信息安全工程师备考复习考点精讲(四)

信息安全工程师备考复习考点精讲（四）信息安全工程师考试于2016年下半年首次开考，因为考试次数较少，很难搞懂其出题的路数。想要安全通过，唯有点点都看通透，记不住，过一遍也是好的。为方便大家复习备考，以下是小编整理的信息安全工程师备考复习考点精讲，供大家学习参考。拒绝服务攻击1、要对服务器实施拒绝服务攻击，实质上的方式就是两个：服务器的缓冲区满，不接受新的请求、使用IP 欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。2、SYNFlooding（同步包风暴）攻击：它是通过创建大量的“半连接”来进行攻击，任何连接收到Internet 上并提供基于TCP的网络服务的主机和路由器都可能成为这种攻击的目标。3、利用处理程序错误的拒绝服务攻击，这些攻击包括PingofDeath 攻击、Teardrop 攻击、Winnuke 攻击、以及Land 攻击等。4、Teardrop 攻击就是利用IP 包的分段/重组技术在系统实现中的一个错误，即在组装IP 包时只检查了每段数据是否过长，而没有检查包中有效数据的长度是否过小。5、Winnuke 攻击针对Windows 系统上一般都开放的139 端口，这个端口由netBIOS 使用。只要往该端口发送1 字节TCPOOB 数据，就可以使Windows 系统出现蓝屏错误，并且网络功能完全瘫痪。除非重新启动，否则不能再用。6、Land 攻击：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP 欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。网络欺骗1、ARP 原理：某机器A 要向主机C 发送报文，会查询本地的ARP 缓存表，找到C 的IP 地址对应的MAC 地址后，就会进行数据传输。如果未找到，则广播一个ARP 请求报文（携带主句A 的IP 地址Ia物理地址AA:AA:AA:AA）,请求IP 地址为Ic 的主机C 回答物理地址Pc,网上所有的主机包括C 都收到ARP 请求，但只有主机C 识别自己的IP 地址，于是向A 主机发回一个ARP 响应报文。其中就包含有C 的MAC 地址CC:CC:CC:CC，A 接收到C 的应答后，就会更新本地的ARP 缓存。接着使用这个Mac 地址发送数据（由网卡附加MAC 地址）。因此，本地高速缓存的这个ARP 表是本地网络流通的基础，而且这个缓存是动态的。2、ARP 欺骗：ARP 协议并不只是在发送了ARP 请求后才接收ARP 应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP 缓存进行更新，将应答中的IP 和MAC 地址存储在ARP 缓存中。因此，局域网中的机器B 首先攻击C 使C 瘫痪，然后向A 发送一个自己伪造的ARP 应答，而如果这个应答是B 冒充C 伪造来的，就会更新本地的ARP 缓存，这样在A看来C 的IP 地址没有变，而它的MAC 地址已经变成B 的了。由于局域网的网络流通不是根据IP 地址进行，而是根据MAC 地址进行传输。如此就造成A 传送给C 的数据实际上是传送到B。这就是一个简单的ARP 欺骗，如图：3、ARP 欺骗的防范：（1）在winxp 下输入命令：arps gatewayip gatewaymac 固话arp 表，阻止arp 欺骗（2）使用arp 服务器。通过该服务器查找自己的ARP 转化表来响应其他机器的Arp 广播。（3）采用双向绑定的方法来解决并组织ARP 欺骗。（4）ARP 防护软件ARPGuard.4、DNS 欺骗原理：DNS 欺骗首先是冒充域名服务器，然后把查询的IP 地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS 欺骗的基本原理。5、IP 攻击的步骤：（1）首先使主机hostb 的网络暂时瘫痪，以免对攻击造成干扰；（2）然后连接到目标机hosta 的某个端口来猜测ISN 基值和增加规律；（3）接下来把源地址伪装成主机hostb,发送带有SYN 标志的数据段请求连接；（4）然后等待目标机hosta 发送SYN+ACK包给已经瘫痪的主机，因为现在看不到这个包；（5）最后再次伪装成主机hostb 向目标主机hosta 发送的ACK，此时发送的数据段带有预测的目标机ISN+1，（6）连接简历，发送命令请求。