网络安全技术课程学习体会

课程学习体会

通过学习网络安全技术这门课，我了解到随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。

认真分析网络面临的威胁，我认为，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。

学习了这门课程，让我对网络安全技术有了深刻的了解及体会：

一、网络安全的简介：

安全就是最大程度地减少数据和资源被攻击的可性。从本质上说，网络的安全和信息的安全等同，指的是网络系统的软硬件和系统中的数据受到保护，不受各种偶然的或者恶意的网络攻击而遭到损坏、修改、删除等，系统连续可靠正常地运行，网络服务不中断。从广泛意义上讲，凡是涉及到网络上信息的完整性、保密性、可控性，可用性和不可否认性的相关技术和理论都是网络安全所要进行研究的领域。提供安全性的所有技术大致分为两个部分：1、对将被发送的信息进

行安全性相关的变换，包括消息的加密，通过加密搅乱了该消息，使攻击者不可读；2、增加基于该消息内容的代码，使之能够用于证实发送者的身份。

二、网络安全脆弱的原因：

1、开放性的网络环境

正如一句非常经典的话：“Internet的美妙之处在于你和每个人都能互相连接，Internet的可怕之处在于每个人都能和你相互连接。

2、源于协议本身的挑战

有网络传输就有网络传输协议的存在，每一种网络传输协议都有不同的层次、不同方面的漏洞，被广大用户使用的TCP/IP也不例外的存在着自身的漏洞。如网络应用层服务的安全隐患、IP层通信系统的易欺骗性、数据传输机制为广播发送等。

3、操作系统存在漏洞

使用网络离不开操作系统，操作系统的安全性对网络安全同样有非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。如系统模型本身的缺陷、操作系统的源代码存在Bug、操作系统程序配置不正确、安全管理知识的缺乏也是影响网络安全的一个重要因素。

三、网络攻击与防御技术：

黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。

1、网络攻击的步骤：

（1）第一步：隐藏IP

这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏： 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。

（2）第二步：踩点扫描

踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。

（3）第三步：获得系统或管理员权限

得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通

过欺骗获得权限以及其他有效的方法。

（4）第四步：种植后门

为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。

（5）第五步：在网络中隐身

一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志已经其他相关的日志。

2、几类攻击与防御手法介绍：

加载的尺寸超过 64K 上限时， 就会 pack 3 之后),linux、 出现内存分配错误，导致 TCP/IP Solaris 、 和 Mac OS 堆栈崩溃，致使接受方当机。 都具有抵抗一般 ping ofdeath 攻击的能力。 此外， 对防火墙进行配 置，阻断 ICMP 以及任 何未知协议， 都讲防止 此类攻击。 泪滴攻击利用那些在 TCP/IP 堆栈 实现中信任 IP 碎片中的包的标题 头所包含的信息来实现自己的攻 服务器应用最新的服 泪 滴 击。IP 分段含有指示该分段所包 务包， 或者在设置防火

(teardrop) 含的是原包的哪一段的信息， 某些 墙时对分段进行重组， TCP/IP(包括 servicepack 4 以前 而不是转发它们。 的 NT)在收到含有重叠偏移的伪 造分段时将崩溃。 各种各样的假冒攻击利用简单的 关掉不必要的 TCP/IP TCP/IP 服务，如 Chargen 和 Echo 服务， 或者对防火墙进 UDP 洪水 (UDP 来传送毫无用处的占满带宽的数 行 配 置 阻 断 来 自 flood) 据。通过伪造与某一主机的 Internet 的请求这些 Chargen 服务之间的一次的 UDP 连 服务的 UDP 请求。 接，回复地址指向开着 Echo 服务

的一台主机， 这样就生成在两台主 机之间的足够多的无用数据流， 如 果足够多的数据流就会导致带宽 的服务攻击。 一些 TCP/IP 栈的实现只能等待从 有限数量的计算机发来的 ACK 消 在防火墙上过滤来自 息， 因为他们只有有限的内存缓冲 同一主机的后续连接。 区用于创建连接， 如果这一缓冲区 未来的 SYN 洪水令人 SYN 洪水 (SYN 充满了虚假连接的初始信息， 该服 担忧， 由于释放洪水的 flood) 务器就会对接下来的连接停止响 并不寻求响应， 所以无 应，直到缓冲区里的连接企图超 法从一个简单高容量 时。 在一些创建连接不受限制的实 的传输中鉴别出来。 现里，SYN 洪水具有类似的影响。 在 Land 攻击中，一个特别打造的 SYN 包它的原地址和目标地址都被 打最新的补丁， 或者在 设置成某一个服务器地址， 此举将 防火墙进行配置， 将那 导致接受服务器向它自己的地址 些在外部接口上入站 Land 攻击 发送 SYN-ACK 消息， 结果这个地址 的含有内部源地址滤 又发回 ACK 消息并创建一个空连 掉。 (包括 10 域、127 接， 每一个这样的连接都将保留直 域 、 192.168 域 、 到超时掉， 对 Land 攻击反应不同， 172.16 到 172.31 域) 。 许多 UNIX 实现将崩溃，NT 变的极

