對稱加密 非對稱加密?
對稱加密:加解密用同一密鑰,密鑰維護複雜 n(n-1)/2,不適合互聯網傳輸密鑰,加解密效率高。應用於加密數據。
非對稱加密:公鑰推不出私鑰,每個用戶一個非對稱密鑰對就可以,適合於互聯網傳輸公鑰,但是加密效率低,應用於數字簽名及加密。
cookie存在哪裏?可以打開嗎
C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\Cookies
工具--文件夾選項--查看--將隱藏被保護的文件的對勾去掉就會看到cookies文件夾。
tcp、udp的區別及tcp三次握手,syn攻擊?
TCP的優點:
可靠,穩定
TCP的可靠體現在TCP在傳遞數據之前,會有三次握手來建立連接,而且在數據傳遞時,有確認、窗口、重傳、擁塞控制機制,在數據傳完後,還會斷開連接用來節約系統資源。
TCP的缺點:
慢,效率低,佔用系統資源高,易被攻擊
TCP在傳遞數據之前,要先建連接,這會消耗時間,而且在數據傳遞時,確認機制、重傳機制、擁塞控制機制等都會消耗大量的時間,而且要在每臺設備上維護所有的傳輸連接,事實上,每個連接都會佔用系統的CPU、內存等硬件資源。
而且,因爲TCP有確認機制、三次握手機制,這些也導致TCP容易被人利用,實現DOS、DDOS、CC等攻擊。
UDP的優點:
快,比TCP稍安全
UDP沒有TCP的握手、確認、窗口、重傳、擁塞控制等機制,UDP是一個無狀態的傳輸協議,所以它在傳遞數據時非常快。沒有TCP的這些機制,UDP較TCP被攻擊者利用的漏洞就要少一些。但UDP也是無法避免攻擊的,比如:UDP Flood攻擊……
UDP的缺點:
不可靠,不穩定
因爲UDP沒有TCP那些可靠的機制,在數據傳遞時,如果網絡質量不好,就會很容易丟包。
當對網絡通訊質量要求不高的時候,要求網絡通訊速度能儘量的快,這時就可以使用UDP。
比如,日常生活中,常見使用UDP協議的應用如下:
QQ語音
QQ視頻
SYN攻擊原理
SYN攻擊屬於DOS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。
SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網絡系統,事實上SYN攻擊並不管目標是什麼系統,
只要這些系統打開TCP服務就可以實施。服務器接收到連接請求(syn=j),
將此信息加入未連接隊列,併發送請求包給客戶(syn=k,ack=j+1),此時進入SYN_RECV狀態。
當服務器未收到客戶端的確認包時,重發請求包,一直到超時,纔將此條目從未連接隊列刪除。
配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內僞造大量不存在的IP地址,
向服務器不斷地發送syn包,服務器回覆確認包,並等待客戶的確認,由於源地址是不存在的,
服務器需要不斷的重發直至超時,這些僞造的SYN包將長時間佔用未連接隊列,正常的SYN請求被丟棄,
目標系統運行緩慢,嚴重者引起網絡堵塞甚至系統癱瘓。
滲透測試的流程是什麼
前期交互階段、情報蒐集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段(Exploitation)、後滲透攻擊階段(怎麼一直控制,維持訪問)、報告階段。
攻擊前:網絡踩點、網絡掃描、網絡查點
攻擊中:利用漏洞信息進行滲透攻擊、獲取權限
攻擊後:後滲透維持攻擊、文件拷貝、木馬植入、痕跡擦除
虛擬機的幾種連接方式及原理
VMware網絡連接的方式主要有:橋接(Bridged)、NAT、主機網絡(Host-Only)。
橋接(Bridged)
什麼是橋接方式連接,我打個比喻,橋接就相當於兄弟一樣是並列的,也就是說使用橋接時,虛擬機的IP網段和主機的網段是一樣的。
NAT(網絡地址轉換)
NAT是network address translate的簡稱,什麼是NAT方式連接,NAT就相當於父子關係一樣,也就是說使用NAT時,本地主機就相當於虛擬機的網關。
Host-only
主機和虛擬機之間的網絡互訪, 但虛擬機訪問不了internet。
Web服務器被入侵後,怎樣進行排查?
