一些網絡攻擊方式

1、目前網絡中存在的攻擊方式主要有如下幾種：SYN Attack（SYN 攻擊）：當網絡中充滿了會發(fā)出無法完成的連接請求的SYN 封包，以至于網絡無法再處理合法的連接請求，從而導致拒絕服務(DoS) 時，就發(fā)生了SYN 泛濫攻擊。ICMP Flood（ICMP 泛濫）：當ICMP ping 產生的大量回應請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網絡信息流時，就發(fā)生了ICMP 泛濫。當啟用了ICMP 泛濫保護功能時，可以設置一個臨界值，一旦超過此值就會調用ICMP 泛濫攻擊保護功能。如果超過了該臨界值，防火墻設備在該秒余下的時間和下一秒內會忽略其它的ICMP

2、回應要求。UDP Flood（UDP 泛濫）：與ICMP 泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP 封包，以至于系統(tǒng)再也無法處理有效的連接時，就發(fā)生了UDP 泛濫。當啟用了UDP 泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就會調用UDP 泛濫攻擊保護功能。如果從一個或多個源向單個目表發(fā)送的UDP 封包數(shù)超過了此臨界值，Juniper 設備在該秒余下的時間和下一秒內會忽略其它到該目標的UDP 封包。Port Scan Attack（端口掃描攻擊）：當一個源IP 地址在定義的時間間隔內向位于相同目標IP 地址10 個不同的端口發(fā)送IP 封包時，就會發(fā)生端口掃描攻擊。這個方案的目的

3、是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。Juniper 設備在內部記錄從某一遠程源地點掃描的不同端口的數(shù)目。使用缺省設置，如果遠程主機在0.005 秒內掃描了10 個端口（5,000 微秒），防火墻會將這一情況標記為端口掃描攻擊，并在該秒余下的時間內拒絕來自該源地點的其它封包（不論目標IP 地址為何）。下面的選項可用于具有物理接口和子接口的區(qū)段：Limit session（限制會話）：防火墻設備可限制由單個IP 地址建立的會話數(shù)量。例如，如果從同一客戶端發(fā)送過多的請求，就能耗盡Web 服務器上的會話資源。此選項定義了每秒鐘防火墻設備可以為單個IP 地址建立的最大會話數(shù)

4、量。SYN-ACK-ACK Proxy 保護：當認證用戶初始化Telnet 或FTP 連接時，用戶會SYN 封包到Telnet 或FTP服務器。Juniper 設備會截取封包，通過Proxy 將SYN-ACK 封包發(fā)送給用戶。用戶用ACK 封包響應。此時，初始的三方握手就已完成。防火墻設備在其會話表中建立項目，并向用戶發(fā)送登錄提示。如果用戶懷有惡意而不登錄，但繼續(xù)啟動SYN-ACK-ACK 會話，防火墻會話表就可能填滿到某個程度，讓設備開始拒絕合法的連接要求。要阻擋這類攻擊，您可以啟用SYN-ACK-ACK Proxy 保護SCREEN 選項。從相同IP 地址的連接數(shù)目到達syn-ack-ac

5、k-proxy 臨界值后，防火墻設備就會拒絕來自該IP 地址的進一步連接要求。缺省情況下，來自單一IP 地址的臨界值是512 次連接。您可以更改這個臨界值（為1 到2,500,000 之間的任何數(shù)目）以更好地適合網絡環(huán)境的需求。SYN Fragment（SYN 碎片）：SYN 碎片攻擊使目標主機充塞過量的SYN 封包碎片。主機接到這些碎片后，會等待其余的封包到達以便將其重新組合在起來。通過向服務器或主機堆積無法完成的連接，主機的內存緩沖區(qū)最終將會塞滿。進一步的連接無法進行，并且可能會破壞主機操作系統(tǒng)。當協(xié)議字段指示是ICMP封包，并且片斷標志被設置為1 或指出了偏移值時，防火墻設備會丟棄ICM

