1、網絡安全知識入門近日因為工作需要，對于網絡安全的一些基礎的知識做了一些簡單的了解，并整理成總結文檔以便于 學習和分享。網絡安全的知識體系非常龐大，想要系統的完成學習非簡單的幾天就可以完成的。所以這篇文章是以實 際需求為岀發點，把需要用到的知識做系統的串聯起來，形成知識體系，便于理解和記憶，使初學者可 以更快的入門。1、什么是網絡安全首先我們要對網絡安全有一個基本的概念。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到 保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不 中斷。簡單來說就是，保護網絡不會因為惡意攻擊而中斷。了解了網絡安全的職責，我們就可

2、以從網絡 攻擊的方式，網絡攻擊檢測手段等幾個方面來處理。在實際的學習中，我發現直接上手去學習效率并不 是很好，因為網絡安全也有很多的專業名詞是不了解的所以在系統的學習之前對本文可能涉及到的專業 名詞做一個解釋很有必要。2、網絡安全名詞解釋1. IRC服務器：RC是In ter netRelayChat的英文縮寫，中文一般稱為互聯網中繼聊天。IRC的工作原理非2.3.4.5.6.7.常簡單，您只要在自己的PC上運行客戶端軟件，然后通過因特網以IRC協議連接到一臺IRC服務器上即可。它的特點是速度非常之快，聊天時幾乎沒有延遲的現象，并且只占用很小的帶寬資源。TCP協議：TCP （ Transmis

3、sionControlProtocol傳輸控制協議）是一種面向連接的、可靠的、基于字節流的傳輸層通信協議。TCP的安全是基于三次握手四次揮手的鏈接釋放協議（握手機制略）。UDP協議：UDP是UserDatagramProtocol的簡稱，UDP協議全稱是用戶數據報協議，在網絡中它與TCP協議一樣用于處理數據包，是一種無連接的協議。其特點是無須連接，快速，不安全，常用于文件 傳輸。報文：報文（message）是網絡中交換與傳輸的數據單元，即站點一次性要發送的數據塊。報文包含了將 要發送的完整的數據信息，其長短很不一致，長度不限且可變。DNS : DNS （ DomainNameSystem ，域

4、名系統），因特網上作為域名和IP地址相互映射的一個分布式數據庫，能夠使用戶更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。DNS協議運行在UDP協議之上，使用端口號53。DNS是網絡攻擊中的一個攻擊密集區，需要重點留意。ICMP 協議：IC MP 是（In ter netCo ntrolMessage Protocol） In ter net 控制報文協議。它是 TCP/IP 協議族的一個子協議，用于在IP主機、路由器之間傳遞控制消息。SNMP協議：簡單網絡管理協議（SNMP ），由一組網絡管理的標準組成，包含一個應用層協議（appl icati on layer protoco

5、l）、數據庫模型（databaseschema ）和一組資源對象。該協議能夠支持網絡管理系統，用以監測連接到網絡上的設備是否有任何引起管理上關注的情況。僵尸病毒：僵尸網絡病毒，通過連接IRC服務器進行通信從而控制被攻陷的計算機。僵尸網絡（英文名稱叫BotNet），是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網絡攻擊。僵尸病毒的目的在我看來是黑客在實施大規模網絡攻擊之前做好準備工作，提供大量可供發起攻擊的僵尸電腦”。8.9. 木馬病毒：木馬（Trojan ），也稱木馬病毒，是指通過特定的程序（木馬程序）來控制另一臺計算機。木馬”程序是目前比較流行的病毒文件，與一般的病毒不同

6、，它不會自我繁殖，也并不刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。木馬病毒對現行網絡有很大的威脅。10. 蠕蟲病毒：蠕蟲病毒，一種常見的計算機病毒。它的傳染機理是利用網絡進行復制和傳播，傳染途徑是 通過網絡和電子郵件。對于蠕蟲，現在還沒有一個成套的理論體系。一般認為：蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征， 如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合，等等。3、常見網絡攻擊方

