1、传输控制协议/因特网互联协议(Transmission Control Protocol InternetProtocol,TCP/IP)是目前因特网中使用最广泛的协议。
2、目前因特网使用的是Pv4。IPv6是由互联网工程任务组(Internet Engineering Task Force),IETF)设计的下一代P协议。
超文本标记语言(Hyper Text Mark-up Language,HTML)是一种制作万维网页面的标准语言,为不同的计算机交换信息资源提供了统一的格式。
超文本传输协议(Hyper Text Transfer Protocol,HTTP)是因特网上应用最广泛的一种网络协议,是用于从WWW服务器传输超文本到本地浏览器的传输协议。
互联网上每个主机都有一个P地址,如果把P地址比作一栋楼的一间房间,端口就是出入这个房间的门。计算机通过端口(Port)实现与外部通信的连接,黑客攻击是将系统和网络设备中的各种端口作为入侵通道。
域名系统(Domain Name System,DNS)用于域名和IP地址间的转换。
1、统一资源定位符(Uniform Resource Locator,URL)用来标识刀维网中母个信息资源的地址。
2、URL由三部分组成,表示形式为: http:/l主机域名或P地址[:端口号]/文件路径/文件名
其中,http表示使用HTTP传输协议,将远程服务器上的文件或者网页传输给用户的浏览器;主机域名指的是提供此服务的计算机的域名;端口号通常为默认端口,如网页服务器使用的端口号是80,一般不需要特意指定端口号:“/文件路径/文件名”指的是网页在服务器硬盘中的位置和文件名。
万维网(World Wide Web,www)是因特网上最广泛使用的一种信息服务,是因特网的主要组成部分。用户可以通过客户端程序(浏览器)访问服务器端程序提供的页面。
社会工程学( Social Engineering,SE)不是一门科学,而是一门综合运用信息收集、语言技巧、心理陷阱等多种手段,完成欺骗目的的方法。
社会工程学攻击主要是利用人们信息安全意识淡薄以及人性的弱点,从而让用户上当受骗。
攻击者通过各种手段和方法收集用户信息,进而使用这些用户信息完成各种非法的活动,比如身份盗用,获取有价值的情报和机密等。
嗅探,英文是sniff,也被叫做监听。
网络嗅探,就是通过截获、分析网络中传输的所有数据帧而获取有用信息的行为。
对黑客来说,通过嗅探技术能以非常隐蔽的方式获取网络中大量敏感信息,例如:你正在访问什么网站,你的邮箱密码是多少,你的QQ聊天记录是什么等等…
很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。
网络钓鱼(Phishing)是指攻击者利用伪造的Web站点和欺骗性的电子邮件来进行的网络诈骗活动,受骗者往往会泄露自己的私人资料,如网上银行账号及密码、信用卡号、各种支付系统的账号及密码、身份证号等内容。诈骗者通常会将自己伪装成网络银行、网上卖家和信用卡公司等令人信任的品牌,骗取用户的机密信息,盗取用户资金。
复制图片和网页设计、相似的域名:
用户鉴别网站的一种方法是检查地址栏中显示的URL。为了达到欺骗目的,攻击者会注册一个域名,它看起来同要假冒的网站域名相似,有时攻击者还会改变大小写或使用特殊字符。由于大多数浏览器是以无衬线字体显示URL的,因此,“paypa1.com”可用来假冒“paypal.com”,“barc1ays.com”可用来假冒“barclays.com”。更常见的是,假域名只简单地将真域名的一部分插入其中,例如,用“ebay-members-security.com”假冒“ebay. com”,用“users-paypal. com”假冒“paypal.com”。而大多数用户缺少判断一个假域名是否真正为被仿冒公司所拥有的工具和知识。
URL隐藏
假冒URL的另一种方法利用了URL语法中一种较少用到的特性。用户名和密码可包含在域名前,语法为: http : //username: password@domain/。攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏的最后,例如“http: //earthlink. net%6C%6C… . %[email protected]”。网页浏览器的最近更新已关闭了这个漏洞,其方法是在地址栏显示前将URL中的用户名和密码去掉,或者只是简单的完全禁用含用户名/密码的URL语法,InternetExplorer就使用了后一种办法。
IP地址
隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://210.93.131.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。
欺骗性的超链接
一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。即便是一个有着丰富知识的用户,他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL检查超链接目的地址的标准方法是将鼠标放在超链接上,其URL就会在状态栏中显示出来,但这也可能被攻击者利用JavaScript或URL隐藏技术所更改。
隐藏提示
还有一种更复杂的攻击,它不是在URL上做文章,而是通过完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。最近发生的一次攻击就使用了用JavaScript在lnternet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。
弹出窗口
最近对Citibank客户的一次攻击使网页复制技术前进了一步,它在浏览器中显示的是真实的Citibank网页,但在页面上弹出了一个简单的窗口,要求用户输入个人信息。
