下面是小编为大家推荐的黑/客速成学习法,本文共8篇,欢迎大家分享。
篇1:黑/客速成学习法
随着INOKER客非客联盟的再次出台,我想有必要建立这么一个面版每天教一些菜鸟教程,在学习之前你首先必须完整的读完我写的这篇文章,论坛现在新加了一个” 每天一个超级菜鸟教程”和“每天一个不太难的问题”这些都是为你们准备的,好了现在开始说说正题:
或许你并不想成为一个 而是好奇,或许你只是为了高超的技术。无论是什么都需要刻苦的去学习,没有什么事情是不付出努力就能轻易成功的,之所以叫成功是因为那个人拥有着与众不同的本领,如果你想拥有超群的本领就要不断的去学习,而学习也要讲究一定的效率。今天inoker的这个开始也正式我作为一个站长所要为他付出的努力,我知道一个人支撑起一个站很难,不过当我撑到不难的时候我知道我的曰子会很好过。
先来说说很多朋友们的烦恼,是不是每次进一个论坛或者在百度搜索一篇菜鸟文章都要很费劲的来读,甚至看到几行便没有信心在读下去,因为什么?因为读不懂。原有的充满好奇的那种信心也随之逝去了。最后因为难以继续学习下去而放弃了 。
我曾经有过深深的体会。好比一条狭窄的小路,当你选择工具的时候就必须考虑是自行车 汽车还是路行,选择好的方法才能得到一条捷径。下面我把大致的一条菜鸟路告诉给大家,也是我几年来东一条路西一条路走出来的捷径,希望对你们能有所帮助。但要记得,不付出努力即使一米长的小路,你不迈腿一样是一事无成,要想学就得做好下苦心的准备,不是说你今天按照别人做好的动画跟着去做刷到了几个QB就说明你是个 了,你内心的喜悦如果可以唤醒对 技术的兴趣,那还是值得的。一句话,我希望你走下去。
自己一定要对自己有个计划。不能今天上午学学 有兴趣了下午又对游戏有兴趣了。学到的知识相当与没学,学东西一定要有总体上的安排。我哪天哪天要计划学什么。预计多少天掌握熟练。这些在你学之前一定要想。我们提倡一种分类的学习方法,下面我说说分类学习的基本内容。前几天看见网安的这个分类学习路线我想在这里在补充点。
术语基础:主要把一些常用 术语搞清楚,比如什么叫webshell什么叫注入,什么叫旁注,还有一些常用工具的功能,比如nc,sc等等.还有就是当你遇到一个不明白的 术语时就应该首先搞清楚这个术语的意思,到百度或者GOOGLE先查好了他的意思。在进行学习,不可以朦胧的去接触不懂的知识。要先搞清楚。(学习一个星期
hui鸽zi配置与使用:通过学习要达到正确配置hui鸽zi并能正常上线.对它的功能进行操作训练.(学习二天)这个不用说了,hui鸽zi大家都知道 必须得接触了解的东西。
网页木马制作与传播(一个星期
网站入侵(差不多一个月
木马特征码修改(四五天
当然知识块的划分与学习时间,可根据自己身情况进行适当选择
下面我把分类学习法过程,技巧,并结合自己在实际学习中以实例形式讲解这种学习方法的具体步骤
分类学习法的主线
收集资料----看动画教程与技术文章----实战训练----回过头再看教程与文章---自己制作动画教程与写文章
按照上面的路线反复练习我想你一定会在很短的时间内有很大的提升,
下面对各个环节进行讲解
一.收集资料
这个环节,主要目的是收集到尽量多的某类知识块的相关动画教程和技术文章.收集方
法主要有两种方法:第一种,利用百度,google,搜索.比如我想找网站入侵相关教程,可
以在百度google中输入关键字“网站入侵+空格+教程”,这样就可以收集大量教程和文
章,可以灵活变化关键字,比如输入脚本入侵+空格+动画,ASP入侵等等,可以搜到大量
网站入侵方面的资料.统统把它们收集整理起来.第二种,利用大型 网站的站内搜
索功能.这种搜索比百度和google命中率要高的多.比如你想找网页木马相关教程,你
可以到各大 网站.在站内搜索内输入关键字网页木马
二.看动画教程与技术文章
在看之前,你要准备一个笔记本,专门用来记录在看动画或文章时,不明白的或疑惑
的地方,在看的过程中,你可能有些地方看不明白,没关系,把不懂的地方记录下来,当
然看动画
与文章时要注意以下几点
要深刻理解动画教程整体思路
注意观察动画的每个操作细节,一有不清楚的就要马上记录.那如何解决记录着不懂的地方呢?通过以下几种方法解决
论坛提问:比如菜鸟提问专区,把你遇到的不明白地方描述清楚,发到论坛上,当然你还可以到其它的 论坛提问
向 群或朋友请教,这里你要多加几个 技术群,多交几个要好的 技术爱好者,然后,把你的疑难问题拿出来与大家一起讨论,一般也能解决
反复看动画教程,技术文章,有时候,我们看一遍可能不能理解,但反复的看,反复的思考,往往都能解开动画或文章中的疑难问题。
