目录
- 一、网络安全概述
- 二、数据加密
- 三、消息完整性与数字签名
- 四、身份认证
- 五、密钥分发中心(KDC)与证书认证(CA)
- 六、防火墙与入侵检测系统
- 七、网络安全协议
- 八、网络安全攻防 -- 黑客攻击简要流程
- 九、网络安全常用术语
一、网络安全概述
网络安全的基本特征:相对性、时效性、相关性、不确定性、复杂性以及重要性等。
网络安全:指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全通信的基本属性:
- 1、机密性:只有发送方和接收方能理解报文内容。
- 2、消息完整性:消息未被篡改,发生篡改一定会被检测到。
- 3、可访问与可用性:对授权用户提供有效服务。
- 4、身份认证:双方确认彼此的真实身份。
典型的网络安全威胁:
- 1、报文传输:主要包括窃听、插入、假冒、劫持等安全威胁。
- 2、拒绝服务DoS 、分布式拒绝服务DDoS:在网络安全威胁中,拒绝服务DoS是指通过向接收方恶意泛洪分组,淹没接收方,导致带宽耗尽,资源耗尽等过载资源情况。
- 3、映射:先探路,再攻击。Namp 是国外广为使用的端口扫描工具之一
- 4、分组“嗅探”:Wireshark是一个典型的分组嗅探软件。
- 5、IP欺骗:黑客利用IP地址进行欺骗攻击
二、数据加密
密码学:
- 密码编码学:指将密码变化的客观规律应用于编制密码来保守通信秘密
- 密码分析学:研究密码变化客观规律中的固有缺陷,并应用于破译密码以获取通信情报
通信加密模型、传统加密方式、对称密钥加密、非对称/公开密钥加密
密码分类:
1、密码体制的特点、出现的先后时间
- 传统加密方式
- 对称密钥加密
- 非对称 / 公开密钥加密
2、依据处理数据的类型
- 分组密码:又称块密码,将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为 n 的组,每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
- 序列密码:又称流密码,利用密钥产生一个密钥流,然后对明文串分别加密的过程。解密时使用相同的密钥流,是加密的逆过程。
传统加密方式
1、替代密码:凯撒密码
2、换位密码:列置换密码
凯撒密码:加密:K=3的含义就是明文的每个字母按照字母表顺序推后3位。
换位密码(置换密码):列置换密码,根据一定规则重新排列明文,以便打破明文的结构特性。只改变明文结构,不改变内容。
无论是简单的替代密码还是换位密码,安全性都很低,很容易被攻破。现代密码学将替代密码和换位密码相结合,并利用复杂的加密过程,提高密码的安全性。
现代密码学:对称密钥加密和非对称密钥加密。
- 对称密钥加密:加密密钥和解密密钥是相同的。
- 非对称密钥加密(公开密钥加密系统):加密密钥和解密密钥是不同的。
1、对称密钥加密
DES加密算法(Data Encryption Standard):
- 1、加密:明文分为64位分组,使用56位的密钥,进行16轮加密。
- 2、三重DES:使用两个密钥,执行三次DES算法,密钥长度达到112位。
DES过时的原因:密钥长度太短,利用高性能计算机可在短时间内蛮力攻击破解
AES加密算法(Advanced Encryption Standard):密钥长度:128/192/256位,AES 加密过程 4 种操作:字节替代、行移位、列混淆、轮密钥加;解密过程分别为对应的逆过程
AES加密算法的特点:
1)分组长度和密钥长度均可变
2)循环次数允许在一定范围内根据安全要求进行修正
3)安全、效率、易用、灵活
4)抗线性攻击和抗差分攻击的能力大大增强
5)如果1秒暴力破解DES,则需要149万亿年破解AES
IDEA加密算法(International Data Encryption Algorithm):密钥长度128位。
对称密钥加密面临一个最大问题是密钥分发问题
2、非对称 / 公开密钥加密
通信双方都有两个密钥:
- 公钥:任何人都可以得到
- 私钥:只有自己知道
加密过程:
1、Alice用Bob的公钥加密明文,发送。
2、Bob收到密文后,用自己的私钥解密得到明文。
非对称密钥加密(公开密钥加密)的算法:
典型的公开密钥加密算法:Diffie-Hellman算法和RSA算法;Diffie-Hellman算法:基于数学中素数原根理论。
RSA算法:基于数论设计,安全性建立在大数分解的难度上;应用比较广泛,安全性高。
① RSA算法流程
1)选取两个大素数 p 和 q2)n = p*q,z = (p-1)(q-1)3)选择 d 与 z 互质4)选择 e,使 e*d = 1(mod)z5)e 为公钥,d为私钥。
三、消息完整性与数字签名
消息完整性(报文认证)的目标
1、证明报文确实来自声称的发送方;
2、验证报文在传输过程中没有被篡改;
3、预防报文的时间、顺序被篡改;
4、预防报文持有期被篡改;
5、预防抵赖:如发送方否认已发送的消息或接收方否认己接收的消息
