安全基础

安全基础

CIA三元组

机密性（Confidentiality）、完整性（Integrity）、可用性（Available）

HTTPS的实现原理

1. Client发送random1＋对称加密套件列表＋非对称加密套件列表

2. Server 收到信息 ，选择对称加密套件＋非对称加密套件并和 random2＋证书

3. Client 验证证书有效性 ，并用 random1+random2生成 pre-master, 通过服务器公钥加密＋浏览器确认，发送给Server

4. Server收到pre-master，根据约定的加密算法对random1 + random2 + pre-master（解密）生成master-secret，然后发送服务器确认
5. Client收到生成同样的master-secert,对称加密秘钥传输完毕

3389无法连接的几种情况

端口被修改、被防御拦截（防火墙）、处在内网环境中需要进行端口转发。

ARP欺骗原理

每台主机都有一个ARP缓存表，缓存表中记录了当前局域网下ip地址和mac地址的对应关系，而局域网的数据传输依靠的就是mac地址。在ARP缓存表机制中存在一个缺陷，就是当请求主机收到ARP应答包后，不会去验证自己是否向对方主机发送过ARP请求包，就会直接把这个返回包中的IP地址和mac地址的对应关系保存进ARP缓存表中，如果原有相同的ip对应关系，原有的则会被替换。遮掩攻击者就有了偷听主机传输数据的可能性。

ARP欺骗的防护

1. 在主机绑定网关的mac与ip地址为静态，使用 arp -s 网关ip 网关mac
2. 在网关中绑定主机的ip地址和mac地址
3. 使用ARP防火墙

syn洪流的原理

伪造大量的源IP地址、分别向服务器发送大量的SYN包，此时服务器端会返回SYN/ACK包，因为源地址是伪造的，所以伪IP并不会应答，服务器端没有收到伪造ip的回应，会重试3~5次并且等待一个SYNTime（一般为30秒至2分钟），如果超时则丢弃这个连接。攻击者发送这种伪造的源地址的SYN请求，服务器端会消耗非常多的资源来处理这种半连接，同时还要不断地对这些IP进行SYN+ACK重试。最后的结果是服务器无暇理睬正常的连接请求，导致拒绝服务。

CC攻击原理

对—些消耗资源较大的应用页面不断发起正常的请求， 以达到消耗服务端资源的目的。

什么是同源策略

同源策略限制不同源对当前document 的属性内容进行读取或设置。不同源的区分协议、域名、子域名、IP 、端口，以上有不同时即不同源。

TCP 三次握手的过程以及对应的状态转换

1. 客户端向服务器端发送—个SYN 包，包含客户端使用的端口号和初始序列号x

2. 服务器端收到客户端发送来的SYN 包后，向客户端发送一个SYN 和ACK 都置位的TCP 报文，包含确认号xxl 和服务器端的初始序列号y

3. 客户端收到服务器端返回的SYNSACK 报文后，向服务器端返回一个确认号为yyl 、序号为xxl 的ACK 报文， —个标准的TCP 连接完成

TCP和UDP的区别

• TCP面向连接，UDP面向报文
• TCP对系统资源要求多，UDP要求少
• TCP保证数据的完整性和顺序，UDP不保证

多线程、多进程的区别

数据方面：多进程数据是分开的，共享复杂同步简单；多线程数据是同步的，共享简单，同步复杂。

内存方面：多进程占用内存多、利用率低：多线程占用内存少，利用率高。

创建销毁方面：多进程复杂速度慢；多线程简单快。

可靠性方面：进程间互不影响；一个线程挂掉就导致整个进程挂掉

NTLM原理

Windows 认证包括三个部分本地认证、网络认证、域认证。

在本地登录Windows 的情况下，操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证，当我们登录系统的时候系统会自动地读取SAM 文件中的密码”与我们输入的密码”进行比对如果相同证明认证成功。这个SAM 文件中保留了计算机本地所有用户的凭证信息，可以理解为是一个数据库。Windows 本身不保存明文密码只保留密码的Hash 。在Windows 中密码Hash 目前称之为NTLM Hash, 其中NTLM 全称是“NT LAN Manager” 。
这个NTLM 是—种网络认证协议，与NTLM Hash 的关系就是NTLM 网络认证协议是以NTLM Hash 作为根本凭证进行认证的协议。也就是说NTLM 与NTLMHash 相互对应。在本地认证的过程中， 其实就是将用户输入的密码转换为NTLMHash 与SAM 中的NTLM Hash 进行比较。

