S'S ALGORITHM

Cyber Security Base

Thoughs

在AWS中学到的各种log分析，网络分析等就像是在布一张大网。在渗透测试中，则是用攻击方的视角进行学习。他们是一个硬币的两面，从不同视角学习，真的太有意思了。

安全运营核心思路

在中文中我们叫做网络安全，但是cyber一词的含义很广，它包括了所有关于计算机，网络，数据，数字化技术的内容，而不是我们狭义的internet。

安全运营最重要的是思路。

安全是一个动态持续的过程。世界上没有银弹，只有在动态中调整，持续优化，才是正确的思路。

管理的系统量级不同，方法也不同。

数据从高等级的信任域流向低等级的信任区域是不需要经过安全检查的，反之则需要。

安全的本质是信任问题。

安全三要素：机密性，完整性，可用性。

安全评估流程：资产等级划分，威胁分析，风险分析，确认解决方案。

• 资产等级划分：明确保护的目标。确认保信任区域，比如数据库服务器圈定，然后web应用服务器圈定。
• 威胁分析：威胁是指危害来源，风险是指可能出现的损失。威胁分析方法：头脑风暴或者建模。
• 风险分析：Risk = Probability（概率） * Damage Potential（潜在损失），也有很多建模方法。
• 设计安全方案：不应该用性能换安全，安全也应该是一种属性。一个优秀的解决方案应该具备以下特定：
  • 能够有效解决问题。
  • 用户体验好。
  • 高性能，低耦合。
  • 易于扩展和升级。

互联网安全的核心是数据安全。

道德黑客兵法：

Secure by Default （总则）

• 白名单黑名单思想，更多的使用白名单会更安全。
• 最小权限原则。

Defense in Depth （纵深防御，全面看问题）

• 不同层面的防御，以及正确的地方，针对性地防御。木桶理论，找到短板。
• 不同层面比如，OS，WEB应用，数据库，网络环境等。

数据与代码分离原则 （从漏洞成因看问题）

• 比如缓冲区溢出，SQL注入，就是利用了数据没有好好分离。

Unpredictable （不可预测性，克服攻击方法的角度）

• 能有效对抗基于篡改，伪造的攻击。
• 用到加密算法，随机数算法，哈希算法等。

---

安全是一门朴素的学问，也是一种平衡的艺术。

学完所有，多来回顾这一部分。

写安全的代码，多看官方文档。

网络安全的三大目标

网络安全的三大目标是机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），通常缩写为 CIA。这三个目标代表了网络安全的基本要求，也是衡量网络安全防护水平的重要指标。

• 机密性：是指信息只能被授权的实体访问和查看。例如，加密数据、用户身份信息等都应该具有机密性。
• 完整性：是指信息保持其准确性和一致性，未经授权的修改或破坏。例如，数据传输过程中的完整性校验（数字签名）、数据库的备份和恢复等措施都可以保证信息的完整性。
• 可用性：是指信息和系统能够在需要的时候被授权的实体访问和使用。例如，网站或应用程序应该能够正常运行，用户能够及时访问所需信息。比如DDos攻击就是导致了不可用的一种方法。

网络安全的三大目标相互关联，缺一不可。例如，如果信息的机密性遭到破坏，则可能导致信息泄露；如果信息的完整性遭到破坏，则可能导致数据错误或系统故障；如果信息的可用性遭到破坏，则可能导致用户无法访问所需信息或服务。

为了实现网络安全的三大目标，需要采取各种技术和管理措施，例如：

• 访问控制：限制对信息和系统的访问，只允许授权的实体访问。
• 数据加密：对敏感数据进行加密，防止未经授权的访问和破解。
• 安全漏洞修复：及时修复软件和系统的安全漏洞，降低被攻击的风险。
• 安全意识培训：提高员工的网络安全意识，减少人为因素导致的安全风险。
• 安全事件响应：制定有效的安全事件响应计划，能够快速有效地应对安全事件。

网络安全是一项复杂的长期任务，需要持续不断的投入和改进。只有不断完善网络安全防护体系，才能有效抵御各种网络安全威胁，保护信息安全。

蓝队和红队

在网络安全领域，蓝队和红队是两个常用的术语，用来描述两种不同的安全团队和他们的工作方式。

蓝队代表防御方，负责保护组织的信息系统和网络免受攻击。他们通常由安全分析师、安全工程师和安全运营人员组成。蓝队的工作包括：

• 进行安全评估和测试，以识别和修复系统中的漏洞和弱点。
• 部署和管理安全控制措施，例如防火墙、入侵检测系统和身份验证系统。
• 监控网络活动，以检测和响应安全事件。
• 制定和实施安全策略和程序。
• 对员工进行安全意识培训。

红队代表攻击方，负责模拟真实攻击者的行为，以测试蓝队的防御能力和发现系统中的潜在安全漏洞。他们通常由经验丰富的渗透测试人员和安全研究人员组成。红队的工作包括：

• 进行信息收集，以了解目标系统的架构、配置和漏洞。
• 制定攻击计划，选择合适的攻击方法和工具。
• 实施攻击，试图突破蓝队的防御并获取对系统的访问权限。
• 分析攻击结果，并向蓝队提供有关其防御能力的反馈。

蓝队和红队协同工作，可以帮助组织提高其整体安全水平。蓝队可以从红队的攻击中学习，并改进他们的防御措施。红队可以帮助蓝队发现他们可能无法发现的潜在安全漏洞。

以下是一些蓝队和红队的典型活动：

蓝队活动

• 渗透测试
• 漏洞扫描
• 安全事件响应
• 安全意识培训
• 风险评估

红队活动

• 社会工程
• 钓鱼攻击
• 恶意软件攻击
• 零日攻击
• 物理攻击

蓝队和红队的使用越来越普遍，因为组织认识到需要采用多种方法来防御网络攻击。定期进行蓝队和红队演练可以帮助组织识别和解决安全问题，并提高他们抵御攻击的能力。

这让我想到了GAN，使用两个神经网络进行训练，互相对抗，最终提升系统效果。

保护的对象是什么 Assets

（资产等级划分）

网络安全保护的资产是指任何可能受到网络攻击的实体，包括硬件、软件、数据和信息。具体来说，网络安全保护的资产可以分为以下几类：

• 硬件资产：包括计算机、服务器、网络设备、存储设备等。这些资产容易受到物理攻击和远程攻击。
• 软件资产：包括操作系统、应用程序、数据库等。这些资产容易受到软件漏洞和恶意代码的攻击。
• 数据资产：包括用户数据、财务数据、商业机密等。这些资产一旦泄露，可能会造成巨大的经济损失和声誉损害。
• 信息资产：包括网站、电子邮件、社交媒体账号等。这些资产容易受到钓鱼攻击、欺诈攻击和信息窃取攻击。

