网络安全基础知识点汇总_网络安全知识 csdn，网络安全面试复习

最新推荐文章于 2024-05-13 10:35:58 发布

2301_76190672

最新推荐文章于 2024-05-13 10:35:58 发布

阅读量1k

点赞数 22

分类专栏： 2024年程序员学习文章标签： web安全面试安全

本文链接：https://blog.csdn.net/2301_76190672/article/details/137550820

版权

2024年程序员学习专栏收录该内容

84 篇文章 0 订阅

订阅专栏

1.1 定义

**信息安全:**为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

网络安全：

防止未授权的用户访问信息
防止未授权而试图破坏与修改信息

1.2 信息安全特性

可用性：确保授权用户在需要时可以访问信息并使用相关信息资产
完整性：保护信息和信息的处理方法准确而完整
机密性：确保只有经过授权的人才能访问信息

1.3 网络安全的威胁

主动攻击

以各种方式有选择地破坏信息

添加、修改、删除、伪造、重放、乱序、冒充、病毒等

被动攻击

不干扰网络信息系统正常工作

侦听、截获、窃取、破译和业务流量分析及电磁泄露等

恶意攻击：特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁

**黑客攻击：**黑客使用计算机作为攻击主体，发送请求，被攻击主机成为攻击对象的远程系统，进而被窃取信息。
**特洛伊木马：**特洛伊木马通过电子邮件或注入免费游戏一类的软件进行传播，当软件或电子邮件附件被执行后，特洛伊木马被激活。特洛伊密码释放他的有效负载，监视计算机活动，安装后门程序，或者向黑客传输信息。
**拒绝服务攻击DoS：**指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。

点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。（1）带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。（2）连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

分布式拒绝服务攻击 DDoS：

（1）被攻击主机上有大量等待的TCP连接;（2）网络中充斥着大量的无用的数据包;（3）源地址为假,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯;（4）利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求;（5）严重时会造成系统死机。

**病毒：**寄生在宿主文件中，将病毒代码嵌入到宿主文件中，针对本地程序或文件，宿主程序运行时被触发进传染。防治的关键是将病毒代码从宿主文件中摘除。
**蠕虫：**独立存在的程序个体，通过自身拷贝进行传染。针对网络上的其他计算机，通过系统漏洞进行传染。防治的关键是为系统打补丁。
**漏洞：**指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。

区别于后门。后门：是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在制造者手中，都对使用者的系统安全构成严重的威胁。

漏洞与后门是不同的，漏洞是难以预知的，后门则是人为故意设置的。

**TCP劫持攻击：**A尝试和B建立加密会话，黑客劫持通讯，假装是B，然后和A交换密钥，然后假装是A和B建立会话。
**IP欺骗：**黑客更改原地址欺骗防火墙，防火墙允许数据包通过，将其误认为合法的通信，欺骗后的数据包进入内联网进行破坏。

点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

1.4 网络安全的特征

保密性

网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。

保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段

常用的保密技术

(1) 物理保密:利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露(锁好柜、关好门、看好人)

(2) 防窃听:使对手侦收不到有用的信息

(3) 防辐射:防止有用信息以各种途径辐射出去,例:防窥。

(4) 信息加密:在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息

完整性

网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性

完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输

保障完整性的方法：

（1）良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段

（2）密码校验和方法: 它是抗窜改和传输失败的重要手段

（3）数字签名:保障信息的真实性，保证信息的不可否认性

（4）公证:请求网络管理或中介机构证明信息的真实性

可靠性

（1）系统能够在规定条件和时间内完成规定功能的特性，是所有网络信息系统的运行和建设的基本目标。

（2）通过抗毁性，生存性与有效性进行衡量。

（3）可靠性是在给定的时间间隔和给定条件下，系统能正确执行其功能的概率。

（4）提高可靠性需要强调减少系统中断(故障)的次数。

可用性

（1）网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性

（2）可用性是系统在执行任务的任意时刻能正常工作的概率，一般用系统正常使用时间和整个工作时间之比来度量

（3）提高可用性需要强调减少从灾难中恢复的时间

（4）是产品可靠性、维修性和维修保障性的综合反映。

不可否认性

（1）也称作不可抵赖性，在网络信息系统的信息交互过程中，确信参与者的真实同一性

（2）所有参与者都不可能否认或抵赖曾经完成的操作和承诺

保证不可否认性的方法：

（1）利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息

（2）数字签名技术是解决不可否认性的手段之一

可控性

对信息的传播及内容具有控制能力

防止不良内容的传播

二、入侵方式

点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

2.1 黑客

黑客(hacker) :指技术上的行家或热衷于解决问题, 克服限制的人

骇客(cracker):是那些喜欢进入其他人系统的人

骇客和黑客之间最主要的不同是:黑客们创造新东西，骇客们破坏东西。

2.1.1 入侵方法

（1）物理侵入:侵入者绕过物理控制而获得对系统的访问。对主有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。

