信息对抗考试整理资料

资源描述

《信息对抗考试整理资料》由会员分享，可在线阅读，更多相关《信息对抗考试整理资料（15页珍藏版）》请在金锄头文库上搜索。

1、1第一章第一章 1.1.信息对抗的主要内容信息对抗的主要内容：电子对抗、网络对抗，心理、认知等层次上的对抗 2.2.信息对抗的起源信息对抗的起源：在信息对抗过程中，对抗的一方会采取各种机制（方法、技术、手段与措施）来确保己方的信息的安全，对抗的另一方则是通过破解对方的机制获取对方的秘密信息。外因：外因：随着电子技术、计算机技术、通信技术和网络信息技术的飞速发展，信息对抗技术得到了广泛的发展与应用，信息对抗的形式发生了革命性的变化，促成当前正在进行的新军事变革的发生与发展 3.3.信息对抗的目的信息对抗的目的：确保己方信息的保密性、完整性和对信息利用的能力，获取信息的优势，达到对抗胜

2、利的目的，同时设法不让对手拥有同样的能力。4.4.人类历史上第一次以电子对抗的形式进行战场大规模信息战人类历史上第一次以电子对抗的形式进行战场大规模信息战：1905 年 5 月 27 日日本海大海战，俄军舰队全军覆没，而日军损失很小。日军取得这样大的胜利，主要因为他们在两军无线通讯对抗中，取得了控制信息的优势。 5.5.信息对抗的目标信息对抗的目标就是要获取明显的信息优势，进而获取决策优势，最终使军队获取整个战场优势。 6.6.计算机病毒站有两种进攻手段计算机病毒站有两种进攻手段： 1）病毒芯片：将病毒固化成集成电路里面，一旦战时需要，便可遥控激活。 2）病毒枪：通过无线电波把病毒发射注

3、入到敌方电子系统。第二章第二章 1.1.信息对抗的形式：信息对抗的形式：战争形式目的手段攻击目标战略网络战操纵目标民众的感知，对国家行为产生影响实施感知管理的网络通信，影响所有潜在的社会目标的信息控制整个社会（政治、经济、军事）政治信息战影响国家政府领导层次的决策和政策影响国家政治体制和政府机构的手段政治体制经济信息战影响国家政府领导层次的决策和政策通过生产和物资分配影响国家经济的手段（如制裁、封锁及窃取技术）经济体制军事信息战通过打击军事目标达到军事目的综合运用信息利用、心里战、欺骗和电子战等信息战原理的军事作战军事力量2.2.信息战的核心思想原则

4、：信息战的核心思想原则：通过充分利用信息的效用，达到“不站而屈人之兵”的目的。相比而言，过去的战争是以暴力冲突或物理摧毁为特征的，而信息战是以信息攻击和防御为特征的。 3.3.影响交战结果的三要素影响交战结果的三要素：1）实战能力 2）感知程度 3）交战意志第三章第三章 1.1.网络空间对抗模型网络空间对抗模型：把对抗双方的网络空间划分为公众电话网和 Internet、专用网、核心网、飞地网域等四个层次。在图中的最上面部分（标记红方与蓝方的区域）是作战双方的战场空间，双方都希望能够全面获取战场态势信息（情报），并能够准确打击对方的目标。 2.2.战略级网络的纵深防御安全策略战略级网

5、络的纵深防御安全策略：目标就是要解决 IA 框架中四个领域中目标的防御问题。首先根据用户计算信息安全性等级的高低，将用户计算环境划分为绝密飞地、机密飞地、秘密飞地、无密飞地和公共飞地非敏感区等区域，然后分别为这些飞地提供相应安全等级的网络信道。 3.3.用于网络信息战的工具用于网络信息战的工具：探测类工具、突破类工具、信道对抗类工具、情2报获取类工具、软破坏类工具、硬破坏类工具、防护类工具、扫描类工具、应急响应类工具、备份恢复类工具 4.4.探测类攻击探测类攻击 1）操作系统识别（1）FIN 探测：基于某些操作系统对到达的 FIN 包会有不同的响应。通过发送一个 FIN 数据包（或

