网络攻击技术及攻击实例介绍
摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。
一、网络攻击技术分类
计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使用的程序语言本身所具有的安全隐患,通过使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用效能等一系列活动的总称。
从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而威胁到系统和网络的安全性。
从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以粗略的划分为三个阶段: 准备阶段、实施阶段、善后阶段。
为了获取访问权限,或者修改破坏数据等,攻击者会综合利用多种攻击方法达到其目的。常见的攻击方法包括:网络探测、欺骗、嗅探、会话劫持、缓冲区滋出、口令猜解、木马后门、社交工程、拒绝服务等。
网络渗透是网络攻力的核心,攻击者通过一步步入侵目标主机或目标服务器,达到控制或破坏目标的目的。攻击者往往通过对这些技术的综合使用,对一个看似安全的网络,寻找到一个很小的安全缺陷或漏洞,然后一步一步将这些缺口扩大,最终导致整个网络安全防线的失守,从而掌控整个网络的控制权限。
剑有双刃,网络渗透攻击可以成为攻击者手中的一种破坏性极强的攻击手段,也可以成为网络管理员和安全工作者保护网络安全的重要方案设计来源。下面分别介绍这些渗透攻击技术。
二、信息踩点与收集
对于攻击者而言,目标网络系统上的任何漏洞都有可能成为撕开网络安全防线的一个突破口。攻击者踢点与收集的信息,无非就是找到这条防线中最薄弱的那个环节。首先获取尽可能详细的目标信息,然后制定人侵方案,寻找突破口进人内部网络,再提升权限控制目标主机或网络。信息踩点主要有以下三个方面。
(一)管理员用户信息收集
攻击者通过网络搜索引擎、实地了解、电话咨询等方式,利用社会工程学方式,收集目标系统或网络的归属性质、重要用户、结构分支、邮件联系地址、电话号码、QQ或MSN等各种社交网络注册账户及信息,以及主要管理
员的网络习惯等。这些信息可用作制作弱口令猜解字典以及钓鱼攻击的先验知识。
(二)服务器系统信息收集
利用各种扫描工具,收集服务器对外提供的服务,并测试其是否存在开放式的漏洞。常用的针对系统漏洞的扫描工具有NESSUS、SSS、ISS、X-scan、Retha等。针对服务端口的扫描工具有Nmap、Super Scan 、Amap等。针对WEB页面眼务的扫描工具有SQL扫播器、PHP扫描器、上传漏洞扫描器等,以及WEB站点扫描工具如Appscan、Acunetix Web Vulnerability Scanner、Jsky等。针对数据库的扫描工具有shadow Database scanner、NGSSQuirreL、SQL弱口令扫描器等。另外还可以根据需要自己开发专门的漏洞验证扫描器。
(三)网络信息收集
攻击者通过Google Hacking、WHOIS、DNS查询以及网络拓扑扫描器(如Solar winds等),对目标网络拓扑结构、IP分布情况、网络连接设备信息、眼务器分布情况等信息进行收集。
三、WEB脚本入侵攻击
WEB服务作为现今Intemet上使用最广泛的服务,底层软件庞大、配置复杂、漏洞较多,因此攻击手段也最多;一旦WEB服务被攻破,可能成为攻击者渗透进内网的跳板。WEB服务往往大量采用动态网页,例如,使用ASP、PHP和JSP等脚本。针对动态网页的脚本攻击方法越来越流行,包括文件上传、注入、暴库、旁注、Cookies欺骗、xss跨站脚本攻击、跨站伪造请求攻击、远程文件包含攻击等。
WEB脚本人侵主要以WEB服务器以及数据库服务器为入侵攻击对象,采用脚本命令或浏览器访问的方式对目标实施人侵攻击。在攻击者对一个WEB站点完成踩点和信息收集之后,可以采取数据库人侵或者各种脚本漏洞获取到后台管理权限,再取得webshell权限,继而通过webshell提升权限打开内网渗透的突破口。
由于WEB脚本人侵所有操作都是通过80端口进行数据传送,可以顺利的穿透防火墙,这种无孔不人的攻击方式让网站管理员难于防范。WEB脚本攻击技术多种多样,并且时刻都在更新。
(一)S QL注人攻击
SQL注人攻击技术自2004年开始逐步发展,并日益流行,已成为WEB 入侵的常青技术。这主要是因为网页程序员在编写代码时,没有对用户输人数据的合法性进行判断,使得攻击者可以构造并提交一段恶意的数据,根据返回结果来获得数据库内存储的敏感信息。由于编写代码的程序员技术水平参差不齐,一个网站的代码量往往又大得惊人,使得注入漏洞往往层出不穷,也给攻击者带来了突破的机会。SQL常用的注人工具有:pangolin. NBSI3.0等。
(二)数据库人侵攻击
数据库人侵包括默认数据库下载、暴库下载以及数据库弱口令连接等攻击方式。默认数据库漏洞,是指部分网站在使用开源代码程序时,未对数据库路径以及文件名进行修改,导致攻击者可以直接下载到数据库文件进行攻击。暴库下载攻击是指利用IIS 的%5C编码转换漏洞,造成攻击者在提交特殊构造的地址时,网站将数据库真实物理路径作为错误信息返回到浏览器中。攻
击者即可以此下载到关键数据库。数据库弱口令连接人侵,攻击者通过扫推得到的弱口令,利用数据库连接工具直接连接到目标主机的数据库上,并依靠数据库的存储过程扩展等方式,添加后门账号、执行特殊命令。
(三)文件上传漏洞人侵
网站的上传漏洞是由于网页代码中文件上传路径变量以及文件名变量过滤不严造成的,利用这个漏洞可以将如.ASP等格式的网页木马上传到网站服务器,继而获得网站的服务器权限。很多网站都提供文件上传功能,以方便用户发图、资源共享等。但由于上传功能限制不严,导致了漏洞的出现。上传漏洞的成因如下:首先,对文件的扩展名或文件头验证不严密,导致上传任意或特殊文件;其次,对上传文件的文件头标识验证不严,也会导致文件上传漏洞。如攻击者可以修改文件头伪装图片,或对图片和木马进行合并,写入数据库中,然后通过数据库备份将文件保存为指定格式的木马文件。(四)跨站脚本攻击
跨站攻击,即ecosssitescriptexecution(通常简写为xss,因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显不在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
使用最多的跨站攻击方法莫过于cookie窃取,即获cookie后直接借助工具或其他可修改cookie的浏览器,被攻击者在访问网页时,其cookies将被盗取。跨站攻力还有一种用法是读取本地文件。
跨站脚本攻击的方式主要还是依靠利用者的javascript编程水平,攻击者编程水平够高,就能达到更为复杂的攻击效果。诸如Attack API, XSS shell、XSS蠕虫、读取浏览器密码、攻击Firefox插件等等。
(五)w ebshell权限提升
