务器发送请求
- 服务器监听 80 端口,一旦和客户建立连接,HTTP 请求报文
- HTTP 是无状态的,Cookie 存储在用户主机总,保留一段时间内的访问记录
- HHTP 两种连接方式:持久/非持久
- GET /POST
2**成功,3**重定向 4**客户出错
操作系统
1.操作系统四个特性
并发、共享、虚拟、异步
2.操作系统功能
进程管理、存储管理、文件管理、I/O管理
3.进程
- 组成:PCB,程序和数据
- 三种状态:就绪,运行,阻塞,阻塞队列和就绪队列
- CPU 调度算法:先来先服务,短作业优先,高响应比优先,时间片轮转,多级反馈队列
响应比=(等待时间+要求服务时间)/要求服务时间
- 线程与进程的区别
1、地址空间:同一进程的线程共享本进程的地址空间,而进程之间则是独立的地址空间。
2、资源拥有:同一进程内的线程共享本进程的资源,但是进程之间的资源是独立的。
3、一个进程崩溃后,在保护模式下不会对其他进程产生影响,但是一个线程崩溃整个进程都死掉。所以多进程要比多线程健壮。
4、进程切换时,消耗的资源大,效率高。所以涉及到频繁的切换时,使用线程要好于进程。同样如果要求同时进行并且又要共享某些变量的并发操作,只能用线程不能用进程。
5、执行过程:每个独立的进程程有一个程序运行的入口、顺序执行序列和程序入口。但是线程不能独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。
6、线程是处理器调度的基本单位,但是进程不是。
- 进程间通信:消息队列(发送和接收消息,原子性),管道(共享文件),信号量通信;共享内存
- 死锁:互斥条件,请求保持,不可抢占,循环等待
- 死锁处理:预防,避免(银行家),检测,解除
4.内存管理
- 重定向,内存置换
- 分段分页
- 页面替换算法:最佳置换,先进先出,最久未使用,时钟算法
网络安全基础知识
1.什么是网络安全(Network Security)
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,
从而确保网络数据的
可用性(Availability)、
完整性(integrity)、
保密性(confidentiality)和
不可否认性(non-repudiation)
2.为什么不安全
协议设计没有考虑安全性问题(使用明文传输,不进行身份认证等等),
网络资源开放、信息共享以及网络复杂性,访问控制复杂性
3.安全威胁
恶意攻击,天灾人祸
4.病毒(Computer Virus)
网络病毒:
- 特洛伊木马:寄宿在计算机里的一种非授权的远程控制程序,它是一种典型的网络病毒。它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒
- 蠕虫:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。
后门:秘密开启访问入口的程序
逻辑炸弹
5.安全技术
身份认证、访问控制、数据加密、防火墙技术、审计
6.密码学 (Cryptology)
- 密码系统:明文空间、密码算法、密文空间、密钥
- 常用攻击方法:唯密文攻击,已知明文攻击,选择明文攻击,选择密文攻击
唯密文攻击(只知道密文)
已知明文攻击(知道明文以及对应的密文)
选择明文攻击(可任意选择明文加密成密文)
选择密文攻击(可任意选择密文解密成明文)
- 流密码:序列密码,每次加密一位或者一字节明文,
- 分组密码:用明文分组用密钥进行加密
- 公钥算法:
- 基于大整数分解难题(RSA)
- 基于对数难题(ELGamal 埃尔加,DSA,Schnoor)
- 基于椭圆曲线对数难题(ECC,具体应用:ECDSA)
- 单向陷门函数 (给x求 y=f(x)简单,给 y,求 x,使得 y=f(x)是困难的)
离散对数(英语:Discrete logarithm)是一种基于同余运算和原根的一种对数运算
RSA
ELGamal
DSA (Digital Signature Algorithm,数字签名算法)
ECC(Elliptic Curves Cryptosystem,椭圆曲线公钥密码体制)
ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法)
7.数字签名 (Digital Signature)
- 是一个基于密码学的概念,采用特定的技术手段,对数据电文打上的特定的标记信 息,此标记信息,作为数据电文的发送人的标志,并且表明发送人认可该数据电文的内容。
- 数字签名(基于 PKI 体系的数字认证系统),生物签名(指纹、虹膜)
- 与消息认证的区别:消息认证能认证发送方以及所发消息是否被篡改,当收发双方无冲突的时候,已经足够了;当有利益冲突时,需要借助数字签名解决冲突
- 与消息加密的区别:消息加密解密可能是一次性的,但签名要求多年后才验证其签名,签名的安全性和防伪造性要求更高
