1、網絡安全知識入門近日，因為工作需要，對于網絡安全的一些基礎的知識做了一些簡單的了解，并整理成總結 文檔以便于學習和分享。網絡安全的知識體系非常龐大，想要系統的完成學習非簡單的幾天就可以完成的。所以這篇 文章是以實際需求為出發點，把需要用到的知識做系統的串聯起來，形成知識體系，便于理 解和記憶，使初學者可以更快的入門。1、什么是網絡安全首先我們要對網絡安全有一個基本的概念。網絡安全是指網絡系統的硬件、軟件及其系統中 的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正 常地運行，網絡服務不中斷。簡單來說就是，保護網絡不會因為惡意攻擊而中斷。了解了網 絡安全的職責，我們

2、就可以從網絡攻擊的方式，網絡攻擊檢測手段等幾個方面來處理。在實 際的學習中，我發現直接上手去學習效率并不是很好，因為網絡安全也有很多的專業名詞是 不了解的所以在系統的學習之前對本文可能涉及到的專業名詞做一個解釋很有必要。2、網絡安全名詞解釋1. irc 服務器：rc 是 internet relay chat 的英文縮寫，中文一般稱為互聯網中繼聊天。irc 的工作原理非常簡單，您只要在自己的 pc 上運行客戶端軟件，然后通過因特網以 irc 協 議連接到一臺 irc 服務器上即可。它的特點是速度非常之快，聊天時幾乎沒有延遲的現象， 并且只占用很小的帶寬資源。2. tcp 協議：tcp（tran

3、smission control protocol 傳輸控制協議）是一種面向連接的、可 靠的、基于字節流的傳輸層通信協議。tcp 的安全是基于三次握手四次揮手的鏈接釋放協 議（握手機制略）。3. udp 協議：udp 是 user datagram protocol 的簡稱， udp 協議全稱是用戶數據報協議， 在網絡中它與 tcp 協議一樣用于處理數據包，是一種無連接的協議。其特點是無須連接， 快速，不安全，常用于文件傳輸。4.報文：報文(message)是網絡中交換與傳輸的數據單元，即站點一次性要發送的數據塊。報 文包含了將要發送的完整的數據信息，其長短很不一致，長度不限且可變。5. dn

4、s：dns（domain name system，域名系統），因特網上作為域名和 ip 地址相互映射 的一個分布式數據庫，能夠使用戶更方便的訪問互聯網，而不用去記住能夠被機器直接讀取 的 ip 數串。dns 協議運行在 udp 協議之上，使用端口號 53。dns 是網絡攻擊中的一個 攻擊密集區，需要重點留意。6. icmp 協議：icmp 是（internet control message protocol）internet 控制報文協議。它是 tcp/ip 協議族的一個子協議，用于在 ip 主機、路由器之間傳遞控制消息。7. snmp 協議：簡單網絡管理協議（snmp），由一組網絡管理的標

5、準組成，包含一個應用層 協議（application layer protocol）、數據庫模型（database schema）和一組資源對象。該 協議能夠支持網絡管理系統，用以監測連接到網絡上的設備是否有任何引起管理上關注的情 況。8. 僵尸病毒：僵尸網絡病毒，通過連接 irc 服務器進行通信從而控制被攻陷的計算機。僵尸 網絡(英文名稱叫 botnet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發 起大規模的網絡攻擊。僵尸病毒的目的在我看來是黑客在實施大規模網絡攻擊之前做好準備 工作，提供大量可供發起攻擊的“僵尸電腦”。9. 木馬病毒：木馬（trojan）,也稱木馬病毒，是指

6、通過特定的程序（木馬程序）來控制另一 臺計算機。“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖， 也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供 打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。 木馬病毒對現行網絡有很大的威脅。10. 蠕蟲病毒：蠕蟲病毒，一種常見的計算機病毒。它的傳染機理是利用網絡進行復制和傳播， 傳染途徑是通過網絡和電子郵件。對于蠕蟲，現在還沒有一個成套的理論體系。一般認為： 蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性 等等，同時具有自己的一些