什么是中间人攻击

中间人攻击是一个（缺乏）相互认证的攻击，由于客户端与服务器之间在SSL握手的过程中缺乏相互认证而造成的洞洞。

防御中间人攻击的方案

1. 公钥基础建设 PKI 使用 PKI 相互认证机制， 客户端验证服务器，服务器验证客户端。上述两个例子中都是只验证服务器，这样就造成了SSL 握手环节的漏洞，而如果使用相互认证的的话1 基本可以更强力的相互认证。
2. 延迟测试：使用复杂加密哈希函数进行计算以造成数十秒的延迟；如果双方通常情况下都要花费 20 秒来计算，并且整个通讯话费了60秒才到达对方，这样就表明存在第三方中间人。
3. 使用其他形式的秘钥交换形式。

描述tcp/udp 的区别及优劣，及其发展前景

• TCP-传输控制协议，提供的是面向连接的、可靠的字节流服务。当客户端和服务器彼此交换数据之前，必须先在双方建立一个TCP连接，之后才能传输数据。TCP提供超时重发、丢弃重复数据、校验数据、流浪控制等功能、保证数据能从一端传输到另一端。TCP建立连接完整性强、速度较慢
• UDP-用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性。它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报之前不用在客户端和服务器之间建立连接，且没有超时重连等机制，故而传输的速度很快。UDP不建立连接、不可靠、速度快
• 优缺点对比：当数据传输的性能必须让位于数据传输的完整性、可控制性和可靠性时，TCP协议当然是必然的选择。强调传输性能而不是传输的完整性时，如：音频和多媒体应用，UDP是最好的选择。在数据传输时间很短以至于此前的连接过程成为整个流量的主体的情况下，UDP也是一个很好的选择，如：DNS交换。

公司网络安全具体指什么

1. 基础网络安全（按网络区域划分）
   • 网络终端安全：防病毒（网络病毒、邮件病毒）、非法入侵、共享资源控制
   • 内部局域网（LAN）安全：内部访问控制（包括接入控制）、网络阻塞（网络风暴）、病毒检测
   • 外网（Internet）安全：非法入侵、病毒检测、流量控制、外网访问控制。
2. 系统安全（系统层次划分）
   • 硬件系统级安全：门禁控制、机房设备监控（视频）、防火电源、电源监控（后备电源）、设备运行监控
   • 操作系统级安全：系统登录安全、系统资源安全、存储安全、服务安全等
   • 应用系统级安全：登陆控制、操作权限控制
3. 数据、应用安全（信息对象划分）
   • 本地数据安全：本地文件安全、本地程序安全
   • 服务器数据安全：数据库安全、服务器文件安全、服务器应用系统、服务器程序安全

如何判断计算机可能已经中马

• 计算机系统运行速度减慢。
• 计算机系统经常无故发生死机。
• 计算机系统中的文件长度发生变化。
• 计算机存储的容量异常减少。
• 系统引导速度减慢。
• 丢失文件或文件损坏。
• 计算机屏幕上出现异常显示。
• 计算机系统的蜂鸣器出现异常声响。
• 磁盘卷标发生变化。
• 系统不识别硬盘。
• 对存储系统异常访问。
• 键盘输入异常。
• 文件的曰期、时间、属性等发生变化。
• 文件无法正确读取、复制或打开。
• 命令执行出现错误。
• 虚假报警。
• 换当前盘。有些病毒会将当前盘切换到C 盘。
• 时钟倒转。有些病毒会命名系统时间倒转，逆向计时。
• Windows 操作系统无故频繁出现错误。
• 系统异常重新启动。
• 一些外部设备工作异常。
• 异常要求用户输入密码。
• Word 或Excel 提示执行宏＂ 。

木马的传播路径主要有哪些

木马主要是依靠邮件、下载等途径进行传播。

木马也可以通过各种脚本进行传播比如，IE 浏览器在执行脚本时存在一些漏洞，入侵者可以利用这些涓洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后，入侵者便可以通过客户端程序与目标主机上的服务端建立连接，进而控制目标主机。

对于通信协议的选择，绝大多数木马使用的是 TCP/IP 协议，但是也有使用 UDP 协议的木马。所以，做好木马的检测工作可以及时的发现以及处理木马，降低木马所带来的损失。

