1.网络空间的四个要素(设施、数据、用户和操作)见第一章PPT 61页 背下图 2.网络空间安全的基本概念； ?网络空间安全涉及网络空间安全电磁设备、电力信息系统，运输数据和系统应该是数据和系统中所存在的安全问题。既要防?、为了保护信息通信技术系统及其承载的数据，我们还应该处理这些信息通信技术系统造成的政治安全、经济安全化学安全、社会安全和国防安全。?网络空间安全主要研究网络空间中的安全威胁和保护问题。包括基础设施、信息系统的安全性和可信度，以及相关信息的机密性、完整性和可信度性、真实性和可控性

三、网络安全属性； 包括基础设施、信息系统的安全性和可信度，以及相关信息的机密性、完整性、可控性

4.网络攻击的基本概念和分类(主要理解主动攻击和被动攻击)； PPT概念有三个部分:

• 网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为，是入侵者实现入侵技术手段和方法的目的。
• 网络攻击是指利用敌方网络系统的安全缺陷采取的各种措施和行动是窃取、修改、伪造或破坏信息，以及降低和破坏网络使用效率。由于计算机硬件和软件、网络协议和结构以及网络管理不可避免地存在安全漏洞，网络攻击无法防范。
• 网络攻击是指利用安全缺陷或不当配置攻击网络信息系统的硬件、软件或通信协议，损害网络信息系统的完整性、可用性、机密性和抵抗力，攻击行为会导致敏感信息泄露、非授权访问、服务质量下降等后果。

分类：

• 主动攻击：攻击者主动访问系统，以实现攻击目的。通常是具有攻击破坏性的攻击行为，会对系统造成直接的影响。可分为以下三类：①中断 攻击系统的可用性。计算机硬件、网络或文件管理系统的损坏②篡改 攻击系统的完整性。如修改数据文件中的数据，替换程序执行不同的功能，修改网络中传输的信息内容等。③伪造 攻击系统的真实性。例如，在网络中插入伪造信息或在文件中插入伪造记录。
• 被动攻击：利用网络的漏洞和安全缺陷攻击网络系统的硬件、软件及其系统中的数据。一般来说，未经用户授权，不篡改数据，通过截取或窃听获取消息内容，或分析业务数据流。

5.网络安全防护技术的三个阶段和发展趋势；

• 第一代安全技术：为分网络边界、访问控制、物理安全、密码技术
• 第二代安全技术:以保障为目的，以检测技术为核心，以恢复为后盾，集保护、检测、响应、恢复四大类技术于一体。 Firewall、?侵检测系统 IDS、虚拟专?? VPN、公钥基础结构 PKI
• 第三代安全技术：以顽存为目的，即系统在遭受攻击、故障和事故时，仍有能力在一定时间内继续执行全部或关键任务。其核心技术是实时性能、功能、安全调整、实时状态感知和响应。

发展趋势:可信化、网络化、集成化、可视化

会描述网络攻击的一般过程。

?络攻击分为三个阶段

1. 准备阶段：确定攻击、准备攻击和收集标准信息 收集与标准相关的信息。如网络信息(域名，网络拓扑结构，IP)、系统信息(操作系统版本、开放式网络服务)、家庭信息(家庭标识、邮件账号、联系方式等)
2. 实施阶段：隐藏位置和收集到的信息，获取账户密码登录主机，获得主机的控制权，窃取主机的网络资源和特权。获取权限
3. 善后阶段:消除攻击痕迹，植入后，退出安装后(等)系统。

了解影响网络安全的因素；

1. 环境和灾害因素：灾害、雷电等可能破坏数据的灾害，需要提前预防。
2. 人为因素：员工疏忽或客户攻击。
3. 系统本身的因素硬件系统故障、软件故障或安全缺陷、网络和通信协议缺陷

