我的netstat显示好多established 是不是中木马或病毒了?
这种情况可能就是中病毒了。
电脑病毒是一种程序,具有再生能力,它会自动修改其它程序并把本身复制到其它存储介质中,感染其它程序,在满足一定条件后,病毒会干扰电脑正常工作,破坏系统的信息,甚至引起整个电脑系统不能正常工作。
电脑病毒具有如下特点:
传染性强——能在几星期内扩散到几百台电脑中。
潜伏期长——能在电脑里潜伏几个月或更长的时间后重新激活。
感染快——电脑病毒扩散非常迅速,一个典型的网络攻击只用几个小时就能感染整个网络。
不易发现——电脑病毒传播范围广,传播途径复杂,发现病毒感染源很困难,病毒的首次攻击不易被人们察觉。
危害大——恶性病毒扩散到全球后,整个电脑系统就会瘫痪。
如何在Linux上使用netstat命令查证DDOS攻击
有pid链接ID、关闭带有网络连接的窗口,netstan -antp查看网络连接,挨个排除!忘采纳
ip协议与网络规模的矛盾突出表现在网络攻击上吗
网络攻击:网络扫描、监听、入侵、后门、隐身;
网络防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。
分析TCP/IP协议,说明各层可能受到的威胁及防御方法。
网络层:IP欺骗攻击,保护措施;防火墙过滤、打补丁;
传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。
分析网络安全的层次体系:
从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
三. 对于注重网络安全的大佬们一定关心如何对TCP/IP的防护,这里我们要指出,目前的防护是针对四层(传输层)和七层(应用层)。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
首先是传输层详解:
1. 异常包
TCP/UDP:端口值为0的包;校验和错误的包
TCP标志位异常包:SYN只能单独存在或只能和ACK共存,和其他标志共存就是异常包;没有标志或标志全置的包;有ACK标志但Acknowledgment Number为0的包;有SYN标志但Sequence Number为0的包;有URG标志但Urgent Pointer为0,或没有URG标志但Urgent Pointer不为0的包;RST和除ACK标志之外的其他标志共存的包;
这种攻击标志很明显,防御也很容易,可以做到100%检测并阻断;
2. LAND攻击
TCP层的攻击了,不过在网络层就可以防护;攻击方发送源地址和目的地址相同的TCP SYN包,对老的某些操作系统就会发SYNACK包给自身,建立空连接,最终消耗尽自身资源,现在的操作系统已经不会那么傻了,这种攻击也可以做到100%检测并阻断;
3. Flood攻击
syn flood:是TCP协议的最大弱点了,对syn flood攻击的分析在另一篇文章中详细说明了,理论上是无法真正防御的,只能进行一定程度的缓解;
UDP flood:就是发送大量UDP包阻塞目的机通信,由于UDP是非连接协议,因此只能通过统计的方法来判断,很难通过状态检测来发现,只能通过流量限制和统计的方法缓解;对于有些协议,服务器部分的计算量会远大于客户端的计算量,如DNS,野蛮模式的IKE等,这些情况下flood攻击更容易形成DOS。
4. 端口扫描
端口扫描往往是网络入侵的前奏,通过端口扫描,可以了解目标机器上打开哪些服务,有的服务是本来就是公开的,但可能有些端口是管理不善误打开的或专门打开作为特殊控制使用但不想公开的,通过端口扫描可以找到这些端口,而且根据目标机返回包的信息,甚至可以进一步确定目标机的操作系统类型,从而展开下一步的入侵。
TCP扫描
按照RFC,当试图连接一个没有打开的TCP端口时,服务器会返回RST包;连接打开的TCP端口时,服务器会返回SYNACK包
合法连接扫描:
connect扫描:如果是打开的端口,攻击机调用connect函数完成三次握手后再主动断开;关闭的端口会连接识别
SYN扫描:攻击机只发送SYN包,如果打开的端口服务器会返回SYNACK,攻击机可能会再发送RST断开;关闭的端口返回RST;
异常包扫描:
FIN扫描:攻击机发送FIN标志包,Windows系统不论端口是否打开都回复RST;但UNIX系统端口关闭时会回复RST,打开时会忽略该包;可以用来区别Windows和UNIX系统;
ACK扫描:攻击机发送ACK标志包,目标系统虽然都会返回RST包,但两种RST包有差异;
对于合法连接扫描,如果SYN包确实正确的话,是可以通过防火墙的,防火墙只能根据一定的统计信息来判断,在服务器上可以通过netstat查看连接状态来判断是否有来自同一地址的TIME_WAIT或SYN_RECV状态来判断。
对于异常包扫描,如果没有安装防火墙,确实会得到相当好的扫描结果,在服务器上也看不到相应的连接状态;但如果安装了防火墙的话,由于这些包都不是合法连接的包,通过状态检测的方法很容易识别出来(注意:对于标准的Linux内核所带防火墙netfilter的TCP状态检测的实现,ACK和FIN扫描是可以通过的,需要修改才能防御)。
