在学习 络安全知识时有很多专用名词不懂,我搜索整理了一些,大家可以看一下有一个印象
全文分为从攻防两个方面分析,攻击篇主要有攻击工具、攻击方法、攻击者,防守篇从软硬件,技术于服务,共总结了超过200个常用的 络安全词汇,如有不当或者疏漏之处,欢迎留言处指正补充。
一、攻击篇
1、攻击工具
肉鸡
所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动
络攻击。
例如在2016年美国东海岸断 事件中,黑客组织控制了大量的联 摄像头用于发动 络攻击,这些摄像头则可被称为“肉鸡”。
僵尸 络
僵尸 络 Botnet 是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的
络。
僵尸 络是一个非常形象的比喻,众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被攻击者执
行各类恶意活动(DDOS、垃圾邮件等)利用的一种基础设施。
木马
就是那些表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。
有很多黑客就是热衷使用木马程序来控制别人的电脑,比如灰鸽子、Gh0st、PcShare等等。
页木马
表面上伪装成普通的 页或是将恶意代码直接插入到正常的 页文件中,当有人访问时, 页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的电脑上来自动执行将受影响的客户电脑变成肉鸡或纳入僵尸 络。
Rootkit
Rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。 通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过对方系统存在的安全漏洞获得系统的root或system权限。 然后,攻击者就会在对方的系统中安装Rootkit,以达到自己长久控制对方的目的,Rootkit功能上与木马和后门很类似,但远比它们要隐蔽。MAC、LINUX或BSD也rootkit攻击对象。
蠕虫病毒
它是一类相对独立的恶意代码,利用了联 系统的开放性特点,通过可远程利用的漏洞自主地进行传播,受到控制终端会变成攻击的
发起方,尝试感染更多的系统。
蠕虫病毒的主要特性有:自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。
震 病毒
又名Stuxnet病毒,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电 。
作为世界上首个 络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个 络,其目标伊朗的铀浓缩设备遭到的攻
击最为严重。
勒索病毒
主要以邮件、程序木马、 页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
挖矿木马
一种将PC、移动设备甚至服务器变为矿机的木马,通常由挖矿团伙植入,用于挖掘比特币从而赚取利益。
攻击载荷
攻击载荷(Payload)是系统被攻陷后执行的多阶段恶意代码。 通常攻击载荷附加于漏洞攻击模块之上,随漏洞攻击一起分发,并可能通过 络获取更多的组件。
嗅探器(Sniffer)
就是能够捕获 络 文的设备或程序。嗅探器的正当用处在于分析 络的流量,以便找出所关心的 络中潜在的问题。
恶意软件
被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。
间谍软件
一种能够在用户不知情的情况下,在其电脑、手机上安装后门,具备收集用户信息、监听、偷拍等功能的软件。
后门
这是一种形象的比喻,入侵者在利用某些方法成功地控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置,用于访问、查看或者控制这台主机。 这些改动表面上是很难被察觉的,就好象是入侵者偷偷地配了一把主人房间的钥匙,或者在不起眼处修了一条暗道,可以方便自身随意进出。 通常大多数木马程序都可以被入侵者用于创建后门(BackDoor)。
弱口令
指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码)。
漏洞
远程命令执行漏洞
由于系统设计实现上存在的漏洞,攻击者可能通过发送特定的请求或数据导致在受影响的系统上执行攻击者指定的任意命令。
1day漏洞
指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较高,但往往官方会公布部分缓解措施,如关闭部分端口或者服务等。
Nday漏洞
指已经发布官方补丁的漏洞。通常情况下,此类漏洞的防护只需更新补丁即可,但由于多种原因,导致往往存在大量设备漏洞补丁更新不及时,且漏洞利用方式已经在互联 公开,往往此类漏洞是黑客最常使用的漏洞。 例如在永恒之蓝事件中,微软事先已经发布补丁,但仍有大量用户中招。
2、攻击方法
挂马
就是在别人的 站文件里面放入 页木马或者是将代码潜入到对方正常的 页文件里,以使浏览者中马。
挖洞
指漏洞挖掘。
加壳
就是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。 目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
简单的解释就是程序对输入数据没有执行有效的边界检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。
缓冲区溢出
攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情况下,这些多余的字符可以作为“执行代码”来运行,因此足以使攻击者不受安全措施限制而获得计算机的控制权。
注入
Web安全头 大敌。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。 注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现。
SQL注入
注入攻击最常见的形式,主要是指Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。
注入点
即可以实行注入的地方,通常是一个涉及访问数据库的应用链接。根据注入点数据库的运行帐 的权限的不同,你所得到的权限也不同。
软件脱壳
顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去除,还文件本来面目,这样再修改文件内容或进行分析检测就容易多了。
免杀
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。
暴力破解
简称“爆破”。黑客对系统中账 的每一个可能的密码进行高度密集的自动搜索,从而破坏安全并获得对计算机的访问权限。
洪水攻击
是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。 从定义上说,攻击者对 络资源发送过量数据时就发生了洪水攻击,这个 络资源可以是router,switch,host,application等。 洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿。 DDoS攻击便是洪水攻击的一种。
SYN攻击
利用操作系统TCP协调设计上的问题执行的拒绝服务攻击,涉及TCP建立连接时三次握手的设计。
DoS攻击
拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问 络或者 站无法被访问。
DDoS
分布式DOS攻击,常见的UDP、SYN、反射放大攻击等等,就是通过许多台肉鸡一起向你发送一些 络请求信息,导致你的 络堵塞而不能正常上 。
抓鸡
即设法控制电脑,将其沦为肉鸡。
端口扫描
端口扫描是指发送一组端口扫描消息,通过它了解到从哪里可探寻到攻击弱点,并了解其提供的计算机 络服务类型,试图以此侵入某台计算机。
花指令
通过加入不影响程序功能的多余汇编指令,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来识别病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”。
反弹端口
有人发现,防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。 于是,利用这一特性,反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端),就给人“被控制端主动连接控制端的假象,让人麻痹大意。
络钓鱼
攻击者利用欺骗性的电子邮件或伪造的 Web 站点等来进行 络诈骗活动。 诈骗者通常会将自己伪装成 络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息或邮件账 口令。 受骗者往往会泄露自己的邮箱、私人资料,如信用卡 、银行卡账户、身份证 等内容。
鱼叉攻击
鱼叉攻击是将用鱼叉捕鱼形象的引入到了 络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的 络钓鱼攻击,具有更高的成功可能性。 不同于撒 式的 络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉”。 为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。通常,组织内的特定个人存在某些安全漏洞。
钓鲸攻击
捕鲸是另一种进化形式的鱼叉式 络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的 络钓鱼攻击。 通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。
水坑攻击
顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。 最常见的做法是,黑客分析攻击目标的上 活动规律,寻找攻击目标经常访问的 站的弱点,先将此 站“攻破”并植入攻击代码,一旦攻击目标访问该 站就会“中招”。
嗅探
嗅探指的是对局域 中的数据包进行截取及分析,从中获取有效信息。
APT攻击
Advanced Persistent Threat,即高级可持续威胁攻击,指某组织在 络上对特定对象展开的持续有效的攻击活动。 这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和 会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
C2
C2 全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。
供应链攻击
是黑客攻击目标机构的合作伙伴,并以该合作伙为跳板,达到渗透目标用户的目的。 一种常见的表现形式为,用户对厂商产品的信任,在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。 所以,在某些软件下载平台下载的时候,若遭遇捆绑软件,就得小心了!
