一、***方式

主动***主要包括对业务数据流报文首部或数据载荷部分进行假冒或篡改，以达到冒充合法用户对业务资源进行非授权访问，或对业务资源进行破坏性***被动***，用户一般无法感知

bug不等同于漏洞

bug影响功能性，不涉及安全性，也不构成漏洞，大部分的漏洞来源于bug，但并不是全部，它们之间只是有一个很大的交集

漏洞肯定涉及安全问题

***:利用安全存在的漏洞和安全缺陷对网络系统的硬件，软件及其系统中的数据进行的***，包括主动***：篡改、伪造消息数据、DDOS等；被动***:流量分析、窃听等***:指具有熟练的编写和调试计算机程序的技巧，并使用这些技巧来获得非法或未授权的网络或文件访问，***进入公司内部网的行为***和***之间的区别：***是指任何威胁和破坏系统资源的行为，***是***者为进行***所采取得技术手段和方法webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门网站黑链映射到其它网站上

失陷主机植入恶意软件，市场恶意软件不断变种

0day漏洞:通常是指还没有补丁的漏洞，也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞

exploit简称exp，漏洞利用提权:提高自己在服务器的权限，主要针对网站***过程中，当***某一网站时，通过各种漏洞提升WEBshell权限以夺得该服务器权限跳板:为了隐藏自己的地址，让别人无法查找到自己的位置***:网站遭到***后，***窃取其数据库社会工程学:是一门科学，是一种利用人性的弱点（好奇心、信任、贪婪等心理）进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上升甚至滥用的趋势Apt***:高级持续性威胁，利用先进的***手段对特定目标进行长期持续性网络***的***形式

静态网页:htmlh或者htm，是一种静态的资源格式，不需要服务器解析其中的脚本，由IE浏览器解析

1、不依赖数据库2、灵活性差、制作、更新、维护麻烦3、交互性较差、在功能方面有较大的限制4、安全、不存在SQL注入漏洞动态网页:asp、aspx、php、jsp等，由相应的脚本引行来解释执行，根据指令生成静态网页1、依赖数据库2、灵活性好、维护简便3、交互性好、功能强大4、存在安全风险，可能存在SQL注入漏洞脏牛漏洞、sudo漏洞 linux系统IIS:internet信息服务器

net start w3svc 关闭IIS

net start iisadmin 常见漏洞:IIS短文件漏洞、IIS解析漏洞、IIS6.0远程代码执行Apache是Apache软件基金会的一个开放源码的网页服务器，世界使用排名第一的web服务器软件常见漏洞:Apache解析漏洞、Apache日志文件漏洞Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器常见漏洞:Nginx解析漏洞、整数溢出漏洞Tomcat服务器是一个免费的开源代码的web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选常见漏洞:tomcat弱口令、tomcat远程代码执行、本地提权Weblogic是一个基于JavaEE架构的中间件，weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的java应用服务器常见漏洞:java反序列化、×××F(服务器端请求伪造)SQL结构化查询语言0day***:利用简单，危害较大struts2框架存在漏洞，平时说struts2漏洞指的远程命令/代码执行漏洞利用该漏洞可执行任意操作，例如上传shell，添加管理员账号等Jave反序列化:直接部署一个webshell，利用非常简单bash破壳漏洞bash漏洞源于在调用bash shell之前可以用构造的值创建环境变量，由于没有对输入的环境变量进行检测，***者可以在输入的变量时候可以包含恶意代码，在shell被调用后会立即执行利用该漏洞，可以执行任意代码，甚至可以不需要金钩认证，就能远程取得系统的控制权，包括执行恶意程序，或在系统内植入***，获取敏感信息

***防范:通过分析经过设备的报文的内容和行为，判断报文是否具有***特征，并根据配置对具有***特征的报文执行一定的防范措施“告警、丢弃报文、加入黑名单等”

***目的

其目的是使计算机或网络无法提供正常的服务，服务器宕机，业务中断，网络瘫痪、窃取密码和信息

***方式

单播***：畸形报文***，***者利用缺陷的IP报文，是目标系统无法处理该报文是出错、崩溃

扫描***：寻找脆危的目标位置，为***做准备Sniffer、portscan、ping、域名IP地址映射Whois

泛洪***：SYN Flood ***、ICMP Flood ***、UDP Flood ***

访问***：密码破解、信任被利用

应用层***:应用层DDoS***利用了高层协议，对应用服务开展***（由于高层协议的多样性与复杂性，应用层DDoS***很难被检测到）

主要一下几种:1、慢速***:***者以一个较低速率持续向服务器发送请求行，服务器一般会缓存客户端的请求，因此达到资源耗尽的目的2、泛洪***:***者构造随机的URL，向服务器发送请求，消耗服务器资源3、CC***:***者分析出都那些URL比较耗性能，然后针对该URL发动***，消耗服务器资源

SYN Flood ***：***者向服务器发送伪造源地址的SYN报文，服务器在回应SYNACK报文后，由于目的地址是伪造的，因此服务器不会收到相应的ACK报文，从而在服务器上产生一个半连接，若***者发送大量这样的报文，使其服务器资源耗尽，使正常的用户无法访问，直到半连接超时

措施：SYN Cookie功能用来防止SYN Flood***服务器收到TCP连接请求时，直接向发起者回复SYN ACK报文，当服务器收到发起者回应的ACK报文后，才建立连接，并进入Established状态，从而能防止服务器受到SYN Flood***

ICMP Flood ***：***者在短时间内向特定目标发送大量的ICMP请求报文（例如ping报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务

UDP Flood ***：***者在短时间内向特定目标发送大量的UDP报文，致使目标系统负担过重而不能处理正常的业务

措施：使用UDP helper功能，将开启广播报文转换为单播报文发送给指定的服务器

连接限制

内网用户访问外网时，发起大量连接，使其设备系统资源迅速消耗，导致其它用户无法访问网络资源限制用户发起的连接数限制用户创建连接的速率限制用户建立连接所占用的带宽资源来实现

黑名单功能：黑名单功能是根据报文的源IP地址进行报文过滤的一种***防范特性，动态建立黑名单

Smurf***：***者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行

最终导致该网络的所有主机都对次ICMP应答请求作出答复，导致网络阻塞

密码***：多个设备不要使用相同密码、限制密码登录次数、远程网管不使用明文密码、象形密码

信任被利用：防火墙划分区域、端口重定向netcat、中间人******、缓存溢出DOS

应用层：禁掉不需要的服务端口:CDP、finger......

结合安全设备进行防护：

防火墙是L3-L4的安全防御设备,防火墙只能解决20%的安全威胁问题

IPS是L7层上进行防御的IPS内置了IDS功能,而IPS可以解决80%的安全问题

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备

物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发

物理隔离网闸从物理上隔离、阻断了具有潜在***可能的一切连接，使"***"无法***、无法***

***是基于TCP的，***的客户端和服务器端需要建立连接

蠕虫通过计算机网络主动复制和繁殖自己，消耗网络、系统资源

蠕虫传播时破坏了系统核心进程svchost.exe，从而导致系统不稳定，崩溃

蠕虫用以下端口发现漏洞的系统:TCP 135、TCP 137、TCP 139

安全隔离网闸由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元