一般而言,webshell所获取的权限为IIS_USER权限,有些组件或应用程序是不能直接运行的。为了提升webshell权限,攻击者往往会利用服务器上的安全缺陷,或通过各种具有高权限的系统以及应用软件漏洞,来提高自己程序的执行权限。
四、缓沖区滋出攻击
缓冲区溢出(buffer overflow)是一种系统攻击手段,通过在程序缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序堆找,使程序转而执行其他指令达到攻击目的。
利用缓冲区溢出进行系统攻击必须满足的两个基本条件:第一步,将攻志代码植入被攻击程序;第二步,使被攻击程序跳转到植入的攻击代码处执行,通过精心设计的溢出字符串同时实现这两个步骤。将溢出字符串作为用户数据提供给被攻击程序,用来溢出被攻击程序的缓冲区,实现溢出攻击,例如,针对网络服务程序,构造特殊格式的交互数据包;针对浏览器或第三方插件程序,构造特殊格式的网页;针对办公程序,构造特殊格式的文档,等等。通过缓冲区溢出进行系统攻击的难点在于溢出字符串的设计,其中包括设计良好的返回地址和攻击代码shellcode。返回地址的设计影响着溢出字符串格式的设计,而sheucode 的存放位置需要根据返回地址的设计来决定。溢出字符串存放在被攻击程序的堆找缓冲区内。为了执行溢出字符串中的
shellcode, 返回地址可以设计为直接指向shellcode 的开始地址;或者可以在shellcode前加上一段Nop指令,返回地址设计为指向这段NOP指令中的某个地址。
为了提高对返回地址猜测的命中率,溢出字符串中可以存放多份返回地址来提高覆盖函数原返回地址的成功率。
成功触发缓冲区溢出后,进程的控制权转交给shellcode, shellcode是溢出字符串的有效负载,用来实现不同的攻击功能。shellcode的手工生成十分繁琐,为加快开发速度,可以通过自动化shellcode生成平台Metasploit来产生所需的shellcode,功能包括:本地提取、远程提权、下载执行、开放端口、反弹连接、增添管理用户等。
在网络渗透攻击中,攻击者可以利用缓冲区溢出直接控制多台主机,特别是在内网渗透当中,由于内网主机一般处于防火墙里面,缓冲区溢出攻击所针对的端口不会被防火墙所屏蔽,因此缓冲区溢出成为内网横向权限提升最有效的手段之一。
缓冲区溢出有两种方式,一种是远程溢出,另外一种是本地溢出。远程溢出攻击是网络攻击中一种威力巨大的手段。攻击者可以通过远程溢出,直接控制目标主机,获取最高权限:如针对windows的MS08-067漏洞,造成了无数主机被溢出攻击。本地滋出的危害更多在于webshell提权上面。
缓冲区溢出攻击根据攻击目杨又可分为针对操作系统服务、针对WEB平台服务,以及针对第三方软件的滋出攻击。针对操作系统服务漏洞的主要有RFC 服务远程溢出(包含多个,如冲击波,震荡波、扫荡波等)、W1NS服务名称验证漏洞、即插即用服务溢出漏洞等针对WEB平台服务的漏洞有IIS平台的
IDA、IDQ漏洞,Apache滋出漏洞,WEBDAV溢出漏洞、邮件服务器的溢出漏洞、对FTP服务器的溢出漏洞等。针对第三方应用软件的溢出漏洞有ccproxy代理溢出漏洞、Serv-U 眼务器漠出漏洞、ISS RealSecure/BlackICE防火墙溢出等。
五、木马后门攻击
木马后门攻击是攻击者延续其攻击效果的重要手段,包括特洛伊木马、网页木马、隐秘后门、RootKit等方式。攻击者通过木巧攻击,最终达到获取下一时刻服务器控制权限的目的。攻击的主要手段:文件描绑攻击、文件自动感染攻击、网页挂马攻击、账号密码破解攻击,预留后门攻法、RootKit后门攻击等。
(一)R ootkir技术
Rootkit与普通木马后门以及病毒的区别在于其更为强大的隐秘性,如通信隐蔽、自启动项隐藏、文件隐藏、进程通信隐蔽、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏。Rootkit本身并没有害处,但它可以作为其他恶意代码的载体。其极强的隐蔽性给其他恶意代码的生存及传播提供了良好的温床。Rootkit大多数是深入操作系统内核的.通过进行代码的注人,以及一些针对操作系统的漏洞的溢出攻击.或通过驱动程序加载的方式进人系统内核。由于在绝大多数现代操作系统中都采用了整体单内核的设计;内核的各个模块之间是互相透明的,只要Rootkit侵人了内核的任何一个部分,那么它就拥有了整个系统的全部控制权。之后Rootkit可以进行很多操作,例如,隐藏文件、进程,制造隐蔽的网络通信信道等等。
(二)网页挂马攻击
网页木马通常是指利用IE浏览器的一些漏洞,通过构造出特殊代码,在网页中夹带木马程序,或一段使得客户端下载并执行指向木马程序连接地址的攻击代码。使得其他上网者在浏览该网页时,会在后台悄悄执行网页中的攻击代码,达到控制用户主机的目的。
常见网页木马主要有操作系统自带lE组件或其他软件漏洞网页木马和应用软件漏洞网页木马。对于第一类,最典型的有MIME漏洞网页木马、Active X漏洞木马、OBJECT对象漏洞木马。事实上,被曙光的IE浏览器漏洞一直源源不绝,由于网页木马是由服务器攻击客户端,用户往往又是信任服务器的,这类攻击产生的后果和危害往往是非常严重的。
六、网络设备攻击
路由器和交换机是最常见的网络设备,决定着内网与互联网之间的连接。在攻击者入侵目标中,路由器和交换机是重要的攻击对象。在常用网络设备中,Cisco路由器占据主导地位。下面以cisco为例,介绍攻击者人侵路由器的方法。
路由器远程控制方法一般有两种,一种是telnet或HTTP管理,一种是SNMP代理。前一种方式只适合管理小型局域网路由器,而后一种是更为常用的管理方案。1. SNMP社区字串弱口令每个SNMP启用的路由设备都包含一个管理信息模块(MIB),这是一种包含简单等级的数据目录结构,在这种树结构中包含设备各种信息。通过SNMP命令GET ,可以检索MIB的信息,而SET命令则可设置MIB变量。SNMP协议通过社区(community)字串的概念实现对设备MIB对象访问的权限。如:
(conf)#snmp-server community read_only RO
(conf)#snmp-server community read_write RW
上例中设置了只读访问的社区字串read_only和可进行读写操作的read_write 社区字串。而大部分管理员喜欢使用public和private设置只读字串和读写字串,这种配置结果将给网络带来巨大的安全风险。攻击者可以通过SolarWinds 等路由器管理工具扫描到这些弱口令字串,并利用TFTP下载或上传配置文件,破解其特权密码或直接上传本地修改后的配置文件,达到完全控制路由器的目的。
Cisco配置文件中,意外创建和暴露SNMP共享字符串,可以允许未授权地査阅或者修改感染的设备。这种漏洞是调用SNMP函数中的缺陷引起的。SNMP利用community的标记来划分object组,可以在设备上查看或者修改它们。在组中的数据组织MIB,单个设备可以有几个MIBs,连接在一起形成一个大的结构,不同的社团字符串可以提供只读或者读写访问不同的、可能重叠的大型数掘结构的一部分。
