理,它直接(如SYN Flooding)或者间接(如反射式DDoS)与攻击目标进行通信。 11、分布式拒绝服务攻击攻击过程主要有以下几个步骤: 12、被DDoS攻击时的现象:
13、DDoS攻击对Web站点的影响: 14、拒绝服务攻击的防御:
15、DDOS工具产生的网络通信信息有两种: 16、DDoS的唯一检测方式是:
17、分布式拒绝服务攻击的防御:优化网络和路由结构;保护网络及主机系统安全;安装入侵检测系统;与ISP服务商合作;使用扫描工具.
18、无论是DoS还是DDoS攻击,其目的是使受害主机或网络无法及时接收并处理外界请求,表现为:制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。利用被攻击主机所提供服务程序或传输协议的本身的实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态。
第8讲:缓冲区溢出攻击及防御技术
1、缓冲区是包含相同数据类型实例的一个连续的计算机内存块。是程序运行期间在内存中分配的一个连续的区域,可以保存相同数据类型的多个实例,用于保存包括字符数组在内的各种数据类型。
2、所谓溢出,就是灌满, 使内容物超过顶端, 边缘,或边界,其实就是所填充的数据超出了原有的缓冲区边界。 3、所谓缓冲区溢出,就是向固定长度的缓冲区中写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖了缓冲区周围的内存空间。黑客借此精心构造填充数据,导致原有流程的改变,让程序转而执行特殊的代码,最终获取控制权。
4、常见缓冲区溢出类型: 5、缓冲区溢出攻击的过程: 6、缓冲区溢出的真正原因:
第9讲:Web攻击及防御技术
1、Web安全含三个方面:Web服务器的安全;Web客户端的安全;Web通信信道的安全。 2、针对Web服务器的攻击分为两类:
3、对Web应用危害较大的安全问题分别是: 4、Web服务器指纹: 5、Web页面盗窃的目的 6、Web盗窃防御方法:
7、跨站脚本攻击(Cross Site Script): 8、跨站脚本攻击的危害: 9、跨站脚本漏洞形成的原因:
10、实现跨站脚本的攻击至少需要两个条件:
11、XSS攻击最主要目标不是Web服务器本身,而是登录网站的用户。 12、防御跨站脚本攻击
13、所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(SQL注入原理:随着B/S网络应用的普及,Web应用多使用脚本语言(ASP、PHP等)加后台数据库系统进行开发。在这些网络程序中,用户输入的数据被当作命令和查询的一部分,送到后台的解释器中解释执行。相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段精心构造的数据库查询代码,根据网页返回的结果,获得某些他想得知的数据或者目标网站的敏感信息,这就是所谓的SQL Injection,即SQL注入。) 14、SQL注入受影响的系统: 15、SQL注入的防范:
第10讲:木马攻击与防御技术
1、木马的定义:
2、木马程序的企图可以对应分为三种: 3、木马的危害: 4、木马的特点: 5、木马实现原理:
6、木马植入技术可以大概分为主动植入与被动植入两类。 所谓主动植入,就是攻击者主动将木马程序种到本地或者是远程主机上,这个行为过程完全由攻击者主动掌握。而被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统。 7、在Windows系统中木马程序的自动加载技术主要有:
8、隐蔽性是木马程序与其它程序的重要区别,想要隐藏木马的服务端,可以是伪隐藏,也可以是真隐藏。伪隐藏是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。 常见隐藏技术: 9、常见木马使用的端口:
10、反弹窗口的连接技术与传统木马连接技术相比有何区别与优势?
