本文共 7126 字,大约阅读时间需要 23 分钟。
第一章 概述 第二章 信息收集 第三章 网络隐身 第四章 网络扫描 第五章 网络攻击 第六章 网络后门及痕迹清除 第七章 访问控制与防火墙 第八章 入侵防御
思维导图在下载资源,需要自行下载第一章 概述
网络安全体系
物理层系统层网络层应用层管理层
物理层安全
物理环境的安全性 {通信线路的安全、物理设备的安全、机房的安全} 防范措施:防盗、防火、防静电、防雷击系统层安全
操作系统的安全性 {整个网络与计算机系统的安全基础} 防范措施:及时修复系统漏洞、防止系统的安全配置错误、防止病毒对系统的威胁网路层安全
网络系统的安全性 {身份认证、访问控制、数据传输的保密性和完整性、路由系统的安全性、入侵检测} 防范措施:身份认证
确定操作者的身份的过程
确定用户是否具有对某种资源的访问和使用权限
访问控制
防止非法主体进入受保护的网络资源
允许合法用户访问受保护的网络资源
防止合法用户对受保护的网络资源进行非授权访问
数据传输的保密性和完整性
路由系统的安全
给路由器打上漏洞补丁,根据安全策略检测路由的安全配置
路由信息传输的安全:保证信息的保密性和完整性,防止攻击者发送和传播伪造路由
入侵检测
收集和分析网络行为、安全日志
检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象
提供对内部攻击、外部攻击和误操作的实时保护
防病毒技术
依靠庞大的网络服务、实时进行采集、分析以及分析
通过大量客户端对网络中软件行为的异常检测,获取病毒的最新信息
应用层安全
网络系统应用软件和数据库的安全性 {WEB安全、DNS安全、邮件系统的安全}WEB安全
考虑HTTP协议的安全性
DNS安全
伪造虚假的DNS应答给DNS查询方,将用户引导到错误的站点
防御Dos攻击:备份域名服务器、最小权限原则、最少服务
邮件系统安全
直接攻击:窃取邮箱密码
间接攻击:将恶意代码放在邮箱附件中或者伪造网页和链接
管理层安全
技术和设备的管理、管理制度、部门与人员的组织规则网络攻击的基本流程
信息收集网络隐身端口与漏洞扫描攻击实施设置后门清除痕迹信息收集 通过各种方式获取目标主机或网络的信息,属于攻击前的准备阶段
网络接入方式:拨号接入、局域网接入、以太网接入、VPN接入
目标网络信息:域名范围、IP地址范围、具体地理位置 网络拓扑结构:交换设备类型、设备生产厂家、传输网络类型 网络用户信息:邮件地址范围、用户账户密码收集方式:搜索引擎、whois工具收集域名和地理信息、netdiscover查询主机的IP地址范围、dig工具查询域名空间、使用社会工程学手段获得有关设备信息
网络隐身
在网络中隐藏自己的真实IP地址,使受害者无法反向追踪到攻击者IP假冒或盗用
TCP/IP协议不检查源IP地址,修改IP地址绕过访问控制黑名单,修改IP地址绕过访问控制黑名单
MAC地址盗用
修改自身主机的MAC地址为允许访问的MAC地址
代理隐藏
通过免费代理进行信息收集,通过多个代理级联
冒充真实用户
监听或破解用户账号和口令
僵尸机器
入侵僵尸主机,并通过该主机进行攻击
端口与漏洞扫描端口扫描
检测有关端口是否打开还是关闭
判定目标端口运行的服务类型和版本信息
识别不同操作系统的类型和版本
漏洞扫描{基于已有漏洞数据库,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的一种安全检测(渗透攻击)行为}
专用的漏洞扫描工具Openvas
WEB应用程序的漏洞扫描如Nikto
攻击实施
攻击者检测到漏洞后,利用漏洞破解程序即可发起入侵或破坏性攻击设置后门
清除痕迹
成功获取访问权后,必须清除所有痕迹,防止被管理员发现网络防御基本技术
信息加密访问控制防火墙入侵检测恶意代码防范安全审计与查证
信息加密
网络安全核心技术和传输安全的基础访问控制系统
主体:发出访问操作和存取要求的主动方,用户或进程 客体:主体试图访问的资源 安全访问机制:一套规则,确定主体是否对客体拥有访问能力 防火墙 在不同网络间对网络流量或访问行为实施访问控制的一系列安全组件 基本条件:主要功能
入侵检测
