---------------------------網路安全----------------------------
萬字長文,小編自己手打,如有勘誤,敬請諒解!
網安筆記
- ---------------------------網路安全----------------------------
- 1. 《網路安全基礎》
- 1.tcp/ip協議架構 tpc/ip開放模型
- 2.Osi/rm開放模型:七層,從下往上
- 2《網路安全威脅技術》
- 1.網路安全威脅主要分為三個階段:
- 2.掃描技術:
- 3.埠掃描技術:
- 4.漏洞掃描:
- 3.《網路嗅探》
- 1.原理:
- 2.防范:
- 4.《網路協議欺騙》
- 1.IP地址欺騙:
- 2.ARP欺騙:
- 3.ARP欺騙防范:
- 4.TCP欺騙:
- 5.DNS欺騙:
- 6.誘騙式攻擊:
- 7.DDOS攻擊分類:
- 8.Web腳本攻擊
- 9.遠程控制
- 5.《防火墻》
- 1.定義:
- 2.功能:
- 3.分類:
- 4.防火墻技術:
- 6.《入侵檢測系統和入侵防御系統》
- 1.概念:
- 2.入侵檢測系統功能:
- 3.入侵檢測系統分類:
- 4.入侵檢測技術:
- 5.入侵檢測體系結構:
- 6.入侵防御系統:
- 7.PKI
- 8.VPN
- 7.《網路安全協議》
- 1.IPSec、ESP、AH、SSL協議
- 2.應用層安全協議:Kerberos , SSH , SHTTP , S/MIME SET協議
- 總結:
- 3.網路安全防護
- 習題集:
1. 《網路安全基礎》
1.tcp/ip協議架構 tpc/ip開放模型
四層:從下往上
物理和資料鏈路層(網路設備鏈接的物理特性,實作傳輸無差錯資料幀)----網路層(IP層,提供網路傳輸、路由選擇等Import,)----傳輸層(負責端到端的傳輸,UDP協議不可靠,資料丟失,udp傳輸效率高于tcp)----應用層(面向用戶提供管理和服務的高級應用程式,例如傳輸協議ftp,超文本傳輸http,郵件傳輸smtp/pop3,域名DNS,遠程終端telent簡單網路管理snmp)
2.Osi/rm開放模型:七層,從下往上
物理層、資料鏈路層(主要協議ARP\RARP)、網路層、傳輸層、會話層、表示層、應用層
資料鏈路層協議:ARP:通過ip地址轉換為mac地址
RARP:通過mac轉為ip
網路層協議:
IP:唯一性,5類ABCDE類
ICMP:英特爾控制報文協議,提供網路中出錯的一個反饋機制,功能主要為差錯報告和查詢
傳輸層協議:
主要含TCP和UDP協議:廣泛、面向連接、端到端、可靠、三次握手(類似于A:資料交了嗎
B:交了
A:好)
資料包由頭部和資料兩部分組成
UDP協議不可靠,因為無傳輸連接,易丟失重復、無連接的傳輸層協議,速度高于tcp,格式為頭部欄位和資料欄位
應用層協議:
http:請求應答協議,客戶機與服務器的建立tcp協議交流協議
SMTP:簡單郵件傳輸協議:實作電子郵件發送到郵件服務器,基于TCP,包含郵件客戶端程式和郵件傳輸代理程式兩部分
POP3協議為郵件協議第三代,規范從郵局服務器下載東西的規范性
DNS:域名決議系統,將一個代號決議出真實身份,因為真實身份難以記憶,就將真實身份轉換為代號易于記憶,電腦通過DNS將代號決議為真實就好了
2《網路安全威脅技術》
1.網路安全威脅主要分為三個階段:
第一階段:資訊收集
第二階段:網路嗅探,網路誘騙.,協議分析,漏洞攻擊,拒絕服務攻擊,web攻擊等
第三階段:成功入侵后 植入木馬,或者遠程控制程式以獲取資訊
2.掃描技術:
網路身份資訊掃描:通過whois域名注冊查詢,或者谷歌,獲取電話號碼,郵箱,Ip地址等資訊
Ip地址掃描:ping發送ICMP資料包,回應了即可,處于攻擊的開始階段
