網(wǎng)絡安全知識入門

1、網(wǎng)絡平安知識入門近日，因為工作需要，對于網(wǎng)絡平安的一些根底的知識做了一些簡單的了解，并整理成總結文檔以便于學習和分享。網(wǎng)絡平安的知識體系非常龐大，想要系統(tǒng)的完成學習非簡單的幾天就可以完成的。所以這篇文章是以實際需求為出發(fā)點，把需要用到的知識做系統(tǒng)的串聯(lián)起來， 形成知識體系，便于理 解和記憶，使初學者可以更快的入門。1、什么是網(wǎng)絡平安首先我們要對網(wǎng)絡平安有一個根本的概念。網(wǎng)絡平安是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡效勞不中斷。簡單來說就是，保護網(wǎng)絡不會因為惡意攻擊而中斷。了解了網(wǎng)絡平安的職責，我們就可以從

2、網(wǎng)絡攻擊的方式，網(wǎng)絡攻擊檢測手段等幾個方面來處理。在實際的學習中，我發(fā)現(xiàn)直接上手去學習效率并不是很好，因為網(wǎng)絡平安也有很多的專業(yè)名詞是不了解的所以在系統(tǒng)的學習之前對本文可能涉及到的專業(yè)名詞做一個解釋很有必要。2、網(wǎng)絡平安名詞解釋1.IRC效勞器：RC 是 Internet Relay Chat 的英文縮寫，中文一般稱為互聯(lián)網(wǎng)中繼聊天。IRC的工作原理非常簡單，您只要在自己的PC上運行客戶端軟件，然后通過因特網(wǎng)以IRC 協(xié)議連接到一臺 IRC效勞器上即可。它的特點是速度非常之快，聊天時幾乎沒有延退的現(xiàn)象，并且只占用很小的帶寬資源。2.TCP 協(xié)議：TCP (Transmission Contro

3、l Protocol傳輸控制協(xié)議)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。TCP 的平安是基于三次握手四次揮手的鏈接釋放協(xié)議(握制略)。3.UDP 協(xié)議：UDP 是 User Datagram Protocol的簡稱，UDP 協(xié)議全稱是用戶數(shù)據(jù)報協(xié)議，在網(wǎng)絡中它與 TCP 協(xié)議一樣用于處理數(shù)據(jù)包，是一種無連接的協(xié)議。其特點是無須連接， 快速，不平安，常用于文件傳輸。4.報文：報文(message)是網(wǎng)絡中交換與傳輸?shù)臄?shù)據(jù)單元，即站點一次性要發(fā)送的數(shù)據(jù)塊。報 文包含了將要發(fā)送的完整的數(shù)據(jù)信息，其長短很不一致，長度不限且可變。5.DNS : DNS ( Domain Name Sys

4、tem ，域名系統(tǒng))，因特網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的 IP數(shù)串。DNS 協(xié)議運行在 UDP 協(xié)議之上，使用端口號 53。DNS 是網(wǎng)絡攻擊中的一個 攻擊密集區(qū)，需要重點留意。6.ICMP 協(xié)議：ICMP 是(Internet Control Message Protocol ) Internet 控制報文協(xié)議。它是 TCP/IP協(xié)議族的一個子協(xié)議，用于在 IP主機、路由器之間傳遞控制消息。7.SNMP協(xié)議：簡單網(wǎng)絡管理協(xié)議(SNMP ),由一組網(wǎng)絡管理的標準組成，包含一個應用層 協(xié)議(application

