网络安全:网络安全的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。

威胁：威胁是指任何可能对网络造成潜在破坏的人或事。

网络协议：网络协议是指计算机通信的共同语言，是通信双方约定好的彼此遵循的一定的规则。

漏洞：漏洞也叫脆弱性，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。

漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。

安全策略：安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。

网络安全的特征：保密性、完整性、可用性、可控性。

五种路由攻击：源路由选项的使用、伪装成ARP包、OSPF的攻击、BGP缺陷应用层协议：Finger、FTP、Telnet、TFTP/Bootp、DNS黑客攻击技术：获取口令、防止特洛伊木马、Web欺骗技术、电子邮件攻击、间接攻击、网络监听、寻找系统漏洞、缓冲区溢出。

面对威胁的防范措施：完善安全管理制度、采用访问控制、数据加密措施、数据备份与恢复。

制定安全管理策略的原则：适用性原则、可行性原则、动态性原则、简单性原则、系统性原则。

网络安全体系层次：物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

网络安全体系设计准则：网络信息安全的木桶原则、网络信息安全的整体性原则、安全性评价与平衡原则、标准化与一致性原则、技术与管理相结合原则、统筹规划，分步实施原则、等级性原则、动态发展原则、易操作性原则。

入侵的两种类型：本地入侵和远程入侵。

远程攻击的一般步骤：准备阶段、实施阶段、善后阶段。

远程攻击的准备阶段：确定攻击的目的、信息收集、服务分析、系统分析、漏洞分析。

系统漏洞分类：系统漏洞分为远程漏洞和本地漏洞。

远程攻击的善后:留下后门和擦除痕迹。

扫描技术：扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。

扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的程序。

网络扫描器可通过执行一些脚本文件来模拟对网络系统进行攻击的行为并记录系统的反应，从而搜索目标网络内的服务器、路由器、交换机和防火墙等设备的类型与版本，以及在这些远程设备上运行的脆弱服务，并报告可能存在的脆弱性。

漏洞扫描：使用漏洞扫描程序对目标系统进行信息查询。

全扫描：这是最基本的TCP扫描，使用系统提供的connect（）函数来连接目标端口，尝试与目标主机的某个端口建立一次完整的三次握手过程。

半连接扫描：没有建立一个完整的TCP连接，但扫描程序也能从目标主机的应答中知道目标主机的某个端口是否开放的扫描。

秘密扫描：不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽的多。

扫描三步曲:第一阶段：发现目标主机或网络。

第二阶段：发现目标后进一步搜集目标信息，包括对目标主机运行的操作系统类型进行识别、通过端口扫描技术查看该系统处于监听或运行章台的服务以及服务软件的版本等。

如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。

第三阶段：根据收集到的信息判断或者进一步测试系统是否存在安全漏洞。

常见的扫描技术：主机扫描、端口扫描（全扫描、半扫描、秘密扫描）、远程主机OS指纹识别、漏洞扫描常用扫描器：SATAN、ISS Internet Scanner、Nessus、Nmap、X-Scan。

扫描防御的建议：用户要减少开放的端口，关闭不必要的服务，屏蔽敏感信息，合理地配置防火墙和IDS，安装系统补丁，以防范扫描行为。

对于专门从事反黑客工作的专业人员，最好还要适当利用陷阱技术。

网络嗅探：网络监听技术又叫做网络嗅探技术(Network Sniffing)，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。

（1）交换式以太网：使用交换机或其他非广播式交换设备组建成的局域网。

（2）网卡的四种工作模式：广播模式：该模式下的网卡能够接收网络中的广播信息。

组播模式：该模式下的网卡能够接受特定的组播数据。

直接模式：在这种模式下，网卡在工作时只接受目的地址匹配本机MAC地址的数据帧。

混杂模式：在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。

网络嗅探防御通用策略：安全的网络拓扑结构、会话加密、注意重点区域的安全防护ARP检测：地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址到IP地址的解析。

适用于所有基于以太网的IPV4协议。

我们可以使用这类分组来校验网卡是否被设置为混杂模式。

在混杂模式下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。

然后，系统内核会返回包含错误信息的报文。

基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。

这些处于混杂模式的节点就可能运行嗅探器程序。

以太网的嗅探技术:共享式网络下的嗅探技术交换式网络下的嗅探技术溢出攻击,采用ARP欺骗（1）词典攻击：使用一个或多个词典文件，利用里面的单词列表进行口令猜测的过程。

