1、黑客入侵攻击的一般过程1. 确定攻击目标2. 收集被攻击对象的有关信息3. 利用适当的工具进行扫描4. 建立模拟环境,进行模拟攻击5. 实施攻击6. 清除痕迹7. 创建后门扫描器的作用1. 检测主机是否在线2. 扫描目标系统开放的端口3. 获取目标操作系统的敏感信息4. 扫描其他系统的敏感信息常用扫描器1. Nmap2. ISS3. ESM4. 流光(fluxay)5. X-scan6. SSS7. LC网络监听网络监听的一个前提条件是将网卡设置为混杂模式木马的分类1. 远程访问型木马2. 键盘记录木马3. 密码发送型木马4. 破坏型木马5. 代理木马6. FTP木马7. 下载型木马木马的工作
2、过程1.配置木马2.传播木马3.启动木马4.建立连接5.远程控制拒绝服务攻击的定义拒绝服务攻击从广义上讲可以指任何导致网络设备(服务器、防火请、交换机、路由器等)不能正常提供服务的攻击。拒绝服务攻击原理1. 死亡之Ping2. SYN Flood 攻击3. Land 攻击4. Teardrop 攻击5. CC攻击分布式拒绝服务攻击原理分布式拒绝服务攻击是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式。1. 网络攻击的发展趋势是(黑客技术与网络病毒日益融合)。2. 拒绝服务攻击(用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击)。3. 通过非直接技术攻击称
3、做(社会工程学)。4. 网络型安全漏洞扫描器的主要功能有(端口扫描检测、后门程序扫描检测、密码破解扫描检测、应用撑血扫描检测、系统安全信息扫描检测)。5. 在程序编写上防范缓冲区溢出攻击的方法有(编写证券、安全的代码,程序指针完整性检测,数组边界检查)。6. HTTP默认端口号为(80)。7. 对于反弹端口型木马,(木马的客户端或第三服务器)主动打开端口,并处于监听状态。8. 关于“攻击工具日益先进,攻击者需要的技能日趋下降”观点不正确的是(网络受到攻击的可能性将越来越小)。9. 网络监听是(监视网络的状态、传输的数据流)。10. 漏洞评估产品在选择时应注意(是否具有针对性、主机和数据库漏洞的
4、检测功能,产品的扫描能力,产品的评估能力,陈品的漏洞修复能力)。11.DDoS攻击破坏了(可用性)。12.当感觉到操作系统运行速度明显减慢,打开任务管理器后发现CPU的使用率达到100%时,最有可能受到(拒绝服务)攻击。13.在网络攻击活动中,Tribal Flood Network (TEN) 是(拒绝服务)类的攻击程序。14.(个人防火墙)类型的软件能够阻止外部主机对本地计算机的端口扫描。15.以下属于木马入侵的常见方法是(捆绑欺骗,邮件冒名欺骗,危险下载,打开邮件中的附件)。16.局域网中如果某平台计算机收到了ARP欺骗,那么它发出去的数据包中,(目标MAC地址)地址是错误的。17.在W
5、indows操作系统中,对网关IP和MAC地址进行绑定的操作行为(ARP -s 192.168.0.1 00-0a-03-aa-5d-ff)。18.当用户通过域名访问某一合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是(DNS缓存中毒)。19.下面描述与木马相关的是(由各户端程序和服务器端程序组成夹)。20.死亡之ping属于(拒绝服务攻击)。21.由有限的空间输入超长的字符串是(缓冲区溢出)攻击手段。22.Windows操作系统设置账户锁定策略,这可以防止(暴力攻击)。判断题1. 冒充信件回复、下载电子贺卡同意书,使用的是叫做)(字典攻击)的方法。(错)2. 当服务器遭受到Do
6、S攻击的时候,只需要重新启动系统就可以阻止攻击。3. 一般情况下,采用Port scan 可以比较快速地了解某台主机上提供了哪些网络服务。(对)4. DoS攻击不但能是目标主机停止服务,还能入侵系统,打开后门得到想要的资料。5. 社会工程攻击目前不容忽视,面对社会工程攻击,最好的方法是对员工进行全面的教育。6. ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。7. 木马有时成为木马病毒,但不具有计算机的病毒的主要特征。1. 一般的黑客攻击有哪些步骤?各步骤主要完成什么工作?第一,就是用软件扫描IP段,确定那些计算机有漏洞(果如是已知IP,直接扫描他的漏洞就行了)也就是我们所说的“抓肉
