安全的影响因素：人、硬件、软件

网络安全要求和目标:

• 可靠性– 网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。

• 可用性– 网络信息可被授权实体访问并按需求使用的特性。

• 保密性– 网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。

• 完整性– 网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

• 不可抵赖性– 网络信息系统的信息交互过程中,确信参与者的真实同一性。

• 可控性– 可控性是对网络信息的传播及内容具有控制能力的特性。

什么是渗透测试？渗透测试是受信任的第三方进行的一种评估网络安全的活动,它通过对企业网络进行各种手段的攻击来找出系统存在的漏洞,从而给出网络系统存在安全风险的一种实践活动。通过模拟现实的网络攻击,渗透测试证实恶意攻击者有可能获取或破坏企业的数据资产。

渗透测试与黑客入侵的区别：渗透测试为模拟黑客攻击测试,但两者也有区别,渗透测试是“面”的测试,黑客攻击是“深度”测试。前者讲究广泛度,后者讲究破坏性。

渗透测试必要性:

1、发现企业的安全缺陷,协助企业有效的了解目前降低风险的初始任务。

2、一份齐全有效的测试报告可以协助IT管理者了解目前的安全现状,增强信息安全的认知度,提高安全意识。

3、信息安全是一个整体工程,渗透测试有助于组织中所有成员安全意识加强,有助于内部安全提升。

渗透测试方法分类:

1、黑盒测试(Black-box):渗透测试人员不具备公司网络的任何信息。

2、白盒测试(White-box):渗透测试人员已经具备内部网络完整信息。

3、灰盒测试(Gray-box):测试人员模拟内部雇员,有一个内部网络的账户,并拥有了访问网络的标准方法。

渗透测试的五个阶段:

1、侦察:收集目标网络信息的最初阶段;

2、扫描:查询活动系统,抓取网络共享、用户、用户组及特定应用程序信息;

3、获取访问:实际渗透过程;

4、维持访问:系统口令截获及破解,后门程序放置到目标系统中,方便以后使用;

5、擦除日志:删除日志文件、系统后门、提权工具等,恢复渗透之前的系统状态。

DDOS之虚假源地址攻击

特点:

1. 攻击隐蔽性:由于攻击报文中没有包含攻击者的真实地址,黑客可以有效的躲避追查。

2. 攻击便宜性:黑客只需利用少数甚至单台服务器,就可以伪造出数以百万计的攻击IP地址,达到大规模DDoS攻击的效果。由于攻击IP的数量巨大且为随机构造,导致针对攻击源IP的防护手段失去效果。

3. 攻击流量巨大:黑客利用少数放置在IDC机房的肉鸡服务器,利用IDC高带宽资源,发动大流量的DDoS攻击。

4.攻击可控性:发起DDoS攻击的服务器大多是黑客自己的服务器或者租用IDC机房服务器,完全受黑客控制,黑客可以随时根据被攻击目标的防护手段变换攻击方式以及攻击流量。

DDOS之虚假源地址攻击，整治策略:根本是使虚假源地址流量在源头无法发出。目前主要采用的防范策略包括URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)和ACL(Access Control List,访问控制列表)

DDOS之虚假源地址攻击 URPF:

1.URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的记录。

2.若报文的源地址在转发表中:

• 对于严格型检查,反向查找(以报文源地址为目的地址查找)报文出接口,若至少有一个出接口和报文入接口相匹配,则报文通过检查;否则被拒绝;

• 对于松散型检查,报文被正常转发。

3.若报文的源地址不在转发表中,则检查缺省路由和URPF的allow-default-route参数。

URPF的优点:可以有效阻断该路由器网内发出的虚假源地址流量;可以自适应路由表的变化,不需要人工维护。

URPF的缺点:需要设备支持;对于骨干路由器,严格型的URPF可能影响正常业务。

ACL的优点:配置更灵活,也无需设备支持。

ACL的缺点:因为根据内网地址进行配置,一旦网络发生变化,需及时调整指令列表,维护压力较大。

DOS之smurf攻击：攻击者使用广播地址发送大量的欺骗icmpecho请求,如果路由器执行了三层广播到二层广播转换(定向广播),那么,同一ip网段的大量主机会向该欺骗地址发送icmp echo 应答,导致某一主机(具有欺骗地址)收到大量的流量,从而导致了DoS攻击。

ARP攻击原理：伪造IP地址和MAC地址进行ARP欺骗,在局域网络中产生大量的ARP通信量使

网络阻塞。如果持续不断的发出伪造的ARP响应包,则能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

ARP攻击之中间人攻击：攻击者向目标主机和网关同时主动发起ARP回应,告诉对方自己是对方的目标MAC,从而让被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转,使其完成窃取信息的目的。

