分钟了解系统安全与防御.docx

分钟了解系统安全与防御.docx

《分钟了解系统安全与防御.docx》由会员分享，可在线阅读，更多相关《分钟了解系统安全与防御.docx（18页珍藏版）》请在冰豆网上搜索。

分钟了解系统安全与防御

ZERO制作，已完本最是无限。

第一章：

安全的使用计算机

你需要掌握的:

数据保护、服务安全。

1.计算机面临的主要风险（了解）：

（1）利用漏洞：

①：

通过特定的操作，或使用专门的漏洞攻击程序入侵系统或获取特殊权限。

②：

如：

SQL、安装非法程序、执行非法指令、获取特权、非法查看未授权信息等。

（2）暴力破解：

①：

暴力破解多用于密码攻击领域，使用各种不同的密码组合反复验证，从而达到破解。

②：

可破解如：

压缩文件密码、office文档密码、wi-fi密码等。

（3）木马植入：

①：

通过向受害者系统植入并启用木马程序，在用户不知情的情况下窃取信息，甚至夺取计算的控制权。

②：

常用工具如：

键盘记录器、获取摄像头视屏等。

（4）病毒/恶意程序：

①与木马程序不同，计算机病毒主要目的是破坏，而不是窃取信息，有自我复制能力；恶意程序则不具有复制、感染等病毒特征，只用于破坏。

②：

两者主要破坏：

破坏文件、破坏磁盘分区、主机崩溃、拖慢网速。

（5）系统扫描:

①：

系统扫描真正意义上不算是攻击，比起前者它更像攻击的前奏，利用工具扫描目标系统上的漏洞从而发起攻击。

（6）DOS（拒绝服务）

①：

顾名思义，DOS指的是无论通过何种方式，最终导致系统崩溃、失去响应，从而无法正常提供服务或资源访问的目的。

②：

Dos只针对一台电脑，直接攻击。

攻击中比较常见的方式就是洪水攻击，抢占资源致使电脑瘫痪。

（7）DDOS（分布式拒绝服务）

①：

这种方式的攻击不再是一台电脑发起，而是数量上呈现规模化分布在网络各地发起攻击。

所有电脑都被发起者所控制，一般称为（肉鸡）。

（8）网络钓鱼

①：

通过论坛、QQ、电子邮件、短信、弹出广告等各种途径发送声称来自银行或知名机构的欺骗信息，引诱受害者访问伪造网站，从而达到收集、诈骗的目的。

（9）MITM（中间人攻击/ARP欺骗）

①：

中间人攻击，古老且至今依旧生命旺盛的攻击手段。

其原理就是伪装自己，然后截取其他计算机的网络通信数据。

2.计算机网络安全体系（了解）：

（1）物理安全：

注意防盗、防火、防静电、防雷击、防电磁泄露。

（2）系统安全：

注意软件或系统开放服务漏洞、账号及权限、弱口令。

（3）网络安全：

网络安全考虑的对象主要是面向网络的访问控制。

（4）数据安全：

主要保护的就是各种需要保密的文档信息。

（5）人为因素：

预防为主、实行计算机培训、不访问可疑资源、不使用移动储存设备。

3.操作系统安全级别（了解）：

（1）美国国防部于1983年提出并于1985年批准了“可信计算机系统安全评测标准（TCSEC）”又被称之为“橘皮书”。

（2）它将操作系统分为四个类别：

D、C、B、A（从低到高）

①：

D级没有安全防护。

②：

C1自主存取控制

③：

C2较完善的自主存取控制（DAC）、审计。

④：

B1强制存取控制（MAC）

⑤：

B2良好的结构化设计、形式化安全模型。

⑥：

B3全面的访问控制、可信恢复。

⑦：

A1形式化认证、安全级别高。

4.操作系统等级（了解）：

（1）SCOOpenServer安全级别（C2）

（2）Linux安全级别：

（C2）

（3）windowsServer2008/2003安全级别（C2）

（4）Saloris安全级别（C2）

（5）DOS安全级别（D）*淘汰*

（6）UNIXWare2.1/ES安全级别（B2）

5.解决系统安全隐患的方法（了解）：

（1）系统漏洞：

①：

不安全的服务（多余的、不必要的服务）

②：

配置与初始化错误（系统默认的、多余的服务）

（2）服务安全：

①：

服务访问控制列表（本地策略组中）

②：

服务的启动模式（自动/手动/已禁用）

（3）身份验证：

①：

交互式登陆

②：

网络身份验证

（4）账户管理：

①：

不准账户重名

②：

密码策略的应用

③：

账户锁定策略

（5）权限管理：

①：

分配合理的权限

②：

最高权限拥有者越少越好

（6）日志管理：

①：

日志管理在‘开始’-‘管理工具’-‘事件查看器’中。

②：

在日志中有五种级别的消息：

信息、警告、错误、关键、详细。

（7）数据文件防护：

①：

定时备份

②：

使用NTFS分区

③：

文件加密

（8）防止有害程序的危害：

①：

病毒

②：

代码炸弹

③：

特洛伊木马

附加：

DDOS详解：

（1）DDOS意即“分布式拒绝服务”，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。

（2）拒绝服务，就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。

（3）DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。

（5）另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

附加：

抵御DDOS的方法：

（1）采用高性能的网络设备

（2）尽量避免NAT的使用

（3）充足的网络带宽保证

（5）升级主机服务器硬件

（6）把网站做成静态页面

小知识:

（1）设置权限需注意的是：

权限是累加的、拒绝权限最高、文件权限比文件夹权限高、权限的最小化是为了安全的保障。

（2）计算机病毒是一段程序，人为编写的、并非偶然或突然、有传染性和破坏性。

（3）独立计算机上的账户和密码的数据库文件是：

SAM。

（4）域控制器上的账户数据库为：

ntds.dit。

（5）删除默认共享，CMD界面中：

（C盘：

）netshareC$/del（D盘：

）netshareD$/del（ADMIN）netshareADMIN$/del*需要记住*

第二章：

密码技术

你需要掌握的:

