網(wǎng)絡(luò)安全知識(shí)入門(mén)

1、7.1.IRC服務(wù)器：RC就是Internet Relay Chat得英文縮寫(xiě)，中文一般稱(chēng)為互聯(lián)網(wǎng)中繼聊天。IRC 得工作原理非常簡(jiǎn)單，您只要在自己得PC上運(yùn)行客戶(hù)端軟件，然后通過(guò)因特網(wǎng)以IRC協(xié)議連接到一臺(tái)IRC服務(wù)器上即可。它得特點(diǎn)就是速度非常之快，聊天時(shí)幾乎沒(méi)有延遲得現(xiàn)象，并且只占用很小得帶寬資源。TCP協(xié)議：TCP(Transmission ControlProtocol傳輸控制協(xié)議)就是一種面向連接得、可靠得、基于字節(jié)流得傳輸層通信協(xié)議。TCP 得安全就是基于三次握手四次揮手得鏈接釋放協(xié)議(握手機(jī)制略)。UDP協(xié)議：UDP就是User Datagram Protocol得簡(jiǎn)稱(chēng)，UDP

2、協(xié)議全稱(chēng)就是用 戶(hù)數(shù)據(jù)報(bào)協(xié)議，在網(wǎng)絡(luò)中它與TCP協(xié)議一樣用于處理數(shù)據(jù)包，就是一種無(wú)連接得協(xié)議。其特 點(diǎn)就是無(wú)須連接，快速，不安全,常用于文件傳輸。報(bào)文:報(bào)文(message)就是網(wǎng)絡(luò)中交換與傳輸?shù)脭?shù)據(jù)單元，即站點(diǎn)一次性要發(fā)送得數(shù)據(jù)塊。報(bào)文包含了將要發(fā)送得完整得數(shù)據(jù)信息，其長(zhǎng)短很不一致，長(zhǎng)度不限且可變。DNS:DNS(Domain NameSystem,域名系統(tǒng)),因特網(wǎng)上作為域名與IP地址相互映射得一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使用戶(hù)更方便得訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直 接讀取得IP數(shù)串。DNS協(xié)議運(yùn)行在UDP協(xié)議之上，使用端口號(hào)53。DNS 就是網(wǎng)絡(luò)攻擊中 得一個(gè)攻擊密集區(qū)，需要重點(diǎn)留意。I

3、CMP協(xié)議：ICMP就是(In ternet Contro1MessageProtoco1)Internet控制報(bào)文協(xié)議。它就是TCP/IP協(xié)議族得一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。SNMP協(xié)議:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP),由一組網(wǎng)絡(luò)管理得標(biāo)準(zhǔn)組成，包含一個(gè)應(yīng)用層協(xié)議(application layerprotoco1)、數(shù)據(jù)庫(kù)模型(database schema)與一組2.3.4.5.6.網(wǎng)絡(luò)安全知識(shí)入門(mén)近日,因?yàn)楣ぷ餍枰?，?duì)于網(wǎng)絡(luò)安全得一些基礎(chǔ)得知識(shí)做了一些簡(jiǎn)單得了解 檔以便于學(xué)習(xí)與分享。網(wǎng)絡(luò)安全得知識(shí)體系非常龐大，想要系統(tǒng)得完成學(xué)習(xí)非簡(jiǎn)單得幾天就可以完成得。所以這篇

4、文章就是以實(shí)際需求為出發(fā)點(diǎn)，把需要用到得知識(shí)做系統(tǒng)得串聯(lián)起來(lái)，形成知識(shí)體系，便于 理解與記憶，使初學(xué)者可以更快得入門(mén)。1、什么就是網(wǎng)絡(luò)安全首先我們要對(duì)網(wǎng)絡(luò)安全有一個(gè)基本得概念。網(wǎng)絡(luò)安全就是指網(wǎng)絡(luò)系統(tǒng)得硬件、軟件及其系統(tǒng)中得數(shù)據(jù)受到保護(hù)，不因偶然得或者惡意得原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。簡(jiǎn)單來(lái)說(shuō)就就是,保護(hù)網(wǎng)絡(luò)不會(huì)因?yàn)閻阂夤舳袛?。了解了網(wǎng)絡(luò)安全得職責(zé)，我們就可以從網(wǎng)絡(luò)攻擊得方式，網(wǎng)絡(luò)攻擊檢測(cè)手段等幾個(gè)方面來(lái)處理。在實(shí)際得學(xué)習(xí)中，我發(fā)現(xiàn)直接上手去學(xué)習(xí)效率并不就是很好，因?yàn)榫W(wǎng)絡(luò)安全也有很多得專(zhuān)業(yè)名詞就是不了解得所以在系統(tǒng)得學(xué)習(xí)之前對(duì)本文可能涉及到得專(zhuān)業(yè)名詞

