网络安全技术课程学习体会

1、_课程学习体会通过学习网络安全技术这门课， 我了解到随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。 但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、 互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。认真分析网络面临的威胁， 我认为，计算机网络系统的安全防范工作是一个极为复杂的系统工程， 是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下， 首先是各计算机网络应用部门领导的重视， 加强工作人员的责任心和防范意识， 自觉执行各项安全制度，在此基

2、础上， 再采用先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。学习了这门课程，让我对网络安全技术有了深刻的了解及体会：一、网络安全的简介：安全就是最大程度地减少数据和资源被攻击的可性。 从本质上说，网络的安全和信息的安全等同， 指的是网络系统的软硬件和系统中的数据受到保护， 不受各种偶然的或者恶意的网络攻击而遭到损坏、 修改、删除等，系统连续可靠正常地运行，网络服务不中断。从广泛意义上讲，凡是涉及到网络上信息的完整性、保密性、可控性，可用性和不可否认性的相关技术和理论都是网络安全所要进行研究的领域。提供安全性的所有技术大致分为两个部分： 1、对将被发送的信息进精品资料_行安全

3、性相关的变换，包括消息的加密，通过加密搅乱了该消息，使攻击者不可读； 2、增加基于该消息内容的代码，使之能够用于证实发送者的身份。二、网络安全脆弱的原因：1、开放性的网络环境正如一句非常经典的话： “Internet 的美妙之处在于你和每个人都能互相连接， Internet 的可怕之处在于每个人都能和你相互连接。2、源于协议本身的挑战有网络传输就有网络传输协议的存在，每一种网络传输协议都有不同的层次、不同方面的漏洞，被广大用户使用的TCP/IP 也不例外的存在着自身的漏洞。如网络应用层服务的安全隐患、IP 层通信系统的易欺骗性、数据传输机制为广播发送等。3、操作系统存在漏洞使用网络离不开操作系

4、统， 操作系统的安全性对网络安全同样有非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。如系统模型本身的缺陷、 操作系统的源代码存在 Bug、操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因素。三、网络攻击与防御技术：黑客攻击和网络安全的是紧密结合在一起的， 研究网络安全不研究黑客攻击技术简直是纸上谈兵， 研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全， 系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。精品资料_1、网络攻击的步骤：（ 1）第一步：隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上

5、门的时候就一切都晚了。通常有两种方法实现自己IP 的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击， 这样即使被发现了， 也是“肉鸡”的IP 地址。第二种方式是做多极跳板“Sock 代理”，这样在入侵的电脑上留下的是代理计算机的 IP 地址。比如攻击 A 国的站点，一般选择离 A 国很远的 B 国计算机作为“肉鸡”或者“代，理这”样跨国度的攻击，一般很难被侦破。（ 2）第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解 （包括任何可得到的蛛丝马迹，但要确保信息的准确） ，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的 IP 地址

6、或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。（ 3）第三步：获得系统或管理员权限得到管理员权限的目的是连接到远程计算机， 对其进行控制， 达到自己攻击目的。 获得系统及管理员权限的方法有： 通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限； 通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限； 通过弱口令获得远程管理员的用户密码； 通过穷举法获得远程管理员的用户密码； 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权； 通过欺骗获得权限以及其他有效的方法。精品资料_（ 4）第四步：种植后门为了保持长期对自己胜利果实的访问权 ,在已经攻破的计算

7、机上种植一些供自己访问的后门。（ 5）第五步：在网络中隐身一次成功入侵之后， 一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现， 在入侵完毕后需要清除登录日志已经其他相关的日志。2、几类攻击与防御手法介绍：攻击类型服务拒绝攻击服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨定义来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，方法概览防御由于在早期的阶段，路由器对包的最现在所有的标准大尺寸都有限制，许多操作系统对TCP/IP 实现都已实TCP/IP 栈的实现在 ICMP 包上都是现对付超大尺寸的死亡之 ping规定 64KB ，并且在对包的标题头进包，并且大多数防火（

