網(wǎng)絡(luò)安全知識(shí)入門

1、網(wǎng)絡(luò)安全知識(shí)入門近日 ,因?yàn)楣ぷ餍枰瑢?duì)于網(wǎng)絡(luò)安全得一些基礎(chǔ)得知識(shí)做了一些簡單得了解,并整理成總結(jié)文檔以便于學(xué)習(xí)與分享。網(wǎng)絡(luò)安全得知識(shí)體系非常龐大 ,想要系統(tǒng)得完成學(xué)習(xí)非簡單得幾天就可以完成得。所以這篇 文章就是以實(shí)際需求為出發(fā)點(diǎn) ,把需要用到得知識(shí)做系統(tǒng)得串聯(lián)起來，形成知識(shí)體系，便于 理解與記憶 ,使初學(xué)者可以更快得入門。、什么就是網(wǎng)絡(luò)安全首先我們要對(duì)網(wǎng)絡(luò)安全有一個(gè)基本得概念。 網(wǎng)絡(luò)安全就是指網(wǎng)絡(luò)系統(tǒng)得硬件、 軟件及其系統(tǒng)要。2、網(wǎng)絡(luò)安全名詞解釋1. IRC 服務(wù)器 :RC 就是 Int rnet Relay Chat 得英文縮寫 ,中文一般稱為互聯(lián)網(wǎng)中繼聊 天。 IR得工作原理非常簡單 ,

2、您只要在自己得 PC 上運(yùn)行客戶端軟件 ,然后通過因特網(wǎng)以 I C 協(xié)議連接到一臺(tái) IRC 服務(wù)器上即可。它得特點(diǎn)就是速度非常之快,聊天時(shí)幾乎沒有延遲得現(xiàn)象 ,并且只占用很小得帶寬資源。2. P 協(xié)議 ： P（Tra smiss on Control P otocol 傳輸控制協(xié)議 ）就是一種面向連接得、可靠得、基于字節(jié)流得傳輸層通信協(xié)議。T 得安全就是基于三次握手四次揮手得鏈接釋放協(xié)議（握手機(jī)制略）。3. DP 協(xié)議： P 就是 User Datagram P otocol 得簡稱,DP 協(xié)議全稱就是用 戶數(shù)據(jù)報(bào)協(xié)議 , 在網(wǎng)絡(luò)中它與 TCP 協(xié)議一樣用于處理數(shù)據(jù)包 ,就是一種無連接得協(xié)議。

3、其特 點(diǎn)就是無須連接 ,快速,不安全 ,常用于文件傳輸。4. 報(bào)文:報(bào)文（ ssage ）就是網(wǎng)絡(luò)中交換與傳輸?shù)脭?shù)據(jù)單元 ,即站點(diǎn)一次性要發(fā)送得數(shù)據(jù)塊。報(bào)文包含了將要發(fā)送得完整得數(shù)據(jù)信息，其長短很不一致，長度不限且可變。5. DN :N （Doma n Na System, 域名系統(tǒng) ）,因特網(wǎng)上作為域名與 IP 地址相互映射得一個(gè)分布式數(shù)據(jù)庫 ,能夠使用戶更方便得訪問互聯(lián)網(wǎng) ,而不用去記住能夠被機(jī)器直 接讀取得 IP數(shù)串。 DS協(xié)議運(yùn)行在 UDP 協(xié)議之上 ,使用端口號(hào) 53 。DN 就是網(wǎng)絡(luò)攻擊中 得一個(gè)攻擊密集區(qū) ,需要重點(diǎn)留意。6. ICMP 協(xié)議 :CMP 就是（ Internet

