网安防御保护入门

常见的网络安全术语：

漏洞（脆弱性）：可能被一个或多个威胁利用的资产或控制的弱点

攻击：企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为

入侵：对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用

0day漏洞：通常是指还没有补丁的漏洞，也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞

后门：绕过安全控制而获取对程序或系统访问权的方法

WEBSHELL：以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以称为一种网页后门

社会工程学：通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法

exploit：简称exp，漏洞利用

APT攻击：高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

应对传输层的攻击例如SYN FLOOD攻击；该攻击利用tcp三次握手协议不断改变源IP发送第一个请求包给目标攻击对象而不接收确认包，导致攻击对象占用过多的资源而造成大量未完全建立的TCP连接

对于此有以下三点防御保护措施：

代理防火墙 --- 每目标IP代理阈值，每目标IP丢包阈值（首先服务器先处理一定阈值的连接，超过阈值的由代理防火墙来进行鉴别之后再跟服务器建立连接）

首包丢包---服务器将接收的不同IP发送的第一个包丢弃，因为黑客会不断变换IP发送请求包，而需要的用户则会用同一个IP不断尝试发送很多包来建立连接

SYN cookie---TCP建立连接过程中，服务端在第二次握手后会将连接放入半连接队列中。然后在第三次握手成功后，从半连接队列中移除加入到全连接队列中。如果没有开启syn cookie，则当半连接队列满了之后，再有新的连接就会直接丢弃。当开启了syn cookie后，就可以在不使用syn半连接队列的情况下成功建立连接。

具体方法：
服务器收到syn请求(第一次握手)后，会根据当前状态计算出一个cookie值。放在syn+ack报文(第二次握手)中发出。
当客户端返回ack报文(第三次握手)时会再次带上这个cookie值。服务端取出这个值进行验证。如果合法就认为连接建立成功。加入全连接队列中。

恶意程序一般会具备以下的多个或全部特性： 1，非法性 2，隐蔽性 3，潜伏性 4，可触发性 5，表现性 6，破坏性 7，传染性 --- 蠕虫病毒的典型特点 8，针对性 9，变异性 10，不可预见性

普通病毒 --- 以破坏为目的的病毒

木马病毒 --- 以控制为目的的病毒

蠕虫病毒 --- 具有传播性的病毒

对于病毒分类也多种多样；

根据其攻击系统分类：攻击DOS系统的病毒，攻击Windows系统的病毒，攻击Unix系统的病毒，攻击OS/2系统的病毒

根据攻击机型分类：攻击微型计算机的病毒，攻击小型机的计算机病毒，攻击工作站的计算机病毒

根据链接方式分类：源码型病毒，嵌入型病毒，外壳型病毒，操作系统型病毒

根据破坏情况分类：良性计算机病毒，恶性计算机病毒

根据寄生方式分类：引导型病毒，文件型病毒，复合型病毒

根据传播媒介分类：单机病毒，网络病毒