网络安全技术课程学习体会

《网络安全技术课程学习体会》由会员分享，可在线阅读，更多相关《网络安全技术课程学习体会（12页珍藏版）》请在装配图网上搜索。

1、课程学习体会 通过学习网络安全技术这门课， 我了解到随着计算机网络的不断 发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单 位带来了革命性的改革。 但由于计算机网络具有联结形式多样性、 终 端分布不均匀性和网络的开放性、 互连性等特征，致使网络易受黑客、 病毒、恶意软件和其他不轨的攻击， 所以网上信息的安全和保密是一 个至关重要的问题。认真分析网络面临的威胁， 我认为，计算机网络系统的安全防范 工作是一个极为复杂的系统工程， 是一个安全管理和技术防范相结合 的工程。在目前法律法规尚不完善的情况下， 首先是各计算机网络应 用部门领导的重视， 加强工作人员的责任心和防范意识， 自觉执行

2、各 项安全制度，在此基础上， 再采用先进的技术和产品，构造全方位的 防御机制，使系统在理想的状态下运行。学习了这门课程，让我对网络安全技术有了深刻的了解及体会：一、网络安全的简介： 安全就是最大程度地减少数据和资源被攻击的可性。 从本质上说， 网络的安全和信息的安全等同， 指的是网络系统的软硬件和系统中的 数据受到保护， 不受各种偶然的或者恶意的网络攻击而遭到损坏、 修 改、删除等，系统连续可靠正常地运行，网络服务不中断。从广泛意 义上讲，凡是涉及到网络上信息的完整性、保密性、可控性，可用性 和不可否认性的相关技术和理论都是网络安全所要进行研究的领域。 提供安全性的所有技术大致分为两个部分：

3、1、对将被发送的信息进 行安全性相关的变换，包括消息的加密，通过加密搅乱了该消息，使 攻击者不可读； 2、增加基于该消息内容的代码，使之能够用于证实 发送者的身份。二、网络安全脆弱的原因：1、开放性的网络环境正如一句非常经典的话：“ In ternet的美妙之处在于你和每个人都 能互相连接， Internet 的可怕之处在于每个人都能和你相互连接。2、源于协议本身的挑战 有网络传输就有网络传输协议的存在， 每一种网络传输协议都有不同的层次、不同方面的漏洞，被广大用户使用的TCP/IP也不例外的 存在着自身的漏洞。如网络应用层服务的安全隐患、IP层通信系统的 易欺骗性、数据传输机制为广播发送等。

4、3、操作系统存在漏洞使用网络离不开操作系统， 操作系统的安全性对网络安全同样有 非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。 如系统模型本身的缺陷、操作系统的源代码存在Bug操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因素。三、网络攻击与防御技术：黑客攻击和网络安全的是紧密结合在一起的， 研究网络安全不研 究黑客攻击技术简直是纸上谈兵， 研究攻击技术不研究网络安全就是 闭门造车。 某种意义上说没有攻击就没有安全， 系统管理员可以利用 常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。1、网络攻击的步骤：（ 1）第一步：隐藏 IP这一步必须做，因为如果

5、自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏： 第 一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡” ），利用这台 电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“ Sock代理”，这样在入侵的电脑上留下的是代 理计算机的IP地址。比如攻击A国的站点，一般选择离 A国很远的 B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很 难被侦破。（2）第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解 （包 括任何可得到的蛛丝马迹，但要确保信息的准确） ，确定攻击的时间 和地点。扫描的目的是利用

6、各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。（ 3）第三步：获得系统或管理员权限得到管理员权限的目的是连接到远程计算机， 对其进行控制， 达 到自己攻击目的。 获得系统及管理员权限的方法有： 通过系统漏洞获 得系统权限； 通过管理漏洞获得管理员权限； 通过软件漏洞得到系统 权限；通过监听获得敏感信息进一步获得相应权限； 通过弱口令获得 远程管理员的用户密码； 通过穷举法获得远程管理员的用户密码； 通 过攻破与目标机有信任关系另一台机器进而得到目标机的控制权； 通 过欺骗获得权限以及其他有效的方法。(4) 第四步：种植后门为了保持长期对自己胜利

7、果实的访问权，在已经攻破的计算机上 种植一些供自己访问的后门。(5) 第五步：在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登 录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志 已经其他相关的日志。2、几类攻击与防御手法介绍:攻击类型服务拒绝攻击定义服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，方法概览防御死亡之ping(ping of death)由于在早期的阶段，路由器对包的 最大尺寸都有限制，许多操作系统 对TCP/IP栈的实现在ICMP包上都 疋规疋64KB,并且在对包的标题 头进行读取之后，要根

