《网络安全技术课程学习体会》由会员分享,可在线阅读,更多相关《网络安全技术课程学习体会(13页珍藏版)》请在金锄头文库上搜索。
1、课程学习体会通过学习网络安全技术这门课, 我了解到随着计算机网络的不断 发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单 位带来了革命性的改革。 但由于计算机网络具有联结形式多样性、 终 端分布不均匀性和网络的开放性、 互连性等特征,致使网络易受黑客、 病毒、恶意软件和其他不轨的攻击, 所以网上信息的安全和保密是一 个至关重要的问题。认真分析网络面临的威胁, 我认为,计算机网络系统的安全防范 工作是一个极为复杂的系统工程, 是一个安全管理和技术防范相结合 的工程。在目前法律法规尚不完善的情况下, 首先是各计算机网络应 用部门领导的重视, 加强工作人员的责任心和防范意识, 自觉执行各
2、 项安全制度,在此基础上, 再采用先进的技术和产品,构造全方位的 防御机制,使系统在理想的状态下运行。学习了这门课程,让我对网络安全技术有了深刻的了解及体会:一、网络安全的简介: 安全就是最大程度地减少数据和资源被攻击的可性。从本质上 说,网络的安全和信息的安全等同, 指的是网络系统的软硬件和系统 中的数据受到保护,不受各种偶然的或者恶意的网络攻击而遭到损 坏、修改、删除等,系统连续可靠正常地运行,网络服务不中断。从 广泛意义上讲,凡是涉及到网络上信息的完整性、保密性、可控性, 可用性和不可否认性的相关技术和理论都是网络安全所要进行研究 的领域。提供安全性的所有技术大致分为两个部分: 1、对将
3、被发送 的信息进行安全性相关的变换, 包括消息的加密, 通过加密搅乱了该 消息,使攻击者不可读; 2、增加基于该消息内容的代码,使之能够 用于证实发送者的身份。二、网络安全脆弱的原因:1、开放性的网络环境正如一句非常经典的话:“ In ternet的美妙之处在于你和每个人都能互相连接, Internet 的可怕之处在于每个人都能和你相互连接。2、源于协议本身的挑战 有网络传输就有网络传输协议的存在, 每一种网络传输协议都有不同的层次、不同方面的漏洞,被广大用户使用的TCP/IP也不例外的 存在着自身的漏洞。如网络应用层服务的安全隐患、IP层通信系统的 易欺骗性、数据传输机制为广播发送等。3、操
4、作系统存在漏洞使用网络离不开操作系统, 操作系统的安全性对网络安全同样有 非常重要的影响,有很多攻击方法都是从寻找操作系统缺陷入手的。 如系统模型本身的缺陷、操作系统的源代码存在Bug操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因 素。三、网络攻击与防御技术: 黑客攻击和网络安全的是紧密结合在一起的, 研究网络安全不研 究黑客攻击技术简直是纸上谈兵, 研究攻击技术不研究网络安全就是 闭门造车。 某种意义上说没有攻击就没有安全, 系统管理员可以利用常见的攻击手段对系统进行检测,并对相关的漏洞采取措施。1、网络攻击的步骤:( 1)第一步:隐藏 IP这一步必须做,因为如果自己
5、的入侵的痕迹被发现了,当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏: 第 一种方法是首先入侵互联网上的一台电脑(俗称“肉鸡” ),利用这台 电脑进行攻击,这样即使被发现了,也是“肉鸡”的IP地址。第二种方式是做多极跳板“ Sock代理”,这样在入侵的电脑上留下的是代 理计算机的IP地址。比如攻击A国的站点,一般选择离 A国很远的 B国计算机作为“肉鸡”或者“代理”,这样跨国度的攻击,一般很 难被侦破。(2)第二步:踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解 (包 括任何可得到的蛛丝马迹,但要确保信息的准确) ,确定攻击的时间 和地点。扫描的目的是利用各种
6、工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略:被动式策略和主动式策略。( 3)第三步:获得系统或管理员权限得到管理员权限的目的是连接到远程计算机, 对其进行控制, 达 到自己攻击目的。 获得系统及管理员权限的方法有: 通过系统漏洞获 得系统权限; 通过管理漏洞获得管理员权限; 通过软件漏洞得到系统 权限;通过监听获得敏感信息进一步获得相应权限; 通过弱口令获得 远程管理员的用户密码; 通过穷举法获得远程管理员的用户密码; 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权;通过欺骗获得权限以及其他有效的方法。(4)第四步:种植后门为了保持长期对自己胜利果实的访问权
7、,在已经攻破的计算机上 种植一些供自己访问的后门。(5)第五步:在网络中隐身一次成功入侵之后,一般在对方的计算机上已经存储了相关的登录日志,这样就容易被管理员发现,在入侵完毕后需要清除登录日志 已经其他相关的日志。2、几类攻击与防御手法介绍:攻击类型服务拒绝攻击定义服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,方法概览防御死亡之ping(ping of death)由于在早期的阶段,路由器对包的 最大尺寸都有限制,许多操作系统 对TCP/IP栈的实现在ICMP包上都 疋规疋64KB,并且在对包的标题 头进行读取之后,要根据该标题头 里包
