1.1安全网络的概述什么叫计算机网络？四元素：终端、传输介质、通讯设备、网络技术-网络安全的演进：2001年7月，一个名为“Cord Red”的蠕虫攻击事件，震惊了全世界，当时全球约35万台主机感染了Cord Red。

此蠕虫不仅使被感染的服务器停止工作，而且影响服务器所在的本地网络（这也是蠕虫和病毒的区别，下章会详细介绍）。

Cord Red为一种Dos攻击，它的出现使网络工作者的世界发生了变化。

用户对网络的需求已经不仅仅是设计与构建，而更多的是维护与安全。

网络安全的威胁有两种：内部威胁和外部威胁内网的攻击基本上可以归纳为两类：一个是Dos，另一个是欺骗（spoofing）。

Dos攻击可以使网络资源无法访问，从而达到网络可用性的攻击；欺骗：如ARP的欺骗，通过ARP的欺骗可以对受害者的数据包进行查看，从而了解别人的信息，这也是网络机密性的攻击；如果把得到的数据进行篡改，然后再次发送出去，这就是网络完整性的攻击。

外部威胁一般使用IDS、IPS、防火墙防御等，其实在于个网络当中，外网的威胁仅占30%不到，大多的攻击来自内网。

（关于内网的攻击，我们后面会有大量的篇幅来介绍）下面先了解下网络安全工具；-网络安全工具：IDS最早的网络安全工具之一是入侵检测系统（Intrusion Detection System，IDS），诞生与1984年，它可以提供对特定类型攻击发生时的实时探测，这样网络工程师可以迅速的判断出攻击并消除，从而可以减轻攻击给网络带来得负面影响。

ISP20世纪90年代末，入侵防御系统（Intrusion Pervention System or Sensor, IPS）诞生，它与IDS的区别在于，IPS不仅可以针对特定的攻击类型发生时进行实时探测，还能自动实时阻断攻击。

防火墙除了IDS和IPS以外，在1988年DEC公司发明了第一台报文过滤防火墙（其实就是ACL），1989年AT&T贝尔实验室发明了第一台状态化防火墙，不同于报文过滤防火墙的区别在于，状态防火墙跟踪已经建立的连接并判断报文是否属于一个已经存在的数据流，从而提供更高的安全性和更快的处理。

简单的说就是，从内部主动发起的流量允许返回，从外部主动发起的流量会被拒绝。

最早的防火墙是向已有的设备中添加软件特性，如路由器或者交换机上使用ACL。

随着时间的推移，一些公司开发出独立的或专用的防火墙，如：Cisco的ASA、Juniper的SSG、微软的ISA、诺基亚等一些硬件防火墙。

对于一些不需要使用专业性的公司，可以使用现在路由器，如:Cisco的ISR，一个使用高级IOS的ISR路由，可以做很多安全功能，比如IOS防火墙（典型的是CBAC、ZFW），IOS的IPS等等。

-网络安全的目标：机密性：保持数据私有，使得对敏感数据或穿越网络的加密流量的访问收到物理上或逻辑上的限制；完整性：保证数据在传输时不被修改，同时还可以实现对源的认证，核实数据流来自正确的源；可用性：数据可用性是对数据可访问性的度量；例如：服务器每年故障5分钟，那么就具有99.999%的可用性；-网络安全的驱动者：Hacker黑客黑客的类型：白帽黑客：具有攻入系统并造成破坏的技术，但是目的是帮助其所在组织；黑帽黑客：破坏者，做不道德的事情；灰帽黑客：也可被认为是白帽，但有时候迷失并作出不道德的事情；电话飞客：电信系统的黑客。

可打免费长途电话脚本小子：缺少一般黑客应有的技术，黑客行为主义者：是有政治动机的黑客。

计算机安全黑客:精通计算机和网络安全技术。

学院黑客：指高等教育机构里的学生和员工。

业余黑客：注意力主要在家用计算机上，-网络安全组织：系统管理、审计、网络、安全组织[SANS]计算机应急反应组[CERT]国际信息系统安全认证联盟[ISC]1.2病毒、蠕虫和特洛伊木马-病毒是恶意软件，它依赖于其它程序，在一台计算机上执行某些的破坏功能病毒可以是无害的，例如在电脑的桌面上显示一副图片；病毒也可以是有害的，它可以删除或修改磁盘中的文件-蠕虫执行恶意代码并将自身的副本安装进被感染计算机的内存，被感染的计算机再次感染其它计算机蠕虫的功能和病毒类似，区别在于，病毒是针对一台计算机而言，而蠕虫可以复制给很多计算机。

蠕虫的攻击主要分为三个组成部分：1）启动漏洞--蠕虫在容易受攻击的系统上利用载体（如：电子邮件的附件、可执行文件等）安装自身；2）传播机制--进入设备后，蠕虫复制自身并定位新目标；3）有效载荷--在被感染的主机上创建一个后门。

