网络安全（监测）知识入门

网络安全知识入门

近日，因为工作需要，对于网络安全的一些基础的知识做了一些简单的了解，并整理成总结文档以便于学习和分享。

网络安全的知识体系非常庞大，想要系统的完成学习非简单的几天就可以完成的。所以这篇文章是以实际需求为出发点，把需要用到的知识做系统的串联起来，形成知识体系，便于理解和记忆，使初学者可以更快的入门。

1、什么是网络安全

首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。简单来说就是，保护网络不会因为恶意攻击而中断。了解了网络安全的职责，我们就可以从网络攻击的方式，网络攻击检测手段等几个方面来处理。在实际的学习中，我发现直接上手去学习效率并不是很好，因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。

2、网络安全名词解释

1. IRC服务器：RC是Internet Relay Chat 的英文缩写，中文一般称为互联网中继聊天。IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没有延迟的现象，并且只占用很小的带宽资源。
2. TCP协议：TCP（Transmission Control Protocol 传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议（握手机制略）。
3. UDP协议：UDP 是User Datagram Protocol的简称，UDP协议全称是用户数据报协议，在网络中它与TCP协议一样用于处理数据包，是一种无连接的协议。其特点是无须连接，快速，不安全，常用于文件传输。
4. 报文：报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。
5. DNS：DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS协议运行在UDP协议之上，使用端口号53。DNS是网络攻击中的一个攻击密集区，需要重点留意。
6. ICMP协议：ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。
7. SNMP协议：简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。
8. 僵尸病毒：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络攻击之前做好准备工作，提供大量可供发起攻击的“僵尸电脑”。
9. 木马病毒：木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒对现行网络有很大的威胁。
10. 蠕虫病毒：蠕虫病毒，一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。

3、常见网络攻击方式

网络攻击的方式多种多样，本文就以其中六种常见的攻击方式来做分析和了解。

3.1半连接攻击

众所周知TCP的可靠性是建立在其三次握手机制上面的，三次握手机制如果没有正常完成是不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求，B也按照正常情况进行响应了，但是A不进行第3次握手，这就是半连接攻击。实际上半连接攻击时针对的SYN，因此半连接攻击也叫做SYN攻击。SYN洪水攻击就是基于半连接的SYN攻击。

3.2全连接攻击

全连接攻击是一种通过长时间占用目标机器的连接资源，从而耗尽被攻击主机的处理进程和连接数量的一种攻击方式。

客户端仅仅“连接”到服务器，然后再也不发送任何数据，直到服务器超时处理或者耗尽服务器的处理进程。为何不发送任何数据呢？ 因为一旦发送了数据，服务器检测到数据不合法后就可能断开此次连接；如果不发送数据的话，很多服务器只能阻塞在recv或者read调用上。

这是我们可以看出来全连接攻击和半连接攻击的不同之处。半连接攻击耗尽的是系统的内存；而全连接攻击耗尽的是主机的处理进程和连接数量。

3.3RST攻击

RST攻击这种攻击只能针对tcp、对udp无效。RST:(Reset the connection)用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。

RST攻击的目的在于断开用户的正常连接。假设一个合法用户(1.1.1.1)已经同服务器建立的正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据包。TCP收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户必须重新开始建立连接。

3.4IP欺骗

IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任关系。

这种信任关系存在与UNIX主机上，用于方便同一个用户在不同电脑上进行操作。假设有两台互相信任的主机，hosta和hostb。从主机hostb上，你就能毫无阻碍的使用任何以r开头的远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到hosta上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。值得一提的是这里的信任关系是基于IP的地址的。

既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以使用rlogin登录到hosta，而不需任何口令验证。这，就是IP欺骗的最根本的理论依据。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。连接成功后，黑客就可以入置backdoor以便后日使用J 。许多方法可以达到这个目的（如SYN洪水攻击、TTN、Land等攻击）。

3.5DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

DNS欺骗主要的形式有hosts文件篡改和本机DNS劫持。

3.6DOS/DDOS攻击

DOS攻击：拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。故意的攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
DDOS攻击：分布式拒绝服务。多台傀儡机(肉鸡)同时制造大量数据。实际上是分布式的DOS攻击，相当于DOS攻击的一种方式。

