网络安全知识入门

1、网络安全知识入门近日 ,因为工作需要，对于网络安全得一些基础得知识做了一些简单得了解,并整理成总结文档以便于学习与分享。网络安全得知识体系非常庞大 ,想要系统得完成学习非简单得几天就可以完成得。所以这篇 文章就是以实际需求为出发点 ,把需要用到得知识做系统得串联起来，形成知识体系，便于 理解与记忆 ,使初学者可以更快得入门。、什么就是网络安全首先我们要对网络安全有一个基本得概念。 网络安全就是指网络系统得硬件、 软件及其系统要。2、网络安全名词解释1. IRC 服务器 :RC 就是 Int rnet Relay Chat 得英文缩写 ,中文一般称为互联网中继聊 天。 IR得工作原理非常简单 ,

2、您只要在自己得 PC 上运行客户端软件 ,然后通过因特网以 I C 协议连接到一台 IRC 服务器上即可。它得特点就是速度非常之快,聊天时几乎没有延迟得现象 ,并且只占用很小得带宽资源。2. P 协议 ： P（Tra smiss on Control P otocol 传输控制协议 ）就是一种面向连接得、可靠得、基于字节流得传输层通信协议。T 得安全就是基于三次握手四次挥手得链接释放协议（握手机制略）。3. DP 协议： P 就是 User Datagram P otocol 得简称,DP 协议全称就是用 户数据报协议 , 在网络中它与 TCP 协议一样用于处理数据包 ,就是一种无连接得协议。

3、其特 点就是无须连接 ,快速,不安全 ,常用于文件传输。4. 报文:报文（ ssage ）就是网络中交换与传输得数据单元 ,即站点一次性要发送得数据块。报文包含了将要发送得完整得数据信息，其长短很不一致，长度不限且可变。5. DN :N （Doma n Na System, 域名系统 ）,因特网上作为域名与 IP 地址相互映射得一个分布式数据库 ,能够使用户更方便得访问互联网 ,而不用去记住能够被机器直 接读取得 IP数串。 DS协议运行在 UDP 协议之上 ,使用端口号 53 。DN 就是网络攻击中 得一个攻击密集区 ,需要重点留意。6. ICMP 协议 :CMP 就是（ Internet

4、Contro Mssa e rotoco ） Int rnet 控 制报文协议。它就是 TC IP协议族得一个子协议，用于在IP 主机、路由器之间传递控制消息。7. SNMP 协议 :简单网络管理协议 （SNP）,由一组网络管理得标准组成 ,包含一个应用层协议 （ pliaton layer rotoc ）、数据库模型 （datbae sc ema）与一组资源对象。该协议能够支持网络管理系统 ,用以监测连接到网络上得设备就是否有任何引起 管理上关注得情况。8.9.10.僵尸病毒 ：僵尸网络病毒， 通过连接 IRC 服务器进行通信从而控制被攻陷得计算机。 僵尸网络 （英文名称叫 Bot ），就是

5、互联网上受到黑客集中控制得一群计算机，往往被 黑客用来发起大规模得网络攻击。 僵尸病毒得目得在我瞧来就是黑客在实施大规模网络攻击 之前做好准备工作 ,提供大量可供发起攻击得 “僵尸电脑 ”。木马病毒 :木马（ Tro ） ,也称木马病毒 ,就是指通过特定得程序 （木马程序 ）来控 制另一台计算机。 “木马 ”程序就是目前比较流行得病毒文件 ,与一般得病毒不同 ,它不会自我 繁殖,也并不 “刻意”地去感染其她文件 ,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机得门户，使施种者可以任意毁坏、窃取被种者得文件,甚至远程操控被种主机。木马病毒对现行网络有很大得威胁。蠕虫病毒 :蠕虫病

6、毒，一种常见得计算机病毒。它得传染机理就是利用网络进行复制 与传播，传染途径就是通过网络与电子邮件。 。对于蠕虫， 现在还没有一个成套得理论体系。 一般认为 :蠕虫就是一种通过网络传播得恶性病毒,它具有病毒得一些共性 ,如传播性、隐蔽性、破坏性等等，同时具有自己得一些特征,如不利用文件寄生 （有得只存在于内存中 ）,对网络造成拒绝服务，以及与黑客技术相结合 ,等等。、常见网络攻击方式网络攻击得方式多种多样 ,本文就以其中六种常见得攻击方式来做分析与了解。3、半连接攻击众所周知 TCP 得可靠性就是建立在其三次握手机制上面得,三次握手机制如果没有正常完成就是不会正常连接得。半连接攻击就就是发生在

