网络安全知识入门

1、网络安全知识入门近日，因为工作需要，对于网络安全的一些基础的知识做了一些简单的了解，并整理 成总结文档以便于学习和分享。网络安全的知识体系非常庞大，想要系统的完成学习非简单的几天就可以完成的。所 以这篇文章是以实际需求为出发点，把需要用到的知识做系统的串联起来，形成知识 体系，便于理解和记忆，使初学者可以更快的入门。1、什么是网络安全首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其 系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系 统连续可靠正常地运行，网络服务不中断。简单来说就是，保护网络不会因为恶意攻 击而中断。了解了网络安全的职责，我们

2、就可以从网络攻击的方式，网络攻击检测手 段等几个方面来处理。在实际的学习中，我发现直接上手去学习效率并不是很好，因 为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到 的专业名词做一个解释很有必要。2、网络安全名词解释1. IRC服务器：RC是In ternet Relay Chat的英文缩写，中文一般称为互联网中继聊天。IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没 有延迟的现象，并且只占用很小的带宽资源。2. TCP协议：TCP (Transmission C

3、ontrol Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议(握手机制略)。3.UDP协议：UDP是User Datagram Protocol的简称，UDP协议全称是用户数据报协 议，在网络中它与TCP协议一样用于处理数据包，是一种无连接的协议。其特点是无 须连接，快速，不安全，常用于文件传输。4.报文：报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。 报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。5.DNS : DNS( Domain Name Sy

4、stem，域名系统)，因特网上作为域名和 IP地址相互 映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机 器直接读取的IP数串。DNS协议运行在UDP协议之上，使用端口号53。DNS是网 络攻击中的一个攻击密集区，需要重点留意。6.ICMP 协议：ICMP 是(In ternet Con trol Message P rotocol ) In ternet 控制报文协议。 它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。7. SNMP协议：简单网络管理协议(SNMP ),由一组网络管理的标准组成，包含一个 应用层协议(application

5、 layer protocol )、数据库模型(database schema )和一组 资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何 引起管理上关注的情况。8. 僵尸病毒：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络（英文名称叫BotNet），是互联网上受到黑客集中控制的一群计算机，往往被 黑客用来发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络 攻击之前做好准备工作，提供大量可供发起攻击的僵尸电脑”。9. 木马病毒：木马（Trojan ），也称木马病毒，是指通过特定的程序（木马程序）来控制 另一台计算机。木马&#

6、39;程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自 我繁殖，也并不 刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施 种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚 至远程操控被种主机。木马病毒对现行网络有很大的威胁。10. 蠕虫病毒：蠕虫病毒，一种常见的计算机病毒。它的传染机理是利用网络进行复制和 传播，传染途径是通过网络和电子邮件。对于蠕虫，现在还没有一个成套的理论体 系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传 播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只 存在于内存中），对

7、网络造成拒绝服务，以及和黑客技术相结合，等等。3、常见网络攻击方式网络攻击的方式多种多样，本文就以其中六种常见的攻击方式来做分析和了解。半连接攻击众所周知TCP的可靠性是建立在其三次握手机制上面的，三次握手机制如果没有正常 完成是不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求，B也按照正常情况进行响应了，但是 A不进行第3次握手，这就是半连 接攻击。实际上半连接攻击时针对的 SYN，因此半连接攻击也叫做SYN攻击。SYN 洪水攻击就是基于半连接的SYN攻击。全连接攻击全连接攻击是一种通过长时间占用目标机器的连接资源，从而耗尽被攻击主机的处理 进程和连接数量的一

8、种攻击方式。客户端仅仅 连接”到服务器，然后再也不发送任何数据，直到服务器超时处理或者耗尽 服务器的处理进程。为何不发送任何数据呢？因为一旦发送了数据，服务器检测到数据不合法后就可能断开此次连接；如果不发送数据的话，很多服务器只能阻塞在recv或者read调用上。这是我们可以看出来全连接攻击和半连接攻击的不同之处。半连接攻击耗尽的是系统 的内存；而全连接攻击耗尽的是主机的处理进程和连接数量。攻击RST攻击这种攻击只能针对tep、对udp无效。RST:（Reset the conneetion）用于复位 因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某

9、些错误。欺骗IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任关系。这种信任关系存在与UNIX主机上，用于方便同一个用户在不同电脑上进行操作。假 设有两台互相信任的主机，hosta和hostb。从主机hostb上，你就能毫无阻碍的使用 任何以r开头的远程调用命令，如：rlogin、rsh、rep等，而无需输入口令验证就可以 直接登录到hosta上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。值得一提的是这里的信任关系是基于IP的地址的。backdoor以便后日使用J。许多既然hosta和hostb之间的信任关系是基于I

