计算机网络安全技术复习

计算机网络安全技术复习

第一章 计算机网络安全概述

网络脆弱性的原因

  • 开放性的网络环境
  • 协议本身的脆弱性
  • 操作系统的漏洞
  • 人为因素

网络安全的定义

计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。

网络安全的基本要素

  • 保密性
  • 完整性
  • 可用性
  • 可控性
  • 不可否认性

网络安全涉及的内容

  • 管理安全
  • 应用安全
  • 系统安全
  • 网络安全
  • 物理安全

第二章 黑客常用的攻击方法

黑客入侵攻击的一般过程

  1. 确定攻击的目标
  2. 收集被攻击对象的有关信息
  3. 利用适当的工具进行扫描
  4. 建立模拟环境
  5. 实施攻击
  6. 清除痕迹
  7. 创建后门

具体可表现为 9 个步骤

  • 信息收集
    • 踩点
    • 扫描
    • 查点
  • 实施攻击
    • 获取访问
    • 特权提升
    • 拒绝服务
  • 成功之后
    • 偷盗窃取
    • 掩踪灭迹
    • 创建后门

Nmap 支持的 4 种基本扫描方式

  • Ping 扫描(-sP 参数)
  • TCP connect() 扫描(-sT 参数)
  • TCP SYN 扫描(-sS 参数)
  • UPD 扫描(-sU 参数)

SMBCrack

SMBCrack 是基于 Windows 操作系统的口令破解工具,与以往的 SMB(共享)暴力破解工具不同,使用的是 SMB 的协议,在 WindowsNT 中,SMB 基于 NBT。NBT 使用 137(UDP)、138(UDP)、139(TCP)来实现基于 TCP/IP 的 NETBIOS 网际互联。SMB 除了基于 NBT 的实现外,还有直接通过 445 端口实现。

ARP 欺骗的工作原理

因为 ARP 协议并不只在发送了 ARP 请求后才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此,当局域网中的某台机器 B 向 A 发送一个自己伪造的 ARP 应答,而如果这个应答是 B 冒充 C 伪造来的,即 IP 地址为 C 的 IP,而 MAC 地址是伪造的,则当 A 接收到 B 伪造的 ARP 应答后,就会更新本地的 ARP 缓存。

防范 ARP 欺骗攻击的主要方法

  1. 静态绑定网关等关键主机的 MAC 地址和 IP 地址的对应关系,命令格式为:arp -s 192.168.0.1 aa-bb-cc-dd-ee-ff-00。该方法可以将相关的静态绑定命令做成一个自启动的批处理文件,让计算机一启动就执行该批处理文件,以达到绑定关键主机 MAC 地址和 IP 地址对应关系的目的。
  2. 使用一些第三方的 ARP 防范工具,例如 360ARP 防火墙等。
  3. 通过加密传输数据、使用 VLAN 技术细分网络拓扑等方法,以降低 ARP 欺骗攻击的危害后果。

木马的工作原理

常见的普通木马一般是客户端/服务端模式,客户端/服务端之间采用 TCP/UDP 的通信方式,攻击者控制的是相应的客户端程序,服务器端程序是木马程序,木马程序被植入到毫不知情的用户的计算机中。以“里应外合”的工作方式工作,服务程序通过打开特定的端口并进行监听。攻击者所掌握的客户端程序向该端口发出请求,木马便与其连接起来。攻击者可以使用控制器进入计算机,通过客户端程序命令达到控制服务器端的目的。

木马的工作过程

  1. 配置木马
  2. 传播木马
  3. 启动木马
  4. 建立连接
  5. 远程控制

反弹端口木马

与一般的木马相反,客户端(控制端)打开某个监听端口,反弹端口型木马的服务端(被控制端)主动与该端口连接,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线,立即弹出端口主动连接控制端打开的主动端口。

