【自食用】乱七八糟的安全概念

原创 2015年11月18日 00:42:37

*ARP地址解析协议(协议报文不是用IP数据报传送)

在OSI中数据链路层。TCP/IP中网络层。
广播查询目标设备的MAC地址
查看ARP缓存表:
windows: 开始→运行→cmd→arp -a    添加数据:arp -s
linux: 终端→arp

*->ARP攻击(MAC地址绑定可防范/DHCP snooping+DAI技术)可进行正当重定向

嗅探:
中间人攻击:发送一个 ARP Reply给主机B,把此包protocol header 里的sender IP设为A的IP地址, sender mac设为攻击者自己的MAC地址。
 主机B收到ARP Reply后,更新它的ARP表,把主机 A的条目 (IP_A, MAC_A)改为(IP_A, MAC_C)。
DHCP snooping:
限定只有被指定的 DHCP 服务器才可被存取。
主机只有使用被指定 IP 的才能存取网络。
追踪主机的物理位置。
 地址欺骗->不让远程主机响应发送的数据包


*Rootkit Hook(ps、netstat、w、passwd...)

通过修改内核数据结构来隐藏其他程序的进程、文件、网络通讯和其他相关信息(注册表和系统日志等)。
通过修改操作系统的EPROCESS链表结构可以达到隐藏进程的效果,挂钩服务调用表可以隐藏文件和目录,挂钩中断描述符表则可以攻击者发送一个 ARP Reply给主机B,把此包protocol header 里的sender IP设为A的IP地址, sender mac设为攻击者自己的MAC地址。
主机B收到ARP Reply后,更新它的ARP表,把主机 A的条目 (IP_A, MAC_A)改为(IP_A, MAC_C)。监听键盘击键等。


*ring0/ring3

intel的x86处理器通过Ring级别来进行访问控制。共四层Ring0~3,windows只使用其中的两个级别Ring0(最高,可访问所有层数据。任务管理器)和Ring3(最低,只能访问Ring3层数据)。
在DOS下,内核、驱动和应用程序都运行在Ring3(然而,这也是保护模式驱动和DOS扩展专用的级别。实模式的操作系统没有有效的保护措施),而像EMM386这样的386内存管理程序运行在Ring 0。

*DNS欺骗

攻击者冒充域名服务器,向主机提供错误DNS信息,使用户访问到攻击者ip上的同一域名的网址。

*IP欺骗

伪造数据包包头,使显示的信息源不是实际来源。核心是获得TCP序号(确认来自于已建立的连接)。
防御:强口令/完善交互协议
ISN约每秒增加128000,如果有连接出现,每次连接将把计数器的数值增加64000。黑客为了进行IP欺骗,要进行以下工作:使被信任关系的主机失去工作能力,同时采样目标主机发出的TCP序例号,猜测出它的数据序例号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。cat‘++’>>~/.rhosts。当/etc/hosts.equiv中出现一个“+”或者$HOME/.rhosts中出现“++”时,表明任意地址的主机可以无须口令验证而直接使用r命令登陆此主机。
1、首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰。 
2、然后连接到目标机的某个端口来猜测ISN基值和增加规律。
3、接下来把源址址伪装成被信任主机,发送带有SYN标志的数据段请求连接。 
4、然后等待目标机发送SYN+ACK包给已经瘫痪的主机,因为你现在看不到这个包。 
5、最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的ISN+1。 
6、连接建立,发送命令请求。 

*tracert(到达目标网络IP需要经过哪些路由器的IP)

trace route,Linux下为tracepath。
通过增加TTL实现。程序发出的首3个数据包TTL值是1,之后3个是2,如此类推,它便得到一连串数据包路径。主叫方首先发出TTL=1的UDP数据包,第一个路由器将TTL减1得0后就不再继续转发此数据包,而是返回一个ICMP逾时报文,主叫方从逾时报文中即可提取出数据包所经过的第一个网关地址。然后又发出一个 TTL=2 的 UDP 数据包,可获得第二个网关地址,依次递增 TTL 便获取了沿途所有网关地址。
利用了UDP数据包的Traceroute程序在数据包到达真正的目的主机时,就可能因为该主机没有提供UDP服务而简单将数据包抛弃,并不返回任何信息。
为了解决这个问题,Traceroute故意使用了一个大于30000的端口号,因UDP协议规定端口号必须小于30000,所以目标主机收到数据包后唯一能做的 事就是返回一个“端口不可达”的 ICMP 报文,于是主叫方就将端口不可达报文当作跟踪结束的标志。

