基礎知識 1.
肉雞:所謂「肉雞」是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的伺服器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。
2.
木馬:就是那些表面上偽裝成了正常的程序,但是當這些被程序運行時,就會獲取系統的整個控制許可權。有很多黑客就是 熱中與使用木馬程序來控制別人的電腦,比如灰鴿子,黑洞,PcShare等等。
3.
網頁木馬:表面上偽裝成普通的網頁文件或是將而已的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。
4.
掛馬:就是在別人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
5.
後門:這是一種形象的比喻,入侵者在利用某些方法成功的控制了目標主機後,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的要是,可以隨時進出而不被主人發現一樣。 通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用語製作後門(BackDoor)
6.
rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問許可權,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權,進入系統後,再通過,對方系統內存在的安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隱蔽,黑客守衛者就是很典型的rootkit,還有國內的ntroorkit等都是不錯的rootkit工具。
7.
IPC$:是共享「命名管道」的資源,它是為了讓進程間通信而開放的餓命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。
8.
弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼)
9.
默認共享:默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享,因為加了"$"符號,所以看不到共享的托手圖表,也成為隱藏共享。
10.
shell:指的是一種命令指行環境,比如我們按下鍵盤上的「開始鍵+R」時出現「運行」對話框,在裡面輸入「cmd」會出現一個用於執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell
11.
WebShell:WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後,通常會將這些asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,好後就可以使用瀏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。可以上傳下載文件,查看資料庫,執行任意程序命令等。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
12.
溢出:確切的講,應該是「緩沖區溢出」。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而導致錯誤,後果可能是造成程序崩潰或者是執行攻擊者的命令。大致可以分為兩類:(1)堆溢出;(2)棧溢出。
13.
注入:隨著B/S模式應用開發的發展,使用這種模式編寫程序的程序員越來越來越多,但是由於程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想要知的數據,這個就是所謂的SQLinjection,即:SQL注意入。
14.
注入點:是可以實行注入的地方,通常是一個訪問資料庫的連接。根據注入點資料庫的運行帳號的許可權的不同,你所得到的許可權也不同。
15.
內網:通俗的講就是區域網,比如網吧,校園網,公司內部網等都屬於此類。查看IP地址如果是在以下三個范圍之內的話,就說明我們是處於內網之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16.
外網:直接連入INTERNET(互連網),可以與互連網上的任意一台電腦互相訪問,IP地址不是保留IP(內網)IP地址。
17.
埠:(Port)相當於一種數據的傳輸通道。用於接受某些數據,然後傳輸給相應的服務,而電腦將這些數據處理後,再將相應的恢復通過開啟的埠傳給對方。一般每一個埠的開放的偶對應了相應的服務,要關閉這些埠只需要將對應的服務關閉就可以了。
18.
3389、4899肉雞:3389是Windows終端服務(Terminal Services)所默認使用的埠號,該服務是微軟為了方便網路管理員遠程管理及維護伺服器而推出的,網路管理員可以使用遠程桌面連接到網路上任意一台開啟了終端服務的計算機上,成功登陸後就會象操作自己的電腦一樣來操作主機了。這和遠程式控制制軟體甚至是木馬程序實現的功能很相似,終端服務的連接非常穩定,而且任何殺毒軟體都不會查殺,所以也深受黑客喜愛。黑客在入侵了一台主機後,通常都會想辦法先添加一個屬於自己的後門帳號,然後再開啟對方的終端服務,這樣,自己就隨時可以使用終端服務來控制對方了,這樣的主機,通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程式控制制軟體,4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因,目前的殺毒軟體也對Radmin查殺了)。有的人在使用的服務埠號。因為Radmin的控制功能非常強大,傳輸速度也比大多數木馬快,而且又不被殺毒軟體所查殺,所用Radmin管理遠程電腦時使用的是空口令或者是弱口令,黑客就可以使用一些軟體掃描網路上存在Radmin空口令或者弱口令的主機,然後就可以登陸上去遠程式控制制對惡劣,這樣被控制的主機通常就被成做4899肉雞。
19.
免殺:就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程序,使其逃過殺毒軟體的查殺。
20.
加殼:就是利用特殊的酸法,將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變(比如實現壓縮、加密),以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟體查殺的目的。目前較常用的殼有UPX,ASPack、PePack、PECompact、UPack、免疫007、木馬綵衣等等。
21.