- 数字签名必须具备:独有签名防伪造和否认,容易产生,容易检验真伪
- 数字签名存在的问题:公钥算法效率低,会受到中间人攻击
A给B发消息会使用非对称加密,
为了接下来的对话,先要把公钥发送给B,结果被X中间人攻击了。
A:“我是A,这是我的公钥key_pubA,你收好” ----->B
X截获了这个请求,修改一下:“我是A,这是我的公钥key_pubX,你收好” ----->B
接着A发消息时用A的私钥签名,X截获后随便篡改别的信息再自己生成签名,而B拿着所谓的"A的公钥" key_pubX,B验证签名也不会有问题。
A找B借钱1000到A账户,结果被X修改为借钱5000到X账户,B验证签名没问题。
这样防止事后否认的特性给A挖了个大坑。
解决办法:
数字证书
- 多重数字签名:多个人同时签署一份文件
- 特殊的数字签名:
- 不可否认的数字签名(不能被复制,必须在签字者的配合下再能验证有效性),应用于电子出版保护
- 盲签名协议,签名者不知道待签命文件内容,适用于选举投票和电子现金(先加密在发送给签名者)
盲签名协议工作过程:A 将文件与一个随机数进行乘法运算,该随机数成为盲因子, 发送签字后返回,用盲因子解密,得到签名文件
8.消息认证 (message authentication)
-
消息认证(message authentication)就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。
它包含两层含义:
一是验证信息的发送者是真正的而不是冒充的,即数据起源认证;(收发双方才有相同密钥)
二是验证信息在传送过程中未被篡改、重放或延迟等 -
消息发送者在消息中加入一个鉴别码(MAC)并经加密后发送给接受者(有时只需加密鉴别码即可)。
接受者利用约定的算法对解密后的消息进行鉴别运算,将得到的鉴别码与收到的鉴别码进行比较,若二者相等,则接收,否则拒绝接收。 -
产生鉴别码的方法:
- 银行工业标准:采用对称密码体制如DES
- 采用Hash函数
-
Hash 的特点:输入可变的消息,输出固定大小的hash码,不使用密钥
改变消息的几位,hash码也会改变,具有单向性。
hash 满足输出定长,容易计算,单向性,弱无碰撞性,强无碰撞性
9.身份认证 (Authentication)
- 成熟的身份认证应该包括:正确识别概率大,伪装成功率极小,计算量小,可信第三方无条件信任
- 身份认证系统组成:认证服务器,认证设备,认证系统用户端软件
- 通过三种方式认证:口令、携带物品、独一无二的特征和能力
- 口令攻击的种类:字典攻击,穷举攻击,窥探
- 防御口令攻击的对策:难破译的加密算法,增加口令强度,掺杂口令等等
- 大多数认证协议都是询问-应答式协议
- 重放攻击:使用一个目的主机已经接受过的包再次发送,破坏身份认证的正确性,
破解重放攻击:每次都使用不同的当前数 - 基于对称密码的双向认证协议:NS 协议,NSSK 协议
- 基于非对称的双向认证协议:NSPK 协议
- 基于对称密码的单向认证协议
- 基于非对称的单项认证协议
- 零知识身份认证
- 应用:
kerberos 协议
可进行双向认证,具备互操作性,具有较高性能,采用对称加密,安全性不高,服务器集中管理,容易形成瓶颈
10.PKI 技术 (Public Key Infrastructure)
- 是非对称密钥体制为基础,以数字证书为媒介,实现身份认证,保证信息真实性完整性和机密性不可否认性的系统
- 证书被发给主体,担保主体身份,对应一个公钥和私钥,可用于加密,
私钥加密和签名,公钥解密和验证签名
PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
11.防火墙技术 (Firewall)
- 是隔离内部网与英特网之间的一道防御系统,访问者必须先穿越防火墙才能解除目标计算机
- 原理:通过安装过滤器、操作系统等软件的路由器和计算机系统
- 功能:控制计算机网络中不同信任程度区域间传送的数据流,体现在强化网络安全策略,对网络存取和访问的监控,防止内部消息泄露,提供 NAT,VPN 等功能
- 缺陷:不能防范来自内部网络的攻击,不通过防火墙的攻击,利用标准协议缺陷进行的攻击,未知的安全问题
- 防火墙性能指标:传输层性能指标(TCP),网络层(吞吐量、时延、丢包率), 应用层(HTTP)
- 技术:无状态包过滤技术、电网级网关、应用网关技术,状态监测技术,自适应代理技术
双重宿主主机又称为堡垒主机,是一台至少配有两个网络接口的主机,它可以充当与这些接口相连的网络之间的路由器,在网络之间发送数据包。
而一般情况下双宿主机的路由功能是被禁止的,因而能够隔离内部网络与外部网络之间的直接通信,从而起到保护内部网络的作用。
堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
