網(wǎng)絡安全技術課程學習體會

1、課程學習體會通過學習網(wǎng)絡安全技術這門課，我了解到隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關重要的問題。認真分析網(wǎng)絡面臨的威脅，我認為，計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網(wǎng)絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用先進的

2、技術和產(chǎn)品，構造全方位的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。學習了這門課程，讓我對網(wǎng)絡安全技術有了深刻的了解及體會：一、網(wǎng)絡安全的簡介：安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可性。從本質(zhì)上說，網(wǎng)絡的安全和信息的安全等同，指的是網(wǎng)絡系統(tǒng)的軟硬件和系統(tǒng)中的數(shù)據(jù)受到保護，不受各種偶然的或者惡意的網(wǎng)絡攻擊而遭到損壞、修改、刪除等，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。從廣泛意義上講，凡是涉及到網(wǎng)絡上信息的完整性、保密性、可控性，可用性和不可否認性的相關技術和理論都是網(wǎng)絡安全所要進行研究的領域。提供安全性的所有技術大致分為兩個部分：1、對將被發(fā)送的信息進行安全性相關的變換，包括消息的加密，通過加密攪

3、亂了該消息，使攻擊者不可讀；2、增加基于該消息內(nèi)容的代碼，使之能夠用于證實發(fā)送者的身份。二、網(wǎng)絡安全脆弱的原因：1、開放性的網(wǎng)絡環(huán)境正如一句非常經(jīng)典的話：“Internet的美妙之處在于你和每個人都能互相連接，Internet的可怕之處在于每個人都能和你相互連接。2、源于協(xié)議本身的挑戰(zhàn)有網(wǎng)絡傳輸就有網(wǎng)絡傳輸協(xié)議的存在，每一種網(wǎng)絡傳輸協(xié)議都有不同的層次、不同方面的漏洞，被廣大用戶使用的TCP/IP也不例外的存在著自身的漏洞。如網(wǎng)絡應用層服務的安全隱患、IP層通信系統(tǒng)的易欺騙性、數(shù)據(jù)傳輸機制為廣播發(fā)送等。3、操作系統(tǒng)存在漏洞使用網(wǎng)絡離不開操作系統(tǒng)，操作系統(tǒng)的安全性對網(wǎng)絡安全同樣有非常重要的影響，有

4、很多攻擊方法都是從尋找操作系統(tǒng)缺陷入手的。如系統(tǒng)模型本身的缺陷、操作系統(tǒng)的源代碼存在Bug、操作系統(tǒng)程序配置不正確、安全管理知識的缺乏也是影響網(wǎng)絡安全的一個重要因素。三、網(wǎng)絡攻擊與防御技術：黑客攻擊和網(wǎng)絡安全的是緊密結合在一起的，研究網(wǎng)絡安全不研究黑客攻擊技術簡直是紙上談兵，研究攻擊技術不研究網(wǎng)絡安全就是閉門造車。某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進行檢測，并對相關的漏洞采取措施。1、網(wǎng)絡攻擊的步驟：（1）第一步：隱藏IP這一步必須做，因為如果自己的入侵的痕跡被發(fā)現(xiàn)了，當FBI找上門的時候就一切都晚了。通常有兩種方法實現(xiàn)自己IP的隱藏： 第一種方法是首先入侵

5、互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計算機的IP地址。比如攻擊A國的站點，一般選擇離A國很遠的B國計算機作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。（2）第二步：踩點掃描 踩點就是通過各種途徑對所要攻擊的目標進行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準確），確定攻擊的時間和地點。掃描的目的是利用各種工具在攻擊目標的IP地址或地址段的主機上尋找漏洞。掃描分成兩種策略：被動式策略和主動式策略。（3）第三步：獲得系統(tǒng)或管理員權限得到管理

6、員權限的目的是連接到遠程計算機，對其進行控制，達到自己攻擊目的。獲得系統(tǒng)及管理員權限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權限；通過管理漏洞獲得管理員權限；通過軟件漏洞得到系統(tǒng)權限；通過監(jiān)聽獲得敏感信息進一步獲得相應權限；通過弱口令獲得遠程管理員的用戶密碼；通過窮舉法獲得遠程管理員的用戶密碼；通過攻破與目標機有信任關系另一臺機器進而得到目標機的控制權；通過欺騙獲得權限以及其他有效的方法。（4）第四步：種植后門為了保持長期對自己勝利果實的訪問權,在已經(jīng)攻破的計算機上種植一些供自己訪問的后門。（5）第五步：在網(wǎng)絡中隱身一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲了相關的登錄日志，這樣就容易被管理員發(fā)現(xiàn)，

7、在入侵完畢后需要清除登錄日志已經(jīng)其他相關的日志。2、幾類攻擊與防御手法介紹：攻擊類型服務拒絕攻擊定義服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為，方法概覽防御死亡之ping （ping of death）由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當

