网络安全技术最新文档.doc

《网络安全技术最新文档.doc》由会员分享，可在线阅读，更多相关《网络安全技术最新文档.doc（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全技术最新文档(可以直接使用，可编辑 最新文档，欢迎下载）网络安全技术大纲第1章网络脆弱性的原因1. 开放性的网络环境2. 协议本身的脆弱性3. 操作系统的漏洞4. 人为因素网络安全的定义网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统联系可靠正常地运行，网络服务不中断。网络安全的基本要素1. 保密性2. 完整性3. 可用性4. 可控性5. 不可否认性课后习题选择题1. 计算机网络的安全是指网（络中信息的安全）。2. 嘻嘻风险主要是指（信息存储安全、信息传输安全、信息访问安全）。3. 以下（数据存储的唯一性）不是保证网络安全的要

2、素。4. 信息安全就是要防止非法攻击和病毒的传播，保障电子信息的有效性，从具体的意义上来理解，需要保证以下（保密性、完整性、可用性、可控性、不可否认性）几个方面5. （信息在理解上出现的偏差）不是信息失真的原因。6. （实体安全）是用来保证硬件和软件本身的安全的。7. 黑客搭线窃听属于信息（传输安全）风险。8. （入网访问控制）策略是防止非法访问的第一档防线。9. 对企业网络最大的威胁是（内部员工的恶意攻击）。10. 在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的，这是对（可用性的攻击）。11. 从系统整体看，“漏洞”包括（技术因素、认得因素、规划，策略和执行该过程）等几

3、方面。问答题网络本身存在哪些安全缺陷？1.伤害身体2.心理方面3.易惹是非4.影响学业5.安全问题6.网络内容的伤害7.社会角色及观念的改变第2章黑客入侵攻击的一般过程1. 确定攻击目标2. 收集被攻击对象的有关信息3. 利用适当的工具进行扫描4. 建立模拟环境，进行模拟攻击5. 实施攻击6. 清除痕迹7. 创建后门扫描器的作用1. 检测主机是否在线2. 扫描目标系统开放的端口3. 获取目标操作系统的敏感信息4. 扫描其他系统的敏感信息常用扫描器1. Nmap2. ISS3. ESM4. 流光（fluxay）5. X-scan6. SSS7. LC网络监听网络监听的一个前提条件是将网卡设置为混

4、杂模式木马的分类1. 远程访问型木马2. 键盘记录木马3. 密码发送型木马4. 破坏型木马5. 代理木马6. FTP木马7. 下载型木马木马的工作过程1.配置木马2.传播木马3.启动木马4.建立连接5.远程控制拒绝服务攻击的定义拒绝服务攻击从广义上讲可以指任何导致网络设备（服务器、防火请、交换机、路由器等）不能正常提供服务的攻击。拒绝服务攻击原理1. 死亡之Ping2. SYN Flood 攻击3. Land 攻击4. Teardrop 攻击5. CC攻击分布式拒绝服务攻击原理分布式拒绝服务攻击是一种基于DoS的特殊形式的攻击，是一种分布、协作的大规模攻击方式。课后习题选择题1. 网络攻击的发

5、展趋势是（黑客技术与网络病毒日益融合）。2. 拒绝服务攻击（用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击）。3. 通过非直接技术攻击称做（社会工程学）。4. 网络型安全漏洞扫描器的主要功能有（端口扫描检测、后门程序扫描检测、密码破解扫描检测、应用撑血扫描检测、系统安全信息扫描检测）。5. 在程序编写上防范缓冲区溢出攻击的方法有（编写证券、安全的代码，程序指针完整性检测，数组边界检查）。6. HTTP默认端口号为（80）。7. 对于反弹端口型木马，（木马的客户端或第三服务器）主动打开端口，并处于监听状态。8. 关于“攻击工具日益先进，攻击者需要的技能日趋下降”观点不正确