如果我们的策略很好但是完全保护错了对象是不行的。

理解黑客

不想拿到root的黑客不是好黑客。

真正的黑客崇尚的是Open，Free，Share。他们自己写代码和工具，思考问题。

现在很多恶意黑客都是脚本小子。他们使用别人的工具进行犯罪。下面说的黑客，都指这一类黑客。

黑客的动机不只是金钱，还可能是为了控制，破坏，反社会，以及娱乐。很多黑客进行攻击是因为自身的反叛，激进，自卑，以及缺少社会交流技巧，因此缺少社会的支持。不只是通过盗取信息，还可以制作黑客软件进行贩卖，比如勒索软件。

一个黑客是否能被抓住，取决于ta是否小心，技术如何以及日常行为。

但是世界上百分之九十的黑客不会被抓住，这是因为他们一般没有针对政府，或者有大的危害。相对于抓住黑客，更重要的是强化系统，加强安全措施。就像我们的日常，相对于敞开大门抓小偷，我们更经常做的是安装防盗网，上好门锁。

针对黑客的工具和方法：logs，honeypots（蜜罐，吸蜜蜂呢），monitoring。

Bugs & Vulnerability

漏洞是指软件、系统或网络中的一个错误或缺陷，可能导致安全漏洞或系统功能异常。漏洞可以被利用来绕过安全措施、执行未经授权的操作、窃取数据、破坏系统或进行其他恶意活动。漏洞通常是由于软件编程错误、设计缺陷、配置错误或系统组件之间的互操作性问题而引起的。

漏洞通常分为几种不同类型，包括但不限于：

1. 缓冲区溢出：当程序在处理输入数据时未能正确验证其边界或长度限制时，可能会发生缓冲区溢出漏洞，导致攻击者能够向系统中注入恶意代码并执行任意指令。
2. 身份验证漏洞：当系统在身份验证过程中未能正确验证用户的身份或权限时，可能会导致身份验证漏洞，使攻击者能够以未经授权的方式访问系统或资源。
3. 代码注入漏洞：当系统未能正确过滤或验证用户输入时，可能会导致代码注入漏洞，使攻击者能够在系统中注入恶意代码并执行。
4. 权限提升漏洞：当系统未能正确实施最小权限原则或授权策略时，可能会导致权限提升漏洞，使攻击者能够以超出其授权的权限执行操作。
5. 跨站脚本（XSS）漏洞：当系统未能正确过滤或转义用户输入时，可能会导致跨站脚本漏洞，使攻击者能够在受害者的浏览器上执行恶意脚本。
6. 跨站请求伪造（CSRF）漏洞：当系统未能正确验证请求的来源时，可能会导致跨站请求伪造漏洞，使攻击者能够以受害者的身份执行未经授权的操作。

漏洞的存在可能会对系统和数据的安全性造成严重影响，因此及时发现和修补漏洞是确保系统安全的重要一环。为了防范漏洞的利用，组织和个人通常需要采取一系列安全措施，包括定期更新和修补软件、实施安全编码和配置标准、使用防火墙和入侵检测系统等。

即使一个公司有坚固的防火墙，但是如果有人误点了病毒文件，那么整个公司系统都可能被入侵。人永远是漏洞中的最大漏洞。相对于找技术漏洞，不如找人的漏洞。

未修补漏洞

未修补漏洞（unpatched vulnerability）是指软件或系统中已知存在的安全漏洞，但尚未发布补丁或修复程序来解决该漏洞的漏洞。这些漏洞可能被攻击者利用来发起攻击，从而窃取数据、破坏系统或控制计算机。

未修补漏洞是网络安全的一大威胁，因为它们为攻击者提供了可乘之机。攻击者可以通过扫描网络来查找未修补的漏洞，然后利用这些漏洞来发起攻击。

以下是一些常见的未修补漏洞示例：

• 软件漏洞：软件漏洞是指软件代码中的缺陷，可能被攻击者利用来执行任意代码或获取未经授权的访问权限。
• 系统配置错误：系统配置错误是指系统配置不当，可能导致安全漏洞。
• 硬件漏洞：硬件漏洞是指硬件设计或制造中的缺陷，可能被攻击者利用来绕过安全措施。

零日漏洞（zero-day vulnerability）是指软件或系统中尚未公开或被软件供应商知道的安全漏洞。攻击者可能已经发现了该漏洞，并利用它来发起攻击，而软件供应商还没有发布补丁或修复程序来解决该漏洞。

零日漏洞是网络安全中最危险的漏洞之一，因为攻击者可以利用它们在软件供应商发布补丁之前发起攻击。这使得组织很难防御此类攻击。

零日漏洞的成因有很多，包括：

• 软件开发过程中的错误：软件开发过程中可能存在编码错误或设计缺陷，导致安全漏洞。
• 软件供应商的安全意识薄弱：一些软件供应商可能没有足够的投入来确保其软件的安全。
• 攻击者利用漏洞扫描工具来发现零日漏洞：攻击者可以使用漏洞扫描工具来扫描软件和系统，以发现零日漏洞。

如何防御零日漏洞

由于零日漏洞的隐蔽性和危险性，完全防御零日漏洞是不可能的。但是，组织可以采取以下措施来降低零日漏洞的风险：

• 部署多层安全防护：使用多种安全防护措施，例如防火墙、入侵检测系统和身份验证系统，可以帮助阻止攻击者利用零日漏洞。
• 及时更新软件和系统：大多数软件供应商都会定期发布安全更新，以修复已知的漏洞。组织应尽快安装所有安全更新。
• 提高员工的安全意识：员工是网络安全的第一道防线。组织应提高员工的安全意识，并教他们如何识别和报告可疑活动。
• 制定零日漏洞响应计划：组织应制定零日漏洞响应计划，以便在发生零日攻击时迅速做出反应。

