思科—网络安全笔记

漏洞

漏洞的分类

软件漏洞 硬件漏洞

1.缓冲器溢出：软件写数据的时候，超出数据区的边界 范围，导致访问到其他软件的内存数据，可能产生的后果有：系统崩溃，权限提升，数据受损等。 2.未验证输入：在程序输入的入口，恶意者故意输入可以强制改变软件内存分配和异常的缓冲区 3.竞争条件：当软件的输出一依赖于：定时或者是有序时，当未按照正确的顺序或者是正确的时间定时输出时，竞争条件成为漏洞的来源 4.安全验证：软件设计者在自己的程序中使用自己做定义的加密算法，而不是使用公认的加密时，可能会导致加密算法被破解。 5.访问控制问题：控制谁做什么的过程。包括物理访问控制，资源的权限，读取或者是更改文件的权限 许多的漏洞是由：不当的访问控制导致的 6.物理破坏

恶意软件malware的类型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MWqllzti-1583197578595)(https://raw.githubusercontent.com/1668558792/img/master/image-20200227175243811.png)]

间谍软件：跟踪侦察用户，例如记录键盘，数据捕获等 僵尸软件：构成僵尸网络，为攻击者提供资源 广告程序：投放广告 勒索程序：强制用户解密本机数据，达到勒索的目的 假冒安全软件：通过假官方的提示，欺骗用户安装没必要安装的程序或指令 rootkit:专用于修改系统达到植入后门的目的，大多数rootkit利用软件漏洞，提上自身权限，修改系统设置和检测工具 病毒：附加到软件当中的，随着程序一起运行 特洛伊木马：通常隐藏在图片，游戏，音频中。 蠕虫:利用网络中的漏洞自我复制的恶意代码，不像病毒，蠕虫可以自己运行而不需要“宿主”最大特点，自我复制. 中间人（Mitm）：在中间截取用户的信息，然后在传达用户预先访问的位置 移动中的人：中间人的变种，主要目标是移动设备的攻击，软件：zeus

恶意软件的症状

无论系统感染了哪种恶意软件，以下是共有的恶意软件症状： CPU 使用率上升。 计算机运行速度变慢。 计算机时常死机或崩溃。 网络浏览速度变慢。 网络连接中存在无法说明的问题。 文件被修改。 文件被删除。 存在未知文件、程序或桌面图标。 有未知进程正在运行。 程序自行关闭或重新配置。 在用户不知情或未经用户同意的情况下发送邮件。

渗透方法

社会工程 WiFi破解 网络钓鱼

漏洞利用：收集信息->利用信息->发现漏洞->利用漏洞

拒绝服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KdRzw5ih-1583197578597)(https://raw.githubusercontent.com/1668558792/img/master/image-20200228083942018.png)]

DOS拒绝式服务攻击

大量流量：大量的流量导致系统崩溃

恶意数据包：例如不当的数据格式，导致系统崩溃

DDOS分布式拒绝式服务攻击 —僵尸网络构成

SEO（搜索引擎优化）中毒

恶意使一个恶意网站在搜索前页，排名更高！

消减影响

1.公司承认错误 2.提高详细的信息 3.确保系统干净，没有后门 4.总结经验

隐私保护

保护计算机设备

• 启用防火墙
• 安装安全软件
• 调整计算机安全设置（安全等级）
• 设置密码保护，密码等级越高越好！
• IoT局限于固件的低频更新性，容易受到攻击，避免方式：使IoT独立网络，仅与其他IoT共享

无线安全

信息加密

• 加密时将信息转化成另一种信息形式
• 加密文件系统：EFS

开放授权OAuth2.0

是一种开放授权协议，第三方授权。例如：QQ在线登录酷我音乐的网站

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d1XTHP9d-1583197578597)(https://raw.githubusercontent.com/1668558792/img/master/image-20200228095608900.png)]

保护组织

防火墙类型

• 网络层防火墙：对IP筛选，审查IP
• 传输层防火墙：端口过滤
• 应用层防火墙：应用，服务过滤
• 情景感知防火墙：对用户、设备进行审查筛选
• 代路服务器：对Web请求过滤
• 反向代理服务器：反向代理服务器位于 Web 服务器的前面，用于保护、隐藏、分流和分发对 Web 服务器的访问
• 网络地址转换器(NAT) - 隐藏或是伪装主机的专用地址
• 基于主机的防火墙 - 过滤单个计算机的端口，服务等；[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WlGhJQX6-1583197578597)(https://raw.githubusercontent.com/1668558792/img/master/image-20200228212227349.png)]

端口扫描

在网络中，设备上运行的每个应用都分配有一个标识符，该标识符叫做端口号。

作用：此端口号在传输的两端使用，以将正确的数据传递到正确的应用

三种状态：打开，关闭，无答复

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2uyxdZKH-1583197578598)(https://raw.githubusercontent.com/1668558792/img/master/image-20200228220424364.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gA6mQaJd-1583197578598)(https://raw.githubusercontent.com/1668558792/img/master/image-20200228220424364.png)]

防御方法· 相关名词

• CSIRT - 安全事件响应组织

• IDS - 入侵检测系统：基于规则或者恶意攻击数字签名扫描数据，只能通知网络管理员，仅仅提供检测功能；

  ​ 由于扫描会降低网速，因此离线使用（交换机将数据转达给IDS进行离线扫描）

• IPS - 入侵防御系统：能够根据主动原则或签名匹配阻止或拒绝流量

• SIEM - 安全信息和事件管理系统：一种用于收集和分析来自网络上的安全设备的安全警报、日志及其他实时和历史数据的软件。

• [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uGT0WxG8-1583197578599)(https://raw.githubusercontent.com/1668558792/img/master/image-20200229092702042.png)]