网络安全印象最深刻的知识点

印象深刻的知识点

1.印象深刻的知识点——Internet协议的安全性（IP协议和ARP协议）
IP协议
概述
网际协议（Internet Protocol，IP）是TCP/IP协议族的核心，也是网际层中最重要的协议。IP数据报构成了TCP/IP协议族的基础，典型的IP数据报有几百个字节，其中首部占20~60字节，其余为数据净荷部分。
IP层接收由更底层（列如网络接口层）发来的数据包，对数据包进行处理后交付到更高层（TCP或UDP协议）；相反，IP层也把从TCP或UDP协议来的数据包传送到更低层。IP层采用尽最大努力交付的任务，是一种不可靠的无连接数据报协议。每个IP无法确认数据报是否丢失，失序或延迟到达。另外，虽然IP首部中存在校验位，但此校验位只用于检测IP数据报首部的正确性，并没有使用任何机制保证数据净荷传输的正确性，因此，无法确认IP数据报首部的正确性，并没有使用任何机制保证数据净荷的正确性，因此，无法确认IP数据报是否损坏。较高层的协议（如IP）负责处理这些问题，以便为应用程序提供一条可靠的网络通信链路。
IP协议的安全问题及防护措施
IP协议存在一系列典型的安全问题‘
（1）IP数据报在传递过程中易被攻击者监听，窃取。此种攻击是一种被动攻击方式，攻击者并不改变IP数据报的内容，但可截取IP的数据报，解析数据净荷，从而获得数据内容。这种类型的攻击很难被检测，因为攻击过程并不影响IP数据报的正确传递。针对这种攻击行为的方法是对IP数据报进行加密。
（2）由于IP层并没有采用任何机制保证数据净荷传输的正确性，攻击者可截取IP数据报，修改数据报中的内容后，将修改结果发送给接收方。抵抗这种攻击方式是对IP数据净荷部分进行完整性检测。接收方在收到IP数据报时，可先应用完整性检测机制检测数据报的完整性，从而保证收到的IP数据报在传输过程中未被恶意篡改。
（3）高层的TCP和UDP服务在接收IP数据报时，通常假设数据报中的源地址是有效的。事实上，IP层不能保证IP数据报一定是从 源地址发送的。任意一台主机都可以发送具有任意源地址的IP数据报。攻击者可伪装成另一个网络主机，发送含有伪造源地址机制加以防御。一般来说，认证需要采用高层协议中的安全机制来实现。
（4）IP数据报在传递过程中，如果数据量太大，该数据报就会被分段，也就是说，大的IP数据报会被分解成两个或多个小数据报，每个小数据报都有自己的首部，但其数据净荷仅是大数据报净荷的一部分。每个小数据报可以经由不同的路径到达目的地。在传输过程中，每个小数据报可能会被继续分段。当这些小数据报到达接收方时，它们会被重组到一起。按照协议规则，中间节点不能对小数据报进行拼装组合。一般来说，包过滤器完成IP数据报的分段和重组过程。然而，正是由于IP数据报在传输过程中要经历被分段和重组的过程，攻击者可在包过滤器中注入大量病态的小数据报，来破坏包过滤器的正常工作。当重要信息被分成两个IP数据报时，过滤器可能会错误地处理数据报，或者仅传输第二个IP数据报，更糟的是，当两个重叠的IP数据包含有不同的内容时，重组规则并不提示如何处理这两个IP数据报，许多防火墙能够重组分段的IP数据报，以检查其内容
（5）使用特殊的目的地址发送IP数据报也会引入安全问题。如发送目的地址是直接广播地址的IP数据报，发送这样的数据包是非常危险的，因为它们可以很容易地被用来攻击许多不同类型的主句，许多攻击者已将定向广播作为一种网络攻击手段。其实许多路由器具有阻止发送这类型数据包的能力，因此，强烈建议网络管理员在配置路由器时，一定要启用路由器的这个功能。