5、layerprotocol )、數(shù)據(jù)庫模型(database schema )和一組資源對象。該 協(xié)議能夠支持網(wǎng)絡管理系統(tǒng)，用以監(jiān)測連接到網(wǎng)絡上的設備是否有任何引起管理上關注的情況。8.僵尸病毒：僵尸網(wǎng)絡病毒，通過連接 IRC效勞器進行通信從而控制被攻陷的計算機。僵尸網(wǎng)絡英文名稱叫 BotNet,是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡攻擊。僵尸病毒的目的在我看來是黑客在實施大規(guī)模網(wǎng)絡攻擊之前做好準備 工作，提供大量可供發(fā)起攻擊的僵尸電腦。9.木馬病毒：木馬Trojan ，也稱木馬病毒，是指通過特定的程序木馬程序來控制另一 臺計算機。 木馬程序是目前比擬流行的病毒

6、文件，與一般的病毒不同，它不會自我繁殖， 也并不 刻意地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供翻開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。木馬病毒對現(xiàn)行網(wǎng)絡有很大的威脅。10. 蠕蟲病毒：蠕蟲病毒，一種常見的計算機病毒。它的傳染機理是利用網(wǎng)絡進行復制和傳播，傳染途徑是通過網(wǎng)絡和電子郵件。對于蠕蟲，現(xiàn)在還沒有一個成套的理論體系。一般認為：蠕蟲是一種通過網(wǎng)絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征，如不利用文件寄生有的只存在于內(nèi)存中，對網(wǎng)絡造成 拒絕效勞，以及和黑客技術相結合，等等。

7、3、常見網(wǎng)絡攻擊方式網(wǎng)絡攻擊的方式多種多樣，本文就以其中六種常見的攻擊方式來做分析和了解。3.1半連接攻擊眾所周知 TCP 的可靠性是建立在其三次握制上面的，三次握制如果沒有正常完成 是不會正常連接的。 半連接攻擊就是發(fā)生在三次握手的過程之中。如果 A向 B 發(fā)起 TCP 請求，B 也按照正常情況進行響應了，但是 A 不進行第 3次握手，這就是半連接攻擊。實際 上半連接攻擊時針對的 SYN，因此半連接攻擊也叫做 SYN攻擊。SYN洪水攻擊就是基于 半連接的 SYN攻擊。3.2全連接攻擊全連接攻擊是一種通過長時間占用目標機器的連接資源，從而耗盡被攻擊主機的處理進程和連接數(shù)量的一種攻擊方式?？蛻舳?/p>

8、僅僅 連接侄 iJ 效勞器，然后再也不發(fā)送任何數(shù)據(jù)，直到效勞器超時處理或者耗盡效勞 器的處理進程。為何不發(fā)送任何數(shù)據(jù)呢？因為一旦發(fā)送了數(shù)據(jù)，效勞器檢測到數(shù)據(jù)不合法后就可能斷開此次連接；如果不發(fā)送數(shù)據(jù)的話，很多效勞器只能阻塞在 recv 或者 read 調(diào)用上。這是我們可以看出來全連接攻擊和半連接攻擊的不同之處。半連接攻擊耗盡的是系統(tǒng)的內(nèi)存；而全連接攻擊耗盡的是主機的處理進程和連接數(shù)量。3.3RST攻擊RST攻擊這種攻擊只能針對 tcp、對 udp無效。RST:Reset the connection 用于復位因某 種原因引起出現(xiàn)的錯誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到 RST 位時候，

9、通常 發(fā)生了某些錯誤。RST攻擊的目的在于斷開用戶的正常連接。假設一個合法用戶1.1.1.1已經(jīng)同效勞器建立的正常的連接，攻擊者構造攻擊的TCP 數(shù)據(jù)，偽裝自己的 IP為 1.1.1.1 ,并向效勞器發(fā)送一個帶有 RST位的 TCP 數(shù)據(jù)包。TCP 收到這樣的數(shù)據(jù)后，認為從 1.1.1.1 發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶1.1.1.1 再發(fā)送合法數(shù)據(jù)，效勞器就已經(jīng)沒有這樣的連接了，該用戶必須重新開始建立連接。3.4IP欺騙IP欺騙是利用了主機之間的正常信任關系來發(fā)動的，所以在介紹IP欺騙攻擊之前，先說明一下什么是信任關系。這種信任關系存在與 UNIX 主機上

