導航:首頁 > 網路安全 > 大學網路安全筆記

大學網路安全筆記

發布時間:2023-06-01 18:23:22

『壹』 如何學習網路安全知識

首先,必須(時刻)意識到你是在學習一門可以說是最難的課程,是網路專業領域的頂尖課程,不是什麼人、隨隨便便就能學好的。不然,大家都是黑客,也就沒有黑客和網路安全的概念了。
很多朋友抱著學一門課程、讀好一本書就可以掌握網路安全的知識和技能。不幸的是,網路安全技術決不是幾本書、幾個月就可以速成的。你需要參考大量的參考書。
另一方面,在學校接受的傳統教育觀念使我們習慣由老師來指定教材、參考書。遺憾的是走向了社會,走到工作崗位,沒有人給你指定解決這個安全問題需要什麼參考書,你得自己研究,自己解決問題。
網路安全涉及的知識面廣、術語多、理論知識多。正給學習這門課程帶來很多困難。也需要我們投入比其它課程多的時間和精力來學習它。
概括來說,網路安全課程的主要內容包括:
l 安全基本知識
l 應用加密學
l 協議層安全
l Windows安全(攻擊與防禦)
l Unix/Linux安全(攻擊與防禦)
l 防火牆技術
l 入侵監測系統
l 審計和日誌分析
下面分別對每部分知識介紹相應的具體內容和一些參考書(正像前面提到的那樣,有時間、有條件的話,這些書都應該看至少一遍)。
一、安全基本知識
這部分的學習過程相對容易些,可以花相對較少的時間來完成。這部分的內容包括:安全的概念和定義、常見的安全標准等。
大部分關於網路安全基礎的書籍都會有這部分內容的介紹。
下面推薦一些和這部分有關的參考書:
l 《CIW:安全專家全息教程》 魏巍 等譯,電子工業出版社
l 《計算機系統安全》 曹天傑,高等教育出版社
l 《計算機網路安全導論》 龔儉,東南大學出版社
二、應用加密學
加密學是現代計算機(網路)安全的基礎,沒有加密技術,任何網路安全都是一紙空談。
加密技術的應用決不簡單地停留在對數據的加密、解密上。密碼學除了可以實現數據保密性外、它還可以完成數據完整性校驗、用戶身份認證、數字簽名等功能。
以加密學為基礎的PKI(公鑰基礎設施)是信息安全基礎設施的一個重要組成部分,是一種普遍適用的網路安全基礎設施。授權管理基礎設施、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平台等的構築都離不開它的支持。
可以說,加密學的應用貫穿了整個網路安全的學習過程中。因為之前大多數人沒有接觸過在這方面的內容,這是個弱項、軟肋,所以需要花費比其它部分更多的時間和精力來學習。也需要參考更多的參考書。
下面推薦一些和這部分有關的參考書:
l 《密碼學》 宋震,萬水出版社
l 《密碼工程實踐指南》 馮登國 等譯,清華大學出版社
l 《秘密學導引》 吳世忠 等譯,機械工業(這本書內容較深,不必完全閱讀,可作為參考)
三、協議層安全
系統學習TCP/IP方面的知識有很多原因。要適當地實施防火牆過濾,安全管理員必須對於TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經常使用TCP/IP堆棧中一部分區或來破壞網路安全等。所以你也必須清楚地了解這些內容。
協議層安全主要涉及和TCP/IP分層模型有關的內容,包括常見協議的工作原理和特點、缺陷、保護或替代措施等等。
下面推薦一些和這部分有關的參考書(經典書籍、不可不看):
l 《TCP/IP詳解 卷1:協議》 范建華 等譯,機械工業出版社
l 《用TCP/IP進行網際互聯 第一卷原理、協議與結構》 林瑤 等譯,電子工業出版社
四、Windows安全(攻擊與防禦)
因為微軟的Windows NT操作系統已被廣泛應用,所以它們更容易成為被攻擊的目標。
對於Windows安全的學習,其實就是對Windows系統攻擊與防禦技術的學習。而Windows系統安全的學習內容將包括:用戶和組、文件系統、策略、系統默認值、審計以及操作系統本身的漏洞的研究。
這部分的參考書較多,實際上任何一本和Windows攻防有關系的書均可。下面推薦一些和這部分有關的參考書:
l 《黑客攻防實戰入門》 鄧吉,電子工業出版社
l 《黑客大曝光》 楊繼張 等譯,清華大學出版社
l 《狙擊黑客》 宋震 等譯,電子工業出版社
五、Unix/Linux安全(攻擊與防禦)
隨著Linux的市佔率越來越高,Linux系統、伺服器也被部署得越來越廣泛。Unix/Linux系統的安全問題也越來越凸現出來。作為一個網路安全工作者,Linux安全絕對佔有網路安全一半的重要性。但是相對Windows系統,普通用戶接觸到Linux系統的機會不多。Unix/Linux系統本身的學習也是他們必須餓補的一課!
下面是推薦的一套Linux系統管理的參考書。
l 《Red Hat Linux 9桌面應用》 梁如軍,機械工業出版社(和網路安全關系不大,可作為參考)
l 《Red Hat Linux 9系統管理》 金潔珩,機械工業出版社
l 《Red Hat Linux 9網路服務》 梁如軍,機械工業出版社
除了Unix/Linux系統管理相關的參考書外,這里還給出兩本和安全相關的書籍。
l 《Red Hat Linux安全與優化》 鄧少鵾,萬水出版社
l 《Unix 黑客大曝光》 王一川 譯,清華大學出版社
六、防火牆技術
防火牆技術是網路安全中的重要元素,是外網與內網進行通信時的一道屏障,一個哨崗。除了應該深刻理解防火牆技術的種類、工作原理之外,作為一個網路安全的管理人員還應該熟悉各種常見的防火牆的配置、維護。
至少應該了解以下防火牆的簡單配置。
l 常見的各種個人防火牆軟體的使用
l 基於ACL的包過濾防火牆配置(如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等)
l 基於Linux操作系統的防火牆配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火牆配置
l 基於Windows、Unix、Cisco路由器的VPN配置
下面推薦一些和這部分有關的參考書:
l 《
網路安全與防火牆技術
》 楚狂,人民郵電出版社
l 《Linux防火牆》
余青霓
譯,人民郵電出版社
l 《高級防火牆ISA Server 2000》 李靜安,中國鐵道出版社
l 《Cisco訪問表配置指南》 前導工作室 譯,機械工業出版社
l 《Check Point NG安全管理》
王東霞
譯,機械工業出版社
l 《虛擬專用網(VPN)精解》 王達,清華大學出版社
七、入侵監測系統(IDS)
防火牆不能對所有應用層的數據包進行分析,會成為網路數據通訊的瓶頸。既便是代理型防火牆也不能檢查所有應用層的數據包。
入侵檢測是防火牆的合理補充,它通過收集、分析計算機系統、計算機網路介質上的各種有用信息幫助系統管理員發現攻擊並進行響應。可以說入侵檢測是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

