网络攻防原理及应用,网络攻防知识

文章目录网络攻防原理及应用课程复习第一章概述1. 网络安全的引入2. 网络安全的目标3. 网络的主要安全威胁4. 网络安全体系5. 网络攻击手段6. 网络防御手段7. 密码技术应用8. 认证技术9. PKI系统10. 802.1X属于链路层认证机制，是一种基于端口的接入控制协议11. IPSec是一种端到端的确保IP层通信安全的机制12. SSL是一种在应用层协议和IPC/IP协议之间提供数据安全性的机制13. VPN是有某个组织或某些用户专用的通信网络14. 802.11i协议是无线局域网的安全标准，执行的操作称为WPA标准15. SET是目前唯一使用的保证信用卡数据安全的应用层安全协议第二章信息收集第三章网络隐身1、IP地址欺骗2、Mac地址欺骗3、网络地址转换4、代理隐藏技术3.1 正向代理3.2 反向代理3.3 透明代理第4章网络扫描4.1 端口扫描4.2 类型和版本扫描4.3 漏洞扫描4.4 弱口令扫描4.5 Web漏洞扫描4.6 系统配置扫描第5章网络攻击5.1 口令破解5.2 MITM攻击数据截取欺骗攻击 5.3 恶意代码5.4 漏洞破解5.5 Dos/DDos攻击原理及防御1. 带宽攻击2. 协议攻击第六章网络后门与痕迹清除第七章访问控制与防火墙第八章入侵防御

网络攻防原理及应用课程复习掌握网络安全的定义以及网络面临的各种安全威胁了解网络安全体系结构中各个层次的安全定义和作用掌握各种网络攻击技术的定义和作用掌握各种网络防御技术的定义和作用理解不同的密码体制、数据加解密技术和认证技术的定义和作用了解PKI的定义和作用了解802.1X、IPSec、SSL、VPN、802.1i和SET协议的作用第一章概述 1. 网络安全的引入

信息安全

计算机安全

负责信息存储和处理安全

网络安全

解决网络系统安全存储和传输的安全问题提供完整信息安全解决方案，防御，检测，相应和回复 2. 网络安全的目标保密性机密性隐私性完整性 — 依靠报文摘要算法和加密机制 信息不被偶然或蓄意地删除、谢盖、伪造、乱序、重放、插入不可抵赖性 — 依靠认证机制和数字签名技术 通信的所有者都不能否认曾经完成的操作可用性 — 网络不能因病毒或拒绝服务二崩溃 信息被授权实体访问并按需使用可控性仅允许实体以明确定义的方式对访问权限内资源进行访问 3. 网络的主要安全威胁恶意代码、远程入侵（攻击）、拒绝服务、身份假冒、信息截取和篡改

4. 网络安全体系

任何一种单一技术都无法有效解决网络安全问题

网络的各层的安全功能必须相互协调，相互作用，构成有机整体

无法构建一个使用与所有网络应用环境的网络体系，研究网络安全体系，必须与具体的应用环境相结合

物理层安全、系统层安全、网络层安全、应用层安全和管理层安全 5. 网络攻击手段信息收集、网络隐身、端口和漏洞扫描、实施攻击、设置后门和痕迹清除 6. 网络防御手段

从被动防御向主动防御发展，综合运用下列技术才能有效形成网络安全防御的解决方案

信息加密 (网络安全的核心技术和传输安全的基础) 数据加密消息摘要数字签名秘钥交换 访问控制 (基于身份认证，规定用户和进程对系统和资源访问的限制) 身份识别/单机环境认证/网络环境认证/访问控制技术 防火墙 (在不同网络间对网络流量或访问行为实施访问控制的一系列安全组件) 内网和外网之间的所有数据必须经过防火墙只有符合安全策略的数据流才能通过防火墙自身具有高可靠性 入侵防御恶意代码防范 基于特征的扫描技术校验和法沙箱技术基于蜜罐的校测技术 安全审计 网络设备审计日志文件审计安全威胁审计 7. 密码技术应用