对行为、安全日志、审计数据或其它网络上获得得信息进行操作 检测到对系统得入侵或入侵企图,并及时采取行动组织入侵 主要功能:恶意代码防范
一种在一定环境下可以独立执行的指令或嵌入到其它程序中的代码安全审计与查证
实时收集和控制网络各组件的安全状态和安全时间,以便集中报警、分析和处理第二章 信息收集
域名和IP收集的基本命令,涉及到的原理
//列出域的所有详细信息host -a www.baidu.com dig www.baidu.com any//显示主机IPv4地址记录,主机别名记录host www.baidu.comdig www.baidu.com //列出域的邮件服务器地址host -t mx www.baidu.comdig www.baidu.com mx//子域名枚举dnsenum [-r] [-f /usr/share/dnsenum/dns.txt] 域名
原理:
域名查询原理
得到主域名信息之后,如果能通过主域名得到所有子域名信息,再通过子域名查询其对应的主机IP,这样就得到有关主域的较完整信息
ICMP搜索
ICMP搜索即根据自身所在主机的IP地址和网段,发送ICMP ECHO请求给网段中所有可能主机IP,根据主机A记录的IP地址,对IP地址所在网段执行反域名查询
ARP搜索
ARP地址解析协议,根据IP地址获取物理地址的一个TCP/IP协议,主机发送信息时包含目标的IP地址的ARP请求广播到网络上所有主机,并接收返回消息,以确定目标的主机地址
TCP/UDP查询
可以向目标发送带有SYN标记的TCP报文,根据三次握手原则,当目标返回ACK或RST报文,即可判断对方在线
发送带有ACK标记的TCP报文,无论端口是否打开,只要主机在线,都会返回RST报文
发送空的UDP报文,如果目标主机相应端口关闭,返回ICMP端口不可达
拓扑确定的基本方法和命令
traceroute [-4] { -I|-T|-U}[-w等待时间][-p端口][-m最大跳数]
基本方法:利用traceroute和tracert跟踪从出发点前往目标的路由路径来构建目标网络的拓扑结构
TTL每经过一跳路由转发,就会减1,减到哦,将不会转发报文,根据源到目标的每个IP地址,在对目标网络的多台主机实施路由跟踪后,就可以集合这些路径信息,绘制目标网络的拓扑结构,并识别出网关以及各个访问控制设备的分布位置
网络监听的原理及常见工具
原理:一种被动的信息收集方法,往往不会被目标所察觉。捕获网络上传输的数据并进行分析,以达到未经授权获取信息的目的。实现监听的最佳位置是网关、路由器和防火墙等网络的关键节点常见工具:
Wireshark、Sniffer Pro第三章 网络隐身
IP欺骗实现的基本过程
MAC地址欺骗的常用方法
反向代理的基本原理
相当于实际服务器的前端,通常用于保护和隐藏真正的目标服务器第四章 网络扫描
端口扫描常见技术的原理
全连接半连接FINACK
端口打开
返回带有一个SYN/ACK的标记的报文 端口关闭 直接返回RST 端口受防火墙保护 不会返回任何状态报文SYN扫描
端口处于打开状态
返回SYN/ACK标记的报文 端口关闭状态 目标返回RST 受防火墙保护 不会返回任何报文 IP头部Dumb扫描 A冒充B发出连续的ICMP请求报文,查看报文中IP头部的ID信息端口打开
返回SYN/ACK端口关闭
返回RSTA从B返回的ICMP应答报文的IP头部的ID信息中可以观察到
C关闭,则ID信息按顺序加1 C打开,则ID信息不是按1递增 FIN扫描 不依赖TCP的三次握手,而是TCP的FIN标记端口关闭
返回RST标记的报文 端口打开或被防火墙保护 不会返回任何报文 ACK 没有防火墙,无论端口是否打开,都会返回RST报文没有收到报文,则表示收到防火墙保护
也可以检测目标主机是否在线,在线主机会返回RST报文
服务扫描的原理及常见工具
针对不同服务使用的协议类型,发送相应的应用层协议的探测报文,检测返回报文的信息telnet工具,访问HTTP、TELNET等TCP服务端口,通过旗标(banner)信息推断服务的版本和类型
rpcinfo工具操作系统扫描原理及攻击
