网络常见攻击(知识点总结)
目录
病毒,蠕虫,木马三者之间的区别
病毒
蠕虫(worm)
木马
常见的网络攻击
SQL注入
XSS(脚本攻击)
CSRF
DoS攻击
DDOS攻击
ARP攻击
暴力攻击(暴力破解)
中间人攻击
网络侦察
APT(高级持续威胁)
CC(挑战黑洞)
IP地址欺骗
远程命令执行(RCE)漏洞
防护设备在过去的文章有写,这里补充一下
病毒,蠕虫,木马三者之间的区别
病毒,木马,蠕虫统称为电脑病毒。病毒(包含蠕虫)的共同特征是自我复制、传播、破坏电脑文件,对电脑造成数据上不可逆转的损坏。而木马独有特征是伪装成正常应用骗取用户信任而入侵,潜伏在电脑中盗取用户资料与信息。
病毒
病毒是一种可以在计算机中破坏计算机及其数据,同时可以进行自我复制的程序。传统病毒能够感染其它程序,它会尝试将其自身附加到宿主程序,因其自身不能够独立运行,它通过网络以便在不同的存在漏洞的计算机之间进行传播,使得计算机完全瘫痪。
常见的病毒类型
系统病毒(前缀:WIN32 /PE/ W32)
蠕虫病毒(Worm.BBeagle): 一段能进行自我传播,无须用户干预而可以自动触发执行额破坏性程序或代码
例:
震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的《蠕虫》病毒这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件。
木马病毒、黑客病毒(Trojan.QQ3344): 通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户信息,黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制
脚本病毒(Script.Redlof): 主要采用脚本语言设计的计算机病毒 ,通过网页进行的传播的病毒。
宏病毒(Macro.Melissa): 一种寄存在文档或模板的宏中的计算机病毒, 一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
后门病毒(BackDoor.Win32.Huigezi): 通过网络传播,给系统开后门,给用户电脑带来安全隐患
病毒种植程序病毒(Droper.BingHe2.2C):运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
破坏性程序病毒(Harm.Command.Killer): 本身具有好看的图标来诱惑用户点击,当用户点击病毒时,病毒便会直接对用户计算机产生破坏 , 如格式化C盘(Harm.formatC.f)
玩笑病毒(Jioke.Grl ghost): 本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。
捆绑机病毒(Binder.QQPass.QQbin): 是一种和正常软件捆绑在一起的病毒,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒。、
勒索病毒(WannaCry):勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
图示为常见的病毒类型:
例题:
在对网络设备巡检中,检测到交换机端口有大量的 CRC 错包,结合错包呈现出不断上涨的趋势,下面故障原因中,不可能的是(70)
(70)A.端口状态异常 B.物理链路故障 C.电磁干扰 D.病毒攻击
【答案】D
【解析】
出现大量的CRC错包,说明在网络底层是有相应的故障,不可能的原因是病毒干扰
结合本篇有更多相关考题 http://t.csdn.cn/PViJC
蠕虫(worm)
蠕虫 是一种可以利用操作系统存在的漏洞及其它相关漏洞传播自身的恶意软件。
它可以通过互联网进行扩散,自动从一台计算机传播到另一台计算机上,并在每台计算机上实施对计算机的威胁操作。当恶意软件启动后,会破坏用户计算机系统和数据文件,如删除系统文件、格式化硬盘数据等。虽然蠕虫和病毒都能够自我复制进行传播,但是蠕虫相对于病毒而言,不需要依赖宿主程序,可以凭借自身独立运行。当蠕虫通过网络大规模传播时,会迅速消耗网络资源而造成网络拥塞。
经典病毒案例:
熊猫烧香:
熊猫烧香是一种经过多次变种的蠕虫病毒变种,可让文件图标变成“熊猫烧香”图案,并可能出现蓝屏,频繁重启等现象
红色代码:
专门针对互联网信息服务软件的网络服务器
木马
