fencecat的博客

本文是关于在Ubuntu 20.04 上使用 UFW 设置防火墙的内容，只有root 或者其他有 sudo 权限的用户可以管理系统防火墙。推荐以 sudo 用户来运行和管理ufw。

本文使用kali的hydra进行ssh弱口令爆破，获得服务器的用户名和口令，通过 ssh远程登录服务器，并对服务器的登录日志进行了分析，统计了是哪些用户对服务器进行了暴力破解以及暴力破解失败的次数。

CSRF是一个web安全漏洞，该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略，同源策略是一种用来阻止不同网站相互干扰的一种技术。CSR跨站请求伪造，攻击者利用服务器对用户的信任，从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中，攻击者会伪造一个请求（一般为链接），然后欺骗用户进行点击，用户一旦点击，整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。

本文详细介绍了交换机的接口模式以及vlantrunk链路中交换机的接口模式协商，并使用思科模拟器进行了相应的案例说明。

常用的两张表：filter和netfilter用于过滤数据包，net用于路由转发功能常用的两条链：INPUT、OUTPUT常见的是三个行为：ACCEPT、DROP、REJECT限制变量的三个特征：端口、协议、IP（五元组），-d -s --dport --sport -pc端口转发：本机端口、远程端口在firewalld中，没有表、没有链、没有行为，默认拒绝所有流量。

本节内容主要是希望通过IPtables的学习能够在网络安全意识上有所加深！！！这也是后面做应急响应做安全加固，做防御，甚至做攻击分析过程中必不可少的核心技术！！！

从防火墙的角度来看，从入侵攻击的特征来看，从入侵检测的防护手段来看，从流量分析预警的来看，几乎所有的网络安全攻防的一些行为都可以通过流量来进行处理。

在Linux系统中，有许多网络命令可用于管理网络连接、诊断网络问题等。以下是一些常用的网络命令：ping：用于测试与另一台计算机的连接是否畅通。示例：ping www.google.comifconfig/ip addr：显示或配置网络接口的信息。示例：ifconfig 或 ip addrnetstat：显示网络连接、路由表等网络相关信息。示例：netstat -tulpntraceroute/tracert：显示数据包从本地到目标的路径信息。示例：traceroute www.google

基于源码安装比较适合于专业人员，并不需要安装人员能看懂源码，但是需要知道源码的基本过程。解压后先去源码目录找以下几个文件：configure setup.sh install.shconfigure用于配置源码安装过程中的一些参数，make会去找当前路径下的Makefile文件来决定编译的过程。如果linux安装包是.tar.gz,表示是源码

熟练使用find命令进行文件查找，熟练使用gerep命令对文件内容进行查找，熟练使用tar等命令进行文件归档与解压缩。

真实生产环境中，安装软件配置环境时优先使用普通用户去配置，尽量隐藏root权限。实在搞不定的时候了，给普通用户设置新的权限，而不能直接用root去操作。如果直接用root配置环境或安装软件，一旦软件或环境中有漏洞被黑客利用的话，直接就获取到了root权限，都不需要提权了。

Linux操作系统-文件和文件夹操作常用命令

/dev/shm：/dev/shm目录是linux下一个非常有用的目录，因为这个目录不在硬盘上，而是在内存里。该分区的大小通常是系统内存的一般大小，由于该目录是驻留在内存中，所以对于在系统中需要使用的临时数据，可以将其存储在该目录中，就相当于我们直接在使用内存读写文件，速度相当快。通常情况下，我们可使用/opt和/home目录，这两个目录均是由用户自己处理的，不存在敏感信息，也可以将程序安装在/opt目录。

vi（visual editor）编辑器通常被简称为vi，它是Linux和Unix系统上最基本的文本编辑器，类似于Windows 系统下的notepad（记事本）编辑器。

HTTP（超文本传输协议）用于在万维网服务器上传输超文本（HTML）到本地浏览器的传输协议，HTTP协议是基于TCP/IP(HTML文件、图片、查询结构等）的。

FTP（文件传输协议）由两部分组成：客户端/服务端（C/S架构）。应用场景：企业内部存放公司文件、开发网站时利用FTP协议将网页或程序传到网站服务器，网络中传输一些大文件使用该协议。FTP：基于传输层TCP的，默认端口号（20号端口一般用于传输数据，21号端口用于传输控制信息），但是，是否使用20号端口作为传输数据端口和FTP的传输模式有关系。如果采用的主动模式，传输数据使用20号端口；如果采用的被动模式，传输使用的端口需要服务器和客户机协商决定