1、此类攻击指一个用户占据了大量的共享资源,使得系统没有剩余的资源给其他用户可用的一种攻击方式。这是一类危害极大的攻击方式,严重的时候可以使一个网络瘫痪。
Flooding攻击发送垃圾数据或者响应主机的请求来阻塞服务-
Smurf攻击利用IP的广播系统的反射功能来增强Flooding攻击.SYN ( Synchronize) Flooding攻击。
SYN ( Synchronize) Flooding攻击利用TCP实现中的漏洞(有限的缓存)来阻塞外来的链接请求。
2、SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
TCP与UDP不同,它是基于连接的,也就是说,为了在服务端和客户端之间传送TCP数据,必须先建立也就是TCP连接。
3、SYN-Flooding攻击概述(1)
建立TCP连接的标准过程如下:
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。
服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认( Acknowledgement) 。
最后,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加1,到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)
4、SYN-Flooding攻击概述(2)
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYN超时( Timeout) ,一般来说这个时间是分钟的数量级(大约为30秒到2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况。
5、SYN-Flooding攻击概述(3)
服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源:数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃—即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
网络攻击成功可以实现对目标主机的入侵,攻击者下一步希望对目标主机进行远程控制,以便可轻松获取目标主机中有价值的数据和信息。对目标主机的远程控制主要利用木马来实现,此外,对于web服务器还可以通过Web Shell进行远程控制。
木马例子很多不做介绍。有兴趣的可以去看看这篇文章木马简介与分类。
木马的检测和查杀除了依靠杀毒软件和安全防护软件等常用手段外,还可以通过全面检测系统的注册表、文件、网络连接、运行的进程等实现人工的分析。木马的远程控制功能要实现,必须通过执行一段代码来实现。因此,即使木马使用的技术再新,也会在操作系统中留下痕迹。通过运用多种监控手段和工具,可以协助发现植入的木马程序。
和操作系统中的木马程序功能类似,Webshell可以理解为是一种Web脚本写的木马后门,它用于远程控制网站服务器。Webshell以ASP、PHP、XJSP等网页文件的形式存在,攻击者首先利用Web网站的漏洞将这些网页文件非法上传到网站服务器的Web目录中,然后通过浏览器访问这些网页文件,利用网页文件的命令行执行环境,获得对网站服务器的远程操作权限,以达到控制网站服务器的目的。
Webshell除了被攻击者利用之外,也常被网站管理员用Webshell进行网立管理、服务器管理等。Webshell能提供对网站服务器的较为强大的管理功能,它在为网站管理员提供方便的同时,也为攻击者远程控制网站提供了方便的手段。
虚拟专用网络( Virtual Private Network,VPN)是在公用网络上建立专用网络的技术。
“虚拟的",即用户实际上并不存在一个独立专用的网络,既不需要建设或租用专线,也不需要配置专用的设备,而是将其建立在分布广泛的公共网络上,就能组成一个属于自己的专用网络。其次是“专用的",相对于“公用的"来说,它强调私有性和安全可靠性。
VPN是利用Internet等公共网络基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道,可以实现不同网络之间以及用户与网络之间的相互连接。
VPN的实现技术
隧道技术是VPN的核心技术,是一种隐式传输数据的方法;
隧道技术通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输;
从协议层次看,主要有三种:第二层隧道协议、第三层隧道协议和第四层隧道协议。
一般来说,防火墙由四大要素组成:
安全策略:一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙;防火墙应该如何具备部署;应该采取哪些方式来处理
紧急的安全事件;以及如何进行审计和取证的工作。等等这些都属于安全策略的范畴。防火墙绝不仅仅是软件和硬件,而且包括安全策略,以及执行这些策略的管理员。
内部网:需要受保护的网。
外部网:需要防范的外部网络。
技术手段:具体的实施技术。
无线局域网技术可以非常便捷的以无线方式连接网络设备,相对于有线局域网它具有许多优点,如人们可以随时随地的访问网络资源。
无线网络的安全性主要体现在访问控制和数据加密两个方面
(1)访问控制保证敏感数据只能由授权用户进行访问,
(2)数据加密则保证发送的数据只能被所期望的用户所接受和理解。
(1)修改admin密码
(2)WEP加密传输
(3)禁用DHCP服务
(4)修改SNMP字符串
(5)修改SSID标识
(6)禁止SSID广播
(7)禁止远程管理
(8) MAC地址过滤
(9)合理放置无线AP
(10)WPA用户认证