埠掃描:開放埠,像開放的窗戶一樣,是攻擊的最佳入口,掃描可借用namp,網路的端是在傳輸層的tcpUDP協議定義的,埠范圍在0—65535內,其中1024內的埠保留給常用的服務,就是要新開放埠要選在1024以上,避免造成埠沖突,例如ftp埠21,Telent:23,,,SMTP:25,HTTP:80,POP3:110
3.埠掃描技術:
(1)TCP全連接掃描:三次握手,能牽手成功就說明對方開機的
(2)TCP SYN:就是半連接掃描,就是只利用三次握手的前兩次,也就是半連接掃描,因為沒有牽手三次,所以降低了被發現的可能,性能也提高了
(3)TCP FIN:為秘密掃描,不屬于TCP協議,發送FIN標志位1的資料包,對方埠開放則丟棄包,未開放則回傳一個RST標志位為1 包,使用與UNIX 系統
(4)UDP的ICMP埠不可達掃描:UDP發送資料包,對方UDP埠開放,則不回傳,未開放則回傳ICMP—PORT——,,,,,,包(開放直接一去不復返,沒開放給撞墻哭著回來了)
(5)ICMP掃描:向目標主機發送一個錯誤項的IP資料包,根據回傳的錯誤資訊判斷網路服務和使用的埠
(6)亂序掃描和慢速掃描:因為普通掃描規則是從小到大的埠依次快速掃描,短時間內掃描大量埠,這樣往往容易被防火墻檢查到被報警,因此攻擊者往往采用亂序掃描并且降低速度來隱藏行為
4.漏洞掃描:
(1)網路漏洞掃描:網路設備發現,網路漏洞掃描工具包含有漏洞腳本庫,會根據目標漏洞的配置呼叫腳本庫的模擬攻擊腳本或代碼,然后向目標主機發送漏洞腳本資料包,并檢測設備回應,查看是否有對應漏洞,常用工具(Nessus , X-Scan , SSS , 綠盟極光漏洞)
(2)主機漏洞掃描:主機作業系統或者程式漏洞,通過系統疏忽導致漏洞或者補丁漏洞而掃描,常用工具(Nessus, 360安全衛士)
5.弱口令掃描(password: 12345678):字典攻擊(字典中收集了上億條密碼,一條一條試),窮舉攻擊(依據數學排列組合一個一個試)
6.綜合漏洞掃描:網路和主機漏洞全掃,推薦Nessus
7.掃描防范技術:掃描往往的入侵的前奏,所以得防著,通過部署防火墻攔截源主機的掃描資料包來防范,還可以采用安全檢測工具,有效預警,
3.《網路嗅探》
1.原理:
通過嗅探工具獲取目標主機的網路傳輸資料包,然后利用協議進行還原和分析,獲取資料包內大量資訊,常用嗅探工具有Sniffer,工具一般設定為混雜模式,因為正常模式只能監測到mac地址,混雜可以監測到所有資料包,嗅探工具分為軟體和硬體兩種,軟體有wireshark , sniffer pro , omnipeek等,優點就是使用方便,缺點就是無法抓取往上所有資料幀,硬體設備往往采用專用協議,優點是能抓取所有資料幀,缺點就是貴
2.防范:
因為嗅探是獲取傳輸的資料包,那可以給資料包加密傳輸就能達到防范目的,加密有VPN,SSL,SSH等加密傳輸
4.《網路協議欺騙》
1.IP地址欺騙:
通過偽造第三方IP地址欺騙目標主機,之所以能欺騙是因為目標主機的tcp/ip協議缺少ip認證手段,所以才能欺騙成功,ip欺騙本身并沒有造成傷害,往往是配合其他技術手段實行攻擊,
2.ARP欺騙:
ARP快取表具有更新功能,惡意主機發送假的ARP資料包,讓目標主機收到后更新ARP快取表,記錄了假的ARP資料包快取,ARP欺騙分為中間人欺騙和網關欺騙,中間人欺騙主要在局域網中實行,他在兩臺主機中間作為假傳話人,欺騙雙方,,,,,,,網關欺騙主要是局域網與外界通信時,偽造假ARP,
3.ARP欺騙防范:
通過IDS或Antiarp或ARP防火墻查找ARP欺騙設備,定位ARP病毒主機,再通過殺毒軟體殺死ARP病毒,還能通過mac地址和ip地址的雙向靜態系結,使ARP欺騙失效.
