###### tags: `lsa` `ncnu`
# Week 04 (2023/03/16)
- Book mode: https://hackmd.io/@ncnu-opensource/book
[TOC]
---
## Transport Layer
### TCP (Transmission Control Protocol)
> [圖片來源](https://commons.wikimedia.org/wiki/File:TCP_header.png)
- `FIN` 通知對方是不是傳輸完了,要不要斷線
- 三向交握 : 保證資料可以送達給收件者
- 四次揮手:準備斷開連線
### UDP
> [圖片來源](https://upload.wikimedia.org/wikipedia/commons/0/0c/UDP_header.png)
- 快速寫紙條的通訊協定
- 適合不用分割的短封包
- 要求傳輸速度要快
### Port
- 每個 Port 對應到不同的服務 (Application)
- `cat /etc/services` : 查看每個 port 的占用狀況
## HTTP
- HTTP Method
- HTTP Header
>[圖片來源](http://clubfile.cupoy.com/0000016F1181369A000000056375706F795F72656C656173654B5741535354434C55424E455753/1574048359035/large)
## FTP
- FTP 用來在網路上傳輸檔案的一種協定
> [圖片來源](http://www.tsnien.idv.tw/Manager_WebBook/chap5/5-2%20%E6%AA%94%E6%A1%88%E5%82%B3%E8%BC%B8%E7%B3%BB%E7%B5%B1%E5%88%86%E6%9E%90.html)
- 同樣採 Server-Client 架構
- 控制連線 (port 21) : 用來控制系統連線?
- 資料?線 (port 20)
### DHCP(Dynamic Host Configuration Protocol)
> [圖片來源](https://www.stockfeel.com.tw/dhcp%E4%BC%BA%E6%9C%8D%E5%99%A8%E6%98%AF%E4%BB%80%E9%BA%BC%EF%BC%9F%E5%A6%82%E4%BD%95%E9%81%8B%E7%94%A8%EF%BC%9F/)
- 負責動態分配 IP 位址 :
1. 當網路中有任何一台電腦要連線時,才向 DHCP 伺服器要求一個 IP 位址
2. DHCP 伺服器會從資料庫中找出一個目前尚未被使用的 IP 位址提供給該電腦使用
3. 使用完畢後電腦再將這個 IP 位址還給 DHCP 伺服器,提供給其他上線的電腦使用
### DNS (Domain Name Service)
- 如果沒有 DNS 就要記住 IP,但是 IP 是一串數字,可能會很難記住,於是有了 domain name
- 輸入網址,就可以幫 User 找到 IP
#### 命名方式
- 採用階層式命名
- TLD (top level domain)
> [圖片來源](http://www.tsnien.idv.tw/Manager_WebBook/chap5/5-3%20%E7%B6%B2%E5%9F%9F%E5%90%8D%E7%A8%B1%E7%B3%BB%E7%B5%B1%E5%88%86%E6%9E%90.html)
#### 查詢過程
- 先找自己的機台內有沒有這個 domain name 的 IP
- `/etc/hosts`
- 如果沒有就會開始向 DNS server 請求 IP
- `/etc/resolv.conf`
- 如果仍然沒有就會向更上層的 DNS 進行 request
- 一路往上查到 tld
#### 相關設定檔
- `etc/hosts` : 本機的 IP 位址對應表
- 紀錄特殊的 IP
- `/etc/resolv.conf`: 預設的 DNS server
- 可以設定多個 DNS server IP? (備援)
### DNS 紀錄類型
- A record
- domain -> ipv4
- AAAA record
- domain -> ipv6
- NS record
- 該 DNS 的主機位置
- MX record
- 該 domain name mail server 的位置
- CNAME record
- 實際代表這個主機別名的主機名字
- 指令
- `dig` + 網址
- 暫存時間
- TTL(time to live)
- 已經有查詢過此 IP 就會被紀錄在快取
- 目的為加速查詢速度
- `dig -t ns + <網址>`
- 由哪些 DNS server 提供
- `dig +trace <網址>`
- 查看 DNS 查詢的過程
- `host -a <網址>`
- 找 IP 位址 跟全部的 DNS 紀錄 ( A, AAAA...)
