《網(wǎng)絡(luò)安全攻防技術(shù)》講義知識(shí)點(diǎn)歸納(精簡(jiǎn)后)

第1講：網(wǎng)絡(luò)安全概述1、計(jì)算機(jī)網(wǎng)絡(luò)：我們講的計(jì)算機(jī)網(wǎng)絡(luò),其實(shí)就是利用通訊設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來(lái),以功能完善的網(wǎng)絡(luò)軟件（即網(wǎng)絡(luò)通信協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等）實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。它的功能最主要的表現(xiàn)在兩個(gè)方面:一是實(shí)現(xiàn)資源共享（包括硬件資源和軟件資源的共享）;二是在用戶(hù)之間交換信息。計(jì)算機(jī)網(wǎng)絡(luò)的作用是:不僅使分散在網(wǎng)絡(luò)各處的計(jì)算機(jī)能共享網(wǎng)上的所有資源,并且為用戶(hù)提供強(qiáng)有力的通信手段和盡可能完善的服務(wù),從而極大的方便用戶(hù)。從網(wǎng)管的角度來(lái)講,說(shuō)白了就是運(yùn)用技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)間的信息傳遞,同時(shí)為用戶(hù)提供服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)通常由三個(gè)部分組成,它們是資源子網(wǎng)、通信子網(wǎng)和通信協(xié)議。所謂通信子網(wǎng)就是計(jì)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分;資源子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶(hù)的部分,負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作;而通信雙方必須共同遵守的規(guī)則和約定就稱(chēng)為通信協(xié)議,它的存在與否是計(jì)算機(jī)網(wǎng)絡(luò)與一般計(jì)算機(jī)互連系統(tǒng)的根本區(qū)別。2、計(jì)算機(jī)網(wǎng)絡(luò)安全的定義（從狹義的保護(hù)角度來(lái)看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義來(lái)說(shuō)，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。）3、本課程中網(wǎng)絡(luò)安全：指網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，服務(wù)不中斷。（主要指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，保護(hù)在公有通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)信息的機(jī)密性、完整性和真實(shí)性，并對(duì)信息的傳播及內(nèi)容具有控制能力，不涉及網(wǎng)絡(luò)可靠性、信息可控性、可用性和互操作性等領(lǐng)域。）網(wǎng)絡(luò)安全的主體是保護(hù)網(wǎng)絡(luò)上的數(shù)據(jù)和通信的安全。1）數(shù)據(jù)安全性是一組程序和功能，用來(lái)阻止對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的泄漏、轉(zhuǎn)移、修改和破壞。2）通信安全性是一些保護(hù)措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，并依要求對(duì)具備通信安全性的信息采取物理安全性措施。注意，此處網(wǎng)絡(luò)安全在不同的環(huán)境和應(yīng)用中有不同的解釋?zhuān)⒁鈪^(qū)分：1）計(jì)算機(jī)及系統(tǒng)安全。包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的保護(hù)，法律政策的保護(hù)，計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)安全性考慮，硬件系統(tǒng)的可靠安全運(yùn)行，計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全，數(shù)據(jù)庫(kù)系統(tǒng)的安全，電磁信息泄露的防護(hù)等。本質(zhì)上是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行。2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶(hù)口令鑒別、用戶(hù)存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問(wèn)題跟蹤、計(jì)算機(jī)病毒防治和數(shù)據(jù)加密等。3）網(wǎng)絡(luò)上信息傳播的安全。包括信息過(guò)濾等。它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者進(jìn)行有損于合法用戶(hù)的行為。本質(zhì)上是保護(hù)用戶(hù)的利益和隱私。4、安全的主要屬性：完整性、保密性、可用性、不可抵賴(lài)性、可靠性。安全的其他屬性：可控性、可審查性、真實(shí)性（注：一般通過(guò)認(rèn)證、訪問(wèn)控制來(lái)實(shí)現(xiàn)真實(shí)性）。