網路攻防技術理論課課件大綱整理

阿新 • • 發佈：2022-05-23

網路安全概述

網路安全基礎知識
- 電腦保安
- 網路安全
  - 執行系統安全
  - 網路上系統資訊的安全
  - 網路上資訊傳播的安全
- 網路安全的基本需求
  - 可靠性
  - 可用性
  - 保密性
  - 完整性
  - 不可抵賴性
  - 可控性
  - 可審查性
  - 真實性
- 網路安全內容
網路安全的重要性
- 安全漏洞的威脅
  - 0 Day 漏洞
  - N Day 漏洞
- 網路安全現狀
  - 惡意程式碼肆虐，病毒數量爆炸式增長
  - 攻擊者需要的技術水平逐漸降低，手段更加靈活，聯合攻擊急劇增多
  - 網路攻擊趨利性增強、頑固性增加
網路安全的主要威脅因素
- 資訊系統自身安全的脆弱性
  - 硬體元件
  - 軟體元件
  - 網路和通訊協議
- 作業系統與應用程式漏洞
  - 安全漏洞數量增長較快
  - 0 Day 攻擊頻繁
- 資訊系統面臨的安全威脅
  - 基本威脅
    - 資訊洩漏
    - 完整性破壞
    - 拒絕服務
    - 未授權訪問
  - 威脅資訊系統的主要方法
    - 冒充
    - 旁路控制
    - 破壞資訊的完整性
    - 破壞系統的可用性
    - 重放
    - 截收和輻射偵測
    - 陷門
    - 特洛伊木馬
    - 抵賴
  - 威脅和攻擊的來源
    - 內部操作不當
    - 內部管理不嚴造成資訊系統安全管理失控
    - 來自外部的威脅與犯罪
- 安全管理問題
- 黑客攻擊
- 網路犯罪
網路攻擊過程
- 遠端攻擊的一般過程
  - 遠端攻擊的準備階段
    - 確定攻擊目標
    - 資訊收集
    - 服務分析
    - 系統分析
    - 漏洞分析
  - 遠端攻擊的實施階段
  - 遠端攻擊的善後階段
網路安全策略及制訂原則
- 安全策略的概念
- 制定安全策略的目的
- 安全策略的必要性
- 制訂安全策略的基本原則
  - 適用性原則
  - 可行性原則
  - 動態性原則
  - 簡單性原則
  - 系統性原則
- 安全策略的特點
網路安全體系設計
- 網路安全體系層次
  - 物理層安全
  - 系統層安全
  - 網路層安全
  - 應用層安全
  - 管理層安全
- 網路安全體系設計準則
  - 木桶原則
  - 整體性原則
  - 安全性評價與平衡原則
  - 標準化與一致性原則
  - 技術與管理相結合原則
  - 統籌規劃分步實施原則
  - 等級性原則
  - 動態發展原則
  - 易操作性原則
常用的防護措施
- 完善安全管理制度
- 採用訪問控制措施
- 執行資料加密措施
- 資料備份與恢復
- 風險管理
  - 風險管理的概念
  - 風險管理的目的
小結