启用SNMP, 键入snmp-server时,如果社区在设备上不是以有效的社区字串存在,就会不可预料地添加一个只读社区字率。如果删除它,这个社区字串中将会在重载设备时重新出现。
缺陷源于SNMPv2的通知(informs)功能的实现,这个功能包括交换只读社区字符串来共享状态信息。当一个有漏洞设各处理一条定义接收SNMP "traps"(陷阱消息)主机的命令时(常规snmp-server配置),在trap消息中指定的社团也还是配置成通用,如果它在保存配置中没有定义。即使社区在前面被删除并统配置在系统重载前保存到存储器,也会发生这种情况。
当通过"snmpwalk"(—种检测SNMP配置正确性的工具),或者使用设备的只读社团字符串遍历基于社团的访问控制MIB来检查设备时,就会泄漏读写
社团字符串。这意味着知道只读社区字串允许读访问存储在设备中的MIB, 导致信息泄露。而更为严重的是,如果知道读写社区字符串就可以允许远程配置的路由,可以绕开授权认证机制,从而完全控制路由器的整体功能。七、内网渗透攻击
(一)w indows系统密码破解
在内网渗透中,如果能得到域管理员的密码Hash, 并破解之,将使攻击者很可能通过此密码控制到整个网络。
在windows系统中,某个用户登陆系统后,其用户名和密码都是以明文的方式保存在内存中的。控制用户登陆的系统进程是winlogon.exe,当有多个用户同时登陆系统时,系统在每个用户登陆时都会产生一个winlogon.exe 进程。当AWGINA模式被设置时,可以用aio等工具直接读取到当前用户的密码。
攻击者在获取目标主机emd shell后,可以采用LC5、SAMInside等工具进行暴力或字典破解。然而,由于windows密码采用的是NTLMHash加密的方式,对于一个位数不太长密码,完全可以采用查表法进行破解,opcrack加彩虹表进行查表搜索破解就是一个很好的选择。其在破解14位任意字符时,一般都在几分钟之内。
(二)A RP欺骗攻击
ARP协议即地址解析协议address resolution protocol, ARP协议是将Ip地址与网络物理地址一一对应的协议。负责IP地址和网+实体地址(MAC)之间的转换。也就是将网络层(IP层’也就是相当于ISO OSI的第三层)地址解析为
数据连接层(MAC层,也就是相当于ISOOSI 的第二层)的MAC地址。ARP 表支持在MAC地址和IP地址之间的一一对应关系,并提供两者的相互转换。由于ARP协议无法识别ARP谓求kg响应报文的衣实性,使得攻击者可以通过抢先构造出ARP报文,对内网所主机以及交换设备进行欺编,从而达到流量重定向的攻击的目的。
常见内网ARP欺骗攻击的主要手段有ARP内网挂马攻击,ARP内网嗅探攻击,ARP挂马攻击主要使得内网主机在访问外部网页时,被强行插入一个恶意网页木马链接,达到种植木巧的攻击效果。ARP内网嗅探攻击主要是攻击机在被攻击机与访问站点之间做一个中间人攻击,使得所有通信数据先流向攻击机,再转发出去。常用内网鸣探攻击工具有cain 、cttcrcap。
八、拒绝服务攻击
在网络攻击中,恶意攻击者为了破坏目标服务的可用性,或者让目标服务器进行重启来执行某些功能,通常会采用拒绝服务攻击的方式。拒绝服务攻击的分类方法有很多种,从不同的角度可以进行不同的分类,而不同的应用场合需要采用不同的分类。常用的柜绝服务工具有:SYN Flood, UDP Flood、傀儡僵尸等分布式拒绝服务工具。
拒绝服务攻击可以是物理的(硬件的),也可以是逻辑的(logic attack), 也称为软件的(sofwareattack)。物理形式的攻击,如偷窃、破坏物理设备,破坏电源等。
按攻击的目标又可分为节点型和网络连接型,前者旨在消耗节点(主机host)资源,后者旨在消耗网络连接和带宽。而节点型又可以进一步细分为主机型和应用型,主机型攻击的目标主要是主机中的公共资源如CPU、磁盘等,
使得主机对所有的服务都不能响应;而应用型则是攻击特定的应用,如邮件服务、DNS服务、Web服务等。受攻击时,受害者上的其他服务可能不受影响或者受影响的程度较小(与受攻击的服务相比而言)。
按照攻击方式来分可以分为:资源消耗和服务中止。资源消耗指攻击者试图消耗目标的合法资源,例如,网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷导致服务崩淸或中止。
按受害者类型可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。前者是指攻击的目标是特定的服务器,使之不能提供服务(或者不能向某些客户端提供某种服务),例如,攻击一个web服务器使之不能访问;后者是针对特定的客户端,即用户,使之不能使用某种服务,例如,游戏、聊天室中的"踢人",即不让某个特定的用户登录游戏系统或聊天室中,使之不能使用系统的服务。大多数的拒绝服务攻击(无论从种类还是发生的频率角度)是针对服务器的,针对客户端的攻击一般发生得少些,同时因为涉及面小,其危害也会小很多。
按攻击是否直接针对受害者,可以分为直接拒绝服务攻击和间接拒绝服务攻击,如要对某个E-mail账号实施拒绝服务攻击,直接对该账号用邮件炸弹攻击就属于直接攻击为了使某个邮件账号不可用,攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。
按攻击地点可以分为本地攻击和远程(网络)攻击,本地攻击是指不通过网络,直接对本地主机的攻击,远程攻击则必须通过网络连接。由于本地攻击要求攻击者与受害者处于同一地,这对攻击者的要求太高,通常只有内部人员能够做到。
九、网电空间对抗
随着军用信息网络的发展,网电空间(cyberspace)成为继陆、海、天之后的又一重要战场,网电空间对抗技术也逐渐成为各同军队争相发展的热点。美军于2009年6月正式成立网电司令部,全面规划和管理各军种网电对抗的指挥控制、信息共享、装备论证和作战训练。
网电空间是通过网络化系统相关物理基础设施,利用电子信号和电磁频谱,存储、修改和交换数据的域,涵盖了信息的产生、处理、传输、使用、存储的全过程,包括信息通过电磁信号在电磁频谱空间中传输的过程,是一个全新的作战域。
网电空间中包含多种异构网络。异构网络的连接方式包括物理连接和虚拟连接。物理连接指异构网络之间通过网络设备互联,如计算机网络和移动通信网络之间通过网关互联。虚拟连接指异构网络之间没有通过网络设备进行直接连接,但可以利用移动介质、终端等实现连接,如外部网络和隔离网络之间没有直接连接但是可以通过移动介质、终端等实现两个网络间的信息传输。
网电空间对抗的范围包括网电态势感知、网电攻击和网电防御等三大领域其基本模式是结合传统网络战和电子对抗的特色和优势,实现自上而下、自下而上的信息干预,从而影响认知域。具体的技术发展思路内容包括两个层面,即实现网络化的电子对抗和实现电磁化的网路攻击。
美军在网电对抗方面已经形成了一系列具有实战能力的技本和装备体系,其中比较有代表性的包括:舒特系统、震网攻击技术、数字大炮、网电飞行
器等。其中震网攻击技术在针对伊朗核设施的作战应用中一举成名,成力目前网电攻击的典型范例。
