下载文档原格式
第六章网络后门与网络隐身1. 留后门的原则是什么?答:后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员看了没有感觉、没有任何特别的地方。
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络攻击经过踩点、扫描、入侵以后,如果攻击成功,一般就可以拿到管理员密码或者得到管理员权限。
第一,Login后门。
在Unix里,login程序通常用来对telnet来的用户进行口令验证。
入侵者获取login。
c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。
如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。
这将允许入侵者进入任何账号,甚至是root。
由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。
管理员注意到这种后门后,便用“strings”命令搜索login程序以寻找文本信息。
许多情况下后门口令会原形毕露。
入侵者就开始加密或者更好的隐藏口令,使strings命令失效。
所以更多的管理员是用MD5校验和检测这种后门的。
第二,线程插入后门。
这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。
也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设!这种后门本身的功能比较强大,是现在非常主流的一种,对它的查杀比较困难,很让防护的人头疼。
第三,网页后门。
网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。
由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。
并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
防御后门的方法主要有:建立良好的安全习惯,关闭或删除系统中不需要的服务,经常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解一些反病毒资讯,安装专业的防毒软件进行全面监控等。
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全?答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
一、简答题(30%,共6题)1.常用防火墙模型有哪些? 比较它们的优缺点答:四种模型:筛选路由器模型、单宿主堡垒主机(或屏蔽主机防火墙)模型、双宿主堡垒主机模型(或屏蔽防火墙系统模型)和屏蔽子网模型。
筛选路由器模型是网络的第一道防线,不能够隐藏内部网络的信息、不具备监视和日志记录功能。
单宿主堡垒主机(屏蔽主机防火墙)提供的安全等级比包过滤防火墙系统要高,所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。
双宿主堡垒主机模型(屏蔽防火墙系统)双宿主堡垒主机有两种网络接口, 但是主机在两个端口之间直接转发信息的功能被关掉了。
在物理结构上强行将所有去往内部网络的信息经过堡垒主机。
屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。
是最安全的防火墙系统之一,它支持网络层和应用层安全功能。
如果黑客想突破该防火墙那么必须攻破以上三个单独的设备,2. 什么是入侵检测系统?答: 入侵检测系统1DS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
4. 简述操作系统帐号密码的重要性,有几种方法可以保护密码不被破解或者被盗取答:在操作系统的安全机制中,安全标识与鉴别是最根本的安全机制,是计算机系统安全的基础。
帐号密码又是最常用的、简单、低成本的用来证明用户的身份的标识信息,是目前操作系统安全标识与鉴别中主要的认证方法。
保护密码不被破解或者被盗取的方法:启用密码策略、启用账号审计策略、停止Guest帐号、限制用户数量、创建多个管理员帐号、管理员帐号改名、陷阱帐号等5.简述木马由来,并简述木马和后门的区别答:木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。
木马来自于“特洛伊木马”,英文名称为Trojan Horse。
传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。
《网络信息安全》课程教学大纲一、课程总述本课程大纲是以2012年软件工程本科专业人才培养方案为依据编制的。
