网络攻击与防范—术语和工具介绍

前言

对安全感兴趣的，可以了解以下的的基础知识，但想成为一名白帽子or黑客，还需要多动手，对基础知识和计算机底层进行深入学习。
可以先从使用工具开始，做一个Script kiddie。

1、Botnet/Zombie/bot/肉鸡

BotNet（僵尸网络）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
Zombie被安装了恶意Bot或其它可以恶意远程控制程序的计算机（僵尸计算机）
bot（僵尸程序）可以自动地执行预定义的功能、可以被预定义的命令控制，Bot不一定是恶意的，但在僵尸网络中的Bot都是设计用来完成恶意功能的。
肉鸡也称傀儡机，是指可以被黑客远程控制的机器。电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情。

2、/etc/issue

/etc/issue文件是Linux系统开机启动时在命令行界面弹出的欢迎语句文件。使得攻击者更容易辨别目标类型从而精准攻击。

3、/etc/passwd(shadown)

在该文件中，每一行记录了用户的各个属性，有：注册名：口令：用户标识号：组标识号：用户名：用户主目录：命令解释程序
shadown存放用户密码文件，每个用户的密码加密后存放在此目录

4、/etc/services

/etc/services文件是记录网络服务名和它们对应使用的端口号及协议。

5、0day

信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息，后来将一些大规模、致命性、高威胁性、能够造成巨大破坏的漏洞也称为零日漏洞。在未修补之前，用户的系统非常危险。
美国曾用0day漏洞打击了伊朗的核计划。

6、74/75破解方法

在汇编指令中，jz 表示若相等就跳转（机器码74）。jnz是若不相等就跳转（机器码75）
在破解中常将74换成75，比如在输入密码是，可能是判断密码正确就jz，但是我们输入的都猜不着，就会顺序执行到错误的出口，如果我们把改成jnz，那么输入一个错误密码就能跳转到正确出口，登录成功。

7、ASLR(Address space layout randomization)

地址空间布局随机化。ASLR 技术在 2005 年的 kernel中被引入到Linux系统，它将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度，从而降低进程被成功入侵的风险。

8、BOF和heap spray

buffer over flow（缓冲区溢出）BOF表示当前的指针是指在了数据集的前面，比如数据集里面有编号为1，2，3，4的4条记录，但是指针指向的编号是-1 已有的栈溢出堆溢出攻击方法，大部分已经很难利用了，Heap Spray（堆喷射）是向系统申请大量内存，并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流，使得程序执行到堆上，最终将导致shellcode的执行。

9、.bash_history

是linux系统中用户目录下的bash文件。
保存了当前用户使用过的历史命令,方便查找，但也暴露了用户之前使用的命令

10、CTF

中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.
CTF有答题和攻防两种形式。答题一般有六个方向：MISC, WEB, PWN, REVERSE, CRYPTO,MOBILE。

11、CVE

CVE 的全拼是Common Vulnerabilities and Exposures，意思是通用漏洞披露，用来表示一种漏洞的特定编号。其一般组成结构是 CVE-年份-编码号，比如上图的CVE-2020-15999，意思是2020年发现的一个安全漏洞，编码号是15999。

12、Cookie和cookie欺骗

cookie机制是在浏览网页的时候，服务器将你的登录信息，浏览信息等发送给客户端并保存一定的时间。当你下一次访问这个网站的时候，就能读取上一次你的记录。
例如自动登录等。很多的网站都是由cookie来辨认登录者的信息。它可以起到登录验证的作用，从而存在了漏洞，可以绕过验证直接登录到后台。要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。

13、DEP(Data Execution Prevention)

数据执行保护，简称“DEP”，英文全称为“Data Execution Prevention”，是一组在存储器上运行额外检查的硬件和软件技术，有助于防止恶意程序码在系统上运行。

14、DLL注入

DLL注入技术，一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库（DLL）的形式存在。
DLL注入共四个步骤：
(A)附加到目标/远程进程
(B)在目标/远程进程内分配内存
©将DLL文件路径，或者DLL文件，复制到目标/远程进程的内存空间
(D)控制进程运行DLL文件
所有这些步骤是通过调用一系列指定的API函数来完成的。