双宿主机防火墙与屏蔽主机防火墙的区别:
双宿主机防火墙:堡垒主机
屏蔽主机防火墙:包过滤路由器和堡垒主机构成
- 防火墙体系结构:
-
包过滤型防火墙(Package Filtering Firewall)
-
双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall),
-
屏蔽主机防火墙(Screened Host Firewall),
-
屏蔽子网防火墙(Screened Subnet Firewall)
-
12.入侵检测技术(IDS,Intrusion Detection System)
- 概念:是一种对网络传输进行即时监控,在发现可以传输时发出警报的网络安全技 术,主动式安全防护技术
- 入侵检测系统是一种通过分析网络行为、安全日志,审计数据和其他网络信息,检测系统是否存在违反安全策略或被攻击的迹象的安全系统(IDS)
- IDS 分类:
- 基于主机的入侵检测 HIDS,检测主机数据,优点:精确,缺点:占用主机计算资源和存储资源,攻击者可以关闭 IDS
- 基于网络的入侵检测 NIDS,检测网络数据,优点:不增加主机负担,缺点: 无法检测复杂攻击
- 混合分布式入侵检测:使用基于网络的 IDS 提过早期警报,主机 IDS 检验是否攻击成功
- 按照分析技术分类:误用检测,异常检测,混合检测
- 入侵检测原理:异常检测(建立正常模式,只要违背模式行为判断有入侵),误用检测(建立已知攻击模型,匹配看是否遭到攻击)
误用检测,一种基于模式匹配的网络入侵检测技术。假设所有的网络攻击行为和方法都具有一定的模式或特征,如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库,然后将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较,即可发现未知的网络攻击行为。
13.虚拟专用网络(VPN,Virtual Private Network)
- 基于公网建立的一个逻辑上的专用通道,传输数据进行了加密和认证,不能被第三者修改,保证机密性和完整性
- 三种:接入 VPN,内联网 VPN,外联网 VPN
- 隧道技术:一个逻辑路径,进行再封装,传输,解封,由 VPN 网关再用自己的 IP 地址封装,转发到另一个 VPN 设备,解封
- IPsec 隧道技术,建立加密的可靠的数据通路,将网络层各种协议直接封装到隧道技术中传输
- IPsec 目标:认证IP报文来源,防止 IP 欺骗,完整性,私密性,检测重复报文并丢弃,认证包头提供身份认证,抗重放攻击和完整性
- IPsec 两个模式:传输模式和隧道模式,传输 end-to-end,隧道模式 site-to-site
14.访问控制(Access Control,通过一些策略限制访问能力和范围,防止非法入侵)
- 安全策略:允许什么、禁止什么的表述
- 安全模型:安全策略的清晰表达
- 安全机制:实施安全策略的方法、工具或者规程
- 访问控制模型的组成:身份认证,审计,主体,客体
- 策略有:
基于自主式策略(安全性较低,信息移动权限会改变),
基于规则的策略 (分为多等级),
混合安全策略(基于角色访问控制,有用户,管理员,权限) - 模型有:
自主访问控制模型(用户自己决定),
强制访问控制模型(强制等级,保密性规则和完整性规则,防火墙,web 服务器,中国墙等),
基于角色的访问控制模型 - 实现:访问控制表、访问控制矩阵、授权关系表,安全标签
15.网络攻击(Cyber Attacks)
利用mac地址泛洪可以把交换机的mac地址表的空间给“撑破”,逼迫交换机进行的arp广播,取代被欺骗者的mac地址,使之数据全都流向欺骗者,此时被欺骗者会掉线。
- 原因:系统、协议、数据库设计存在缺陷
- 指攻击者利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击
- 攻击的一般流程:信息收集,系统安全缺陷探测(扫描安全漏洞),实时攻击,巩固攻击成果
- 攻击分类
- 主动攻击(访问需要的信息实施的主观行为,包括拒绝服务攻击、信息篡改、资源使用、欺骗等)
- 被动攻击(收集信息而不进行访问,包括嗅探、信息收集等)
- 网络探测
- 踩点(包括名字、邮件地址和电话号码、传真号、IP 地址范围、DNS 服务器、邮件服务器等相关信息)
- 扫描(攻击者获取活动主机、开放服务、操作 系统、安全漏洞等关键信息的重要技术)
- 查点
网络查点
继网络踩点、扫描之后一项网络情报信息搜集技术,网络查点针对已知的弱点,对识别出来的服务进行更加充分更具针对性的探查,来寻找真正可以攻击的入口,以及攻击过程中可能需要的关键数据。
网络查点能够搜集到的信息看起来好像是无害的,但这些信息被细心的高水平攻击者所掌握,就可能成为危害目标系统安全的祸根。
例如:
用户帐户名:口令猜测破解;
错误配置的共享资源:恶意程序上传;
老旧的网络服务版本:缓冲区溢出漏洞攻击。
- 扫描技术包括
- Ping 扫描(确定哪些主机正在活动)
- 端口扫描(确定有哪些开放服务)
- 操作系统辨识(确定目标主机的操作系统类型)
- 安全漏洞扫描(获得目标上存在着哪些可利用的安全漏洞)。
- 扫描类型
- TCP 连接扫描
- TCP SYN 扫描
- TCP FIN 扫描
- TCP ACK 扫描
- UDP 扫描
- ICMP echo 扫描
- 网络查点:攻击者采用从目标系统中抽取有效账号或导出资源名的技术
- 常用攻击手段:使用视频文件寻找目标(配置木马,制作视频,传播),根据漏洞公告寻找目标主机,利用心理学、社会工程学获取目标主机信息。
- 网络监听:ARP 欺骗
检测预防:- 在交换机上绑定MAC地址与IP地址,为每台主机添加一条IP地址和MAC地址对应的关系静态地址表。
- 绑定网关IP和MAC
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
- 网络欺骗:IP地址欺骗,DNS 欺骗,IP源路由欺骗
- IP 欺骗
- IP 源地址欺骗的防范:使用包过滤技术(检测到数据包的源IP和目的IP地址都是本地域的地址,丢弃,因为同一个域中的通信是不需要经过路由器的),使用加密机制(包数字签名),使用IPSec安全协议
- DNS 欺骗
- DNS 欺骗防范:异常检测(区分正常答应包和非法答应包),使用SSH安全协议
- 源路由选择欺骗
- 源路由选择欺骗防范:
首先攻击者需要对目标主机实施 IP 地址欺骗,因此只要杜绝了 IP 地址欺骗,就可防范此类攻击;
攻击者需要使用路由器的源路由功能,只需简单关闭该功能就可以彻底消除源路由选择欺骗。
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了
- 拒绝服务攻击:利用网络协议的缺陷,采用耗尽目标主机的通信、存储或计算资源的方式来迫使目标主机暂停服务甚至导致系统崩溃。
- 常见的拒绝服务攻击
- SYN 泛洪(发送大量伪造 TCP 连接请求)
- UDP 泛洪 (伪造 UDP 连接,发送大量无用数据流)
- ICMP 泛洪(发送大量ICMP echo报文)
- 死亡之Ping(单个ICMP 数据包过大, 使得TCP/IP 堆栈崩溃,主机死机 )
- 泪滴攻击(发送损坏的 IP 数据包,通 过 TCP/IP 协议栈中分片重组代码中的 BUG 瘫痪操作系统)
- land 攻击(设计一个特殊的 SYN 包,它的源地址和目标地址都被设置成同一个服务器地 址)
- smurf 攻击
(通过向一个局域网的广播地址发出 ICMP 回应请求(Echo Request),并将请求的返回地址设为被攻击的目标主机,导致目标主机被大量的应答包(Echo Reply)淹没,最终导致目标主机崩溃)
- 拒绝服务攻击防范
- 关闭不必要的服务
- 限制打开的 SYN 数目,缩短 SYN 连接超时等待时间
- 及时更新补丁
- 设置防火墙和路由器
- 常见的拒绝服务攻击
如果攻击者向目标主机发送大量的ICMP echo报文,将产生ICMP泛洪, 目标主机会将大量的时间和资源用于处理ICMP echo报文,而无法处理正常的请求或响应,从而实现对目标主机的攻击。
lang攻击与smurf攻击的区别:
- land攻击基于TCP
- smurf攻击基于ICMP
14.缓冲区溢出攻击(Buffer Overflow)
向目的程序缓冲区写入超过其长度的内容,造成溢出
15.SQL 注入(Sql Inject)
原因是没有对输入数据的合法性进行判断。
对于防火墙这些攻击是合法的.
SQL注入即是指Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
16.计算机病毒,人造的会破坏系统功能的程序
- 特性:寄生性,传染性,隐蔽性,破坏性,可触发性
- 按攻击的操作系统分类
- DOS病毒
- Windows病毒
- Linux病毒
- 按传播媒介分类
- 单机病毒、宏病毒
- 网络病毒:蠕虫、木马
- 按链接方式分类
- 源码型病毒
- 入侵型病毒
- 外壳型病毒
- 操作系统型病毒
- 按寄生方式分类
- 引导型病毒
- 文件型病毒
- 混合型病毒
- 宏病毒是只感染微软的文档( .doc 或.xls 等) 的一种专向病毒。
- 包括主控模块、感染模块、触发模块、破坏模块
- 病毒检测方法:
- 外观检测法(对系统某些部分发生变化,异常现象)
- 系统和文件对比法(引起文件长度变化)
- 特征代码法
- 校验和法(改变了宿主文件的内容,检测检验和是否一致),
- 启发式代码扫描技术(利用人工智能扫描技术实现病毒检测)
- 病毒防范:
更新补丁,软件升级,安装杀毒软件,不点开来历不明的邮件,不随意访问陌生网站,资料定期备份