1.緒論

1.網(wǎng)絡空間的4個要素（設施、數(shù)據(jù)、用戶、操作）

2.網(wǎng)絡空間安全基本概念；

3.網(wǎng)絡安全屬性；

機密性

完整性

可用性

不可否認性

可靠性

可信性

4.網(wǎng)絡攻擊基本概念、分類（重點理解主動攻擊、被動攻擊）；

網(wǎng)絡攻擊是指采用技術或非技術手段，利用目標網(wǎng)絡信息系統(tǒng)的安全缺陷，破壞網(wǎng)絡信息的安全屬性的措施和行為，其目的是竊取、修改、偽造或破壞信息或系統(tǒng)，以及降低、破壞網(wǎng)絡和系統(tǒng)的使用效能。

5.網(wǎng)絡安全防護技術的三個階段和發(fā)展趨勢；

1.第一代，以保護為目的，劃分明確的網(wǎng)絡邊界，利用各種保護和隔離手段，試圖在網(wǎng)絡邊界上阻止非法入侵，從而達到確保信息安全的目的。

2.第二代，以保障為目的，以檢測技術為核心、以恢復技術為后盾，融合了防護、檢測、響應、恢復四大類技術。

3.第三代，以頑存為目的，即系統(tǒng)在遭受攻擊、故障和意外事故的情況下，在一定的時間內仍然具有繼續(xù)執(zhí)行全部或關鍵使命的能力。

可信化

網(wǎng)絡化

集成化

可視化

動態(tài)化

6.會描述網(wǎng)絡攻擊的一般過程。

網(wǎng)絡偵察：收集目標系統(tǒng)的資料，如IP地址范圍、DNS及各種服務器地址及其配置信息

網(wǎng)絡掃描：主機掃描、端口掃描、操作系統(tǒng)識別、漏洞掃描，發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)境，確定攻擊途徑。

網(wǎng)絡滲透：基于網(wǎng)絡偵察和掃描結構，設法（緩沖區(qū)溢出、惡意程序等）進入目標系統(tǒng)，獲取系統(tǒng)訪問權。

權限提升：通過系統(tǒng)本地漏洞、解密口令文件等獲取系統(tǒng)管理員或特權用戶權限，從而擴大和提升權限，進而開展網(wǎng)絡監(jiān)聽、安裝木馬等工作

維持及破壞：控制系統(tǒng)后，首先就是維持訪問權限、方便下次進入系統(tǒng)，一般利用木馬、后門程序、Rootkit等惡意程序或技術達到目的。

毀蹤滅跡：主要的工作是清除相關日志內容、隱藏相關的文件與進程

第2部分 網(wǎng)絡脆弱性分析

1、理解影響網(wǎng)絡安全的因素；

環(huán)境和災害因素

人為因素

系統(tǒng)自身因素

2、網(wǎng)絡體系結構脆弱性；

因特網(wǎng)的設計初衷是為了互聯(lián)和資源共享，對安全性的考慮較少。

分組交換

認證與可追蹤性

盡力而為的服務策略

匿名與隱私

對全球網(wǎng)絡基礎設施的依賴

無尺度網(wǎng)絡

互聯(lián)網(wǎng)的級聯(lián)特性

中間盒子

?

3、理解IP、ICMP、ARP、UDP、TCP、DNS常見協(xié)議的不足及可被利用進行的網(wǎng)路攻擊；其他幾個路由交換協(xié)議本次考試暫未涉及。

IPv4

沒有認證機制：

沒有加密機制

無帶寬控制：數(shù)據(jù)包風暴攻擊

ICMP

利用目的不可達報文對攻擊目標發(fā)起拒絕服務攻擊

ICMPv4報文的種類有兩種，即ICMP差錯報文和ICMP詢問報文

ARP

UDP

TCP

DNS

DNS協(xié)議面臨的威脅主要是域名欺騙和網(wǎng)絡通信攻擊。

第3部分 網(wǎng)絡偵察

1、網(wǎng)絡偵察需要偵察的目標的基本信息；

主機或網(wǎng)絡的IP地址（段）、名字和域

各種聯(lián)系信息

DNS、郵件、Web等服務器

目標機構的業(yè)務信息

網(wǎng)絡拓撲結構

滿足指定條件的聯(lián)網(wǎng)主機或設備

其他一切對網(wǎng)絡攻擊產(chǎn)生作用的信息

2、網(wǎng)絡偵察的常用手段和方法；

?搜索引擎信息收集

whois查詢

DNS查詢

網(wǎng)絡拓撲發(fā)現(xiàn)

