计算机网络安全
Last updated on January 19, 2024 pm
计算机网络安全
一、网络安全绪论
面临的安全威胁多(种类、数量多)、广(影响范围)、难(防御难)
1. 计算机网络概述
什么是计算机网络?internet 和 Internet 有什么区别?
因特网是多层 ISP 结构的网络。因特网由 和 组成。边缘部分由 和 组成,核心部分由 和 组成。(我觉得这里的两部分分别单独拿出来的话是有重合的?)
网络的体系结构是指计算机网络的各层及其协议的集合。其中协议是网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定,其三要素为 、 、 。
2. 计算机网络安全
计算机网络安全是指计算机网络中的硬件资源和信息资源的安全性,通过网络信息的产生、存储、传输和使用过程来体现。
网络是否安全主要通过 来评估,包括 、 、 、 、 、 。这 6 项分别是什么含义?
信息安全的定义:信息安全是信息系统安全、信息自身安全和信息行为安全的总称。其实质是保护信息的 ,如机密性、完整性、可用性和不可否认性等。
网络空间组成四要素:设施、数据、用户和操作。网络空间安全是围绕信息的获取、传输、处理和利用四个核心功能,针对网络空间四要素(设施、数据、用户和操作)采取安全措施,确保网络空间的安全属性。
3. 计算机网络安全威胁
广义的网络安全威胁指一切影响网络正常运行的因素。构成威胁的因素有哪些?
系统自身的脆弱和不足(安全漏洞)是造成信息系统安全问题的内部根源。
最 的网络安全威胁是网络攻击。
网络攻击
从发起攻击的来源来分,将攻击分为哪几类?按攻击对被攻击对象的影响来分?中断、篡改、伪造各是什么?网络扫描是主动攻击还是被动?
网络攻击过程
网络攻击过程(7 步?)
4. 网络安全模型
网络安全模型以建模的方法给出解决安全问题的过程和方法。美国国防部提出 模型。P2DR 模型是指什么?P2DR2 是什么(基于时间的自适应网络安全模型,系统暴露时间的概念是什么)?IATF 信息技术保障框架强调什么核心要素,关注保护网络和基础设施,保护边界,保护计算环境,支撑基础设施。人是最脆弱的。
5. 网络安全机制与服务
网络安全体系结构提供了安全服务和安全机制的一般性描述。
安全机制与安全服务的关系?
二、网络扫描、侦察与监听
1. 网络侦查
网络侦查指的是 的过程?也称 ?就重要性而言,其对黑客来说是网络入侵的 ,可以识别潜在的目标系统,确认目标系统适合哪种类型的攻击;对管理员来说是安全防御的第一步,可以知道系统可能被侦查,为可能的攻击做准备,并了解哪些信息正在被泄露。
网络侦查的信息收集:
收集的静态信息有哪几类?动态信息呢?信息收集还包括其他一切对网络攻击产生作用的各种信息。
网络侦查方法:有哪些网络侦查方法?
搜索引擎信息收集中,能否找到所需要的信息,关键在于能否合理地提取搜索关键字。
可以通过搜索引擎,获得目标网络拓扑结构、网络拓扑图、IP 分配表、网络设备、安全设施等;搜索密码文件、管理员后台 URL、CGI 漏洞、黑客留下的后门。
各类型的 Whois 数据库充当了互联网白皮书列表,可以用来查询目标域名的信息及详细注册资料,IP 地址分配和拥有机构。
查明目标网络的拓扑结构有利于找出目标网络的关键节点。 是一种网络故障诊断和获取网络拓扑结构的工具,可以跟踪 TCP/IP 数据包从出发点到目的地所走的路径。通过向目的地发送不同 的 报文,以确定到达目的地的路由;通过发送小的数据包到目的地址直到返回,来测量耗时并返回设备的名称与地址。网络拓扑发现的图形化分析工具有 VisualRoute、Xtraceroute、Zenmap(Nmap 的 GUI)等。
利用社交网络进行情报搜集的方法可以分为关注用户、关注信息、主动邀请和引导。
跨域拓展攻击:入侵者->目标数据库-脱库->数据库信息提取分类->洗库->撞库
最大的安全漏洞:人为因素
2. 网络扫描
网络扫描是使用网络扫描软件对特定目标进行各种试探性通信以获取目标信息的行为。
网络扫描的种类?