网络安全的核心建立在密码学理论和技术基础之上

密码学与密码体制保密通信系统模型加密算法 对称加密算法 (如DES、AES算法) 双方共享同一个秘钥，是当前广泛采用的常规密码体制设计原则是混乱和秘钥扩散，能够抵御已知明文的查分和线性攻击 **公钥加密算法 ** (如D-H算法，RSA算法) 拥有别人不知道的私有秘钥，同时可以想所有人公布一个公开秘钥用接收者的公开秘钥对数据加密，接收者使用自己的撕咬解密 **散列函数 ** (如MD5 和 SHA-1算法) 对任意成都的输入，输出固定长度的摘要如果改变了输入的任何比特，输出的摘要会发生不可预测的改变网络加密方式：链路加密/节点加密/端到端加密密码分析唯密文攻击已知明文攻击 (已知加密算法、一定量的密文以及对应的密文)选择明文攻击 (已知加密算法、在选择明文时，可以知道对应的密文)选择密文攻击自适应选择明文攻击 8. 认证技术

用于验证所传输的数据的完整性

消息认证

用于保证信息的完整性和不可否认性验证消息的顺序和及时性认证方法： 消息认证码 (Message authentication code) 利用秘钥生成固定长度短数据块，附加在消息后发给接收方，接收方用秘钥计算消息的新的MAC，比较判断是否消息被篡改 安全散列函数 代表函数：MD5 和 SHA-1摘要值用于消息认证 数字签名 信息发送方产生别人无法伪造的一串字符

身份认证（包括身份识别和身份验证）

9. PKI系统

利用公钥理论和技术，为网络数据和其他资源提供信息安全服务的基础设施

策略、认证机构、注册机构、证书CRL发布系统和PKI应用接口

10. 802.1X属于链路层认证机制，是一种基于端口的接入控制协议 11. IPSec是一种端到端的确保IP层通信安全的机制主要包括AH、ESP和IKE 12. SSL是一种在应用层协议和IPC/IP协议之间提供数据安全性的机制 13. VPN是有某个组织或某些用户专用的通信网络建立在公用网上，在公网上建立隧道 14. 802.11i协议是无线局域网的安全标准，执行的操作称为WPA标准 15. SET是目前唯一使用的保证信用卡数据安全的应用层安全协议

第二章信息收集

网络踩点(footprinting): 指攻击者通过各种途径对要攻击的目标进行有计划和有步骤的信息收集, 从而了解目标的网络环境和信息安全状况的过程

目标网络：域名、IP地址、DNS服务器、邮件服务器、网络拓扑结构

踩点方法：

注册机构Whois查询DNS和IP信息收集Web信息搜索与挖掘网络拓扑侦查侦查目标网络拓扑结构，用于找到薄弱点实施入侵traceroute、Zenmap 网络监听一种被动的信息收集方法，往往不会被目标察觉最佳的位置是网关、路由器和防火墙网络监听器（嗅探器）或网络协议分析工具第三章网络隐身 1、IP地址欺骗

TCP/IP路由机制只检查报文目标地址的有效性，可以定制虚假的源IP地址

防范措施使用基于加密的协议如IPSec或SSH进行通信通信时使用口令或证书进行身份验证使用随机化的ISN在路由器上配置包过滤策略，检测报文的源IP地址是否属于网络内部地址不要使用基于IP地址的信任机制 2、Mac地址欺骗

突破基于MAC地址的局域网访问控制

软硬件修改MAC地址 3、网络地址转换

将私有地址转换为共有IP地址的技术，对终端用户透明

静态转换动态转换可用于没有传输层的IP报文，如OSPF路由报文端口地址转换PAT 共享一个IP，只能使用与基于UDP/TCP的网络通信地址转换表每一个表象与一个会话绑定. 内网了主机的第一个报文发给外网时, 会话即被建立,当通信结束时, NAT将该会话从地址转换表中删除 4、代理隐藏技术