用百度,google搜索相关内容,同样利用关键字进行搜索相关内容。这种方法还是不错的,在你搞懂了你的疑难问题的同时也搞懂了N个其它相关问题。
三.实战训练
这一阶段也是最重要的,刚开始你可以按照动画步骤来操作,很多疑难问题在实
际操作才能真正体会到,同时在操作中也会得到解决。当然你在操作过程中遇到困难
还可以回过头再看动画,并一直反复这个过程。慢慢的就会变成自己的技术。
四.回过头再看动画与文章
在操作过程中,遇到的疑难问题,然后我们带着这些问题回过头来看动画,相信
理解的更深刻了。目的也更明确了。在这个过程中特别要注意在你操作的每个细节与
动画中的细节作对比,发现存在问题的地方及时纠正。
五.自己制作动画或写文章
经过一段时间的学习,你可能对某个知识块也有较深的理解,也有自己的见解,
所谓熟能生巧,熟练了自然而然也有个人的心得体会。这时候,你可以把你的新的入
侵思路和技巧做成动画或写成文章呀,这不但提高了你的思维能力同时也锻炼了你的
实际操作水平。这也是提高 技术水平的一个重要方法。
篇2:英语口语速成学习法
英语口语十句速成学习法
中国人学英语太苦了! 我们背了无数个单词、记了无数遍语法、也修炼过无数本英语经典之教材, 然而一旦实践, 却还是笨嘴拙舌, 聋子哑巴。仿佛片刻之间,我们所学过的英语已石沉大海,留下的只是记忆中曾经辉煌过的考试点点滴滴。我们最喜欢背诵英语,然而我们背了就忘,忘了又背,背了又忘,忘了再背,周而复始,结果仍是一无所获!在漫长的深夜里,在黄卷青灯前,我们只是在学,苦苦地、慢慢地求索……然而学海无涯,英语学习何时才是个尽头!我们可能熟背了几百句英语,但在交流之时,我们却无言以对,不知所措,面临的永远是哑巴英语的尴尬之境地!探究原因,无他,不得法也。我们总是在为英语而学英语,为考试而学英语,从来没有真正体会到英语的本质,掌握英语之精髓,学习英语永远不是为了交流,学习英语因此也永远是低效的!抓住英语本质 十句行走天下
有些英语学习者可能会问:只学十句英语就好了吗?当然不是。十句速成学习法是一种以十句为中心,浓缩英语之精华,简单、易记、易学、易用、高效的学习方法。其教学特色是十句中心论和‘背、演、玩、译’ 四大独特互动教学模式。十句速成学习法强调抓住英语本质,掌握英语精髓,强调十句突破一个语音、十句突破一条语法、十句突破一个句型、十句突破一个话题、十句突破一种思维、十句了解一种文化、十句突破一种技巧、十句突破一篇文章。十句速成学习法将纷繁复杂的英语学习简单化、傻瓜化,帮助英语学习者在最短的时间内快速地提高英语口语表达能力,实现英语学习质的飞跃!十句速成学习法让我们高效地学习英语,一天时间的学习就是他人一月时间的努力,一月时间的学习就是他人一年时间的努力!
十句突破一种技巧
很多英语学习者对定语从句和条件状语从句都很熟悉,但是,我们却很少想到他们和一种非常重要的英语交际技巧(界定)有着紧密的`联系。比如有个老外要让你界定一下easygoing的含义。你可以这样来表述:An easygoing person is the one who is very easy to get along with. 或者 If someone is an easygoing person, he or she is very easy to get along with. 再如解释一下honest的含义:An honest person is the one who will never tells a lie. 或者 If someone is an honest person, he or she will never tells a lie. 又如:A modest person is the one who will never be full of oneself. 或者 If someone is a modest person, he or she will never be full of oneself. 像这样的例子还有很多,不胜枚举。很明显,英语界定其实就是一个定语从句或条件状语从句的表述。虽然我们英语语法已学多年,初中一遍语法、高中一遍语法、大学再来一遍语法,试问我们自己一下,然而又有多少人能够真正体会其中的奥妙呢?我们学英语总是高投入低产出,这不是因为我们花的时间不够多,也不是我们付出的努力不够大,而是我们把劲用错了地方,迷失了英语学习的方向,我们忘记了英语是一门交流工具这个最基本的事实!