花指令:就是幾句匯編指令,讓匯編語句進行一些跳轉,使得殺毒軟體不能正常的判斷病毒文件的構造。說通俗點就是」殺毒軟體是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置,殺毒軟體就找不到病毒了「。
B. 黑客是怎樣通過網路入侵電腦的
黑客是入侵別人電腦的方法有9種。
1、獲取口令
這又有三種方法:
一是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對區域網安全威脅巨大;二是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;三是在獲得一個伺服器上的用戶口令文件(此文件成為Shadow文件)後,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。
此方法在所有方法中危害最大,因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄伺服器,而是在本地將加密後的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼,尤其對那些弱智用戶(指口令安全系數極低的用戶,如某用戶賬號為zys,其口令就是zys666、666666、或乾脆就是zys等)更是在短短的一兩分鍾內,甚至幾十秒內就可以將其幹掉。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。
當您連接到網際網路上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的埠。黑客在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
4、電子郵件攻擊
電子郵件攻擊主要表現為兩種方式:
一是電子郵件轟炸和電子郵件「滾雪球」,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被「炸」,嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓;
二是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序(據筆者所知,某些單位的網路管理員有定期給用戶免費發送防火牆升級程序的義務,這為黑客成功地利用該方法提供了可乘之機),這類欺騙只要用戶提高警惕,一般危害性不是太大。
5、通過一個節點來攻擊其他節點
黑客在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。這類攻擊很狡猾,但由於某些技術很難掌握,如IP欺騙,因此較少被黑客使用。
6、網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。此時,如果兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、尋找系統漏洞
許多系統都有這樣那樣的安全漏洞(Bugs),其中某些是操作系統或應用軟體本身具有的,如Sendmail漏洞,win98中的共享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前一般很難防禦黑客的破壞,除非你將網線拔掉;還有一些漏洞是由於系統管理員配置錯誤引起的,如在網路文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。
8、利用帳號進行攻擊
有的黑客會利用操作系統提供的預設賬戶和密碼進行攻擊,例如許多UNIX主機都有FTP和Guest等預設賬戶(其密碼和賬戶名同名),有的甚至沒有口令。黑客用Unix操作系統提供的命令如Finger和Ruser等收集信息,不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕,將系統提供的預設賬戶關掉或提醒無口令用戶增加口令一般都能克服。
9、偷取特權
利用各種特洛伊木馬程序、後門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,後者可使黑客獲得超級用戶的許可權,從而擁有對整個網路的絕對控制權。這種攻擊手段,一旦奏效,危害性極大。
C. 家庭網路的網路安全
家庭網路的安全技術
家庭網路的安全技術涉及家庭網路內部終端設備和內部信息安全、業務系統的安全(如防攻擊、防非法接入等),在特定場合還需要能追查惡意呼叫,確定其來源從而採取相應的措施。
(1)網路安全
家庭網路應通過防火牆與外界互聯網進行聯系,實現內部可信任網與外部不可信任網之間的隔離,並進行訪問控制,保證家庭網路系統及家庭網路服務的安全性。
●家庭網路隔離及訪問控制:在內外部網路之間設置防火牆,實現家庭網路內部的訪問控制,根據防範的方式和側重點的不同,可以選擇分級過濾或應用代理等不同類型的防火牆。
●審計與監控:安裝網路安全評估分析軟體,利用此類軟體對用戶使用計算機網路系統的過程進行記錄,以便發現和預防可能的破壞活動。
●網路反病毒:安裝反病毒軟體,預防、檢測和消除病毒。
(2)業務系統安全
業務系統設備本身會有各種各樣系統方面的漏洞,而這些漏洞往往會造成信息的泄露。為了維護家庭網路業務的安全,應做到以下幾點。
●及時給系統進行升級、維護、打系統補丁。
●用戶訪問業務需進行認證,可以使用密碼、智能卡和證書等認證的手段。
●系統要進行病毒的防範。病毒本身有很強的傳染性,並增加設備的負擔,給用戶帶來不便,甚至是重大的經濟損失。病毒防範應做到定期更新,在出現重要病毒警告時要及時進行系統升級。
●記錄日誌。對系統進行攻擊時,會對被攻擊的設備進行埠掃描或多次連接嘗試,所有這些攻擊如果在日誌中記錄在案,則便於查找攻擊的發起者。
D. 大數據可視化設計到底是啥,該怎麼用
大數據可視化是個熱門話題,在信息安全領域,也由於很多企業希望將大數據轉化為信息可視化呈現的各種形式,以便獲得更深的洞察力、更好的決策力以及更強的自動化處理能力,數據可視化已經成為網路安全技術的一個重要趨勢。
文章目錄
一、什麼是網路安全可視化
1.1 故事+數據+設計 =可視化
1.2 可視化設計流程
二、案例一:大規模漏洞感知可視化設計
2.1整體項目分析
2.2分析數據
2.3匹配圖形
2.4確定風格
2.5優化圖形
2.6檢查測試
三、案例二:白環境蟲圖可視化設計
3.1整體項目分析
3.2分析數據
3.3 匹配圖形
3.4優化圖形
3.5檢查測試
一、什麼是網路安全可視化
攻擊從哪裡開始?目的是哪裡?哪些地方遭受的攻擊最頻繁……通過大數據網路安全可視化圖,我們可以在幾秒鍾內回答這些問題,這就是可視化帶給我們的效率 。 大數據網路安全的可視化不僅能讓我們更容易地感知網路數據信息,快速識別風險,還能對事件進行分類,甚至對攻擊趨勢做出預測。可是,該怎麼做呢?