其缓慢(大约持续五分钟)。 一个简单

的 smurf 攻击通过使用 将回复地址设置成受害网络的广 播地址的 ICMP 应答请求(ping) 防御： 为了防止黑客利 数据包来淹没受害主机的方式进 用你的网络攻击他人， 行， 最终导致该网络的所有主机都 关闭外部路由器或防 Smurf 攻击 对此 ICMP 应答请求作出答复，导 火墙的广播地址特性。 致网络阻塞，比 pingof death 洪 为防止被攻击， 在防火 水的流量高出一或两个数量级。 更 墙上设置规则， 丢弃掉 加复杂的 Smurf 将源地址改为第 ICMP 包。 三方的受害者， 最终导致第三方雪 崩。 Fraggle 攻击对 Smurf 攻击作了简 在防火墙上过滤掉 Fraggle 攻击 单的修改， 使用的是 UDP 应答消息 UDP 应答消息。 而非 ICMP。 电子邮件炸弹是最古老的匿名攻 对邮件地址进行配置， 击之一， 通过设置一台机器不断的 自动删除来自同一主 电子邮件炸弹 大量的向同一地址发送电子邮件， 机的过量或重复的消 攻击者能够耗尽接受者网络的带 息。 宽。 各类操作系统上的许多服务都存 畸形消息攻击 在此类问题， 由于这些服务在处理 打最新的服务补丁。

信息之前没有进行适当正确的错 误校验， 在收到畸形的信息可能会 崩溃。 攻击类型 定义 利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击， 要选用难以猜测的口 令， 比如词和标点符号 一旦黑客识别了一台主机而且发 的组合。确保像 NFS、 现了基于 NetBIOS、Telnet 或 NFS NetBIOS 和 Telnet 这 口令猜测 这样的服务的可利用的用户帐号， 样可利用的服务不暴 成功的口令猜测能提供对机器控 露在公共范围。 如果该 制。 服务支持锁定策略， 就 进行锁定。 特洛伊木马是一种或是直接由一 个黑客， 或是通过一个不令人起疑 的用户秘密安装到目标系统的程 避免下载可疑程序并 序。 一旦安装成功并取得管理员权 拒绝执行， 运用网络扫 特洛伊木马 限， 安装此程序的人就可以直接远 描软件定期监视内部 程控制目标系统。 最有效的 主机上的监听 TCP 服

一种叫做后门程序，恶意程序包 务。 括： NetBus、 BackOrifice 和 BO2k, 用于控制系统的良性程序如：

netcat 、VNC 、pcAnywhere 。理想 的后门程序透明运行。 由于在很多的服务程序中大意的 程序员使用象 strcpy(),strcat() 类似的不进行有效位检查的函数， 利 用 SafeLib 、

最终可能导致恶意用户编写一小 tripwire 这样的程序 缓冲区溢出 段利用程序来进一步打开安全豁 保护系统， 或者浏览最 口然后将该代码缀在缓冲区有效 新的安全公告不断更 载荷末尾， 这样当发生缓冲区溢出 新操作系统。 时，返回指针指向恶意代码，这样 系统的控制权就会被夺取。 攻击类型 信

息收集型攻击 信息收集型攻击并不对目标本身造成危害，如名所示这类 定义 攻击被用来为进一步入侵提供有用的信息。主要包括：扫 描技术、体系结构刺探、利用信息服务。 扫描技术 运用 ping 这样的程序探测目标地 址，对此作出响应的表示其存在。 地址扫描 防御：在防火墙上过滤掉 ICMP 应 是否被扫描， 并自动阻 答消息。 断扫描企图。 常使用一些软件， 向大范围的主机 端口扫描 连接一系列的 TCP 端口， 扫描软件 许多防火墙能检测到

报告它成功的建立了连接的主机 所开的端口。 黑客向主机发送虚假消息， 然后根 据返回“hostunreachable ”这一 NAT 和非路由代理服 消息特征判断出哪些主机是存在 务器能够自动抵御此 的。 目前由于正常的扫描活动容易 类攻击， 也可以在防火 反响映射 被防火墙侦测到， 黑客转而使用不 墙 上 过 滤 会触发防火墙规则的常见消息类 “hostunreachable” 型，这些类型包括：RESET 消息、 ICMP 应答。 SYN-ACK 消息、DNS 响应包。 由于一般扫描侦测器的实现是通 过监视某个时间桢里一台特定主 机发起的连接的数目(例如每秒 通过引诱服务来对慢 慢速扫描 10 次)来决定是否在被扫描，这 速扫描进行侦测。 样黑客可以通过使用扫描速度慢 一些的扫描软件进行扫描 黑客使用具有已知响应类型的数 去 掉 或 修 改 各 种 据库的自动工具， 对来自目标主机 BANNer, 包括操作系统 的、 对坏数据包传送所作出的响应 体系结构探测 进行检查。 由于每种操作系统都有 断用于识别的端口扰 其 独 特 的 响 应 方 法 ( 例 NT 和 乱对方的攻击计划。 Solaris 的 TCP/IP 堆栈具体实现 和各种应用服务的， 阻

有所不同),通过将此独特的响应 与数据库中的已知响应进行对比， 黑客经常能够确定出目标主机所 运行的操作系统。 利用信息服务 DNS 协议不对转换或信息性的更新 进行身份认证， 这使得该协议被人 以一些不同的方式加以利用。 如果 在防火墙处过滤掉域 DNS 域转换 你维护着一台公共的 DNS 服务器， 转换请求。 黑客只需实施一次域转换操作就 能得到你所有主机的名称以及内 部 IP 地址。 关闭 finger 服务并记 黑客使用 finger 命令来刺探一台 录尝试连接该服务的 Finger 服务 finger 服务器以获取关于该系统 对方 IP 地址，或者在 的用户的信息。 防火墙上进行过滤。 对于刺探内部网络的 LDAP 进 行 阻 断 并 记 黑客使用 LDAP 协议窥探网络内部 录， 如果在公共机器上 LDAP 服务 的系统和它们的用户的信息。 提供 LDAP 服务，那么 应把 LDAP 服务器放入 DMZ。

四、个人体会：

通过这门课程，我深刻的意识到：未来的战争是信息战争，而网络战是信息战的重要组成部分。网络对抗，实际上是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能做到“知己知彼，百战百胜”。

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典实用模板网络安全技术课程学习体会在线全文阅读。