主机扫描
主机扫描可以分为 、 两种(网络层协议)。
ICMP Echo 扫描,发出 ICMP 回送请求后未收到任何响应,可能是什么?什么是 Broadcast ICMP 扫描?有何缺点?
什么是 ICMP Non-Echo 扫描?
ICMP 扫描有什么问题?解决方法是什么?
异常的 IP 数据报首部:主机收到首部异常(参数错/目标不可达)的 IP 数据报时返回“参数问题”或 ICMP Destination Unreachable 的 ICMP 报文。若发送方未收到任何响应,得出什么结论?
IP 数据报的分片中是只有第一个有首部还是全都有首部?首部中的片偏移如何计算?缺少分片而无法完成 IP 数据报重组时,若回应 的 (选择是 IP / ICMP)报文,则说明目标主机在运行。如果未收到任何响应,则说明 。
端口扫描
端口扫描技术主要分类(TCP 连接的)?优缺点是什么?
开放扫描使用 TCP Connect,半开放扫描使用 扫描,隐蔽扫描使用 、 或 。隐蔽扫描可以绕过过滤规则,不会被目标系统的审计系统记录,隐藏于常规的站点 / 网络通信当中。
SYN 扫描什么情况下会得出端口开放的结论?此时发起扫描的一方要发送哪一个标记置位的数据包?什么情况会得出端口关闭的结论?端口被过滤呢?(注意,此时不需要考虑是否是开机的)其优缺点是什么?
FIN 扫描,未收到响应是什么情况?收到 RST 呢?在 Windows 和 Unix 主机上有什么区别?(记忆:Windows Reset Finland,Finland 是 Linus 的出生地)
Xmas 扫描打开哪些标记?Null 呢?(隐蔽扫描不回应不能判断开放,也可能是过滤)产生 ICMP Unreachable Error 是什么情况?
UDP 扫描无回应是什么情况?回应 代表端口关闭?回应其他 ICMP unreachable error 呢?有 UDP 回应呢?UDP 扫描的优缺点是什么?
扫描策略
减轻被防火墙、入侵检测系统发现的可能性。
有哪些种类?(想办法不知道我是谁,不知道我在扫描)
分片扫描将 报文分成多个短 IP 报文传送,这里有例子。分片扫描优点是隐蔽性好,可穿越防火墙,躲避安全检测,缺点是可能被 防火墙丢弃,以及 。
操作系统扫描
有哪些操作系统扫描方法?XP/2003 默认开放 TCP135、TCP139、TCP445 等,Linux 通常不开放。根据采集指纹信息的方式可分为?
漏洞扫描
漏洞扫描可以方便管理员及时发现计算机的安全漏洞,以便针对性加固;可以方便攻击者发现系统或目标服务程序可能存在的漏洞,以发起攻击。
根据扫描方法不同,漏洞扫描可分为 和 。前者如 ,在目标系统上安装扫描程序,赋予管理员权限。
漏洞扫描工具:Nessus
nmap
指定端口范围的语法?
主机发现
-sL 是什么?-sn 是什么?-Pn 是什么?-PS 呢?-PA 呢?(这个似乎没在前面的部分出现)-PU 呢?默认 TCP、UDP 端口分别是多少?-PE、-PP、-PM 呢?-PO 呢?
端口扫描
-sU 是什么?-sS,-sA,-sT,-sN,-sF,-sX。
操作系统检测
使用哪个选项?
服务版本扫描
使用哪个选项?
3. metasploitable-framework
auxiliary/scanner/discovery
auxiliary/scanner/portscan
4. 网络监听(网络嗅探)
网络监听可以协助网络管理员监测传输数据,排除故障,发现异常和不安全因素;被黑客用来截获网络上的敏感信息,给网络安全带来极大危害。(黑客嗅探敏感账号信息,截获网络上传输的文件,分析协议信息)
实施网络监听主要解决哪两个问题?
网络流量劫持
网络环境分为 和 ,流量劫持需要根据网络环境分类。
交换式网络监听: 、 (网络管理员)、 、 、 (黑客)。什么是 CAM 表?MAC 泛洪可攻击成功的原因有?MAC 泛洪存在的问题?ARP 欺骗问题的原因?端口盗用具体的步骤?(端口盗用攻击可用在不能进行 ARP 欺骗的地方,要分清楚 MAC-IP 和 Port-to-MAC 欺骗的不同点)
Libpcap(分组捕获函数库)及 Windows 版 Winpcap。
网络监听工具 Wireshark
网络监听的检测
如何检测?(我认为关键是发现混杂模式或在 IP 上动手脚如 ARP 欺骗)
网络监听的防范
如何防范?(我觉得是增加监听难度,降低监听收益)
VS 网络侦查?