一种可以探测目标操作系统类型的扫描技术,协议栈指纹识别 根据各个操作系统实现的协议栈细节不同对目标发出一系列探测报文
每种系统对各个探测报文都有其独特的响应方式,根据响应方式确定目标系统的类型 常用指纹:FIN、TCP ISN弱口令扫描的原理和方法
从算法本身去破解口令的散列值,对口令进行正向猜测扫描工具:hydra执行弱口令扫描器
常见的web漏洞及其特点、常见的web漏洞扫描工具
web扫描工具:Accunetix
第五章 网络攻击
暴力口令破解的原理及加速措施
获取经过散列算法单向加密口令,然后采用口令字典或者穷举口令字符空间的方式对加密的口令进行离线破解加速措施:彩虹表攻击,存储部分明文和口令散列的对应关系
常见的中间人攻击方法
首先截获通信双方的数据,,然后篡改数据进行攻击截获数据方式:
局域网攻击:站表溢出
表项通过学习帧的源地址获得,当交换机在站表中无法找到帧的目标地址时,会广播该帧ARP欺骗
通过伪造IP地址与MAC地址的映射关系实现一种欺骗攻击DHCP欺骗
端口反向连接原理
防火墙通常对进入到内网的报文具有严格的过滤策略,但很少检测从内网发出的报文,端口反向连接就是利用防火墙配置的疏忽,目标主机主动发起向远端控制者的连接分布式拒绝攻击的原理、症状及防御方案
攻击者利用系统及协议漏洞大量消耗网络带宽及系统资源,使得合法系统用户无法及时得到服务和系统资源带宽攻击:攻击者使用大量垃圾数据流
协议攻击:利用网络协议的设计和实现漏洞进行攻击 逻辑攻击:利用目标系统或服务程序的实现漏洞发起攻击,消耗CPU和内存资源症状:
防御方案:基于主机的入侵检测系统
第六章 网络后门及痕迹清除
开放连接端口的基本方法
Windows系统攻击后可能存在痕迹有哪些?对应清除方法
对应清除方法
第七章 访问控制与防火墙
访问控制方法有哪些?
访问控制矩阵 访问控制列表 访问能力表 授权关系表 防火墙体系种类(包过滤、代理防火墙)及体系结构(单一包过滤防火墙、单穴堡垒防火墙、双穴堡垒主机结构、屏蔽子网结构)包过滤防火墙
工作在网路层,对用户透明,分为无状态和有状态两种无状态包过滤防火墙
基于单个IP报文进行操作,每个报文都是独立分析的 默认规则: 一切未被允许都是禁止的 一切未被禁止都是允许的 规则特征: TCP、UDP、ICMP、IGMP无状态包过滤防火墙
相当于传输层和应用层的过滤,最重要的是实现会话的跟踪功能 访问策略:包过滤防火墙基于IP头部信息进行过滤,而这些信息都可以伪造
代理防火墙
更好的安全机制,允许客户端通过代理与网络服务进行非直接的连接 单一包过滤防火墙 最简单的基于路由器的包过滤防火墙 防火墙上通常结合了网络地址转换(NAT)、路由器和包过滤的功能 路由器被入侵,则整个内部网络将受到威胁 单穴堡垒主机结构 堡垒主机实际上扮演代理防火墙的角色,单穴堡垒主机仅有一个接口 双穴堡垒主机结构 无需防火墙做规则配置即可迫使内部网络与外部网络的通信经过堡垒主机Windows系统下个人防火墙的设置
包过滤防火墙结合操作系统的访问控制实现对于主机的防护 基本配置: 入站规则和出战规则网络设备的ACL命令及Linux系统下的iptables命令实施访问控制
access-list 1 deny 172.16.4.0 0.0.0.255thaccess-list 1 permit anyinterface eth 0ip access-group 1 out
access-list 101 permit tcp any any eq 21 establishedaccess-list 101 perimit tcp any any eq 20establishedaccess-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any anyinterface eth 1ip access-list 101 in
第八章 入侵防御
入侵防御系统的工作过程
信息收集 数据分析 结果响应入侵防御系统数据分析技术
数据挖掘和模式识别技术入侵防御系统的分类
基于主机的HIPS和基于网络的NIPS不同种类入侵防御系统的信息收集的来源
转载地址:http://bjwki.baihongyu.com/