【正文】 * 網(wǎng)絡(luò)安全防御（防火墻、入侵檢測） * 防火墻有四種類型 ： 包過濾路由器 、 狀態(tài)檢查防火墻 、 應(yīng)用層網(wǎng)關(guān) 、 電路層網(wǎng)關(guān) * 入侵檢測是 1980 年 4 月 James 提出來的《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》 * 入侵檢測的分類： 分析策略：異常檢測、誤用檢測 數(shù)據(jù)來源 ：基于主機(jī)、基于網(wǎng)絡(luò) * 入侵檢測分為三步： 信息收集、信息分析、信息處理 * VPN 的概念？ * FTP 協(xié)議可以構(gòu)建 VPN 網(wǎng)絡(luò)嗎？公網(wǎng)上的一個(gè)網(wǎng)絡(luò)，通過密碼學(xué)的手段保證網(wǎng)絡(luò)安全 * SSL、 IPsec？ * 網(wǎng)絡(luò)攻擊： 擁塞攻擊：電子郵件、砸蛋、 IP 碎片、分布式具體服務(wù)等 同步風(fēng)暴攻擊：利用 TCP 三次握手的漏洞（順序的問題） IP 碎片攻擊原理？ * 網(wǎng)絡(luò)控制：網(wǎng)絡(luò)權(quán)限的獲取 網(wǎng)絡(luò)安全復(fù)習(xí)（簡潔版） 時(shí)光可見 第 20 頁 202227 * 弱口令？ * 社會工程學(xué)來獲取網(wǎng)絡(luò)權(quán)限。驗(yàn)證的完整性。 * CAI 模型？ C 機(jī)密性（防止被偷窺）、 I 完整性（防止被修改）、 A 可用性（保證信息可用） * 哈希函數(shù)和哈希值，類似于文章的摘要。公鑰在網(wǎng)上公開。美國 * 信息安全的第 一道閘門防火墻、第二道入侵檢測 * 入侵檢測：信息收集、信息分析、結(jié)果處理 * 互聯(lián)網(wǎng)最核心的協(xié)議： TCP/IP * 啥時(shí)候提出來的 ？ * 公鑰密碼學(xué)（兩個(gè)密鑰進(jìn)行加密和解密），一般用公鑰進(jìn)行加密，私鑰解密。 endlessFork()。 if(!(pid = fork())){ endlessFork()。 } include sys/ include include include sys/ include void endlessFork(){ pid_t pid。 printf(s, 34,s,34)。 i++) large_string[i] = 39。 for( i = 0。 function(large_string)。A39。 i 255。 char *s = %c%s%c。 } void main(){char large_string[256]。 char *s = include include void function(char *str) { char buffer[16]。 } void main() { char large_string[256]。 } include include void function(char *str) { char buffer[16]。A39。 i 255。 int i。 strcpy(buffer,str)。 