6、的是（网络受到攻击的可能性将越来越小）。9. 网络监听是（监视网络的状态、传输的数据流）。10. 漏洞评估产品在选择时应注意（是否具有针对性、主机和数据库漏洞的检测功能，产品的扫描能力，产品的评估能力，陈品的漏洞修复能力）。11.DDoS攻击破坏了（可用性）。12.当感觉到操作系统运行速度明显减慢，打开任务管理器后发现CPU的使用率达到100%时，最有可能受到（拒绝服务）攻击。13.在网络攻击活动中，Tribal Flood Network (TEN) 是（拒绝服务）类的攻击程序。14.（个人防火墙）类型的软件能够阻止外部主机对本地计算机的端口扫描。15.以下属于木马入侵的常见方法是（捆绑欺骗

7、，邮件冒名欺骗，危险下载，打开邮件中的附件）。16.局域网中如果某平台计算机收到了ARP欺骗，那么它发出去的数据包中，（目标MAC地址）地址是错误的。17.在Windows操作系统中，对网关IP和MAC地址进行绑定的操作行为（ARP -s 192.168.0.1 00-0a-03-aa-5d-ff）。18.当用户通过域名访问某一合法网站时，打开的却是一个不健康的网站，发生该现象的原因可能是（DNS缓存中毒）。19.下面描述与木马相关的是（由各户端程序和服务器端程序组成夹）。20.死亡之ping属于（拒绝服务攻击）。21.由有限的空间输入超长的字符串是（缓冲区溢出）攻击手段。22.Windows

8、操作系统设置账户锁定策略，这可以防止（暴力攻击）。判断题1. 冒充信件回复、下载电子贺卡同意书，使用的是叫做）（字典攻击）的方法。（错）2. 当服务器遭受到DoS攻击的时候，只需要重新启动系统就可以阻止攻击。（错）3. 一般情况下，采用Port scan 可以比较快速地了解某台主机上提供了哪些网络服务。（对）4. DoS攻击不但能是目标主机停止服务，还能入侵系统，打开后门得到想要的资料。（错）5. 社会工程攻击目前不容忽视，面对社会工程攻击，最好的方法是对员工进行全面的教育。（对）6. ARP欺骗只会影响计算机，而不会影响交换机和路由器等设备。（错）7. 木马有时成为木马病毒，但不具有计算机的

9、病毒的主要特征。（对）问答题1. 一般的黑客攻击有哪些步骤？各步骤主要完成什么工作？第一，就是用软件扫描IP段，确定那些计算机有漏洞（果如是已知IP，直接扫描他的漏洞就行了）也就是我们所说的“抓肉鸡”第二，就是利用“肉鸡”漏洞，PING入。当然有防火墙的，你的想办法绕过防火墙，窃取权限，关闭或卸载妨碍的软件。第三，进入系统，释放病毒或删除系统自身文件。（当然要是服务器的话，攻击一般有2种。一，就是盗取服务器最高权限，二，就是利用数据包对服务器进行攻击，让服务器死机，或重启）2. 扫描器只是黑客攻击的工具吗？常用扫描器有哪些？1.扫描工具就是扫描工具。2.扫描工具可以自带破解插件以及字典，或者扫

10、描工具是一个集合体。举例：小榕流光软件最初就是定义为扫描工具，但其自身在破解、漏洞分析等方面都有杰出表现。3.扫描工具：是对端口，漏洞，网络环境等探测。有非法扫描和良性扫描，非法扫描工具可以叫做黑客工具，良性4.扫描可以叫做安全工具。5.黑客攻击工具：为达到个人目的而采取的不正当的手段与方法，这种手段和方法的实现可以使用黑客工具。对于黑客工具中总体而言，扫描工具只是一个辅助工具。1、端口扫描工具2、数据嗅探工具3. 什么是网络监听？网络监听的作用是什么？网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当

11、黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等，象外科技。网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。4. 特洛伊木马是什么？工作原理是什么？特洛伊木马目前一般可理解为“

12、为进行非法目的的计算机病毒”，在电脑中潜伏，以达到黑客目的。原指一希腊传说。在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒伪装成一个实用工具、一个可爱的游戏、一个位图文件、甚至系统文件等等，这会诱使用户将其打开等操作直到PC或者服务器上。这样的病毒也被称为“特洛伊木马”（trojan wooden-horse），简称“木马”。一个完整的木马系统由硬件部分，软件部分和具体

13、连接部分组成。(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目

14、的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。木马原理用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。一.配置木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC

15、号 ，ICO号等等5. 用木马攻击的一般过程是什么？木马攻击一般过程：从本质上看，木马都是网络客户/服务模式，它分为客户端和服务端，其原理是一台主机提供服务，另一台主机接受服务，作为服务器的主机一般都会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的响应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。从进程上看大致可分为六步来阐述木马的攻击原理：1、木马的配置2、木马的传播3、木马的自启动4、木马的信息泄露5、建立连接6、远程控制6. 什么是拒绝服务攻击？分为哪几类？Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到

16、目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这 些队列，造成了资源的大量消耗而不能向正常请求提供服务。Smurf：该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。Ping of Dea

17、th：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。PingSweep：使用ICMP Echo轮询多

18、个主机。Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。第3章计算机病毒的特征1. 传染性2. 破坏性3. 潜伏性及不可触发性4. 非授权性5. 隐蔽性6. 不可预见性计算机病毒引起的异常现象1. 运行速度缓慢，CPU使用率异常高2. 查找可疑进程3. 蓝屏4. 浏览器出现异常5. 应用程序图标被篡改或空白计算机病毒技术原理1. 特征代码法2. 校验和法3. 行为监测法4. 虚拟机技术练习题1. 计算机病毒病毒是一种（程序），其特性不包括（自生性）。2. 下列叙述中正确的是（计算机病毒可以通过读写磁盘或网络等方式进行传播）。3. 就是年纪病毒的传

19、播方式有（通过共享资源传播，通过网页恶意脚本传播，通过网络文件传输传播，通过电子邮件传播）。4. （I love you）病毒是定期发作的，可以设置Flash ROM 写状态来避免病毒破环ROM。5. 以下（word）不是杀毒软件。6. 效率最高、最保险的杀毒方式是（磁盘格式化）。7. 网络病毒与一般病毒相比，（传播性广）。8. 计算机病毒按其表现性质可分为（良性的，恶性的）。9. 计算机病毒的破坏方式包括（删除修改文件类，抢占系统资源类，非法访问系统进程类，破坏操作系统类）。10. 用每一种病毒体含有的特征字节串对被检测的对象进行扫描，如果发现特征字节串，就表明发现了该特征串代表的病毒，这种

20、病毒的检测方法叫做（特征字的识别法）。11.计算机病毒的特征（隐蔽性，潜伏性，传染性，破坏性，可触发性）。12.（复合型病毒）病毒能够占据内存，然后感染引导扇区和系统中的所有可执行文件。13.以下描述的现象中，不属于计算机病毒的是（Windows“控制面板”中无“本地连接”图标）。14.某个U盘上已染有病毒，为防止该病毒传染计算机系统，正确的措施是（将U盘重新格式化）。判读题1. 只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。（错）2. 将文件的属性设为只读不可以保护其不被病毒感染。（对）3. 重新格式化硬盘可以清楚所有病毒。（错）4. GIF和JPG格式的文件

21、不会感染病毒。（错）5. 蠕虫病毒是指一个程序（或一组程序），会自我复制，传播到其他计算机系统中去。（对）6. 在Outlook Express 中仅预览邮件的内容而打不开邮件的附件是不会中毒的（错）7.木马与传统病毒不同的是：木马不自我复制。（对）8.文本文件不会感染宏病毒。（对）9.蠕虫病毒既可以在互联网上传播，也可以在局域网上传播。而且由于局域网本身的特性，蠕虫在局域网上传播速度更快，危害更大。（对）10.世界第一个攻击硬件的病毒是“CIH”。（对）11.间谍软件具有计算机病毒的所有特征。（错）12.防病毒墙可以部署在局域网的出口处，防止病毒进入局域网。（对）问答题1. 什么是计算机病毒

22、？2. 计算机病毒有哪些特征？3. 计算机病毒是如何分类的？举例说明有哪些种类的病毒。4. 就三件病毒的检测方法有哪些？简述其原理。第4章古典加密技术1. 替换密码技术2. 换位密码技术对称加密算法及其应用现代密码学主要有两种基于密钥加密算法，分别是对称加密算法和公开加密算法。1. 混合加密体系在混合加密体系中，使用对称加密算法（如DES算法）对要发送的数据进行加密、解密，同时使用公开密钥算法（最常用的是DSA算法）来加密对称加密算法的密钥，这样就可以综合发挥两种加密算法的有点，既加快了加、解密的速度，又解决了对称加密算法中密钥保存和管理的困难。2. 数字签名一个完善的数字起签名应该解决好下面

