網(wǎng)絡安全知識入門

1、網(wǎng)絡安全知識入門近日 ,因為工作需要，對于網(wǎng)絡安全得一些基礎得知識做了一些簡單得了解,并整理成總結(jié)文檔以便于學習與分享。網(wǎng)絡安全得知識體系非常龐大 ,想要系統(tǒng)得完成學習非簡單得幾天就可以完成得。所以這篇 文章就是以實際需求為出發(fā)點 ,把需要用到得知識做系統(tǒng)得串聯(lián)起來，形成知識體系，便于 理解與記憶 ,使初學者可以更快得入門。、什么就是網(wǎng)絡安全首先我們要對網(wǎng)絡安全有一個基本得概念。 網(wǎng)絡安全就是指網(wǎng)絡系統(tǒng)得硬件、 軟件及其系統(tǒng)要。2、網(wǎng)絡安全名詞解釋1. IRC 服務器 :RC 就是 Int rnet Relay Chat 得英文縮寫 ,中文一般稱為互聯(lián)網(wǎng)中繼聊 天。 IR得工作原理非常簡單 ,

2、您只要在自己得 PC 上運行客戶端軟件 ,然后通過因特網(wǎng)以 I C 協(xié)議連接到一臺 IRC 服務器上即可。它得特點就是速度非常之快,聊天時幾乎沒有延遲得現(xiàn)象 ,并且只占用很小得帶寬資源。2. P 協(xié)議 ： P（Tra smiss on Control P otocol 傳輸控制協(xié)議 ）就是一種面向連接得、可靠得、基于字節(jié)流得傳輸層通信協(xié)議。T 得安全就是基于三次握手四次揮手得鏈接釋放協(xié)議（握手機制略）。3. DP 協(xié)議： P 就是 User Datagram P otocol 得簡稱,DP 協(xié)議全稱就是用 戶數(shù)據(jù)報協(xié)議 , 在網(wǎng)絡中它與 TCP 協(xié)議一樣用于處理數(shù)據(jù)包 ,就是一種無連接得協(xié)議。

3、其特 點就是無須連接 ,快速,不安全 ,常用于文件傳輸。4. 報文:報文（ ssage ）就是網(wǎng)絡中交換與傳輸?shù)脭?shù)據(jù)單元 ,即站點一次性要發(fā)送得數(shù)據(jù)塊。報文包含了將要發(fā)送得完整得數(shù)據(jù)信息，其長短很不一致，長度不限且可變。5. DN :N （Doma n Na System, 域名系統(tǒng) ）,因特網(wǎng)上作為域名與 IP 地址相互映射得一個分布式數(shù)據(jù)庫 ,能夠使用戶更方便得訪問互聯(lián)網(wǎng) ,而不用去記住能夠被機器直 接讀取得 IP數(shù)串。 DS協(xié)議運行在 UDP 協(xié)議之上 ,使用端口號 53 。DN 就是網(wǎng)絡攻擊中 得一個攻擊密集區(qū) ,需要重點留意。6. ICMP 協(xié)議 :CMP 就是（ Internet

4、Contro Mssa e rotoco ） Int rnet 控 制報文協(xié)議。它就是 TC IP協(xié)議族得一個子協(xié)議，用于在IP 主機、路由器之間傳遞控制消息。7. SNMP 協(xié)議 :簡單網(wǎng)絡管理協(xié)議 （SNP）,由一組網(wǎng)絡管理得標準組成 ,包含一個應用層協(xié)議 （ pliaton layer rotoc ）、數(shù)據(jù)庫模型 （datbae sc ema）與一組資源對象。該協(xié)議能夠支持網(wǎng)絡管理系統(tǒng) ,用以監(jiān)測連接到網(wǎng)絡上得設備就是否有任何引起 管理上關注得情況。8.9.10.僵尸病毒 ：僵尸網(wǎng)絡病毒， 通過連接 IRC 服務器進行通信從而控制被攻陷得計算機。 僵尸網(wǎng)絡 （英文名稱叫 Bot ），就是

