导图社区 网络安全思维(上)
- 1.0k
- 119
- 26
- 举报
网络安全思维(上)
史上超全概括网络安全知识!一份思维导图带你学会网络安全知识,它分为上下两版,超全概括了网络安全知识,从网络安全绪论、扫描与防御技术、网络监听与防御技术、口令破解与防御技术 、欺骗攻击及防御技术四方面都做了详细介绍,现在不收藏还在等什么呢!
编辑于2019-11-04 00:58:01- Java程序设计基础
Java 语言的语法与 C 语言和 C 语言很接近,使得大多数程序员很容易学习和使用。另一方面,Java 丢弃了 C 中很少使用的、很难理解的、令人迷惑的那些特性,如操作符重载、多继承、自动的强制类型转换。特别地,Java 语言不使用指针,而是引用。并提供了自动分配和回收内存空间,使得程序员不必为内存管理而担忧。
- Java程序设计基础
Java程序设计基础、概念知识、了解其组成等内容。包含概述:特点、工作方式、开发工具、术语、源程序结构;面向对象:基本概念、三大支柱、相关内容、设计原则;字符串:可以被修改的字符串等内容。
- 项管10大知识领域47个知识点
马上又到软考、PMP的日子了,相信很多有志青年都已经准备的差不多了吧,或者也有裸考的呢,哈哈。这里整理了些相通的知识点,帮大家梳理下思路,仅供参考。不管是软考还是PMP,都要牢记项目管理的主线知识点,总结起来就是:10大知识领域,47个过程。
网络安全思维(上)
社区模板帮助中心,点此进入>>
- Java程序设计基础
Java 语言的语法与 C 语言和 C 语言很接近,使得大多数程序员很容易学习和使用。另一方面,Java 丢弃了 C 中很少使用的、很难理解的、令人迷惑的那些特性,如操作符重载、多继承、自动的强制类型转换。特别地,Java 语言不使用指针,而是引用。并提供了自动分配和回收内存空间,使得程序员不必为内存管理而担忧。
- Java程序设计基础
Java程序设计基础、概念知识、了解其组成等内容。包含概述:特点、工作方式、开发工具、术语、源程序结构;面向对象:基本概念、三大支柱、相关内容、设计原则;字符串:可以被修改的字符串等内容。
- 项管10大知识领域47个知识点
马上又到软考、PMP的日子了,相信很多有志青年都已经准备的差不多了吧,或者也有裸考的呢,哈哈。这里整理了些相通的知识点,帮大家梳理下思路,仅供参考。不管是软考还是PMP,都要牢记项目管理的主线知识点,总结起来就是:10大知识领域,47个过程。
- 相似推荐
- 大纲
网络安全思维
四、口令破解与防御技术
口令
向系统提供唯一标识个体身份的机制,只给个体所需信息的访问权,从而达到敏感信息和个人隐私的作用
口令防御
基本要点
不要将口令写下来
不要将口令存在电脑文件上
不要选取显而易见的信息做口令
不要让别人知道
不要在不同系统上使用同一口令
为了防止眼疾手快的人窃取口令,在输入口令的时候确认无人在身边
定期更换口令,至少6个月改一次
强口令的选取方法
45天换一次
口令至少10个字符
必须包含字母、数字、特殊符号
字母、数字、特殊符号
不能包含词典单词
不能重复使用以前的五个口令
一定次数登入失败后,口令在一段时间内封闭
加密
对称或单秘钥加密
速度快
通信之前用户需要有安全的信誉交换秘钥
不对称或双秘钥加密
公钥
私钥
哈希Hash
输出定长
生物技术口令
指纹识别
视网膜识别
发音识别
一次口令技术
流程
1、User请求连接
2、Server提示用户输入用户名(别名种子值)
3、User输入用户名
4、Server返回一个随机值(迭代值)
5、User使用用户名,随机值,密码(种子值,迭代值,通行术语)计算返回给Server
6、Server通过比较验证User身份
口令破解
类型
字典攻击
词典是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件