密码的概念、技术、历史

1.密码技术理论：

（1）密码技术又称密码学，密码学是信息安全相关议题的核心。

它的首要目的是隐藏信息的含义，并不是隐藏信息的存在。

（2）密码学促进了计算机科学，特别是计算机与网络安全所使用的技术；且也应用到了日常生活中。

2.密码学概述：

（1）密码学是研究编制密码和破译密码的技术科学。

（2）其有两个分支，分别是密码编码学和密码分析学。

3.密码学分支：

（1）密码编码学：

主要研究对于信息进行编码，实现对信息的屏蔽。

（2）密码分析学：

主要研究加密消息的破译或消息的伪造。

4.密码学信息安全：

（1）信息安全主要包括系统安全和数据安全两个方面。

（2）系统安全一般采用防火墙、防病毒软件或其他安全措施，是属于被动型的安全措施。

（3）数据安全则采用现代密码技术对数据进行主动的安全保护，如数据加密等。

（3-4）密码理论是信息安全的基础，信息的机密性、完整性和抗否认性都依赖于密码算法。

（4-5）密码技术不仅服务于信息加密和解密，还是身份认证、访问控制、数字签名、网络安全等多种安全机制的基础。

5.古典密码学：

（1）置换加密：

将字母顺序重新排列。

（2）替换加密：

将一组字母换成其他字母或符号。

6.密码学的发展史：

（1）第一阶段，从古代到1949年：

这阶段的密码技术可以说是一种艺术，密码学专家常常凭直觉和信念来进行密码的设计和分析，而不是推理和证明。

（2）第二阶段，从1949年到1975年，这阶段香农在1949年发表了“保密系统的信息理论”为私钥密码系统建立了基础。

（3）第三阶段：

从1976年到至今，这阶段diffie和hellman发表了“密码学的新动向”文章，导演了一场革命。

7.加密技术基础应用：

（1）加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码，到达目的地还原（解密）。

（2）广泛应用在电子商务和VPN上，尤其是企业当中运用特别多。

8.加密技术的两个元素：

（1）加密技术包括两个元素：

算法和密钥。

（2）算法：

是将普通文本或可以理解的信息与一串数字结合，产生不可理解的密文的步骤。

（3）密钥：

是用来对数据进行编码和解码的一种算法。

（4）密码体制分为对称密钥体制（DES）和非对称密钥体制（RSA）两种。

技术加密也是如此，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。

（5）对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

9.解密技术基础应用：

（1）密码破译是指在不知道密钥的情况下，恢复出密文中隐藏的明文信息的过程，也是对密码体制的攻击。

（2）密码破译技术是指实施破译过程中常用的各种技术、手段和措施。

成功的密码破译能恢复出明文或密钥，也能够发现密码体制的弱点。

10.密码破译的主要因素：

（1）算法的强度

（2）密钥的保密性

（3）密钥长度

11.密码破译的方法：

（1）暴力破解与字典攻击：

①密码破解技术中最基础的就是暴力破解，也称密码穷举。

②字典攻击是指黑客利用一种程序遍历一本字典中的所有条目来猜测密码的一种攻击方式。

（2）键盘记录：

①在计算机安装木马，截取键盘操作信息，从而获得密码。

（3）网络钓鱼：

①网络钓鱼主要通过伪造站点，如银行、购物网站等。

（4）Sniffer（嗅探器）：

①在局域网中科通过Sniffer（嗅探器）程序监控网络状态、数据流动、以及网络上传输的信息。

HTTP、、SMTP等协议上传的明文信息会被截取。

（5）密码心理学：

①从用户的心理入手，细微的分析用户信息爱好，从而破解密码。

（6）其他密码破译方法：

①欺骗用户口令密码

②在用户输入口令时，利用各种技术手段“偷窥”密钥内容

③利用加密系统实现中的缺陷

④对用户使用的密码系统进行偷梁换柱

⑤从用户的工作环境获得未加密的密码

⑥让口令的另一方透漏密钥或相关信息

⑦威胁用户交出密码

12.防止密码被破译的基础：

（1）强壮加密算法

（2）动态会话密钥

（3）定期更换加密会话的密钥

小知识：

（1）使用Dreamweaver编辑Excel2007的Xml文件时，移除（SheetProtection）即可取消工作表密码保护。

（2）在XML文件中看到的任何密码都不是真正的密码（原密码）。

（3）当修改文件Excel2007的后缀名，进行编辑破解的时候，只能破解保护密码，不能破解压缩密码，且此方法只对2007的Excel文件生效。

（4）顺带一提，使用PhotoEncrypt图像加密程序可加密图像。

第三章：

木马与后门技术

你需要掌握的:

了解木马的特点、掌握木马的自启与隐藏、掌握后门

1.木马概念：

（1）木马是指一个包含在合法程序中的非法程序，该非法软件通常在用户不知情的情况下运行。

（2）在计算机世界里，木马程序与病毒不同，他不具有复制与感染文件的特性，而是作为一种驻留程序隐藏在系统内部。

（3）一般木马都有客户端和服务端两个执行程序，其中客户端是攻击者用于远程控制植入木马的机器，服务端则是木马。

（4）木马入侵的主要途径就是先通过一定方法把木马文件弄到被攻击者的计算机系统里，引导受害主机打开执行文件，从而运行。

（5）一般木马执行文件都非常小，大都是几KB到几十KB，捆绑在一些软件上并不容易被发觉。

（6）在早期，木马通常通过一些脚本文件进行植入，但至今杀毒软件的病毒库大多已有记录，像Script、ActiveX、ASP、CGI脚本，现都已不好用了。

2.木马、病毒的区别：

（1）木马是指一个包含在合法程序中的非法程序，具有隐蔽性、自启、未经许可获得权限、执行后很难关闭、自动变更文件名、不在系统显示等特点，主要用来监控和获取重要信息。

