¿Qué base se necesita para aprender sobre seguridad de redes?

Conocimientos básicos 1.

Hermano: El llamado "broiler" es una metáfora muy vívida, que es una metáfora de aquellas computadoras que podemos controlar a voluntad. La otra parte puede ser el sistema WINDOWS o un sistema UNIX/LINUX, que puede ser una computadora personal común o un servidor grande. Podemos operarlos como si fueran nuestras propias computadoras sin que la otra parte lo note.

2.

Caballos de Troya: Estos son programas que parecen normales, pero cuando son ejecutados por el programa, obtendrán el control total del sistema. Hay muchos piratas informáticos interesados ​​en utilizar programas troyanos para controlar los ordenadores de otras personas, como Grey Pigeon, Black Hole, PcShare, etc.

3.

Troyano de página web: disfrazado de un archivo de página web normal o insertando el código directamente en un archivo de página web normal, cuando alguien lo visita, el troyano de página web aprovechará las vulnerabilidades. en el sistema o navegador de la otra parte para descargar automáticamente el servidor troyano configurado en la computadora del visitante para su ejecución automática.

4.

Troyano: consiste en colocar un troyano web en los archivos del sitio web de otras personas o introducir el código en el archivo web normal de la otra parte, para que el espectador pueda ser atacado.

5.

Puerta trasera: esta es una metáfora vívida. Después de que el intruso controla con éxito el host objetivo mediante el uso de ciertos métodos, puede implantar un código específico en el sistema de la otra parte. o modificar algunas configuraciones. Estos cambios son difíciles de detectar en la superficie, pero el intruso puede usar los programas o métodos correspondientes para establecer fácilmente una conexión con la computadora y recuperar el control de la computadora, como si el intruso estuviera equipado en secreto. Si es la habitación del maestro, puedes entrar. y salir en cualquier momento sin ser descubierto por el maestro. Por lo general, los intrusos pueden utilizar la mayoría de los programas troyanos para crear puertas traseras (BackDoor).

6.

Rootkit: los atacantes utilizan Rootkit para ocultar su paradero y las herramientas que retienen la raíz (root). permisos, que pueden entenderse como permisos del sistema o de administrador en WINDOWS) derechos de acceso. Por lo general, los atacantes obtienen acceso de root a través de ataques remotos, o primero utilizan la adivinación de contraseñas (craqueo) para obtener acceso normal al sistema. Después de ingresar al sistema, obtienen acceso al sistema a través de vulnerabilidades de seguridad en los permisos de root del sistema de la otra parte. Luego, el atacante instalará un rootkit en el sistema de la otra parte para lograr el control a largo plazo de la otra parte. Los rootkits son muy similares a los troyanos y puertas traseras que mencionamos anteriormente, pero están mucho más ocultos que ellos. Los guardianes son muy típicos, así como los ntroorkit domésticos, etc., son buenas herramientas de rootkit.

7.

IPC$: es el recurso para compartir "canalizaciones con nombre". Es una canalización con nombre abierta para la comunicación entre procesos. Se puede verificar verificando el nombre de usuario. y La contraseña obtiene los permisos correspondientes y se utiliza al administrar remotamente la computadora y ver los recursos compartidos de la computadora.

8.

Contraseñas débiles: se refiere a aquellas contraseñas (contraseñas) que no son lo suficientemente seguras y se pueden adivinar fácilmente, como 123 y abc.

. 9.

Compartir de forma predeterminada: El uso compartido predeterminado es que el sistema WINDOWS2000/XP/2003 activa automáticamente el uso compartido de todos los discos duros cuando el servicio de uso compartido está activado. Debido a que se agrega el signo "$", por lo tanto, el gráfico de soporte de la acción * no se puede ver y también se convierte en una acción * oculta.

10.

Shell: se refiere a un entorno de ejecución de comandos. Por ejemplo, cuando presionamos la "tecla Inicio + R" en el teclado, aparece el cuadro de diálogo "Ejecutar". Ingrese "cmd" adentro y aparecerá una ventana negra para ejecutar comandos. Este es el entorno de ejecución de Shell de WINDOWS. Por lo general, después de usar un programa de desbordamiento remoto para desbordar con éxito la computadora remota, el entorno utilizado para ejecutar los comandos del sistema es el shell de la otra parte

11.

WebShell: WebShell se basa en asp, php, un entorno de ejecución de comandos que existe en forma de archivos de páginas web como jsp o cgi también se puede denominar puerta trasera de páginas web.

Después de que los piratas informáticos invaden un sitio web, generalmente mezclan estos archivos de puerta trasera ASP o PHP con archivos de páginas web normales en el directorio WEB del servidor del sitio web. Después de eso, pueden usar un navegador para acceder a estas puertas traseras ASP o PHP y obtener un entorno de ejecución de comandos. , para lograr la finalidad de controlar el servidor del sitio web. Puede cargar y descargar archivos, ver bases de datos, ejecutar comandos de programas arbitrarios, etc. Los WebShells más utilizados en China incluyen el troyano Haiyang ASP, Phpspy, c99shell, etc.