木马检测

  1. 查看端口
  2. 检查注册表
  3. 检查 DLL 类木马
  4. 检查配置文件

木马的防御与清除

  • 不要打开陌生人邮件中的附件
  • 到正规网站去下载软件
  • 使用杀毒软件

拒绝服务攻击概述

拒绝服务攻击从广义上讲可以指任何导致网络设备(服务器、防火墙、交换机、路由器等)不能正常提供服务的攻击

拒绝服务攻击原理

一种是以消耗目标主机的可用资源为目的,使目标服务器忙于应付大量非法的、无用的连接请求,占用了服务器所有的资源,造成服务器对正常的请求无法再做出及时响应,从而形成事实上的服务中断,主要的攻击方法有死亡之 Ping、SYN Flood、UPD Flood、 ICMP Flood、Land、Teardrop 等。

另一种是以消耗服务器链路的有效带宽为目的,攻击者通过发送大量的有用或无用数据包,将整条链路的带宽全部占用,从而使合法用户请求无法通过链路到达服务器。例如,蠕虫对网络的影响。具体的攻击方式很多,如发送垃圾邮件,向匿名 FTP 塞垃圾文件,把服务器的硬盘塞满;合理利用策略锁定账户,一般服务器都有关于账户锁定的安全策略,某个账户连续 3 次登录失败,那么这个账户将被锁定。破坏者伪装一个账号,去错误的登录,使这个账号被锁定,正常的合法用户则不能使用这个账号登录系统了。

常见的拒绝服务攻击

  • 死亡之 Ping
  • SYN Flood 攻击
  • Land 攻击
  • Teardrop 攻击
  • CC 攻击

缓冲区溢出原理

缓冲区中存放数据的长度事先已经被程序或者操作系统定义好,如果往程序的缓冲区写入超出其长度的内容,就会造成缓冲区溢出,覆盖其他空间的数据,从而破坏程序的堆栈,使程序转而执行其他指令。

缓冲区溢出的预防

  1. 通过操作系统使缓冲区不可执行,从而阻止攻击者植入攻击代码。
  2. 强制程序员编写正确、安全的代码的方法
  3. 利用编译器的边界检查来实现缓冲区的保护。这个方法使缓冲区溢出不可能出现,但能阻止绝大多数的缓冲区溢出攻击
  4. 在程序指针失效前进行完整性的检查。虽然这个方法不能使所有的缓冲区溢出失效,但能阻止绝大多数的缓冲区溢出攻击。

TCP 会话劫持攻击概述

TCP 会话劫持是一种 TCP 协议攻击技术,是在一次正常的 TCP 通信过程中,攻击者作为第三方劫持正常通信双方已经建立起来的 TCP 会话连接,以假冒其中一方(通常是客户端)的身份与另一方进行进一步通信。

TCP 会话劫持攻击的检测与防范

  • 采用加密机制
  • 为了避免攻击者成为客户端和服务器通信双方的中间人,可以从防范 ARP 欺骗、ICMP 路由重定向攻击等攻击方法入手,例如采用静态绑定 MAC 地址方法以防范 ARP 欺骗;过滤 ICMP 路由重定向报文以防范 ICMP 路由重定向攻击。

第三章 计算机病毒

计算机病毒的定义

计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

典型计算机病毒事件

时间 名称 事件
1986 Brain 第一个计算机病毒
1991.4 米开朗基罗 第一个格式化硬盘的开机型病毒
1998 CIH 第一个破坏硬件的病毒,面向 Windows 的 vxD 技术编制的
2001 Nimda 集中了当时所有蠕虫传播途径,成为破坏性非常大的病毒
2008.3 磁碟机病毒 近几年来发现的病毒技术含量最高、破坏性最强的病毒

计算机病毒的特征

  • 传染性
  • 破坏性
  • 潜伏性及可触发性
  • 非授权性
  • 隐蔽性
  • 不可预见性

计算机病毒的分类

  • 基于 DOS 系统的病毒
  • 基于 Windows 系统的病毒
  • 基于 UNIX/Linux 系统的病毒
  • 基于嵌入式操作系统的病毒

按照计算机病毒的宿主分类

  • 引导性病毒

  • 文件型病毒

  • 宏病毒

    宏病毒主要以 Microsoft Office 的宏为宿主,寄存在文档或模版的宏中的计算机病毒。

蠕虫病毒

蠕虫病毒是自包含的程序,能传播自身功能的拷贝或自身某些部分到其他的计算机系统中。与一般病毒不同,蠕虫病毒不需要将其自身附着到宿主程序

传播方式有:通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击传播、通过移动设备进行传播、通过即时通信等社交网络传播。

