写在开头:本文为学习网络攻防的知识点笔记,后续补充中(不清楚之处请谅解)
网络技术
一、网络扫描技术
网络扫描通常分为:
服务扫描:对目标进行www的扫描
端口扫描:通过扫描目标所有打开的端口
批量扫描:想知道这台计算机打开了哪些服务,端口
网络扫描主要功能:
- 识别目标主机端口的状态(监听或关闭)
- 扫描目标主机识别其工作状态(开关机)
- 识别目标主机操作系统的类型和版本
- 识别目标主机服务程序的类型和版本
- 分析目标主机、目标网络的漏洞(脆弱点)
- 生成扫描结果报告
扫描技术是把双刃剑
常见网络扫描技术:
- tcp connect scan(tcp连接扫描)
是一种利用TCP协议的完整的3次握手过程进行端口扫描的技术。操作系统提供的connect()连接函数完成系统调用,用来与目标计算机的端口进行连接,如果端口处于倾听状态,就连接成功;否则连接失败。
tcp连接扫描技术优点:
- 不需要任何权限,系统中的任何用户都有权利使用这个调用
- 实现简单,稳定可靠
缺点:
- 扫描方式不隐蔽
- 容易被发觉
- tcp SYN scan(tcp同步序列号扫描)(半连接扫描)半开式扫描,间接扫描
是指利用TCP协议但是不是完整的3次握手过程来进行端口扫描的技术。扫描主机向目标主机的选择端口发送SYN包,如果应答是RST,那么,说明端口是关闭的,按照设定继续探听其他端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。此时已完成两次握手,但在第三次握手前,扫描主机终端本次连接,使连接没有完全建立起来。
优点:不易被发现
缺点:构造SYN数据包需要超级用户的权限,才能获得专门的系统调用。
- tcp fin scan(tcp结束标志扫描)(隐蔽扫描)
优点:隐蔽
缺点:等待超时
有些系统没有严格遵守tcp协议标志,导致无效。
fin扫描的两个变种:
tcp Xmas tree scan(tcp圣诞树扫描)
tcp null scan(tcp空扫描)
-
udp scan(udp协议扫描)
-
ICMP扫描
ping方法
二、网络差点:
- 服务判定
- 网络服务旗标抓取技术 (banner)
- 指纹技术分为主动识别和被动识别
主动指纹识别技术:主动往远程主机发送数据包并对相应的响应进行分析的过程,使扫描器在更短的时间内获得比被动扫描更准确的结果。
被动指纹识别技术:获取目标主机发过来的数据包并对其进行分析的一种方法。
三、网络监听
监听工具
实施攻击
一、口令攻击
- 词典攻击
- 强行攻击
- 组合攻击
二、缓冲区溢出攻击
三、木马攻击
系统中被植入的、认为设计的程序,目的在于网络远程控制其他用户的计算机,窃取信息资料,并可致使目标系统瘫痪。
木马与远程控制相似。
- 有效性(建立有效联系)
- 隐蔽性
- 顽固性(清楚木马的难易程度)
- 易植入性(先决条件)
与蠕虫技术结合。
一般是客服端和服务端程序
技术:
- 植入技术
-
- 主动植入
- 被动植入
- 自动加载技术(自启动技术)
- 隐藏技术
-
- 伪隐藏
- 真隐藏
- 监控技术
记录用户事件:
- 记录被控端计算机的键盘和鼠标事件,将记录结果保存为一个文本文件并,并发送诶攻击者
- 在被控端抓取当前屏幕,形参一个图文件。
四、欺骗攻击
改变伪装自己的身份
类型:
- IP欺骗
- ARP欺骗(协议的的欺骗,获取中间报文)
- 电子邮件欺骗
- DNS欺骗
- web欺骗
- 社会工程学攻击
五、拒绝服务攻击
简单高效
网络带宽攻击;即以极大的通信量冲击网络,使得所有可用网络资源都消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击;以大量的连接请求冲击计算机,使得所有可用的操作系统都被消耗殆尽,最终计算机无法在处理合法用户的请求。
黑客工具;
常用于辅助其他攻击的进行。
分布式拒绝服务攻击:
僵尸网络:攻击者手中一个攻击平台,由互联网上数百到数十万计算机构成,这些就三级被黑客利用蠕虫等手段植入了僵尸程序并暗中操作。
客户服务机技术
六、web攻击
三层结构:客户端浏览器(表示层)---->web服务器(应用层)---->数据库(数据层)
web 服务
动态页面,动态生成
- 未验证参数:URL,cookie,
- 访问控制缺陷
- 账户及会话管理缺陷
- 跨站脚本漏洞
- 缓冲区溢出
- 命令注入漏洞(恶意代码注入,
- 错误处理问题
- 远程管理漏洞
- web服务器及应用服务器配置不当
网络防御技术
一、信息收集防御技术
面对攻击者的扫描,可采取的主要防御措施:
- 使用专用的扫描监测工具(对不常用端口进行监听
- 使用防火墙系统
- 使用入侵检测系统
- 使用蜜罐系统(详细记录)一定防御
- 使用审计工具(日志审计)跟踪客户端ip,地理位置,操作系统版本
二、口令攻击防御技术
技术和管理上
强口令特征:
口令管理策略:加密口令,口令文件管理,定期更换
采用一次性口令技术:有效抵御网络嗅探攻击
三、欺骗攻击防御技术
- 防范基本的ip欺骗
-
入口过滤
-
出口过滤
- 防范回话劫持攻击
其防御方法有:
- 进行加密
- 使用安全协议(ssh,Telnet,VPN(从客户端到服务端)),
- 限制保护措施
-
ARP欺骗攻击的检测与防御:
常见表现情况:
-
网络频繁掉线
-
网络过慢
-
使用ARP-a名发现网关的Mac地址与真实网关Mac地址不同
-
使用网络嗅探工具发现局域网中存在大量ARP响应包时
受到ARP欺骗的应对策略:
- Mac地址绑定
- 使用静态ARP缓存
- 使用ARP服务器(未被攻击),通过其来找到自己的ARP转换表来响应其他机器的ARP广播
- ARP欺骗防护软件
- 及时发现正在进行ARP欺骗的主机,并隔离
web欺骗防御技术:培养安全意识和教育
四、拒绝服务攻击防御技术
当个节点拒绝服务攻击(不用)
分布式拒绝服务攻击
- 优化网络和服务结构
- 保护主机系统安全
- 安装入侵检测系统
- 与因特网服务商ISP合作
- 使用扫描工具
五、木马攻击防御技术
对木马的检测:
-
检测方法:端口扫描与连接检测
-
检测系统进程
-
检测
.ini文件,注册表和服务(开机启动,文件捆绑) -
监视网络通信流量(嗅探软件)
防范:
- 及时修补漏洞,补丁
- 及时发现清除
- 运行实时监控程序
- 培养风险意识
六、缓冲区溢出攻击防御技术
- 源码级保护
- 运行期保护方法(在程序运行过程中发现阻止缓冲区溢出攻击)
- 阻止攻击代码的执行(非执行的缓冲区技术:设置被攻击程序的数据段地址属性为不可执行,避免攻击)
- 加强系统保护(安装典型,服务管理,检测系统漏洞)
2805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