5、互聯(lián)網(wǎng)上受到黑客集中控制得一群計算機，往往被 黑客用來發(fā)起大規(guī)模得網(wǎng)絡攻擊。 僵尸病毒得目得在我瞧來就是黑客在實施大規(guī)模網(wǎng)絡攻擊 之前做好準備工作 ,提供大量可供發(fā)起攻擊得 “僵尸電腦 ”。木馬病毒 :木馬（ Tro ） ,也稱木馬病毒 ,就是指通過特定得程序 （木馬程序 ）來控 制另一臺計算機。 “木馬 ”程序就是目前比較流行得病毒文件 ,與一般得病毒不同 ,它不會自我 繁殖,也并不 “刻意”地去感染其她文件 ,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機得門戶，使施種者可以任意毀壞、竊取被種者得文件,甚至遠程操控被種主機。木馬病毒對現(xiàn)行網(wǎng)絡有很大得威脅。蠕蟲病毒 :蠕蟲病

6、毒，一種常見得計算機病毒。它得傳染機理就是利用網(wǎng)絡進行復制 與傳播，傳染途徑就是通過網(wǎng)絡與電子郵件。 。對于蠕蟲， 現(xiàn)在還沒有一個成套得理論體系。 一般認為 :蠕蟲就是一種通過網(wǎng)絡傳播得惡性病毒,它具有病毒得一些共性 ,如傳播性、隱蔽性、破壞性等等，同時具有自己得一些特征,如不利用文件寄生 （有得只存在于內(nèi)存中 ）,對網(wǎng)絡造成拒絕服務，以及與黑客技術相結(jié)合 ,等等。、常見網(wǎng)絡攻擊方式網(wǎng)絡攻擊得方式多種多樣 ,本文就以其中六種常見得攻擊方式來做分析與了解。3、半連接攻擊眾所周知 TCP 得可靠性就是建立在其三次握手機制上面得,三次握手機制如果沒有正常完成就是不會正常連接得。半連接攻擊就就是發(fā)生在

7、三次握手得過程之中。如果向 B 發(fā)起 P 請求,B 也按照正常情況進行響應了 ,但就是 A不進行第 3 次握手,這就就是半連接攻擊。 實際上半連接攻擊時針對得 S N, 因此半連接攻擊也叫做 SYN 攻擊。 N 洪水攻擊就就 是基于 半連接得 SYN 攻擊。3、2 全連接攻擊全連接攻擊就是一種通過長時間占用目標機器得連接資源,從而耗盡被攻擊主機得處理進程與連接數(shù)量得一種攻擊方式?？蛻舳藘H僅 “連接 ”到服務器 ,然后再也不發(fā)送任何數(shù)據(jù)， 直到服務器超時處理或者耗盡服務器 得處理進程。為何不發(fā)送任何數(shù)據(jù)呢？ 因為一旦發(fā)送了數(shù)據(jù)，服務器檢測到數(shù)據(jù)不合法后 就可能斷開此次連接 ;如果不發(fā)送數(shù)據(jù)得話，

8、 很多服務器只能阻塞在 r v 或者 r a調(diào)用 上。這就是我們可以瞧出來全連接攻擊與半連接攻擊得不同之處。 半連接攻擊耗盡得就是系統(tǒng)得 內(nèi)存 ;而全連接攻擊耗盡得就是主機得處理進程與連接數(shù)量。3、3R T 攻擊R攻擊這種攻擊只能針對 tcp 、對 dp 無效。 RST:（R set e con e tion ）用 于復位因某種原因引起出現(xiàn)得錯誤連接,也用來拒絕非法數(shù)據(jù)與請求。 如果接收到 ST 位時候,通常發(fā)生了某些錯誤。ST 攻擊得目得在于斷開用戶得正常連接。假設一個合法用戶（1、1、1、 1）已經(jīng)同服務器建立得正常得連接 ,攻擊者構造攻擊得 CP 數(shù)據(jù)，偽裝自己得 P 為、 1、1、 1

9、，并向 服務器發(fā)送一個帶有 RST 位得 TCP 數(shù)據(jù)包。 TCP 收到這樣得數(shù)據(jù)后 ,認為從、 1、 1、1 發(fā)送得連接有錯誤，就會清空緩沖區(qū)中建立好得連接。這時,如果合法用戶、 1、1 、再發(fā)送合法數(shù)據(jù)，服務器就已經(jīng)沒有這樣得連接了,該用戶必須重新開始建立連接。3、4IP 欺騙IP 欺騙就是利用了主機之間得正常信任關系來發(fā)動得,所以在介紹 IP 欺騙攻擊之前 ,先說明一下什么就是信任關系。這種信任關系存在與 UNIX 主機上， 用于方便同一個用戶在不同電腦上進行操作。 假設有兩 臺互相信任得主機 , sa 與 o tb 。從主機 h b 上,您就能毫無阻礙得使用任何以 r 開頭得遠程調(diào)用命