ARP攻击之中断攻击：攻击着向被攻击主机主动发起ARP回应,告知对方错误的网关MAC,从而让对方的数据发往错误甚至是不存在的MAC地址处,从而造成网络中断。如果同时对网络中的所有主机进行攻击,则会导致整个局域网全部断网。

TCP syn flood攻击：攻击者使用虚假地址在短时间内向目标主机发送大量的tcp syn连接请求,目标主机无法完成tcp三次握手,导致目标主机的连接队列被充满,最终造成目标主机拒绝为合法用户提供tcp服务。

破解无线接入口令：WEP口令破解、WPA/WPA2口令破解、PIN码破解（穷举PIN码、计算某些存在缺陷的设备的PIN码）、认证绕过方式（3A+portal认证绕过、设备登录认证绕过）

加固之DOS攻击

• 在路由器和防火墙部署防ip源地址欺骗

• 在路由器和防火墙启用防御DoS安全特性（路由器tcp拦截、常用ACL策略、防火墙tcp连接监控）

• 部署网络和主机IDS/IPS检测和防御DoS攻击

加固之smurf攻击：关闭路由器或三层交换机的定向广播功能。

加固之ARP攻击：终端和网关双绑定、安装使用ARP防火墙、划分VLAN和交换机端口绑定

加固之无线安全

• 关闭DHCP服务– 在无线网络中,很多情况下,开启了DHCP服务,任何用户均可以获取到合法的IP地址。关闭DHCP服务,设置本网段的IP地址为非常用IP段,这样可以让非法接入的无线用户无法获取到正确的IP地址,从而无法正常使用网络资源。

• 隐藏服务集标识符(SSID)– 如果配置AP向外广播其SSID,则所有客户端均可以搜寻到该接入点。通过对无线接入点AP(AccessPoint)设置隐藏SSID,并要求接入方设置正确的SSID才能连接无线网络,此时可以认为SSID是一个简单的口令,从而提供一定的安全。

• 修改默认SSID或设置中文SSID– 在无线网络中,很多情况下,无线网络管理员开启无线网络后不会修改默认SSID。虽然看上去没有什么安全威胁,但是默认SSID为攻击者提供了很多方面的便利,例如,获知设备的型号,针对无线网络接入口令的破解。

• MAC地址过滤– 由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方法的劣势是AP 中的MAC地址列表必需随时更新,可扩展性差。而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。

物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模

IDS的部署方式

– 共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。

– 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作。

– Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。

– In-line模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。

– 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。

入侵检测系统与防火墙的区别

• 所在的位置不同

– 防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。

– 而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台NIDS引擎,由一个总控中心来控制。

• 防范的方向不同

– 防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。

– 网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。

• 检测的细粒度不同

– 防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵,防火墙是毫无办法。

– 而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。

举例:飞客病毒(conficker or kido)

“飞客”是一种针对Windows操作系统的蠕虫病毒,最早在2008年11月21日出现。“飞客”利用Windows PRC 远程连接调用服务存在的高危漏洞(MS08-067)入侵互联网上未进行有效防护的主机,通过局域网、U盘等方式快速传播,并且会停用感染主机的一系列Windows服务,包括WindowsAutomatic Update、Windows Security Center、Windows Defener及Windows Error Reporting。

经过长达4年的传播,“飞客”病毒衍生了多个变种,构建了一个包含数千万被控主机的攻击平台,不仅能够被利用用于大范围的网络欺诈和信息窃取,而且能够被利用发动无法阻挡的大规模拒绝服务攻击,甚至可能成为有力的网络战工具。

2012年,全球互联网月均有超过2800万个主机IP感染飞客病毒,其中中国占14.3%,为349万个。

感染飞客病毒以后的症状:

• 禁用部分系统服务,如windows系统更新,windows安全中心、windows Defender、后台智能传输服务(BITS)和windows错误报告。

• 病毒体驻留windows活动进程中,如svchost.exe,explorer.exe和services.exe。

• 创建一个Http服务器并打开一个1024到10000之间的随机端口,用于向其他被感染主机提供病毒副本下载服务。

• 被感染主机帐户锁定政策被自动复位。

• 系统网络变得异常缓慢,可以从检测的网络流量图和windows任务管理器中看出

• 和杀毒软件、Windows系统更新有关的网站无法访问

防火墙的局限性

• 防火墙不能抵抗最新的未设置策略的攻击漏洞。

• 防火墙的并发连接数限制容易导致拥塞或者溢出。

• 防火墙对服务器合法开放的端口的攻击大多无法阻止。

• 防火墙对待内部主动发起连接的攻击一般无法阻止。

• 防火墙本身也会出现问题和受到攻击。

WEB应用防火墙

当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。

企业等用户一般采用防火墙作为安全保障体系的第一道防线。但其天生的缺陷并不能满足用户的要求,由此产生了WAF(Web应用防护系统)。Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

