2023年信息安全等级测评师培训教程初级学习笔记.pdf

第一章网络安全测评1 .1 网络全局1 .1 . 1结构安全a）应保证重要网络设备的业务解决能力有冗余空间，满足业务高峰期需要b） 应保证网络各个部分的带宽满足业务高峰期需要；c）应在业务终端与业务服务器之间进行路由控制建立安全的访问途径；d）应绘制与当前运营情况相符的网络拓扑结构图；e ）应根据各部分的工作职能、重要性和所涉及信息的重要限度等因素， 划分不同的子网和网段，并按照方便管理和控制的原则为各子网、网段分派地址段f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采用可靠的技术隔离手段g）应按照对业务服务的重要顺序来制定带宽分派优先级别， 保证在网络发生拥堵时优先保护重要主机1.1. 2 边界完整性检查a）应可以对非授权设备私自联到内部网络的行为进行检查，准拟定位， 并对其进行有效阻断；技术手段: 网络接入控制， 关闭网络设备未使用的端口、IP/MA C 地址绑定等管理措施; 进入机房全程陪同、红外视频监控等b） 应可以对内部网络用户私自联到外部网络的行为进行检查，准拟定位， 并对其进行有效阻断;1. 1.3入侵防范a）应在网络边界处监视以下袭击行为：端口扫描、强力袭击、木马后门袭击、拒绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等；b）当检测到袭击行为时， 记录袭击源I P、袭击类型、袭击目的、袭击时间， 在发生严重入侵事件时应提供报警1.1. 4 恶意代码防范a）应在网络边界处对恶意代码进行检测和清除；b ）应维护恶意代码库的升级和检测系统的更新1. 2 路由器1.2.1访问控制a）应在网络边界处部署访问控制设备，启用访问控制功能；可以起访问控制功能的设备有：网闸、防火墙、路由器和三层路由互换机等b）应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力，控制粒度为端口级；c）应对进出网络的信息内容进行过滤， 实现相应用层HTT P , FTP, TELNET, SMTP, POP3等协议命令级的控制d ）应在会话处在非活跃一定期间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数；路由器可根据IP地址、端口、协议来限制应用数据流的最大流量；根据IP地址来限制网络连接数路由器的带宽策略一般采用分层的带宽管理机制，管理员可以通过设立细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽f）重要网段应采用技术手段防止地址欺骗地址欺骗中的地址可以使M AC地址， 也可以使IP地址。

目前发生比较多的是ARP地址欺骗,ARP 地址欺骗是 MAC 地址欺骗的一种A RP（ Ad dre ss Reso 1 u t ion Pr o t o col,地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个I P地址解析成相应的MAC地址ARP欺骗分为2种， 一种是对网络设备ARP表的欺骗， 另一种是对内网PC的网关欺骗解决方法：1在网络设备中把所有PC的IP -M A C输入到一个静态表中，这 叫I P-MAC绑定；2. 在内网所有P C上设立网关的静态ARP信息，这叫PC IP-MAC绑定一般规定2个工作都要做， 称 为IP-MAC双向绑定g ）应按用户和系统之间的允许访问规则， 决定允许或拒绝用户对受控系统进行资源访问， 控制粒度为单个用户h）应限制具有拨号访问权限的用户数量1.2. 2 安全审计a）应对网络系统中的网络设备运营状况、网络流量、用户行为等进行日记记录；b）审计记录应涉及：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应可以根据记录数据进行分析， 并生成审计报表；d ）应对审计记录进行保护， 避免受到未预期的删除、修改或覆盖等;1.2.3网络设备防护a ）应对登陆网络设备的用户进行身份鉴别；一 一用户登录路由器的方式涉及：& 1 运用控制台端口（Conso⑹通过串口进行本地连接登录；& 2运用辅助端口（AUX）通过MODEM进行远程拨号连接登录& 3运用虚拟终端（ VTY）通过TCP/ I P网络进行远程登录——无论哪一种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非授权访问的常用手段， 是路由器安全的一部分。

一 一需要加强对路由器口令的管理，涉及口令的设立和存储，最佳的口令存储方式是保存在TACACS +或RADIUS认证服务器上检查方法：1）在特权模式下输入命令sh o w r u n ning.config会输出该路由器相关配置信息2）检查配置信息中是否存在类似如下的配置信息L i ne v t y 0 4 （ 虚拟终端）LoginPa s s word xxxxxLine a ux 0 （ 辅助端口）L oginP a s s word xxxxxxLin e c o n 0 （ 控制台端口）L o g inP a ssword xxx x x3）为特权用户设立口令时，应当使用e n able seer e t命令该命令用于设定具有管理员权限的口令，enab 1 e secret命令采用的是M D 5算法, 这种算法比enable pas s w o r d加密算法强， 不容易被破解4）假如设备启用了 A A A认证，则查看配置信息应当存在类似如下配置信息aa a n ew-mo d eltacacs-ser v er host 1 92.168.1.1 s i ngle-conn e ctingta c a cs-se r v e r k e y s h a r e d la a a n ew-mod e Iradius- s erver h o s 1 1 9 2.16 8 .1.1r a dius— s e r v er k e y shar e d l1 ine v t y 0 4aaa aut h oriza t io n 1 oginb）应对网络设备的管理员登录地址进行限制；c ） 网络设备用户的标记应唯一；d）重要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别；双因子鉴别还需要访问者拥有鉴别特性：采用令牌、智能卡、数字证书和生物信息等e ）身份鉴别信息应具有不易被冒用的特点, 口令应有复杂度规定并定期更换；f ）应具有登录失败解决功能， 可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g ）当对网络设备进行远程管理时，应采用必要措施防止鉴别信息在网络传输过程中被窃听；不应当使用明文传送的Telnet、h t t p服务，应当采用SSH、HTTP S等加密协议等方式来进行交互式管理h）应实现设备特权用户的权限分离;1.3互换机1.3.1 访问控制a ） 应在网络边界部署访问控制设备，启用访问控制功能；b）应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力， 控制粒度为端口级c ）应对进出网络的信息内容进行过滤，实现相应用层HTTP、FTP、Te 1 n e t、SMTP、POP3等协议命令级的控制d）应在会话处在非活跃一定期间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数互换机可根据I P地址、端口、协议来限制应用数据流的最大流量；根 据I P地址来限制网络连接数互换机的带宽策略一般采用分层的带宽管理机制， 管理员可以通过设立细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽f ） 重要网段应采用技术手段防止地址欺骗g）应按用户和系统之间的允许访问规则， 决定允许或拒绝用户对受控系统进行资源访问， 控制粒度为单个用户。

1.3 .2 安全审计a）应对网络系统中的网络设备运营状况、网络流量、用户行为等进行日记记录；b）审计记录应涉及：时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应可以根据记录数据进行分析， 并生成审计报表d） 应对审计记录进行保护， 避免受到未预期的删除、修改或者覆盖等1.3.3网络设备保护a） 应对登陆网络设备的用户进行身份鉴别；b） 应对网络设备的管理员登陆地址进行限制c ） 网络设备用户的标记须唯一d ）重要网络设备应对同一用户选择2 种或者2 种以上组合的鉴别技术来进行身份鉴别；e）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度规定并定期更换；f ）应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g） 当对网络设备进行远程管理时, 应采用必要措施防止鉴别信息在网络传输过程中被窃听h） 应实现设备特权用户的权限分离1. 3.3网络设备防护a ）应对登录网络设备的用户进行身份鉴别b） 应对网络设备的管理员登录地址进行限制；c）网络设备用户的标记应唯一；d）重要网络设备应对同一用户选择2 种或2 种以上组合的鉴别技术来进行身份鉴别e）身边鉴别信息应当具有不易被冒用的特点， 口令应有复杂限度规定并定期更换；f） 应具有登录失败解决的功能，可采用结束会话，限制非法登录次数和当网络登录连接超时自动退出的措施；g）当对网络设备进行远程管理时, 应采用必要措施防止鉴别信息在网络传输过程中被窃听h）应实现设备特权用户的权限分离1.4防火墙1 .4 .1 访问控制a）应在网络边界部署访问控制设备, 启用访问控制功能；b）应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力，控制粒度为端口级；防火墙的安全策略的配置应当根据信息系统的应用进行配置，只允许授权的1 P地址、协议、端口通过, 对于没有明确允许通过的数据流默认应当是被严禁的。