7、鸡”第二,就是利用“肉鸡”漏洞,PING入。当然有防火墙的,你的想办法绕过防火墙,窃取权限,关闭或卸载妨碍的软件。第三,进入系统,释放病毒或删除系统自身文件。(当然要是服务器的话,攻击一般有2种。一,就是盗取服务器最高权限,二,就是利用数据包对服务器进行攻击,让服务器死机,或重启)2. 扫描器只是黑客攻击的工具吗?常用扫描器有哪些?1.扫描工具就是扫描工具。2.扫描工具可以自带破解插件以及字典,或者扫描工具是一个集合体。举例:小榕流光软件最初就是定义为扫描工具,但其自身在破解、漏洞分析等方面都有杰出表现。3.扫描工具:是对端口,漏洞,网络环境等探测。有非法扫描和良性扫描,非法扫描工具可以叫做黑
8、客工具,良性4.扫描可以叫做安全工具。5.黑客攻击工具:为达到个人目的而采取的不正当的手段与方法,这种手段和方法的实现可以使用黑客工具。对于黑客工具中总体而言,扫描工具只是一个辅助工具。1、端口扫描工具2、数据嗅探工具3. 什么是网络监听?网络监听的作用是什么?网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等,象外科
9、技。但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等。4. 特洛伊木马是什么?工作原理是什么?特洛伊木马目前一般可理解为“为进行非法目的的计算机病毒”,在电脑中潜伏,以达到黑客目的。原指一希腊传说。在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。后人常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒伪装成一个实用工具、一个可爱的游戏、一个位图文件、甚至系统文件等等,这会诱使用户将其打开等操作直到PC或者服务
10、器上。这样的病毒也被称为“特洛伊木马”(trojan wooden-horse),简称“木马”。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。(3)具体连接部分:通过IN
11、TERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。木马原理用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。一.配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我
12、销毁等,我们将在“传播木马”这一节中详细介绍。(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等5. 用木马攻击的一般过程是什么?木马攻击一般过程:从本质上看,木马都是网络客户/服务模式,它分为客户端和服务端,其原理是一台主机提供服务,另一台主机接受服务,作为服务器的主机一般都会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的响应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。从进程上看大致可分为六步来阐述木马的攻击原理:1、木马的配置2、木马的传播3、木马的自启动4、木马的信息泄露5
13、、建立连接6、远程控制6. 什么是拒绝服务攻击?分为哪几类?Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这 些队列,造成了资源的大量消耗而不能向正常请求提供服务。Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过I
14、P欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些
15、数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。PingSweep:使用ICMP Echo轮询多个主机。Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。第3章计算机病毒的特征1. 传染性2. 破坏性3. 潜伏性及不可触发性4. 非授权性5. 隐蔽性6. 不可预见性计算机病毒引起的异常现象1. 运行速度缓慢,CPU使用率异常高2. 查找可疑进程3. 蓝屏4. 浏览器出现异常5. 应用程序图标被篡改或空白计算机病毒技术原理1. 特征代码法2. 校验和法3. 行为监测法4. 虚拟机技术练习题1. 计算机病毒病
