网络安全技术课程学习体会

通过学习网络安全技术这门课，我了解到随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给机构、企事业单位带来了性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。

认真分析网络面临的威胁，我认为，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。

学习了这门课程，让我对网络安全技术有了深刻的了解及体会： 一、网络安全的简介：

安全就是最大程度地减少数据和资源被攻击的可性。从本质上说，网络的安全和信息的安全等同，指的是网络系统的软硬件和系统中的数据受到保护，不受各种偶然的或者恶意的网络攻击而遭到损坏、修改、删除等，系统连续可靠正常地运行，网络服务不中断。从广泛意义上讲，凡是涉及到网络上信息的完整性、保密性、可控性，可用性和不可否认性的相关技术和理论都是网络安全所要进行研究的领域。提供安全性的所有技术大致分为两个部分：1、对将被发送的信息进

行安全性相关的变换，包括消息的加密，通过加密搅乱了该消息，使攻击者不可读；2、增加基于该消息内容的代码，使之能够用于证实发送者的身份。

二、网络安全脆弱的原因： 1、开放性的网络环境

正如一句非常经典的话：“Internet的美妙之处在于你和每个人都能互相连接，Internet的可怕之处在于每个人都能和你相互连接。

2、源于协议本身的挑战

有网络传输就有网络传输协议的存在，每一种网络传输协议都有不同的层次、不同方面的漏洞，被广大用户使用的TCP/IP也不例外的存在着自身的漏洞。如网络应用层服务的安全隐患、IP层通信系统的易欺骗性、数据传输机制为广播发送等。

3、操作系统存在漏洞

使用网络离不开操作系统，操作系统的安全性对网络安全同样有非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。如系统模型本身的缺陷、操作系统的源代码存在Bug、操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因素。

三、网络攻击与防御技术：

黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。

1、网络攻击的步骤： （1）第一步：隐藏IP

这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏： 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样度的攻击，一般很难被侦破。

