http://harmony.relax.blogbus.com/logs/3978684.html

经常使用的搜索引擎

Google baidu yahoo



经常访问的国内外网络安全方面的网站和URL

Xfocus.net

Infosec.org.cn

Securityfocus.com

Ttian.net



DDOS

分 布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多 的服务资源,从而使合法用户无法得到服务的响应。 DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带 宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得 DOS攻击的困难程度加大了——目标对恶意攻击包的“消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每 秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果这时侯分布式的拒绝服务攻击手段(DDOS)就应运而生了。如果说计算机与网络的处理 能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDOS就是利用更多的傀儡机来发起进攻,以 比从前更大的规模来进攻受害者。 通常,被攻击的服务器有以下症状:1、被攻击主机上有大量等待的TCP连接;2、网络中充斥着大量的无用的数据包,源地址为假;3、制造高流量无用数据, 造成网络拥塞,使受害主机无法正常和外界通讯;4、利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所 有正常请求;5、严重时会造成系统死机……



Worm

蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途 径是通过网络和电子邮件。蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统 而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为 蠕虫传播的良好途径。



IP Spoof

  IP spoof即IP 地址欺骗,我们可以说是一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的技术。

   3.IP spoof的实现原理

    我们知道,IP是网络层的一个非面向连接的协议, IP数据包的主要内容由源IP地址,目地IP地址,所传数据构成, IP的任务就是根据每个数据报文的目的地址,路由完成报文从源地址到目的地址的传送。至于报文在传送过程中是否丢失或出现差错, IP不会考虑。对IP来讲,源设备与目的设备没有什么关系,它们是相互独立的。IP包只是根据数据报文中的目的地址发送,因此借助高层协议的应用程序来伪 造IP地址是比较容易实现的。 与此同时,TCP作为保障两台通讯设备之间数据有保证的顺序传输的协议,是面向连接的,它需要连接双方?quot;同意"才能进行通讯。TCP传输双方传 送的每一个字节都伴随着一个序列号(SEQ),它期待对方在接收到后产生一个应答(ACK), 应答一方面通知对方数据成功收到,另一方面告知对方希望接收的下一个字节。同时,任何两台设备之间欲建立TCP连接都需要一个两方确认的起始过程,称三次 握手,可分解如下面来表示:

   第一步:请求方向服务方发送SYN,表示想发起一次TCP连接。我们假定这次的序列号是某个数值XTrust ->TargetSYNSEQ:X

    第二步:服务方产生SYN,ACK响应,并向请求方发送ACK, ACK的值为X+1,表示数据成功接收到,且告知下一次希望接收到字节的SEQ是X+1。同时, 服务方向请求方发送自己的SEQ, 我们假定它的序列号是某个数值Y。Target -> TrustSYN,ACKSEQ:YACK:X+1

   第三步: 请求方向服务方发送ACK,表示接收到服务方的回应。这次它的SEQ值为X+1,同时它的ACK值为Y+1,原理同上。Trust ->TargetACKSEQ:X+1ACK:Y+1

   完成这一步以后, 请求方与服务方之间的连接开放,数据可以进行传输了。

第二部分    上面是标准TCP连接建立的过程,我们来看IP Spoof状态下的三次握手会是什么一种情况。

    第一步、Hack假冒Trust主机IP向服务方Target发送SYN,告诉Target 来自他所信任的Trust主机想发起一次TCP连接,序列号为数值X,这一步实现比较简单, Hack将IP包的源地址伪造为Trust主机IP地址即可。Hack ->TargetSYNSEQ:X

   要注意的是,在攻击的整个过程中,必须使Trust主机与网络的正常连接中断。因为SYN请求中IP包源地址是Trust主机的,当Target收到 SYN请求时,将根据IP包中源地址反馈ACK,SYN给Trust主机, 但事实上Trust并未向Target发送SYN请求, 所以Trust收到后会认为这是一次错误的连接,从而向Target回送RST,中断连接。这可不是我们所企求的。为了解决这个问题,在整个攻击过程中我 们需要设法停止Trust主机的网络功能,这一实现很简单,用现在威力很强大的tfn2k之类的分布式拒绝服务软件攻击Trust主机,使之拒绝服务即 可,(可参考作者另一篇文章《分布式拒绝服务软件》见www.chinabyte.com的网络学院部分)这里就不介绍了。

    第二步、服务方Target产生SYN,ACK响应,并向请求方Trust主机(注意:是Trust,不是Hack,因为Target收到的IP包的源地 址是Trust)发送ACK, ACK的值为X+1,表示数据成功接收到,且告知下一次希望接收到字节的SEQ是X+1。同时,Target向请求方Trust发送自己的SEQ,注意, 这个数值对Hack是不可见的!! Target -> TrustSYN,ACKSEQ:?ACK:X+1

   第三步、Hack再次向服务方发送ACK,表示接收到服务方的回应——虽然实际上他并没有收到服务方Targe的SYN,ACK响应。这次它的SEQ值为 X+1,同时它必须猜出ACK的值!!并加一后回馈给Target。Hack ->TargetACKSEQ:X+1ACK:?+1

