网络面临的主要安全威胁：1恶意攻击2软件漏洞3网络结构缺陷4安全缺陷5自然

灾害战争损害。恶意攻击分类：1主动攻击，以破坏对方网络和信息为目标，采用

主要手段：修改，删除，伪造，欺骗，病毒，逻辑炸弹。2被动攻击，在对方不知

情的情况下窃取对方的机密信息。例如：传播不良信息。窃取，病毒，篡改，信息

站。软件漏洞两类：1有意制造的漏洞（逻辑炸弹，后门）2无意制造的漏洞（串复

制的溢出）网络结构缺陷：1网络拓扑结构的安全缺陷2网络设施的安全缺陷。安全

缺陷：1误操作2网络规模膨胀3新技术生产安全风险。六自然灾害：火灾，雷击，

暴风雨，地震等。信息系统中的三种威胁：外部攻击内部攻击和行为滥用。外部攻

击，从攻击目的来讲可分5类：1破坏性攻击（病毒，拒绝服务）2利用性攻击（口

令猜测，木马，缓冲区溢出）3信息收集型攻击（1。扫描技术：端口及漏洞各种扫

描2。体系结构探测：系统扫描。3。利用信息服务：dns域转换，finger服务，cdap

服务）4网络欺骗攻击（dns欺骗，电子邮件欺骗，web欺骗。Ip欺骗）5垃圾信息

攻击。拒绝服务的攻击原理：利用tcp/ip协议的弱点或者系统存在的某些漏洞，对目

标计算机发起大规模的进攻，以使被攻击的计算机崩溃或小号他的大部分资源来阻

止其对合法用户气功服务。拒绝服务攻击一般不对目标计算机中的信息进行修改，

他是一种容易实施的行为攻击，其原理大致可以分为4类：1产生大量无用的突发

流量。2服务请求超出。3构造特殊包。4构造特殊程序。

攻击的目的：是指在进行一次完整的攻击后，希望达到什么样的目的，即能给对方

造成什么养的后果。一般是破坏，入侵。攻击的动机：1处于政治军事目的2处于

集体或个人的商业目的3无恶意的恶作剧4以恶意破坏为目的。攻击的步骤：1.