『貳』 如何學習網路安全

Y4er由淺入深學習網路安全(超清視頻)網路網盤

鏈接:

提取碼: v3x3 復制這段內容後打開網路網盤手機App,操作更方便哦

若資源有問題歡迎追問~

『叄』 計算機網路自學筆記:TCP

如果你在學習這門課程,僅僅為了理解網路工作原理,那麼只要了解TCP是可靠傳輸,數據傳輸丟失時會重傳就可以了。如果你還要參加研究生考試或者公司面試等,那麼下面內容很有可能成為考查的知識點,主要的重點是序號/確認號的編碼、超時定時器的設置、可靠傳輸和連接的管理。

1 TCP連接

TCP面向連接,在一個應用進程開始向另一個應用進程發送數據之前,這兩個進程必須先相互「握手」,即它們必須相互發送某些預備報文段,以建立連接。連接的實質是雙方都初始化與連接相關的發送/接收緩沖區,以及許多TCP狀態變數。

這種「連接」不是一條如電話網路中端到端的電路,因為它們的狀態完全保留在兩個端系統中。

TCP連接提供的是全雙工服務 ,應用層數據就可在從進程B流向進程A的同時,也從進程A流向進程B。

TCP連接也總是點對點的 ,即在單個發送方與單個接收方之間建立連接。

一個客戶機進程向伺服器進程發送數據時,客戶機進程通過套接字傳遞數據流。

客戶機操作系統中運行的 TCP軟體模塊首先將這些數據放到該連接的發送緩存里 ,然後會不時地從發送緩存里取出一塊數據發送。

TCP可從緩存中取出並放入報文段中發送的數據量受限於最大報文段長MSS,通常由最大鏈路層幀長度來決定(也就是底層的通信鏈路決定)。 例如一個鏈路層幀的最大長度1500位元組,除去數據報頭部長度20位元組,TCP報文段的頭部長度20位元組,MSS為1460位元組。

報文段被往下傳給網路層,網路層將其封裝在網路層IP數據報中。然後這些數據報被發送到網路中。

當TCP在另一端接收到一個報文段後,該報文段的數據就被放人該連接的接收緩存中。應用程序從接收緩存中讀取數據流(注意是應用程序來讀,不是操作系統推送)。

TCP連接的每一端都有各自的發送緩存和接收緩存。

因此TCP連接的組成包括:主機上的緩存、控制變數和與一個進程連接的套接字變數名,以及另一台主機上的一套緩存、控制變數和與一個進程連接的套接字。

在這兩台主機之間的路由器、交換機中,沒有為該連接分配任何緩存和控制變數。

2報文段結構

TCP報文段由首部欄位和一個數據欄位組成。數據欄位包含有應用層數據。

由於MSS限制了報文段數據欄位的最大長度。當TCP發送一個大文件時,TCP通常是將文件劃分成長度為MSS的若干塊。

TCP報文段的結構。

首部包括源埠號和目的埠號,它用於多路復用/多路分解來自或送至上層應用的數據。另外,TCP首部也包括校驗和欄位。報文段首部還包含下列欄位:

32比特的序號欄位和32比特的確認號欄位。這些欄位被TCP發送方和接收方用來實現可靠數據傳輸服務。

16比特的接收窗口欄位,該欄位用於流量控制。該欄位用於指示接收方能夠接受的位元組數量。

4比特的首部長度欄位,該欄位指示以32比特的字為單位的TCP首部長度。一般TCP首部的長度就是20位元組。

可選與變長的選項欄位,該欄位用於當發送方與接收方協商最大報文段長度,或在高速網路環境下用作窗口調節因子時使用。

標志欄位ACK比特用於指示確認欄位中的ACK值的有效性,即該報文段包括一個對已被成功接收報文段的確認。 SYN和FIN比特用於連接建立和拆除。 PSH、URG和緊急指針欄位通常沒有使用。

