*ARP地址解析协议(协议报文不是用IP数据报传送)
在OSI中数据链路层。TCP/IP中网络层。广播查询目标设备的MAC地址
查看ARP缓存表:
windows: 开始→运行→cmd→arp -a 添加数据:arp -s
linux: 终端→arp
*->ARP攻击(MAC地址绑定可防范/DHCP snooping+DAI技术)可进行正当重定向
嗅探:中间人攻击:发送一个 ARP Reply给主机B,把此包protocol header 里的sender IP设为A的IP地址, sender mac设为攻击者自己的MAC地址。
主机B收到ARP Reply后,更新它的ARP表,把主机 A的条目 (IP_A, MAC_A)改为(IP_A, MAC_C)。
DHCP snooping:
限定只有被指定的 DHCP 服务器才可被存取。
主机只有使用被指定 IP 的才能存取网络。
追踪主机的物理位置。
地址欺骗->不让远程主机响应发送的数据包
*Rootkit Hook(ps、netstat、w、passwd...)
通过修改内核数据结构来隐藏其他程序的进程、文件、网络通讯和其他相关信息(注册表和系统日志等)。通过修改操作系统的EPROCESS链表结构可以达到隐藏进程的效果,挂钩服务调用表可以隐藏文件和目录,挂钩中断描述符表则可以攻击者发送一个 ARP Reply给主机B,把此包protocol header 里的sender IP设为A的IP地址, sender mac设为攻击者自己的MAC地址。
主机B收到ARP Reply后,更新它的ARP表,把主机 A的条目 (IP_A, MAC_A)改为(IP_A, MAC_C)。监听键盘击键等。
*ring0/ring3
intel的x86处理器通过Ring级别来进行访问控制。共四层Ring0~3,windows只使用其中的两个级别Ring0(最高,可访问所有层数据。任务管理器)和Ring3(最低,只能访问Ring3层数据)。在DOS下,内核、驱动和应用程序都运行在Ring3(然而,这也是保护模式驱动和DOS扩展专用的级别。实模式的操作系统没有有效的保护措施),而像EMM386这样的386内存管理程序运行在Ring 0。
*DNS欺骗
攻击者冒充域名服务器,向主机提供错误DNS信息,使用户访问到攻击者ip上的同一域名的网址。*IP欺骗
伪造数据包包头,使显示的信息源不是实际来源。核心是获得TCP序号(确认来自于已建立的连接)。防御:强口令/完善交互协议
ISN约每秒增加128000,如果有连接出现,每次连接将把计数器的数值增加64000。黑客为了进行IP欺骗,要进行以下工作:使被信任关系的主机失去工作能力,同时采样目标主机发出的TCP序例号,猜测出它的数据序例号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。cat‘++’>>~/.rhosts。当/etc/hosts.equiv中出现一个“+”或者$HOME/.rhosts中出现“++”时,表明任意地址的主机可以无须口令验证而直接使用r命令登陆此主机。
1、首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰。
2、然后连接到目标机的某个端口来猜测ISN基值和增加规律。
3、接下来把源址址伪装成被信任主机,发送带有SYN标志的数据段请求连接。
4、然后等待目标机发送SYN+ACK包给已经瘫痪的主机,因为你现在看不到这个包。
5、最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的ISN+1。
6、连接建立,发送命令请求。
*tracert(到达目标网络IP需要经过哪些路由器的IP)
trace route,Linux下为tracepath。通过增加TTL实现。程序发出的首3个数据包TTL值是1,之后3个是2,如此类推,它便得到一连串数据包路径。主叫方首先发出TTL=1的UDP数据包,第一个路由器将TTL减1得0后就不再继续转发此数据包,而是返回一个ICMP逾时报文,主叫方从逾时报文中即可提取出数据包所经过的第一个网关地址。然后又发出一个 TTL=2 的 UDP 数据包,可获得第二个网关地址,依次递增 TTL 便获取了沿途所有网关地址。
利用了UDP数据包的Traceroute程序在数据包到达真正的目的主机时,就可能因为该主机没有提供UDP服务而简单将数据包抛弃,并不返回任何信息。
为了解决这个问题,Traceroute故意使用了一个大于30000的端口号,因UDP协议规定端口号必须小于30000,所以目标主机收到数据包后唯一能做的 事就是返回一个“端口不可达”的 ICMP 报文,于是主叫方就将端口不可达报文当作跟踪结束的标志。