攻击的准备阶段（a.确定攻击目的b.准备攻击工具c.收集目标信息）2攻击的实施阶

段：（a.隐藏自己的位置b.利用收集到的信息获取账号和密码，登陆主机c.利用漏洞

或者其他方法获得控制权并窃取网络资源和特权）3.攻击的善后阶段：（1.对于

windows系统：a.禁止日志审计b.清除事件日志c.消除IIS服务日志2.对于UNIX系

统：a.消除时间日志b.植入后门程序）1攻击名称2使用协议3攻击手段4危害1ping

ofdeath2ICMP协议3发送超大尺寸ICMP包4缓冲后溢出，系统崩溃或挂起1IGMP

Flood2IGMP协议3将目的IP设为目标IP1teardrop2Tcp/IP3碎片4使统崩溃1UDP

flood2UDP3生成足够多元数据流4导致宽带被占满1SYNflood2TCP3发送大量建立

连接请求4不能接受正常的连接请求1Landattack3将源地址，目的地址都设为倍攻

击目标地址4系统崩溃或变得极其缓慢1Smurfattack2ICMP3利用其他主机恢复包

来淹没目标计算机4导致网络阻塞1Fraggleattack2UDP协议3发送伪造来源的UDP

广播4造成网络阻塞扫描器：扫描器是一种自动检测远程或本地主机安全性弱点的

程序。常用的网络侦察技术：网络扫描、网络监听、口令破解。

扫描是通过向目标主机发送数据报文，然后根据响应获得目标主机的情况。根据扫

描方式不同：地址扫描、端口扫描、漏洞扫描网络监听的目的是截获通信的内容，

监听的手段是对协议进行分析。网络监听的目的：截获通信内容，监听的手段是对

协议进行分析。设置网卡的混杂模式的实现方法：在普通程序中设置网卡混杂模式，

在核心空间中设置混杂模式共享以太网，黑客如何作网络监听：攻击控制一台主机。

安装监听程序。设置网卡工作为-混杂模式。共享以太网的工作原理：以太网逻辑上

是总线拓扑结构，采用广播的通信方式。数据的传输是依靠帧中的MAC帧地址来寻

找目的主机。只有与数据帧中的目标地址一致的那台主机才能接收数据。但是，当

网卡工作在混杂模式下时，无论帧中的目标物理地址是什么，主机都将接受。如果

在这台主机上安装监听软件，就可以达到监听的目的。Sniffer（嗅探器）：一种在网

络上流行的软件，主要是分析网络的流量，以便找出所关心的网络中潜在的问题。

Sniffer工作原理：若要完成监听，捕获网段上的所有报文，前提条件网络必须是

共享以太网把本机上的网卡设成混合模式标准的以太网；TCP/ip;ipx;DECNET

（嗅探器至少能分析的协议）口令也叫密码，password，密码一般使用单句函数。字

典文件：就是根据用户的各种信息建立一个用户可能使用的口令列表文件。口令攻

击类型：1，字典攻击2，强行攻击3，组合攻击。

uinx口令文件的格式：unix的口令文件password是一个加密后的文本文件，存储在

/etc目录下，该文件用于用户登录是校验用户的口令，仅对root权限可写。口令文件

中每行代表一个用户条目，格式为：

LOGNAME,PASSWORD:UID:GID:USERINFO:HOME:SHELL。拒绝服务攻击dos:是

阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。拒绝服务攻击分类：

1内部2外部。外部用户针对网络连接发动拒绝服务攻击主要有几种模式：1，消耗

资源2，破坏或改变配置环境3，物理破坏或改变网路部件4，利用服务程序中的处

理错误使服务失效。根据攻击者是从一个位置发起攻击还是从多个位置发起攻击1，

传统的拒绝服务攻击2，分布式拒绝服务攻击ddos。同步风暴法三次连接，需要的

连接分布内存有：1，套接字2，internet协议控制块3，tcp控制块。同步风暴拒绝服

务攻击具有以下特点1，针对tcp/ip的薄弱环节进行攻击2，发动攻击时，只要有很

少的数据流量，就可以产生显著的效果，3攻击来源无法确定，4在服务器端无法区

分tcp连接请求是否合法。防范措施，1，优化系统配置，2优化路由器配置，3完善

基础设施4，使用防火墙5，主动监听。Smurf攻击原理客向网络广播地址发ICMP

包②路由器不过滤广播包③网络上各个主机都收到ICMP广播包④网络上的各个主

机都向目的主机回应ICMP包⑤目标主机受到大量ICMP包攻击

对Smurf攻击的防范：1被攻击者利用进行攻击的中间网络应采取措施2被攻击的

目标应采取的措施3攻击者攻击时机发起的网络应采取的措施利用处理程序错误的

拒绝服务攻击1、PingofDeath攻击2、Teardrop攻击3、Winnake攻击4、Land攻击

分布式拒绝服务DDOS（三级结构）Client（客户端）运行在攻击者的主机上，用来

发起和控制DDOS攻击。Handler（主控端）运行在已被攻击者侵入并获得公职的主

机上，用来控制代理端。Agent（代理端）运行在已被攻击者侵入并获得控制的主机

上，从主控端接收命令，负责对目标实施实际的攻击。缓冲区溢出攻击的基本原理：