•序號和確認號

TCP報文段首部兩個最重要的欄位是序號欄位和確認號欄位。

TCP把數據看成一個無結構的但是有序的位元組流。TCP序號是建立在傳送的位元組流之上,而不是建立在傳送的報文段的序列之上。

一個報文段的序號是該報文段首位元組在位元組流中的編號。

例如,假設主機A上的一個進程想通過一條TCP連接向主機B上的一個進程發送一個數據流。主機A中的TCP將對數據流中的每一個位元組進行編號。假定數據流由一個包含4500位元組的文件組成(可以理解為應用程序調用send函數傳遞過來的數據長度),MSS為1000位元組(鏈路層一次能夠傳輸的位元組數),如果主機決定數據流的首位元組編號是7。TCP模塊將為該數據流構建5個報文段(也就是分5個IP數據報)。第一個報文段的序號被賦為7;第二個報文段的序號被賦為1007,第三個報文段的序號被賦為2007,以此類推。前面4個報文段的長度是1000,最後一個是500。

確認號要比序號難理解一些。前面講過,TCP是全雙工的,因此主機A在向主機B發送數據的同時,也可能接收來自主機B的數據。從主機B到達的每個報文段中的序號欄位包含了從B流向A的數據的起始位置。 因此主機B填充進報文段的確認號是主機B期望從主機A收到的下一報文段首位元組的序號。

假設主機B已收到了來自主機A編號為7-1006的所有位元組,同時假設它要發送一個報文段給主機A。主機B等待主機A的數據流中位元組1007及後續所有位元組。所以,主機B會在它發往主機A的報文段的確認號欄位中填上1007。

再舉一個例子,假設主機B已收到一個來自主機A的包含位元組7-1006的報文段,以及另一個包含位元組2007-3006的報文段。由於某種原因,主機A還沒有收到位元組1007-2006的報文段。

在這個例子中,主機A為了重組主機B的數據流,仍在等待位元組1007。因此,A在收到包含位元組2007-3006的報文段時,將會又一次在確認號欄位中包含1007。 因為TCP只確認數據流中至第一個丟失報文段之前的位元組數據,所以TCP被稱為是採用累積確認。

TCP的實現有兩個基本的選擇:

1接收方立即丟棄失序報文段;

2接收方保留失序的位元組,並等待缺少的位元組以填補該間隔。

一條TCP連接的雙方均可隨機地選擇初始序號。 這樣做可以減少將那些仍在網路中的來自兩台主機之間先前連接的報文段,誤認為是新建連接所產生的有效報文段的可能性。

•例子telnet

Telnet由是一個用於遠程登錄的應用層協議。它運行在TCP之上,被設計成可在任意一對主機之間工作。

假設主機A發起一個與主機B的Telnet會話。因為是主機A發起該會話,因此主機A被標記為客戶機,主機B被標記為伺服器。用戶鍵入的每個字元(在客戶機端)都會被發送至遠程主機。遠程主機收到後會復制一個相同的字元發回客戶機,並顯示在Telnet用戶的屏幕上。這種「回顯」用於確保由用戶發送的字元已經被遠程主機收到並處理。因此,在從用戶擊鍵到字元顯示在用戶屏幕上之間的這段時間內,每個字元在網路中傳輸了兩次。

現在假設用戶輸入了一個字元「C」,假設客戶機和伺服器的起始序號分別是42和79。前面講過,一個報文段的序號就是該報文段數據欄位首位元組的序號。因此,客戶機發送的第一個報文段的序號為42,伺服器發送的第一個報文段的序號為79。前面講過,確認號就是主機期待的數據的下一個位元組序號。在TCP連接建立後但沒有發送任何數據之前,客戶機等待位元組79,而伺服器等待位元組42。

如圖所示,共發了3個報文段。第一個報文段是由客戶機發往伺服器,其數據欄位里包含一位元組的字元「C」的ASCII碼,其序號欄位里是42。另外,由於客戶機還沒有接收到來自伺服器的任何數據,因此該報文段中的確認號欄位里是79。

第二個報文段是由伺服器發往客戶機。它有兩個目的:第一個目的是為伺服器所收到的數據提供確認。伺服器通過在確認號欄位中填入43,告訴客戶機它已經成功地收到位元組42及以前的所有位元組,現在正等待著位元組43的出現。第二個目的是回顯字元「C」。因此,在第二個報文段的數據欄位里填入的是字元「C」的ASCII碼,第二個報文段的序號為79,它是該TCP連接上從伺服器到客戶機的數據流的起始序號,也是伺服器要發送的第一個位元組的數據。

這里客戶機到伺服器的數據的確認被裝載在一個伺服器到客戶機的數據的報文段中,這種確認被稱為是捎帶確認.

第三個報文段是從客戶機發往伺服器的。它的唯一目的是確認已從伺服器收到的數據。

3往返時延的估計與超時

TCP如同前面所講的rdt協議一樣,採用超時/重傳機制來處理報文段的丟失問題。最重要的一個問題就是超時間隔長度的設置。顯然,超時間隔必須大於TCP連接的往返時延RTT,即從一個報文段發出到收到其確認時。否則會造成不必要的重傳。

•估計往返時延

TCP估計發送方與接收方之間的往返時延是通過採集報文段的樣本RTT來實現的,就是從某報文段被發出到對該報文段的確認被收到之間的時間長度。

也就是說TCP為一個已發送的但目前尚未被確認的報文段估計sampleRTT,從而產生一個接近每個RTT的采樣值。但是,TCP不會為重傳的報文段計算RTT。

為了估計一個典型的RTT,採取了某種對RTT取平均值的辦法。TCP據下列公式來更新

EstimatedRTT=(1-)*EstimatedRTT+*SampleRTT

即估計RTT的新值是由以前估計的RTT值與sampleRTT新值加權組合而成的。

參考值是a=0.125,因此是一個加權平均值。顯然這個加權平均對最新樣本賦予的權值

要大於對老樣本賦予的權值。因為越新的樣本能更好地反映出網路當前的擁塞情況。從統計學觀點來講,這種平均被稱為指數加權移動平均

除了估算RTT外,還需要測量RTT的變化,RTT偏差的程度,因為直接使用平均值設置計時器會有問題(太靈敏)。

DevRTT=(1-β)*DevRTT+β*|SampleRTT-EstimatedRTT|

RTT偏差也使用了指數加權移動平均。B取值0.25.