15、DNS over HTTPS

我们访问一个网站时必须通过DNS服务器才能将域名转换成IP地址。但是老旧的DNS技术一直没有重大的改进，它的数据传输没有经过加密，这导致DNS查询的数据很容易被收集、阻止和更改，我们熟悉的域名劫持就是利用了其未加密的特征。
那如何解决呢？2016年，谷歌公司启用了DNS Over HTTPS 域名安全查询服务，它提供了DNS请求的端到端验证，可以对DNS请求和响应进行加密，也就是说它可以防止用户的数据遭到泄露，那么域名劫持的问题也在该项技术的应用下迎刃而解了。

16、DVM/smali

Dalvik虚拟机（DVM）存在于Android系统，Dalvik 基于寄存器，而 JVM 基于栈。
Smali是用于Dalvik的反汇编程序实现，汇编工具为smali.jar。

17、Data Loss/leak Prevention

数据泄露
怎么预防呢？ 定期更新库和软件以获取安全补丁；不要从应用程序层内部运行本机命令；仅打开通往外部世界的必要端口（80和443）；为管理员登录配置2要素身份验证；拥有入侵检测/预防系统；加密您的数据。

18、DDOS攻击

分布式拒绝服务攻击，DDoS攻击将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。通过大量的请求占用大量网络资源，以达到瘫痪网络的目的。
如大量采用TCP的洪水攻击。

19、GDPR

《通用数据保护条例》General Data Protection Regulation，是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范，涉及了欧洲境外的个人资料出口。
违反GDPR将面临高额罚款，GDPR也是以重罚为手段，试图倒逼企业完善个人数据保护的制度。

20、Honeypot

蜜罐技术（Honeypot）：是一种被侦听、被攻击或已经被入侵的资源。Honeypot并非一种安全解决方案，它只是一种工具，而且只有Honeypot受到攻击，它的作用才能发挥出来。
设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。管理员去完成可以根据蜜罐收集的证据来起诉入侵者

21、IDA

IDA是一款交互式反汇编工具。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编，IDA并不自动解决程序中的问题，但它会按用户的指令找到可疑之处，用户的工作是通知IDA怎样去做。

22、iptables命令

iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则，iptables 默认维护着 4 个表和 5 个链，所有的防火墙策略规则都被分别写入这些表与链中。
例如：iptables -A INPUT -s 192.168.109.10 -j DROP
拒绝192.168.109.10主机访问本服务器；

23、LLVM/Obfuscator-llvm

LLVM是lowlevel virtual machine的简称，是一个编译器框架。以C++编写而成，用于优化以任意程序语言编写的程序的编译时间、链接时间、运行时间以及空闲时间，对开发者保持开放，并兼容已有脚本。
LLVM-Obfuscator 是瑞士一个安全实验室针对LLVM编译组件开发的代码混淆工具，该工具完全开源，目的是为了增加逆向工程的难度，保证代码的安全性。

24、MD5

讯息摘要算法5（英语：MD5 Message-Digest Algorithm 5），一种被广泛使用的密码散列函数，可以产生出一个128位元的散列值，用于确保信息传输完整一致。
1.防止被篡改：2.防止直接看到明文：3.防止抵赖（数字签名）

25、Metasploit

是一款开源安全漏洞利用和测试工具，集成了各种平台上常见的溢出漏洞和流行的shellcode，并持续保持更新。
metasploit涵盖了渗透测试中全过程，你可以在这个框架下利用现有的shellcode进行一系列的渗透测试。
攻击载荷（Payload）是我们期望目标系统在被渗透攻击之后去执行的代码。
模块（Module），指Metasploit框架中所使用的一段软件代码组件，可用于发起渗透攻击或执行某些辅助攻击动作。
监听器（Listener）是Metasploit中用来等待网络连接的组件。

26、Objdump

objdump命令是Linux下的反汇编目标文件或者可执行文件的命令，它以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息。

27、Ollydbg

Ollydbg（简称OD）是Windows平台下的程序调试利器。程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前，用手工或编译程序等方法对程序源代码进行测试，来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中，来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展，程序调试已经成为信息安全爱好者所必备的一种技术。
OD结合了静态调试和动态调试的方法，功能强大。

28、PGP

(Pretty Good Privacy)，是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。 PGP 并没有使用什么新的概念，它只是将现有的一些算法如 MD5，RSA，以及 IDEA 等综合在一起而已。 它可以提供一种安全的邮件通讯方式.