强行攻击:如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。

这种攻击方式叫做强行攻击（也叫做暴力破解）。

（2）组合攻击：组合攻击是在使用词典单词的基础上在单词的后面串接几个字母和数字进行攻击的攻击方式，它介于词典攻击和强行攻击之间。

典型口令破解工具：John The Ripper、L0phtcrack口令破解的防御：使用强口令、防止未授权泄露、修改和删除采用一次性口令技术避免窃听和重放攻击制定口令管理策略口令认证：安全控件、动态口令、U顿、数字证书、短信验证可以代替口令认证的还有什么？可以使用IC卡代替口令认证。

要对网络口令进行安全保护，如何做？e.g.淘宝网管理员①动态口令②短信验证③IE安全控件④次数限制（1）欺骗：一种冒充身份通过认证以骗取信任的攻击方式。

（2）IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权。

（3）ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，获取局域网内的所有信息报文。

（4）电子邮件欺骗：利用伪装或虚假的电子邮件发送方地址的欺骗。

（5）DNS欺骗：域名与IP地址转换过程中实现的欺骗。

（6）Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。

最基本的IP欺骗技术有三种：简单的IP地址变化、源路由攻击、利用Unix系统的信任关系。

IP欺骗攻击的防御：防范地址变化欺骗、防范源路由欺骗、防范信任关系欺骗、防范会话劫持攻击ARP欺骗攻击原理:ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。

通常这种攻击方式可能被病毒、木马或者有特殊目的的攻击者使用。

主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

ARP欺骗正是利用了这一点。

ARP欺骗攻击的防范：MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。

使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。

使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。

确保这台ARP服务器不被黑。

使用ARP欺骗防护软件，如ARP防火墙。

及时发现正在进行ARP欺骗的主机并将其隔离。

电子邮件欺骗的实现方法：利用相似的电子邮件地址修改邮件客户软件设置远程登录到25号端口电子邮件欺骗的防御：做为互联网用户，必须时刻树立风险意识，不要随意打开一个不可信任的邮件。

做为邮件接收者来说，用户需要合理配置邮件客户端，使每次总能显示出完整的电子邮件地址，而不是仅仅显示别名，完整的电子邮件地址能提供一些迹象表明正在发生一些不平常的事情。

用户应该注意检验发件人字段，不要被相似的发信地址所蒙蔽。

做为邮件发送者来说，如果你使用foxmail或者outlook之类的邮件客户端，你必须保护好这些邮件客户端，防止他人对客户端的设置进行修改。

对于邮件服务器提供方来说，采用的SMTP身份验证机制。

还有一种可能的解决方法是使用公钥加密，其中应用最广泛的就是PGP邮件加密。

DNS欺骗原理：当客户主机向本地DNS服务器查询域名的时候，如果服务器的缓存中已经有相应记录，DNS服务器就不会再向其他服务器进行查询，而是直接将这条记录返回给用户。

而入侵者欲实现DNS欺骗，关键的一个条件就是在DNS服务器的本地Cache 中缓存一条伪造的解析记录。

DNS欺骗攻击的防御：使用最新版本DNS服务器软件并及时安装补丁；关闭DNS服务器的递归功能；限制区域传输范围：限制域名服务器做出响应的地址、限制域名服务器做出响应的递归请求地址、限制发出请求的地址；限制动态更新；采用分层的DNS体系结构。

Web欺骗的防御：配置网络浏览器使它总能显示目的URL，并且习惯查看它。

检查源代码，如果发生了URL重定向，就一定会发现。

不过，检查用户连接的每一个页面的源代码对普通用户来说是不切实际的想法。

使用反网络钓鱼软件。

禁用JavaScript、ActiveX或者任何其他在本地执行的脚本语言。

确保应用有效和能适当地跟踪用户。

无论是使用cookie还是会话ID，都应该确保要尽可能的长和随机。

培养用户注意浏览器地址线上显示的URL的好习惯。

培养用户的安全意识和对开发人员的安全教育。

DoS攻击：一种破坏性攻击，通常利用传输协议弱点、系统漏洞、服务漏洞对目标系统发起大规模进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的请求，无法提供正常服务简单的说，就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。

拒绝服务攻击技术：Ping of Death、泪滴、IP欺骗DoS攻击、UDP洪水、SYN 洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击、Slashdot effect、WinNuke攻击。

DDoS攻击：通过控制分布在网络各处的数百甚至数万台傀儡主机（肉机），发动它们同时向攻击目标进行DoS攻击。

(利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

)DDoS的防御方法：优化网络和路由结构保护网络及主机系统安全安装入侵检测系统与ISP（因特网服务供应商）合作使用扫描工具缓冲区：是程序运行期间在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型。