利用社交網(wǎng)絡獲取信息

利用web網(wǎng)站獲取信息

開源情報收集

3、百度常用高級語法；

index

intitle

site

filetype

inurl

-（刪除）

|（并行）

4、Shodan和ZoomEye的基本特點；

? ?如果要在互聯(lián)網(wǎng)上搜索主機、服務器、攝像頭、打印機、路由器等設備，則需要使用專用的搜索引擎。搜索對象是聯(lián)網(wǎng)設備。

5、ping、nslookup、tracert(traceroute)等常見命令的作用；

nslookup：使用區(qū)域傳送查詢DNS

traceroute：跟蹤TCP/IP數(shù)據(jù)包從出發(fā)點到目的地所經(jīng)路徑來構建目標網(wǎng)絡拓撲結構。

6、針對網(wǎng)絡偵察常用手段會描述網(wǎng)絡偵察的防御措施。

防御搜索引擎?zhèn)刹?/span>

防御Whois查詢

防御DNS偵察

防御社會工程學攻擊和垃圾搜索

網(wǎng)絡掃描

1、網(wǎng)絡掃描的四個目的；

主機發(fā)現(xiàn)

端口掃描

操作系統(tǒng)識別

漏洞掃描

2、主機發(fā)現(xiàn)的技術分類及具體做法；

基于ICMP

基于IP

3、端口掃描的技術分類及具體做法；

TCP掃描

FTP代理掃描

UDP掃描

4、會描述端口掃描的隱匿性策略；????????

調整掃描的次序：將要掃描的IP地址和端口的次序打亂，使掃描活動的隨機性增強

減緩掃描速度：減緩掃描速度可以避免掃描報文在短時間內大量出現(xiàn)，減弱了掃描的行為特征

對數(shù)據(jù)包中的一些字段進行隨機化處理：

利用虛假的源地址：

采用分布式的方法進行掃描：不同主機負責不同端口，同時從時間上將各臺主機的掃描活動間隔開來

5、操作系統(tǒng)識別的依據(jù)和方法。

通過旗標信息識別

通過端口信息識別

通過TCP/IP協(xié)議棧指紋識別

拒絕服務攻擊

1、拒絕服務攻擊基本概念和分類（按攻擊目標分類、按攻擊機制分類）、目的；

DoS主要依靠消耗網(wǎng)絡帶寬或系統(tǒng)資源導致網(wǎng)絡或系統(tǒng)不勝負荷，以至于癱瘓而停止提供正常的網(wǎng)絡服務或使服務質量顯著降低，或通過更改系統(tǒng)配置使系統(tǒng)無法正常工作，來達到攻擊的目的。

按攻擊目標分類：

1.結點型Dos（主機型和應用型）

2.網(wǎng)絡連接型Dos

按攻擊機制分類：

1.劇毒包型

利用協(xié)議本身或其軟件實現(xiàn)中的漏洞向目標發(fā)送一些異常的數(shù)據(jù)包，使目標系統(tǒng)在處理時出現(xiàn)異常，甚至崩潰。

2.風暴型

發(fā)送大量的網(wǎng)絡數(shù)據(jù)包，導致目標系統(tǒng)或網(wǎng)絡的資源耗盡而癱瘓。

3.重定向型

通過修改網(wǎng)絡中的一些參數(shù)，如ARP表、DNS緩存，使得從受害者發(fā)出的或發(fā)向受害者的數(shù)據(jù)包被重定向到別的地方。

2、幾種常見的劇毒包型拒絕服務攻擊；

1. 碎片攻擊

   利用處理IP分片時的漏洞，向受害者發(fā)送分片偏移地址異常的UDP數(shù)據(jù)包分片，使得目標主機在重組分片時出現(xiàn)異常而崩潰或重啟。

2. Ping of Death攻擊

   利用協(xié)議實現(xiàn)時的漏洞向受害者發(fā)送超長的Ping數(shù)據(jù)包，導致受害者系統(tǒng)異常

3. Land攻擊

   用一個特別構造的TCP SYN包（TCP三次握手中的第一步，用于發(fā)起TCP連接請求），該數(shù)據(jù)包的源地址和目的地址都被設置為受害者主機的IP地址，將導致收到該數(shù)據(jù)包的主機向自己回復TCP SYN+ACK消息（三次握手中的第二步，連接響應），結果主機又發(fā)給自己一個ACK消息并創(chuàng)建一個空連接。

4. 循環(huán)攻擊

   當兩個都會產(chǎn)生輸出的端口之間建立連接以后，第一個端口的輸出成為第二個端口的輸入，導致第二個端口產(chǎn)生輸出，同時，第二個端口的輸出又成為第一個端口的輸入。