6、者任何未设置 ACK 或 SYN 标记位的数据包）到一个打开的端口，并等待响应。（2）BOGUS 标记探测：Queos 是最先采用这种技术的探测器。其原理是在一个 SYN 数据包 TCP 头中设置未定义的 TCP“标记” （64 或 128）。（3） “无碎片”标记位：通过这个标记位的设置可以收集到关于目标主机操作系统的更多有用信息。 2）安全扫描器（两者不同的地方）（1）基于主机的扫描器：基于主机的漏洞检测技术通过检测本机系统中各种相关文件（如系统配置文件）的内容与其他一些属性，发现因配置不当使系统产生的脆弱性，另外，还要检测是否有用户使用弱口令的问题。（2）基于网络的扫

7、描器：通过检查网络服务器与各主机上可用的端口号和对外提供的网络服务，查找网络系统中存在的各种安全漏洞。 6.6.侵入类攻击侵入类攻击 1）漏洞攻击（1）缓冲区溢出攻击：入侵者能够通过控制多余字符的结束位置，可以执行一些操作系统的特权命令；或者在溢出到堆栈区的字符序列末尾放置某个攻击程序的入口地址，在溢出发生后，让系统自动转入该攻击程序，去完成攻击这的目标。（2）输入法漏洞攻击：用户在登录 Windows 2000 时，通过在登录对话框中的“用户名”中调出中文输入状态，并通过中文输入状态的状态条中的帮助进入到系统内部，达到绕过登录账号验证的目的。 2）电子欺骗（1）IP 欺骗：

8、目标主机对其处于同一网段的机器过分信任，当这种信任关系存在时，这些机器就可以不通过请求地址认证而在相互之间执行远程命令。入侵者可以通过各种命令和扫描程序来判断远程机器之间的信任关系。（2）ARP 欺骗：入侵者可以利用 ARP 协议造成拒绝服务：入侵者发送大量的 ARP 请求报文，且报文的 IP 地址与 MAC 地址不一致，造成响应主机不得不花很多时间处理这些请求。（3）DNS 欺骗：入侵者要取得 DNS 服务器的信任并明目张胆地改变主机的 IP 地址表，这些变化被写入到 DNS 服务器的转换表数据库中，因此，当客户发出一个查询请求时，他会等到假的 IP 地址，这一地址会处于入侵者的

9、完全控制之下。（4）路由欺骗：迫使 Internet 主机往不应该的地方发送 IP 数据报。 3）权限提升方法：破解 SAM 文件、使用 pwdump 或者 pwdump2 、使用 Enum 等程序进行远程破解、修改注册表、使用木马、本地溢出、使用 GetAdmin 或 PipeUpAdmin 第四章第四章 1.1.木马的主要实现技术：木马的主要实现技术：隐蔽通信端口、隐藏进程、获取权限、穿透防火墙、更加隐蔽的加载方式 2.2.蠕虫程序蠕虫程序：一种是只能在一台计算机内运行，这种程序需要通过网络连接把自身复制到其他系统中，完成向新机器复制任务后就不保留副本（也可能在原始系统中保

10、留一份副本），这种蠕虫也可以发挥一种信息中继的作用。另一种是把实际使用的网络连接作为神经系统，使各网段中的自身代码可以在3多个系统中运行。如果这些蠕虫程序需要一个中心结点进行协调，这种蠕虫程序就称为章鱼程序（octopus）。 3.3.拒绝服务：拒绝服务：(DoS)攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。常见的方法有： TCP SYN 洪泛攻击、Land 攻击、Smurf 攻击、电子邮件炸弹等多种方式。（1）TCP SYN 洪泛攻击：攻击者将大量的 TCP SYN 连接请求数据包发送给目的主机（或者服务器），目的主机

11、将耗尽与源主机进行连接时必须使用的存储器，而合法的用户将不再能够与该目标主机建立连接，也就当然无法获得正常的服务。（2）Land 攻击：攻击者故意生成一个数据包，其源地址和目的地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送“SYN- ACK”消息，结果这个地址又发回 ACK 消息并创建一个空连接。每一个这样的连接都将保留直到超时掉。（3）Smurf 攻击：结合使用了 IP 欺骗和 ICMP 回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答请求（ping）数