29、RSA算法

一个公钥加密算法，基于数论中大整数分解非常难的事实，步骤如下：
(a)选取两个大素数p和q，
(b)n=pq
©计算 φ(n)=(p-1)(q-1)，这里的φ是欧拉函数
(d)随便选一个e与φ(n)互质，且1<e<φ(n)
(e)由公式ed mod φ(n) =1 ，得到d
(f)公钥为（e,n)，私钥为（d,n）

30、Rootkits/Kernel-Mode Rootkits

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，Rootkit一般都和木马、后门等其他恶意程序结合使用。它可以持久并毫无察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据的程序。Rootkit的三要素就是：隐藏、操纵、收集数据。
Rootkits病毒主要分为两大类：第一种是进程注入式Rootkits，它通常通过释放动态链接库（DLL）文件，并将它们注入到可执行文件及系统服务进程中运行，阻止操作系统及应用程序对被感染的文件进行访问。
第二种Rootkits技术比较复杂，在系统启动时Rootkits病毒以加载驱动程序的方式，先于杀毒软件被装入系统，得到合法的操作系统控制权。
第一个例子出现的现象是操作系统能够正常运行。 第二个例子情况更加严重一些，系统在进入桌面后即出现蓝屏.

31、Script kiddie

脚本小子（scriptkiddie）是一个贬义词，用来描述：以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞，他们通常使用别人开发的程序来恶意破坏他人系统。

32、Shellcode

漏洞利用中必不可缺的部分就是shellcode，shellcode能在极小的空间内完成一些基本而重要的工作。Shellcode实际是一段代码，是用来发送到服务器利用特定漏洞的代码。另外，Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心。
Shellcode编写方式基本有3种：
直接编写十六进制操作码（不现实）；
采用像C这样的高级语言编写程序，编译后，进行反汇编以获取汇编指令和十六进制操作码。
编译汇编程序，将该程序汇编，然后从二进制中提取十六进制操作码。

33、Snort

是一个入侵检测系统，Snort已发展成为一个多平台,实时流量分析，网络IP数据包记录等特性的强大的网络入侵检测/防御系统.

34、Sql注入

Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中，再在后台 Sql 服务器上解析执行进行的攻击，它目前黑客对数据库进行攻击的最常用手段之一。
比如的登录的时候输入0’or 1#，或者1=1这类语句。

35、buffer/stack overflow

缓冲区(Buffer)就是在内存中预留指定大小的存储空间用来对I/O的数据做临时存储，这部分预留的内存空间叫缓冲区。
栈溢出一般都是堆栈内存不够，有几种情况。
情况一：递归次数过多，解决办法用循环代替
情况二：创建的局部变量过多，改全局or传入引用
情况三：数组开的过大，关键字New动态分配
可以将shellcode放在缓冲区开头，然后通过覆盖返回地址跳转至shellcode.

36、TCP SYN Scans/SYN Flood

扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root权限。
洪水攻击：TCP需要三次握手才能建立连接。于是出现了对于握手过程进行的攻击。攻击者发送大量的SYN包，服务器回应(SYN+ACK)包，但是攻击者不回应ACK包，这样的话，服务器不知道(SYN+ACK)是否发送成功，默认情况下会重试5次。这样的话，对于服务器的内存，带宽都有很大的消耗。攻击者如果处于公网，可以伪造IP。

