網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程課件第4章-黑客攻防與檢測防御-知識要點

1、第4章 黑客攻防與檢測防御網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程第4章 黑客攻防與檢測防御網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程第1章 網(wǎng)絡(luò)安全基礎(chǔ) 4.2 案例分析 防范網(wǎng)絡(luò)端口掃描24.3 要點小結(jié)34.4 實驗四 Sniffer網(wǎng)絡(luò)漏洞檢測4 1.1 知識要點1 *4.5 選擇實驗 黑客入侵攻擊模擬演練5 4.6 練習(xí)與實踐6第4章 目錄第1章 網(wǎng)絡(luò)安全基礎(chǔ) 4.2 案例分析 防范網(wǎng)絡(luò)端口掃描24教學(xué)目標(biāo) 了解黑客的概念和分類 掌握黑客攻擊的目的及攻擊步驟 熟悉黑客常用的攻擊技術(shù)和工具軟件 理解防范黑客的具體有效措施 熟悉入侵檢測與防御系統(tǒng)的概念、功能、特點和應(yīng)用方法 掌握網(wǎng)絡(luò)掃描、入侵攻擊模擬實驗第4章 黑客

2、攻防與檢測防御教學(xué)目標(biāo)第4章 黑客攻防與檢測防御 1.黑客的概念及產(chǎn)生4.1 知識要點 2016年4月24日，俄羅斯“紐帶”新聞網(wǎng)報道稱，丹麥國防部情報局所屬的網(wǎng)絡(luò)安全中心近日發(fā)布的一份報告稱，俄羅斯黑客在2015年至2016年間曾入侵丹麥國防部雇員的電子郵件系統(tǒng)，數(shù)千次并訪問這些郵箱賬戶，并獲取了一些非機密的郵件往來信息。丹麥國防大臣克勞斯約爾特弗雷澤里克森擔(dān)心黑客會攻擊丹麥政府其他部門，他認(rèn)為形勢非常嚴(yán)峻。案例4-14.1.1 黑客的概念黑客（Hacker）是音譯詞，最早源自英文動詞“hack”，意為“劈砍”，引申為干一件非常漂亮的工作?！癏acker”一詞最初指熱心于鉆研計算機技術(shù)、水平

3、高超的計算機專家，尤其熱衷于特殊程序設(shè)計，他們從事著對計算機網(wǎng)絡(luò)最大潛力進(jìn)行智力上的自由探索。當(dāng)時，黑客是一個極富褒義的詞，伴隨產(chǎn)生了黑客文化。然而并非所有人都能恪守黑客文化的信條專注于技術(shù)的探索，惡意破壞計算機網(wǎng)絡(luò)、盜取系統(tǒng)信息的行為不斷出現(xiàn)，人們把此類具有主觀上惡意企圖的人稱為“駭客”，該名稱來自英文“Cracker”，意為“破壞者”或“入侵者”。1.黑客的概念及產(chǎn)生4.1 知識要點 最早的計算機1946年在美國賓夕法尼亞大學(xué)出現(xiàn)，而黑客也始于20世紀(jì)50年代。最早的黑客出現(xiàn)在美國麻省理工學(xué)院的人工智能實驗室，一群精力充沛、技術(shù)高超，熱衷于解決計算機網(wǎng)絡(luò)難題的學(xué)生，他們自稱黑客，以編制復(fù)雜

4、的程序為樂趣，開始并沒有功利性目的。此后不久，連接多所大學(xué)計算機實驗室的美國國防部實驗室網(wǎng)絡(luò)APARNET的建成，黑客活動通過網(wǎng)絡(luò)傳播到更多的大學(xué)及社會。此后，居心不良的人利用手中掌握的“絕技”，借鑒盜打免費電話的手法，擅自穿入他人的計算機系統(tǒng)，從事隱蔽活動。隨著ARARPNET逐步發(fā)展成為INTERNET，黑客的活動越來越活躍，人數(shù)越來多，形成魚目混珠的局面。黑客的產(chǎn)生4.1 知識要點 黑客的產(chǎn)生4.1 知識要點1）為了得到物質(zhì)利益，主要是指獲取金錢和財物 竊取情報； 報復(fù)； 金錢； 政治目的。4.1 知識要點2.黑客的目的黑客實施攻擊主要目的有兩種 2）為了滿足精神需求，主要是指滿足個人心

5、理欲望 好奇心； 個人聲望； 智力炫耀。1）為了得到物質(zhì)利益，主要是指獲取金錢和財物4.1 知識要點4.1 知識要點4.1.2 黑客的攻擊步驟1.黑客攻擊的過程 黑客攻擊步驟各異,但其整個攻擊過程有一定規(guī)律,一般可分為“攻擊五部曲”。隱藏IP地址踩點掃描準(zhǔn)備黑客利用程序的漏洞進(jìn)入系統(tǒng)后安裝后門程序，以便日后可以不被察覺地再次進(jìn)入系統(tǒng)。就是隱藏黑客的位置，以免被發(fā)現(xiàn)。通過各種途徑對所要攻擊目標(biāo)進(jìn)行多方了解,確保信息準(zhǔn)確,確定攻擊時間和地點.獲得特權(quán)種植后門隱身退出即獲得管理/訪問權(quán)限,進(jìn)行攻擊。 為避免被發(fā)現(xiàn),在入侵完后及時清除登錄日志和其他相關(guān)日志,隱身退出.4.1 知識要點4.1.2 黑客的