7、三次握手得过程之中。如果向 B 发起 P 请求,B 也按照正常情况进行响应了 ,但就是 A不进行第 3 次握手,这就就是半连接攻击。 实际上半连接攻击时针对得 S N, 因此半连接攻击也叫做 SYN 攻击。 N 洪水攻击就就 是基于 半连接得 SYN 攻击。3、2 全连接攻击全连接攻击就是一种通过长时间占用目标机器得连接资源,从而耗尽被攻击主机得处理进程与连接数量得一种攻击方式。客户端仅仅 “连接 ”到服务器 ,然后再也不发送任何数据， 直到服务器超时处理或者耗尽服务器 得处理进程。为何不发送任何数据呢？ 因为一旦发送了数据，服务器检测到数据不合法后 就可能断开此次连接 ;如果不发送数据得话，

8、 很多服务器只能阻塞在 r v 或者 r a调用 上。这就是我们可以瞧出来全连接攻击与半连接攻击得不同之处。 半连接攻击耗尽得就是系统得 内存 ;而全连接攻击耗尽得就是主机得处理进程与连接数量。3、3R T 攻击R攻击这种攻击只能针对 tcp 、对 dp 无效。 RST:（R set e con e tion ）用 于复位因某种原因引起出现得错误连接,也用来拒绝非法数据与请求。 如果接收到 ST 位时候,通常发生了某些错误。ST 攻击得目得在于断开用户得正常连接。假设一个合法用户（1、1、1、 1）已经同服务器建立得正常得连接 ,攻击者构造攻击得 CP 数据，伪装自己得 P 为、 1、1、 1

9、，并向 服务器发送一个带有 RST 位得 TCP 数据包。 TCP 收到这样得数据后 ,认为从、 1、 1、1 发送得连接有错误，就会清空缓冲区中建立好得连接。这时,如果合法用户、 1、1 、再发送合法数据，服务器就已经没有这样得连接了,该用户必须重新开始建立连接。3、4IP 欺骗IP 欺骗就是利用了主机之间得正常信任关系来发动得,所以在介绍 IP 欺骗攻击之前 ,先说明一下什么就是信任关系。这种信任关系存在与 UNIX 主机上， 用于方便同一个用户在不同电脑上进行操作。 假设有两 台互相信任得主机 , sa 与 o tb 。从主机 h b 上,您就能毫无阻碍得使用任何以 r 开头得远程调用命

10、令 ,如： rlo in 、 rsh 、rc 等 ,而无需输入口令验证就可以直接登录到 sta 上。这些命令将充许以地址为基础得验证，允许或者拒绝以I地址为基础得存取服务。值得一提得就是这里得信任关系就是基于I得地址得。既然 hos 与 hosb 之间得信任关系就是基于 I址而建立起来得，那么假如能够冒充 otb 得 IP,就可以使用 r in 登录到 ho ta, 而不需任何口令验证。这，就就是IP 欺骗得最根本得理论依据。然后，伪装成被信任得主机,同时建立起与目标主机基于地址验证得应用连接。连接成功后 ,黑客就可以入置 ackdoor 以便后日使用 J 。许多方法可以达到 这个目得 （如

11、SY洪水攻击、 TTN 、Land 等攻击 ）。3、5欺骗DN欺骗就就是攻击者冒充域名服务器得一种欺骗行为。原理 :如果可以冒充域名服务器 ,然后把查询得 IP 地址设为攻击者得 P 地址 ,这样得话 , 用户上网就只能瞧到攻击者得主页 , 而不就是用户想要取得得网站得主页了,这就就是 NS 欺骗得基本原理。 DNS 欺骗其实并不就是真得 “黑掉 ”了对方得网站 ,而就是冒名顶替、招摇撞骗罢了。NS 欺骗主要得形式有 osts 文件篡改与本机 DNS 劫持。3、 S/DD S 攻击DO 攻击 :拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。 故意得攻

12、击网络协议实现得缺陷或直接通过野蛮手段耗尽被攻击对象 得资源 ,目得就是让目标计算机或网络无法提供正常得服务或资源访问,使目标系统服务系统停止响应甚至崩溃 ,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资 源包括网络带宽，文件系统空间容量,开放得进程或者允许得连接。这种攻击会导致资源得匮乏 ,无论计算机得处理速度多快、内存容量多大、网络带宽得速度多快都无法避免这种攻 击带来得后果。 DOS 攻击:分布式拒绝服务。 多台傀儡机 （肉鸡 ）同时制造大量数据。实 际上就是分布式得 DOS 攻击，相当于 D攻击得一种方式。、网络监测网络攻击得受害面积广 ,受害群体多 ,造成损失非常大 ,

