网络安全

中断
窃取
篡改
伪造

APT

高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性渗透和攻击

分五步：

情报收集

防线突破

通道建立

横向渗透

信息收集级外传

暗网

表层网络：任何搜索引擎都能抓取并轻松访问，只战整个网络4%-20%

深网：表层之外的网络，普通搜索引擎无法抓取这类网站

暗网属于深网的一部分，不能被超链接访问，只能通过动态网页技术访问。

网络监听

监听网络状态，数据流，及网络上传输的信息

口令破解

字典攻击
强行攻击
组合攻击

拒绝服务攻击（DOS）

让目标服务器停止提供服务或者资源访问

主要模式：

消耗资源
篡改配置
利用处理程序错误

服务端口攻击

向主机端口发送大量数据，从而是主机不能提供正常服务

常见攻击：

1，SYN Flooding

2，Smurf攻击

3，利用程序的错误

4，电子邮件轰炸

DDOS分布式拒绝服务攻击

很多DOS攻击源一起发起攻击

特点：

1，被攻击主机有大量等待TCP连接

2，大量的TCP，UDP数据分组不是现有服务连接，指向机器任意端口

3，大量无用数据包，源地址是假冒地址

4，网络出现大流量无用数据，造成网络拥塞

5，利用受害主机的服务和协议缺陷，反复发送请求

LDOS（低速率拒绝服务）

不需要维持高频率攻击，耗尽被攻击者的可用资源

漏洞攻击

利用硬件，软件，策略上的缺陷

缓冲溢出

向缓冲区写入超长的预设内容，导致缓冲溢出，覆盖其他程序或数据，让后就算计转而运行该预设内容，打到执行非法操作的目的

系统漏洞

利用软件或操作系统在逻辑上的缺陷或错误

僵尸网络

采用一种或多种手段使大量主机感染僵尸程序，从而在控制者和被感染者间形成一对多的控制网络

防御手段：

蜜罐技术，网络流量研究，IRCserver识别技术

网站安全威胁

1，SQL注入

2，跨站攻击

3，旁注攻击

4，失效的身份认证和会话管理

社会工程学

利用社会科学并结合常识，有效利用，获取机密信息的学科

使用非计算机手段得到敏感信息的方法集合

恶意代码

没有作用却会带来危险的代码

特点：

1，恶意的目的

3，通过执行发生作用

病毒，木马，蠕虫，后门，逻辑炸弹，广告软件，间谍软件，恶意共享软件等

蠕虫

一段可以借助程序自行传播的程序或代码

木马

通过伪装吸引用户下载，并未施种者提供被种主机的门户

正向连接木马—-在中马者机器上开一个端口，让攻击者去连接

反向连接木马—-让被攻击者主动连接到外部的机器，可以轻松突破防火墙

计算机取证

电子证据

以下情况证据不具有合法性：

通过窃录方式获得电子证据
通过非法搜查，扣押获得
通过非核证程序获取
通过非法软件获得

取证步骤：

1，准备工作

2，保护目标计算机系统

3，确定电子证据

4，收集电子证据

5，保全电子证据

常用工具：

X-Ways Forensics—-综合取证，分析

X-Ways Trace—-追踪分析浏览器上网记录，windows回收站删除记录

X-Ways Capture—-获取正在运行的操作系统下硬盘，文件，和RAM数据

FTK—-自动文件分类，定位嫌疑文件

FBI—-电子邮件关联性分析

Guidance Software—-构建独立的硬盘镜像，从屋里层面阻断操作系统向硬盘写入数据

网络蜜罐

一个安全资源，用于探索，攻击和损害，收集入侵数据。

牺牲型蜜罐—-一台简单的位特定攻击设计的计算机，为攻击者提供目标，容易被利用攻击其他主机

外观型蜜罐—-仿真网络服务，不会导致真的被攻击，可迅速手机入侵者信息

测量型蜜罐—-结合以上两者优点，容易访问，但很难绕过

配置方式：

1，诱骗服务

2，弱化系统

3，强化系统

4，用户模式服务

匿名网络

第二代洋葱路由（TOR）的一种实现，专门防范流量过滤，嗅探分析

真的TOR的攻击：

时间攻击
通信流攻击

网络存储

1，DAS（之间附加存储）—-设备通过电缆直接连接服务器

2，NAS（网络附属存储）—-采用独立服务器，单独位数据存储而开发一种文件存储服务器

3，SAN（存储区域网络）—-采用高速光纤通道作为传输介质的网络存储技术

安全设备

防火墙
入侵检测与入侵防护
网络协议分析攻击

防火墙

用于控制网络之间的通信

常见防火墙技术：

1，包过滤防火墙—-针对网络层和传输层，对数据包源地址，目的地址，和协议进行检查

2，代理服务器式防火墙—-对第四层到第七层数据进行检查

3，基于状态检测的防火墙—-检测每个TCP，UDP会话连接

ACL

访问控制列表，目前使用最多的访问控制实现技术，是路由器接口的指令列表，控制进出的数据包

分类

标准访问控制列表—-基于IP地址，取值1-99，分析数据包源地址，决定数据的允许或拒绝
扩展访问控制列表—-通用扩展访问控制列表，针对TCP,UDP扩展访问控制，针对ICMP扩展访问控制