4.TCP欺騙:
在傳輸層實施的通信欺騙攻擊包括TCP欺騙和UDP欺騙(外部計算機偽裝成合法計算機),TCP攻擊包括非盲攻擊和盲攻擊兩手段
(1)非盲攻擊:在攻擊者和目標主機在同一網路時,通過嗅探工具獲取主機資料包,從而預測TCP初始序列號的攻擊方法(有眼的)
(2)盲攻擊:在攻擊者和目標主機在不同網路時,因不在同網路,無法使用嗅探工具獲得資料包,,存在盲目性,
5.DNS欺騙:
基于DNS服務器欺騙和基于用戶計算機欺騙
(1)基于DNS服務器欺騙:目標DNS服務器,偽造DNS
(2)基于用戶計算機欺騙:針對用戶
6.誘騙式攻擊:
傭訓用戶點擊訪問(你同學發了你小時候照片給你,快點擊查看吧)
包括網站掛馬,誘騙下載,釣魚網站,社會工程等
(1)網站掛馬:入侵網站后植入木馬,讓訪問者被惡意植入木馬
掛馬技術:框架掛馬,JS 腳本掛馬,body掛馬,偽裝欺騙掛馬
(2)誘騙下載:傭訓
(3)釣魚網站:偽造網站坑你輸入賬號密碼
(4)社會工程學:針對人心的弱點
7.DDOS攻擊分類:
IP協議攻擊(最低層次) ,TCP協議攻擊(本身缺陷,TCP全連接)
UDP協議攻擊:帶寬消耗攻擊
(1)防范:資料包過濾,反欺騙技術,例外識別,協議分析,速率限制
8.Web腳本攻擊
(1)注入攻擊:SQL注入,代碼注入,命令注入,LDAP注入,XPath注入
/ SQL注入:程式沒有對請求引數嚴格檢查,直接作為合法請求引數呼叫資料
/跨站腳本攻擊:稱為XSS攻擊,為客戶端腳本攻擊,對Web程式輸入的資料過濾不嚴格,導致用戶瀏覽器被自動下載執行腳本代碼,分類:
//反射型XSS:非持久型的跨站腳本攻擊,向用戶發送惡意攻擊腳本的URL鏈接,誘騙用戶點擊,一點,就自動下載執行腳本,你就死咯,一般就是在博客或者論壇中鏈接
//存盤型:持久型,存在Web網站中,當用戶訪問特定網頁時,你就涼咯,一般在服務器網頁中(駐軍)
//DOM-based XSS:基于檔案物件模型,通過javascript的腳本動態修改DOM結構進而導致XSS漏洞
(2)防范:給關鍵cookie設定httponly標識(禁止網頁的javascript訪問帶有httponly屬性的cookie)
9.遠程控制
(1)木馬:具有遠程控制,資訊偷取,隱蔽傳輸功能的惡意程式,具有偽裝性,隱藏性,竊密性,破壞性,木馬程式都采用C/S架構,木馬分為兩部分,客戶端程式和服務端程式,
//木馬隱藏技術:執行緒插入技術,DLL動態劫持技術,Rootkit技術
/執行緒插入技術:一個行程有多個執行緒,執行緒之間又是獨立可同時運行的,當木馬插入到一個執行緒中時,系統會認這個行程為合法,沒發現執行緒里隱藏的木馬
/DLL動態劫持技術:讓程式加載非系統目錄下DLL的技術
/Rootkit:內核隱藏技術,它使得惡意程式可以逃避系統標準管理的查找
(2)Webshell:Web腳本寫的木馬后門,用于遠程控制服務器網站
5.《防火墻》
1.定義:
部署在內外網交換處,用于攔截不可信資料
2.功能:
(1)內外網之間進行資料包過濾
(2)對網路傳輸和訪問的資料進行記錄和審計
(3)防范內外網間例外攻擊
(4)通過配置NAT提高網路地址轉換
3.分類:
軟體防火墻和硬體防火墻
4.防火墻技術:
(1)包過濾技術:過濾非法資料包
(2)狀態檢測技術:
//靜態NAT:內部ip和公有ip建立一對一靜態映射關系