3、幾種常見的直接風暴型拒絕服務攻擊方式；

1.SYN Flood攻擊

2.ping風暴攻擊

3.TCP連接耗盡型攻擊

4.HTTP風暴型攻擊

4、反射型分布式拒絕服務攻擊的基本原理和常見的攻擊形式；

在實施時并不直接向目標主機發(fā)送數(shù)據(jù)包，而是通過中間主機間接向目標主機發(fā)送大量數(shù)據(jù)包，以達到拒絕服務攻擊的目的。

攻擊者一般用一個假的源地址向一臺高速、高帶寬的服務器或大量服務器發(fā)送數(shù)據(jù)包，這樣，就變成一臺高性能服務器或大量服務器向目標主機發(fā)起DDoS攻擊。

1.NTP（用來同步網(wǎng)絡中各個計算機時間的協(xié)議）反射式拒絕服務攻擊

2.SSDP（簡單服務發(fā)現(xiàn)協(xié)議）反射式拒絕服務攻擊

5、理解僵尸網(wǎng)絡的基本原理和分類；

基于IRC協(xié)議

基于P2P結構

6、理解拒絕服務攻擊的檢測和響應技術。

1.DoS攻擊工具的特征標志檢測

2.根據(jù)異常流量來檢測

4種應對DoS攻擊的方法

1.分組過濾

丟棄惡意分組

2.源端控制

3.追溯

4.路由器動態(tài)檢測和控制

在交換式環(huán)境中實施網(wǎng)絡監(jiān)聽難度較大，主要方法有端口鏡像、MAC攻擊、端口盜用、ARP欺騙

端口掃描有三類：TCP掃描 FTP代理掃描 UDP掃描

TCP掃描包括：TCP全連接掃描；TCP SYN掃描；TCP FIN掃描；TCP NULL和TCP Xmas掃描

簡述網(wǎng)絡攻擊的一般步驟？每個步驟中攻擊者的主要任務是什么？

網(wǎng)絡偵察

網(wǎng)絡掃描

網(wǎng)絡滲透

權限提升

維持及破壞

毀蹤滅跡

在黑客攻擊技術中，（ ）黑客發(fā)現(xiàn)獲得主機信息的一種最佳途徑。
A.網(wǎng)絡監(jiān)聽?B.緩沖區(qū)溢出
C.端口掃描 D.口令破解

一般情況下，大多數(shù)監(jiān)聽工具不能夠分析的協(xié)議是（ ）。
A. 標準以太網(wǎng) B. TCP/IP
C.?SNMP和CMIS D. IPX和DECNet

改變路由信息、修改WinDows NT注冊表等行為屬于拒絕服務攻擊的（ ）方式。
A.資源消耗型 B.配置修改型
C.服務利用型 D. 物理破壞型

網(wǎng)絡掃描的四個目的

第6部分計算機木馬

惡意代碼（軟件）分類及區(qū)別

計算機病毒

木馬

蠕蟲

遠程控制木馬的工作原理和入侵過程

配置木馬

傳播木馬

運行木馬

信息反饋

建立連接

遠程控制

反向連接木馬的工作方式及優(yōu)點

黑客為木馬客戶端主機配置一個靜態(tài)的、互聯(lián)網(wǎng)可路由的IP地址，并將該IP地址和木馬客戶端監(jiān)聽端口配置在木馬的服務器端程序內。

解決了內網(wǎng)IP地址和動態(tài)IP地址所帶來的連接問題

繞過防火墻

木馬的隱藏技術

在植入時隱藏：網(wǎng)站掛馬

在存儲時隱藏：隱藏已知文件類型的擴展名

在運行時隱藏

進程隱藏

通信隱藏

惡意代碼靜態(tài)檢測技術和動態(tài)檢測技術各自的優(yōu)缺點

特征碼靜態(tài)檢測技術的主要優(yōu)點是簡單、檢測速度快、準確率高，缺點是不能檢測出未知惡意軟件，對于惡意代碼變體的容忍度也很低

動態(tài)檢測技術與特征碼靜態(tài)檢測技術相比，能夠檢測未知惡意代碼、惡意代碼的變種，但也存在著不足，如產(chǎn)生的誤報率較高，且不能識別出病毒的名稱和類型等。