8、機?，F(xiàn)在所有的標準TCP/IP實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火墻進行配置，阻斷ICMP以及任何未知協(xié)議，都講防止此類攻擊。 淚滴（teardrop）淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊

9、偏移的偽造分段時將崩潰。服務器應用最新的服務包，或者在設置防火墻時對分段進行重組，而不是轉(zhuǎn)發(fā)它們。UDP洪水（UDP flood）各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導致帶寬的服務攻擊。關掉不必要的TCP/IP服務，或者對防火墻進行配置阻斷來自Internet的請求這些服務的UDP請求。SYN洪水（SYN flood）一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量

10、的計算機發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN洪水具有類似的影響。在防火墻上過濾來自同一主機的后續(xù)連接。 未來的SYN洪水令人擔憂，由于釋放洪水的并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。Land攻擊在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址，此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超

11、時掉，對Land攻擊反應不同，許多UNIX實現(xiàn)將崩潰，NT變的極其緩慢（大約持續(xù)五分鐘）。打最新的補丁，或者在防火墻進行配置，將那些在外部接口上入站的含有內(nèi)部源地址濾掉。（包括10域、127域、192.168域、172.16到172.31域）。Smurf攻擊一個簡單的smurf攻擊通過使用將回復地址設置成受害網(wǎng)絡的廣播地址的ICMP應答請求（ping）數(shù)據(jù)包來淹沒受害主機的方式進行，最終導致該網(wǎng)絡的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡阻塞，比pingof death洪水的流量高出一或兩個數(shù)量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。防御：為了防止黑客利

12、用你的網(wǎng)絡攻擊他人，關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設置規(guī)則，丟棄掉ICMP包。Fraggle攻擊Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP。在防火墻上過濾掉UDP應答消息。電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬。對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息?；蜗⒐舾黝惒僮飨到y(tǒng)上的許多服務都存在此類問題，由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。打最新的服務補丁。攻擊類型利

13、用型攻擊定義利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，口令猜測一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器控制。 要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。特洛伊木馬特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。 最有效的一種叫做后門程序，惡意程序包括：NetBus、Back

14、Orifice和BO2k,用于控制系統(tǒng)的良性程序如：netcat、VNC、pcAnywhere。理想的后門程序透明運行。 避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務。緩沖區(qū)溢出由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數(shù)，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)的控制權就會被奪取。利用SafeLib、tripwire這樣的程序保護系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)。攻擊類型信息收集型攻

15、擊定義信息收集型攻擊并不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務。掃描技術地址掃描運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。 防御：在防火墻上過濾掉ICMP應答消息。 許多防火墻能檢測到是否被掃描，并自動阻斷掃描企圖。端口掃描常使用一些軟件，向大范圍的主機連接一系列的TCP端口，掃描軟件報告它成功的建立了連接的主機所開的端口。反響映射黑客向主機發(fā)送虛假消息，然后根據(jù)返回“hostunreachable”這一消息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火墻偵測到，黑客轉(zhuǎn)而使用不會觸發(fā)

16、防火墻規(guī)則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。 NAT和非路由代理服務器能夠自動抵御此類攻擊，也可以在防火墻上過濾“hostunreachable”ICMP應答。慢速掃描由于一般掃描偵測器的實現(xiàn)是通過監(jiān)視某個時間楨里一臺特定主機發(fā)起的連接的數(shù)目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描通過引誘服務來對慢速掃描進行偵測。體系結構探測黑客使用具有已知響應類型的數(shù)據(jù)庫的自動工具，對來自目標主機的、對壞數(shù)據(jù)包傳送所作出的響應進行檢查。由于每種操作系統(tǒng)都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧

17、具體實現(xiàn)有所不同），通過將此獨特的響應與數(shù)據(jù)庫中的已知響應進行對比，黑客經(jīng)常能夠確定出目標主機所運行的操作系統(tǒng)。去掉或修改各種BANNer，包括操作系統(tǒng)和各種應用服務的，阻斷用于識別的端口擾亂對方的攻擊計劃。利用信息服務DNS域轉(zhuǎn)換DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進行身份認證，這使得該協(xié)議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器，黑客只需實施一次域轉(zhuǎn)換操作就能得到你所有主機的名稱以及內(nèi)部IP地址。在防火墻處過濾掉域轉(zhuǎn)換請求。Finger服務黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統(tǒng)的用戶的信息。關閉finger服務并記錄嘗試連接該服務的對方IP地址，或者在防火墻上進行過濾。LDAP服務黑客使用LDAP協(xié)議窺探網(wǎng)絡內(nèi)部的系統(tǒng)和它們的用戶的信息。對于刺探內(nèi)部網(wǎng)絡的LDAP進行阻斷并記錄，如果在公共機器上提供LDAP服務，那么應把LDAP服務器放入DMZ。攻擊類型假消息攻擊定義用于攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。DNS高速緩存污染由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。在防火墻上過濾入站的DNS更新，外部DNS服務器不應能更改你的內(nèi)部服務器對內(nèi)部機器的認識。偽造電子郵件由于SMTP并不對郵