4、网络监测

网络攻击的受害面积广，受害群体多，造成损失非常大，因此，对于网络做监控从而达到风险的预测是非常有必要的。做好网络监测可以有效拦截网络攻击，提醒管理者及时处理，挽回损失。

网络监测的手段有多种，本文根据具体业务情景来进行了解。其一是netFlow网络监控，其二是DNS报文分析。

4.1使用NetFlow分析网络异常流量

在对NetFlow进行学习之前，我们需要对网络上的数据流有一个了解–IPFlow。IPFlow包含有七个重要的信息。

• who：源IP地址
• when：开始结束时间
• where：From（源IP，源端口）、To（目的IP，目的端口）从哪到哪
• what：协议类型，目标IP，目标端口
• how：流量大小，流量包数
• why：基线，阈值，特征

NetFlow最初是由Cisco开发，检测网络数据流。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。Netflow利用分析IP数据包的7种属性，快速区分网络中传送的各种类型的业务数据流。一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。以NFC2.0来说，一个完整的字段中包好有如下信息：源地址，目的地址，源自治域，目的自治域，流入接口号，流出接口号，源端口，目的端口，协议类型，包数量，字节数，流数量。

通过匹配监测到的流量与已有网络攻击的流量特征进行匹配就可以完成网络攻击的监测和预警。

4.2DNS数据报分析

通过上面的学习我们也不难发现，DNS是互联网中相对薄弱的一个环节，也是很多黑客的首选攻击目标。因此，通过对DNS报文的分析也能在一定程度上进行网络攻击的监测。

要对DNS报文进行分析，首先需要对DNS的报文结构进行了解。

DNS数据报主要分为头部和正文。
头部主要包括：

• 会话标识（2字节）：是DNS报文的ID标识，对于请求报文和其对应的应答报文，这个字段是相同的，通过它可以区分DNS应答报文是哪个请求的响应。
• 标志（2字节）：
  

QR（1bit） 查询/响应标志，0为查询，1为响应

opcode（4bit） 0表示标准查询，1表示反向查询，2表示服务器状态请求

AA（1bit） 表示授权回答

TC（1bit） 表示可截断的

RD（1bit） 表示期望递归

RA（1bit） 表示可用递归

rcode（4bit） 表示返回码，0表示没有差错，3表示名字差错，2表示服务器错误（Server >
Failure）

• 数量字段（总共8字节）：Questions、Answer RRs、Authority RRs、Additional RRs 各自表示后面的四个区域的数目。Questions表示查询问题区域节的数量，Answers表示回答区域的数量，Authoritative namesversers表示授权区域的数量，Additional recoreds表示附加区域的数量。

正文部分包括以下内容：

• Queries区域：
  
  查询名：长度不固定，且不使用填充字节，一般该字段表示的就是需要查询的域名（如果是反向查询，则为IP，反向查询即由IP地址反查域名），一般的格式如下图所示。
  
  查询类型一般为A，代表IPV4
  查询类通常为1，代表Internet

• 资源记录(RR)区域（包括回答区域，授权区域和附加区域）：
  
  域名（2字节或不定长）：它的格式和Queries区域的查询名字字段是一样的。有一点不同就是，当报文中域名重复出现的时候，该字段使用2个字节的偏移指针来表示。
  查询类型：表明资源纪录的类型
  查询类：对于Internet信息，总是IN
  生存时间（TTL）：以秒为单位，表示的是资源记录的生命周期，一般用于当地址解析程序取出资源记录后决定保存及使用缓存数据的时间，它同时也可以表明该资源记录的稳定程度，极为稳定的信息会被分配一个很大的值（比如86400，这是一天的秒数）。
  资源数据：该字段是一个可变长字段，表示按照查询段的要求返回的相关资源记录的数据。可以是Address（表明查询报文想要的回应是一个IP地址）或者CNAME（表明查询报文想要的回应是一个规范主机名）等。

通过对DNS的数据的分析也可以完成对网络攻击的分析与检测。

5、总结

本文主要是对网络安全的一个入门，包括基础知识的阐述，对网络攻击类型的一个简单介绍，网络监测手段的介绍几个部分。通过学习可以对网络安全以及，如何监测网络攻击，网络异常行为能有一个大概的了解。