7、特征，如不利用文件寄生（有的只存在于內存中），對網絡造成 拒絕服務，以及和黑客技術相結合，等等。3、常見網絡攻擊方式網絡攻擊的方式多種多樣，本文就以其中六種常見的攻擊方式來做分析和了解。3.1 半連接攻擊眾所周知 tcp 的可靠性是建立在其三次握手機制上面的，三次握手機制如果沒有正常完成 是不會正常連接的。半連接攻擊就是發生在三次握手的過程之中。如果 a 向 b 發起 tcp 請 求，b 也按照正常情況進行響應了，但是 a 不進行第 3 次握手，這就是半連接攻擊。實際 上半連接攻擊時針對的 syn，因此半連接攻擊也叫做 syn 攻擊。syn 洪水攻擊就是基于 半連接的 syn 攻擊。3.2 全

8、連接攻擊全連接攻擊是一種通過長時間占用目標機器的連接資源，從而耗盡被攻擊主機的處理進程和 連接數量的一種攻擊方式?？蛻舳藘H僅“連接”到服務器，然后再也不發送任何數據，直到服務器超時處理或者耗盡服務 器的處理進程。為何不發送任何數據呢？ 因為一旦發送了數據，服務器檢測到數據不合法 后就可能斷開此次連接；如果不發送數據的話，很多服務器只能阻塞在 recv 或者 read 調用 上。這是我們可以看出來全連接攻擊和半連接攻擊的不同之處。半連接攻擊耗盡的是系統的內存； 而全連接攻擊耗盡的是主機的處理進程和連接數量。3.3rst 攻擊rst 攻擊這種攻擊只能針對 tcp、對 udp 無效。rst:(res

9、et the connection)用于復位因某 種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到 rst 位時候，通常 發生了某些錯誤。rst 攻擊的目的在于斷開用戶的正常連接。假設一個合法用戶(1.1.1.1)已經同服務器建立的 正常的連接，攻擊者構造攻擊的 tcp 數據，偽裝自己的 ip 為 1.1.1.1，并向服務器發送一 個帶有 rst 位的 tcp 數據包。tcp 收到這樣的數據后，認為從 1.1.1.1 發送的連接有錯誤， 就會清空緩沖區中建立好的連接。這時，如果合法用戶 1.1.1.1 再發送合法數據，服務器就 已經沒有這樣的連接了，該用戶必須重新開始建立連接。3

10、.4ip 欺騙ip 欺騙是利用了主機之間的正常信任關系來發動的，所以在介紹 ip 欺騙攻擊之前，先說明 一下什么是信任關系。這種信任關系存在與 unix 主機上，用于方便同一個用戶在不同電腦上進行操作。假設有兩 臺互相信任的主機，hosta 和 hostb。從主機 hostb 上，你就能毫無阻礙的使用任何以 r 開 頭的遠程調用命令，如：rlogin、rsh、rcp 等，而無需輸入口令驗證就可以直接登錄到 hosta 上。這些命令將充許以地址為基礎的驗證，允許或者拒絕以 ip 地址為基礎的存取服務。值 得一提的是這里的信任關系是基于 ip 的地址的。既然 hosta 和 hostb 之間的信任

11、關系是基于 ip 址而建立起來的，那么假如能夠冒充 hostb 的 ip，就可以使用 rlogin 登錄到 hosta，而不需任何口令驗證。這，就是 ip 欺騙的最根本 的理論依據。然后，偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。 連接成功后，黑客就可以入置 backdoor 以便后日使用 j 。許多方法可以達到這個目的（如 syn 洪水攻擊、ttn、land 等攻擊）。3.5dns 欺騙dns 欺騙就是攻擊者冒充域名服務器的一種欺騙行為。 原理：如果可以冒充域名服務器， 然后把查詢的 ip 地址設為攻擊者的 ip 地址，這樣的話，用戶上網就只能看到攻擊者的主頁， 而不是

12、用戶想要取得的網站的主頁了，這就是 dns 欺騙的基本原理。dns 欺騙其實并不是 真的“黑掉”了對方的網站，而是冒名頂替、招搖撞騙罷了。dns 欺騙主要的形式有 hosts 文件篡改和本機 dns 劫持。3.6dos/ddos 攻擊dos 攻擊：拒絕服務制造大量數據，使受害主機或網絡無法及時接收并處理外界請求，或 無法及時回應外界請求。故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段耗盡被攻擊對 象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系 統停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些服務資 源包括網絡帶寬，文件系統空間容量，開