2.网络系统结构的脆弱性；

• 分组交换
  • 所有?户共享资源，给予?个?户的服务会受到其他?户的影响
  • 在被判恶意之前，攻击数据包将被转发给受害者。
• 认证和可踪
  • 因特没有认证机制，会导致因特没有认证机制IP欺骗。攻击者可以伪造数据包中任何区域的内容，然后将数据包发送到因特。
  • 路由器没有数据跟踪功能。很难验证数据包是否来自其声称的地址。攻击者可以通过IP欺骗隐藏的来源。
• 尽力服务战略
  • best-effort只要服务策略是交付给网络的数据，网络就会尽可能地将正常流量或攻击者发送的恶意流量交付给网络。
  • 将网络资源的分配和公平性寄托在终端家庭的法律上。
• 匿名与隐私
  • 普通户法知道真实身份，法律拒绝来源不明的信息(邮件等)。
• 依赖全球网络基础设施
  • 全球网络基础设施不提供可靠性和安全性保证。这使得攻击者能够发挥攻击效果。
  • ?首先，一些不恰当的协议设计导致一些数据包和其他数据包消耗更多的资源。其次，因特是一个集体。许多不安全系统将严重威胁整个网络的安全。

3、理解IP、ICMP、ARP、UDP、TCP、DNS常见协议的不足和可用的网络攻击；本次考试没有涉及其他几项路由交换协议。 这有点多，看书吧

第3部分 网络侦察 网络侦察需要侦察目标的基本信息；

• 静态信息 各种联系信息，包括姓名、邮箱、电话号码等 DNS、Web服务器 主机所在的络段，IP地址 ?络拓扑结构
• 动态信息 ?标准主机是否启动 ?标准机安装了你感兴趣的软件吗？ ?安装标准主机的操作系统类型 ?标准主机上有安全漏洞吗？
• 其他信息可用于网络攻击产。

2.常用的网络侦察手段和方法；

• 收集搜索引擎信息
• Whois查询
• DNS信息查询
• ?络拓扑发现
• 利?社交?络获取信息
• 其他?法
  • 社会?程学
  • 垃圾搜寻
  • 查阅web站点

三、百度常用高级语法；

• site:[域] – site:zhihu.com 返回与特定域相关的检索结果。
• link:[Web??] – link:www.csdn.net 给出和指定web??链接站点。标准站点的业务关系可能会泄露
• Intitle:[条件] ?在检索标题中包含特定的检索本
• intext:[条件] ?在检索正中含有特定检索本
• related:[站点] 与特定检索相关的显示(类似)web??
• filetype:[后缀] ?寻找特定类型的零件
• cache:[??] – cache:www.csdn.net 查找csdn.net中最近被Baidu bot抓取的显示是Baidu快照的内容。在寻找最近被删除或目前不可用的时候。
• Not 过滤Web??具体条件
• Plus 告诉Baidu这个关键词不应该过滤掉

4、Shodan和ZoomEye基本特征； 能够在互联?上搜索主机、服务器、摄像头、打印机和路由器等设备 搜索对象：网络设备、网络服务、网络系统banner信息 搜索格式：A B C fiter:value filter:value filter:value

5、ping、nslookup、tracert(tracerout)常见命令的作用； Traceroute ：?网络故障诊断和获取网络拓扑结构的工具。 nslookup:查询DNS记录，检查域名分析是否正常，并在网络故障时诊断网络问题.查询域名对应IP地址 ping：检测网络连通性。

6.网络侦察的常用手段将描述网络侦察的防御措施。

1、网络扫描的四个目的；

• 判断主机的⼯作状态、即其是否开机。若其没有开机，⼀切攻击都是徒劳的。（主机扫描）
• 判断主机端⼝的开放状态。（端⼝扫描）
• 判断主机服务的操作系统类型（操作系统识别）
• 判断主机中可能存在的安全漏洞。（漏洞扫描）向主机发送精⼼设计的探测数据包，根据⽬标主机的响应，判断其是否存在某安全漏洞。

