信息安全笔记
系统攻击技术 病毒,蠕虫和木马
计算机病毒:本质是一段指令或代码,不是完备的程序
特性:隐蔽性,潜伏性,传染性,破坏性
病毒结构
病毒分类(按宿主类型分类):引导型病毒,文件型病毒
引导型病毒:计算机启动需要一个系统引导区,病毒占用该区域,并将原本该区域的代码移到其他位置。开机时先执行病毒程序,然后才执行启动引导程序。病毒在计算机启动之前启动。
文件型病毒:病毒在文件执行之前执行
第一个“逻辑炸弹”:江民逻辑炸弹
第一个破坏硬件的病毒:CIH病毒。原理:改写ROM内容
宏病毒:
宏:在文档中自动实现某些功能的代码 特点:简单易于编写;可以感染普通文件
判断宏的好坏:
查看宏的存储位置,如果在本机文档是好的宏,如果在公用模板normal.dot大概率是宏病毒
U盘病毒:
U盘病毒由两部分组成:autorun.inf和sysanti.exe。前者是自启动的配置文件,会启动后者,后者起到病毒的效果。二者属性为系统文件,通常是隐藏的。
三种方法里,只有第一种可以完全防护
蠕虫:与病毒不同,是一个完整的程序。传播速度更快。
经典蠕虫有:红色代码,熊猫烧香,震荡波,勒索病毒
解决方法:
木马: 相比于病毒和蠕虫,传播速度慢
木马的分类:TCP木马(最早出现的木马),UDP木马,ICMP木马(能穿透防火墙)
有的木马需要宿主(小马),有的不需要(大马)
木马感染方式:恶意邮件,捆绑下载软件等
伪装成其他文件诱导用户点击运行
木马查杀方式:
1、netstat命令查找可疑进程
2、检查注册表
3、网络文件防篡改保护
黑客攻击
基本步骤:
一、踩点收集
方法:index of、whois服务、网络命令(ping,telnet等)
二、扫描漏洞
扫描器功能分类 技术分类
三、口令攻击
字典攻击:暴力破解。对应措施
绕开口令:
四、网络监听
网络监听工具又称为嗅探器
共享式以太网嗅探:
共享式以太网中:如果C要向D发消息。消息会在网络中传播,给所有声明自己是D的主机。因此一个主机只要想,就可以接收所有数据
监听者令自己的网卡工作于混杂模式(接收所有经过网卡的数据)即可。
交换式以太网嗅探:
交换式以太网中,交换机只会把信息交给属于接收方的分组。共享式中的方法就不管用了。于是有了ARP地址哄骗---窃听者不断向交换机声明自己是A、是B、是C……交换机会用新的主机分组信息替换旧的。因此交换机会误认为所有主机都在窃听者所在的组。
防范手段:
网络监听检查:某个主机的流量异常大,那就有问题
垃圾报文广播:?
虚假报文探测:给不存在的主机发报文,如果有主机接收,那就有问题
五、拒绝服务攻击dos
仿冒合法用户向主机发送大量服务请求,使之瘫痪
分布式拒绝服务攻击(d-dos):攻击者通过僵尸网络控制大量肉鸡向目标发起dos
六、社会工程攻击
社工库,人肉搜索
;
电子欺诈:短信诈骗,盗版网站
脱库攻击(SQL注入):导出网站数据库中的所有信息
找到允许设置外部参数的动态网站
期望网站和数据库在一个服务器上(负责攻击无效)
测试网站是否有漏洞
测试网站后台数据库的信息和表结构字段数
测试那些表字段显示在了网页上
SQL注入(手工注入或工具如sqlmap)
七、cookies盗窃
跨站脚本攻击(XSS)是一种针对动态脚本网站的攻击,目的是盗窃管理员的 session(存储在服务器)和coockies(存储在客户端)。不同的浏览器的session和coockies是不同的
攻击步骤:
目标网站插入恶意代码,将目标cookie弹出
自建服务器页面接收弹来的cookie
用支持cookie编辑的浏览器添加得到的cookie,访问目标网站,成为管理员
八、隐蔽身份
跳代理攻击:攻击者通过一系列的主机转发来发送恶意代码,使受害者难以跟踪。
深度代理攻击
广度代理攻击