网络安全

第一章 网络空间安全概述 ==1.1. 工作和生活中的网络安全== 1.1.1 生活中常见的网络安全问题 1.账号密码被盗 2.信用卡被盗刷 3.除此之外还有网络诈骗和钓鱼网站等形形色色的网络空间安全事件 1.1.2 工作中常见的网络安全问题 1.网络设备面临的威胁 路由器是常用的网络设备，是企业内部网络与外界通信的出口。一旦黑客攻陷路由器，那么就掌握了控制内部网络访问外部网络的权力，将产生严重的后果。 2.操作系统面临的威胁 目前，我们常用操作系统是Windows和Linux，这两种系统也面临着网络空间安全威胁。一方面，操作系统本身有漏洞，黑客有可能利用这些漏洞入侵操作系统；另一方面，黑客有可能采取非法手段获取操作系统权限，非法操作系统或将其破坏。 3.应用程序面临的威胁 计算机上运行着大量的应用程序，应用程序的安全与企业和用户的正常工作息息相关。 ==1.2 网络空间安全的基本认识== 我们常说的网络空间，是为了刻画人类生存的信息环境或信息空间而创造的词。 国内尚未有公认的、准确的定义，以下为==ISO/IEC 27032:2012、ITU（国际电联）以及荷兰安全与司法部的文件==中关于网络空间安全的定义。 定义1 ：ISO/IEC 27032:2012——《Information technology-Security techniques-Guidelines for

当您将“网络”和“关键”结合起来时，会自动考虑国防，金融服务和航空公司运营等行业。但是，当我们将注意力转移到网络风险分析时，情况会有所改变。准备好对这三个行业感到惊讶，因为网络风险分析是日常运营的首要考虑因素，警惕黑客入侵从而威胁到数据安全。知名网络安全专家，东方联盟创始人郭盛华表示：网络安全是一个关系着祖国安全和主权、关系着社会稳定、关系着祖国民族文化继承和发扬的重要问题，以下三个行业是目前网络安全问题最为突出的的行业： 第一：零售业 毫无疑问，网络是零售的一部分。但谈话通常包括违规行为，而不是风险量化。然而，由于风险如此之大，零售公司正在投入资源和精力来计算未来网络事件的潜在损失。这么一看，它可能看起来很简单，实际上，公司需要计算很多，作为网络攻击的潜在结果，以便在长期内做出正确的决策。 网络风险分析和网络安全意识在零售业中同样重要，因为它们允许高管做出明智的决策。网络风险分析和数据科学帮助零售商改变他们检测威胁活动和防止损失的方式。零售商还将能够看到与其安全决策相关的成本，例如修补所有遗留系统或升级其商店技术。然后可以将该数字提交给董事会以证明安全技术投资的合理性。 第二：运输业 一些人也可能会对航运感到惊讶，它是如此实际和直接：从A点到点B.然而，考虑到航运业中的许多参与者继续依赖遗留系统并做出糟糕的安全决策，这可能会给公司带来重大风险

一、网卡（Network Interface） 使计算连网的网络设备。 二、中继器（RP Repeater） 工作在物理层上的连接设备，OSI模型的物理层设备。 适用于完全相同的两类网络的互连，主要功能是通过对数据信号的重新发送或者转发，来扩大网络传输的距离。 中继器是对信号进行再生和还原的网络设备。 即使数据在链路层出现错误，中继器依然转发数据。 不改变传输速度。 不能在传输速度不一致的媒介之间转发。 有些中继器提供多个端口服务，这种中继器被称为中继集线器或集线器。 三、网桥（Bridge） 工作在OSI模型的第二层-数据链路层连接两个网络的设备。 根据数据帧内容转发数据给其他相邻的网络。 基本只用于连接相同类型的网络，有时候也连接传输速率不一致的网络。 网桥是一种对帧进行转发的技术，根据MAC分区块，可隔离碰撞。 具备“自学习”机制，网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。 以太网中常用的交换集线器也是网桥的一种。 四、路由器（Router） 工作在OSI的第三层-网络层连接网络与网络的设备。 可以将分组报文发送到另一个目标路由器地址。 基本上可以连接任意两个数据链路。 具有分担网络负荷、网络安全功能。 五、交换机（Switch） 交换机可以说同时是集线器和网桥的升级换代产品，因为交换机具有集线器一样的集中连接功能