11、木马的远程监控功能:获取目标机器信息,记录用户事件,远程操作。
12、木马的检测方法::端口扫描和连接检查;检查系统进程;检查ini文件、注册表和服务 ;监视网络通讯 。 13、木马的清除与善后:知道了木马加载的地方,首先要作的当然是将木马登记项删除,这样木马就无法在开机时启动了。不过有些木马会监视注册表,一旦你删除,它立即就会恢复回来。因此,在删除前需要将木马进程停止,然后根据木马登记的目录将相应的木马程序删除。以冰河为例说明具体清除步骤并适当解释。1)断开网络连接;2)检查进程并扫描;3)首先运行注册表编辑器,检查注册表中txt文件的关联设置;4)接着检查注册表中的EXE文件关联设置;5)进入系统目录System32,删除冰河木马的可执行文件kernel32.exe和sysexplr.exe;6)修改文件关联;7)重新启动,然后用杀毒软件对系统进行一次全面的扫描,这样可以排除遗漏的木马程序。 以网络管理员角度在清除木马后进行善后工作:1)判断特洛伊木马存在时间长短;2)调查攻击者在入侵机器之后有哪些行动;3)对于安全性要求一般的场合,修改所有的密码,以及其他比较敏感的信息(例如信用卡号码等);4)在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
14、木马的防范:木马实质上是一个程序,必须运行后才能工作,所以会在计算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹,用户可以通过“查、堵、杀”等方法检测和清除木马。其具体防范技术方法主要包括:检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口,安装防病毒软件,监视网络通信,堵住控制通路和杀掉可疑进程等。常用的防范木马程序的措施:
1)及时修补漏洞,安装补丁;2)运行实时监控程序;3)培养风险意识,不使用来历不明的软件; 4)即时发现,即时清除 。
第11讲:计算机病毒
1、狭义的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,且能自我复制的一组计算机指令或者程序代码。计算机病毒一般依附于其他程序或文档,是能够自身复制,并且产生用户不知情或不希望、甚至恶意的操作的非正常程序。 但是随着黑客技术的发展,病毒、木马、蠕虫往往交叉在一起相互借鉴技术,因此人们经常说的计算机病毒往往是指广义上的病毒,它是一切恶意程序的统称。 2、计算机病毒的特点: 3、计算机病毒的破坏性:
4、计算机病毒引起的异常状况: 5、按照计算机病毒的链接方式分类: 6、按照计算机病毒的破坏情况分类: 7、按寄生方式和传染途径分类: 8、计算机病毒程序的模块划分: 9、计算机病毒的生命周期: 10、病毒传播途径:
11、病毒感染目标:
12、计算机病毒的触发机制: 13、计算机病毒的破坏机制: 14、典型的计算机病毒:
15、计算机病毒的预防措施:
16、清除计算机病毒是根据不同类型病毒对感染对象的修改,并按照病毒的感染特性对感染对象进行恢复。该恢复过程是从感染对象中清除病毒,恢复被病毒感染前的原始信息。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。1)文件型病毒的清除:消除病毒的过程实际上是病毒感染过程的逆过程。通过检测工作(跳转、解码),可以得到病毒体的全部代码,分析病毒对文件的修改,把这些修改还原即可将病毒解除。2)引导型病毒的清除:引导型病毒占据软盘或硬盘的第一个扇区,在开机后先于操作系统得到对计算机的控制,影响系统的I/O存取速度,干扰系统的正常运行。可用重写引导区的方法予以清除。3)内存中病毒的清除:找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。 17、手机病毒
18、手机病毒与传统电脑病毒的区别: 19、手机病毒的危害:
20、如怀疑计算机中毒,可采用以下步骤进行查找:1)查进程:首先排查进程,注意开机后什么都不要启动。第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下加以识别;第二步:打开进程查看类安全软件(如冰刃等),先查看有没有隐藏进程,然后查看系统进程的路径是否正确;第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。2)查自启动项目:进程排查完毕,如果没有发现异常,则开始排查启动项。第一步:用msconfig察看是否有可疑的服务,开始——运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎查阅)。第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查。 第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。3)查网络连接:这个时候可以连接到Internet,然后查看是否有可疑的连接,查看IP地址有否异常;如果发现异常,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。记下异常点。4)查安全模式:重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除。5)查映像劫持:打开注册表编辑器,定位到: HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\ImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。6)查CPU时间 :如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,对这个进程需要引起一定的警惕。