经过仔细的研究了解周围的环境,成功破解口令的可能性会大大增加
强行攻击
如果有速度足够快的计算机尝试字母、数字、特殊字符的所有组合,最终能够破解所有口令
分布式暴力破解
组合攻击
使用词典单词的基础上在单词的后面串接几个字母和数字进行攻击
介于强行攻击与字典攻击之间
其他攻击方式
社会工程学
偷窥
搜索垃圾箱
口令蠕虫
特洛伊木马
网络监听
重放
思路
穷举尝试
设法找到存放口令的文件并破解
通过其他途径如网络嗅探、键盘记录器获取口令
方式
手工破解
产生可能的口令列表
按口令的可能性从高到低排序
依次手动输入每一个口令
如果系统运行访问,则成功
如果没有成功,则重试
注意不要超过口令的限制次数
自动破解
找到可用的UserID
找到所用的加密算法
获取加密口令
创建可能的口令名单
对每个单词加密
对所有的UserID观察是否匹配
重复以上过程,知道找出所有口令为止
五、欺骗攻击及防御技术
欺骗类型
IP
基本的IP欺骗
简单的IP地址变化
将自己的IP修改为别人的IP,伪造报文发给目的主机,由于IP是别人的,所以自己是收不到响应的,所以也称盲目飞行攻击
无法建立完整的TCP,但可以使用UDP
源路由攻击
源路由类型
宽松的源站选择(LSR)
严格的源站选择(SRS)
攻击的类型
插入到数据流的必经之路上
保证数据包会经过一条给定的路径,而且作为一次欺骗,保证它经过攻击者的机器
实现的基础
源路由机制在TCP/IP协议组中,它允许用户在IP数据包包头的源路由选项字段设定接收返回的数据包要经过的路径
某些路由器对源路由包的反应是使用其中指定的路由,并使用其反向路由来传送应答数据,这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护的数据
利用Unix系统的信任关系
基于IP地址信任的,而不是询问用户名和口令
TCP会话挟持
简介
接管一个现存动态会话的过程,换句话说,攻击者通过会话挟持可以替代原来的合法用户,同时能够监视并掌握会话内容。此时,攻击者可以对受害者的回复进行记录,并在接下来的时间里对其进行响应,展开进一步的欺骗和攻击
结合了嗅探和欺骗技术
相关基础
TCP三次握手
序列号机制
32位计数器
说明接收方下一步将要接收数据包的顺序
过程
1、发现攻击目标
期望这个目标是一个被允许的TCP会话连接,检测数据列也是比较重要的问题,因为要猜测序列号,这就要嗅探之前通信的数据包,可能还需要ARP欺骗
2、确认动态会话
网络流通量越大,越不容易被发现
3、猜测序列号
TCP区分正确的数据包和错误的数据包仅通过它们的SEQ/ACK序列号
扰乱客户主机的SEQ/ACK,让服务器不信任客户主机,从而伪装客户主机,使用正确的SEQ/ACK进行通信
4、让客户主机下线
DOS拒绝服务攻击
5、接管会话
通过发送数据建立一个账户,这样就可以进入系统
IP欺骗攻击的防御
防御地址变化欺骗
限制用户修改网络配置
入口过滤
出口过滤
防范新人关系欺骗
限制用有信任关系的人员
不允许通过外部网络使用信任关系
防范会话挟持
进行加密
使用安全协议
限制保护措施
ARP
定义
将IP(32位)转化为MAC(48位),链路层协议
包类型
请求包
arp who-has 192.168.1.1 tell 192.168.1.2
谁是192.168.1.1请告诉192.168.1.2
应答包
arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00
192.168.1.1的mac地址是00:00:0c:07:ac:00
基础知识
在局域网(冲突域)中,数据帧是根据MAC寻址的
内核必须知道目的端的硬件地址才能发送数据
缓存表
每台主机、网关都有一个ARP缓存表
类型
动态
静态
命令
arp-a
查看本机ARP缓存表
ARP协议请求过程
局域网内通信
1、192.168.1.2请求一个IP地址192.168.1.1(在同一个网段)