8、据该标题头 里包含的信息来为有效载何生成 缓冲区，当产生畸形的，声称自己 的尺寸超过ICMP上限的包也就是现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后 的wi ndows,NT(service加载的尺寸超过64K上限时，就会 出现内存分配错误，导致 TCP/IP 堆栈崩溃，致使接受方当机。pack 3 之后）,linux、 Solaris、和 Mac OS 都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配 置，阻断ICMP以及任 何未知协议，都讲防止 此类攻击。泪滴(teardrop )泪滴攻

9、击利用那些在TCP/IP堆栈 实现中信任IP碎片中的包的标题 头所包含的信息来实现自己的攻 击。IP分段含有扌曰示该分段所包 含的是原包的哪一段的信息，某些TCP/IP （包括 servicepack 4 以前 的NT）在收到含有重叠偏移的伪 造分段时将崩溃。服务器应用最新的服 务包，或者在设置防火 墙时对分段进行重组， 而不是转发它们。UDP洪水(UDPflood )各种各样的假冒攻击利用简单的TCP/IP 服务，如 Chargen 和 Echo来传送毫无用处的占满带宽的数 据。通过伪造与某一主机的Chargen服务之间的一次的UDP连 接，回复地址指向开着Echo服务关掉不必要的 TCP/

10、IP服务，或者对防火墙进 行配置阻断来自In ter net 的请求这些服务的UDP请求。的一台主机，这样就生成在两台主 机之间的足够多的无用数据流，如 果足够多的数据流就会导致带宽 的服务攻击。SYN洪水(SYNflood )一些TCP/IP栈的实现只能等待从 有限数量的计算机发来的 ACK消 息，因为他们只有有限的内存缓冲 区用于创建连接，如果这一缓冲区 充满了虚假连接的初始信息，该服 务器就会对接下来的连接停止响 应，直到缓冲区里的连接企图超 时。在一些创建连接不受限制的实 现里，SYN洪水具有类似的影响。在防火墙上过滤来自 同一主机的后续连接。未来的SYN洪水令人 担忧，由于释放洪水的

11、 并不寻求响应，所以无 法从一个简单高容量 的传输中鉴别出来。Land攻击在Land攻击中，一个特别打造的 SYN包它的原地址和目标地址都被 设置成某个服务器地址，此举将 导致接受服务器向它自己的地址 发送SYN-ACK消息，结果这个地址 又发回ACK消息并创建一个空连 接，每一个这样的连接都将保留直 到超时掉，对Land攻击反应不同， 许多UNIX实现将崩溃，NT变的极打最新的补丁，或者在 防火墙进行配置，将那 些在外部接口上入站 的含有内部源地址滤 掉。（包括10域、127域、192.168 域、172.16 到 172.31 域）。其缓慢（大约持续五分钟）。Smurf攻击一个简单的smu

12、rf攻击通过使用 将回复地址设置成受害网络的广 播地址的ICMP应答请求（ping） 数据包来淹没受害主机的方式进 行，最终导致该网络的所有主机都 对此ICMP应答请求作出答复，导 致网络阻塞，比pingof death 洪 水的流量高出一或两个数量级。更 加复杂的Smurf将源地址改为第 三方的受害者，最终导致第三方雪 j-i-r 朋。防御：为了防止黑客利 用你的网络攻击他人， 关闭外部路由器或防 火墙的广播地址特性。 为防止被攻击，在防火 墙上设置规则，丢弃掉ICMP包。Fraggle 攻击Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP在防火墙上过滤掉

13、UDP应答消息。电子邮件炸弹电子邮件炸弹是最古老的匿名攻 击之一，通过设置一台机器不断的 大量的向同 地址发送电子邮件， 攻击者能够耗尽接受者网络的带 宽。对邮件地址进行配置， 自动删除来自同一主 机的过量或重复的消 息。畸形消息攻击各类操作系统上的许多服务都存在此类问题，由于这些服务在处理打最新的服务补丁。信息之前没有进行适当正确的错 误校验，在收到畸形的信息可能会 崩溃。攻击类型利用型攻击定义利用型攻击是 类试图直接对你的机器进行控制的攻击，口令猜测一旦黑客识别了一台主机而且发现了基于 NetBIOS、Tel net 或 NFS这样的服务的可利用的用户帐号， 成功的口令猜测能提供对机器控

