简述入侵检测常用的四种 ***
1)特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测 *** 上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该 *** 预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
2)统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。
统计 *** 的更大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
3)专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
4)文件完整性检查
文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。
文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。从而,当文件一被修改,就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。
22端口入侵
22端口是SSH远程登录协议。最有可能利用的是弱口令的入侵。通常开放的机器都是服务器并安装了类似于TELNET协议。用于连接linux 22端口的工具有 SSH Secue Shell。前提是iptable开放了ssh这个服务。
利用该端口不容易做到入侵。
怎么使用kali linux入侵.asp网站
kali我一般都用ssh的
1、修改sshd_config文件,命令为:vi
/etc/ssh/sshd_config
2、将#passwordauthentication
no的注释去掉,并且将no修改为yes
//我的kali中默认是yes
3、将#permitrootlogin
yes的注释去掉
//我的kali中默认去掉了注释
4、启动ssh服务,命令为:/etc/init.d/ssh
start
//
或者service
ssh
start
5、验证ssh服务状态,命令为:/etc/init.d/ssh
status
网站渗透测试怎么做?
先看网站类型,安全性相对而已aspaspxphpjspcfm
看服务器类型 windows还是 linux 还有 服务器应用,windows分iis6 iis7等等 linux分apache和nginx 需要知道对于版本的漏洞 如 iis6解析漏洞 你百度,web服务器解析漏洞大全
反正需要懂的知识蛮多的 ,你自学没必要了,知识点 你可以百度下 知识点:
网站入侵学习入门到高手所有重点难点视频推荐
当知识点学的差不多了,总体的 *** 差不多就是:
入侵网站,锁定目标 识别程序 找oday oday不成功 扫后门 扫备份 无后门 无备份 找后台 找注入 无注入 弱口令 无弱口令 找图片 扫编辑器 无编辑器 扫目录本地文件包含~任意文件下载 xss乱打拿不下 就旁注 旁不下 扫端口 还不行就去社 社不了 就爆破还不行 去C段 ip端口入侵 C段搞不了 子域名下手 还不行字典问题,
后面就是 学精sql注入(知道原理去尝试绕过waf),xss ,还有代码审计 内网域渗透,msf,反正学无止尽 这个知识主要靠累计,其他的靠自己本事去绕waf(ids和cdn),挖xss,oday获取突破点。
Linux服务器如何防止入侵
beach翻译的,继续分享
目录:
1.BIOS
2.SSH安全
3.禁用telnet
4.禁用代码编译
5.ProFTP
6.TCPwrappers
7.创建一个SU组
8.root通知
9.history安全
10.欢迎信息
11.禁用所有特殊账户
12.chmod危险文件
13.指定允许root登陆的TTY设备
14.选择一个安全的密码
15.检查Rootkit
16.安装补丁
17.隐藏Apache信息
18.隐藏php信息
19.关闭不使用的服务
20.检测监听中的端口
21.关闭打开的端口和服务
22.删除不用的rpm包
23.禁用危险的php函数
24.安装配置防火墙
25.安装和配置BFD
26.内核加固(sysctl.conf)
27.更改SSH端口
28./tmp /var/tmp,/dev/shm分区安全
29.PHP IDS
总结
========================================================================
介绍
这个教程将一步步的指引你,使你的Linux系统变得安全。
任何默认安装的操作系统都是不够安全的,本文将指引你如何建立一个
相对安全的Linux系统。
========================================================================
1.BIOS
你应该总是在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导。
