网络安全知识入门

《网络安全知识入门》由会员分享，可在线阅读，更多相关《网络安全知识入门（9页珍藏版）》请在装配图网上搜索。

1、网络安全知识入门近日，因为工作需要，对于网络安全的一些基础的知识做了一些简单的了解，并整理成总结 文档以便于学习和分享。网络安全的知识体系非常庞大，想要系统的完成学习非简单的几天就可以完成的。所以这篇 文章是以实际需求为出发点，把需要用到的知识做系统的串联起来，形成知识体系，便于理 解和记忆，使初学者可以更快的入门。1、什么是网络安全首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中 的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正 常地运行，网络服务不中断。简单来说就是，保护网络不会因为恶意攻击而中断。了解了网 络安全的职责，我们

2、就可以从网络攻击的方式，网络攻击检测手段等几个方面来处理。在实 际的学习中，我发现直接上手去学习效率并不是很好，因为网络安全也有很多的专业名词是 不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。2、网络安全名词解释1. IRC服务器：RC是In ternet Relay Cha t的英文缩写，中文一般称为互联网中继聊 天。IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以 IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没有延迟的 现象，并且只占用很小的带宽资源。2. TCP协议：TCP （Transmission

3、 Control Protocol传输控制协议）是一种面向连接 的、可靠的、基于字节流的传输层通信协议oTCP的安全是基于三次握手四次挥手的链接释 放协议（握手机制略）。3. UDP协议：UDP是User Datagram Protocol的简称，UDP协议全称是用户数据报协 议，在网络中它与TCP协议一样用于处理数据包，是一种无连接的协议。其特点是无须连接， 快速，不安全，常用于文件传输。4. 报文：报文（message）是网络中交换与传输的数据单元，即站点一次性要发送的数据 块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。5. DNS： DNS（Domain Nam

4、e System,域名系统），因特网上作为域名和IP地址相互映 射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读 取的IP数串。DNS协议运行在UDP协议之上，使用端口号53。DNS是网络攻击中的一个攻 击密集区，需要重点留意。6. ICMP 协议：ICMP 是（In terne t Con trol Message Pro to co l） Int erne t 控制报文协 议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。7. SNMP协议：简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应 用层协议（appli

5、ca tion layer pro tocol）、数据库模型（da tabase schema）和一组资源 对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上 关注的情况。8. 僵尸病毒：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。 僵尸网络（英文名称叫BotNet），是互联网上受到黑客集中控制的一群计算机，往往被黑客 用来发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络攻击之前做 好准备工作，提供大量可供发起攻击的“僵尸电脑”。9. 木马病毒：木马（Trojan），也称木马病毒，是指通过特定的程序（木马程序）来控 制另一台

6、计算机。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自 我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种 木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操 控被种主机。木马病毒对现行网络有很大的威胁。10. 蠕虫病毒：蠕虫病毒，一种常见的计算机病毒。它的传染机理是利用网络进行复制 和传播，传染途径是通过网络和电子邮件。对于蠕虫，现在还没有一个成套的理论体系。 一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽 性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存

7、中）， 对网络造成拒绝服务，以及和黑客技术相结合，等等。3、常见网络攻击方式网络攻击的方式多种多样，本文就以其中六种常见的攻击方式来做分析和了解。半连接攻击众所周知TCP的可靠性是建立在其三次握手机制上面的，三次握手机制如果没有正常完成是 不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求， B也按照正常情况进行响应了，但是A不进行第3次握手，这就是半连接攻击。实际上半连 接攻击时针对的SYN,因此半连接攻击也叫做SYN攻击。SYN洪水攻击就是基于半连接的SYN 攻击。全连接攻击全连接攻击是一种通过长时间占用目标机器的连接资源，从而耗尽被攻击主机的处理进程和 连接

8、数量的一种攻击方式。客户端仅仅“连接”到服务器，然后再也不发送任何数据，直到服务器超时处理或者耗尽服 务器的处理进程。为何不发送任何数据呢因为一旦发送了数据，服务器检测到数据不合法 后就可能断开此次连接；如果不发送数据的话，很多服务器只能阻塞在recv或者read调用 上。这是我们可以看出来全连接攻击和半连接攻击的不同之处。半连接攻击耗尽的是系统的内 存；而全连接攻击耗尽的是主机的处理进程和连接数量。攻击RST攻击这种攻击只能针对tcp、对udp无效。RST:(Reset the connection)用于复位因某 种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通

9、常发 生了某些错误。RST攻击的目的在于断开用户的正常连接。假设一个合法用户已经同服务器建立的正常的连 接，攻击者构造攻击的TCP数据，伪装自己的IP为，并向服务器发送一个带有RST位的TCP 数据包。TCP收到这样的数据后，认为从发送的连接有错误，就会清空缓冲区中建立好的连 接。这时，如果合法用户再发送合法数据，服务器就已经没有这样的连接了，该用户必须重 新开始建立连接。欺骗IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明 一下什么是信任关系。这种信任关系存在与UNIX主机上，用于方便同一个用户在不同电脑上进行操作。假设有两 台互相信任的主机，hosta和h

10、ostb。从主机hostb上，你就能毫无阻碍的使用任何以r开 头的远程调用命令，女口： rlogin、rsh、rep等，而无需输入口令验证就可以直接登录到hosta 上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。值 得一提的是这里的信任关系是基于IP的地址的。既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb 的IP,就可以使用rlogin登录到hosta,而不需任何口令验证。这，就是IP欺骗的最根本 的理论依据。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。 连接成功后，黑客就可以入置backd