二、教学时数分配三、单元教学目的、教学重难点和内容设置第1章网络安全概述与环境配置【教学目的】了解内容:网络面临的安全威胁、信息系统安全的脆弱性、保证网络安全的途径;理解内容:网络安全的攻防体系、研究网络安全的必要性及其社会意义掌握内容:信息系统安全评估标准;熟练掌握内容:网络安全实验环境的配置及网络抓包软件的使用【重点难点】重点:网络安全的攻防体系、研究网络安全的必要性难点:研究网络安全的必要性【教学内容】1.1 信息安全概述1.2 网络安全概述1.3 研究网络安全的必要性1.4 研究网络安全的社会意义1.5 网络安全的相关法规1.6 网络安全的评价标准1.7 环境配置【课时要求】7节第2章网络安全协议基础【教学目的】了解内容:OSI参考模型和TCP/IP协议组理解内容:IP/TCP/UDP/ICMP协议的工作原理掌握内容: IP/TCP/UDP/ICMP协议的结构分析熟练掌握内容:常用的网络服务和网络命令【重点难点】重点:IP/TCP/UDP/ICMP协议的工作原理难点:IP/TCP/UDP/ICMP协议的结构分析【教学内容】2.1 OSI参考模型2.2 TCP/IP协议族2.3 网际协议IP2.4 传输控制协议TCP2.5 用户数据报协议UDP2.6 ICMP协议2.7 常用的网络服务2.8 常用的网络命令【课时要求】7节第3章网络空全编程基础【教学目的】了解内容:网络安全编程的基础知识理解内容:C和C++的几种编程模式掌握内容:网络安全编程的常用技术熟练掌握内容:注册表编程、定时器编程、驻留程序编程【重点难点】重点:网络安全编程的常用技术难点:注册表编程、定时器编程、驻留程序编程【教学内容】3.1 网络安全编程概述3.2 C和C++的几种编程模式3.3 网络安全编程【课时要求】10节第4章网络扫描与网络监听【教学目的】了解内容:黑客以及黑客攻击的基本概念理解内容:黑客攻击与网络安全的关系掌握内容:如何利用工具实现网络踩点、网络扫描和网络监听熟练掌握内容:黑客攻击的常用工具【重点难点】重点:黑客攻击的步骤难点:如何利用工具实现网络踩点、网络扫描和网络监听【教学内容】4.1 黑客概述4.2 网络踩点4.3 网络扫描4.4 网络监听【课时要求】5节第5章网络入侵【教学目的】了解内容:网络入侵的基本概念理解内容:社会工程学攻击、物理攻击、暴力攻击掌握内容:利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术熟练掌握内容:流行攻击工具的使用和部分工具的代码实现【重点难点】重点:流行攻击工具的使用和部分工具的代码实现难点:利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术【教学内容】5.1 社会工程学攻击5.2 物理攻击与防范5.3 暴力攻击5.4 Unicode漏洞专题5.5 其他漏洞攻击5.6 缓冲区溢出攻击5.7 拒绝服务攻击5.8 分布式拒绝服务攻击【课时要求】8节第6章网络后门与网络隐【教学目的】了解内容:利用四种方法实现网络后门理解内容:网络隐身的两种方法掌握内容:利用四种方法实现网络后门熟练掌握内容:常见后门工具的使用【重点难点】重点:利用四种方法实现网络后门难点:常见后门工具的使用【教学内容】6.1 网络后门6.2 木马6.3 网络代理跳板6.4 清除日志【课时要求】5节第7章恶意代码【教学目的】了解内容:恶意代码的发展史理解内容:研究恶意代码的必要性、恶意代码长期存在的原因掌握内容:恶意代码实现机理熟练掌握内容:恶意代码的设计与实现【重点难点】重点:恶意代码的设计与实现难点:恶意代码的设计与实现【教学内容】7.1 恶意代码概述7.2 恶意代码实现机理7.3 常见的恶意代码【课时要求】5节第8章操作系统安全基础【教学目的】了解内容:操作系统安全的基本概念理解内容:操作系统安全的实现机制、安全模型及安全体系结构掌握内容:操作系统安全的36条基本配置原则熟练掌握内容:Windows操作系统的安全配置方案【重点难点】重点:Windows操作系统的安全配置方案难点:Windows操作系统的安全配置方案【教学内容】8.1 常用操作系统概述8.2 安全操作系统的研究发展8.3 安全操作系统的基本概念8.4 安全操作系统的机制8.5 代表性的安全模型8.6 操作系统安全体系结构8.7 操作系统安全配置方案【课时要求】5节第9章密码学与信息加密【教学目的】了解内容:密码学的基本概念、数字水印的基本概念理解内容:主流加密技术、数字签名的原理、PGP加密的原理和实现及PKI信任模型掌握内容:DES加密算法的概念以及如何利用程序实现、RSA加密算法的概念以及实现算法熟练掌握内容:DES加密算法的概念以及如何利用程序实现【重点难点】重点:主流加密技术、数字签名的原理及PKI信任模型难点:如何利用程序实现主流加密算法【教学内容】9.1 密码学概述9.2 des对称加密技术9.3 rsa公钥加密技术9.4 pgp加密技术9.5 数字信封和数字签名9.6 数字水印9.7 公钥基础设施pki【课时要求】10节第10章防火墙与入侵检测【教学目的】了解内容:利用软件实现防火墙的规则集理解内容:防火墙的基本概念、分类、入侵检测系统的概念、原理及常用方法掌握内容:防火墙的实现模型、如何利用程序实现简单的入侵检测熟练掌握内容:防火墙的配置【重点难点】重点:防火墙的配置难点:入侵检测工具的编程实现【教学内容】10.1 防火墙的概念10.2 防火墙的分类10.3 常见防火墙系统模型10.4 创建防火墙的步骤10.5 入侵检测系统的概念10.6 入侵检测的方法10.7 入侵检测的步骤【课时要求】8节第11章IP安全与WEB安全【教学目的】了解内容:IPSec的必要性理解内容: IPSec中的AH协议、ESP协议和密钥交换协议掌握内容: VPN的功能和解决方案、Web安全的3个方面,SSL和TLS安全协议的内容与体系结构熟练掌握内容:VPN的解决方案【重点难点】重点:VPN的功能和解决方案、Web安全的3个方面、SSL和TLS安全协议的内容与体系结构难点:VPN的解决方案【教学内容】11.1 IP安全概述11.2 密钥交换协议IKE11.3 VPN技术11.4 WEB安全概述11.5 SSL/TLS技术11.6 安全电子交易SET简介【课时要求】3节第12章网络安全方案设计【教学目的】了解内容:网络安全方案设计方法理解内容:评价网络安全方案的质量的标准掌握内容:网络安全方案编写的注意点以及网络安全方案的编写框架熟练掌握内容:网络安全方案设计的基本步骤【重点难点】重点:网络安全的需求分析、方案设计难点:网络安全方案的设计【教学内容】12.1 网络安全方案概念12.2 网络安全方案的框架12.3 网络安全案例需求12.4 解决方案设计【课时要求】7节四、教材1、《计算机网络安全教程(第2版)》,石志国、薛为民、尹浩,清华大学出版社、北京交通大学出版社,2011年2月;2、《计算机网络安全教程实验指导》,石志国、薛为民、尹浩,清华大学出版社、北京交通大学出版社,2011年10月。
第一章1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统特点:操作系统是计算机中最基本、最重要的软件。
操作系统的安全是网络安全的基础。
(4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。
6.网络安全橙皮书是什么?包括哪些内容?答:可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类第二章2. 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防御。
答:讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层.1.物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2.数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3.网络层:针对IP包的攻击是很多的,主要是因为IPv4的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4.传输层:针对TCP的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5.应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的;6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令、tracert指令功能和用途。
《信息安全与技术》课程教学大纲课程中文名称:信息安全技术课程英文名称:Technology of Information Security适用专业:总学时数:39学时其中理论学时:30学时实验学时:9学时总学分:1开课学期:参考教材:《信息安全与技术》(第2版),朱海波,清华大学出版社,2019。
参考资料:《密码学与网络安全:原理与实现》,杨明等译.清华大学出版社,2002《计算机密码学》,卢开澄.清华大学出版社,2003《网络安全——技术与实践》(第2版),刘建伟、王育民,清华大学出版社,2011《网络与信息安全》,蔡皖东,西北工业大学出版社,2004《网络安全基础实验指导》,Paul Cretaro,高等教育出版社,2005一、课程说明1.本课程的性质《信息安全与技术》是信息管理与信息系统专业的学科选修课。
《信息安全与技术》要求学生在已完成《计算机网络》、《操作系统》、《C++程序设计》等课程的学习基础上开设。
2.课程教学目标知识目标:本课程主要讲授信息安全的基本概念、基本理论、基本攻防技术。
通过本课程的学习,掌握威胁信息安全相关的攻击者及攻击技术、计算机恶意代码及防治、安全操作系统、密码学、防火墙、入侵检测系统、安全协议、VPN、系统容灾。
能力目标:通过本课程的学习,学生应掌握信息安全的基本概念,对信息安全面临的威胁,应对的安全手段有一个总体上的认知和把握。
素质目标:熟悉信息安全涉及的各领域知识,在将来工作中对信息系统需要的安全措施、安全方案能够有系统性的认知和恰当的设置或者使用。
3.本课程的教学环节与教学方法⑴讲授:采用多媒体课件的形式进行理论讲授。
⑵自学:一般了解的章节和延伸知识采用自学方式。
⑶习题及作业:每章均要留一定数量的作业。
⑷辅导、答疑:采取不定期辅导和答疑的方式弥补课堂教学未能解决和消化的问题。
⑸实践环节:通过对扫描监听和攻击技术的两次共6学时实验,让学生加深对攻击技术的认知与体验,同时增强学生的动手能力。
网络安全心得体会10篇网络安全心得体会120xx年7月21日至7月23日我参加了由刘星海老师主讲的《网络安全》课程,现将学习内容和心得总结如下:第一天学习了网络安全现状需求分析。
根据国家网络安全法律法规,对网络安全的现状分析,明确网络安全的作用;网络安全的趋势分析,明确未来网络安全的主要发展方向。
学习了sniff 软件安装和使用,包括FTP 明文抓包、http 明文抓包、telnet 明文抓包等。
制作了一份网络安全现状的调研报告。