//NAT池:采用動態分配,管理員先設定好一組可用的公有ip地址,當員工要對外訪問時將在地址池隨機抽取一個沒有使用的ip地址使用,用完后回識訓池子中準備分配給另外一個用戶
//埠地址轉換:管理員設定一個或多個公網Ip的埠,用戶訪問時會映射到公網的一個埠,
(3)體系結構:
雙重宿主主機體系結構:至少兩個介面,一個連外一個連內,一旦雙重宿主主機被突破,那么內網就直接敞開大門歡迎入侵了,為了安全,應具有強大的身份認證系統,
屏蔽主機體系結構:一臺過濾路由器和堡壘機組成,堡壘機配置在內網上,擁有更強的系統安全配置,一旦路由器被更改,那么堡壘機將被拋棄到 一邊,被直接入侵
屏蔽子網體系結構:兩個過濾路由器和一個堡壘機,最安全的防火墻,擁有緩沖區
(4)防火墻不能防范的威脅:不能防范內網間攻擊和繞過防火墻通道上的攻擊、病毒和內部驅動的木馬和針對防火墻開放埠攻擊
6.《入侵檢測系統和入侵防御系統》
1.概念:
部署在網路系統中關鍵節點上,通過實時收集分析系統中產生的資訊檢查是否存在違反安全策略的行為是否存在入侵跡象,分為控制臺和探測器兩部分,探測器主要在前端采集資料,對交換機傳輸資料分析,部署在子網上,控制臺接受探測器采集的資料實行管理控制,該系統是對防火墻的補充,
2.入侵檢測系統功能:
(1)檢測記錄計算機系統或網路中存在的活動和資料
(2)檢測黑客攻擊前的探測行為,發出告警
(3)檢測入侵和例外行為發出告警和回應
(4)提供有關攻擊資訊,幫助管理員診斷弱點
3.入侵檢測系統分類:
(1)根據資料采集方式不同,分為基于網路的入侵檢測系統和基于主機的入侵檢測系統,
//網路入侵檢測系統是根據網路中查找符合入侵規范的資料包,
//主機入侵檢測系統是根據主機上審計日志檔案尋找具有攻擊特性的檔案
(2)根據檢測原理分類:誤用/例外檢測型入侵檢測系統
//誤用檢測型入侵檢測系統是收集攻擊和非正常操作的行為特性,建立特征庫,當檢測到用戶的行為與特征庫相匹配時,認為是入侵,因為她是根據特征庫來判斷的,而新的攻擊特征不包含在特征庫中,所以這種檢測對于新攻擊無能為力
//例外檢測型入侵檢測系統:收集分析正常操作的特征,當發現用戶行為違反正常操作特征時,認為是入侵,
4.入侵檢測技術:
(1)誤用檢測技術:與特征庫匹配,判為入侵,主要有專家系統,模型推理,狀態轉換分析
(2)例外檢測技術:與正常行為存在差異,判為入侵,主要依靠統計分析方法和神經網路方法實作
(3)其他入侵檢測技術,模型匹配技術,檔案完整性檢驗技術,資料挖掘技術
5.入侵檢測體系結構:
(1)基于網路的入侵檢測系統NIDS和基于主機的入侵檢測系統HIDS:網路模型主要是監聽,主機模式是安裝軟體進行日志掃描分析,行程分析等,兩種同時使用效果最好
(2)集中式結構:收集發往控制臺分析,網路延遲大
(3)分布式結構:采用多個代理部署在多個網路中,每個代理都有獨立的控制臺和探測器,各代理的控制臺將收集的資訊匯總到總控制臺,就相當于市級–省級–中央,布點管理,樹狀結構
6.入侵防御系統:
(1)功能:攔截惡意流量,實作對傳輸內容的深度檢測和安全防護,對網路流量檢測的同時進行過濾,
(2)部署方式:
//內外網的網路邊界
//DMZ的交換機和防火墻之間
//網核心交換機與防火墻之間
//內網關鍵服務器外側
(3)不足:由于入侵防御系統屬于串聯部署,存在以下三點不足