12、据包,来淹没受害主机，最终导致该网络的所有主机都对此 ICMP 应答请求做出答复，导致网络阻塞。（4）IP 碎片攻击：如果有意发送总长度超过 65535 的 IP 碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。4.4.分布式拒绝服务攻击（分布式拒绝服务攻击（DDoSDDoS）：）：分为两级：主控端和代理端。主控端主机和代理端主机都是 Internet 网上具有某些安全缺陷的主机。攻击者首先寻找具有某些安全缺陷的主机作为攻击的主控端主机并上传主控端程序；攻击者或主控端寻找代理端主机并上传攻

13、击程序，攻击程序最简单可以是发包程序；某个特定时刻，攻击者发送命令给主控端主机，主控端主机控制代理端主机向受害者发起分布式攻击。 5.5.重定向攻击：重定向攻击：利用 RAPP、BOOTP 或 DHCP，通过路由器广告、重定向甚至动态配置实现动态发现主机的做法在会引起一些安全问题。如果某个黑客想监听你的所有分组或设法获取你的 TCP/IP 连接，那么通过他自己的 IP 工作站发送一个重定向命令就可以很容易地窃取这些情报。一个安全的工作站应该不接收来自未确认的源方的任何数据。设计中加强对重定位报文的安全性校验，可以限定只接收对同一子网上的路由器进行重定向的报文，防止被黑客主机重定

14、向。第五章第五章 1.1.怎样决定安全策略？怎样决定安全策略？首先研究并制定符合自己组织信息安全要求的安全策略，然后根据安全策略的要求设计并构建组织内部的网络系统，最后再对网络系统以及各种网络设备提供的安全机制进行合理的配置，以达到充分利用之目的。 3.3.支持支持 VPNVPN 的可信网络及其策略的可信网络及其策略 VPN 主要采用 5 种技术保证信息安全，它们是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术和访问控制技术。 1）非指定 VPN 用户不允许使用 VPN 服务； 2）必须对合法 VPN 用户使用的 VPN 设备进行认证，防止假冒； 3）有关隧道加密强度

15、要求的策略； 4）有关 VPN 及其用户口令管理策略45）有关对 VPN 限时使用的策略（如果需要的话）。2.2.适合带适合带 DMZ 结构的网络的关键安全策略：结构的网络的关键安全策略： DMZ 网络是黑客横行的 Internet 与敏感的内部网之间的一个缓冲地带，俗称非军事区。利用 DMZ 可以用一种比较安全的方式解决组织中部分信息对外开放的问题。在 DMZ 中安装一台对外服务器，其中存放对外提供服务的信息。为了保证内部网的安全，在 DMZ 与内部网之间安装防火墙进行隔离。通过对路由器与防火墙访问规则的良好配置，可以有效地禁止来自外部的非法访问。1 1）来自 Internet 的

16、所有对外部服务器进行 Web、FTP 和 Telnet 访问的网络连接； 2 2）拒绝所有来自 Internet 的对内部网络的服务器与站点的主动访问； 3 3）拒绝从 DMZ 网络发起的到内部网络的连接； 4 4）允许由内部站点主动发起的对 Internet 站点访问的返回信息流返回内部网； 5）允许从内部网络发起的到 DMZ 网络的连接及其返回信息流； 6）不允许内部网站点私自通过电话线路或其他信道访问外部网络； 7）对从外部网络下载的文件要先消毒后使用，防止病毒与木马进入内部网。第六章第六章 1.1.防火墙三个结构的优缺点防火墙三个结构的优缺点 1 1）堡垒主机防火墙）堡垒主机防火墙优点优点：访问控制规则允许外部某台主机访问内部网络，则这台外部主机的流量无阻挡地通过堡垒主机进入可信网络。缺点缺点：堡垒主机的防护策略并不十分先进，它的访问控制策略可以被许多网络攻击措施攻破。一旦入侵者通过堡垒主机，他就可以直接访问可信网络，为所欲为。 2 2）过滤主机防火墙）过滤主机防火墙优点优点：所有 IP 数据包，只有经过路

展开阅读全文