同时可以通过配置NAT、静态地址映射、IP地址绑定等措施隐藏内部网络信息， 以最大限度地保证被保护网络的安全c）应对进出网络的信息内容进行过滤，实现相应用层HTTP, F T P , Telnet, SMTP, POP3等协议命令级的控制d ）应在会话处在非活跃一定期间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数；f）重要网段应采用技术手段防止地址欺骗g ）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户h）应限制具有拨号访问权限的用户数量1.4. 2 安全审计a）应对网络系统中的网络设备运营状况、网络流量、用户行为等进行日记记录；b）审计记录涉及: 事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；c）应能根据记录数据进行分析，并生成审计报表；d ）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等;1. 4 . 3 网络设备防护a）应对登录网络设备的用户进行身份鉴别b）应对网络设备的管理员登录地址进行限制；需要对远程管理防火墙的登录地址进行限制，可 以 是 某 一 特 定 的IP地址，也可以来自某'子网、地址范围或地址组c）网络设备用户的标记应唯一；d）重要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别e）身份鉴别信息应具有不易被冒用的特点， 口令应有复杂限度规定并定期更换；f）应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g）当对网络设备进行远程管理时，应采用必要措施防止鉴别信息在网络传输过程中被窃听h ）应实现设备特权用户的权限分离1.5入侵检测/ 防御系统1. 5.1访问控制a）应在网络边界部署控制设备， 启用访问控制；此处的访问控制重要指入侵防御系统具有的访问控制功能，入侵检测系统I D S不具有此功能b）应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力，控制粒度为端口级c）应对进出网络的信息内容进行过滤，实现相应用层H T T P、FTP、Telnet,SMTP. POP 3等协议命令级的控制；d）应在会话处在非活跃一定期间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数f）重要网段应采用技术手段防止地址欺骗g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户；h ） 应限制具有拨号访问权限的用户数量1. 5 .2安全审计a） 应对网络系统中的网络设备进行运营状况、网络流量、用户行为等进行日记记录；b）审计记录应涉及：事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；c） 应可以根据记录数据进行分析，并生成审计报表；d） 应对审计记录进行保护， 避免受到未预期的删除、修改或覆盖等；1.5. 3 网络设备防护a）应对登录网络设备的用户进行身份鉴别b） 应对网络设备的管理员登录地址进行限制；c） 网络设备用户的标记应唯一；d）重要网络设备应对同一用户选择2 种或者2 种以上组合的鉴别技术来进行身份鉴别e ） 身边鉴别信息应具有不易被冒用的特点，口令应有复杂限度规定并定期更换；f） 应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施h） 应实现设备特权用户的权限分离第2章主机安全测评2 . 1 操作系统测评2. 1.1身份鉴别a）应对登录操作系统和数据库系统的用户进行身份标记和鉴别b）操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度规定并定期更换；W in d o w s O S中查看“ 本地安全策略一账户策略一密码策略”中的相关项目：1、 设立密码历史规定（ 此设立可保证用户无法复用密码） ：242、 设立密码最长使用期限:7 0天3、 设立密码最短使用期限：2天4、设立最短密码长度：8个字符5、 设立密码复杂性规定:启用6,启用密码可逆加密:不启用Linux OS:PASS_MAX_DAYS9 0PASS_MIN_DAYS 0PASS_M IN_L E N 8PASS_WARN_AGE 7登录密码过期提前7天提醒修改FA I L_DELAY 1 0 登录错误时等待时间1 0秒FA I L L 0 G_ENAB YES 登录错误记录到日记FAILLO G _SU _ENAB Y E S当限定超级用户管理日记时使用FAI LLOG_SG_ENABYES当限定超级用户组管理日记时使用MD5 CRYPT E N A B YES当使用m d5为密码的加密方法时使用c）应启用登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等措施d）当对服务器进行远程管理时， 应采用必要措施，防止鉴别信息在网络传输过程中被窃听e）应为操作系统和数据库系统的不同用户分派不同的用户名，保证用户名具有唯一性f）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别2.1. 2访问控制a）应启用访问控制功能， 依据安全策略控制用户对资源的访问；访问控制是安全防范和保护的重要策略， 它不仅应用与网络层面，同样也合用于主机层面，它的重要任务是保证系统资源不被非法合用和访问，合用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。

重要涉及2个方面的内容：文献系统和默认共享文献权限：在win d o w s系统中，重要目录不能对“ every on e ”账户开放， 在权限控制方面, 特别要注意文献权限更改后对于应用系统的影响；在L in u x系统中，应坚持Linux系统重要目录的权限设立情况，对于配置文献权限制不能大于64 4 ,对于可执行文献不能大于7 55o t身份登录Lin u x ,使用"Ls-I文献名” 查看重要文献和目录权限设立是否合理默认共享：Window s OS的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的， 它的存在依赖于系统服务的“ se rve r "为保证系统安全性, 通常我们可以将其关闭L i nuxO S通常不存在默认共享1）在命令模式下输入n et s h are , 查看共享2）查看注册表HKEY_ L OCAL_MACHI N E\S Y STEM\Cur r e n t C o n t r ol S e t \Control\Lsa\re s t rictanon y mous值是否为"0" （ 0 表达共享启动）b）应根据管理用户的角色分派权限, 实现管理用户的权限分离，仅授予管理用户所需的最小权限；c）应实现操作系统和数据库系统特权用户的权限分离；d） 应严格限制默认账户的访问权限，重命名系统默认账户， 修改这些账户的默认口令e） 应及时删除多余的、过期的账户，避免共享账户的存在f） 应对重要信息资源设立敏感标记；g） 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作2 .1 .3 安全审计a） 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b ）审计内容应涉及重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c）审计记录应涉及事件的日期、时间、类型、主体标记、客体标记和结果等；d） 应可以根据记录数据进行分析， 并生成审计报表；e） 应保护审计进程， 避免受到未预期的中断；f）应保护审计记录，避免受到未预期的删除、修改或覆盖等；2.1.4 剩余信息保护a） 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分派给其他用户前得到完全清除， 无论这些信息是存放在硬盘上还是在内存中b） 应保证系统内的文献、目录和数据库记录等资源所在的存储空间， 被释放或重新分派给其他用户前得到完全清除;2.1.5入侵防范a） 应可以检测到对重要服务器进行入侵的行为，可以记录入侵的源I P , 袭击的类型、 目的、时间， 并在发生严重入侵事件时提供报警；b）应可以对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；c） 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序， 并通过设立升级服务器等方式保持系统补丁及时得到更新2. 1.6恶意代码防范a） 应安装防恶意代码软件, 并及时更新防恶意代码软件版本和恶意代码库；b）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库c） 应支持防恶意代码的统一管理2.1.7资源控制a） 应通过设定终端接入方式、网络地址范围等条件限制终端登录；b） 应根据安全策略设立登录终端的操作超时锁定；c ） 应对重要服务器进行监视，涉及监视服务器的CPU、硬盘、内存、网络等资源的使用情况；d） 应限制单个用户对系统资源的最大或最小使用限度；e）应可以对系统的服务水平减少到预先规定的最小值进行检测和报警2 . 2数据库系统测评2 .2 .1身份鉴别a）应对登录操作系统和数据库系统的用户进行身份标记和鉴别；b）操作系统和数据库系统管理用户身份标记应具有不易被冒用的特点，口令应有复杂限度规定并定期更换；c）应启用登录失败解决功能， 可采用结束会话、限制非法登录次数和自动退出等措施d）当对服务器进行远程管理时，应采用必要措施，防止鉴别信息在网络传输过程中被窃听e）应为操作系统和数据库系统的不同用户分派不同的用户名，保证用户名具有唯一性；f ）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别2 . 2.2访问控制a）应启用访问控制功能， 依据安全策略控制用户对资源的访问；b）应根据管理用户的角色分派权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c ）应实现操作系统和数据库系统特权用户的权限分离；d）应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；e ）应及时删除多余的、过期的账户，避免共享账户的存在；f ） 应对重要信息资源设立敏感标记；g ）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；2.2. 3安全审计a ）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;Elb）审计内容应涉及重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c）审计记录应涉及事件的日期、时间、类型、主体标记、客体标记和结果等d）应能根据记录数据进行分析，并生成审计报表；e） 应保护审计进程， 避免受到未预期的中断；f）应保护审计记录，避免受到未预期的删除、修改或覆盖等；2. 2 .4 资源控制a）应通过设定终端接入方式、网络地址范围等条件限制终端登录；b） 应根据安全策略设立登录终端的操作超时锁定；c） 应限制单个用户对系统资源的最大或最小使用限度第3章应用安全测评3 .1 身份鉴别a ）应提供专用的登录控制模块对登录用户进行身份标记和鉴别；b ） 应对同一用户采用2 种或者2 种以上组合的鉴别技术实现用户身份鉴别；c） 应提供用户身份标记唯一和鉴别信息复杂度检测功能, 保证应用系统中不存在反复用户身份标记，身份鉴别信息不易被冒用；d） 应提供登录失败解决功能， 可采用结束会话、限制非法登录次数和自动退出等措施；e ） 应启用身份鉴别、用户身份标记唯一性检查、用户身份鉴别信息复杂度检查， 以及登录失败解决功能，并根据安全策略配置相关参数；3.2 访问控制a）应提供访问控制功能， 依据安全策略控制用户对文献、数据库表等客体的访问;b）访问控制的覆盖范围应涉及与资源访问相关的主体、客体及它们之间的操作;c）应有授权主体配置访问控制策略，并严格限制默认账户的访问权限；d）应授予不同账户为完毕各自承担任务所需的最小权限， 并在它们之间形成互相制约的关系；e）应具有对重要信息资源设立敏感标记的功能；f） 应根据安全策略严格控制用户对有敏感标记重要信息资源的操作；3 . 3安全审计a ） 应提供覆盖到每个用户的安全审计功能， 相应用系统重要安全事件进行审计；b） 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c ） 审计记录的内容至少应涉及事件的日期、时间、发起者信息、类型、描述和结果等；d） 应提供对审计记录数据进行记录、查询、分析及生成审计报表的功能3. 4剩余信息保护a）应保证用户鉴别信息所在的存储空间呗释放或再分派给其他用户前被完全清除，无论这些信息是存放在硬盘上还是在内存中；b）应保证系统内的文献、目录和数据库记录等资源所在的存储空间呗释放或重新分派给其他用户前得到完全清除；3.5通信完整性a）应采用密码技术保证通信过程中的数据的完整性;3.6 通信保密性a）在通信双方建立连接之前，应用系统应运用密码技术进行会话初始化验证；b）应对通信过程中的整个报文或会话过程进行加密；3 . 7 抗抵赖a） 应具有在请求的情况下为数据原发者或接受者提供数据原发证据的功能：b）应具有在请求的情况下为数据原发者或接受者提供数据接受证据的功能；3.8 软件容错a）应提供数据有效性检查功能， 保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定规定；b ） 应提供自动保护功能， 当故障发生时自动保护当前所有状态， 保证系统可以进行恢复；3 . 9 资源控制a）当应用系统的通信双方中的一方在一段时间内未作任何响应， 另一方面可以自动结束会话；b）应可以对系统的最大并发会话连接数进行限制；c）应可以对单个账户的多重并发会话进行限制；d ） 应可以对一个时间段内也许的并发会话连接数进行限制；e）应可以对一个访问账户或一个请求进程占用的资源分派最大限额和最小限额；f ）应可以对系统服务水平减少到预先规定的最小值进行检测和报警；g） 应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分派系统资源;第4章数据安全测评4 .1 数据完整性a）应可以检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性受到破坏, 并在检测到完整性错误时采用必要的恢复措施；b）应可以检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采用必要的恢复措施；4 . 2 数据保密性a）应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;b ） 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;4.3 备份和恢复a）应提供本地数据备份与恢复功能， 完全数据备份至少天天一次, 备份介质场外存放;b）应提供异地数据备份功能， 运用通信网络将关键数据定期批量传送至备用场地；c）应采用冗余技术设计网络拓扑结构， 避免关键节点存在单点故障；d）应提供重要网络设备、通信线路和数据解决系统的硬件冗余, 保证系统的高可用性第 7 章工具测试7 . 1 测试目的工具测试，是运用各种测试工具，通过对目的系统的扫描、探测等操作, 使其产生特定的响应等活动， 查看、分析响应结果，获取证据以证明信息系统安全保护措施是否得以有效实行的一种方法7 . 2 测试内容运用工具测试，不仅可以直接获取到目的系统自身存在的系统、应用等方面的漏洞，同时， 也可以通过在不同的区域接入测试工具所得到的测试结果，判断不同区域之间的访问控制情况。