5、網(wǎng)絡(luò)安全的主要威脅因素：信息系統(tǒng)自身安全的脆弱性、操作系統(tǒng)與應(yīng)用程序漏洞、安全管理問(wèn)題、黑客攻擊、網(wǎng)絡(luò)犯罪。第2講網(wǎng)絡(luò)攻擊階段、技術(shù)及防范策略1、黑客與駭客。根本的區(qū)別在于是否以犯罪為目的。黑客是指利用計(jì)算機(jī)技術(shù)，非法入侵或者擅自操作他人（包括國(guó)家機(jī)關(guān)、社會(huì)組織及個(gè)人）計(jì)算機(jī)信息系統(tǒng)，對(duì)電子信息交流安全具有不同程度的威脅性和危害性的人（一般是研究為主）。駭客指利用計(jì)算機(jī)技術(shù)，非法入侵并擅自操作他人計(jì)算機(jī)信息系統(tǒng)，對(duì)系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干擾、破壞，或者非法侵入計(jì)算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源，實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或其他犯罪的人（一般是犯罪為主）。駭客包括在黑客概念之中，前者基本上是計(jì)算機(jī)犯罪的主體，后者的行為不一定都構(gòu)成犯罪。2、 網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術(shù)、電子郵件攻擊、通過(guò)一個(gè)節(jié)點(diǎn)攻擊另一節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽(tīng)、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。3、 網(wǎng)絡(luò)攻擊過(guò)程一般可以分為本地入侵和遠(yuǎn)程入侵。4、 遠(yuǎn)程攻擊的一般過(guò)程：遠(yuǎn)程攻擊的準(zhǔn)備階段、遠(yuǎn)程攻擊的實(shí)施階段、遠(yuǎn)程攻擊的善后階段。5、 遠(yuǎn)程攻擊的準(zhǔn)備階段：確定攻擊目標(biāo)、信息收集、服務(wù)分析、系統(tǒng)分析、漏洞分析。6、 常見(jiàn)的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵型攻擊——這種攻擊要獲得一定的權(quán)限才能達(dá)到控制攻擊目標(biāo)的目的。應(yīng)該說(shuō)這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因?yàn)楣粽咭坏┱莆樟艘欢ǖ臋?quán)限、甚至是管理員權(quán)限就可以對(duì)目標(biāo)做任何動(dòng)作，包括破壞性質(zhì)的攻擊。7、信息收集階段：利用一切公開(kāi)的、可利用的信息來(lái)調(diào)查攻擊目標(biāo)。包括目標(biāo)的操作系統(tǒng)類(lèi)型及版本、相關(guān)軟件的類(lèi)型、版本及相關(guān)的社會(huì)信息。包括以下技術(shù)：低級(jí)技術(shù)偵察、Web搜索、Whois數(shù)據(jù)庫(kù)、域名系統(tǒng)（DNS）偵察。8、 低級(jí)技術(shù)偵察，分別解釋?zhuān)荷缃还こ?、物理闖入、垃圾搜尋。9、 確定目標(biāo)主機(jī)采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）10、 遠(yuǎn)程攻擊的實(shí)施階段：作為破壞性攻擊，可以利用工具發(fā)動(dòng)攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權(quán)限。包括三個(gè)過(guò)程：預(yù)攻擊探測(cè)：為進(jìn)一步入侵提供有用信息；口令破解與攻擊提升權(quán)限；實(shí)施攻擊：緩沖區(qū)溢出、拒絕服務(wù)、后門(mén)、木馬、病毒。11、 遠(yuǎn)程攻擊常用的攻擊方法：第一類(lèi)：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問(wèn)權(quán)：基于堆棧的緩沖區(qū)溢出、密碼猜測(cè)、網(wǎng)絡(luò)應(yīng)用程序攻擊。第二類(lèi)：使用網(wǎng)絡(luò)攻擊獲得訪問(wèn)權(quán):嗅探、IP地址欺騙、會(huì)話劫持。第三類(lèi)：拒絕服務(wù)攻擊。12、 遠(yuǎn)程攻擊的善后階段：維護(hù)訪問(wèn)權(quán)、掩蓋蹤跡和隱藏。攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡(jiǎn)單的方法就是刪除日志文件。但這也明確無(wú)誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對(duì)日志文件中有關(guān)自己的那部分作修改。13：黑客入侵的一般完整模式：隱藏自己f踩點(diǎn)f掃描f查點(diǎn)f分析并入侵f獲取權(quán)限f擴(kuò)大范圍f安裝后門(mén)一清除日志并隱身。（注意：一般完整的攻擊過(guò)程都是先隱藏自己，然后再進(jìn)行踩點(diǎn)或預(yù)攻擊探測(cè)，檢測(cè)目標(biāo)計(jì)算機(jī)的各種屬性和具備的被攻擊條件，然后采取相應(yīng)的攻擊方法進(jìn)行破壞，達(dá)到自己的目的，之后攻擊者會(huì)刪除自己的行為日志。）14、為防止黑客入侵，個(gè)人用戶(hù)常見(jiàn)防護(hù)措施：防火墻、殺毒軟件定期升級(jí)和殺毒、定期及時(shí)升級(jí)系統(tǒng)和軟件補(bǔ)丁、定期備份系統(tǒng)或重要文件、加密重要文件、關(guān)閉不常用端口、關(guān)閉不常用程序和服務(wù)、發(fā)現(xiàn)系統(tǒng)異常立刻檢查。