（2）系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会

（3）远程侵入: 通过网络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多

2.1.2 系统的威胁

软件bug

软件bug存在于服务器后台程序, 客户程序，操作系统，网络协议栈。

系统配置

（1）缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置

（2）懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令

（3）生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式

（4）信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。

口令解密

字典攻击:字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配

暴力破解(Brute Force Attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式

监听不安全的通信

（1）共享媒体: 传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信

（2）服务器监听: 在一个交换的网络里，如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序，入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如，你可能不知道某个用户的口令，通过在他登陆的时候监听Telnet会话，就可以得到他的口令

（3）远程监听: 大量的主机可以远端网络监控，且使用缺省的community

设计的缺点

TCP/IP 协议缺点

系统设计缺点

2.2 IP欺骗与防范

IP欺骗就是伪造数据包源IP地址的攻击，

它基于两个前提:

TCP/IP网络在路由数据包时，不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一。
主机之间有信任关系存在—基于IP地址认证，不再需要用户账户和口令。

2.2.1 TCP等IP欺骗基础知识

1. TCP数据报首部标志域

 URG:紧急数据标志，指明数据流中已经放置紧急数据，紧急指针有效;

 ACK:确认标志，用于对报文的确认;

 PSH:推标志，通知接收端尽可能的将数据传递给应用层，在telnet登陆时，会使用到这个标志;

 RST:复位标志，用于复位TCP连接;

 SYN:同步标志，用于三次握手的建立，提示接收TCP连接的服务端检查序号;

 FIN:结束标志，表示发送端已经没有数据再传输了，希望释放连接，但接收端仍然可以继续发送数据。

2. TCP三次握手过程

点此免费领取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

A发送带有SYN标志的数据段通知B需要建立TCP连接。并将TCP报头中的sequence number 设置成自己本次连接的初始值ISN。
B回传给A一个带有SYS+ACK标志的数据段，并告诉A自己的ISN，并确认A发送来的第一个数据段，将acknowledge number设置成A的ISN+1。
A确认收到的B的数据段，将acknowledge number设置成B的ISN+1。

3. 信任与认证

1 基于口令的认证:如SMTP(TCP 25)和远程登录 Telnet(TCP 23)，只通过帐号/口令认证用户;

2 基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任，则从该主机登录不要口令;如远程登录rlogin(TCP 513)，首先是基于信任关系的认证，其次才进行口令认证。

2.2.2 IP欺骗可行的原因

在TCP/IP协议组中，IP协议是非面向连接，非可靠传输的协议，IP数据包是进行松散发送的，并不是连续发送的，所以可以在源地址和目的地址中间放入满足要求的IP地址，(也就是说可以进行虚假IP 地址的提供)
在TCP/IP协议簇中， TCP是面向连接，提供可靠传输。
面向连接是两个主机首先必须建立连接，然后才能进行数据交换。
可靠性是有数据包中的多位控制字来提供，其中有两个是SYN和ACK

2.2.3 IP欺骗过程

IP欺骗步骤

1.选定目标主机

利用端口扫描，网络监听工具看有哪些机器和目标主机进行TCP/IP连接

2.寻找目标主机信任的主机

选择好进攻的目标主机后，必须寻找到目标主机信任的主机

可以尝试显示目标主机的文件系统在哪里被export, 或者使用rpcinfo来分析有用信息

或者尝试目标主机的相邻IP地址，获取有价值信息

3.控制被信任的主机

黑客向被信任的主机的TCPA发送大量SYN请求，使得被信任主机的TCP/IP链接达到队列的最上限，从而无法响应目标主机的SYN请求

4.采样目标主机的TCP序列号，猜测数据包序列号，尝试建立连接

在此期间，黑客就有机会伪装成被信任主机的IP地址，将SYN请求返回给目标主机，

黑客利用网络监听和抓包软件，采样目标主机的 TCP序列号，并猜测目标主机的数据包序列号，尝试建立与目标主机的基于地址验证的应用连接。

5.建立连接，种植后门

一旦与目标主机建立TCP/IP连接，黑客就会使用命令，通过目标主机的安全性较弱的端口，种植后门程序

6.进行远程控制和非法操作

后门种植成功后，黑客一般会断开与目标主机的连接，并且停止对被信任主机的攻击，全身而退。黑客推出后，找寻合理时机，对目标主机进行远程控制和非法操作。

2.2.4 IP欺骗原理

序列号猜测

序列号猜测的重要性

攻击者X冒充受攻击目标A信任的对象B，远程连接A 的rlogin端口，如果能连接成功，不再需要口令就能登录A。
因为A对X请求的响应包返回给B，X不可能知道其中A的序列号，要想在图中的第5步完成三次握手并连接成功，他必须“猜”到A的序列号(ISN)。