2、主机发现的技术分类及具体做法；

• ICMP扫描 使⽤ping命令检查与另⼀台主机的⽹络连通情况。本质是向对⽅发送ICMP请求报⽂。如果对⽅主机回复了，说明在线。不回复不⼀定不在线。
• 基于IP协议的主机发现 基于IP协议的主机发现实质上是攻击者针对被扫描的IP地址，有意制造通信错误，并通过是否收到被攻击者反馈的ICMP差错报⽂推断其⼯作状态（判断是否收到ICMP差错报告报⽂）。
  • 主机在收到⾸部异常的IP数据报时应当返回”参数问题“ICMP报⽂。
  • 另一种方法是有意制造分片时间超时，将会向数据包源主机发送“分片重组超时”的ICMP报文。

3、端口扫描的技术分类及具体做法；

• TCP扫描：尝试向⽬标端⼝建⽴正常的TCP连接(三次握⼿四次挥⼿)。直接使⽤系统提供的connect函数。如果连接建⽴成功，说明端⼝开放；建⽴失败则说明⽬标端⼝关闭。
• FTP代理扫描：FTP代理选项允许客户端控制⼀个FTP服务器向另⼀个服务器传输数据。FTP代理选项使得FTP客户端能够控制FTP服务器向⽹络上的任何⼀台主机发送⽂件。 设S为攻击机，T为⽬标主机，F为FTP代理连接的FTP服务器 FTP代理扫描步骤如下1. S与F建⽴会话 2. S使⽤PORT命令指定⼀个T上的端⼝P 3. S使⽤LIST命令让F尝试启动⼀个到⽬标端⼝P的数据传输 4. 如果⽬标端⼝P处于监听状态，则数据传输成功；否则失败。 5. S持续利⽤PORT和LIST命令对⽬标主机T进⾏端⼝扫描
• UDP代理扫描：攻击机向⽬标主机的端⼝发送UDP数据包，如果该端⼝打开，则不会有回应；若端⼝未打开，将会返回ICMP_PORT_UNREACH错误。依次判断端⼝是否开放

4、会描述端口扫描的隐匿性策略； 如果扫描过程中持续性地向⽬标主机发送⼤量的探测报⽂，很容易被防⽕墙、⼊侵检测系统发现。由此需要扫描活动越隐蔽越好

• 调整扫描的次序（随机端⼝扫描）。⽐如如果要扫描192.168.123.0/24⽹段的所有主机。如果按照192.168.123.1，192.168.123.2，192.168.123.3，192.168.123.4顺序扫描，很容易被发现。我们将要扫描的IP地址和端⼝地址次序随机打乱，增强随机性，降低被发现的概率。
• 减缓扫描速度(慢扫描):避免探测数据包在短时间内⼤量出现，减弱扫描的⾏为特征。
• 对数据包中⼀些字段进⾏随机化处理。传统扫描软件发出的报⽂⾥的字段都是固定的，正常的连接中不会出现这些字段。在探测报⽂的⾸部字段中随机填⼊合适的数值，可以加⼤对⽅检测的难度。
• 伪造源地址：防⽌攻击⽅泄露。
• 分布式协同扫描：将扫描任务交给多台主机完成，将扫描任务分散开来。

5、操作系统识别的依据和方法。 旗标信息识别、通过端口信息识别、TCP/IP协议栈指纹识别

• 通过旗标信息 旗标（banner）：客户端向服务器端提出连接请求时，服务器返回的欢迎信息。
• 通过端⼝信息 不同的操作系统通常都会有⼀些默认开放的服务，这些服务使⽤特定的端⼝进⾏⽹络监听。端⼝⼯作状态的差异能够为操作系统检测提供⼀定的依据。
• 通过TCP/IP协议栈指纹 根据操作系统在TCP/IP协议栈实现上的不同特点，通过对探测的响应规律形成指纹，进⽽识别⽬标主机运⾏的操作系统。
  • 即通过向⽬标主机发送构造的特殊包并监控其应答的⽅式来确定操作系统的类型。⽐如向⼀个关闭的端⼝发送UDP数据包，Windows系统会返回RST，Linux不返回。
  • Linux内核限制每秒钟发送ICMP差错⽂的数量。不同操作系统对相同的TCP数据包的响应体现在：响应顺序不同、响应值不同、⼆者都不同

