基于网络的入侵检测系统(NIDS):
可以检测到的攻击有同步风暴、分布式拒绝服务攻击、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问等。
产品:Session Wall、ISS RealSecure、Cisco Secure IDS、Snort
基于主机的入侵检测系统(HIDS):
可以检测针对主机的端口和漏洞扫描、重复登录失败、拒绝服务、系统账号变动、重启、服务停止、注册表修改、文件和目录完整性变化等。
产品:SWATCH、Tripwire、网页防篡改系统
Snort配置有三个主要的模式:嗅探、包记录和网络入侵检测。
Snort规则结构:
规则头:规则行为-alert/log/pass/activate/dynamic 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口
规则选项:告警信息 异常数据的信息(特征码、signature)
例如:检测尝试SSH的root登录:alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (content: “User root”; msg: “ssh root login”😉
恶意代码:
一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用、破坏系统的完整性及可用性。
恶意代码攻击模型:侵入系统—维持或提升已有权限—隐蔽—潜伏—破坏—重复前五步
恶意代码特点:恶意的目的;本身是计算机程序;通过执行发生作用
恶意代码生存技术:反跟踪技术、加密技术、模糊变换技术、自动生产技术、三线程脚技术、进程注入技术、通信隐藏技术等。
计算机病毒:
一组具有自我复制、传播能力的程序代码
计算机病毒组成:复制传染部件、隐藏部件、破坏部件
计算机病毒生命周期:潜伏—传播—触发—发作
特洛伊木马:
具有伪装能力、隐蔽执行非法功能的恶意程序,而受害者表面看到的是合法功能的执行。不具备自我传播能力
特洛伊木马运行机制:寻找攻击目标—收集目标系统的信息—将木马植入目标系统—木马隐藏—激活木马
网络蠕虫(主动传播):
一种具有自我复制和传播能力、可独立自动运行的恶意程序
蠕虫组成:探测模块、传播模块、蠕虫引擎模块、负载模块
僵尸网络:
攻击者利用入侵手段将僵尸程序植入目标计算机上,进而操纵手害己执行恶意活动的网络。
僵尸网络运行机制:僵尸程序的传播—对僵尸程序进行远程命令操作和控制,将受害者组成一个网络—总控发送指令
其他恶意代码:
逻辑炸弹——依附在其他软件中,具有触发执行破坏能力的程序代码。技术、时间、文件、访问触发
陷门——允许用户避开安全机制访问系统
细菌——具有自我复制功能的独立程序
间谍软件——不知情下被安装,执行用户非期望功能
APT(高级持续威胁):
针对高级持续威胁攻击的特点,部署 APT 检测系统。原理:基于静态动态分析检测可疑恶意电子文件及关联分析
网络安全大数据以发现高级持续威胁活动。
主要的渗入威胁有假冒、旁路、非授权访问、侵犯,主要的植入威胁有特洛伊木马、后门、陷阱
Smurf攻击是让目标主机被大量的ICMP echo reply报文淹没,从而失去正常服务的能力。
僵尸网络基本都是用于DDOS的肉鸡,从事恶意活动,侧重控制;然而木马主要是信息窃取,不一定从事恶意活动,侧重于窃听。
示例:
网络神偷:最早实现端口反向连接技术的恶意代码
灰鸽子:端口反向连接技术,反弹shell
广外女生:超级管理技术
中国黑客:三线程技术
红色代码:缓冲区溢出攻击技术
网络安全事件分类:网络攻击事件、恶意程序事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件
安全应急处理流程:
- 安全事件报警
- 安全事件确认
- 启动应急预案
- 安全事件处理(准备-检测-抑制-根除-恢复-总结)
- 撰写安全事件报告(日期、人员、发现途径、类型、范围、记录、损失及影响、处理过程、经验教训)
- 应急工作总结
容灾技术目的:
是在灾难发生时保证计算机系统能继续对外提供服务。根据保护对象的不同,容文可以分为数据容文和应用容文两类。应用容文是完整的容灾解决方案,实现了应用级的远程容灾,真正实现了系统和数据的高可用性。数据容灾是应用容灾的基础,而数据容灾中最关键的技术是远程数据复制。
灾难恢复等级:
1 级-基本支持:每周至少一次完全数据备份;
2 级-备用场地支持:灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备,紧急供货协议、备用通信线路协议;
3 级-电子传输和部分设备支持:配置部分数据处理设备和部分通信线路级响应网络设备,专人管理,每天多次定时批量传送关键数据;
4 级-电子传输及完整设备支持:配置灾难恢复所需全部数据处理设备和通信线路及网络设备,处于就绪状态;
5 级-实时数据传输及完整设备支持:实现远程数据复制技术,要求备用网络具备自动或几种切换能力;
6 级-数据零丢失和远程集群支持:实时备份,零丢失,实现无缝切换,远程集群系统实时监控与自动切换能力
取证步骤:现场保护-识别证据-传输-保存-分析-提交
网络安全渗透测试流程与内容:
- 委托受理阶段。(签署:“保密协议”、“网络信息系统渗透测试合同”)
- 准备阶段。(确定日期、人员、范围、方案;签署“网络信息系统渗透测试用户授权单”)
- 实施阶段。(实施,整理数据,形成“网络信息系统渗透测试报告”)