软件漏洞

• 零日漏洞：漏洞还没被发现，并且还没被修复的阶段的漏洞，这是最危险的时候。
• OWASP top 10：从互联网就可以查到详细，它包括：注入、跨站脚本、未经授权的访问、暴露的敏感数据、外部实体、缺乏访问控制、安全配置错误、跨站请求伪造、使用已知的漏洞和不安全的反序列化。
• 错误设置和过期软件漏洞。
• 中间人攻击和DDos攻击。
• 木马病毒通过文件和应用程序（trojan）控制对方计算机，开后门。
• 蠕虫（worms）不需要依赖主机程序或文件来传播，而是利用网络漏洞或弱点，通过网络自动复制和传播自己。蠕虫可以在没有用户干预的情况下，迅速地感染大量的计算机系统。用于进行大规模的网络攻击、分布式拒绝服务攻击（DDoS）等恶意活动。
• 勒索软件（Ransomware）是一种恶意软件，其目的是通过加密受害者的文件或系统，然后勒索受害者支付赎金来解密文件或恢复系统的正常功能。通常使用比特币等进行匿名支付要求。
• 病毒（Virus）是一种计算机程序或代码，其主要目的是感染其他程序，并在被感染的程序运行时复制自身。病毒通常被认为是一种恶意软件（Malware），因为它们可以在未经用户许可的情况下，在计算机系统中造成破坏、窃取信息或进行其他恶意活动。
• 根工具包（Rootkit）是一种恶意软件，其主要目的是在计算机系统中隐藏恶意活动和存在。Rootkit通常会深入操纵操作系统内核或其他系统级组件，以便于在系统上运行时隐藏自己的存在和活动。它们可能会掩盖恶意进程、文件、注册表项和网络连接，使其对普通用户和甚至系统管理员不可见。

• 间谍软件（Spyware）是一种恶意软件，其设计目的是在用户的计算机上悄悄安装并监视用户的网络活动、键盘输入、浏览习惯等，通常以盗取个人信息或用于广告目的为目的。Spyware通常在用户不知情的情况下安装在计算机上，并且通常在用户访问特定网站、下载软件或点击欺诈性广告等活动中进行传播。

• 永远记得代码中，检查用户输入的地方。这里很薄弱。
• 及时更新面向互联网的更新，比如APPs，OS，Browsers。
• 安装防病毒软件&防火墙。
• 关注可疑邮件，bug代码，可疑外接硬件。

他们产生的原因：

• 未修补漏洞
• 错误的系统设置
• 薄弱，泄露，凭证
• 社会工程
• 内部威胁

缓冲区溢出

Buffer Overflow是一种常见的安全漏洞，它可能会导致系统遭受攻击和数据被破坏。Buffer Overflow发生于程序未对输入数据的长度进行合理的检查和限制，当输入的数据超出了缓冲区预先分配的存储空间时，多余的数据就会溢出到缓冲区以外的内存区域，从而覆盖掉相邻数据的内容。

攻击者可以借助Buffer Overflow漏洞，将精心设计的代码注入到程序内存中，以执行任意恶意操作，如获取系统权限、破坏文件系统等。攻击过程通常分为以下几个步骤:

1. 发现并确定目标程序存在Buffer Overflow漏洞。

2. 编写能够溢出缓冲区的恶意输入数据，精心构造一段shellcode(攻击代码)。

3. 覆盖程序返回地址为shellcode地址，使程序流程转向执行攻击代码。

4. 攻击代码获取系统权限，为攻击者执行进一步的恶意操作。

Buffer Overflow攻击需要精确计算覆盖返回地址的长度和位置，并且要绕过现代系统的各种防护措施，因此具有一定的复杂性和困难。防范Buffer Overflow的主要方法包括:

1. 编写安全的代码，对输入数据长度作检查限制。
2. 开启系统内存保护和代码完整性检查等安全机制。
3. 使用不具有缓冲区安全性问题的编程语言和内存管理技术。
4. 安装系统补丁和更新，修复已知的Buffer Overflow漏洞。

总之，Buffer Overflow是一种严重的安全漏洞，开发人员需要重视这个问题，谨慎编写安全的代码。

社会工程

社会工程是一种利用人性弱点来获取机密信息或获得不当利益的技术。它主要依赖于人的信任、贪婪、好奇心、恐惧等心理因素。常见的社会工程类型包括:

• 伪装 - 冒充合法机构或权威人士，诱使目标泄露信息或执行指令。如假冒IT支持人员、警察等。
• 钓鱼 - 通过电子邮件、短信等方式发送看似合法的链接或附件，诱使用户泄露敏感信息。
• shouldering - 看起来无意中进入受限区域，然后混入受信任的群体。
• 垃圾桶捡拾 - 从垃圾箱里捡拾敏感文件，获取机密信息。
• 反向社会工程 - 伪装成无助者，让目标主动提供援助和信息。
• 尾行 - 跟踪和监视目标，获取重要信息和行为模式。

社会工程的主要原因有:

• 人性弱点 - 过度信任、好奇、贪婪等心理缺陷。
• 缺乏安全意识培训 - 员工对社会工程威胁认知不足。
• 疏忽大意 - 忽视基本的安全规程，如合理的身份验证等。
• 经济利益 - 一些人出于金钱利益而从事这种违法活动。
• 获取竞争优势 - 企业间的工业间谍活动。

