24、信息安全工具与技术全面解析-优快云博客

本文链接：https://blog.youkuaiyun.com/tcp8optimizer/article/details/149681936

信息安全工具与技术全面解析

1. Cygwin简介

Cygwin是一个为Microsoft Windows提供类UNIX接口的工具，其官网为 www.cygwin.com/ 。许多工具无法在Microsoft Windows系统上原生运行，而Cygwin能解决这一问题。它拥有出色的XWindows接口，还支持远程X显示。大多数能在Linux下编译的工具，借助Cygwin可重新编译并运行，但前提是你要能获取源代码。不过，商业UNIX应用通常不支持Cygwin。

2. 信息安全工具概述

随着应用程序和网络日益复杂，手动测试安全的难度不断增加，管理员负责的系统数量也在增多。这就要求信息安全专业人员依靠工具来完成工作，工具能提高任务的一致性和可重复性。信息安全工具有九大类，选择合适的工具，需先明确所需工具类型，再挑选最适合工作环境的工具。

以下是一些常见的信息安全工具：
|工具名称|用途|
| ---- | ---- |
|AirMagnet|用于无线网络检测等|
|AppDetectivePro|应用扫描相关|
|Bastille program|系统安全加固|
|BiDiBLAH|利用Google收集信息|
|Cain & Able|密码破解等|
|Canvas|漏洞利用|

3. 工具使用注意事项

所有这些工具对信息安全专业人员有合法用途，但也被视为黑客工具。未经书面许可，切勿在工作机器上安装这些工具，更不能将其用于未经合法授权的系统。

4. 常见面试问答

4.1 防火墙对网络枚举工具运行时间的影响

当防火墙配置为拒绝未经授权的数据包时，发送主机将收到“connection refused”消息；若防火墙丢弃未经授权的数据包且不发送拒绝消息，发送系统需等待一段时间才能确定连接是否成功。在许多操作系统和应用中，重试次数和超时时间可配置，超时时间越长、重试次数越多，确定服务是否响应所需的时间就越长。

4.2 常见SNMP社区字符串及其他尝试字符串

最常见的社区字符串是“Public”和“Private”。其次可尝试公司名称、公司缩写，还可在公司缩写前后添加“RO”（只读）和“RW”（读写）。

4.3 特定端口的常见服务及关注原因

端口号	常见服务	关注原因
1433	Microsoft SQL Server	许多蠕虫以MS - SQL为攻击向量，且MS - SQL安装存在配置漏洞，不应从外部不可信网络直接连接数据库服务器
110	POP3	用于下载电子邮件的未加密协议，在许多系统中，电子邮件密码与账户登录密码相同，网络嗅探时，POP3和IMAP是获取用户名/密码对的主要协议
6667	Internet Relay Chat (IRC)	大多数僵尸网络使用IRC通信，默认应阻止所有到IRC的出站连接，如有业务需求，仅打开到已知安全的单个IRC服务器的连接
5631	PC Anywhere	许多组织用于远程管理，但许多安装未配置强认证，且大多未配置加密连接，易被嗅探所有活动

4.4 安全评估时自动化工具的使用数量及原因

至少使用一个工具，最好使用两个或更多。使用至少一个自动化工具可提高工作的一致性和可靠性，没有一个工具能完成所有任务，使用多个工具可减少误报和漏报的数量。

4.5 BiDiBLAH使用Google的原因

许多公司未意识到Google对互联网缓存的完整性。结合Google和Wayback Machine（www.archive.org/web/web.php），可了解很多关于公司的信息。通过搜索电子邮件地址，能知晓关键人员，可能还能发现子域名；搜索互联网新闻组，可确定目标开发主要应用使用的语言和IDE，有时Google甚至能找到应用的代码片段。