15：網(wǎng)絡(luò)管理常用的防護(hù)措施：完善安全管理制度、采用訪問(wèn)控制措施、運(yùn)行數(shù)據(jù)加密措施、數(shù)據(jù)備份與恢復(fù)。16、物理環(huán)境的安全性體現(xiàn)：包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。第3講：掃描與防御技術(shù)1、 掃描器：掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。集成了常用的各種掃描技術(shù)。掃描器的掃描對(duì)象：能自動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)和攻擊遠(yuǎn)端或本地的端口和服務(wù)，并自動(dòng)收集和記錄目標(biāo)主機(jī)的各項(xiàng)反饋信息。掃描器對(duì)網(wǎng)絡(luò)安全的作用：據(jù)此提供一份可靠的安全性分析報(bào)告，報(bào)告可能存在的脆弱性。2、 網(wǎng)絡(luò)掃描器的主要功能：掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開(kāi)/關(guān)機(jī)）、識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽(tīng)/關(guān)閉）、識(shí)別目標(biāo)主機(jī)操作系統(tǒng)的類(lèi)型和版本、識(shí)別目標(biāo)主機(jī)服務(wù)程序的類(lèi)型和版本、分析目標(biāo)主機(jī)、目標(biāo)網(wǎng)絡(luò)的漏洞（脆弱點(diǎn)）、生成掃描結(jié)果報(bào)告。3、 網(wǎng)絡(luò)掃描的作用：可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可能被黑客利用的漏洞。4、 網(wǎng)絡(luò)漏洞：網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性，安全漏洞的存在導(dǎo)致非法用戶(hù)入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問(wèn)權(quán)限，造成信息篡改、拒絕服務(wù)或系統(tǒng)崩潰等問(wèn)題。5、 一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類(lèi)型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息。第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。6、 網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃描、操作系統(tǒng)探測(cè)、穿透防火墻探測(cè)、端口掃描、漏洞掃描等：1）PING掃描用于掃描第一階段，識(shí)別系統(tǒng)是否活動(dòng)。2）OS探測(cè)、穿透防火墻探測(cè)、端口掃描用于掃描第二階段。OS探測(cè)是對(duì)目標(biāo)主機(jī)運(yùn)行的OS進(jìn)行識(shí)別；穿透防火墻探測(cè)用于獲取被防火墻保護(hù)的網(wǎng)絡(luò)資料；端口掃描是通過(guò)與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽(tīng)或運(yùn)行狀態(tài)的服務(wù)。3）漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎(chǔ)上，進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存在的安全漏洞。7、 漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：1）基于漏洞庫(kù)的特征匹配：通過(guò)端口掃描得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)后，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存在；2）基于模擬攻擊：通過(guò)模擬黑客的攻擊手段，編寫(xiě)攻擊模塊，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。8、 常用掃描工具：SATAN、Nmap、Nessus、X-scan9、 掃描技術(shù)一般可以分為主動(dòng)掃描和被動(dòng)掃描兩種，它們的共同點(diǎn)在于在其執(zhí)行的過(guò)程中都需要與受害主機(jī)互通正?；蚍钦５臄?shù)據(jù)報(bào)文。其中主動(dòng)掃描是主動(dòng)向受害主機(jī)發(fā)送各種探測(cè)數(shù)據(jù)包，根據(jù)其回應(yīng)判斷掃描的結(jié)果。被動(dòng)掃描由其性質(zhì)決定，它與受害主機(jī)建立的通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，而且被動(dòng)掃描不會(huì)向受害主機(jī)發(fā)送大規(guī)模的探測(cè)數(shù)據(jù)。10、 掃描的防御技術(shù)：反掃描技術(shù)、端口掃描監(jiān)測(cè)工具、防火墻技術(shù)、審計(jì)技術(shù)、其它防御技術(shù)。11、 防范主動(dòng)掃描可以從以下幾個(gè)方面入手：（1）減少開(kāi)放端口，做好系統(tǒng)防護(hù)；（2）實(shí)時(shí)監(jiān)測(cè)掃描，及時(shí)做出告警；（3）偽裝知名端口，進(jìn)行信息欺騙。