1.1 故事+數據+設計 =可視化
做可視化之前,最好從一個問題開始,你為什麼要做可視化,希望從中了解什麼?是否在找周期性的模式?或者多個變數之間的聯系?異常值?空間關系?比如政府機構,想了解全國各個行業漏洞的分布概況,以及哪個行業、哪個地區的漏洞數量最多;又如企業,想了解內部的訪問情況,是否存在惡意行為,或者企業的資產情況怎麼樣。總之,要弄清楚你進行可視化設計的目的是什麼,你想講什麼樣的故事,以及你打算跟誰講。
有了故事,還需要找到數據,並且具有對數據進行處理的能力,圖1是一個可視化參考模型,它反映的是一系列的數據的轉換過程:
我們有原始數據,通過對原始數據進行標准化、結構化的處理,把它們整理成數據表。
將這些數值轉換成視覺結構(包括形狀、位置、尺寸、值、方向、色彩、紋理等),通過視覺的方式把它表現出來。例如將高中低的風險轉換成紅黃藍等色彩,數值轉換成大小。
將視覺結構進行組合,把它轉換成圖形傳遞給用戶,用戶通過人機交互的方式進行反向轉換,去更好地了解數據背後有什麼問題和規律。
最後,我們還得選擇一些好的可視化的方法。比如要了解關系,建議選擇網狀的圖,或者通過距離,關系近的距離近,關系遠的距離也遠。
總之,有個好的故事,並且有大量的數據進行處理,加上一些設計的方法,就構成了可視化。
1.2 可視化設計流程
一個好的流程可以讓我們事半功倍,可視化的設計流程主要有分析數據、匹配圖形、優化圖形、檢查測試。首先,在了解需求的基礎上分析我們要展示哪些數據,包含元數據、數據維度、查看的視角等;其次,我們利用可視化工具,根據一些已固化的圖表類型快速做出各種圖表;然後優化細節;最後檢查測試。
具體我們通過兩個案例來進行分析。
二、案例一:大規模漏洞感知可視化設計
圖2是全國范圍內,各個行業漏洞的分布和趨勢,橙黃藍分別代表了漏洞數量的高中低。
2.1整體項目分析
我們在拿到項目策劃時,既不要被大量的信息資料所迷惑而感到茫然失措,也不要急於完成項目,不經思考就盲目進行設計。首先,讓我們認真了解客戶需求,並對整體內容進行關鍵詞的提煉。可視化的核心在於對內容的提煉,內容提煉得越精確,設計出來的圖形結構就越緊湊,傳達的效率就越高。反之,會導致圖形結構臃腫散亂,關鍵信息無法高效地傳達給讀者。
對於大規模漏洞感知的可視化項目,客戶的主要需求是查看全國范圍內,各個行業的漏洞分布和趨勢。我們可以概括為三個關鍵詞:漏洞量、漏洞變化、漏洞級別,這三個關鍵詞就是我們進行數據可視化設計的核心點,整體的圖形結構將圍繞這三個核心點來展開布局。
2.2分析數據
想要清楚地展現數據,就要先了解所要繪制的數據,如元數據、維度、元數據間關系、數據規模等。根據需求,我們需要展現的元數據是漏洞事件,維度有地理位置、漏洞數量、時間、漏洞類別和級別,查看的視角主要是宏觀和關聯。涉及到的視覺元素有形狀、色彩、尺寸、位置、方向,如圖4。
2.3匹配圖形
2.4確定風格
匹配圖形的同時,還要考慮展示的平台。由於客戶是投放在大屏幕上查看,我們對大屏幕的特點進行了分析,比如面積巨大、深色背景、不可操作等。依據大屏幕的特點,我們對設計風格進行了頭腦風暴:它是實時的,有緊張感;需要新穎的圖標和動效,有科技感;信息層次是豐富的;展示的數據是權威的。