消息完整性检测方法:用散列函数,对报文m进行散列化。
典型的散列函数
第一种:MD5(Message-Digest Algorithm 5):128位散列值。
第二种:SHA-1:作为散列数据的标准,SHA-1 可产生一个 160 位的散列值。SHA-1 是典型的用于创建数字签名的单向散列算法
散列函数的特性:
1、散列函数算法公开
2、快速计算
3、对任意长度报文进行散列产生定长输出
4、对于任意报文无法预知其散列值
5、不同报文不会产生相同的散列值
6、单向性
报文认证
消息完整性检测一个重要目的:完成报文认证的任务。
报文认证:使消息的接受者能够检验收到的消息是否是真实的方法。
报文(消息)认证的目的:
①消息源的认证,即验证消息的来源是真实的;
②消息的认证,即验证消息在传送过程中未被篡改。
报文摘要:对报文m应用散列函数H,得到固定长度的散列码。
A、报文认证的第一种方式:简单报文验证
发送方对报文m应用散列函数,得到固定长度的散列码H(m),获得报文摘要h,将扩展报文(m,h)发送给接收方
接收方收到扩展报文后,提取出报文m和报文摘要h,同样对报文m应用散列函数H获得新的报文摘要H(m),将H(m)和h比较。
若相同,报文认证成功。否则报文认证失败。
简单报文认证缺点:无法达到对消息源认证
B、报文认证的另外一种方式:报文认证码MAC(Message Authentication Code)
发送方和接收方共享一个认证密钥s,发送方对报文m和认证密钥s应用散列函数H得到报文认证码h,将扩展报文(m,h)发送给接收方。
接收方收到扩展报文后,提取出报文m和报文认证码h,对报文m和认证密钥s应用散列函数H获得新的报文认证码H(m+s),将H(m+s)与h比较。
若相等,则报文认证成功。否则失败
报文认证码MAC的不足:无法保证消息在接收方没有被篡改。
数字签名
数字签名:在公开密码体制中,一个主体使用自己的私钥加密消息,得到的密文。密文可以使用该主体的公钥解密,恢复成原来的消息。如此生成的“密文”对该消息提供认证服务。
数字签名应满足:
1、接收方能够确认发送方的签名,但不能伪造。2、发送方发出签名的消息给接收方后,就不能再否认他所签发的消息。3、接收方对已收到的签名消息不能否认,有收报认证。4、第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
1、数字签名的一种方式:简单数字签名
Bob利用自己的私钥对报文m加密,创建签名报文。将扩展报文(报文,签名报文)发送给Alice。
Alice收到扩展报文。利用Bob的公钥解密签名报文,并检验解密后的签名报文和报文m是否一致。
若一致,则签名m的一定是Bob的私钥。
2、数字签名的另外一种方式:签名报文摘要
Bob对报文m应用散列函数H生成报文摘要H(m),然后Bob通过其私钥对报文摘要进行加密生成加密的报文摘要,将扩展报文(报文,加密的报文摘要)发送给Alice。
Alice收到报文m以及加密的报文摘要。Alice利用Bob的公钥解密加密的报文摘要,并对m应用散列函数生成新的报文摘要。
如果两者一致,则签名报文m的一定是Bob的私钥。
四、身份认证
身份认证:身份鉴别。一个实体经过计算机网络向另一个实体证明其身份的过程。
1、基于共享对称密钥的身份认证;
2、基于公开密钥的身份认证;
基于共享对称密钥的身份认证
1、Alice向Bob发送报文“我是Alice”
2、Bob选择一个一次性随机数R,然后把这个值发送给Alice
3、Alice使用她与Bob共享的对称秘密密钥加密这个一次性随机数,然后把加密的一次性随机数发回给Bob。
4、Bob解密收到的报文。
基于公开密钥的身份认证
1、Alice向Bob发送报文“我是Alice”
2、Bob选择一个一次性随机数R,然后把这个值发送给Alice
3、Alice使用她的私钥来加密R,然后把加密的一次性随机数发回给Bob。
4、Bob向Alice索要她的公钥。
5、Alice向Bob发送自己的公钥。
6、Bob利用Alice的公钥解密收到的报文。
五、密钥分发中心(KDC)与证书认证(CA)
对称密钥分发的典型解决方案:通信各方建立一个大家都信赖的密钥分发中心(Key Distribution Center , KDC);解决对称密钥安全可靠的分发。
密钥分发中心(Key Distribution Center , KDC):解决对称密钥安全可靠的分发
证书认证机构(CA):解决非对称密钥问题
- 要使公钥密码有效,需要证实你拥有的公钥,实际上就是要与你通信的实体的公钥。
- 将公钥与特定的实体绑定,通常由认证中心(Certification Authority,CA)完成。
认证中心(Certification Authority,CA)的作用:
1)CA可以证实一个实体的真实身份。
2)一旦CA验证了某个实体的身份,CA会生成一个把其身份和实体的公钥绑定起来的证书,其中包含该实体的公钥及其全局唯一的身份识别信息等,并由CA对证书进行数字签名。
