網(wǎng)絡(luò)完全為人民/網(wǎng)絡(luò)完全靠人民網(wǎng)絡(luò)安全技術(shù)

CONTENT目錄1網(wǎng)絡(luò)攻擊概述2網(wǎng)絡(luò)攻擊技術(shù)34網(wǎng)絡(luò)攻擊防御技術(shù)安全操作系統(tǒng)概述

網(wǎng)絡(luò)攻擊概述【第一章節(jié)】點擊此處更換文本替換文字點擊此處更換文本替換文字點擊此處更換文本替換文字

一、網(wǎng)絡(luò)黑客

實例：

試圖獲得對目標主機控制權(quán)的。 常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊控制類攻擊通過冒充合法網(wǎng)絡(luò)主機或通過配置、設(shè)置一些假信息來騙取敏感信息。 常見方法：ARP緩存虛構(gòu)、DNS告訴緩沖污染及偽造電子郵件等欺騙類攻擊非法用戶未經(jīng)授權(quán)通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權(quán)或提高其訪問權(quán)限。漏洞類攻擊指對目標主機的各種數(shù)據(jù)與軟件實施破壞的一類攻擊。 常見方法：計算機病毒、邏輯炸彈破壞類攻擊

網(wǎng)絡(luò)攻擊技術(shù)【第二章節(jié)】點擊此處更換文本替換文字點擊此處更換文本替換文字點擊此處更換文本替換文字

一、網(wǎng)絡(luò)攻擊的一般模型概述

隱藏地址：尋找“傀儡機”,隱藏真實IP地址。 鎖定目標：尋找、確定攻擊目標。 了解目標的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)容量、目錄及安全狀態(tài) 搜索系統(tǒng)信息：分析信息，找到弱點攻擊。

二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)

TCP connect（）掃描：使用connect（），建立與目標主機端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說明端口不可訪問。任何用戶都可以使用connect（）。 TCP SYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應(yīng)是SYN/ACK表明該端口正在被監(jiān)聽，RST響應(yīng)表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機不會記錄這樣的連接請求，但只有超級用戶才能建立這樣的SYN數(shù)據(jù)包）。

（2）掃描器

2、網(wǎng)絡(luò)監(jiān)聽技術(shù)

定義：是利用TCP/IP協(xié)議本身的缺陷對TCP/IP網(wǎng)絡(luò)進行攻擊的技術(shù)。

（1）通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。 （2）密碼窮舉破解：在獲取用戶的賬號后使用專門軟件強行破解用戶密碼。（口令猜解、字典攻擊、暴力猜解）指通過猜測或其他手段獲取合法用戶的賬號和密碼，獲得主機或網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問的任何資源的技術(shù)。

5、拒絕服務(wù)技術(shù)

三、常用網(wǎng)絡(luò)攻擊工具

網(wǎng)絡(luò)攻擊防御技術(shù)【第三章節(jié)】點擊此處更換文本替換文字點擊此處更換文本替換文字點擊此處更換文本替換文字

二、常見的網(wǎng)絡(luò)攻擊防御方法1、端口掃描的防范方法關(guān)閉閑置和有潛在危險的端口發(fā)現(xiàn)有端口掃描的癥狀時，立即屏蔽該端口：可使用防火墻實現(xiàn)

2、網(wǎng)絡(luò)監(jiān)聽的防范方法

密碼不要寫下來 不要將密碼保存在計算機文件中 不要選取顯而易見的信息做密碼 不要再不同系統(tǒng)中使用同一密碼 定期改變密碼 設(shè)定密碼不宜過短，最好使用字母、數(shù)字、標點符號、字符混合

5、拒絕服務(wù)的防范方法（1）拒絕服務(wù)的防御策略：建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并建立完整的安全日志。 利用網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，配置好設(shè)備的安全規(guī)則，過濾所有可能的偽造數(shù)據(jù)包。

死亡之ping的防范方法：設(shè)置防火墻，阻斷ICMP以及任何未知協(xié)議。、 Teardrop的防范方法：在服務(wù)器上應(yīng)用最新的服務(wù)包，設(shè)置防火墻對分段進行重組，不轉(zhuǎn)發(fā)它們。 TCP SYN洪水的防范方法：關(guān)掉不必要的TCP/IP服務(wù)，或配置防火墻過濾來自同一主機的后續(xù)連接。 Land的防范方法：配置防火墻，過濾掉外部結(jié)構(gòu)上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。 Smurf的防范方法：關(guān)閉外部路由器或防火墻的廣播地址特征，或通過在防火墻上設(shè)置規(guī)則，丟棄ICMP包。

三、入侵檢測技術(shù)通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。 監(jiān)控、分析用戶和系統(tǒng)的活動 對系統(tǒng)配置和漏洞的審計 估計關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 識別和反應(yīng)入侵活動的模式并向網(wǎng)絡(luò)管理員報警 對異常行為模式的統(tǒng)計分析 操作系統(tǒng)審計跟蹤管理，識別違反策略的用戶活動

對合法用戶在一段時間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計學測試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。通過觀察系統(tǒng)里發(fā)生的事件并將該時間與系統(tǒng)的規(guī)則進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應(yīng)。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測

四、入侵檢測過程在網(wǎng)絡(luò)系統(tǒng)中的不同網(wǎng)段、不同主機收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等相關(guān)數(shù)據(jù)匹配模式：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫進行匹配，進而發(fā)現(xiàn)違反安全策略的行為。

五、入侵檢測系統(tǒng)的基本類型分布式入侵檢測系統(tǒng)（混合型）

六、入侵檢測系統(tǒng)應(yīng)對攻擊的技術(shù)

蜜網(wǎng)技術(shù)又稱為誘捕網(wǎng)絡(luò)，它構(gòu)成一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，其上包含一個或多個蜜罐，同時保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具一方便對攻擊信息采集和分析。 蜜網(wǎng)核心需求：數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析

安全操作系統(tǒng)概述【第四章節(jié)】點擊此處更換文本替換文字點擊此處更換文本替換文字點擊此處更換文本替換文字

一、安全操作系統(tǒng)的定義操作系統(tǒng)的安全現(xiàn)狀安全操作系統(tǒng)的定義 系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，即只有經(jīng)過授權(quán)的用戶或代表該用戶運行的進程才能讀、寫、創(chuàng)建或刪除信息。

最小特權(quán)原則二、安全操作系統(tǒng)的特征強制訪問控制：制定一個固定的安全屬性，來決定一個用戶是否可以訪問資源。安全屬性可由系統(tǒng)自動分配也可由系統(tǒng)管理員手動分配。安全域隔離有ACL的自主訪問控制安全審計和審計管理可信路徑

網(wǎng)絡(luò)完全為人民/網(wǎng)絡(luò)完全靠人民網(wǎng)絡(luò)安全技術(shù)