*nslookup(域名扫描器)

查看域名信息。

*net user username password /add #添加账号

 net localgroup administrators username /add #加入到系统管理员


*若软盘上存放有文件和数据,且没有病毒,则只要将该软盘写保护就不会染上病毒



*计算机蠕虫

比一般计算机病毒危害大,不利用文件来寄生。不用使用者介入操作也能自我复制或执行。对网络有害。

*自主计算机/主从计算机/计算机



*DOS攻击

网络异常缓慢(打开文件或访问网站)
特定网站无法访问
无法访问任何网站
垃圾邮件的数量急剧增加
无线或有线网络连接异常断开
长时间尝试访问网站或任何互联网服务时被拒绝

*DDos攻击

利用中间代理。

防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。


*ICMP floods

通过向未良好设置的路由器发送广播信息占用系统资源的做法。


*teardrop

利用TCP/IP协议在重组重叠的IP分组分段的缺陷进行攻击,捏造位移信息。属于Dos攻击。

*SYN flood  

通过对TCP三次握手过程进行攻击来达到消耗目标资源的目的。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。专门利用发送系统和接收系统间的三向信号交换。

*ping of death

利用ICMP协议在处理大于65535字节ICMP数据包时的缺陷进行攻击,产生超过IP协议能容忍的数据包数。

*Land攻击

利用大量终端同时对目标机进行攻击的分布式拒绝服务攻击。这种攻击方式与SYNfloods类似,不过在LANDattack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环。


*CC攻击

使用代理服务器向受害服务器发送大量貌似合法的请求(通常使用HTTP GET)。CC(攻击黑洞)根据其工具命名,攻击者创造性地使用代理机制,利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。


*ICMP(互联网控制消息协议)

该协议是TCP/IP协议集中的一个子协议,IP报头的第160位开始,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。
ping/tracert都是基于ICMP。TTL值过期即发送ICMP消息。


*UDP(用户数据报协议)

不需要应答,ipv4,ipv6,不可靠。在TCP/IP模型中,UDP为网络层以上和应用层以下提供了一个简单的接口。UDP只提供数据的不可靠传递,它一旦把应用程序发给网络层的数据发送出去,就不保留数据备份。UDP在IP数据报的头部仅仅加入了复用和数据校验(字段)。

*RPC服务(远程过程调用,端口135)漏洞

基于WINNT内核。通过向受害者发送畸形数据包,导致RPC服务进程崩溃,因为许多应用服务程序都依赖于它,就造成这些应用程序服务的拒绝服务,然后就可以通过135端口来提升权限或获得DCOM客户端认证的信息。

*TCP session hijacking(会话劫持)


*Linux用户登录日志

lastlog 最近几次成功登陆和最后一次不成功登陆
utmp 当前登录用户的有关信息
wtmp 用户登录和退出的有关信息
btmp 记录错误登录

保存密码文件/etc/shadow

和/etc/passwd的区别:shadow只root可读,只包括密码信息,密码和账户修改时间信息。passwd包括用户信息,不包含密码,包括组、家目录等。

*EFS加密

Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存。基于公钥策略。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。


*SAM数据库(安全账户管理器)

负责SAM数据库的控制和维护,是Windows系统账户管理的核心且非常系统化。SAM数据库位于注册表编辑器的HKEY_LO CAL_MACHINE\SAM分支下,受到 ACL保护。


SAM数据库在磁盘上就保存在"C:\WINDOWS\system32\config"文件夹下的SAM文件中,SAM记录的数据很多,包含所有组、账户的信息、密码HASH、账户的SID等。该文件在系统运行时受操作系统的保护,因此,即便是超级用户也无法直接打开它。


