本文共 7126 字，大约阅读时间需要 23 分钟。

网络安全与管理

第一章 概述

第二章 信息收集

第三章 网络隐身

第四章 网络扫描

第五章 网络攻击

第六章 网络后门及痕迹清除

第七章 访问控制与防火墙

第八章 入侵防御 思维导图在下载资源，需要自行下载

第一章 概述

网络安全体系

物理层系统层网络层应用层管理层

物理层安全

物理环境的安全性 {通信线路的安全、物理设备的安全、机房的安全} 防范措施：防盗、防火、防静电、防雷击

系统层安全

操作系统的安全性 {整个网络与计算机系统的安全基础} 防范措施：及时修复系统漏洞、防止系统的安全配置错误、防止病毒对系统的威胁

网路层安全

网络系统的安全性 {身份认证、访问控制、数据传输的保密性和完整性、路由系统的安全性、入侵检测} 防范措施：

• 身份认证

• 确定操作者的身份的过程

• 确定用户是否具有对某种资源的访问和使用权限

• 访问控制

• 防止非法主体进入受保护的网络资源

• 允许合法用户访问受保护的网络资源

• 防止合法用户对受保护的网络资源进行非授权访问

• 数据传输的保密性和完整性

• 路由系统的安全

• 给路由器打上漏洞补丁，根据安全策略检测路由的安全配置

• 路由信息传输的安全：保证信息的保密性和完整性，防止攻击者发送和传播伪造路由

• 入侵检测

• 收集和分析网络行为、安全日志

• 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象

• 提供对内部攻击、外部攻击和误操作的实时保护

• 防病毒技术

• 依靠庞大的网络服务、实时进行采集、分析以及分析

• 通过大量客户端对网络中软件行为的异常检测，获取病毒的最新信息

应用层安全

网络系统应用软件和数据库的安全性 {WEB安全、DNS安全、邮件系统的安全}

• WEB安全

• 考虑HTTP协议的安全性

• DNS安全

• 伪造虚假的DNS应答给DNS查询方，将用户引导到错误的站点

• 防御Dos攻击：备份域名服务器、最小权限原则、最少服务

• 邮件系统安全

• 直接攻击：窃取邮箱密码

• 间接攻击：将恶意代码放在邮箱附件中或者伪造网页和链接

管理层安全

技术和设备的管理、管理制度、部门与人员的组织规则

网络攻击的基本流程

信息收集网络隐身端口与漏洞扫描攻击实施设置后门清除痕迹

信息收集 通过各种方式获取目标主机或网络的信息，属于攻击前的准备阶段

网络接入方式：拨号接入、局域网接入、以太网接入、VPN接入

目标网络信息：域名范围、IP地址范围、具体地理位置 网络拓扑结构：交换设备类型、设备生产厂家、传输网络类型 网络用户信息：邮件地址范围、用户账户密码

收集方式：搜索引擎、whois工具收集域名和地理信息、netdiscover查询主机的IP地址范围、dig工具查询域名空间、使用社会工程学手段获得有关设备信息

网络隐身

在网络中隐藏自己的真实IP地址，使受害者无法反向追踪到攻击者

• IP假冒或盗用

• TCP/IP协议不检查源IP地址，修改IP地址绕过访问控制黑名单，修改IP地址绕过访问控制黑名单

• MAC地址盗用

• 修改自身主机的MAC地址为允许访问的MAC地址

• 代理隐藏

• 通过免费代理进行信息收集，通过多个代理级联

• 冒充真实用户

• 监听或破解用户账号和口令

• 僵尸机器

• 入侵僵尸主机，并通过该主机进行攻击

  端口与漏洞扫描

• 端口扫描

• 检测有关端口是否打开还是关闭

• 判定目标端口运行的服务类型和版本信息

• 识别不同操作系统的类型和版本

• 漏洞扫描{基于已有漏洞数据库，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的一种安全检测（渗透攻击）行为}

• 专用的漏洞扫描工具Openvas

• WEB应用程序的漏洞扫描如Nikto

攻击实施

攻击者检测到漏洞后，利用漏洞破解程序即可发起入侵或破坏性攻击

• 拒绝服务式攻击
• 获取访问权限
• 提升访问权限

设置后门

• 开放不安全的服务端口
• 修改系统配置
• 安装网络嗅探器
• 建立隐藏通道
• 创建具有root权限的虚假用户账号
• 安装批处理文件
• 安装远程控制木马
• 使用木马程序替换系统程序

清除痕迹

成功获取访问权后，必须清除所有痕迹，防止被管理员发现

• 清除登录日志和其它有关记录
• 隐藏上传的文件
• 修改系统时间造成日志数据紊乱
• 删除或停止审计服务进程
• 干扰入侵检测系统正常运行
• 修改完整性检测数据