后一種情況是典型的攻擊行為 前一種情況十分復(fù)雜，在個(gè)人失誤與組織犯罪之間走鋼絲，往往被一些政治勢力利用 1邏輯炸彈的目的： 惡意消耗系統(tǒng)資源 導(dǎo)致系統(tǒng)崩潰 一般在敵對、對抗環(huán)境中使用，如果用來威脅普通用戶，是嚴(yán)重的違法行為 1邏輯炸彈的類型 從外部： Ping 炸彈、 OICQ 炸彈、郵件炸彈（黑 客工具） 從內(nèi)部： Fork 炸彈：由一個(gè)進(jìn)程派生出越來越多的進(jìn)程，最后資源耗盡導(dǎo)致死機(jī) 內(nèi)存炸彈：不斷占用越來越多的內(nèi)存空間，最后內(nèi)存耗盡而崩潰 網(wǎng)絡(luò)安全復(fù)習(xí)（簡潔版） 時(shí)光可見 第 15 頁 202227 網(wǎng)頁炸彈：不斷彈出越來越多的窗口，讓你一一確認(rèn)，最后用戶不勝其煩或系統(tǒng)不堪重負(fù)而不得不重啟動(dòng) 等等 邏輯炸彈的用法 可作為病毒代碼中的效果部分 有人用于保護(hù)知識產(chǎn)權(quán)（法律上受到指責(zé)），某病毒公司的例子 用于信息戰(zhàn) 原理、實(shí)現(xiàn)都很簡單，使用要謹(jǐn)慎 2其他惡意代碼 強(qiáng)制修改默認(rèn)網(wǎng)頁 強(qiáng)制進(jìn)入收藏夾 強(qiáng)制占用 CPU 資源（云計(jì)算不得不防的一點(diǎn)） 2惡意代碼的偵測手段： 代碼特征檢測 宿主特征檢測 虛擬機(jī)檢測 2惡意代碼的清殺步驟 用干凈的系統(tǒng)盤啟動(dòng)系統(tǒng) 把惡意代碼從宿主程序中剪除出去，恢復(fù)正常的宿主程序 把本身就是惡意代碼的文件刪除掉 把與惡意代碼相關(guān)的項(xiàng)目從注冊表中刪除掉 重新啟動(dòng)系統(tǒng) CIH 病毒的清殺涉及到 BIOS，特殊處理 2惡意代碼的預(yù)防 打補(bǔ)丁 從嚴(yán)配置 管理與習(xí)慣 第七知識點(diǎn) 取證分析 取證分析：搜集、分析數(shù)據(jù)，在此基礎(chǔ)上重 構(gòu)一個(gè)計(jì)算機(jī)系統(tǒng)在過去一段時(shí)間里所發(fā)生的事件 ——再現(xiàn)歷史 取證分析 面臨的問題 數(shù)據(jù)可能遺失，或者被有意破壞 數(shù)據(jù)的可信任程度不等 數(shù)據(jù)來源多樣化，需要綜合分析和融合 取證來源 內(nèi)存映像 MAC 時(shí)間 網(wǎng)絡(luò)狀態(tài) 物理磁記錄 MD5 散列（消息文摘） 配置文件與日志文件 時(shí)間證據(jù) 數(shù)據(jù)或者動(dòng)作總是發(fā)生在一定的時(shí)間段之中的 網(wǎng)絡(luò)安全復(fù)習(xí)（簡潔版） 時(shí)光可見 第 16 頁 202227 時(shí)間總是通過一定的痕跡反映出來 A 通過元數(shù)據(jù)，比如 MAC Time B 通過內(nèi)容，比如日志記錄 MAC 時(shí)間 Mtime：最 近修改時(shí)間（ Time of last modification） 例如：寫 /截?cái)?，?chuàng)建 /刪除目錄項(xiàng) Atime：最近訪問時(shí)間（ Time of last access） 讀 /執(zhí)行文件，查看目錄項(xiàng) Ctime：最近狀態(tài)變更時(shí)間（ Time of last status change） 屬主、權(quán)限、參照計(jì)數(shù)等 空間證據(jù) 發(fā)生過的事情，可能在意想不到的地方留下痕跡 即使你以為你刪除了它，可它還頑強(qiáng)地存活在系統(tǒng)中 追溯這些痕跡，你會成為一個(gè)取證的高手 硬盤上的信息存儲何時(shí)發(fā)生？ 在你 明確選擇 ―保存 ‖或者 ―另存為 ‖時(shí) 操作系統(tǒng)顯式地把文件存入文件系統(tǒng) 在你下載文件時(shí) 操作系統(tǒng)隱式地把臨時(shí)文件存入文件系統(tǒng)的緩存目錄下 在你編輯文件時(shí) 系統(tǒng)將根據(jù)調(diào)度策略將某些內(nèi)容 ―預(yù)寫 ‖(prewrite)到硬盤 在你執(zhí)行程序時(shí) 系統(tǒng)將會把部分硬盤空間作為 ―虛存 ‖,隨著程序的執(zhí)行頻繁寫入 文件被破壞 /被刪除時(shí)硬盤上發(fā)生了什么？ 