1、网卡有几种接受数据帧的状态，如unicast,broadcast,multicast,promiscuous等，unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous即混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。

2、Sniffer的工作前提是：网络必须是共享以太网。把本机上的网卡设置成混杂模式；

3、检测网络监听的手段：反应时间、DNS测试、利用ping进行监测、利用ARP数据包进行监测。

3.3.3口令破解

1、常用的一些破解工具：InsideproSAMInside可以有效破解windows口令，QQ杀手2008版可以破解QQ密码，Cain可以破解屏保AccessDatebase和CiscoPIXFirewall等口令，MessenPass可以恢复出MSN和YahooMessenger等的口令。

3.3.4拒绝服务攻击

1、要对服务器实施拒绝服务攻击，实质上的方式就是两个：服务器的缓冲区满，不接受新的请求、使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

2、SYNFlooding（同步包风暴）攻击：它是通过创建大量的“半连接”来进行攻击，任何连接收到Internet上并提供基于TCP的网络服务的主机和路由器都可能成为这种攻击的目标。

3、利用处理程序错误的拒绝服务攻击，这些攻击包括PingofDeath攻击、Teardrop攻击、Winnuke攻击、以及Land攻击等。

4、Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误，即在组装IP包时只检查了每段数据是否过长，而没有检查包中有效数据的长度是否过小。

5、Winnuke攻击针对Windows系统上一般都开放的139端口，这个端口由netBIOS使用。只要往该端口发送1字节TCPOOB数据，就可以使Windows系统出现蓝屏错误，并且网络功能完全瘫痪。除非重新启动，否则不能再用。

6、Land攻击：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

3.3.8网络欺骗

1、ARP原理：某机器A要向主机C发送报文，会查询本地的ARP缓存表，找到C的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播一个ARP请求报文（携带主句A的IP地址Ia----物理地址AA:AA:AA:AA）,请求IP地址为Ic的主机C回答物理地址Pc,网上所有的主机包括C都收到ARP请求，但只有主机C识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC，A接收到C的应答后，就会更新本地的ARP缓存。接着使用这个Mac地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

2、ARP欺骗：ARP协议并不只是在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，局域网中的机器B首先攻击C使C瘫痪，然后向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经变成B的了。由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B。这就是一个简单的ARP欺骗，如图：

3、ARP欺骗的防范：（1）在winxp下输入命令：arp-s gate-way-ip gate-way-mac固话arp表，阻止arp欺骗（2）使用arp服务器。通过该服务器查找自己的ARP转化表来响应其他机器的Arp广播。（3）采用双向绑定的方法来解决并组织ARP欺骗。（4）ARP防护软件—ARPGuard.

4、DNS欺骗原理：DNS欺骗首先是冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。

5、IP攻击的步骤：（1）首先使主机hostb的网络暂时瘫痪，以免对攻击造成干扰；（2）然后连接到目标机hosta的某个端口来猜测ISN基值和增加规律；（3）接下来把源地址伪装成主机hostb,发送带有SYN标志的数据段请求连接；（4）然后等待目标机hosta发送SYN+ACK包给已经瘫痪的主机，因为现在看不到这个包；（5）最后再次伪装成主机hostb向目标主机hosta发送的ACK，此时发送的数据段带有预测的目标机ISN+1，（6）连接简历，发送命令请求。

3.4网络安全防御

3.4.1防火墙

1、防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：服务控制、方向控制、用户控制、行为控制。

2、防火墙可以实现的功能如下：（1）防火墙设立了单一阻塞点，它使得未授权的用户无法进入网络，禁止了潜在的易受攻击的服务进入或是离开网络，同时防止了多种形式的IP欺骗和路由攻击。（2）防火墙提供了一个监控安全事件的地点。对于安全问题的检查和警报可以在防火墙系统上实施。（3）防火墙还可以提供一些其他功能，比如地址转换器，它把私有地址映射为Internet地址，又如网络管理功能，它用来审查和记录Internet的使用。（4）防火墙可以作为IPSec的平台。防火墙可以用来实现虚拟专用网络。

3、按照防火墙实现的技术不同可以分为：数据包过滤、应用层网关、电路层网关。

4、包过滤技术可能存在的攻击有：IP地址欺骗、源路由攻击、微分片攻击；

5、状态检查技术是包过滤技术的一种增强，其主要思想就是利用防火墙已经验证通过的连接，建立一个临时的状态表。状态表的生成过程是：对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，省策划生成状态表。

6、防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构；

3.4.2入侵检测与防护

1、入侵检测与防护的技术主要有两种：入侵检测系统（Instrusion Detection System,IDS）和入侵防护系统(InstrusionPreventionSystem,IPS)

2、入侵检测的基本模型是PDR模型，其思想是防护时间大于检测时间和响应时间。

3、针对静态的系统安全模型提出了“动态安全模型（P2DR）”.P2DR模型包含4个主要部分：Policy(安全策略),Protection(防护),Detection(检测)和Response(响应)

4、入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测。

5、入侵检测系统的体系结构大致可以分为基于主机型（Host-Based）、基于网络型（Network-Based）和基于主体型（Agent-Based）三种。

6、基于主机入侵检测系统的检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。

7、基于网络的入侵检测系统是根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵，如Netstat检测就是基于网络型的。

8、基于主体的入侵检测系统主要的方法是采用相互独立运行的进程组（称为自治主体）分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。

9、异常检测的方法有统计方法、预测模式生成、专家系统、神经网络、用户意图识别、数据挖掘和计算机免疫学方法等。

10、误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工的编写相应的检测规则和特征模型。

11、Snort的配置有3个主要模式：嗅探（Sniffer）、包记录（PacketLogger）和网络入侵检测（Network Instrusion Detection）.嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来；包记录模式把数据包记录在磁带上；网络入侵检测模式是最复杂最难配置的，它可以分析网流量与用户定义的规则设置进行匹配然后根据结果指行相应的操作。

3.4.3虚拟专用网络ＶＰＮ

1、VPN架构中采用了多种安全机制，如隧道技术（Tunneling）、加解密技术（Encryption）、密钥管理技术、身份认证技术（Authentication）等。