安全防范知识

1、***方式

主动***主要包括对业务数据流报文首部或数据载荷部分进行假冒或篡改，以达到冒充合法用户对业务资源进行非受权访问，或对业务资源进行破坏性***
被动***，用户通常没法感知

bug不等同于漏洞
bug影响功能性，不涉及安全性，也不构成漏洞，大部分的漏洞来源于bug，但并非所有，它们之间只是有一个很大的交集

漏洞确定涉及安全问题

***:利用安全存在的漏洞和安全缺陷对网络系统的硬件，软件及其系统中的数据进行的***，包括主动***：篡改、伪造消息数据、DDOS等；被动***:流量分析、窃听等
***:指具备熟练的编写和调试计算机程序的技巧，并使用这些技巧来得到非法或未受权的网络或文件访问，***进入公司内部网的行为
***和***之间的区别：***是指任何威胁和破坏系统资源的行为，***是***者为进行***所采起得技术手段和方法

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也能够将其称为一种网页后门
网站黑链映射到其它网站上

失陷主机植入恶意软件，市场恶意软件不断变种

0day漏洞:一般是指尚未补丁的漏洞，也就是说官方尚未发现或者是发现了尚未开发出安全补丁的漏洞

exploit简称exp，漏洞利用

提权:提升本身在服务器的权限，主要针对网站***过程当中，当***某一网站时，经过各类漏洞提高WEBshell权限以夺得该服务器权限

跳板:为了隐藏本身的地址，让别人没法查找到本身的位置

***:网站遭到***后，***窃取其数据库

社会工程学:是一门科学，是一种利用人性的弱点（好奇心、信任、贪婪等心理）进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上升甚至滥用的趋势

Apt***:高级持续性威胁，利用先进的***手段对特定目标进行长期持续性网络***的***形式

静态网页:htmlh或者htm，是一种静态的资源格式，不须要服务器解析其中的脚本，由IE浏览器解析
一、不依赖数据库
二、灵活性差、制做、更新、维护麻烦
三、交互性较差、在功能方面有较大的限制
四、安全、不存在SQL注入漏洞

动态网页:
asp、aspx、php、jsp等，由相应的脚本引行来解释执行，根据指令生成静态网页
一、依赖数据库
二、灵活性好、维护简便
三、交互性好、功能强大
四、存在安全风险，可能存在SQL注入漏洞

脏牛漏洞、sudo漏洞 linux系统

IIS:internet信息服务器

net start w3svc 关闭IIS
net start iisadmin
常见漏洞:IIS短文件漏洞、IIS解析漏洞、IIS6.0远程代码执行

Apache是Apache软件基金会的一个开放源码的网页服务器，世界使用排名第一的web服务器软件
常见漏洞:Apache解析漏洞、Apache日志文件漏洞

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器
常见漏洞:Nginx解析漏洞、整数溢出漏洞

Tomcat服务器是一个免费的开源代码的web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是不少的场合下被广泛使用，是开发和调试JSP程序的首选
常见漏洞:tomcat弱口令、tomcat远程代码执行、本地提权

Weblogic是一个基于JavaEE架构的中间件，weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的java应用服务器
常见漏洞:java反序列化、×××F(服务器端请求伪造)

SQL结构化查询语言

0day***:利用简单，危害较大
struts2框架存在漏洞，平时说struts2漏洞指的远程命令/代码执行漏洞
利用该漏洞可执行任意操做，例如上传shell，添加管理员帐号等

Jave反序列化:直接部署一个webshell，利用很是简单

bash破壳漏洞
bash漏洞源于在调用bash shell以前能够用构造的值建立环境变量，因为没有对输入的环境变量进行检测，***者能够在输入的变量时候能够包含恶意代码，在shell被调用后会当即执行
利用该漏洞，能够执行任意代码，甚至能够不须要金钩认证，就能远程取得系统的控制权，包括执行恶意程序，或在系统内植入***，获取敏感信息