1、拒绝服务攻击基本概念和分类（按攻击目标分类、按攻击机制分类）、目的； 拒绝服务攻击（DoS Denial of Service）， 通过消耗⽹络带宽或者系统资源，使得⽹络或者系统不堪负荷，以⾄于瘫痪⽽停⽌提供正常的⽹络服务或者⽹络服务质量显著下降，或者通过更改系统配置使得系统⽆法正常⼯作，大多数情况下，拒绝服务攻击指的是前者。

拒绝服务攻击的分类： （1）按攻击目标分类

• 结点型DoS
  • 主机型：主要对主机的CPU、磁盘、操作系统等进行DoS攻击
  • 应用型：主要对应用软件进行DoS攻击
• ⽹络连接型： 利⽤⽬标⽤户获取服务器资源时需要交换DNS数据包的特性，发送⼤量的 伪装DNS数据包导致⽬标⽤户⽹络拥塞，不能访问⽬标服务器。

（2）按攻击方式分类

• 资源破坏型DoS：耗尽网络带宽、主机内存、CPU和磁盘等
• 物理破坏型DoS：摧毁主机或网络结点的DoS攻击
• 服务终止型DoS：攻击导致服务崩溃或终止

2、几种常见的剧毒包型拒绝服务攻击； 利⽤协议本身或者软件的漏洞，向受害者主机发送⼀些畸形的数据包使得受害者的主机崩溃。

1. 碎片攻击（Teardrop） 利⽤异常的数据分⽚导致接收⽅在处理分⽚数据时崩溃。
2. Ping of Death攻击（死亡之ping 或 ICMP Bug攻击） 利⽤协议实现时的漏洞，向受害者发送超⻓的ping包，导致受害者系统异常
3. Land攻击 向受害者发送TCP SYN包，⽽这些包的源地址和⽬的IP地址被伪装成受害者的IP地 址。源端⼝和⽬的端⼝也是相同的。（感觉有点像是自身形成了一个回路，然后系统就崩溃了）
4. 循环攻击（振荡攻击） 当两个都会产⽣输出的端⼝之间建⽴连接以后，第⼀个端⼝的输出成为第⼆个端⼝的输⼊，导致第⼆个端⼝产⽣输出，同时第⼆个端⼝的输出也成为第⼀个端⼝的输⼊。如此，⼀两个端⼝之间就会有⼤量的数据包产⽣。导致拒绝服务。

3、几种常见的直接风暴型拒绝服务攻击方式； ⽤于攻击的分组类型包括：TCP floods、ICMP echo请求/响应报⽂、UDP洪流 - PING⻛暴攻击 - SYN⻛暴攻击（建⽴TCP半连接），消耗服务器半连接资源。 - TCP连接耗尽型(建⽴完整的TCP连接) - UDP⻛暴攻击：向受害者主机发送⼤量较⻓的UDP数据包，占⽤⽹络带宽，达到阻塞⽹络的⽬的。 - HTTP⻛暴攻击：⽤HTTP协议对⽹⻚上的资源进⾏合法请求，不停地从受害者出获取数据，占⽤连接的同时占⽤带宽。 - 对邮件系统的攻击 - 邮件炸弹：往⼀个邮件地址发送⼤量相同的邮件，耗尽其存储空间。 - 垃圾邮件