方式一:通信发起方生成会话密钥
1、Alice和Bob进行保密通信。Alice随机选择一个会话秘钥。用Alice和KDC之间长期的共享密钥加密会话秘钥,发送给KDC。
2、KDC得到后,解密获得会话密钥,以及所希望通信方Bob。KDC利用其和Bob的长期共享密钥加密密钥,发送给Bob。
3、Bob解密,获得会话秘钥,并且得知期望和自己通信的是Alice。
方式二:KDC为Alice、Bob生成通信的会话秘钥
1、Alice在希望和Bob通信时,首先向KDC发送请求消息。
2、KDC收到请求消息后,随机选择一个会话秘钥,并将会话秘钥分别用和
Alice、Bob的长期共享密钥加密,再分别发送给Alice、Bob。
3、Alice、Bob收到KDC的密文后,分别解密,获得会话秘钥。
六、防火墙与入侵检测系统
概念:防火墙是能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施。
防火墙的分类
- 1、无状态分组过滤器:典型部署在内部网络和网络边缘路由器上的防火墙。路由器逐个检查数据报,根据访问控制表(Access Control Lists ,ACL)实现防火墙规则。
- 2、有状态分组过滤器:跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。
- 3、应用网关:应用网关实现授权用户通过网关访问外部网络的服务。
入侵检测系统(Intrusion Detection System,IDS)是当观察到潜在的恶意流量时,能够产生警告的设备或系统。
七、网络安全协议
自顶向下各层解决安全性的实例协议
1、安全电子邮件(应用层)
2、安全套接字层SSL(传输层)
3、虚拟与用网VPN和IP安全协议IPSec(网络层)
安全电子邮件(电子邮件对网络安全的需求):
1、机密性
2、完整性
3、身份认证性
4、抗抵赖性
安全电子邮件标准:PGP标准(Pretty Good Privacy)
- PGP提供的服务:邮件加密;报文完整性;数字签名;
- 加密算法:公钥加密算法(如RSA)、对称加密算法(如3DES)、散列算法(如SHA-1)
网络安全协议
安全套接字层SSL
- 1、一般Web服务器越强大,包含安全漏洞的概率越高。
- 2、Web浏览器也会遇到各种各样的安全威胁。
- 3、普通Web应用的应用层数据,在传输过程中都已明文形式传输,可能受到攻击
- 4、在电子商务背景下,提出HTTP安全电子商务交易协议;
- 5、在传输层之上构件一个安全层:安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)
SSL可以提供的服务:机密性、完整性、身份认证等安全服务。
SL协议栈(协议的总和):SSL是介于TCP和HTTP等应用层协议之间的一个可选层,大多数应用层;协议直接建立在SSL协议之上,SSL是两层协议。
SSL协议栈:
SSL握手协议:在插、握手过程中需要用到SSL握手协议、SSL更改密码规格协议、SSL警告协议。主要作用:协商密码组和建立密码组;服务器认证与鉴别和客户认证与鉴别
SSL警告协议:为对等实体传递SSL警告或终止当前连接。包含两个字段:警告级别和警告代码。
SSL记录协议:描述了信息交换过程中的消息格式,前面3个协议需要记录协议进行封装与传输。
虚拟专用网VPN和IP安全协议IPSec
虚拟与用网VPN:建立在公共网络上的安全通道,是用户通过公用网络建立的临时的、安全的连接;实现进程用户、分支机构、业务伙伴等与机构总部网络的安全连接,从而构建针对特定组织机构的专用网络。虚拟转用网最重要的特点就是虚拟。虚拟转用网一般指的是构建在Internet上能够自我管理的专用网络;关键技术:隧道技术,如IPSec。
VPN涉及的关键技术:隧道技术(核心) 、数据加密 、身份认证、密钥管理 、访问控制、 网络管理
隧道:通过Internet提供的点对点的数据传输的安全通道。通过数据加密保证安全;数据进入隧道时,由VPN封装成IP数据报,通过隧道在Internet上传输;离开隧道后,进行解装,数据便不再受VPN保护。
IPSec体系简介:IPSec是网络层使用最广泛的安全协议,但IPSec不是一个单一的协议,而是一个安全体系;主要包括:封装安全载荷协议( ESP)、认证头( AH)协议
IPSec传输模式:传输模式和隧道模式
1、传输模式:主机模式。IPSec数据报的发送和接收都由端系统完成。
2、隧道模式:将IPSec的功能部署在网络边缘的路由器上,路由器之间建立安全隧道,数据报在其中封装传输。
传输模式和协议组合
1、传输模式AH
2、隧道模式AH
3、传输模式ESP
4、隧道模式ESP:最广泛和最重要的IPSec形式。
八、网络安全攻防 – 黑客攻击简要流程
1. 踩点 (Footprinting)
踩点目的 : 主动获取信息情报, 确定目标域名系统, 网络地址范围, 名字空间, 关键系统如网关 邮件服务器等设置;