***防范:经过分析通过设备的报文的内容和行为，判断报文是否具备***特征，并根据配置对具备***特征的报文执行必定的防范措施“告警、丢弃报文、加入黑名单等”

***目的

其目的是使计算机或网络没法提供正常的服务，服务器宕机，业务中断，网络瘫痪、窃取密码和信息

***方式

单播***：畸形报文***，***者利用缺陷的IP报文，是目标系统没法处理该报文是出错、崩溃
扫描***：寻找脆危的目标位置，为***作准备Sniffer、portscan、ping、域名IP地址映射Whois

泛洪***：SYN Flood ***、ICMP Flood ***、UDP Flood ***

访问***：密码破解、信任被利用

应用层***:应用层DDoS***利用了高层协议，对应用服务开展***（因为高层协议的多样性与复杂性，应用层DDoS***很难被检测到）
主要一下几种:
一、慢速***:***者以一个较低速率持续向服务器发送请求行，服务器通常会缓存客户端的请求，所以达到资源耗尽的目的
二、泛洪***:***者构造随机的URL，向服务器发送请求，消耗服务器资源
三、CC***:***者分析出都那些URL比较耗性能，而后针对该URL发动***，消耗服务器资源

SYN Flood ***：***者向服务器发送伪造源地址的SYN报文，服务器在回应SYNACK报文后，因为目的地址是伪造的，所以服务器不会收到相应的ACK报文，从而在服务器上产生一个半链接，若***者发送大量这样的报文，使其服务器资源耗尽，使正常的用户没法访问，直到半链接超时
措施：SYN Cookie功能用来防止SYN Flood***
服务器收到TCP链接请求时，直接向发起者回复SYN ACK报文，当服务器收到发起者回应的ACK报文后，才创建链接，并进入Established状态，从而能防止服务器受到SYN Flood***

ICMP Flood ***：***者在短期内向特定目标发送大量的ICMP请求报文（例如ping报文），使其忙于回复这些请求，导致目标系统负担太重而不能处理正常的业务
UDP Flood ***：***者在短期内向特定目标发送大量的UDP报文，导致目标系统负担太重而不能处理正常的业务

措施：使用UDP helper功能，将开启广播报文转换为单播报文发送给指定的服务器

链接限制
内网用户访问外网时，发起大量链接，使其设备系统资源迅速消耗，致使其它用户没法访问网络资源
限制用户发起的链接数
限制用户建立链接的速率
限制用户创建链接所占用的带宽资源来实现

黑名单功能：黑名单功能是根据报文的源IP地址进行报文过滤的一种***防范特性，动态创建黑名单

Smurf***：***者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，经过使用ICMP应答请求数据包来淹没受害主机的方式进行
最终致使该网络的全部主机都对次ICMP应答请求做出答复，致使网络阻塞

密码***：多个设备不要使用相同密码、限制密码登陆次数、远程网管不使用明文密码、象形密码
信任被利用：防火墙划分区域、端口重定向netcat、中间人******、缓存溢出DOS

应用层：禁掉不须要的服务端口:CDP、finger......

结合安全设备进行防御：

防火墙是L3-L4的安全防护设备,防火墙只能解决20%的安全威胁问题

IPS是L7层上进行防护的IPS内置了IDS功能,而IPS能够解决80%的安全问题

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层链接，并可以在网络间进行安全适度的应用数据交换的网络安全设备

网闸是使用带有多种控制功能的固态开关读写介质链接两个独立主机系统的信息安全设备

物理隔离网闸所链接的两个独立主机系统之间，不存在通讯的物理链接、逻辑链接、信息传输命令、信息传输协议，不存在依据协议的信息包转发

物理隔离网闸从物理上隔离、阻断了具备潜在***可能的一切链接，使"***"没法***、没法***

***是基于TCP的，***的客户端和服务器端须要创建链接

蠕虫经过计算机网络主动复制和繁殖本身，消耗网络、系统资源

蠕虫传播时破坏了系统核心进程svchost.exe，从而致使系统不稳定，崩溃
蠕虫用如下端口发现漏洞的系统:TCP 13五、TCP 13七、TCP 139

安全隔离网闸由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元