网络防御基本技术

信息加密访问控制防火墙入侵检测恶意代码防范安全审计与查证

信息加密

网络安全核心技术和传输安全的基础

• 数据加密
• 消息摘要
• 数字签名
• 密钥交换
  访问控制
  基于身份认证、单机环境认证、网络环境认证、访问控制技术认证

访问控制系统

主体：发出访问操作和存取要求的主动方，用户或进程 客体：主体试图访问的资源 安全访问机制：一套规则，确定主体是否对客体拥有访问能力 防火墙 在不同网络间对网络流量或访问行为实施访问控制的一系列安全组件 基本条件：

• 内网和外网之间的所有数据流必须经过防火墙
• 只有符合安全策略的数据流才能进入防火墙
• 自身具有高靠性

主要功能

• 服务控制
• 方向控制
• 用户控制
• 行为控制

入侵检测

对行为、安全日志、审计数据或其它网络上获得得信息进行操作 检测到对系统得入侵或入侵企图，并及时采取行动组织入侵 主要功能：

• 识别常用入侵和攻击手段
• 监控并记录网络异常通信
• 鉴别对系统漏洞或后门得利用
• 实时对检测到的入侵进行报警
• 及时提供响应机制，组织入侵继续进行

恶意代码防范

一种在一定环境下可以独立执行的指令或嵌入到其它程序中的代码

• 基于特征的扫描技术
• 校验合法
• 沙箱技术

安全审计与查证

实时收集和控制网络各组件的安全状态和安全时间，以便集中报警、分析和处理

第二章 信息收集

域名和IP收集的基本命令，涉及到的原理

//列出域的所有详细信息host -a www.baidu.com dig www.baidu.com any//显示主机IPv4地址记录，主机别名记录host www.baidu.comdig www.baidu.com //列出域的邮件服务器地址host -t  mx www.baidu.comdig www.baidu.com mx//子域名枚举dnsenum [-r] [-f /usr/share/dnsenum/dns.txt] 域名

原理：

• 域名查询原理

• 得到主域名信息之后，如果能通过主域名得到所有子域名信息，再通过子域名查询其对应的主机IP，这样就得到有关主域的较完整信息

• ICMP搜索

• ICMP搜索即根据自身所在主机的IP地址和网段，发送ICMP ECHO请求给网段中所有可能主机IP，根据主机A记录的IP地址，对IP地址所在网段执行反域名查询

• ARP搜索

• ARP地址解析协议，根据IP地址获取物理地址的一个TCP/IP协议，主机发送信息时包含目标的IP地址的ARP请求广播到网络上所有主机，并接收返回消息，以确定目标的主机地址

• TCP/UDP查询

• 可以向目标发送带有SYN标记的TCP报文，根据三次握手原则，当目标返回ACK或RST报文，即可判断对方在线

• 发送带有ACK标记的TCP报文，无论端口是否打开，只要主机在线，都会返回RST报文

• 发送空的UDP报文，如果目标主机相应端口关闭，返回ICMP端口不可达

拓扑确定的基本方法和命令

traceroute [-4] {
   -I|-T|-U}[-w等待时间][-p端口][-m最大跳数]

基本方法：利用traceroute和tracert跟踪从出发点前往目标的路由路径来构建目标网络的拓扑结构

TTL每经过一跳路由转发，就会减1，减到哦，将不会转发报文，根据源到目标的每个IP地址，在对目标网络的多台主机实施路由跟踪后，就可以集合这些路径信息，绘制目标网络的拓扑结构，并识别出网关以及各个访问控制设备的分布位置

网络监听的原理及常见工具

原理：一种被动的信息收集方法，往往不会被目标所察觉。捕获网络上传输的数据并进行分析，以达到未经授权获取信息的目的。实现监听的最佳位置是网关、路由器和防火墙等网络的关键节点

常见工具：

Wireshark、Sniffer Pro

第三章 网络隐身

IP欺骗实现的基本过程

1. 使A停止工作
2. 猜测初始序列号
3. 建立欺骗连接
   

MAC地址欺骗的常用方法

• 软修改
• 网卡驱动从系统中读取地址信息，并写入网卡的硬件存储器
• win直接在网卡“配置-高级-网络地址”菜单修改
• Linux使用三条"ifconfig"命令完成地址修改任务
• 硬修改
• 修改网卡硬件ROM中存储的原有地址