ARP协议

概述
在通常情况下，当我们访问一台机器的时候一定可以知道它的逻辑地址，而物理地址就不一定知道，如果不知道物理地址则不能把网络层的数据包封装成MAC帧，完不成通信。ARP协议正是为了解决这个问题而设置的。
在每台主机上都设置有一个所在网段的各主机和路由器的IP地址到硬件地址的映射表，也称为ARP高速缓存。在数据发送方，当网络层的数据报要封装成MAC帧时，首先在高速缓存中查看有无该数据报首部的目的地址所对应的硬件地址，若有，则将该硬件地址写入MAC帧的目的地址中，完成数据报的封装。若无，ARP协议则在本局域网上广播发出一个ARP请求分组。在ARP请求分组中，发送方的IP地址和发送方硬件地址，以及目标IP地址都是应该写入已知的数据，要寻找的目标硬件地址写入全0，当该请求分组到达每一个机器上时，每一台机器都要拿自己的IP地址和请求分组给请求防（这里不再使用广播，而是单播）。在响应的分组中发送方写明了自己的硬件地址。当这一通信过程完成时，通信双方都要对自己的ARP告诉缓存进行修改，添加上一条记录。
ARP协议的安全问题及防护措施
通过上述ARP协议的工作原理可知，一名黑客只要能把他的主机成功插入某个网段，这台主机就能够接受到所在网段的ARP请求分组，从而获取该网段上的主机IP和MAC地址之间的对应关系。用这里也可以看出，ARP攻击仅仅在内网进行，它无法对外网（互联网，非本区域内的局域网）进行攻击。局域网中有一台主机C，其MAC地址为00-aa—00—F2—c8—04，现在假设它感染了ARP木马，那么主机C将会向某个主机A发送一个伪造的ARP相应，告知主机A:主机B的IP地址为192.168.10.8对应的MAC地址时00—aa—00—F2—c8—04（其实是主机C的MAC地址），于是，主机A将这个对应关系写入自己ARP缓存表中。以后当主机A向主机B发送数据时，都会将本应发往主机B的数据发送给攻击者（主机C）。同样的，如果攻击者向主机B也发送了一个伪造的ARP相应，告诉主机B：主机A的IP地址为192.168.0.1对应的MAC地址为00—aa—00—F2—c8—04，主机B也会将数据发送给攻击者，至此攻击者就控制了主机A和主机B之间的流量，他可以选择被动地检测流量，获取密码和其他涉密信息，也可以伪造数据，改变主机A和主机B之间的通信内容，这种攻击称为ARP欺骗。
为了解决ARP攻击问题，可以在网络中的交换机上配置820.1x协议。IEEE802.1x是基于端口的访问控制协议，它对连接到交换机用户进行认证和授权。在交换机上配置802.1x协议后，攻击者在连接交换机时需要进行身份认证（结合MAC，端口，账号，VLAN和密码等），只有通过认证后才能向网络发送数据，攻击者未通过认证就不能向网络发送伪造的ARP报文。另外，建立静态ARP表，也是一种有效地抵抗ARP攻击的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。
2. 谈谈自己对网络安全的学习心得
一个学期的网络安全课程已经结束，在这期间理论课和实验课交叉进行，使我学到了很多东西，比如sniffer这款软件，虚拟机的使用更加熟练，掌握了X-scan扫描器的使用方法，对计算机的潜在安全问题有了进一步的了解，提高了我对计算机的认识，尤其是安全方面。对于网络安全这门课程的学习，我认为首先要读大量的书，掌握安全的基本知识，因为网络安全涉及的知识面广，术语多，理论知识多，需要我们投入很多精力和时间来学习，掌握网络安全的基本知识，安全的概念和定义，常见的安全标准等，比如上学期学完的《计算机网络》，这本书就可以作为前提，这本书里面有许多协议，我们要把这些协议学透，要不然连协议的简称都不知道是什么意思，另外的参考书比如：《CIW：安全专家全息教程》《计算机系统安全》《计算机网络安全导论》《winsock网络编程经络》等这些书都可以帮我们好好掌握《网络安全》这门课程。如果说学习这门课程遇到难题了怎么办？对于每个人来说，庞大的网络都如宇宙般浩瀚无垠，而作为这个联通世界的巨网的保卫者，我们当心存敬畏。