计算机病毒的一般组成

  • 引导模块
  • 感染模块
  • 破坏表现模块
  • 感染标志

计算机防病毒技术原理

  • 特征代码法
  • 校验和法
  • 行为监测法
  • 虚拟机技术

第四章 数据加密技术

对称加密算法通信模型

DES 算法加密过程示意图

常用的对称加密算法

  • 三重 DES
  • IDEA
  • AES

混合加密体系

PGP 系统的基本工作原理

不仅可以对邮件加密,还具备对文件/文件夹、虚拟驱动器、整个硬盘、网络硬盘、即时通信等的加密功能和永久粉碎资料等功能。

PGP 工作原理示意图

SSL 协议与 SET 协议

SSL 协议(安全套接层)使用了对称密钥算法和公开密钥算法,并使用了 X.509 数字证书技术,常用于 Web Server 方式

SET 协议(安全电子交易)应用于 Internet,以信用卡为基础的电子支付系统规范,目的是为了保证网络交易的安全性。

第五章 防火墙技术

防火墙分类

  • 按性能分类
    • 百兆防火墙
    • 千兆防火墙
    • 万兆防火墙
  • 形式分类
    • 软件防火墙
    • 硬件防火墙
  • 被保护对象分类
    • 单机防火墙
    • 网络防火墙
  • 体系结构分类
  • 双宿主主机
  • 被屏蔽主机
  • 被屏蔽子网体系结构
  • 技术分类
    • 包过滤防火墙
    • 应用代理型防火墙
    • 状态检测防火墙
    • 复合型防火墙
    • 下一代防火墙

包过滤防火墙的原理

包过滤防火墙工作在网络层,在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项。

  • 源、目的 IP 地址
  • 源、目的端口号
  • 协议类型
  • TCP 数据报的标志位

状态检测防火墙

状态检测防火墙技术是 CheckPoint 在基于“包过滤”原理的“动态包过滤”技术发展而来的。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下,采用抽取相关数据的方法,对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。

第六章 Windows Server 的安全

Windows 仅使用两种运行模式,既 Ring0 和 Ring3.Ring0 是内核模式,所有内核模式进程共享一个地址空间,Ring3 为用户模式,每个用户模式进程拥有自己私有的虚拟内存空间。

NT 系统的安全元素

  • 用户身份验证
  • 基于对象的访问控制

安全认证子系统

  • 安全标识符
  • 访问令牌
  • 安全描述符
  • 访问控制列表
  • 访问控制项

账户安全策略

  • Windows 强密码原则
  • 账户策略

根键

  • HEKY_CLASSES_ROOT

该根键由多个子关键字组成,具体可分为两种:一种是已经注册的各类文件的扩展名;另一种是各种文件类型的有关信息。该根键在系统工作过程中实现对各类文件和文档信息的访问,具体的内容有已经注册的文件扩展名、文件类型、文件图标等。

  • HKEY_CURRENT_USER

是一个指向 HEKY_USERS 结构中某个分支的指针,包含当前用户的登录信息。实际上 HKEY_CURRENT_USER 是“HKEY_USERS\Default”下面的一部分内容,如果 Default 下面没有用户登录的其他内容,那么这两个根键包含的内容相同。

  • HKEY_USER

包含计算机上所有用户的配置文件,用户可以在这里设置自己的关键字和子关键字。根据当前登录的用户不同,这个根键又可以指向不同的分支部分。

  • HKEY_LOCAL_MACHINE

包含了本地计算机(相对网络而言)的硬件和软件的全部信息。当系统的配置和设置发生变化时,该根键下面的登录项也将随之改变。

  • HKEY_CURRENT_CONFIG

包含了 SOFTWARE 和 SYSTEM 两个子键,也是指向 HEKY_LOCAL_MACHINE 结构中相对应的 SOFTWARE 和 SYSTEM 两个分支中的部分内容。本关键字包含的主要内容是计算机的当前配置情况,如显示器、打印机等可选外部设备及其设置信息等,而且这个配置信息均根据当前连接的网络类型、硬件配置及应用软件的安装不同而有所变化。

