网络安全技术课程学习体会

1、课程学习体会通过学习网络平安技术这门课，我了解到随着计算机网络的不断 开展，全球信息化已成为人类开展的大趋势；给政府机构、企事业单 位带来了革命性的改革。但由于计算机网络具有联结形式多样性、 终 端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、 病毒、恶意软件和其他不轨的攻击，所以网上信息的平安和是一个至 关重要的问题。认真分析网络面临的威胁，我认为，计算机网络系统的平安防工 作是一个极为复杂的系统工程，是一个平安管理和技术防相结合的工 程。在目前法律法规尚不完善的情况下， 首先是各计算机网络应用部 门领导的重视，加强工作人员的责任心和防意识，自觉执行各项平安 制度，在此根底上，

2、再采用先进的技术和产品，构造全方位的防御机 制，使系统在理想的状态下运行。学习了这门课程，让我对网络平安技术有了深刻的了解及体会：一、网络平安的简介：平安就是最大程度地减少数据和资源被攻击的可性。从本质上 说，网络的平安和信息的平安等同，指的是网络系统的软硬件和系统 中的数据受到保护，不受各种偶然的或者恶意的网络攻击而遭到损 坏、修改、删除等，系统连续可靠正常地运行，网络效劳不中断。从 广泛意义上讲，但凡涉及到网络上信息的完整性、性、可控性，可用 性和不可否认性的相关技术和理论都是网络平安所要进展研究的领 域。提供平安性的所有技术大致分为两个局部：1、对将被发送的信 息进展平安性相关的变换，包

3、括消息的加密，通过加密搅乱了该消息， 使攻击者不可读；2、增加基于该消息容的代码，使之能够用于证实 发送者的身份。二、网络平安脆弱的原因：1、开放性的网络环境正如一句非常经典的话：“ In ternet的美妙之处在于你和每个人 都能互相连接，In ternet的可怕之处在于每个人都能和你相互连接。2、源于协议本身的挑战有网络传输就有网络传输协议的存在，每一种网络传输协议都有 不同的层次、不同方面的漏洞，被广阔用户使用的 TCP/IP也不例外 的存在着自身的漏洞。如网络应用层效劳的平安隐患、 IP层通信系 统的易欺骗性、数据传输机制为播送发送等。3、操作系统存在漏洞使用网络离不开操作系统，操作系

4、统的平安性对网络平安同样有 非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。 如系统模型本身的缺陷、操作系统的源代码存在Bug操作系统程序配置不正确、平安管理知识的缺乏也是影响网络平安的一个重要因 素。三、网络攻击与防御技术：黑客攻击和网络平安的是严密结合在一起的， 研究网络平安不研 究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络平安就是 闭门造车。某种意义上说没有攻击就没有平安，系统管理员可以利用 常见的攻击手段对系统进展检测，并对相关的漏洞采取措施。1、网络攻击的步骤：1第一步：隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了， 当FBI找 上门的时候就一切都晚了。

5、通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑俗称“肉鸡，利用这 台电脑进展攻击，这样即使被发现了，也是“肉鸡的IP地址。第二种方式是做多极跳板“ Sock代理，这样在入侵的电脑上留下的 是代理计算机的IP地址。比方攻击A国的站点，一般选择离A国很 远的B国计算机作为“肉鸡或者“代理，这样跨国度的攻击，一 般很难被侦破。2第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进展多方面的了解包括任何可得到的蛛丝马迹，但要确保信息的准确，确定攻击的时间 和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。

6、3第三步：获得系统或管理员权限得到管理员权限的目的是连接到远程计算机， 对其进展控制，到 达自己攻击目的。获得系统及管理员权限的方法有： 通过系统漏洞获 得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统 权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码； 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。4第四步：种植后门为了保持长期对自己胜利果实的访问权，在已经攻破的计算机上 种植一些供自己访问的后门。5第五步：在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存

7、储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要去除登录日志 已经其他相关的日志。2、几类攻击与防御手法介绍:攻击类型效劳拒绝攻击定义效劳拒绝攻击企图通过使你的效劳计算机朋溃或把它压跨来阻止你提供效劳，效劳拒绝攻击是最容易头施的攻击行为，方法概览防御死亡之ping pi ngofdeath由于在早期的阶段，路由器对包的 最大尺寸都有限制，许多操作系统 对TCP/IP栈的实现在ICMP包上都 疋规疋64KB,并且在对包的标题 头进展读取之后，要根据该标题头 里包含的信息来为有效载何生成 缓冲区，当产生畸形的，声称自己现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防