十句突破一种思维
我想大家以前都翻译过一个非常简单的句子:他的头很大。我们都会说:His head is big. 或者 He has a big head. 句子虽然简单,但它却包含了一种非常重要的英语思维方式,即整体思维和局部思维。在很多时候,我们都可以从这两个不同角度来英语表达。试翻译下面几个句子:
1、我不喜欢他说英语的方式。
从局部角度:I don’t like the way he speaks English. 从整体角度:I don’t like it when he speaks English.
2 、我见过他的面。
从局部角度:I know his face. 从整体角度:I know him by sight.
3 、这件衣服的价格很便宜。
从局部角度:The price of the dress is very low. 从整体角度:The dress is very cheap.
4 、看着我的眼睛。
从局部角度:Look at my eyes. 从整体角度:Look at m
篇3:预防黑/客网络攻击
针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的 所利用并发起攻击,若要保证网络安全、可靠,要熟知 网络攻击的过程。只有这样方可在\客攻击前做好必要的防备,确保网络运行的安全和可靠。
目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。
网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的 所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知 网络攻击的一般过程。只有这样方可在\客攻击前做好必要的防备,从而确保网络运行的安全和可靠。
一、攻击网络的一般过程
1、信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。 可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后, 们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞。
3、建立模拟环境,进行模拟攻击
根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。
4、具体实施网络攻击
入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。
二、协议欺骗攻击及其防范措施
1、源IP地址欺骗攻击
许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。
假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。
然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效,
结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。
此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法在包发送到网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。
(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到***部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2、源路由欺骗攻击
在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
在路由器上关闭源路由。用命令no ip source-route。
三、拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
篇4:封死黑/客的“后门”
既然 能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让 无处下手,便无后顾之忧!
1.删掉不必要的协议
对 于服务器和主机来说,一般只安装TCP/IP协议就够了,鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协 议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对 NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的 NETBIOS”一项,关闭NETBIOS。
2.关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它 的时候,也是 入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击 “文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
虽然“文件和打印共享”关闭了,但是还不能确 保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\NetWork”主键,在该主键下新建DWORD类型的键值, 键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示 允许这项功能,
这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
3.把Guest账号禁用
有很多入侵都是 通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选 项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将 Administrator账号改名可以防止 知道自己的管理员账号,这会在很大程度上保证计算机安全。
4.禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种:
方法是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControl\SetControl\LSA”,将DWORD值“Restrict Anonymous”的键值改为“1”即可。