7 . 3 测试流程7. 3.1收集信息1）网络设备目的网络设备的基本信息，如路由器、互换机型号等；需要了解目的系统网络设备的物理端口情况， 是否具有接入测试工具的条件；目的网络设备的IP地址2）安全设备目的安全设备的基本信息， 比如防火墙,ID S或者特殊安全设备型号等；目的安全设备的IP地址， 注意防火墙,ID S等也许工作在透明模式或没有IP地址3）主机目的主机的基本信息, 涉及主机操作系统，运营的重要应用等目的主机的IP地址目的主机的重要业务时间段，为选择工具测试时间段做准备4）网络拓扑结果目的系统的网络结果， 直接影响到测试时的接入点的设立需要了解目的系统的网络区域划分， 比如应用区，数据库区等；目的系统各个网络设备、安全设备的位置；拟定目的系统不同区域之间的关系，比如区域级别的关系及区域之间的大约业务数据流程7 .3 .2 规划接入点工具测试的首要原则是在不影响目的系统正常运营的前提下严格按照方案选定范围进行测试接入点规划的， 基本的、共性的原则：（1）由低档别系统向高级别系统探测；（2） 同一系统同等重要限度功能区域之间要互相探测；（3） 由较低重要限度区域向较高重要限度区域探测；（4） 由外联接口向系统内部探测；（5） 跨网络隔离设备（ 涉及网络设备和安全设备） 要分段探测；7.3. 3 编 制 《 工具测试作业指导书》《 工具测试作业指导书》是工具测试顺利进行、测试证据准确获取的重要保证，是对之前各个准备阶段中获取到信息的总结，也是对我们进行现场工具测试的指导文献。

7. 3.4现场测试现场测试，是工具测试的一个重要实行阶段，也是取得工具测试证据的重要阶段测试过程中， 必须具体记录每一接入点测试的起止时间、接 入 IP 地址（ 涉及接入设备的IP地址配置, 掩码、网管配置等） 假如测试过程中出现异常情况，要及时记录测试结果要及时整理、保存，重要验证环节要抓图为证，为测试结果的整理准备充足必要的证据7.3 . 5结果整理从整理的结果中，可以分析出被测系统中各个被测个体存在的漏洞情况，也可以根据各个接入点测试结果的记录整理，分析出各个区域之间的访问控制策略配置情况7 . 4 注意事项1）工具测试接入测试设备之前， 一方面要有被测系统人员拟定测试条件是否具有测试条件涉及被测网络设备、主机、安全设备等是否都在正常运营， 测试时间段是否为可测试时间段;2 ）接入系统的设备、工具的IP地址等配置要通过被测系统相关人员确认3 ）对于测试过程也许导致的对目的系统的网络流量及主机性能等方面的影响（ 例如口令探测也许会导致的账号锁定等情况） ， 要事先告知被测系统相关人员4）对于测试过程中的关键环节、重要证据，要及时运用抓图等取证工具取证.5 ）对于测试过程中出现的异常情况（ 服务器出现故障、网络中断等） 要及时记录。

6）测试结束后, 需要被测方人员确认被测系统状态正常并签字后离场附录A信息安全技术A. 1 标记与鉴别A .1.1技术简介标记是指用户（ 设备）向信息系统（ 或对等实体） 表白其身份的行为;鉴别是指信息系统运用单一或者多重鉴别机制对用户（ 设备）所声称身份的真实性进行验证的过程1）基于用户所知的信息例如：个人标记号（ P I N） ,口令等2）基于用户所持有的物品例如: 门卡、智能卡、硬件令牌等记忆令牌、智能令牌3）基于用户特性例如：指纹、虹膜、视网膜扫描结果或者其他生物特性等特有信息A. 1 . 2 典型产品1）硬件令牌基于时间的动态令牌: 在一定的时间间隔内根据口令计算器（ 令牌） 通过某种算法和其他要素动态生成一个口令，认证端根据相同的算法和要素计算出同一时刻的口令， 进行比对基于挑战应答的令牌：其在实现原理上与时间令牌相似， 同样是认证端随机生成挑战数， 客户端对其进行加密运算并回传，与认证端相比对2）数字证书数字证书是由认证中心生成并经认证中心数字签字的，标志网络用户身份信息的一系列数据， 用来在网络通信中辨认通信各方的身份A . 2 访问控制A.2.1技术简介1） 按访问控制策略划分自主访问控制、强制访问控制、基于角色的访问控制（ Role-B a sed Acces s Co n tro 1 , RBA C）自主访问控制使用自主访问控制机制的系统允许资源所有者（ 主体） 自主决定谁可以访问、如何访问其 资 源 （ 客体）强制访问控制强制访问控制是一种不允许主体干涉的访问控制类型，在强制访问控制机制下, 系统内的每一个用户或主体被赋予一个访问标签以表达他对敏感性客体的访问许可级别，同样，系统内的每一个客体也被赋予一个敏感性标签以反映该信息的敏感性级别，系统内的“ 引用监视器”通过比较主客体相应的标签来决定是否授予一个主体队客体的访问请求。