木马 是一种看上去有用或者无害的程序,它以正常程序作为伪装。在用户许可其通行的情况下,木马令用户毫不知情地将其安装到计算机中,但却包含了以破坏系统为目的的隐藏代码在其中,是常用的攻击技术,严重危害计算机安全。
木马一般分为两个部分,包括控制端和被控制端。
被控制端在电脑中潜伏,根据控制端下达的指令进行工作,执行恶意任务,以达到黑客目的,在受感染的计算机中破坏或窃取数据或监视目标计算机。
传统木马:特征码:c&c,trojan/troy
攻击网页一句换木马:eval
病毒和木马的区别
木马不具传染性,它并不能像病毒那样复制自身,也并不“刻意”地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。
木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码,要使木马传播,必须在计算机上有效地启用这些程序,例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的。
相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。
补充:一句话木马(用于攻击网页)
利用文件上传漏洞,往目标网站中上传一句话木马,然后就可以在本地通过管理工具计科获取和控制整个网站目录。
·php的一句话木马:eval($ POST[pass']);?>
·asp的一句话是:<%eval request ("pass")%>
·aspx的一句话是:<%@ Page Language="Jscript"%><%eval(Request.ltem["pass"],"unsafe);%>
常见的网络攻击
SQL注入
SQL定义
SQL注入漏洞(SQLIniection)是Web开发中最常见的一种安全漏洞。SQL注入漏洞就是通过SQL参数替换形成特殊SQL操作。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
特征码:
select,1=1,union
SQL防御方式
1.使用预处理PreparedStatement。
2.使用正则表达式过滤掉字符中的特殊字符。
3对用户输入做严格检查,防止恶意SQL输入
4.部署DBS数据库审计系统、WAF防火墙,进行安全阻断。
5.目前许多数据访问层框架,如IBatisHibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL的参数,而不是SQL命令被执行。
XSS(跨站脚本攻击)
XSS定义
XSS攻击即跨站点脚本攻击(CrossSiteScript),为不和层叠样式表(CascadingStyle SheetsCSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS攻击方式XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
特征码:
script,alert,< >,弹窗
过滤用户输入的内容,检查用户输入的内容中是否有非法内容,如<>(尖括号)、“(引号)、’(单引号)、%(百分比符号)、;(分号)、()(括号)、&(&符号)、+(加号)等。
XSS防御方式
web页面关键字特殊字符过滤。
●部署WAF网页应用防火墙,自动过滤攻击报文。
●对用户输入进行过滤,对特殊字符如”<””>”转义,可以从根本上防止这一问题。
CSRF
CSRF定义
CSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击方式CSRF通过盗用登录信息进行非法操作,比如当你打开浏览器登录网上银行系统后未及时注销退出时,攻击者则获取用户登录信息进行转账操作,因为获取到的用户信息是真是的,所以银行系统也无法分辨真伪。
CSRF防御方式
完成操作及时注销登录。
绑定操作设备,常用IP地址。
授权信息设置失效时间。
验证码操作。
DoS攻击
DoS定义
DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
拒绝服务主要是针对TCP连接进行攻击的,通过发送大量的建立连接请求,使得服务端穷于应付,无法提供正常的网络服务。
DoS防御方式
1.验证码暴力防御方式,用户体验差
2.限制请求频率Yahoo算法,根据IP地址和Cookie等信息,可以计算客户端的请求频率并进行拦截。
题外话:
补充:cookie:
浏览器中Cookies是指服务器暂存放在你的电脑里的txt格式的文本文件资料,主要用于网络服务器辨别电脑使用。比如浏览网站时,Cookies记录下来你输入的一些资料和信息。再访问同一个网站,就会依据Cookie里的内容来判断使用者,送出特定的信息内容给你。
推荐阅读:这一次带你彻底了解Cookie - 知乎
Cookie弊端的是( )。
A.增加流量消耗 B.明文传输存在安全性隐患
C.存在敏感信息泄露风险 D保存访问站点的缓存数据
题目选D很简单,但是你要了解cookie的一些特点
1)Cookie数量和长度的限制。每个domain最多只能有20条cookie,每个cookie长度不能超过4KB,否则会被截掉。
2)用户配置为禁用。有些用户禁用了浏览器或客户端设备接收Cookie的能力,因此限制了这一功能。
3)由于在HTTP请求中的cookie是明文传递的,潜在的安全风险,Cookie 可能会被篡改;
4)有些状态不可能保存在客户端;
5)cookie会被附加在每个HTTP请求中,所以无形中增加了流量。
6)cookie一般不可跨域使用;
7)没有封装好的setcookie 和getCookie方法,需要开发者自行封装。
DDOS攻击
DDOS定义
DDOS攻击全称为分布式拒绝服务攻击,DDOS是DOS攻击中的一种方法。是指击者利用大量机器对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。
DDOS防御方式
防御方式与DOS类似。
例题1:
ACKFlood攻击是指攻击者通过僵尸网络向目标服务器发送大量的ACK报文,报文带有超大载荷引起链路拥塞,或者是极高速率的变源变端口的请求导致转发的设备异常从而引起网络瘫痪,或者是消耗服务器处理性能,从而使被攻击服务器拒绝正常服务。
从而初步判断该公司服务器遭到DDos攻击。DDoS 即分布式拒绝服务攻击:指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS攻击,从而成倍地提高拒绝服务攻击的威力。由于其隐蔽性和分布性很难被识别和防御,DDoS攻击技术发展十分迅速。这种攻击规模大、危害性强。
包括 ACKflood,SYN Flood,ICMPflood,UDPflood等。
例题2:
以下图说明可能遭受了DDOS 攻击或 TCP flood 攻击。
可采用的措施:
IPS,下一代防火墙,流量清洗设备,地址黑名单,限制 TCP 并发。
DDOS攻击和CC攻击的区别
CC攻击是DDoS攻击的一种,其原理是攻击者控制某些主机不停发送大量数据包给对方服务器造成服务器资源的耗尽,一直宕机崩溃
DDOS攻击:
来源:伪造ip 危害:流量打满,业务彻底不可用 协议:TCP/IP 变种:较少
主要针对ip攻击
CC攻击
来源:真实IP 危害:业务故障,或者业务可用但用户隐私被窃取 协议:HTTP 变种:较多
主要针对网站
两者都包含:攻击者,代理服务器和肉鸡,可以使用流量清洗设备
ARP攻击
ARP攻击方式
ARP欺骗是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击手段进行转发。从而控制流量或得到机密信息。
ARP欺骗不是真正使网络无法正常通信,而是ARP欺骗发送虚假信息给局域网中其他的主机,这些信息中包含网关的IP地址和主机的MAC地址;并且也发送了ARP应答给网关,当局域网中主机和网关收到ARP应答更新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。
ARP攻击是利用ARP协议漏洞进行传播的一类病毒,主要是局域网中通过ARP缓存协议表实现ARP欺骗。常见的攻击方式主要有ARP泛洪攻击,ARP欺骗主机的攻击,欺骗网关的攻击,中间人攻击,IP地址冲突攻击等。
暴力攻击(暴力破解)
暴力攻击是穷举式猜测用户密码。
特征码:access,failed,success,password
中间人攻击
中间人攻击常见于用户与服务器间传输数据不加密的网站。
作为用户,只要看看网站的URL是不是以HTTPS开头就能发现这一潜在风险了,因为HTTPS中的“S”指的就是数据是加密的,缺了“S”就是未加密。
攻击者利用中间人类型的攻击收集信息,通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截,如果数据未加密,攻击者就能轻易读取个人信息、登录信息或其他敏感信息。
防御方式
在网站上安装安全套接字层(SSL)就能缓解中间人攻击风险。SSL证书加密各方间传输的信息,攻击者即使拦截到了也无法轻易破解。现代托管提供商通常已经在托管服务包中配置了SSL证书。