会工程学
一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是 会工程学黑客技术。 通俗而言是指利用人的 会学弱点实施 络攻击的一整套方法论,其攻击手法往往出乎人意料。 世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
拿站
指得到一个 站的最高权限,即得到后台和管理员名字和密码。
提权
指得到你本没得到的权限,比如说电脑中非系统管理员就无法访问一些C盘的东西,而系统管理员就可以,通过一定的手段让普通用户提升成为管理员,让其拥有管理员的权限,这就叫提权。
渗透
就是通过扫描检测你的 络设备及系统有没有安全漏洞,有的话就可能被入侵,就像一滴水透过一块有漏洞的木板,渗透成功就是系统被入侵。
横移
指攻击者入侵后,从立足点在内部 络进行拓展,搜寻控制更多的系统。
跳板
一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。
马
就是在 页中植入木马,当打开 页的时候就运行了木马程序。
黑页
黑客攻击成功后,在 站上留下的黑客入侵成功的页面,用于炫耀攻击成果。
暗链
看不见的 站链接,“暗链”在 站中的链接做得非常隐蔽,短时间内不易被搜索引擎察觉。 它和友情链接有相似之处,可以有效地提高 站权重。
拖库
拖库本来是数据库领域的术语,指从数据库中导出数据。 在 络攻击领域,它被用来指 站遭到入侵后,黑客窃取其数据库文件。
撞库
撞库是黑客通过收集互联 已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他 站后,得到一系列可以登录的用户。 很多用户在不同 站使用的是相同的帐 密码,因此黑客可以通过获取用户在A 站的账户从而尝试登录B 址,这就可以理解为撞库攻击。
暴库
入侵 站的一种手法,通过恶意代码让 站爆出其一些敏感数据来。
CC攻击
Webshell
Webshell就是以asp、php、jsp或者cgi等 页文件形式存在的一种命令执行环境,也可以将其称做是一种 页后门,可以上传下载文件,查看数据库,执行任意程序命令等。
跨站攻击
通常简称为XSS,是指攻击者利用 站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
中间人攻击
中间人攻击是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在 络连接中的两台通信计算机之间,通过拦截正常的 络通信数据,并进行数据篡改和嗅探,而这台计算机就称为“中间人”。
薅羊毛
指 赚一族利用各种 络金融产品或红包活动推广下线抽成赚钱,又泛指搜集各个银行等金融机构及各类商家的优惠信息,以此实现盈利的目的。这类行为就被称之为薅羊毛。
商业电子邮件攻击(BEC)
也被称为“变脸诈骗”攻击,这是针对高层管理人员的攻击,攻击者通常冒充(盗用)决策者的邮件,来下达与资金、利益相关的指令;或者攻击者依赖 会工程学制作电子邮件,说服/诱导高管短时间进行经济交易。
电信诈骗
是指通过电话、 络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人打款或转账的犯罪行为,通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。
杀猪盘
络流行词,电信诈骗的一种,是一种 络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。
ARP攻击
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应 文时,由于简单的地址重复错误而导致不能进行正常的 络通信。
欺骗攻击
络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。 主要方式有:IP欺骗、ARP欺骗、 DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假 文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
Shellcode
一段可被操作系统无需特别定位处理的指令,通常在利用软件漏洞后执行的恶意代码,shellcode为二进制的机器码,因为经常让攻击者获得shell而得名。
物理攻击
通俗理解,即采用物理接触而非技术手段达到 络入侵的目的,最常见的表现形式为插U盘。 著名的震 病毒事件即通过插U盘的形式,感染了伊朗核设施。
3、攻击者
黑产
络黑产,指以互联 为媒介,以 络技术为主要手段,为计算机信息系统安全和 络空间管理秩序,甚至国家安全、 会政治稳定带来潜在威胁(重大安全隐患)的非法行为。 例如非法数据交易产业。
暗
暗 是利用加密传输、P2P对等 络、多点中继混淆等,为用户提供匿名的互联 信息访问的一类技术手段,其最突出的特点就是匿名性。
黑帽黑客
白帽黑客
是那些用自己的黑客技术来进行合法的安全测试分析的黑客,测试 络和系统的性能来判定它们能够承受入侵的强弱程度。
红帽黑客
事实上最为人所接受的说法叫红客。 红帽黑客以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取为精神支柱,红客通常会利用自己掌握的技术去维护国内 络的安全,并对外来的进攻进行还击。
红队
通常指攻防演习中的攻击队伍。
蓝队
通常指攻防演习中的防守队伍。
紫队
攻防演习中新近诞生的一方,通常指监理方或者裁判方。
二、防守篇
1、软硬件
加密机