37、TOR/隐秘网络通信

做网络攻防，都希望能隐藏自己的真实ip地址，让对方无法精准定位找到自己。最常见的方式就是代理，TOR使用了三个代理节点.可以做到隐秘网络通信

38、Traceroute

路由跟踪traceroute是用来检测发出数据包的主机到目标主机之间所经过的网关数量的工具。traceroute的原理是试图以最小的TTL（存活时间）发出探测包来跟踪数据包到达目标主机所经过的网关，然后监听一个来自网关ICMP的应答。发送数据包的大小默认为38个字节。

39、VPN

虚拟专用网络，虚拟专用网络(VPN)的功能是: 在公用网络上建立专用网络,进行加密通讯.
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问

40、Whois

一个网站在正式发布之前，需要向有关机构申请域名。
申请到的域名信息将保存在域名管理机构的数据库服务器中，并且这些域名信息常是公开的，任何人都可以查询。然而正是这个域名信息暴露给攻击者许多敏感信息。
whois（读作“Who is”，非缩写）是用来查询域名的IP以及所有者等信息的传输协议。

41、Worm

蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。可以自我复制。
比如熊猫烧香就是经典的蠕虫病毒。

42、WriteProcessMemory

WriteProcessMemory是计算机语言中的一种函数。此函数能写入某一进程的内存区域，故需此函数入口区必须可以访问，否则操作将失败。可以用于进程注入

43、docker

Docker 是一个开源的应用容器引擎，基于 Go 语言 并遵从 Apache2.0 协议开源。
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。
容器是完全使用沙箱机制，相互之间不会有任何接口,更重要的是容器性能开销极低。
如果要从事安全行业，实验环境的搭建是必须的，选择有多种，VMware和Docker是最常见的两个。Docker占用资源少，弥补了VMware几乎所有的缺点。

44、heartbleed

SSL 是安全套接层 (Secure Sockets Layer) 的缩写，是一个安全标准，支持信息在用户与服务之间安全传递，确保信息免遭第三方截获。
　　如果要使 SSL 发挥作用，计算机需要与服务器进行通信。为此，它会发送称为“heartbeat”(心跳)的信息。heartbeat 所做的就是向服务器发送特定信号以确定服务器是否联机。如果服务器联机，它会向计算机发送回该信号，让用户可以尽享安全的通信。计算机和服务器会定期发送 heartbeat 以确定用户和服务器没有脱机。
Heartbleed 会向服务器发送恶意 heartbeat，以此来“恶搞心跳”。实质上是“诱骗”服务器向发送该恶意 heartbeat 的用户传回一个随机内存块，其中可能包含一组地址、用户名和密码。令人担忧的是，这些凭据中的一些可能属于管理该服务器的公司。这就为黑客提供了一种通过互联网访问和窃取信息的途径。

45、ntop/ntopng

Ntop是一种监控网络流量工具，用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。Ntop甚至可以列出每个节点计算机的网络带宽利用率。
Ntopng的前身是Ntop，Ntop在更新到5.x版本后就停止更新了，官方推出替代产品Ntopng。Ntop是一款可以监控大型网络、并分析局域网内每台主机及端口网络状态的网络管理系统。

46、robots/robots.txt

Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”，网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。
robots.txt文件是一个文本文件，是放置在网站根目录下，使用任何一个常见的文本编辑器就可以创建和编辑它。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件，其主要的作用就是告诉蜘蛛程序在服务器上什么文件是可以被查看的。

47、socat

socat是一个多功能的网络工具，名字来由是” Socket CAT”，可以看作是netcat的加强版

48、ssh -D/ssh -L/ssh -R

ssh 命令除了登陆外还有三种代理功能：
正向代理（-L）就是在本地启动端口，把本地端口数据转发到远端。
反向代理（-R）就是让远端启动端口，把远端端口数据转发到本地。
socks5 代理（-D）在 HostA 的本地 1080 端口启动一个 socks5 服务，通过本地 socks5 代理的数据会通过 ssh 链接先发送给 HostB，再从 HostB 转发送给远程主机：

49、tcpdump/windump/Wireshark

unix系统下有个tcpdump的抓包工具，非常好用
在windows下也有一个类似的工作，叫windump(是一款绿色小软件)，可以方便的根据需要进行抓包。
WireShark是非常流行的网络抓包分析工具，可以截取各种网络数据包，并显示数据包详细信息。