一一主体对客体的访问必须满足以下条件：A 主体的安全级别不低于客体的安全级别；B 主体的类别包含客体的类别基于角色的访问控制（ R1 e-Based Ac c ess Control,RB AC ）系统定义了各种角色，每种角色可以完毕一定的职能，不同的用户根据其职能和责任被赋予响应的角色，一旦某个用户称为某角色的成员，则此用户可以完毕该角色所具有的职能2）按层面划分网络访问控制重要限制网络设备或主机设备可以与哪些设备建立什么样的连接以及通过网络传输什么样的数据主机访问控制重要是指OS和 DB提供的访问控制功能；它是限制OS或 DB用户或进程可以访问哪些文献系统、系统设备或数据表，以及可以对它们进行哪些访问操作（ 如读、写、执行等）应用访问控制访问控制往往嵌入应用程序（ 或中间件）中以提供更细粒度的数据访问控制通过内置的访问控制模型，应用程序可以限制用户对功能模块和数据的访问，以及对它们可以进行哪些操作等物理访问控制它重要是限制用户对物理环境和设备的物理访问，具体方式有给房间加锁、安装电子门禁系统，以及给设备加上防损设施等A .2 .2 典型产品1 ） 互换机网络互换机重要是通过其虚拟局域网（ V L A N ） 功能实现网络访问控制；V L A N 技术是基于链路层和网络层之间的隔离技术三层互换机由于集成了路由模块，也可以通过路由的访问控制列表实现网络访问控制功能， 具体实现原理与路由器的实现原理相同2 ）路由器路由器工作在网络层，重要是通过访问控制列表来实现访问控制功能。

访问控制列表是一种基于简朴的包过滤的流向控制技术，在路由器上读取网络层及传输层包头中的信息来源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤, 从而达成访问控制的目的标准访问控制列表的具体格式为access- 1 i st ACL号permit / d e ny host I P例如 ac c ess-l i s t 10 deny 192. 16 8 .1.1也可以对某个网段进行过滤 acce s s- 1 ist 10 d e n y 19 2.168.1.0 0. 0.0. 2 5 5（将来自192. 1 6 8 . 1 .0 /2 4的所有计算机数据包进行过滤丢弃）参见P S13）防火墙防火墙是最常见和成熟的网络访问控制产品，它一般部署在网络系统的边界处，属于网络边界的安全保护设备所谓网络边界是采用不同安全策略的2个网络连接处， 比如用户网路和互联网之间连接，和其他业务往来单位的网络连接，用户内网不同部门之间的连接等根据防火墙的性能和功能, 它的访问控制可以达成不同的级别& 连接控制， 控制哪些应用程序终结点之间可建立连接；& 协议控制, 控制用户通过一个应用程序可以进行什么操作；& 数据控制, 防火墙可以控制应用数据流的通过包过滤防火墙根据分组包头源地址、目的地址和端标语、协议类型等标记拟定是否允许数据包通过,所根据的信息来源于I P,TCP或UDP包头。

只有满足过滤逻辑的数据包才被转发到相应的目的地出口端， 其余数据包则被从数据流中丢弃应用代理防火墙它作用在应用层，分别与客户端和服务器建立单独的连接，彻底隔断内网与外网的直接通信它在应用层可以提供强大的数据包内容过滤的功能， 重要涉及& 阻塞URL地址&关键字过滤& 阻止J a v a,Ac t i veX和 Java Script等不安全内容的传输& 防止特洛伊木马的传输& 防止邮件缓存溢出状态检测防火墙状态检测技术是继“ 包过滤”技 术 和 “ 应用代理”技术后发展起来的防火墙技术它在保存了对每个数据包的头部、协议、地址、端口等信息进行分析的基础上，进一步发展了“ 会话功能”，在每个连接建立时，防火墙会为这个连接构造一个会话状态, 里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行4）网闸由于防火墙缺少对未知网络协议漏洞导致的安全问题有效解决， 并且无法检测基于内容的网络袭击，而互联网上病毒泛滥、信息恐怖、计算机犯罪等威胁H 益严重，由此诞生了基于协议对内容进行检查的产品一一网闸网闸是使用带有多种控制功能的固态开关读写介质连接2 个独立主机系统的信息安全设备常见的网闸产品重要分为2 类：空气开关型和专用互换通道型。

5） 安全操作系统或操作系统加固产品A .3密码技术A.3. 1技术简介1)对称密钥加密( 私钥加密)信息的发送方和接受方用同一个密钥去加密和解密数据最大优势是加/ 解密速度快,适合于大数据量进行加密对称密钥的加密算法有DES , 3 DES, AES等(3 S)对于具有n个用户的网络， 需要n(n-l) / 2个密钥( 即C n 2 )2 )非对称密钥加密( 公钥加密)需要使用一对密钥来分别完毕加密和解密操作，一个公开, 即公开密钥，另一个由用户自己秘密保存, 即私用密钥信息发送者用公开密钥去加密， 而信息接受者用私用密钥去解密非对称密钥加密算法重要有RSAQSA,和ECC等(AAC)3) 单向哈希函数A.3. 2 典型产品VPN1) VPN概念2) V P N工作原理3) VPN涉及的关键技术IPSec协议SSL协议4) VP N的应用领域远程访问组建内联网构建外联网A. 4 安全审计和监控A.4.1技术简介1）安全审计安全审计功能&记录、跟踪系统运营状况& 检测安全事件& 对潜在的袭击者起到震慑或警告作用安全审计的分类系统级、应用级和用户级审计系统级审计规定至少可以记录登陆结果（ 成功和失败） 、登录标记、登录尝试的日期和时间， 退出的日期和时间， 所使用的设备、登录后运营的内容（ 如用户启动应用的尝试，无论成功或失败）、修改配置文献的请求等；应用级审计跟踪监控和记录诸如打开和关闭数据文献，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。

用户审计跟踪通常记录用户直接启动的所有命令、所有的标记和鉴别尝试和所访问的文献和资源2）安全监控概念P276A.4.2典型产品安全审计的典型产品是网络安全审计系统（ i ） ,安全监控的典型产品是入侵检测系统（ 2 ） 和入侵防护系统（3） 1）网络安全审计系统网络安全审计系统提供了一个统一的集中管理平台对网络中的网络设备、服务器主机、数据库、W eb服务器等通用应用服务系统以及各种特定业务系统在运营过程中产生的日记、消息、状态等信息进行实时采集, 在实时分析的基础上， 检测各种软硬件系统的运营状态， 发现各种异常事件并发出实时告警，并通过可视化的界面和报表向管理人员提供准确、详尽的记录分析数据和异常分析报告，协助管理人员及时发现安全隐患，采用有效措施涉及网络探测引擎、数据管理中心、审 计 中 心 3 部分2）入侵检测系统（IDS）通常由数据采集部分、数据分析部分、控制台部分以及”记部分几个部分构成，并且这几个部件往往放在不同的主机上数据采集部分从整个信息系统中获得事件，并向系统的其他部分提供此事件数据分析部分分析得到的数据， 并产生分析结果控制台部分则是对分析结果做出反映的功能单元，它可以做出切断连接、改变文献属性等强烈反映，也可以只是简朴的报警。

日记部分是存放各种中间和最终数据的地方的统称， 它可以是复杂的数据库，也可以是简朴的文本文献数据采集& 1 系统和网络日记文献& 2目录和文献中的不盼望的改变&3程序执行中的不盼望行为&4 物理形式的入侵信息数据分析目前有3 种技术手段来进行分析（ 各有什么优缺陷） P280 — 2 8 1&模 式 匹 配 1实时的入侵& 记录分析& 完整性分析 事后分析模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违反安全策略的行为记录分析：记录分析的方法一方面给系统对象（ 如用户、文献、 目录和设备等） 创建一个记录描述，记录正常使用时的一些测量属性（ 如访问次数、操作失败次数和延时等） 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观测值在正常值范围之外时， 就认为有入侵发生完整性分析：完整性分析重要关注某个文献或对象是否被更改， 这经常涉及文献盒目录的内容及属性，它在发生被更改的， 被特洛伊化的应用程序方面特别有效控制响应方式有：记录日记、发出报警声、发送电子邮件告知管理员根据数据采集源的不同，IDS可分为主机型和网络型2 种主机型入侵检测系统（ H I DS） 何时选择、优缺陷网络型入侵检测系统（ NIDS） 概念、部署的地方、优缺陷3）入侵防御系统（ IP S ）基于主机的入侵防御系统（HIPS）基于网络的入侵防御系统（ NIPS）什么情况下选择ID S ,还 是IP S需要实地考察应用环境• IP S比较适合于阻止大范围的、针对性不是很强的袭击，但对单独目的的袭击阻截也许失效，自动防止系统也无法阻止专门的恶意袭击者的操作。