主机加密设备,加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。
CA证书
为实现双方安全通信提供了电子认证。 在因特 、公司内部 或外部 中,使用数字证书实现身份识别和电子信息加密。 数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
SSL证书
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。 因为配置在服务器上,也称为SSL服务器证书。
防火墙
主要部署于不同 络或 络安全域之间的出口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽 络内部的信息、结构和运行状况,有选择地接受外部访问。
IDS
入侵检测系统,用于在黑客发起进攻或是发起进攻之前检测到攻击,并加以拦截。 IDS是不同于防火墙。防火墙只能屏蔽入侵,而IDS却可以在入侵发生以前,通过一些信息来检测到即将发生的攻击或是入侵并作出反应。
NIDS
是Network Intrusion Detection System的缩写,即 络入侵检测系统,主要用于检测Hacker或Cracker 。 通过 络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有 络设备的通信信息,比如Hub、路由器。
IPS
全称为Intrusion-Prevention System,即入侵防御系统,目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。 或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。
杀毒软件
也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
反病毒引擎 通俗理解,就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。 例如奇安信自主研发的QOWL猫头鹰反病毒引擎。
防毒墙
区别于部署在主机上的杀毒软件,防毒墙的部署方式与防火墙类似,主要部署于 络出口,用于对病毒进行扫描和拦截,因此防毒墙也被称为反病毒 关。
老三样
通常指IDS、防火墙和反病毒三样历史最悠久安全产品。
告警
指 络安全设备对攻击行为产生的警 。
误
也称为无效告警,通常指告警错误,即把合法行为判断成非法行为而产生了告警。 目前,由于攻击技术的快速进步和检测技术的限制,误 的数量非常大,使得安全人员不得不花费大量时间来处理此类告警,已经成为困扰并拉低日常安全处置效率的主要原因。
漏
通常指 络安全设备没有检测出非法行为而没有产生告警。一旦出现漏 ,将大幅增加系统被入侵的风险。
NAC
全称为Network Access Control,即 络准入控制,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。 借助NAC,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入 络,而不允许其它设备接入。
漏扫
即漏洞扫描,指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
UTM
即Unified Threat Management,中文名为统一威胁管理,最早由IDC于2014年提出,即将不同设备的安全能力(最早包括入侵检测、防火墙和反病毒技术),集中在同一 关上,实现统一管理和运维。
闸
闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。 由于两个独立的主机系统通过 闸进行隔离,只有以数据文件形式进行的无协议摆渡。
堡垒机
运用各种技术手段监控和记录运维人员对 络内的服务器、 络设备、安全设备、数据库等设备的操作行为,以便集中 警、及时处理及审计定责。
数据库审计 能够实时记录 络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。 它通过对用户访问数据库行为的记录、分析和汇 ,用来帮助用户事后生成合规 告、事故追根溯源,同时加强内外部数据库 络行为记录,提高数据资产安全。
DLP
数据防泄漏,通过数字资产的精准识别和策略制定,主要用于防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。
VPN
虚拟专用 ,在公用 络上建立专用 络,进行加密通讯,通过对数据包的加密和数据包目标地址的转换实现远程访问。
SD-WAN
即软件定义广域 ,这种服务用于连接广阔地理范围的企业 络、数据中心、互联 应用及云服务。 这种服务的典型特征是将 络控制能力通过软件方式云化。 通常情况下,SD-WAN都集成有防火墙、入侵检测或者防病毒能力。并且从目前的趋势来看,以安全为核心设计的SD-WAN正在崭露头角,包括奇安信、Fortinet等多家安全厂商开始涉足该领域,并提供了较为完备的内生安全设计。
路由器
是用来连接不同子 的中枢,它们工作于OSI7层模型的传输层和 络层。 路由器的基本功能就是将 络信息包传输到它们的目的地。一些路由器还有访问控制列表(ACLs),允许将不想要的信息包过滤出去。 许多路由器都可以将它们的日志信息注入到IDS系统中,并且自带基础的包过滤(即防火墙)功能。
关
通常指路由器、防火墙、IDS、VPN等边界 络设备。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!