網(wǎng)絡(luò)安全知識入門

1、網(wǎng)絡(luò)安全知識入門近日，因為工作需要，對于網(wǎng)絡(luò)安全的一些基礎(chǔ)的知識做了一些簡單的了解，并整理成總結(jié) 文檔以便于學(xué)習(xí)和分享。網(wǎng)絡(luò)安全的知識體系非常龐大，想要系統(tǒng)的完成學(xué)習(xí)非簡單的幾天就可以完成的。所以這篇 文章是以實際需求為出發(fā)點，把需要用到的知識做系統(tǒng)的串聯(lián)起來，形成知識體系，便于理 解和記憶，使初學(xué)者可以更快的入門。1、什么是網(wǎng)絡(luò)安全首先我們要對網(wǎng)絡(luò)安全有一個基本的概念。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中 的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正 常地運行，網(wǎng)絡(luò)服務(wù)不中斷。簡單來說就是，保護網(wǎng)絡(luò)不會因為惡意攻擊而中斷。了解了網(wǎng) 絡(luò)安全的職責(zé)，我們

2、就可以從網(wǎng)絡(luò)攻擊的方式，網(wǎng)絡(luò)攻擊檢測手段等幾個方面來處理。在實 際的學(xué)習(xí)中，我發(fā)現(xiàn)直接上手去學(xué)習(xí)效率并不是很好，因為網(wǎng)絡(luò)安全也有很多的專業(yè)名詞是 不了解的所以在系統(tǒng)的學(xué)習(xí)之前對本文可能涉及到的專業(yè)名詞做一個解釋很有必要。2、網(wǎng)絡(luò)安全名詞解釋1. irc 服務(wù)器：rc 是 internet relay chat 的英文縮寫，中文一般稱為互聯(lián)網(wǎng)中繼聊天。irc 的工作原理非常簡單，您只要在自己的 pc 上運行客戶端軟件，然后通過因特網(wǎng)以 irc 協(xié) 議連接到一臺 irc 服務(wù)器上即可。它的特點是速度非常之快，聊天時幾乎沒有延遲的現(xiàn)象， 并且只占用很小的帶寬資源。2. tcp 協(xié)議：tcp（tran

3、smission control protocol 傳輸控制協(xié)議）是一種面向連接的、可 靠的、基于字節(jié)流的傳輸層通信協(xié)議。tcp 的安全是基于三次握手四次揮手的鏈接釋放協(xié) 議（握手機制略）。3. udp 協(xié)議：udp 是 user datagram protocol 的簡稱， udp 協(xié)議全稱是用戶數(shù)據(jù)報協(xié)議， 在網(wǎng)絡(luò)中它與 tcp 協(xié)議一樣用于處理數(shù)據(jù)包，是一種無連接的協(xié)議。其特點是無須連接， 快速，不安全，常用于文件傳輸。4.報文：報文(message)是網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元，即站點一次性要發(fā)送的數(shù)據(jù)塊。報 文包含了將要發(fā)送的完整的數(shù)據(jù)信息，其長短很不一致，長度不限且可變。5. dn

4、s：dns（domain name system，域名系統(tǒng)），因特網(wǎng)上作為域名和 ip 地址相互映射 的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取 的 ip 數(shù)串。dns 協(xié)議運行在 udp 協(xié)議之上，使用端口號 53。dns 是網(wǎng)絡(luò)攻擊中的一個 攻擊密集區(qū)，需要重點留意。6. icmp 協(xié)議：icmp 是（internet control message protocol）internet 控制報文協(xié)議。它是 tcp/ip 協(xié)議族的一個子協(xié)議，用于在 ip 主機、路由器之間傳遞控制消息。7. snmp 協(xié)議：簡單網(wǎng)絡(luò)管理協(xié)議（snmp），由一組網(wǎng)絡(luò)管理的標(biāo)

