网络安全笔记整理(1)，字节跳动网络安全内部学习资料泄露

ARP欺骗：

当A与B需要通讯时：

A发送ARP Request询问B的MAC地址，Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的），之后A发送给B的正常数据包都会发给Hacker

ICMP****重定向攻击

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由，路由器也会把初始数据报向它的目的地转发。ICMP虽然不是路由协议，但是有时它也可以指导数据包的流向（使数据流向正确的网关）。ICMP协议通过ICMP重定向数据包（类型5、代码0：网络重定向）达到这个目的。

ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包，使受害人主机数据包发送到不正确的网关，达到攻击的目的。ICMP重定向攻击既可以从局域网内发起，也可以从广域网上发起。

针对ICMP重定向报文攻击，简单的办法就是通过修改注册表关闭主机的ICMP重定向报文处理功能。

ICMP****不可达报文攻击

不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。

针对ICMP不可达攻击，简单的办法就是通过修改注册表关闭主机的ICMP不可达报文处理功能。

网络的基本攻击模式：

1.截获（嗅探、监听）【机密性】被动威胁

2.篡改（数据包篡改）【完整性】主动威胁

3.中断（拒绝服务：拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式）【可用性】主动威胁

4.伪造（欺骗）【真实性】主动威胁

入侵方法

（1）物理侵入:侵入者绕过物理控制而获得对系统的访问。对主 有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。

（2）系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会

（3）远程侵入: 通过网络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多

勒索病毒：

一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

特点：调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

第一阶段：锁定设备，不加密数据

第二阶段：加密数据，交付赎金后解密

第三阶段：攻陷单点后，横向扩散

第四阶段：加密货币的出现改变勒索格局

五阶段：RaaS模式初见规模

传播方式：钓鱼邮件、蠕虫式传播、恶意软件捆绑、暴力破解、Exploit Kit分发

勒索病毒特点：

针对攻击者**😗*

传播入口多

①公网服务器暴露端口、应用、系统，存在高危漏洞、弱口令和不合适的安全策略等

②内部用户自身遭遇钓鱼邮件，恶意链接，访问网页挂马，下载捆绑病毒的注册机破解软件等

传播技术隐蔽

①传输通道隐蔽，难以被发现，如DNS隐蔽隧道

②自动化慢速爆破，潜伏时间长，攻击频率低，难以被一般安全设备纳入统计

③病毒样本变种频繁，无法及时识别。

勒索产业化发展

①勒索软件包（勒索软件即服务）代码质量高，安全攻击能力强

②从制作到分发到洗钱每个节点都能找到对应的服务

针对受害者**😗*

安全状况看不清

①不清楚当前资产暴露情况

②不清楚当前资产脆弱性情况

安全设备防不住

①买了很多安全设备，不会精细配置，安全策略没关联

②勒索病毒技术迭代快，传统安全设备防护不全面有疏漏

问题处置不及时

①勒索病毒爆发初期不知如何处置，小问题拖成大事件

②设备属性局限只能从单一方面处置问题，不够全面，记录缺失

挖矿病毒：

一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用

特点：占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害：占用系统资源、影响系统正常使用。

特洛伊木马：

完整的木马程序一般由两个部份组成：服务器程序与控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

特点：注入正常程序中，当用户执行正常程序时，启动自身。自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害：个人隐私数据泄露，占用系统资源

蠕虫病毒：

蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机

特点：不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害：拒绝服务、隐私信息丢失

宏病毒：