三、拒绝服务攻击
1. 拒绝服务攻击的定义
定义:攻击者通过消耗 或 导致网络或系统不胜负荷以至于瘫痪而不能向合法用户提供正常的服务或服务质量显著降低。
攻击方式:消耗系统或网络资源;阻断访问路径;更改系统配置。
2. 分布式拒绝服务攻击定义
分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或多个目标发起拒绝服务攻击,或一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施拒绝服务攻击。特点是攻击来源的分散性、协同性,攻击力度的汇聚性。
广义上,DDoS 属于 DoS 攻击,且是主流的攻击方式。
拒绝服务攻击的动机方面,除了直接用于瘫痪攻击目标外还可作为特权提升攻击的辅助手段(使系统重启,更改的配置生效;导致防火墙不工作;造成 DNS 瘫痪后假冒该 DNS)。
3. 拒绝服务攻击的分类
按攻击目标?按攻击方式分?按受害者类型?按是否直接针对受害者?按原理?(重点为原理)
4. DoS 攻击原理
剧毒包型 DoS 攻击
剧毒包或杀手包(Killer Packet)DoS 攻击是什么原理?也称为“漏洞攻击”或“协议攻击”。是出现最 的一类 DoS 攻击。具体又有哪些?
泪滴/碎片攻击的原理?Ping of Death 是什么协议?Land 攻击是什么?循环攻击是什么?还有什么名称?
风暴型 DoS 攻击
风暴型数据包是什么原理?又叫什么?分类?有 Attacker、Handler、Agents 三层结构。
攻击代理通常采用向目标主机发送大量网络分组的方式发起攻击,分组类型有哪些?风暴型 DoS 为什么能成功?
直接风暴型拒绝服务攻击
有哪些?Ping 风暴攻击的原理和优缺点?SYN Flood 攻击需要什么操作?TCP 连接耗尽攻击与 SYN Flood 的区别?UDP 风暴攻击?HTTP 风暴攻击的缺点?对邮件系统的 DoS 攻击?(提示:注意其在哪一层)
反射型拒绝服务攻击
反射型 DDoS 攻击(DRDoS)是什么?其相比直接风暴型有何优势(这里可以想一想条件)?条件(应答数据包和请求数据包的关系)?具体的反射型 DDoS 攻击有哪些?
什么是 Smurf 攻击?什么是 Fraggle 攻击?什么是 NTP DDoS?什么是 SSDP DrDOS?什么是 SYN Flood、Ping、UDP 风暴的反射变形?
重定向 DoS 攻击
什么是重定向 DoS 攻击?常被用于窃听或中间人攻击,因此通常在网络窃听中研究,很多人不把它当做 DoS 攻击。
5. 僵尸网络
僵尸网络是 通过命令与控制信道控制具有协调性的恶意计算机群,被控制的计算机称为 (肉鸡),用来控制僵尸主机的计算机程序称为 (Bot)。僵尸网络分为哪几类?
IRC 僵尸网络
IRC 僵尸网络如何进行控制转换?IRC 僵尸网络可以通过多个 IRC 服务器控制各自不同的僵尸主机来进行僵尸网络的分层管理。
P2P 僵尸网络
P2P 僵尸网络中每台僵尸主机都与该僵尸网络中某一台或 僵尸主机存在连接,这样的分散、对等、多对多连接更加健壮。
6. 拒绝服务攻击检测
为什么不容易定位攻击者的位置?可以依据 、 (大量目标主机 解析、 、特大型 和 数据包、不属于正常连接通信的 TCP 和 UDP 数据包、数据段内容特征如只包含文本和数字字符)检测。
7. 拒绝服务攻击响应
现有对付 DDoS 攻击的方案主要有丢弃恶意分组以保护网络、源端控制 DDoS 攻击、追溯攻击的源端后防止其发起新攻击、路由器动态检测流量并进行控制。上述措施只能部分减轻 DoS 攻击造成伤害,不能从根本上解决问题。
分组过滤
有哪两种做法?有何缺点?