第二天进行了网络攻击模拟实践。
根据网络攻击的基本过程,利用攻击软件完成网络扫描与网络监听、网络入侵、网络后门与网络隐身实现。
理解了网络踩点、网络扫描和网络监听技术、社会工程学攻击、物理攻击、暴力攻击、漏洞攻击、缓冲区溢出攻击、网络后门的概念,掌握了使用Windows 20xx 无密码登陆的方法登陆远程主机、用DOS 命令进行IPC$$入侵、IPC$$入侵留后门的方法、IPC$$入侵的防护知识、计算机木马特点及其危害性、信息隐藏技术等。
第三天学习了系统安全配置方案。
包括Windows 操作系统的安全配置、系统访问控制策略制定、网络访问控制策略制定、操作系统服务配置、网络安全评估与检测、网络安全方案设计。
具体包括物理安全、停止Guest 帐号、限制用户数量、多个管理员帐号、管理员帐号改名、陷阱帐号、更改默认权限、安全密码、屏幕保护密码、防毒软件、备份盘的安全、操作系统安全策略、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、备份敏感文件、不显示上次登录名、禁止建立空连接、下载最新的补丁、关闭DirectDraw、关闭默认共享、禁用Dump 文件、文件加密系统、加密Temp 文件夹、锁住注册表、关机时清除文件、禁止软盘光盘启动、使用智能卡、使用IPSec、禁止判断主机类型、抵抗DDOS、禁止Guest 访问日志、数据恢复软件等。
总之,网络安全是社会稳定和谐的一个重要方面,通过这次安全培训,使我进一步加强了网络安全方面意识,业务知识与技术学平也有了一定程度的提高。
第一章网络安全概述1-14=141.1网络安全:1、概念:指网络系统的硬件、软件与系统中的数据受到保护,不因无意或故意的威胁而遭到泄露、更改、破坏,保证网络系统正常、可靠、连续地运行.2、信息与网络安全的目标:进不来、拿不走、看不懂、改不了、跑不了.3、网络安全的特征⏹##性:信息不被泄露给非授权的用户、实体或过程,或供其利用的特性.⏹完整性:数据在未经授权时,不能被改变的特性,即信息在存储或传输过程中不被修改、不被破坏和丢失的特性.⏹可用性:可被已授权实体访问并按需求使用的特性.⏹可控性:对信息的内容与传播具有控制能力.1.2网络面临的不安全因素1、网络系统的脆弱性<漏洞>2、网络系统的威胁:无意威胁、故意威胁,被动攻击、主动攻击3、网络结构的安全隐患✓被动攻击:指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动.✓主动攻击:指攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、删除、复制或延迟这些信息.被动攻击和主动攻击有四种具体类型:窃听、中断、篡改、伪造1.3P2DR模型<网络安全模型>Policy<安全策略>、Protection<防护>、Detection<检测>、Response<响应>弱点:忽略了内在的变化因素.第四章网络扫描与网络监听15-33=194.1黑客攻击的三个阶段1、信息收集目的:进入所要攻击的目标网络的数据库.收集驻留在网络系统中的各主机系统相关信息的工具:SNMP协议、Whois协议、Finger 协议、Ping程序、TraceRoute程序、DNS服务器.2、系统安全弱点的探测探测网络上的主机,寻求该系统的安全漏洞或安全弱点.扫描方式:自编程序、利用公开的工具.3、网络攻击攻击方式:<1>试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统.<2>在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的账号名和口令等.<3>进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击.4.2黑客入侵1、"被侵入〞指网络遭受到非法闯入的情况.入侵程度:<1>入侵者只获得访问权<一个登录名和口令><2>入侵者获得访问权,并毁坏、侵蚀或改变数据<3>入侵者获得访问权,并获得系统一部分或整个系统控制权,拒绝拥有特权用户的访问<4>入侵者没有获得访问权,而是用不良的程序,引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态.2、对付黑客入侵<1>发现黑客若黑客破坏了站点的安全性,则应进行追踪.在Windows NT平台上,定期检查Event Log中的Security Log来寻找可疑行为.<2>应急操作①估计形势A、黑客是否已成功闯入站点?B、黑客是否还滞留在系统中?若是,需尽快阻止他们.C、可以关闭系统或停止有影响的服务< FTP、Gopher、Telnet等>,甚至可能需要关闭因特网连接.D、侵入是否有来自内部威胁的可能呢?若如此,除授权者之外,别让其他人知道你的解决方案.E、是否了解入侵者身份?若想知道这些,可预先留出一些空间给入侵者,从中了解一些入侵者的信息.②切断连接A、能否关闭服务器?需要关闭它吗?若有能力,可以这样做.若不能,可关闭一些服务.B、是否关心追踪黑客?若打算如此,则不要关闭因特网连接,因为这会失去入侵者的踪迹.C、若关闭服务器,是否能承受得起失去一些必须的有用系统信息的损失?③分析问题必须有一个计划,合理安排时间.当系统已被入侵时,应全盘考虑新近发生的事情,当已识别安全漏洞并将进行修补时,要保证修补不会引起另一个安全漏洞.