12、 被動(dòng)掃描防范方法到目前為止只能采用信息欺騙（如返回自定義的banner信息或偽裝知名端口）這一種方法。13、 防火墻技術(shù)是一種允許內(nèi)部網(wǎng)接入外部網(wǎng)絡(luò)，但同時(shí)又能識(shí)別和抵抗非授權(quán)訪問(wèn)的網(wǎng)絡(luò)技術(shù)，是網(wǎng)絡(luò)控制技術(shù)中的一種。防火墻的目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，控制所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都經(jīng)過(guò)防火墻，并檢查這些信息，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。14、 審計(jì)技術(shù)是使用信息系統(tǒng)自動(dòng)記錄下的網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏感操作和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因查詢(xún)、事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。審計(jì)技術(shù)可以記錄網(wǎng)絡(luò)連接的請(qǐng)求、返回等信息，從中識(shí)別出掃描行為。15：為什么說(shuō)掃描器是一把雙刃劍？掃描器能夠自動(dòng)的掃描檢測(cè)本地和遠(yuǎn)程系統(tǒng)的弱點(diǎn)，為使用者提供幫助。系統(tǒng)或網(wǎng)絡(luò)管理員可以利用它來(lái)檢測(cè)其所管理的網(wǎng)絡(luò)和主機(jī)中存在哪些漏洞，以便及時(shí)打上補(bǔ)丁，增加防護(hù)措施，或用來(lái)對(duì)系統(tǒng)進(jìn)行安全等級(jí)評(píng)估。黑客可以利用它來(lái)獲取主機(jī)信息，尋找具備某些弱點(diǎn)的主機(jī)，為進(jìn)一步攻擊做準(zhǔn)備。因此，掃描器是一把雙刃劍。普通用戶(hù)對(duì)掃描的防御：用戶(hù)要減少開(kāi)放的端口，關(guān)閉不必的服務(wù)，合理地配置防火墻，以防范掃描行為。第4講：網(wǎng)絡(luò)監(jiān)聽(tīng)及防御技術(shù)1、網(wǎng)絡(luò)監(jiān)聽(tīng)的概念：網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)（NetworkSniffing），是一種在他方未察覺(jué)的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)對(duì)于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)，它是了解網(wǎng)絡(luò)運(yùn)行狀況的有力助手，對(duì)黑客而言，它是有效收集信息的手段。網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的能力范圍目前只限于局域網(wǎng)。2：嗅探器（sniffer）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)。1）嗅探攻擊的基本原理是：當(dāng)網(wǎng)卡被設(shè)置為混雜接收模式時(shí)，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會(huì)被網(wǎng)卡接收，然后把這些數(shù)據(jù)傳給嗅探程序，分析出攻擊者想要的敏感信息，如賬號(hào)、密碼等，這樣就實(shí)現(xiàn)了竊聽(tīng)的目的。2）嗅探器造成的危害：能夠捕獲口令；能夠捕獲專(zhuān)用的或者機(jī)密的信息；可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限；窺探低級(jí)的協(xié)議信息。被動(dòng)嗅探入侵往往是黑客實(shí)施一次實(shí)際劫持或入侵的第一步。3）Sniffer的正面應(yīng)用：在系統(tǒng)管理員角度來(lái)看，網(wǎng)絡(luò)監(jiān)聽(tīng)的主要用途是進(jìn)行數(shù)據(jù)包分析，通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件，管理員可以觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包，從而快速的進(jìn)行網(wǎng)絡(luò)故障定位。4）Sniffer的反面應(yīng)用：入侵者與管理員感興趣的（對(duì)數(shù)據(jù)包進(jìn)行分析）有所不同，入侵者感興趣的是數(shù)據(jù)包的內(nèi)容，尤其是賬號(hào)、口令等敏感內(nèi)容。3、 網(wǎng)絡(luò)傳輸技術(shù)：廣播式和點(diǎn)到點(diǎn)式。廣播式網(wǎng)絡(luò)傳輸技術(shù)：僅有一條通信信道，由網(wǎng)絡(luò)上的所有機(jī)器共享。信道上傳輸?shù)姆纸M可以被任何機(jī)器發(fā)送并被其他所有的機(jī)器接收。點(diǎn)到點(diǎn)網(wǎng)絡(luò)傳輸技術(shù)：點(diǎn)到點(diǎn)網(wǎng)絡(luò)由一對(duì)對(duì)機(jī)器之間的多條連接構(gòu)成，分組的傳輸是通過(guò)這些連接直接發(fā)往目標(biāo)機(jī)器，因此不存在發(fā)送分組被多方接收的問(wèn)題。4、 網(wǎng)卡的四種工作模式：（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無(wú)論其目的MAC地址是什么。