在金融应用系统中，用户除了关心遭恶意入侵外， 更紧张误操作引发劫难性后果这类系统中适合选择ID S目前IPS还不具有足够智能辨认所有对数据库应用的袭击，一般能做的也就是检测缓冲区溢出，此 外IP S跟防火墙配置息息相关, 假如没有安装防火墙， 则没必要安装这类工具假如用户熟知网段中的协议运用并易于记录分析， 则可采用这类技术A .5恶意代码防范A. 5 . 1技术简介蠕虫、逻辑炸弹、特洛伊木马等A.5.2典型产品1）防病毒软件2）防病毒网关A . 6备份与恢复A.6.1技术简介1）数据备份完全备份、差 异 备 份 （ 不清除标记，即: 备份后不标记为已备份文献）、增量备份（ 清除标记）2）系统备份本地和远程2种方式：本地备份重要使用容错技术和冗余配置来应对硬件故障；远程备份重要应对劫难事件， 有热站和冷站的选择3）备份与恢复等级1：本地备份、本地保存的冷备份2:本地备份、异地保存的冷备份数据备份后送往异地保存，在本地要做好重要网络设备、通信线路和服务器的硬件冗余3：本地热备份站点备份4：异地活动互援备份主从系统不再固定，而是互为对方的备份系统，且备份中心也放在了异地根据实际规定与资金投入，还可以选择& 2个系统之间只限于关键应用和数据的互相备份& 2个系统之间互为镜像，即0数据丢失等A.6. 2 典型产品1 ） 双机备份2）单机容错（ 可以实现更多的可用性）A.7 Web安全防护A .7 .1 技术简介常见的针对Web袭击的手段有SQL A运用现有应用程序，将恶意SQL命令注入到后台数据库引擎执行的能力跨站脚本袭击（ X S S）它允许恶意Web用户将代码植入到提供应其他用户使用的页面中。

网页挂马网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马， 再上到空间里面，再加代码使得木马在打开网页时运营，网页挂马的方法多种多样A.7. 2典型产品1） W e b 安全检查服务远程网页木马检查、远程网页漏洞检查2）基于W e b服务器的入侵防御系统（WIPS）基于袭击特性检测方法以S N O R T为代表的这种检测方法，类似于传统的ID S ,通过抽取S Q L注入、XSS袭击中的关键字，构建袭击特性库, 依据特性库进行比对检测缺陷：漏报率很高， 假如设立了过于严格的特性，又也许限制客户的w e b业务体验， 甚至产生误报基于异常袭击检测方法此方法的核心思想是通过学习期的训练， 为W e b应用程序自动建立各参数的正常使用模型（ URL/COOKIE ）在此后的检测过程中依据此模型来判断实际网络中的各种行为是否异常优势：可以不受限制地发现各种异常行为，但异常并不意味着袭击，其误报率较高，实时性不够VX I DVXID技 术 （ 涉及针对SQ L注入袭击的VS I D技术， 以及针对XSS袭击的VXSSD等技术在内的W eb应用袭击防护技术统称）优势: 这种基于原理的检测方式避免了对固化特性的匹配导致的高漏报率，也避免了由于检测规则过于严苛导致的误报。

A .8终端安全A.8.1技术简介内网安全问题, 实质上并不是由于威胁高深莫测，而是在于内网安全管理有章可循， 假如内网安全管理制度可以科学有效执行下去， 内网安全问题将得到主线解决合理管理重要包含以下几个方面⑸a）准入控制b）终端安全检查c）进程管理d）外设监控e）终端审计A.8.2典型产品管理产品很多， 比如非法外联监控系统、内网安全管理系统、内网安全风险管理与审计系统和合规管理系统等这些产品一般由客户端代理（ Client）、管理服务器（ S erver ）和策略网关（ C h eckpoint）等部件组成附 录B网络袭击技术B .1网 络 袭 击 概 述B .1 .1 网络袭击发展1）网络袭击的自动化限度和袭击速度不断提高& 扫描工具发展& 袭击传播技术发展& 袭击工具的控制和协调变得更加容易2）袭击工具越来越复杂袭击工具的特性比以前更难发现, 已经具有了反侦破，动态行为，袭击工具更加成熟的特点;3 ） 黑客运用安全漏洞的速度越来越快B.1.2网络袭击分类击分类模式类型袭击角度积极袭击和被动袭击袭击目的拒绝服务袭击（ D O S ） 、获取系统权限、获取敏感信息袭击切入点缓冲区溢出、系统设立漏洞纵向实行过程获取初级权限袭击、提高最高权限袭击、后门袭击、跳板袭击袭击的类型对各种OS的袭击、对网络设备的袭击、对特定应用系统的袭袭 击 分 类 0在 最 高 层 次， 袭 击 可 被 分 为 两 类： 回积 极 袭 击团被动袭击施积极袭击包含袭击者访问他所需信息的故意行为。

比如远程登录到指定机器的端口 2 5 找出公司运营的邮件服务器的信息；伪造无效I P 地址去连接服务器， 使接受到错 误 I P 地址的系统浪费时间去连接哪个非法地址袭击者是在积极地做一些不利于你或你的公司系统的事情正由于如此, 假如要寻找他们是很容易发现的积极袭击涉及拒绝服务袭击、信息篡改、资源使用、欺骗等袭击方法0被动袭击重要是收集信息而不是进行访问， 数据的合法用户对这种活动一点也不会觉察到被动袭击涉及嗅探、信息收集等袭击方法说明：这样分类不是说积极袭击不能收集信息或被动袭击不能被用来访问系统多数情况下这两种类型被联合用于入侵一个站点但是，大多数被动袭击不一定涉及可被跟踪的行为， 因此更难被发现从另一个角度看， 积极袭击容易被发现但多数公司都没有发现, 所以发现 被 动 袭 击 的 机 会 几 乎 是 零回再往下一个层次看， 当前网络袭击的方法没有规范的分类模式，方法的运用往往非常灵活从袭击的目的来看，可以有拒绝服务袭击（Dos）、获取系统权限的袭击、获取敏感信息的袭击；从袭击的切入点来看，有缓冲区溢出袭击、系统设立漏洞的袭击等；从袭击的纵向实行过程来看，又有获取初级权限袭击、提高最高权限的袭击、后门袭击、跳板袭击等; 从袭击的类型来看，涉及对各种操作系统的袭击、对网络设备的袭击、对特定应用系统的袭击等。

所以说，很难以一个统一的模式对各种袭击手段进行分类0 3事实上黑客实行一次入侵行为， 为达成他的袭击目的会结合采用多种袭击手段， 在不同的入侵阶段使用不同的方法因此在这篇袭击方法讨论中我们按照袭击的环节， 逐个讨论在每一环节中可采用的袭击方法及可运用的袭击工具B .2 网络袭击过程袭击大约分为4个环节:信息搜集阶段，入侵阶段，提高权限阶段， 隐藏踪迹阶段B.2.1信息收集袭击者搜集目的信息一般采用7个基本环节1）找到初始信息一些常见的方法：&运用公开渠道搜集一一公司新闻信息、公司员工信息、新闻组&W h ois （ 程序） 一一袭击者会对一个域名执行W h ois程序以找到附加的信息通过查看W hi s的输出， 袭击者会得到一些非常有用的信息：得到一个物理地址、一些人名和号码（ 可运用来发起一次社交工程袭击）非常重要的是通过w h o is可获得袭击域的重要的（ 及次要的）服务器IP地址&Nslo o ku p&找到附加IP地址的一个方法是对一个特定域询问DNS& 另一个得到地址的简朴方法是Pi n g域名袭击者得到网络的地址， 可以把此网络当作初始点2 ）找到网络的地址范围当袭击者有了一些机器的IP地址之后， 下一步需要做的就是找出网络的地址范围或者子网掩码，以保证袭击者能几种精力对付一个网络而没有闯入其他网络袭击者可以用2种方法找到这一信息& A R IN允许任何人搜索w h o is数据库找到“ 网络上的定位信息、自治系统号码（ASN）、有关网络句柄和其他有关的接触点（POC） “。