踩点相关技术 : 源查询, whois, whois的Web接口, ARIN whois;
踩点所使用的工具 :
-
Usenet (新闻组) : 基于网络的计算机组合, 新闻服务器;
-
搜索引擎 ;
-
Edgar : 电子数据化,分析及检测系统;
-
Gooscan : UNIX 相关的操作系统, 其能根据 Google 搜索内容找到有缺陷的系统;
-
FingerGoogle :
-
dig : 域信息搜索器, 可以灵活的询问 DNS 域名服务器;
-
nslookup : 指定查询类型, 查询 DNS 记录生存时间, 指定 DNS 服务器解析, 主要用于诊断域名系统的基础结构信息;
-
Sam Spade : 网络集成工具箱, 可用于 网络探测, 网络管理, 及与安全有关的任务, 包括 ping nslookup whois dig traceroute finger raw 等工具;
-
dnsmap : 一款信息搜集工具;
2. 扫描 (Scaning)
扫描目标 : 评估目标系统的安全性, 识别监听运行中的服务, 找出最容易攻破的目标;
扫描相关技术 : Ping, TCP/UDP 端口扫描, OS监测;
扫描使用的工具 :
-
fping : 功能与ping类似, 不通之处就是可以指定多个 ping 目的主机;
-
hping : TCP/IP 数据包组装/分析工具, 常用于监测网络主机;
-
nmap : 针对大型网络的端口扫描工具, 可以隐藏扫描, 越过防火墙扫描, 使用不通的协议扫描;
-
SuperScan : 功能强大的端口扫描工具;
-
AutoScan : 是一款完善的网络检测软件, 可以自动查找网络, 自动扫描网络, 自动探测操作系统;
-
Scanline nmap : 端口扫描工具;
-
amap : 安全扫描软件;
-
SinFP : 识别对方操作系统类型的工具;
-
xprobe2 : 远程主机操作系统探查工具;
3. 查点
查点目的 : 找出系统上的合法用户帐号, 和一些共享资源, 该操作更具入侵性;
查点所用技术 : 列出用户帐号, 列出主机共享文件, 识别目标主机的应用程序, SNMP;
查点所用工具 :
-
空会话 : 在没有信任的情况下与服务器建立的会话;
-
DumpSec :
-
PSTools : 一款功能强大的远程管理工具包;
-
showmount : 查询 NFS 服务器相关信息;
-
SMB-NAT : SMB网络分析工具;
-
rpcinfo : 该工具可以显示使用 portmap 注册程序的信息, 向程序进行 RPC 调用, 检查它们是否正常运行;
-
Cisco Torch :
4. 访问
访问目的 : 通过上面的 踩点 扫描 查点 操作之后, 收集到了足够的证据, 就可以尝试访问目标系统了, 向目标用户发送 木马 PDF 或者 木马网页链接, 用户一旦点击就可以进行攻击了;
访问所需技术 : 密码嗅探, 蛮力攻击, 渗透工具;
访问所需的工具 :
-
airsnarf : 简单的流氓 WAP 安装工具, 可以从公共无线流量中获取密码;
-
dnsiff : 高级的口令嗅探器;
-
Cain and Abel : 远程破解密码 口令的工具, 功能十分强大;
-
phoss :
-
hydra : 暴力破解工具;
-
medusa : 暴力破解工具;
-
SIPCrack :
-
Metasploit Framework :
-
Canvas :
5. 提升特权
特生特权目的 : 获取 系统 root 权限 或者 administrator 权限;
使用的技术 : 破解密码 , 使用漏洞;
使用的工具 :
-
John The Ripper : 快速的密码破解工具, 已知密文的情况下 破解出明文;
-
L0phtcrack : 网管必备工具, 用于检测 UNIX 或者 Windows 是否使用了不安全的密码;
-
Metasploit Framework : 可以进行渗透测试, 用于验证系统安全性;
6. 窃取信息
窃取信息过程 : 从环境中提取数据和文件, 确定再次入侵系统的机制 和 途径;
使用的技术 : 评估可信系统, 搜索明文密码;
使用到的工具 : rhosts, LSA Secrets, 用户数据, 配置文件, 命令行;
7. 掩踪灭迹
目的 : 控制目标系统后, 避免被管理员发现, 掩盖来访痕迹;
使用的技术 : 清除日志记录, 掩藏工具;
使用到的工具 : logclean-ng, wtmpclean, rootkits, 文件流;
8. 创建后门
目的 : 留下后门和陷阱, 以便下次继续入侵;
使用到的技术 : 创建流氓用户帐号, 安排批处理作业, 感染启动文件, 植入远程控制服务, 安装监控机制, 用特洛伊木马替换真实应用;
使用到的工具 : members of wheel, Administrators cron, 注册表, 启动目录, netcat, psexec, VNC, 键击记录器, login, fpnwclnt, ptched SSH ersions;
