PDRR保障体系:
①保护(protect)采用可能采取的手段保障信息的保密性、完整性、可控性和不可控性。
②检测(Detect)提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。
③反应(React)对危及安全的时间、行为、过程及时作出响应处理,杜绝危险的进一步蔓延扩大,力求系统尚能提供正常服务。
④恢复(Restore)一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
网络安全概述:
1、网络安全的攻防体系:从系统安全的角度分为—攻击和防御
(1)攻击技术
①网络监听:自己不主动去攻击被人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。②网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,
为入侵该计算机做准备。③网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。④网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
⑤网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
(2)防御技术
①安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
②加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
③防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。④入侵检测:如果网络防线最终被攻破,需要及时发出呗入侵的警报。⑤网络安全协议:保证传输的数据不被截获和监听。
2、网络安全的层次体系
从层次体系上,网络安全分为:物理安全,逻辑安全,操作安全和联网安全。
1)物理安全:5个方面:防盗、防火、防静电、防雷击和防电磁泄漏。tcp ip协议只能用于internet
2)逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法实现。
3)操作系统安全:操作系统是计算机中最基本、最重要的软件,操作系统不允许一个用户修改另一个账户产生的数据。
(4)联网安全:访问控制服务:用来保护计算机和联网资源不被非授权使用。通信安全服务:用来认证数据机要性和完整性,以及个通信的可依赖性。
网络命令:
①Ping指令:通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。(判断主机是否连通)
②Ipconfig 指令:显示所有TCP/IP网络配置信息、刷新动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)和域名系统(DNS)设置。(查看IP地址配置情况)
③Netstat 指令:显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPV4统计信息(IP,ICMP,TCP和UDP协议)。(查看网络连接状态,使用“netstat-an”命令可以查看目前活动的连接和开放端口,是网络管理员查看网络是否被入侵的最简单方法。)
④Net 指令:在网络安全领域通常用来查看计算机上的用户列表、添加用户、与对方计算机建立连接、启动或者停止某网络服务等。
(进行网络操作,“net user”—查看用户列表、“net user jack 123/add”—添加用户)
⑤At 指令:使用at命令建立一个计划任务,并设置在某一时刻执行。(进行定时器操作)
⑥Tracert 指令:Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
1、攻击五部曲
(1)隐藏IP:首先入侵互联网上的一台计算机,然后利用这台计算机进行攻击;或者采用“Sock 代理”方法。
(2)踩点扫描:通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻漏洞,分为—被动式策略和主动式策略。
(3)获取系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其进行控制,达到自己的攻击目的。
(4)种植后门:为保持长期对胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。
(5)在网络中隐身:在入侵完毕后需要清除登陆日志记起他相关的日志。
2、攻击和安全的关系
黑客攻击和网络安全是紧密结合在一起的,研究网络安全不研究黑客攻击技术等同于纸上谈兵,研究攻击技术不研究网络安全等同于闭门造车。某种意义上说没有攻击就没有安全,系统管理员可以利用常见的攻击手段对系统进行检测,并对相关的漏洞采取措施。
3、网络踩点:就是通过各种途径对所要攻击的目标进行尽可能的了解。踩点的目的就是探察对方的各方面情况,确定攻击的时机。
4、网络扫描
1)原理:利用操作系统提供的Connect()系统调用,与每一个感兴趣的目标计算机的端口进行连接,如果端口处于工作状态,那么Connect()就能成功。
(2)优点:不需要任何权限,系统中的任何用户都有权利使用这个调用。