10、，用于方便同一個用戶在不同電腦上進行操作。假設有兩臺互相信任的主機，hosta和 hostb。從主機 hostb上，你就能毫無阻礙的使用任何以r 開頭的遠程調(diào)用命令， 如：rlogin、rsh、rcp 等，而無需輸入口令驗證就可以直接登錄到hosta上。這些命令將充許以地址為根底的驗證，允許或者拒絕以IP地址為根底的存取效勞。值得一提的是這里的信任關系是基于IP的地址的。既然 hosta 和 hostb之間的信任關系是基于 IP址而建立起來的，那么假設能夠冒充 hostb 的 IP,就可以使用 rlogin登錄到 hosta，而不需任何口令驗證。這，就是 IP 欺騙的最根本 的理論依據(jù)。然后，

11、偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。連接成功后，黑客就可以入置backdoor以便后日使用 J。許多方法可以到達這個目的如SYN洪水攻擊、TTN、Land 等攻擊。3.5DNS欺騙DNS 欺騙就是攻擊者冒充域名效勞器的一種欺騙行為。原理：如果可以冒充域名效勞器， 然后把查詢的 IP 地址設為攻擊者的 IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁， 而不是用戶想要取得的網(wǎng)站的主頁了，這就是 DNS 欺騙的根本原理。DNS 欺騙其實并不是真的黑掉了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。DNS 欺騙主要的形式有 hosts 文件篡改和本機 DNS 劫持。3.6DO

12、S/DDOS攻擊DOS 攻擊：拒絕效勞制造大量數(shù)據(jù)，使受害主機或網(wǎng)絡無法及時接收并處理外界請求，或 無法及時回應外界請求。成心的攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段耗盡被攻擊對 象的資源，目的是讓目標計算機或網(wǎng)絡無法提供正常的效勞或資源訪問，使目標系統(tǒng)效勞系統(tǒng)停止響應甚至崩潰， 而在此攻擊中并不包括侵入目標效勞器或目標網(wǎng)絡設備。這些效勞資源包括網(wǎng)絡帶寬，文件系統(tǒng)空間容量，開放的進程或者允許的連接。這種攻擊會導致資源的 匱乏，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡帶寬的速度多快都無法防止這種攻 擊帶來的后果。DDOS 攻擊： 分布式拒絕效勞。多臺傀儡機肉雞同時制造大量數(shù)據(jù)。實際上是分布

13、式的 DOS 攻擊，相當于 DOS 攻擊的一種方式。4、網(wǎng)絡監(jiān)測網(wǎng)絡攻擊的受害面積廣，受害群體多，造成損失非常大，因此，對于網(wǎng)絡做監(jiān)控從而到達風險的預測是非常有必要的。做好網(wǎng)絡監(jiān)測可以有效攔截網(wǎng)絡攻擊，提醒管理者及時處理，挽回損失。網(wǎng)絡監(jiān)測的手段有多種，本文根據(jù)具體業(yè)務情景來進行了解。其一是 netFlow網(wǎng)絡監(jiān)控，其二是 DNS 報文分析。4.1使用NetFlow分析網(wǎng)絡異常流量在對 NetFlow進行學習之前，我們需要對網(wǎng)絡上的數(shù)據(jù)流有一個了解-IPFlow。IPFlow 包含有七個重要的信息。who :源 IP地址when :開始結束時間where : From 源 IP,源端口、 To