反向代理的基本原理

相当于实际服务器的前端，通常用于保护和隐藏真正的目标服务器

• 客户主机不知道代理主机的存在
• 直接向目标发起请求
• 代理主机根据预定义的映射关系向目标服务器转发请求

第四章 网络扫描

端口扫描常见技术的原理

全连接半连接FINACK

• 全连接扫描
• 调用操作系统提供的传输层接口API，尝试与扫描目标的指定端口建立TCP连接

端口打开

返回带有一个SYN/ACK的标记的报文 端口关闭 直接返回RST 端口受防火墙保护 不会返回任何状态报文

• 半连接扫描
• 与目标的指定的端口在建立TCP连接时仅完成前两次握手，日志不会有记录

SYN扫描

端口处于打开状态

返回SYN/ACK标记的报文 端口关闭状态 目标返回RST 受防火墙保护 不会返回任何报文 IP头部Dumb扫描 A冒充B发出连续的ICMP请求报文，查看报文中IP头部的ID信息

端口打开

返回SYN/ACK

端口关闭

返回RST

A从B返回的ICMP应答报文的IP头部的ID信息中可以观察到

C关闭，则ID信息按顺序加1 C打开，则ID信息不是按1递增 FIN扫描 不依赖TCP的三次握手，而是TCP的FIN标记

端口关闭

返回RST标记的报文 端口打开或被防火墙保护 不会返回任何报文 ACK 没有防火墙，无论端口是否打开，都会返回RST报文

没有收到报文，则表示收到防火墙保护

也可以检测目标主机是否在线，在线主机会返回RST报文

服务扫描的原理及常见工具

针对不同服务使用的协议类型，发送相应的应用层协议的探测报文，检测返回报文的信息

telnet工具，访问HTTP、TELNET等TCP服务端口，通过旗标（banner）信息推断服务的版本和类型

rpcinfo工具

操作系统扫描原理及攻击

一种可以探测目标操作系统类型的扫描技术，协议栈指纹识别 根据各个操作系统实现的协议栈细节不同

对目标发出一系列探测报文

每种系统对各个探测报文都有其独特的响应方式，根据响应方式确定目标系统的类型 常用指纹：FIN、TCP ISN

弱口令扫描的原理和方法

从算法本身去破解口令的散列值，对口令进行正向猜测

1. 建立于目标系统的网络连接
2. 设置用户列表文件和口令字典
3. 从用户文件和口令字典选择组用户和口令
4. 通过相应的网络通信协议发送认证请求报文给目标
5. 如果正确，则结束，否则转第三步

扫描工具：hydra执行弱口令扫描器

常见的web漏洞及其特点、常见的web漏洞扫描工具

1. 注入缺陷 SQL注入
2. 错误的鉴别与会话管理 冒充合法用户
3. 跨站脚本漏洞 能够在客户的浏览器执行脚本
4. 不安全的直接对象访问 能直接下载目标口令文件
5. 安全配置错误 web程序需要有一个安全的配置定义和部署方法
6. 跨站请求伪造 攻击者登录客户浏览器发送请求给web程序，获得cookie

web扫描工具：Accunetix

第五章 网络攻击

暴力口令破解的原理及加速措施

获取经过散列算法单向加密口令，然后采用口令字典或者穷举口令字符空间的方式对加密的口令进行离线破解

加速措施：彩虹表攻击，存储部分明文和口令散列的对应关系

常见的中间人攻击方法

首先截获通信双方的数据，，然后篡改数据进行攻击

截获数据方式：

局域网攻击：

• 集线器组成的局域网：数据会广播至所有端口，攻击者将网卡设置为混杂模式
• 交换机组成的局域网：攻击者主动截取其它主机的通信数据
• 广域网攻击：攻击者篡改通信路径中的某个路由器的路由表信息获取双方的通信报文