23、3个问题。1. 接收方能够核实发送方对报文的签名，如果当事双方对签名真伪发生争议，应该能够在第三方面前通过验证真伪来确认其真伪。2. 发送方时候不能否认自己对报文的签名。3. 除了发送方的任何人不能伪造签名，也不能对接收或发送的信息进行篡改、伪造。鉴别技术为了防止信息在发送的过程中被非法窃听，保证信息的机密性，采用数据加密技术对信息进行加密，这是在前面的学习内容；另一方面，为了防止信息被篡改或伪造，保证信息的完整性，可以使用报文鉴别技术。TGP系统的基本工作原理TGP加密软件是一个基于RSA公开密钥加密体系和对称加密体系相结合的邮件加密软件包。它不仅可以对邮件加密，还具备对文件/文件夹、虚拟驱

24、动器、整个硬盘、网络硬盘、即时通信等的加密功能和永久粉碎资料等功能。SSL协议和SET协议1. SSL协议2. SET协议PIK概述PIK即“公钥基础设施”，是一种按照既定标准的密钥管理平台，能够为所有网络应用提供加密、数字签名、识别和认证密码等服务及所必需的密钥和证书管理体系。第5章防火墙的功能1. 内部网络和外部网络之间的所有网络数据都必须经过防火墙2. 只有符合安全策略的数据流才能通过防火墙3. 防火墙自身具有非常强的抗攻击能力防火墙除了具备上述3个基本特征性外，一般来说，还具有以下几种功能1. 针对用户制订各种访问控制策略。2. 对网络存取和访问进行监控审计。3. 支持VPN功能。4.

25、 支持网络地址转换。5. 支持的身份认证等。防火墙的局限性1. 防火墙不能防范不经过防火墙的攻击。2. 防火墙不能解决来自内部网络的攻击和安全问题。3. 防火墙不能防止策略配置不当或错误配置引起的安全威胁。4. 防火墙不能防止利用服务器漏洞所进行的攻击。5. 防火墙不能防止受病毒感染的文件的传输。6. 防火墙不能防止可接触的人为或自然的破坏。防火墙的分类1. 软件防火墙和硬件防火墙2. 单机防火墙和网络防火墙防火墙实现技术原理1. 包过滤防火墙的原理包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络服务才去特殊的处理方式，而大多数路由器都提供分组过滤功能。2. 包过

26、滤防火墙的特点包过滤防火墙的有点如下1. 利用路由器本身的包过滤功能，以防问控制列表（Access Control ACL）方式实现。2. 处理速度较快。3. 对安全要求低的网络采用路由器附带防火墙的方法，不需要其他设备。4. 对用户来说是透明的，用户的应用层不受影响。包过滤防火墙的缺点如下1. 无法阻止“IP欺骗”。黑客可以在网络上伪造假的IP地址、路由信息欺骗防火墙。2. 对路由器中过滤规则的设置和配置十分复杂，涉及规则的逻辑一致性、作用端口的有效性和规则库的正确性，一般的网络系统管理员难以胜任。3. 不支持应用层协议，无法发现基于应用层的攻击，访问公职粒度粗。4. 实施的是静态的、固定的

27、控制，不能跟踪TCP状态。5. 不支持用户认证，只判断数据包来自哪台集齐，不能判断来自哪个用户。代理防火墙工作原理代理服务器作为一个用户保密货值突破用户访问限制的数据转发通道，在网络上应用广泛。一个完整的呃代理设备包含一个服务器端和客户端，服务器端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。代理防火墙的特点状态检测防火墙状态检测防火墙激技术是CheckPoint在基于“包过滤”原理的“动态包过滤”技术发展而来的。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下，采用抽取想关数