14、 目的 IP,目的端口從哪到哪what :協(xié)議類型，目標 IP,目標端口how :流量大小，流量包數(shù)why:基線，閾值，特征NetFlow最初是由 Cisco開發(fā)，檢測網(wǎng)絡數(shù)據(jù)流。Netflow提供網(wǎng)絡流量的會話級視圖，記錄下每個 TCP/IP 事務的信息。Netflow利用分析 IP 數(shù)據(jù)包的 7 種屬性，快速區(qū)分網(wǎng)絡中傳 送的各種類型的業(yè)務數(shù)據(jù)流。一個NetFlow流定義為在一個源 IP地址和目的 IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。以 NFC2.0來說，一 個完整的字段中包好有如下信息：源地址，目的地址，源自治域，目的自治域，流入接口號，流出接口號，

15、源端口，目的端口，協(xié)議類型，包數(shù)量，字節(jié)數(shù)，流數(shù)量。通過匹配監(jiān)測到的流量與已有網(wǎng)絡攻擊的流量特征進行匹配就可以完成網(wǎng)絡攻擊的監(jiān)測和 預警。4.2DNS數(shù)據(jù)報分析通過上面的學習我們也不難發(fā)現(xiàn)，DNS 是互聯(lián)網(wǎng)中相對薄弱的一個環(huán)節(jié)，也是很多黑客的首選攻擊目標。因此，通過對 DNS 報文的分析也能在一定程度上進行網(wǎng)絡攻擊的監(jiān)測。要對 DNS 報文進行分析，首先需要對DNS 的報文結構進行了解。DNS 數(shù)據(jù)報主要分為頭部和正文。頭部主要包括：會話標識2 字節(jié)：是 DNS 報文的 ID標識，對于請求報文和其對應的應答報文，這個字 段是相同的，通過它可以區(qū)分DNS 應答報文是哪個請求的響應。QR (1bi

16、t)查詢/響應標志，0為查詢，1 為響應opcode (4bit) 0表示標準查詢，1 表示反向查詢，2 表示效勞器狀態(tài)請求AA (1bit)表示授權答復TC (1bit)表示可截斷的RD (1bit)表示期望遞歸RA (1bit)表示可用遞歸rcode (4bit)表示返回碼，0表示沒有過失，3 表示名字過失，2 表示效勞器錯誤 (Server Failure )數(shù)量字段(總共 8 字節(jié))：Questions、Answer RRs、Authority RRs、Additional RRs 各 自表示后面的四個區(qū)域的數(shù)目。Questions表示查詢問題區(qū)域節(jié)的數(shù)量，Answers 表示答復區(qū)域

17、的數(shù)量, Authoritative namesversers表示授權區(qū)域的數(shù)量，Additional recoreds 表示附加區(qū)域的數(shù)量。正文局部包括以下內(nèi)容: Queries 區(qū)域：15 16Name(直詢笞，長度不固定)查詢名：長度不固定，且不使用填充字節(jié)，一般該字段表示的就是需要查詢的域名(如果 是反向查詢，那么為IP,反向查詢即由IP地址反查域名)，一般的格式如下列圖所 示。 標志(2字節(jié))：RD I RA(iero)查詢類型一般為 A,代表 IPV4查詢類通常為 1,代表 Internet 資源記錄RR區(qū)域包括答復區(qū)域，授權區(qū)域和附加區(qū)域：015 L6Mame 域名,2字節(jié)藏長度不固定Type Cldss S詢類Time to live C生存時可Datd length據(jù)長度Data 貧源數(shù)據(jù)烷度不固定資源記錄格式域名2字節(jié)或不定長：它的格式和Queries 區(qū)域的查詢名字字段是一樣的。有一點不同就是，當報文中域名重復出現(xiàn)的時候，該字段使用2 個字節(jié)的偏移指針來表示。查詢類型：說明資源紀錄的類型查詢類：對于 Internet 信息，總是 IN生存時間TTL ：以秒為 單位，表示的是資源記錄的生命周期，一般用于當?shù)刂方馕龀绦蛉〕鲑Y源記錄后決定保存及使用緩存數(shù)據(jù)的時間，它同時也可以說明該資源記錄的穩(wěn)定程度，極為穩(wěn)定的信息會被分配一個很大的值比