16、毒是一种(程序),其特性不包括(自生性)。2. 下列叙述中正确的是(计算机病毒可以通过读写磁盘或网络等方式进行传播)。3. 就是年纪病毒的传播方式有(通过共享资源传播,通过网页恶意脚本传播,通过网络文件传输传播,通过电子邮件传播)。4. (I love you)病毒是定期发作的,可以设置Flash ROM 写状态来避免病毒破环ROM。5. 以下(word)不是杀毒软件。6. 效率最高、最保险的杀毒方式是(磁盘格式化)。7. 网络病毒与一般病毒相比,(传播性广)。8. 计算机病毒按其表现性质可分为(良性的,恶性的)。9. 计算机病毒的破坏方式包括(删除修改文件类,抢占系统资源类,非法访问系统进程
17、类,破坏操作系统类)。10. 用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串代表的病毒,这种病毒的检测方法叫做(特征字的识别法)。11.计算机病毒的特征(隐蔽性,潜伏性,传染性,破坏性,可触发性)。12.(复合型病毒)病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件。13.以下描述的现象中,不属于计算机病毒的是(Windows“控制面板”中无“本地连接”图标)。14.某个U盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(将U盘重新格式化)。判读题1. 只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒
18、。2. 将文件的属性设为只读不可以保护其不被病毒感染。3. 重新格式化硬盘可以清楚所有病毒。4. GIF和JPG格式的文件不会感染病毒。5. 蠕虫病毒是指一个程序(或一组程序),会自我复制,传播到其他计算机系统中去。6. 在Outlook Express 中仅预览邮件的内容而打不开邮件的附件是不会中毒的(错)7.木马与传统病毒不同的是:木马不自我复制。8.文本文件不会感染宏病毒。9.蠕虫病毒既可以在互联网上传播,也可以在局域网上传播。而且由于局域网本身的特性,蠕虫在局域网上传播速度更快,危害更大。10.世界第一个攻击硬件的病毒是“CIH”。11.间谍软件具有计算机病毒的所有特征。12.防病毒墙
19、可以部署在局域网的出口处,防止病毒进入局域网。1. 什么是计算机病毒?2. 计算机病毒有哪些特征?3. 计算机病毒是如何分类的?举例说明有哪些种类的病毒。4. 就三件病毒的检测方法有哪些?简述其原理。第4章古典加密技术1. 替换密码技术2. 换位密码技术对称加密算法及其应用现代密码学主要有两种基于密钥加密算法,分别是对称加密算法和公开加密算法。1. 混合加密体系在混合加密体系中,使用对称加密算法(如DES算法)对要发送的数据进行加密、解密,同时使用公开密钥算法(最常用的是DSA算法)来加密对称加密算法的密钥,这样就可以综合发挥两种加密算法的有点,既加快了加、解密的速度,又解决了对称加密算法中密
20、钥保存和管理的困难。2. 数字签名一个完善的数字起签名应该解决好下面3个问题。1. 接收方能够核实发送方对报文的签名,如果当事双方对签名真伪发生争议,应该能够在第三方面前通过验证真伪来确认其真伪。2. 发送方时候不能否认自己对报文的签名。3. 除了发送方的任何人不能伪造签名,也不能对接收或发送的信息进行篡改、伪造。鉴别技术为了防止信息在发送的过程中被非法窃听,保证信息的机密性,采用数据加密技术对信息进行加密,这是在前面的学习内容;另一方面,为了防止信息被篡改或伪造,保证信息的完整性,可以使用报文鉴别技术。TGP系统的基本工作原理TGP加密软件是一个基于RSA公开密钥加密体系和对称加密体系相结合
21、的邮件加密软件包。它不仅可以对邮件加密,还具备对文件/文件夹、虚拟驱动器、整个硬盘、网络硬盘、即时通信等的加密功能和永久粉碎资料等功能。SSL协议和SET协议1. SSL协议2. SET协议PIK概述PIK即“公钥基础设施”,是一种按照既定标准的密钥管理平台,能够为所有网络应用提供加密、数字签名、识别和认证密码等服务及所必需的密钥和证书管理体系。第5章防火墙的功能1. 内部网络和外部网络之间的所有网络数据都必须经过防火墙2. 只有符合安全策略的数据流才能通过防火墙3. 防火墙自身具有非常强的抗攻击能力防火墙除了具备上述3个基本特征性外,一般来说,还具有以下几种功能1. 针对用户制订各种访问控制
22、策略。2. 对网络存取和访问进行监控审计。3. 支持VPN功能。4. 支持网络地址转换。5. 支持的身份认证等。防火墙的局限性1. 防火墙不能防范不经过防火墙的攻击。2. 防火墙不能解决来自内部网络的攻击和安全问题。3. 防火墙不能防止策略配置不当或错误配置引起的安全威胁。4. 防火墙不能防止利用服务器漏洞所进行的攻击。5. 防火墙不能防止受病毒感染的文件的传输。6. 防火墙不能防止可接触的人为或自然的破坏。防火墙的分类1. 软件防火墙和硬件防火墙2. 单机防火墙和网络防火墙防火墙实现技术原理1. 包过滤防火墙的原理包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络