（2）病毒与木马程序不同，计算机病毒主要目的是破坏，而不是窃取信息，有自我复制、感染等特征。

3.常见的木马种类：

（1）远程控制木马

（2）屏幕键盘记录木马

（3）反弹端口型木马

（4）DDOS攻击木马

4.木马的特点：

（1）未经许可即可获得计算机的使用权

（2）执行后很难停止

（3）执行时不会在系统显示

（4）自动变更文件名

（5）自启动功能

（6）隐蔽性

5.木马的自启动：

（0）作为木马的通用特点之一，自启动是不可少的，这样可以保证木马不会因为在用户的关机情况下就失去作用。

（1）修改启动项

（2）修改注册表

（3）修改本地策略组

（4）将木马作为捆绑程序运行。

6.木马的隐蔽性：

（1）木马本身的隐蔽性、迷惑性：

①：

在对木马命名时采用和系统相似的文件名或扩展名，设置文件属性为系统文件、隐藏等，存放在不易发现的系统文件目录下。

（2）木马运行时的隐蔽性：

①：

采用远程线程技术或HOOK技术注入其他进程的运行空间，又或者替换系统服务，使用户难以发现木马的运行痕迹。

（3）木马在通信时的隐蔽性：

①：

采用ICMP等无端口的协议或HTTP等常用的端口协议进行通信，或者让木马只有收到特定数据包时才开始活动，平时处于休眠状态。

7.木马的危害：

（1）删除文件

（2）修改注册表

（3）窃取数据

（4）关闭系统

8.后门技术概述：

（1）“后门程序”属于木马的一种，其用途在于潜伏在计算机中，从事收集信息或便于黑客进入的动作。

（2）后门则是一种登陆系统的方法，它不仅可以绕过系统已有的安全设置，还能挫败系统上各种安全设置。

（3）后门种类很多，它只是程序开发者为了完善自己设计的程序二开发的特殊接口（通道），便于自己对程序进行修改，一般都拥有最高权限。

（4）两者的区别：

后门指的是一个大概的范围、技术；后门程序则是专门针对某个漏洞而开发的程序。

9.后门程序分类：

（1）网页后门

（2）线程插入后门

（3）扩展后门

（4）C/S后门

10.设置后门程序开机自启：

（1）将文件保存在任意盘任意目录下，随后调处注册表编辑，导航到：

HKEY_LCOAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，新建字符串。

（2）数值名称与所启动的病毒程序名一样如：

病毒名为abc，数值名称就为abc。

（3）数值数据：

把要启动的项目放在哪个盘，就输入此文件所在的目录，加上文件与它的后缀名。

11.winRAR木马捆绑：

（1）将要运行的软件（最好隐藏）和正常软件一起添加到压缩文件中，选择自解压格式压缩文件。

（2）高级-自解压选项，设置解压后运行的软件，模式里隐藏启动对话框，设置解压路径，这就完成了。

小知识：

（1）后门程序在命名时，一般会带有Backdoor字样；木马一般带有Trojan字样。

（2）默认解压在解压前都会先询问，隐藏对话框会跳过询问。

第四章：

个人计算机病毒防御

你需要掌握的:

了解病毒技术的特点、种类，掌握使用病毒软件

1.计算机病毒概述：

（1）前文提过，病毒具有寄生性、传染性和破坏性，它可以寄生在计算机用户的正常文件中，伺机发作并大量复制病毒体，感染本机及网络中的计算机。

（2）定义：

计算机病毒是编制者在计算机中插入能破坏计算机功能或破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

2.计算病毒特点：

（1）传播性、破坏性、感染性、隐蔽性、可触发性、自我更新、免杀能力。

3.计算机病毒分类：

（1）木马、蠕虫、脚本病毒、恶意程序、宏病毒、文件型病毒。

4.蠕虫病毒概述：

（1）蠕虫病毒传播速度最快、影响范围最广，可以通过计算机网络传播、传播方式很多。

（2）蠕虫病毒根据目的可分为两类：

一类是向服务器发起DDOS的网络蠕虫；一类是针对计算机执行垃圾代码的主机蠕虫。

5.反病毒软件：

（1）工作原理：

①：

监控

②：

扫描

③：

判断

④：

清除

（2）其他主要技术：

①：

自我保护

②：

修复

③：

自动升级

④：

脱壳

⑤：

文件校验和

⑥：

进程行为监控

⑦：

数据保护

⑧：

云安全

6.反病毒软件产品：

（1）卡巴斯基

（2）MSE

（3）诺顿360全能特警

（4）奇虎360杀毒

（5）NOD32

7.反病毒软件的标准：

（1）技术引领潮流

（2）迅速消灭病毒

（3）软件升级方便

第五章：

网络安全基础

你需要掌握的:

网络安全的解决方案、网络常见的攻击方式

1.企业网络安全结构:

（1）网络设备层

（2）操作系统层

（3）应用服务层

2.网络设备所面临的威胁（常见）：

（1）弱口令

（2）IOS自身的缺陷

（3）非授权用户可以管理设备

（4）CDP协议造成设备信息的泄露

（5）顺带一提：

路由器是企业网络接入Internet的最外层网络设备，所有的网络攻击都要经过它、交换机也是如此。

3.windows系统所面临的威胁（常见）：

（1）系统管理员密码（口令）不符合密码策略。

（2）开启了不必要的服务和端口

（3）没有及时打上系统安全补丁

（4）没有及时更新漏洞

（5）NFS文件系统漏洞

4.Linux系统所面临的威胁（常见）：

（1）作为ROOT运行的程序安全

（2）账号口令安全

5.应用服务所面临的威胁：

（1）WEB服务：

①：

web服务是网络中最常见的服务之一，同时也是最受黑客关注的服务。

②：

老版本的IIS发现XX的用户可能利用属于Everyone和User组的IUSR_machinename账号访问任何已知文件。

（2）电子邮件：

①：

垃圾邮件

②：

附件中的病毒

（3）数据库：

①：

超级管理员sa账号不能为空。

6.IPC$入侵：

（1）IPC$命名管道，是Windows操作系统特有的一项管理功能，通过这个通道计算机可以实现远程控制。

（2）而控制的条件就是已知对方账户和密码，随后输入命令：

netuse\\（IP）/IPC$“密码”/user：

“账户”。

这样就可以连接对方C盘。

7.网络协议攻击：

（1）网络协议攻击就是利用网络协议的漏洞进行攻击，这些协议本身是正常的，但用在不正常的地方就形成问题了。

（2）洪水攻击是黑客比较常用的一种攻击技术，特点是实施简单，威力大，大多是无视防御的。

8.系统攻击：

（0）psTools是一个安全管理工具套件，有十二款工具：

（1）主要常用的是远程执行进程命令—PsExec，他最大的特点就是无需安装客户端程序就可以远程操作服务器。

不过需要账号和密码。

（2）其使用的基本参数有：

①：

-u：

远程计算机的用户名

②：

-P：

远程计算机用户对应密码

③：

-C<路径：

文件名>：

复制文件到远程机器上并运行

④：

-d：

不等待程序执行完就返回信息

⑤：

-h：

用于目标操作系统是Vista或更高版本

（4）具体操作：

①：

psexec\\192.168.1.100-uadministrator-pbdqncmd.exe

9.网络安全解决方案：

（1）加固操作系统

（2）安装防病毒软件

（3）部署防火墙

（4）部署入侵检测系

10.入侵检测系统：

（1）入侵检测系统能够对网络或操作系统上的可以行为作出反应，及时切断入侵，并通过各种途径通知网络管理员，最大幅度保障系统安全。

（2）并且，它还可帮助系统对付网络攻击，扩展安全管理、提高信息安全基础结构完整性。

（3）入侵检测系统在网络安全技术中起到了不可代替的作用，是安全防御体系重要的一部分，能在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、对外部攻击和误操作的实时保护。

小知识：

（1）实施攻击的电脑性能一定要优于或等于被攻击计算机，否则就等于攻击自己的机器。

一天：

24小时

睡觉：

8.5

吃饭：

2（总耗时）

上厕所：

0.5（总耗时）

玩手游：

5

学习：

24—8.5—2—0.5—5=8？

好好学习，天天向上！

——努力吧，少年！