6、攻擊步驟1.黑客攻擊的過程 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)過程，圖4-1是攻擊過程的示意圖. 討論思考：（1）黑客攻擊的目的與步驟？（2）黑客找到攻擊目標(biāo)后,可以繼續(xù)那幾步的攻擊操作？（3）黑客的行為有哪些？ 用Ping查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的IP 用PortScan掃描企業(yè)內(nèi)部局域網(wǎng)PORT 用WWW hack入侵局域網(wǎng)絡(luò)E-mail 用Legion掃描局域網(wǎng) 植入特洛伊木馬 破解Internet賬號與口令（或密碼） 用IP Network Browser 掃描企業(yè)內(nèi)部局域網(wǎng)IP圖 4-1 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意圖4.2 黑客攻擊的目的及過程 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)過程，圖4-1是攻擊過程

7、的示意4.1 知識要點2.黑客攻擊分類（1）阻塞類攻擊 阻塞類攻擊企圖通過強制占有信道資源、網(wǎng)絡(luò)連接資源、存儲空間資源，使服務(wù)器崩潰或資源耗盡無法對外繼續(xù)提供服務(wù)。常見的攻擊方法有拒絕服務(wù)攻擊(DoS，Denial of Service)、TCP SYN洪泛攻擊、Land攻擊、Smurf攻擊、電子郵件炸彈等。（2）探測類攻擊 信息探測型攻擊主要是收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、系統(tǒng)信息服務(wù)收集等。目前，正在發(fā)展更先進(jìn)的網(wǎng)絡(luò)無蹤跡信息探測技術(shù)。（3）控制類攻擊 控制型攻擊是一類試圖獲得對目標(biāo)機器控制權(quán)的攻擊。最常見的三種：口令攻擊、

8、特洛伊木馬、緩沖區(qū)溢出攻擊?？诹畹慕孬@與破解仍然是最有效的口令攻擊手段，進(jìn)一步的發(fā)展應(yīng)該是研制功能更強的口令破解程序；木馬技術(shù)目前著重研發(fā)更新的隱藏技術(shù)和秘密信道技術(shù)；緩沖區(qū)溢出是一種常用攻擊技術(shù)，早期利用系統(tǒng)軟件自身存在的緩沖區(qū)溢出的缺陷進(jìn)行攻擊，現(xiàn)在研究制造緩沖區(qū)溢出。4.1 知識要點2.黑客攻擊分類（1）阻塞類攻擊4.1 知識要點2.黑客攻擊分類（4）欺騙類攻擊 欺騙類攻擊包括IP欺騙和假消息攻擊，前一種通過冒充合法網(wǎng)絡(luò)主機騙取敏感信息，后一種攻擊主要是通過配制或設(shè)置一些假信息來實施欺騙攻擊。主要包括：ARP緩存虛構(gòu)、DNS高速緩存污染、偽造電子郵件等。（5）漏洞類攻擊 漏洞(Hole)

9、是系統(tǒng)硬件或者軟件存在某種形式的安全方面的脆弱性，這種脆弱性存在的直接后果是允許非法用戶未經(jīng)授權(quán)獲得訪問權(quán)或提高其訪問權(quán)限。針對掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實施的相應(yīng)攻擊，伴隨新發(fā)現(xiàn)的漏洞，攻擊手段不斷翻新，防不勝防。（6）破壞類攻擊 破壞類攻擊指對目標(biāo)機器的各種數(shù)據(jù)與軟件實施破壞的一類攻擊，包括計算機病毒、邏輯炸彈等攻擊手段。邏輯炸彈與計算機病毒的主要區(qū)別：邏輯炸彈沒有感染能力，它不會自動傳播到其他軟件內(nèi)。由于我國使用的大多數(shù)系統(tǒng)都是國外進(jìn)口的，可能存在邏輯炸彈應(yīng)該保持警惕。對于機要部門中的計算機系統(tǒng)，應(yīng)使用自主研發(fā)的軟件為主。4.1 知識要點2.黑客攻擊分類（4）欺騙類攻擊4.1 知識要

10、點4.1.3 常用的黑客攻擊技術(shù) 網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)的入侵和攻擊在所難免，黑客攻擊的防范成為了網(wǎng)絡(luò)安全管理工作的首要任務(wù)，掌握黑客攻擊防御技術(shù)可以有效地預(yù)防攻擊，做到“知己知彼，百戰(zhàn)不殆”。根據(jù)網(wǎng)絡(luò)攻擊的工作流程，下面將從信息收集、網(wǎng)絡(luò)入侵、種植后門及清除痕跡幾個方面常見的攻防技術(shù)進(jìn)行分析，如圖4-2所示。圖4-2 常用的黑客攻防技術(shù)4.1 知識要點4.1.3 常用的黑客攻擊技術(shù) 網(wǎng)絡(luò)環(huán)4.1 知識要點1.端口掃描的攻防 2017年5月12日，“WannaCry”勒索病毒通過MS17-010漏洞在全球范圍大爆發(fā)。遭到感染的計算機中會被植入敲詐者病毒，導(dǎo)致電腦大量文件被加密，只有支付一定的比特幣才

11、可以解鎖。“WannaCry”利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動傳播的特性?！癢annaCry”勒索病毒爆發(fā)后，至少150個國家，30萬用戶中招，造成損失達(dá)80億美元。案例4-2（1）端口的概念 端口是計算機與外部通信的途徑，它的作用如同進(jìn)出一間房屋的大門，起到了通道的作用。在計算機系統(tǒng)中，端口泛指硬件端口，又稱為接口，如計算機的串口、并口、輸入/輸出設(shè)備端口、USB接口以及適配器接口、網(wǎng)絡(luò)連接設(shè)備集線器、交換機、路由器的連接端口等等，這些端口都是看得見摸得著的。4.1 知識要點1.端口掃描的攻防 端口掃描器也稱掃描工具、掃描軟件，是一種自動檢測遠(yuǎn)程或

