网络安全技术课程学习体会

通过学习网络安全技术这门课，我了解到随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势;给机构、企事业单位带来了性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。

认真分析网络面临的威胁，我认为，计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度,在此基础上，再采用先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。

学习了这门课程,让我对网络安全技术有了深刻的了解及体会： 一、网络安全的简介：

安全就是最大程度地减少数据和资源被攻击的可性。从本质上说,网络的安全和信息的安全等同，指的是网络系统的软硬件和系统中的数据受到保护，不受各种偶然的或者恶意的网络攻击而遭到损坏、修改、删除等，系统连续可靠正常地运行，网络服务不中断。从广泛意义上讲，凡是涉及到网络上信息的完整性、保密性、可控性，可用性和不可否认性的相关技术和理论都是网络安全所要进行研究的领域.提供安全性的所有技术大致分为两个部分：1、对将被发送的信息进

行安全性相关的变换，包括消息的加密，通过加密搅乱了该消息，使攻击者不可读；2、增加基于该消息内容的代码，使之能够用于证实发送者的身份。

二、网络安全脆弱的原因： 1、开放性的网络环境

正如一句非常经典的话：“Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你相互连接.

2、源于协议本身的挑战

有网络传输就有网络传输协议的存在,每一种网络传输协议都有不同的层次、不同方面的漏洞，被广大用户使用的TCP/IP也不例外的存在着自身的漏洞。如网络应用层服务的安全隐患、IP层通信系统的易欺骗性、数据传输机制为广播发送等。

3、操作系统存在漏洞

使用网络离不开操作系统，操作系统的安全性对网络安全同样有非常重要的影响,有很多攻击方法都是从寻找操作系统缺陷入手的。如系统模型本身的缺陷、操作系统的源代码存在Bug、操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因素。

三、网络攻击与防御技术:

黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵,研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用

常见的攻击手段对系统进行检测，并对相关的漏洞采取措施.

1、网络攻击的步骤： （1)第一步:隐藏IP

这一步必须做，因为如果自己的入侵的痕迹被发现了,当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡\"的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样度的攻击，一般很难被侦破。

（2)第二步：踩点扫描

踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹，但要确保信息的准确)，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。

（3)第三步：获得系统或管理员权限

得到管理员权限的目的是连接到远程计算机,对其进行控制,达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限;通过监听获得敏感信息进一步获得相应权限;通过弱口令获得远程管理员的用户密码;通过穷举法获得远程管理员的用户密码；通过攻

破与目标机有信任关系另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法.

(4）第四步:种植后门

为了保持长期对自己胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门.