4、Contro Mssa e rotoco ） Int rnet 控 制報(bào)文協(xié)議。它就是 TC IP協(xié)議族得一個(gè)子協(xié)議，用于在IP 主機(jī)、路由器之間傳遞控制消息。7. SNMP 協(xié)議 :簡單網(wǎng)絡(luò)管理協(xié)議 （SNP）,由一組網(wǎng)絡(luò)管理得標(biāo)準(zhǔn)組成 ,包含一個(gè)應(yīng)用層協(xié)議 （ pliaton layer rotoc ）、數(shù)據(jù)庫模型 （datbae sc ema）與一組資源對(duì)象。該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng) ,用以監(jiān)測(cè)連接到網(wǎng)絡(luò)上得設(shè)備就是否有任何引起 管理上關(guān)注得情況。8.9.10.僵尸病毒 ：僵尸網(wǎng)絡(luò)病毒， 通過連接 IRC 服務(wù)器進(jìn)行通信從而控制被攻陷得計(jì)算機(jī)。 僵尸網(wǎng)絡(luò) （英文名稱叫 Bot ），就是

5、互聯(lián)網(wǎng)上受到黑客集中控制得一群計(jì)算機(jī)，往往被 黑客用來發(fā)起大規(guī)模得網(wǎng)絡(luò)攻擊。 僵尸病毒得目得在我瞧來就是黑客在實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊 之前做好準(zhǔn)備工作 ,提供大量可供發(fā)起攻擊得 “僵尸電腦 ”。木馬病毒 :木馬（ Tro ） ,也稱木馬病毒 ,就是指通過特定得程序 （木馬程序 ）來控 制另一臺(tái)計(jì)算機(jī)。 “木馬 ”程序就是目前比較流行得病毒文件 ,與一般得病毒不同 ,它不會(huì)自我 繁殖,也并不 “刻意”地去感染其她文件 ,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機(jī)得門戶，使施種者可以任意毀壞、竊取被種者得文件,甚至遠(yuǎn)程操控被種主機(jī)。木馬病毒對(duì)現(xiàn)行網(wǎng)絡(luò)有很大得威脅。蠕蟲病毒 :蠕蟲病

6、毒，一種常見得計(jì)算機(jī)病毒。它得傳染機(jī)理就是利用網(wǎng)絡(luò)進(jìn)行復(fù)制 與傳播，傳染途徑就是通過網(wǎng)絡(luò)與電子郵件。 。對(duì)于蠕蟲， 現(xiàn)在還沒有一個(gè)成套得理論體系。 一般認(rèn)為 :蠕蟲就是一種通過網(wǎng)絡(luò)傳播得惡性病毒,它具有病毒得一些共性 ,如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己得一些特征,如不利用文件寄生 （有得只存在于內(nèi)存中 ）,對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及與黑客技術(shù)相結(jié)合 ,等等。、常見網(wǎng)絡(luò)攻擊方式網(wǎng)絡(luò)攻擊得方式多種多樣 ,本文就以其中六種常見得攻擊方式來做分析與了解。3、半連接攻擊眾所周知 TCP 得可靠性就是建立在其三次握手機(jī)制上面得,三次握手機(jī)制如果沒有正常完成就是不會(huì)正常連接得。半連接攻擊就就是發(fā)生在

7、三次握手得過程之中。如果向 B 發(fā)起 P 請(qǐng)求,B 也按照正常情況進(jìn)行響應(yīng)了 ,但就是 A不進(jìn)行第 3 次握手,這就就是半連接攻擊。 實(shí)際上半連接攻擊時(shí)針對(duì)得 S N, 因此半連接攻擊也叫做 SYN 攻擊。 N 洪水攻擊就就 是基于 半連接得 SYN 攻擊。3、2 全連接攻擊全連接攻擊就是一種通過長時(shí)間占用目標(biāo)機(jī)器得連接資源,從而耗盡被攻擊主機(jī)得處理進(jìn)程與連接數(shù)量得一種攻擊方式。客戶端僅僅 “連接 ”到服務(wù)器 ,然后再也不發(fā)送任何數(shù)據(jù)， 直到服務(wù)器超時(shí)處理或者耗盡服務(wù)器 得處理進(jìn)程。為何不發(fā)送任何數(shù)據(jù)呢？ 因?yàn)橐坏┌l(fā)送了數(shù)據(jù)，服務(wù)器檢測(cè)到數(shù)據(jù)不合法后 就可能斷開此次連接 ;如果不發(fā)送數(shù)據(jù)得話，