DNS欺骗就是利用某种方式将我们访问的域名解析到其他服务器上，从而使得我们无法正常访问到原本我们想要访问的网站。

DNS缓存服务器可以提高DNS访问速度，对局域网上网实现快速解析；适用于低互联网带宽的企业局域网络，减少重复的DNS查询、通过缓存提高速度！怎么实现DNS缓存呢？下面我跟大家分享一下如何搭建DNS缓存服务.以及DNS报文各字段的含义。

DNS欺骗：正产访问一个域名，比如访问www.baidu .com，正常会将www.baidu.com解析成百度的IP地址，攻击主机使得你访问百度的时候解析到另一个IP地址上面去，如果解析到的这个IP地址上面有对应的网站，那么当你访问百度的时候就跳转到其他网站上面去了。那么我们就需要多方面去查看，如使用nslookup www.biadu.com看下解析出来的IP地址到底是不是百度，如果不是百度的IP地址是另外一个IP地址，那么你可能就被钓鱼了。相当于你访问的是正规的域名但是它给你跳转到其他的页面了。

目的是请求的时候属于哪个vlan，启用，请求的时候你会有一些字段就是DHCP报文中option字段的信息，这个需要抓包才能看出来，需要用华为模拟器做实验，因为GNS3是用路由器模拟的，抓不了包，只能用仿真模式简单看一下。当把交换机上的某一个接口设置为信任端口后，其他所有接口变为可信任端口，会拒绝DHCP Offer报文，但是不会拒绝DHCP Discover和DHCP Relese报文；可以在华为上面做下，抓下包。交换机的非信任端口会拒绝DHCP报文，不单单是客户机的请求报文，还有服务器的响应报文。

DHCP欺骗原理：使用一台kali作为攻击主机，向我们的DHCP服务器发起DHCP Discover请求，让服务器给我们的攻击主机分配IP地址。当它的IP地址分配完了就无法向正常的客户机提供IP，此时攻击主机把自己伪造成DHCP服务器，就可以向客户机提供IP，这就是DHCP欺骗。

DHCP 报文分为 8 种类型，DHCP 服务器和客户端之间通过这 8 种类型的报文进行通信DHCP DISCOVER、DHCP OFFER、DHCP REQUEST、DHCP ACK、DHCP NAK、DHCP DECLINE。DHCP RELEASE：DHCP INFORM：

dhcp是应用层的协议，是基于传输层的UDP协议的，主机是向服务器的67号端口发送请求，服务器响应的是客户机的68号端口。

UDP（用户数据报）协议，是传输层的协议。不需要建立连接，直接发送数据，不会重新排序，不需要确认.

SYN Flood原理：在TCP三次握手过程中，客户端发送一个SYN包给服务器；服务端接收到SYN包后，会回复SYN+ACK包给客户端，然后等待客户端回复ACK包。但此时客户端并不会回复ACK包，所以服务端就只能一直等待直到超时。服务端超时后会重发SYN+ACK包给客户端，默认会重试5次，而且每次等待的时间都会增加。服务器收到客户端发来的SYN会建立一个半连接状态的Socket，当客户端在一定时间内持续不断的发大量的SYN包但不回复ACK包，就会耗尽服务端的资源，这就是SYN Flood攻击。

TCP 提供一种面向连接的、可靠的字节流服务。在一个 TCP 连接中，仅有两方进行彼此通信，广播和多播不能用于 TCP；TCP 使用校验和，确认和重传机制来保证可靠传输；TCP 给数据分节进行排序，并使用累积确认保证数据的顺序不变和非重复；TCP 使用滑动窗口机制来实现流量控制，通过动态改变窗口的大小进行拥塞控制。

重定向是ICMP控制报文中的一种，在某一种特定的情况下，当路由器检测到一台机器使用的是非优化路由的时候，这个时候路由器回会主机发送ICMP重定向报文，使得它走优化路由。