恶意软件的定义

恶意软件-Malicious Software, malware：把未经授权便干扰或破坏计算机系统／网络功能的程序或代码(—组指令）称之为恶意程序。

一组指令可能是二进制文件，也可能是脚本语言／宏语言等。

什么是网页挂马

网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码，浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，从而控制浏览者的主机。

网页挂马的目的，让访问该网页的主机下载某木马的服务器端程序，进而控制浏览者的主机。

网页挂马都有什么类型

1. 框架嵌入式网络挂马

   网络木马被攻击者利用 iframe 语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的一种网络挂马技术。再打开插入该句代码的网页后，也就打开了木马页面，但是由于它的长和宽都为0，所有非常具有隐蔽性。

2. js调用型网页挂马

   js挂马是一种利用js脚本文件调用的原理，进行的网页木马隐蔽挂马技术。如黑客先制作一个js文件，然后利用js代码调用到挂马的网页。

   通常的代码如下：

   http:/ /www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需要输入相关的选项就可以。

3. 图片伪装挂马

   随着防毒技术的发展，黑手段也不停的更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似<http://www.xxx. com/test.htm>中的木马代码植入到 test.gif 图片文件中，这些签入代码的图片都可以利用工具生成，攻击者只需要设置相关的选项就可以了。图片木马生成之后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法。

4. 网络钓鱼挂马（也成为了伪装调用挂马）

   网络中最常见的欺诈手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页、利用社会工程学欺骗方法引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。

   这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取Q币的页面，印有输入QQ号和密码。等用户输入完提交之后，这些信息就会发送到攻击者指定的地方。

5. 伪装挂马

   高级欺骗，黑客利用IE或者Firefox浏览器的设计缺陷制造的一种公安机器偏技术，当用户访问木马页面时地址栏显示的是 www.sina.com 或者 security.ctocio.com.cn 等用户信任地址，其实却是打开了被挂马的界面，从而实现欺骗。

总结：上述的挂马方式都是利用了系统的漏洞，并且挂马的代码不用攻击者编写。都是实现了工具化、傻瓜化。技术门槛比较低，因此危害也比较大。

为什么电子邮件病毒会有危险

根据最先的报告，电子邮件继续在恶意软件分发生态系统中占主导地位。恶意代码可以作为附件文件查收，也可以通过指向随机在线资源（如 Google Drive）的链接进行轮询。在病毒传播方面，SMTP 流量优于其他协议。此外，病毒不一定是.exe 文件，他们也可以伪装成用户通常信任的 .doc/.pdf 文档。

远程访问工具的风险是什么

除了未经批准的访问之外，还面临着一个风险：文件传输。尤其令人不安的是，在这些会话过程中，大量的流量（GB级别）来回传输移动。大多数远程访问实用程序都具有加密措施，因此无法了解正在下载或上传的内容。总的来说，它是私有数据泄露的主要渠道。

ICMP协议类型简述

ICMP协议以来IP协议，主要类型有:

• 8：ping请求
• 0：ping应答
• 3：目标不可达
• 11：ttl超时

防火墙的类别及其原理

• 包过滤防火墙，配置复杂功能简单，对数据包的目的地址，端口号即协议类型进行检测；
• 应用代理防火墙，连接度率低，速度慢，每个代理都需要一个服务程序，对每个新生应用必须添加针对该应用的服务程序，否则不能使用。
• 状态检测防火墙，速度快、配置方便、功能较多，根据网络连接甚至状态特性进行检测，但是对应用层检测不够深入；
• 高级应用防火墙，能高速对应用层数据进行检测。

HTTP状态响应简述

• 1XX —-提供信息，
• 2XX —-请求被成功提交
• 3XX —-客户端被重定向
• 4XX —-请求包含错误
• 5XX —-服务器执行请求遇到错误

200 OK //客户端请求成功
403 Forbidden //服务器收到请求，但是拒绝提供服务
404 Not Found //请求资源不存在，eg：输入了错误的URL
500 Internal Server Error //服务器发生不可预期的错误

cookie和session的区别

cookie和session都是客户端和服务器之间保持状态的解决方案。

1. 存储的位置不同

   cookie存放在客户端，session存放在服务器。session存储的数据比较安全。

2. 存储的数据类型不同

   两者都是 key-value 的结构，但是针对 value 得类型是有差异的：cookie的value只能是字符串类型，session的value是object类型