針對木馬（惡意代碼）的防范措施

1.及時安裝系統(tǒng)和應用軟件補丁

2.從不可信的站點上下載軟件要慎重

3.提高安全意識，不要隨意點擊、打開來歷不明的短信、郵件附件中的網(wǎng)絡鏈接

4.安裝殺毒或主動防御類安全軟件

5.連接移動存儲設備時，應首先使用安全軟件檢查其安全性

6.沒有使用必要，應盡量關閉不必要的網(wǎng)絡端口

第七部分口令攻擊

針對靜態(tài)口令的破解技術

1.口令監(jiān)聽

2.截取/重放

3.窮舉攻擊

4.簡單口令猜測

5.字典攻擊

6.偽造服務器攻擊

7.口令泄露

8.直接破解系統(tǒng)口令文件

口令防御基本措施

1.口令必須符合復雜性要求

2.口令越長越好

3.注意保護口令安全

4.盡量不用重復的口令

5.限制口令重試次數(shù)

6.分組分類

第8部分網(wǎng)絡監(jiān)聽技術

網(wǎng)絡監(jiān)聽基本概念；

網(wǎng)絡監(jiān)聽技術主要解決兩個問題：

1. 網(wǎng)絡流量劫持，即使監(jiān)聽目標的網(wǎng)絡流量經(jīng)過攻擊者控制的監(jiān)聽點，主要通過地址欺騙、流量定向的方法來實現(xiàn)。

2. 在監(jiān)聽點上采集并分析網(wǎng)絡數(shù)據(jù)，主要涉及網(wǎng)卡數(shù)據(jù)采集、協(xié)議分析技術。Sniffer、Wireshark。

網(wǎng)絡環(huán)境劃分為共享式網(wǎng)絡環(huán)境和交換式網(wǎng)絡環(huán)境

集線器來說，網(wǎng)卡檢查發(fā)現(xiàn)數(shù)據(jù)幀的目的MAC地址不是自己的，將直接丟棄數(shù)據(jù)幀，但當主機的網(wǎng)卡處于混雜模式時，它們將把數(shù)據(jù)幀提交給操作系統(tǒng)分析處理，實現(xiàn)網(wǎng)絡監(jiān)聽。

使用交換機的網(wǎng)絡環(huán)境簡稱為交換式網(wǎng)絡環(huán)境

交換式網(wǎng)絡流量劫持的常見方法

端口鏡像

端口鏡像指將交換機一個或多個端口接收或發(fā)送的數(shù)據(jù)幀復制給指定的一個或多個端口。進行端口鏡像必須對交換機進行配置，一般用戶沒有這樣的權限。

MAC攻擊的攻擊思路

MAC攻擊

針對交換機的MAC地址表進行攻擊，持續(xù)發(fā)送大量源MAC地址為隨機值的數(shù)據(jù)幀，虛假的MAC地址記錄信息將不斷增加到交換機的MAC地址表中。此時交換機只能采用洪泛的方法向所有物理端口轉發(fā)數(shù)據(jù)幀。

端口盜用的具體實施方法

端口盜用

利用MAC表的自學習機制，向交換機發(fā)送欺騙性的數(shù)據(jù)幀，在交換機的MAC地址表中使被監(jiān)聽主機的MAC地址與攻擊者所處的交換機端口聯(lián)系在一起。

ARP欺騙的基本原理和過程（利用ARP請求和ARP響應實施ARP欺騙各自的優(yōu)缺點）；

ARP欺騙

網(wǎng)絡層以上使用IP地址標識主機，而在數(shù)據(jù)鏈路層使用MAC地址進行通信。

ARP將目標主機IP地址轉換為目標主機MAC地址，屬于網(wǎng)絡層協(xié)議。

兩種實現(xiàn)方法

1. 利用ARP請求

   優(yōu)點：以廣播形式發(fā)送ARP請求，一個包含欺騙性信息的ARP請求將刷新網(wǎng)絡中所有主機的ARP高速緩存，影像面大。

   缺點：欺騙行為過于明顯，容易被發(fā)現(xiàn)

2. 利用ARP響應

   針對性強，其他主機不會受到干擾，身份被偽造的主機上也不會有告警信息出現(xiàn)

理解WIFI流量劫持基本方法。

WIFI流量劫持

攻擊者可以利用無線路由器的弱口令，暴力破解無線路由器的后臺管理員口令，進而控制無線路由器進行網(wǎng)絡監(jiān)聽。

采用無線熱點釣魚來劫持用戶的通信數(shù)據(jù)

熱點釣魚的基本原理：攻擊者只需開一個同名同認證的偽熱點，并且信號功率大于被模仿的熱點即可，這樣客戶端就會跟信號強的釣魚熱點聯(lián)系，從而獲得客戶的通信數(shù)據(jù)。