5、準(zhǔn)組成，包含一個應(yīng)用層 協(xié)議（application layer protocol）、數(shù)據(jù)庫模型（database schema）和一組資源對象。該 協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)，用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情 況。8. 僵尸病毒：僵尸網(wǎng)絡(luò)病毒，通過連接 irc 服務(wù)器進行通信從而控制被攻陷的計算機。僵尸 網(wǎng)絡(luò)(英文名稱叫 botnet)，是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機，往往被黑客用來發(fā) 起大規(guī)模的網(wǎng)絡(luò)攻擊。僵尸病毒的目的在我看來是黑客在實施大規(guī)模網(wǎng)絡(luò)攻擊之前做好準(zhǔn)備 工作，提供大量可供發(fā)起攻擊的“僵尸電腦”。9. 木馬病毒：木馬（trojan）,也稱木馬病毒，是指

6、通過特定的程序（木馬程序）來控制另一 臺計算機?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖， 也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供 打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機。 木馬病毒對現(xiàn)行網(wǎng)絡(luò)有很大的威脅。10. 蠕蟲病毒：蠕蟲病毒，一種常見的計算機病毒。它的傳染機理是利用網(wǎng)絡(luò)進行復(fù)制和傳播， 傳染途徑是通過網(wǎng)絡(luò)和電子郵件。對于蠕蟲，現(xiàn)在還沒有一個成套的理論體系。一般認(rèn)為： 蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性 等等，同時具有自己的一些

7、特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成 拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合，等等。3、常見網(wǎng)絡(luò)攻擊方式網(wǎng)絡(luò)攻擊的方式多種多樣，本文就以其中六種常見的攻擊方式來做分析和了解。3.1 半連接攻擊眾所周知 tcp 的可靠性是建立在其三次握手機制上面的，三次握手機制如果沒有正常完成 是不會正常連接的。半連接攻擊就是發(fā)生在三次握手的過程之中。如果 a 向 b 發(fā)起 tcp 請 求，b 也按照正常情況進行響應(yīng)了，但是 a 不進行第 3 次握手，這就是半連接攻擊。實際 上半連接攻擊時針對的 syn，因此半連接攻擊也叫做 syn 攻擊。syn 洪水攻擊就是基于 半連接的 syn 攻擊。3.2 全

8、連接攻擊全連接攻擊是一種通過長時間占用目標(biāo)機器的連接資源，從而耗盡被攻擊主機的處理進程和 連接數(shù)量的一種攻擊方式。客戶端僅僅“連接”到服務(wù)器，然后再也不發(fā)送任何數(shù)據(jù)，直到服務(wù)器超時處理或者耗盡服務(wù) 器的處理進程。為何不發(fā)送任何數(shù)據(jù)呢？ 因為一旦發(fā)送了數(shù)據(jù)，服務(wù)器檢測到數(shù)據(jù)不合法 后就可能斷開此次連接；如果不發(fā)送數(shù)據(jù)的話，很多服務(wù)器只能阻塞在 recv 或者 read 調(diào)用 上。這是我們可以看出來全連接攻擊和半連接攻擊的不同之處。半連接攻擊耗盡的是系統(tǒng)的內(nèi)存； 而全連接攻擊耗盡的是主機的處理進程和連接數(shù)量。3.3rst 攻擊rst 攻擊這種攻擊只能針對 tcp、對 udp 無效。rst:(res

9、et the connection)用于復(fù)位因某 種原因引起出現(xiàn)的錯誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到 rst 位時候，通常 發(fā)生了某些錯誤。rst 攻擊的目的在于斷開用戶的正常連接。假設(shè)一個合法用戶(1.1.1.1)已經(jīng)同服務(wù)器建立的 正常的連接，攻擊者構(gòu)造攻擊的 tcp 數(shù)據(jù)，偽裝自己的 ip 為 1.1.1.1，并向服務(wù)器發(fā)送一 個帶有 rst 位的 tcp 數(shù)據(jù)包。tcp 收到這樣的數(shù)據(jù)后，認(rèn)為從 1.1.1.1 發(fā)送的連接有錯誤， 就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶 1.1.1.1 再發(fā)送合法數(shù)據(jù)，服務(wù)器就 已經(jīng)沒有這樣的連接了，該用戶必須重新開始建立連接。3