10、令 ,如： rlo in 、 rsh 、rc 等 ,而無需輸入口令驗證就可以直接登錄到 sta 上。這些命令將充許以地址為基礎得驗證，允許或者拒絕以I地址為基礎得存取服務。值得一提得就是這里得信任關系就是基于I得地址得。既然 hos 與 hosb 之間得信任關系就是基于 I址而建立起來得，那么假如能夠冒充 otb 得 IP,就可以使用 r in 登錄到 ho ta, 而不需任何口令驗證。這，就就是IP 欺騙得最根本得理論依據(jù)。然后，偽裝成被信任得主機,同時建立起與目標主機基于地址驗證得應用連接。連接成功后 ,黑客就可以入置 ackdoor 以便后日使用 J 。許多方法可以達到 這個目得 （如

11、SY洪水攻擊、 TTN 、Land 等攻擊 ）。3、5欺騙DN欺騙就就是攻擊者冒充域名服務器得一種欺騙行為。原理 :如果可以冒充域名服務器 ,然后把查詢得 IP 地址設為攻擊者得 P 地址 ,這樣得話 , 用戶上網(wǎng)就只能瞧到攻擊者得主頁 , 而不就是用戶想要取得得網(wǎng)站得主頁了,這就就是 NS 欺騙得基本原理。 DNS 欺騙其實并不就是真得 “黑掉 ”了對方得網(wǎng)站 ,而就是冒名頂替、招搖撞騙罷了。NS 欺騙主要得形式有 osts 文件篡改與本機 DNS 劫持。3、 S/DD S 攻擊DO 攻擊 :拒絕服務制造大量數(shù)據(jù)，使受害主機或網(wǎng)絡無法及時接收并處理外界請求,或無法及時回應外界請求。 故意得攻

12、擊網(wǎng)絡協(xié)議實現(xiàn)得缺陷或直接通過野蠻手段耗盡被攻擊對象 得資源 ,目得就是讓目標計算機或網(wǎng)絡無法提供正常得服務或資源訪問,使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰 ,而在此攻擊中并不包括侵入目標服務器或目標網(wǎng)絡設備。這些服務資 源包括網(wǎng)絡帶寬，文件系統(tǒng)空間容量,開放得進程或者允許得連接。這種攻擊會導致資源得匱乏 ,無論計算機得處理速度多快、內(nèi)存容量多大、網(wǎng)絡帶寬得速度多快都無法避免這種攻 擊帶來得后果。 DOS 攻擊:分布式拒絕服務。 多臺傀儡機 （肉雞 ）同時制造大量數(shù)據(jù)。實 際上就是分布式得 DOS 攻擊，相當于 D攻擊得一種方式。、網(wǎng)絡監(jiān)測網(wǎng)絡攻擊得受害面積廣 ,受害群體多 ,造成損失非常大 ,

13、因此 ,對于網(wǎng)絡做監(jiān)控從而達到風險得 預測就是非常有必要得。做好網(wǎng)絡監(jiān)測可以有效攔截網(wǎng)絡攻擊,提醒管理者及時處理 ,挽回損失。網(wǎng)絡監(jiān)測得手段有多種 ,本文根據(jù)具體業(yè)務情景來進行了解。其一就是etFlow 網(wǎng)絡監(jiān)控 ,其二就是 D 報文分析。、1使用 NetFlow 分析網(wǎng)絡異常流量在對 NetFlow 進行學習之前， 我們需要對網(wǎng)絡上得數(shù)據(jù)流有一個了解-IPF ow 。IPF 包含有七個重要得信息。who: 源 IP 地址when: 開始結(jié)束時間where:From（ 源 P ，源端口 ）、 o（目得 P,目得端口）從哪到哪w a:協(xié)議類型 ,目標 P,目標端口how ：流量大小，流量包數(shù)wh