9. 拒绝服务
拒绝服务使用场景 : 在第四步访问的时候, 无法获取访问权限, 但又想要破坏, 可以使用 DDoS 拒绝服务 进行破坏, 主要是利用漏洞代码使目标系统瘫痪;
使用到的技术 : SYN泛洪, ICMP技术, Overlapping fragment, Out of bounds TCP options, DDoS;
使用到的工具 : synk4, ping of death, smurf, ICMP nuke, bonk, newtear, supernuke.exe, trincoo, TNF, stacheldraht;
九、网络安全常用术语
1、肉鸡:
所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。
2、木马:
就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。
3、网页木马:
表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
4、挂马:
就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
5、后门:
这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。 通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)
6、rootkit:
rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。
7、IPC$:
是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
8、弱口令:
指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码)
9、默认共享:
默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了"$"符号,所以看不到共享的托手图表,也成为隐藏共享。
10、shell:
指的是一种命令指行环境,比如我们按下键盘上的“开始键+R”时出现“运行”对话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell
11、WebShell:
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等
12、溢出:
确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:(1)堆溢出;(2)栈溢出。
13、注入:
随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即:SQL注入。
14、注入点:
是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。
15、内网:
通俗的讲就是局域网,比如网吧,校园网,公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16、外网:
直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问,IP地址不是保留IP(内网)IP地址。
17、端口:
(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。
18、3389、4899肉鸡:
3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上,成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似,终端服务的连接非常稳定,而且任何杀毒软件都不会查杀,所以也深受黑客喜爱。黑客在入侵了一台主机后,通常都会想办法先添加一个属于自己的后门帐号,然后再开启对方的终端服务,这样,自己就随时可以使用终端服务来控制对方了,这样的主机,通常就会被叫做3389肉鸡。
Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使以也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所用Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机,然后就可以登陆上去远程控制对恶劣,这样被控制的主机通常就被成做4899肉鸡。
19、免杀:
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀
20、加壳:
就是利用特殊的酸法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
21、花指令:
就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是”杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了“。
22、TCP/IP
是一种网络通信协议,他规范了网络上所有的通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.,TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法.在数据传诵中,可以形象地理解为两个信封,TCP和IP就像是信封,要传递的信息被划为若干段,每一段塞入一个TCP信封,并在该信封面上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网.
23、路由器
路由器应该是在网络上使用最高的设备之一了,它的主要作用就是路由选路,将IP数据包正确的送到目的地,因此也叫IP路由器.
24、蜜罐
好比是情报收集系统.蜜罐好象是故意让人攻击的目标,引诱黑客来攻击,所有攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络.
25、拒绝服务攻击
DOS是DENIALOFSERVICE的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法正常服务,最常见的DOS攻击有计算机网络宽带攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求.
26、脚本注入攻击(SQLINJECTION)
所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击.
27、防火墙
使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
28、入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
29、数据包监测
数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。在这里值得一题的是,美国的落山基级骇动力潜艇就有几艘专们用于海底电缆的数据监听。特别是太平洋。
30、NIDS
NIDS是NetworkIntrusionDetectionSystem的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
31、SYN包
TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去实际不存在的站点,因此无法有效进行处理。
32、加密技术
加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。 加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
33、局域网内部的ARP攻击
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
(1)不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
(2)计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
34、欺骗攻击
网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
35、嗅探
计算机网络的共享通讯道的,支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵,共享意为着计算机能够接收到发送给其他计算机的信息,捕获在网络中传输的数据信息就称为嗅探.
36、跳板
一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。
37、权限
计算机用户对于文件及目录的建立,修改,删除以及对于某些服务的访问,程序的执行,是以权限的形式来严格区分的.被赋予了相应的权限,就可以进行相应的操作,否则就不可以.
38、溢出
程序在处理我们提交给它的数据时,有的时候忘了检查数据的大小与合法性,那么这些数据可能会超过属于自己的地盘,覆盖到其它数据的盘.如果这些超长数据被精心的策划构造的话,可能会被黑客去执行任意命令.打个比喻来说,windows系统是一个人,会一杯一杯喝我们给它准备的水,其中有一个杯子太小了,我们倒入了大量的水它就会溢出到别的杯子里去,而溢出到别的杯子里的东西我们事先可以设计好,而系统并不知道,这以为这本来就是那个杯子里的东西,于是我们可以完成一定的任务.