10、.4ip 欺騙ip 欺騙是利用了主機之間的正常信任關(guān)系來發(fā)動的，所以在介紹 ip 欺騙攻擊之前，先說明 一下什么是信任關(guān)系。這種信任關(guān)系存在與 unix 主機上，用于方便同一個用戶在不同電腦上進行操作。假設(shè)有兩 臺互相信任的主機，hosta 和 hostb。從主機 hostb 上，你就能毫無阻礙的使用任何以 r 開 頭的遠(yuǎn)程調(diào)用命令，如：rlogin、rsh、rcp 等，而無需輸入口令驗證就可以直接登錄到 hosta 上。這些命令將充許以地址為基礎(chǔ)的驗證，允許或者拒絕以 ip 地址為基礎(chǔ)的存取服務(wù)。值 得一提的是這里的信任關(guān)系是基于 ip 的地址的。既然 hosta 和 hostb 之間的信任

11、關(guān)系是基于 ip 址而建立起來的，那么假如能夠冒充 hostb 的 ip，就可以使用 rlogin 登錄到 hosta，而不需任何口令驗證。這，就是 ip 欺騙的最根本 的理論依據(jù)。然后，偽裝成被信任的主機，同時建立起與目標(biāo)主機基于地址驗證的應(yīng)用連接。 連接成功后，黑客就可以入置 backdoor 以便后日使用 j 。許多方法可以達(dá)到這個目的（如 syn 洪水攻擊、ttn、land 等攻擊）。3.5dns 欺騙dns 欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。 原理：如果可以冒充域名服務(wù)器， 然后把查詢的 ip 地址設(shè)為攻擊者的 ip 地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁， 而不是

12、用戶想要取得的網(wǎng)站的主頁了，這就是 dns 欺騙的基本原理。dns 欺騙其實并不是 真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。dns 欺騙主要的形式有 hosts 文件篡改和本機 dns 劫持。3.6dos/ddos 攻擊dos 攻擊：拒絕服務(wù)制造大量數(shù)據(jù)，使受害主機或網(wǎng)絡(luò)無法及時接收并處理外界請求，或 無法及時回應(yīng)外界請求。故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段耗盡被攻擊對 象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)系 統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資 源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開

13、放的進程或者允許的連接。這種攻擊會導(dǎo)致資源的 匱乏，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻 擊帶來的后果。 ddos 攻擊：分布式拒絕服務(wù)。多臺傀儡機(肉雞)同時制造大量數(shù)據(jù)。實 際上是分布式的 dos 攻擊，相當(dāng)于 dos 攻擊的一種方式。4、網(wǎng)絡(luò)監(jiān)測網(wǎng)絡(luò)攻擊的受害面積廣，受害群體多，造成損失非常大，因此，對于網(wǎng)絡(luò)做監(jiān)控從而達(dá)到風(fēng) 險的預(yù)測是非常有必要的。做好網(wǎng)絡(luò)監(jiān)測可以有效攔截網(wǎng)絡(luò)攻擊，提醒管理者及時處理，挽 回?fù)p失。網(wǎng)絡(luò)監(jiān)測的手段有多種，本文根據(jù)具體業(yè)務(wù)情景來進行了解。其一是 netflow 網(wǎng)絡(luò)監(jiān)控，其 二是 dns 報文分析。4.1 使用 netf

14、low 分析網(wǎng)絡(luò)異常流量在對 netflow 進行學(xué)習(xí)之前，我們需要對網(wǎng)絡(luò)上的數(shù)據(jù)流有一個了解-ipflow。ipflow 包 含有七個重要的信息。who：源 ip 地址when：開始結(jié)束時間where：from（源 ip，源端口）、to（目的 ip，目的端口）從哪到哪what：協(xié)議類型，目標(biāo) ip，目標(biāo)端口how：流量大小，流量包數(shù)why：基線，閾值，特征netflow 最初是由 cisco 開發(fā)，檢測網(wǎng)絡(luò)數(shù)據(jù)流。netflow 提供網(wǎng)絡(luò)流量的會話級視圖，記 錄下每個 tcp/ip 事務(wù)的信息。netflow 利用分析 ip 數(shù)據(jù)包的 7 種屬性，快速區(qū)分網(wǎng)絡(luò)中傳 送的各種類型的業(yè)務(wù)數(shù)據(jù)流。