6、P 封包。SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不會在同一封包中同時設置SYN 和FIN 標志。但是，攻擊者可以通過發(fā)送同時置位兩個標志的封包來查看將返回何種系統(tǒng)應答，從而確定出接收端上的系統(tǒng)的種類。接著，攻擊者可以利用已知的系統(tǒng)漏洞來實施進一步的攻擊。啟用此選項可使防火墻設備丟棄在標志字段中同時設置SYN 和FIN 位的封包。TCP Packet Without Flag（無標記的TCP 封包）：通常，在發(fā)送的TCP 封包的標志字段中至少會有一位被置位。此選項將使防火墻設備丟棄字段標志缺少或不全的TCP 封包。FIN Bit With No ACK Bi

7、t（有FIN 位無ACK 位）：設置了FIN 標志的TCP 封包通常也會設置ACK 位。此選項將使防火墻設備丟棄在標志字段中設置了FIN 標志，但沒有設置ACK 位的封包。ICMP Fragment（ICMP 碎片）：檢測任何設置了“更多片斷”標志，或在偏移字段中指出了偏移值的ICMP 幀。Ping of Death：TCP/IP 規(guī)范要求用于數(shù)據包報傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮?。許多ping 實現(xiàn)允許用戶根據需要指定更大的封包大小。過大的ICMP 封包會引發(fā)一系列負面的系統(tǒng)反應，如拒絕服務(DoS)、系統(tǒng)崩潰、死機以及重新啟動。如果允許防火墻設備執(zhí)行此操作，它可以檢測并拒絕此類過大且不規(guī)則的

8、封包。Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當一個源IP 地址在定義的時間間隔（缺省值為5,000 微秒）內向不同的主機發(fā)送ICMP 響應要求（或ping）時，就會發(fā)生地址掃描攻擊。這個配置的目的是Ping 數(shù)個主機，希望有一個會回復響應，以便找到可以作為目標的地址。防火墻設備在內部記錄從一個遠程源ping 的不同地址的數(shù)目。使用缺省設置，如果某遠程主機在0.005 秒（5,000 微秒）內ping 了10 個地址，防火墻會將這一情況標記為地址掃描攻擊，并在該秒余下的時間內拒絕來自于該主機的ICMP 回應要求。Large ICMP Packet（大的IC

9、MP 封包）：防火墻設備丟棄長度大于1024 的ICMP 封包。Tear Drop Attack（撕毀攻擊，又稱淚滴攻擊）：撕毀攻擊利用了IP 封包碎片的重新組合。在IP 包頭中，選項之一為偏移值。當一個封包碎片的偏移值與大小之和不同于下一封包碎片時，封包發(fā)生重疊，并且服務器嘗試重新組合封包時會引起系統(tǒng)崩潰。如果防火墻在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會丟棄該碎片。Filter IP Source Route Option（過濾IP 源路由選項）：IP 包頭信息有一個選項，其中所含的路由信息可指定與包頭源路由不同的源路由。啟用此選項可封鎖所有使用“源路由選項”的IP 信息流?！霸绰酚蛇x項”

10、可允許攻擊者以假的IP 地址進入網絡，并將數(shù)據送回到其真正的地址。Record Route Option（記錄路由選項）：防火墻設備封鎖IP 選項為7（記錄路由）的封包。此選項用于記錄封包的路由。記錄的路由由一系列互聯(lián)網地址組成，外來者經過分析可以了解到您的網絡的編址方案及拓撲結構方面的詳細信息。IP Security Option（IP 安全性選項）：此選項為主機提供了一種手段，可發(fā)送與DOD 要求兼容的安全性、分隔、TCC（非公開用戶組）參數(shù)以及“處理限制代碼”。IP Strict Source Route Option（IP 嚴格源路由選項）：防火墻設備封鎖IP 選項為9（嚴格源路由選擇

11、）的封包。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網關所要使用的路由信息。此選項為嚴格源路由，因為網關或主機IP 必須將數(shù)據包報直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網絡才能到達路由中指定的下一網關或主機。Unknown Protocol（未知協(xié)議）：防火墻設備丟棄協(xié)議字段設置為101 或更大值的封包。目前，這些協(xié)議類型被保留，尚未定義。IP Spoofing（IP 欺騙）：當攻擊者試圖通過假冒有效的客戶端IP 地址來繞過防火墻保護時，就發(fā)生了欺騙攻擊。如果啟用了IP 欺騙防御機制，防火墻設備會用自己的路由表對IP 地址進行分析，來抵御這種攻擊。如果