掃描與防禦技術

掃描技術概述
- 什麼是掃描器
- 掃描的重要性
- 網路掃描器與漏洞的關係
- 掃描三步曲
- 一個典型的掃描案例
常見的掃描技術
- TCP/IP 相關知識
  - TCP 報文格式
  - TCP 通訊過程
  - ICMP 協議
- 常用網路命令
  - Ping 命令
  - Traceroute、Tracert、x-firewalk 命令
  - Net 命令系列
- 主機掃描
  - 傳統技術
    - ICMP Echo 掃描
    - ICMP Sweep 掃描
    - Broadcast ICMP 掃描
    - Non-Echo ICMP 掃描
    - 利用其它型別的包
      - Stamp Request (Type 13)
      - Reply (Type 14)
      - Information Request (Type 15)
      - Reply (Type 16)
      - Address Mask Request (Type 17)
      - Reply (Type 18)
  - 高階技術
    - 異常的 IP 包頭
    - 在 IP 頭中設定無效的欄位值
    - 錯誤的資料分片
    - 通過超長包探測內部路由器
    - 反向對映探測
- 埠掃描
  - 全掃描
    - 全掃描原理
    - 全掃描過程
    - 全掃描特點
  - 半掃描
    - TCP SYN 掃描的原理
    - TCP SYN 掃描的過程
    - TCP SYN 掃描的特點
  - 祕密掃描
    - TCP FIN 掃描的原理
    - TCP FIN 掃描的過程
    - TCP FIN 掃描的特點
    - 兩個變種
      - Null 掃描
      - Xmas 掃描
  - 認證 (ident) 掃描
  - FTP 代理掃描
- 遠端主機 OS 指紋識別
  - 基本原理
  - 主動協議棧指紋識別
    - FIN 探測
    - ISN 取樣探測
    - Don’t Fragment 位探測
    - TCP 初始視窗的大小檢測
    - ACK 值探測
    - ICMP 出錯訊息抑制
    - ICMP 出錯訊息回射完整性
    - TOS 服務型別
    - 片斷處理
  - 被動協議棧指紋識別
    - TTL 欄位
    - Windows Size 欄位
    - DF 欄位
    - TOS 欄位
- 漏洞掃描
  - 漏洞掃描技術的原理
    - 基於漏洞庫的特徵匹配
    - 基於模擬攻擊
  - 漏洞掃描技術的分類和實現方法
    - 基於漏洞庫的規則匹配
    - 基於模擬攻擊
  - 漏洞掃描的問題
    - 系統配置規則庫問題
    - 漏洞庫資訊要求
掃描工具賞析
- 掃描工具概述
- 如何獲取掃描工具
- 常用掃描工具
  - SATAN
    - SATAN 概述
    - SATAN 的分級
      - 輕度掃描
      - 標準掃描
      - 重度掃描
      - 攻入系統
    - SATAN 的特點
  - NMAP
    - NMAP 簡介
    - NMAP 基本功能
      - 探測一組主機是否線上
      - 掃描主機埠，嗅探所提供的網路服務
      - 推斷主機所用的作業系統
    - NMAP 使用說明
      - Ping 掃描：瞭解哪些機器是 UP 的
      - TCP connect 掃描
      - TCP SYN 掃描
      - TCP FIN，XMAS，NULL 掃描
      - UDP 掃描
    - NMAP 使用示例
    - NMAP 特點
  - Nessus
    - Nessus 的特點
    - Nessus 的功能與所用的技術
    - Nessus 的結構
    - Nessus 的掃描過程
    - Nessus 的安裝
    - Nessus 的配置執行
    - 用 Nessus 進行掃描
  - X-scan
    - X-scan 概述
    - X-scan 功能簡介
    - X-scan 圖形主介面
    - 用 X-Scan 掃描一個網段的主機
    - X-scan 的命令列掃描
- 常用掃描工具比較
- 其它掃描工具
掃描的防禦
- 反掃描技術
  - 主動掃描
  - 被動掃描
- 埠掃描監測工具
  - ProtectX 工具
  - PortSentry 工具
  - Winetd 和 DTK：蜜罐工具
- 防火牆技術
- 審計技術
  - IIS 伺服器的日誌記錄
  - Apache 伺服器的日誌記錄
- 其它防禦技術
  - 修改 Banner
小結