Web網(wǎng)站攻擊技術

Web應用體系結構及脆弱性

SQL注入基本概念、形成原因

SQL注入以網(wǎng)站數(shù)據(jù)庫為目標，利用Web應用程序對特殊字符串過濾不完全的缺陷，通過把精心構造的SQL命令插入到Web表單，或將SQL命令輸入作為域名請求或頁面請求的查詢字符串中，欺騙服務器執(zhí)行惡意的SQL命令，最終達到非法訪問網(wǎng)站數(shù)據(jù)庫內容、篡改數(shù)據(jù)庫中的數(shù)據(jù)、繞過認證、運行程序、瀏覽或編輯文件等目的。

會描述如何減少SQL注入的一些措施

1.過濾單引號，對用戶輸入進行檢查

2.在構造動態(tài)SQL語句時，一定要使用類安全的參數(shù)編碼機制

3.禁止將敏感數(shù)據(jù)以明文存放在數(shù)據(jù)庫中

4.遵循最小特權原則

5.盡量不要使用動態(tài)拼裝的SQL

6.應用的異常信息應該給出盡可能少的提示

跨站腳本攻擊的基本概念及3種形式

XSS（跨站腳本攻擊）指攻擊者利用Web程序對用戶輸入過濾不足的缺陷，把惡意代碼注入到其他用戶瀏覽器顯示的頁面上執(zhí)行，從而竊取用戶敏感信息，偽造用戶身份進行惡意行為的一種攻擊方式。

反射式

儲存式

DOM式

計算機蠕蟲的主要傳播途徑是（）

A網(wǎng)絡系統(tǒng)漏洞

B移動存儲設備

C電子郵件

D宿主程序的運行

計算機木馬在運行過程中的隱藏方法有

A正常運行

B木馬DLL

C遠程線程插入

D進程列表欺騙

下面關于ARP協(xié)議的描述中，（）是錯誤的

A ARP欺騙只能用于本地網(wǎng)絡

B ARP欺騙可在本地網(wǎng)絡以外成功使用

C ARP可被用來進行拒絕服務攻擊

D 當主機收到ARP請求或響應時，需要刷新其ARP緩存

UDP可被攻擊者用來進行風暴型拒絕服務攻擊。

攻擊者想要查找某個地方的聯(lián)網(wǎng)攝像頭，最合適的搜索引擎是

A 百度

B ZoomEye

如果在百度上用關鍵詞查找符合要求的Word文件，則應使用的百度命令是（）

A filetype

B site

C Inurl

D index

支持域名的IP及其所有者信息查詢的是（）

A Whois

B DNS

C 目錄服務

對于TCP SYN 掃描，如果發(fā)送一個SYN標志位置1的請求包，對方返回（）的響應包則表明目標端口處于打開狀態(tài)。

A ACK標志位置1

B SYN和ACK標志位置1

C SYN和RST標志位置1

網(wǎng)絡掃描一般不會使用（）進行

A IP

B DNS協(xié)議

C TCP

D ICMP

為了防止網(wǎng)絡掃描行為被發(fā)現(xiàn)，不應當采用（）策略

A 隨機端口掃描

B 分布式掃描

C 連續(xù)端口快速掃描

用ping探測目標主機，如果得不到其響應，可能的原因有（）

A 目標主機沒開機

B 防火墻阻止了ping請求

C 目標主機路由不可達

利用操作系統(tǒng)識別的特征包括（）

A 網(wǎng)絡協(xié)議指紋

B 旗標

C TCP可選項

D 開放網(wǎng)絡端口信息

用TCP/IP協(xié)議指紋進行分析是最為精確的一種檢測操作系統(tǒng)的方法。

如果ICMP協(xié)議被防火墻封鎖，則下列掃描方式很可能不準確（）

A TCP 全連接掃描

B TCP SYN 掃描

C UDP 掃描

D ping掃描

在風暴型拒絕服務攻擊中，如果攻擊者直接利用控制的僵尸主機向攻擊目標發(fā)送攻擊報文，則其屬于直接型拒絕服務攻擊

DNS經(jīng)常被用作反射式DDos攻擊的反射源，主要原因包括（）

A DNS查詢的響應包遠大于請求包

B DNS報文比較短

C 區(qū)傳送或遞歸查詢過程中DNS響應報文數(shù)量遠大于請求報文數(shù)量

D 因特網(wǎng)上有很多DNS服務器

可用作反射型拒絕服務攻擊的包括（）

A UDP

B SSDP

C TCP

D NTP

同計算機木馬和蠕蟲相比，計算機病毒最重要的特點是（）

A 寄生性

B 潛伏性

C 破壞性

D 自我復制