2、查看本机ARPP缓存表,有就直接发送
3、ARP缓存表中没有,广播ARP请求包,询问1992.168.1.1的MAC地址,存入ARP缓存表中,发送包
局域网间通信
通常是不同网段的,首先检查ARP缓存表,假如没有,那么就直接丢给网关,由网关再去决定,转发到路由器,或者是其他网段
ARP欺骗原理
利用ARP协议本身的缺陷进行的一种非法攻击
容易被病毒、木马或者有特殊目的的攻击者使用
主机在接受到ARP应答报文时,不去确实是不是自己发送的,就直接替换了ARP缓存表
ARP欺骗危害
同网段用户容易断网
泄漏敏感信息
对信息进行篡改
起到网管的功能,让某特定用户不能上网
检测ARP欺骗攻击
网络频繁掉线
网速突然变慢
使用arp-a命令发现网关的MAC地址与真实的网关MAC地址不同
使用嗅探软件,发现有大量的ARP Reply包
ARP欺骗的防护
MAC地址绑定
静态ARP缓存表
使用ARP服务器
使用ARP防火墙
及时发现正在进行的ARP欺骗的主机,对其隔离
电子邮件
目的
隐藏自己的身份
冒充别人
社会工程的表现形式
组成部分
用户代理
传输代理
投递代理
欺骗原理
利用相似的电子邮件地址
直接使用伪造的E-mail地址
远程登录到STMP端口发送邮件
欺骗防御
邮件接收者
配置邮件客户端,每次都能显示完整的电子邮件地址,而不只是别名
邮件发送者
保护好邮件客户端
邮件服务器
采用SMTP
邮件加密
PGP
DNS
基本知识
域名解析,主机名字和IP地址转换
DNS服务器里面有一个DNS缓存表
基于UDP使用53窗口
解析过程
1、用户访问www.baidu.com
2、请求DNS服务器,假如本机设定的那个DNS服务器上面缓存表上面有,就直接返回
3、没有就由该DNS服务器,继续向其他更高一级的DNS服务器请求
欺骗实现
可以控制本地的域名服务器
控制本地的域名服务器,在数据库中增加一个附加记录,例如example.com,将攻击目标的域名,指向攻击者的欺骗IP
紧接着,攻击者向本机设定的DNS服务器(home.com),请求解析,example.com,这时候,home.com的DNS服务器就会去问example.com的DNS服务器,请求到之后,刷新缓存替换成为攻击者修改过的IP地址
无法控制本地的域名服务器
要点
首先,黑客要冒充某个域名服务器的IP地址
黑客要能预测目标域名服务器所发送DNS数据包的ID号(关键)
过程
在一段时间内,DNS服务器一般都采用一种可循的ID生成机制
可以控制远端DNS服务器网段的某主机
他只要在远程的DNS服务器网段上发送一个对攻击者本地域名的解析请求,通过嗅探得到数据包,(远程的DNS服务器转而请求本地的DNS服务器,从而拿到ID号)
不可控制远端DNS服务器网段的某主机
向目标DNS服务器,请求某个不存在的域名地址进行解析
攻击者冒充所请求的DNS服务器,向目标DNS服务器连续发送应答包,这些包中的ID号依次递增
过一段时间,攻击者再次向目标DNS服务器发送针对该域名的解析请求,如果得到返回结构,就说明目标DNS的服务器接受了黑客的伪造应答。继而说明黑客猜测的ID在正确的区段上。否则可以继续尝试
假如拿到的ID号为666
由攻击者本地主机发起,让远端的DNS服务器,去请求其他的DNS服务器,假如请求www.baidu.com的DNS服务器
此时攻击者,对远端的服务器,发送ID666www.baidu.com=1.1.1.1,ID667www.baidu.com=1.1.1.1……应答包
此时接收到的IP地址将会是1.1.1.1
局限
不能替换缓存表已经存在的记录
DNS服务器存在缓存刷新时间问题
欺骗防御
使用最新版的DNS服务器软件
关闭DNS服务器的递归功能
限制区域传输范围
限制动态更新
采用分层的DNS体系结构
Web
又称中间人攻击
原理
伪造站点,收集用户输入的数据,对数据进行相应的危害操作