十、攻击案例——震网攻击技术
2009年,伊朗核设施中大量浓缩袖离心机报废,核项目进展严重停滞。2011年2月,为防止核泄漏,伊朗宣布暂时卸载其布什尔梭电站的核燃料。据权威反病毒机构分析显示,造成该事件的罪魁祸首为"超级工厂"(震网)病毒。
经分析发现,超级工厂病毒攻击核电站的方法是:摧毁核电站的浓缩轴离心机。为了摧毁离心机,病毒使用了三种方法:
(1)在控制浓缩袖离心机的可编程逻辑控制器(PLC)上植人恶意代码,使离心机和汽轮机超速运行,直至高温烧毁;
(2)屏蔽监控系统的报警信号,使操作人员不能发现上述异常;
(3)平时处于潜伏状态,只有当离心机变频器频率在600-1200HZ间时才激洁,以增加隐蔽性。
而伊朗核电站保护重重,物理隔离,为了能成功接触控制离心机,病毒采用了三个步骤:
(1)进人核电站:感染核电站工作人员的移动介质和西门子step 7工程文件,在这些介质和工程文件被使用时,感染相应的主机;
(2)网络渗透:通过移动介质、step 7工程文件和局域网对核电站内部网络进行不断的渗透;
(3)定位并攻击:在渗透过程中,寻找控制可编程逻辑控制器(PLC)的计算机, 并发起攻击。
核电站的控制网络结构一共分为四个部分,企业按制网、边缘网络、生产操作网络和过程控制网。
企业校制网,用干对核电站信息的管理。生产操作网,主要用于在控制系统、ERP系统和企业控制网之间交互信息。边缘网络,主要用于对控制系统中的设备进行管理,为终端用户提供信息、对网络中软件提供补丁,如更新病毒库等。控制网包含了PLC编程的计算机,离心机电机以及控制这些电机的可变频驱动器VFD。
为了保证安全,网络中还有三层防火墙,每层防火墙过滤规则极为严格,除了工控系统的文件传输服务、RFC服务和数据库服务外,其他全部不允许。处于互联网的攻击者,为了能成功攻击浓缩袖离心机,必须穿透或绕过这几层网络和三层防火墙。
震网病毒的渗透攻击过程如下所述。
(1)攻击开始时,攻击人员攻陷某工作人员家中的上网电脑,并通过该电脑感染了他的U盘。该工作人员工作时将被感染的U盘接人企业控制网的客户端计算机,当用户打开该磁盘时,触发一个操作系统漏洞,病毒隐蔽植入该计算机。接着病毒利用网络漏洞迅速感染企业网内部的其他计算机。
(2)由于核电站网络中,工作人员常需要通过VPN登录CAS服务器(中心存档服务器),中心服务器上部署了西门子的wincc数据库。病毒向该数据库提交一个恶意的SQL请求,就可以攻陷CAS服务器,并在边缘网络内部传播。
(3)存档服务器相当于一个数据中心,上面的数据来自于控制系统网络中的os服务器。使用类似的方法,病毒可穿透后端防火墙,感染0S服务器,
并通过网络在其内部感染控制PLC的工作站,对其修改,破坏与之相连的离心机。
以上只是震网病毒其中一种传播方式,此外还有很多种传播方式。例如由于病毒能感染西门子工程文件,工作人员可能直接将被感染的文件拷贝到企业网中的客户端打开,导致病毒进人核电站内部网。
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4)防火墙是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5)入侵检测是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
如果你玩过路由器的话,就知道路由器里面那些很好玩的命令缩写。 例如,"sh int" 的意思是"show interface"。 现在Windows 2000 也有了类似界面的工具,叫做netsh。 我们在Windows 2000 的cmd shell 下,输入netsh 就出来:netsh> 提示符, 输入int ip 就显示: interface ip> 然后输入dump ,我们就可以看到当前系统的网络配置: # ---------------------------------- # Interface IP Configuration # ---------------------------------- pushd interface ip # Interface IP Configuration for "Local Area Connection" set address name = "Local Area Connection" source = static addr = 192.168.1.168 mask = 255.255.255.0 add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0 set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1 set dns name = "Local Area Connection" source = static addr = 202.96.209.5 set wins name = "Local Area Connection" source = static addr = none
网络攻击机制和技术发展综述 一、概述 在这个世界上,人类不断研究和发展新的信息安全机制和工程实践,为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新,关于信息安全的战争将很快结束。虽然,大多数地下组织研究的攻击手法都是惊人的相似,无非就是:蠕虫、后门、rootkits、DoS和sniffer等。但这些手段都体现了它们惊人的威力。到今年,情况愈演愈烈。这几类攻击手段的新变种,与去年前年出现的相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级rootkits,黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。 (注:rootkits, 是一种攻击脚本、经修改的系统程序,或者成套攻击脚本和工具,用于在一个目标系统中非法获取系统的最高控制权限。) 在长期与信息安全专家的较量中,黑客对开发隐蔽的计算机网络攻击技术更加得心应手。同时,这些工具应用起来也越来越简单。以前很多命令行的攻击工具被人写成了GUI(图形界面)的内核级rootkit,将这些高度诡异的攻击武器武装到了那些热中于”玩脚本的菜鸟”手中,这些杀伤力很强的黑客工具,使”脚本菜鸟”们变得象令人敬畏的黑客。 当然,工具本身是不会危及系统安全的-坏事都是人干的。信息安全专业人员也使用和入侵者同样使用的扫描和监听工具,对系统安全做例行公事般地审计。在恶意用户使用前,那些能非法控制web程序的新的渗透测试工具,也被安全人员用来测试系统的漏洞。但是,还有很多的工具有它完全黑暗的一面,比如,蠕虫程序不断发展和传播,它只用来干坏事;反入侵检测工具和很多rootkits专门用来破坏系统的安全性。 本文将探讨一些黑客工具的独创性,以及它们令普通人惊讶的功能。这对帮助用户考虑采用新技术和传统措施来防范这些威胁有很重要的意义:在攻击者攻击来临之前,先检测和修补系统和软件漏洞。 