安全防範知識

1、***方式

主動***主要包括對業務數據流報文首部或數據載荷部分進行假冒或篡改，以達到冒充合法用戶對業務資源進行非受權訪問，或對業務資源進行破壞性***
被動***，用戶通常沒法感知

bug不等同於漏洞
bug影響功能性，不涉及安全性，也不構成漏洞，大部分的漏洞來源於bug，但並非所有，它們之間只是有一個很大的交集

漏洞確定涉及安全問題

***:利用安全存在的漏洞和安全缺陷對網絡系統的硬件，軟件及其系統中的數據進行的***，包括主動***：篡改、僞造消息數據、DDOS等；被動***:流量分析、竊聽等
***:指具備熟練的編寫和調試計算機程序的技巧，並使用這些技巧來得到非法或未受權的網絡或文件訪問，***進入公司內部網的行爲
***和***之間的區別：***是指任何威脅和破壞系統資源的行爲，***是***者爲進行***所採起得技術手段和方法

webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也能夠將其稱爲一種網頁後門
網站黑鏈映射到其它網站上

失陷主機植入惡意軟件，市場惡意軟件不斷變種

0day漏洞:一般是指尚未補丁的漏洞，也就是說官方尚未發現或者是發現了尚未開發出安全補丁的漏洞

exploit簡稱exp，漏洞利用

提權:提升本身在服務器的權限，主要針對網站***過程當中，當***某一網站時，經過各類漏洞提高WEBshell權限以奪得該服務器權限

跳板:爲了隱藏本身的地址，讓別人沒法查找到本身的位置

***:網站遭到***後，***竊取其數據庫

社會工程學:是一門科學，是一種利用人性的弱點（好奇心、信任、貪婪等心理）進行諸如欺騙、傷害等危害手段取得自身利益的手法，已成迅速上升甚至濫用的趨勢

Apt***:高級持續性威脅，利用先進的***手段對特定目標進行長期持續性網絡***的***形式

靜態網頁:htmlh或者htm，是一種靜態的資源格式，不須要服務器解析其中的腳本，由IE瀏覽器解析
一、不依賴數據庫
二、靈活性差、製做、更新、維護麻煩
三、交互性較差、在功能方面有較大的限制
四、安全、不存在SQL注入漏洞

動態網頁:
asp、aspx、php、jsp等，由相應的腳本引行來解釋執行，根據指令生成靜態網頁
一、依賴數據庫
二、靈活性好、維護簡便
三、交互性好、功能強大
四、存在安全風險，可能存在SQL注入漏洞

髒牛漏洞、sudo漏洞 linux系統

IIS:internet信息服務器

net start w3svc 關閉IIS
net start iisadmin
常見漏洞:IIS短文件漏洞、IIS解析漏洞、IIS6.0遠程代碼執行

Apache是Apache軟件基金會的一個開放源碼的網頁服務器，世界使用排名第一的web服務器軟件
常見漏洞:Apache解析漏洞、Apache日誌文件漏洞

Nginx是一個高性能的HTTP和反向代理服務器，也是一個IMAP/POP3/SMTP服務器
常見漏洞:Nginx解析漏洞、整數溢出漏洞

Tomcat服務器是一個免費的開源代碼的web應用服務器，屬於輕量級應用服務器，在中小型系統和併發訪問用戶不是不少的場合下被廣泛使用，是開發和調試JSP程序的首選
常見漏洞:tomcat弱口令、tomcat遠程代碼執行、本地提權

Weblogic是一個基於JavaEE架構的中間件，weblogic是用於開發、集成、部署和管理大型分佈式Web應用、網絡應用和數據庫應用的java應用服務器
常見漏洞:java反序列化、×××F(服務器端請求僞造)

SQL結構化查詢語言

0day***:利用簡單，危害較大
struts2框架存在漏洞，平時說struts2漏洞指的遠程命令/代碼執行漏洞
利用該漏洞可執行任意操做，例如上傳shell，添加管理員帳號等

Jave反序列化:直接部署一個webshell，利用很是簡單

bash破殼漏洞
bash漏洞源於在調用bash shell以前能夠用構造的值建立環境變量，因爲沒有對輸入的環境變量進行檢測，***者能夠在輸入的變量時候能夠包含惡意代碼，在shell被調用後會當即執行
利用該漏洞，能夠執行任意代碼，甚至能夠不須要金鉤認證，就能遠程取得系統的控制權，包括執行惡意程序，或在系統內植入***，獲取敏感信息