//單點故障:因為串聯,導致影響了入侵防御系統
//可能造成性能瓶頸,因為部署在多層,消耗了性能
//漏報誤報:量太大
7.PKI
(1)概念:用公鑰密碼學技術來支撐的一種安全服務認證,
(2)PKI組成:
//安全策略
//證書認證機構
//證書注冊機構
//證書分發系統
//基于PKI的應用介面
(3)數字證書:秘鑰秘鑰簽名,存盤格式多種,最基本的是X.509
8.VPN
(1)定義:專線網路安全傳輸,但是貴,VPN為虛擬專用網,價格低廉,部署方便,也實作安全傳輸需求,克服了專線的缺點,
VPN是利用開放網路的物理鏈路和專用的安全協議實作邏輯上的網路安全連接技術,連接原理很簡單,就一根筋,
(2)連接型別:Client-LAN 、LAN-LAN
//Client-LAN :遠程訪問型
//LAN-LAN:網路到網關型別,客戶端和服務器各自在自己網路邊界部署硬體VPN網關設備,建立安全隧道,
(3)分類:隧道技術、加密解密技術、完整性校驗、秘鑰管理技術、身份認證技術,
//其中隧道技術最為關鍵技術,是將一種協議封裝在另外一種協議里,封裝協議主要是第二隧道協議和第三隧道協議,目前廣泛第三隧道協議(IPSec協議)和傳輸層的SSL協議,
//第二隧道協議:將網路層協議,如ip協議封裝到資料鏈路層協議ppp的資料幀中,再把整個ppp資料幀裝入隧道協議中,
//第二隧道協議主要有三種:微軟的點對點,北電的二層轉發協議,IETF的二層隧道協議
//第三層隧道協議:網路層協議,將所有網路層協議封裝好裝入隧道協議進行傳輸,例如IPSec(保護通信)和GRE.
//傳輸層SSL協議:兩部分組成:連接和應用會話
//介于二三層之間的隧道協議:MPLS是一種基于多協議標記交換技術
7.《網路安全協議》
1.IPSec、ESP、AH、SSL協議
(1)網路層安全協議IPSec:一組開放協議的總稱包括了網路安全協議(認證協議頭協議AH,安全載荷封裝協議ESP)和秘鑰管理協議(互聯網秘鑰交換協議IKE)兩部分分
(2)ESP:提供安全加密,身份認證和資料完整性,根據封裝內容不同,可將ESP分為傳輸模式和隧道模式兩種模式,采用加密標準是DES和3DES
傳輸模式下,對IP有效資料載荷進行加密和認證,不加密IP頭
隧道模式下用于網關到網關的網路連接,會接受隧道保護,加密IP頭
(3)認證協議頭AH協議:提供資料完整性校驗和源資料樹身份驗證,不提供加密保護,最常用的校驗演算法有MD5和SHA-1
(4)秘鑰協商協議:因為ESP和MD5擦歐洲哦進行封裝和解封,需要兩端計算機使用相同引數,連接兩臺計算機的網關必須先通過協商機制協商好相同引數,IKE負責兩個對等體的協商好的相關引數,屬于混合型協議
(5)SSL協議:為TCP/IP協議的保鏢,因為原本的TCP/IP協議沒有考慮到安全性,所以導致了四個缺陷:
1.沒有資料源認證機制,
2.沒有較強的完整性保護機制,
3.沒有為資料提供加密保護,
4.存在設計上的缺陷
//SSL協議包含兩層協議:記錄協議和握手協議,
2.應用層安全協議:Kerberos , SSH , SHTTP , S/MIME SET協議
(1)Kerberos協議:主要用于分布網路中,用于用戶和服務器間的安全身份認證,
(2)SSH協議:對傳輸的資料加密,防止了中間人工攻擊,還有DNS欺騙和IP欺騙,