篇5:黑/客渗透坚固内网案例
本案例为读者提供了一个如何渗透到看起来不可渗透的网络的思路,这里给出的某些步骤可能已经超出了渗透测试的范围,但是,如果我们的合同要求进行任何形式的渗透,那么看一看这个案例,是否能够为我们提供一些可能性。本案例也展示了 如何获取系统访问权的一般思路,如果此路不通,那就另辟蹊径。
李明一直不知疲倦地尝试穿过PIX防火墙进入微网公司的网络。在试遍了扫描、Web攻击、无数个SQL注入无效后,最终李明决定采取秘密行动。他向微网公司发送了一款木马,该木马能够被安装到任何一台计算机上,能够使连接穿越防火墙返回到李明指定的机器上。
李明使用了功能强大、相当流行的木马Beast,将它刻在光盘上,并进行了autorun配置,当这张光盘放入光驱中后,就会自动运行(Windows 和XP要求用户决定是否运行)。接着,他坐下来等待有人运行这张光盘并安装木马。这个木马被配置为与李明家中的电脑进行连接。下面是李明采取的步骤。
步骤1:首先要做的事情是创建Beast的后门服务器。通过单击“Build Server”按钮,李明选择了explorer.exe,Beast将把自己注入到这个程序中,如图12-69所示。这样,绝大多数反病毒软件都不会检测到Beast。
步骤2:由于防火墙隔离外部主动发起的连接,因此李明创建了一个不侦听的Beast,而由Beast主动生成连接到李明计算机上的连接请求,也就是采用了反向连接方式。在“Basic”中,李明输入了80端口号作为他要使用的侦听端口,并选中了反向连接(Reverse connection)单选按钮,如图12-70所示。
步骤3:接下来是配置李明所用攻击计算机的IP地址,以便让后门程序知道应该连接到什么地方。单击“Notifications”按钮,李明可以输入DNS名称,也可以输入IP地址。这里他输入了自己的攻击计算机使用的IP地址172.16.0.13,如图12-71所示。
步骤4:李明保存这个服务器,并将其命名为installprep.exe,这个名字不管放到哪一个安装光盘上都看起来无害,
李明将在他做的自动运行光驱中使用这个文件。
步骤5:现在需要创建能够自动运行Beast服务器程序installprep.exe的自动运行光盘了。创建一个如下所示的autorun.inf文件:
[AutoRun]open=installprep.exe
当光驱被配置为自动运行时,插入光盘后,installprep.exe就会自动运行。
步骤6:接着,李明提取正常反病毒光盘上的所有文件,目的是伪装自己,并使用修改后的autorun.inf取代原来的autorun.inf,并将installprep.exe也放在文件夹中。
步骤7:李明将这些文件刻录到光盘上,并制作一份看起来很专业的反病毒软件标签。
步骤8:接着,李明编写了一封语气恳切的附信和解释CD内容的操作手册,说明“这是一款新一代的企业级、主动型防病毒软件的90天试用版。将这个软件安装到你的服务器上就会发挥该产品的所有功能。”
步骤9:李明生产了10张这个CD,包括操作说明一起,邮寄给微网公司8个不同的人。他将最后的两张放在了微网公司用的停车场里,以便有人能够看到和使用。李明希望这些员工能够把这张CD插入到他们办公室的计算机中,并执行他自己定义的installprep.exe。
步骤10:李明在他的攻击计算机上启动Beast的客户端,并配置为侦听端口80。
步骤11:李明等待了几天,直到有人真的安装了这个CD为止。这种方式能够达到目的,一点不用吃惊。
步骤12:现在,李明利用被感染的计算机作为进入该网络其余部分的跳板。他开始下载他的整个 工具箱,准备与微网公司大战一场。
现在我们看到,只要有人插入CD自动播放、或者双击安装程序进行安装,Beast木马就被安装并启动执行,向外部世界打开了内部网络的一扇大门。防御此类攻击的最好方法只能是员工教育及持续不断的反病毒监控。
篇6:黑塞《温泉疗养客》经典语录
忧郁像发病一样时时来袭,我不知道两次发作之间的间隔,但我的天在缓缓结集云层。开始时总是感到心神不宁,伴着一种对恐惧的预感,很可能夜里还会做许多梦。平素让我喜欢的人、房屋、颜色、声音等等都变了样。音乐叫我头疼。所有的信都叫我扫兴甚至怀疑其中怀有恶意。如果这时候不得不与人交谈,真是莫大的痛苦,而且结果必然是不欢而散。这就是那种时刻,他是人自动戒绝不能有枪;却又四人恨不能有。怒气、怨气和痛苦波及到一切:人、动物、天气、神、手上读着的书和纸、身上穿的衣服的料子,等等、等等。但是嗔怒、远帆却不限于对物,它们最终会弹回到自己身上,我自己才是该恨之人。我自己才是把这世界搅的乌七八糟和面目可憎的罪魁祸首。
篇7:黑/客针对缓冲区溢出绕过IDS的方式
IDS作为企业安全防护的重量级产品,自然也成为了 试图攻破的目标,事实证明,绕过IDS防护进行攻击是完全可以实现的,接下来的文章里就将简述 攻击时如何通过针对缓冲区溢出绕过IDS。
一些NIDS检测远程缓冲区的主要方式是通过判断数据包的内容是否包括/bin/sh或者是否含有大量的NOP。针对IDS的这种检测办法,有的溢出程序的NOP考虑到用eb 02 代替,但这种方式目前也已经成为一些NIDS检测是否为缓冲区溢出时匹配的标志。
不过,k2先生又写了一个加密shellcode的程序ADMmutate,利用了名为多形态代码的技术,使攻击者能够潜在的改变代码结构来欺骗许多入侵检测系统,但它不会破坏最初的攻击性程序,
溢出程序经它一改,就可以摇身一变,而且由于采用了动态改变的技术,每次伪装的shellcode都不相同,本来NIDS依靠提取公开的溢出程序的特征码来检测报警,特征码变了后就可以达到绕过IDS的目的。
伪装前的shellcode格式为: [NNNNNNNNNNNNN][SSSS][RRRR]
伪装后的shellcode格式为: [nnnnnnn][dddd][ssss][rrrr]
其中:N表示NOP,S表示shellcode,R表示返回地址; n表示经过编码的NOP,d为解码器,s表示经过编码的shellcode,r表示返回地址。
经过ADMmutate伪装的shellcode可以逃过使用模式匹配并且利用字符串匹配的大部分NIDS!不过如果NIDS还依靠长度,可打印字符等等综合判断,则ADMmutate还是不能逃脱NIDS的监视,但是依靠长度、可打印字符等判断未必准确,以此判断会造成IDS漏报或误报。不过,对于使用模式匹配的NIDS来说,目前仍只能通过长度等简单的判断!