*X86汇编代码中 retn和ret的关系

retn先进行esp+n操作,ret无此操作

*主机开放端口

邮件服务器:25/110
文件服务器:2433
web服务器:80
DNS服务器:UDP53
rlogin:513

*如果交换机配置了端口和MAC地址映射,则无法通过简单将网卡设为混杂模式来实现嗅探,可以通过将MAC地址设置为局域网内其他主机的MAC地址来实现对相应主机的数据包的嗅探,可以通过ARP欺骗来实现对局域网内其他主机的数据包进行嗅探,无法通过ip伪造进行嗅探。



*windows2003中系统日志默认存放目录users组用户的权限为 列出文件夹目录。上传文件的默认大小为200k。



*逻辑炸弹

通过指定条件或外来触发启动执行。嵌入在正常软件中并在特定情况下执行的恶意程式码。这些特定情况可能是更改档案、 特别的程式输入序列、或是特定的时间或日期。恶意程式码可能会将档案删除、使电脑主机当机、或是造成 其他的损害。


*whois 端口扫描

TCP协议43端口。以.com结尾的域名的WHOIS信息由.com域名运营商VeriSign管理,中国国家顶级域名.cn域名由CNNIC管理。


*OD最多一个内存断点



*\x32 16进制 \077 8进制



*port security



*路由器攻击防范

cisco启用了PMTUD会导致ICMPDos攻击,防范措施可以禁用PMTUD或者更新补丁。对于STUN(串行隧道)攻击可以采用严格控制CON口的访问来防范。


*Smurf攻击

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。

*计算机紧急应急小组(CERT)

*邮件炸弹攻击主要是填满被攻击者邮箱
*传入我国第一例计算机病毒 小球病毒 1988年
*1994年我国颁布第一个与信息安全有关的法规《中华人民共和国计算机信息系统安全保护条例》
*2000年 计算机病毒防治管理办法
*边界防范

路由设置

*网络物理隔离:两个网络间数字链路层和网络层在任何时刻都不能直接通讯
*带VPN的防火墙基本原理 先进行流量检查

*VPN虚拟的专用网络建立于总部与分支机构、与合作伙伴、与移动办公用户之间。
*安全区域划分中DMZ区通常用作对外服务区。



本地工具:

native2ascii [-reverse] [inputfile[ outputfile]] 转换Unicode

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

【自食用】乱七八糟的安全概念2

1、针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是代理服务型防火墙的特点 代理服务型防火墙: 2、安全意识和安全手段之间形成安全风险缺口 安全风险缺口:IT的发展与安全投入,安全...

Java学习笔记——关于java中类中乱七八糟的概念的梳理

在Java学习中,第一只拦路虎就是类,总是学了又忘。真是蛋疼菊紧。写一篇日志专门捋一下这里面的乱七八糟。 首先,就是类这个概念,类在一本书立的解释很搞笑,叫“对象的模板”哈哈,当时就觉得这个比喻有够经...

代码重构中的安全重命名的概念

  • 2017年05月24日 22:24
  • 3.15MB
  • 下载

软件安全的概念

  • 2012年04月26日 13:19
  • 1.22MB
  • 下载

IDS/IPS等安全概念

IDS(intrusion detection system),即入侵检测系统。是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处...

shiro 安全框架 概念性的说明文档

  • 2013年04月11日 18:53
  • 264KB
  • 下载

安全漏洞概念及分类

  • 2015年05月29日 10:50
  • 5.05MB
  • 下载

【安全牛学习笔记】漏洞概念

1.漏洞管理(信息维度)(1).信息收集 扫描发现网络IP、OS、服务、配置、漏洞能力需求:定义扫描方式内容和目标 (2).信息管理格式化信息,并进行筛选、分组、定义优先级 能力需求:资产分组、指...

软件安全的概念.pdf 不错的

  • 2009年06月29日 13:02
  • 1.7MB
  • 下载

网上银行安全概念终结

  • 2009年04月24日 15:53
  • 79KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【自食用】乱七八糟的安全概念
举报原因:
原因补充:

(最多只允许输入30个字)