网络安全

某厂面试归来，发现自己落伍了！>>> 2020年3月中旬，我们SINE安全收到客户的安全求助，说是网站被攻击打不开了，随即对其进行了分析了导致网站被攻击的通常情况下因素分外部攻击和内部攻击两类，外部网站被攻击的因素，网站外部攻击通常情况下都是DDoS流量攻击。 DDoS攻击的手法通常情况下都是通过大批量模拟正常用户的手法去GET或POST请求占据网站服务器的大量的网络带宽资源，以实现堵塞瘫痪无法打开网站的目的，它的攻击方式通常情况下都是通过向服务器提交大量的的请求如TCP请求或SYN请求，使服务器无法承载这么多的请求包，导致用户浏览服务器和某服务的通讯无法正常连接。 CC攻击，CC通常情况下是用来攻击某脚本页面的，CC攻击的工作原理就是攻击者操纵一些主机不断地发大量的数据包给对方服务器导致网络带宽资源用尽，一直到宕机没有响应。简单的来说CC攻击就是模拟很多个用户不断地进行浏览那些需要大量的数据操作的脚本页面，也就是不断的去消耗服务器的CPU使用率，使服务器始终都有解决不完的连接一直到网站堵塞，无法正常访问网站。 内部网站被攻击的因素： 一般来说属于网站本身的原因。对于企业网站来说，这些网站被认为是用来充当门面形象的，安全和防范意识薄弱。这几乎是企业网站的常见问题。安全和防范意识大多数较弱，网站被攻击也是客观事实。更重要的是，大多数网站都为时已晚，无法摆脱攻击，对攻击的程度不够了解

教材学习内容总结 第四章 网络嗅探与协议分析 网络嗅探（Sniff） 利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器(sniffer)，嗅探器捕获的数据报文是经过封包处理后的二进制数据，因而还需要结合网络协议分析技术来解析嗅探到的网络数据。 网络嗅探技术与工具分类 按照所监听的链路层网络进行分类 无线嗅探器（Kismet） 有线嗅探器 (tcpdump) 区别：无线嗅探器可以读取和分析符号如IEEE802.11等无线传输协议的数据包 按照实现形式 软件嗅探器：不同操作系统上的应用软件，通过对网卡编程实现 硬件嗅探器：通过专用软件对网络数据进行捕获和分析，协议分析仪，速度快、成本高 1.共享式网络与交换机网络中的嗅探 MAC地址洪泛攻击 MAC欺骗 ARP欺骗 2.类Unix平台的网络嗅探技术实现 通过内核态的BPF和用户态的libpcap抓包工具库实现。 3.windows平台的网络嗅探实现技术 通过内核态的NPF与用户态的Winpcap实现。 网络嗅探器软件 类Unix平台的网络嗅探软件：libpcap抓包开发库、tcpdump以及wireshark； Windows平台网络嗅探器软件：wireshark、SnifferPro、Buttsniffer、NetMon等。 网络协议分析

网络边界（Network Border） 网络边界是指内部安全网络与外部非安全网络的分界线。 　　由于 网络 中的泄密、攻击、病毒等侵害行为主要是透过 网络边界 实现，网络边界实际上就是网络安全的第一道防线。网络攻击入侵者通过互联网与内网的边界进入 内部网络 ，篡改存储的 数据 ，实施破坏，或者通过某种技术手段降低网络性能，造成网络的瘫痪。 　　 把不同安全级别的网络相连接，就产生了网络边界 。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”，一般来说 网络边界上的安全问题主要有下面几个方面： (信息泄密、入侵者的攻击、网络病毒、木马入侵) 1、 信息泄密 　　网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般 信息泄密 有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密；合法使用者在进行正常业务往来时， 信息 被外人获得，这是从网络外部的泄密。 2、入侵者的攻击 　　互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改渠道，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 3、网络病毒 　

Linux占用的系统资源少，运行效率高，具有很好的稳定性和安全性，作为一种网络操作系统，需要部署防火墙，将内网安全地接入到Internet中。CentOS7的防火墙已经用firewalld 替代iptables。firewalld提供一个动态的管理的防火墙。支持IPV4和IPV6防火墙设置。 防火墙技术可用于可信网络(内网)和不可信网络(外网)之间建立安全屏障 防火墙技术 防火墙的作用 人们通常在内网和外网之间安装防火墙，形成一个保护层，对进出所有的数据进行监测，分析，限制，并对用户进行认证。防止有害信息进入受保护的网络，保护其安全。内网和外网之间传输的所有数据都要经过防火墙检查，只有合法数据才能通过。 防火墙的最主要的目的是确保受保护网络的安全，但它只是一种网络安全技术，存在局限性，例如不能防范绕过防火墙的攻击，不能防止收到病毒感染的软件或文件的传输，以及收到木马的攻击等，难以避免来自内部的攻击 防火墙按照防护原理分为包过滤路由器，应用网关和状态检测的防火墙；按照防护范围分为网络防火墙和主机防火墙。网络防火墙主要用来保护内网计算机免受来自网络外部的入侵，但并能保护内部网络及算你免受其来自本身和内网计算机的攻击，主机防火墙主要用于主机面受攻击。 防火墙的配置方案 一般来说，只有内网和外网连接时才需要防火墙，当然，在内部不同部门之间的网络有时也需要防火墙。嘴贱当的防火墙配置