④采取行动3、抓住入侵者抓住入侵者是很困难的,特别是当他们故意掩藏行迹的时候.机会在于你是否能准确击中黑客的攻击.这将是偶然的,而非有把握的.然而,尽管击中黑客需要等待机会,遵循如下原则会大有帮助.<1>注意经常定期检查登录文件.特别是那些由系统登录服务和wtmp文件生成的内容.<2>注意不寻常的主机连接与连接次数通知用户.<3>注意那些原不经常使用却突然变得活跃的账户.应该禁止或干脆删去这些不用的账户.<4>预计黑客经常光顾的时段里,每隔10分钟运行一次shell script文件,记录所有的过程与网络联接.4.3扫描器<Scanner>扫描器:是检测远程或本地系统安全脆弱性的软件,通过与目标主机TCP/IP端口建立连接和并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机存在的安全漏洞.➢安全评估工具:管理员用来确保系统的安全性➢黑客攻击工具:黑客用来探查系统的入侵点1、扫描器的基本工作原理➢扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查.➢扫描器测试TCP/IP端口和服务,并记录目标的回答.通过这种方法,可以搜集到关于目标主机的有用信息.2、扫描器的功能➢发现一个主机和网络的能力➢发现系统运行的服务➢通过测试这些服务,发现漏洞的能力➢进一步的功能:如操作系统辨识、应用系统识别3、扫描器的典型扫描过程输入:扫描目标对象→扫描网络→检验操作系统→端口扫描→收集服务类型/版本→扫描漏洞→产生报表→输出:系统漏洞列表.4.4网络监听✧在一个共享式网络,可以听取所有的流量.是一把双刃剑✓管理员可以用来监听网络的流量情况.✓开发网络应用的程序员可以监视程序的网络情况.✓黑客可以用来刺探网络情报.1、可用以下方法检测系统是否运行网络监听软件:方法一:对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应.这是因为正常的机器不接收错误的物理地址,而处于监听状态的机器则能接收.方法二:往网上发送大量不存在的物理地址的信息包,由于监听程序处理这些包,将导致性能下降.通过比较该机器前后的性能加以判断.但这种方法难度比较大.方法三:使用反监听工具<如anti sniffer等>进行检测.2、网络嗅探器<sniffer>⏹sniffer<网络嗅探器,也叫网络分析仪>是一种常用的收集和分析网络数据的工具<程序>.它接收和分析的数据可以是用户的账号和密码,也可以是一些商用##数据等.随着Internet与电子商务的日益普与,Internet的安全也越来越受到重视.在Internet安全隐患中扮演重要角色之一的sniffer已受到人们越来越多的关注.⏹网络监听的目的是截获通信的内容,监听的手段是对协议进行分析.⏹监听器Sniffer的原理:在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址.因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃.但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来.然后对数据包进行分析,就得到了局域网中通信的数据.一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息.第五章网络入侵34-37=45.1社会工程学攻击1、概念:社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学.2、攻击的两种方式:打请求密码和伪造Email.5.2物理攻击与防X⏹物理安全:保护一些比较重要的设备不被接触.⏹物理安全比较难防止,因为攻击往往来自能够接触到物理设备的用户.5.3缓冲区溢出攻击的原理通过制造缓冲区溢出使程序运行一个用户shell,在通过shell执行其他命令,有管理员权限的shell能对系统进行任意操作.第六章网络后门与网络隐身38-45=86.1入侵过程的三个重要步骤1、隐藏IP、2、种植后门、3、在网络中隐身◇恶意代码:是一种程序,通过将代码在不被察觉的情况下寄宿到另一段程序中,从而达到破坏被感染计算机数据、运行入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的.按工作机理和传播方式区分有:普通病毒、木马、蠕虫、移动代码和复合型病毒五类.6.2木马1、特洛伊木马概述一种秘密潜伏的能够通过远程网络进行控制的恶意程序.2、木马的特性:隐蔽性、潜伏性、再生性.3、木马的原理木马程序运行时会隐藏行踪.大多数木马程序都有一个独立的可执行文件.木马通常不容易被发现,因为它以一个正常应用的身份在系统中运行的.木马也采用客户机/服务器工作模式.客户端放在木马控制者的计算机中,服务器端放置在被入侵的计算机中,木马控制者通过客户端与被入侵计算机的服务器端建立远程连接.一旦连接建立,木马控制者就可通过向被入侵计算机发送指令来传输和修改文件.攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件.6.3蠕虫⏹蠕虫病毒以计算机为载体,以网络为攻击对象.