•設置和管理重傳超時間隔

假設已經得到了估計RTT值和RTT偏差值,那麼TCP超時間隔應該用什麼值呢?TCP將超時間隔設置成大於等於估計RTT值和4倍的RTT偏差值,否則將造成不必要的重傳。但是超時間隔也不應該比估計RTT值大太多,否則當報文段丟失時,TCP不能很快地重傳該報文段,從而將給上層應用帶來很大的數據傳輸時延。因此,要求將超時間隔設為估計RTT值加上一定餘量。當估計RTT值波動較大時,這個余最應該大些;當波動比較小時,這個餘量應該小些。因此使用4倍的偏差值來設置重傳時間。

TimeoutInterval=EstimatedRTT+4*DevRTT

4可信數據傳輸

網際網路的網路層服務是不可靠的。IP不保證數據報的交付,不保證數據報的按序交付,也不保證數據報中數據的完整性。

TCP在IP不可靠的盡力而為服務基礎上建立了一種可靠數據傳輸服務。

TCP提供可靠數據傳輸的方法涉及前面學過的許多原理。

TCP採用流水線協議、累計確認。

TCP推薦的定時器管理過程使用單一的重傳定時器,即使有多個已發送但還未被確認的報文段也一樣。重傳由超時和多個ACK觸發。

在TCP發送方有3種與發送和重傳有關的主要事件:從上層應用程序接收數據,定時器超時和收到確認ACK。

從上層應用程序接收數據。一旦這個事件發生,TCP就從應用程序接收數據,將數據封裝在一個報文段中,並將該報文段交給IP。注意到每一個報文段都包含一個序號,這個序號就是該報文段第一個數據位元組的位元組流編號。如果定時器還沒有計時,則當報文段被傳給IP時,TCP就啟動一個該定時器。

第二個事件是超時。TCP通過重傳引起超時的報文段來響應超時事件。然後TCP重啟定時器。

第三個事件是一個來自接收方的確認報文段(ACK)。當該事件發生時,TCP將ACK的值y與變數SendBase(發送窗口的基地址)進行比較。TCP狀態變數SendBase是最早未被確認的位元組的序號。就是指接收方已正確按序接收到數據的最後一個位元組的序號。TCP採用累積確認,所以y確認了位元組編號在y之前的所有位元組都已經收到。如果Y>SendBase,則該ACK是在確認一個或多個先前未被確認的報文段。因此發送方更新其SendBase變數,相當於發送窗口向前移動。

另外,如果當前有未被確認的報文段,TCP還要重新啟動定時器。

快速重傳

超時觸發重傳存在的另一個問題是超時周期可能相對較長。當一個報文段丟失時,這種長超時周期迫使發送方等待很長時間才重傳丟失的分組,因而增加了端到端時延。所以通常發送方可在超時事件發生之前通過觀察冗餘ACK來檢測丟包情況。

冗餘ACK就是接收方再次確認某個報文段的ACK,而發送方先前已經收到對該報文段的確認。

當TCP接收方收到一個序號比所期望的序號大的報文段時,它認為檢測到了數據流中的一個間隔,即有報文段丟失。這個間隔可能是由於在網路中報文段丟失或重新排序造成的。因為TCP使用累計確認,所以接收方不向發送方發回否定確認,而是對最後一個正確接收報文段進行重復確認(即產生一個冗餘ACK)

如果TCP發送方接收到對相同報文段的3個冗餘ACK.它就認為跟在這個已被確認過3次的報文段之後的報文段已經丟失。一旦收到3個冗餘ACK,TCP就執行快速重傳 ,

即在該報文段的定時器過期之前重傳丟失的報文段。

5流量控制

前面講過,一條TCP連接雙方的主機都為該連接設置了接收緩存。當該TCP連接收到正確、按序的位元組後,它就將數據放入接收緩存。相關聯的應用進程會從該緩存中讀取數據,但沒必要數據剛一到達就立即讀取。事實上,接收方應用也許正忙於其他任務,甚至要過很長時間後才去讀取該數據。如果應用程序讀取數據時相當緩慢,而發送方發送數據太多、太快,會很容易使這個連接的接收緩存溢出。

TCP為應用程序提供了流量控制服務以消除發送方導致接收方緩存溢出的可能性。因此,可以說 流量控制是一個速度匹配服務,即發送方的發送速率與接收方應用程序的讀速率相匹配。

前面提到過,TCP發送方也可能因為IP網路的擁塞而被限制,這種形式的發送方的控制被稱為擁塞控制(congestioncontrol)。

TCP通過讓接收方維護一個稱為接收窗口的變數來提供流量控制。接收窗口用於告訴發送方,該接收方還有多少可用的緩存空間。因為TCP是全雙工通信,在連接兩端的發送方都各自維護一個接收窗口變數。 主機把當前的空閑接收緩存大小值放入它發給對方主機的報文段接收窗口欄位中,通知對方它在該連接的緩存中還有多少可用空間。

6 TCP連接管理

客戶機中的TCP會用以下方式與伺服器建立一條TCP連接:

第一步: 客戶機端首先向伺服器發送一個SNY比特被置為1報文段。該報文段中不包含應用層數據,這個特殊報文段被稱為SYN報文段。另外,客戶機會選擇一個起始序號,並將其放置到報文段的序號欄位中。為了避免某些安全性攻擊,這里一般隨機選擇序號。