篇8:用网络行为分析IPS 防御黑/客攻击
两个防御网络安全攻击的方法分别是基于签名和基于异常网络行为分析(NBA),本文主要介绍这些入侵防御系统(IPS)技术是如何阻止 攻击并保护我们网络的。
受到网络攻击的新闻数不胜数。 会入侵商业网站盗取信用卡信息,入侵国防领域网站偷取最高机密的军事计划。最近发生的拒绝服务(DoS)攻击能让普通用户无法访问网站。遍布企业网络的防火墙和入侵防御系统每天都记录了大量的 攻击活动。
为了防止被攻击,有两个重要的防御方法可以使用:基于签名和基于异常网络行为分析(NBA)。
基于签名的入侵防御和侦查
基于签名的系统是对抗曾经被发现过的攻击的一个极为有效的的方法。它们能够快速安装和马上使用。这些系统会检查所有到达的数据包并将它的内容与一系列已知的攻击机制进行比对。将合法的活动当成攻击的错误判断会很少发生。它生成的报表很容易理解,因为每一个事件都标明了探测到的攻击类型。
虽然基于签名的系统对抗已知的攻击类型很有效,但是它们不能探测新出现的攻击。 也明白任何新的攻击类型会很快被探测到,并且入侵防御供应商很快就会有应对方法。因此,他们会在发现新的攻击方法时马上攻击大量的网站。
因此,基于签名的系统必须保持更新。供应商会收集和监控来自全世界的攻击报告。他们也会收集来自安装在客户的产品的数据。当其中一个客户受到攻击时,供应商会马上派人分析,然后开发出一个保护方法,并将更新分发给所有其他客户。虽然供应通常能够探测新的攻击方法并快速以给出防御方法,但是第一批受到攻击的已经受到了攻击破坏。
基于异常的入侵探测系统
基于异常的探测系统会探测与预期行为不相符的网络活动,
系统会根据相应的产品匹配正常的活动模式。例如,应用正常时会一次只访问一条数据记录。如果入侵防御系统探测到有人在同时访问大量的记录,这很可能就是一个攻击。类似地,如果一个有权限访问一些受保护记录的用户试图访问其它类型的信息,那么该用户的工作机很可能已经感染病毒了。
跟基于签名的系统不同,新的攻击也会被探测到,因为这些攻击不匹配已经被基于异常的入侵检测系统识别的模式。所以只要发生了与正常行为不同的事件就会被探测到。基于异常的入侵防御系统的缺点它必须经过详细配置后才能识别活动预期的模式。配置必须在添加新的应用或现有应用修改后进行更新。如果合法的活动没有以平常模式运行,那么就可能发生错误判断。
配置IPS防御复杂攻击
对于攻击元素分布在多条命令的情况,如基于Web攻击的HTTP消息,会同时给基于签名和基于异常的系统带来难度。对于基于签名的系统,签名可以分布在一系列的命令中而使攻击模板匹配不到任何数据包。基于异常的系统可能无法探测同时针对多个主机发起的攻击。发送到每一个主机的序列可能都是合法的,但它们可能会让每台主机上的应用进行交互而进行破坏活动。
更麻烦的是,并不是所有数据包都从一个相同的点或网关进入网络的。虽然企业网络通常都会不止一个的连接到Internet的网关上配置入侵防御系统,防御所有的网关仍然是不够的。
病毒可能不是通过网关渗入网络的。员工可能会将笔记本电脑带回到他们保护措施比较弱的家庭网络中使用。当他们把感染病毒电脑重新连接到企业内部网络时,病毒就可以不经过Internet网关而进入企业网络。无线网络是另一个容易受到攻击的点,它们在实现一个入侵防御系统是不能被忽略的一部分。通过无线LAN(WLAN)的外部破坏同样也是绕过网关的。
入侵防御系统也必须安装在网络的关键点上(像连接网关到应用运行或连接数据库服务器的交换机)来探测这些攻击。系统必须能够互相交换信息,并评估来自路由器等的报告和主机日志,从而根据一连串数据包来检测出攻击。
相对于可以快速安装和马上使用的基于签名的系统,设计、配置和安装一个基于异常的系统会更加复杂些。本系列文章的下一篇将探讨配置和安装一个基于异常的系统的步骤。
文档为doc格式