8、 很多服務(wù)器只能阻塞在 r v 或者 r a調(diào)用 上。這就是我們可以瞧出來全連接攻擊與半連接攻擊得不同之處。 半連接攻擊耗盡得就是系統(tǒng)得 內(nèi)存 ;而全連接攻擊耗盡得就是主機(jī)得處理進(jìn)程與連接數(shù)量。3、3R T 攻擊R攻擊這種攻擊只能針對(duì) tcp 、對(duì) dp 無效。 RST:（R set e con e tion ）用 于復(fù)位因某種原因引起出現(xiàn)得錯(cuò)誤連接,也用來拒絕非法數(shù)據(jù)與請(qǐng)求。 如果接收到 ST 位時(shí)候,通常發(fā)生了某些錯(cuò)誤。ST 攻擊得目得在于斷開用戶得正常連接。假設(shè)一個(gè)合法用戶（1、1、1、 1）已經(jīng)同服務(wù)器建立得正常得連接 ,攻擊者構(gòu)造攻擊得 CP 數(shù)據(jù)，偽裝自己得 P 為、 1、1、 1

9、，并向 服務(wù)器發(fā)送一個(gè)帶有 RST 位得 TCP 數(shù)據(jù)包。 TCP 收到這樣得數(shù)據(jù)后 ,認(rèn)為從、 1、 1、1 發(fā)送得連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好得連接。這時(shí),如果合法用戶、 1、1 、再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣得連接了,該用戶必須重新開始建立連接。3、4IP 欺騙IP 欺騙就是利用了主機(jī)之間得正常信任關(guān)系來發(fā)動(dòng)得,所以在介紹 IP 欺騙攻擊之前 ,先說明一下什么就是信任關(guān)系。這種信任關(guān)系存在與 UNIX 主機(jī)上， 用于方便同一個(gè)用戶在不同電腦上進(jìn)行操作。 假設(shè)有兩 臺(tái)互相信任得主機(jī) , sa 與 o tb 。從主機(jī) h b 上,您就能毫無阻礙得使用任何以 r 開頭得遠(yuǎn)程調(diào)用命

10、令 ,如： rlo in 、 rsh 、rc 等 ,而無需輸入口令驗(yàn)證就可以直接登錄到 sta 上。這些命令將充許以地址為基礎(chǔ)得驗(yàn)證，允許或者拒絕以I地址為基礎(chǔ)得存取服務(wù)。值得一提得就是這里得信任關(guān)系就是基于I得地址得。既然 hos 與 hosb 之間得信任關(guān)系就是基于 I址而建立起來得，那么假如能夠冒充 otb 得 IP,就可以使用 r in 登錄到 ho ta, 而不需任何口令驗(yàn)證。這，就就是IP 欺騙得最根本得理論依據(jù)。然后，偽裝成被信任得主機(jī),同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證得應(yīng)用連接。連接成功后 ,黑客就可以入置 ackdoor 以便后日使用 J 。許多方法可以達(dá)到 這個(gè)目得 （如

11、SY洪水攻擊、 TTN 、Land 等攻擊 ）。3、5欺騙DN欺騙就就是攻擊者冒充域名服務(wù)器得一種欺騙行為。原理 :如果可以冒充域名服務(wù)器 ,然后把查詢得 IP 地址設(shè)為攻擊者得 P 地址 ,這樣得話 , 用戶上網(wǎng)就只能瞧到攻擊者得主頁 , 而不就是用戶想要取得得網(wǎng)站得主頁了,這就就是 NS 欺騙得基本原理。 DNS 欺騙其實(shí)并不就是真得 “黑掉 ”了對(duì)方得網(wǎng)站 ,而就是冒名頂替、招搖撞騙罷了。NS 欺騙主要得形式有 osts 文件篡改與本機(jī) DNS 劫持。3、 S/DD S 攻擊DO 攻擊 :拒絕服務(wù)制造大量數(shù)據(jù)，使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界請(qǐng)求,或無法及時(shí)回應(yīng)外界請(qǐng)求。 故意得攻