第二步: 一旦包含TCP報文段的用戶數據報到達伺服器主機,伺服器會從該數據報中提取出TCPSYN報文段,為該TCP連接分配TCP緩存和控制變數,並向客戶機TCP發送允許連接的報文段。這個允許連接的報文段還是不包含應用層數據。但是,在報文段的首部卻包含3個重要的信息。

首先,SYN比特被置為1。其次,該 TCP報文段首部的確認號欄位被置為客戶端序號+1最後,伺服器選擇自己的初始序號,並將其放置到TCP報文段首部的序號欄位中。 這個允許連接的報文段實際上表明了:「我收到了你要求建立連接的、帶有初始序號的分組。我同意建立該連接,我自己的初始序號是XX」。這個同意連接的報文段通常被稱為SYN+ACK報文段。

第三步: 在收到SYN+ACK報文段後,客戶機也要給該連接分配緩存和控制變數。客戶機主機還會向伺服器發送另外一個報文段,這個報文段對伺服器允許連接的報文段進行了確認。因為連接已經建立了,所以該ACK比特被置為1,稱為ACK報文段,可以攜帶數據。

一旦以上3步完成,客戶機和伺服器就可以相互發送含有數據的報文段了。

為了建立連接,在兩台主機之間發送了3個分組,這種連接建立過程通常被稱為 三次握手(SNY、SYN+ACK、ACK,ACK報文段可以攜帶數據) 。這個過程發生在客戶機connect()伺服器,伺服器accept()客戶連接的階段。

假設客戶機應用程序決定要關閉該連接。(注意,伺服器也能選擇關閉該連接)客戶機發送一個FIN比特被置為1的TCP報文段,並進人FINWAIT1狀態。

當處在FINWAIT1狀態時,客戶機TCP等待一個來自伺服器的帶有ACK確認信息的TCP報文段。當它收到該報文段時,客戶機TCP進入FINWAIT2狀態。

當處在FINWAIT2狀態時,客戶機等待來自伺服器的FIN比特被置為1的另一個報文段,

收到該報文段後,客戶機TCP對伺服器的報文段進行ACK確認,並進入TIME_WAIT狀態。TIME_WAIT狀態使得TCP客戶機重傳最終確認報文,以防該ACK丟失。在TIME_WAIT狀態中所消耗的時間是與具體實現有關的,一般是30秒或更多時間。

經過等待後,連接正式關閉,客戶機端所有與連接有關的資源將被釋放。 因此TCP連接的關閉需要客戶端和伺服器端互相交換連接關閉的FIN、ACK置位報文段。

『肆』 網路攻防基礎知識

1、謹慎存放有關攻擊資料的筆記,最好用自己的方式來記錄——讓人不知所雲;
2、在虛擬世界的任何地方都要用虛擬的ID行事,不要留下真實姓名或其它資料;
3、不要向身邊的朋友炫耀你的技術——除非你認為就算因他的原因導致你*&^%$,你也不會怪他……
4、網友聊天不要輕易說出自己的學習與攻擊計劃——拍搭當然不一樣啦。
也許你會覺得我太過多事,但現在國內突然湧起的這陣「黑客熱」的確象一個難以把握的漂漂MM,往好里想,情勢大好,技術水平迅速提高,但……國家的安全部門允許這群擁有較高技術水平的人在不受其控制的情況下呢,自由地在可能有機密情報的電腦世界裡轉悠嗎?幾則最新的消息或許應該看一看(都是99-11月的):

『伍』 如何學習網路安全

如果你是一個完全經驗的新手,想轉行網路安全,我們建議

第一步:需要了解整個行業的全貌

當你想快速進入一個行業的時候,第一步不是直接開始學習,而是梳理這個行業的知識體系,或者你這個行業所需要的掌握的必備能力,然後一步一步進行拆解。

這樣的好處在於,第一能夠清晰的理清楚你需要真正掌握的技能點,第二能夠增強執行力,因為當你拆解成各個能力模塊的時候,你的執行力會提高,因為你知道你需要每天做什麼。

相信很多新手想入門網路安全都知道,一般建議都是從Web安全入手,這不需要你有很多代碼等專業知識,更容易找到成就感增加你的學習興趣,因此,第一步,建議從Web安全方向入手,為了讓你快速入門Web安全,可以從我們針對上百家企業的Web安全工程師崗位做的深度調研,總結出的Web安全學習路徑,幫你建立Web安全整體知識體系。

web案例學習路線圖

第二步:加強實戰訓練

我們知道,任何職場上的能力,都需要通過實操才能確認是否真正掌握,而網路安全,實操技能要求比其他崗位更強,因此,每學完一個技能,你都需要去實操練習,這里推薦的實操平台

第三步:記筆記

每個知識點的學習,要詳細的記錄筆記的學習中遇到的問題,解決這個問題的思路,哪裡還有別的思路可以解決?後續再有類似的問題出現,我們就可以去看當初的筆記,進行鞏固,常言道:好記性不如爛筆頭(前輩們經過多年推敲的總是,不是沒有道理的)

最重要是 要不斷在學習,因為這個行業 技術更新頻次很快

『陸』 共建網路安全,共享網路文明怎麼寫筆記

一、遵紀守法、主動學習法律、增強法律意識、學會運用法律武器保護自身合法權益,自覺履行法律義務不散播有害國家穩定、民族團結的言論尊重他人的合法權益,不擅自公開他人隱私不侵犯他人名譽權、肖像權等。