病毒和蠕虫的共同点：不论是病毒还是蠕虫，都分为5个基本的攻击阶段：1、探测阶段：识别容易攻击的目标，找到可以破坏的计算机，如使用ICMP的ping来扫描网络中激活的主机2、穿透阶段：传送恶意代码到容易受攻击的目标，使目标通过一个攻击向量执行恶意代码。

3、留存阶段：当攻击成功的从内存发起后，代码会尽力的留存在目标系统上，以确保即使系统重启，攻击代码仍运行并对攻击者可用。

4、传播阶段：攻击者通过寻找易受攻击的邻近机器试图将攻击延伸到其它目标。

5、瘫痪阶段：对系统进行实际性的破坏，文件可能被删除、系统可能会奔溃、信息可能被盗取、并可能会发起DOS攻击。

-特洛伊木马是一款经过伪装的应用程序，当一个特洛伊木马被下载并打开时，它从内部攻击终端用户计算机，并窃取内部数据。

特洛伊木马源于一个希腊的神话（故事略），木马与病毒和蠕虫的区别在于，木马并不对文件进行破坏，它只是对文件进行窃取。

1.3网络安全攻击概述攻击方法主要分三种：-侦查攻击（Reconnaissance Attack）侦查攻击一般使用多种工具获得网络接入：1、报文嗅探器（Packet sniffer）2、Ping扫描（Ping sweep）3、端口扫描（port scan）4、互联网信息查询（Internet information query）漏洞：指可能被攻击者利用，从而获得对系统或数据的未授权访问的一些缺陷。

-接入攻击（Access Attack）黑客进行接入攻击的目的：获取信息、获得访问权限和提升访问权限。

接入攻击的类型有5种：1、密码攻击：攻击者试图猜测系统密码，常见的例子是字典攻击；2、信任利用：攻击者使用提升访问权限的方法对未经授权的数据进行攻击；3、端口重定向：使用曾经攻击下的主机做跳板，再对其他主机进行攻击；4、中间人攻击：攻击者位于两个合法实体间通信的中间位置，以读取或者修改双发传递的数据；5、缓冲区溢出：在分配的缓冲区内存外写数据的程序。

-拒绝服务攻击（Denial of Service Attack）Dos攻击时导致对用户、设备或应用程序的某种服务中断的网络攻击。

常见的三种DOS攻击：（DDos）1、死亡之ping（Ping of Death）发送一个为65535字节的报文请求对方的回应，这种攻击的一个变种是使用ICMP分片来填满目标缓冲区，从而是其崩溃。

2、放大攻击（Smurf Attack）攻击者向定向的广播地址发送大量的ICMP报文，这些ICMP请求的源地址都是同一个网段的伪造地址，这时所有的主机都会对该ICMP应答，从而使流量按网络上的主机数翻倍，最终使一个网络瘫痪。

3、TCP SYN Flood攻击者使用一个伪造地址，对服务器发起一个TCP SYN请求，而服务器必须回应一个SYN-ACK，并等待客户机的再次回应，由于攻击者的地址是伪造的，所以不可能会对服务器做最后一个ACK确认，从而导致服务器一直在维护着大量的TCP半开连接。

最终使服务器的资源耗尽，无法应答正常的TCP请求。

总而言之：网络攻击分为以下被动攻击：攻击者不主动发送流量主动攻击：主攻发送和流量，易被检测到；近距离攻击：发送在攻击者与目标系统之间的物理距离很小的情况。

内部攻击：指合法网络用户利用其授权和对网络的了解发起恶意攻击。

分布式攻击:攻击者利用软件“后门”，发动群体攻击。

--IP欺骗：隐藏自己的身份；原理：利用TCP三次握手的最后一次攻击类型：非盲目欺骗：发生在攻击者和目的地在同一子网的情况下，由于处于同一子网，攻击者可使用分组捕获软件收集序列号。

盲目欺骗：攻击者和目的地不在同一子网的情况下。

1）使用IP源路由选择发起远程IP欺骗攻击（1）松散型：攻击者指定一个分组必须流经的IP地址列表，分组也可流经与表中指定IP地址互联的其他路由器。

（2）严格型：攻击者指定的列表中的地址是分组允许传输的惟一地址。

2）利用中间人攻击发起一个本地IP欺骗攻击--防御IP欺骗的攻击在路由器接口使用ACL;通过IPsec隧道对设备之间的流量进行加密；使用加密验证；--了解机密性攻击攻击策略：垃圾搜寻、电磁干扰等完整性攻击攻击策略：利用信任关系、特洛伊木马、暴力破解等可用性攻击攻击策略：拒绝服务、分布式拒绝服务、TCP SYN泛洪、ICMP攻击等保障网络安全的10步：1、每周，最好是每天安装最新补丁，以防止缓冲区溢出和权限提升攻击2、关闭不必要的服务和端口（如何关闭）3、使用强密码并经常更换4、控制对网络的物理接入5、避免不必要的web页面输入6、定期备份和测试已经备份的文件7、对员工进行网络安全教育，并对访问网络做身份认证8、对敏感数据加密及进行密码保护9、使用安全的硬件及软件，如防火墙、IPS、VPN等10、为公司制定书面的安全策略。