5、做一個(gè)解釋很有必 要。2、網(wǎng)絡(luò)安全名詞解釋,并整理成總結(jié)文資源對(duì)象。該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)，用以監(jiān)測(cè)連接到網(wǎng)絡(luò)上得設(shè)備就是否有任何引起管理上關(guān)注得情況。僵尸病毒：僵尸網(wǎng)絡(luò)病毒，通過(guò)連接IRC服務(wù)器進(jìn)行通信從而控制被攻陷得計(jì)算機(jī)。 僵尸網(wǎng)絡(luò)（英文名稱(chēng)叫BotNet），就是互聯(lián)網(wǎng)上受到黑客集中控制得一群計(jì)算機(jī)，往往被 黑客用來(lái)發(fā)起大規(guī)模得網(wǎng)絡(luò)攻擊。僵尸病毒得目得在我瞧來(lái)就是黑客在實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊 之前做好準(zhǔn)備工作，提供大量可供發(fā)起攻擊得僵尸電腦”。木馬病毒：木馬（TroJan），也稱(chēng)木馬病毒,就是指通過(guò)特定得程序（木馬程序）來(lái)控 制另一臺(tái)計(jì)算機(jī)。木馬”程序就是目前比較流行得病毒文件，與一般得

6、病毒不同，它不會(huì)自我繁殖,也并不 刻意”地去感染其她文件，它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行，向施種木馬者提供打開(kāi)被種主機(jī)得門(mén)戶(hù)，使施種者可以任意毀壞、竊取被種者得文件，甚至遠(yuǎn)程操控被種主機(jī)。木馬病毒對(duì)現(xiàn)行網(wǎng)絡(luò)有很大得威脅。蠕蟲(chóng)病毒：蠕蟲(chóng)病毒，一種常見(jiàn)得計(jì)算機(jī)病毒。它得傳染機(jī)理就是利用網(wǎng)絡(luò)進(jìn)行復(fù)制 與傳播，傳染途徑就是通過(guò)網(wǎng)絡(luò)與電子郵件。對(duì)于蠕蟲(chóng)，現(xiàn)在還沒(méi)有一個(gè)成套得理論體系。一般認(rèn)為：蠕蟲(chóng)就是一種通過(guò)網(wǎng)絡(luò)傳播得惡性病毒，它具有病毒得一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己得一些特征，如不利用文件寄生（有得只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及與黑客技術(shù)相結(jié)合，等等。3、常見(jiàn)網(wǎng)絡(luò)

7、攻擊方式網(wǎng)絡(luò)攻擊得方式多種多樣，本文就以其中六種常見(jiàn)得攻擊方式來(lái)做分析與了解。8.9.10.3、1半連接攻擊眾所周知TCP得可靠性就是建立在其三次握手機(jī)制上面得，三次握手機(jī)制如果沒(méi)有正常完成就是不會(huì)正常連接得。半連接攻擊就就是發(fā)生在三次握手得過(guò)程之中。如果 A 向B發(fā)起 TCP請(qǐng)求，B也按照正常情況進(jìn)行響應(yīng)了，但就是A不進(jìn)行第3次握手，這就就是半連接攻擊。 實(shí)際上半連接攻擊時(shí)針對(duì)得SYN，因此半連接攻擊也叫做SYN攻擊SYN洪水攻擊就就是基于半連接得SYN攻擊。3、2全連接攻擊全連接攻擊就是一種通過(guò)長(zhǎng)時(shí)間占用目標(biāo)機(jī)器得連接資源 與連接數(shù)量得一種攻擊方式?？蛻?hù)端僅僅 連接”到服務(wù)器，然后再也不發(fā)