4、反射型分布式拒绝服务攻击的基本原理和常见的攻击形式；

• 不直接向目标主机发送数据包，而是通过中间主机间接向目标主机发送大量数据包。攻击者⼀般伪装源地址为受害主机的IP地 址，向⼀台⾼速、⾼带宽服务器或者⼤量服务器发送⼤量数据包。服务器收到这些包以后就向这个源地址回复⼤量响应包。这样就变成了多台⾼性能的服务器向⽬标主机发起DoS攻击。⼀般攻击者会选择使⽤回复响应包数量远⼤于请求数据包的协议服务器，形成流量放⼤攻击，增强破坏性。

• NTP反射式拒绝服务攻击

  • NTP协议：⽹络中⽤来同步各个计算机时间的协议。使⽤UDP通信。当⼀个NTP服务器收到⼀个monlist请求包以后，就会返回与NTP服务器进⾏通信过 的最后600个客户端的IP地址。响应包按照6个IP地址⼀组，⼀次请求最多会返回100个响应包。
  • 攻击者实施NTP攻击的步骤
    • 扫描。利⽤扫描软件在Internet上扫描开放了123端⼝的服务器。并进⼀步确认其是否开启了NTP服务。
    • 攻击。利⽤控制的僵⼫⽹络伪装被攻击主机的IP向NTP服务器发送monlist请求。
  • 防治⽅法 需要基础电信运营商在全⽹范围内组织实施源地址验证。 在国际出⼊⼝和互联互通层⾯对NTP流量进⾏监测和调控，降低来⾃国外⼤规模NTP DRDoS攻击的可能性。

• SSDP反射式拒绝服务攻击 Simple Service Discovery Protocol 。⽤于在局域⽹内发现通⽤的即插即⽤设备。UPnP协议。（通⽤即插即⽤技术）

  • SSDP DRDoS 攻击流量就是⼤量的SSDP应答消息。
  • 攻击者通过伪造SSDP请求源地址字段，使得智能即插即⽤设备将SSDP应答消息发送⾄攻击⽬标
  • 防范：
    • 关闭不需要要启动即插即⽤服务设备的即插即⽤服务。
    • 确认所有连接外⽹的设备没有将即插即⽤服务暴露于互联⽹上。对⾮信任⽹络禁⽤SSDP协议。防⽌设备被攻击者利⽤为攻击反射结点。

5、理解僵尸网络的基本原理和分类；

• 僵尸网络 僵⼫主⼈通过命令与控制信道控制的具有协同性的恶意计算机群

  • IRC僵⼫⽹络

    • 控制者通过⼀个IRC服务器控制⼤量僵⼫主机。但是当IRC服务器被攻破，控制者就回失去对僵⼫⽹络的控制权。结构简单，但是健壮性差，容易被摧毁。

  • P2P僵⼫⽹络 基于P2P控制与命令机制。⽹络中的每⼀台僵⼫主机都与该僵⼫⽹络中的某台或者某些僵⼫主机建⽴连接。⽽且建⽴连接之后，它还可以对所要连接的主机进⾏更新。这样，僵⼫⽹络主⼈只要通过向⼀台对等主机发送控制信息，进⽽控制整个⽹络。

6、理解拒绝服务攻击的检测和响应技术。

• DoS攻击工具的特征标志检测：特定端口、标志位、特定数据内容
• 根据异常流量来检测：大量目标主机域名解析、极限通讯流量、特大型的ICMP和UDP数据包、不属于正常连接通信的TCP和UDP数据包、数据段内容只包含文字和数字字符

从原理上讲，主要有4种应对DoS攻击的方法：第一种是通过丢弃恶意分组的方法；第二种是在源端控制DoS攻击；第三种是追溯发起攻击的源端；第四种是路由器动态检测流量并进行监控