10、P址而建立起来的，那么假如能够冒充 hostb的IP，就可以使用riogin登录到hosta，而不需任何口令验证。这，就是IP欺 骗的最根本的理论依据。然后，伪装成被信任的主机，同时建立起与目标主机基于地 址验证的应用连接。连接成功后，黑客就可以入置方法可以达到这个目的（如 SYN洪水攻击、TTN、Land等攻击）。欺骗DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到 攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的 黑掉”了对方的网站，而是

11、冒名顶替、招摇撞骗罢了。DNS欺骗主要的形式有hosts文件篡改和本机DNS劫持。DDOS攻击DOS攻击：拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求， 或无法及时回应外界请求。故意的攻击网络协议实现的缺陷或直接通过野蛮手段耗尽 被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使 目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标 网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的 连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网 络带宽的速度多快都无法避免这种攻击带来的后果。

12、DDOS攻击：分布式拒绝服务。多台傀儡机（肉鸡）同时制造大量数据。实际上是分布式的 DOS攻击，相当于DOS攻 击的一种方式。4、网络监测提醒管理者网络攻击的受害面积广，受害群体多，造成损失非常大，因此，对于网络做监控从而 达到风险的预测是非常有必要的。做好网络监测可以有效拦截网络攻击， 及时处理，挽回损失。netFlow网络监-IPFlow。IPFlow网络监测的手段有多种，本文根据具体业务情景来进行了解。其一是 控，其二是DNS报文分析。使用NetFlow分析网络异常流量在对NetFlow进行学习之前，我们需要对网络上的数据流有一个了解 包含有七个重要的信息。? who :源IP地址? w

13、hen :开始结束时间? where : From （源IP，源端口）、To （目的IP，目的端口）从哪到哪? what :协议类型，目标IP，目标端口? how :流量大小，流量包数? why :基线，阈值，特征NetFlow最初是由Cisco开发，检测网络数据流。Netflow提供网络流量的会话级视图， 记录下每个TCP/IP事务的信息。Netflow利用分析IP数据包的7种属性，快速区分网 络中传送的各种类型的业务数据流。一个NetFlow流定义为在一个源IP地址和目的IP 地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。以来 说，一个完整的字段中包好有如下信息：源

14、地址，目的地址，源自治域，目的自治域，流入接口号，流出接口号，源端口，目的端口，协议类型，包数量，字节数，流数量。通过匹配监测到的流量与已有网络攻击的流量特征进行匹配就可以完成网络攻击的监 测和预警。数据报分析 通过上面的学习我们也不难发现，DNS是互联网中相对薄弱的一个环节，也是很多黑 客的首选攻击目标。因此，通过对DNS报文的分析也能在一定程度上进行网络攻击的 监测。要对DNS报文进行分析，首先需要对 DNS的报文结构进行了解。DNS数据报主要分为头部和正文。头部主要包括:?会话标识（2字节）：是DNS报文的ID标识，对于请求报文和其对应的应答报文, 这个字段是相同的，通过它可以区分 DN

15、S应答报文是哪个请求的响应。? 标志（2字节）：？Flags I QR |LopcodeAA I TCI RDI kA Izero!IL3rcoiQR （1bit） 查询/响应标志，0为查询，1为响应op code （4bit） 0表示标准查询，1表示反向查询，2表示服务器状态请求AA(1bit)表示授权回答TC(1bit)表示可截断的RD(1bit)表示期望递归RA(1bit)表示可用递归rcode（4bit）Failure）? 数量字段（总共 8 字节）：Questions、Answer RRs、Authority RRs、Additional RRs 各自表示后面的四个区域的数目。Que

16、stions表示查询问题区域节的数量，Answers表示回答区域的数量，Authoritative namesversers 表示授权区域的数量，Additio nal recoreds表示附加区域的数量。表示返回码，0表示没有差错，3表示名字差错，2表示服务器错误（Server >正文部分包括以下内容:? Queries 区域：？15 16QueryManne （萱诲笆,辰底不固宦）Type （査向类型）Cld55 (Si旬类)?查询名：长度不固定，果是反向查询，则为IP，反向查询即由IP地址反查域名），一般的格式如下图所示。？且不使用填充字节，一般该字段表示的就是需要查询的域名 （如

17、m电的长度为2最后必须为0表明其后面域名的长度 jofent长虞为6?查询类型一般为A，代表IPV4查询类通常为1,代表In ternet ?资源记录（RR）区域（包括回答区域，授权区域和附加区域）：?2字节或长度不固定）Class C 询类）Time to live （生存肘间）Data length （资源姻长度）Data （齧踪數据,长度不固定）资除记录1S式?域名（2字节或不定长）：它的格式和 Queries区域的查询名字字段是一样的。有一 点不同就是，当报文中域名重复出现的时候，该字段使用2个字节的偏移指针来表示。 查询类型：表明资源纪录的类型 查询类：对于In ternet信息，总是IN生存时间（TTL）: 以秒为单位，表示的是资源记录的生命周期，一般用于当地址解析程序取出资源记录 后决定保存及使用缓存数据的时间，它同时也可以表明该资源记录的稳定程度