4.6 ARP中毒的工作原理

系统间通信不直接使用IP，而是使用MAC地址。当系统A要与系统B建立新连接时，需找到系统B的MAC地址，系统A会向网络广播ARP请求：“Who has IP Address B?” 正常情况下，配置好的机器仅在是自己的IP地址时才会响应。在ARP中毒攻击中，攻击者虽为系统H，却对所有ARP请求响应自己是系统B。攻击者的机器通常还会不断广播网络上所有IP地址的请求，该广播通常会被所有系统接收，它们会将攻击者的MAC地址填入本地ARP表中对应所有IP的位置。

graph LR
    A[系统A] -->|广播ARP请求| B(网络)
    B -->|正常响应| C[系统B]
    B -->|ARP中毒响应| D[攻击者系统H]
    D -->|广播所有IP请求| B
    B -->|更新ARP表| E[其他系统]

4.7 横幅抓取对枚举远程系统上运行的应用和版本的准确性

不能依赖横幅抓取。大多数应用可配置在横幅中提供虚假信息，而且多数应用可配置在非标准端口上运行。

4.8 端口安全无法阻止ARP中毒的原因

端口安全仅限制每个端口的MAC地址数量，而ARP中毒时，攻击者发送的是多个IP地址，并将它们与自己的一个MAC地址关联。若能限制每个端口的IP地址数量，就能大幅限制ARP中毒的范围。

5. 推荐资源

以下是一些值得熟悉的有用资源：
|资源名称|网址|
| ---- | ---- |
|Sectools|www.sectools.com/|
|IANA|www.iana.org/|
|Ettercap|http://ettercap.sourceforge.net/|
|Kismac|http://kismac.de/|
|Net - SNMP|http://net - snmp.sourceforge.net/|
|Nmap|http://nmap - scanner.sourceforge.net/|
|Pbnj|http://pbnj.sourceforge.net/|

6. 常见术语及概念解析

6.1 访问控制相关

访问控制 ：是信息安全的核心价值之一，包括访问控制列表（ACLs）等。ACLs在Cisco防火墙中有重要作用，其功能包括与包过滤协同工作等。
角色基于访问控制（RBAC） ：根据用户的角色来分配访问权限，提高了访问管理的效率和安全性。

6.2 加密相关

对称加密 ：如Advanced Encryption Standard (AES) 和Triple Data Encryption Algorithm (TDEA)，使用相同的密钥进行加密和解密。
非对称加密 ：基于公钥密码学标准（PKCS），涉及公钥和私钥，如在Internet Key Exchange (IKE) 中使用。

6.3 网络模型相关

Cisco网络模型 ：包含核心层、分布层和接入层，各层有不同的功能和作用，为网络设计和管理提供了清晰的框架。
OSI模型 ：分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，不同层面临不同的安全威胁。

graph LR
    A[物理层] --> B[数据链路层]
    B --> C[网络层]
    C --> D[传输层]
    D --> E[会话层]
    E --> F[表示层]
    F --> G[应用层]

7. 安全策略与措施

7.1 纵深防御策略

纵深防御安全涵盖多个方面，如访问控制、主机安全配置、防火墙部署等，与OSI模型相结合，从多个层次保护网络安全。

7.2 安全策略制定

安全策略是防火墙等安全设备的重要组成部分，包括访问规则、过滤策略等，确保网络资源的安全访问。

7.3 备份策略

备份是信息安全的重要环节，包括全量备份、增量备份和部分备份等方式，确保数据的可恢复性。

8. 攻击类型及防范

8.1 常见攻击类型

攻击类型	描述
拒绝服务（DoS）攻击	通过消耗系统资源或网络带宽，使目标系统无法正常服务
缓冲区溢出攻击	利用程序缓冲区边界处理漏洞，执行恶意代码
ARP中毒攻击	通过伪造ARP响应，篡改目标系统的ARP表，实现中间人攻击
蠕虫攻击	利用系统漏洞自动传播，造成系统破坏和数据泄露

8.2 防范措施

入侵检测与预防系统（IDS/IPS） ：通过监测网络流量和系统行为，发现并阻止潜在的攻击。
防火墙 ：根据安全策略过滤网络流量，阻止未经授权的访问。
数据加密 ：对敏感数据进行加密，防止数据在传输和存储过程中被窃取。

graph LR
    A[攻击源] -->|攻击行为| B[目标系统]
    B -->|检测| C[IDS/IPS]
    C -->|阻止| A
    B -->|过滤| D[防火墙]
    D -->|阻止| A
    B -->|加密| E[数据加密]
    E -->|保护| B