源端控制
路由器检查与其直接相连的网络分组的源 IP,如果源 IP 与该网络不匹配,则丢弃。但源端过滤并不能彻底消除 IP 地址欺骗。
追溯
IP 追溯,ICMP 追溯,链路测试。
路由器动态检测和控制
DoS 攻击的流具有某种共同特征(如共同目标地址),这些流在路由器的某些输出链路上聚集并造成大量分组丢失的现象叫 。路由器辨识出后递归通知上游路由器限制发送速率,直到源端。
8. 拒绝服务攻击防范建议
有哪些建议?
9. 流量清洗
什么是流量清洗?
DDoS 攻击阻断过程一般包括攻击监测和判断、流量牵引、清洗过滤、流量回送四个关键环节。
四、恶意代码
1. 恶意代码定义
恶意代码(又称为恶意软件)指在不为人知的情况下侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。
2. 恶意代码种类
恶意代码分为哪些种类?(Rootkit 是替代/修改系统模块从而隐藏到系统中的,顾名思义)
3. 计算机病毒
计算机病毒是一种计算机程序,它递归地、明确地复制自己或其演化体。其主要特征表现为 性、 性、 性、 性(可以寄生在文件或硬盘引导扇区)、 性、 性。(熊猫烧香算什么?)CIH 病毒是什么?
计算机病毒的结构
计算机病毒一般由哪些模块组成?(引搜感表标)
4. 计算机蠕虫
计算机蠕虫定义
一种可以独立运行并通过网络传播的恶意代码。其与病毒、木马的本质区别是可以自动入侵,存在 依赖性。
计算机蠕虫的结构
计算机蠕虫的基本功能模块有哪些?(搜攻传负控)
影响计算机蠕虫传播速度的因素
潜在脆弱目标的数量,漏洞主机被发现的速度,蠕虫自身复制的速度
5. 特洛伊木马
特洛伊木马定义
特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。
木马程序具有很大的危害性,主要表现在自动搜索已中木马计算机,管理对方资源,跟踪监视对方屏幕,直接控制对方的键盘鼠标,随意修改注册表和系统文件,共享被控计算机的硬盘资源,监视或终止对方任务,远程重启关闭机器。
特洛伊木马分类
根据木马程序对计算机的具体操作方式,可以分为哪几类?
mi xia tou dai yuan jian dian
远程控制型木马
远程控制型木马的组成
远程控制型木马由哪些部分组成?
远程控制型木马的入侵步骤
远程控制型木马的入侵步骤: 、 、 、 、 、 (配船 运信 渐远)
配置木马阶段主要实现 (确定在哪个端口监听)、 (设置信息反馈方式)、 (文件名称、隐藏手段)。
传播木马途径主要有 Email 附件、网页(网站挂马)、应用软件传播(捆绑欺骗)、系统漏洞植入、即时通讯软件等。木马植入技术大概分为 和 两类(这里是相对攻击者而言的)。前者是攻击者主动将木马程序种到本地或远程主机上,又可以分为 和 ,不仅需要具有目标系统的写权限,还需要 权限;如果仅仅有写权限,不能执行,这种情况属于 。主动植入中的远程安装又可以从实现方式上分为利用 漏洞植入和利用 漏洞植入。被动植入主要有网页浏览植入、利用电子邮件植入、利用网络下载植入、利用即时通讯工具植入、与其他程序捆绑、利用移动存储设备植入等。
运行木马可能在特定时间、特定按键组合、开机自动运行(启动文件夹、系统配置文件、批处理文件、修改注册表、注册为系统服务)、其他触发(修改文件关联、通过 autorun.inf)。
信息反馈会反馈相关信息(受害主机 IP 地址、系统软硬件信息、口令信息、共享资源信息),途径有 、 如 等。想一想为什么这里没 TCP 直接建连接?
正向连接如何连接?(一般是客户端连接服务端)存在什么问题?反向连接的优缺点?(优点就是正向的缺点们的解决)什么是改进的木马反向连接?这样绕过了防火墙吗?内网 IP 呢?
6. 木马的隐藏技术
木马的隐藏可以分为哪几方面?
木马在加载时的隐藏
目标是用户不知情的情况下运行木马程序。可以用捆绑欺骗、网站挂马、漏洞攻击等。
木马在存储时的隐藏
有哪些措施?
木马在运行时的隐藏
有哪些措施?(先说需要隐藏哪些方面,每个方面具体的措施)如何利用 ICMP 协议作为潜伏手段?
7. 发现木马的基本方法
如何发现木马?
8. 木马查杀
如何查杀?