//支持兩種登錄模式:基于口令的登錄認證,俗稱賬號密碼,
登錄認證需要依賴密鑰啦進行,
//SSH加密通過以下5個階段來實作:
//協商SSH版本(機器自己協商,并非人協商)
//協商產生會話密鑰
//登錄認證
//處理會話請求
//互動會話
(3)SHTTP協議:安全超文本協議,提供對稱密鑰加密,靈活,可對資訊多種方式封裝
(4)S/MIME協議:安全多用途網際郵件擴充協議,支持電子郵件數字簽名和加密,是對SMTP和POP3的補充,
(5)SET協議:安全電子交易協議,防止資料被非法竊取;雙簽名技術,保證電子商務參與者的資訊給隔離開,不能看到對方的賬號和密碼;多方認證,提供一個開放的標準和規范,讓各用戶高兼容性,SET由于是將整個程序都提供了加密保護,所以安全性比SSL高,
總結:
1.TCP/IP協議提供了異構網路互聯的通信協議規范,適用于各種范圍,體系結構有4層:鏈路層--網路層--傳輸層--應用層
鏈路層包含了ARP(mac--ip) 協議和RARP協議(ip----mac)
網路層:IP協議和ICMP協議
傳輸層包含了TCP和UDP(TCP傳輸速度慢,但比較可靠,UDP傳輸速度快,但是比較不可靠)
應用層包含的協議HTTP協議SMTP協議POP3協議DNS協議
2.網路威脅攻擊前三階段:(1)準備階段
(2)具體網路攻擊階段(利用網路嗅探工具獲取目標主機傳輸的資料包按照協議進行還原和分析獲取大量資訊,還有協議欺騙等攻擊手法)
(3)成功入侵后控制階段(植入木馬)
3.網路安全防護
(1)防護技術:防火墻、IDS/IPS/VPN/PKI等安全協議
//防火墻:部署于可信和不可信網路之間,就像家里的外屋圍墻,主要技術有包過濾技術、狀態檢測技術、NAT技術、代理服務器技術等
//VPN:實作了身份認證,加密傳輸、資料完整性功能,VPN協議主要包括第二層隧道技術,第三層隧道技術,介于二三層之間隧道技術,以及傳輸層的隧道協議
//PKI:核心是解決網路中的信任問題,確認網路空間中的用戶身份唯一性,真實性,合法性
//IPSec協議:提供網路層和網路層以上協議的安全防護,
習題集:
1.TCP/IP 協議架構的層次和各層次包含的協議,
答:TCP/IP協議結構從下往上分別為:物理和資料鏈路層,網路層,傳輸層,應用層
物理和資料鏈路層主要協議為:ARP,RARP
網路層主要協議為:ip協議,ICMP協議
傳輸層主要協議為:tcp,udp
應用層主要協議為:ftp,http,https,SMTP/POP3,DNS,Telent,SNMP
2.ARP欺騙原理
答:因為ARP快取表存在更新機制,惡意主機發送虛假的ARP資料包給目標主機,目標主機收到后將虛假的ARP資料包更新進了ARP快取表,建立了錯誤的IP地址和MAC地址對應關系
3.ICMP協議功能
答:ICMP協議主要功能是在tcp/ip網路中發送出錯控制訊息,允許主機或網路設備報告出錯和例外情況,從而提供一個錯誤偵查和反饋機制,
4.TCP3次握手程序
答:TCP協議3次握手,首先第一次握手主機A發送資料包給主機B,主機B接收后回應給主機A完成第二次握手,主機A再回應主機B完成第三次握手,
5.TCP全連接掃描,TCP SYN掃描,TCP FIN掃描原理
答:TCP全連接掃描原理:利用tcp三次握手來探測目標主機網路埠是否開放狀態,