8、 ping of行读取之后，要根据该标题头里包含墙能够自动过滤这death ）的信息来为有效载荷生成缓冲区， 当些攻击，包括：从产生畸形的，声称自己的尺寸超过windows98 之后的ICMP 上限的包也就是加载的尺寸windows,NT(service超过 64K 上限时，就会出现内存分pack 3 之后 )，linux 、精品资料_配错误，导致 TCP/IP 堆栈崩溃，致Solaris 、和 Mac OS使接受方当机。都具有抵抗一般ping ofdeath 攻击的能力。此外，对防火墙进行配置，阻断ICMP 以及任何未知协议，都讲防止此类攻击。泪滴攻击利用那些在 TCP/IP 堆栈实现中信任

9、 IP 碎片中的包的标题头所服务器应用最新的包含的信息来实现自己的攻击。 IP服务包，或者在设置泪滴 分段含有指示该分段所包含的是原（teardrop ） 包的哪一段的信息，某些 TCP/IP（包防火墙时对分段进行重组，而不是转发括 servicepack4 以前的 NT）在收它们。到含有重叠偏移的伪造分段时将崩溃。UDP洪 水（ UDPflood ）各种各样的假冒攻击利用简单的关 掉不必要的TCP/IP 服务，如 Chargen 和 EchoTCP/IP服务，或者来传送毫无用处的占满带宽的数据。对防火墙进行配置通过伪造与某一主机的 Chargen 服阻断来自 Internet 的务之间的一次

10、的 UDP 连接，回复地请求这些服务的址指向开着 Echo 服务的一台主机，UDP 请求。精品资料_这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。一些 TCP/IP 栈的实现只能等待从有在防火墙上过滤来限数量的计算机发来的 ACK 消息，自同一主机的后续因为他们只有有限的内存缓冲区用连接。未来的SYN 洪 水 于创建连接，如果这一缓冲区充满了SYN 洪水令人担忧，（ SYN 虚假连接的初始信息，该服务器就会 由于释放洪水的并flood ）对接下来的连接停止响应， 直到缓冲不寻求响应，所以无区里的连接企图超时。在一些创建连法从一个简单高容接不受限制的实现

11、里， SYN 洪水具量的传输中鉴别出有类似的影响。来。在 Land 攻击中，一个特别打造的SYN 包它的原地址和目标地址都被打最新的补丁，或者设置成某一个服务器地址， 此举将导在防火墙进行配置，致接受服务器向它自己的地址发送将那些在外部接口Land 攻击SYN-ACK 消息，结果这个地址又发上入站的含有内部回 ACK 消息并创建一个空连接，每源地址滤掉。（包括一个这样的连接都将保留直到超时10 域、127 域、掉，对 Land 攻击反应不同，许多192.168 域、 172.16UNIX 实现将崩溃， NT 变的极其缓到 172.31 域）。慢（大约持续五分钟）。精品资料_一个简单的 smur

12、f 攻击通过使用将回复地址设置成受害网络的广播地防御：为了防止黑客址的 ICMP 应答请求（ping ）数据包利用你的网络攻击来淹没受害主机的方式进行， 最终导他人，关闭外部路由Smurf 攻击致该网络的所有主机都对此ICMP器或防火墙的广播应答请求作出答复，导致网络阻塞，地址特性。为防止被比 pingof death 洪水的流量高出一攻击，在防火墙上设或两个数量级。更加复杂的Smurf置规则，丢弃掉将源地址改为第三方的受害者， 最终ICMP 包。导致第三方雪崩。Fraggle 攻击对 Smurf 攻击作了简单在防火墙上过滤掉Fraggle 攻击的修改，使用的是 UDP 应答消息而UDP 应答