網路監聽及防禦技術

網路監聽概述
- 基礎知識與例項
  - 網路監聽的概念
  - 相關網路基礎
  - 網絡卡的四種工作模式
  - 網路監聽例項
- 網路監聽技術的發展情況
  - 網路監聽 (Sniffer) 的發展歷史
    - 軟體嗅探器
    - 硬體嗅探器
  - Sniffer 軟體的主要工作機制
    - 驅動程式支援
    - 分組捕獲過濾機制
  - 網路監聽的雙刃性
監聽技術
- 區域網中的硬體裝置簡介
  - 集線器
  - 交換機
- 共享式區域網的監聽技術
  - 共享式區域網的概念
  - 共享式區域網的監聽原理
  - 共享式區域網的監聽實現方法
  - 相關開發庫
    - 基於 UNIX 系統的開發庫 libpcap
    - 基於 Windows 系統的 WinPcap
- 交換式區域網的監聽技術
  - 交換式區域網的概念
  - 產生交換式區域網的原因
  - 在交換式乙太網中的網路監聽
    - 溢位攻擊
    - ARP 欺騙
- 網路監聽工具舉例
  - 常用的網路監聽工具
    - Tcpdump/Windump
    - Ngrep
    - Ethereal/Wireshark
    - Sniffer Pro
    - NetXray
  - Wireshark
    - Wireshark 簡介
    - Wireshark 更名的故事
    - Wireshark 的特點
      - Capture filter
      - Display filter
    - 監聽案例
      - 觀察 FTP 資料流
      - 監聽 TCP 通訊過程
      - 觀察登入 BBS 過程
監聽的防禦
- 通用策略
  - 安全的拓撲結構
    - 網路分段
    - 劃分 VLAN
  - 資料加密
    - 資料通道加密
    - 資料內容加密
- 共享網路下的防監聽
  - 檢測處於混雜模式的網絡卡
  - 檢測高網路通訊丟包率
  - 檢測反常網路頻寬
  - 檢測技術
    - 網路和主機響應時間測試
    - ARP 檢測
- 交換網路下的防監聽
小結

口令破解與防禦技術

口令的歷史與現狀
口令破解方式
- 口令破解方式概述
  - 獲得口令的思路
  - 手工破解及其一般步驟
  - 自動破解及其一般步驟
- 詞典攻擊
- 強行攻擊
- 組合攻擊
- 常見攻擊方式的比較
  - 詞典攻擊：攻擊速度快，找到所有詞典單詞
  - 強行攻擊：攻擊速度慢，找到所有口令
  - 組合攻擊：攻擊速度中等，找到以詞典為基礎的口令
- 其它的攻擊方式
  - 社會工程學
  - 偷窺
  - 搜尋垃圾箱
  - 口令蠕蟲
  - 特洛伊木馬
  - 網路監聽
  - 重放
典型的口令破解工具
- 口令破解工具
- 候選口令產生器
- 作業系統的口令檔案
  - Unix 類系統口令檔案
  - Windows 系統口令檔案
- 口令破解工具
  - Windows 口令破解程式
    - L0phtcrack
    - NTSweep
    - NTCrack
    - PWDump2
  - UNIX 口令破解程式
    - Crack
    - John the Ripper
    - XIT
    - Slurpie
- 工具運用例項
口令攻擊的綜合應用
- 本地口令攻擊
  - Windows 系統口令攻擊
    - 背景知識儲備
    - Windows NT, 2000 口令攻擊
    - Windows XP, 2003 口令攻擊
      - 提取 SAM 檔案進行破解
      - 用備份的 SAM 檔案替換當前 SAM 檔案
      - 使用口令修改軟體
      - 替換屏保程式
  - Unix 系統口令攻擊
- 遠端口令攻擊
口令攻擊的防禦
- 口令攻擊防禦概述
- 強口令的選取方法
- 保護口令的目標
  - 防止未授權洩漏
  - 防止未授權修改
  - 防止未授權刪除
- 保護口令的方法
  - 對稱或單金鑰加密
  - 不對稱或雙金鑰加密
  - 雜湊 (即雜湊，hash)
- 一次性口令技術
- 生物技術
小結