7、式網絡攻擊的方式多種多樣，本文就以其中六種常見的攻擊方式來做分析和了解。半連接攻擊眾所周知TCP的可靠性是建立在其三次握手機制上面的，三次握手機制如果沒有正常完成是不會正常 連接的。半連接攻擊就是發生在三次握手的過程之中。如果A向B發起TCP請求，B也按照正常情況進行響應了，但是 A不進行第3次握手，這就是半連接攻擊。實際上半連接攻擊時針對的SYN，因此半連接攻擊也叫做 SYN攻擊。SYN洪水攻擊就是基于半連接的SYN攻擊。全連接攻擊從而耗盡被攻擊主機的處理進程和連接數量的全連接攻擊是一種通過長時間占用目標機器的連接資源, 一種攻擊方式。客戶端僅僅 連接”到服務器，然后再也不發送任何數據，直到

8、服務器超時處理或者耗盡服務器的處理進 程。為何不發送任何數據呢？因為一旦發送了數據，服務器檢測到數據不合法后就可能斷開此次連接； 如果不發送數據的話，很多服務器只能阻塞在recv或者read調用上。這是我們可以看岀來全連接攻擊和半連接攻擊的不同之處。半連接攻擊耗盡的是系統的內存；而全連接 攻擊耗盡的是主機的處理進程和連接數量。攻擊RST攻擊這種攻擊只能針對tcp、對udp無效。RST:（Resettheconnection）用于復位因某種原因引起岀現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤。欺騙IP欺騙攻擊之前，先說明一下什么是IP欺騙是利用了主機之間的

9、正常信任關系來發動的，所以在介紹 信任關系。這種信任關系存在與UNIX主機上，用于方便同一個用戶在不同電腦上進行操作。假設有兩臺互相信任的主機，hosta和hostb。從主機hostb上，你就能毫無阻礙的使用任何以r開頭的遠程調用命令，如：rlogin、rsh、rep等，而無需輸入口令驗證就可以直接登錄到hosta上。這些命令將充許以地址為基礎的驗證，允許或者拒絕以IP地址為基礎的存取服務。值得一提的是這里的信任關系是基于IP的地址的。hostb的IP，就可IP欺騙的最根本的理論依據。然后，偽裝 連接成功后，黑客就可以入置SYN洪水攻擊、TTN、Land等攻擊）。IP地址，這樣的話，用戶上網就

10、只能看到攻擊者的主頁，而不是用戶想要取得DNS欺騙的基本原理。 DNS欺騙其實并不是真的 黑掉”了對方的網站，而是既然hosta和hostb之間的信任關系是基于IP址而建立起來的，那么假如能夠冒充以使用rlogin登錄到hosta，而不需任何口令驗證。這，就是 成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。backdoor以便后日使用J。許多方法可以達到這個目的（如欺騙DNS欺騙主要的形式有hosts文件篡改和本機 DNS劫持。DDOS攻擊DOS攻擊：拒絕服務制造大量數據，使受害主機或網絡無法及時接收并處理外界請求，或無法及時回 應外界請求。故意的攻擊網絡協議實現的缺陷或直接通過

11、野蠻手段耗盡被攻擊對象的資源，目的是讓目 標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，而在此攻擊 中并不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬，文件系統空間容量，開放的 進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網絡 帶寬的速度多快都無法避免這種攻擊帶來的后果。 DDOS攻擊：分布式拒絕服務。多臺傀儡機 時制造大量數據。實際上是分布式的 DOS攻擊，相當于 DOS攻擊的一種方式。（肉雞）同4、網絡監測網絡攻擊的受害面積廣，受害群體多，造成損失非常大，因此，對于網絡做監控從而達到風險的預測是非常有