⏹蠕虫病毒与一般病毒的区别补充一计算机病毒46-66=21+1.1计算机病毒概述1、计算机病毒的概念《计算机信息系统安全保护条例》明确定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.2、计算机病毒的特征破坏性、传染性、隐蔽性、潜伏性、不可预见性、针对性.3、计算机病毒的分类✓按破坏强弱程度分:良性病毒和恶性病毒.✓按传染方式分:文件型病毒、引导型病毒和混合型病毒.✓按连接方式分:源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒.+1.2 计算机病毒的原理计算机病毒的逻辑结构<3个功能模块>1、传统病毒传统病毒一般指早期的DOS病毒,通常分为引导类型、文件型和混合型.引导型病毒的工作流程文件型病毒的工作流程2、宏病毒宏:一些列组合在一起的命令和指令,形成一个命令,以实现任务执行的自动化.宏病毒:是一种存储于文档、模块或加载宏程序中的计算机病毒.特点:只感染微软数据<文档>文件机制:用VB高级语言编写的病毒代码,直接混杂在文件中,并加以传播,当打开受感染的文件或执行触发宏病毒的操作时,病毒就会被激活,并存储到Normal.dt模版或Personal.xls文件中,以后保存的每个文档都会自动被病毒感染.宏病毒的工作流程:+1.3网络病毒的检测1、概述⏹病毒静态时存储于磁盘,激活时驻留在内存,对计算机病毒的检测分为对内存的检测和对磁盘的检测.2、病毒的检查方法<1>比较法▪比较法:进行原始的或正常的特征与被检测对象的特征比较.▪由于病毒的感染会引起文件长度和内容、内存以与中断向量的变化,从这些特征的比较中可以发现差异,从而判断病毒的有无.▪优点:简单、方便,不需专用软件.▪缺点:无法确认计算机病毒的种类和名称.<2>扫描法▪扫描法:用每一种病毒体含有的特定字符串对被检测的对象进行扫描.▪特征串选择的好坏,对于病毒的发现具有决定作用.如何提取特征串,则需要足够的相关知识.▪优点:检测准确、快速,可识别病毒名称和类别,误报警率低,容易清除病毒▪缺点:被扫描的文件很长时,扫描时间长;不容易选出合适的特征串;计算机病毒代码库未与时更新时,无法识别出新型计算机病毒;不易识别变形计算机病毒等.<3>特征字识别法▪计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库.它是基于特征串扫描法发展起来的一种新方法.▪优点:检测准确、速度更快,可识别病毒名称和类别,误报警率低,容易清除病毒▪缺点:不容易选出合适的特征串;计算机病毒代码库未与时更新时,无法识别出新型计算机病毒;不易识别变形计算机病毒等.<4>分析法✓本方法是运用相应技术分析被检测对象,确认是否为病毒的.分析法的目的在于:确认被观察的磁盘引导区和程序中是否含有病毒;确认病毒的类型和种类,是否新病毒;弄清病毒体的大致结构,提取字节串或特征字,用于增添到病毒代码库;详细分析病毒代码,为制定相应的反病毒措施制定方案.<5>校验和法✓病毒校验和法:对正常文件的内容,计算其校验和,将该校验和保存起来,可供被检测对象对照比较,以判断是否感染了病毒.▪优点:可侦测到各式的计算机病毒,包括未知病毒▪缺点:误判率高,无法确认病毒种类▪利用校验和法既能发现已知病毒,也能发现未知病毒,但它不能识别病毒类型和指出病毒名称.由于病毒感染并非文件内容改变的唯一原因,文件内容改变有可能是正常程序引起的,因此,该方法经常会产生误报警,且会影响文件的运行速度.校验和法对隐蔽型病毒无效.因为隐蔽型病毒进入内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗.对一个有毒文件能计算出正常的校验和.第八章密码学与信息加密67-97=318.1密码学⏹发展阶段:传统密码学→计算##码学.⏹传统密码学:靠人工进行信息加密、传输和破译.⏹计算##码学:利用计算机进行自动或半自动地加密、解密和传输.⏹ 1. 传统方式计算##码学⏹ 2. 现代方式计算##码学⏹对称密钥密码体制⏹公开密钥密码体制⏹密码学包括密码编码学和密码分析学两部分.1、密码学的基本概念⏹加密:把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程⏹明文<Plain Text>:原来的信息<报文>、消息,就是网络中所说的报文<Message>⏹密文<Cipher Text>:经过加密后得到的信息⏹解密:将密文还原为明文的过程⏹密钥<Key>:加密和解密时所使用的一种专门信息<工具>⏹密码算法<Algorithm>:加密和解密变换的规则<数学函数>,有加密算法和解密算法⏹加密系统:加密和解密的信息处理系统⏹加密过程是通过某种算法并使用密钥来完成的信息变换8.2传统密码技术1、数据的表示2、替代密码3、移位密码4、一次一密钥密码8.3对称密钥密码体制⏹也叫传统密钥密码体制,基本思想是"加密密钥和解密密钥相同或相近〞,由其中一个可推导出另一个.使用时两个密钥均需##.⏹传统密钥密码算法有:DES、IDEA、TDEA<3DES>、MD5、RC5等,典型的算法是DES算法.⏹加密算法要达到的四个目的.⏹提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改.⏹具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理解和掌握.