   如果Hack能成功的猜出Target 的ACK值,那么TCP的三次握手就宣告成功, Target会将Hack看作Trust主机,IP spoof最关键的技术部分得到解决! 但有一点要清楚, Hack 主机这种连接是“盲人”式的,Hack永远不会收到来自Target的包,因为这些反馈包都被路由到Trust主机那里了(除非黑客能将相关骨干点的路由 表内容做改动,记住:IP是独立的,它只是根据源地址,目的地址在互联网上路由传送。而在Hack向Target发送的三次握手IP包中源地址是宣称为 Trust主机的) 我们可以不恰当的举个简单例子, Hack在Target上执行ls -l /,在Hack的屏幕上不会看到任何反馈,尽管事实上Target列出了根目录下的所有内容——Target将ls -l /结果送到了Trust主机。

    由上我们可以看出, IP spoof成功的关键在于猜出在第二步服务方所回应的SEQ值,有了这个值,TCP连接方可成功的建立。在早期,这是个令人头疼的问题,但随着IP spoof攻击手段的研究日益深入,一些专用的算法,技术得到应用,并产生了一些专用的c程序,如SEQ-scan,yaas等。当黑客得到这些c程序 时, 一切问题都将迎刃而解。



SYN Flood

 TCP SYN Flood是一种常见,而且有效的远程拒绝服务(Denial of Service)攻击方式,它通过一定的操作破坏TCP三次握手建立正常连接,占用并耗费系统资源,使得提供TCP服务的主机系统无法正常工作。

  问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端 的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时 间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如 果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源—-数以万计的半连接,即使是简单的保存并遍历 也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往 往是堆栈溢出崩溃—即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比 率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。



Brute Attack

一名强暴攻击分为只想尽典组合,或直到你找到正确的密码.

一名强暴攻击难度取决于多种因素,例如:

How long can the key be?关键是能有多长?

How many possible values can each component of the key have?每部分有多少价值,也可能有重要的?

How long will it take to attempt each key?多久试图每个关键?

Is there a mechanism which will lock the attacker out after a number of failed attempts?还有一套机制,锁定攻击失败后一批?

As an example, imagine a system which only allows 4 digit PIN codes.为例,试想一个系统,只允许四月数字密码. This means that there are a maximum of 10,000 possible PIN combinations.这意味着最多有一万播出密码组合.

从上述例子,可以增加安全密码:

Increasing the length of the PIN增加长度密码

Allowing the PIN to contain characters other than numbers, such as * or #允许含有密码人物以外号码,如*或#

Imposing a 30 second delay between failed authentication attempts30秒之间设定延迟尝试失败认证

Locking the account after 5 failed authentication attempts到下午五上锁的认证尝试失败

A brute force attack will always succeed, eventually.一个攻击永远强暴得逞,终于. However, brute force attacks against systems with sufficiently long key sizes may require billions of years to complete.但是,强暴攻击系统可能需要相当长的关键尺寸千亿年完成.



Social Engineering

社会工程 (social engineering)陷阱,通常是利用大众的疏于防范的小诡计,让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式,从合法用户中套取 用户系统 的秘密,例如:用户名单、用户密码及网络结构 。  「社会工程学」助长了以 eMail 为媒介的恶意攻击,使其依然可以穿透企业重重防护,滋生蔓延。如 :  1. Lovgateal冒充信件回复:自受害者信箱搜寻最近的信件,并且一一回信,而收件者误以为自己寄出的信得到回复,其实是病毒找上门了。   2. MYDOOM假装纯文字 ICON: MYDOOM 解压缩后附件之一伪装成纯文字 Icon,就是要大众误以为它们是文本文件,不会含有执行指令。  3. Sobig,Mimail冒名微软雅虎发信:Sobig佯装比尔盖兹、微软与雅虎技术部门的eMail 警告信;Mimail伪装信用卡付款机制厂商、和假藉征求反儿童色情连署,实则 DOS 攻击反垃圾邮件组织。  这种操控计算机使用者而非计算机本身的手法被称为「社会工程学」(social engineering)。在许多案例当中,它是黑客作案的关键,而且在病毒攻击行动中担任要角





Honeybot

僵尸网络跟踪工具

HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本,是AtomicSfotwareSolutions公司的产品。



ShellCode

Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务的。



NT最新SP版本、Windows 2000最新SP版本

6 4

Windows用的组策略编辑器是哪个

gpedit.msc



使用IIS应如何进行相应的安全设置

1. 应用NTFS文件系统

2. 2.共享权限的修改

3. 3.为系统管理员账号更名

4. 4.废止TCP/IP上的NetBIOS



修改文件的宿主、组和其他用户的读写权限,两种方法。

Chmod 777 filename

Chmod a+rw filename



如何禁用linux的root用户登陆FTP

/etc/ftpusers 列出来的就是禁止用FTP登录的帐号



A、B、C三类的私有IP地址范围

A类保留的私有地址范围 10.0.0.0—10.255.255.255B类保留的私有地址范围 172.16.0.0—172.31.255.255C类保留的私有地址范围 192 …