（5)第五步:在网络中隐身

一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志已经其他相关的日志。

2、几类攻击与防御手法介绍： 攻击类型 服务拒绝攻击 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨定义 来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为， 方法 概览 防御 由于在早期的阶段，路由器对包现在所有的标准TCP/IP的最大尺寸都有，许多操作实现都已实现对付超大尺死亡之ping 系统对TCP/IP栈的实现在ICMP寸的包，并且大多数防火（ping of 包上都是规定KB,并且在对包墙能够自动过滤这些攻death) 的标题头进行读取之后，要根据击，包括：从windows98该标题头里包含的信息来为有之后的windows,NT效载荷生成缓冲区，当产生畸形（service pack 3之后），的，声称自己的尺寸超过ICMPlinux、Solaris、和Mac OS上限的包也就是加载的尺寸超都具有抵抗一般ping 过K上限时，就会出现内存分ofdeath攻击的能力。此配错误，导致TCP/IP堆栈崩溃,外，对防火墙进行配置，致使接受方当机. 阻断ICMP以及任何未知协议，都讲防止此类攻击。 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自服务器应用最新的服务己的攻击。IP分段含有指示该泪滴分段所包含的是原包的哪一段(teardrop） 的信息，某些TCP/IP（包括转发它们。 servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃. 各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和关掉不必要的TCP/IP服UDP（flood） 洪水Echo来传送毫无用处的占满带务，或者对防火墙进行配UDP 宽的数据。通过伪造与某一主机置阻断来自Internet的的Chargen服务之间的一次的请求这些服务的UDP请UDP连接，回复地址指向开着求。 Echo服务的一台主机，这样就对分段进行重组，而不是包，或者在设置防火墙时生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK在防火墙上过滤来自同一消息，因为他们只有有限的内存主机的后续连接。 未缓冲区用于创建连接，如果这一SYN（flood） 连接停止响应，直到缓冲区里的单高容量的传输中鉴别出连接企图超时。在一些创建连接来。 不受的实现里，SYN洪水具有类似的影响。 在Land攻击中，一个特别打造的SYN包它的原地址和目标地打最新的补丁,或者在防址都被设置成某一个服务器地火墙进行配置，将那些在址，此举将导致接受服务器向它外部接口上入站的含有内Land攻击 自己的地址发送SYN—ACK消部源地址滤掉。（包括10息，结果这个地址又发回ACK消域、127域、192。168域、息并创建一个空连接，每一个这172.16到172.31域). 样的连接都将保留直到超时掉，对Land攻击反应不同，许多洪水缓冲区充满了虚假连接的初始SYN 信息,该服务器就会对接下来的响应，所以无法从一个简由于释放洪水的并不寻求来的SYN洪水令人担忧，UNIX实现将崩溃,NT变的极其缓慢（大约持续五分钟）。 一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求防御：为了防止黑客利用（ping）数据包来淹没受害主机你的网络攻击他人，关闭的方式进行，最终导致该网络的外部路由器或防火墙的广Smurf攻击 所有主机都对此ICMP应答请求播地址特性。为防止被攻作出答复，导致网络阻塞,比击,在防火墙上设置规则,pingof death洪水的流量高出丢弃掉ICMP包。 一或两个数量级.更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。 Fraggle攻击对Smurf攻击作了Fraggle击 消息而非ICMP. 电子邮件是最古老的匿名攻击之一，通过设置一台机器不对邮件地址进行配置，自电子邮件炸断的大量的向同一地址发送电动删除来自同一主机的过弹 子邮件,攻击者能够耗尽接受者量或重复的消息。 网络的带宽。 畸形消息攻各类操作系统上的许多服务都打最新的服务补丁。 攻简单的修改，使用的是UDP应答答消息。 在防火墙上过滤掉UDP应击 存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。 攻击类型 定义 利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击, 要选用难以猜测的口令，一旦黑客识别了一台主机而且比如词和标点符号的组发现了基于NetBIOS、Telnet或合。确保像NFS、NetBIOS口令猜测 NFS这样的服务的可利用的用户和Telnet这样可利用的帐号，成功的口令猜测能提供对服务不暴露在公共范围。机器控制. 如果该服务支持锁定策略,就进行锁定。 特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系避免下载可疑程序并拒绝统的程序。一旦安装成功并取得执行,运用网络扫描软件特洛伊木马 管理员权限，安装此程序的人就定期监视内部主机上的监可以直接远程控制目标系统。 听TCP服务。 最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k，用于控制系统的良性程序如：netcat、VNC、pcAnywhere.理想的后门程序透明运行. 由于在很多的服务程序中大意的程序员使用象strcpy(),strcat（)类似的不进行有效位检查的函数,最终可能利用SafeLib、tripwire导致恶意用户编写一小段利用这样的程序保护系统，或缓冲区溢出 程序来进一步打开安全豁口然者浏览最新的安全公告不后将该代码缀在缓冲区有效载断更新操作系统。 荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码,这样系统的控制权就会被夺取. 攻击类型 信息收集型攻击 信息收集型攻击并不对目标本身造成危害，如名所示这类定义 攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务. 扫描技术 运用ping这样的程序探测目标许多防火墙能检测到是否地址，对此作出响应的表示其存地址扫描 在。 防御：在防火墙上过企图。 滤掉ICMP应答消息。 被扫描，并自动阻断扫描常使用一些软件,向大范围的主机连接一系列的TCP端口，扫描端口扫描 软件报告它成功的建立了连接的主机所开的端口。 黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机NAT和非路由代理服务器是存在的.目前由于正常的扫描能够自动抵御此类攻击，反响映射 活动容易被防火墙侦测到，黑客也可以在防火墙上过滤转而使用不会触发防火墙规则“hostunreachable\"ICMP的常见消息类型，这些类型包应答。 括：RESET消息、SYN—ACK消息、DNS响应包. 由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如通过引诱服务来对慢速扫慢速扫描 每秒10次）来决定是否在被扫描进行侦测。 描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描 体系结构探黑客使用具有已知响应类型的去掉或修改各种BANNer，测 数据库的自动工具，对来自目标包括操作系统和各种应用主机的、对坏数据包传送所作出服务的,阻断用于识别的的响应进行检查。由于每种操作端口扰乱对方的攻击计系统都有其独特的响应方法（例划. NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统. 利用信息服务 DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利在防火墙处过滤掉域转换DNS域转换 用。如果你维护着一台公共的请求。 DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。 关闭finger服务并记录黑客使用finger命令来刺探一尝试连接该服务的对方Finger服务 台finger服务器以获取关于该IP地址,或者在防火墙上系统的用户的信息。 进行过滤。 黑客使用LDAP协议窥探网络内对于刺探内部网络的LDAP服务 部的系统和它们的用户的信息。 LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。 攻击类型 假消息攻击 用于攻击目标配置不正确的消定义 息，主要包括：DNS高速缓存污 染、伪造电子邮件。 由于DNS服务器与其他名称服在防火墙上过滤入站的务器交换信息的时候并不进行DNS高速缓身份验证，这就使得黑客可以将存污染 不正确的信息掺进来并把用户器对内部机器的认识. 引向黑客自己的主机。 由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件，伪造电子邮声称是来自某个客户认识并相件 信的人，并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。 四、个人体会：

通过这门课程，我深刻的意识到：未来的战争是信息战争，而网络战是信息战的重要组成部分。网络对抗，实际上是人与人的对抗，

装电子邮件证书。 使用PGP等安全工具并安不应能更改你的内部服务DNS更新,外部DNS服务器 它具体体现在安全策略与攻击策略的交锋上.为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能做到“知己知彼,百战百胜\"。