12、本地主機安全性弱點的程序。掃描器通過選用遠(yuǎn)程TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答，搜集到很多關(guān)于目標(biāo)計算機的各種有用的信息，如是否有端口在偵聽，是否能用匿名登陸，是否有可寫的FTP目錄，是否能用TELNET，HTTPD是用ROOT還是nobady。掃描器不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅能幫助使用者發(fā)現(xiàn)目標(biāo)機的某些內(nèi)在的弱點。一個好的掃描器能對它得到的數(shù)據(jù)進(jìn)行分析，幫助查找目標(biāo)主機的漏洞。一般來說，一個好的掃描器應(yīng)當(dāng)具備三項功能：發(fā)現(xiàn)一個計算機或網(wǎng)絡(luò)的能力；發(fā)現(xiàn)一臺計算機上正在運行什么服務(wù)的能力；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力。4.3 常用的黑客攻防技術(shù)（2）端口掃描及掃描器4

13、.3 常用的黑客攻防技術(shù)（2）端口掃描及掃描器4.3 常用的黑客攻防技術(shù)（3）端口掃描方式端口掃描的基礎(chǔ)是利用TCP端口的連接定向特性，根據(jù)與目標(biāo)計算機某些端口建立的連接的應(yīng)答，從而收集目標(biāo)計算機的有用信息，發(fā)現(xiàn)系統(tǒng)的安全漏洞。掃描的方式主要采用手工掃描和端口掃描軟件。（4）端口掃描攻擊與防范對策1）秘密掃描：不能被用戶使用審查工具檢測出來的掃描。2）SOCKS端口探測：SOCKS是一種允許多臺計算機共享公用Internet連接的系統(tǒng)。如果SOCKS配置有錯誤，將能允許任意的源地址和目標(biāo)地址通行。3）跳躍掃描：攻擊者快速地在Internet中尋找可供他們進(jìn)行跳躍攻擊的系統(tǒng)。FTP 跳躍掃描使用

14、了FTP協(xié)議自身的一個缺陷。其他的應(yīng)用程序，如電子郵件服務(wù)器、HTTP 代理、指針等都存在著攻擊者可用于進(jìn)行跳躍攻擊的弱點。4）UDP 掃描：對 UDP 端口進(jìn)行掃描，尋找開放的端口。4.3 常用的黑客攻防技術(shù)（3）端口掃描方式端口掃描的基礎(chǔ)4.1 知識要點2.網(wǎng)絡(luò)監(jiān)聽的攻防 2014年5月26日，中國互聯(lián)網(wǎng)新聞研究中心發(fā)表了美國全球監(jiān)聽行動記錄，披露美國對其他國家的監(jiān)聽行為。記錄指出美國專門監(jiān)控互聯(lián)網(wǎng)的項目非常龐大，可以監(jiān)控某個目標(biāo)人物的幾乎所有互聯(lián)網(wǎng)活動。美國國家安全局通過接入全球移動網(wǎng)絡(luò)，每天收集全球高達(dá)50億份手機通話的位置記錄以及約20億條全球手機短信。中國有關(guān)部門證實，長期以來美國

15、對中國政府部門、機構(gòu)、企業(yè)、大學(xué)、電信主干網(wǎng)絡(luò)進(jìn)行大規(guī)模監(jiān)控、攻擊以及入侵活動，其監(jiān)聽行動涉及中國領(lǐng)導(dǎo)人、普通網(wǎng)民、廣大手機用戶等。案例4-3（1）網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽又稱為網(wǎng)絡(luò)嗅探，是指通過某種手段監(jiān)視網(wǎng)絡(luò)狀態(tài)，并截獲他人網(wǎng)絡(luò)上通信的數(shù)據(jù)流，以非法獲得重要信息的一種方法。網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式。在此模式下，主機可以接收到本網(wǎng)絡(luò)在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。此時，如果兩臺主機進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具可以輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。4.1 知識要點2.網(wǎng)絡(luò)監(jiān)聽的攻防 4.3 常用的黑客攻防技術(shù)（2）網(wǎng)絡(luò)監(jiān)聽檢測網(wǎng)絡(luò)

16、監(jiān)聽為網(wǎng)絡(luò)管理員提供了管理網(wǎng)絡(luò)的手段，起到監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)、排除網(wǎng)絡(luò)故障等作用，正是由于其對于網(wǎng)絡(luò)強大的監(jiān)測能力，成為了黑客獲取在局域網(wǎng)上傳輸?shù)拿舾行畔⒌囊环N重要手段。以太網(wǎng)是局域網(wǎng)常使用的一種技術(shù)，以太網(wǎng)的工作方式是將要發(fā)送的數(shù)據(jù)幀發(fā)送到同一網(wǎng)絡(luò)中所有的主機，只有與數(shù)據(jù)幀中的目標(biāo)地址一致的主機才能接受數(shù)據(jù)幀。如果將主機的網(wǎng)絡(luò)接口設(shè)置為混雜（promiscuous）模式，則無論接受到的數(shù)據(jù)幀中的目標(biāo)地址是什么，該主機可以接受到所有在以太網(wǎng)上傳輸?shù)臄?shù)據(jù)幀，包括在網(wǎng)絡(luò)上傳輸?shù)目诹畹让舾行畔?。這也就是如Sniffer Pro等的網(wǎng)絡(luò)監(jiān)聽工具的工作原理。通常將網(wǎng)絡(luò)監(jiān)聽攻擊放置在被攻擊主機或網(wǎng)絡(luò)附近，也

