信息安全工程师笔记-案例分析(二)
惡意代碼具有如下共同特征:
①惡意的目的;
②本身是計算機程序;
③通過執行發生作用。
完整性驗證:通過對明文M生成摘要信息,然后加密摘要信息附到明文后發送給對方,對方收到后將明文M運用同樣的hash函數生成摘要信息,與解密得到的摘要信息對比,可以實現完整的驗證。
在傳輸過程中能夠保值信息的保密性、完整性、、不可否認性,設計了一個安全通信模型:
流程圖如下:
?
解析:
M:指Message代表數據;
H:指對Message進行的Hash摘要算法;
H(M):指生成的摘要;
E:加密;
SKA:使用私鑰加密(非對稱加密密鑰);
K:對稱加密密鑰;
PKA:使用公鑰解密(非對稱加密密鑰)。
Linux系統將用戶名存在/etc/passwd文件中,將口令保存在/etc/shadow中。
/etc/passwd權限:rw-r--r--
/etc/shadow權限:r--------
Linux系統的用戶名文件包含如下內容:
root:x:0:0:root:root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin hujw:x:500:500:hujianwei:/home/hujw:/bin/bash用冒號分割:
第一列:root、bin、hujw:代表用戶名;
第二列:x:代表對應的帳號的口令都放到了/etc/shadow這個文件中;
第三列:0、1、500:代表用戶標識號(userId),取值范圍是0~65536,0代表超級用戶,1~499代表管理帳號、500以上代表是普通用戶;
第四列:0、1、500:代表組標識號(groupId);
第五列:root、bin、huijianwei:代表注釋說明,記錄用戶的屬性,如名稱,電話地址等等;
第六列:root、/bin、/home/hujw:代表用戶家目錄,當用戶登錄就會出現在這個用戶中;
第七列:/bin/bash、/sbin/nologin、/bin/bash:代表用戶的shell;
心跳包格式如下:
| 心跳包類型(1字節) | 心跳包數據長度(2字節) | 數據/負載 |
如下代碼:
p指向心跳包的報文數據,s是對應客戶端的socket網絡通信套接字
void process_heartbeat(unsigned char *p, SOCKET s){unsigned short hbtype;unsigned int payload;hbtype = *p++; //心跳包數據類型n2s(p, payload); //心跳包數據長度pl = p;if(hbyte == HB_REQUEST){unsigned char *buffer, *bp;buffer = malloc(1 + 2 + payload);bp = buffer; //bp指向剛分配的內存*bp++ = HB_RESPONSE; //填充1byte的心跳類型s2n(payload, bp); //填充2byte的數據長度memcpy(bp, pl, payload);/*將構造好的心跳響應包通過socket s返回客戶端*/r = write_byte(s, buffer, 3 + payload);} }代碼想實現的功能:
獲得了心跳包后,將類型,長度,和數據分別獲取后,構造一個響應包,其中長度和數據不變,將請求中的數據原封不動的回過去。
但是有個問題,如果數據長度是65535,而真實的數據中就只有HelloWorld,這樣會有其他6萬個字節的莫名其妙的數據,這些數據可能會帶有tcp緩存區其他數據包的數據。
存在的漏洞:
HeartBleed漏洞。由于沒有對實際數據載荷長度進行檢測,導致攻擊者可讀出內存中其他重要數據內容
模糊測試:介于手動測試和自動化測試之間的一種測試方式,通過測試工具,隨機或半隨機生成大量的數據,將這些數據發送給要測試的系統,然后測試工具檢測被測系統的狀態(能否相應,或者響應結果是否正確)分析出是否存在安全漏洞。
模糊測試屬于黑盒測試,模糊測試是自動化的動態的漏洞挖掘技術,不存在誤報。
通過模糊測試可以測試出上述代碼存在安全漏洞。
通過測試發送請求數據包大小、內容、響應數據包大小、內容,進行比較分析,可以發現上述代碼存在漏洞。
IDS(入侵檢測系統):網絡安全狀態的監管,屬于被動防護;
IPS(入侵防護系統):對入侵行為的控制,屬于主動防護;
入侵檢測是動態安全模型P2DR的重要組成部分,P2DR模型的4個主要組成部分:Protection保護、Response響應、Detection檢測、Policy策略;
如果通過抓包可以看到,大量的主機與我們的服務發送SYN數據包,如seq=0、win=512、len=0,這個異常的數據包。這就是拒絕服務攻擊(DDOS),具體名稱為SYN flood。
異常檢測:入侵者的活動異常于正常的主體活動。
誤用檢測:通過攻擊行為的特征庫,采用特征匹配的方式,確定攻擊事件。誤報率低,檢測快,但不能發現特征庫中沒有的攻擊行為。
snort是一款開源的網絡入侵檢測系統,他能實時流量分析和IP協議網絡數據包記錄。
snort的三種工作模式:嗅探器模式、包記錄模式、網絡入侵檢測模式。
總結
以上是生活随笔為你收集整理的信息安全工程师笔记-案例分析(二)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: QtJava笔记-Qt与Java进行SS
- 下一篇: Java笔记-Java端口扫描功能(含T