在过去的二十几年里，电子邮件由于其成本低、效率高的特性，已经成为世界领先的通信媒体之一，其速度甚至超过了电话和传统的邮件服务。 近年来，邮件安全问题日益突出，电子邮件很容易成为被***瞄准的目标，沦为诈骗、勒索软件gongji的重灾区。gongji的手段也更加高明。恶意邮件的占比屡创新高，邮件泄密事件可谓是层出不穷，其颠覆性的鱼叉式钓鱼gongji软件甚至企图干涉2016年美国总统大选。 美国邮件门回顾 希拉里在担任国务卿期间，使用私人电子邮箱和位于家中的私人服务器收发大量涉密邮件。2016年夏季，美国民主党全国委员会、筹款委员会、竞选团队被***组织ru侵，近2万封邮件被维基解密披露。邮件显示，希拉里涉嫌抹黑竞争对手，以及可能涉嫌洗钱等财务问题。最终，希拉里因“邮件门”最终落败美国总统竞选。 威胁种类 虽然电子邮件的安全经常被看作是一个独立的问题，实际上它是几种不同威胁的混合物，这些威胁都可以单独地破坏计算机及欺诈收件人，而且可以损害邮件的有效性、可靠性及人们对邮件系统的信任。电子邮件威胁可被分为几种不同的种类： 企业电子邮件安全的重要性 随着邮件威胁的与日俱增，企业电子邮件泄密更是邮件gongji的重灾区。 根据权威安全机构的评定，超过三分之一的企业安全事件由钓鱼邮件和恶意邮件附件所引发。在过去五年里，全球有超过120亿美元的损失源于商务邮件。 不管是钓鱼邮件还是勒索诈骗

DDOS攻击主要是通过流量包攻击主机ip，导致机房消耗资源过多，进入黑洞的，有没有办法让别人不知道自己的ip了通过站长工具，很容易查找自己的ip，可以运用别名解析的方法来逃避查询，如果攻击都不可能去攻击cdn的节点吧。 如果攻击者直接ping域名能不能查询到ip了，这时我也做了一个伪装的，随便找了一个在阿里云的ip，让你去攻击吧。反正俺的网站不会受伤。所以只要自己保护好自己的真实主机的ip，别人是很难攻击的，其次数据库的密码最好是20名左右 进入网站后台也进设保护一下，想攻击我网站后台没门，对网站后台直接保护。绑定自己主机，只要不是本地ip，将禁止登陆控制面板。把自己常用的端口禁用，防止给攻击都留下后门。 为了让网站更加的安全，防止图片窜改，全部实行加密传递，让攻击者无处下手。让网站代码更加精简，让网站的速度飞起来吧。最保险最安全的防护措施是接入像云漫网络这样的高防CDN服务商，提高网站安全，让攻击者不处下手。 来源： https://my.oschina.net/u/4143265/blog/3098667

Web应用安全依然是互联网安全的最大威胁来源之一，除了传统的网页和APP，API和各种小程序也 作为新的流量入口快速崛起，更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带 来了更多和更复杂的安全问题。 在站点行业分布角度来看，备受攻击者青睐的网站多是互联网、电商、媒体和政府类站点。 从2019年上半年的CC攻击情况看，在攻击事件数量上基本与去年保持持平，虽然最大的CC攻击事件攻击 峰值超过了200万QPS（每秒请求数），但我们看到大流量暴力型的CC攻击在减少，并且攻击变得更加灵活和智能，在一些高级攻击中往往伴随有较为完善的监控体系，在被拦截后能够做一定程度的攻击，手法变换以达到动态对抗、绕过防护策略的目的。而相应的，企业也应该在CC防护上具备自动对抗的能力。 攻击者正在向更精细化的方向演化，更多类似CC攻击的行为出现在一些业务属性明显的接口上，如登录接口、短信验证码接口、查票接口、专利查询接口等。即越来越多的CC攻击是由于爬虫爬取量过大 带来的“附加伤害”所引起的拒绝服务效果。 TTCDN可以做到智能防护，隐藏源站IP，防止黑客获取源站真实IP，保护网站远离DDOS和CC攻击，确保加速性能的前提下全面提升网站安全性。TTCDN防护网站的同时，网站本身要做好网站程序和服务器自身维护，做好服务器漏洞防御，设置好访问权限，也可有效防御DDoS和CC攻击。 来源：

目录 渗透测试 信息收集 漏洞探测 漏洞利用 内网转发 内网渗透 痕迹清除 撰写渗透测试保告 渗透测试 渗透测试就是利用我们所掌握的渗透知识，对网站进行一步一步的渗透，发现其中存在的漏洞和隐藏的风险，然后撰写一篇测试报告，提供给我们的客户。客户根据我们撰写的测试报告，对网站进行漏洞修补，以防止黑客的入侵！ 渗透测试的前提是我们得经过用户的授权，才可以对网站进行渗透。如果我们没有经过客户的授权而对一个网站进行渗透测试的话，这是违法的。去年的6.1日我国颁布了《网络安全法》，对网络犯罪有了法律约束，不懂的移步——> 网络安全法 渗透测试分为 白盒测试 和 黑盒测试 白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透，有点类似于代码分析 黑盒测试就是只告诉我们这个网站的url，其他什么都不告诉，然后让你去渗透，模拟黑客对网站的渗透 我们现在就模拟黑客对一个网站进行渗透测试，这属于黑盒测试，我们只知道该网站的URL，其他什么的信息都不知道。 接下来，我就给大家分享下黑盒渗透测试的流程和思路！ 当我们确定好了一个目标进行渗透之后，第一步该做的是什么呢？ 信息收集 第一步做的就是信息收集，正所谓知己知彼百战百胜，我们根据网站URL可以查出一系列关于该网站的信息。通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言、在该服务器上是否还有其他网站等等一些列的信息