12、IP 地址不在路由表中，則不允許來自該源的信息流通過防火墻設備進行通信，并且會丟棄來自該源的所有封包。在CLI 中，您可以指示Juniper 設備丟棄沒有包含源路由或包含已保留源IP 地址（不可路由的，例如）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。Bad IP Option（壞的IP 選項）：當IP 數(shù)據包包頭中的IP 選項列表不完整或殘缺時，會觸發(fā)此選項。IP Timestamp Option（IP 時戳選項）：防火墻設備封鎖IP 選項列表中包括選項4（互聯(lián)網時戳）的封包。Loose Source Rou

13、te Option：防火墻設備封鎖IP 選項為3（松散源路由）的封包。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網關所要使用的路由信息。此選項是松散源路由，因為允許網關或主機IP 使用任何數(shù)量的其它中間網關的任何路由來到達路由中的下一地址。IP Stream Option（IP 流選項）：防火墻設備封鎖IP 選項為8（流ID）的封包。此選項提供了一種方法，用于在不支持流概念的網絡中輸送16 位SATNET 流標識符。WinNuke Attack（目前網絡中存在的攻擊方式主要有如下幾種：SYN Attack（SYN 攻擊）：當網絡中充滿了會發(fā)出無法完成的連接請求的SYN 封包，以至于

14、網絡無法再處理合法的連接請求，從而導致拒絕服務(DoS) 時，就發(fā)生了SYN 泛濫攻擊。ICMP Flood（ICMP 泛濫）：當ICMP ping 產生的大量回應請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網絡信息流時，就發(fā)生了ICMP 泛濫。當啟用了ICMP 泛濫保護功能時，可以設置一個臨界值，一旦超過此值就會調用ICMP 泛濫攻擊保護功能。如果超過了該臨界值，防火墻設備在該秒余下的時間和下一秒內會忽略其它的ICMP 回應要求。UDP Flood（UDP 泛濫）：與ICMP 泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP 封包，以至于系統(tǒng)再也無法處理有

15、效的連接時，就發(fā)生了UDP 泛濫。當啟用了UDP 泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就會調用UDP 泛濫攻擊保護功能。如果從一個或多個源向單個目表發(fā)送的UDP 封包數(shù)超過了此臨界值，Juniper 設備在該秒余下的時間和下一秒內會忽略其它到該目標的UDP 封包。Port Scan Attack（端口掃描攻擊）：當一個源IP 地址在定義的時間間隔內向位于相同目標IP 地址10 個不同的端口發(fā)送IP 封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。Juniper 設備在內部記錄從某一遠程源地點掃描的不同端口的數(shù)目。使用

16、缺省設置，如果遠程主機在0.005 秒內掃描了10 個端口（5,000 微秒），防火墻會將這一情況標記為端口掃描攻擊，并在該秒余下的時間內拒絕來自該源地點的其它封包（不論目標IP 地址為何）。下面的選項可用于具有物理接口和子接口的區(qū)段：Limit session（限制會話）：防火墻設備可限制由單個IP 地址建立的會話數(shù)量。例如，如果從同一客戶端發(fā)送過多的請求，就能耗盡Web 服務器上的會話資源。此選項定義了每秒鐘防火墻設備可以為單個IP 地址建立的最大會話數(shù)量。SYN-ACK-ACK Proxy 保護：當認證用戶初始化Telnet 或FTP 連接時，用戶會SYN 封包到Telnet 或FTP服

17、務器。Juniper 設備會截取封包，通過Proxy 將SYN-ACK 封包發(fā)送給用戶。用戶用ACK 封包響應。此時，初始的三方握手就已完成。防火墻設備在其會話表中建立項目，并向用戶發(fā)送登錄提示。如果用戶懷有惡意而不登錄，但繼續(xù)啟動SYN-ACK-ACK 會話，防火墻會話表就可能填滿到某個程度，讓設備開始拒絕合法的連接要求。要阻擋這類攻擊，您可以啟用SYN-ACK-ACK Proxy 保護SCREEN 選項。從相同IP 地址的連接數(shù)目到達syn-ack-ack-proxy 臨界值后，防火墻設備就會拒絕來自該IP 地址的進一步連接要求。缺省情況下，來自單一IP 地址的臨界值是512 次連接。您可

