网络安全知识入门

1、网络安全知识入门近日，因为工作需要，对于网络安全得一些基础得知识做了一些简单得了解，并整理成总结文档以便于学习与分享。网络安全得知识体系非常庞大，想要系统得完成学习非简单得几天就可以完成得。所以这篇文章就是以实际需求为出发点，把需要用到得知识做系统得串联起来，形成知识体系，便于理解与记忆，使初学者可以更快得入门。1、什么就是网络安全首先我们要对网络安全有一个基本得概念。网络安全就是指网络系统得硬件、软件及其系统中得数据受到保护，不因偶然得或者恶意得原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。简单来说就就是，保护网络不会因为恶意攻击而中断。了解了网络安全得职责，我们就可

2、以从网络攻击得方式，网络攻击检测手段等几个方面来处理。在实际得学习中，我发现直接上手去学习效率并不就是很好，因为网络安全也有很多得专业名词就是不了解得所以在系统得学习之前对本文可能涉及到得专业名词做一个解释很有必要。2、网络安全名词解释1. IRC服务器：RC就是InternetRelayChat得英文缩写，中文一般称为互联网中继聊天。IRC得工作原理非常简单，您只要在自己得PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它得特点就是速度非常之快，聊天时几乎没有延迟得现象，并且只占用很小得带宽资源。2. TCP协议：TCP(TransmissionControlP

3、rotocol传输控制协议)就是一种面向连接得、可靠得、基于字节流得传输层通信协议。TCP得安全就是基于三次握手四次挥手得链接释放协议(握手机制略)。3. UDP协议：UDP就是UserDatagramProtocol得简称，UDP协议全称就是用户数据报协议，在网络中它与TCP协议一样用于处理数据包，就是一种无连接得协议。其特点就是无须连接，快速，不安全，常用于文件传输。4. 报文:报文(message)就是网络中交换与彳输得数据单元，即站点一次性要发送得数据块。报文包含了将要发送得完整得数据信息，其长短很不一致，长度不限且可变。5. DNS:DNS(DomainNameSystem,域名系统

4、)，因特网上作为域名与IP地址相互映射得一个分布式数据库，能够使用户更方便得访问互联网，而不用去记住能够被机器直接读取得IP数串。DNS协议运行在UDP协议之上，使用端口号53。DNS就是网络攻击中得一个攻击密集区，需要重点留意。6. ICMP协议:ICMP就是(InternetContro1MessageProtoco1)Internet控制报文协议。它就是TCP/IP协议族得一个子协议，用于在IP主机、路由器之间传递控制消息。7. SNMP协议:简单网络管理协议(SNMP),由一组网络管理得标准组成，包含一个应用层协、议(applicationlayerprotoco1)、数据库模型(da

5、tabaseschema)与一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上得设备就是否有任何引起管理上关注得情况。8. 僵尸病毒：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷得计算机。僵尸网络（英文名称叫BotNet）,就是互联网上受到黑客集中控制得一群计算机，往往被黑客用来发起大规模得网络攻击。僵尸病毒得目得在我瞧来就是黑客在实施大规模网络攻击之前做好准备工作，提供大量可供发起攻击得僵尸电脑9. 木马病毒：木马（Trojan），也称木马病毒，就是指通过特定得程序（木马程序）来控制另一台计算机。木马”程序就是目前比较流行得病毒文件，与一般得病毒不同，它不会自我繁殖,

6、也并不刻意”地去感染其她文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机得门户，使施种者可以任意毁坏、窃取被种者得文件，甚至远程操控被种主机。木马病毒对现行网络有很大得威胁。10. 蠕虫病毒：蠕虫病毒，一种常见得计算机病毒。它得传染机理就是利用网络进行复制与传播，传染途径就是通过网络与电子邮件。对于蠕虫，现在还没有一个成套得理论体系。一般认为：蠕虫就是一种通过网络传播得恶性病毒，它具有病毒得一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己得一些特征，如不利用文件寄生（有得只存在于内存中）,对网络造成拒绝服务，以及与黑客技术相结合，等等。3、常见网络攻击方式网络攻击得方式