当被攻击主机进行网络通信时，会将数据交给虚假的MAC地址进行转发，由于虚假的MAC地址不存在，所以造成被攻击主机无法访问网络。

ARP（地址解析协议）一个工作在二层的三层协议，是一个2.5层协议ARP协议地址解析协议

winshark是对主机网卡上的数据流量进行抓取，可以对网卡进行混杂模式和非混杂模式的抓包。混杂模式：不管目的是否是自己，都接收。数据镜像：主机A正常与主机B通信，做数据镜像端口，将F0/0接口镜像到F0/2接口，如果主机C开启混杂模式，就能抓取澳主机A发往主机B的链路流量，反之如果主机C是非混杂模式就会将丢弃该数据。非混杂模式：默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据。

交换机密码恢复首先拔掉交换机插头，插上电源同时按住MODE键,出现switch提示松开按键，初始化Flash，(Flash就类似于电脑里面得操作系统),再加载系统启动项的时候把配置文件改掉就能绕过密码,然后进去之后再把配置文件改回来。

VLAN（Virtual Lan）主要应用在交换机上一台交换机默认情况下连接一个广播域，因为默认情况下所有的接口都是属于同一个vlan的，默认vlan1，所以是在同一个广播域中。结合交换机工作原理，数据会将数据从除发送接口外的所有接口都转发出去，造成广播域比较大，如果广播流量过多会造成网络拥塞，虚拟局域网VLAN可以在交换机上划分广播域从而使得一个交换机上有多个广播域。

DHCP：动态主机配置协议，主要是为客户机提供TCP/IP参数：IP地址、子网掩码、网关、DNS服务器地址，客户机可以通过路由器所提供的DHCP服务器IP地址

路由器是属于三层（网络层）设备，进行逻辑地址（IP地址）寻址，实现不同网络之间的路径选择。本文详细描述了路由器的工作原理、路由器转发数据的封装和解封装相关知识

telnet 是应用层协议 基于传输层TCP协议的，默认端口：23 采用的是明文密码方式 不是很安全，一般用于内网管理。ssh也 是应用层的协议，基于传输层的TCP协议，默认端口：22 采用密文密码方式 相对来讲比较安全，经常用于跨越互联网管理，也常用于远程管理Linux操作系统。

掌握思科设备的命令行基础，对交换机进行基本配置，通过telnet和ssh对交换机进行远程管理

以太网是一种局域网技术，以太网简介看下，70年代左右提出来的以太网技术以太网是一种计算机局域网技术。IEEE组织和IEEE802.3标准制定了以太网的技术标准，它规定了包括物理层连线、电子信号和介质访问协议的内容。以太网是应用最普遍的局域网技术，取代了其他局域网技术如令牌环、FDDI和ARCNET。

慢慢的集线器的网络就被淘汰了，因为带宽会被共享而且还会产生冲突，现在采用交换式网络（以太网交换机），由交换机所连接起来的设备称为是在一个广播域中，广播是信息的一种传播方式，一对多。当一个主机要发送一个数据之后，然后会把信号放大然后从其他的接口转发出去，所以称之为一个广播域，如果某个集线器连接的两台计算机同时通信时就会发生冲突，集线器可以理解成在一条线路上工作，当线路两端都要往对端发送数据时就会产生冲突，所以集线器连接的网络也称为冲突域。初始状态交换机的MAC表是空的。接收方单播回应，其他主机丢弃。

IP地址用于标识网络中的某一台主机或某一个网络接口，主机的唯一标识，保证主机间的正常通信（主机之间要想通信就必须配置相应的IP地址）。子网掩码不能单独存在，它必须结合IP地址一起使用。IP地址是计算机在网络内的唯一标识，而子网掩码是用于划分子网的。​

约束（Constraint）是Microsoft SQL Server 提供的自动保持数据库完整性的一种方法，定义了可输入表或表的单个列中的数据的限制条件。约束就是我们在建表过程中，给表中字段添加一些条件，在这些条件的配合下可以保证数据的唯一性，完整性，有的约束针对于整行有效，有的约束只针对某一列有效。