二、提高道德自律,誠信友善。

『柒』 三級網路筆記第六章網路安全技術

第六章 網路安全技術
網路管理包括五個功能:配置管理,故障管理,性能管理,計費管理和安全管理。
代理位於被管理的設備內部,它把來自管理者的命令或信息請求轉換為本設備特有的指令,完成管理者的指示,或返回它所在設備的信息。
管理者和代理之間的信息交換可以分為兩種:從管理者到代理的管理操作;從代理到管理者的事件通知。
配置管理的目標是掌握和控制網路和系統的配置信息以及網路各設備的狀態和連接管理。現代網路設備由硬體和設備驅動組禪巧成。
配置管理最主要的作用是可以增強網路管理者對網路配置的控制,它是通過對設備的配置數據提供快速的訪問來實現的。
故障就是出現大量或嚴重錯誤需要修復的異常情況。故障管理是對計算機網路中的問題或故障進行定位的過程。
故障管理最主要的作用是通過提供網路管理者快速的檢查問題並啟動恢復過程的工具,使網路的可靠性得到增強。故障標簽就是一個監視網路賀信鍵問題的前端進程。
性能管理的目標是衡量和呈現網路特性的各個方面,使網路的性能維持在一個可以接受的水平上。
性能管理包括監視和調整兩大功能。
記費管理的目標是跟蹤個人和團體用戶對網路資源的使用情況,對其收取合理的費用。
記費管理的主要作用是網路管理者能測量和報告基於個人或團體用戶的記費信息,分配資源並計算用戶通過網路傳輸數據的費用,然後給用戶開出帳單。
安全管理的目標是按照一定的方法控制對網路的訪問,以保證網路不被侵害,並保證重要的信息不被未授權用戶訪問。
安全管理是對網路資源以及重要信息訪問進行約束和控制。
在網路管理模型中,網路管理者和代理之間需要交換大量的管理信息,這一過程必須遵循統一的通信規范,我們把這個通信規范稱為網路管理協議。
網路管理協議是高層網路應用協議,它建立在具體物理網路及其基礎通信協議基礎上,為網路管理平台服務。
目前使用的標准網路管理協議包括:簡單網路管理協議SNMP,公共管理信息服務/協議CMIS/CMIP,和區域網個人管理協議LMMP等。
SNMP採用輪循監控方式。代理/管理站模式。
管理節點一般是面向工程應用的工作站級計算機,擁有很強的處理能力。代理節點可以是網路上任何類型的節點。SNMP是一個應用層協議 ,在TCP/IP網路中,它應用傳輸層和網路層的服務向其對等層傳輸信息。
CMIP的優點是安全性高,功能強大,不僅可用於傳輸管理數據,還可以執行一定的任務。
信息安全包括5個基本要素:機密性,完整性,可用性,可控性與可審查性。
3 D1級。D1級計算機系統標准規定對用戶沒有驗證。例如DOS。WINDOS3。X及WINDOW 95(不在工作組方式中)。Apple的System7。X。
4 C1級提供自主式安全保護,它通過將用戶和數據分離,滿足自主需求。
C1級又稱為選擇安全保護系統,它描述了一種典型的用在Unix系統上的安全級別。
C1級要求硬體有一定的安全級別,用戶在使用前必須登陸到系統。
C1級的防護的不足之處在與用戶直接訪問操作系統的根。
9 C2級提供比C1級系統更細微的自主式訪問控制。為處理敏感信息所需要的最底安全級別。C2級別還包含有受控訪問環境,該環境具有進一步限制用戶執行一些命令或訪問某些文件的許可權,而且還加入了身份驗證級別。例如UNIX系統。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1級稱為標記安全防護,B1級支持多級安全。標記是指網上的一個對象在安全保護計劃中是可識別且受保護的。B1級是第一種需要大量訪問控制支持的級別。安全級別存在保密,級別。
11 B2又稱為坦鉛結構化保護,他要求計算機系統中的所有對象都要加上標簽,而且給設備分配安全級別。B2級系統的關鍵安全硬體/軟體部件必須建立在一個形式的安全方法模式上。
12 B3級又叫安全域,要求用戶工作站或終端通過可信任途徑連接到網路系統。而且這一級採用硬體來保護安全系統的存儲區。
B3級系統的關鍵安全部件必須理解所有客體到主體的訪問,必須是防竄擾的,而且必須足夠小以便分析與測試。
30 A1 安全級別,表明系統提供了面的安全,又叫做驗證設計。所有來自構成系統的部件來源必須有安全保證,以此保證系統的完善和安全,安全措施還必須擔保在銷售過程中,系統部件不受傷害。