3. 存储的数据大小限制不同

   cookie大小收到浏览器的限制，很多都是 4K 的大小；session理论上受当前内存的大小限制。

4. 生命周期的控制

   cookie的生命周期当浏览器关闭的时候就没有了，就消亡了。

   cookie的生命周期是累积的，从创建的时候就开始计时，20分钟过之后，cookie生命周期结束。

   session的生命周期是间隔的，从session不活动的时候开始计算，如果session一直活动，session就总不会过期。一旦Session被访问,计时清0;

ARP协议的工作原理

地址解析协议，即 ARP(Address Resolution Protocol)，是根据IP地址获取物理地址的一个协议。

1. 发送ARP请求的以太网数据帧 广播 到以太网的每个主机，ARP请求帧中包含了目的主机的IP地址。
2. 目的主机收到了该ARP请求之后，会发送一个ARP应答，里面包含了目的主机的MAC地址。

GET 与 POST 的区别

1. GET是获取数据；POST是修改数据
2. GET是吧请求的数据放在url上，以？分割URL 和传输数据，参数之间以& 相连，所以GET不太安全；而POST把数据放在HTTP 包体内(reuqest body)
3. GET提交的数据最大是2K（实际上取决于浏览器）；POST理论上没有限制。
4. GET产生一个TCP数据包，浏览器会把 http header 和 data 一起发出去，服务器响应；POST产生两个TCP数据包，浏览器先发送header，服务器响应100（continue），浏览器在发送data，服务器响应200。
5. GET请求会被浏览器主动缓存；POST则不会，除非手动设置。

HTTPS 和HTTP 的区别

1. HTTP协议传数据的数据都是未加密的，都是明文，因此使用HTTP协议传输隐私信息非常的不安全，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP安全。
2. HTTPS协议需要到CA申请证书，一般免费证书较少，因而需要一定的费用。
3. HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80端口，后者是443端口。

OSI七层模型

1. 物理层：利用传输介质为数据链路层提供物理连接，实现比特流的透明传输。它负责管理电脑通信设备和网络媒体之间的互通。包括了针脚、电压、线缆规范、集线器、中继器、网卡、主机接口卡等。
2. 数据链路层：接收来自物理层的位流形式的数据，并封装成帧，传送到上一层。
3. 网络层：将网络地址翻译成相应的物理地址，并通过路由选择算法为分组通过通信网络选择最佳的路径。
4. 传输层：在源端口和目的端口之间提供可靠的透明数据传输。
5. 会话层：负责在网络中的两节点之间建立、维持和终止通信。
6. 表示层：处理用户信息的标识问题，数据的编码，压缩和解压缩，数据的加密和解密。
7. 应用层：为用户的应用进程提供网络通信服务。

HTTP长连接和短连接的区别

在 HTTP/1.0 中默认使用的是短连接。也就是说，客户端和服务器每进行一次HTTP操作，就要建立一次连接，任务结束就中断连接。而从 HTTP/1.1 开始，默认使用长连接，用以保持连接特性。

什么是SSL，SSL是工作来保证安全的

SSL 代表安全套接字层。它是一种用于加密和验证应用程序（如浏览器）和Web服务器之间发送的数据的协议。加密HTTPS的加密机制是一种共享秘钥加密和公开密钥加密并用的混合加密机制。

SSL/TLS 协议作用：认证用户和服务，加密数据，维护数据的完整性的应用层协议，加密和解密需要两个不同的密钥，故被称为非对称加密；加密和解密都使用同一个密钥的称为对称加密。

优点在于加密、解密效率通常比较高。HTTPS是基于非对称加密的，公钥是公开的。

1. 客户端向服务器发起SSL连接请求
2. 服务器把公钥发送给客户端，并且服务器端保存着唯一的密钥
3. 客户端用公钥双方通信的对称密钥进行加密，并发送给服务器端
4. 服务器利用自己唯一的私钥对客户端发来的对称密钥进行解密
5. 进行数据传输，服务器和客户端双方用共有的相同的对称密钥对数据进行加解密，可以保证数据收发过程中的安全，即使第三方获得数据包，也无法对其进行解密和篡改。

因为数字签名，摘要是证书防伪非常关键的武器。“摘要”就是对传输的内容通过HASH算法计算出一段固定长度的串。然后，通过CA的私钥对这段摘要进行加密，加密后得到的结果就是“数字签名”。

SSL/TLS 协议的基本思路就是采用公钥加密法，也就是说，客户端先向服务器所要公钥，然后使用公钥加密信息，服务器收到密文后，用自己的私钥解密信息。