二、Web应用程序:首选目标 日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等),而这些开发者由于没有获得过专业训练,导致这些自产软件漏洞百出。Web程序的开发者没有意识到,任何传递给浏览器的信息都可能被用户利用和操纵。不管用不用SSL(安全套接层),恶意用户可以查看、修改或者插入敏感信息(包括价格、会话跟踪信息甚至是脚本执行代码)。攻击者可以通过状态操纵攻击或者SQL代码嵌入等技术危及电子商务网站的安全。 所谓状态操纵攻击(state manipulation), 是指攻击者通过在URL中修改传递给浏览器的敏感信息,隐藏表格元素和cookies,达到非法访问的目的。如果一个安全意识松懈的web开发者,他把数据存储在会话ID中,而没有考虑到价格和余额等关键数据的完整性保护,则攻击者完全可以修改这些数据。再加上如果web程序相信由浏览器传递过来的数据,那么攻击者完全可以窃取用户帐号、修改价格或者修改帐户余额。 所谓SQL代码嵌入(SQL injection),是指攻击者在普通用户输入中插入数据库查询指令。这些问题相当多情况下是因为输入检验不严格和在错误的代码层中编码引起的,如对逗号”,”和分号”;”等。在这种情况下,攻击者可以对数据库进行查询、修改和删除等操作,在特定情况下,还可以执行系统指令。一般情况下,web网页上的用户名表单往往是这类攻击的入口。如果攻击者使用Proxy server执行这类操作,管理员将很难查到入侵者的来源。而要防止这类攻击,必须在自研软件开发程序上下手整治,形成良好的编程规范和代码检测机制,仅仅靠勤打补丁和安装防火墙是不够的。关于SQL Injection更多的详细信息,请参考:https://www.doczj.com/doc/456452404.html,/article/db/2412.htm
网络隔离技术发展历程和未来方向 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。 隔离技术的发展历程 网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。1997年,信息安全专家Mark Joseph Edwards在他编写的《Understanding Network Security》一书中,他就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。 隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。 第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。 第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。 第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。 第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。 第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。 隔离技术需具备的安全要点 要具有高度的自身安全性隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。 要确保网络之间是隔离的保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。 要保证网间交换的只是应用数据既然要达到网络隔离,就必须做到彻底防范基于网络协
网络安全技术第1章网络安全概述习题及答案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。
网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
网络攻击技术及攻击实例介绍 摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。 一、网络攻击技术分类 计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使用的程序语言本身所具有的安全隐患,通过使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用效能等一系列活动的总称。 从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而威胁到系统和网络的安全性。 从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以粗略的划分为三个阶段: 准备阶段、实施阶段、善后阶段。
网络互联与常用网络设备、 1、网络互联的概念和目的? 1)网络互联的概念:所谓网络的互联,一般是指将不同的网络(如局域网、 广域网)通过某种手段连接起来,使之能够相互通信的 一种技术和方法。 2)网络互联的目的:1、扩大网络通信范围与限定信息通信范围 2、提高网络系统的性能与可靠性 3、实现异种网络之间服务和资源的共享 2、网络互联设备有哪些?各自的功能、特点以及工作的层次是 什么? 中继器/ 集线器 中继器功能:中继器是最简单的网络互联设备,主要完成物理层的功能, 负责在两个节点的物理层上按位传递信息,完成信号的复制、 调整和放大功能,以此来延长网络的长度。 中继器特点:中继器的两端连接的是相同的媒体,但有的中继器也可以完 成不同媒体的转接工作。 集线器功能:集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节 点上。 集线器特点:在网络中只起到信号放大和重发作用,其目的是扩大网络的 传输范围,而不具备信号的定向传送能力,是—个标准的共 享式设备。
中继器/ 集线器:位于物理层层 网桥/交换机 网桥功能:数据链路层设备,在局域网之间存储转发帧;通过地址过滤,有选择的转发信息帧。 网桥特点:一个网段上的帧有条件地被转发到另一个网段; 扩展后的网络被网桥/交换机隔离成多个冲突域; 扩展后的网络仍是一个广播域。 交换机功能:功能与网桥类似。 交换机特点:交换机通过内部的交换矩阵把网络划分为多个网段——每个端口为一个冲突域;交换机能够同时在多对端口间无冲突地交换 帧;端口数多,并且交换速度快。 网桥/交换机:位于数据链路层互联 路由器 特点:一个网络上的分组有条件地被转发到另一个网络; 扩展后的网络被路由器分隔成多个子网。 功能:在不同的网络之间存储转发分组(数据报文)。 路由器:位于路由器网络层 网关 功能:一、(3种方式支持不同种协议系统之间的通信)完成网络层以上的某种协议之间的转换,将不同网络的协议进行转换。 二、同时可以进行(1)远端业务协议封装(2)本地业务协议封装 (3)协议转换