不直接与目标主机进行通信, 而是通过代理主机间接地与目标主机通信

将源主机与目标主机的直接通信分解为两个间接通信过程

常用代理

HTTP代理 — 代理浏览器访问WEB服务器, 端口80,8080SSL代理 — 代理https协议的web网站, 端口443FTP代理 — 代理FTP客户机软件访问FTP服务器, 端口21Socks代理 — 传输层套接字代理, 它支持所有应用层协议, 端口1080 3.1 正向代理向代理主机发请求(包含实际的目标地址)代理主机向目标主机转发请求, 获得应答并转发给客户机必须知道代理主机的IP地址和运行代理服务的端口号 3.2 反向代理

相当于实际服务器的前段,通常用于保护和隐藏真正的目标服务器

客户主机不知道代理主机的存在直接向目标(即代理主机)发送请求代理主机根据预定义的映射关系向目标服务器转发请求 3.3 透明代理通常放置在网关位置客户机向目标发起请求代理主机自动建立服务器的连接转发客户请求并接收应答最后转发给客户机工作在传输层或应用层第4章网络扫描掌握各种端口扫描技术的基本原理, 熟练使用端口扫描工具Nmap理解服务扫描技术的基本原理掌握操作系统扫描技术的基本原理 4.1 端口扫描 4.2 类型和版本扫描服务扫描使用相应服务的客户端工具或者专用服务扫描工具操作系统扫描发送一系列探测报文，将应答报文与“指纹”对比 4.3 漏洞扫描

漏洞分为操作系统漏洞、应用程序漏洞和配置漏洞

结合漏洞数据库和插件方式两种技术实现 4.4 弱口令扫描

基于口令字典, 针对泰定服务, 按照相应协议逐个尝试可能的口令

口令字典常用的单词列表, 也可以生成与特定用户信息有关的口令字典 4.5 Web漏洞扫描 4.6 系统配置扫描

Window主要通过注册表和组策略完成, 需要编写相应的脚本逐项进行比对

Linux存在自动工具可以扫描不同类型的配置,如lynis和auditd

第5章网络攻击

攻击目的 信息泄露、完整性破坏、拒绝服务、非法访问

5.1 口令破解

通过网络监听、弱口令扫描、社会工程学 等各种方式非法获取目标系统用户账号和口令

网络监听 : 网络协议如HTTP、SMTP、POP3和TELNET等默认采用明文传输账号和口令信息；

社会工程学 : 又称为钓鱼,采取伪造登录界面、提供虚假页面、发送恶意链接、发送伪造邮件等方式,使用高度逼真的图片和内容诱使用户输入真实的口令；

弱口令扫描：针对采用散列算法加密口令的网络协议如SMB、SSH、VNC、MYSQL、MSSQL、NTLM；

暴力破解：获取经过散列算法加密的口令,采用穷举字符空间的方式对加密后的口令进行离线破解；

社会工程学工具集（Social Engineering Toolkit）SET

5.2 MITM攻击

中间人攻击(Man-in-the-middle accack) MITM

中间人攻击首先截取双方的数据，然后才是篡改数据进行攻击

数据截取

站表溢出

ARP欺骗

通过伪造IP与MAC地址的映射关系实现的一种欺骗攻击发送虚假的ARP请求或应答报文，目标接受错误的IP和MAC绑定关系

防御ARP欺骗客户端静态绑定网关MAC对设备设置端口与MAC的静态绑定

DHCP欺骗

主机没有对DHCP服务器进行认证，攻击者伪装成DHCP服务器分配虚假的网关给目标主机，主机通信会经过虚假网关

防御DHCP欺骗将交换机分为信任和非信任端口只转发从信任端口发出的DHCP应答报文

ICMP路由重定向

路由器A在检测到某台主机使用非优化路由是，会向该主机发送一个ICMP重定向报文，要求器改变路由为从路由器B发送报文，同时路由器A会把初始报文向路由器B转发，主机D以后的所有报文都从路由器B发出