- 综合评估阶段。(“网络信息系统渗透测试报告”,召开评审会,可能复测)
- 结题阶段。(归档)
TLL>64表示端口关闭,TLL<64表示端口开启。
如果端口开放,目标主机会响应扫描主机的SYN/ACK连接请求;如果端口关闭,则目标主机会向扫描主机发送RST/ACK的响应。没有完成三次握手的话,日志不会对扫描进行记录,即尝试连接的记录比日志所记录的要少。
COS智能卡片内操作系统四大模块:通信管理、命令解析、文件管理、安全管理
主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。被动攻击不会导致系统信息的篡改,系统操作与状态不会改变,其特点是对传输进行窃听和检测。蜜罐是主动防御技术。
一个中心,三重防护:
“安全管理中心”这一控制项主要包括系统管理、安全审计、安全管理
安全计算环境、安全区域边界、安全通信网络防护
可信计算:
首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,将这种信任扩展到整个计算机系统,从而保证整个计算机系统可信。
TPM Trusted Platform Module
TNC Trusted Network Connect
可信度量根 RTM:软件模块
可信存储根 RTS:TPM 芯片+存储根密钥 SRK
可信报告根 RTR:TPM 芯片+根密钥 EK
实现VPN的关键技术主要有隧道技术、加解密技术、秘钥管理技术、身份认证技术。
数据链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换(MPLS);网络层VPN的实现方式有受控路由过滤、隧道技术:传输层VPN的实现方式有SSL技术。有些资料中,将MPLS看成介于数据链路层和网络层的2.5层协议。
最大并发连接数不是IPSec VPN的主要性能指标;加解密丢包率不是SSL VPN的主要性能指标。
隐私保护:
抑制指通过数据置空的方式限制数据发布;
泛化指通过降低数据精度实现数据匿名;
置换不对数据内容进行更改,只改变数据的属主;
扰动是指在数据发布时添加一定的噪音,包括数据增删、变换等;
裁剪是指将数据分开发布。
面向数据挖掘的隐私保护技术:基于数据失真/数据匿名/数据加密的隐私保护技术
数字水印技术应用:版权保护、信息隐藏、信息溯源、访问控制
linux:
lsof——list of file 列出当前系统打开文件
ls -R 递归显示所有子目录、子文件 * 凡是和递归相关,即操作整个目录及下属的各种文档,不要忘记加上参数-R
ps process status 显示当前进程状态
top 监控所有进程,相当于Windows里面的任务管理器
kill 结束进程,一般会用kill -9 [pid] 表示结束指定pid的进程
netstat -anp | grep 端口号 查看端口是否正在使用
cat -n 查看短文本,-n显示行号
pwd 打印当前所在目录路径
chmod 更改文件权限
file 查看文件类型
stat 查看文件属性
alias 查看所有别名
date 查看日期
cal 查看日历
grep 过滤
tar czvf xxx.tar 压缩目录
tar xzvf xxx.tar 解压缩目录
重定向:改变默认输入输出方向
覆盖原文件内容
追加,追加到文件内容的最后
/dev/null 丢弃执行结果
| 管道,左边命令的输出作为右边命令的输入
dmesg 查看系统日志
systemctl 是systemControl简写,相当windows下的service.msc
- 启动sshd:service sshd start/systemctl start sshd
- 停止sshd:service sshd stop/systemctl stop sshd
- 重启sshd:service sshd restart/systemctl restart sshd
wget 下载
wget -p /opt/usr -r www.baidu.com
-p 保存到指定文件夹 -r 递归下载页面所有资源
ln 创建软链接
ln [选项] 源文件 目标文件 例如,ln -s /dev/shm shm
硬链接和软链接区别:
- 软链接类似快捷方式,指向的是路径,而硬链接指向的是数据
- 软链接可以指向目录,而硬链接不能指向目录、特殊文件
- 软链接占磁盘空间,而硬链接不占空间
-rw-r–r-- 1 root root 204 10月 17 09:37 3.txt //1代表的就是文件的所有硬链接数
find 查找
find path -option [-print] [-exec -ok commad]{};
-xtype l 或 -type l 指定类型为失效链接文件
例,find /home -xtype l -print find /home -xtype l -exec rm {} ;
chattr 对文件设置一些特殊权限,比如不可修改删除等
chmod 600 /etc/inetd.conf //文件属性,仅root可读写
chattr +i /etc/inetd.conf //属主为root,设置不能更改
rm 删除
rm -f H O M E / . b a s h h i s t o r y 注销时删除命令记录 h i s t o r y − c 清除历史命令普通用户提示符号为 HOME/.bash_history 注销时删除命令记录 history -c 清除历史命令 普通用户提示符号为 HOME/.bashhistory注销时删除命令记录history−c清除历史命令普通用户提示符号为,超级用户提示符号为#
