信息安全复习.docx

1 社会工程学手段应用的目的是什么？骗取用户的信任，获取机密信息、系统设置等不公开的资料，为黑客攻击和病毒感染创造有利条件2 可能被利用的隐私信息包括身份证号，邮箱，亲人联系电话，社交好友联系表，本人及家人生日，邮箱账号，爱好及习惯等3 安全模型p2dr，物理安全概念，主动攻击被动攻击,安全服务，安全机制等 Policy，Protection-保护，Detection-防御，Response-响应4 GOOGLE Hacker，搜索引擎高级功能，人肉搜索。脚本编写的客户端分析工具，搜索引擎基本程序的功能，开发一般是做为黑客在入侵时的一个手段.在入侵过程中有时需要查找后台的登陆口就需要用到GOOGLE HACKER.有时猜解密码的时候google也是提供查找管理员资料的有效平台.是一种社会工程学获取目标信息的手段。可以用于跟踪某对象在网络上的各种踪迹（如交友平台、微博等）。5 使用whois查询网易的注册信息，相关的一些公开服务以及结构，客户端和web两种使用方式 包括whois工具和web whois 两种方式6 了解从当前位置到目标服务器的路由路径，可以使用哪个程序，实现地图可视化，可以使用哪个软件 tracert ，traceroute， visual route - ip与地理位置对应用ICMP，获得路由路径的基本原理 DNS信息探测7 主机发现的网络扫描可以利用的协议包括_ _ _ _等ARP，icmp， tcp连接，tcp半连接，udp探测、嗅探等多种方式8 nmap扫描器携带参数代表不同的扫描方法，要求能够解释实验课内容9 操作系统类型探测的基本原理，多种方法实现基于操作系统实现上的差别，或者是操作系统上运行的服务，程序的区别10 操作系统主动探测技术，被动探测技术11 漏洞扫描，模拟攻击和漏洞库，分别针对未知和已知漏洞12 发现目标主机的方法有哪些？如arp应答，icmp应答，其它各种有回应的探测包13 确定目标主机服务的方法有哪些，服务发现扫描原理两种：1 探测分析2 服务发现协议扫描器：upnp snmp ssdp14 arp攻击与防范的各种情况，arp攻击的本质原因是什么，15 交换式以太网如何实施arp攻击？ARP欺骗则是通过欺骗被攻击者将攻击者的MAC地址作为网关MAC地址或使被攻击者认为网关的MAC地址是广播地址FFFFFF一FFFFF欺骗交换机，攻击交换机等16 icmp路由重定向攻击.17 icmp udp flood攻击Icmp flood是一种DDOS攻击，通过对其目标发送超过65535字节的数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击UDP Flood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。 各种洪范攻击，分布式的、放大的、反射的、实现缺陷的等18 dns欺骗攻击DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。19 http攻击- 网页木马 钓鱼 等http攻击：流量攻击，就是我们常说的DDOS和DOS等攻击，这种攻击属于最常见的流量攻击中的带宽攻击，一般是使用大量数据包淹没一个或多个路由器、服务器和防火墙，使你的网站处于瘫痪状态无法正常打开。但是这种攻击成本都会很高.2， CC攻击，也是流量攻击的一种，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。而CC攻击基本上都是针对端口的攻击，以上这两种攻击基本上都属于硬性流量的攻击.网页木马：网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。钓鱼：网络钓鱼（Phishing?，与钓鱼的英语fishing?发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。20 ip源地址欺骗攻击IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。IP地址欺骗常见于拒绝服务攻击（ DoS attack），大量伪造来源的信息被发送到目标计算机或系统。攻击者制造大量伪造成来自于不同IP的数据请求，这些IP地址任选自服务器可以提供的IP段，同时隐藏真实IP。如同一个面具杀手。现在一般将IP地址欺骗作为其他攻击方法的辅助方法，使得依靠禁用特定IP的防御方法失效。源地址冒充21 syn flood攻击及防范攻击：假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。缩短SYN Timeout时间由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。设置SYNcookie就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。 可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用随机改写IP报文中的源地址，以上的方法将毫无用武之地。例如SOCK_RAW返回的套接字通过适当的设置可以自己完全控制IP头的内容从而实现IP欺骗。邮件欺骗、联系人欺骗各种欺骗攻击、洪泛攻击的基本原理，造成影响，防范方法等，分布式拒绝服务攻击DDos22 安全协议主要是增加了 身份认证和加密服务 验证性 举例：ipsec ah esp两部分；ssl dsa rsa des aes md5 sha23 防火墙的类型包括 包过滤 状态检测 代理技术，代理技术又分为nat技术 应用代理 socks代理24 防火墙部署：包过滤 堡垒主机 屏蔽主机 屏蔽子网，各有什么特点25 netfilter iptables 的工作原理与过程工作原理netfilter/iptables IP 信息包过滤系统是一种功能强大的工具， 可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中， 而这些表集成在 Linux 内核中。 在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。我马上会详细讨论这些规则以及如何建立这些规则并将它们分组在链中。netfilter 组件也称为 内核空间(kernelspace)，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具，也称为 用户空间(userspace)，它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要从 下载该工具并安装使用它。过程通过使用用户空间，可以构建自己的定制规则，这些规则存储在内核空间的信息包过滤表中。这些规则具有 目标，它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配，那么使用目标 ACCEPT 允许该信息包通过。还可以使用目标 DROP 或 REJECT 来阻塞并杀死信息包。对于可对信息包执行的其它操作，还有许多其它目标。根据规则所处理的信息包的类型，可以将规则分组在链中。处理入站信息包的规则被添加到 INPUT 链中。处理出站信息包的规则被添加到 OUTPUT 链中。处理正在转发的信息包的规则被添加到 FORWARD 链中。这三个链是基本信息包过滤表中内置的缺省主链。另外，还有其它许多可用的链的类型(如 PREROUTING 和 POSTROUTING )，以及提供用户定义的链。每个链都可以有一个 策略，它定义“缺省目标”，也就是要执行的缺省操作，当信息包与链中的任何规则都不匹配时，执行此操作。建立netfilter/iptables IP 规则并将链放在适当的位置之后，就可以开始进行真正的信息包过滤工作了。这时内核空间从用户空间接管工作。当信息包到达防火墙时，内核先检查信息包的头信息，尤其是信息包的目的地。我们将这个过程称为 路由。如果信息包源自外界并前往系统，而且防火墙是打开的，那么内核将它传递到内核空间信息包过滤表的 INPUT 链。如果信息包源自系统内部或系统所连接的内部网上的其它源，并且此信息包要前往另一个外部系统，那么信息包被传递到 OUTPUT 链。类似的，源自外部系统并前往外部系统的信息包被传递到 FORWARD 链。接下来，将netfilter/iptables IP 信息包的头信息与它所传递到的链中的每条规则进行比较，看它是否与某条规则完全匹配。如果信息包与某条规则匹配，那么内核就对该信息包执行由该规则的目标指定的操作。但是，如果信息包与这条规则不匹配，那么它将与链中的下一条规则进行比较。最后，如果信息包与链中的任何规则都不匹配，那么内核将参考该链的策略来决定如何处理该信息包。理想的策略应该告诉内核 DROP 该信息包。26 iptables t filter A命令追加新规则FORWARD s 50 /24 d 33/24 j ACCEPT 解释这句话的含义在表 filter中追加新的规则，允许源地址为50 /24，目的地址33/24的数据包通过27 iptables t nat A PREROUTING I输入接口eth1 j执行目标DNAT to 用详细方式列出 nat 表 PREROUTING 链的所有规则，将通过接口eth1的数据包的目的地址转为VPN 的实现方式有哪些1VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。2软件VPN：可以通过专用的软件实现VPN。3硬件VPN：可以通过专用的硬件实现VPN。4集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。28 snort 三种工作模式嗅探、入侵检测、数据包记录规则解释 conf文件作用altert tcp !/24 any - any 21 ( content: USER; msg: FTP Login; )不限于以上几条指令，查看实验课用到的一些。29 系统安全机制：授权 身份验证 安全审计 日志记录 安全引用监控器，基本机制是访问控制30 恶意代码的存在形式：pe和各种脚本命令。31病毒 特点 形态；蠕虫 特点，形态32 PE文件特点，包括的dll,exe sys三种，三种文件的结构，调用方式，主函数等33 木马 ，涉及哪些方面的技术？隐藏技术，控制技术，传播技术，分别列举，灰鸽子远程控制木马三方面技术的利用34 后门与木马的相同点是 不同点是 35 远程关机的实现 获取令牌，获取关机需要的权限，提升权限，关机函数36 远程线程dll注入两种方式，一种是借助于loadlibrary加载dll模块，一种是直接写入目标进程。 openprocess 分配虚拟空间virtualallocex，写入代码writeprocessmemory， 远程线程启动 createremotethread dll运行：pragma comment lib方式，或者 loadlibrary getprocaddress，然后使用某函数 37 mini木马远程控制38 安全协议，ssl协议，pki保护电商安全，pki保护网银安全，数字证书的使用安全协议是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。SSL（Secure Socket Layer）安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术PKI（Public Key Infrastructure ）即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术39 hook技术，消息hook，函数hook，相应的实现方法。改变索引，改变内容每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最