欺騙攻擊及防禦技術

概述
- 認證
- 信任
IP 欺騙及防禦技術
- 基本的 IP 欺騙
  - 簡單的 IP 地址變化
  - 源路由攻擊
    - 源路由機制
      - 寬鬆的源站選擇 (LSR)
      - 嚴格的源路由選擇 (SRS)
  - 利用 Unix 系統的信任關係
- IP 欺騙的高階應用——TCP 會話劫持
  - 基本原理
  - 相關基礎
    - TCP 三步握手連線建立
    - 序列號機制
  - TCP 會話劫持過程
    - 發現攻擊目標
    - 確認動態會話
    - 猜測序列號
    - 使客戶主機下線
    - 接管會話
  - TCP 會話劫持的危害
  - 實現 TCP 會話劫持的兩個小工具
    - Juggernaut
    - Hunt
- IP 欺騙攻擊的防禦
  - 防範地址變化欺騙
    - 限制使用者修改網路配置
    - 入口過濾
    - 出口過濾
  - 防範源路由欺騙
  - 防範信任關係欺騙
  - 防範會話劫持攻擊
    - 進行加密
    - 使用安全協議
      - SSH 協議
    - 限制保護措施
ARP 欺騙及防禦技術
- ARP 背景知識介紹
  - ARP 基礎知識
  - ARP 工作原理
    - 區域網內通訊
    - 區域網間通訊
- ARP 欺騙攻擊原理
  - ARP 欺騙攻擊原理
  - ARP 欺騙攻擊的危害
- ARP 欺騙攻擊例項
- ARP 欺騙攻擊的檢測與防禦
  - 檢測區域網中存在 ARP 欺騙攻擊
  - 發現正在進行 ARP 攻擊的主機
  - ARP 欺騙攻擊的防範
電子郵件欺騙及防禦技術
- 電子郵件欺騙的原理
  - 利用相似的電子郵件地址
  - 直接使用偽造的 E-mail 地址
  - 遠端登入到 SMTP 埠傳送郵件
- 電子郵件欺騙的防禦
  - 郵件接收者
  - 郵件傳送者
  - 郵件伺服器
  - 郵件加密
DNS 欺騙及防禦技術
- DNS 工作原理
- DNS 欺騙的原理及實現步驟
  - 攻擊者可以控制本地的域名伺服器
  - 攻擊者無法控制任何 DNS 伺服器
- DNS 欺騙的侷限性及防禦
  - DNS 欺騙的侷限性
    - 攻擊者不能替換快取中已經存在的記錄
    - DNS 伺服器存在快取重新整理時間問題
Web 欺騙及防禦技術
- Web 欺騙的概念
- Web 欺騙的工作原理
- Web 欺騙案例
- Web 欺騙的防禦
小結

拒絕服務攻擊與防禦技術

拒絕服務攻擊概述
- 拒絕服務攻擊的概念
- 拒絕服務攻擊的型別
  - 按實施攻擊所用的思路分類
    - 濫用合理的服務請求
    - 製造高流量無用資料
    - 利用傳輸協議缺陷
    - 利用服務程式的漏洞
  - 按漏洞利用方式分類
    - 特定資源消耗類
    - 暴力攻擊類
  - 按攻擊資料包傳送速率變化方式分類
    - 固定速率
    - 可變速率
  - 按攻擊可能產生的影響分類
    - 系統或程式崩潰類
    - 服務降級類
典型拒絕服務攻擊技術
- Ping of Death
- 淚滴 (Teardrop)
  - 攻擊特徵
  - 檢測方法
  - 反攻擊方法
- IP 欺騙 DoS 攻擊
- UDP 泛洪
- SYN 泛洪
- SYN 洪水的防禦
  - 縮短 SYN Timeout 時間
  - 設定 SYN Cookie
  - 負反饋策略
  - 退讓策略
  - 分散式 DNS 負載均衡
  - 防火牆
- Land 攻擊
- Smurf 攻擊
- Fraggle 攻擊
- 電子郵件炸彈
- 畸形訊息攻擊
- Slashdot effect
- WinNuke 攻擊
分散式拒絕服務攻擊
- 分散式拒絕服務攻擊簡介
  - 攻擊過程
    - 探測掃描大量主機以尋找可入侵主機
    - 入侵有安全漏洞的主機並獲取控制權
    - 在每臺被入侵主機中安裝攻擊所用的客戶程序或守護程序
    - 向安裝有客戶程序的主控端主機發出命令，控制代理主機上的守護程序進行協同入侵
- 分散式拒絕服務攻擊造成的影響
  - 被 DDoS 攻擊時的現象
  - DDoS 攻擊對 Web 站點的影響
  - 基於 DNS 放大效應的 DDoS 攻擊
- 分散式拒絕服務攻擊工具
  - TFN2K
  - Trinoo
  - Stacheldraht
  - 其他拒絕服務攻擊工具
    - Trinity
    - Shaft
    - MStream
拒絕服務攻擊的防禦
- 防禦的困難之處
- 防禦方法
  - 有效完善的設計
  - 頻寬限制
  - 及時給系統安裝補丁
  - 執行儘可能少的服務
  - 只允許必要的通訊
  - 封鎖敵意 IP 地址
分散式拒絕服務攻擊的防禦
- 分散式拒絕服務攻擊的監測
  - 大量的 DNS PTR 查詢請求
  - 超出網路正常工作時的極限通訊流量
  - 特大型的 ICMP 和 UDP 資料包
  - 不屬於正常連線通訊的 TCP 和 UDP 資料包
  - 資料段內容只包含文字和數字字元的資料包
- 分散式拒絕服務攻擊的防禦
  - 優化網路和路由結構
  - 保護網路及主機系統安全
  - 安裝入侵檢測系統
  - 與 ISP 服務商合作
  - 使用掃描工具
- 拒絕服務監控系統的設計
小結