14、制。要选用难以猜测的口 令，比如词和标点符号 的组合。确保像NFSNetBIOS 和 Tel net 这样可利用的服务不暴 露在公共范围。如果该 服务支持锁定策略，就 进行锁定。特洛伊木马特洛伊木马是一种或是直接由一 个黑客，或是通过一个不令人起疑 的用户秘密安装到目标系统的程 序。一旦安装成功并取得管理员权 限，安装此程序的人就可以直接远 程控制目标系统。最有效的一种叫做后门程序，恶意程序包 括：NetBus、BackOffice 和 BO2k, 用于控制系统的良性程序如：避免下载可疑程序并 拒绝执行，运用网络扫 描软件定期监视内部 主机上的监听TCP服 务。netcat、VNC pcAny

15、where。理想的后门程序透明运行。缓冲区溢出由于在很多的服务程序中大意的程序员使用象strcpy(),strcat() 类似的不进行有效位检查的函数， 最终可能导致恶意用户编写一小 段利用程序来进一步打开安全豁 口然后将该代码缀在缓冲区有效 载荷末尾，这样当发生缓冲区溢出 时，返回指针指向恶意代码，这样 系统的控制权就会被夺取。利用 SafeLib 、 tripwire 这样的程序 保护系统，或者浏览最 新的安全公告不断更 新操作系统。攻击类型信息收集型攻击定义信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服

16、务。扫描技术地址扫描运用ping这样的程序探测目标地 址，对此作出响应的表示其存在。防御：在防火墙上过滤掉ICMP应 答消息。许多防火墙能检测到是否被扫描，并自动阻断扫描企图。端口扫描常使用一些软件，向大范围的主机 连接一系列的TCP端 口，扫描软件报告它成功的建立了连接的主机 所开的端口。反响映射黑客向主机发送虚假消息，然后根 据返回“ hostunreachable ”这一 消息特征判断出哪些主机是存在 的。目前由于正常的扫描活动容易 被防火墙侦测到，黑客转而使用不 会触发防火墙规则的常见消息类 型，这些类型包括：RESE硝息、 SY N-ACI消息、DNS向应包。NAT和非路由代理服 务

17、器能够自动抵御此 类攻击，也可以在防火 墙上过滤“ hostunreachable ”ICMP应答。慢速扫描由于般扫描侦测器的实现是通 过监视某个时间桢里一台特定主 机发起的连接的数目（例如每秒 10次）来决定是否在被扫描，这 样黑客可以通过使用扫描速度慢 一些的扫描软件进行扫描通过引诱服务来对慢速扫描进行侦测。体系结构探测黑客使用具有已知响应类型的数 据库的自动工具，对来自目标主机 的、对坏数据包传送所作出的响应 进行检查。由于每种操作系统都有 其独特的响应方法（例NT和Solaris 的TCP/IP堆栈具体实现去掉或修改各种BANNer包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对

18、方的攻击计划。有所不同），通过将此独特的响应 与数据库中的已知响应进行对比， 黑客经常能够确定出目标主机所 运行的操作系统。利用信息服务DNS域转换DNS协议不对转换或信息性的更新 进行身份认证，这使得该协议被人 以一些不同的方式加以利用。如果 你维护着台公共的DNS服务器， 黑客只需实施一次域转换操作就 能得到你所有主机的名称以及内 部IP地址。在防火墙处过滤掉域 转换请求。Fin ger服务黑客使用fin ger命令来刺探一台 finger服务器以获取关于该系统 的用户的信息。关闭fin ger服务并记录尝试连接该服务的 对方IP地址，或者在 防火墙上进行过滤。LDAP服务黑客使用LDAP

19、协议窥探网络内部 的系统和它们的用户的信息。对于刺探内部网络的LDAP进行阻断并记 录，如果在公共机器上 提供LDAP服务，那么 应把LDAP服务器放入DMZ攻击类型假消息攻击定义用于攻击目标配置不正确的消息， 主要包括：DNS高速缓存污染、伪 造电子邮件。DNS高速缓存污染由于DNS服务器与其他名称服务 器交换信息的时候并不进行身份 验证，这就使得黑客可以将不正确 的信息掺进来并把用户引向黑客 自己的主机。在防火墙上过滤入站 的DNS更新，夕卜部DNS 服务器不应能更改你 的内部服务器对内部 机器的认识。伪造电子邮件由于SMTP并不对邮件的发送者的 身份进行鉴定，因此黑客可以对你 的内部客户

20、伪造电子邮件，声称是 来自某个客户认识并相信的人，并 附带上可安装的特洛伊木马程序， 或者是一个引向恶意网站的连接。使用PGP等安全工具 并安装电子邮件证书。四、个人体会:通过这门课程，我深刻的意识到：未来的战争是信息战争，而网 络战是信息战的重要组成部分。网络对抗，实际上是人与人的对抗， 它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统 的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做 到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手 段的预防措施，只有这样才能做到“知己知彼，百战百胜”范文素材和资料部分来自网络， 供参考。可复制、编制，期待你的好评与关注）