网络攻击与防护概念 网络攻击:非法使用或获取网络中的信息或以破坏网络正常运行的行为、技术; 网络防护:保护计算机网络的各种技术 常见网络攻击与防护 网络攻击技术:介绍常见的网络攻击技术,包括网络扫描技术、口令攻击、缓冲区溢出攻击技术、网络监听技术、网络协议攻击、拒绝服务攻击、木马攻击技术等内 容 网络扫描技术:使用网络扫描软件对特定目标进行各种试探性通信,以获取目标信息的行为。 主机扫描 端口扫描 操作系统扫描 漏洞扫描 口令攻击:破解账户密码 弱口令扫描:最简单的方法,入侵者通过扫描大量主机,从中找出一两个存在弱口令的主机 简单口令猜解:很多人使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位;也有的人使用自己、孩子、配偶或宠物的名字,这样黑客可以很容易通过猜想得到密码 暴力破解:尝试所有字符的组合方式。获取密码只是时间问题,是密码的终结者 口令监听:通过嗅探器软件来监听网络中的数据包来获得密码。对付明文密码特别有效,如果获取的数据包是加密的,还要涉及解密算法解密 社会工程学:通过欺诈手段或人际关系获取密码 缓冲区溢出攻击技术:(一般情况下,缓冲区会溢出引起程序运行错误,但是在攻击者的设计下)向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程 序的堆栈,使程序转而执行其他的指令,以达到攻击的目的 网络监听技术:是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing ) 拒绝服务攻击:攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使服务质量降低 拒绝服务(DoS: Denial of Service):任何对服务的干涉如果使得其可用性降低或者失去可用性称为拒绝服务, 如:计算机系统崩溃;带宽耗尽;硬盘被填满 攻击方式:消耗系统或网络资源;更改系统配置 木马攻击技术:特洛伊木马,是指隐藏在正常程序中的一段具有特殊功能的恶意代码,具备特定的破坏功能,会影响用户系统的安全。 木马程序与一般的病毒不同,它不会“刻意”地去感染其他文件,它的主要作用是控制
网络攻击与防御技术期末考试试卷及答案 考试时间: 120 分钟 试卷页数(A4): 2 页 考试方式:闭卷(开卷或闭卷) 考试内容: 一、选择题(每小题1分,共30分) 1、假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为()。 A、密码猜解攻击 B、社会工程攻击 C、缓冲区溢出攻击 D、网络监听攻击 2、下列哪一项软件工具不是用来对网络上的数据进行监听的?() A、Xsniff B、TcpDump C、Sniffit D、UserDump 3、在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数据库最高权 限登录用户的密码口令,这个用户的名称是()? A、admin B、administrator C、sa D、root 4、常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破解方式?() A.字典破解B、混合破解C、暴力破解D、以上都支持 5、著名的John the Ripper软件提供什么类型的口令破解功能? () A、Unix系统口令破解 B、Windows系统口令破解 C、邮件帐户口令破解 D、数据库帐户口令破解 6、下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提? () A、IP欺骗 B、DNS欺骗 C、ARP欺骗 D、路由欺骗 7、通过TCP序号猜测,攻击者可以实施下列哪一种攻击?() A、端口扫描攻击 B、ARP欺骗攻击 C、网络监听攻击 D、TCP会话劫持攻击 8、目前常见的网络攻击活动隐藏不包括下列哪一种?() A、网络流量隐藏 B、网络连接隐藏 C、进程活动隐藏 D、目录文件隐藏 9、在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是()。 A、dir B、attrib C、ls D、move 10、在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?() A、ICMP请求信息,类型为0x0 B、ICMP请求信息,类型为0x8 C、ICMP应答信息,类型为0x0 D、ICMP应答信息,类型为0x8 11、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包括登录/退出 时间、终端、登录主机IP地址。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 12、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 13、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、入侵检测系统攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、WWW服务攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 15、为了清除攻击Apache WWW服务时的访问记录,攻击者需要读取下列Apache的哪一种配置文件 来确定日志文件的位置和文件名。()
物理层设备 1.调制解调器 调制解调器的英文名称为modem,来源于Modulator/Demodulator,即调制器/解调器。 ⑴工作原理 调制解调器是由调制器与解调器组合而成的,故称为调制解调器。调制器的基本职能就是把从终端设备和计算机送出的数字信号转变成适合在电话线、有线电视线等模拟信道上传输的模拟信号;解调器的基本职能是将从模拟信道上接收到的模拟信号恢复成数字信号,交给终端计算机处理。 ⑵调制与解调方式 调制,有模拟调制和数字调制之分。模拟调制是对载波信号的参量进行连续地估值;而数字调制使用载波信号的某些离散状态来表征所传送的信息,在接收端对载波信号的离散参量进行检测。调制是指利用载波信号的一个或几个参数的变化来表示数字信号的一种过程。 调制方式相应的有:调幅、调频和调相三种基本方式。 调幅:振幅调制其载波信号将随着调制信号的振幅而变化。 调频:载波信号的频率随着调制信号而改变。 调相:相位调制有两相调制、四相调制和八相调制几种方式。 ⑶调制解调器的分类 按安装位置:调解解调器可以分为内置式和外置式 按传输速率分类:低速调制解调器,其传输速率在9600bps以下;中速调制解调器,其传输速率在9.6~19.2kbps之间;高速调制解调器,传输速率达到19.2~56kbps。 ⑷调制解调器的功能 ?差错控制功能:差错控制为了克服线路传输中出现的数据差错,实现调制解调器至远端调制解调器的无差错数据传送。 ?数据压缩功能:数据压缩功能是为了提高线路传输中的数据吞吐率,使数据更快地传送至对方。 ⑸调制解调器的安装 调制解调器的安装由两部分组成,线路的连接和驱动程序的安装。 线路连接: ?将电话线引线的一端插头插入调制解调器后面LINE端口。