8、送任何數(shù)據(jù)， 直到服務(wù)器超時(shí)處理或者耗盡服務(wù)器 得處理進(jìn)程。為何不發(fā)送任何數(shù)據(jù)呢？因?yàn)橐坏┌l(fā)送了數(shù)據(jù)，服務(wù)器檢測(cè)到數(shù)據(jù)不合法后就可能斷開(kāi)此次連接；如果不發(fā)送數(shù)據(jù)得話， 很多服務(wù)器只能阻塞在recv或者read 調(diào)用 上。這就是我們可以瞧出來(lái)全連接攻擊與半連接攻擊得不同之處。內(nèi)存;而全連接攻擊耗盡得就是主機(jī)得處理進(jìn)程與連接數(shù)量。3、3RST攻擊，從而耗盡被攻擊主機(jī)得處理進(jìn)程半連接攻擊耗盡得就是系統(tǒng)得RST 攻擊這種攻擊只能針對(duì)tcp、對(duì) Udp無(wú)效。RST:（Resetthe connection）用 于復(fù)位因某種原因引起出現(xiàn)得錯(cuò)誤連接，也用來(lái)拒絕非法數(shù)據(jù)與請(qǐng)求。 如果接收到 RST位時(shí) 候，通

9、常發(fā)生了某些錯(cuò)誤。RST攻擊得目得在于斷開(kāi)用戶(hù)得正常連接。假設(shè)一個(gè)合法用戶(hù)（1、1、1、1）已經(jīng)同服務(wù)器建立得正常得連接，攻擊者構(gòu)造攻擊得 TCP數(shù)據(jù)，偽裝自己得 IP為 1、1、1、1，并向 服務(wù)器發(fā)送一個(gè)帶有RST位得TCP數(shù)據(jù)包。TCP收到這樣得數(shù)據(jù)后，認(rèn)為從 1、1、1、1發(fā)送得連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好得連接。這時(shí)，如果合法用戶(hù) 1、1、1、1 再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣得連接了，該用戶(hù)必須重新開(kāi)始建立連接。3、4IP欺騙IP欺騙就是利用了主機(jī)之間得正常信任關(guān)系來(lái)發(fā)動(dòng)得，所以在介紹IP欺騙攻擊之前，先說(shuō)明一下什么就是信任關(guān)系。這種信任關(guān)系存在與UNIX臺(tái)互相信任得主

10、機(jī),hostr開(kāi)頭得遠(yuǎn)程調(diào)用命令，如：osta上。這些命令將充許以地址為基礎(chǔ)得驗(yàn)證， 允許或者拒絕以 務(wù)。值得一提得就是這里得信任關(guān)系就是基于IP 得地址得。既然hosta 與hostb之間得信任關(guān)系就是基于IP 址而建立起來(lái)得，那么假如能夠冒充hostb得IP,就可以使用rlogin登錄到hosta,而不需任何口令驗(yàn)證。 這， 就就是 騙得最根本得理論依據(jù)。 然后，偽裝成被信任得主機(jī) 得應(yīng)用連接。連接成功后，黑客就可以入置 backdoor這個(gè)目得（如SYN 洪水攻擊、TTN、La nd等攻擊）。3、5DNS欺騙DNS 欺騙就就是攻擊者冒充域名服務(wù)器得一種欺騙行為。然后把查詢(xún)得IP地址設(shè)為攻

11、擊者得 IP地址，這樣得話,用戶(hù)上網(wǎng)就只能瞧到攻擊者得主頁(yè) 而不就是用戶(hù)想要取得得網(wǎng)站得主頁(yè)了，這就就是 DNS欺騙得基本原理。DNS欺騙其實(shí)并不就是真得黑掉”了對(duì)方得網(wǎng)站，而就是冒名頂替、招搖撞騙罷了。DNS欺騙主要得形式有 hosts文件篡改與本機(jī)DNS劫持。3、6DOS/DDOS攻擊DOS 攻擊:拒絕服務(wù)制造大量數(shù)據(jù)，使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及時(shí)回應(yīng)外界請(qǐng)求。故意得攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)得缺陷或直接通過(guò)野蠻手段耗盡被攻擊對(duì)象 得資源，目得就是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常得服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)

12、設(shè)備。這些服務(wù)資 源包括網(wǎng)主機(jī)上，a與 horlogin、用于方便同一個(gè)用戶(hù)在不同電腦上進(jìn)行操作。假設(shè)有兩stb。從主機(jī)hostb上，您就能毫無(wú)阻礙得使用任何以rsh、rcp 等,而無(wú)需輸入口令驗(yàn)證就可以直接登錄到 hIP 地址為基礎(chǔ)得存取服IP欺,同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證 以便后日使用J。許多方法可以達(dá)到原理:如果可以冒充域名服務(wù)器絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放得進(jìn)程或者允許得連接。這種攻擊會(huì)導(dǎo)致資源得 匱乏，無(wú)論計(jì)算機(jī)得處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬得速度多快都無(wú)法避免這種攻 擊帶來(lái)得后果。DDOS攻擊:分布式拒絕服務(wù)。 多臺(tái)傀儡機(jī)（肉雞）同時(shí)制造大量數(shù)據(jù)。實(shí)際上就是分布式得

13、DOS攻擊，相當(dāng)于DOS 攻擊得一種方式。4、網(wǎng)絡(luò)監(jiān)測(cè)網(wǎng)絡(luò)攻擊得受害面積廣，受害群體多，造成損失非常大，因此，對(duì)于網(wǎng)絡(luò)做監(jiān)控從而達(dá)到風(fēng)險(xiǎn)得 預(yù)測(cè)就是非常有必要得。做好網(wǎng)絡(luò)監(jiān)測(cè)可以有效攔截網(wǎng)絡(luò)攻擊,提醒管理者及時(shí)處理，挽回?fù)p失。網(wǎng)絡(luò)監(jiān)測(cè)得手段有多種，本文根據(jù)具體業(yè)務(wù)情景來(lái)進(jìn)行了解。其一就是 n 其二就是DNS 報(bào)文分析。在對(duì)NetFlow進(jìn)行學(xué)習(xí)之前，我們需要對(duì)網(wǎng)絡(luò)上得數(shù)據(jù)流有一個(gè)了解- W 包含有七個(gè)重要得信息。who:源IP地址when:開(kāi)始結(jié)束時(shí)間where:From（源 IP,源端口）、To（目得 IP,目得端口）從哪到哪what:協(xié)議類(lèi)型，目標(biāo) IP,目標(biāo)端口how:流量大小，流量包數(shù)

14、why:基線，閾值,特征NetFlow 最初就是由 Cisco 開(kāi)發(fā)，檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流。Netflow提供網(wǎng)絡(luò)流量得會(huì)話級(jí)視 圖,記錄下每個(gè)TCP/IP事務(wù)得信息。Netflow利用分析IP數(shù)據(jù)包得7種屬性，快速區(qū) 分網(wǎng)絡(luò)中傳送得各種類(lèi)型得業(yè)務(wù)數(shù)據(jù)流。一個(gè)NetFlow流定義為在一個(gè)源IP地址與目得IP地址間傳輸?shù)脝蜗驍?shù)據(jù)包流_，且所有數(shù)據(jù)包具有共同得傳輸層源、目得端口號(hào)。以 NFC2、0 來(lái)說(shuō)，一個(gè)完整得字段中包好有如下信息：源地址，目得地址，源自治域，目得自治域，流入接口號(hào)，流出接口號(hào)，源端口，目得端口，協(xié)議類(lèi)型，包數(shù)量，字節(jié)數(shù)，流數(shù)量。通過(guò)匹配監(jiān)測(cè)到得流量與已有網(wǎng)絡(luò)攻擊得流量特征進(jìn)行匹配就

15、可以完成網(wǎng)絡(luò)攻擊得監(jiān)測(cè)與 預(yù)警。4、2DNS數(shù)據(jù)報(bào)分析通過(guò)上面得學(xué)習(xí)我們也不難發(fā)現(xiàn)，DNS就是互聯(lián)網(wǎng)中相對(duì)薄弱得一個(gè)環(huán)節(jié)，也就是很多黑客得首選攻擊目標(biāo)。因此，通過(guò)對(duì)DNS報(bào)文得分析也能在一定程度上進(jìn)行網(wǎng)絡(luò)攻擊得監(jiān)測(cè)。要對(duì)DNS報(bào)文進(jìn)行分析，首先需要對(duì)DNS得報(bào)文結(jié)構(gòu)進(jìn)行了解。會(huì)話標(biāo)識(shí)（2字節(jié)）：就是DNS 報(bào)文得 ID標(biāo)識(shí)，對(duì)于請(qǐng)求報(bào)文與其對(duì)應(yīng)得應(yīng)答報(bào)文,這個(gè)字段就是相同得，通過(guò)它可以區(qū)分DNS應(yīng)答報(bào)文就是哪個(gè)請(qǐng)求得響應(yīng)。etFlow網(wǎng)絡(luò)監(jiān)控,4、1使用NetFlow分析網(wǎng)絡(luò)異常流量-IPF10W。IPFloDNS數(shù)據(jù)報(bào)主要分為頭部與正文。頭部主要包括：I I AAAA I I TCTC I

16、I RDRD I I RARA I I（ZFB）QR(1bit)查詢(xún)/響應(yīng)標(biāo)志,0為查詢(xún),1為響應(yīng)opcode(4bit)0表示標(biāo)準(zhǔn)查詢(xún)，1表示反向查詢(xún),2表示服務(wù)器狀態(tài)請(qǐng)求AA(1bit) 表示授權(quán)回答TC(1bit)表示可截?cái)嗟肦D(1bit)表示期望遞歸RA(1bit)表示可用遞歸rcode(4bit)表示返回碼,0表示沒(méi)有差錯(cuò)，3表示名字差錯(cuò),2表示服務(wù)器錯(cuò)誤(Server Failure)數(shù)量字段(總共8字節(jié)):QUestions、AnswerRRs、AuthorityRRs、AdditionalRRs各自表示后面得四個(gè)區(qū)域得數(shù)目。Questions表示查詢(xún)問(wèn)題區(qū)域節(jié)得數(shù) 量,Ans

17、wers表示回答區(qū)域得數(shù)量，Authoritativenamesversers表示授權(quán)區(qū)域得正文部分包括以下內(nèi)容：Queries 區(qū)域：1515 1616NameName 査詢(xún)省.丘度不逝)數(shù)量，Additionalrecoreds表示附加區(qū)域得數(shù)量。標(biāo)志(2字節(jié))：FlagsFlags I I QRQR | |L LopcodeopcodeL L 1 1 L L L L3 3QueryQueryI I AAAA I I TCTC I I RDRD I I RARA I I（ZFB）TypeType （ g g 詢(xún)翹）查詢(xún)名：長(zhǎng)度不固定，且不使用填充字節(jié)，一般該字段表示得就就是需要查詢(xún)得域名(

18、如果就是反向查詢(xún)，則為IP,反向查詢(xún)即由IP地址反查域名)，一般得格式如下圖所 示。ClassClass （類(lèi)）n I t Z I m enrniEniE 的長(zhǎng)度為 2 2查詢(xún)類(lèi)型一般為A,代表IPV4 查詢(xún)類(lèi)通常為1，代表In ternet資源記錄（RR）區(qū)域（包括回答區(qū)域，授權(quán)區(qū)域與附加區(qū) 域）：ueries 區(qū)域得查詢(xún)名字字段就是一樣得。有一點(diǎn)不，該字段使用2個(gè)字節(jié)得偏移指針來(lái)表示。查詢(xún)類(lèi)In ternet信息，總就是IN生存時(shí)間（TTL）:以秒為單 一般用于當(dāng)?shù)刂方馕龀绦蛉〕鲑Y源記錄后決定保存及使用緩存數(shù)據(jù)得時(shí)間，它同時(shí)也可以表明該資源記錄得穩(wěn)定程度，極為穩(wěn)定得信息會(huì)被分配一個(gè)很大得值（比如86400,這就是一天得秒數(shù)）。資源數(shù)據(jù):該字段就是一個(gè)可變長(zhǎng)字段 表示按照查詢(xún)段得要求返回得相關(guān)資源記錄得數(shù)據(jù)?？梢跃褪茿ddress（表明查詢(xún)報(bào)文想要得回應(yīng)就是一個(gè)IP 地址）或者CNAME（表明查詢(xún)報(bào)文想要得回應(yīng)就是一個(gè)規(guī)范主機(jī)名）等。皿誑，域名浪字節(jié) iEiE 長(zhǎng)度不固定）TypeType （青詢(xún)類(lèi)型）CldssCldss t t 査詢(xún)類(lèi)）TinriGTinriG toto live