安全日志存放了验证和授权方面的信息。路径为/var/log/secure
要修改SSHD的配置文件,文件路径为/etc/ssh/ssh_config
/etc/hosts.allow和/etc/hosts.deny一般是搭配使用的。linux会先检查deny规则,再检查allow,如果有冲突按照allow规则处理。
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登陆Shell
UID是一个整数,取值范围是0-65535。0是root的标识号;1-99由系统保留,作为管理账号;普通用户的标识号从100开始。
/etc/group & /etc/passwd默认访问权限为rw- r-- r-- (644);/etc/shadow默认访问权限为r-- — — (400)
Linux有7种运行模式 init 0-6
0 关机
1 单用户模式
2 多用户模式
3 切换到命令行模式 服务一般处于这种模式
4 未被使用的模式
5 切换到桌面模式
6 重启
Windows:
netstat -b 显示在创建每个连接或侦听端口时设计的可执行程序
netstat -ano | findstr “port” 端口对应的 PID
tasklist | findstr “PID” 进程对应的 PID
组策略快捷键——gpedit.msc,事件查看器——eventvwr.msc,注册表——regedit,服务管理器——services.msc
Windows三种日志类型:系统日志——Sysevent.evt、应用程序日志——Appevent.evt、安全日志Secevent.evt,注意后缀为evt,存放在system32\config目录下
4624——登陆成功,4625——登陆失败,4634——注销成功,4647——用户启动的注销,4672——管理员登陆,4720——创建用户
Windows用户登录到系统时,WinLogon进程为用户创建访问令牌,包含用户及所属组的安全标识符SID,作为用户的身份标识。
Android系统:
应用程序层:权限声明机制、保障代码安全
应用框架层:应用程序签名机制
系统运行库层:网络安全、采用SSL/TLS加密通信、虚拟机安全、安全沙箱
linux内核层:ACL权限机制、集成SElinux模块、地址空间布局随机化、文件系统安全
应用程序权限信息声明都在Manifest.xml,防止应用程序错误的使用服务,不恰当访问资源
四种存储方式:SharePerferences、文件存储、ContentProvider、SQLite数据库
IOS系统框架:核心操作系统层、核心服务层、媒体层、可触摸层
TCP相关知识:
[SYN]——请求建立连接;
[SYN,ACK]——可以建立连接;
[ACK]——响应;
[FIN,ACK]——同意结束;
[FIN]——关闭连接
[PSH]——有DATA数据传输;
[RST]——连接重置;
[seq]——序列号;
[ack]——下一个数据包编号
C中不安全函数:
strcpy——strncpy 用于将一个字符串复制到另一个字符串中,但它没有对目标字符串的长度进行检查,容易造成缓冲区溢出。为了解决这个问题,可以使用strncpy函数,它可以指定要复制的最大字符数,避免溢出。
strcat——strncat 用于将一个字符串连接到另一个字符串的末尾,但它也没有检查目标字符串的长度,容易导致缓冲区溢出。替代方案是使用strncat函数,并指定最大字符数。
gets——fgets 用于从标准输入读取字符串,但它无法检查输入的长度,容易导致缓冲区溢出。应该使用fqets函数,它可以指定要读取的最大字符数,并且可以安全地处理输入的长度
scanf——scanfs
sprintf——snprintf
strcmp(str1,str2),若str1=str2,则返回零;若str1<str2,则返回负数;若str1>str2,则返回正数。
参考:https://blog.csdn.net/weixin_69940084/article/details/130785745
Sql注入:
攻击者利用 Web 应用程序中未对程序变量进行安全过滤处理,在输入程序变量参数时,故意构造特殊的 SQL 语句,让后台数据库执行非法指令,从而操控数据库内容,达到攻击目的。
分类:
联合注入、布尔注入、报错注入、时间注入、堆叠注入、二次注入、宽字节注入、cookie注入等
常用函数:
database():当前网站使用的数据库
version():当前MYSQL使用的版本
user():当前MYSQL的用户
information_schema.schemata:记录数据库信息的表
information_schema.tables:记录表名信息的表
information_schema.columns:记录列名信息的表
schema_name 数据库名
table_name 表名
column_name 列名
table_schema 数据库名
length(str) 返回str字符串的长度。
substr(a,b,c) 从位置b开始,截取a字符串c位长度。注意这里的pos位置是从1开始的
mid(str,pos,len) 跟上面的一样,截取字符串
ascii(str) 将某个字符串转化为ascii值