18、以更改這個臨界值（為1 到2,500,000 之間的任何數(shù)目）以更好地適合網絡環(huán)境的需求。SYN Fragment（SYN 碎片）：SYN 碎片攻擊使目標主機充塞過量的SYN 封包碎片。主機接到這些碎片后，會等待其余的封包到達以便將其重新組合在起來。通過向服務器或主機堆積無法完成的連接，主機的內存緩沖區(qū)最終將會塞滿。進一步的連接無法進行，并且可能會破壞主機操作系統(tǒng)。當協(xié)議字段指示是ICMP封包，并且片斷標志被設置為1 或指出了偏移值時，防火墻設備會丟棄ICMP 封包。SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不會在同一封包中同時設置SYN 和FIN 標志。但是

19、，攻擊者可以通過發(fā)送同時置位兩個標志的封包來查看將返回何種系統(tǒng)應答，從而確定出接收端上的系統(tǒng)的種類。接著，攻擊者可以利用已知的系統(tǒng)漏洞來實施進一步的攻擊。啟用此選項可使防火墻設備丟棄在標志字段中同時設置SYN 和FIN 位的封包。TCP Packet Without Flag（無標記的TCP 封包）：通常，在發(fā)送的TCP 封包的標志字段中至少會有一位被置位。此選項將使防火墻設備丟棄字段標志缺少或不全的TCP 封包。FIN Bit With No ACK Bit（有FIN 位無ACK 位）：設置了FIN 標志的TCP 封包通常也會設置ACK 位。此選項將使防火墻設備丟棄在標志字段中設置了FIN

20、標志，但沒有設置ACK 位的封包。ICMP Fragment（ICMP 碎片）：檢測任何設置了“更多片斷”標志，或在偏移字段中指出了偏移值的ICMP 幀。Ping of Death：TCP/IP 規(guī)范要求用于數(shù)據包報傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮?。許多ping 實現(xiàn)允許用戶根據需要指定更大的封包大小。過大的ICMP 封包會引發(fā)一系列負面的系統(tǒng)反應，如拒絕服務(DoS)、系統(tǒng)崩潰、死機以及重新啟動。如果允許防火墻設備執(zhí)行此操作，它可以檢測并拒絕此類過大且不規(guī)則的封包。Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當一個源IP 地址在定義的時間間隔（缺省值為5,000

21、 微秒）內向不同的主機發(fā)送ICMP 響應要求（或ping）時，就會發(fā)生地址掃描攻擊。這個配置的目的是Ping 數(shù)個主機，希望有一個會回復響應，以便找到可以作為目標的地址。防火墻設備在內部記錄從一個遠程源ping 的不同地址的數(shù)目。使用缺省設置，如果某遠程主機在0.005 秒（5,000 微秒）內ping 了10 個地址，防火墻會將這一情況標記為地址掃描攻擊，并在該秒余下的時間內拒絕來自于該主機的ICMP 回應要求。Large ICMP Packet（大的ICMP 封包）：防火墻設備丟棄長度大于1024 的ICMP 封包。Tear Drop Attack（撕毀攻擊，又稱淚滴攻擊）：撕毀攻擊利用了

22、IP 封包碎片的重新組合。在IP 包頭中，選項之一為偏移值。當一個封包碎片的偏移值與大小之和不同于下一封包碎片時，封包發(fā)生重疊，并且服務器嘗試重新組合封包時會引起系統(tǒng)崩潰。如果防火墻在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會丟棄該碎片。Filter IP Source Route Option（過濾IP 源路由選項）：IP 包頭信息有一個選項，其中所含的路由信息可指定與包頭源路由不同的源路由。啟用此選項可封鎖所有使用“源路由選項”的IP 信息流?！霸绰酚蛇x項”可允許攻擊者以假的IP 地址進入網絡，并將數(shù)據送回到其真正的地址。Record Route Option（記錄路由選項）：防火墻設備封鎖I