UDP扫描
当试图连接一个没有打开的UDP端口时,大部分类型的服务器可能会返回一个ICMP的端口不可达包,但也可能无任何回应,由系统具体实现决定;对于打开的端口,服务器可能会有包返回,如DNS,但也可能没有任何响应。
UDP扫描是可以越过防火墙的状态检测的,由于UDP是非连接的,防火墙会把UDP扫描包作为连接的第一个包而允许通过,所以防火墙只能通过统计的方式来判断是否有UDP扫描。
5. TCP紧急指针攻击
Winnuke:对老的Windows系统,对TCP139端口发送带URG标志的包,会造成系统的崩溃,特征明显,防火墙可以100%防御,但也可能误伤;
6. TCP选项攻击
相对IP选项,TCP选项利用率要高很多,很多正常包中都要用到,TCP选项攻击包括:
1) 非法类型选项:正常的选项类型值为0、1、2、3、8、11、23、13,其他类型的出现是可疑的(类型4,5,6,7虽然定义了但被类型8取代,正常情况下也是不用的);
2) 时间戳:用于搜集目的机的信息;
3) 选项长度不匹配:选项中的长度和TCP头中说明的TCP头长度计算出的选项长度不一致;
4) 选项长度为0:非0、1类型的选项长度为0,是非法的;
5) 选项缺失,一般SYN包中都要有MSS选项,没有的话反而不正常;
总结
传输层的攻击也属于特征比较明显的类型,除syn flood外防护也比较容易,由于模式固定,也适合硬件实现。syn flood是TCP永远的痛,是TCP设计之初没有仔细考虑到的,在一些新的协议如SCTP(132),已经考虑到此因素,但由于TCP应用太广泛,要取代TCP基本不太可能。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
再来是应用层:
DDOS简介
分布式拒绝服务攻击英文缩写即”Ddos”,指以分散攻击源来黑进指定网站的黑客方式。DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的”消化能力”加强了不少。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
应用层DDOS不同于网络层DDOS,由于发生在应用层,因此TCP三次握手已经完成,连接已经建立,所以发起攻击的IP地址也都是真实的。但应用层DDOS有时甚至比网络层DDOS攻击更为可怕,因为今天几乎所有的商业Anti-DDOS设备,只在对抗网络层DDOS时效果较好,而对应用层DDOS攻击却缺乏有效的对抗手段。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
1、CC攻击
CC攻击的前身是一个叫fatboy的攻击程序,当时黑客为了挑战绿盟的一款反DDOS设备开发了它。挑衅叫Challenge Collapasar。
CC攻击的原理非常简单,就是对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务器端资源的目的。
在互联网中充斥着各种搜索引擎、信息收集等系统的爬虫(spider),爬虫把小网站直接爬死的情况时有发生,这与应用层DDOS攻击的结果很像。由此看来,应用层DDOS攻击与正常业务的界限比较模糊。
应用层DDOS攻击还可以通过以下方式完成:在黑客入侵了一个流浪很大的网站后,通过纂改页面,将巨大的用户流量分流到目标网站。
比如,在大流浪网站SiteA上插入一段代码:
2、限制请求频率
最常见的针对DDOS的防御措施就是针对每个“客户端”做一个请求频率的限制。
3、道高一尺,魔高一丈
上面介绍的方案用:IP地址或者Cookie来定位一个客户端。但用户的IP地址可能会发生改变,而Cookie有可能会被清空。
例如利用不同的代理服务器变换IP地址。批量导入代理服务器地址,然后暴利破解用户名和密码。
所以:
1)应用代码要做好性能优化:合理利用memcache
2)在网络架构上要做好优化:善于利用负载均衡分流。
3) 实现一些对抗手段:比如限制每个IP地址的请求频率。
三、验证码那些事儿
1)验证码消耗掉后SessionID未更新,导致使用原有的SessionID可以一直重复提交同一个验证码。
2)
四、防御应用层DDOS
除了验证码,还有
1)检查HTTP头的User-Agent,但是这是可以纂改的。
2)让客户端解析一段Javascript,因为大部分的自动化脚本都是直接构造HTTP包完成的,并非在一个浏览器环境中发起的请求。因此一段需要计算的Javascript,可以判断出客户端到底是不是浏览器。类似的,发送一个flash让客户端解析,也可以。但注意,这种方法不是万能的,有的自动化脚本是内嵌在浏览器中的“外挂”,就无法检测出来了。
3)配置Web Server的 Timout、KeepAliveTimeout等
五、资源耗尽攻击
1、Slowloris攻击:原理是以较低的速度往服务器发送HTTP请求。由于WebServer对于并发的连接数有一定的上限,因此若是恶意地占用住这些连接不释放,那么Web Server的所有连接都被恶意连接占用,从而无法接受新的请求,导致拒绝服务。