可疑邮件的特点：地址很奇怪，文笔很烂，看起来很着急

防范社会工程需要培养员工的安全意识，建立严格的安全政策和流程，并使用技术手段如数据加密、访问控制等来降低风险。 以下是一些防范社会工程攻击的措施：

• 不要点击可以链接，或者打开邮件中的可以链接
• 小心密码泄露
• 检查Https表示
• 从自己熟悉的官网登陆网页

End-Point Protection

终端保护的内容包括进程，数据，文件，硬件，网络攻击等。

所有你的终端设备都需要保护，包括软件和硬件，浏览器，应用，手机，电脑，平板。

浏览器是非常重要的终端，我们的网络活动，现在大部分都是在浏览器完成。

顺便Chrome竟然是不太尊重隐私的。还是需要装一些安全插件。

杀毒软件和恶意软件

杀毒软件Antivirus和恶意软件malware就像是猫抓老鼠的游戏。

现在的EDR（Endpoint Detection and Response）系统中通常包括了杀毒软件。杀毒软件的目的是保护，EDR的目的是检测和响应。

病毒只是威胁的一小部分，杀毒软件是第一道防线，EDR则是第二道防线。

在Windows系统中有WindowsDefender进行安全防护。MacOS也有自己的保护系统但是日新月异的进化，我在自己的现在的电脑里还没有找到！

还有很多其他第三方软件，比如Bitdefender，卡帕斯基，McAfee， Malwarebytes等。

数据保护

终端保护中的密码保护也是很重要的部分，bruteforce攻击会遍历密码组合，因此使用复杂的密码，很重要。当然可以使用Password Manager，唯一就是要使用合规的软件，以及牢记Master Password。2FA二段认证很麻烦，但是很管用。叫作1password的软件很可爱呢。

文件file和磁盘disk加密至关重要。系统自带和网上的第三方，也有很多文件加密服务。我的Mac上就是FileVault。该服务默认加密磁盘内的所有文件，解密文件是需要系统密码的。（虽然我的系统密码很弱哈）

Process Explorer 是微软的官方软件，通过软件可以监视是否有非法文件下载，是否有非法和不认识的进程。

数据包安全也有一些软件，比如Wireshark是一款广泛使用的网络封包捕捉分析工具，它具有跨平台的特性，可在Linux、Windows、macOS等操作系统上运行。Wireshark常被用于网络管理、协议分析、数据包捕获、通信问题诊断、软件开发等多个领域。对网络管理员、安全工程师、软件开发人员等都是一个非常有用的网络分析利器。

值得注意的是，我们的电脑上，各个系统，当你删除文件的时候，其实并没有完全删除，而是还在内存中，只要有人想要恶意利用，就可以进行恢复。网上有很多删除工具，所以当你想完全和安全地删除文件的时候，应该使用安全的方法。

netstat

netstat是一个命令行工具，用于显示网络相关的统计数据，比如网络连接、路由表、网络接口等信息。它在各种系统中都有提供，如Windows、Linux、macOS等。以下是netstat的一些主要用途:

1. 显示活动的网络连接(TCP、UDP) netstat -an 列出所有处于LISTEN(监听)、ESTABLISHED(连接)等状态的套接字。

2. 显示路由表 netstat -r 列出系统路由表信息，可查看网关信息。

3. 显示网络接口列表 netstat -i 列出网卡接口和相关的传输量统计。

4. 查看进程使用的端口 netstat -anop 显示UDP、TCP连接的进程标识符PID和进程名称。

5. 检测端口使用情况 netstat -antp | grep :<端口号> 检查指定端口号是否被使用。

6. 显示组播成员资格信息 netstat -g 列出加入的多播组信息。

7. 显示网络统计数据 netstat -s 显示各协议的统计信息，比如TCP连接数、发送丢包数等。

netstat支持大量参数和组合参数用法，可以过滤、格式化输出等。它是一个轻量且功能强大的命令行工具，常被网络管理员和系统运维人员用于排查网络问题、分析诊断等工作。

htop

htop是一个交互式的基于ncurses的进程查看器，类似于顶级视图(top)，但是它允许您滚动长进程列表垂直和水平，以及其他功能。htop是一个值得信赖的工具，特别适用于BSD，Linux和OS X系统。以下是htop的一些主要特性:

1. 进程列表 htop以层次树状结构显示正在运行的进程，并用不同颜色突出显示CPU、内存和交换空间的使用情况。

2. 排序 您可以按各种列(CPU、内存使用量等)对进程进行排序，以快速找到占用最多系统资源的进程。

3. 过滤器 htop允许您按进程名、用户等过滤器显示进程列表，找到感兴趣的进程。

4. 交互式命令 在htop中，您可以通过键盘快捷键对进程执行多种操作，如结束进程、修改nice值等。

5. 操作系统信息 除了显示进程列表，htop还能实时显示系统总体使用情况，如CPU、内存和交换空间利用率。

6. 用户友好 与top相比，htop的界面更加现代和用户友好，易于使用和解读。

7. 扩展和导出 您可以通过输出将htop的数据导出到文件中，或者将一个视图转发到pager程序以获得更多信息。

总的来说，htop是很多系统管理员和开发人员在Linux/Unix系统上监控和管理进程的首选工具之一，因为它提供了更多有用的交互式功能和清晰的可视化进程信息。

brew install htop

T快捷键可以显示树状图。选择进程加K可以关闭进程。/可以进行filter搜索。很好用。

Rootkit Hunter

它是一种用于检测Linux系统上rootkit(根套件)的免费工具。

Rootkit是一种特殊的恶意软件，它的目的是潜入和隐藏在受感染的系统中，给攻击者提供对系统的持久控制权，而不被检测到。它们通常包含一些木马程序、隐藏进程、劫持程序以及修改系统文件等成分。

Rootkit Hunter的主要功能是检测和发现尝试隐藏的rootkit迹象。它通过多种方式和机制来扫描操作系统的多个部分，判断是否存在rootkit感染的迹象，主要包括:

1. 检查内核模块和进程
2. 扫描二进制文件及系统命令
3. 检查网络接口和连接端口
4. 检查文件系统
5. 检查应用程序和进程

除了检测，Rootkit Hunter还具有一些其他功能，如报告系统信息、提供查杀模式等。

使用Rootkit Hunter需要root权限运行，扫描完成后会生成报告，列出所有发现的可疑项目。系统管理员可根据报告进一步分析并采取适当措施，如清除rootkit、修复受损文件等。

虽然Rootkit Hunter不能100%检测所有rootkit，但作为一种免费和开源的工具，它是Linux管理员监测系统安全并及时发现异常行为的重要手段之一。需要与其他安全工具和实践相结合，以全面保证系统安全。