14、y: 基線 ,閾值 ,特征NtFlo 最初就是由 ic開發(fā) ,檢測網(wǎng)絡數(shù)據(jù)流。 N t ow 提供網(wǎng)絡流量得會話級視 圖,記錄下每個 TC IP事務得信息。 Ne ow利用分析 IP 數(shù)據(jù)包得 7種屬性 ,快速區(qū) 分網(wǎng)絡中傳送得各種類型得業(yè)務數(shù)據(jù)流。一個Nelw流定義為在一個源 IP 地址與目得 IP 地址間傳輸?shù)脝蜗驍?shù)據(jù)包流 ,且所有數(shù)據(jù)包具有共同得傳輸層源、 目得端口號。 以 FC 、來說 ,一個完整得字段中包好有如下信息：源地址, 目得地址 ,源自治域 ,目得自治域，流入接口號 ,流出接口號 ,源端口，目得端口 ,協(xié)議類型，包數(shù)量 ,字節(jié)數(shù) ,流數(shù)量。通過匹配監(jiān)測到得流量與已有網(wǎng)絡攻擊得

15、流量特征進行匹配就可以完成網(wǎng)絡攻擊得監(jiān)測與 預警。4、2DNS 數(shù)據(jù)報分析 通過上面得學習我們也不難發(fā)現(xiàn)， DNS 就是互聯(lián)網(wǎng)中相對薄弱得一個環(huán)節(jié) , 也就是很多黑客 得首選攻擊目標。因此 ,通過對 D S 報文得分析也能在一定程度上進行網(wǎng)絡攻擊得監(jiān)測。要對 DNS 報文進行分析 ,首先需要對 DNS 得報文結(jié)構進行了解。NS 數(shù)據(jù)報主要分為頭部與正文。頭部主要包括 :會話標識 （2 字節(jié)）:就是 DN 報文得 D 標識，對于請求報文與其對應得應答報文， 這個字段就是相同得 ,通過它可以區(qū)分 DNS 應答報文就是哪個請求得響應。標志 （2 字節(jié)）:QR（1bt） 查詢/響應標志 ,0為查詢 ,

16、1為響應opcode（4b t） 0 表示標準查詢， 1 表示反向查詢 ,2 表示服務器狀態(tài)請求AA （ bit ） 表示授權回答TC（1bit ） 表示可截斷得RD （ 1bi ） 表示期望遞歸RA（1 it） 表示可用遞歸roe（4bt） 表示返回碼 ,0 表示沒有差錯 ,表示名字差錯 ,2 表示服務器錯誤 （S rver > Failure ）數(shù)量字段 （總共 8 字節(jié)）:Q esti ns 、 nswer Rs 、Auth r t RR 、 Add t on l Rs 各自表示后面得四個區(qū)域得數(shù)目。 uestio s 表示查詢問題區(qū)域節(jié)得數(shù) 量,An r表示回答區(qū)域得數(shù)量 , u

17、 horitati naever es 表示授權區(qū)域得 數(shù)量 ,d onal recore s 表示附加區(qū)域得數(shù)量。正文部分包括以下內(nèi)容?ue ie 區(qū)域:查詢名 :長度不固定 ,且不使用填充字節(jié) ,一般該字段表示得就就是需要查詢得域名（如果就是反向查詢 ,則為 IP, 反向查詢即由 IP 地址反查域名 ）,一般得格式如下圖所示。查詢類型一般為 A, 代表 I V 查詢類通常為 1，代表 Internet 資源記錄 （R ）區(qū)域（包括回答區(qū)域 ,授權區(qū)域與附加區(qū) 域） :域名 （2 字節(jié)或不定長） :它得格式與 ueri 區(qū)域得查詢名字字段就是一樣得。有一點不 同就就是 ,當報文中域名重復出現(xiàn)得時候 ,該字段使用 2 個字節(jié)得偏移指針來表示。 查詢類 型:表明資源紀錄得類型 查詢類 :對于 Internet 信息,總就是 IN 生存時間（ TTL ）：以秒為單 位，表示得就是資源記錄得生命周期， 一般用于當?shù)刂方馕龀绦蛉〕鲑Y源記錄后決定保存及 使用緩存數(shù)據(jù)得時間，它同時也可以表明該資源記錄得穩(wěn)定程度,極為穩(wěn)定得信息