13、放的進程或者允許的連接。這種攻擊會導致資源的 匱乏，無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻 擊帶來的后果。 ddos 攻擊：分布式拒絕服務。多臺傀儡機(肉雞)同時制造大量數據。實 際上是分布式的 dos 攻擊，相當于 dos 攻擊的一種方式。4、網絡監測網絡攻擊的受害面積廣，受害群體多，造成損失非常大，因此，對于網絡做監控從而達到風 險的預測是非常有必要的。做好網絡監測可以有效攔截網絡攻擊，提醒管理者及時處理，挽 回損失。網絡監測的手段有多種，本文根據具體業務情景來進行了解。其一是 netflow 網絡監控，其 二是 dns 報文分析。4.1 使用 netf

14、low 分析網絡異常流量在對 netflow 進行學習之前，我們需要對網絡上的數據流有一個了解-ipflow。ipflow 包 含有七個重要的信息。who：源 ip 地址when：開始結束時間where：from（源 ip，源端口）、to（目的 ip，目的端口）從哪到哪what：協議類型，目標 ip，目標端口how：流量大小，流量包數why：基線，閾值，特征netflow 最初是由 cisco 開發，檢測網絡數據流。netflow 提供網絡流量的會話級視圖，記 錄下每個 tcp/ip 事務的信息。netflow 利用分析 ip 數據包的 7 種屬性，快速區分網絡中傳 送的各種類型的業務數據流。

15、一個 netflow 流定義為在一個源 ip 地址和目的 ip 地址間傳 輸的單向數據包流，且所有數據包具有共同的傳輸層源、目的端口號。以nfc2.0 來說，一 個完整的字段中包好有如下信息：源地址，目的地址，源自治域，目的自治域，流入接口號， 流出接口號，源端口，目的端口，協議類型，包數量，字節數，流數量。通過匹配監測到的流量與已有網絡攻擊的流量特征進行匹配就可以完成網絡攻擊的監測和 預警。4.2dns 數據報分析通過上面的學習我們也不難發現，dns 是互聯網中相對薄弱的一個環節，也是很多黑客的 首選攻擊目標。因此，通過對 dns 報文的分析也能在一定程度上進行網絡攻擊的監測。要對 dns

16、報文進行分析，首先需要對 dns 的報文結構進行了解。dns 數據報主要分為頭部和正文。 頭部主要包括：會話標識（2 字節）：是 dns 報文的 id 標識，對于請求報文和其對應的應答報文，這個字 段是相同的，通過它可以區分 dns 應答報文是哪個請求的響應。標志（2 字 節）：qr（1bit） 查詢/響應標志，0 為查詢，1 為響應opcode（4bit） 0 表示標準查詢，1 表示反向查詢，2 表示服務器狀態請求aa（1bit） 表示授權回答tc（1bit） 表示可截斷的rd（1bit） 表示期望遞歸ra（1bit） 表示可用遞歸rcode（4bit） 表示返回碼，0 表示沒有差錯，3 表

17、示名字差錯，2 表示服務器錯誤（server failure）數量字段（總共 8 字節）：questions、answer rrs、authority rrs、additional rrs 各 自表示后面的四個區域的數目。questions 表示查詢問題區域節的數量，answers 表示回答 區域的數量，authoritative namesversers 表示授權區域的數量，additional recoreds 表示 附加區域的數量。正文部分包括以下內容： queries 區域：查詢名：長度不固定，且不使用填充字節，一般該字段表示的就是需要查詢的域名（如果 是反向查詢，則為 ip，反向查詢即由 ip 地址反查域名），一般的格式如下圖所示。查詢類型一般為 a，代表 ipv4 查詢類通常為 1，代表 internet 資源記錄(rr)區域（包括回答區域，授權區域和附加區 域）：域名（2 字節或不定長）：它的格式和 queries 區域的查詢名字字段是一樣的。有一點不 同就是，當報文中域名重復出現的時候，該字段使用 2 個字節的偏移指針來表示。 查詢類 型：表明資源紀錄的類型 查詢類：對于 internet 信息，總是 in 生存時間（ttl）：以秒為 單位，表示的是資源記錄的生命周期，一般用于當地址解析程序取出資源記錄后決定保存及 使用緩存數據的時間，它同時也可以表明該資源