8、含的信息来为有效载何生成 缓冲区,当产生畸形的,声称自己现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的的尺寸超过ICMP上限的包也就是 加载的尺寸超过64K上限时,就会 出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使接受方当机。wi ndows,NT(service pack 3 之后),linux、 Solaris、和 Mac OS 都具有抵抗一般ping ofdeath攻击的能力。 此外,对防火墙进行配 置,阻断ICMP以及任 何未知协议,都讲防止 此类攻击。泪滴(teardrop )泪滴攻击利用那些在T
9、CP/IP堆栈 实现中信任IP碎片中的包的标题 头所包含的信息来实现自己的攻 击。IP分段含有扌曰示该分段所包 含的是原包的哪一段的信息,某些TCP/IP (包括 servicepack 4 以前 的NT)在收到含有重叠偏移的伪 造分段时将崩溃。服务器应用最新的服 务包,或者在设置防火 墙时对分段进行重组, 而不是转发它们。UDP洪水(UDPflood )各种各样的假冒攻击利用简单的TCP/IP 服务,如 Chargen 和 Echo来传送毫无用处的占满带宽的数 据。通过伪造与某一主机的Chargen服务之间的一次的UDP连关掉不必要的 TCP/IP服务,或者对防火墙进 行配置阻断来自In t
10、er net 的请求这些服务的UDP请求。接,回复地址指向开着Echo服务 的一台主机,这样就生成在两台主 机之间的足够多的无用数据流,如 果足够多的数据流就会导致带宽 的服务攻击。SYN洪水(SYNflood )一些TCP/IP栈的实现只能等待从 有限数量的计算机发来的 ACK消 息,因为他们只有有限的内存缓冲 区用于创建连接,如果这一缓冲区 充满了虚假连接的初始信息,该服 务器就会对接下来的连接停止响 应,直到缓冲区里的连接企图超 时。在一些创建连接不受限制的实 现里,SYN洪水具有类似的影响。在防火墙上过滤来自 同一主机的后续连接。未来的SYN洪水令人 担忧,由于释放洪水的 并不寻求响应
11、,所以无 法从一个简单高容量 的传输中鉴别出来。Land攻击在Land攻击中,一个特别打造的 SYN包它的原地址和目标地址都被 设置成某个服务器地址,此举将 导致接受服务器向它自己的地址 发送SYN-ACK消息,结果这个地址 又发回ACK消息并创建一个空连 接,每一个这样的连接都将保留直 到超时掉,对Land攻击反应不同,打最新的补丁,或者在 防火墙进行配置,将那 些在外部接口上入站 的含有内部源地址滤 掉。(包括10域、127域、192.168 域、172.16 到 172.31 域)。许多UNIX实现将崩溃,NT变的极 其缓慢(大约持续五分钟)。Smurf攻击一个简单的smurf攻击通过使
12、用 将回复地址设置成受害网络的广 播地址的ICMP应答请求(ping) 数据包来淹没受害主机的方式进 行,最终导致该网络的所有主机都 对此ICMP应答请求作出答复,导 致网络阻塞,比pingof death 洪 水的流量高出一或两个数量级。更 加复杂的Smurf将源地址改为第 三方的受害者,最终导致第三方雪 j-i-r 朋。防御:为了防止黑客利 用你的网络攻击他人, 关闭外部路由器或防 火墙的广播地址特性。 为防止被攻击,在防火 墙上设置规则,丢弃掉ICMP包。Fraggle 攻击Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP在防火墙上过滤掉UDP应答消息
13、。电子邮件炸弹电子邮件炸弹是最古老的匿名攻 击之一,通过设置一台机器不断的 大量的向同 地址发送电子邮件, 攻击者能够耗尽接受者网络的带 宽。对邮件地址进行配置, 自动删除来自同一主 机的过量或重复的消 息。畸形消息攻击各类操作系统上的许多服务都存打最新的服务补丁。在此类问题,由于这些服务在处理 信息之前没有进行适当正确的错 误校验,在收到畸形的信息可能会 崩溃。攻击类型利用型攻击定义利用型攻击是 类试图直接对你的机器进行控制的攻击,口令猜测一旦黑客识别了一台主机而且发现了基于 NetBIOS、Tel net 或 NFS这样的服务的可利用的用户帐号, 成功的口令猜测能提供对机器控 制。要选用难
14、以猜测的口 令,比如词和标点符号 的组合。确保像NFSNetBIOS 和 Tel net 这样可利用的服务不暴 露在公共范围。如果该 服务支持锁定策略,就 进行锁定。特洛伊木马特洛伊木马是一种或是直接由一 个黑客,或是通过一个不令人起疑 的用户秘密安装到目标系统的程 序。一旦安装成功并取得管理员权 限,安装此程序的人就可以直接远 程控制目标系统。最有效的一种叫做后门程序,恶意程序包 括:NetBus、BackOffice 和 BO2k,避免下载可疑程序并 拒绝执行,运用网络扫 描软件定期监视内部 主机上的监听TCP服 务。用于控制系统的良性程序如:netcat、VNC pcAnywhere。理
15、想的后门程序透明运行。缓冲区溢出由于在很多的服务程序中大意的程序员使用象strcpy(),strcat() 类似的不进行有效位检查的函数, 最终可能导致恶意用户编写一小 段利用程序来进一步打开安全豁 口然后将该代码缀在缓冲区有效 载荷末尾,这样当发生缓冲区溢出 时,返回指针指向恶意代码,这样 系统的控制权就会被夺取。利用 SafeLib 、 tripwire 这样的程序 保护系统,或者浏览最 新的安全公告不断更 新操作系统。攻击类型信息收集型攻击定义信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。扫描技术地址扫描运用ping这样的程序探测目标地 址,对此作出响应的表示其存在。防御:在防火墙上过滤掉ICMP应 答消息。许多防火墙能检测到是否被扫描,并自动阻断扫描企图。端口扫描常使用一些软件,向大范围的主机连接一系列的TCP端 口,扫描软件报告它成功的建立了连接的主机所开的端口。反响映射黑客向主机发送虚假消息,然后根 据返回“ hostunreachab