ARINwhois允许询问I P地址， 帮助找到关于子网地址和网络如何被分割的策略信息& Tracerou t e可以知道一个数据包通过网络的途径, 因此运用这一信息，能拟定主机是否在相同的网络上袭击者进入和决定公司地址范围的2种方法， 既然有了地址范围，袭击者能继续搜集信息，下一步是找到网络上活动的机器3）找到活动机器知道了 IP范围之后, 袭击者想知道哪些机器是活动的，哪些不是P in g使用P ing可以找到网络上哪些机器是活动的【 一次pin g 一台机器】Ping w ar一次同时P i ng多台机器（ 这种技术叫Ping Sweeping）Nma p 其重要是一个端口扫描仪，但也能Pin g Swe e p — ■个地址范围4 ）找到开放端口和入口点为了拟定系统中哪一个端口是开放的，袭击者会使用被称为port scanner（ 端口扫描仪）的程序可以再一系列端口上进行以找出哪些是开放的目前流行的扫描类型是:TCPSYN扫描T CP conntect 扫描F IN扫描AC K扫描常用端口扫描程序如下：X s c an： （ windows 环境下）Nma p ： （ UN I X环境下）5）弄清操作系统袭击者知道哪些机器是活动的和哪些端口是开放的，下一步是要辨认每台主机运营哪种操作系统Nm a p：目前它能检测出接近400种不同的设备Xs can:可辨认出常见的操作系统及网络设备6）弄清每个端口运营的是哪种服务& 系统默认的端口 21端口一FT P服务,25端口一邮件服务&T e Inet&漏洞扫描器7）画出网络图袭击者得到了各种信息，现在可以画出网络图使他能找出最佳的入侵方法&Trac e ro u te 是用来拟定源到目的地途径的程序， 结合这个信息, 袭击者可拟定网络的布局图和每一个部件的位置& V is u a l P in g是一个真实展示包通过网络的路线的程序，不仅向袭击者展示了通过的系统，也展示了系统的地理位置& C h e o p s运用了用于绘制网络图并展示网络的图形表达的技术，是使整个过程自动化的程序。

假如从网络上运营, 可以绘出它访问的网络部分B .2 . 2 入侵阶段1 .拒绝服务袭击(Denial of S er v i c e Do S )分2种类型：& 袭击者发送一些非法的数据或数据包( 系统无法使用这些资源) ， 使得系统或者网络瘫痪& 向系统或网络发送大量信息， 使系统或网络不能响应典型的手段：2. 传统拒绝服务袭击( 1) Ping o f D ea t h(2) Te a r d ro p碎片袭击的典型袭击(3) Land袭击者将一个包的源地址和目的地址都设立为目的主机的地址， 然后将该包通过IP欺骗的方式发送给被袭击主机， 这种包可以导致被袭击主机因试图与自己建立连接而陷入死循环， 从而很大限度地减少了系统性能4) S m u rf该袭击向一个子网的广播地址发一个带有特定请求( 如I C M P回应请求) 的包，并且将源地址伪装成想要袭击的主机地址子网上所有主机都回应广播包请求而向被袭击主机发包，使该主机受到袭击5) SYN flood [PS： SYN ( syn c h ro n o u s )是 TCP/IP建立连接时使用的握手信号在客户机和服务器之间建立正常的TC P网络连接时， 客户机一方面发出一个SYN消息、 ，服务器使用SYN+ACK应答表达接受到了这个消息， 最后客户机再以AC K消息响应。

这样在客户机和服务器之间才干建立起可靠的T C P连接， 数据才可以在客户机和服务器之间传递3分布式拒绝服务袭击DDo S是袭击者经常采用并且难以防范的袭击手段典型的拒绝服务袭击工具如下:（ 1） TFN2K（ 2） Trin o o4 口令袭击类型：（ 1） 字典袭击一一使用一个包含大多数字典单词的文献，用这些单词猜测用户口令（2） 强行袭击一一假如有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令3） 组合袭击一一使用词典单词， 并在单词尾部串接几个字母和数字（4 ）其他袭击类型（5） 口令袭击工具（ 破解）& L O p h tc ra c k &NTSwee p &NTCr a ck &PWDum p 2 &C r ac k &J o hn the Ri pper5欺骗袭击I P欺骗、电子邮件欺骗、W eb欺骗、非技术类欺骗（1） I P欺骗基本地址变化，I P欺骗的最基本形式是搞清楚一个网络的配置，然后改变自己的IP地址， 伪装成别人机器的I P地址使用源路由选择截取数据包,运用U N I X机器上的信任关系( 2 ) 电子邮件欺骗( 3 ) W e b 欺骗( 4) 非技术类欺骗6 缓冲区溢出袭击B. 2 . 3 保存阶段( 1 ) 后门和特洛伊木马⑵ N et c a t 一个能让系统将数据发送给别人的计算机并且从别的系统得到数据的程序B .2. 4 隐藏踪迹阶段需要隐藏4 个方面的信息&日记文献& 文献信息& 此外的信息& 网络通信流量工具: els a v e , ex ePSPS 1子网掩码子网掩码( s u b net ma s k ) 又叫网络掩码、地址掩码、子网络遮罩， 它是一种用来指明一个I P地址的哪些位标记的是主机所在的子网以及哪些位标记的是主机的位掩码。

子网掩码不能单独存在， 它必须结合I P 地址一起使用• 子网掩码只有一个作用， 就是将某个I P 地址划提成网络地址和主机地址两部分子网掩码（ subnet mask） 是每个使用互联网的人必须要掌握的基础知识， 只有掌握它，才可以真正理解T C P /IP 协议的设立子网掩码——屏蔽一个IP地址的网络部分的“ 全 1”比特模式对于A 类地址来说， 默认的子网掩码是255.0. 0.0；对 于 B 类地址来说默认的子网掩码是2 55. 2 5 5 . 0 ,0；对于C 类地址来说默认的子网掩码是2 5 5.25 5.2 5 5.0,运用子网掩码可以把大的网络划提成子网，即VLSM（ 可变长子网掩码）， 也可以把小的网络归并成大的网络即超网构成要想理解什么是子网掩码，就不能不了解I P 地址的构成互联网是由许多小型网络构成的， 每个网络上都有许多主机， 这样便构成了一个有层次的结构IP 地址在设计时就考虑到地址分派的层次特点, 将每个IP 地址都分割成网络号和主机号两部分，以便于IP 地址的寻址操作IP 地址的网络号和主机号各是多少位呢？ 假如不指定, 就不知道哪些位是网络号、哪些是主机号， 这就需要通过子网掩码来实现。

规则子网掩码的设定必须遵循一定的规则与二进制IP 地址相同，子网掩码由1 和 0 组成，且 1 和 0 分别连续子网掩码的长度也是3 2 位，左边是网络位，用二进制数字“1”表达， 1 的数目等于网络位的长度; 右边是主机位， 用二进制数字“0”表达，0 的数目等于主机位的长度这样做的目的是为了让掩码与ip 地址做A N D 运算时用0 遮住原主机数，而不改变原网络段数字，并且很容易通过0 的位数拟定子网的主机数（ 2 的主机位数次方一2,由于主机号全为1 时表达该网络广播地址， 全 为 0 时表达该网络的网络号，这是两个特殊地址） 只有通过子网掩码，才干表白- 台主机所在的子网与其他子网的关系，使网络正常工作作用子网掩码是一个32位地址，是 与 I P 地址结合使用的一种技术它的重要作用有两个，一是用于屏蔽I P地址的一部分以区别网络标记和主机标记，并说明该I P 地址是在局域网上， 还是在远程网上二是用于将一个大的I P网络划分为若干小的子网络使用子网是为了减少I P 的浪费由于随着互联网的发展， 越来越多的网络产生, 有的网络多则几百台， 有的只有区区几台， 这样就浪费了很多I P地址， 所以要划分子网。