ord(str) 同上,返回ascii码
if(a,b,c) a为条件,a为true,返 回b,否则返回c,如if(1>2,1,0),返回0
updatexml(1,concat(0x7e,version()),1) 第二个参数为XPATH路径,如果不符合XPATH格式会报错,返回 ~5.7.26
concat() 连接字符串
concat_ws() concat_ws(0x7e,database(),use()),把查出来的库名和用户通过~连接起来完成报错
防御方法:
采用预编译技术、严格控制数据类型、对特殊的字符进行转义、
绕过方法:
空格字符、大小写、浮点数、NULL值、引号、添加库名、去重复、反引号、min截取字符串、like、limit offest、or and xor not、ascii字符对比、等号、双关键词、多参数拆分、生僻函数、信任白名单、静态文件绕过
参考:https://blog.csdn.net/qq_43372862/article/details/104081302?spm=1001.2014.3001.5502
算法名称 | 算法特性描述 | 备注 |
---|---|---|
SM1/SM4 | 对称加密,分组长度和密钥长度都为128 | SM4无线局域网产品使用,WAPI协议 |
SM2 | 非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法 | 国家标准推荐使用素数域256位椭圆曲线 |
SM3 | 杂凑算法,分组长度:512 摘要长度:256 | |
SM9 | 标识密码算法 | SM2和SM9是我国国家密码管理局发布的数字签名标准 |
MD5 | 杂凑算法,分组长度:512 摘要长度:128 | |
SHA1 | 杂凑算法,分组长度:512 摘要长度:160 |
防火墙 | IDS | IPS | |
---|---|---|---|
产品类别 | 访问控制类(门锁) | 审计类(监控系统) | 访问控制类(安保人员) |
保护内容 | 多应用在转发、内网保护(NAT)、流控、过滤等方面 | 针对攻击 | 针对攻击 |
部署位置 | 采用串行接入,部署在网络边界,用来隔离内外网 | 采用旁路接入,尽可能靠近攻击源、尽可能靠近受保护资源 | 串联接入,在网络出口/入口处 |
工作机制 | 是重要的网络边界控制设备,主要通过策略5要素(源、目的、协议、时间、动作) | 主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。缺点:阻断UDP会话不太灵,对加密的数据流束手无策 | 针对攻击事件或异常行为可提前感知及预防,属于主动防护。阻断方式较IDS更为可靠,但是性能较低。单点故障 |
第一代交换机 | 以集线器为代表,工作在OSI物理层 |
---|---|
第二代交换机 | 以太网交换机,工作在OSI数据链路层,称为二代交换机,识别数据中的MAC,并根据MAC地址选择转发 |
第三代交换机 | 三层交换机,工作在OSI网络层 |
第四代交换机 | 增加业务功能,比如防火墙、负载均衡、IPS等 |
第五代交换机 | 支持软件定义网络SDN,具有强大的QOS的能力 |
ICMP报文类型 | 情况 |
---|---|
差错报文 | 目的不可达 |
时间超时 | |
参数问题 | |
控制报文 | 源站抑制 |
路由重定向 | |
查询报文 | 请求和回应报文 |
路由询问或通告 | |
时间戳请求与应答 | |
地址掩码请求和应答 |
ECB (Electronic Codebook 电码本模式) | image-20230924164807165 | 将整个明文分成若干段相同的小段,然后对每一小段进行加密。 |
---|---|---|
CBC(Cipher Block Chaining 密码分组链接模式) | image-20230924164853468 | 先将明文切分成若干小段,然后每一小段与初始块(IV)或者上一段的密文段进行异或,再与密钥进行加密。缺点:不利于并行计算;误差传递;需要初始化向量IV |
计算器模式(Counter (CTR)) | image-20230924164916033 | 在CTR模式中, 有一个自增的算子,这个算子用密钥加密之后的输出和明文异或的结果得到密文,相当于一次一密。 |
密码反馈模式(Cipher FeedBack (CFB)) | image-20230924164938981 | |
输出反馈模式(Output FeedBack (OFB)) | image-20230924165206541 |
image-20231024091150681 | image-20230924175547899 |
---|
差别 | image-20231007214031582 |
---|---|
异常检测:统计分析 正常行为特征库 | 1. 基于条件概率2. 基于状态迁移3. 基于键盘监控4. 基于规则(Snort) |
误用检测:特征匹配已知入侵模式库 | 1. 基于统计2. 基于模式预测3. 基于文本分类4. 基于贝叶斯推理 |
image-20231010174826419 | image-20231010174749341 |
---|
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-ZDGK1jqs-1712640462323)]