網路安全從本質上講就是網路上的信息安全。凡是涉及到網路信息的保密性,完整性,可用性,真實性和可控性的相關技術和理論都是網路安全的研究領域。
安全策約是在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。安全策約模型包括了建立安全環境的三個重要組成部分:威嚴的法律,先進的技術和嚴格的管理。
網路安全是網路系統的硬體,軟體以及系統中的數據受到保護,不會由於偶然或惡意的原因而遭到破壞,更改,泄露,系統能連續,可靠和正常的運行,網路服務不中斷。
保證安全性的所有機制包括以下兩部分:
1 對被傳送的信息進行與安全相關的轉換。
2 兩個主體共享不希望對手得知的保密信息。
安全威脅是某個人,物,事或概念對某個資源的機密性,完整性,可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。
安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。
中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。
截取是未授權的實體得到了資源的訪問權。這是對保密性的攻擊。
修改是未授權的實體不僅得到了訪問權,而且還篡改了資源。這是對完整性的攻擊。
捏造是未授權的實體向系統中插入偽造的對象。這是對真實性的攻擊。
被動攻擊的特點是偷聽或監視傳送。其目的是獲得正在傳送的信息。被動攻擊有:泄露信息內容和通信量分析等。
主動攻擊涉及修改數據流或創建錯誤的數據流,它包括假冒,重放,修改信息和拒絕服務等。
假冒是一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及後來的重新發送,以產生未經授權的效果。
修改消息意味著改變了真實消息的部分內容,或將消息延遲或重新排序,導致未授權的操作。
拒絕服務的禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標。另一種拒絕服務的形式是整個網路的中斷,這可以通過使網路失效而實現,或通過消息過載使網路性能降低。
防止主動攻擊的做法是對攻擊進行檢測,並從它引起的中斷或延遲中恢復過來。
從網路高層協議角度看,攻擊方法可以概括為:服務攻擊與非服務攻擊。
服務攻擊是針對某種特定網路服務的攻擊。
非服務攻擊不針對某項具體應用服務,而是基於網路層等低層協議進行的。
非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的,是一種更有效的攻擊手段。
網路安全的基本目標是實現信息的機密性,完整性,可用性和合法性。
主要的可實現威脅:
3 滲入威脅:假冒,旁路控制,授權侵犯。
4 植入威脅:特洛伊木馬,陷門。
病毒是能夠通過修改其他程序而感染它們的一種程序,修改後的程序裡麵包含了病毒程序的一個副本,這樣它們就能繼續感染其他程序。
網路反病毒技術包括預防病毒,檢測病毒和消毒三種技術。
1 預防病毒技術。
它通過自身長駐系統內存,優先獲得系統的控制權,監視和判斷系統中是或有病毒存在,進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有:加密可執行程序,引導區保護,系統監控與讀寫控制。
2.檢測病毒技術。
通過對計算機病毒的特徵來進行判斷的技術。如自身效驗,關鍵字,文件長度的變化等。
3.消毒技術。
通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原元件的軟體。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和檢測,在工作站上用防病毒晶元和對網路目錄以及文件設置訪問許可權等。
網路信息系統安全管理三個原則:
1 多人負責原則。
2 任期有限原則。
3 職責分離原則。

保密學是研究密碼系統或通信安全的科學,它包含兩個分支:密碼學和密碼分析學。
需要隱藏的消息叫做明文。明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密。加密的逆過程叫組解密。對明文進行加密所採用的一組規則稱為加密演算法。對密文解密時採用的一組規則稱為解密演算法。加密演算法和解密演算法通常是在一組密鑰控制下進行的,加密演算法所採用的密鑰成為加密密鑰,解密演算法所使用的密鑰叫做解密密鑰。
密碼系統通常從3個獨立的方面進行分類:
1 按將明文轉化為密文的操作類型分為:置換密碼和易位密碼。
所有加密演算法都是建立在兩個通用原則之上:置換和易位。
2 按明文的處理方法可分為:分組密碼(塊密碼)和序列密碼(流密碼)。
3 按密鑰的使用個數分為:對稱密碼體制和非對稱密碼體制。
如果發送方使用的加密密鑰和接受方使用的解密密鑰相同,或從其中一個密鑰易於的出另一個密鑰,這樣的系統叫做對稱的,但密鑰或常規加密系統。如果發送放使用的加密密鑰和接受方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統就叫做不對稱的,雙密鑰或公鑰加密系統。
分組密碼的加密方式是首先將明文序列以固定長度進行分組,每一組明文用相同的密鑰和加密函數進行運算。
分組密碼設計的核心上構造既具有可逆性又有很強的線性的演算法。
序列密碼的加密過程是將報文,話音,圖象,數據等原始信息轉化成明文數據序列,然後將它同密鑰序列進行異或運算。生成密文序列發送給接受者。
數據加密技術可以分為3類:對稱型加密,不對稱型加密和不可逆加密。
對稱加密使用單個密鑰對數據進行加密或解密。
不對稱加密演算法也稱為公開加密演算法,其特點是有兩個密鑰,只有兩者搭配使用才能完成加密和解密的全過程。
不對稱加密的另一用法稱為「數字簽名」,既數據源使用其私有密鑰對數據的效驗和或其他與數據內容有關的變數進行加密,而數據接受方則用相應的公用密鑰解讀「數字簽名」,並將解讀結果用於對數據完整性的檢驗。
不可逆加密演算法的特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣輸入的輸入數據經過同樣的不可逆演算法才能得到同樣的加密數據。
加密技術應用於網路安全通常有兩種形式,既面向網路和面向應用程序服務。
面向網路服務的加密技術通常工作在網路層或傳輸層,使用經過加密的數據包傳送,認證網路路由及其其他網路協議所需的信息,從而保證網路的連通性和可用性不受侵害。
面向網路應用程序服務的加密技術使用則是目前較為流行的加密技術的使用方法。
從通信網路的傳輸方面,數據加密技術可以分為3類:鏈路加密方式,節點到節點方式和端到端方式。
鏈路加密方式是一般網路通信安全主要採用的方式。
節點到節點加密方式是為了解決在節點中數據是明文的缺點,在中間節點里裝有加,解密的保護裝置,由這個裝置來完成一個密鑰向另一個密鑰的變換。
在端到端機密方式中,由發送方加密的數據在沒有到達最終目的節點之前是不被解密的。
試圖發現明文或密鑰的過程叫做密碼分析。
演算法實際進行的置換和轉換由保密密鑰決定。
密文由保密密鑰和明文決定。
對稱加密有兩個安全要求:
1 需要強大的加密演算法。
2 發送方和接受方必須用安全的方式來獲得保密密鑰的副本。
常規機密的安全性取決於密鑰的保密性,而不是演算法的保密性。
IDEA演算法被認為是當今最安全的分組密碼演算法。
公開密鑰加密又叫做非對稱加密。
公鑰密碼體制有兩個基本的模型,一種是加密模型,一種是認證模型。
通常公鑰加密時候使用一個密鑰,在解密時使用不同但相關的密鑰。
常規加密使用的密鑰叫做保密密鑰。公鑰加密使用的密鑰對叫做公鑰或私鑰。
RSA體制被認為是現在理論上最為成熟完善的一種公鑰密碼體制。
密鑰的生存周期是指授權使用該密鑰的周期。
在實際中,存儲密鑰最安全的方法就是將其放在物理上安全的地方。
密鑰登記包括將產生的密鑰與特定的應用綁定在一起。
密鑰管理的重要內容就是解決密鑰的分發問題。
密鑰銷毀包括清除一個密鑰的所有蹤跡。
密鑰分發技術是將密鑰發送到數據交換的兩方,而其他人無法看到的地方。
數字證書是一條數字簽名的消息,它通常用與證明某個實體的公鑰的有效性。數字證書是一個數字結構,具有一種公共的格式,它將某一個成員的識別符和一個公鑰值綁定在一起。人們採用數字證書來分發公鑰。
序列號:由證書頒發者分配的本證書的標示符。