7、多种多样，本文就以其中六种常见得攻击方式来做分析与了解。3、1平连接攻击众所周知TCP得可靠性就是建立在其三次握手机制上面得，三次握手机制如果没有正常完成就是不会正常连接得。半连接攻击就就是发生在三次握手得过程之中。如果A向B发起TCP请求,B也按照正常情况进行响应了，但就是A不进彳亍第3次握手，这就就是半连接攻击。实际上半连接攻击时针对得SYN,因此半连接攻击也叫做SYN攻击。SYN洪水攻击就就是基吁二半连接得SYN攻击。3、2全连接攻击全连接攻击就是一种通过长时间占用目标机器得连接资源，从而耗尽被攻击主机得处理进程与连接数量得一种攻击方式。客户端仅仅连接'到服务器，然后再也不发送任

8、何数据，直到服务器超时处理或者耗尽服务器得处理进程。为何不发送任何数据呢？因为一旦发送了数据，服务器检测到数据不合法后就可能断开此次连接；如果不发送数据得话，很多服务器只能阻塞在recv或者read调用上。这就是我们可以瞧出来全连接攻击与半连接攻击得不同之处。半连接攻击耗尽得就是系统得内存；而全连接攻击耗尽得就是主机得处理进程与连接数量。3、3RST攻击RST攻击这种攻击只能针对tcp、对udp无效。RST:（Resettheconnection）用于复位因某种原因引起出现得错误连接，也用来拒绝非法数据与请求。如果接收到RST位时候，通常发生了某些错误。RST攻击得目得在于断开用户得正常连接。

9、假设一个合法用户（1、1、1、1）已经同服务器建立得正常得连接，攻击者构造攻击得TCP数据，伪装自己得IP为1、1、1、1,并向服务器发送一个带有RST位彳#TCP数据包。TCP收到这样得数据后，认为从1、1、1、1发送得连接有错误，就会清空缓冲区中建立好得连接。这时，如果合法用户1、1、1、1再发送合法数据，服务器就已经没有这样得连接了，该用户必须重新开始建立连接。3、41P欺骗IP欺骗就是利用了主机之间得正常信任关系来发动得，所以在介绍IP欺骗攻击之前，先说明一下什么就是信任关系。这种信任关系存在与UNIX主机上，用于方便同一个用户在不同电脑上进行操作。假设有两台互相信任得主机,hosta

10、与hostb。从主机hostb上，您就能毫无阻碍得使用任何以r开头得远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到hosta上。这些命令将充许以地址为基础得验证，允许或者拒绝以IP地址为基础得存取服务。值得一提得就是这里得信任关系就是基于IP得地址得。既然hosta与hostb之间得信任关系就是基于IP址而建立起来得，那么假如能够冒充hostb得IP,就可以使用r1ogin登录到hosta,而不需任何口令验证。这，就就是IP欺骗得最根本得理论依据。然后，伪装成被信任得主机，同时建立起与目标主机基于地址验证得应用连接。连接成功后，黑客就可以入置backdoo

11、r以便后日使用J。许多方法可以达到这个目得（如SYN洪水攻击、TTN、Land等攻击）。3、5DNS欺骗DNS欺骗就就是攻击者冒充域名服务器得一种欺骗行为。原理:如果可以冒充域名服务器，然后把查询得IP地址设为攻击者得IP地址，这样得话，用户上网就只能瞧到攻击者得主页，而不就是用户想要取得得网站得主页了，这就就是DNS欺骗得基本原理。DNS欺骗其实并不就是真得黑掉”了对方彳#网站，而就是冒名顶替、招摇撞骗罢了。DNS欺骗主要得形式有hosts文件篡改与本机DNS劫持。3、6DOS/DDOS攻击DOS攻击：拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。

12、故意得攻击网络协议实现得缺陷或直接通过野蛮手段耗尽被攻击对象得资源，目得就是让目标计算机或网络无法提供正常得服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放得进程或者允许得连接。这种攻击会导致资源得匮乏，无论计算机得处理速度多快、内存容量多大、网络带宽得速度多快都无法避免这种攻击带来得后果。DDOS攻击:分布式拒绝服务。多台傀儡机（肉鸡）同时制造大量数据。实际上就是分布式得DOS攻击，相当于DOS攻击得一种方式。4、网络监测网络攻击得受害面积广，受害群体多，造成损失非常大，因此，对于网络做监控