17、可將其放在網(wǎng)關(guān)或路由器上，如圖4-3所示。圖4-3 Sniffer軟件工作原理4.3 常用的黑客攻防技術(shù)（2）網(wǎng)絡(luò)監(jiān)聽檢測網(wǎng)絡(luò)監(jiān)聽為網(wǎng)絡(luò)4.3 常用的黑客攻防技術(shù)（3）網(wǎng)絡(luò)監(jiān)聽的防范1）從邏輯或物理上對網(wǎng)絡(luò)分段。通過網(wǎng)絡(luò)分段將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。網(wǎng)絡(luò)分段是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，也是保證網(wǎng)絡(luò)安全的一項措施。2）以交換式集線器代替共享式集線器。網(wǎng)絡(luò)終端用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器，因此，局域網(wǎng)中心交換機進(jìn)行網(wǎng)絡(luò)分段后，仍然面臨被監(jiān)聽的危險。當(dāng)用戶與主機進(jìn)行數(shù)據(jù)通信時，兩臺主機之間的數(shù)據(jù)包（

18、單播包）會被同一臺集線器上的其他用戶所監(jiān)聽，應(yīng)用交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法監(jiān)聽。3）使用加密技術(shù)。若主機設(shè)置為監(jiān)聽模式，則局域網(wǎng)中傳輸?shù)娜魏螖?shù)據(jù)都可以被主機所監(jiān)聽，將原始數(shù)據(jù)經(jīng)過加密后在網(wǎng)絡(luò)上傳輸，即使監(jiān)聽得到的數(shù)據(jù)包往往是亂碼，沒有使用價值。但是使用加密技術(shù)的缺點是影響數(shù)據(jù)傳輸速度，若采用了弱加密技術(shù)的數(shù)據(jù)仍然容易被破解。4）劃分VLAN。運用VLAN（虛擬局域網(wǎng)）技術(shù)，可以將局域網(wǎng)分割成一個個的小段，讓數(shù)據(jù)包在小段內(nèi)傳輸，將以太網(wǎng)通信變?yōu)辄c到點通信，從而可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。5）使用動態(tài)口令技術(shù)，使得監(jiān)聽結(jié)果再次使用時無效。4.3

19、常用的黑客攻防技術(shù)（3）網(wǎng)絡(luò)監(jiān)聽的防范1）從邏輯或4.1 知識要點3.社會工程學(xué)的攻防（1）社會工程學(xué)攻擊社會工程學(xué)攻擊是一種利用社會工程學(xué)來實施的網(wǎng)絡(luò)攻擊行為，通常利用大眾的疏于防范的詭計，騙取對方新任，獲取機密情報。（2）社會工程學(xué)攻擊的防范為了免受社會工程學(xué)攻擊，從以下幾點保持警惕：1）學(xué)會鑒別和防御網(wǎng)絡(luò)攻擊者，知識武裝頭腦，掌握信息是預(yù)防社會工程學(xué)攻擊的最有力工具。2）對于來路不明的服務(wù)供應(yīng)商等人的電子郵件、即時簡訊以及電話，不要輕易提供個人信息；對于未知發(fā)送者電子郵件中的嵌入鏈接和附件，不要隨便點擊和下載。3）關(guān)注網(wǎng)站的URL，盡量手動輸入，避免釣魚網(wǎng)站。4）及時下載和更新操作系統(tǒng)及

20、常用軟件的補丁，預(yù)防漏洞。5）安裝及使用防火墻保護(hù)計算機。4.1 知識要點3.社會工程學(xué)的攻防（1）社會工程學(xué)攻擊4.1 知識要點4.密碼破解的攻防 2012年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。隨后，CSDN“密碼外泄門”持續(xù)發(fā)酵，天涯、世紀(jì)佳緣等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄露。天涯網(wǎng)于12月25日發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露。針對泄露的CSDN用戶口令統(tǒng)計，近45萬用戶使用123456789和12345678做口令；近40萬用戶使用自己的生日做口令；近15萬的用戶使用自己的手機號做口令；近25萬的用戶使用自己的QQ號做口令。其中

21、，設(shè)置成弱口令的用戶占了590萬，只有8000多個用戶的口令里在8個長度以上，并有大寫字母、小寫字母和數(shù)字，并不在常見的口令字典表里。案例4-4黑客依靠獲得計算機或者網(wǎng)絡(luò)系統(tǒng)的賬號和密碼進(jìn)行網(wǎng)絡(luò)攻擊的行為，稱之為“口令攻擊”?？诹钍呛芏嘞到y(tǒng)認(rèn)證用戶的唯一標(biāo)識，這種攻擊的前提是必須得到主機的某個合法用戶的賬號，然后進(jìn)行合法用戶的口令的破解。4.1 知識要點4.密碼破解的攻防 4.3 常用的黑客攻防技術(shù)（1）口令攻擊的方法1）暴力攻擊。暴力攻擊是利用無窮列舉的方法嘗試賬號或口令的方法。針對固定長度的口令，只要有足夠的時間，總能窮舉出所有可能的組合值，如字母、數(shù)字、特殊字符等的組合。2）字典攻擊。字

22、典攻擊是將一些網(wǎng)絡(luò)用戶經(jīng)常使用的口令集中起來存放在一個稱為“口令字典”的文本文件中，通過對字典中的口令逐一進(jìn)行比較猜測口令的方法。3）組合攻擊。實際應(yīng)用中，網(wǎng)絡(luò)系統(tǒng)要求用戶的口令采用字母和數(shù)字的組合，許多用戶將原先的口令尾部添加幾個數(shù)字，組成新的口令，如hello改成hello123，組合口令攻擊對于此類口令的攻擊效果顯著。組合攻擊就是在使用詞典單詞的基礎(chǔ)上，在單詞的后面串接幾個字母和數(shù)字進(jìn)行攻擊的攻擊方式。4）口令存儲攻擊。通常，在操作系統(tǒng)中存儲了一些口令文件，如Windows系統(tǒng)的SAM文件、Linux系統(tǒng)的Shadow文件。用戶的口令信息以明文或者密文的方式存放在這些文件中，黑客只要能夠