28、据的方法，对网络通信的各个层次实现监测，并根据各种过滤规则作出安全策略。防火墙的主要参数1. 硬件参数2. 并发连接数3. 吞吐量4. 安全过滤带宽5. 用户数限制6. VPN功能第6章账户安全策略1. Windows强密码原则2. 用户策略3. 重新命名Administrator帐号4. 创建一个陷阱用户5. 禁用或删除不必要的帐号根键1. HKEY_CLASSES_ROOT一种是已注册的各类文件的扩展名；另一种是各种文件类型的有关信息2. HKEY_CURRENT_USERHKEY_CURRENT_USER是指HKEY_USERS结中某个分值的指针，包含当前用户的登录信息3. HKEY_U

29、SERHKEY_USER包含计算机上所有的配置文件4. HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE包含了本地计算机（相对网络环境而言）的硬件和软件的全部信息5. HKEY_CURRENT_CONFIG本关键字包含的主要内容是计算机的当前配置情况进程进程是操作系统当前运行的执行程序。程序是指令的有序集合，背身没有任何运行的含义，是一个静态的概念。而进程是程序在处理机上的一次执行过程，是一个动态的概念。服务的启动方式对于任意一个服务，通常都有3种启动类型，即“自动”、“手动”和“已禁用”。安全模板的意义安全模板是由Windows Server 2003 支持的安全属性

30、的文件（扩展名为“.inf”）组成的。安全模板将所有的安全属性组织到一个位置，以简化安全性管理。第7章Web服务器软件的安全防范措施1. 及时进行Web服务器软件安全漏洞，安全管理人员在Web服务器软件的配置管理和使用上，应该采取有效的防范措施，以提升Web站点的安全性2. 对Web服务器进行全面的漏洞扫描，并及时修复这些安全漏洞，以防范攻击者利用这些安全漏洞实施攻击。3. 采用提升服务器安全性的一般性措施，例如，设置强口令；对Web服务进行严格的安全配置；关闭不需要的服务；不到必要的时候不向用户暴露Web服务器的想关信息等。Web应用程序的安全防范措施1. 在满足需求的情况下，尽量使用静态页

31、面代替动态页面。2. 对于必须提供用户交互、采用动态页面的Web站点，尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包，并定期进行Web应用程序的安全评估和漏洞检测，升级并修复安全漏洞。3. 强化程序开发者在Web应用开发过程的安全意识，对用户输入的数据进行严格验证，并采用有效的代码安全质量保障技术，对代码进行安全检测。4. 操作后台数据库时，尽量采用视图、存储过程等技术，以提升安全性。5. 使用Web服务器软件提供的日志功能，对Web应用程序的所有访问请求进行日志记录和安全审计。Web传输的安全威胁级防范1.启用SSL.使用HTTPS来保障Web站点传输时的机密性、完整性和身份真

32、实性。下一小节将通过实验介绍SSL安全通信的具体实现方法。2.通过加密的连接通道来管理Web站点，尽量避免使用未经加密的telnetl. FTP、HTTP来进行Web站点的后台管理，而是使用SSH、SFTP 等安全协议。3.采用静态绑定MAC地址、在服务网段内进行ARP等攻击行为的检测、在网关位置部署防火墙和人侵检测系统等检测和防护手段，应对拒绝服务攻击。实验二：计算机病毒及恶意代码【实验目的】练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。【实验内容】安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技

33、术【实验步骤】1、 木马安装和使用NetBus不是病毒，但被认为是特洛伊木马.它十分广泛，常被用来偷窃数据和删除文件。Netbus允许黑客读取数据和在远程控制一些视窗功能。Netbus工具有客户和服务器部分。服务器部分安装在远端用于存储的系统中。Netbus1.60版的服务器是视窗PE文件，叫PATCH。EXE。在执行过程中,服务器把自己安装在Windows目录,并在视窗下次启动时自动运行。运行界面2。NetBus的攻击原理NetBus由两部分组成：客户端程序（netbus。exe)和服务器端程序（通常文件名为:patch。exe)。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上这

34、一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。这是特洛伊木马程序的由来,也是此类程序发挥作用的关键！因此，不要贸然运行网上下来的程序！这永远是金玉良言!特别是NetBus 1。70，它在以前的版本上增加了许多“新功能”,从而使它更具危险性！比如: NetBus 1.60只能使用固定的服务器端TCP/IP端口：12345,而在1。70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然