15、一個 netflow 流定義為在一個源 ip 地址和目的 ip 地址間傳 輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。以nfc2.0 來說，一 個完整的字段中包好有如下信息：源地址，目的地址，源自治域，目的自治域，流入接口號， 流出接口號，源端口，目的端口，協(xié)議類型，包數(shù)量，字節(jié)數(shù)，流數(shù)量。通過匹配監(jiān)測到的流量與已有網(wǎng)絡(luò)攻擊的流量特征進行匹配就可以完成網(wǎng)絡(luò)攻擊的監(jiān)測和 預(yù)警。4.2dns 數(shù)據(jù)報分析通過上面的學(xué)習(xí)我們也不難發(fā)現(xiàn)，dns 是互聯(lián)網(wǎng)中相對薄弱的一個環(huán)節(jié)，也是很多黑客的 首選攻擊目標(biāo)。因此，通過對 dns 報文的分析也能在一定程度上進行網(wǎng)絡(luò)攻擊的監(jiān)測。要對 dns

16、報文進行分析，首先需要對 dns 的報文結(jié)構(gòu)進行了解。dns 數(shù)據(jù)報主要分為頭部和正文。 頭部主要包括：會話標(biāo)識（2 字節(jié)）：是 dns 報文的 id 標(biāo)識，對于請求報文和其對應(yīng)的應(yīng)答報文，這個字 段是相同的，通過它可以區(qū)分 dns 應(yīng)答報文是哪個請求的響應(yīng)。標(biāo)志（2 字 節(jié)）：qr（1bit） 查詢/響應(yīng)標(biāo)志，0 為查詢，1 為響應(yīng)opcode（4bit） 0 表示標(biāo)準(zhǔn)查詢，1 表示反向查詢，2 表示服務(wù)器狀態(tài)請求aa（1bit） 表示授權(quán)回答tc（1bit） 表示可截斷的rd（1bit） 表示期望遞歸ra（1bit） 表示可用遞歸rcode（4bit） 表示返回碼，0 表示沒有差錯，3 表

17、示名字差錯，2 表示服務(wù)器錯誤（server failure）數(shù)量字段（總共 8 字節(jié)）：questions、answer rrs、authority rrs、additional rrs 各 自表示后面的四個區(qū)域的數(shù)目。questions 表示查詢問題區(qū)域節(jié)的數(shù)量，answers 表示回答 區(qū)域的數(shù)量，authoritative namesversers 表示授權(quán)區(qū)域的數(shù)量，additional recoreds 表示 附加區(qū)域的數(shù)量。正文部分包括以下內(nèi)容： queries 區(qū)域：查詢名：長度不固定，且不使用填充字節(jié)，一般該字段表示的就是需要查詢的域名（如果 是反向查詢，則為 ip，反向查詢即由 ip 地址反查域名），一般的格式如下圖所示。查詢類型一般為 a，代表 ipv4 查詢類通常為 1，代表 internet 資源記錄(rr)區(qū)域（包括回答區(qū)域，授權(quán)區(qū)域和附加區(qū) 域）：域名（2 字節(jié)或不定長）：它的格式和 queries 區(qū)域的查詢名字字段是一樣的。有一點不 同就是，當(dāng)報文中域名重復(fù)出現(xiàn)的時候，該字段使用 2 個字節(jié)的偏移指針來表示。 查詢類 型：表明資源紀(jì)錄的類型 查詢類：對于 internet 信息，總是 in 生存時間（ttl）：以秒為 單位，表示的是資源記錄的生命周期，一般用于當(dāng)?shù)刂方馕龀绦蛉〕鲑Y源記錄后決定保存及 使用緩存數(shù)據(jù)的時間，它同時也可以表明該資源