网络侦察
网络侦察是探测远端系统的漏洞,以便利用漏洞进行入侵。
APT(高级持续威胁)
APT通常是一个组织,甚至可能是一个政府支持下的组织,因为APT团体是一个既有能力也有意向持续而有效地进行攻击地实体。所以APT通常用来指网络威胁,特别是使用互联网进行间谍活动,利用各种情报搜集技术来获取敏感信息,但同样适用于诸如传统间谍活动或攻击等其他威胁。通常个人黑客不被称为APT,即使他们意图获得或攻击特定目标,但是没有先进和持久的资源。
CC(挑战黑洞)
攻击者通过代理服务器或者肉机向受害主机不停的大量发送数据包,造成对方服务器资源耗尽,一直到宕机为止。
黑客攻击:
①拒绝服务攻击。②缓冲区溢出攻击。③漏洞攻击。④网络欺骗攻击。⑤网络钓鱼。⑥僵尸网等。
IP地址欺骗
一般而言,IP 欺骗会通过获取Internet发送的部分数据进行更改,并使其看起来好像来自合法来源。
IP 欺骗是许多不同攻击的广泛术语:
IP 地址欺骗:直接混淆攻击者的IP地址以进行拒绝服务(DoS)攻击。
域名服务器 (DNS) 欺骗:修改DNS的源IP以将域名重定向到不同的IP。
地址解析协议(ARP)欺骗:ARP欺骗更复杂,它涉及使用欺骗性ARP消息将计算机的媒体访问控制(MAC)地址链接到合法 IP。
IP 欺骗获取数据并在网络级别更改一些可识别信息,使得欺骗难以检测。
远程命令执行(RCE)漏洞
RCE(remote command/code execute,远程命令执行)漏洞,一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。
一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器。
防护设备在过去的文章有写,这里补充一下
蜜罐:
蜜罐看起来是一个真实的计算机系统,其中包含应用程序和数据,欺骗网络犯罪分子以为这是一个合理目标。例如,蜜罐可以模仿公司的客户计费系统,这是想要找到信用卡号码的犯罪分子经常攻击的目标。一旦黑客进入,就可以对他们进行追踪,并对他们的行为进行评估,以获取如何使真实网络更安全的线索。
蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。蜜罐并未像防火墙或反病毒软件一样设置为解决特定问题。相反,它是一种信息工具,可以帮助您了解企业的现有威胁,并发现新出现的威胁。利用从蜜罐获得的情报,可以制定安全工作的优先级和重点。
补充:主动攻击和被动攻击
例题:
下列攻击行为中属于典型被动攻击的是(42)。
(42)A.拒绝服务攻击 B.会话拦截 C.系统干涉 D.修改数据命令
【答案】C
【解析】
主动攻击,一般为故意的攻击行为,会破坏原本的传输内容或过程。
例题:
1.
SQL注入是常见的Web攻击,以下不能够有效防御SQL注入的手段是(45)。
(45)A.对用户输入做关键字过滤
B.部署Web应用防火墙进行防护
C.部署入侵检测系统阻断攻击
D.定期扫描系统漏洞并及时修复
【解析】:
入侵检测系统无法针对SQL注入防御。
【参考答案):(45)C
2.
年初,网络管理员监测到部分境外组织借新冠疫情对我国信息系统频繁发起攻击,其中,
图 2-1 访问日志所示为(3)攻击,图 2-2 访问日志所示为(4)攻击。
网络管理员发现邮件系统收到大量不明用户发送的邮件,标题含“武汉旅行信息收集”“新型冠状病毒肺炎的预防和治疗”等和疫情相关字样,邮件中均包含相同字样的 excel文件,经检测分析,这些邮件均来自某境外组织,exel 文件中均含有宏,并诱导用户执行宏,下载和执行木马后门程序,这些驻留程序再收集重要目标信息,进一步扩展渗透,获取敏感信息,并利用感染电脑攻击防疫相关的信息系统,上述所示的攻击手段为(5)攻击,应
该采取(6)等措施进行防范。
(3)~(5)备选答案:
A.跨站脚本
B.SQL 注入
C.宏病毒
D.APT
E. DDos
F. CC
G.蠕虫病毒
H一句话木马
答案:
(3)H(4)B(5)D
(6)部署防病毒网关或防垃圾邮件系统,启动应用层病毒过滤
解析:
(3) eval(base64decode(sPOSI) 定一句话木马攻击;
(4) select 关键字是典型的对数据库操作 ,故是 SQL 注入;
(5) 利用 excel 宏进行攻击,可以选C 宏病毒,但是题目有扩展渗透,去感染其他电脑,并攻击相关系统,故个人觉得选择 D.APT 攻击更合适。
3.