23、P 選項為7（記錄路由）的封包。此選項用于記錄封包的路由。記錄的路由由一系列互聯(lián)網地址組成，外來者經過分析可以了解到您的網絡的編址方案及拓撲結構方面的詳細信息。IP Security Option（IP 安全性選項）：此選項為主機提供了一種手段，可發(fā)送與DOD 要求兼容的安全性、分隔、TCC（非公開用戶組）參數(shù)以及“處理限制代碼”。IP Strict Source Route Option（IP 嚴格源路由選項）：防火墻設備封鎖IP 選項為9（嚴格源路由選擇）的封包。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網關所要使用的路由信息。此選項為嚴格源路由，因為網關或主機IP 必須將數(shù)據

24、包報直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網絡才能到達路由中指定的下一網關或主機。Unknown Protocol（未知協(xié)議）：防火墻設備丟棄協(xié)議字段設置為101 或更大值的封包。目前，這些協(xié)議類型被保留，尚未定義。IP Spoofing（IP 欺騙）：當攻擊者試圖通過假冒有效的客戶端IP 地址來繞過防火墻保護時，就發(fā)生了欺騙攻擊。如果啟用了IP 欺騙防御機制，防火墻設備會用自己的路由表對IP 地址進行分析，來抵御這種攻擊。如果IP 地址不在路由表中，則不允許來自該源的信息流通過防火墻設備進行通信，并且會丟棄來自該源的所有封包。在CLI 中，您可以指示Junipe

25、r 設備丟棄沒有包含源路由或包含已保留源IP 地址（不可路由的，例如）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。Bad IP Option（壞的IP 選項）：當IP 數(shù)據包包頭中的IP 選項列表不完整或殘缺時，會觸發(fā)此選項。IP Timestamp Option（IP 時戳選項）：防火墻設備封鎖IP 選項列表中包括選項4（互聯(lián)網時戳）的封包。Loose Source Route Option：防火墻設備封鎖IP 選項為3（松散源路由）的封包。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網關所要使用的

26、路由信息。此選項是松散源路由，因為允許網關或主機IP 使用任何數(shù)量的其它中間網關的任何路由來到達路由中的下一地址。IP Stream Option（IP 流選項）：防火墻設備封鎖IP 選項為8（流ID）的封包。此選項提供了一種方法，用于在不支持流概念的網絡中輸送16 位SATNET 流標識符。WinNuke Attack（WinNuke 攻擊）：WinNuke 是一種常見的應用程序，其唯一目的就是使互聯(lián)網上任何運行Windows 的計算機崩潰。WinNuke 通過已建立的連接向主機發(fā)送帶外(OOB) 數(shù)據 通常發(fā)送到NetBIOS 端口139 并引起NetBIOS 碎片重疊，以此來使多臺機器崩

27、潰。重新啟動后，會顯示下列信息，指示攻擊已經發(fā)生：An exception OE has occurred at 0028:address in VxD MSTCP(01) +000041AE. This was called from 0028:address in VxD NDIS(01) +00008660. It may be possible to continue normally.（00008660。有可能繼續(xù)正常運行。）Press any key to attempt to continue.（請按任意鍵嘗試繼續(xù)運行。）Press CTRL+ALT+DEL to restart

28、 your computer. You will lose any unsaved information in allapplications.（按CTRL+ALT+DEL 可嘗試繼續(xù)運行。將丟失所有應用程序中的未保存信息。）Press any key to continue. （按任意鍵繼續(xù)。）如果啟用了WinNuke 攻擊防御機制，Juniper 設備會掃描所有進入的“Microsoft NetBIOS 會話服務”（端口139）封包。如果防火墻設備發(fā)現(xiàn)某個封包上設置了TCP URG 代碼位，就會檢查偏移值、刪除碎片重疊并根據需要糾正偏移值以防止發(fā)生OOB 錯誤。然后讓經過修正的封包通過，

29、并在“事件警報”日志中創(chuàng)建一個WinNuke 攻擊日志條目。Land Attack：“陸地”攻擊將SYN 攻擊和IP 欺騙結合在了一起，當攻擊者發(fā)送含有受害方IP 地址的欺騙性SYN 封包，將其作為目的和源IP 地址時，就發(fā)生了陸地攻擊。接收系統(tǒng)通過向自己發(fā)送SYN-ACK 封包來進行響應，同時創(chuàng)建一個空的連接，該連接將會一直保持到達到空閑超時值為止。向系統(tǒng)堆積過多的這種空連接會耗盡系統(tǒng)資源，導致DoS。通過將SYN 泛濫防御機制和IP 欺騙保護措施結合在一起，防火墻設備將會封鎖任何此類性質的企圖。 Malicious URL Protection：當啟用“惡意URL 檢測”時，Juniper