50、honeypot/T-pot

蜜罐技术:本质上是一种对攻击者进行欺骗技术，通过布置一些作为诱饵的主机、网络服务或信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析
T-pot是一个开源多蜜罐平台，还提供了良好的可视化。

51、wget

Linux系统中的wget是一个下载文件的工具，它用在命令行下。对于Linux用户是必不可少的工具，我们经常要下载一些软件或从远程服务器恢复备份到本地服务器。wget支持HTTP，HTTPS和FTP协议，可以使用HTTP代理。

52、靶机

网络安全中，靶机就是指一个存在漏洞的系统。
很多平台用不同的代码复现了很多真正业务系统中存在的安全漏洞，把这些做成了一个一个的环境，你只要开启相对应的环境，就能給你生成一个相应的带有漏洞环境的靶机，你可以使用直接的电脑上的工具对靶机进行攻击等操作。

53、爆破如74/75方法

比较常见的是POST提交的暴力破解。这个暴力破解主要依靠三部分，工具，字典，网速。
1.je/jne/jz/jnz修改为jmp，无条件跳转。
2.je/jne/jz/jnz修改为nop，使这个跳转无效失去作用。

54、端口漏洞扫描

扫描器分为端口扫描器和漏洞扫描器。
端口扫描的原理其实非常简单，自私简单的利用操作系统提供的connect()系统调用，与目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()能够成功，否则，这个端口是不能用的，就是没有提供服务。
连接目标主机的TCP和UDP端口，确定哪些服务正在运行即处于监听状态的过程，找出主机上所有开放的网络服务。
漏洞扫描工具扫描目标主机中可能大量已知的漏洞，如果发现潜在漏洞可能，就报告扫描者。

55、防火墙

它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。
1、软、硬件形式分类：软件防火墙、硬件防火墙、芯片级防火墙。
2、防火墙技术分类：包过滤型防火墙、应用代理型防火墙 。
3、防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。
4、防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。
5、防火墙性能分类：百兆级防火墙、千兆级防火墙。
6、防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙。

56、公钥/私钥/证书

公钥加密算法也叫非对称加密，会生成两个密钥，一个叫公钥可以公开，另一个是私钥，自己保留。
公钥证书（Public-Key Certificate，PKC)里面记有姓名、组织、邮箱地址等个人信息，以及属于此人的公钥, 并由认证机构（CA）施加数字签名。只要看到公钥证书，我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书。

57、后门

后门，是一个系统的作者故意留下的、只有作者自己知道的机关。
检测电脑有无后门有几个手段：
1.记录电脑的dns解析Log，因为域名一直在变，后门不断请求，dns记录会打出很多。
2.打开自己的杀毒软件，点开里面的流量监控，查看有没有很特殊的进程一直上传

58、加壳

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.
常见需求有：有一些版权信息需要保护起来，不想让别人随便改动；为了让程序小一点，从而方便使用（把可执行文件进行压缩使用）；在黑客界给木马等软件加壳以避免杀毒软件

59、跨站脚本攻击Xss

跨站脚本（Cross-site scripting，简称为：CSS, 但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，跨站脚本攻击缩写为XSS）是一种网站应用程序的安全漏洞攻击。
恶意攻击者往 Web 页面里嵌入恶意的客户端脚本，当用户浏览此网页时，脚本就会在用户的浏览器上执行，进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。

60、勒索病毒

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒，最通俗易懂的理解就是，黑客通过攻击你的系统，把你的重要文件用一把锁锁住，然后威胁你“一手交钱一手交货”。
运用到的密码学技术：这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

61、流量分析

网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

62、木马植入

如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。
一. 把自己伪装成一般的软件
二. 把自己绑定在正常的程序上面
如何隐藏自己呢？
一、使用rootkit技术
二、加密数据
三、删除日志或者修改日志
四、在用户离开后才行动
五、入侵后将入侵的漏洞补上