这将防止一些人未经允许访问你的系统和更改BIOS设置
2.SSH安全
SSH是一个协议,利用它可以登录到一个远程系统或远程执行系统命令,
默认允许root登录,并且sshv1存在缺陷,我们应该在
sshd_config禁止root访问和使用sshv2来让ssh更加安全。
*** :
vi /etc/ssh/sshd_config
把协议改为2
PermitRootLogin = no
重启sshd /etc/rc.d/init.d/sshd restart
3.禁用telnet
早期的Linux默认开启telnet服务,telnet,ftp,rlogin都是明文传输的协议
是容易被嗅探到的,这就是为什么推荐使用安全的版本(sftp,scp,ssh)的原因
如果你必须要使用telnet,那么至少应该隐藏banner信息
*** :
修改/etc/xinetd.d/telnet
disable=yes
4.禁用代码编译
你可以禁用代码编译并且只把编译的权限分配给一个用户组
*** :
添加编译用户组 /usr/ *** in/groupadd compiler ,cd /usr/bin
把常见的编译器所属组赋给编译用户组
chgrp compiler *cc*
chgrp compiler *++*
chgrp compiler ld
chgrp compiler as
设置mysqlaccess的访问
chgrp root mysqlaccess
设置权限
chmod 750 *cc*
chmod 750 *++*
chmod 750 ld
chmod 750 as
chmod 755 mysqlaccess
把用户添加到组里
修改/etc/group
compiler:x:520:user1,user2
5.ProFTP
你可以通过修改proftpd.conf来禁止root登陆
*** :
修改/etc/proftpd.conf
Add RootLogin off
重启proftpd / *** in/service proftpd stop
/ *** in/service proftpd start
6.TCP wrappers
编辑hosts.allow和hosts.deny可以限制或允许访问inet服务
*** :
限制访问inet服务
修改/etc/hosts.allow
建议格式:
#Approved IP addresses
ALL:192.168.0.1
ALL:192.168.5.2
#CSV uploader machine
proftpd:10.0.0.5
#pop3 from antwhere
ipop3:ALL
修改/etc/hosts.deny
ALL:ALL EXCEPT localhostENY
7.创建SU用户组
因为我们在SSH禁止了root用户访问并且禁用了telnet,所有我们应该
分配给一些用户su权限来获取root特权
*** :
vi /etc/group
添加一行 wheel:x:10:root,user1,user2
chgrp wheel /bin/su
chmod o-rwx /bin/su
8.root通知
当一个具有root权限的用户登录的时候发mail
*** :
编辑/root下的.bashrc ,当有root权限的用户登录时发生email通知
echo ‘ALERT – Root Shell Access (Server Name) on:’ `date` `who` | mail -s
如何使用ssh进行安全的连接
MindTerm、socat 还有 VNC,哦,天哪!虽然能够远程工作一直都是系统程序员和管理员最喜欢的 Linux 优点之一,但设置远程访问却不是一件简单的事情。 选择合适的远程服务 紧接着的第二个话题便是本篇专栏文章的主题:安全性。 您的服务器在物理上应当是被隔离的,应当禁用所有不必要的联网访问,并且只能通过 ssh 或更好的方式访问服务器。特别值得一提的是,尽可能少使用实时的 telnet 、 ftp 、 rlogin 和 rsh 以及相关服务;它们实在是太危险了。 首先,您当然应该尝试一番。程序员和管理员本可以在正常的上班时间里在自己比较安静的工作场所工作,但是他们却喜欢强迫自己突击完成这些工作,这可是出了名的。您可别让自己成为这种行为的牺牲品!确信您进行的连接具有合法的业务目的,并非违规行为。 但是,如果您过去有这些组织问题,那么连接问题的答案便是使用 ssh。即使您原则上更依赖于虚拟专用网(VPN)而非 ssh,我还是认为出现紧急情况时,如若不能使用常规 *** ,那么设置 ssh 访问会比较谨慎些。VPN 仍然有些难以处理,并且需要依靠特别的硬件配置。如果您是通过客户机的 *** (多半是使用普通桌面机器)呼叫主机的,则您可以进行的选择是极其有限的。 ssh 满足需要 好消息是 ssh 在这些限制的夹缝之中通常还能满足需要。即使您外出办事,但在公共接入点(比如网吧),您还是可能有足够的资源使 ssh 工作。 您或许不能依赖于自己的设备。