8、火墙能够自动过滤这些攻击，包括：从windows98之后的的尺寸超过ICMP上限的包也就是 加载的尺寸超过64K上限时，就会 出现存分配错误，导致 TCP/IP堆 栈崩溃，致使承受方当机。wi ndows,NT（service pack 3 之后），linux、 Solaris、和 Mac OS 都具有抵抗一般ping ofdeath攻击的能力。 此外，对防火墙进展配 置，阻断ICMP以及任 何未知协议，都讲防止 此类攻击。泪滴teardrop泪滴攻击利用那些在TCP/IP堆栈 实现任IP碎片中的包的标题头所 包含的信息来实现自己的攻击。IP 分段含有指示该分段所包含的是 原包的哪一段的信息，

9、某些TCP/IP包括servicepack 4 以前的NT 在收到含有重叠偏移的伪造分段 时将崩溃。效劳器应用最新的效 劳包，或者在设置防火 墙时对分段进展重组， 而不是转发它们。UDP洪水UDPflood各种各样的假冒攻击利用简单的TCP/IP 效劳，如 Chargen 和 Echo来传送毫无用处的占满带宽的数 据。通过伪造与某一主机的Chargen效劳之间的一次的UDP连关掉不必要的 TCP/IP效劳，或者对防火墙进 展配置阻断来自In ter net 的请求这些效劳的UDP请求。接，回复地址指向开着Echo效劳 的一台主机，这样就生成在两台主 机之间的足够多的无用数据流，如 果足够多的数

10、据流就会导致带宽 的效劳攻击。SYN洪水SYNflood一些TCP/IP栈的实现只能等待从 有限数量的计算机发来的 ACK消 息，因为他们只有有限的存缓冲区 用于创立连接，如果这一缓冲区充 满了虚假连接的初始信息，该效劳 器就会对接下来的连接停顿响应， 直到缓冲区里的连接企图超时。在 一些创立连接不受限制的实现里， SYN洪水具有类似的影响。在防火墙上过滤来自 同一主机的后续连接。未来的SYN洪水令人 担忧，由于释放洪水的 并不寻求响应，所以无 法从一个简单高容量 的传输中鉴别出来。Land攻击在Land攻击中，一个特别打造的 SYN包它的原地址和目标地址都被 设置成某个效劳器地址，此举将 导

11、致承受效劳器向它自己的地址 发送SYN-ACK消息，结果这个地址 又发回ACK消息并创立一个空连 接，每一个这样的连接都将保存直 到超时掉，对Land攻击反响不同，打最新的补丁，或者在 防火墙进展配置，将那 些在外部接口上入站 的含有部源地址滤掉。包括10域、127域、 192.168 域、172.16 到 172.31 域。许多UNIX实现将崩溃，NT变的极 其缓慢大约持续五分钟。Smurf攻击一个简单的smurf攻击通过使用 将回复地址设置成受害网络的播 送地址的ICMP应答请求ping 数据包来淹没受害主机的方式进 展，最终导致该网络的所有主机都 对此ICMP应答请求作出答复，导 致网络

12、阻塞，比pingof death 洪 水的流量高出一或两个数量级。更 加复杂的Smurf将源地址改为第 三方的受害者，最终导致第三方雪 j-i-r 朋。防御：为了防止黑客利 用你的网络攻击他人， 关闭外部路由器或防 火墙的播送地址特性。 为防止被攻击，在防火 墙上设置规那么，丢弃 掉ICMP包。Fraggle 攻击Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP在防火墙上过滤掉UDP应答消息。电子炸弹电子炸弹是最古老的匿名攻击之 一，通过设置一台机器不断的大量 的向同 地址发送电子，攻击者能 够耗尽承受者网络的带宽。对地址进展配置，自动删除来自同一主机的过量

13、或重复的消息。畸形消息攻击各类操作系统上的许多效劳都存在此类问题，由于这些效劳在处理打最新的效劳补丁。信息之前没有进展适当正确的错 误校验，在收到畸形的信息可能会 崩溃。攻击类型利用型攻击定义利用型攻击是一类试图直接对你的机器进展控制的攻击，口令猜想一旦黑客识别了一台主机而且发现了基于 NetBIOS Tel net 或 NFS这样的效劳的可利用的用户，成功 的口令猜想能提供对机器控制。要选用难以猜想的口 令，比方词和标点符号 的组合。确保像NFSNetBIOS 和 Tel net 这样可利用的效劳不暴 露在公共围。如果该效 劳支持锁定策略，就进 展锁定。特洛伊木马特洛伊木马是一种或是直接由一