路由欺骗

欺骗攻击

截获双方的通信数据，根据需要以及截获的不同层次协议报文展开各类攻击

DNS攻击缓存感染直接攻击DNS服务器，将虚假的映射写入到服务器的缓存或数据库中DNS信息劫持截获并修改DNS主机A记录，MX记录和CNAME记录应答报DNS重定向截获并修改DNS的NS记录应答报文，返回虚假的DNS服务器Hosts劫持修改目标主机的hosts文件，写入虚假的主机-IP映射关系基于Web的欺骗在目标主机和服务器之间搭建web代理服务器，制造虚假的页面或恶意的代码 5.3 恶意代码

经过存储介质和网络进行传播，未经授权破坏计算机系统完整性的程序或代码

分类描述特点病毒破坏计算机功能或毁坏数据，并能自我复制的代码潜伏、传染和破坏蠕虫通过自我复制、消耗系统和网络资源的代码扫描、攻击和传染木马与远程主机建立连接，使本地主机接受远端控制的代码欺骗、隐蔽和控制逻辑炸弹以特定条件触发、破坏系统和数据的代码潜伏和破坏rootkit嵌入式系统内核或系统程序以实现隐藏或建立后门的代码潜伏和隐蔽生存技术反调试技术监视自己的代码执行并检测当前的运行环境以判定自己是否正在被调试压缩技术俗称“压缩加壳”，利用特殊的算法，对壳执行文件里的资源进行压缩，压缩后的文件可以独立运行，解压过程在内存中完成加密主流技术，它与反调试技术配合，使得安全人员无法正常调试和分析恶意代码多态俗称花指令或模糊变换，及用不同的方式实现同样功能的代码变形在多台变换的基础上针对整个恶意代码程序而不是其中极端代码进行处理隐蔽技术线程注入以系统和网络服务进程的可执行代码作为载体,将自身注入到其中,实现隐蔽执行的目标将自身代码写入目标进程的虚拟内存地址空间三线程技术将自身代码写入目标进程的虚拟内存地址空间一旦主线程被管理员停止,监视线程会立刻通知守护线程重新启动主线程端口复用利用系统已打开的某个服务端口与外界进行通信,可以躲避防火墙的阻拦SO_EXCLUSIVEADDRUSE和SO_REUSEADDR 反向端口连接不是从攻击者向目标主机发起连接,而是目标主机主动发起向远端控制者的连接 5.4 漏洞破解内存破坏漏洞栈溢出、堆溢出、数据区溢出、格式串漏洞、指针释放重用和二次释放逻辑错误、输入验证、设计错误和配置错误漏洞 5.5 Dos/DDos攻击原理及防御

利用系统及协议漏洞大量消耗网络带宽及系统资源，使得合法系统用户无法及时得到服务和系统资源

1. 带宽攻击

使用大量垃圾数据流填充目标的网络链路，导致目标相应速度变慢甚至系统崩溃

UDP洪水（flooding）向目标的指定UDP端口发送大量无用的UDP报文以占满目标带宽Smurf 伪造大量源IP地址为受害主机IP地址，目标地址为广播地址的ICMP Echo请求Fraggle Smurf的变形，它基于UDP的chargen或echo协议 2. 协议攻击

利用网络协议的设计和实现漏洞进行的攻击

SYN洪水发送大量伪造的TCP连接请求，使得木匾书籍用于处理三路握手连接的内存资源消耗Tear Drop 向目标主机发送分成若干不同分片的IP报文，但是不同分片之间有重叠死亡之ping 重组后的IP报文总长度只有在所有分片都接收完毕之后才能确定，超出64K的处理问题Land攻击特殊的SYN握手报文，报文源地址和目标地址相同，源和目标端口也相同第六章网络后门与痕迹清除第七章访问控制与防火墙第八章入侵防御