5、 共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)。共享式局域網(wǎng)是基于廣播的方式來(lái)發(fā)送數(shù)據(jù)的，因?yàn)榧€器不能識(shí)別幀，所以它就不知道一個(gè)端口收到的幀應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡(luò)上所有的主機(jī)都可以收到這些幀。如果共享式局域網(wǎng)中的一臺(tái)主機(jī)的網(wǎng)卡被設(shè)置成混雜模式狀態(tài)的話，那么，對(duì)于這臺(tái)主機(jī)的網(wǎng)絡(luò)接口而言，任何在這個(gè)局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦?tīng)到的。主機(jī)的這種狀態(tài)也就是監(jiān)聽(tīng)模式。處于監(jiān)聽(tīng)模式下的主機(jī)可以監(jiān)聽(tīng)到同一個(gè)網(wǎng)段下的其他主機(jī)發(fā)送信息的數(shù)據(jù)包。6、在實(shí)際應(yīng)用中，監(jiān)聽(tīng)時(shí)存在不需要的數(shù)據(jù)，嚴(yán)重影響了系統(tǒng)工作效率。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊過(guò)濾機(jī)制的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵。信息的過(guò)濾包括以下幾種：站過(guò)濾，協(xié)議過(guò)濾，服務(wù)過(guò)濾，通用過(guò)濾。同時(shí)根據(jù)過(guò)濾的時(shí)間，可以分為兩種過(guò)濾方式：捕獲前過(guò)濾、捕獲后過(guò)濾。7、 交換式以太網(wǎng)就是用交換機(jī)或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口。因?yàn)槎丝陂g的幀傳輸彼此屏蔽，因此節(jié)點(diǎn)就不擔(dān)心自己發(fā)送的幀會(huì)被發(fā)送到非目的節(jié)點(diǎn)中去。交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡(luò)監(jiān)聽(tīng)的困擾。8、 交換機(jī)的安全性也面臨著嚴(yán)峻的考驗(yàn)，隨著嗅探技術(shù)的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來(lái)實(shí)現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽(tīng)：溢出攻擊；ARP欺騙（常用技術(shù)）。9、 溢出攻擊：交換機(jī)工作時(shí)要維護(hù)一張MAC地址與端口的映射表。但是用于維護(hù)這張表的內(nèi)存是有限的。如用大量的錯(cuò)誤MAC地址的數(shù)據(jù)幀對(duì)交換機(jī)進(jìn)行攻擊，交換機(jī)就可能出現(xiàn)溢出。這時(shí)交換機(jī)就會(huì)退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽(tīng)就很容易了。10、 ARP的工作過(guò)程:⑴主機(jī)A不知道主機(jī)B的MAC地址，以廣播方式發(fā)出一個(gè)含有主機(jī)B的IP地址的ARP請(qǐng)求；（2）網(wǎng)內(nèi)所有主機(jī)受到ARP請(qǐng)求后，將自己的IP地址與請(qǐng)求中的IP地址相比較，僅有B做出ARP響應(yīng)，其中含有自己的MAC地址；（3）主機(jī)A收到B的ARP響應(yīng)，將該條IP-MAC映射記錄寫(xiě)入ARP緩存中，接著進(jìn)行通信。11、 ARP欺騙：計(jì)算機(jī)中維護(hù)著一個(gè)IP-MAC地址對(duì)應(yīng)表，記錄了IP地址和MAC地址之間的對(duì)應(yīng)關(guān)系。該表將隨著ARP請(qǐng)求及響應(yīng)包不斷更新。通過(guò)ARP欺騙，改變表里的對(duì)應(yīng)關(guān)系，攻擊者可以成為被攻擊者與交換機(jī)之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機(jī)的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。12、監(jiān)聽(tīng)的防御：1） 通用策略：a、采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少；b、數(shù)據(jù)加密技術(shù)：數(shù)據(jù)通道加密（SSH、SSL和VPN）；數(shù)據(jù)內(nèi)容加密（PGP）。2） 共享網(wǎng)絡(luò)下的防監(jiān)聽(tīng)：檢測(cè)處于混雜模式的網(wǎng)卡；檢測(cè)網(wǎng)絡(luò)通訊丟包率；檢測(cè)網(wǎng)絡(luò)帶寬反?，F(xiàn)象。3） 交換網(wǎng)絡(luò)下的防監(jiān)聽(tīng)：主要要防止ARP欺騙及ARP過(guò)載。交換網(wǎng)絡(luò)下防范監(jiān)聽(tīng)的措施主要包括：a.不要把網(wǎng)絡(luò)安全信任關(guān)系建立在單一的IP或MAC基礎(chǔ)上，理想的關(guān)系應(yīng)該建立在IP-MAC對(duì)應(yīng)關(guān)系的基礎(chǔ)上。b.使用靜態(tài)的ARP或者IP-MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP-MAC對(duì)應(yīng)表，禁止自動(dòng)更新，使用手動(dòng)更新。