14、 个黑客，或是通过一个不令人起疑 的用户秘密安装到目标系统的程 序。一旦安装成功并取得管理员权 限，安装此程序的人就可以直接远 程控制目标系统。最有效的一种叫做后门程序，恶意程序包 括：NetBus、BackOffice 和 BO2k, 用于控制系统的良性程序如：防止下载可疑程序并 拒绝执行，运用网络扫 描软件定期监视部主 机上的监听TCP效劳。netcat、VNC pcAnywhere。理想的后门程序透明运行。缓冲区溢出由于在很多的效劳程序意的程序员使用象strcpy(),strcat()类似的不进展有效位检查的函数，最终 可能导致恶意用户编写一小段利 用程序来进一步翻开平安豁口然 后将该代

15、码缀在缓冲区有效载何 末尾，这样当发生缓冲区溢出时， 返回指针指向恶意代码，这样系统 的控制权就会被夺取。利用 SafeLib 、 tripwire 这样的程序 保护系统，或者浏览最 新的平安公告不断更 新操作系统。攻击类型信息收集型攻击定义信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系构造刺探、利用信息效劳。扫描技术地址扫描运用ping这样的程序探测目标地 址，对此作出响应的表示其存在。防御：在防火墙上过滤掉ICMP应 答消息。许多防火墙能检测到是否被扫描，并自动阻断扫描企图。端口扫描常使用一些软件，向大围的主机连 接一系列的

16、TCP端 口，扫描软件报告它成功的建立了连接的主机所开的端口。反响映射黑客向主机发送虚假消息，然后根 据返回“ hostunreachable 这一 消息特征判断出哪些主机是存在 的。目前由于正常的扫描活动容易 被防火墙侦测到，黑客转而使用不 会触发防火墙规那么的常见消息 类型，这些类型包括：RESET肖息、 SY N-ACI消息、DNS向应包。NAT和非路由代理效 劳器能够自动抵御此 类攻击，也可以在防火 墙上过滤“ hostunreachable ICMP应答。慢速扫描由于般扫描侦测器的实现是通 过监视某个时间桢里一台特定主 机发起的连接的数目例如每秒 10次来决定是否在被扫描，这 样黑客

17、可以通过使用扫描速度慢 一些的扫描软件进展扫描通过引诱效劳来对慢 速扫描进展侦测。体系构造探测黑客使用具有响应类型的数据库 的自开工具，对来自目标主机的、 对坏数据包传送所作出的响应进 展检查。由于每种操作系统都有其 独特的响应方法例NT和Solaris 的TCP/IP堆栈具体实现有所不去掉或修改各种BANNer包括操作系统和各种应用效劳的，阻断用于识别的端口扰乱对方的攻击方案。冋，通过将此独特的响应与数据 库中的响应进展比照，黑客经常能 够确定出目标主机所运行的操作 系统。利用信息效劳DNS域转换DNS协议不对转换或信息性的更新 进展身份认证，这使得该协议被人 以一些不冋的方式加以利用。如果

18、 你维护着台公共的DNS效劳器， 黑客只需实施一次域转换操作就 能得到你所有主机的名称以及部 IP地址。在防火墙处过滤掉域 转换请求。Fin ger效劳黑客使用fin ger命令来刺探一台 finger效劳器以获取关于该系统 的用户的信息。关闭fin ger 效劳并记录尝试连接该效劳的 对方IP地址，或者在 防火墙上进展过滤。LDAP效劳黑客使用LDAP协议窥探网络部的系统和它们的用户的信息。对于刺探部网络的 LDAP进展阻断并记 录，如果在公共机器上 提供LDAP效劳，那么 应把LDAP效劳器放入DMZ攻击类型假消息攻击定义用于攻击目标配置不正确的消息， 主要包括：DNS高速缓存污染、伪 造电子。DNS高速缓存污染由于DNS效劳器与其他名称效劳 器交换信息的时候并不进展身份 验证，这就使得黑客可以将不正确 的信息掺进来并把用户引向黑客 自己的主机。在防火墙上过滤入站 的DNS更新，夕卜部DNS 效劳器不应能更改你 的部效劳器对部机器 的认识。伪造电