23、遠(yuǎn)程控制或者本地操作目標(biāo)主機，那么通過一些技術(shù)手段破解口令文件，獲取到這些口令的明文，這就是口令存儲攻擊。4.3 常用的黑客攻防技術(shù)（1）口令攻擊的方法1）暴力攻擊4.3 常用的黑客攻防技術(shù)（2）口令破解工具口令破解工具是用于破解口令的應(yīng)用程序，大多數(shù)口令破解工具并不是真正意義上的解碼，而是通過嘗試加密后的口令與要解密的口令進(jìn)行比較，直到數(shù)據(jù)一致，則認(rèn)為這個數(shù)據(jù)就是要破解的密碼。（3）密碼破解防范對策通常情況下，網(wǎng)絡(luò)用戶應(yīng)注意以下“5不要”：1）不要選取容易被黑客猜測到的信息做密碼，如生日、手機號碼后幾位等；2）不要將密碼寫到紙上，以免出現(xiàn)泄露或遺失問題；3）不要將密碼保存在電腦或其他磁盤文件

24、中；4）不要讓他人知道，以免增加不必要的損失和免費；5）不要在多個不同系統(tǒng)中使用同一密碼。4.3 常用的黑客攻防技術(shù)（2）口令破解工具口令破解工具是4.1 知識要點5.緩沖器溢出的攻防（1）緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是指通過向緩沖區(qū)寫入超出其長度的大量文件或信息內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令或使得攻擊者篡奪程序運行的控制權(quán)。如果該程序具有足夠的權(quán)限，那么整個網(wǎng)絡(luò)或主機就被控制了，達(dá)到黑客期望的攻擊目的。（2）緩沖區(qū)溢出攻擊的防范方法緩沖區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)。如果能有效地消除緩沖區(qū)溢出的漏洞，則很大一部分的安全威脅可以得到緩解。保護(hù)緩沖區(qū)免受緩沖區(qū)

25、溢出攻擊和影響的方法是提高軟件編寫者的能力，強制編寫正確代碼。利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護(hù)，這個方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對而言代價比較大。4.1 知識要點5.緩沖器溢出的攻防（1）緩沖區(qū)溢出攻擊4.1 知識要點6.拒絕服務(wù)的攻防（1）拒絕服務(wù)攻擊 拒絕服務(wù)攻擊（Denial of Service，DoS），并非微軟的DOS操作系統(tǒng)。DoS攻擊是指黑客利用合理的服務(wù)請求來占用過多的服務(wù)資源，使合法用戶無法得到服務(wù)的響應(yīng)，直至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)的攻擊方式。 DoS攻擊的目的是使目標(biāo)主機停止網(wǎng)絡(luò)服務(wù)，而其它類型的攻擊的目的往往是獲取主機

26、的控制權(quán)利。一旦主機遭受了DoS，其常表現(xiàn)出的現(xiàn)象有：被攻擊的主機上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求；嚴(yán)重時會造成系統(tǒng)死機。4.1 知識要點6.拒絕服務(wù)的攻防（1）拒絕服務(wù)攻擊4.1 知識要點6.拒絕服務(wù)的攻防分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）是利用更多的傀儡機（肉雞）來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者，DDoS是在傳統(tǒng)的DoS攻

27、擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。DDoS的攻擊原理如圖4-4所示，是通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備（如防火墻、路由器等）負(fù)載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的Internet服務(wù)。圖4-4 DDoS的攻擊原理4.1 知識要點6.拒絕服務(wù)的攻防分布式拒絕服務(wù)攻擊（Dis4.1 知識要點（2）常見的拒絕服務(wù)攻擊1）TCP SYN拒絕服務(wù)攻擊。利用了TCP/IP協(xié)議的固有漏洞，面向連接的TCP三次握手是TCP SYN拒絕服務(wù)攻擊存在的基礎(chǔ)。標(biāo)準(zhǔn)的TCP握手需要三次包交換來建立：當(dāng)服務(wù)器接收到客戶機發(fā)送的SYN包后，必須回應(yīng)一個SYN/ACK包，然后等待客戶機回應(yīng)一

28、個ACK包來確認(rèn)，從而建立起真正的連接。如果客戶機只發(fā)送初始的SYN包而不向服務(wù)器發(fā)送確認(rèn)的ACK包，則會導(dǎo)致服務(wù)器一直等待ACK包直到超時為止。由于服務(wù)器在有限的時間內(nèi)只能響應(yīng)有限數(shù)量的連接，這就會導(dǎo)致服務(wù)器一直等待回應(yīng)而無法響應(yīng)其他機器的連接請求。如果客戶機連續(xù)不斷地發(fā)送SYN包，使得目標(biāo)無法響應(yīng)合法用戶的連接請求，就會發(fā)生拒絕服務(wù)，如圖4-5所示。圖4-5 TCP SYN拒絕服務(wù)攻擊4.1 知識要點（2）常見的拒絕服務(wù)攻擊1）TCP SYN拒4.1 知識要點（2）常見的拒絕服務(wù)攻擊2）Smurf攻擊。利用了TCP/IP中的定向廣播特性，廣播信息可以通過廣播地址發(fā)送到整個網(wǎng)絡(luò)中的所有主機，