c.定期檢查ARP請(qǐng)求，使用ARP監(jiān)視工具，例如ARPWatch等監(jiān)視并探測(cè)ARP欺騙。d.制定良好的安全管理策略，加強(qiáng)用戶(hù)安全意識(shí)。第5講：口令破解與防御技術(shù)1、 口令的作用：2、 口令破解獲得口令的思路：3、 手工破解的步驟一般為：4、 自動(dòng)破解：5、 口令破解方式：6、 詞典攻擊：7、 強(qiáng)行攻擊：8、 組合攻擊9、 社會(huì)工程學(xué)10、重放：11、Windows的口令文件：12、 Windows的訪問(wèn)控制過(guò)程：13、 口令攻擊的防御：1） 好的口令：2） 保持口令的安全要點(diǎn)：3） 強(qiáng)口令？14、 對(duì)稱(chēng)加密方法加密和解密都使用同一個(gè)密鑰。如果我加密一條消息讓你來(lái)破解，你必須有與我相同的密鑰來(lái)解密。這和典型的門(mén)鎖相似。如果我用鑰匙鎖上門(mén)，你必須使用同一把鑰匙打開(kāi)門(mén)。15、 不對(duì)稱(chēng)加密使用兩個(gè)密鑰克服了對(duì)稱(chēng)加密的缺點(diǎn)：公鑰和私鑰。私鑰僅為所有者所知，不和其他任何人共享；公鑰向所有會(huì)和用戶(hù)通信的人公開(kāi)。用用戶(hù)的公鑰加密的東西只能用用戶(hù)的私鑰解開(kāi)，所以這種方法相當(dāng)有效。別人給用戶(hù)發(fā)送用用戶(hù)的公鑰加密的信息，只有擁有私鑰的人才能解開(kāi)。16、隨著生物技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，人們發(fā)現(xiàn)人的許多生理特征如指紋、掌紋、面孔、聲音、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)定性，每個(gè)人的這些特征都與別人不同，且終身不變，也不可能復(fù)制。這使得通過(guò)識(shí)別用戶(hù)的這些生理特征來(lái)認(rèn)證用戶(hù)身份的安全性遠(yuǎn)高于基于口令的認(rèn)證方式。利用生理特征進(jìn)行生物識(shí)別的方法主要有指紋識(shí)別、虹膜識(shí)別、掌紋識(shí)別、面像識(shí)別；其中，虹膜和指紋識(shí)別被公認(rèn)為是最可靠的兩種生物識(shí)別。利用行為特征進(jìn)行識(shí)別的主要有：聲音、筆跡和擊鍵識(shí)別等。第6講：欺騙攻擊及防御技術(shù)1、 在Internet上計(jì)算機(jī)之間相互進(jìn)行的交流建立在兩個(gè)前提之下：2、 欺騙：3、 目前比較流行的欺騙攻擊主要有5種：4、 最基本的IP欺騙技術(shù)：5、 TCP會(huì)話劫持：6、TCP會(huì)話劫持過(guò)程：7、 IP欺騙攻擊的防御：8、 ARP欺騙攻擊9、ARP欺騙原理：10、 ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：、檢測(cè)局域網(wǎng)中存在ARP欺騙攻擊現(xiàn)象：、ARP欺騙攻擊的防范：13、執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級(jí)別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址；直接使用偽造的E-mail地址；遠(yuǎn)程登錄到SMTP端口發(fā)送郵件。14)電子郵件欺騙的防御：15、DNS欺騙的原理：16、DNS欺騙主要存在兩點(diǎn)局限性：17、DNS欺騙的防御：18、 Web欺騙是一種電子信息欺騙，攻擊者創(chuàng)造了一個(gè)完整的令人信服的Web世界，但實(shí)際上它卻是一個(gè)虛假的復(fù)制。虛假的Web看起來(lái)十分逼真，它擁有相同的網(wǎng)頁(yè)和鏈接。然而攻擊者控制著這個(gè)虛假的Web站點(diǎn)，這樣受害者的瀏覽器和Web之間的所有網(wǎng)絡(luò)通信就完全被攻擊者截獲。Web欺騙能夠成功的關(guān)鍵是在受害者和真實(shí)Web服務(wù)器之間插入攻擊者的Web服務(wù)器，這種攻擊常被稱(chēng)為“中間人攻擊(man-in-the-middle)”。典型案例：網(wǎng)絡(luò)釣魚(yú)。19、 防范Web欺騙的方法：第7講：拒絕服務(wù)攻擊與防御技術(shù)1、 拒絕服務(wù)(DenialofService，簡(jiǎn)稱(chēng)DoS)，是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無(wú)法處理合法用戶(hù)的正常請(qǐng)求，無(wú)法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。簡(jiǎn)單的說(shuō)，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。2、 拒絕服務(wù)攻擊是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。3、 從實(shí)施DoS攻擊所用的思路來(lái)看，DoS攻擊可以分為：4、 典型拒絕服務(wù)攻擊技術(shù)：5、 PingofDeath：6、 淚滴(Teardrop)：7、 Land攻擊：8、 Smurf攻擊9、 分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊10、 分布式拒絕服務(wù)攻擊的軟件一般分為客戶(hù)端、服務(wù)端與守護(hù)程序，這些程序可以使協(xié)調(diào)分散在互聯(lián)網(wǎng)各處的機(jī)器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)遭到來(lái)自不同地方的許多主機(jī)的攻擊。