选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.doczj.com/doc/456452404.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下哪一种类型 的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数 据库最高权限登录用户的密码口令,这个用户的名称是__C__? A.admin B.administrator C.sa D.root 5.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破 解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 6.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解 B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 7.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 8.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击
9.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 10.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是____。B A.dir B.attrib C.ls D.move 11.在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?C A.ICMP请求信息,类型为0x0 B.ICMP请求信息,类型为0x8 C.ICMP应答信息,类型为0x0 D.ICMP应答信息,类型为0x8 12.相对来说,下列哪一种后门最难被管理员发现?D A.文件系统后门 B.rhosts++后门 C.服务后门 D.内核后门 13.常见的网络通信协议后门不包括下列哪一种?A A.IGMP B.ICMP C.IP D.TCP 14.Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包 括登录/退出时间、终端、登录主机IP地址。B A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/456452404.html,stlog文件 D.attc文件 15.Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。A A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/456452404.html,stlog文件 D.attc文件 16.流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?D A.防火墙系统攻击痕迹清除 B.入侵检测系统攻击痕迹清除 C.Windows NT系统攻击痕迹清除 D.Unix系统攻击痕迹清除 17.流行的elsave工具提供什么类型的网络攻击痕迹消除功能?C A.防火墙系统攻击痕迹清除 B.WWW服务攻击痕迹清除
网络安全认证技术概述 网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。一般可以分为两种: (1)身份认证:用于鉴别用户身份。 (2)消息认证:用于保证信息的完整性和抗否认性;在很多情况下,用户要确认网上信息是不是假的,信息是否被第三方修改或伪造,这就需要消息认证。 1.身份认证技术 认证(Authentication)是证实实体身份的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机网络系统是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说,保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定:一是根据你所知道的信息来证明你的身份(what you know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(what you have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(who you are),比如指纹、面貌等。在信息系统中,一般来说,有三个要素可以用于认证过程,即:用户的知识(Knowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。 现在计算机及网络系统中常用的身份认证方法如下: 身份认证技术从是否使用硬件来看,可以分为软件认证和硬件认证;从认证需要验证的条件来看,可以分为单因子认证和双因子认证;从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。下面介绍常用的身份认证方法。 (1)基于口令的认证方法
常见的网络设备 1、中继器repeater: 定义:中继器是网络物理层上面的连接设备。 功能:中继器是一种解决信号传输过程中放大信号的设备,它是网络物理层的一种介质连接设备。由于信号在网络传输介质中有衰减和噪声,使有用的数据信号变得越来越弱,为了保证有用数据的完整性,并在一定范围内传送,要用中继器把接收到的弱信号放大以保持与原数据相同。使用中继器就可以使信号传送到更远的距离。 优点: 1.过滤通信量中继器接收一个子网的报文,只有当报文是发送给中继器所连 的另一个子网时,中继器才转发,否则不转发。 2.扩大了通信距离,但代价是增加了一些存储转发延时。 3.增加了节点的最大数目。 4.各个网段可使用不同的通信速率。 5.提高了可靠性。当网络出现故障时,一般只影响个别网段。 6.性能得到改善。 缺点: 1.由于中继器对接收的帧要先存储后转发,增加了延时。 2.CAN总线的MAC子层并没有流量控制功能。当网络上的负荷很重时, 可能因中继器中缓冲区的存储空间不够而发生溢出,以致产生帧丢失的现 象(3)中继器若出现故障,对相邻两个子网的工作都将产生影响。
2、集线器hub: 定义:作为网络中枢连接各类节点,以形成星状结构的一种网络设备。 作用:集线器虽然连接多个主机,但不是交换设备,它面对的是以太网的帧,它的工作就是在一个端口收到的以太网的帧,向其他的所有端口进行广播(也有可能进行链路层的纠错)。只有集线器的连接,只能是一个局域网段,而且集线器的进出口是没有区别的。 优点:在不计较网络成本的情况下面,网络内所有的设备都用路由器可以让网络响应时间和利用率达到最高。 缺点: 1.共享宽带,单通道传输数据,当上下大量传输数据时,可能会出现塞车,所以 交大网络中,不能单独用集线器,局限于十台计算机以内。 2.它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针对性的, 而是采用广播方式发送。也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。