在正常的HTTP包头中,是以两个CLRF表示HTTP Headers部分结束的。
由于Web Server只收到了一个\r\n,因此将认为HTTP Headers没有结束,并保持此连接不释放,继续等待完整的请求。此时客户端再发送任意的HTTP头,保持住连接即可。
当构造多个连接后,服务器的连接数很快就会达到上限。
此类拒绝服务攻击的本质,实际上是对有限资源的无限制滥用。
2、HTTP POST DOS
原理是在发送HTTP POST包时,指定一个非常大的Content-Length值,然后以很低的速度发包,比如10-100s发一个字节,保持住这个连接不断开。这样当客户端连接数多了以后,占用住了Web Server的所有可用连接,从而导致DOS。
要解决此类问题,可以使用Web应用防火墙,或者一个定制的Web Server安全模块。
3、Server Limit DOS
Cookie也能造成一种拒绝服务。
Web Server对HTTP包头都有长度限制,以Apache为例,默认是8192个字节。也就是说,Apache所能接受的最大HTTP包头大小为8192字节(这里指的是Request Header,如果是Request Body,则默认的大小限制是2GB)。如果客户端发送的HTTP包头超过这个大小,服务器就会返回一个4xx错误。
加入攻击者通过XSS攻击,恶意地往客户端写入了一个超长的Cookie,则该客户端在清空Cookie之前,将无法再访问该Cookie所在域的任何页面。这是因为Cookie也是放在HTTP包头发送的,而Web Server默认会认为这是一个超长的非正常请求,从而导致“客户端”的拒绝服务。
要解决此类问题,需要调整Apache配置参数 LimitRequestFieldSize,这个参数设置为0时,对HTTP包头的大小没有限制。
六、一个正则引发的血案:ReDOS
与前面不同,ReDOS是一种代码缺陷。
正则表达式写的不好时,攻击者恶意构造输入时,这些有缺陷的正则表达式就会消耗大量的系统资源(比如CPU和内存),从而导致整台服务器的性能下降,表现的结果是系统速度很慢,有的进程或服务失去响应,与拒绝服务的后果是一样的。
ReDOS是一个埋藏在系统中的炸弹。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
总结 TCP/IP:
1.物理层:主要定义物理设备标准,如网线的接口类型、光纤的接口类型、各种传输介质的传输速率等。它的主要作用是传输比特流(就是由1、0转化为电流强弱来进行传输,到达目的地后在转化为1、0,也就是我们常说的数模转换与模数转换)。这一层的数据叫做比特。
2.数据链路层:定义了如何让格式化数据以进行传输,以及如何让控制对物理介质的访问。这一层通常还提供错误检测和纠正,以确保数据的可靠传输。
3.网络层:在位于不同地理位置的网络中的两个主机系统之间提供连接和路径选择。Internet的发展使得从世界各站点访问信息的用户数大大增加,而网络层正是管理这种连接的层。
4.传输层:定义了一些传输数据的协议和端口号(WWW端口80等),如:TCP(传输控制协议,传输效率低,可靠性强,用于传输可靠性要求高,数据量大的数据),UDP(用户数据报协议,与TCP特性恰恰相反,用于传输可靠性要求不高,数据量小的数据,如QQ聊天数据就是通过这种方式传输的)。 主要是将从下层接收的数据进行分段和传输,到达目的地址后再进行重组。常常把这一层数据叫做段。
5.会话层:通过传输层(端口号:传输端口与接收端口)建立数据传输的通路。主要在你的系统之间发起会话或者接受会话请求(设备之间需要互相认识可以是IP也可以是MAC或者是主机名)
6.表示层:可确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。例如,PC程序与另一台计算机进行通信,其中一台计算机使用扩展二一十进制交换码(EBCDIC),而另一台则使用美国信息交换标准码(ASCII)来表示相同的字符。如有必要,表示层会通过使用一种通格式来实现多种数据格式之间的转换。
7.应用层: 是最靠近用户的OSI层。这一层为用户的应用程序(例如电子邮件、文件传输和终端仿真)提供网络服务。
本文禁止转载或摘编
知识
学习
互联网
黑客
零基础
网络安全
网络工程师
TCP/IP
网络协议
2021
电脑不停的遭到网络攻击
你去某个网站看电影了吧,没关系的,这种现象我也遇到过的
[诊断过程]不看电影时网络正常,一旦点击影片,卡巴斯基弹出提示框“受到来自192.168.3.34的攻击,网络中断”,此时电影无法播放、网页无法打开。关闭卡巴斯基后再点击电影,能正常观看,也能正常打开网页。
由于不可能要求用户看电影时就关闭卡巴斯基,查看卡巴斯基的设置选项,发现有一项“网络攻击”,选择“不启用”后,即使不关闭卡巴斯基也能正常使用网络。
[诊断点评]由于流媒体的数据包比较大,且有时局域网的IP地址,卡巴斯基误认为是局域网内有大流量的攻击,于是强行断开网络。
0条大神的评论