13、因此 ,对于网络做监控从而达到风险得 预测就是非常有必要得。做好网络监测可以有效拦截网络攻击,提醒管理者及时处理 ,挽回损失。网络监测得手段有多种 ,本文根据具体业务情景来进行了解。其一就是etFlow 网络监控 ,其二就是 D 报文分析。、1使用 NetFlow 分析网络异常流量在对 NetFlow 进行学习之前， 我们需要对网络上得数据流有一个了解-IPF ow 。IPF 包含有七个重要得信息。who: 源 IP 地址when: 开始结束时间where:From（ 源 P ，源端口 ）、 o（目得 P,目得端口）从哪到哪w a:协议类型 ,目标 P,目标端口how ：流量大小，流量包数wh

14、y: 基线 ,阈值 ,特征NtFlo 最初就是由 ic开发 ,检测网络数据流。 N t ow 提供网络流量得会话级视 图,记录下每个 TC IP事务得信息。 Ne ow利用分析 IP 数据包得 7种属性 ,快速区 分网络中传送得各种类型得业务数据流。一个Nelw流定义为在一个源 IP 地址与目得 IP 地址间传输得单向数据包流 ,且所有数据包具有共同得传输层源、 目得端口号。 以 FC 、来说 ,一个完整得字段中包好有如下信息：源地址, 目得地址 ,源自治域 ,目得自治域，流入接口号 ,流出接口号 ,源端口，目得端口 ,协议类型，包数量 ,字节数 ,流数量。通过匹配监测到得流量与已有网络攻击得

15、流量特征进行匹配就可以完成网络攻击得监测与 预警。4、2DNS 数据报分析 通过上面得学习我们也不难发现， DNS 就是互联网中相对薄弱得一个环节 , 也就是很多黑客 得首选攻击目标。因此 ,通过对 D S 报文得分析也能在一定程度上进行网络攻击得监测。要对 DNS 报文进行分析 ,首先需要对 DNS 得报文结构进行了解。NS 数据报主要分为头部与正文。头部主要包括 :会话标识 （2 字节）:就是 DN 报文得 D 标识，对于请求报文与其对应得应答报文， 这个字段就是相同得 ,通过它可以区分 DNS 应答报文就是哪个请求得响应。标志 （2 字节）:QR（1bt） 查询/响应标志 ,0为查询 ,

16、1为响应opcode（4b t） 0 表示标准查询， 1 表示反向查询 ,2 表示服务器状态请求AA （ bit ） 表示授权回答TC（1bit ） 表示可截断得RD （ 1bi ） 表示期望递归RA（1 it） 表示可用递归roe（4bt） 表示返回码 ,0 表示没有差错 ,表示名字差错 ,2 表示服务器错误 （S rver > Failure ）数量字段 （总共 8 字节）:Q esti ns 、 nswer Rs 、Auth r t RR 、 Add t on l Rs 各自表示后面得四个区域得数目。 uestio s 表示查询问题区域节得数 量,An r表示回答区域得数量 , u

17、 horitati naever es 表示授权区域得 数量 ,d onal recore s 表示附加区域得数量。正文部分包括以下内容?ue ie 区域:查询名 :长度不固定 ,且不使用填充字节 ,一般该字段表示得就就是需要查询得域名（如果就是反向查询 ,则为 IP, 反向查询即由 IP 地址反查域名 ）,一般得格式如下图所示。查询类型一般为 A, 代表 I V 查询类通常为 1，代表 Internet 资源记录 （R ）区域（包括回答区域 ,授权区域与附加区 域） :域名 （2 字节或不定长） :它得格式与 ueri 区域得查询名字字段就是一样得。有一点不 同就就是 ,当报文中域名重复出现得时候 ,该字段使用 2 个字节得偏移指针来表示。 查询类 型:表明资源纪录得类型 查询类 :对于 Internet 信息,总就是 IN 生存时间（ TTL ）：以秒为单 位，表示得就是资源记录得生命周期， 一般用于当地址解析程序取出资源记录后决定保存及 使用缓存数据得时间，它同时也可以表明该资源记录得稳定程度,极为稳定得信息