緩衝區溢位攻擊及防禦技術

緩衝區溢位概述
- 緩衝區溢位的概念
- 緩衝區溢位的特點
  - 不需要太多的先決條件
  - 殺傷力很強
  - 技術性強
  - 破壞性
  - 穩定性
緩衝區溢位原理
- 程式在記憶體中的存放形式
  - 堆和棧的區別
  - 程式所使用的棧
- 棧溢位
- 堆溢位
- BSS 溢位
- 格式化串溢位
緩衝區溢位的過程
- 在程式的地址空間安排適當程式碼
- 使控制流跳轉到攻擊程式碼
  - 轉移方式
    - Function Pointers (函式指標)
    - Activation Records (啟用記錄)
    - Longjmp buffers (長跳轉緩衝區)
程式碼植入技術
- shellcode
- 返回地址
- 填充資料
- 植入程式碼的構造型別
  - NSR 模式
  - RNS 模式
  - AR 模式
- 緩衝區溢位攻擊的三步曲
  - 構造需要執行的程式碼 shellcode，並將其放到目標系統的記憶體
  - 獲得緩衝區的大小和定位溢位點 ret 的位置
  - 控制程式跳轉，改變程式流程
- shellcode 使用示例
IDA 溢位漏洞攻擊
- 工具
  - Ofscan：IIS 遠端溢位漏洞掃描工具
  - Idahack：IDA 漏洞利用工具
  - Nc：瑞士軍刀
緩衝區溢位的防禦
- 緩衝區溢位防禦概述
- 地址空間佈局隨機化 (ASLR)
  - 主堆疊空間佈局隨機化
  - 輔助堆疊空間佈局隨機化
  - Windows ASLR 技術
  - PEB/TEB 地址空間隨機化
  - 動態連結庫地址空間隨機化
  - 空間佈局隨機化技術基本效能
  - 空間佈局隨機化技術不足
- 原始碼級保護方法
  - 避免原始碼中的相關 bug
  - 原始碼中溢位 bug 的查詢
  - 陣列邊界檢查編譯器
- 執行期保護方法
  - 執行期保護方法概述
  - 插入目的碼進行陣列邊界檢查
    - Compaq C 編譯器
    - Jones & Kelly：C的陣列邊界檢查
    - Purify：儲存器存取檢查
    - 型別-安全語言
  - 返回指標的完整性檢查
    - 堆疊監測
    - StackGuard
    - StackShield
- 阻止攻擊程式碼執行
  - 非執行緩衝區技術
- 加強系統保護
  - 保護系統資訊
  - 關閉不需要的服務
  - 最小許可權原則
  - 使用系統的堆疊補丁
  - 檢查系統漏洞，及時為軟體打上安全補丁
小結