13、从而达到风险得预测就是非常有必要得。做好网络监测可以有效拦截网络攻击，提醒管理者及时处理，挽回损失。网络监测得手段有多种，本文根据具体业务情景来进行了解。其一就是netFlow网络监控，其二就是DNS报文分析。4、1使用NetFlow分析网络异常流量在NetFlow进行学习之前，我们需要对网络上得数据流有一个了解IPF1owoIPF1ow包含有七个重要得信息。who:源IP地址when:开始结束时间where:From（源IP,源端口卜To（目得IP,目得端口）从哪到哪what:协议类型，目标IP,目标端口how:流量大小，流量包数why:基线，阈值，特征NetFlow最初就是由Cisco开发

14、，检测网络数据流。Netf1ow提供网络流量得会话级视图，记录下每个TCP/IP事务得信息。Netf1ow利用分析IP数据包得7种属性，快速区分网络中传送得各种类型得业务数据流。一个NetFlow流定义为在一个源IP地址与目得IP地址间传输得单向数据包流，且所有数据包具有共同得传输层源、目得端口号。以NFC2、。来说，一个完整得字段中包好有如下信息：源地址，目得地址，源自治域，目得自治域，流入接口号，流出接口号，源端口，目得端口，协议类型，包数量，字节数，流数量。通过匹配监测到得流量与已有网络攻击得流量特征进行匹配就可以完成网络攻击得监测与预警。4、2DNS数据报分析通过上面得学习我们也不难发

15、现，DNS就是互联网中相对薄弱得一个环节，也就是很多黑客得首选攻击目标。因此，通过对DNS报文得分析也能在一定程度上进行网络攻击得监测。要DNS报文进行分析，首先需要对DNS得报文结构进行了解。DNS数据报主要分为头部与正文。头部主要包括：会话标识（2字节）：就是DNS报文得ID标识，对于请求报文与其对应得应答报文，这个字段就是相同得，通过它可以区分DNS应答报文就是哪个请求得响应。标志(2字节)：RagsQR|opcodeAATCRD|RA(zero)14L11L3QR(1bit)查询/响应标志,0为查询,1为响应opcode(4bit)0表示标准查询，1表示反向查询,2表示服务器状态请求A

16、A(1bit)表示授权回答TC(1bit)表示可截断得RD(1bit)表示期望递归RA(1bit)表示可用递归rcode(4bit)表示返回码,0表示没有差错，3表示名字差错,2表示服务器错误(Server>Failure)数量字段(总共8字节):Questions、AnswerRRs、AuthorityRRs、AdditionalRRs各自表示后面得四个区域得数目。Questions表示查询问题区域节得数量,Answers表示回答区域得数量，Authoritativenamesversers表示授权区域得数量，Additionalrecoreds表示附加区域得数量。?正文部分包括以下内

17、容：Queries区域：口1515Name(直询名.氏厦不固定)Type(餐询日)SSI杳询类)查询名:长度不固定，且不使用填充字节，一般该字段表示得就就是需要查询得域名(如果就是反向查询，则为IP,反向查询即由IP地址反查域名，一般得格式如下图所示。enIt2meI0表明其后面域名的长度长度为6mo的悦度为2最后必须为0查询类型一般为A,代表IPV4查询类通常为1,代表Internet资源记录（RR）区域（包括回答区域，授权区域与附加区域）：口15L61（域名，2字节或长度不固定）Type（直询类型）Class（直询类）Timetolive（生存口寸间）加alength（赍源数据长度）Data（狗源数据，长度不固定）资源记录格式域名（2字节或不定长）：它得格式与Queries区域得查询名字字段就是一样得。有一点不同就就是，当报文中域名重复出现得时候，该字段使用2个字节得偏移指针来表示。查询类型:表明资源纪录得类型查询类对于Internet信息，总就是IN生存时间（TTL）:以秒为单位，表示得就是资源记录得生命周期，一般用于当地址解析