序列号猜测的过程

X首先连接A的SMTP端口(X是A的合法的邮件用户，但不是它所信任的rlogin用户，因为邮件应用的安全级别相对不高 )，试探其ISN变化规律，以估算下一次连接时A的ISN值。
X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。

1 .X必须立刻进行欺骗攻击，否则其他主机有可能与A建立了新的连接，X所猜测的序列号就不准了。

\2. 当然就这样也不一定能一次猜测成功。

不同网络环境下的序列号猜测

1)若X和A及B在同一局域网中，从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。

2)若X来自于外网，要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。

3)美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。

关于被冒充对象B

1)X首先必须对B进行DoS攻击，否则在图中第4步中B 收到A发送来的它未请求过的请求应答包，将向A返回RST报文而终止连接，黑客不能冒充连接成功。

2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。

3)为何X不能直接将自己的IP地址修改为B的IP地址来连接到A的rlogin端口?

1 IP地址产生冲突; 2 外网X不能这样修改。

2.2.5 IP欺骗防范

使用较强壮的随机序列号生成器，要准确猜测TCP连接的ISN几乎不可能。

在边界路由器上进行源地址过滤，也就是说，对进入本网络的IP包，要检查其源IP地址，禁止外来的却使用本地IP的数据包进入，这也是大多数路由器的缺省配置。

禁止r-类型的服务，用SSH(专为远程登录会话和其他网络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的网络服务。

在通信时要求加密传输和验证。

分割序列号空间。Bellovin提出一种弥补TCP序列号随机性不足的方法，就是分割序列号空间，每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。

2.3 Sniffer 探测与防范

2.3.1 Sniffer原理

广播类网络上，可以将某一网络适配器(NIC)设为接收相应广播域上传输的所有帧
sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了目标系统
如果sniffer运行在路由器，或有路由器功能的主机上，则可同时监视多个广播域，危害更大
通常，sniffer程序只需看到一个数据包的前200-300个字节的数据，就能发现用户名和口令等信息

2.3.2 Sniffer防范

设法保证系统不被入侵

Sniffer往往是攻击者在侵入系统后使用

加密传输

传输前加密，使收集的信息无法解读

采用安全拓扑结构

采用交换技术，分割广播域。

管理员应使各计算机之间的信任关系最小，如lan要和internet相连，仅有firewall是不行的，要考虑一旦入侵成功后他能得到什么，保证一旦出现sniffer他只对最小范围有效

现代网络常常采用交换机作为网络连接设备枢纽

交换机不会让网络中每一台主机侦听到其他主机的通讯，因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。

而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。

网络端口镜像技术: 在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听
ARP欺骗: ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。

回顾知识：交换机、路由器、集线器

路由器(Router): 是连接因特网中各局域网、广域网的设备。在路由器中记录着路由表，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。发生在网络层。提供了防火墙的服务，只转发特定地址的数据包，不传送不支持路由协议的数据包传送和求知目标网络数据包的传送，从而可以防止广播风暴。
交换机(Switch): 是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路，把传输的信息送到符合要求的相应路由上。发生在数据链路层。
集线器(Hub): 是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。发生在物理层。

2.4 端口扫描技术

2.4.1 原理

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关);

扫描器(工作原理):

自动检测远端或本机安全性弱点的程序，用户可不留痕迹的发现远端机器各端口的分配及运行的服务及软件版本

功能

发现一个主机或网络;
发现该主机运行何种服务;
测试这些服务发现漏洞

2.4.2 分类

常见的端口扫描类型

TCPconnect(): 入侵者无须任何权限，速度快，但是其易被发现，也易被过滤;
TCPSYN: 扫描器发送syn数据包，如果返回ack/syn同时需要再发送 RST关闭连接过程，表示端口处监听状态;如果返回RST，则不在侦听，不会留下入侵记录，但需要有root权限才能建立自己的syn数据包
TCPFIN: 一般防火墙或过滤器会过掉syn包，但FIN可以没有麻烦的通过，于是可能存在关闭的端口会用RST来响应FIN,而打开的端口则不会响应，但有的系统不管打开与否都响应回复RST包

2.4.3 ping命令

Ping的原理

通过向目标主机传送一个小数据包，目标主机接收并将该包返送回来，如果返回的数据包和发送的数据包一致，则Ping命令成功。根据返回的信息，可以推断TCP/IP参数是否设置正确，以及运行是否正常、网络是否通畅等。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。