12、擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)得缺陷或直接通過野蠻手段耗盡被攻擊對(duì)象 得資源 ,目得就是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常得服務(wù)或資源訪問,使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰 ,而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資 源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量,開放得進(jìn)程或者允許得連接。這種攻擊會(huì)導(dǎo)致資源得匱乏 ,無論計(jì)算機(jī)得處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬得速度多快都無法避免這種攻 擊帶來得后果。 DOS 攻擊:分布式拒絕服務(wù)。 多臺(tái)傀儡機(jī) （肉雞 ）同時(shí)制造大量數(shù)據(jù)。實(shí) 際上就是分布式得 DOS 攻擊，相當(dāng)于 D攻擊得一種方式。、網(wǎng)絡(luò)監(jiān)測(cè)網(wǎng)絡(luò)攻擊得受害面積廣 ,受害群體多 ,造成損失非常大 ,

13、因此 ,對(duì)于網(wǎng)絡(luò)做監(jiān)控從而達(dá)到風(fēng)險(xiǎn)得 預(yù)測(cè)就是非常有必要得。做好網(wǎng)絡(luò)監(jiān)測(cè)可以有效攔截網(wǎng)絡(luò)攻擊,提醒管理者及時(shí)處理 ,挽回?fù)p失。網(wǎng)絡(luò)監(jiān)測(cè)得手段有多種 ,本文根據(jù)具體業(yè)務(wù)情景來進(jìn)行了解。其一就是etFlow 網(wǎng)絡(luò)監(jiān)控 ,其二就是 D 報(bào)文分析。、1使用 NetFlow 分析網(wǎng)絡(luò)異常流量在對(duì) NetFlow 進(jìn)行學(xué)習(xí)之前， 我們需要對(duì)網(wǎng)絡(luò)上得數(shù)據(jù)流有一個(gè)了解-IPF ow 。IPF 包含有七個(gè)重要得信息。who: 源 IP 地址when: 開始結(jié)束時(shí)間where:From（ 源 P ，源端口 ）、 o（目得 P,目得端口）從哪到哪w a:協(xié)議類型 ,目標(biāo) P,目標(biāo)端口how ：流量大小，流量包數(shù)wh

14、y: 基線 ,閾值 ,特征NtFlo 最初就是由 ic開發(fā) ,檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流。 N t ow 提供網(wǎng)絡(luò)流量得會(huì)話級(jí)視 圖,記錄下每個(gè) TC IP事務(wù)得信息。 Ne ow利用分析 IP 數(shù)據(jù)包得 7種屬性 ,快速區(qū) 分網(wǎng)絡(luò)中傳送得各種類型得業(yè)務(wù)數(shù)據(jù)流。一個(gè)Nelw流定義為在一個(gè)源 IP 地址與目得 IP 地址間傳輸?shù)脝蜗驍?shù)據(jù)包流 ,且所有數(shù)據(jù)包具有共同得傳輸層源、 目得端口號(hào)。 以 FC 、來說 ,一個(gè)完整得字段中包好有如下信息：源地址, 目得地址 ,源自治域 ,目得自治域，流入接口號(hào) ,流出接口號(hào) ,源端口，目得端口 ,協(xié)議類型，包數(shù)量 ,字節(jié)數(shù) ,流數(shù)量。通過匹配監(jiān)測(cè)到得流量與已有網(wǎng)絡(luò)攻擊得