Web 攻擊及防禦技術

Web 安全概述
- Web 伺服器的安全
- Web 客戶端的安全
- Web 通訊通道的安全
Web 伺服器指紋識別
- 指紋識別理論
- Web 伺服器指紋介紹
- Web 伺服器 Banner 資訊獲取
  - 不同伺服器的指紋比較
- 模糊 Web 伺服器 Banner 資訊
  - 自定義 Http 應答頭資訊
  - 使用外掛
- Web 伺服器協議行為
  - 基本的 Http 請求
  - Http DELETE 請求
  - 非法 Http 協議版本請求
  - 不正確規則協議請求
- Http 指紋識別工具
  - Httprint 介紹
  - Httprint 的 Http 簽名
  - 識別模糊的 Banner 資訊
Web 頁面盜竊及防禦
- Web 頁面盜竊簡介
- 逐頁手工掃描
- 自動掃描
- Web 頁面盜竊防禦對策
跨站指令碼攻擊及防禦
- 跨站指令碼攻擊概述
  - XSS 攻擊的概念
    - 反射型 XSS
    - DOM 型 XSS
    - 儲存型 XSS
  - 跨站指令碼攻擊的危害
  - 跨站指令碼攻擊發起條件
- 跨站指令碼攻擊過程
  - 尋找 XSS 漏洞
  - 注入惡意程式碼
  - 欺騙使用者訪問
- 跨站指令碼攻擊例項
- 防禦跨站指令碼攻擊
  - 普通的瀏覽網頁使用者
  - Web 應用開發者
SQL 注入攻擊及防禦
- SQL 注入原理
- SQL 注入過程
  - 尋找可能存在 SQL 注入漏洞的連結
  - 測試該網站是否有 SQL 注入漏洞
  - 猜管理員帳號表
  - 猜測管理員表中的欄位
  - 猜測使用者名稱和密碼的長度
  - 猜測使用者名稱
  - 猜測密碼
- SQL 注入的防範
  - 嚴格的資料型別
  - 特殊字元轉義
  - 摒棄動態 SQL 語句
Google Hacking
- Google Hacking 的原理
- Google Hacking 的實際應用
網頁驗證碼攻擊
- 網頁驗證碼概述
- 驗證碼技術
  - 基於表單自動提交的 Http 攻擊
  - 基於驗證碼的表單提交流程
  - 驗證碼的有效性
  - 驗證碼的型別
    - 文字驗證碼
    - 手機驗證碼
    - 郵件驗證碼
    - 圖片驗證碼
    - 自動識別圖片驗證碼
- 驗證碼識別工具演示
- 防範驗證碼攻擊
防禦 Web 攻擊
- Web 伺服器安全配置
  - 主機系統的安全配置
    - 簡單性
    - 超級使用者許可權
    - 本地和遠端訪問控制
    - 審計和可審計性
    - 恢復
  - Web 伺服器的安全配置
    - 基於 Windows 系統 Web 伺服器安全配置
      - IIS 安全安裝
      - IIS 安全配置
    - 基於 Unix 系統 Web 伺服器安全配置
- Web 瀏覽者的安全措施
  - 經常對作業系統打補丁、升級
  - 使用漏洞數較少的瀏覽器，如 Firefox
  - 經常對瀏覽器進行升級
  - 不要因為好奇而開啟一些不信任的網站
- Web 安全需澄清的五個誤解
  - Web 網站使用了 SSL 加密，所以很安全
  - Web 網站使用了防火牆，所以很安全
  - 漏洞掃描工具沒發現任何問題，所以很安全
  - 網站應用程式的安全問題是程式設計師造成的
  - 我們每年會對 Web 網站進行安全評估，所以很安全
小結

