网络攻防技术复习第一部分

第1部分 绪论

1、网络空间的4个要素（设施、数据、用户、操作）

网络空间载体（设施）；网络空间资源（数据）；（技术层面）
网络活动主体（用户）；网络活动形式（操作）；（社会层面）

2、网络空间安全基本概念；

方滨兴院士给出的“网络空间安全”的定义：
网络空间安全是在信息通信技术的硬件，代码，数据，应用四个层面，围绕着信息的获取、传输、处理、利用4个核心功能，针对网络空间的设施，数据，用户，操作四个核心要素来采取安全措施，以确保网络空间的机密性、可鉴别性、可用性、可控性四个核心安全属性得到保障，让信息通信系统能够提供安全，可信，可靠，可控的服务，面对网络空间攻防对抗的态势，通过信息、软件、系统、服务方面的确保手段、事先预防、事前发现、事中响应、事后恢复的应用措施，以及国家网络空间主权的行使，既要应对信息通信技术系统及其所受到的攻击，也要应对信息通信技术相关活动的衍生出政治安全、经济安全、文化安全、社会安全与国防安全的问题。
网络空间安全的核心内涵仍是信息安全，没有信息安全就没有网络空间安全。

3、网络安全属性；

机密性 可鉴别性 可用性和可控性

4、网络攻击基本概念、分类（重点理解主动攻击、被动攻击）

基本概念：
网络攻击是指采用技术或非技术手段，利用目标网络信息系统的安全缺陷，破坏网络信息系统的安全属性的措施和行为。其目的是窃取，修改，伪造或破坏信息或系统，以及降低、破坏网络和系统的使用效能。
分类：
主动攻击：攻击者为了实现攻击目的，主动对系统进行非授权的访问行为。通常是具有攻击破坏性的攻击行为，会对系统造成直接的影响。
主动攻击又可分为：中断（可用性） 篡改（完整性） 伪造（真实性）
对于主动攻击，重点在于检测并从破坏或造成的延迟中恢复过来。
被动攻击：利用网络存在的漏洞和安全缺陷对网络系统的硬件，软件及其系统中的数据进行的攻击。一般不对消息进行篡改，通过截取或者窃听等方式未经用户授权对消息的内容进行获取，或对业务数据流进行分析。
对被动攻击的重点不是检测而是预防，可以通过加密，通信业务流量填充等机制来达到防御的目的。

5、网络安全防护技术的三个阶段和发展趋势

第一代网络安全技术：
目的：以“保护”为目的的第一代网络安全技术，主要针对系统的保密性和完整性。
方法：通过划分明确的网络边界，利用各种保护和隔离技术手段，如用户鉴别和认证，访问控制、权限管理和信息加解密等，试图在网络边界上阻止非法入侵，达到信息安全的目的。
第二代网络安全技术：
目的：以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复四大技术。它通过检测和恢复技术，发现网络系统中异常的用户行为，根据事件的严重等级，提示系统管理员，采取相应的措施。
技术：防火墙 入侵检测系统 虚拟专用网 公钥基础设施 安全操作系统
其他技术：审计系统，漏洞扫描，防病毒等
第三代安全技术：
第三代安全技术是一种信息生存技术，即系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成全部或关键使命的能力。
第三代安全技术与前两代安全技术的最重要差别在于设计理念上：它假定我们不能完全正确地检测、阻止对系统的入侵行为。
核心：入侵容忍技术

6、会描述网络攻击的一般过程。

六阶段：网络侦察 网络扫描 网络渗透 权限提升 维持及破坏 毁踪灭迹

网络侦察：也称踩点，在网络中发现有价值的站点，收集目标系统的资料，包括各种联系信息，IP地址范围，DNS以及各种服务器地址及配置信息等。
网络扫描：使用各种扫描技术检测目标系统是否与互联网相连接以及可访问的IP地址（主机扫描），所提供的网络服务（端口扫描）、系统的体系结构进而寻找系统中可攻击的薄弱点。
网络渗透：基于网络侦察和扫描结果，设法进入目标系统，获取系统访问权。具体方法有缓冲区溢出漏洞攻击，口令攻击，恶意程序，网络监听，社会工程学等。
权限提升：攻击获取的权限往往是普通用户权限，需要以合法身份进入系统，并通过系统本地漏洞，解密口令文件，利用安全配置缺陷，猜测，窃听等手段获取系统的管理员或特权用户权限，从而扩大和提升权限，进而开展网络监听，清除痕迹，安装木马等工作。
维持及破坏：维持访问权限，同时，根据预定攻击目的和攻击时机执行攻击动作。
毁踪灭迹：掩盖攻击留下的 痕迹，主要工作是清除相关日志内容，隐藏相关的文件及进程，消除信息回送痕迹等。