63、入侵检测

一个重要的安全问题是由用户或软件引起的恶意的非法入侵。用户非法入侵可能采用的方式是在未经授权的情况下登录到计算机，也可能是已授权用户非法获取更高级别的权限或进行其权限以外的操作。软件非法入侵可能采取的方式有病毒，蠕虫或特洛伊木马程序等。
入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
入侵检测的作用：
监测并分析用户和系统的活动
核查系统配置和漏洞
对操作系统进行日志管理，并识别违反安全策略的用户活动
针对已发现的攻击行为作出适当的反应，如告警、中止进程等

64、弱口令

容易背破解的口令，比如：
空口令
口令长度小于8
口令为连续的某个字符（QQQQQQ）
账号密码相同（例：root：root）
口令纯数字（例：112312324234， 电话号）
口令纯字母（例：asdjfhask）
口令采用连续性组合（例：123456，abcdef，654321，fedcba）
服务/设备默认出厂口令
口令包含个人生日名字等敏感信息

65、社会工程

社会工程学：一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
黑客不仅仅使用IT技术来攻击目标，还常常结合社会工程学，比如钓鱼，色情网站，送钱链接等。

66、渗透Penetration Test

渗透测试：站在攻击者角度对目标系统进行的安全性测试过程。了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。
技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学。

67、数字签名

用私钥对消息加密可以看作是签名，接收者可以用公钥进行验签。
我们不必再对整个消息进行加密（即对消息签名），而是只要先用单向散列函数求出消息的散列值，然后再将散列值进行加密（对散列值签名）就可以了。

68、提权

提权就是通过各种办法和漏洞，提高自己在服务器中的权限，以便控制全局。
windos提权：我们可以使用systeminfo命令或者查看补丁目录，查看补丁记录，来判断有哪个补丁没打，然后使用相对应的exp进行提权。
数据库提权是指：通过执行数据库语句、数据库函数等方式提升服务器用户的权限。通常我们拿到webshell之后要去网站目录去找数据库连接文件，常在形如xxx.conf或conf.xxx文件中。

69、外挂

“外挂”的定义：外挂在英文里翻译成中文就是欺骗的意思，也就是说，欺骗或者修改某种程序(如：游戏服务器、程序网络服务器，单机游戏修改程序)的程序就叫外挂。
一类是将游戏中大量繁琐和无聊的攻击动作使用外挂自动完成。另一类是由外挂程序产生欺骗性的网络游戏封包，并将这些封包发送到网络游戏服务器，利用这些虚假信息欺骗服务器进行游戏数值的修改，达到修改角色能力数值的目的。

70、域名劫持

域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址（网站）的目的。
如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌 ，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。

71、字典攻击

在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表。

72、NULL

空值，可以引发很多错误，比如在数据库中。
一个有趣的例子是：有个美国加州的白帽黑客 Droogie，他的车牌也是相当的个性，是程序员都熟知的 NULL。他开车谨慎，拿到 NULL 车牌后第一年内，没收过罚单。后来他想在车管所网站上续期车牌，结果系统报错，应该提示他 NULL 是无效输入信息。后来，他有一次是真的违规停车，然后收到罚单了。但后续持续不断的有罚单寄到他家来，罚金总额超过了 12000 美元。当然了，违规者都不是他本人。为啥？因为车管所把那些抓拍不清楚的车牌，全部标记成 NULL 了。

73、拖库/撞库

拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取，一般这些敏感信息包括用户的账号信息、身份信息等。
撞库是黑客通过收集互联网已泄露的拖库信息，特别是注册用户和密码信息，生成对应的字典表，尝试批量自动登录其他网站验证后，得到一系列可以登录的真实账户。

74、APT攻击

高级可持续威胁攻击也称定向攻击。在APT攻击中，攻击者慧花几个月甚至更长时间对目标网络进行踩点，针对性地进行信息收集、目标网络环境探测、应用程序弱点分析、员工信息等等。具有明确的目的性和针对性，所以这种攻击成功率很高，它的危害也很高。

75、ARP欺骗

ARP，即地址解析协议，根据IP地址获取MAC地址的一个TCP/IP协议。
ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。
ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。