15、流量特征進(jìn)行匹配就可以完成網(wǎng)絡(luò)攻擊得監(jiān)測(cè)與 預(yù)警。4、2DNS 數(shù)據(jù)報(bào)分析 通過上面得學(xué)習(xí)我們也不難發(fā)現(xiàn)， DNS 就是互聯(lián)網(wǎng)中相對(duì)薄弱得一個(gè)環(huán)節(jié) , 也就是很多黑客 得首選攻擊目標(biāo)。因此 ,通過對(duì) D S 報(bào)文得分析也能在一定程度上進(jìn)行網(wǎng)絡(luò)攻擊得監(jiān)測(cè)。要對(duì) DNS 報(bào)文進(jìn)行分析 ,首先需要對(duì) DNS 得報(bào)文結(jié)構(gòu)進(jìn)行了解。NS 數(shù)據(jù)報(bào)主要分為頭部與正文。頭部主要包括 :會(huì)話標(biāo)識(shí) （2 字節(jié)）:就是 DN 報(bào)文得 D 標(biāo)識(shí)，對(duì)于請(qǐng)求報(bào)文與其對(duì)應(yīng)得應(yīng)答報(bào)文， 這個(gè)字段就是相同得 ,通過它可以區(qū)分 DNS 應(yīng)答報(bào)文就是哪個(gè)請(qǐng)求得響應(yīng)。標(biāo)志 （2 字節(jié)）:QR（1bt） 查詢/響應(yīng)標(biāo)志 ,0為查詢 ,

16、1為響應(yīng)opcode（4b t） 0 表示標(biāo)準(zhǔn)查詢， 1 表示反向查詢 ,2 表示服務(wù)器狀態(tài)請(qǐng)求AA （ bit ） 表示授權(quán)回答TC（1bit ） 表示可截?cái)嗟肦D （ 1bi ） 表示期望遞歸RA（1 it） 表示可用遞歸roe（4bt） 表示返回碼 ,0 表示沒有差錯(cuò) ,表示名字差錯(cuò) ,2 表示服務(wù)器錯(cuò)誤 （S rver > Failure ）數(shù)量字段 （總共 8 字節(jié)）:Q esti ns 、 nswer Rs 、Auth r t RR 、 Add t on l Rs 各自表示后面得四個(gè)區(qū)域得數(shù)目。 uestio s 表示查詢問題區(qū)域節(jié)得數(shù) 量,An r表示回答區(qū)域得數(shù)量 , u

17、 horitati naever es 表示授權(quán)區(qū)域得 數(shù)量 ,d onal recore s 表示附加區(qū)域得數(shù)量。正文部分包括以下內(nèi)容?ue ie 區(qū)域:查詢名 :長度不固定 ,且不使用填充字節(jié) ,一般該字段表示得就就是需要查詢得域名（如果就是反向查詢 ,則為 IP, 反向查詢即由 IP 地址反查域名 ）,一般得格式如下圖所示。查詢類型一般為 A, 代表 I V 查詢類通常為 1，代表 Internet 資源記錄 （R ）區(qū)域（包括回答區(qū)域 ,授權(quán)區(qū)域與附加區(qū) 域） :域名 （2 字節(jié)或不定長） :它得格式與 ueri 區(qū)域得查詢名字字段就是一樣得。有一點(diǎn)不 同就就是 ,當(dāng)報(bào)文中域名重復(fù)出現(xiàn)得時(shí)候 ,該字段使用 2 個(gè)字節(jié)得偏移指針來表示。 查詢類 型:表明資源紀(jì)錄得類型 查詢類 :對(duì)于 Internet 信息,總就是 IN 生存時(shí)間（ TTL ）：以秒為單 位，表示得就是資源記錄得生命周期， 一般用于當(dāng)?shù)刂方馕龀绦蛉〕鲑Y源記錄后決定保存及 使用緩存數(shù)據(jù)得時(shí)間，它同時(shí)也可以表明該資源記錄得穩(wěn)定程度,極為穩(wěn)定得信息