TCP SYN掃描原理:也稱為TCP半掃描,它利用tcp三次握手的前兩次握手來查看目標主機網路埠是否打開
TCP FIN掃描:利用發送FIN標志位1的資料包進行埠掃描,
不同之處:TCP全連接掃描為TCP三次握手,較容易被察覺;TCPSYN為半連接掃描,只經歷前兩次握手,降低了被發現的可能,同時性能相對也提高了;TCP FIN沒有采用TCP握手掃描,行為更加隱秘,稱為秘密掃描,
6.網路漏洞掃描和主機漏洞掃描的區別
答:網路漏洞掃描主要針對網路中的主機和設備,發送漏洞探測資料包進行漏洞掃描,而主機掃描主要是通過漏洞特征匹配技術和補丁安裝資訊來檢測作業系統和一些應用軟體系統的漏洞檢測,
7.基于DNS服務器的欺騙技術原理
答:攻擊者向DNS服務器發送域名對應的IP地址查詢請求,DNS服務器在沒有此域名的情況下會向更高級的服務器發送查詢請求,攻擊者偽造更高級杯的DNS服務器將虛假的IP地址回傳給被欺騙的DNS服務器,被欺騙的DNS服務器接收后將虛假的IP地址回傳個查詢請求者并更新進自己快取表中,下次有用戶查詢請求時會直接回傳個錯誤的IP地址,用戶訪問后會到攻擊者的服務器中,從而實作DNS欺騙攻擊,
8.網站掛馬的概念和原理
答:網站掛馬就是在網站上植入木馬,讓訪問者不知不覺中被設備被植入了木馬,原理:將木馬程式植入到某個代碼中,將原代碼和木馬代碼捆綁在一起了,藏在了一個看似合法的服務里,導致訪問者大意點擊了并觸發了木馬程式被植入了木馬,
9.Dos攻擊的三種實作方法
答:Dos攻擊3種攻擊方式分別為IP層協議攻擊,TCP協議攻擊,UDP協議攻擊
10.SYN-Flood攻擊原理
答:SYN-Flood攻擊原理:攻擊者向目標主機發出第一個SYN握手請求資料包,資料包內含虛假源IP地址為一個不可達或不存在的IP地址,目標主機收到后完成第一次握手,目標主機自動回應SYN+ACK資料包,實作第二次握手,隨后目標主機就開始等待第三次握手,因為是虛假IP,當然不可能完成第三次握手,所以目標主機只能干等,等到一定時間后丟包,等待程序中占用了很多系統資源,大量SYN資料包發出的話系統資源基本被占用完,
11.ACK-Flood攻擊原理
答:ACK-Flood攻擊原理:ACK-Flood攻擊發送的是TCP協議中標志位為1的資料包,其中的源IP地址是偽造的,攻擊者發送大量的這種ACK資料包沖擊目標主機,目標主機接受后根據TCP協議規則會回應ACK和RST標志位設為1的資料包,如果ACK流量過大,那目標主機的ACT/RST資料包回應程序就會消耗大量資源,從而達到拒絕服務攻擊的效果,
12.洪水攻擊原理
答:洪水攻擊就是攻擊者發送一系列SYN請求到目標系統,但不發ACK,因此,連接半開,吞掉了服務器資源
13.說明SQL注入原理
答:由于用戶客戶端提交的的惡意資訊沒有被過濾,通過SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到了欺騙服務器執行惡意SQL命令
14.舉例說明跨站點腳本攻擊原理
答:跨站腳本攻擊縮寫為XSS,他是利用WEB程式頁面對資料的輸入過濾不嚴或沒做過濾的漏洞,原理:因過濾不嚴或未做過濾,攻擊者網頁面內插入惡意腳本,當用戶瀏覽網頁時觸發到腳本則會自動執行下載并加載惡意腳本,從而在用戶的瀏覽器中顯示攻擊者的惡意腳本,控制用戶瀏覽器或竊取用戶資料的目的,
例子:
<? php
$user=$_GET[‘user’]