23、服务才去特殊的处理方式,而大多数路由器都提供分组过滤功能。2. 包过滤防火墙的特点包过滤防火墙的有点如下1. 利用路由器本身的包过滤功能,以防问控制列表(Access Control ACL)方式实现。2. 处理速度较快。3. 对安全要求低的网络采用路由器附带防火墙的方法,不需要其他设备。4. 对用户来说是透明的,用户的应用层不受影响。包过滤防火墙的缺点如下1. 无法阻止“IP欺骗”。黑客可以在网络上伪造假的IP地址、路由信息欺骗防火墙。2. 对路由器中过滤规则的设置和配置十分复杂,涉及规则的逻辑一致性、作用端口的有效性和规则库的正确性,一般的网络系统管理员难以胜任。3. 不支持应用层协议,无
24、法发现基于应用层的攻击,访问公职粒度粗。4. 实施的是静态的、固定的控制,不能跟踪TCP状态。5. 不支持用户认证,只判断数据包来自哪台集齐,不能判断来自哪个用户。代理防火墙工作原理代理服务器作为一个用户保密货值突破用户访问限制的数据转发通道,在网络上应用广泛。一个完整的呃代理设备包含一个服务器端和客户端,服务器端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。代理防火墙的特点状态检测防火墙状态检测防火墙激技术是CheckPoint在基于“包过滤”原理的“动态包过滤”技术发展而来的。这种防火墙技术通过一种被称为
25、“状态监视”的模块,在不影响网络安全正常工作的前提下,采用抽取想关数据的方法,对网络通信的各个层次实现监测,并根据各种过滤规则作出安全策略。防火墙的主要参数1. 硬件参数2. 并发连接数3. 吞吐量4. 安全过滤带宽5. 用户数限制6. VPN功能第6章账户安全策略1. Windows强密码原则2. 用户策略3. 重新命名Administrator帐号4. 创建一个陷阱用户5. 禁用或删除不必要的帐号根键1. HKEY_CLASSES_ROOT一种是已注册的各类文件的扩展名;另一种是各种文件类型的有关信息2. HKEY_CURRENT_USERHKEY_CURRENT_USER是指HKEY_U
26、SERS结中某个分值的指针,包含当前用户的登录信息3. HKEY_USERHKEY_USER包含计算机上所有的配置文件4. HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE包含了本地计算机(相对网络环境而言)的硬件和软件的全部信息5. HKEY_CURRENT_CONFIG本关键字包含的主要内容是计算机的当前配置情况进程进程是操作系统当前运行的执行程序。程序是指令的有序集合,背身没有任何运行的含义,是一个静态的概念。而进程是程序在处理机上的一次执行过程,是一个动态的概念。服务的启动方式对于任意一个服务,通常都有3种启动类型,即“自动”、“手动”和“已禁用”。安全模板的意
27、义安全模板是由Windows Server 2003 支持的安全属性的文件(扩展名为“.inf”)组成的。安全模板将所有的安全属性组织到一个位置,以简化安全性管理。第7章Web服务器软件的安全防范措施1. 及时进行Web服务器软件安全漏洞,安全管理人员在Web服务器软件的配置管理和使用上,应该采取有效的防范措施,以提升Web站点的安全性2. 对Web服务器进行全面的漏洞扫描,并及时修复这些安全漏洞,以防范攻击者利用这些安全漏洞实施攻击。3. 采用提升服务器安全性的一般性措施,例如,设置强口令;对Web服务进行严格的安全配置;关闭不需要的服务;不到必要的时候不向用户暴露Web服务器的想关信息等。
28、Web应用程序的安全防范措施1. 在满足需求的情况下,尽量使用静态页面代替动态页面。2. 对于必须提供用户交互、采用动态页面的Web站点,尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包,并定期进行Web应用程序的安全评估和漏洞检测,升级并修复安全漏洞。3. 强化程序开发者在Web应用开发过程的安全意识,对用户输入的数据进行严格验证,并采用有效的代码安全质量保障技术,对代码进行安全检测。4. 操作后台数据库时,尽量采用视图、存储过程等技术,以提升安全性。5. 使用Web服务器软件提供的日志功能,对Web应用程序的所有访问请求进行日志记录和安全审计。Web传输的安全威胁级防范1.启用SSL.使用HTTPS来保障Web站点传输时的机密性、完整性和身份真实性。下一小节将通过实验介绍SSL安全通信的具体实现方法。2.通过加密的连接通道来管理Web站点,尽量避免使用未经加密的telnetl. FTP、H