某日,网站管理员李工报告网站访问慢,他查看了互联网接入区防火墙的日志。日志如图2-2:
根据日志显示,初步判断该公司服务器遭到(1)攻击。该种攻击最常见的攻击方式为(2)、(3)
等,李工立即开启防火墙相关防护功能,几分钟后,服务器恢复了正常使用。
空(1)-(3)备选答案:
A.ARP
B.蜜罐
C.DDoS
D.SQL注入
E.IP 地址欺骗
F.ICMP flood
G.UDP flood
【解析】:
根据题目中的攻击类型“ackflood”ACKFlood攻击是指攻击者通过僵尸网络向目标服务器发送
大量的ACK报文,报文带有超大载荷引起链路拥塞,或者是极高速率的变源变端口的请求导致转发
的设备异常从而引起网络瘫痪,或者是消耗服务器处理性能,从而使被攻击服务器拒绝正常服务。
从而初步判断该公司服务器遭到DDos攻击。
DDoS 即分布式拒绝服务攻击:指借助于客户/服务器技术,将多个计算机联合起来作为攻击平
台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。由于其隐蔽性和分
布性很难被识别和防御,DDoS攻击技术发展十分迅速。这种攻击规模大、危害性强。包括 ACK
flood,SYN Flood,ICMPflood,UDPflood等。
【参考答案】:
(1)C
(2)F
(3)G
4.
该公司的Web系统频繁遭受DDoS和其他网络攻击.造成服务中断、数据泄露。图2-4为服务器日志片段,该攻击为(11),针对该攻击行为,可部署(12)设备进行防护;针对DDoS(分布式拒绝服务)攻击,可采用(13)、(14)措施,保障Web系统正常对外提供服务。
(11)备选答案:
A.跨站脚本攻击
B.SQL注入攻击
C.远程命令执行
D.CC攻击
(12)备选答案:
A.漏洞扫描系统
B.堡垒机
C.Web应用防火墙
D.入侵检测系统
(13)~(14)备选答案:
A.部署流量清洗设备
B.购买流量清洗服务
C.服务器增加内存
D.服务器增加磁盘
E.部署入侵检测系统
F.安装杀毒软件
解析:
根据服务器日志文件显示的信息可以判断出SQL注入攻击。针对SQL注入攻击一般可以结合WEB应用防火墙进行防护,还可以结合IPS等设备,最重要的是对用户的输入继续过滤。针对DDOS攻击,可以采用部署流量清洗设备和购买流量清洗服务,该设备对进入客户服务器的数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。
答案:B,C,A,B
5.
某企业门户网站(www.xxx.com)被不法分子入侵,查看访问日志,发现存在大量入侵访问记录,如下图所示。
www.xxx.com/news/html/?0’ union select 1 from (select count/*),concatfloor/rand(0)*2),0x3a,(selectconcat(user,0x3a,password) from pwn base admin limit 0,1),0x3a)a from information schema.tablesgroup by a)b where' 1' =' 1.htm
该入侵为 (69)攻击,应配备 (70) 设备进行防护
(69) A.DDOS B.跨站脚本 C.SQL注入 D.远程命令执行
(70) A.WAF(WEB安全防护) B.IDS (入侵检测) C漏洞扫描系统 D.负载均衡
答案:C,A
6.
网络管理员在对公司门户网站(www.onlineMall.com)巡检时,在访问日志中发现如下入侵记录:该入
侵为(66)攻击,应配备(67)设备进行防护。
2018-07-10 21:07:44 219.232.47.183访闻www.onlineMall.com/manager/htmlstart?path=
(66)A.远程命令执行 B.跨站脚本(XSS) C.SOL注入 D.Http Heads
(67)A.数据库审计系统 B.堡垒机 C漏洞扫描系统 D.Web应用防火墙
答案:B,D
7.
某天,网络管理员在入侵检测设备上发现图2-2所示网络威胁日志,从该日志可判断网络威胁为(3网络管理员应采取 (4)、 (5)等合理有效的措施进行处理
(3)备选答案:
A.跨站脚本攻击 B.拒绝服务 C.木马 DSQL注入
(4)~(5)备选答案:
A.源主机安装杀毒软件查杀 B目标主机安装杀毒软件并查杀
C.将上图所述URL加入上网行为管理设备黑名单 D.将上图所示URL加入入侵检测设备黑名单E.使用漏洞扫描设备进行扫描
答案: C
解析:A,C
8.
网络管理员发现线上商城系统总是受到SQL注入、跨站脚本等攻击,公司计划购置(8)设备/系统加强防范;该设备应部署在图2-1中设备D一的(9)处。
A.杀毒软件 B主机加固 C.WAF (Web应用防护系统) D漏洞扫描
答案:C,部署在WEB服务器前面