- 查看下web 服務器日誌
- 看看有沒有異常端口開放
- 使用安全狗等服務器安全軟件清掃
dll文件是什麼意思,有什麼用?
DLL(Dynamic Link Library)文件,即動態鏈接庫,也有人稱作應用程序拓展。
Windows應用程序中,實行了模塊化設計,也就是說並不是每個應用程序都編寫完所有的功能代碼,而是在運行過程中調用相應功能的DLL,不需運行的功能就不調用,所以大大加快了程序的加載速度和效率,其他應用程序也可以調用相關的DLL,這樣也有利於促進代碼重用以及內存使用效率,減少了資源佔用,而且程序更新時也只要更新相關的DLL就可以了。
有些病毒也會僞裝成DLL文件,並替換系統的DLL文件,需要我們防範。
DLL劫持原理
由於輸入表中只包含DLL名而沒有它的路徑名,因此加載程序必須在磁盤上搜索DLL文件。首先會嘗試從當前程序所在的目錄加載DLL,如果沒找到,則在Windows系統目錄中查找,最後是在環境變量中列出的各個目錄下查找。利用這個特點,先僞造一個系統同名的DLL,提供同樣的輸出表,每個輸出函數轉向真正的系統DLL。程序調用系統DLL時會先調用當前目錄下僞造的DLL,完成相關功能後,再跳到系統DLL同名函數裏執行。這個過程用個形象的詞來描述就是系統DLL被劫持(hijack)了。
僞造的dll製作好後,放到程序當前目錄下,這樣當原程序調用原函數時就調用了僞造的dll的同名函數,進入劫持DLL的代碼,處理完畢後,再調用原DLL此函數。
如何防止DLL劫持
劫持DLL劫持利用系統未知DLL的搜索路徑方式,使得程序加載當前目錄下的系統同名DLL。所以可以告訴系統DLL的位置,改變加載系統DLL的順序不是當前目錄,而是直接到系統目錄下查找。
蜜罐
蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標,引誘黑客前來攻擊。所以攻擊者入侵後,你就可以知道他是如何得逞的,隨時瞭解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯繫,收集黑客所用的種種工具,並且掌握他們的社交網絡。
DDOS
一些黑客通過技術手段控制了一些服務器、個人電腦後,他們只需要在這些設備上植入DDoS攻擊程序,即可打擊 互聯網上任意一目標。
比如黑客控制了1000臺機器,這些機器每個帶寬是10M,那麼相當於黑客有了10G的流量,當它控制這些機器同時向某一網站發起流量攻擊時,目標網站可能瞬間帶寬被佔滿,而無法訪問。
將多個計算機聯合起來作爲攻擊平臺,對一個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力.
被DDOS攻擊時的跡象:
· 被攻擊主機上有大量等待的TCP連接。
· 網絡中充斥着大量的無用的數據包,源地址爲假。
· 製造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊。
· 利用受害主機提供的服務或傳輸協議上的缺陷,反覆高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求。
· 嚴重時會造成系統死機。
DDOS攻擊主要分爲三類:流量型攻擊;連接型攻擊;特殊協議缺陷。
Ip lood
攻擊原理:此攻擊以多個隨機的源主機地址向目的主機發送超大量的隨機或特定的IP包,造成目標主機不能處理其他正常的IP報文。
Syn Flood
攻擊原理:依據tcp建立連接的三次握手。此攻擊以多個隨機的源主機地址向目的主機發送syn包,而在收到目的主機的syn+ack包後並不迴應,目的主機就爲這些源主機建立大量的連接隊列,由於沒有收到ack一直維護這些連接隊列,造成資源的大量消耗而不能向正常的請求提供服務。
Udp 反射 Flood