*nslookup(域名扫描器)
查看域名信息。*net user username password /add #添加账号
net localgroup administrators username /add #加入到系统管理员*若软盘上存放有文件和数据,且没有病毒,则只要将该软盘写保护就不会染上病毒
*计算机蠕虫
比一般计算机病毒危害大,不利用文件来寄生。不用使用者介入操作也能自我复制或执行。对网络有害。*自主计算机/主从计算机/计算机
*DOS攻击
网络异常缓慢(打开文件或访问网站)特定网站无法访问
无法访问任何网站
垃圾邮件的数量急剧增加
无线或有线网络连接异常断开
长时间尝试访问网站或任何互联网服务时被拒绝
*DDos攻击
利用中间代理。防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。
*ICMP floods
通过向未良好设置的路由器发送广播信息占用系统资源的做法。*teardrop
利用TCP/IP协议在重组重叠的IP分组分段的缺陷进行攻击,捏造位移信息。属于Dos攻击。*SYN flood
通过对TCP三次握手过程进行攻击来达到消耗目标资源的目的。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。专门利用发送系统和接收系统间的三向信号交换。*ping of death
利用ICMP协议在处理大于65535字节ICMP数据包时的缺陷进行攻击,产生超过IP协议能容忍的数据包数。*Land攻击
利用大量终端同时对目标机进行攻击的分布式拒绝服务攻击。这种攻击方式与SYNfloods类似,不过在LANDattack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环。
*CC攻击
使用代理服务器向受害服务器发送大量貌似合法的请求(通常使用HTTP GET)。CC(攻击黑洞)根据其工具命名,攻击者创造性地使用代理机制,利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。
*ICMP(互联网控制消息协议)
该协议是TCP/IP协议集中的一个子协议,IP报头的第160位开始,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。ping/tracert都是基于ICMP。TTL值过期即发送ICMP消息。
*UDP(用户数据报协议)
不需要应答,ipv4,ipv6,不可靠。在TCP/IP模型中,UDP为网络层以上和应用层以下提供了一个简单的接口。UDP只提供数据的不可靠传递,它一旦把应用程序发给网络层的数据发送出去,就不保留数据备份。UDP在IP数据报的头部仅仅加入了复用和数据校验(字段)。*RPC服务(远程过程调用,端口135)漏洞
基于WINNT内核。通过向受害者发送畸形数据包,导致RPC服务进程崩溃,因为许多应用服务程序都依赖于它,就造成这些应用程序服务的拒绝服务,然后就可以通过135端口来提升权限或获得DCOM客户端认证的信息。*TCP session hijacking(会话劫持)
*Linux用户登录日志
lastlog 最近几次成功登陆和最后一次不成功登陆utmp 当前登录用户的有关信息
wtmp 用户登录和退出的有关信息
btmp 记录错误登录
保存密码文件/etc/shadow
和/etc/passwd的区别:shadow只root可读,只包括密码信息,密码和账户修改时间信息。passwd包括用户信息,不包含密码,包括组、家目录等。*EFS加密
Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存。基于公钥策略。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。*SAM数据库(安全账户管理器)
负责SAM数据库的控制和维护,是Windows系统账户管理的核心且非常系统化。SAM数据库位于注册表编辑器的HKEY_LO CAL_MACHINE\SAM分支下,受到 ACL保护。SAM数据库在磁盘上就保存在"C:\WINDOWS\system32\config"文件夹下的SAM文件中,SAM记录的数据很多,包含所有组、账户的信息、密码HASH、账户的SID等。该文件在系统运行时受操作系统的保护,因此,即便是超级用户也无法直接打开它。
*X86汇编代码中 retn和ret的关系
retn先进行esp+n操作,ret无此操作*主机开放端口
邮件服务器:25/110文件服务器:2433
web服务器:80
DNS服务器:UDP53
rlogin:513