客戶(hù)端：也稱(chēng)攻擊控制臺(tái)，它是發(fā)起攻擊的主機(jī)；服務(wù)端：也稱(chēng)攻擊服務(wù)器，它接受客戶(hù)端發(fā)來(lái)的控制命令；守護(hù)程序：也稱(chēng)攻擊器、攻擊代理，它直接（如SYNFlooding）或者間接（如反射式DDoS）與攻擊目標(biāo)進(jìn)行通信。11、 分布式拒絕服務(wù)攻擊攻擊過(guò)程主要有以下幾個(gè)步驟：12、 被DDoS攻擊時(shí)的現(xiàn)象：13、 DDoS攻擊對(duì)Web站點(diǎn)的影響：14、 拒絕服務(wù)攻擊的防御：15、 DDOS工具產(chǎn)生的網(wǎng)絡(luò)通信信息有兩種：16、 DDoS的唯一檢測(cè)方式是：17、 分布式拒絕服務(wù)攻擊的防御:優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu);保護(hù)網(wǎng)絡(luò)及主機(jī)系統(tǒng)安全;安裝入侵檢測(cè)系統(tǒng);與ISP服務(wù)商合作;使用掃描工具.18、 無(wú)論是DoS還是DDoS攻擊，其目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，表現(xiàn)為制造大流量無(wú)用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法正常和外界通信。利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理其它正常的請(qǐng)求。利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身的實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤的分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)。第8講：緩沖區(qū)溢出攻擊及防御技術(shù)1、 緩沖區(qū)是包含相同數(shù)據(jù)類(lèi)型實(shí)例的一個(gè)連續(xù)的計(jì)算機(jī)內(nèi)存塊。是程序運(yùn)行期間在內(nèi)存中分配的一個(gè)連續(xù)的區(qū)域，可以保存相同數(shù)據(jù)類(lèi)型的多個(gè)實(shí)例，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類(lèi)型。2、 所謂溢出，就是灌滿(mǎn)，使內(nèi)容物超過(guò)頂端，邊緣，或邊界，其實(shí)就是所填充的數(shù)據(jù)超出了原有的緩沖區(qū)邊界。3、 所謂緩沖區(qū)溢出，就是向固定長(zhǎng)度的緩沖區(qū)中寫(xiě)入超出其預(yù)先分配長(zhǎng)度的內(nèi)容，造成緩沖區(qū)中數(shù)據(jù)的溢出，從而覆蓋了緩沖區(qū)周?chē)膬?nèi)存空間。黑客借此精心構(gòu)造填充數(shù)據(jù)，導(dǎo)致原有流程的改變，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲取控制權(quán)。4、 常見(jiàn)緩沖區(qū)溢出類(lèi)型：5、 緩沖區(qū)溢出攻擊的過(guò)程：6、 緩沖區(qū)溢出的真正原因：第9講：Web攻擊及防御技術(shù)1、 Web安全含三個(gè)方面：Web服務(wù)器的安全；Web客戶(hù)端的安全；Web通信信道的安全。2、 針對(duì)Web服務(wù)器的攻擊分為兩類(lèi)：3、 對(duì)Web應(yīng)用危害較大的安全問(wèn)題分別是：4、 Web服務(wù)器指紋：5、 Web頁(yè)面盜竊的目的6、 Web盜竊防御方法：7、 跨站腳本攻擊（CrossSiteScript）：8、 跨站腳本攻擊的危害：9、 跨站腳本漏洞形成的原因：10、 實(shí)現(xiàn)跨站腳本的攻擊至少需要兩個(gè)條件：11、 XSS攻擊最主要目標(biāo)不是Web服務(wù)器本身，而是登錄網(wǎng)站的用戶(hù)。12、 防御跨站腳本攻擊13、 所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。（SQL注入原理：隨著B(niǎo)/S網(wǎng)絡(luò)應(yīng)用的普及，Web應(yīng)用多使用腳本語(yǔ)言（ASP、PHP等）加后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行開(kāi)發(fā)。在這些網(wǎng)絡(luò)程序中，用戶(hù)輸入的數(shù)據(jù)被當(dāng)作命令和查詢(xún)的一部分，送到后臺(tái)的解釋器中解釋執(zhí)行。相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。攻擊者可以提交一段精心構(gòu)造的數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)網(wǎng)頁(yè)返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或者目標(biāo)網(wǎng)站的敏感信息，這就是所謂的SQLInjection，即SQL注入。）14、 SQL注入受影響的系統(tǒng)：15、 SQL注入的防范：第10講：木馬攻擊與防御技術(shù)1、木馬的定義：2、木馬程序的企圖可以對(duì)應(yīng)分為三種:3、木馬的危害：4、木馬的特點(diǎn)：5、木馬實(shí)現(xiàn)原理：6、木馬植入技術(shù)可以大概分為主動(dòng)植入與被動(dòng)植入兩類(lèi)。所謂主動(dòng)植入，就是攻擊者主動(dòng)將木馬程序種到本地或者是遠(yuǎn)程主機(jī)上，這個(gè)行為過(guò)程完全由攻擊者主動(dòng)掌握。