13、消息。非 ICMP 。电子邮件炸弹是最古老的匿名攻击对邮件地址进行配电子 邮 件 炸 之一，通过设置一台机器不断的大量置，自动删除来自同弹的向同一地址发送电子邮件， 攻击者一主机的过量或重能够耗尽接受者网络的带宽。复的消息。各类操作系统上的许多服务都存在畸形 消 息 攻此类问题，由于这些服务在处理信息打最新的服务补丁。击之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。攻击类型利用型攻击精品资料_定义利用型攻击是一类试图直接对你的机器进行控制的攻击，要选用难以猜测的口令，比如词和标点一旦黑客识别了一台主机而且发现符号的组合。确保像NFS 、 NetBIOS 和了基于 NetBIOS

14、、Telnet 或 NFS 这口令猜测Telnet 这样可利用的样的服务的可利用的用户帐号， 成功服务不暴露在公共的口令猜测能提供对机器控制。范围。如果该服务支持锁定策略，就进行锁定。特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。 一旦安装成功并取得管理员权限， 安装此避免下载可疑程序程序的人就可以直接远程控制目标并拒绝执行，运用网特洛伊木马系统。最有效的一种叫做后门络扫描软件定期监程序，恶意程序包括：NetBus 、视内部主机上的监BackOrifice 和 BO2k, 用于控制系统听 TCP 服务。的 良性 程序 如： netcat 、 VNC

15、、pcAnywhere 。理想的后门程序透明运行。缓冲区溢出由于在很多的服务程序中大意的程利 用 SafeLib 、精品资料_序员使用象 strcpy(),strcat() 类似的tripwire 这样的程序不进行有效位检查的函数， 最终可能保护系统，或者浏览导致恶意用户编写一小段利用程序最新的安全公告不来进一步打开安全豁口然后将该代断更新操作系统。码缀在缓冲区有效载荷末尾， 这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。攻击类型信息收集型攻击信息收集型攻击并不对目标本身造成危害，如名所示这类定义攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探

16、、利用信息服务。扫描技术运用 ping 这样的程序探测目标地址，对此作出响应的表示其存在。地址扫描防御：在防火墙上过滤掉 ICMP 应答许多防火墙能检测消息。到是否被扫描，并自常使用一些软件，向大范围的主机连动阻断扫描企图。接一系列的 TCP 端口，扫描软件报端口扫描告它成功的建立了连接的主机所开的端口。反响映射黑客向主机发送虚假消息， 然后根据NAT 和非路由代理精品资料_返回“hostunreachable ”这一消息特服务器能够自动抵征判断出哪些主机是存在的。 目前由御此类攻击，也可以于正常的扫描活动容易被防火墙侦在防火墙上过滤测到，黑客转而使用不会触发防火墙“hostunreachab

17、le”规则的常见消息类型，这些类型包ICMP 应答。括：RESET 消息、SYN-ACK 消息、DNS 响应包。由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10 次）通过引诱服务来对慢速扫描来决定是否在被扫描，这样黑客可以慢速扫描进行侦测。通过使用扫描速度慢一些的扫描软件进行扫描黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、去掉或修改各种对坏数据包传送所作出的响应进行BANNer ，包括操作检查。由于每种操作系统都有其独特体系结构探NT 和 Solaris系统和各种应用服的响应方法（例的测务的，阻断用于识别TCP/IP 堆栈具体实现有所不

18、同），的端口扰乱对方的通过将此独特的响应与数据库中的攻击计划。已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。精品资料_利用信息服务DNS 协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。 如果你维在防火墙处过滤掉DNS 域转换护着一台公共的 DNS 服务器，黑客域转换请求。只需实施一次域转换操作就能得到你所有主机的名称以及内部IP 地址。关闭 finger 服务并记黑客使用 finger 命令来刺探一台录尝试连接该服务Finger 服务finger 服务器以获取关于该系统的的对方 IP 地址，或者用户的信息。在防火墙上进行过滤。对于刺探内部网络的 LDAP 进行阻断并LDAP 服务黑客使用 LDA