WEB应用防火墙的功能

Web应用防火墙的具有以下四大个方面的功能:

• 审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。

• 访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。

• 架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。

• WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。

WEB应用防火墙的特点

1.异常检测协议:Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

2.增强的输入验证:增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

3.及时补丁:修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。虽然这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。

4.基于规则的保护和基于异常的保护:基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。

5.状态管理:WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

6.其他防护技术:WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

Windows检查和加固，检查账户和口令策略

检查是否存在非法用户:打开‘管理工具’—‘计算机管理’—‘本地用户和组’—‘用户’,

或者在命令提示符中输入‘net user’,就可以看到当前系统中存在的用户。

加固方法: 删除不需要的用户。

通过命令提示符可以进行系统账号的添加和删除:

net user xxx 123456 /add

net user xxx /del

将xxx用户移入(移出)管理员组:

net localgroup administrators xxx /add

net localgroup administrators xxx /del

检查主机账户策略:打开‘管理工具’—‘本地安全策略’—‘账户锁定策略’,查看是否已经设置了‘账户锁定时间’和‘账户锁定阈值’。

加固方法:设置相关的策略,如‘账户锁定时间’和‘账户锁定阈值’。

检查主机口令策略:打开‘管理工具’—‘本地安全策略’—‘密码策略’,查看是否已经启动了‘必须符合密码复杂性要求’。

加固方法:设置相关的策略,如密码长度、密码生存期、强制密码历史,开启‘必须符合密码复

杂性要求’。

Windows检查和加固，检查日志

检查方法:打开‘管理工具’-‘事件查看器’,就可以看到各类日志。

加固方法:调整系统日志的大小和覆盖周期,以便发生安全事件后查看;

定期备份日志数据,打开‘事件查看器’-‘操作’-‘另存日志文件’,把备份的日志文件放在一个安全的地方。

Windows检查和加固，检查默认共享

操作系统安装后,系统会创建一些默认的共享,如共享驱动器、共享文件和共享打印等,这意味着进入网络的用户都可以共享和获得这些资源。

检查方法:在‘命令提示符’中输入‘net share’,看是否有默认的共享。

加固方法:

在“运行”中输入“regedit”确定后,找到“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建一个再改键值。在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。在“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa”找到“restrictanonymous” 将键值设为1,关闭IPC$共享。

加固方法:利用CMD系统命令

关闭默认共享的方法:运行net share admin$ /del 、net share c$ /del 、net share d$ /del

Windows检查和加固，使用工具对主机系统脆弱点检查

1．市面上存在大量的主机扫描工具,用于对系统存在的漏洞进行扫描。有立足于系统本身的扫描器也有通过网络远程访问的扫描器。扫描器就是识别主机系统上因为配置不当、系统本身的安全漏洞、数据库和主机应用存在的漏洞而造成的可能安全威胁。

2．扫描器是方便我们去发现和识别已经存在的漏洞,是将我们繁琐的安全检查批处理化,并不代表扫描器是万能的,很多情况下扫描器是有诸多纰漏的。例如扫描结果不全、误报和错报。

3．因此需要很平衡的看待扫描器的作用,在扎实的基础上,使之成为我们日常工作的好帮手。

4．使用nessus对主机安全扫描。

Windows检查和加固，对系统盘进行备份

– 打开“开始”菜单,选择 程序→附件→系统工具→备份

– 在“欢迎”选项卡中,单击“备份向导”按钮,打开“备份向导”对话框

– 单击“下一步”按钮,打开“要备份的内容”对话框。

– 选择“备份选定的文件、驱动器或网络数据”单选按钮,点击“下一步”。

– 在“要备份的项目”对话框中,在“我的电脑”中选择驱动器C,点击“下一步”。

– 在“备份保存位置”对话框中,选择移动磁盘H,点击“下一步”。

– 点击“完成”开始备份。

Linux检查和加固，禁用或删除无用、异常账号

检查方法:cat /etc/passwd、cat /etc/shadow查看口令文件,与系统管理员确认不必要的账号,建议锁定或删除sys,adm,uucp,lp,nuucp,hpdb, www,daemon等不必要账户。