使用子网可以提高网络应用的效率通 过 I P 地址的二进制与子网掩码的二进制进行与运算， 拟定某个设备的网络地址和主机号, 也就是说通过子网掩码分辨一个网络的网络部分和主机部分子网掩码一旦设立， 网络地址和主机地址就固定了子网一个最显著的特性就是具有子网掩码与 I P 地址相同，子网掩码的长度也是3 2位, 也可以使用十进制的形式例如，为二进制形式的子网掩码：1 1 1 1 1 1 1 1 . 1 1 1 1 1 1 1 1 . 1 1 1 1 1 1 1 1 . 0 0 0 0 0 0 0 0 , 采 用 十 进 制 的 形 式 为 ： 25 5 . 2 5 5 . 2 5 5 . 0 通过计算机的子网掩码判断两台计算机是否属于同一网段的方法是，将计算机十进制的 I P 地址和子网掩码转换为二进制的形式，然后进行二进制“ 与" （ A N D ） 计 算 （ 全 1则 得 1 ,不 全 1 则得0 ）,假如得出的结果是相同的， 那么这两台计算机就属于同一网段计算方式由于子网掩码的位数决定于也许的子网数目和每个子网的主机数目在定义子网掩码前, 必须弄清楚本来使用的子网数和主机数目。

根据子网数运用子网数来计算在求子网掩码之前必须先搞清楚要划分的子网数目，以及每个子网内的所需主机数目1 ） 将子网数目转化为二进制来表达2）取得该二进制的位数， 为 N3） 取得该IP 地址的类子网掩码，将其主机地址部分的的前N 位 置 1 即得出该I P 地址划分子网的子网掩码如欲将B 类 IP地 址 1 6 8.195.0. 0 划提成27个子网：1） 27=110112 ） 该二进制为五位数, N = 53）将 B 类地址的子网掩码255.25 5 .0.0的主机地址前5 位 置 1 （ B 类地址的主机位涉及后两个字节， 所以这里要把第三个字节的前5 位 置 1）, 得到255. 2 5 5 .248.0即为划提成2 7 个子网的B 类 I P 地 址 1 68. 1 9 5 . 0 . 0 的子网掩码（ 事实上是划成了 3 2 -2= 3 0 个子网） 这一段介绍的是旧标准下计算的方法，关于旧的标准后文在介绍，在新标准中则可以先 将 27减 去 1,由于计算机是从0 开始计算的， 从 0 到 2 7 事实上是有2 8 个, 所以说假如需要 2 7 个就需要将27减 去 1。

根据主机数运用主机数来计算1 ） 将主机数目转化为二进制来表达2 ） 假如主机数小于或等于2 5 4 （ 注意去掉保存的两个IP 地址），则取得该主机的二进制位数，为 N , 这里肯定N<8假如大于2 54,则 N>8,这就是说主机地址将占据不止8 位3） 使 用 255.255. 2 55. 2 5 5 来将该类IP 地址的主机地址位数所有置1 , 然后从后向前的将N 位 所 有 置 为 0 , 即为子网掩码值如欲将B 类 IP 地址划提成若干子网， 每个子网内有主机700台：1） 7 00 =2） 该二进制为十位数，N = 1 03） 将 该 B 类 地 址 的 子 网 掩 码 2 5 5 . 2 55.0. 0 的 主 机 地 址 所 有 置 1 , 得 到 255. 255. 2 55. 2 55然后再从后向前将后1 0 位 置 0,即为: 11111 1 11. 1 11 1 11 1 1. 1111 1 1 0 0.00000000即这就是该欲划提成主机为700台的B类 IP 地 址 1 6 8.195. 0.0的子网掩码192.1 68.1. 0 /2 4 表达网段是192.1 6 8 . 1 .0 ,子网掩码是2 4 位，子网掩码为:255 .25 5 . 2 55. 0 , 用二进制表达为： 1 1111111 1 111 1 1 11 11 1 11111 000 0 0 0 00 ,这里为什么是2 4 呢， 就是由于子网掩码里面的前面连续的“ 1”的个数为2 4 个, 一定要连续的才行。

再给你举个例子，192.168.1.0 / 2 8 表达的意思是网段是192. 1 68. 1 .0,子网掩码为255.25 5 .2 5 5.240,用二进制表达为1 1 1 11 1 1 11 1 11111 1 1 1 11 1 1 1 1 11 10 000这时候你也许就疑惑了，就是24和 28两个字不同样， 为什么网段是同样的呢？2 4 位说明网络位是24位，那么主机位就是3 2 —24 = 8 位了， 则子网的IP 个数是254个, 即是从0 0000 0 01到 1是11 0 .2 8 位 说 明 网 络 位 是 2 8 位， 那 么 主 机 位 4 位， 则 子 网 的 IP 个 数 是 1 4 个, 即是从0000000 1 至 IJ 0 0 001 1 1 0.增量计算法子 网 ID增量计算法（ 即计算每个子网的IP范围）其基本计算环节如下：第 1 步， 将所需的子网数转换为二进制，如所需划分的子网数为“4”，则转换成成二进制为 0000 0 1 0 0；第 2 步， 取子网数的二进制中有效位数, 即为向缺省子网掩码中加入的位数（ 既向主机I D 中借用的位数）。

如前面的00 0 00 1 0 0 ,有效位为“100”,为 3 位（ 在新标准中只需要2 位就可以了） ;第 3 步，决定子网掩码如 IP 地 址 为 B 类网络，则缺省子网掩码为：， 借用主机ID的 3 位以后变为:25 5 .25 5 . 224 （ 1 1 1 00000） 0 , 即将所借的位全表达为1 , 用作子网掩码第 4 步，将所借位的主机ID 的起始位段最右边的“1”转换为十进制， 即为每个子网I D之间的增量，如前面的借位的主机ID 起始位段为“ 1 1 1 00 0 00”，最右边的“1”，转换成十进制后为2 "5=32（ 此为子网ID增量）第 5 步，产生的子网ID数为:2^m-2 （ m 为向缺省子网掩码中加入的位数）， 如本例向子网掩码中添加的位数为3 , 则可用子网ID数为:2"3—2= 6 个；第 6 步，将上面产生的子网ID 增量附在原网络ID 之后的第一个位段，便形成第一个子网网络ID 1 2 9. 2 0 . 3 2.0 （ 即第一个子网的起始IP段）；第 7 步，反复上步操作，在原子网ID 基础上加上一个子网ID 增量， 依次类推, 直到子网 ID 中的最后位段为缺省子网掩码位用主机ID 位之后的最后一个位段值， 这样就可得到所有的子网网络1 D。

如缺省子网掩码位用主机ID位之后的子网ID为 25 5 . 255. 224.0,其中的“22 4 ”为借用主机I D 后 子 网 ID 的最后一位段值，所以当子网ID 通过以上增长增量的方法得到129. 20.2 2 4.0时便终止, 不要再添加了（ 只能用至U 1 29. 2 0. 2 2 3.0）我们知道当主机ID 为全0 时表达网络ID,全 1 时表达广播地址在 RFC950标准中，不建议使用全0 和 全 1 的子网ID例如把最后一个字节的前3 位借给网络I D , 用后面的5 位来表达主机ID ,这样就会 产 生 2 * 3 = 8 个子网，子 网 I D 就 分 别 为 0 0 0 、00 1 、 0 10、011、100、1 0 1、110、111这样8 个，在 RFC 9 50标准中只能使用中间的6 个子网I D这么做的因素是：设我们有一个网络：19 2.16 8.0.0 /24 （ 即子网掩码的前2 4 位 为 1 ,255.25 5 .2 55.0） , 我们需要两个子网， 那么按照RFC950,应当使用/ 2 6 而不是/2 5 ,得到两个可以使用的子网1 9 2,168.0 .64和对于, 网络地址是，广播地址是192.1 6 8.0.2 5 5对 于 1 9 2.1 68. 0 .0 /2 6 ,网 络 地 址 是 19 2 ,16 8 . 0 .0,广播地址是A对 于 1 92 . 1 6 8.0. 64/26,网络地址是 192.16 8 .0. 6 4 广播地址是 1 9 2.168 . 0. 127A 对于192.168.0. 1 2 8 / 2 6 , 网络地址是 1 92. 168.0.12 8 ,广 播 地址是 192.168.0. 191对 于 1 92. 1 68. 0 .192/26,网 络 地 址 是 1 9 2.16 8 . 0 .192,广 播 地 址 是192.168.0. 25 5你可以看出来， 对于第一个子网, 网络地址和主网络的网络地址是重叠的，对于最后一个子网，广播地址和主网络的广播地址也是重叠的。