攻擊原理:有時被保護服務器也有同外部服務器進行udp交互的需求,攻擊者就會利用此交互對被保護服務器進行udp反射放大攻擊。此攻擊在短時間那冒充被攻擊地址向外部公用的服務器發送大量的udp請求包,外部服務器收到虛假的udp請求就會回覆大量的迴應包給被攻擊服務器地址,造成目標主機被保護服務器不能處理其他正常的交互流。
Dns Query Flood
通過發起大量的DNS請求,導致DNS服務器無法響應正常用戶的請求,正常用戶不能解析DNS,從而不能獲取服務。
Dns Reply Flood
攻擊者通過發起大量僞造的DNS迴應包,導致DNS服務器帶寬擁塞無法響應正常用戶的請求,正常用戶不能解析DNS,從而不能獲取服務。
Http Flood
此攻擊類型主要攻擊目標爲Web服務器上的網頁訪問服務,當發生攻擊時攻擊者向被攻擊服務器大量高頻的發送一個網頁或多個網頁的請求服務,使服務器忙於向攻擊者提供響應資源從而導致不能想正常的合法用戶提供請求響應服務。
Https Flood
此攻擊類型主要攻擊目標是使用https協議的Web服務器上的訪問服務,當發生攻擊時攻擊者向被攻擊服務器大量高頻的發送請求服務,使服務器忙於向攻擊者提供https響應資源從而導致不能想正常的合法用戶提供請求響應服務。
Dns 投毒
一臺dns服務器只記錄本地資源的所有授權主機,若要查詢的是非本地的主機信息,則向信息持有者(授權dns服務器)發送查詢請求。爲了避免每次查詢都發送請求,dns服務器會把授權服務器返回的查詢結果保存在緩存中,並保持一段時間,這就構成了dns緩存。dns緩存投毒攻擊就是通過污染dns cache,用虛假的IP地址信息替換cache中主機記錄的真實IP地址信息來製造破壞。這種類型的攻擊的目的是將依賴於此dns服務器的受害者重定向到其它的地址,例如重定向搜索引擎到廣告網站。這種類型的典型攻擊就是釣魚方式的攻擊,例如將一個銀行的訪問重定向到黑客僞造的網站。
手工查找後門木馬的小技巧
1、首先最需要注意的地方是系統的啓動項,可以在“運行”-輸入“msconfig命令”在打開的系統配置實用程序裏的啓動列表查看,並且服務也要注意一下,如果對電腦不是太熟悉的童鞋建議使用360安全衛士的開機加速功能,來查看有無異常的可以啓動項和服務項,因爲在後門木馬中99%都會註冊自己爲系統服務,達到開機自啓動的目的,如果發現可疑項直接打開相應的路徑,找到程序文件,直接刪除並且禁止自啓動;
2、查看系統關鍵目錄system32和系統安裝目錄Windows下的文件,xp系統下兩者默認路徑分別是C:\WINDOWS\system32和C:\WINDOWS\。然後最新修改的文件中有沒有可疑的可執行文件或dll文件,這兩個地方都是木馬最喜歡的藏身的地方了(小提示:一定要設置顯示所有的文件的文件夾哦)。
3、觀察網絡連接是否存在異常,還有“運行”-“cmd”-“netstat -an”查看有沒有可疑或非正常程序的網絡連接,如果對電腦不是很熟悉建議大家使用360的流量監控功能更加直觀和方便,尤其注意一下遠程連接的端口,如果有類似於8000等端口就要注意了,8000是灰鴿子的默認端口,記得有一次自己就在後門木馬測試中在網絡連接中發現8000端口,當然意思不是說只要沒有8000端口的網絡連接就一定安全,因爲8000端口只是灰鴿子上線的默認端口,並且端口是可以更改的。
什麼是手機”越獄“
所謂iOS系統的越獄就是取得系統最高權限的行爲,越獄前後iOS系統本身並不會發生質的改變,只是越獄後可以對iOS系統進行更充分的利用而已。
越獄的好處:
1、越獄之後操作性更強,取得了手機的最高權限,就可以修改手機內容,包括安裝免費的破解軟件、自定義功能、美化等等。
2、越獄後可以繞過AppStore免費下載APP。
越獄的壞處:
1、越獄後失去保修。
2、越獄之後,後臺程序運行,桌面主題等都會加大耗電。
3、越獄就是打破iOS系統封閉,所以手機就相對變得不安全了。