- `whois [domain name]`
- 查看當初註冊此 domain name 的使用者相關資訊
- `nslookup + <網址>`
- 可查看 IPv4 網址、預設 DNS server
## Network Conclusion
- network layering
- data link layer: 硬體規範 wifi, ethernet
- network layer: IP, ICMP
- transport layer: TCP, UDP
- application layer: HTTP
## 資訊安全
- 對一般人 :帳號密碼、信用卡要避免被別人知道,避免點連結而中毒
- 對網管:遠端燈入主機的安全性
### 社交工程
- 利用人性弱點
- ex:
- fb: 我打賭你會在看到這個視頻之後去洗手間
- 防範方式
- 多查證
- 不要亂點網站
### 暴力破解
- 把每個字元的排列組合都試試看
- 防範方式
- 密碼取複雜一點
- 密碼複雜度
- 英文數字符號通通來
- 假設密碼長度 = X,可能的的字元為 Y,要嘗試的次數就是 Y^X
- 密碼種類
- 一個根基密碼 + 不同的字元
- 根基密碼 = 1234, 加上每個網站產生的不同組合 => google1234
- fail2ban 限制登入次數
### 字典攻擊
- 使用常見的字元進行攻擊
- admin, test ...
- 臺灣: wang, lin ...
- 防範方式(同上一個)
- 密碼取複雜一點
- 用 fail2ban 限制登入次數
### zero-day vulnerability
- 利用套件本身的漏洞進行攻擊
- ex: https://www.exploit-db.com/exploits/50580
- RCE(Remote Code Execution) 遠端 code 執行漏洞
- ex. `eval`
- XSS(Cross-site Script)
- 演練網站 : https://xss-game.appspot.com
- 在網站中執行惡意的 javascript
- 防範方式
- server 管理員把 `<`, `>` 編碼,讓前端沒辦法直接執行 tag
- CSRF
- 一般使用者
- 不要亂點其他的連結
:::info
- Docker
用 Docker 可以把每個網站包在一個容器,讓網站的相關檔案跟主機的其他隔絕
:::
### 得到主機資源可以做什麼
- 加密資料後勒索
- 預防
- 備份
- 被當作 mail server 的跳板機
- 症狀:
- 伺服器很慢
- netstat -nupl 很多連線到 25 port
- 如何處理
- 用防火牆牆掉一些奇怪的連線
### 簡單檢查
- ps aux
- watch some sus process
- top
- watch cpu resource
- 查看版本漏洞
- [CVE Detail](https://www.cvedetails.com/)
- [ecploit database ](https://www.exploit-db.com/) 檢查是否有漏洞
### fail2ban
- 如果沒有限制次數,使用者就可以無限登入,駭客說不定可以用暴力破解法非法登入別人的帳號
- `sudo apt install fail2ban` : 安裝
- `sudo systemctl start fail2ban`: 啟用 fail2ban
- 預設會先保護 sshd
- `sudo systemctl enable fail2ban`: 開機自動啟動
- `/etc/fail2ban/jail.conf` : 設定檔的預設路徑
- 先複製設定檔成jail.local 因為如果更新fial2ban jail.conf會被更新,而且 jail.local 會覆蓋 jail.conf
```
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode = normal
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
action = iptables[name=SSH, port=22, protocol=tcp]
telegram
maxretry = 3
findtime = 1d
bantime = 1d
ignoreip = 127.0.0.1/8 ::1 10.0.0.0/8
```
- filter `/etc/fail2ban/filter.d`
- 用來過濾哪一些事此服務失敗的條件(failregex)
- action `/etc/fail2ban/filter.d`
- 用來決定超過 maxretry 後,之後要執行的動作
- `maxretry` : 最多可以試幾次
- `bantime` : 被禁止的時間,預設單位為秒
- `fail2ban-client status sshd`
- 產生最近被 ban 掉的 ip 和狀態
- 可以去 `/var/log/auth.log` 看被登入的狀況 (成功或失敗都會被記錄)
### portsentry
- `sudo apt install portsentry` : 安裝
- `sudo systemctl start portsentry` : 啟動
### 更改 SSH 的登入限制
#### 改 port 號
- 決定要換哪個 port
- 1~1023 是較常用的 port,建議 2024~65535
#### 限制 ssh 登入 ip
- `/etc/hosts.deny`
```terminel=
sshd:ALL
```
#### 取消密碼登入
### Rookit
- 藉由某些服務的漏洞取得 root 的權限,再藉由修改某些程式隱藏身分
- 如何找到 rootkit
- rkhunter
- 使用 md5 checksum 確認常見 binary 的 fingerprint
```
--checkall (-c) :全系統檢測,rkhunter 的所有檢測項目
--createlogfile :建立登錄檔,一般預設放在 /var/log/rkhunter.log
--cronjob :可以使用 crontab 來執行,不會有顏色顯示
--report-warnings-only :僅列出警告訊息,正常訊息不列出!