• 分组过滤，丢弃恶意分组
• 源端控制：通常参与DoS攻击的分组使用的源IP地址都是假冒的，可以通过源端过滤减少或消除假冒IP地址的访问，如使用路由器检查来自与其直连的网络分组源IP地址，如果非法则扔掉。
• 追溯：IP追溯、ICMP追溯、链路测试（从离受害主机最近的路由器开始，交互测试其上游链路，递归执行，知道确定攻击路径）
• 路由器动态检测和控制：攻击检测系统、攻击缓解系统、监控管理系统
• 流量清洗（最有效）对DDoS攻击与正常业务数据混合在⼀起的流量进⾏净化，净化掉DDoS攻击流量，保留正常的业务流量。

第6部分 计算机木马 1、恶意代码（软件）分类及区别；

2、远程控制木马的工作原理和入侵过程； 木马程序即是服务器端程序。 控制端程序作为客户端，用于攻击者远程控制被植入木马的机器。

远程控制木马进行网络入侵的过程: 配置木马 传播木马 启动木马 信息反馈 建立连接 远程控制

3、反向连接木马的工作方式及优点；

优点： 解决动态IP地址的问题； 解决内网地址的问题； 绕过防火墙的限制； 缺点：容易暴露控制端

4、木马的隐藏技术；

• 加载时的隐藏：
• 存储时的隐藏：⽊⻢⽂件/⽬录隐藏：通过某种⼿段使得⽤户⽆法发现⽊⻢⽂件和⽬录。例如使⽤隐藏，还有更换图标等
• 运行时的隐藏
  • 启动隐藏：使得⽬标主机在运⾏⽊⻢程序时不被发现。
  • 进程隐藏：隐藏⽊⻢进程，使得其在任务管理器中不可⻅。
    • 伪隐藏：指程序的进程依然存在，只不过让他消失在进程列表中。 设置窗⼝不可⻅ 把⽊⻢注册成服务 欺骗查看进程的函数 使⽤可变的⾼端⼝ 使⽤系统服务端⼝
    • 真隐藏：让程序彻底消失，不以⼀个进程或者服务的⽅式⼯作。
      • 替换系统驱动或者DLL
      • 动态嵌⼊，使⽤窗⼝hook、挂接API、远程现成等⽅式将⽊⻢程序嵌⼊到正在运⾏的进程中
    • 通信隐藏：不直接与控制者进⾏通信，通过特殊的ICMP报文、端口复用技术或通过中间⽅交换信息。⽐如⽹盘、⽹⻚、电⼦邮件等。

5、恶意代码静态检测技术和动态检测技术各自的优缺点；

静态检测（特征检测）：根据恶意代码的特征码（代码散列码、代码中的关键字、字节串、特定端口等）进行检测

特征码检测技术的主要优点是简单、检测速度快、准确率高，不足：不能检测未知恶意软件，对于恶意代码变体的容忍度也很低，稍微变形便无法识别；用户需要不断地升级（离线或在线）杀毒软件特征库，同时随着特征库越来越大，检测的效率会越来越低。

动态检测：根据恶意代码执行后的异常行为进行检测

与特征码静态检测技术相比，动态检测技术能够检测未知恶意代码、恶意代码的变种，不足：产生的误报率较高，且不能识别出病毒的名称和类型等。

6、针对木马（恶意代码）的防范措施。 及时修补漏洞，安装补丁 培养风险意识，不使用来历不明的软件 不打开可疑短信、邮件及其附件 安装杀毒软件且不关闭查杀功能，即时发现，即时清除 移动存储设备：用前查杀 关闭不必要的网络端口和服务

第7部分 口令攻击 1、针对静态口令的破解技术； 根据是否需要联⽹，分为

• 在线破解
• 离线破解

根据是否利⽤个⼈信息，分为

• 漫步攻击：不关⼼攻击对象的信息，⽽只关注在允许的猜测次数内，猜测出更多的⼝令。基于PCFG的算法和Markov算法是⽬前主流的2种漫步攻击算法
• 定向攻击：尽可能以最快速度猜测出所给定⽬标（如⽹站、个⼈电脑）的⼝令。因此，攻击者会利⽤与攻击对象相关的个⼈信息（⼈⼝学相关信息），增强猜测的针对性；⽤户在其他⽹站或系统中泄露的⼝令也可以被攻击者利⽤来进⾏定向攻击。