11、oor以便后日使用J。许多方法可以达到这个目的(如 SYN洪水攻击、TTN、Land等攻击)。欺骗DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器， 然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。DNS欺骗主要的形式有hosts文件篡改和本机DNS劫持。DDOS攻击DOS攻击：拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求，或无 法及时回应外界请求。故意的攻击网络协议实现的缺

12、陷或直接通过野蛮手段耗尽被攻击对象 的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统 停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源 包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮 乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击 带来的后果。DDOS攻击：分布式拒绝服务。多台傀儡机（肉鸡）同时制造大量数据。实际上 是分布式的DOS攻击，相当于DOS攻击的一种方式。4、网络监测网络攻击的受害面积广，受害群体多，造成损失非常大，因此，对于网络做监控从而达到风 险的预

13、测是非常有必要的。做好网络监测可以有效拦截网络攻击，提醒管理者及时处理，挽 回损失。网络监测的手段有多种，本文根据具体业务情景来进行了解。其一是netFlow网络监控，其 二是DNS报文分析。使用NetFlow分析网络异常流量在对NetFlow进行学习之前，我们需要对网络上的数据流有一个了解-IPFlowo IPFlow包 含有七个重要的信息。who：源IP地址when：开始结束时间where： From （源IP,源端口）、To （目的IP,目的端口）从哪到哪what：协议类型，目标IP,目标端口how :流量大小，流量包数why :基线，阈值，特征Net Flow最初是由Cisco开发，检

14、测网络数据流。Ne tflow提供网络流量的会话级视图，记 录下每个TCP/IP事务的信息。Net flow利用分析IP数据包的7种属性，快速区分网络中传 送的各种类型的业务数据流。一个NetFlow流定义为在一个源IP地址和目的IP地址间传输 的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。以来说,一个完整的字 段中包好有如下信息：源地址，目的地址，源自治域，目的自治域，流入接口号，流出接口 号，源端口，目的端口，协议类型，包数量，字节数，流数量。通过匹配监测到的流量与已有网络攻击的流量特征进行匹配就可以完成网络攻击的监测和 预警。数据报分析通过上面的学习我们也不难发现，DNS是

15、互联网中相对薄弱的一个环节，也是很多黑客的首 选攻击目标。因此，通过对DNS报文的分析也能在一定程度上进行网络攻击的监测。要对DNS报文进行分析，首先需要对DNS的报文结构进行了解。DNS数据报主要分为头部和正文。头部主要包括：会话标识（2字节）：是DNS报文的ID标识，对于请求报文和其对应的应答报文， 这个字段是相同的，通过它可以区分DNS应答报文是哪个请求的响应。节）：标志（2字QRopcodeAAT匚RDRA(zero)1A-L11L3QR （1bit）查询/响应标志，0为查询，1为响应opcode （4bit） 0表示标准查询，1表示反向查询，2表示服务器状态请求AA （1bi t）表

16、示授权回答TC（1bit）表示可截断的RD（1bit）表示期望递归RA（1bit）表示可用递归 rcode（4bit）表示返回码，0表示没有差错，3表示名字差错，2表示服务器错误（Server Failure）数量字段（总共 8 字节）：Questi ons、Answer RRs、Authori ty RRs、Addi ti onal RRs 各自表示后面的四个区域的数目。Questions表示查询问题区域节的数量，Answers表示回 答区域的数量，Authoritative namesversers表示授权区域的数量，Additional recoreds 表示附加区域的数量。正文部分包括

17、以下内容:域:Queries 区Query15 16Name （沓询容,忙度不固走）Type (査i旬翹)Class (5)查询名：长度不固定，且不使用填充字节，一般该字段表示的就是需要查询的域名（如果是反向查询，则为IP,反向查询即由IP地址反查域名），一般的格式如下图所示。me的隹度为2表明其后面域名的供度jocent;度为 6JOCent2eo查询类型一般为A,代表IPV4查询类通常为1,代表Internet资源记录（RR）区域（包括回答区域，授权区域和附加区域）：15 L6Name （城名，2字节乖长;度不固左）Type （査询擁）OH3S（査询类Time to liveC生存吋间1D

18、ata length （资源數据怅;度）D抽（适尉据民度不固走）资源记录搭式域名（2字节或不定长）：它的格式和Queries区域的查询名字字段是一样的。有一点不 同就是，当报文中域名重复出现的时候，该字段使用2个字节的偏移指针来表示。查询类 型：表明资源纪录的类型查询类：对于Internet信息，总是IN生存时间（TTL）:以秒 为单位，表示的是资源记录的生命周期，一般用于当地址解析程序取出资源记录后决定保存 及使用缓存数据的时间，它同时也可以表明该资源记录的稳定程度，极为稳定的信息会被分 配一个很大的值（比如86400,这是一天的秒数）。资源数据：该字段是一个可变长字段, 表示按照查询段的要求返回的相关资源记录的数据。可以是Address （表明查询报文想要的 回应是一个IP地址）或者CNAME （表明查询报文想要的回应是一个规范主机名）等。通过对DNS的数据的分析也可以完成对网络攻击的分析与检测。5、总结本文主要是对网络安全的一个入门，包括基础知识的阐述,对网络攻击类型的一个简单介绍， 网络监测手段的介绍几个部分。通过学习可以对网络安全以及，如何监测网络攻击，网络异 常行为能有一个大概的了解。