3)扫描方式:慢速扫描:对非连续端口进行的,源地址不一致、时间间隔长而没有规律的扫描;乱序扫描:对连续的端口进行的,源地址一致、时间间隔短的扫描。
(4)主动式策略扫描:基于网络的,对系统进行模拟攻击,可能会对系统造成破坏。
(5)被动式策略扫描:基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。不会对系统造成破坏。
5、网络监听:(1)目的:截获通信的内容,监听的手段是对协议进行分析。(2)原理:在局域
网中与其他计算机进行数据交换时,数据包发往所有的连在一起的主机,也就是广播,在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收的数据包中目的地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。
1、Unicode漏洞攻击原理:微软IIS4.0和IIS5.0都存在利用扩展Unicode字符取代“/”和“\”并利用“../”目录遍历的漏洞。
2、拒绝服务攻击(目的:使目标计算机或网络无法提供正常的服务)
(1)SYN风暴(通过创建大量“半连接”来进行攻击)原理:当接收端收到连接请求的SYN包时,就会为该连接分配内存资源,因此只能有限个连接处于半连接状态(称为SYN_RECVD状态),否则黑客很容易利用该特点,同时发送大量TCP连接请求,系统会为过多的半连接而耗尽内存资源,进而拒绝为合法用户提供服务。当半连接数达到最大值时,TCP就会丢弃所有后续的连接请求,此时用户的核发链接请求也会被拒绝。为了是拒绝服务的时间长于超时所用的时间,攻击者会持续不断地发送SYN包,故称为“SYN”风暴。(利用TCP/IP设计弱点
攻击)
(2)Smurf攻击:原理:这种攻击方法结合使用了欺骗和带有广播地址的ICMP请求—响应方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务,属于间接、借力攻击方式。
任何连接到互联网上的主机或其他支持ICMP请求—响应的网络设备都可能成为这种攻击的目标。
3、分布式拒绝服务攻击:(1)原理:DDOS(Distributed Denial of Service)攻击成为风不是拒绝服务,攻击者利用已经侵入并控制的主机,对某一单机发起攻击,被攻击者控制着的计算机有可能是数百台机器。被攻击的主机会很快失去反应,无法提供服务,从而达到攻击的目的。
(2)特点:先使用一些典型的黑客入侵手段控制一些高带宽的服务器,然后再这些服务器上安装攻击进程,集数十台,数百台甚至上千台记起的力量对单一攻击目标实施攻击。
(3)手段:攻击者—主控端—分布端—目标主机(4)两个阶段:初始的大规模入侵阶段;大规
模DDoS攻击阶段
(5)工具:①trin00—客户端/攻击者,主控端,分布端/代理端。②TFN—基于UNIX系统,集成了ICMP Flooding,SYN Flooding,UDP Flooding和Smurf等多种攻击方式。弱点在于攻击者和主控端之间的谅解采用明文形式。③Stacheldraht—在TFN的基础上开发出来的,结合了trin00的特点。在攻击者鱼主控端之间采用加密验证通信机制(对称密钥加密体质),并具有自动升级的功能。
④TFN2K—是TFN的升级版,能从多个源对单个或多个目标发动攻击。
第六章 网络后门与网络隐身
1、后门
只要能不通过正常登陆进入系统的途径都成为网络后门。网络后门是保持对目标主机长久控制的关键策略。
2、木马:一种可以驻留在对方服务器系统中的一种程序。组成:服务器端程序和客户端程
序。功能:通过客户端可以操纵服务器,进而操纵对方的主机。常见的木马:NetBus远程控制、“冰河”木马、PCAnywhere远程控制。
3、木马和后门的区别
木马程序在表面上看上去对计算机没有任何损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。
本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能;后门程序则功能比较单一,只是提供客户端能够登录对方的主机。
4、网络代理跳板:原理:通过将某一台主机设置为代理,通过该主机在入侵其他主机,这样就会留下代理的IP地址而有效地保护自己的安全。
(选择代理服务的原则是选择不同地区的主机作为代理)
5、日志:主机日志分为:应用程序日志、安全日志、系统日志。清除日志:在该Log文件三处所有自己的记录即可(IIS);
利用清楚系统日志:clearel system,clearel security,clearel application和clearel all。
第七章 恶意代码
1、恶意代码实现机理
1)恶意代码的定义:经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。特点:非授权性和破坏性。它主要包括计算机病毒、蠕虫、特洛伊木、后门程序、逻辑等。
(2)恶意代码攻击机制:①入侵系统:是恶意代码实现其恶意目的的必要条件。②维持或提升现有特权:恶意代码的传播与破坏必须盗用用户或者进程的合法权益才能完成。③隐蔽策略:为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除或者修改系统的安全策略来隐藏自己。④潜伏:侵入系统后,等待一定的条件,并具有足够的权限时,就发作并破坏活动。⑤破坏:其本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论