⏹DES密码体制的安全性应该不依赖于算法的##,其安全性仅以加密密钥的##为基础.⏹实现经济,运行有效,并且适用于多种完全不同的应用.8.4公开密钥密码体制⏹加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统.往往其中一个密钥是公开的,另一个是##的.因此,相应的密码体制叫公开密钥密码体制.公开密钥密码体制的主要算法有RSA、背包算法、Elgamal、Rabin、DH等.1、RSA算法的演算过程:密钥配制过程、加密、解密.P812、DES和RSA算法的特点和比较<1>DES的特点•可靠性较高<16轮变化,增大了混乱性和扩散性,输出不残存统计信息>.•加密/解密速度快.•算法容易实现<可由软件和硬件实现,硬件实现速度快>,通用性强.•算法具有对称性,密钥位数少,存在弱密钥和半弱密钥,便于穷尽攻击.•密钥管理复杂.<2>RSA算法的特点•密钥管理简单<网上每个用户仅##一个密钥,且不需密钥配送>;•便于数字签名;•可靠性较高<取决于分解大素数的难易程度>;•算法复杂,加密/解密速度慢, 难于实现.8.5混合加密方法⏹原理是:在发送端先使用DES或IDEA对称算法加密数据,然后使用公开算法RSA加密前者的对称密钥;到接收端,先使用RSA算法解密出对称密钥,再用对称密钥解密被加密的数据.⏹整个系统需##的只有少量RSA算法的解密密钥.因为对称密钥的数据量很少<64/128位>,RSA只需对其做1~2个分组的加密/解密即可,也不会影响系统效率的.8.6鉴别与认证技术1、鉴别技术概述⏹鉴别包括报文鉴别和身份验证.✓报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性与目的地进行验证.✓身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统⏹报文鉴别和身份验证可采用数字签名技术实现.⏹身份验证的方法有:口令验证、个人持证验证和个人特征验证.⏹报文鉴别的常用方法是使用信息摘要或散列函数进行.数字摘要的使用过程:①对原文使用Hash算法得到数字摘要;②将数字摘要与原文一起发送;③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要;④将新数字摘要与发送方数字摘要进行比较.2、数字签名和验证的过程<1>报文的发送方从原文中生成一个数字摘要,再用发送方的私钥对这个数字摘要进行加密来形成发送方的数字签名.<2>发送方将数字签名作为附件与原文一起发送给接收方.<3>接收方用发送方的公钥对已收到的加密数字摘要进行解密;<4>接收方对收到的原文用Hash算法得到接收方的数字摘要;<5>将解密后的发送方数字摘要与接收方数字摘要进行对比,进行判断.数字签名解决了电子商务信息的完整性鉴别和不可否认性<抵赖性>问题.3、数字签名与加密过程密钥对使用差别数字签名使用的是发送方的密钥对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性;密钥加密解密过程使用的是接收方的密钥对,是发送方用接收方的公钥加密,接收方用自己的私钥解密,是多对一的关系,表明任何拥有该公司公钥的人都可以向该公司发送密文,但只有该公司才能解密,其他人不能解密;第九章防火墙与入侵检测98-142=459.1防火墙概述防火墙<Firewall>是在两个网络之间执行访问控制策略的一个或一组安全系统.1、防火墙的发展简史⏹第一代防火墙:采用包过滤<Packet Filter>技术.⏹第二、三代防火墙:推出电路层防火墙,和应用层防火墙的初步结构.⏹第四代防火墙:开发基于动态包过滤技术的第四代防火墙.⏹第五代防火墙:NAI公司推出一种自适应代理技术,可以称之为第五代防火墙.2、防火墙的功能✓强化网络安全策略,集中化的网络安全管理.✓记录和统计网络访问活动.✓限制暴露用户点,控制对特殊站点的访问.✓网络安全策略检查.3、防火墙的局限性✓不能防X内部人员的攻击✓不能防X绕过它的连接✓不能防备全部的威胁✓不能防X恶意程序9.2防火墙技术⏹根据防火墙的技术原理分类:包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙.1、包过滤技术⏹包过滤防火墙通常只包括对源IP 地址和目的IP 地址与端口的检查.⏹包过滤防火墙通常是一个具有包过滤功能的路由器.因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙.⏹包过滤是在网络的出口<如路由器上>对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃.这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击.⏹包过滤就是根据##信息来判断该包是否符合网络管理员设定的规则,以确定是否允许数据包通过.★包过滤防火墙⏹数据包过滤技术的发展:静态包过滤、动态包过滤.⏹包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高.⏹缺点和局限性:在机器中配置包过滤规则比较困难;对包过滤规则的配置测试也麻烦;很难找到具有完整功能的包过滤产品.⏹包过滤防火墙是一种静态防火墙.静态包过滤防火墙是按照定义好的过滤规则审查每个数据包.过滤规则是基于数据包的报头信息制定的.2、代理服务技术⏹代理服务是运行在防火墙主机上的特定的应用程序或服务程序.防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴<Duel Homed>主机,也可以是一些可以访问Internet并可被内部主机访问的堡垒主机.⏹这些代理服务程序接受用户对Internet服务的请求,并按安全策略转发它们的实际的服务.⏹所谓代理,就是提供替代连接并充当服务的桥梁<网关>.⏹代理服务的一大特点就是透明性.⏹代理服务位于内部用户和外部服务之间.代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈.⏹对于用户,代理服务器给用户一种直接使用"真正〞服务器的感觉;对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象.⏹用户将对"真正〞服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定.如果一个请求被认可,代理服务器就代表客户将请求转发给"真正〞的服务器,并将服务器的响应返回给代理客户.3、状态检测技术⏹状态检测防火墙又称动态包过滤防火墙.状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝.⏹检查引擎维护一个动态的状态信息表并对后续的数据包进行检查.一旦发现任何连接的参数有意外变化,该连接就被中止.⏹状态检测防火墙是新一代的防火墙技术,也被称为第三代防火墙.9.3常见防火墙系统模型⏹常见防火墙系统一般按照四种模型构建:⏹筛选路由器模型、单宿主堡垒主机<屏蔽主机防火墙>模型、双宿主堡垒主机模型<屏蔽防火墙系统模型>和屏蔽子网模型.1、包过滤结构防火墙2、双穴主机结构⏹双穴主机有两个接口.这样的主机可担任与这些接口连接的网络路由器,并可从一个网络到另一个网络发送IP 数据包.3、主机过滤结构⏹主机过滤结构中提供安全保障的主机<堡垒主机>在内部网中,加上一台单独的过滤路由器,一起构成该结构的防火墙.⏹堡垒主机是Internet主机连接内部网系统的桥梁.任何外部系统试图访问内部网系统或服务,都必须连接到该主机上.因此该主机需要高级别安全.4、子网过滤结构⏹子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与Internet隔离开.⏹通过参数网络将堡垒主机与外部网隔开,减少堡垒主机被侵袭的影响.⏹子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络上,一个位于参数网与内部网之间,另一个位于参数网与外部网之间.这是一种比较复杂的结构,它提供了比较完善的网络安全保障和较灵活的应用方式.9.4入侵检测系统1、入侵检测入侵检测<Intrusion Detection>技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动.一旦发。
第一章1、信息安全受到的威胁有人为因素的威胁和非人为因素的威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。
2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。
它包括系统连续、可靠、正常地运行,网络服务不中断,系统的信息不因偶然的或恶意的原因而遭到破坏、更改、和泄露。
3、导致网络不安全的根本原因是系统漏洞、协议的无效性和人为因素。
4、OSI安全体系结构中,五大类安全服务是指认证、访问控制、数据保密、数据完整性服务和抗否认性服务。
5、网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵赖的安全措施是数字签名技术。
6、信息安全保障体系架构由管理体系、组织结构体系和技术体系。
第二章1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。
2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制;否则,称为非对称密码体制。
前者也称为单密钥体制,后者也称为双密钥体制。
3、柯克霍夫原则是指原密码系统的安全性取决于密钥,而不是密码算法。
这是荷兰密码学家kerckhoff在其名著《军事密码学》中提出的基本假设。
遵循这个假设的好处是,它是评估算法安全性的唯一可用的方式、防止算法设计者在算法中隐藏后门、有助于推广使用。
4、分组密码的应用模式分为电子密码本、密文链接模式、密文反馈模式、输出反馈模式。
5、加密的方式有节点加密、链路加密、端到端加密。
6、DES分组长度是64位,密钥长度是64位,实际密码长度是54位。
第三章1、信息隐藏技术的4个主要分支是信息隐写术、隐通道、匿名通信、版权标识。
2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。
3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护的作用。
4、通用的数字水印算法包括水印生成算法、水印嵌入和提取检测三个方面。