基于主机的防火墙 host based fw

防火墙包括host based，还有网络防火墙，这里是终端部分，所以主要涉及基于主机的防火墙。

iptables 是 Linux 内核中的防火墙软件，用于配置 Linux 内核的 IPv4 或 IPv6 包过滤规则，决定哪些数据包可以通过或被阻止。它是一种用户态工具，通过配置 netfilter 模块中的一系列表 (tables) 来管理内核中的网络数据流。

iptables 的主要功能包括:

1. 网络地址转换(NAT)：修改数据包中的源/目标 IP 地址和端口号，常用于将私有网络地址转换为公网地址。

2. 数据包过滤：根据规则过滤数据包，允许或阻止进入、转发或离开主机的网络数据流量。

3. 数据包修改：修改数据包头部信息，如 ToS(Type of Service) 字段。

4. 链(Chains)管理：包括 INPUT、OUTPUT 和 FORWARD 等预定义链，以及自定义链。这是一种规则分组，input是进入本机的流量，output是从本机出去的流量，forward是转发流量，他们有一组规则比如accept或者drop表示许可或者拒绝。

5. 连接跟踪：用于检测和处理与连接相关的数据包。

iptables 的基本组成部分包括:

• 表(Tables)：有 filter、nat、mangle、raw、security 等，不同的表用于不同的数据包处理任务。
• 链(Chains)：每个表由有序链组成，链中的规则依次应用。
• 规则(Rules)：指定针对数据包的具体操作，如接受、拒绝或修改等。

在 Linux 系统中，iptables 通常与 TCP Wrappers、SELinux 等其他网络安全工具结合使用，为主机构建防火墙环境，控制网络数据流的传输。iptables 功能强大，规则灵活，但配置较为复杂，后来也逐渐被更现代化的 nftables 所取代。

相对的Window中的主机防火墙是Windows Defender。Mac则直接搜Firewall开启即可。

Network Security

是一个很大的部分，之前的终端保护，是针对终端的，那么无数的终端就组成了整个互联网，互联网才催生了对网络安全的重视。

路由安全router

路由漏洞是指在Web应用程序中，由于路由配置不当而导致的安全漏洞。具体来说，包括以下几种情况:

1. 路径遍历漏洞 由于路由中没有对请求路径进行有效的过滤和验证，攻击者可以通过构造特殊的URL路径来访问应用程序中本不应该被访问的资源，如系统文件、配置文件等敏感信息。

2. 不可预期资源访问 由于路由配置错误，某些Web资源对所有用户都是开放访问的，包括未经身份验证的用户，而这些资源本应该只对授权用户开放。

3. 接口绕过和隐藏接口 某些隐藏的后台接口由于路由配置错误而可以被外部访问到，攻击者可以通过这些接口执行一些高权限操作。

4. 路由错误信息泄露 当路由匹配失败时，应用程序返回的错误信息中可能会泄露敏感信息，如文件路径、内部端口号等。

5. 路由逻辑漏洞 在某些特定的业务逻辑场景下，由于路由设计不合理，可能会导致授权绕过或其他安全漏洞。

防范路由漏洞的关键是合理配置路由规则，对所有输入数据进行有效的过滤和验证，遵循最小权限原则对资源访问进行控制，避免泄露敏感信息等。同时通过代码审计、渗透测试等措施主动发现和修复路由漏洞。

家里的路由器也一直没有更改过密码，如果通过baffalo（自家的）的本地host，192.168.10.1就可以进入管理员界面进行登陆然后修改密码。

从某种意义上来说，路由器可以被视为一个网络端点，类似于我们的电脑。具体来说:

1. IP地址 路由器通常会配置一个或多个IP地址，作为它在网络中的标识，就像电脑也有自己的IP地址一样。

2. 网络接口 路由器有物理的网络接口(如以太网端口、无线网卡等)，电脑也有网卡，它们通过网络接口连接到网络中。通过ifconfig就可以查看自己的网络接口，有实际的网络接口还有很多的虚拟接口，比如VPN虚拟接口等。

3. 协议栈 与电脑一样，路由器也运行TCP/IP协议栈，能够发送和接收IP数据包。

4. 应用程序
   路由器上也运行着各种网络服务和应用程序，如DHCP服务器、DNS服务器、Web管理界面等，类似电脑运行各种应用软件。

5. 操作系统 路由器内部有嵌入式操作系统，用于管理硬件资源、运行应用程序，类似电脑的通用操作系统。

6. 安全边界 作为网络边界设备，路由器扮演着类似个人电脑的”防火墙”角色，对进出网络的数据流量进行检查和控制。

所以从上述方面看，路由器具备了作为网络端点的基本特征，只不过它专门用于连接、管理多个网络，而计算机更多作为Internet的终端节点使用。当然，两者在具体功能、性能、安全等方面还是有区别的。

网络接口Interface和网关Gateway

网络接口和网关是两个不同的概念，它们在网络通信中扮演着不同的角色:

1. 网络接口(Network Interface)

网络接口是连接计算机或网络设备与网络的接口，通常指网卡。它是数据在主机和网络之间传输的入口和出口。网络接口有以下特点:

• 具有唯一的MAC地址用于在链路层标识自身
• 可以配置IP地址用于在网络层进行通信
• 负责发送和接收数据包
• 不同类型的网络接口有不同的工作方式，如以太网卡、无线网卡等

1. 网关(Gateway)

网关是一种网络设备，用于连接不同的网络，并转发不同网络之间的数据流量。网关有以下特点:

• 通常由路由器或专用网关设备承担
• 位于网络边界，连接两个或多个网络
• 具有至少两个网络接口，每个接口属于一个不同的网络
• 根据路由表决定如何转发数据包到其他网络
• 可以执行网络地址转换(NAT)、数据包过滤等功能

因此，网络接口是主机或设备与网络连接的接口，而网关是连接不同网络并转发数据流量的网络节点。

在典型的家庭或办公室网络中，每台计算机一般都有一个网络接口(如以太网卡)，而网关则是家用路由器，将内部局域网与外部互联网相连，并充当数据转发的中继点。

所以网络接口和网关有不同的作用和地位，但它们共同构成了网络通信的基础设施。

网络防火墙

网络防火墙是保护网络安全的重要设备，根据其工作原理和部署位置，可以分为以下几种主要类型:

1. 包过滤防火墙(Packet Filtering Firewall) 包过滤防火墙是最基础和最早出现的防火墙类型，通过检查数据包的源地址、目的地址、端口号等头部信息来决定是否放行。它工作在网络层，成本低但安全性较差。

2. 状态检测防火墙(Stateful Inspection Firewall) 状态检测防火墙在包过滤的基础上增加了状态跟踪功能，能够记录会话状态从而更好地控制数据流量。它工作在网络层和传输层，安全性较高。

3. 应用层防火墙(Application Firewall) 应用层防火墙工作在应用层，能够深度检测数据内容和应用程序行为，对各类应用层协议有较好的支持，如HTTP、FTP、DNS等，安全性最高。

4. 下一代防火墙(Next Generation Firewall) 下一代防火墙集成了应用控制、入侵防护、SSL/TLS检测等多种高级功能，能够提供全方位的网络威胁防护。

5. 主机防火墙(Host Firewall) 主机防火墙运行在终端主机上，用于保护单个系统的安全，与网络防火墙形成多层防护。

6. 虚拟防火墙(Virtual Firewall) 虚拟防火墙是运行在虚拟化环境中的软件防火墙，用于保护虚拟机和云环境的安全。

7. 硬件防火墙(Hardware Firewall)和软件防火墙(Software Firewall) 根据实现方式的不同，还可分为专用硬件防火墙和软件防火墙。

网络防火墙作为信息系统的第一道防线，需要根据实际需求选择合适的防火墙类型，并与其他安全措施相结合，从而构筑全方位的网络安全防护体系。

端口和漏洞扫描

端口扫描(Port Scanning)是一种用于检测计算机网络服务开放端口的技术或行为。它通过向目标系统发送数据包并分析响应，来确定目标系统上哪些端口处于开放或关闭状态。端口扫描常被用于网络安全审计、检测服务活动、查找网络资源等目的。

NMAP(Network Mapper)是目前最著名和使用最广泛的端口扫描工具之一。它是一个免费开源的命令行工具，可在多种操作系统上运行，支持多种扫描技术。

NMAP的主要功能包括:

1. 主机发现 - 探测目标网络中存活的主机
2. 端口扫描 - 检测目标主机上开放的TCP/UDP端口
3. 服务/版本检测 - 探测开放端口上运行的服务和版本
4. 操作系统检测 - 尝试检测目标主机的操作系统
5. 防火墙/IDS规避 - 通过多种技术来规避防火墙和入侵检测的阻挡
6. 输出格式化 - 支持多种格式输出扫描结果

NMAP不仅是一款优秀的端口扫描器，更是一个网络发现和安全审计的”瑞士军刀”。它提供丰富强大的功能选项，可用于渗透测试、网络清查、漏洞检测等多种场景。

使用端口扫描需要注意合法性和安全性，对于未经授权的系统，请勿私自进行端口扫描，以避免造成安全隐患。在一些国家和地区，滥用端口扫描工具可能会触犯法律。因此，合理和谨慎地使用端口扫描工具，遵守相关法律法规十分重要。

Nessus是一款领先的商业化漏洞扫描工具，由Tenable公司开发。它主要用于评估各种操作系统、网络设备和应用程序的安全状况，识别潜在的安全漏洞。

Nessus的主要特点有:

1. 全面的漏洞检查 Nessus内置了大量的漏洞检测插件，可以对各种操作系统(Windows、Linux、Unix等)、网络设备(路由器、交换机等)、Web应用程序等进行全面的漏洞评估，检测范围非常广泛。

2. 高级扫描技术 Nessus采用了一些高级扫描技术，如credentialed扫描(利用系统账号扫描)、compliace检查(符合性检查)等，可以帮助发现更多潜在的安全问题。

3. 客户端/服务器架构 Nessus采用客户端/服务器架构，可同时支持多台扫描节点，适合大规模分布式扫描环境。

4. 报告和分析 Nessus能够生成详细的扫描报告，包括风险分级、缓解建议等，并提供可视化的界面进行结果分析。

5. 第三方集成 Nessus可以与其他安全工具集成，如SIEM、票据系统等，实现安全运营的自动化。

6. 持续更新插件 Nessus的漏洞检测插件会持续更新，以跟上最新的漏洞信息和攻击方式。

Nessus因其强大的扫描能力和易用性，被广泛应用于企业、政府、安全公司等组织，用于评估和加固网络基础设施的安全性。但由于其商业化特性，Nessus需要付费购买。对于中小型组织而言，也有其他一些优秀的开源漏洞扫描替代工具可供选择。

阻止中间人MITM攻击

中间人攻击是一种常见的网络攻击手段，攻击者通过伪装成合法参与者，插入正常的通信双方之间，从而能够秘密窃取、修改或者伪造通信内容。这种攻击一般分为以下几个步骤:

1. 监听通信 攻击者需要先监听目标通信双方的网络流量，这可以通过嗅探网络数据包、DNS欺骗或者ARP欺骗等方式实现。

2. 中断通信 在获取通信双方的IP地址后，攻击者会尝试阻断他们的正常通信，比如通过拒绝服务攻击或者网络阻断等手段。

3. 伪装身份 接下来攻击者会模拟双方的身份，对每一方伪装成对方，从而让通信双方都认为自己在与正常对象通信。

4. 数据窃取/修改 在通信双方的数据流经攻击者时，攻击者就可以任意查看、修改或者伪造这些数据包的内容。

5. 数据转发 修改后的数据包会被转发给真正的目标接收方，使通信看似正常进行。

防御中间人攻击的关键是加强通信双方身份的验证机制，比如使用数字证书、加密协议HTTPS，VPN等，从而避免攻击者能够有效伪装身份。此外，保持软硬件系统的更新补丁也很重要，以修复已知的安全漏洞。

无线安全

无线网络（Wi-Fi）在提供便利的同时，也存在许多安全隐患。

1. 未授权访问：
   • 攻击者可能会通过破解无线网络密码或利用开放的网络来获取未授权访问。
2. 数据窃听：
   • 攻击者可以通过截取无线网络上的通信数据，进行中间人攻击（MITM），窃取敏感信息。
3. 弱加密：
   • 使用弱加密协议（如WEP）会使得无线网络容易被破解。WAP系列协议是比较安全的现在大部分使用的。
4. 恶意热点：
   • 攻击者可能会设置恶意的热点（如钓鱼Wi-Fi），诱使用户连接，从而窃取用户数据。
5. 恶意软件传播：
   • 无线网络上的设备如果没有适当的保护，可能会成为恶意软件传播的目标。
6. 网络攻击：
   • 无线网络可能成为DDoS攻击、网络嗅探、会话劫持等网络攻击的目标。