29、當(dāng)某臺主機使用廣播地址發(fā)送一個ICMP echo請求包時，一些系統(tǒng)會回應(yīng)一個ICMP echo回應(yīng)包，也就是說，發(fā)送一個包會收到許多的響應(yīng)包。Smurf攻擊正是基于這樣的原理來顯示的。為了使網(wǎng)絡(luò)上某臺主機成為被攻擊的對象，將該主機的地址作為發(fā)送源地址，目的地址為廣播地址的包，這樣會有許多的系統(tǒng)響應(yīng)發(fā)送大量的信息給被攻擊的主機。大量的ICMP echo應(yīng)答包會發(fā)送到被攻擊主機而消耗其網(wǎng)絡(luò)帶寬和CPU周期。如圖4-6所示。圖4-6 Smurf攻擊4.1 知識要點（2）常見的拒絕服務(wù)攻擊2）Smurf攻擊。4.1 知識要點（2）常見的拒絕服務(wù)攻擊3）Ping洪流攻擊。利用了早期操作系統(tǒng)在處理ICMP

30、協(xié)議數(shù)據(jù)包時存在的漏洞。早期許多操作系統(tǒng)對TCP/IP協(xié)議的ICMP包長度規(guī)定為固定大小64KB，在接受ICMP數(shù)據(jù)包時，只開辟64KB的緩存區(qū)存儲接受的數(shù)據(jù)包。一旦發(fā)送過來的ICMP數(shù)據(jù)包的實際尺寸超過64KB(65536B)，操作系統(tǒng)將收到的數(shù)據(jù)報文向緩存區(qū)填寫時，報文長度大于64KB，就會產(chǎn)生一個緩存溢出，結(jié)果將導(dǎo)致TCP/IP協(xié)議堆棧的崩潰，造成主機的重啟動或是死機。這種攻擊也被稱為“Ping of Death”。4）淚滴攻擊?！皽I滴”也被稱為分片攻擊，它是一種典型的利用TCP/IP協(xié)議的問題進(jìn)行拒絕服務(wù)攻擊的方式，由于第一個實現(xiàn)這種攻擊的程序名稱為Teardrop，所以這種攻擊也被稱

31、為“淚滴”。淚滴攻擊的工作原理是向被攻擊者發(fā)送多個分片的IP包，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。也就是利用了在TCP/IP堆棧中實現(xiàn)信任IP碎片中的數(shù)據(jù)包的標(biāo)題頭所包含的信息來實現(xiàn)自己的攻擊。5）Land攻擊。與SYN floods類似，不過在Land攻擊包中的源地址和目標(biāo)地址都是攻擊對象的IP。這種攻擊會導(dǎo)致被攻擊的機器死循環(huán)，最終耗盡運行的系統(tǒng)資源而死機，難以正常運行。4.1 知識要點（2）常見的拒絕服務(wù)攻擊3）Ping洪流攻擊4.1 知識要點（3）拒絕服務(wù)攻擊檢測與防范 主要檢測DDoS的方法有2種：根據(jù)異常情況分析和使用DDoS檢測工具。通常

32、，對DDoS的主要防范策略主要包括：1）盡早發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序；2）在網(wǎng)絡(luò)安全管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)； 3）利用網(wǎng)絡(luò)安全設(shè)備（如防火墻）等來加固網(wǎng)絡(luò)的安全性；4）對網(wǎng)絡(luò)安全訪問控制和限制。比較有效的防御措施就是與網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，幫助用戶實現(xiàn)路由的訪問控制和對帶寬總量的限制；5）當(dāng)發(fā)現(xiàn)主機正在遭受DDoS時，應(yīng)當(dāng)啟動應(yīng)付策略，盡快追蹤攻擊包，并及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋已知攻擊節(jié)點的流量；6）對于潛在的DDoS應(yīng)當(dāng)及時清除，以免留下后患。4.1 知識要點（3）拒絕服務(wù)攻擊

33、檢測與防范 主要檢測7. 特洛伊木馬的攻防（1）特洛伊木馬概述 特洛伊木馬（Trojan horse）簡稱“木馬”。黑客借用古希臘神話木馬屠城記其名，將隱藏在正常程序中的一段惡意代碼稱作特洛伊木馬。 木馬系統(tǒng)組成：由硬件部分、軟件部分和連接控制部分組成。一般都包括客戶端和服務(wù)端兩個程序，客戶端用于遠(yuǎn)程控制植入木馬，服務(wù)器端即是木馬程序。 木馬特點：偽裝成一個實用工具、游戲等,誘使用戶下載并將其安裝在PC或服務(wù)器上;侵入用戶電腦并進(jìn)行破壞;一般木馬執(zhí)行文件較小,若將木馬捆綁到其他正常文件上很難發(fā)現(xiàn);木馬可與最新病毒、漏洞工具一起使用,幾乎可躲過殺毒軟件. 4.1 知識要點7. 特洛伊木馬的攻防4

34、.1 知識要點（3）特洛伊木馬攻擊過程4.1 知識要點配置木馬傳播木馬運行木馬泄露信息建立連接遠(yuǎn)程控制（2）木馬的植入方式木馬植入的方式主要是利用點擊鏈接、郵件、下載軟件等，先設(shè)法將木馬程序放置到被攻擊者的系統(tǒng)里，然后通過提示故意誤導(dǎo)被攻擊者打開可執(zhí)行文件（木馬）。木馬也可以通過Script、ActiveX及Asp.CGI交互腳本的方式植入，以及利用系統(tǒng)的一些漏洞進(jìn)行植入，如微軟著名的US服務(wù)器溢出漏洞。植入方式包括：網(wǎng)站植入、升級植入、漏洞植入、U盤植入、程序綁定等方式。（3）特洛伊木馬攻擊過程4.1 知識要點配置木馬傳播木馬運行（4）木馬的防范對策提高安全防范意識，不要輕易打開電子郵件附件