39、端口
要网络上,知道一台电脑的ip地址,只是相当于知道了它的居住地址,要和它进行通信,我们还要知道它开了哪些端口,比如说我们到一家医院,挂号要到1号窗口,划价要到2号窗口,取药要到3号窗口.那么与计算机的通信也是一样的,要上qq,你得登陆到腾讯服务器的8000端口,要浏览x档案的论坛,你得与其80端口进行联系,要ftp登陆空间,传输文件,我们又得服务器的21端口连接了.可以说,端口就是一种数据的传输通道,用于接收某些数据,然后传给相应的服务,而电脑将这些数据处理后,再将相应的回复通过端口传给对方.
40、ip地址
inter上的电脑有许多,为了让他们能够相互识别,inter上的每一台主机都分配有一个唯一的32位地址,该地址称为ip地址,也称作网际地址,ip地址由4个数值部分组成,每个数值部分可取值0-255,各部分之间用一个‘.‘分开.
41、ARP
地址解析协议(AddressResolutionProtocol),此协议将网络地址映射到硬件地址。
42、RARP
反向地址解析协议(ReverseAddressResolutionProtocol),此协议将硬件地址映射到网络地址
43、UDP
用户数据报协议(UserDatagramProtocol),这是提供给用户进程的无连接协议,用于传送数据而不执行正确性检查。
44、FTP
文件传输协议(FileTransferProtocol),允许用户以文件操作的方式(文件的增、删、改、查、传送等)与另一主机相互通信。
45、SMTP
简单邮件传送协议(SimpleMailTransferProtocol),SMTP协议为系统之间传送电子邮件。
46、TELNET
终端协议(TelTerminalProcotol),允许用户以虚终端方式访问远程主机
47、HTTP
超文本传输协议(HypertextTransferProcotol)
48、TFTP
简单文件传输协议(TrivialFileTransferProtocol)
49、Shell
Shell就是系统于用户的交换式界面。简单来说,就是系统与用户的一个沟通环境,我们平时用到的DOS就是一个Shell(Win2K或cmd.exe)。
50、Root
Unix里最高权限的用户,也就是超级管理员。
51、Admin
WindowsNT/2K/XP里最高权限的用户,也就是超级管理员。
52、Rootshell
通过一个溢出程序,在主机溢出一个具有Root权限的Shell。
53、Exploit
溢出程序。Exploit里通常包含一些Shellcode。
54、Shellcode
溢出攻击要调用的函数,溢出后要一个交换式界面进行操作。所以说就有了Shellcode。
55、AccesControllist(ACL)
访问控制列表。
56、AddressResolutionProtocol(ARP)
地址解析协议。
57、Administratoraccount
管理员帐号。
58、ARPANET
阿帕网(Inter的简称)。
59、accesstoken
访问令牌。
60、adaptivespeedleveling
自适应速度等级调整。
62、algorithm
算法alias别名。
62、anlpasswd
一种与PASSWD+相似的代理密码检查器。
63、applicatlons
应用程序异步传递模式。
64、accoutlockout
帐号封锁。
65、accoutpolicies
记帐策略。
66、accounts
帐号。
67、adapter
适配器。
68、上传漏洞
这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
69、webshell:
其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马,海阳2006也是WEB木马)。我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
70、暴库
这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
71、注入漏洞
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
72、旁注
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描),发现没有什么可以利用的东西,那么这个贼发现你家和我家一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
73、COOKIE诈骗
许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)。我们就可以用COOKIE诈骗来实现,把自己的ID修 改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
74、时间戳
“时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词,我们查看系统中的文件属性,其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言,通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了,这里的“时间戳”(time-stamp)是一个经加密后形成的凭证文档,是数字签名技术的一种变种应用。在电子商务交易文件中,利用数字时间戳服务(DTS:digita1timestampservice)能够对提供电子文件的日期和时间信息进行安全保护,以防止被商业对手等有不良企图的人伪造和串改的关键性内容。
75、MySQL数据库
我们在黑客文章中常会看到针对“MySQL数据库”的攻击,但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛,是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统,也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面向C、C++、Java等编程语言的编程接口,尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当,“MySQL数据库”就可能会受到攻击,例如若是设置本地用户拥有对库文件读权限,那么入侵者只要获取“MySQL数据库”的目录,将其复制本机数据目录下就能访问进而窃取数据库内容。
76、MD5验证