木馬攻擊與防禦技術

木馬概述
- 木馬基本概念
  - 木馬的來由
  - 木馬的定義
  - 木馬的危害
- 木馬的分類
  - 從木馬所實現的功能角度
    - 破壞型
    - 密碼傳送型
    - 遠端訪問型
    - 鍵盤記錄木馬
    - DoS 攻擊木馬
    - 代理木馬
    - FTP 木馬
    - 程式殺手木馬
    - 反彈埠型木馬
  - 從木馬技術發展的歷程角度
    - 第一代木馬
    - 第二代木馬
    - 第三代木馬
    - 第四代木馬
- 木馬的特點
  - 有效性
  - 隱蔽性
  - 頑固性
  - 易植入性
  - 自動執行
  - 欺騙性
  - 自動恢復
  - 功能的特殊性
木馬的實現原理與攻擊步驟
- 木馬實現原理
  - 向目標主機植入木馬
  - 啟動和隱藏木馬
  - 伺服器端 (目標主機) 和客戶端建立連線
  - 進行遠端控制
- 植入技術
  - 主動植入
    - 本地安裝
    - 遠端安裝
      - 利用系統自身漏洞植入
      - 利用第三方軟體漏洞植入
  - 被動植入
    - 網頁瀏覽植入
    - 利用電子郵件植入
    - 利用網路下載植入
    - 利用即時通工具植入
    - 與其它程式捆綁
      - 例：圖片木馬
    - 利用移動儲存裝置植入
- 自動載入技術
  - 修改系統檔案
  - 修改系統登錄檔
  - 新增系統服務
  - 修改檔案開啟關聯屬性
    - 例：冰河的自動載入方法
  - 修改任務計劃
  - 修改組策略
  - 利用系統自動執行的程式
  - 修改啟動資料夾
  - 替換系統 DLL
- 隱藏技術
  - 偽隱藏
    - 設定視窗不可見
    - 把木馬程式註冊為服務
    - 欺騙檢視程序的函式
    - 使用可變的高階口
    - 使用系統服務埠
  - 真隱藏
    - 替換系統驅動或系統 DLL
    - 動態嵌入技術
- 連線技術
  - 反彈視窗的連線技術
- 監控技術
  - 獲取目標機器資訊
  - 記錄使用者事件
  - 遠端操作
木馬的防禦技術
- 木馬的檢測
  - 埠掃描和連線檢查
    - 網路測試命令 Netstat
    - Fport 工具
  - 檢查系統程序
  - 檢查 ini 檔案、登錄檔和服務
  - 監視網路通訊
- 木馬的清除與善後
  - 清除木馬
  - 處理遺留問題
- 木馬的防範
  - 及時修補漏洞，安裝補丁
  - 執行實時監控程式
  - 培養風險意識，不使用來歷不明的軟體
  - 即時發現，即時清除
木馬的發展趨勢
- 跨平臺
- 模組化設計
- 無連線木馬
- 主動植入
- 木馬與病毒的融合
蠕蟲簡介
- 蠕蟲病毒的概念
- 狹義病毒和蠕蟲病毒的區別
- 蠕蟲程式的功能結構
  - 基本功能模組
  - 擴充套件功能模組
- 蠕蟲的工作流程
- 蠕蟲的行為特徵
  - 自我繁殖
  - 利用軟體漏洞
  - 造成網路擁塞
  - 消耗系統資源
  - 留下安全隱患
小結