1 短信炸弹 漏洞描述 短信轰炸攻击是常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。 渗透测试 手工找到有关网站注册页面，认证页面，是否具有短信发送页面，如果有，则进行下一步。 通过利用burp或者其它抓包截断工具，抓取发送验证码的数据包，并且进行重放攻击，查看手机是否在短时间内连续收到10条以上短信，如果收到大量短信，则说明存在该漏洞。 风险评级： 可对任意手机号轰炸判定为高风险 只可对当前手机号轰炸或单个手机号码做了限制，但变换手机号码仍然可以不断发送的，判定为低风险。 安全建议 合理配置后台短信服务器的功能，对于同一手机号码，同一验证发送次数不超过5-10次，且对发送时间间隔做限制 当发送超过一定次数（可以为0），加入验证码验证。 2 邮件炸弹 漏洞描述 应用系统未限制邮件的发送次数和频率，造成短时间内大量邮件发送至接收者邮箱，造成大量垃圾邮件。 渗透测试 手工找到有关网站注册页面，认证页面，是否具有邮件发送页面，如果有，则进行下一步 通过利用burp或者其它抓包截断工具，抓取发送邮件的数据包，并且进行重放攻击，查看邮箱是否在短时间内连续收到10封以上邮件，如果收到大量邮件，则说明存在该漏洞 风险评级： 可对任意邮箱轰炸

【编者按】本文作者为 Mesos phere 开发大使 Michael Hausenblas，主要介绍配置 Docker 单主机网络的基本知识。文章系国内 ITOM 管理平台 OneAPM 编译呈现。 想要了解有关 Docker 网络的更多信息，包括多主机网络介绍，请查看本文作者 Michael Hausenblas 撰写的报告——《Docker 网络与服务探索》， 点此下载该报告 。 当你开始扩大 Docker 的应用范围时，忽然发现，你需要了解很多关于网络的知识。作为 Docker 网络的入门介绍，本文将从小处着手，首先你要考虑如何管理容器之间的连接。Docker 容器需要有个主机才能运行，该主机既可以是实体机器（例如：企业数据中心的裸机服务器），也可以是 on-prem 或云中的虚拟机。如图一所示，主机上会运行 Docker 后台程序与 Docker 客户端。一方面，你可以与 Docker 注册表交互（pull 或 push Docker 图片）；另一方面，也可以启动、停止或监视容器。 图片1. 简化版 Docker 架构（单主机） 主机与容器之间的关系为 1:N 。也就是说，一个主机上通常会运行着多个容器。例如，Facebook 报告称，取决于机器的规模，每个主机上平均运行着10到40个容器。此外，Mesosphere 对裸机进行的多项负载测试结果显示

项目介绍 针对挖矿木马，蠕虫病毒，网站挂马，网站篡改，网站暗链，系统漏洞的一些安全事件的处置经验，思路，日志分析，溯源什么的和一些简单的逆向 未来想做一些什么？ Webshell查杀，对于我们做应急的人员来说其实很鸡肋，windows服务器还好说，我们可以在客户服务器上下一个D盾Web查杀对吧，D盾也挺强的，但是linux下其实没什么好的解决方案，虽然有河马linux查杀，用过的人都知道那东西误报很高，要不然就是漏报，做线上应急的都知道切勿拷贝客户网站程序数据库对吧，所以把程序scp到本地这也不是好法子，所以准备慢慢摸索出一套webshell查杀的脚本 关于自己的对应急相应的一些看法 应急响应就是接到工单，第一时间确定客户诉求，也就是客户最关心的是啥，最需要你先做的是什么，别做了半天，结果不是用户想看到的，通过和网管及相关人员了解事态，分析并确定事件类型危害程度自己能不能处理，不能处理的话谁能处理，先报告情况，签署应急响应授权书，一般需要客户技术负责人，采取紧急措施，止损，防止扩散，攻击溯源调查安全事件发生的原因，提供数据证据，确定补救措施并将攻破的网络设备恢复到正常的业务状态，整理并总结，编写应急响应报告，这就是应急响应大概一个思路 来源： https://www.cnblogs.com/X-caiji/p/11416371.html