2、口令防御基本措施。 （一）强壮的密码策略 （二）用户意识 （三）密码过滤软件 （四）保护密码文件 （五）分组分类 尽可能使用认证工具而不是口令：使用一次性密码令牌或智能卡，或者使用生物特征进行认证，比如指纹或视网膜扫描。 定期进行密码破解测试：定制执行密码破解评估，帮助找出弱口令。 预防主机和网络中的密码窃取木马和网络监听软件。

第8部分 网络监听技术 1、网络监听基本概念； 指在计算机⽹络接⼝处截获⽹上计算机之间通信的数据，也称⽹络嗅探

2、交换式网络流量劫持的常见方法； 交换式网络流量劫持

• 端⼝镜像：把交换机的⼀个或者多个端⼝数据镜像到某个端⼝的⽅法

• MAC洪泛：

• ARP欺骗

• 端⼝盗⽤

• DHCP欺骗：（动态主机配置协议）黑客模拟为DHCP服务器

• DNS劫持

• CDN⼊侵

• WIFI流量劫持

3、MAC攻击的攻击思路； 在局域⽹中发送带有欺骗性MAC地址源的数据。CAM表中将会填充伪造的MAC地址记录。随着记录增多，与CAM表相关的交换机内存将被耗尽，这时交换机以类似于集线器的模式⼯作，向其它所有的物理端⼝转发数据。

4、端口盗用的具体实施方法； 利用交换机MAC地址表自学习机制，使受害者MAC指向攻击者交换机的端口地址

5、ARP欺骗的基本原理和过程（利用ARP请求和ARP响应实施ARP欺骗各自的优缺点）；

ARP协议工作原理： ARP缓存表 ARP请求以广播形式发送（本机IP和MAC地址会填入ARP请求的源地址字段） 局域网中某主机与请求的IP相同，则进行回应 主机的ARP高速缓存会主动学习ARP请求 ARP协议工作高效，但缺乏验证机制

• 利⽤ARP请求 主机A以“主机B的IP和主机A的MAC地址”发送ARP请求该欺骗性的请求将刷新局域⽹中所有主机的ARP缓存。使得所有发送给B的数据包都发送给A。 但是该⽅法影响⾯⼤，容易被发现，主机B上会弹出IP地址冲突提示。
• 利⽤ARP响应 主机A以“主机B的IP和主机A的MAC地址”发送ARP响应给主机C，即使主机C并没有发送过针对主机B的ARP请求。ARP协议是⽆状态协议，主机不检查⾃⼰是否发送过ARP请求，都会接收下ARP响应。于是此时主机C发给B的所有请求都会发送给A主机。针对性强，除被欺骗的主机C，其他主机不受⼲扰，被伪造的主机B上也不会有警告信息

6、理解WIFI流量劫持基本方法。 攻击者可以利用无线路由器的弱口令，暴力破解无线路由器后台管理员密码，进而控制无线路由器进行监听。也可以使用热点钓鱼，攻击者只需开一个同名同认证的伪热点，并且使信号功率大于被模仿的热点即可。