（2）第二步：踩点扫描

踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。

（3）第三步：获得系统或管理员权限

得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通

过欺骗获得权限以及其他有效的方法。

（4）第四步：种植后门

为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。

（5）第五步：在网络中隐身

一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志已经其他相关的日志。

2、几类攻击与防御手法介绍： 攻击类型 服务拒绝攻击 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压定义 跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为， 方法 概览 防御 由于在早期的阶段，路由器对包的现在所有的标准最大尺寸都有，许多操作系统TCP/IP实现都已实现对TCP/IP栈的实现在ICMP包上都对付超大尺寸的包，并死亡之ping 是规定KB，并且在对包的标题且大多数防火墙能够（ping of 头进行读取之后，要根据该标题头自动过滤这些攻击，包death） 里包含的信息来为有效载荷生成括：从windows98之后缓冲区，当产生畸形的，声称自己的的尺寸超过ICMP上限的包也就是windows,NT(service 加载的尺寸超过K上限时，就会pack 3之后)，linux、出现内存分配错误，导致TCP/IPSolaris、和Mac OS堆栈崩溃，致使接受方当机。 都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻服务器应用最新的服泪滴击。IP分段含有指示该分段所包务包，或者在设置防火（teardrop） 含的是原包的哪一段的信息，某些墙时对分段进行重组，TCP/IP（包括servicepack 4以前而不是转发它们。 的NT）在收到含有重叠偏移的伪造分段时将崩溃。 各种各样的假冒攻击利用简单的关掉不必要的TCP/IPTCP/IP服务，如Chargen和Echo服务，或者对防火墙进UDP洪水（UDP 来传送毫无用处的占满带宽的数行配置阻断来自flood） 据。通过伪造与某一主机的Internet的请求这些Chargen服务之间的一次的UDP连服务的UDP请求。 接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消在防火墙上过滤来自息，因为他们只有有限的内存缓冲同一主机的后续连接。 区用于创建连接，如果这一缓冲区未来的SYN洪水令人SYN洪水（SYN 充满了虚假连接的初始信息，该服担忧，由于释放洪水的flood） 务器就会对接下来的连接停止响并不寻求响应，所以无应，直到缓冲区里的连接企图超法从一个简单高容量时。在一些创建连接不受的实的传输中鉴别出来。 现里，SYN洪水具有类似的影响。 在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被打最新的补丁，或者在设置成某一个服务器地址，此举将防火墙进行配置，将那导致接受服务器向它自己的地址些在外部接口上入站Land攻击 发送SYN-ACK消息，结果这个地址的含有内部源地址滤又发回ACK消息并创建一个空连掉。（包括10域、127接，每一个这样的连接都将保留直域、192.168域、到超时掉，对Land攻击反应不同，172.16到172.31域）。 许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。 一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）防御：为了防止黑客利数据包来淹没受害主机的方式进用你的网络攻击他人，行，最终导致该网络的所有主机都关闭外部路由器或防Smurf攻击 对此ICMP应答请求作出答复，导火墙的广播地址特性。致网络阻塞，比pingof death洪为防止被攻击，在防火水的流量高出一或两个数量级。更墙上设置规则，丢弃掉加复杂的Smurf将源地址改为第ICMP包。 三方的受害者，最终导致第三方雪崩。 Fraggle攻击对Smurf攻击作了简在防火墙上过滤掉Fraggle攻击 单的修改，使用的是UDP应答消息UDP应答消息。 而非ICMP。 电子邮件是最古老的匿名攻对邮件地址进行配置，击之一，通过设置一台机器不断的自动删除来自同一主电子邮件 大量的向同一地址发送电子邮件，机的过量或重复的消攻击者能够耗尽接受者网络的带息。 宽。 各类操作系统上的许多服务都存畸形消息攻击 在此类问题，由于这些服务在处理打最新的服务补丁。 信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。 攻击类型 定义 利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击， 要选用难以猜测的口令，比如词和标点符号一旦黑客识别了一台主机而且发的组合。确保像NFS、现了基于NetBIOS、Telnet或NFSNetBIOS和Telnet这口令猜测 这样的服务的可利用的用户帐号，样可利用的服务不暴成功的口令猜测能提供对机器控露在公共范围。如果该制。 服务支持锁定策略，就进行锁定。 特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程避免下载可疑程序并序。一旦安装成功并取得管理员权拒绝执行，运用网络扫特洛伊木马 限，安装此程序的人就可以直接远描软件定期监视内部程控制目标系统。 最有效的主机上的监听TCP服一种叫做后门程序，恶意程序包务。 括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。 由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，利用SafeLib、最终可能导致恶意用户编写一小tripwire这样的程序缓冲区溢出 段利用程序来进一步打开安全豁保护系统，或者浏览最口然后将该代码缀在缓冲区有效新的安全公告不断更载荷末尾，这样当发生缓冲区溢出新操作系统。 时，返回指针指向恶意代码，这样系统的控制权就会被夺取。 攻击类型 信息收集型攻击 信息收集型攻击并不对目标本身造成危害，如名所示这类定义 攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务。 扫描技术 运用ping这样的程序探测目标地地址扫描 址，对此作出响应的表示其存在。 许多防火墙能检测到防御：在防火墙上过滤掉ICMP应是否被扫描，并自动阻答消息。 断扫描企图。 常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件端口扫描 报告它成功的建立了连接的主机所开的端口。 黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一NAT和非路由代理服消息特征判断出哪些主机是存在务器能够自动抵御此的。目前由于正常的扫描活动容易类攻击，也可以在防火反响映射 被防火墙侦测到，黑客转而使用不墙上过滤会触发防火墙规则的常见消息类“hostunreachable”型，这些类型包括：RESET消息、ICMP应答。 SYN-ACK消息、DNS响应包。 由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒通过引诱服务来对慢慢速扫描 10次）来决定是否在被扫描，这速扫描进行侦测。 样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描 黑客使用具有已知响应类型的数去掉或修改各种据库的自动工具，对来自目标主机BANNer，包括操作系统的、对坏数据包传送所作出的响应体系结构探测 进行检查。由于每种操作系统都有断用于识别的端口扰其独特的响应方法（例NT和乱对方的攻击计划。 Solaris的TCP/IP堆栈具体实现和各种应用服务的，阻有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。 利用信息服务 DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果在防火墙处过滤掉域DNS域转换 你维护着一台公共的DNS服务器，转换请求。 黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。 关闭finger服务并记黑客使用finger命令来刺探一台录尝试连接该服务的Finger服务 finger服务器以获取关于该系统对方IP地址，或者在的用户的信息。 防火墙上进行过滤。 对于刺探内部网络的LDAP进行阻断并记黑客使用LDAP协议窥探网络内部录，如果在公共机器上LDAP服务 的系统和它们的用户的信息。 提供LDAP服务，那么应把LDAP服务器放入DMZ。 攻击类型 假消息攻击 用于攻击目标配置不正确的消息， 定义 主要包括：DNS高速缓存污染、伪 造电子邮件。 由于DNS服务器与其他名称服务在防火墙上过滤入站器交换信息的时候并不进行身份的DNS更新，外部DNSDNS高速缓存验证，这就使得黑客可以将不正确服务器不应能更改你污染 的信息掺进来并把用户引向黑客的内部服务器对内部自己的主机。 由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是使用PGP等安全工具伪造电子邮件 来自某个客户认识并相信的人，并并安装电子邮件证书。 附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。 四、个人体会：

通过这门课程，我深刻的意识到：未来的战争是信息战争，而网络战是信息战的重要组成部分。网络对抗，实际上是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能做到“知己知彼，百战百胜”。

机器的认识。