***防範:經過分析通過設備的報文的內容和行爲，判斷報文是否具備***特徵，並根據配置對具備***特徵的報文執行必定的防範措施「告警、丟棄報文、加入黑名單等」

***目的

其目的是使計算機或網絡沒法提供正常的服務，服務器宕機，業務中斷，網絡癱瘓、竊取密碼和信息

***方式

單播***：畸形報文***，***者利用缺陷的IP報文，是目標系統沒法處理該報文是出錯、崩潰
掃描***：尋找脆危的目標位置，爲***作準備Sniffer、portscan、ping、域名IP地址映射Whois

泛洪***：SYN Flood ***、ICMP Flood ***、UDP Flood ***

訪問***：密碼破解、信任被利用

應用層***:應用層DDoS***利用了高層協議，對應用服務開展***（因爲高層協議的多樣性與複雜性，應用層DDoS***很難被檢測到）
主要一下幾種:
一、慢速***:***者以一個較低速率持續向服務器發送請求行，服務器通常會緩存客戶端的請求，所以達到資源耗盡的目的
二、泛洪***:***者構造隨機的URL，向服務器發送請求，消耗服務器資源
三、CC***:***者分析出都那些URL比較耗性能，而後針對該URL發動***，消耗服務器資源

SYN Flood ***：***者向服務器發送僞造源地址的SYN報文，服務器在迴應SYNACK報文後，因爲目的地址是僞造的，所以服務器不會收到相應的ACK報文，從而在服務器上產生一個半鏈接，若***者發送大量這樣的報文，使其服務器資源耗盡，使正常的用戶沒法訪問，直到半鏈接超時
措施：SYN Cookie功能用來防止SYN Flood***
服務器收到TCP鏈接請求時，直接向發起者回復SYN ACK報文，當服務器收到發起者回應的ACK報文後，才創建鏈接，並進入Established狀態，從而能防止服務器受到SYN Flood***

ICMP Flood ***：***者在短期內向特定目標發送大量的ICMP請求報文（例如ping報文），使其忙於回覆這些請求，導致目標系統負擔太重而不能處理正常的業務
UDP Flood ***：***者在短期內向特定目標發送大量的UDP報文，導致目標系統負擔太重而不能處理正常的業務

措施：使用UDP helper功能，將開啓廣播報文轉換爲單播報文發送給指定的服務器

鏈接限制
內網用戶訪問外網時，發起大量鏈接，使其設備系統資源迅速消耗，致使其它用戶沒法訪問網絡資源
限制用戶發起的鏈接數
限制用戶建立鏈接的速率
限制用戶創建鏈接所佔用的帶寬資源來實現

黑名單功能：黑名單功能是根據報文的源IP地址進行報文過濾的一種***防範特性，動態創建黑名單

Smurf***：***者向網絡廣播地址發送ICMP包，並將回覆地址設置成受害網絡的廣播地址，經過使用ICMP應答請求數據包來淹沒受害主機的方式進行
最終致使該網絡的全部主機都對次ICMP應答請求做出答覆，致使網絡阻塞

密碼***：多個設備不要使用相同密碼、限制密碼登陸次數、遠程網管不使用明文密碼、象形密碼
信任被利用：防火牆劃分區域、端口重定向netcat、中間人******、緩存溢出DOS

應用層：禁掉不須要的服務端口:CDP、finger......

結合安全設備進行防禦：

防火牆是L3-L4的安全防護設備,防火牆只能解決20%的安全威脅問題

IPS是L7層上進行防護的IPS內置了IDS功能,而IPS能夠解決80%的安全問題

安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層鏈接，並可以在網絡間進行安全適度的應用數據交換的網絡安全設備

網閘是使用帶有多種控制功能的固態開關讀寫介質鏈接兩個獨立主機系統的信息安全設備

物理隔離網閘所鏈接的兩個獨立主機系統之間，不存在通訊的物理鏈接、邏輯鏈接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發

物理隔離網閘從物理上隔離、阻斷了具備潛在***可能的一切鏈接，使"***"沒法***、沒法***

***是基於TCP的，***的客戶端和服務器端須要創建鏈接

蠕蟲經過計算機網絡主動複製和繁殖本身，消耗網絡、系統資源

蠕蟲傳播時破壞了系統核心進程svchost.exe，從而致使系統不穩定，崩潰
蠕蟲用如下端口發現漏洞的系統:TCP 13五、TCP 13七、TCP 139

安全隔離網閘由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間採用了隔離安全數據交換單元