9. 木马防范
同防范计算机病毒相似,提高计算机系统整体安全性,不安装来路不明软件,安装反木马软件,从正规网站下载软件,浏览网页、电子邮件等提高警惕。
五、应用层安全
1. 域名解析系统 DNS
域名解析系统 DNS 负责将域名解析成 IP 地址。
域名的层次结构(二级从哪儿算?顶级域名是什么?)顶级域名的分类?
域名服务器的类型?(本地域名服务器,根域名服务器)什么是权威域名服务器?(我们认为本地域名服务器进行迭代解析)
DNS 面临的安全威胁
DNS 面临的威胁有哪些?
答:协议脆弱性:域名欺骗(事务 ID 欺骗,缓存投毒),网络通信攻击(DDoS 攻击,恶意网址重定向,中间人(MITM)攻击);实现脆弱性:算法错误,非随机报文 ID,BIND 漏洞;操作脆弱性:域名配置攻击,域名注册攻击,信息泄露。
协议脆弱性
域名欺骗
域名欺骗指域名系统(包括 DNS 服务器和解析器)接收或使用来自未授权主机的不正确信息。包括 和 。
DNS 缓存投毒是指控制 DNS 缓存服务器,把原本准备访问某网站的用户不知不觉间带到黑客指向的其他网站。缓存投毒的过程(攻击者如何利用它的网站和 DNS 服务器来让你访问 cnn.com 中毒)?
DNS 事务 ID 是干嘛的?攻击者如何进行 DNS 事务 ID 欺骗?
网络通信攻击
DDoS 攻击既可能攻击 DNS 系统本身,也可能利用 DNS 系统作为反射节点攻击。
DNS 域名解析过程劫持中,对照下面,正常解析、请求重定向、请求复制、直接应答各是什么?
1 | |
实现脆弱性
DNS 软件的漏洞和缺陷,如 BIND 缓冲区溢出漏洞,带来威胁。
操作脆弱性
域名配置攻击
无意攻击:配置错误,如防火墙只允许查询报文发送,不允许应答报文返回。
有意攻击:利用 DNS 协议弱点实施,如 DNS 通配符滥用。
域名注册攻击
域名劫持:非法改变域名注册记录使之指向其他 Web 站点。
类似域名注册:利用用户习惯性错误拼写、字母相似性等注册。
信息泄露:区域传送
DNS 服务器之间采用区传送的机制来同步和复制区内数据,传输的域名中包含了不该公开的内部主机和服务器的域名信息,从而将内部主机名和 IP 地址暴露给了攻击者。
DNSSEC
域名欺骗、恶意网址重定向和中间人攻击之所以能够成功,是因为 DNS 解析的请求者无法验证它所收到的应答信息的真实性和完整性。为应对上述安全威胁,提出了 DNS 安全扩展协议(DNSSEC)。
DNSSEC 基本思想
依赖于数字签名和公钥系统保护 DNS 数据的可信性和完整性。
权威域名服务器用私钥签名资源记录,解析服务器用权威域名服务器公钥来认证。区域的父区域负责核实其子区域公钥的真实性,公钥由父区域签名。
2. Web
SQL 注入攻击
例子:SELECT * FROM USERS WHERE SSN=‘" + ssn + "’,黑客输入 1234’ OR ‘1’=‘1
SQL 注入漏洞探测
一般来说,只要是带有参数的动态网页且此网页访问了数据库,那么该页面就有可能存在 SQL 注入漏洞。目前常见的 SQL 注入存在于形如 http://www.xxx.com/xxx.asp?id=YY 带有参数 YY 的动态网页。整型参数:select * from table where id = YY 字符串参数:select * from table where id = 'YY'
整型参数
加入单引号',即 id=YY',返回错误;加入 and 1 = 1,即 id = YY and 1 = 1,返回正常页面;加入 and 1 = 2,即 id = YY and 1 = 2,返回错误页面。存在注入可能。(为什么要有后两步?参考这个)
字符串参数
加入单引号',select * from table where id = 'YY'',返回错误页面;加入 ' and '1'='1',返回正常页面;加入 ' and '1'='2,返回错误页面。根据响应判断,存在注入可能。
特殊情况处理
如果程序员对单引号进行了过滤,可尝试什么?
答:大小写混合:如 sEleCT;UNICODE 法,如单独过滤空格,可尝试 =%20;ASCII 法,将输入部分或全部用 ASCII 码代替。
SQLMAP 自动化 SQL 注入漏洞探测
SQL 注入攻击的防范
SQL 注入发生在应用层,大多数防火墙无法防范此类攻击,问题的解决依赖于完善编程,有哪些措施?