最後根據設計風格進一步確定了深藍為標准色,代表科技與創新;橙紅藍分別代表漏洞數量的高中低,為輔助色;整體的視覺風格與目前主流的扁平化一致。
2.5優化圖形
有了圖形後,嘗試把數據按屬性繪制到各維度上,不斷調整直到合理。雖然這里說的很簡單,但這是最耗時耗力的階段。維度過多時,在信息架構上廣而淺或窄而深都是需要琢磨的,而後再加上交互導航,使圖形更「可視」。
在這個任務中,圖形經過很多次修改,圖7是我們設計的過程稿,深底,高亮的地圖,多顏色的攻擊動畫特效,營造緊張感;地圖中用紅、黃、藍來呈現高、中、低危的漏洞數量分布情況;心理學認為上方和左方易重視,「從上到下」「從左至右」的「Z」字型的視覺呈現,簡潔清晰,重點突出。
完成初稿後,我們進一步優化了維度、動效和數量。維度:每個維度,只用一種表現,清晰易懂;動效:考慮時間和情感的把控,從原來的1.5ms改為3.5ms;數量:考慮了太密或太疏時用戶的感受,對圓的半徑做了統一大小的處理。
2.6檢查測試
最後還需要檢查測試,從頭到尾過一遍是否滿足需求;實地投放大屏幕後,用戶是否方便閱讀;動效能否達到預期,色差是否能接受;最後我們用一句話描述大屏,用戶能否理解。
三、案例二:白環境蟲圖可視化設計
如果手上只有單純的電子表格(左),要想找到其中IP、應用和埠的訪問模式就會很花時間,而用蟲圖(右)呈現之後,雖然增加了很多數據,但讀者的理解程度反而提高了。
3.1整體項目分析
當前,企業內部IT系統復雜多變,存在一些無法精細化控制的、非法惡意的行為,如何精準地處理安全管理問題呢?我們的主要目標是幫助用戶監測訪問內網核心伺服器的異常流量,概括為2個關鍵詞:內網資產和訪問關系,整體的圖形結構將圍繞這兩個核心點來展開布局。
3.2分析數據
接下來分析數據,案例中的元數據是事件,維度有時間、源IP、目的IP和應用,查看的視角主要是關聯和微觀。
3.3 匹配圖形
根據以往的經驗,帶有關系的數據一般使用和弦圖和力導向布局圖。最初我們採用的是和弦圖,圓點內部是主機,用戶要通過3個維度去尋找事件的關聯。通過測試發現,用戶很難理解,因此選擇了力導向布局圖(蟲圖)。第一層級展示全局關系,第二層級通過對IP或埠的鑽取進一步展現相關性。
3.4優化圖形
優化圖形時,我們對很多細節進行了調整: – 考慮太密或太疏時用戶的感受,只展示了TOP N。 – 弧度、配色的優化,與我們UI界面風格相一致。 – IP名稱超長時省略處理。 – 微觀視角中,源和目的分別以藍色和紫色區分,同時在線上增加箭頭,箭頭向內為源,向外是目的,方便用戶理解。 – 交互上,通過單擊鑽取到單個埠和IP的信息;滑鼠滑過時相關信息高亮展示,這樣既能讓畫面更加炫酷,又能讓人方便地識別。
3.5檢查測試
通過調研,用戶對企業內部的流向非常清楚,視覺導向清晰,鑽取信息方便,色彩、動效等細節的優化幫助用戶快速定位問題,提升了安全運維效率。
四、總結
總之,藉助大數據網路安全的可視化設計,人們能夠更加智能地洞悉信息與網路安全的態勢,更加主動、彈性地去應對新型復雜的威脅和未知多變的風險。
可視化設計的過程中,我們還需要注意:1、整體考慮、顧全大局;2、細節的匹配、一致性;3、充滿美感,對稱和諧。