12、必要的。做好網絡監測可以有效攔截網絡攻擊，提醒管理者及時處理,挽回損失。網絡監測的手段有多種，本文根據具體業務情景來進行了解。其一是 報文分析。netFlow 網絡監控，其二是 DNS使用NetFlow分析網絡異常流量在對NetFlow進行學習之前，我們需要對網絡上的數據流有一個了解 的信息。-IPF low。IP Flow 包含有七個重要who :源IP地址when :開始結束時間where : From （源IP，源端口）、 To （目的IP，目的端口）從哪到哪 what :協議類型，目標IP，目標端口how :流量大小，流量包數why :基線，閾值，特征NetFlow 最初是由 Cisc

13、o 開發，檢測網絡數據流。Netflow 提供網絡流量的會話級視圖，記錄下每個TCP/IP事務的信息。Netflow利用分析IP數據包的7種屬性，快速區分網絡中傳送的各種類型的業務 數據流。一個 NetFlow 流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流，且所有數據包具有共同的傳輸層源、目的端口號。以來說，一個完整的字段中包好有如下信息：源地址，目的地址，DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。原理：如果可以冒充域名服務器，然后把查詢 的IP地址設為攻擊者的 的網站的主頁了，這就是 冒名頂替、招搖撞騙罷了。源自治域，目的自治域，流入接口號，流岀接口號，源端口，目的端口

14、，協議類型，包數量，字節數, 流數量。通過匹配監測到的流量與已有網絡攻擊的流量特征進行匹配就可以完成網絡攻擊的監測和預警。數據報分析通過上面的學習我們也不難發現，DNS是互聯網中相對薄弱的一個環節，也是很多黑客的首選攻擊目標。因此，通過對 DNS報文的分析也能在一定程度上進行網絡攻擊的監測。要對DNS報文進行分析，首先需要對DNS的報文結構進行了解。DNS數據報主要分為頭部和正文。頭部主要包括:會話標識（2字節）：是DNS報文的ID標識，對于請求報文和其對應的應答報文，這個字段是相同的,通過它可以區分 DNS應答報文是哪個請求的響應。標志（2字節）：？opcodercoiI AA丨TC I R

15、D I RA丨 仗旳】|L 11 L3QR（ 1bit）查詢/響應標志，0為查詢，1為響應op code （ 4bit）0表示標準查詢，1表示反向查詢，2表示服務器狀態請求 rcode（ 4bit）表示返回碼，0表示沒有差錯，3表示名字差錯，2表示服務器錯誤（Server>Failure ）AA(1bit)表示授權回答TC(1bit)表示可截斷的RD(1bit)表示期望遞歸RA(1bit)表示可用遞歸數量字段（總共 8 字節） ：Questions、AnswerRRs、AuthorityRRs 、AdditionalRRs 各自表示后面的 四個區域的數目。Questions表示查詢問題區

16、域節的數量，Answers表示回答區域的數量，Authoritative namesversers表示授權區域的數量，Additio nalrecoreds表示附加區域的數量。正文部分包括以下內容:Queries 區域：？QueryClass（查徇類）（如果是反向查詢,Manne （直誨笆,氏底不固宦）Type （査詢類型）?查詢名：長度不固定，且不使用填充字節，一般該字段表示的就是需要查詢的域名 則為IP，反向查詢即由IP地址反查域名），一般的格式如下圖所示。?t I 2mI em電的長度為2最后必須卻I 6J ；表明其后面JS名的枚度jocent長度為6?查詢類型一般為 A，代表IPV4查

17、詢類通常為 1,代表In ternet 資源記錄（RR）區域（包括回答區域，授權區域和附加區域）：15 L&Wm色（2字節或長度不固定）Type （育詢疑;Class C育詢糞）Time to live （生存吋間）Data length度）Data 資源數據,fe度不固定）資源記錄IS式?域名（2字節或不定長）：它的格式和報文中域名重復岀現的時候，該字段使用查詢類：對于In ternet信息，總是IN一般用于當地址解析程序取岀資源記錄后決定保存及使用緩存數據的時間, 錄的穩定程度，極為穩定的信息會被分配一個很大的值（比如Queries區域的查詢名字字段是一樣的。有一點不同就是，當 2個字節的偏移指針來表示。查詢類型：表明資源紀錄的類型 生存時間（TTL ）:以秒為單位，表示的是