系统的关键进程

  • System Idle Process

该进程也称为“系统空闲进程”。这个进程作为单线程运行在每个处理器上,是在 CPU 空闲的时候发出一个 Idle 命令,使 CPU 挂起,可有效地降低 CPU 内核的温度。

  • System

是 Windows 系统进程(该进程号 PID 最小),是不能被关掉的,控制着系统 Kernel Mode 的操作。

  • smss.exe

是一个会话管理子系统,负责启动用户会话。这个进程用以初始化系统变量,并且对许多活动的进程和设定的系统变量做出反应

  • csrss.exe

是 Windows 操作系统的客户端/服务端运行时的子系统。该进程管理 Windows 图形的相关任务。csrss 用于维持 Windows 的控制,创建或者删除线程和一些 16 位的虚拟 MS-DOS 环境。该进程崩溃系统会蓝屏。

  • winlogon.exe

管理用户登录,在用户按【Ctrl+Alt+Del】组合键时被激活,显示安全对话框。

  • services.exe

是 Windows 操作系统的一部分,用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。

  • lsass.exe

是一个本地的安全授权服务,并且会为使用 winlogon 服务的授权用户生成一个进程。这个进程是通过使用授权的包,如默认 msgina.dll 来执行的。如果授权是成功的,lsass 就会产生用户的进入令牌。令牌使用启动初始的 shell。其他由用户初始化的进程会继承这个令牌。该进程崩溃会系统倒计时关机。

  • svchost.exe

在启动的时候,svchost.exe 检查注册表中的位置来构建需要加载的服务列表。可以多个在同一时间运行;每个进程的会话期间都包含一组服务,单独的服务必须依靠 svchost.exe 获知怎样启动和在哪里启动。

  • explorer.exe

桌面进程

  • spoolsv.exe

管理缓冲池中的打印和传真作业。

SC 命令

  • sc query 服务名 (查看一个服务的运行状态)
  • sc qc 服务名(查看一个服务的配置信息)
  • sc star 服务名(启动一个服务)
  • sc stop 服务名(停止一个服务)
  • sc 服务名 config start=disabled(禁止一个服务)

事件查看器

系统日志记录启动的和失败的记录、系统关闭和重新启动。应用程序日志是当个别的应用程序与操作系统相互作用时,记录其操作。安全日志记录登录行为、访问和修改用户权限的事件等。

第七章 Web 应用安全

Web 应用安全威胁

  • 针对 Web 服务器软件的安全威胁
  • 针对 Web 应用程序的安全威胁
  • 针对传输网络的安全威胁
  • 针对浏览器和终端用户的 Web 浏览安全威胁

Web 服务器软件的安全防范措施

  • 及时进行 Web 服务器软件的补丁更新
  • 对 Web 服务器进行全面的漏洞扫描
  • 采用提升服务器安全性的一般性措施

SQL 注入

代码注入是利用程序开发人员在开发 Web 应用程序时,对用户输入数据验证不完善,导致 Web 应用程序执行了由攻击者所注入的恶意指令和代码,造成信息泄露、权限提升或对系统的未授权访问等后果。

跨站脚本攻击

该攻击是利用 Web 应用程序的漏洞,在 Web 页面插入恶意的 HTML、JavaScript 或其他恶意脚本。当用户浏览该页面时,客户端浏览器就会解析和执行这些代码,从而造成客户端用户信息泄露、客户端被渗透攻击等后果。

  • 反射性 XSS
  • 存储型 XSS

IE 浏览器的安全

4 种安全区域

  • Internet
  • 本地 Internet(更改,本地 intranet)
  • 受信任的站点
  • 受限制的站点

Cookie 欺骗

Cookie 被截获之后,截获 Cookie 的人不需要知道这些字符串的含义,他们只要把别人的 Cookie 向服务器提交,并且能够通过验证,就可以冒充受害人的身份登录网站。