站表溢出

表项通过学习帧的源地址获得，当交换机在站表中无法找到帧的目标地址时，会广播该帧

• 发送大量虚假源MAC地址的帧来占领交换机的站表
• 交换机每转发一帧就会广播发送
• 交换机将停止学习直到某项因为超时而被删除

ARP欺骗

通过伪造IP地址与MAC地址的映射关系实现一种欺骗攻击

• 发送虚假的ARP请求或应答报文
• 目标接收错误的IP和MAC绑定关系

DHCP欺骗

• 主机没有对DHCP服务器进行认证
• 攻击者伪装成DHCP服务器
• 分配虚假的网关给目标主机
• 主机通信会经过虚假网关

端口反向连接原理

防火墙通常对进入到内网的报文具有严格的过滤策略，但很少检测从内网发出的报文，端口反向连接就是利用防火墙配置的疏忽，目标主机主动发起向远端控制者的连接

分布式拒绝攻击的原理、症状及防御方案

攻击者利用系统及协议漏洞大量消耗网络带宽及系统资源，使得合法系统用户无法及时得到服务和系统资源

带宽攻击：攻击者使用大量垃圾数据流

协议攻击：利用网络协议的设计和实现漏洞进行攻击 逻辑攻击：利用目标系统或服务程序的实现漏洞发起攻击，消耗CPU和内存资源

症状：

• 检测到短时间内出现大量报文
• CPU利用率突然提高
• 主机长时间无响应
• 主机随机崩溃

防御方案：基于主机的入侵检测系统

第六章 网络后门及痕迹清除

开放连接端口的基本方法

• 一种通用的类似Telent服务的shell访问端口
• 隐蔽地开启已有系统服务从而打开相应端口，如偷偷用命令开启windows远程终端服务

Windows系统攻击后可能存在痕迹有哪些?对应清除方法

• 事件查看器记录的管理事件日志：系统日志、安全日志、setup日志
• 浏览器或者web服务器上留下的相应的访问和使用记录
• 相应的系统使用痕迹

对应清除方法

• 事件查看器：用wevtutil攻击者可以在后台使用wevtuil清除日志
• 浏览器其痕迹，直接命令行删除
• web服务器痕迹，IIS的日志在LogFile目录下删除
• 系统使用痕迹：删除相应注册表型或键值

第七章 访问控制与防火墙

访问控制方法有哪些？

访问控制矩阵 访问控制列表 访问能力表 授权关系表 防火墙体系种类（包过滤、代理防火墙）及体系结构（单一包过滤防火墙、单穴堡垒防火墙、双穴堡垒主机结构、屏蔽子网结构）

包过滤防火墙

工作在网路层，对用户透明，分为无状态和有状态两种

无状态包过滤防火墙

基于单个IP报文进行操作，每个报文都是独立分析的 默认规则： 一切未被允许都是禁止的 一切未被禁止都是允许的 规则特征： TCP、UDP、ICMP、IGMP

无状态包过滤防火墙

相当于传输层和应用层的过滤，最重要的是实现会话的跟踪功能 访问策略：

• 报文流动方向和所属服务
• 发起会话和接收会话的终端地址范围
• 会话各阶段的状态

包过滤防火墙基于IP头部信息进行过滤，而这些信息都可以伪造

代理防火墙

更好的安全机制，允许客户端通过代理与网络服务进行非直接的连接 单一包过滤防火墙 最简单的基于路由器的包过滤防火墙 防火墙上通常结合了网络地址转换（NAT）、路由器和包过滤的功能 路由器被入侵，则整个内部网络将受到威胁 单穴堡垒主机结构 堡垒主机实际上扮演代理防火墙的角色，单穴堡垒主机仅有一个接口 双穴堡垒主机结构 无需防火墙做规则配置即可迫使内部网络与外部网络的通信经过堡垒主机

• 堡垒主机同时连接两个不同网络
• 攻击者必须同时攻破堡垒主机和包过滤防火墙
  
  屏蔽子网结构
  会进一步根据安全登记将内部网络划分未不同子网
• 攻击者必须攻破两个包过滤防火墙和一台堡垒主机
• 这种结构具有很高的安全性，被广泛采用
  

Windows系统下个人防火墙的设置

包过滤防火墙结合操作系统的访问控制实现对于主机的防护 基本配置： 入站规则和出战规则

• 每条规则可用于企业域、专用网和公用网等三种profile
• 入站规则仅检查接入的TCP连接请求是否符合规则
• 入站规则检查每个UDP协议的报文
  高级设置
• 防火墙不阻止从接口发出的报文，即出战规则默认都是允许
• 如果入站规则不匹配从接口收到
  规则类型
• 可以基于端口设置
• 可以基于程序名设置
• 可以基于windows提供的预定义名称设置
• 使用自定义规则可以同时基于端口和程序名进行设置

网络设备的ACL命令及Linux系统下的iptables命令实施访问控制

access-list 1 deny 172.16.4.0 0.0.0.255thaccess-list 1 permit anyinterface eth 0ip access-group 1 out

access-list 101 permit tcp any any eq 21 establishedaccess-list 101 perimit tcp any any eq 20establishedaccess-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any anyinterface eth 1ip access-list 101 in

第八章 入侵防御

入侵防御系统的工作过程

信息收集 数据分析 结果响应

入侵防御系统数据分析技术

数据挖掘和模式识别技术

入侵防御系统的分类

基于主机的HIPS和基于网络的NIPS

不同种类入侵防御系统的信息收集的来源

转载地址：http://bjwki.baihongyu.com/