网络安全技术发展分析 2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。 网络攻击的发展趋势 综合分析2007年网络攻击技术发展情况,其攻击趋势可以归纳如下: 如今安全漏洞越来越快,覆盖面越来越广 新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。 攻击工具越来越复杂 攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有以下特点: ◆反侦破和动态行为 攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一
确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。 ◆攻击工具的成熟性 与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。 攻击自动化程度和攻击速度提高,杀伤力逐步提高 扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。 传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。 越来越不对称的威胁
【安全生产】关于网络安全技 术概述 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
关于网络安全技术概述 1. 引言 随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。 一般来说,计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用,互联网的安全性又很难在无线网上实施,因此,特别在构建内部网时,若忽略了无线设备的安全性则是一种重大失误。 2. 网络攻击及其防护技术 计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因遭到破坏、泄露,能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。 网络的安全主要来自黑客和病毒攻击,各类攻击给网络造成的损失已越来越大了,有的损失对一些企业已是致命的,侥幸心里已经被提高防御取代,下面就攻击和防御作简要介绍。 2.1常见的攻击有以下几类: 2.1.1 入侵系统攻击
此类攻击如果成功,将使你的系统上的资源被对方一览无遗,对方可以直接控制你的机器。 2.1.2 缓冲区溢出攻击 程序员在编程时会用到一些不进行有效位检查的函数,可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有root权限的内存中,那么一旦这些指令得到了运行,黑客就以root权限控制了系统,这样系统的控制权就会被夺取,此类攻击在LINUX系统常发生。在Windows系统下用户权限本身设定不严谨,因此应比在LINUX系统下更易实现。 2.1.3 欺骗类攻击 网络协议本身的一些缺陷可以被利用,使黑客可以对网络进行攻击,主要方式有:IP 欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗;地址欺骗等。 2.1.4 拒绝服务攻击 通过网络,也可使正在使用的计算机出现无响应、死机的现象,这就是拒绝服务攻击,简称DoS(Denial of Service)。 分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标,从而导致目标瘫痪,简称DDoS(Distributed Denial of Service)。 2.1.5 对防火墙的攻击
信息加密与网络安全综述 摘要 本文从信息加密问题开始,论述了密码学及其发展、现状和应用,分析了一些加密技术。之后对网络安全问题进行了全面的描述和探讨,分析了不同的网络安全问题。最后探讨了网络安全问题的防范。 关键词:密码学;公钥密码体制;主动攻击
目录 1.信息加密技术 0 1.1前言 0 1.2密码学的发展 0 1.2密码编码与密码分析 (1) 1.2.1密码学分类 (1) 1.2.2密码体制分类 (1) 1.2.2.1对称密码体制 (1) 1.2.2.2公钥密码体制 (1) 1.2.3 密码分析学 (2) 1.2.3.1强力攻击 (2) 1.2.3.2线性密码分析 (3) 1.2.3.3差分密码分析 (3) 1.3密码协议 (3) 1.3.1认证协议 (3) 1.3.1.1数据源认证 (3) 1.3.1.2实体认证 (3) 1.3.1.3密钥建立认证协议 (4) 1.3.2 协议面临的典型攻击 (4) 1.4密码学的发展 (4) 1.4.1标准化趋势 (4) 1.4.2公理化趋势 (4) 1.4.3面向社会的实用化趋 (4) 2. 网络安全问题 (5) 2.1计算机网络 (5)
2.2计算机网络安全 (5) 2.3 面临的威胁 (6) 2.3.1 计算机软件设计上存在的漏洞和缺陷 (6) 2.3.2外部攻击 (6) 2.4 网络安全技术 (7) 2.4.1操作系统安全 (7) 2.4.2 防火墙 (7) 2.4.3 反病毒技术 (7) 2.4.4 入侵检测技术 (7) 2.4.5 数据加密技术 (7) 2.4.6 容灾技术 (7) 2.5网络安全对策 (8) 2.5.1 漏洞和缺陷方面 (8) 2.5.2 外部攻击方面 (8) 2.6总结 (8) 参考文献 (9)
网络攻击类型 比较全面公司网络可能受到的非法侵入和攻击 1、服务拒绝攻击 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括: 死亡之ping (ping of death) 概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 泪滴(teardrop) 概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。 防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。 UDP洪水(UDP flood) 概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 SYN洪水(SYN flood) 概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接