在 C ID R 流行以前，这样的重叠将导致极大的混乱比如，一个 发 往 192. 1 68.0.2 5 5 的广播是发给主网络的还是子网的？这就是为什么在当时不建议使用全和 全 1 子网在今天，C ID R 已经非常普及了，所以一般不需要再考虑这个问题标注方法无子网无子网的标注法对无子网的IP 地址，可写成主机号为0 的掩码如 I P地 址 210. 7 3.140. 5,掩码为255.255.255.25 5,也可以缺省掩码，只写IP地址有子网有子网的标注法有子网时， 一定要两者配对出现以 C 类地址为例 以下一段没有指定掩码为2 7 位， 在掩码为27位的情况下才成立〜〜）1 . IP 地址中的前3 个字节表达网络号， 后一个字节既表白子网号， 又说明主机号， 还说明两个IP 地址是否属于同一个网段假如属于同一网络区间，这两个地址间的信息互换就不通过路由器假如不属同一网络区间，也就是子网号不同， 两个地址的信息互换就要通过路由器进行例如：对 于 IP 地 址 为 210.7 3.1 4 0 .5 的主机来说，其主机标记为0 0 0001 0 1 ， 对 于 IP 地 址 为 2 1 0. 7 3. 1 40.1 6 的主机来说它的主机标记为0 00 1 0 0 0 0,以上两个主机标记的前面三位全是00 0,说明这两个IP 地址在同一个网络区域中，这两台主机在互换信息时不需要通过路由器进行。

21 0.73.60.1的主机标记为00000001,2 10.73. 6 0 .2 5 2 的主机标记为11111100,这两个主机标记的前面三位000与 1 11不同，说明两者在不同的网络区域， 要互换信息需要通过路由器其子网上主机号各为1 和 25 2 2 . 掩码的功用是说明有子网和有几个子网，但子网数只能表达为一个范围，不能确切讲具体几个子网， 掩码不说明具体子网号，有子网的掩码格式（ 对 C类地址）表达方法子网掩码通常有以下2 种格式的表达方法：1. 通过与IP地址格式相同的点分十进制表达如 : 2 5 5. 0 . 0.0 或 255. 2 5 5.255. 1282. 在 IP地 址 后 加 上 符 号 以 及 1— 3 2 的数字， 其 中 1—32的数字表达子网掩码中网络标记位的长度如:19 2 ,16 8 .1.1/24的子网掩码也可以表达为2 5 5.2 5 5.25 5 .0子网掩码一般为255. 2 5 5. 2 55. 0地址判断以下均为C 类网子网掩码是用来判断任意两台计算机的I P 地址是否属于同一子网络的根据最为简朴的理解就是两台计算机各自的IP 地址与子网掩码进行AN D 运算后， 假如得出的结果是相同的，则说明这两台计算机是处在同一个子网络上的，可以进行直接的通讯。

就这么简朴运算示例示例一I P 地址 1 9 2.168.0. 1子网掩石马2 5 5.25 5.25 5.0A ND运算（ AND运算法则:1 与 1 = 1 ,1 与 0 = 0 ,0 与 1 = 0 ,0 与 0 = 0 , 即当相应位均为1时结果为1 ,其余为0转化为二进制进行运算：IP 地址 1 1 000 0 0 0 . 10101000. 0 0 0 0000 0 .0000 0 001子网掩码 111 1 1 1 1 1.11111111. 1 1 1 1111 1.0 0000000AND运算1 1 0000 0 0.1 0 1 01000.00000000.000 0 0000转化为十进制后为：192 .1 6 8.0. 0示例二IP地址子网掩码AND运算转化为二进制进行运算：I P 地址 110000 0 0.10101000.00 0 0 0 0 0 0.11111 1 10子网掩码 1 11 1 1 111.11 1 11111. 1 1111 1 11.0 000 0 00 0AND运算11 0 0 000 0 .10 1 01 0 00.0 0 0 00 0 00. 00 0 00 0 00转化为十进制后为：1 9 2 .1 6 8.0. 0示例三I P 地址 1 92. 168. 0 .4子网掩码 25 5 ,255.25 5 .0AND运算转化为二进制进行运算:I P 地址 11000 0 00. 101 0 10 0 0.0000000 0.0 00 00 1 0 0子网掩码 111111 1 1.1 1 11 1 1 1 1. 11111 1 1 1. 0 0000000AND运算110000 0 0.1 0 10 1 000.00000000.0000 0 0 00转化为十进制后为：1 92.16 8 .0 .0通过以上对三组计算机IP 地址与子网掩码的AN D 运算后， 我们可以看到它运算结果是同样的。

均 为 1 92. 1 6 8 .0. 0所以计算机就会把这三台计算机视为是同一子网络， 然后进行通讯的也许你又要问，这样的子网掩码究竟有多少个IP 地址可以用呢？你可以这样算根据上面我们可以看出，局域网内部的ip 地址是我们自己规定的（ 当然和其他的i P地址是同样的）， 这个是由子网掩码决定的通过对2 55.25 5.2 5 5 .0的分析可得出：前 三 位 IP 码由分派下来的数字就只能固定为1 9 2.1 6 8 .0 所以就只剩下了最后的一位了， 那么显而易见了, ip 地址只能有（2 的 8 次方-2 ）,即 2 56—2=254,一般主机地址全为 0 或 者 1 （ 二进制）有其特殊的作用那么你也许要问了：假如我的子网掩码不是255.255.2 5 5 .0 呢？ 你也可以这样做啊假设你的子网掩码是2 55.255. 128.0那么你的局域网内的ip地址的前两位肯定是固定的了这样， 你就可以按照下边的计算来看看同一个子网内到底能有多少台机器1. 十进制I 1 2 8 = 二进制 10 0 0 0 0 002. IP 码要和子网掩码进行A N D 运算3.i P 1100 o 000.101 o io o Q . 、* * * * * * * . * * * * 寺 * * *子网掩码 1 1 111 1 1 1. 1 1 1 111 1 1. 10000000. 00000000A N D 运算11000 00 0 . 10101 0 00.1 0 00 0 00 0 . 00000 0 00转化为十进制后为：192. 16 8 . 1 2 8 .04. 可知我们内部网可用的IP 地址为：1 1 0 0 0 0 00. 1 0101 0 00. 1 0 0 0 0 00 0 . 000000 0 0到11000000 . 1 0101000. 1 1111 111.1 1111 1 11( 也可以是：11 0 00000. 1 01 0 1000.0 0 000 0 0 0. 0 00000 0 0 至 IJ 11000000.1 01 0 1 0 00. 0 1 11111 1 . 1 1111111)5 . 转化为十进制：1 9 2 .1 6 8 .1 28.0 至 I 」 1 92. 1 6 8.25 5 .255 ( 或者到 192. 1 6 8.127. 255)6 .0和 255通常作为网络的内部特殊用途。

通常不使用7 . 于是最后的结果如下: 我们单位所有可用的I P 地址为：192. 1 68. 129.1-192.1 6 8.129. 2541 9 2.1 68.130. 1-192.1 6 8. 1 30.2541 92.168. 131. 1 - 1 92 .1 6 8 .13 1 . 2541 9 2.1 6 8.139. 1 - 1 92.168,139. 2541 9 2.168. 1 4 0.1-1 9 2.168.140. 2 541 92.1 6 8.1 4 1. 1-1 9 2.16 8.141.2541 92. 168 . 1 42. 1- 1 92. 168. 142.2541 9 2 .168.143.1-1 9 2.168. 1 43.25 4192. 1 6 8.254.1-192. 1 68. 2 54.25419 2.1 6 8.255.1-192. 168. 2 55.2 5 48 , 总数为( 2 55-128+1)*(2 5 4-1+1) =128 * 2 54 = 32 512子网内包含的机器数目应当是2” - 2 ,比如说上面的子网掩码是，那么他的网络号是1 7 位，主机号是1 5 位，只要主机号不全是0 或 者 1就是可以的， 所 以 ip 地 址 是 192. 168.1 9 2.0(110000 0 0. 1 0 1 0 10 0 0. 1 10 0 0 0 00. 000000 0 0)也允许，除掉全 0 全 1,结果为 27 5 — 2 *( 2 55-1 2 8+1) =3251 29 . 看看的结果是否对的(1)、设定 IP 地址为 192.16 8.1 2 8.1P i ng 1 9 2 .16 8 .129.233通过测试访问(2)、设定 I P 地址为 192.168. 25 5 .254Ping 19 2.16 8.255.254 通过测试访问可以显示出主页1 0 . 结论以上证明我们的结论是对的。

现在你就可以看你的子网中能有多少台机器了25 5 .25 5 .255. 1 2 8分解：1 1 11 1 111.1 1 1 1 1 1 1 1.11 1 1 1 1 1 1.1 0 00 0 000所以你的内部网络的ip地址只能是XX X X X X XX. X X XXXXXX.XXXXXXX X . 0??? ??? ?到X X XXX XXX. XXXXXX X X.X X X X XXXX. 0 1 111 1 11子网掩码。