MD5(全称是message-digestalgorithm5)的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。通俗地说MD5码就是个验证码,就像我们的个人身份证一样,每个人的都是不一样的。MD5码是每个文件的唯一校验码(MD5不区分大小写,但由于MD5码有128位之多,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的),凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可检查文件的正确性,例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自串改)。
77、ICMP协议
ICMP(全称是InterControlMessageProtocol,即Inter控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如,曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误,进而导致系统耗费大量的资源处理,疲于奔命,最终瘫痪、死机。
78、WAP攻击
黑客们在网络上疯狂肆虐之后,又将“触角”伸向了WAP(无线应用协议的英文简写),继而WAP成为了他们的又一个攻击目标。“WAP攻击”主要是指攻击WAP服务器,使启用了WAP服务的手机无法接收正常信息。由于目前WAP无线网络的安全机制并非相当严密,因而这一领域将受到越来越多黑客的“染指”。现在,我们使用的手机绝大部分都已支持WAP上网,而手机的WAP功能则需要专门的WAP服务器来支持,若是黑客们发现了WAP服务器的安全漏洞,就可以编制出针对该WAP服务器的病毒,并对其进行攻击,从而影响到WAP服务器的正常工作,使WAP手机无法接收到正常的网络信息。
79、ICMP协议
ICMP(全称是InterControlMessageProtocol,即Inter控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误。
80、拖库、洗库、撞库
在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”。
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。
81、漏洞类型
跨站脚本攻击 (Cross Site Scripting, XSS)
跨站请求伪造 (Cross-Site Request Forgery, CSRF)
中间人攻击 (Man-in-the-middle, MITM)
服务端请求伪造 (Server Side Request Forgery, SSRF)
高级持续威胁 (Advanced Persistent Threat, APT)
82、 网络协议
轻型目录访问协议 (Lightweight Directory Access Protocol, LDAP)
SMB (Server Message Block)
SMTP (Simple Mail Transfer Protocol)
简单网络管理协议 (Simple Network Management Protocol, SNMP)
POP3 (Post Office Protocol 3)
IMAP (Internet Mail Access Protocol)
HTTP (HyperText Transfer Protocol)
HTTPS (HyperText Transfer Protocol over Secure Socket Layer)
动态主机配置协议 (Dynamic Host Configuration Protocol, DHCP)
RPC (Remote Procedure Call)
Java调试线协议 (Java Debug Wire Protocol, JDWP)
NFS (Network File System)
服务主体名称 (Service Principal Names, SPN)
82、认证
双因素认证 (Two-Factor Authentication, 2FA)
多因素认证 (Multi-Factor Authentication, MFA)
一次性密码 (One-Time Password, OTP)
83、防御相关
网络检测响应 (Network-based Detection and Response, NDR)
终端检测响应 (Endpoint Detection and Response, EDR)
托管检测响应 (Managed Detection and Response, MDR)
扩展检测响应 (Extended Detection and Response, XDR)
自适应安全架构 (Adaptive Security Architecture, ASA)
零信任网络访问 (Zero Trust Network Access, ZTNA)
云安全配置管理 (Cloud Security Posture Management, CSPM)
入侵检测系统 (Intrusion Detection System, IDS)
主机型入侵检测系统 (Host-based Intrusion Detection System, HIDS)
RASP (Runtime Application Self-protection)
统一端点管理 (Unified Endpoint Management, UEM)
84、开发相关
REST (Representation State Transformation)
持续集成 (Continuous Integration, CI)
持续交付 (Continuous Deployment, CD)
函数即服务 (Function as a Service, FaaS)
容器即服务 (Container as a Service, CaaS)
软件即服务 (Software as a Service, SaaS)
平台即服务 (Platform as a Service, PaaS)
基础设施即服务 (Insfrastructure as a Service, IaaS)
85、Nat
网络地址转换,用来将 内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。完美地解决了lP地址不足的问题,NAT不仅实现地址转换,同时还起到防火墙的作用,隐藏内部网络的拓扑结构,有效地避免来自网络外部的攻击,因为对于外部主机来说,内部主机是不可见的,NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP。