电子科技大学《网络与系统安全技术》复习，内容主要来自于ppt 。

网络安全技术复习重点：
攻防重点是网络信息收集、DOSDDOS攻击、缓冲区溢出攻击、恶意代码攻击中木马攻击、注入攻击、跨站点攻击等
主要是：各种攻防技术的原理、类型、攻击的危害、防范措施、攻防工具等

一、网络信息收集

1.1 网络踩点技术

技术手段：DNS与IP查询、Web信息搜索与挖掘、网络拓扑侦察(路由跟踪)

WHOIS查询：查询特定域名的3R详细注册信息

Web信息搜索与挖掘防范措施：个人隐私信息不要随便在因特网上发布；个人上网时尽量匿名；必须提供个人信息时，选择信誉好的网站；定期对自己在web上的足迹进行搜索。

网络侦察防范措施：路由器配置:只允许特定系统响应ICMP/UDP数据包;网络入侵检测系统: Snort;虚假响应信息:RotoRouter。

1.2 网络扫描技术

包括：主机扫描、端口扫描、操作系统/网络服务辨识、漏洞扫描。

主机扫描

目的：检查目标主机是否活跃。

方式：传统ICMP Ping 扫描、ACK Ping 扫描、SYN Ping 扫描、UDP Ping 扫描。

主机扫描防范措施：更关注Ping扫射；网络入侵检测系统Snort(主机扫描监测工具Scanlogd)；仔细考虑对ICMP通信的过滤策略。

端口扫描

连接目标主机的TCP和UDP端口，确定哪些服务正在运行的过程。

目的：防御者---找出没有必要开放的端口并关闭；攻击者---找出可供进一步攻击的网络服务。

TCP连接扫描、SYN扫描、隐蔽端口扫描方式、UDP端口扫描 --- 开放端口与关闭端口不同的响应

扫描工具：nmap

防范措施：开启网络入侵检测系统: Snort中的portscan检测插件；开启防火墙；禁用所有不必要的服务。

操作系统类型探查

主动探测：端口扫描、应用服务旗标攫取、主动协议栈指纹鉴别。

被动识别：流量监听、被动应用服务识别、被动协议栈指纹鉴别。

网络服务类型探查

主动：(网络服务)旗标抓取和探测 nmap

被动：(网络服务)特征匹配和识别 PADS

漏洞扫描

漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

漏洞扫描：检查系统是否存在已公布的安全漏洞。

双刃剑：检查系统安全性；列出最可能成功的攻击方法。

工具：ISS、Nessus、OpenVAS、Xscan

防范措施：周期性进行漏洞扫描然后进行修补；确保桌面计算机的安全漏洞及补丁自动管理；检测和防御漏洞扫描行为。

1.3 网络查点技术

对已知的弱点更加充分更具针对性的探查。

与踩点的区别：攻击者的入侵程度

与扫描的区别：攻击者的针对性与信息搜集的目标性

方法：网络服务旗标抓取技术 telnet netcat。又分为：通用网络服务、Windows平台网络服务查点。

应对Windows查点方法：关闭不必要的服务及端口；加强网络服务的安全配置；不要让主机名暴露使用者身份。

二、DOS、DDOS攻击

2.1 DOS

DoS攻击是指利用漏洞耗尽被攻击目标资源，使其无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式。

DoS的基本模式：资源耗尽型(消耗网络带宽、磁盘空间、CPU和内存资源)；配置修改型；基于系统缺陷型(密码重试)；物理实体破坏型。

DoS攻击的基本形式：服务过载、消息流、信号接地、"粘住"攻击。

DoS攻击分类：

最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。

• SYN Flood 防御：在防火墙上过滤来自同一主机的后续连接。
• 死ping：当发送ping请求的数据包声称自己的尺寸超过ICMP上限，就会使ping请求接收方出现内存分配错误，导致当机。 防御：对防火墙进行配置，阻断ICMP以及任何未知协议。
• 泪滴：泪滴攻击利用那些在TCP/IP堆栈实现中，信任IP碎片中的包的标题头所包含的信息来实现攻击。(发送重叠的分段) 防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组。
• Land攻击： 特别打造一个SYN包，其源地址和目标地址都被设置成某一个服务器地址 解决办法：打最新的补丁。
• Smurf攻击：通过采用ICMP技术进行攻击。 解决办法：去掉ICMP服务。
• Fraggle攻击 ：与Smurf攻击类似，但它使用的不是ICMP，而是 UDP Echo。 防范：在防火墙上过滤UDP应答消息。

2.2 DDOS

DDoS攻击分为3层：攻击者、主控端、代理端

DDoS发送的都是UDP报文(每一个包含4个空字符)，从一个端口发出，随机袭击目标主机上的不同端口。

应付DDoS攻击的策略：

• IDS的检测方法：分析一系列UDP报文，寻找那些针对不同目标端口，但来自于相同源端口的UDP报文。或者分析来自于相同的源IP、目标IP和源端口，但不同的目标端口的报文。
• 寻找那些相同的源地址和目标地址的ICMP Port Unreachable的信息。

三、缓冲区溢出攻击

缓冲区是应用程序用来保存用户输入数据、程序临时数据的内存空间。 本质：数组 存储位置：栈、堆、数据段。

缓冲区溢出：用户输入的数据长度超出了程序为其分配的内存空间，这些数据就会覆盖程序为其它数据分配的内存空间。

危害：应用程序异常；系统不稳定甚至崩溃；程序跳转到恶意代码，控制权被窃。

最常见的手段：通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。

寄存器：ESP(栈顶指针)、EBP(栈底指针)、EIP(函数调用返回后下一条执行语句的地址)

压入栈：依次 参数(从右至左)、返回地址(EIP)、当前EBP、函数局部变量

缓冲区溢出种类：

• 栈溢出：缓冲区在栈中分配，拷贝的数据过长，覆盖了函数的返回地址或其它一些重要数据结构和函数指针。 c(4个) 和 c++(多一个自由存储区) 内存分配

堆与栈的区别：栈是系统提供的功能，特点是快速高效，缺点是有限制，数据不灵活；而堆是函数库提供的功能，特点是灵活方便，数据适应面广泛，但是效率所降低。

• 堆溢出：缓冲区在堆中分配，拷贝的数据过长，覆盖了堆管理结构
• 整型溢出：宽度溢出、运算溢出、符号溢出
• 格式化字符串溢出：fprintf、printf、sprintf
• Data section溢出

共性：大object向小object复制数据，容纳不下造成溢出；溢出会覆盖一些关键性数据；利用程序的后续流程，得到程序的控制权。

措施：编写正确的代码；数组边界检查、编译时加入条件(canary保护)；使用类型安全语言；强制缓冲区的内容不得执行。

危险的函数：strcpy、strcat、memcpy、printf、gets...

四、恶意代码攻击中的木马攻击

特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。

工作方式：C/S模式 服务器端---目标机 客户端---攻击者机器

与一般病毒区别：木马不会自我繁殖，也不刻意地去感染其他文件；主要是为攻击者打开用户的电脑门户。

伪装：冒充图象文件或游戏程序；捆绑程序欺骗；伪装成应用程序扩展组件

特点：隐蔽性强、潜伏能力强、非授权性

功能：保留访问权限；远程控制；信息收集

存放位置与命名：一般位置是在c:windows和c:windowssystem 原因：windows的一些系统文件在这两个位置；木马的文件名总是尽量和windows的系统文件接近。

工作原理：

• 木马隐藏技术：启动隐藏(自动启动、捆绑方式启动、修改文件关联)、文件隐藏、运行隐藏、通信隐藏(端口复用技术、利用高层协议隧道)
• 木马程序建立连接技术：合并端口木马；使用ICMP协议进行数据的发送；反弹端口型木马(半反弹型连接、全反弹型连接)；使用基于嗅探原理的原始套接字木马

木马编程技术：修改注册表技术、调用win32API编程、多线程技术、后台监控技术...

植入技术：攻击植入、利用漏洞植入、伪装和诱骗、自动传播

木马检测技术：传统检测手段：提取特征码；行为分析检测：分析程序是否具有恶意行为 ex:Micropoint

防范：端口扫描、查看连接(上述两种方法对驱动程序/动态链接木马无效)、检查注册表、查找木马文件、文件完整性检查。

工具：TCP View、Regmon、InstallRite、WinPE。

五、注入攻击

注入攻击：因为Web应用程序的输入验证不完善漏洞，从而执行由攻击者所注入的恶意指令和代码，导致敏感信息泄露、权限提升或对系统的未授权访问 。

攻击类型：SQL注入攻击、PHP注入、Shell注入攻击

SQL注入漏洞机制：用户输入没有被正确地过滤；没有进行严格类型检查

步骤：发现SQL注入点；判断后台数据库类型；利用SQL注入进行后台口令拆解；上传ASP后门，得到默认账户权限；本地特权提升与利用数据库进行扩展存储。

工具：Wposion、HDSI、阿D注入工具

常用sql注入方法 看ppt

防范措施：使用类型安全的参数编码机制 ；对外部的用户输入进行完备检查 ；将动态SQL语句替换为预编译SQL或ADO命令对象；加强SQL数据库服务器的配置与连接。

六、跨站点攻击

跨站脚本是一种存在于Web应用程序中的安全漏洞，使得攻击者可以将恶意的代码注入到网页中，从而危害其他Web访问者。

与代码注入攻击的比较：

• 相似的漏洞根源：Web应用程序没有对非预期输入做检查和净化
• 不同的最终攻击目标：代码注入：Web站点 XSS：访问Web应用程序的其他用户

危害：查看用户终端会话Cookie、窃取Cookie、网页挂马。

攻击类型：持久性XSS、非持久性XSS、DOM-based: 本地XSS。

防范措施：服务器端防范措施：输入验证、输出净化、消除危险的输入点；客户端防范措施：提高浏览器访问非受信网站时的安全等级、关闭Cookie功能 (只读)、培养安全意识和浏览习惯。

七、口令攻击

防止口令猜测攻击

1. 硬盘分区采用NTFS格式
2. 正确设置和管理账户
3. 禁止不需要的服务
4. 关闭不用的端口
5. 禁止建立空连接

八、假消息攻击

IP源地址欺骗的防范措施

1. 使用随机化的初始序列号
2. 使用网络层安全的传输协议
3. 避免采用基于IP地址的信任策略
4. 在路由器和网关上实施包的检查和过滤
5. 真实源IP地址验证

ARP欺骗攻击防范措施

1. 静态绑定关键主机的IP地址与MAC地址映射关系
2. 使用VLAN虚拟子网细分网络拓扑
3. 加密传输数据以降低ARP欺骗攻击的危害后果
4. 使用相应的ARP防范工具：ARP防火墙

ICMP路由重定向攻击防范

1. 根据类型过滤一些ICMP数据包
2. 设置防火墙过滤
3. 对于ICMP重定向报文判断是不是来自本地路由器