Echo “Hello”.$user;
?>
如果用戶提交請求”www.xxx.com/xss.php? User=”,則代碼將被回傳給客戶端并被執行后顯示在客戶端瀏覽器中,
15.跨站點請求偽造攻擊概念和原理
答:概念:跨站點請求偽造是屬于偽造客戶端請求的一種攻擊方法,跨站點請求偽造攻擊是讓用戶訪問攻擊者構造的網頁,執行網頁中的惡意腳本,偽造用戶的請求,對用戶有登錄權限的網站實施攻擊,由于CSRF攻擊是通過攻擊者的站點對用戶可登錄的站點發起攻擊,而且攻擊腳本是利用偽造的用戶請求,這就是跨站點請求偽造攻擊,
原理:CSRF攻擊是XSS的基礎上發展出來的一種變種型別攻擊,其根源在于瀏覽器內不同標簽共享同域會話認證資訊的機制,具體來說就是用戶完成用戶名和口令的驗證后,用戶瀏覽器會存盤登錄驗證,之后會回傳一個會話認證資訊,也就是cookie資料,之后所有用戶針對該web應用服務器的http請求,用戶的瀏覽器會自動通過保存的cookie通過驗證,而不用輸入用戶名和口令,
16.解釋木馬的埠反彈技術
答:由于防火墻的大量應用有效攔截了外網進入內網的惡意流量,但由于防火墻對于內網連接外網的情況認為是正常的,這就出現了第三代木馬利用只這缺陷,讓處于內網的木馬主動發起對外網的連接,請求到外網木馬的客戶端,也就是反彈式木馬主動發起外網連接請求,客戶端木馬被動等待連接,這就是木馬的埠反彈技術,
17.防護墻的NAT原理
答:原理就是通過配置并接入介面,配置安全策略和NAT地址池后映射
18.防火墻包過濾和動態檢測技術的區別
答:包過濾技術是過濾掉資料包里未得到授權的資料,動態檢測則是檢測資料是否合法
包過濾技術屬于靜態技術,只按照設定好的安全策略走,而狀態檢測技術屬于動態包過濾技術,不僅會按照設定好的安全策略走,還會額外考慮資料包的連接狀態,
19.侵檢測系統和入侵防御系統的區別
答:入侵檢測系統部署在網路系統的關鍵節點上,只能在監測到惡意流量的同事或者之后發出簡單的告警;入侵防御系統是通過直接串聯到網路鏈路中實作其防御能力的,不僅會入侵檢測,同時還能防御,
20.說明防火墻和入侵防御系統的區別
答:防火墻是重要的網路邊界控制設備,主要通過安全策略實作對網路的訪問控制,屬于被動防御,入侵防御系統針對攻擊事件和例外行為可提前感知和預防,屬于主動防護,
21.介紹PKI中基于數字證書的信任鏈傳遞關系原理
答:通過真實的證書來表名用戶真實身份是通過信任鏈的傳遞關系來保證的,證書機構和證書者雙方認可的情況下頒發的數字證書,證書含有數字簽名,如果證書的數字簽名被篡改,則證書機構的公鑰可以驗證出來,如果證書沒有被篡改,則借由這個信任鏈的傳遞關系就可以通過真實的數字證書確認并相信證書擁有者的身份,簡單說,證書擁有者可以通過數字證書來證實自己的身份,
22.介紹SSL協議的連接程序
答:1.客戶端提交http請求
2.服務器回應客戶,并把證書公鑰發給客戶
3.客戶端驗證證書公鑰的有效性
4.有效后,會生成一個會話秘鑰
5.用證書公鑰加密這個會話秘鑰后,發送給服務器
6.服務器收到公鑰加密的會話秘鑰后,用私鑰解密,恢復會話秘鑰
7.客戶端與服務器利用這個會話秘鑰加密傳輸的資料進行通信
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301884.html
標籤:其他