防范措施：

1. 使用强加密协议：
   • 使用WPA3或至少WPA2加密协议，而不是已经被破解的WEP。
   • 定期更新路由器固件以确保使用最新的安全标准。
2. 设置强密码：
   • 为无线网络设置强密码，包括复杂的字母、数字和符号组合。
   • 避免使用默认密码，定期更换密码。路由器的设置上，大部分人都不知道更换默认密码。
3. 隐藏SSID：
   • 隐藏无线网络的SSID（服务集标识符），使其不出现在可用网络列表中，增加攻击难度。
4. 启用网络防火墙：
   • 配置和启用路由器的内置防火墙，增加网络保护层。
5. 使用虚拟专用网络（VPN）：
   • 在公共Wi-Fi网络上使用VPN，确保数据传输的加密和安全。
6. 限制接入设备：
   • 启用MAC地址过滤，只允许特定设备连接到无线网络。
   • 禁用不必要的功能，如WPS（Wi-Fi保护设置），以减少安全漏洞。
7. 监控网络流量：
   • 使用网络监控工具监视无线网络的流量，及时发现异常活动。
   • 定期检查连接到网络的设备，确保没有未授权的设备接入。
8. 分离网络：
   • 设置访客网络，将访客设备与主网络设备隔离，防止访客设备对主网络设备的潜在威胁。
9. 教育用户：
   • 提高用户的安全意识，教育他们不要连接未知或不信任的无线网络。
   • 提示用户在访问敏感信息时避免使用公共Wi-Fi，或者使用VPN进行保护。
10. 定期更新设备：
    • 定期更新所有连接到无线网络的设备的操作系统和安全补丁，以防止已知漏洞被利用。

无线网络的安全隐患涉及未授权访问、数据窃听、弱加密、恶意热点等方面。通过使用强加密协议、设置强密码、启用防火墙、使用VPN、限制接入设备、监控网络流量、分离网络、教育用户以及定期更新设备等措施，可以有效防范这些安全隐患，保障无线网络的安全。

威胁监控

TCPDump是一个网络抓包工具，用于在计算机网络上捕获和分析网络数据包。它可以截取网络接口上收到和发送的数据包，并将其以可读的形式显示出来，或者保存到文件中以供后续分析。TCPDump通常用于网络故障排除、安全分析、网络性能调优等任务中。

一个监控工具是监控端点，还是监控网络，取决于它被放在了哪里，你可以放在你的主机，也可以放在路由器，他们就会有不同的监控目标。

安全网络构架

构建一个安全的网络架构需要从多个层面进行全面的设计和部署，主要包括以下几个方面:

1. 物理层安全
   • 服务器机房/数据中心的物理访问控制
   • 网络线路及设备的物理防护
   • 环境监控(温度、湿度、电源等)
2. 边界防护
   • 防火墙设置，控制进出网络的流量
   • IPS/IDS入侵防御与检测系统
   • VPN等远程访问安全机制
   • 反病毒和反垃圾邮件网关
3. 内网划分
   • 使用VLAN等技术对内部网络进行逻辑隔离
   • DMZ隔离区为公开系统提供缓冲区
   • 针对不同安全级别的网段采用不同的访问策略
4. 主机加固
   • 操作系统补丁更新及安全加固
   • 主机防火墙及入侵检测
   • 安全审计与日志监控机制
   • 安全基线及完整性检测
5. 数据安全
   • 重要数据的加密存储与传输
   • 数据库审计及入侵检测
   • 数据泄露防护及监控措施
6. 身份认证
   • 强身份认证机制(多因素)
   • 统一的身份管理和权限控制
   • 密码策略及定期更新
7. 应用层安全
   • Web应用防火墙及漏洞扫描
   • 输入数据过滤及sanitize
   • 加密通信协议(HTTPS等)
8. 安全运维
   • 安全策略及流程制定
   • 定期风险评估及渗透测试
   • 员工安全意识培训
   • 事件响应及应急处置机制

总之，需要从网络物理环境、边界接入、内部分区、系统主机、数据保护、身份认证、应用防护及安全制度等多个层面采取全方位的技术与管理措施，才能够构建一个真正安全可靠的网络架构。

网络命令行

ping 检查网络是否通畅 ping google.com

traceroute 一路追踪如何跳IP的 windows是tracert

ifconfig 网络接口，MAC地址，IP地址 windows是ipconfig

arp -n 网络地址和物理地址的映射表 windows是arp -a

nslookup 网络dns寻址

netstat -nt 显示所有有效的连接

route -n 显示路由表

Cyber Security Strategy

保护和恢复策略

防火墙保护。

数据备份和恢复。

措施很多，取决于一个公司愿意不愿意投资和设置，如果你不去设置，你甚至不知道自己的系统遭到了感染，这是很可怕的事情。

端点保护策略

所有在端点中有的威胁都应该是保护对象。

同时使用各种策略的组合，因为如果一层保护，脚本小子总是会用各种软件，想方设法绕过你的保护。

这是一场多对多的战争。

以应用为中心的策略

在开发阶段就应该对代码进行详细的检查，避免bug，进行静态代码分析，进行渗透测试，修补补丁。

很多人不明白这个阶段的投入有什么意义，是因为他们没有理解，代码漏洞带来的巨大风险。

静态代码分析(Static Code Analysis)是一种在不实际运行程序的情况下，对程序源代码进行分析和检查的过程，目的是发现程序代码中可能存在的缺陷、漏洞、不合理的编码实践等问题。

静态代码分析主要包括以下几个方面:

1. 代码风格检查:检查代码是否遵循了特定的编码规范和代码风格指南，如命名约定、缩进、注释等。

2. 语法和类型检查:检查代码是否存在语法错误、类型不匹配等低级错误。

3. 数据流分析:跟踪变量的定义、使用和修改，检测潜在的变量使用错误，如未初始化、死代码等。

4. 控制流分析:分析程序执行路径，检测可能出现的死循环、不可达代码等问题。

5. 安全漏洞检测:检测代码中可能存在的安全漏洞，如SQL注入、跨站脚本攻击等。

6. 复杂度分析:检测代码的复杂度是否过高，如循环嵌套层次过深、代码行数过长等。

7. 重复代码检测:检测程序中是否存在重复的代码片段，以方便重构。

8. 代码度量:统计和分析代码的各种复杂度指标，如圈复杂度、代码行数等。

静态代码分析的优点是无需实际运行程序，可以快速分析大量代码，发现许多潜在问题。它通常作为软件质量保证过程的一部分，集成到持续集成/持续交付(CI/CD)流程中。常用的静态代码分析工具包括lint工具、SonarQube、PMD、FindBugs等。

以身份为中心的策略

进行多要素认证，进行密码错误次数限制等策略。

以数据为中心的策略

数据加密，key保护等。

以攻击为中心的策略

理解对方的想法。分析他们的手段和流程。针对每个特定流程进行防范。

Anonymity & Privacy

IP，Cookies，Browser

通过IP地址可以了解到一个人的物理地址等信息，比如IP Location Finder等工具就可以简单实现。

Cookies追踪我们的网络活动记录。

Fingerprinting通过追踪你的活动记录，进行ads推介等活动。还可以追踪你的电脑型号和操作系统。

Scripts，一些脚本，还有一些第三方软件，也可以追踪我们的活动。

浏览器比如Chrome是不注重隐私的。

Tor

Tor 浏览器是一款基于 Mozilla Firefox 的免费、开源的网络隐私浏览器。它使用了 Tor 网络，通过加密和分散传输流量的方式，可以帮助用户在网上匿名浏览和发布信息，防止网络流量监控和审查。

Tor 的主要特点包括:

1. 匿名性 - 通过多重加密和路由，隐藏用户的真实 IP 地址和位置，使网上活动难以被追踪。

2. 抗审查 - 绕过网络审查和隐私侵犯，访问受限网站和服务。

3. 保护隐私 - 不跟踪用户浏览历史和活动，不会泄露隐私信息。

4. 开源 - Tor 的源代码公开透明，任何人都可以查看、审计和参与开发。

5. 洋葱路由 - 流量通过加密的 Tor 节点网络加以隐藏，这些节点分布在世界各地。

Tor 常被新闻工作者、活动人士和普通公民用于保护在线隐私，绕过审查和监控。但也被一些黑客和犯罪分子滥用从事非法活动，因此一直存在争议。

使用 Tor 可能会影响网速，并且不建议在连接银行等高风险网站时使用，因为存在中间人攻击的风险。总的来说，合理使用 Tor 对于保护个人隐私和自由获取信息很有帮助。

Proxy chains

Proxy chains 是一种代理链技术，它通过将多个代理服务器串联起来，形成一条代理链路，使网络流量在多个代理服务器之间进行转发和中继，从而增强了匿名性和隐私保护。

每一个代理链条由多个代理服务器组成，客户端流量首先进入第一个代理服务器，然后依次经过其他代理服务器，最后到达目的地址。在整个流程中，每个代理服务器只知道前一个和后一个节点的信息，而不知道流量的真正来源和最终目的地，从而达到了隐藏客户端 IP 地址和加强隐私保护的目的。

使用 Proxy chains 的主要优点包括:

1. 增强匿名性 - 即使一个节点被发现，也不会泄露客户端真实 IP。
2. 防止流量分析 - 难以追踪和分析流量来源。
3. 突破地理限制 - 可以绕过基于IP的访问限制。
4. 隐藏真实位置 - 掩盖客户端的物理地理位置。

但同时，Proxy chains 也存在一些缺陷，例如:

1. 速度变慢 - 多个代理节点导致延迟增加。
2. 可靠性降低 - 任何一个节点出现故障都会中断连接。
3. 安全风险 - 代理服务器可能被黑客入侵控制。
4. 资金成本 - 高匿名性的付费代理服务器较贵。

Proxy chains 常被用于匿名上网、突破审查限制、数据采集爬虫等场景。著名的 Tor 网络其实就是一种基于洋葱路由的代理链系统。使用时需要权衡匿名性和可用性之间的平衡。

VPN

平常我们经常用VPN来连接到社内环境，但是VPN也是一种隐藏自己IP的方法。

VPN(虚拟私人网络，Virtual Private Network)是一种网络技术，它可以在公共网络上创建一个私有的、安全的网络连接通道，使得远程用户能够像直接连接内部网络一样从远程接入组织内部资源。

VPN的主要作用和特点包括:

1. 隐私和安全性 VPN可以将互联网连接隧道化，并对数据进行加密，防止数据窃听、中间人攻击、流量分析等隐私泄露。

2. 远程接入内部网络 VPN允许远程用户或移动用户通过互联网安全地访问组织内部网络资源，如文件共享、内部应用、数据库等。

3. 扩展网络边界 通过VPN可以将地理上分散的办公室、分支机构、员工等纳入一个统一的虚拟网络，相当于扩展了网络边界。

4. 互联网隐身 连接VPN后，用户的IP地址和位置将被隐藏，看起来就像从VPN服务器所在的网络位置访问互联网。

常见的VPN技术有:

• 基于Internet的远程访问VPN
• 站点到站点VPN(Site-to-Site VPN)
• SSL VPN
• IPSec VPN

应用VPN的典型场景包括:远程办公、移动办公、外包或合作伙伴接入、多地点组网、个人上网隐私保护等。

总之，VPN为组织和个人提供了一种便捷、安全的方式，可以在任何地方通过互联网与内部网络或其他终端进行安全加密连接。

Whoami

https://github.com/owerdogan/whoami-project

也是一个保护隐私的开源工具。可以方便的改变你的IP，DNS，时区，MAC等，隐藏自己的地址。

Steps to be as Anonymous as Possible

手机隐私。Burner手机，一次性临时手机。

匿名邮件。

上网软件Tor，VPN，代理等。

世界上没有免费的东西，如果你免费下载，点击了东西，那么你交换的东西就是你的隐私。