認證是防止主動攻擊的重要技術,它對於開放環境中的各種信息系統的安全有重要作用。
認證是驗證一個最終用戶或設備的聲明身份的過程。
主要目的為:
4 驗證信息的發送者是真正的,而不是冒充的,這稱為信源識別。
5 驗證信息的完整性,保證信息在傳送過程中未被竄改,重放或延遲等。
認證過程通常涉及加密和密鑰交換。
帳戶名和口令認證方式是最常用的一種認證方式。
授權是把訪問權授予某一個用戶,用戶組或指定系統的過程。
訪問控制是限制系統中的信息只能流到網路中的授權個人或系統。
有關認證使用的技術主要有:消息認證,身份認證和數字簽名。
消息認證的內容包括為:
1 證實消息的信源和信宿。
2 消息內容是或曾受到偶然或有意的篡改。
3 消息的序號和時間性。
消息認證的一般方法為:產生一個附件。
身份認證大致分為3類:
1 個人知道的某種事物。
2 個人持證
3 個人特徵。
口令或個人識別碼機制是被廣泛研究和使用的一種身份驗證方法,也是最實用的認證系統所依賴的一種機制。
為了使口令更加安全,可以通過加密口令或修改加密方法來提供更強健的方法,這就是一次性口令方案,常見的有S/KEY和令牌口令認證方案。
持證為個人持有物。
數字簽名的兩種格式:
2 經過密碼變換的被簽名信息整體。
3 附加在被簽消息之後或某個特定位置上的一段簽名圖樣。
對與一個連接來說,維持認證的辦法是同時使用連接完整性服務。
防火牆總體上分為濾,應用級網關和代理服務等幾大類型。
數據濾技術是在網路層對數據包進行選擇。
應用級網關是在網路應用層上建立協議過濾和轉發功能。
代理服務也稱鏈路級網關或TCP通道,也有人將它歸於應用級網關一類。
防火牆是設置在不同網路或網路安全域之間的一系列不見的組合。它可以通過檢測,限制,更改跨越防火牆的數據流,盡可能的對外部屏蔽網路內部的消息,結構和運行情況,以此來實現網路的安全保護。
防火牆的設計目標是:
1 進出內部網的通信量必須通過防火牆。
2 只有那些在內部網安全策約中定義了的合法的通信量才能進出防火牆。
3 防火牆自身應該防止滲透。
防火牆能有效的防止外來的入侵,它在網路系統中的作用是:
1 控制進出網路的信息流向和信息包。
2 提供使用和流量的日誌和審記。
3 隱藏內部IP以及網路結構細節。
4 提供虛擬專用網功能。
通常有兩種設計策約:允許所有服務除非被明確禁止;禁止所有服務除非被明確允許。
防火牆實現站點安全策約的技術:
3 服務控制。確定在圍牆外面和裡面可以訪問的INTERNET服務類型。
4 方向控制。啟動特定的服務請求並允許它通過防火牆,這些操作具有方向性。
5 用戶控制。根據請求訪問的用戶來確定是或提供該服務。
6 行為控制。控制如何使用某種特定的服務。
影響防火牆系統設計,安裝和使用的網路策約可以分為兩級:
高級的網路策約定義允許和禁止的服務以及如何使用服務。
低級的網路策約描述了防火牆如何限制和過濾在高級策約中定義的服務。

閱讀全文

與大學網路安全筆記相關的資料

熱點內容
網路卡頓電腦游戲也會畫面卡頓嗎 瀏覽:861
macbookpro無線網路無法連接 瀏覽:204
為什麼wifi找不到網路 瀏覽:710
ping網路是ping哪個 瀏覽:655
B站網路直播平台有哪些 瀏覽:785
雲音響連接網路失敗 瀏覽:314
湖南網路優化多少錢 瀏覽:848
win7使用無線網路就卡死 瀏覽:169
電腦無線網路連接就不能本地連接 瀏覽:414
虛擬網路平台怎麼用手機 瀏覽:277
windows10筆記本電腦搜索不到網路 瀏覽:857
無線監控器上的網路模塊 瀏覽:774
網路貸款哪個最容易求帶什麼意思 瀏覽:972
boss直聘網路安全審查工作 瀏覽:145
網路招聘一年需要多少錢 瀏覽:685
遂平城南哪個網路好 瀏覽:922
家裡忽然沒網路無線網正常 瀏覽:260
十年網路流行語哪個讓你印象深刻 瀏覽:226
計算機網路謝希仁韓司 瀏覽:364
手機網路診斷錯誤代碼324 瀏覽:385

友情鏈接