*文章来源： https://blog.egsec.cn/archives/402 写在前面： 本片文章是写给社团中学习网络安全的同学的一点指导性文章，大家众所周知，我们学校并没有网络安全这门专业，所有的学习将是完全靠大家自学，社团建立网络安全战队就是为了力所能及的给大家提供最好的资源，帮助大家。本片文章内容只是我的个人观点，并不全面，本人也是一个刚入门的CTF练习生，所有的东西也是自学，并不全面，没有系统化学习过，更多资源还需靠自己查找。祝愿各位打算从事网安事业的同学加油！理论是枯燥的，但所有的实践需要理论去支撑！ 对于刚刚涉足安全界的同学来说，在没有老师带领的情况下，在如何学习网络安全上充满了迷茫，网络安全是一个综合性学科，涉及领域非常广，常指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 这么多内容，对于一个刚入门的小白来说，刚开始摸不着头脑，所以，我根据自己的学习、工作以及实践经验列出了我的学习方法

更新：补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞（CVE-2020-0796）通告 https://www.freebuf.com/articles/system/230288.html 今天刚打了补丁.. 奇安信威胁情报中心 2020-03-13 共10507人围观 ，发现 1 个不明物体 系统安全 文档信息 编号 QiAnXinTI-SV-2020-0008 关键字 SMB CVE-2020-0796 发布日期 2020年03月11日 更新日期 2020年03月12日 TLP WHITE 分析团队 奇安信威胁情报中心 通告背景 2020年3月11日，某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述，其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞（CVE-2020-0796），攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码，从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备，理论上存在蠕虫化的可能性。 由于漏洞存在的信息已经扩散，有迹象表明黑客团伙正在积极地研究漏洞细节尝试利用，构成潜在的安全威胁。奇安信息威胁情报中心红雨滴团队已经确认漏洞的存在，2020年3月12日微软发布了相应的安全补丁，强烈建议用户立即安装补丁以免受此漏洞导致的风险。

目录 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 1.2网络扫描 1.3网络查点 2.实践过程 DNS与IP查询：任务一 DNS与IP查询：任务二 nmap：任务 Nessus：任务 实践作业 3.学习中遇到的问题及解决 4.实践总结 5.参考资料 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 是指攻击者通过对目标组织或个人进行有计划、有步骤的信息收集，从而了解攻击目标的网络环境和信息安全状况，得到攻击目标完整剖析图的技术过程。 常见的技术手段包含如下三种： 1.1.1 web信息搜索与挖掘 充分利用web搜索的强大能力，对目标组织和个人的大量公开或意外泄露的web信息进行挖掘，从而能够找到各种对进一步攻击非常关键的重要信息。 基本搜索与挖掘技巧 简洁明了； 使用最可能出现在要查找的网页上的字词； 简明扼要地描述要查找的内容； 选择独特性的描述字词； 善于利用搜索词智能提示功能。 高级搜索与挖掘技巧 谷歌的高级搜索页面显示： 以下所有字词 输入重要字词 与以下字词完全匹配 用引号将需要完全匹配的字词引起来 以下任意字词 在需要的字词之间添加OR（必须是大写） 不含以下任意字词 在不需要的字词前面添加一个- 文件格式 对应filetype:之后加特定格式文件后缀名 日期 返回在下列时间段内首次Cache和查看的网页 网站 对应site

服务器除了以上提到的那些大名鼎鼎的漏洞和臭名昭著的攻击以外，其实还有很多其他的漏洞，往往也很容易被忽视，在这个小节也稍微介绍几种。 越权操作漏洞 如果你的系统是有登录控制的，那就要格外小心了，因为很有可能你的系统越权操作漏洞，越权操作漏洞可以简单的总结为 「A 用户能看到或者操作 B 用户的隐私内容」，如果你的系统中还有权限控制就更加需要小心了。所以每一个请求都需要做 userid 的判断 以下是一段有漏洞的后端示意代码： 1234567 // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;mysql.query( 'SELECT * FROM msg_table WHERE msg_id = ?', [msgId]); 以上代码是任何人都可以查询到任何用户的消息，只要有 msg_id 就可以，这就是比较典型的越权漏洞，需要如下这么改进一下： 12345678 // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;let userId = ctx.session.userId; // 从会话中取出当前登陆的 userIdmysql.query( 'SELECT * FROM msg_table WHERE msg_id = ? AND user_id = ?', [msgId,

随着网络的普及，网络安全环境对ssl证书的需求日益加大，目前世界500强企业中84%的公司和世界100家最大的银行中88%的银行以及全球50家大型电子商务网站中的46个网站都安装了ssl证书。企业只有部署了ssl证书，才真正给了网民一个放心的交易平台。 SSL证书通过在客户端浏览器和web服务器之间建立一条ssl安全通道，以ssl安全协议来提供对用户和服务器的认证；对传送的数据进行加密和隐藏，确保数据在传送中不被改变，以及保障数据的完整性。 由于ssl技术建立到所有主要的浏览器和web服务器程序中，因此只需安装服务器证书就可以激活该功能了。即通过它可以激活ssl协议,实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 其次，ssl证书技术通过加密信息和提供鉴权，不仅可以显示网站的真实性，还可以在网站用户输入密码与用户名时对这些信息进行加密。 来源： 51CTO 作者： 米老鼠吖 链接： https://blog.51cto.com/14377747/2415230

使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门） 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。 禁用不用的服务和应用 通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。） 检查系统日志 你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守好这道防线。 考虑使用端口试探 设置端口试探（Port knocking）是建立服务器安全连接的好方法。一般做法是发生特定的包给服务器，以触发服务器的回应