35、，盡管有時并非陌生人的郵件，如果要閱讀，可以先以純文本方式閱讀郵件；在打開或下載文件之前，一定要確認(rèn)文件的來源是否可靠；安裝和使用最新的殺毒軟件，特別是帶有木馬病毒攔截功能的殺毒軟件；監(jiān)測系統(tǒng)文件、注冊表、應(yīng)用進(jìn)程和內(nèi)存等的變化，定期備份文件和注冊表；特別需要注意的是不要輕易運行來歷不明軟件或從網(wǎng)上下載的軟件，即使通過了一般反病毒軟件的檢查也不要輕易運行；即使更新系統(tǒng)漏洞補丁，升級系統(tǒng)軟件和應(yīng)用軟件；不要隨意瀏覽陌生網(wǎng)站，特別是網(wǎng)站上一些廣告條和來歷不明的網(wǎng)絡(luò)鏈接，這些很可能是木馬病毒的入口；在計算機安裝并運行防護(hù)墻。4.1 知識要點（4）木馬的防范對策4.1 知識要點4.1 知識要點 隨著智

36、能手機的應(yīng)用功能越來越強大，原本集中在計算機間傳播的木馬已經(jīng)在手機之間傳播，手機木馬成為了黑客謀取利益、獲取重要信息的主要手段之一。手機木馬一般有兩大特征：一是多以圖片、網(wǎng)址、二維碼的形式偽裝；二是需要用戶點擊下載操作。防范手機木馬要注意以下幾點：不要點擊陌生人發(fā)送的鏈接、二維碼截圖、壓縮包等；不要接受陌生請求，如無線傳輸功能的藍(lán)牙、紅外接收信息時，選擇安全可靠的傳送對象，因為手機病毒會自動搜索無線范圍內(nèi)的設(shè)備進(jìn)行病毒的傳播；安裝手機應(yīng)用要到官網(wǎng)下載，最好仔細(xì)閱讀應(yīng)用授權(quán)說明；不要瀏覽危險網(wǎng)站，比如一些黑客，色情網(wǎng)站，其中本身就隱匿著許多病毒與木馬，手機瀏覽此類網(wǎng)站是非常危險的。4.1 知識要

37、點 隨著智能手機的應(yīng)用功能越來越8. 網(wǎng)絡(luò)欺騙的攻防（1）WWW欺騙 WWW的欺騙是指黑客篡改訪問站點頁面或?qū)⒂脩粢獮g覽的網(wǎng)頁URL改寫為指向黑客的服務(wù)器。 “網(wǎng)絡(luò)釣魚”（Phishing）是指利用欺騙性很強、偽造的Web站點來進(jìn)行詐騙活動,目的在于釣取用戶的賬戶資料,假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益.可被用作網(wǎng)絡(luò)釣魚的攻擊技術(shù)有：URL編碼結(jié)合釣魚技術(shù)，Web漏洞結(jié)合釣魚技術(shù),偽造Email地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。 防范攻擊可以分為兩個方面：其一對釣魚攻擊利用的資源進(jìn)行限制。如Web漏洞是Web服務(wù)提供商可直接修補；郵件服務(wù)商可使用域名反向解析郵件發(fā)送服務(wù)，提

38、醒用戶是否收到匿名郵件;其二及時修補漏洞.如瀏覽器漏洞,須打上補丁.4.1 知識要點8. 網(wǎng)絡(luò)欺騙的攻防4.1 知識要點8. 網(wǎng)絡(luò)欺騙的攻防（2）電子郵件攻擊1）電子郵件攻擊方式 電子郵件欺騙是指攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。電子郵件欺騙的目的主要是在隱藏自己的身份的同時，冒充他人騙取敏感信息。 2）防范電子郵件攻擊的方法 使用郵件程序的Email-notify功能過濾信件，它不會將信件直接從主機上下載下來，只會將所有信件的頭部信息(Headers)送過來，它包含了信件的

39、發(fā)送者，信件的主題等信息；用View功能檢查頭部信息，看到可疑信件，可直接下指令將它從主機Server端刪除掉。拒收某用戶信件方法。在收到某特定用戶的信件后,自動退回(相當(dāng)于查無此人)。4.1 知識要點8. 網(wǎng)絡(luò)欺騙的攻防4.1 知識要點8. 網(wǎng)絡(luò)欺騙的攻防（3）IP欺騙 IP欺騙是黑客的一種攻擊形式。黑客在與網(wǎng)絡(luò)上的目標(biāo)計算機通信時，借用第三方的IP地址，從而冒充另一臺計算機與目標(biāo)計算機的通信。這是利用了TCP/IP協(xié)議的缺陷，根據(jù)IP協(xié)議，數(shù)據(jù)包的頭部包含源地址和目的地址。而一般情況下，路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時，只根據(jù)目的地址查路由表并轉(zhuǎn)發(fā)，并不檢查源地址。黑客正是利用這一缺陷，在向目的計算機

40、發(fā)送數(shù)據(jù)包時，將源地址改寫為被攻擊者的IP地址，這樣這個數(shù)據(jù)包在到達(dá)目標(biāo)計算機后，便可能向被攻擊者進(jìn)行回應(yīng)，這就是所謂的IP地址欺騙攻擊。4.1 知識要點8. 網(wǎng)絡(luò)欺騙的攻防4.1 知識要點9. 種植后門4.1 知識要點 黑客實施攻擊后，為了保持對侵入的主機保持長久控制，常會在主機上種植網(wǎng)絡(luò)后門，方便日后再次通過后門入侵系統(tǒng)。建立的后門應(yīng)使得系統(tǒng)管理員無法阻止攻擊者再次進(jìn)入系統(tǒng)，同時使攻擊者在系統(tǒng)中不易被發(fā)現(xiàn)，攻擊者再次進(jìn)入系統(tǒng)的時間開銷少。 后門程序是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。最初是軟件程序員為了便于修改程序設(shè)計中的缺陷而在軟件開發(fā)階段創(chuàng)建的后門程序，逐漸被黑客