典型防禦技術

加密技術
- 密碼學的基本概念
  - 密碼學基本模型
  - 密碼編碼
  - 密碼分析
  - 基本術語
  - 密碼演算法的分類
    - 根據演算法和金鑰是否分開
      - 古典密碼
      - 現代密碼
    - 根據金鑰特點
      - 對稱密碼體制
      - 非對稱密碼體制
    - 根據加密方式
      - 流密碼
      - 分組密碼
  - 密碼分析
    - 攻擊方法分類
    - 密碼演算法的安全性
  - 密碼技術的主要用途
    - 資料保密—資料加密/解密
    - 認證技術
    - 資訊完整性保護
    - 數字簽名和抗抵賴
- 對稱密碼
  - 對稱加密系統的工作過程
  - 對稱密碼的應用
  - 廣泛使用的對稱加密系統
- 非對稱密碼
  - 對稱密碼的缺陷
  - 非對稱密碼概述
  - 非對稱密碼的思想
  - 非對稱密碼演算法的工作過程
    - 非對稱密碼演算法的加密原理
    - 非對稱密碼演算法的簽名原理
    - 數字簽名和加密同時使用
  - 非對稱密碼演算法的用途
  - 對非對稱密碼演算法的誤解
  - 不可不提的非對稱密碼
    - Diffie-Hellman 金鑰交換
    - RSA 體制
    - 橢圓曲線密碼體制
- 金鑰分發
  - 人工金鑰分發
  - 基於中心的金鑰分發
  - 基於認證的金鑰分發
- 單向雜湊函式
  - 輸入可以是任意長度的
  - 輸出是可以固定長的
  - 對於任意的值 x，H(x) 很容易計算
  - H(x) 是單向的
  - H(x) 是無衝突的
- 演算法模式
  - 電子簿模式 (electronic codebook mode) ECB
  - 密碼塊連結 (cipher block chaining) CBC
  - 密碼反饋方式 (cipher feedback) CFB
  - 輸出反饋方式 (output feedback) OFB
身份認證
- 身份認證概述
  - 網路環境下對身份認證的需求
    - 抗被動的威脅 (竊聽)
    - 抵抗主動的威脅 (偽造、重放)
    - 雙向認證
    - 單點登入
  - 身份認證的基本途徑
    - 基於你所知道的
    - 基於你所擁有的
    - 基於屬性特徵
    - 雙因素、多因素認證
- 基於口令的認證
  - 簡單口令認證
  - 一次性口令認證
  - 口令管理
- 基於地址的認證
- 基於生理特徵的認證
- 公開金鑰基礎設施 PKI
防火牆
- 防火牆的基本原理
  - 防火牆的分類
    - 包過濾防火牆
      - 靜態包過濾防火牆
      - 動態包過濾防火牆 (狀態檢測防火牆)
    - 代理伺服器型防火牆
- 防火牆的技術
  - 包過濾防火牆
    - 攻破包過濾式防火牆的方法
      - IP 攻擊欺騙
      - 路由攻擊程式
    - 包過濾防火牆的優缺點
  - 代理型防火牆
    - 代理伺服器型防火牆的原理
    - 代理型防火牆的優缺點
  - 網路地址轉換
  - 狀態檢測防火牆
  - 混合型防火牆
- 防火牆的配置方案
  - 雙宿主機模式
  - 遮蔽主機模式
  - 遮蔽子網模式
- 防火牆的主要功能
  - 網路安全的屏障
  - 強化網路安全策略
  - 對網路存取和訪問進行監控審計
  - 防止內部資訊的外洩
入侵檢測系統
- 入侵檢測系統概述
  - 異常檢測技術
  - 濫用檢測技術
- 基於主機的入侵檢測系統
  - 檢測目標
  - 檢測原理
  - 監視特定的系統活動
  - 檢測到針對主機系統的攻擊
  - 優缺點
- 基於網路的入侵檢測系統
  - 檢測原理
  - 檢測技術
    - 模式、表示式或位元組匹配
    - 頻率或穿越閥值
    - 次要事件的相關性
    - 統計學意義上的非常規現象檢測
  - 基於網路的入侵檢測系統的特性
- 典型的入侵檢測產品介紹
  - Snort
  - ISS Real Secure
  - Watcher
虛擬專用網技術
- 虛擬專用網的定義
- 虛擬專用網的型別
  - 遠端訪問虛擬網 (Access VPN)
  - 企業內部虛擬網 (Intranet VPN)
  - 企業擴充套件虛擬網 (Extranet VPN)
- 虛擬專用網的工作原理
- 虛擬專用網的關鍵技術
  - 安全隧道技術
  - 加密技術
  - 使用者身份認證技術
  - 訪問控制技術
日誌和審計
- 日誌和審計概述
  - 日誌的作用
  - Unix/Linux 系統日誌檔案
  - Windows 系統日誌檔案
- 日誌和審計分析工具
  - Swatch
  - PsLogList
  - NestWatch
  - NetTracker
  - LogSurfer
  - VBStats
小結