-— 这里配置各种防火墙需要用到一些命令，后面补充—-

防火墙模式：

用户模式—-登陆防火墙后

特权模式—-用户模式输入enable

监视模式—-重启过程中按住esc

防火墙基本配置：

1，配置防火墙接口—-nameif

2，配置接口参数—-interface

3，配置接口地址—-ip address

4，配置公网地址和定义地址池—-global

5，地址转换—-nat

6，路由配置—-route

7，配置静态地址映射—-static

8，侦听—-fixup

入侵检测

IDS，从系统运行或处理各种数据中查找出威胁系统安全的因素，并对其做出处理，一般认为是被动防护。

一种安全模型：防护，检测，响应。

分类：

基于主机
基于网络
基于主体

入侵检测步骤：

信息收集

数据分析

入侵防护

IPS，一种识别潜在威胁并迅速做出应对的网络安全防范办法，一般认为是主动防护。

VPN

虚拟专用网络，用于在公用网络上建立专用网络的技术。

一般由三部分组成，客户机，传输介质，服务器

关键技术：隧道技术，加解密技术，密钥管理技术，身份认证技术

主要协议： PPTP—-点到点隧道协议，让用户拨号连接到本地ISP，然后通过因特网安全访问内网资源的技术，第二层隧道协议

L2TP—-PPTP与L2T的综合，思科公司推出的的一种技术，第二层隧道协议

IPsec—-在隧道外再封装，第三层隧道协议

SSL VPN—-使用了 SSL 实现VPN，第四层隧道协议

TLS VPN—-使用了 TLS 实现VPN，第四层隧道协议

IPsec

internet协议安全性，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇

由建立安全分组流密钥交换协议和保护分组流的协议两部分组成

IKE协议—-密钥交换协议，一种混合型协议，由ISAKMP框架，OAKLEY密钥交换模式，以及SKEME共享和密钥更新技术组成

AH—-认证头，为IP数据报提供完整性检查与数据源认证，并防止重放攻击，常用MD5，SHA1

ESP—-封装安全载荷，可以同时提供数据完整性确认以及数据加密，常用DES,3DES,AES加密，MD5，SHA1校验完整性

IPsec两种工作模式：传输模式，隧道模式

MPLS VPN承载平台由P路由器，PE路由器，CE路由器组成

P路由负责依据MPLS标签完成数据包的高速转发

PE路由负责传递数据包MPLS标签生成和去除，还负责发起根据路由建立交换标签的动作

CE路由器直接与电信运营商连接的用户端路由

RADIUS

远程用户拨号认证系统，目前应用最广，的授权，计费和认证协议

SSL TLS

SSL，安全套接字协议，一个安全传输，保证数据完整的安全协议，TLS是SSL的非专有版本

SSL有三个高层协议：

SSL握手协议—-在客户端与服务端通过握手获得密钥
SSL修改密文协议—-每隔一段时间就修改加解密参数
SSL告警协议—-为对等尸体传递SSL相关警告

SSL协议工作流程:

1，浏览器向服务器发送请求信息，包含SSL版本，选择对称密钥算法

2，服务器返回浏览器请求，附加生成主密钥所需的信息，包含确定的SSL版本，和对称密码算法，某个CA中心私钥加密后的服务器证书

3，浏览器对照自己的可信CA表判断服务器证书是否在可信的CA表中，如果不在，则终止，如果在，则使用CA表中对应的公钥解密，得到服务器的公钥

4，；浏览器随机产生一个对称密钥，使用服务器公钥加密发送给服务器

5，浏览器与服务器之间相互发送一个报文，确定使用的对称密钥，再发送一个报文，确定握手完成

6，握手完成，双方使用对称密钥对发送的报文加密

HTTPS S-HTTP

超文本传输协议（HTTPS），以安全为目的的HTTP通道，是HTTP的安全版

安全超文本传输协议（S-HTTP），一种面向安全的信息通信协议，提供通信保密，身份识别，可依赖传输服务，以及数字签名

S/MIMIE

用于支持邮件的加密，提供认证，完整性保护，鉴定及数据加密

-—第五章完结了—-