信息安全原理及从业人员安全素养培训
01
网络安全技术介绍第2页
信息安全原理及从业人员安全素养
第四章第3页
第一节.
网络安全基础纠错、流控制电、物理信号、线路
寻址、路由
物理层
网络控制、链路纠错网络接口层
通讯机制、验证服务格式转换、加/解密
链路层网络层传输层
会话层表示层应用层
提供应用软件的接口
互联层
传输层传输层
OSI 和TCP/IP
1
2
5
3
4
6
互联网信息收集
综合扫描
扫描技术
IP 地址扫描
端口扫描
漏洞扫描
弱口令扫描
网络嗅探
嗅探(sniff)，就是窃听网络上流经的数据包，而数据包里面一般会包含很多重要的私隐信息，如：你正在访问什么网站，你的邮箱密码是多少，你在和哪个MM 聊QQ 等等......而很多攻击方式（如著名的会话劫持）都是建立在嗅探的基础上的。

B 机
C 机
D 机
E 机
交换机
网关
我是网关我是B 机
ARP 攻击者
截获B 机的
数据包!!!
网络协议欺骗
协议类型：包括TCP 欺骗和UDP 欺骗攻击层面：在传输层实施的通信欺骗攻击攻击方式：是通过将外部计算机伪装成合法计算机来实现的,欺骗的目的是使其它计算机误将攻击者的计算机作为合法计算机接受,从而诱使其它计算机向攻击者计算机发送数据或允许它修改数据,最终破坏计算机间通信链路上的正常数据流,或者在两台计算机的通信链路中插入数据.
B 机
ARP 攻击者
A 机
3.SYN+ACK
DNS欺骗
基于用户计算机的欺骗基于DNS服务器欺骗
设置正确的固定DNS
诱骗式攻击
诱骗下载•游戏和插件下载•热门应用下载•电子书
•P2P种子文件网站钓鱼
网站挂马
•框架挂马
•JS脚本挂马
•BOBY挂马
•伪装欺骗挂马
社会工程
软件漏洞攻击
文件处理软件浏览器软件
操作系统服务漏洞
ActiveX控件
拒绝服务攻击
定义：拒绝服务攻击（Denial of Service,DoS）攻击者向目标计算机发出数量众多的
攻击数据包，消耗目标计算机的大量网络带宽和计算机资源，使得目标主机无法提供服
务响应的攻击方式.
实现方式：
1）利用目标主机自身存在的DoS漏洞；
2）耗尽目标主机的CPU和内存；
3）耗尽目标主机的网络带宽；
DoS攻击分类
1）IP层协议攻击（反射型DoS攻击）
2）TCP协议攻击（协议缺陷型DoS攻击）
3）UDP协议攻击（针对DNS服务的UDP洪水攻击）
4）应用层协议攻击（脚本洪水攻击）
分布式拒绝服务攻击
定义：就是在DoS 攻击基础上，由攻击者通过非法控制的大量第三方计算机辅助其攻击的一种攻击方式，DDoS 可简单理解为多对一的攻击.实现方式：
1）感染上千台服务器，是其成为傀儡机（肉鸡），并具备发动DoS 攻击能力；
2）上千台肉鸡构成的僵尸网络，等待来自主控中心的攻击命令；
3）中央攻击控制中心在适时启动全体受控主机的DoS 服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS 洪流冲击目标系统，猛烈的DoS 攻击同一个网站。

D.DoS 攻击者
主控端
主控端
主控端
DoS 代理端（肉鸡）DoS 代理端
（肉鸡）DoS 代理端
（肉鸡）DoS 代理端（肉鸡）DoS 代理端（肉鸡）
DoS 代理端（肉鸡）
受害服务器
WEB脚本攻击之sql注入
定义：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB 表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．
WEB脚本攻击之跨站
定义：
跨站攻击，即Cross Site Script Execution(通常简写为XSS)。

是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户
造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

);alert('xss');</如果改成ipconfig,后果??
如果net user abcdef 123456 /add –增加用户
如果net localgroup administrators abcdef /add --提权（各种如果……）
远程控制网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页
中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的
木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）
下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程
和运行（安装）过程就自动开始。

远程控制
攻击者
被控制的跳板机
①先种个木马（客户端）
②再种个木马（服务端）
③更新攻击IP 、端口列表
④查询列表，获取攻击者IP 、端口
⑤请求连接
⑥建立连接成功
目标主机
防火墙
DMZ
Web 服务器192.168.48.98：80
邮件服务器192.168.48.100：25
FTP 服务器
192.168.48.100：21
DMZ 口：eth2
192.168.48.97
内网口：eth0
192.168.91.25
外网口：eth1180.40.38.20
路由器180.40.38.254
内网交换机
内网设备
Internet
ANY
端口访问
端口映射
180.40.38.30:80180.40.38.30:25
180.40.38.30:21
入侵检测
DMZ
Web 服务器192.168.48.98：80
邮件服务器192.168.48.100：25
FTP 服务器
192.168.48.100：21
DMZ 口：eth2
192.168.48.97
内网口：eth0
192.168.91.25
外网口：eth1180.40.38.20
路由器180.40.38.254
内网交换机
内网设备
Internet
ANY
端口访问
端口映射
180.40.38.30:80180.40.38.30:25
180.40.38.30:21
探测器
探测器
入侵防御
DMZ
Web 服务器192.168.48.98：80
邮件服务器192.168.48.100：25
FTP 服务器
192.168.48.100：21
DMZ 口：eth2192.168.48.97
内网口：eth0
192.168.91.25
外网口：eth1180.40.38.20
路由器180.40.38.254
内网交换机内网设备
Internet
探测器
探测器
IPS
IPS
PKI
明文m
明文
m
密文
c
加密算法
E
D
解密算法
密钥源
密钥k密钥k
普通信道
安全信道
攻击者m’
K’
解密:
PKI
P . 20
Hash( )
数字签名常指基于公钥密码技术的数字信息的认证方法，是一种重要的电子签名方式，提供主体身份和数据来源认证、完整性验证和不可抵赖性等安全服务，如DSA 、RSA 和El Gamal 算法；数字签名时，首先使用散列函数（如SHA-1）生成数据的文摘，然后使用发送者的私钥对文摘进行加密生成数字签名，将其于数据一起发送给接收者；验证时，首先使用发送者公钥解密数字签名得到文摘，然后使用散列函数生成文摘，如果其与解密得到文摘相同，证明所收到的数据是发送者发送的；
数字签名的有效性取决于算法及其安全实现、私钥的保密性、公钥的完整性等多种因素；。