12.

Desbordamiento: para ser precisos, debería ser "desbordamiento de búfer". La explicación simple es que el programa no realizó una detección efectiva de los datos de entrada que recibió, lo que provocó un error. Las consecuencias pueden ser provocar que el programa falle o que se ejecuten los comandos del atacante. Se puede dividir aproximadamente en dos categorías: (1) desbordamiento del montón; (2) desbordamiento de la pila.

13.

Inyección: con el desarrollo del desarrollo de aplicaciones en modo B/S, cada vez más programadores utilizan este modo para escribir programas, pero debido a que el nivel A es desigual. Un gran número de aplicaciones tienen riesgos de seguridad. El usuario puede enviar un código de consulta a la base de datos y obtener algunos datos que desea conocer en función de los resultados devueltos por el programa. Esta es la llamada inyección SQL, es decir: inyección SQL.

14.

Punto de inyección: Es el lugar donde se puede realizar la inyección, normalmente una conexión para acceder a la base de datos. Dependiendo de los permisos de la cuenta en ejecución de la base de datos del punto de inyección, los permisos que obtiene también son diferentes.

15.

Intranet: en términos simples, es una red de área local, como cibercafés, redes de campus, intranets de empresas, etc., todos entran en esta categoría. Si la dirección IP está dentro de los siguientes tres rangos significa que estamos en la intranet: 10.0.0.0—10.255.255.255, 172.16.0.0—172.31.255.255, 192.168.0.0—192.168.255.255

16 .

Red externa: conectados directamente a INTERNET (Internet), pueden acceder entre sí con cualquier computadora en Internet, la dirección IP no es una dirección IP reservada (red interna).

17.

Puerto: (Puerto) equivale a un canal de transmisión de datos. Se utiliza para recibir ciertos datos y luego transmitirlos al servicio correspondiente. Después de que la computadora procesa los datos, transmite la recuperación correspondiente a la otra parte a través del puerto abierto. Generalmente cada puerto abierto corresponde al servicio correspondiente. Para cerrar estos puertos solo es necesario cerrar el servicio correspondiente.

18.

3389, 4899 broiler: 3389 es el número de puerto predeterminado utilizado por Windows Terminal Services (Terminal Services). Este servicio es utilizado por Microsoft para facilitar la gestión y el mantenimiento remotos. Administradores de red Introducidos por el servidor, los administradores de red pueden usar el escritorio remoto para conectarse a cualquier computadora en la red que tenga los Servicios de Terminal activados. Después de iniciar sesión correctamente, operarán el host como si fuera su propia computadora. Esto es muy similar a la función implementada por el software de control remoto o incluso los programas troyanos. La conexión al servicio de terminal es muy estable y no será comprobada por ningún software antivirus, por lo que también es muy popular entre los piratas informáticos. Después de que los piratas informáticos invaden un host, generalmente encuentran una manera de agregar su propia cuenta de puerta trasera y luego abren el servicio de terminal de la otra parte, de esta manera pueden usar el servicio de terminal para controlar a la otra parte en cualquier momento. anfitrión generalmente se llamará 3389 pollo de engorde. Radmin es un excelente software de control remoto. 4899 es la versión predeterminada de Radmin y los piratas informáticos lo utilizan a menudo como troyano (por esta razón, el software antivirus actual también comprueba y elimina Radmin). El número de puerto de servicio que utilizan algunas personas. Debido a que la función de control de Radmin es muy poderosa, la velocidad de transmisión es más rápida que la de la mayoría de los troyanos y no es detectada por el software antivirus. Cuando se usa Radmin para administrar computadoras remotas, se usan contraseñas vacías o contraseñas débiles, y los piratas informáticos pueden hacerlo. use algún software para escanear. Hay un host con una contraseña vacía de Radmin o una contraseña débil en la red, y luego puede iniciar sesión para controlar el host de forma remota. De esta manera, el host controlado generalmente se usa como un asador 4899.

19.

Protección antivirus: Modifique el programa mediante técnicas como empaquetado, cifrado, modificación de códigos de características, adición de instrucciones, etc., para que pueda escapar a la detección por parte de los antivirus. -software antivirus.

20.

Embalaje: utilice un método ácido especial para cambiar la codificación de programas ejecutables EXE o archivos de biblioteca de enlaces dinámicos DLL (como compresión y cifrado) para lograr el propósito. de reducir el tamaño del archivo o cifrar la codificación del programa, o incluso evitar la detección por parte del software antivirus. Actualmente, los shells más utilizados incluyen UPX, ASPack, PePack, PECompact, UPack, Immunity 007, Trojan Caiyi, etc.

21.

Instrucciones florales: Son sólo unas pocas instrucciones de montaje que permiten que las declaraciones de montaje den algunos saltos, de modo que el software antivirus no pueda determinar correctamente la estructura del archivo de virus. En pocas palabras, "el software antivirus busca virus en orden de pies a cabeza. Si invertimos las posiciones de la cabeza y los pies del virus, el software antivirus no podrá encontrarlo".