而被動(dòng)植入，是指攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動(dòng)等待目標(biāo)系統(tǒng)用戶(hù)的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。7、在Windows系統(tǒng)中木馬程序的自動(dòng)加載技術(shù)主要有：8、隱蔽性是木馬程序與其它程序的重要區(qū)別，想要隱藏木馬的服務(wù)端，可以是偽隱藏，也可以是真隱藏。偽隱藏是指程序的進(jìn)程仍然存在，只不過(guò)是讓它消失在進(jìn)程列表里。真隱藏則是讓程序徹底的消失，不以一個(gè)進(jìn)程或者服務(wù)的方式工作。常見(jiàn)隱藏技術(shù)：9、常見(jiàn)木馬使用的端口：10、反彈窗口的連接技術(shù)與傳統(tǒng)木馬連接技術(shù)相比有何區(qū)別與優(yōu)勢(shì)？11、木馬的遠(yuǎn)程監(jiān)控功能：獲取目標(biāo)機(jī)器信息，記錄用戶(hù)事件，遠(yuǎn)程操作。12、 木馬的檢測(cè)方法：：端口掃描和連接檢查；檢查系統(tǒng)進(jìn)程；檢查ini文件、注冊(cè)表和服務(wù)；監(jiān)視網(wǎng)絡(luò)通訊。13、 木馬的清除與善后：知道了木馬加載的地方，首先要作的當(dāng)然是將木馬登記項(xiàng)刪除，這樣木馬就無(wú)法在開(kāi)機(jī)時(shí)啟動(dòng)了。不過(guò)有些木馬會(huì)監(jiān)視注冊(cè)表，一旦你刪除，它立即就會(huì)恢復(fù)回來(lái)。因此，在刪除前需要將木馬進(jìn)程停止，然后根據(jù)木馬登記的目錄將相應(yīng)的木馬程序刪除。以冰河為例說(shuō)明具體清除步驟并適當(dāng)解釋。1）斷開(kāi)網(wǎng)絡(luò)連接；2）檢查進(jìn)程并掃描；3）首先運(yùn)行注冊(cè)表編輯器，檢查注冊(cè)表中txt文件的關(guān)聯(lián)設(shè)置；4）接著檢查注冊(cè)表中的EXE文件關(guān)聯(lián)設(shè)置；5）進(jìn)入系統(tǒng)目錄System32，刪除冰河木馬的可執(zhí)行文件kernel32.exe和sysexplr.exe；6）修改文件關(guān)聯(lián)；7）重新啟動(dòng)，然后用殺毒軟件對(duì)系統(tǒng)進(jìn)行一次全面的掃描，這樣可以排除遺漏的木馬程序。以網(wǎng)絡(luò)管理員角度在清除木馬后進(jìn)行善后工作：1）判斷特洛伊木馬存在時(shí)間長(zhǎng)短；2）調(diào)查攻擊者在入侵機(jī)器之后有哪些行動(dòng)；3）對(duì)于安全性要求一般的場(chǎng)合，修改所有的密碼，以及其他比較敏感的信息（例如信用卡號(hào)碼等）；4）在安全性要求較高的場(chǎng)合，任何未知的潛在風(fēng)險(xiǎn)都是不可忍受的，必要時(shí)應(yīng)當(dāng)調(diào)整管理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人，徹底檢測(cè)整個(gè)網(wǎng)絡(luò)，修改所有密碼，在此基礎(chǔ)上再執(zhí)行后繼風(fēng)險(xiǎn)分析。對(duì)于被入侵的機(jī)器，重新進(jìn)行徹底的格式化和安裝。14、 木馬的防范：木馬實(shí)質(zhì)上是一個(gè)程序，必須運(yùn)行后才能工作，所以會(huì)在計(jì)算機(jī)的文件系統(tǒng)、系統(tǒng)進(jìn)程表、注冊(cè)表、系統(tǒng)文件和日志等中留下蛛絲馬跡，用戶(hù)可以通過(guò)“查、堵、殺”等方法檢測(cè)和清除木馬。其具體防范技術(shù)方法主要包括：檢查木馬程序名稱(chēng)、注冊(cè)表、系統(tǒng)初始化文件和服務(wù)、系統(tǒng)進(jìn)程和開(kāi)放端口，安裝防病毒軟件，監(jiān)視網(wǎng)絡(luò)通信，堵住控制通路和殺掉可疑進(jìn)程等。常用的防范木馬程序的措施：1）及時(shí)修補(bǔ)漏洞，安裝補(bǔ)丁；2）運(yùn)行實(shí)時(shí)監(jiān)控程序；3）培養(yǎng)風(fēng)險(xiǎn)意識(shí)，不使用來(lái)歷不明的軟件；4）即時(shí)發(fā)現(xiàn)，即時(shí)清除。第11講：計(jì)算機(jī)病毒1、 狹義的計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，且能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒一般依附于其他程序或文檔，是能夠自身復(fù)制，并且產(chǎn)生用戶(hù)不知情或不希望、甚至惡意的操作的非正常程序。但是隨著黑客技術(shù)的發(fā)展，病毒、木馬、蠕蟲(chóng)往往交叉在一起相互借鑒技術(shù)，因此人們經(jīng)常說(shuō)的計(jì)算機(jī)病毒往往是指廣義上的病毒，它是一切惡意程序的統(tǒng)稱(chēng)。2、 計(jì)算機(jī)病毒的特點(diǎn)：3、 計(jì)算機(jī)病毒的破壞性：4、 計(jì)算機(jī)病毒引起的異常狀況：5、 按照計(jì)算機(jī)病毒的鏈接方式分類(lèi)：6、 按照計(jì)算機(jī)病毒的破壞情況分類(lèi)：7、 按寄生方式和傳染途徑分類(lèi)：8、 計(jì)算機(jī)病毒程序的模塊劃分：9、 計(jì)算機(jī)病毒的生命周期：10、病毒傳播途徑：11、病毒感染目標(biāo)：12、計(jì)算機(jī)病毒的觸發(fā)機(jī)制：13、計(jì)算機(jī)病毒的破壞機(jī)制：14、典型的計(jì)算機(jī)病毒：15、計(jì)算