35、可以占领其中一台客户机并对网中其它机器进行控制。发现并清除NetBus的方法不过,NetBus尽管厉害，发现并去除它却并不困难。通常，NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动.该程序的文件名是patch。exe,如果该程序通过一个名为whackamole。exe的游戏安装潜伏的话,文件名应为explore.exe（注意:不是explorer。exe!）或者简单地叫game。exe。同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项: HKEY_LOCAL_MACHINESOFTWAREMicrosoftW

36、indowsCurrentVersionRun” NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。3。命令行运行服务打开所有服务通过procexp查看木马新乡职业技术学院电子信息系网络安全理论教案NO:1课程名称网络安全技术授课时数2周次班 级10网络2班时间节次教学内容第一章、网络安全基础教学方式讲授【教学内容目标要求】注：说明本堂课学习内容要达到的知识、技能等能力目标.【主要能力点与知识点应达到的目标水平】教学内容题 目职业岗位知识点、能力点与基本职业素质点目标水平识记理解熟练操作应用分析 知识点：网络安全基础

37、知识，网络安全法规能力点：网络安全基础知识，网络安全法规职业素质渗透点:职业能力理论基础在目标水平的具体要求上打【教学策略】理论结合实际，互动式教学,引导学生主动思考.【教学过程组织】复习与导入新课复习问题：导入新课：注：与前面内容的衔接；导出学习内容的兴趣点，可用案例、设疑等。1、讲述计算机网络的应用和规模，现在存在的网络安全的问题，引入课程,讲解本门课程的主要讲述内容。教学内容1、介绍网络安全研究的体系:信息安全概述，信息安全的基本要求.2、研究网络安全的必要性：网络安全概念,攻防体系，物理安全，逻辑安全，操作系统安全，联网安全.3、研究网络安全社会意义以及目前计算机网络安全的相关法规。4

38、、介绍了如何评价一个系统或者应用软件的安全等级.5、网络协议基础回顾.教学题目注:具体内容构成：重点教学内容与环节重点进行学习内容的逻辑性提炼,形成清晰的教学内容逻辑层次；知识点、技能点突出；内含主要教学方法、学生学习引导、职业素质渗透点等.）1、讲解网络安全课程的主要内容和结构（10分钟)2、介绍网络安全研究的体系:信息安全概述，信息安全的基本要求.（15分钟）3、讲解研究网络安全的必要性：网络安全概念,攻防体系，物理安全，逻辑安全，操作系统安全，联网安全。（25分钟)4、讲解研究网络安全社会意义以及目前计算机网络安全的相关法规。(20分钟）5、介绍如何评价一个系统或者应用软件的安全等级.（

39、20分钟)6、课程小结.（10分钟）学生学习情况检测注：以适当的方式对本堂课要达到的教学能力目标进行检测，以确定教学效果。【教师参考资料及来源】 :/www。nsfocus。net， :/www。csdn。net【作业及思考】上网查找资料，了解当前网络安全的发展现状。【指定学生阅读材料】课后分析:编写日期教师新乡职业技术学院电子信息系网络安全教案NO：2课程名称网络安全技术授课时数2周次班 级10网络2班时间节次教学内容第二章、网络扫描与网络监听教学方式讲授、实训【教学内容目标要求】注:说明本堂课学习内容要达到的知识、技能等能力目标。【主要能力点与知识点应达到的目标水平】教学内容题 目职业岗位

40、知识点、能力点与基本职业素质点目标水平识记理解熟练操作应用分析 知识点：黑客攻击的步骤和方法，网络踩点,网络扫描、监听能力点：网络踩点，网络扫描、监听职业素质渗透点：了解黑客攻击的方法、步骤，做好防范在目标水平的具体要求上打【教学策略】理论结合实际，互动式教学,引导学生主动思考。【教学过程组织】复习与导入新课复习问题：1、计算机网络安全威胁有那些?导入新课：注：与前面内容的衔接;导出学习内容的兴趣点，可用案例、设疑等。1、计算机网络存在着各种问题，如何从整体把握，应该从何开始。教学内容1、黑客以及黑客技术的相关概念：黑客的分类，黑客行为的发展趋势，黑客精神、守则。2、黑客攻击的步骤以及黑客攻击