流程
改写Web页面所有URL地址,使其指向自己伪造的Web页面
案例
网络钓鱼
伪造银行页面,收集用户账户密码,进行转账
防御
习惯查看URL
检查源代码,如果发生了URL重定向
使用反钓鱼软件
禁用脚本Javascript,ActiveX
确保应用有效和能适当的跟踪用户
培养用户的安全意识
计算机之间互相进行交流建立在倆个前提下
认证
相互间进行识别的一种鉴别过程,经过认证的过程,相互交流的计算机间就会建立起互相信任的关系
信任
信任和认证具有逆反关系,如果相互高度信任,那么交流就不会要求严格的验证,加入相互不信任,他们之间就会进行严格验证
欺骗
冒充身份通过认证骗取信任的攻击方式
三、网络监听及防御技术
共享式局域网监听
基础知识
使用集线器,公用一条总线,采用载波检测多路监听(CSMA/CD)机制进行传输控制
集线器是一层设备只转发比特流,所以不知道哪一个端口转发到哪一个端口,所以传输信息的方式是广播
监听原理
正常网卡只响应
与自己MAC地址匹配的数据帧
全为F的广播帧
混杂模式的网卡接受所有数据帧,被送到网络层
实现方法
链路层过滤
MAC地址
网络层过滤
IP地址
传输层
判断本机端口是否打开
过滤类型
信息的过滤
站过滤
协议过滤
服务过滤
通用过滤
时间的过滤
捕获前过滤
捕获后过滤
相关库
Unix的Libpcap
Windows的Winpcap
工具
Wireshark
嗅探软件工作机制
驱动程序支持
网卡的混杂模式
分组捕获过滤机制
链路层网卡驱动程序上传数据帧有俩去处
正常协议栈
非本地数据包丢失
分组过滤模块
非本地数据包,由分组过滤模块决定丢弃还是上传
类型
Unix
BSD的BPF(Berkeley Packet Filter)
Linux
SOCK_PACKET
Windows
NPF
网卡的工作模式
广播模式
能接受网络中的广播信息
组播模式
能接受组播数据
直播模式
只匹配目的MAC地址的网卡才接受数据
混杂模式
能接受一切数据
硬件设备
集线器
物理层设备,目的就是端口扩展,带宽不变
IEEE802.3协议,随机选出某一端口的设备,让它占用全部带宽,与集线器的上联设备通信,本身不具备任何转发能力
交换机
数据链路层设备,简单的转发数据帧,基于MAC地址,具有流量控制能力
每一个端口就是一个冲突域,独立的带宽
监听的防御
通用策略
安全的网络拓扑结构
网络分段
划分VLAN
数据加密技术
数据通道加密
SSH
SSL
VPN
数据内容加密
PGP
共享网络下的防监听
检测技术
网络和主机响应实践测试
原理
混杂模式下的机器缺乏底层过滤机制,骤然增加目标地址不是本地的网络通讯流量会对该机器造成明显的影响
过程
利用ICMP Echo请求及响应计算出需要检测机制的响应时间基准和平均值
在得到这个数据后,立即向本地网络发送大量伪造数据包,与此同时再次发送测试数据包,以确定平均响应时间的变化值
非监听的机器的响应时间变化量会很小,而监听的通常会有1~4个数量级的变化
ARP检测
原理
混杂模式下的网卡,对于ARP请求报文,照单全收,会做出响应,而正常的不匹配是不会收的
过程
伪造ARP报文,发送到各个节点,有回应的通常运行着嗅探程序
帮助判断
检测处于混杂模式的网卡
网络通讯丢包率高
网络带宽反常
交换网络下的防监听
不要把网络安全信任关系建立在单一的IP和MAC基础上,理想关系应该建立在IP-MAC对应关系的基础上
使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表,禁止自动根更新,使用手动更新
定期检查ARP请求,使用ARP监视工具,列入ARPWatch等监视并探测ARP欺骗
制定良好的安全管理策略,加强用户安全意识
网络监听
又名网络嗅探,在对方未察觉的情况下捕获其通信报文或通信内容技术
双刃剑
网络管理员可以很好的了解网络运行状况
黑客可以有效收集信息的手段
类型
软件嗅探器