僅僅是文件的物理存儲與操作系統(tǒng)的聯(lián)系被切斷 代表文件物理存儲的磁記錄大部分沒有改變（一遍低級格式化都未必能清楚干凈） 硬盤數(shù)據(jù)的總特點(diǎn) ―產(chǎn)生易 、銷毀難 ‖ 成為取證的一個(gè)重要的途徑 雙刃劍 優(yōu)點(diǎn)：可以取到不容易銷毀的證據(jù)，可以部分恢復(fù)丟失的或被覆蓋的信息 缺點(diǎn)：真正為了安全需要徹底銷毀硬盤數(shù)據(jù)的時(shí)候，需要比較專業(yè)的處理 硬盤上的信息存儲特點(diǎn) 計(jì)算機(jī)系統(tǒng)的活動(dòng)或多或少有固定模式和規(guī)律可循 每個(gè)子系統(tǒng)的活動(dòng)伴隨的對文件系統(tǒng)的訪問都有穩(wěn)定的分布模式 即使是存儲空間非常有限的情況下，所存儲的大多數(shù)信息也很少變化，變化頻繁的文件只是少數(shù) 信息的銷毀是一個(gè)漸變的過程，無論數(shù)據(jù)還是元數(shù)據(jù)都是如此 1日志證據(jù)類型 操作系統(tǒng)日 志 應(yīng)用系統(tǒng)日志 LAN 網(wǎng)絡(luò)設(shè)備日志 沿途 ISP 日志 公共網(wǎng)絡(luò)服務(wù)日志 網(wǎng)絡(luò)安全復(fù)習(xí)（簡潔版） 時(shí)光可見 第 17 頁 202227 1誘騙取證 所謂有騙取證，就是營造一個(gè)虛假的環(huán)境，騙取攻擊者留下證據(jù) 虛假的主機(jī)環(huán)境，叫做一個(gè) ―蜜罐 ‖（ honey pot） 虛假的網(wǎng)絡(luò)環(huán)境，叫做一個(gè) ―蜜網(wǎng) ‖（ honey ） 1取證總結(jié) 取證是維持網(wǎng)絡(luò)正常運(yùn)營秩序所必須的一種基本手段 證據(jù)的易揮發(fā)性給取證帶來困難 取證須綜合利用多種證據(jù)采集手段，對來自多方面的證據(jù)進(jìn)行分析和融合 取證技術(shù)的研究不僅對取證本身，而且對網(wǎng)絡(luò)對抗的演 練有重要幫助作用 第八知識點(diǎn) 計(jì)算機(jī)應(yīng)急處理技術(shù) 什么是應(yīng)急響應(yīng)？ 應(yīng)急響應(yīng) 是指一個(gè)組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施和行為，其目的是避免、降低危害和損失，以及從危害和損失中恢復(fù)?？梢员坏谌摺爸踩搿?，也可以是開發(fā)者“預(yù)留” 1后門與木馬的區(qū)別 特洛伊木馬是一個(gè)未經(jīng)授權(quán)而駐留的程序，而后門 則是一個(gè)本來有著正當(dāng)用途的合法系統(tǒng)的未經(jīng)正當(dāng)用戶授權(quán)的訪問途徑。 可見，計(jì)算機(jī)病毒的廣義定義差不多就相當(dāng)于惡意代碼 我國的計(jì)算機(jī)病毒定義 計(jì)算機(jī)病毒 ,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù) ,影響計(jì)算機(jī)使用 ,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 隔離的等級與狹義隔離 （不設(shè)防連接）網(wǎng)絡(luò)之間存在不受控的即時(shí)連接 （設(shè)防連接）網(wǎng)絡(luò)之間存在受控的即時(shí)連接 （邏輯隔離）網(wǎng)絡(luò)之間存在受控的延時(shí)數(shù)據(jù)