加固方法:删除和锁定不需要的账户。

1、 usermode -L 要锁定账户; 2、 userdel -R 要删除的账户;

数据库安全风险，SQL注入形成的原因：SQL是访问MSSQL、ORACLE、MYSQL等数据库的标准语言。大多数Web应用都需要和数据库进行交互。如果开发人员无法确保在从web表单、cookies及输入参数的值传递给数据库来查询之前对其验证,那么通常会引起SQL注入漏洞。攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句。

数据库安全风险，SQL注入的危害,这些危害包括但不局限于

• 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。

• 网页篡改:通过操作数据库对特定网页进行篡改。

• 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。

• 服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。

• 破坏硬盘数据,瘫痪全系统。

数据库安全风险，数据库注释

Oracle检查和加固，检查密码复杂度策略--口令的生存期

对于采用静态口令认证技术的数据库,账户口令的

生存期不长于90天。

检查方法:

select * from dba_profiles where resource_name =‘PASSWORD_LIFE_TIME’

加固方法:

ALTER PROFILE "DEFAULT" LIMIT

PASSWORD_LIFE_TIME 90

Oracle检查和加固，检查密码复杂度策略--认证失败次数：对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。

检查方法:

select * from dba_profiles where resource_name=‘FAILED_LOGIN_ATTEMPTS’

加固方法:

ALTER PROFILE "DEFAULT" LIMIT

FAILED_LOGIN_ATTEMPTS 6

Oracle检查和加固，检查密码复杂度策略--设置连接超时

在某些应用环境下可设置数据库连接超时,比如数据库将自动断开超时 10分钟的空闲远程连接。

检查方法:

$oracl01/oracle/10.2.0.4/network/admin/samples/sqlnet.ora 文件中是否设置参数SQLNET.EXPIRE_TIME.

加固方法:启用SQLNET.EXPIRE_TIME

Oracle检查和加固，其他加固口令的相关策略:

密码失效后锁定时间：PASSWORD_GRACE_TIME

登录超过有效次数锁定时间：PASSWORD_LOCK_TIME

口令历史记录保留时间：PASSWORD_REUSE_TIME

使用默认口令复杂审计函数：PASSWORD_VERIFY_FUNCTION DEFAULT

SA弱口令

SA弱口令会导致承载数据库的主机控制权限完全丧失,病毒、木马会利用该漏洞感染主机,恶意攻击者可以通过扩展存储xp_cmdshell执行系统命令,添加系统管理员账号,打开远程桌面服务直至完全控制目标主机。

禁用扩展存储的步骤:

以sa身份登录查询分析器,执行以下命令:

Use Master

Exec sp_dropextendedproc N'xp_cmdshell'

Go

打开资源管理器,从SQL Server安装目录下的binn文件夹中删除xplog70.dll文件

Wireshark抓包工具使用

1.选择需要抓包的网卡:

2.设置捕捉过滤器规则:

3.开始抓取后的结果 :

4.对抓取的结果进行过滤:过滤规则、捕捉过滤器、显示过滤器

过滤规则实例:

捕捉过滤器:

tcp dst port 29999 显示目的TCP端口为29999的封包。

host 192.168.0.1 显示目的或来源IP地址为192.168.0.1的封包。

src host 192.168.0.2 and not dst net 192.169.0.0/16 显示来源IP地址为192.168.0.2,但目的地不是192.169.0.0/16的封包。

显示过滤器:

ip.addr == 192.168.1.1 显示来源或目的IP地址为192.168.1.1的封包。

ip.src != 192.168.1.2 or ip.dst != 192.168.2.2 显示来源不为192.168.1.2或者目的不为192.168.2.2的封包。

tcp.port == 22 显示来源或目的TCP端口号为22的封包。

Mysql数据库备份与恢复

通过 MySQL 5.5 Command Line Client 操作数据库,常用的命令如下:

显示数据库列表：mysql>show databases;

显示库中的数据表：mysql>use mysql; mysql>show tables;

显示数据表的结构：mysql>describe 表名;

建库与删库：mysql>create database 库名; mysql>drop database 库名;

建表：mysql>use test123;mysql>create table 表名(字段列表);mysql>drop table 表名;

清空表中记录：mysql>delete from 表名;

显示表中的记录：mysql>select * from 表名;mysql>select * from where column = “xxx”;

Mysql数据库备份

在CMD终端下对数据库进行导出操作:

select * into outfile 'path/a.a' from table;

即将数据库中数据表table导出到path路径下a.a文件

系统漏洞扫描

天镜脆弱性扫描与管理系统

2015中国电信网络通信安全管理员技能鉴定考试-操作复习