易于使用
功能有限,无法抓取网络上所有数据
效率不高
硬件嗅探器(协议分析仪)
昂贵
网络传输技术
广播式
仅一条通信信道,由网络上的所有主机共享,信道上传输分组可以被任何机器发送并被其他所有机器接收
点对点
由一对,一对机器之间的多条连接构成,分组的传输是通过这些连接直接发往目标机器,因此不存在发送分组被多方接收的问题
交换式局域网监听
定义与特点
由交换机或者其他非广播式交换设备组建成的局域网
根据MAC地址,转发到交换机的某个端口
端口间的帧传输彼此屏蔽,因此节点不担心自己发送的帧被发送到非目的节点中去
产生的原因
预防嗅探器的入侵
数据链路层维护了一个MAC与端口的映射表
攻击方式
溢出攻击
交换机MAC地址表的溢出,回退到HUB的广播模式,向所有端口发送数据包,这样就可以实现监听了
ARP欺骗
计算机中维护了一个IP-MAC地址表,通过ARP报文,修改其内容,成为被攻击者和交换机之间的中间人,这样就可以收到所有的数据了
二、扫描与防御技术
ICMP
用途
网关或者目标机器利用ICMP与源通信
当出现问题时,提供反馈信息用于报告错误
特点
其控制能力并不用于保证运输的可靠性
它本身也不是可靠的
并不用来反应ICMP报文的传输情况
Socket
写扫描器,必学技能
在Windows中称为WinSock
基本模式
Open
White/Read
Close
应用程序通常通过Socket向网络发出请求或者应答网络请求
Net use
以username为用户名,password为密码登陆192.168.1.34
net use\\192.168.1.34\ipc$ password/user:username
将远程计算机的C盘映射到本地的O盘
net use o:\\192.168.1.34\c$
删除IPC$连接
net use\\192.168.1.34\ipc$ /delete
删除共享映射
net use o: /delete
TCP控制位
URG
紧急数据标准,为1,表示数据包中有紧急数据
ACK
确认标志位
PSH
如果置位,接收端应尽快把数据传送给应用层
RST
用来复位一个连接
SYN
建立连接,让连接双方同步序列号
FIN
表示发送端已经没有数据要求传输了,释放连接
扫描的防御技术
反扫描技术
主动扫描
减少开发端口,做好系统防护
实施检测扫描,及时作出告警
伪装知名端口,进行信息欺骗
被动扫描
信息欺骗
比如返回自定义的banner信息或者伪装知名端口
端口扫描检测工具
蜜罐系统
工具
ProtectX
Winetd和DTK
PortSentry
防火墙技术
ZoneAlarm Pro
Black ICE
Norton Personl Firewall
天网
审计技术
其他防御技术
扫描三部曲
发现目标主机或网络
发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等
根据收集到的信息判断或者进一步测试系统是否存在安全漏洞
漏洞扫描
基于漏洞库的特征匹配
CGI漏洞
POP3漏洞
FTP漏洞
SSH漏洞
HTTP漏洞
基于模拟攻击
Unicode遍历目录漏洞探测
FTP弱密码探测
OPENRelay邮件转发漏洞探测
常用工具
SATAN
Nmap
Nessus
X-san
Traceroute
参数
-f
指定一个初始TTL
-m
指定一个最大TTL
-p
设置目的主机的端口号
-q
每次发送探测数据包的个数
-w
指定超时的时间
网络漏洞
系统软、硬件在安全方面的脆弱性
扫描器
定义
自动检测远程或本地主机安全性弱点的程序
双刃剑
安全评估工具
网络漏洞扫描器
功能
扫描目标主机识别其工作状态
识别目标主机端口的状态
识别目标主机操作系统的类型和版本
识别目标主机服务程序的类型和版本
分析目标主机、目标网络的漏洞
生成扫描结果报告
对计算机网络系统或者网络设备进行安全相关简介,找出安全隐患和可被黑客利用的漏洞