向缓冲区写入超长的，预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据，

然后让计算机转去运行这行预设的程序，达到执行非法操作，实际攻击的目的利用

缓冲区溢出漏洞攻击root程序，黑客要达到目的通常要完成两个任务：（程序放置）

1在程序的地址空间安排适当的代码（植入法）2将控制程序转移到攻击代码的方式：

1FunctionPointers（函数指针）2ActivetionRecords（激活记录）3Longjmpbuffers（）。

4植入码和流程控制。通配符：*：匹配任何位置！：匹配单个字符[]：匹配的字符范

围或列表$Is[a-c]*：将列出以a-c范围内字符开头的所有文件$Is[a,m,t]*：将列出

以a,m或t开头的所有文件逻辑炸弹：一种隐藏于计算机系统中以某种方式触发后对

计算机系统硬件、软件或数据进行恶意破坏的程序代码。特点：隐藏性，触发性：

时间、特定操作、满足其一条件的触发等。江民硬盘逻辑炸弹：1、发病症状：能正

确自检，不能进入系统、原因：重写了主引导记录2、原理分析：硬盘锁死。

核心功能就是使硬盘锁死，硬盘锁死通常是因为改动了硬盘的分区表。硬盘被锁死

的症状：根源在于DOS中的文件，它包括LOADER,I01，I02，I03四个模

块。其中I01中包括一个非常关键的程序Sysint_I，它在启动中很固执，就是一定要

读分区表，而且一定要把分区表读完，如果碰上分区表是循环的，它就死机了。解

决方法：拦截INT13H，利用DM解锁后门：是计算机入侵者攻占网上其它计算机

成功后，为方便下次再进入而采取的一些欺骗手段和程序。UNIX后门策略：密码破

解后门、phosts++后门、login后门、Tenlnetd后门、库后门、forward后门、boot块

后门。计算机领域的特洛伊木马是指附着在应用程序或者单独存在的一些恶意程序

具有隐蔽性和非授权性。木马按传输方式分类：主动型木马反弹型木马嵌入式木

马。主动型木马原理：利用已在计算机上运行的木马，客户端程序可以扫描到被攻

击者，并主动连接到服务器端，实施对服务器端计算机的控制。反弹型木马原理：

利用防火墙内部发起的连接请求无条件信任的特点，假冒是系统的合法网络，请求

与木马的客户端建立连接，从而达到对被攻击计算机控制的目的。木马的实现技术：

自动启动技术隐藏技术远程监控技术。常见的欺骗攻击方式：DNS欺骗攻击，Email

欺骗攻击，Web欺骗攻击，IP欺骗攻击。

DNS欺骗原理：按照DNS工作原理可知，攻击者截获某个提交给域名服务器的域名

解析请求的数据包，按照攻击者的意图将一个虚假的IP地址作为应答信息返回给请

求者，请求者会把这个IP作为自己所请求的地址进行连接。DNS欺骗原理需解决

的技术：冲突，落后，查询ID。IP欺骗的原理：第一步：hostb-SYN-hosta。第二步：

hostb-SYN+ACK-hosta。第三步：hostb-ACK-hosta。2P欺骗的过程：使被信任的

主机失去工作能力，同时采样目标主机发出的tcp序列号，并猜测出它的数据序列号，

然后伪装成被信任的主机，同时建立与目标主机基于地址验证的应用连接。访问控

制内容：1.用户身份识别和认证2.访问的控制(授权确定访问权限实施访问权限)3.

审计跟踪。身份证认证：1.用户所知道的（密码认证输入ID和密码）2.用户所拥有

的（智能卡）3.用户本身的特征（指纹虹膜）4.根据特定地点特定时间（第一次密钥）

5.通过信任的第三方（典型的kerberos认证）入网认证三步骤：1.用户名的识别与认

证2.用户口令的识别与认证3.用户帐号的缺省限制检查。物理隔离技术：是一种将

内外网络从物理上断开但保持逻辑连接的网络安全技术。物理隔离网闸：是一套双

主机系统双主机之间是永远断开的以达到物理隔离的目的双主机之间的信息交换

是通过拷贝景象反射等借助第三方非网络方式来完成的是以物理隔离位目的的安全

系统。原理：在网络安全技术上通过特殊硬件设备保证链路层的断开即安全隔离而

GAP技术利用专用硬件保证两个网络在链路层断开的前提下实现数据安全传输和资

源共享。自由访问控制的方法：基于行/列的DAC。

自主访问控制的访问类型：等级/有主/自由型。Bell-LaPadual模型安全属性：密集

（机密程度）、类别集合（部门或组织的集合）。密集是集合：（绝密.机密.秘密，公

开）中任一元素，全开序集合：绝密>机密>秘密>公开。BLP模型对每一个用户分配

一个安全属性（敏感等级）BLP模型考虑以下几种访问模式：1.只读，读包含在客

体中的信息。2.添加，向客体中添加信息，且不读客体中的信息3.执行，执行一个客

体（程序）4.读写，向客体中写信息，且允许读客体中的信息BLP模型中主体对客

体的访问需满足以下规则：1.简单安全规则（主体只能读密集度等于或低于它的客体）

2.星规则（主体只能写密集等于或高于它的客体，主体只能向上写，不能向下写）