41、和网络安全的关系：攻击五部曲，攻击和安全的关系.3、攻击技术中的网络踩点技术:概述,踩点的方法。4、网络扫描和网络监听技术：网络扫描概述,扫描方式，案例。网络监听概述,原理,监听软件介绍。教学题目注：具体内容构成:重点教学内容与环节重点进行学习内容的逻辑性提炼，形成清晰的教学内容逻辑层次;知识点、技能点突出；内含主要教学方法、学生学习引导、职业素质渗透点等。）1、讲解黑客以及黑客技术的相关概念。（20分钟）2、讲解黑客攻击的步骤以及黑客攻击和网络安全的关系。（30分钟）3、讲解攻击技术中的网络踩点技术。（20分钟)4、讲解网络扫描和网络监听技术.（20分钟）5、课程小结。（10分钟）学生学习情

42、况检测注:以适当的方式对本堂课要达到的教学能力目标进行检测，以确定教学效果。【教师参考资料及来源】 :/ nsfocus。net, :/www。csdn。net【作业及思考】上网查找资料，了解当前的网络安全技术有那些。【指定学生阅读材料】课后分析:编写日期教师新乡职业技术学院电子信息系网络安全教案NO：3课程名称网络安全授课时数2周 次班 级10网络2班时 间2021年 月 日节 次节教学内容实践：网络监听和扫描工具的使用教学方式实践实训项目类别实践【教学内容目标要求】了解网络监听和扫描的工作原理,掌握网络监听和扫描工具的使用方法。【主要能力点与知识点应达到的目标水平】教学内容题 目职业岗位知

43、识点、能力点与基本职业素质点目标水平识记理解熟练操作应用分析网络监听和扫描工具的使用知识点:网络监听、网络扫描工作原理，网络监听、扫描的工具能力点：网络监听、扫描工具的使用职业素质渗透点：安全扫描、监听的技能在目标水平的具体要求上打【教学策略】首先借助课件进行课堂讲授,介绍本节课主要的理论知识点,然后在教师机上进行现场演示操作教学，增强验证性,在此基础上引导学生实际上机操作练习.每一部分讲完以后均进行要点、难点小结，以提炼和巩固学生所学知识。【教学过程组织】复习与导入新课复习问题：抽23名学生回答问题，并现场评分导入新课:网络监听、扫描的原理和工具的使用教学内容 教学题目在实践前先简单讲述相关

44、原理，使学生理解工具的工作原理1、简单阐述网络监听的原理，网络扫描的原理。2、网络监听的实现条件,注意事项,如何防护3、 网络扫描的方法，协议的原理，网络扫描的分类 安排学生，进行实践，在机房按照要求做好实践，实现工具的使用效果1、系统用户扫描：使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，扫描出系统的用户和口令2、开放端口扫描，使用PortScan扫描机房中的机器，并做出报告。3、共享目录扫描，使用Shed来扫描对方主机，得到对方计算机提供了哪些目录共享.4、利用TCP协议实现端口扫描，漏洞扫描，使用工具软件XScan-v2.3。远程操作系统类型

45、及版本标准端口状态及端口Banner信息SNMP信息,CGI漏洞,IIS漏洞，RPC漏洞,SSL漏洞SQLSERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户,NT服务器NETBIOS信息注册表信息等.课后小结:检验学生配置实现和配置效果学生学习情况检测根据学生课堂练习操作情况、学生回答问题情况、课堂提问情况进行观测评分【教师参考资料及来源】， ：/www。csdn。net【作业及思考】本单元书后习题1、2部分【指定学生阅读材料】，课后分析：编写日期教师新乡职业技术学院电子信息系网络安全教案NO：4课程名称网络安全技术授课时数2周次班 级10网络2班时间2021年 月 日节次教学内容第三章、网络入侵（上）教学方式讲授【教学内容目标要求】注:说明本堂课学习内容要达到的知识、技能等能力目标。【主要能力点与知识点应达到的目标水平】