主机扫描技术
传统技术
ICMP Echo
Ping的实现机制,发送ICMP Echo Request(type8)数据包,等待ICMP Echo R威迫利诱(type0)。收到表示可达
简单、系统支持,但容易被防火墙限制
ICMP Sweep
使用ICMP Echo轮询多个主机
Broadcast ICMP
将ICMP请求包的目标地址设为广播地址或者网络地址,则可以探测广播域或整个网络访问内的主机。
只适用于Unix/Linux系统,Windows会忽略这种包,容易引起广播风暴
Non-Echo ICMP
一些其他类型的ICMP类型包,也可以用于判断目的主机状态。
Stamp Request(Type13)
Reply(Type14)
Information Request(Type15)
Reply(Type16)
Address Mask Request(Type17)
Reply(Type18)
高级技术
突破防火墙的限制
异常的IP包头
在IP头中设置无效的字段值
错误的数据分片
通过超长包探测内部路由器
反向映射探测
目的
确认在目标网络上的主机是否可达
端口扫描技术
互联网上的通信,不仅需要知道对方的IP地址,也需要知道通信程序的端口号
端口号(2的16次方)
0~1023
熟知端口号,被提供给特定服务使用
1024~49151
注册端口
49152~65535
动态端口或者专用端口
全扫描
会产生大量的审计数据,容易被对方发现,但可靠性高
过程
1、Client发送SYN
2、Server返回SYN/ACK表明端口开放;Server返回RST/ACK表示端口关闭
3、Client返回ACK表示连接已建立;Client发送RST表示知道Server端口关闭
4、Client主动断开连接
半扫描
隐蔽性和可靠性基于全扫描与秘密扫描之间
过程
1、Client发送SYN
2、Server返回SYN/ACK表明端口开放;Server返回RST/ACK表示端口关闭
3、Client发送RST断开连接
秘密扫描
能有效的避免对方入侵检测系统和防火墙的检测,但使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息
原理
当一个FIN到达一个打开的端口,数据包被丢弃,返回一个RST数据包
当一个FIN到达一个打开的端口,数据包被丢弃。(不返回RST数据包)
过程
1、Client发送FIN(无返回表示端口打开)
2、Server返回RST(表示端口关闭)
变种
Xmax
打开所有标记(ACK/FIN/RST/SYS/URG/PSH)
过程
Client发送Xmax(all flags)(无返回表示端口打开)
Server返回RST(表示端口关闭)
Null
关闭了所有标记,将所有标记置空,发送给目标主机
过程
Client发送Null(no flags)(无返回表示端口打开)
Server返回RST(表示端口关闭)
认证扫描
需要建立完整的TCP连接
定义
服务器要求验证客户端的身份,由服务器向客户端的113端口发起认证连接
过程
服务器向客户端TCP113端口发起连接,询问客户端该进程的拥有者名称,服务器并写下日志,某某某连接上我的机器,再建立通信
FTP代理扫描
隐蔽性好,难以追踪。但收到服务器设置的限制
原理
允许数据连接位与控制连接位在不同的机器上,并支持代理FTP连接
过程
扫描程序首先在本地与一个支持代理的FTP服务器建立控制连接,然后使用PORT命令向FTP服务器声明欲扫描的目的主机的IP地址和端口号,并发送LIST命令。这时FTP服务器会尝试向目标主机指定端口发起数据连接请求。成功会返回150和225,错误会返回425
远程主机OS指纹识别
是入侵或安全检测需要手机的重要信息,是分析漏洞和各种安全隐患的基础
类型
主动协议栈指纹识别