41、加以利用，成為了黑客入侵和控制攻擊目標(biāo)的一種途徑。后門也可以說是一種登錄系統(tǒng)的方法，作為一種黑客工具，不用于計算機病毒具有感染性，后門是為了繞過系統(tǒng)已有的安全設(shè)置，方便的進(jìn)入系統(tǒng)。9. 種植后門4.1 知識要點 黑客實施攻擊后，為10. 清除痕跡4.1 知識要點 黑客一旦入侵過系統(tǒng)，并非毫無痕跡留下，系統(tǒng)會記錄黑客的IP地址以及相應(yīng)操作事件，系統(tǒng)管理員可以通過有關(guān)的文件記錄查找出入侵證據(jù)。因此，黑客在完成入侵任務(wù)后，除了斷開與遠(yuǎn)程主機/服務(wù)器的連接之外，還要盡可能的避免留下攻擊取證數(shù)據(jù)，同時為后續(xù)的攻擊作好準(zhǔn)備，黑客需要清除攻擊痕跡。刪除事件日志是黑客用來清除攻擊痕跡的最主要手段。入侵者可以遠(yuǎn)

42、程控制主機，對該系統(tǒng)的日志文件進(jìn)行手工清除，也可以編寫批處理文件實現(xiàn)對日志文件的清除，另外，利用第三方軟件來清除一些手動難以清除的系統(tǒng)日志也是常用的方法。10. 清除痕跡4.1 知識要點 黑客一旦入侵4.1.4 網(wǎng)絡(luò)攻擊的防范策略 在主觀上重視，客觀上積極采取措施。制定規(guī)章制度和管理制度，普及網(wǎng)絡(luò)安全教育，使用戶需要掌握網(wǎng)絡(luò)安全知識和有關(guān)的安全策略。在管理上應(yīng)當(dāng)明確安全對象，建立強有力的安全保障體系，按照安全等級保護(hù)條例對網(wǎng)絡(luò)實施保護(hù)與監(jiān)督。認(rèn)真制定有針對性的防攻措施，采用科學(xué)的方法和行之有效的技術(shù)手段，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，使每一層都成為一道關(guān)卡,從而讓攻擊者無隙可鉆、無計可使.在技術(shù)

43、上要注重研發(fā)新方法，同時還必須做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份（如主機系統(tǒng)日志）、關(guān)閉不用的主機服務(wù)端口、終止可疑進(jìn)程和避免使用危險進(jìn)程、查詢防火墻日志詳細(xì)記錄、修改防火墻安全策略等。 4.1 知識要點4.1.4 網(wǎng)絡(luò)攻擊的防范策略 4.1 知識要點4.1.4 網(wǎng)絡(luò)攻擊的防范措施1）加強網(wǎng)絡(luò)安全防范法律法規(guī)等宣傳和教育，提高安全防范意識。2）加固網(wǎng)絡(luò)系統(tǒng)，及時下載、安裝系統(tǒng)補丁程序。3）盡量避免從Internet下載不知名的軟件、游戲程序。4）不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不熟悉的人給用戶的程序。5）不隨便運行黑客程序，不少這類程序運行時會發(fā)出用戶的個人信息。6）在

44、支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看源地址及代碼，可能是騙取密碼的陷阱7）設(shè)置安全密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼最好經(jīng)常更換。8）使用防病毒/黑客等防火墻軟件,以阻檔外部網(wǎng)絡(luò)侵入。 9）隱藏自已的IP地址。 10) 切實做好端口防范.安裝端口監(jiān)視程序,關(guān)閉不用端口。11) 加強IE瀏覽器對網(wǎng)頁的安全防護(hù)。12) 上網(wǎng)前備份注冊表。13）加強管理。4.1 知識要點討論思考：（1）為什么要防范黑客攻擊？如何防范黑客攻擊？（2）簡述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？（3）說出幾種通過對IE屬性的設(shè)置來提高IE訪問網(wǎng)頁的安全性的具體措施？4.1.4 網(wǎng)絡(luò)攻擊的防范措施4.

45、1 知識要點討論思考：4.1.5 入侵檢測系統(tǒng)的概念1. 入侵檢測系統(tǒng)（1）入侵檢測相關(guān)概念 入侵是對信息系統(tǒng)的非授權(quán)訪問及未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作，而入侵檢測（Intrusion Detection，ID）是就是對正在入侵或已經(jīng)發(fā)生的入侵行為的檢測和識別。根據(jù)國標(biāo)GB/T18336給出的定義，入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。 入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是指對入侵行為自動進(jìn)行檢測、監(jiān)控和分析過程的軟件與硬件的組合系統(tǒng)，是一種自動監(jiān)測信息系統(tǒng)內(nèi)、外入侵事件的安全設(shè)備。入侵檢測系統(tǒng)可以稱為防火墻之后的第二道防線，在網(wǎng)絡(luò)受到攻擊時，發(fā)出警報或采取一定的干預(yù)措施，與防火墻形成互補，通過合理搭配部署和聯(lián)動提升網(wǎng)絡(luò)安全級別。 4.1 知識要點4.1.5 入侵檢測系統(tǒng)的概念 4.1 知識要點（2）入侵檢測系統(tǒng)的主要功能一般的入侵檢測系統(tǒng)的主要功能包括如下幾個。1）具有對網(wǎng)絡(luò)流量的跟蹤與分析功能。跟蹤用戶從進(jìn)入網(wǎng)絡(luò)到退出網(wǎng)絡(luò)的所有活動，實時監(jiān)測