第9部分 Web网站攻击技术 1、Web应用体系结构及脆弱性；

• Web客户端的脆弱性 浏览器的安全直接影响到客户端主机的安全。利⽤浏览器漏洞渗透⽬标主机也已经成为主流的攻击⽅式
• Web服务器的脆弱性 Web服务器的安全直接影响到服务器主机和Web应⽤程序的安全。流⾏的IIS服务器，Apache服务器和Tomcat服务器都被爆出过很多漏洞。攻击者利⽤这些漏洞，不仅可以对⽬标主机发起DoS攻击，严重的还可以获得服务器的管理员权限和数据库访 问权限，窃取⼤量有⽤信息。
• Web应⽤程序的脆弱性 很多程序员编写Web应⽤程序时没哟考虑安全因素，开发出来的程序往往存在安全隐患。Web应⽤编程语⾔种类多，灵活性⾼，⼀般程序员不容易深⼊理解和正确使⽤，导致使⽤不规范，留下了安全漏洞。例如SQL注⼊就是利⽤Web应⽤程序检查不严格，从⽽获取后台数据库内容
• HTTP协议的脆弱性 HTTP是⼀种简单的，⽆状态的应⽤层协议。⽆状态使得攻击变得容易基于ASCII码，⽆需弄清复杂的⼆进制编码机制就可以了解协议中的明⽂信息。 且绝⼤多数HTTP协议运⾏在80端⼝，很多防⽕墙都设置为允许80端⼝的内容通过。攻击者可以利⽤这⼀点渗透到内⽹中。
• Cookie的脆弱性 Cookie是⽹站为了辨别⽤户身份，为了进⾏会话跟踪⽽存储在⽤户本地终端上的⼀些数据。⼀般由服务器端⽣成，发送给客户端。服务器可以通Cookie中的信息确定HTTP传输中的状态。
• 数据库安全的脆弱性 主流的数据库管理软件：SQL Server、Oracle、MySQL由于⽹站后台数据库中包含了⼤量数据，因此其常常成为攻击者的⽬标。最常⻅的攻 击⼿段：SQL注⼊

2、SQL注入基本概念、形成原因； SQL注⼊攻击以⽹站数据库为⽬标，利⽤Web应⽤程序对特殊字符串过滤不完全的缺陷，通过精⼼构造的字符串达到⾮法访问⽹站数据库内容或在数据库中执⾏命令的⽬的。

3、会描述如何减少SQL注入的一些措施；

• 对⽤户的输⼊进⾏检查，根据参数的类型，可对单引号、双引号、分号、冒号、逗号、连接号等进⾏过滤。
• 在构造动态SQL语句时，使⽤类安全(type-safe)的参数编码机制
• 禁⽌将敏感性数据以明⽂⽅式存放在数据库中，这样即使被攻击，也能减少泄密⻛险
• 遵循最⼩特权原则。只给访问数据库的Web应⽤提供最低权限，撤销不必要的权限，并保证数据库打了最新补丁
• 尽量不要使⽤动态拼接的SQL
• 应⽤的异常信息应该给出尽量少的提示。最好⽤⾃定义的错误信息对原始错误信息进⾏包装。

4、跨站脚本攻击的基本概念及3种形式。 攻击者利⽤Web程序对⽤户输⼊过滤不⾜的缺陷，把恶意代码注⼊到其他⽤户的浏览器显示 的⻚⾯上执⾏，从⽽窃取⽤户敏感信息、伪造⽤户身份进⾏恶意⾏为的⼀种攻击⽅式

• 反射式跨站脚本攻击 也称为⾮持久性跨站脚本攻击，与本地脚本漏洞不同的是：Web客户端使⽤Server端脚本⽣成⻚⾯为⽤户提供数据时，如果未经验证的⽤户数据被包含在⻚⾯中⽽未经HTML实体编码，客户端代码便能够注⼊到动态⻚⾯中。
• 存储式跨站脚本攻击 也称为持久性跨站脚本攻击。如果Web应⽤程序允许存储⽤户数据，并且存储的输⼊数据没有经过正确的过滤，就有可能发⽣这类攻击。
• DOM式跨站脚本攻击 该类攻击不是按照“数据是否保留在服务端”划分的，是反射式XSS的⼀种特例。会动态的将攻击者可控的内容加⼊⻚⾯的JavaScript框架、单⻚⾯程序或者API。理想来说，我们应该避免将攻击者可控的数据发送给不安全的JavaScript API。 是通过修改⻚⾯DOM结点数据信息形成的。