--skip-application-check :忽略套件版本檢測(如果您已確定系統的套件已patch)
--skip-keypress :忽略按鍵後繼續的舉動(程式會持續自動執行)
--quiet :僅顯示有問題的訊息,比 --report-warnings-only 更少訊息
--versioncheck :檢測試否有新的版本在伺服器上
```
### sudoers
- 可以紀錄使用者與群組使用 sudo 的紀錄
- `/etc/sudoers`
- 紀錄 sudo 的權限
- `visudo`
- 可以檢查 sudoer 的格式
- 若要使用 sudo 可以簡單將 user 加到 sudo 群組(但較不建議)
- 檔案內容
- 使用者名稱 主機名稱=(可切換的帳號:群組) 可執行指令的執行檔路徑
- 可以在指令後面接針對的參數
#### 新增規則
- 讓 user1 可執行 iptables : `user1 ALL=(ALL) /usr/sbin/iptables`
- 使用 sudo 可以不用使用密碼
- `user2 ALL=(ALL) NOPASSWD:ALL`
- 讓 user 可以更改常規 user 的,但不能修改 root 的 user
- `user1 ALL=(ALL) !/usr/bin/passwd, /usr/bin/passswd [A-Za-z0-9]*, !/usr/bin/passwd`
## iptables
- Linux 上過濾封包、保護環境的套件
- 架構:表(table)、鏈(chain)、規則(rule)
- 表裡有鏈,鏈裡有規則,規則裡有 target
- Table 種類
- filter: 預設使用的表,用於過濾封包
- nat:用於位址轉換操作
- mangle:處理封包
- raw:處理異常用
### SELinux
- 安全增強式 Linux
- 用於 fedora, redhat
- 除了判斷 rwx 的另一種安全方式
- 檢查 porcess 是否有權限使用這個資源
- 避免 rwx 為 777 導致任何 process 都可以存取這個檔案
- Subject(process) 要取得 Object(資源) 的流程
- FIXME: NEED IMAGE~
- Subject
### Apparomer
- primary used by Ubuntu SUSE
- simpler than SElinux
- use file path to specified files
- use process's absolute path to make the rules
#### Chain
- INPUT:用於進入本主機的網路封包。
- OUTPUT : 用於由本主機送出的網路封包。
- FORWARD : 用於經由本主機轉送的網路封包。
- PREROUTING : 用於進行路由前的網路封包。
- POSTORTING : 用於被送出前的網路封包。
### Rule
- 設定給 iptables 的條件。若符合 rule 就會執行相對的 action
- 有順序性,越前面的 rule 越先執行
### Target
- ACCEPT
- REJECT, 回覆一個 icmp port unreachable
- DROP
- SNAP
- DNAT
- MASQUERADED
- LOG, 紀錄 log
- RETURN, 回到當初呼叫這個 chain 的地方
#### 查看 rules
- `-t` 選擇 table,預設是 filter
- `-L` : 列出所有的 chain
- `-n` : 不把 IP 位址解析成 domain name
- `-v` 列出更多資訊
- `--line-number` 列出行號
#### 更改 policy
```terminel=
sudo iptable [-t table] -P <INPUT、OUTPUT>
```
- `-t`: chose table
- `-p`: policy
#### 新增 rule
- 新增
- `-A`: Append, 加在最後
- `-I` : insert, 新增在最前面
- 網卡
- `-i` : 封包從哪張網卡近來
- `-o` : 封包從哪張網卡出去
- 協定
- `-p` : protocol
- IP address
- `-s`: source address
- `-d`: destinatiom address
- `!`: 目前的條件的否定
- `! -s 10.0.0.0/24`
- 使用的 iptables 模組
- `-m` 呼叫模組
- `-m conntrack`
- NEW: 建立新的連線
- RELATED 新的連線,但是和之前的連線有相關
- IVAILD 無法辨認或惡意的連線
- UNTRACKED 已經關閉,所以無法追蹤的連線
- 刪除 rule
- `-D`: delect the rule in that chain
- `-F`: Flush all rule in that chain
- delete rules
- sudo iptables -D [-t table name] chain_name line_number
### 保存 iptables 設定
- `iptables-save` 把所有 rule 保存到一個檔案
- 用 iptables-persistent
- `sudo apt install iptables-persistent`
- `sudo bash -c "iptables-save > /etc/iptables/rules.v4"`
- iptables-apply
- `sudo ipables-apply iptable_config_file`
- 60 秒沒有確定會自動 roll-back 回原本的 iptables config
### NAT
- Network Address Translation
- 協助內網與外網之間的 IP 轉換
- IPv4 的位址數量不夠用 -> 使用內網 ip
#### SNAT (Source NAT)
原本的
rrr
#### MASQUERADE
- 動態 SNAT
- 如果外網 IP 更動,SNAT 就需要手動去修改(很麻煩),MASQUERADE 能自動連上外網 (???)
#### DNAT
Sign in with Wallet
Connect another wallet