跨站脚本(XSS)
跨站脚本攻击指攻击者利用 Web 程序对用户输入过滤不足的缺陷,把恶意代码(包括 HTML 代码和客户端脚本)注入到其他用户浏览器显示的页面上执行,从而窃取用户敏感信息、伪造用户身份等恶意行为的攻击方式。是最 的 Web 程序安全问题。
跨站脚本攻击的危害:盗取各类用户账号,如计算机登录账号、网银账号;控制企业数据,包括读取、篡改、添加和删除企业敏感数据;非法转账;发送电子邮件;网站挂马;控制受害计算机向其他计算机发起攻击
跨站脚本攻击的问题根源是什么?(我觉得可以看作浏览器解释了不该解释的服务端的某些输入;或者说,不区分指令和数据)
跨站脚本(XSS)攻击前提
前提是?
跨站脚本主要攻击形式
有哪些主要攻击形式?
反射式跨站脚本攻击(非持久性跨站脚本攻击)
最 的类型。未经验证的用户数据包含在页面中,因此攻击者构造恶意 URL 或表单并诱骗用户访问即可利用受害者身份执行恶意代码。
DOM 式跨站脚本攻击
与反射式的区别在于不需要经过服务器,仅仅靠浏览器渲染。(https://www.freebuf.com/articles/web/318982.html)
存储/持久式跨站脚本攻击
跨站脚本攻击防范
如何防范跨站脚本攻击?(提示:分服务器端、客户端;不能简单一过滤了之,否则难道百度不能搜特殊字符?)
失效的身份认证(认证和会话管理)
HTTP / HTTPS 是无状态的,因此引入了会话来解决每次都要认证的问题。
Cookie 欺骗
伪造 Cookie 信息,绕过网站的验证过程。
安全原则:一般情况下,网站会话管理机制仅将会话 ID 保存到 Cookie,将数据本身保存在 Web 服务器中。
认证和会话管理攻击防范:区分公共区域(允许匿名)和受限区域(必须通过身份验证),对最终用户帐户使用帐户锁定策略(几次失败后禁用帐户),支持密码有效期,能够禁用帐户,不要在本地存储中存储密码,使用强密码,不要以纯文本形式发送密码,保护身份验证 Cookie,限制会话寿命。
跨站请求伪造(CSRF)
定义
跨站请求伪造是一种诱骗受害者提交恶意请求的攻击,它继承了受害者的身份和特权,可以代表受害者执行不希望的功能。
跨站请求伪造攻击防御
有哪些防御手段?
目录遍历
满足哪些条件,可能产生目录遍历漏洞?
目录遍历如何防御?
操作系统命令注入
Shell 支持连续执行多条命令,如果 OS 命令参数中混入了元字符(; | &),就会使攻击者添加的命令被执行。
如何对操作系统命令注入进行防御?
HTTP 消息头注入
HTTP 响应头信息一般以文本格式逐行定义消息头,即消息头之间互相以换行符隔开。攻击者利用这一特点,在指定重定向目标 URL 或 Cookie 值的参数中插入换行符且该换行符直接作为响应输出,从而受害者的浏览器上任意添加消息响应头或伪造消息响应体。如,生成任意 Cookie,重定向到任意 URL,更改页面显示效果,执行任意 JavaScript 而造成与 XSS 同样效果。
如何防御 HTTP 消息头注入?
HTTPS
基于 SSL 或 TLS 的 HTTP 无本质区别,均被称为 HTTPS。
标准 HTTP 使用端口 ,HTTPS 使用 端口。
HTTPS 连接建立过程?服务端 HTTPS 的部署情况分哪几类?
Web 应用防火墙(WAF)
对每个 HTTP/HTTPS 请求进行内容检测和验证,确保每个用户请求有效且安全的情况下才交给 Web 服务器处理。
对消息进行的主要分析方法如何分类?
Web 防火墙有哪些部署模式?哪个不常用?(如何区分正向和反向关键是正向时客户端知道走代理)
六、网络防火墙
1. 网络防火墙的基本概念
防火墙是一种计算机硬件设备和软件系统的集合,在两个网络之间执行访问控制策略的一个或一组安全系统。被广泛应用到内部网络和外部网络的边界位置。可以阻止外界对内部资源的非法访问,也可以防止内部对外部的不安全访问。
本身必须有很强抗攻击能力以保证安全。简单的只用路由器实现,复杂的可以用主机、专用硬件设备及软件甚至一个子网实现。
网络防火墙的主要功能是什么?(我觉得可以看成是实施策略,管理从内向外的传送,管理从外向内的访问,进行审计和监控)
2. 防火墙分类
防火墙按照软硬件形式分类?内部网络的网关是什么?防火墙按照监控的网络协议层次划分?何特点?防火墙从组成结构划分?防火墙从受保护的对象划分?
3. 包过滤防火墙
包过滤防火墙的核心是 。其过程是?哪两种默认规则?包过滤防火墙主要在哪些层起作用?对于课件上的案例,需要有入有出吗?端口 >1023 是什么?注意电子邮件的例子中电子邮件服务器也要允许内部访问。包过滤技术的优点和缺点各是什么?(优点可以概括为方便部署,效率高,路由器即可部署;缺点可以相对应用网关来对比)
状态检测包过滤防火墙的工作流程?状态检测技术中的状态?状态包过滤技术的特点(优缺点)?
应用网关防火墙是什么?应用级代理位于 内,对数据包的数据区分析,并依次判断是否能通过。其优缺点是什么?(优点有监控,隔离,被破坏后;性能,成本,应用类别)
防火墙体系结构?
屏蔽路由器结构的优点、不足?(核心组件是?)双宿主机结构中堡垒主机充当什么角色(联系实验室)?双宿主机结构相对于屏蔽路由器的优点?双宿主机结构的缺点?屏蔽主机结构(包过滤路由器和堡垒主机的位置?路由器保护堡垒机)的优缺点?屏蔽子网结构是什么样(提示:相对于屏蔽主机是怎么进化的),什么是屏蔽子网?屏蔽子网中的堡垒主机被攻破有什么后果?优缺点?
防火墙的部署方式有哪几种?透明模式 原有配置。
防火墙主要的评价指标有?
七、入侵检测与网络欺骗
1. 入侵检测
防火墙存在许多不足,如无法发现和阻止对合法服务的攻击,无法发现和阻止源自其他入口的攻击,无法发现和阻止来自内部网络的攻击,无法发现和阻止来自特洛伊木马的威胁。
入侵检测定义
两种代表性定义:入侵检测是检测各种安全违规行为,从外部人员的企图闯入到内部人员的系统渗透和滥用;是监视和收集系统和网络信息并对其进行分析以确定是否发生了攻击或入侵。
入侵检测系统(IDS)
是指实施入侵检测的软件和硬件的组合。
入侵防御系统(IPS)
主动防御:预先对入侵活动和攻击性网络流量进行拦截,而不是在恶意流量传送后报警。
存在问题:检测准确程度的高低十分重要。误报会导致合法数据被阻塞。
IPS 综合了防火墙、IDS、漏洞扫描与评估等安全技术,可以主动地、积极地防范、阻止入侵。
入侵管理系统(IMS)
包含了 IDS、IPS 的功能,并通过统一平台进行管理。
入侵检测系统的作用
发现内部攻击事件和合法用户的越权访问行为;及时发现针对防火墙开放服务的网络攻击并进行报警;发现利用防火墙漏洞穿越防火墙的攻击行为;基于主机的 IDS 可发现基于加密网络通信的入侵;发现防火墙放行的入侵企图;提供审计信息,记录攻击过程,发现脆弱点。
通用入侵检测框架(CIDF)
CIDF 将入侵检测系统分为哪些基本组件?
入侵检测系统分类
根据数据源来分?根据检测方法来分?按系统各模块的运行方式来分?根据时效性来分?
入侵检测系统的数据源
IDS 是一个数据驱动的系统,数据源有主机的系统日志和审计记录、应用程序日志和运行记录、网络数据包,主要分为哪几类?
来自主机的数据
主要包括操作系统审计记录、系统日志文件等。为什么操作系统审计具有较高的可靠性、安全性和可信性?存在哪些不足?(不一样的,多的,少的)
来自应用的数据
以应用程序日志或应用程序运行记录作为入侵检测系统数据源的优势有哪些?不足?
来自网络的数据
现有的攻击大多数是针对网络的攻击。来自网络的数据的优点?(网络攻击,标准化,性能,不易被攻击)来自网络数据源不足?
混合分布式入侵检测系统
主机、应用和网络数据源
Confusion Matrix
accuracy?recall?precision?true positive rate?(误报、漏报?)TP 和 FN 的求和为 1
入侵检测方法
几种主要的检测方法?
特征检测
什么是特征检测?特征分为静态和动态特征。特征描述:描述语言。针对已知还是未知攻击?检测率取决于什么?特征检测法有哪些实现方式?专家系统法的优缺点有哪些?模式匹配法的优点?状态迁移法的缺点?
异常检测
什么是异常检测?使用度量集或参数集来描述行为特征,每个度量对应一个阈值,如 CPU 利用率、内存利用率、网络流量、时间信息等。异常检测有哪些实现方式?统计分析法的优缺点?神经网络法的优缺点?异常检测的优点(相对特征检测法)?缺点?(异常检测的准确率主要取决于?)
入侵检测技术的发展趋势
目前存在的问题?
发展趋势:更广泛的信息源,更快速的处理能力,分布式的体系结构,入侵检测系统本身的可靠性,入侵检测系统的可扩展性,入侵防御系统。
Snort
开源的 IDS/IPS 系统。
有 Sniffer mode、Packet logger mode、Network Intrusion Detection System mode。
Sniffer mode
像 tcpdump 一样解码分组并输出至 stdout。
Packet logger mode
把分组保存至磁盘。
NIDS mode
Snort 规则
规则分为哪两部分?
Rule headers
规则动作:alert,log,pass,drop,reject 各是什么?
协议:TCP UDP ICMP IP
源 IP 地址,源端口,方向符号,目的 IP 地址,目的端口
Rule Options
规则选项由;分隔。规则选项关键字与参数用:分隔。有哪些类别?
General Rule Options
msg:打印信息;sid:标识规则;rev:规则版本
Payload Detection Rule Options
content:搜索载荷的内容,其中 | 包围的内容是作为二进制数据的。
nocase:忽略大小写。
offset:从包内部的哪里开始搜索。
depth:Snort 应该搜索到包内多深的地方,如 alert tcp any any -> any 80 (content:"cgi-bin/phf"; offset:4; depth:20;)。
distance:从上一条被匹配的位置要隔多远才开始寻找下一次匹配。
within:模式匹配之间最多有的字节数。distance 和 within 是从上一个匹配开始算的,depth 和 offset 是从开头开始算的。一条规则只能出现 depth 和 offset 或 distance 和 within 的一组,参见。
Non-Payload Detection Rule Options
flags:TCP 标志位
Post-Detection Rule Options
2. 网络欺骗
网络欺骗用途
吸引攻击流量;检测入侵者的攻击并获知其攻击技术和意图,对入侵行为进行告警和取证,收集攻击样本;增加攻击者攻击真实目标的工作量、复杂度、不确定性。
蜜罐
蜜罐(Honeypot)是最 采用欺骗技术的网络安全系统。蜜罐是一类安全资源,其价值就在于被探测、被攻击以及被攻陷。
蜜罐分类
蜜罐如何分类?(按照部署目的(生产型蜜罐部署在 ),按照交互度等级(高交互蜜罐又按实现方式分?用虚拟机实现的是什么?注意,措辞上的对应关系!),按实现方式)注意模拟方式,真实系统 VS 物理蜜罐,虚拟蜜罐
关系:
真实操作系统 物理蜜罐 真实系统
虚拟机 虚拟蜜罐 真实系统
蜜罐软件 虚拟蜜罐 模拟方式
蜜罐功能与关键技术
低交互蜜罐的功能简单,一般包括攻击数据捕获与处理、攻击行为分析;高交互蜜罐的功能一般包括网络欺骗、攻击捕获、数据控制(限制对外发起连接,确保不会成为攻击者的跳板)、数据分析。
Honeyd
开源、 (低/中/高)交互的蜜罐,支持 IP 协议套件。可同时模拟数千个虚拟主机,在 TCP/IP 堆栈级别模拟操作系统,仿真任意路由拓扑,子系统虚拟化。
接收数据时,内部网络上的主机通过本地网络直接到达虚拟蜜罐,需要发送 ARP 请求获得 MAC;外部主机不需要知道 MAC,路由器将发送 ARP。
蜜网
蜜网是多个蜜罐组成的欺骗网络,通常包含不同类型的蜜罐,可以在多个层面捕获攻击信息,以满足不同安全需求。
期末题型:单选题 1 分/题,20 题;填空题,1 分/空,15 空;判断题,1 分/题,15题;问答题,5 分/题,6题;应用题,3 道题,共 20 分。
