网络安全知识

网络安全知识入门

下面是对于网络安全的一些了解。

网络安全的知识体系非常庞大，想要系统的完成学习非简单的几天就可以完成的。所以这篇文章是以实际需求为出发点，把需要用到的知识做系统的串联起来，形成知识体系，便于理解和记忆，使初学者可以更快的入门。

1、什么是网络安全

首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。简单来说就是，保护网络不会因为恶意攻击而中断。了解了网络安全的职责，我们就可以从网络攻击的方式，网络攻击检测手段等几个方面来处理。在实际的学习中，我发现直接上手去学习效率并不是很好，因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。

2、网络安全名词解释

1. IRC服务器：RC是Internet Relay Chat 的英文缩写，中文一般称为互联网中继聊天。IRC 的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没有延迟的现象，并且只占用很小的带宽资源。

2. TCP协议：TCP（Transmission Control Protocol 传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议（握手机制略）。

3. UDP协议：UDP 是User Datagram Protocol的简称，UDP协议全称是用户数据报协议，在网络中它与TCP协议一样用于处理数据包，是一种无连接的协议。其特点是无须连接，快速，不安全，常用于文件传输。

4. 报文：报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。

5. DNS：DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS协议运行在UDP协议之上，使用端口号53。DNS是网络攻击中的一个攻击密集区，需要重点留意。

6. ICMP协议：ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是

TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

7. SNMP协议：简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema）和一组资源对象。该协

议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。

8. 僵尸病毒：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵

尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来

发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络攻击之前做好准

备工作，提供大量可供发起攻击的“僵尸电脑”。

9. 木马病毒：木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另

一台计算机。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供

打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒对现行网络有很大的威胁。

10. 蠕虫病毒：蠕虫病毒，一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。。对于蠕虫，现在还没有一个成套的理论体系。一般

认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、

破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网

络造成拒绝服务，以及和黑客技术相结合，等等。

3、常见网络攻击方式

网络攻击的方式多种多样，本文就以其中六种常见的攻击方式来做分析和了解。

3.1半连接攻击

众所周知TCP的可靠性是建立在其三次握手机制上面的，三次握手机制如果没有正常完成是

不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求，B也按照正常情况进行响应了，但是A不进行第3次握手，这就是半连接攻击。实际上半连

接攻击时针对的SYN，因此半连接攻击也叫做SYN攻击。SYN洪水攻击就是基于半连接的SYN攻击。

3.2全连接攻击

全连接攻击是一种通过长时间占用目标机器的连接资源，从而耗尽被攻击主机的处理进程和

连接数量的一种攻击方式。

客户端仅仅“连接”到服务器，然后再也不发送任何数据，直到服务器超时处理或者耗尽服务

器的处理进程。为何不发送任何数据呢？因为一旦发送了数据，服务器检测到数据不合法后

就可能断开此次连接；如果不发送数据的话，很多服务器只能阻塞在recv或者read调用上。

这是我们可以看出来全连接攻击和半连接攻击的不同之处。半连接攻击耗尽的是系统的内存；而全连接攻击耗尽的是主机的处理进程和连接数量。

3.3RST攻击

RST攻击这种攻击只能针对tcp、对udp无效。RST:(Reset the connection)用于复位因某种原

因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了

某些错误。

RST攻击的目的在于断开用户的正常连接。假设一个合法用户(1.1.1.1)已经同服务器建立的正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带

有RST位的TCP数据包。TCP收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会

清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没

有这样的连接了，该用户必须重新开始建立连接。

3.4IP欺骗

IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任关系。

这种信任关系存在与UNIX主机上，用于方便同一个用户在不同电脑上进行操作。假设有两

台互相信任的主机，hosta和hostb。从主机hostb上，你就能毫无阻碍的使用任何以r开头的

远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到hosta上。

这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。值得一提的是这里的信任关系是基于IP的地址的。

既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以使用rlogin登录到hosta，而不需任何口令验证。这，就是IP欺骗的最根本的理论依据。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。连接成

功后，黑客就可以入置backdoor以便后日使用J 。许多方法可以达到这个目的（如SYN洪

水攻击、TTN、Land等攻击）。

3.5DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然

后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，