网络安全知识入门

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全知识入门

近日,因为工作需要,对于网络安全的一些基础的知识做了一些简单的了解,并整理成总结文档以便于学习和分享。

网络安全的知识体系非常庞大,想要系统的完成学习非简单的几天就可以完成的。所以这篇文章是以实际需求为出发点,把需要用到的知识做系统的串联起来,形成知识体系,便于理解和记忆,使初学者可以更快的入门。

首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。简单来说就是,保护网络不会因为恶意攻击而中断。了解了网络安全的职责,我们就可以从网络攻击的方式,网络攻击检测手段等几个方面来处理。在实际的学习中,我发现直接上手去学习效率并不是很好,因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。

1.IRC服务器:RC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。IRC

的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。

2.TCP协议:TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可

靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议(握手机制略)。

3.UDP协议:UDP 是User Datagram Protocol的简称,UDP协议全称是用户数据报协议,

在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议。其特点是无须连接,快速,不安全,常用于文件传输。

4.报文:报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报

文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。

5.DNS:DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射

的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS协议运行在UDP协议之上,使用端口号53。DNS是网络攻击中的一个攻击密集区,需要重点留意。

6.ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是

TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。

7.SNMP协议:简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层

协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。

8.僵尸病毒:僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸

网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络攻击之前做好准备工作,提供大量可供发起攻击的“僵尸电脑”。

9.木马病毒:木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一

台计算机。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。

木马病毒对现行网络有很大的威胁。

10.蠕虫病毒:蠕虫病毒,一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,

传染途径是通过网络和电子邮件。。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。

网络攻击的方式多种多样,本文就以其中六种常见的攻击方式来做分析和了解。

3.1半连接攻击

众所周知TCP的可靠性是建立在其三次握手机制上面的,三次握手机制如果没有正常完成是不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求,B也按照正常情况进行响应了,但是A不进行第3次握手,这就是半连接攻击。实际上半连接攻击时针对的SYN,因此半连接攻击也叫做SYN攻击。SYN洪水攻击就是基于半连接的SYN攻击。

3.2全连接攻击

全连接攻击是一种通过长时间占用目标机器的连接资源,从而耗尽被攻击主机的处理进程和连接数量的一种攻击方式。

客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时处理或者耗尽服务器的处理进程。为何不发送任何数据呢?因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接;如果不发送数据的话,很多服务器只能阻塞在recv或者read调用上。

这是我们可以看出来全连接攻击和半连接攻击的不同之处。半连接攻击耗尽的是系统的内存;

而全连接攻击耗尽的是主机的处理进程和连接数量。

3.3RST攻击

RST攻击这种攻击只能针对tcp、对udp无效。RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。

RST攻击的目的在于断开用户的正常连接。假设一个合法用户(1.1.1.1)已经同服务器建立的正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据包。TCP收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户必须重新开始建立连接。

3.4IP欺骗

IP欺骗是利用了主机之间的正常信任关系来发动的,所以在介绍IP欺骗攻击之前,先说明一下什么是信任关系。

这种信任关系存在与UNIX主机上,用于方便同一个用户在不同电脑上进行操作。假设有两台互相信任的主机,hosta和hostb。从主机hostb上,你就能毫无阻碍的使用任何以r开头的远程调用命令,如:rlogin、rsh、rcp等,而无需输入口令验证就可以直接登录到hosta 上。这些命令将充许以地址为基础的验证,允许或者拒绝以IP地址为基础的存取服务。值得一提的是这里的信任关系是基于IP的地址的。

既然hosta和hostb之间的信任关系是基于IP址而建立起来的,那么假如能够冒充hostb 的IP,就可以使用rlogin登录到hosta,而不需任何口令验证。这,就是IP欺骗的最根本的理论依据。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。连接成功后,黑客就可以入置backdoor以便后日使用J 。许多方法可以达到这个目的(如SYN洪水攻击、TTN、Land等攻击)。

3.5DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

DNS欺骗主要的形式有hosts文件篡改和本机DNS劫持。

3.6DOS/DDOS攻击

DOS攻击:拒绝服务制造大量数据,使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。故意的攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。DDOS攻击:分布式拒绝服务。多台傀儡机(肉鸡)同时制造大量数据。实际上是分布式的DOS攻击,相当于DOS攻击的一种方式。

相关文档
最新文档