由于TCP/IP协议栈技术标准在RFC文档中描述,但各个公司实现OS不同,通过对比为差异来判断OS类型
主要技术
FIN探测
向目标端口发送FIN,WinNT、CISCO IOS、HP/US、IRIX的TCP/IP协议栈实现将返回Reset
ISN采样探测
寻找初始化序列长度模版与特定OS的匹配方法,如:早些的Unix的是64K长度,新的Unix系统是随机增加长度
Dont's Fragment位探测
一些操作系统会设置IP头部“Dont's Fragment ”以改善性能,这样可以判断区分远程OS
TCP初始窗口的打小检测
AIX的是0x3F25
NT和BSD是0x402E等
ACK值探测
有些OS返回所确认的TCP包的序列号
另外一些返回确认序列号加1
ICMP出错消息抑制
限制ICMP出错消息的速率
ICMP出错消息回射完整性
返回ICMP出错消息的时候会修改所引用的IP头部
TOS服务类型
多数OS会是0
片段处理
对重叠的片段处理上有差异
被动协议栈指纹识别
原理跟主动类似,但从不主动发送数据包,只是被动捕获远程主机返回的包来分析其OS版本
4个方面
TTL
Windows Size
DF(分片位)
TOS
ping
原理
确认主机是否存活
通过向目标计算机发送ICMP报文,并监听返回,校验与目的计算机的连接
参数
-a
将目标的机器标识转换为IP地址
-t
不中断,就一直Ping
-d
使用套接字打开调试状态
-f
指定flag
-c
发送的报文数量
-4
强制使用IPv4协议
-6
强制使用IPv6协议
-p
只打印开始和结束的一些信息
-l
指定长度
子主题
一、网络安全绪论
攻击的过程
准备阶段
确定攻击目标
信息收集
服务分析
系统分析
漏洞分析
实施阶段
缓冲器溢出
拒绝服务
后门
木马
病毒
善后阶段
留下后门
隐藏踪迹
防护措施
个人防护措施
防火墙
加密重要文件
杀毒软件定期升级和杀毒
定期备份系统或重要文件
定期升级补丁
常用的防护措施
完善安全管理制度
采用访问控制措施
运行数据加密措施
数据备份与恢复
现状
攻击者重要的技术水平逐渐降低,手段更加灵活,联合攻击急剧增多。
0Day漏洞
在安全补丁发布前被了解和掌握的漏洞信息
设计准则
木桶原则
整体性原则
安全性评价与平衡原则
标准化与一致性原则
技术与管理相结合原则
统筹规划分布实施原则
等级性原则
动态发展原则
易操作性原则
子主题
冒充
旁路控制
破坏信息的完整性
破坏系统的可用性
重放
截手和辐射侦探
陷门
特洛伊木马
抵赖
挂马
通过各种手段,SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0Day,等各种方法获得管理员账户,登陆网站后台,或者Webshell。修改网站的内容。上传木马等。
安全策略
定义
针对那么些被允许进入某一组组、可以访问网络技术资源和信息资源所规定、必须遵守的规则
目的
觉得一个组组机构如何、怎样保护自己
阐明机构安全政策的总体思想
让所有用户、操作人员和管理员清楚,为了保护技术和信息资源所必须遵守的原则
提供一个可获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准
必要性
强调了策略的核心作用
强调了检测、响应、防护的动态性
检测、响应、防护必须遵循安全策略进行
基本原则
适用性
可行性
动态性
简单性
系统性
定义
基本定义:系统硬件、软件收到保护,不因偶然恶意的破坏、更改、泄漏,能连续、可靠正常的运行,服务不中断
简单的说:能够识别和消除不安全因素的能力
其中包括:运行系统的安全、网络上系统信息的安全、网络上信息传播的安全
体系层次
物理层安全
系统层安全
网络层安全
应用层安全
管理层安全
基本需求
可靠性
可用性
保密性
不可抵赖性
可控性
可审查性
真实性
威胁的主要因素
信息系统自身安全的脆弱性
操作系统与应用程序漏洞
安全管理问题
黑客攻击
网络犯罪