30、 設備會監(jiān)視每個HTTP 封包并檢測與若干用戶定義模式中的任意一個相匹配的任何封包。設備會自動丟棄所有此類封包。Block Java/ActiveX/ZIP/EXE Component：Web 網頁中可能藏有惡意的Java 或ActiveX 組件。下載完以后，這些applet 會在您的計算機上安裝特洛伊木馬病毒。同樣，特洛伊木馬病毒2也可以隱藏在壓縮文件（如.zip）和可執(zhí)行（.exe）文件中。在安全區(qū)中啟用這些組件的阻塞時，防火墻設備會檢查每個到達綁定到該區(qū)域的接口的HTTP 包頭。會檢查包頭中列出的內容類型是否指示封包負荷中有任何目的組件。如果內容類型為ActiveX、Java、.exe

31、或.zip，而且您將防火墻設備配置為阻塞這些組件，防火墻設備會阻塞封包。如果內容類型僅列出“八位位組流”，而不是特定的組件類型，則防火墻設備會檢查負荷中的文件類型。如果文件類型為ActiveX、Java、.exe 或.zip，而且您將防火墻設備配置為阻塞這些組件，防火墻設備會阻塞封包。Deny Fragment：封包通過不同的網絡時，有時必須根據網絡的最大傳輸單位(MTU) 將封包分成更小的部分（片斷）。攻擊者可能會利用IP 棧具體實現(xiàn)的封包重新組合代碼中的漏洞，通過IP 碎片進行攻擊。當目標系統(tǒng)收到這些封包時，造成的結果小到無法正確處理封包，大到使整個系統(tǒng)崩潰。如果允許防火墻設備拒絕安全區(qū)段

32、上的IP 碎片，設備將封鎖在綁定到該區(qū)段的接口處接收到的所有IP 封包碎片。對于網絡層的攻擊，大多數(shù)從技術角度無法判斷該數(shù)據包的合法性，如SYN flood, UDP flood，通常防火墻采用閥值來控制該訪問的流量。通常防火墻對這些選項提供了缺省值。對于在實際網絡上該閥值的確定，通常要對實施防火墻的網絡實際情況進行合理的分析，通過對現(xiàn)有網絡的分析結果確定最終的設定值。比如，網絡在正常工作的情況下的最大Syn數(shù)據包值為3000，考慮到網絡突發(fā)流量，對現(xiàn)有值增加20%，則該值作為系統(tǒng)的設定值。在實際應用中，這些參數(shù)要隨時根據網絡流量情況進行動態(tài)監(jiān)控的更新。）：WinNuke 是一種常見的應用程序

33、，其唯一目的就是使互聯(lián)網上任何運行Windows 的計算機崩潰。WinNuke 通過已建立的連接向主機發(fā)送帶外(OOB) 數(shù)據 通常發(fā)送到NetBIOS 端口139 并引起NetBIOS 碎片重疊，以此來使多臺機器崩潰。重新啟動后，會顯示下列信息，指示攻擊已經發(fā)生：An exception OE has occurred at 0028:address in VxD MSTCP(01) +000041AE. This was called from 0028:address in VxD NDIS(01) +00008660. It may be possible to continue no

34、rmally.（00008660。有可能繼續(xù)正常運行。）Press any key to attempt to continue.（請按任意鍵嘗試繼續(xù)運行。）Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in allapplications.（按CTRL+ALT+DEL 可嘗試繼續(xù)運行。將丟失所有應用程序中的未保存信息。）Press any key to continue. （按任意鍵繼續(xù)。）如果啟用了WinNuke 攻擊防御機制，Juniper 設備會掃描所有進入的“Microsoft NetBIOS 會話服務”（端口139）封包。如果防火墻設備發(fā)現(xiàn)某個封包上設置了TCP URG 代碼位，就會檢查偏移值、刪除碎片重疊并根據需要糾正偏移值以防止發(fā)生OOB 錯誤。然后讓經過修正的封包通過，并在“事件警報”日志中創(chuàng)建一個WinNuke 攻擊日志條目。La