说得严重些,带着任何比手持设备大的设备到处走,是另一个安全性风险;更糟的是,许多地方不准插入外来的硬件。您通常必须使用提供给您的硬件。 但是下载 puTTY、ssh 或 MindTerm 客户机一般都很快。而且我也喜欢那样做。任何具有足够的 *** 栈、可以连接到您的服务器室的主机,都可能有准许进行下载的 Web 浏览器。使用已经安装好的客户机要小心;对于某些人而言,将客户机替换成经过修改的、能捕获击键信息(或更糟的情况)的客户机实在是太容易了。 另一种方式是构造嵌入了 MindTerm 客户机作为 applet 的 Web 页面,这表面上看起来挺吸引人的。而我的经验告诉自己这种 *** 没什么用处。大多数地方都禁用 Java、或提供只具有旧的 Java 运行时引擎(JRE)的浏览器,或者采用别的方式来降低 applet 的便利性。如果我要使用 MindTerm,则只想下载和安装该客户机以及兼容的 JRE。对于构造针对最终用户的应用程序,applet 通常是一种好技术。applet 还适合进行只读配置。但是,我发现这种用法非常少。因此,为使自己的工作具有效率,不值得花时间去解决 applet 环境中可能存在的难题。我一直觉得,找到一个兆字节的空闲大容量存储器并在上面安装 ssh 客户机会更加方便。 您坐下一会后就应当安装新的 ssh 客户机并启动它。但是,这可能还不够。某些地方防火墙关闭了大多数端口,或者至少关闭了包括 ssh 的标准端口 22 在内的许多端口。 这里有另一种准备提供帮助的 *** 。在我的至少一台主机上,我希望让 sshd(ssh 守护程序)在通常被指派给常见因特网服务(比如 ftp、http、 *** tp 或 pop3)的端口上运行。即使是最严密的防火墙也要打开端口 21、8080、25 和 110 中的一个。将您的一台机器设置为捕获这样的通信,您就可以使它穿过大多数的防火墙。 这听起来是否象是非法闯入者在说话呀?我 不赞成滥用 *** 。经常有其它公司的雇员 邀请我使用他们的 *** ,虽然他们也知道,用敏感的方式(比如临时打开端口 22)更改他们的防火墙就公司制度而言是不可行的。我逐渐接受了这种认识:准备采用旁门左道也是当前专业实践的一部分,但我需要确保自己只以一种负责任的方式完成这个工作。 这样就启动了我的工作会话,然后:我下载引用 ssh 客户机,快速安装并启动它们,然后用 SSL 保护的密码往回验证我留在服务器室中运行的某个 sshd。 请注意,我仍然容易受到篡改过的主机的攻击。一个经过充分修改的桌面机器或一个警惕的窥视狂可以在击键信息到达 SSL 库之前将其记入日志。 这种情况的解决方案就是使用一次性密码(OTP)系统。到目前为止,在我看来 OTP 带来的麻烦多于安全性。OTP 给您自己带来的代价和收益肯定至少会略微有所不同。无论如何,回到日常的工作场所可能是更新密码的好时机。 使用标准部件 我希望 服务器诊所每个月都显示工作代码。在本文中,很难添加任何代码。我推荐的配置很简单,在标准的参考资料中都作了充分的记录。例如,要在第二个端口上添加 ssh 服务,只要将如下行:Port 8080 添加到现有的 /etc/ssh/sshd_config,然后重新启动 sshd。另一个 *** 是使用 *** *** 程序或端口转发器(比如 netcat 或 socat),将它指回本地主机(localhost)的标准 ssh 端口,这个 *** 在运行试验和调优日志记录或额外安全性方面很有用。 *** 程序这里的上下文中的 *** 程序是一个小型转换程序,它只是让 *** 流量通过。如果我在端口 22 上设置了 sshd 服务器,并且希望在端口 110 上设置另一台 sshd 服务器,那么实现这个想法的一个 *** 是安装 *** *** 程序。这样的 *** 程序在端口 110 上用作服务器,接收来自外界的流量。它通过在端口 22 上充当客户机来处理这些分组。基本 sshd 服务器完成所有的实际工作; *** 程序的作用只是从一个端口转换到另一个端口(可能在另一台主机上)。 这篇特别的专栏文章的真正价值并不在于深奥的代码,而只是在于传达了一个清晰的概念,您应该以此为目标来启用自己的远程服务。我已经尝试过许多 *** 。利用这些经验,尤其要了解 不要做什么,至少要了解在您首次设置服务器室时不要做什么:禁止 Telnet,不要让不用的服务一直开着,不用担心 applet(尤其不要担心 applet 签名),以及如若感到不对劲就不要进行远程登录。 另一方面,一定要使用标准部件。我已经尝试过许多聪明的想法,用于调整 ssh 协议或自己的防火墙,以阻止黑帽黑客(指专门利用 *** 技巧入侵 *** 进行破坏的人,译者注)。与这些想法所提供的安全性方面的小小增强相比,它们的维护比较困难,因此有些得不偿失。除非我编制一个明确的安全性项目的预算,并具有明确的长期目标,否则更好将时间花在使用 ssh 上,而不是花时间设法改进它。 采用以上步骤,您将拥有一个服务器室,它的安全性要比您只使用标准的 Linux 服务器安装时要好得多。您还能够从全球可以找到几乎所有的同步连接上远程管理它。