網(wǎng)絡(luò)與系統(tǒng)安全基礎(chǔ)培訓(xùn)最新版

1、主講人：趙高主講單位：上?？戾X支付清算有限公司.1、網(wǎng)絡(luò)安全概述2、導(dǎo)致網(wǎng)絡(luò)安全問題的原因3、網(wǎng)絡(luò)安全特性4、影響網(wǎng)絡(luò)安全的主要因素5、黑客常用攻擊手段分析6、網(wǎng)絡(luò)安全工具網(wǎng)絡(luò)安全工具7、網(wǎng)絡(luò)安全防護建議8、個人以及操作系統(tǒng)安全.網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系 統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的

2、綜合性學(xué)科。.虛擬專虛擬專用網(wǎng)用網(wǎng)防火墻防火墻訪問控制訪問控制防病毒防病毒入侵檢測入侵檢測網(wǎng)絡(luò)安全整體框架網(wǎng)絡(luò)安全整體框架( (形象圖形象圖) ).內(nèi)因： 人們的認識能力和實踐能力的局限性（1）設(shè)計上的問題： Internet 從一開始就缺乏安全的總體構(gòu)想和設(shè)計，TCP/IP 協(xié)議是在可信環(huán)境下，為網(wǎng)絡(luò)互聯(lián)而專門設(shè)計的，缺乏安全措施的考慮。（歷史造成） SYN Flood偽造源地址的半開掃描，DoS（2）實現(xiàn)上的問題: Windows XP 3000萬行代碼， Windows 2003 8000萬行代碼 Ping of Death(死亡之ping) Ping -t -l 65550 對方IP

3、人為的后門和設(shè)計中的 Bug（3）配置上的問題: 默認的服務(wù)（4）管理上的問題：弱的口令.來源: CSI / FBI Computer Crime Survey, March 2008.21%48%72%89%外國政府競爭對手黑客不滿的雇員.冒名頂替冒名頂替廢物搜尋廢物搜尋身份識別錯誤身份識別錯誤不安全服務(wù)不安全服務(wù)配置配置初始化初始化乘虛而入乘虛而入代碼炸彈代碼炸彈病毒病毒更新或下載更新或下載特洛伊木馬特洛伊木馬間諜行為間諜行為撥號進入撥號進入算法考慮不周算法考慮不周隨意口令隨意口令口令破解口令破解口令圈套口令圈套竊聽竊聽偷竊偷竊網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅線纜連接線纜連接身份鑒別身份鑒別編程編

4、程系統(tǒng)漏洞系統(tǒng)漏洞物理威脅物理威脅.北京綠色聯(lián)盟技術(shù)公司 ()中國紅客聯(lián)盟()中國鷹派()中國黑客聯(lián)盟HackweiserProphetAcidklownPoizonboxPrime SuspectzSubexSVUNHi-Tech.漏洞掃描漏洞掃描特洛伊木馬網(wǎng)絡(luò)嗅探（Sniffer）技術(shù)拒絕服務(wù)（DOS）和分布式拒絕服務(wù)口令猜測欺騙技術(shù)緩沖區(qū)溢出系統(tǒng)信息收集掃描目的遠程操作系統(tǒng)識別網(wǎng)絡(luò)結(jié)構(gòu)分析其他敏感信息收集漏洞檢測錯誤的配置系統(tǒng)安全漏洞弱口令檢測.XXX.XXX.XXX.XXX.主機可使用的端口號為主機可使用的端口號為0 06553565535，前，前102410

5、24個端口是個端口是保留端口，這些端口被提供給特定的服務(wù)使用。保留端口，這些端口被提供給特定的服務(wù)使用。 常用的服務(wù)都是使用標準的端口，只要掃描到相應(yīng)的常用的服務(wù)都是使用標準的端口，只要掃描到相應(yīng)的端口開著，就能知道目標主機上運行著什么服務(wù)。然端口開著，就能知道目標主機上運行著什么服務(wù)。然后入侵者才能針對這些服務(wù)進行相應(yīng)的攻擊。后入侵者才能針對這些服務(wù)進行相應(yīng)的攻擊。.漏洞掃描是使用漏洞掃描程序?qū)δ繕讼到y(tǒng)進行信息漏洞掃描是使用漏洞掃描程序?qū)δ繕讼到y(tǒng)進行信息查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。全的地方。例如：例如：操作系統(tǒng)漏洞操作系統(tǒng)

6、漏洞弱口令用戶弱口令用戶應(yīng)用程序漏洞應(yīng)用程序漏洞配置錯誤等配置錯誤等 .SATANSATANSAINTSAINTSSSSSSStrobeStrobeX-ScanX-ScanISS (安氏)PingerPortscanSuperscan流光掃描工具：X-Scan-v3.2掃描內(nèi)容包括： 遠程操作系統(tǒng)類型及版本 標準端口狀態(tài)及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息 注冊表信息等。掃描器實例：X-Scan.

7、木馬是一種可以駐留在對方系統(tǒng)中可以駐留在對方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。駐留在對方服務(wù)器的稱之為木馬的服務(wù)器端，遠程的可以連到木馬服務(wù)器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務(wù)器，進而操縱對方的主機。木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。1)遠程訪問型特洛伊木馬2)鍵盤記錄型特洛伊木馬3)密碼發(fā)送型特洛伊木馬4)破壞型特洛伊木馬5)代理木馬6)FTP型特洛伊木馬7)網(wǎng)頁型木馬8)手工放置手工放置利用系統(tǒng)漏洞安裝電子郵件附件、瀏覽網(wǎng)頁、FTP文件下載、QQ等方式傳播.安裝殺毒軟件和防

8、火墻檢查INI文件查看win.ini中的“run=”、“l(fā)oad=”查看system.ini中的“shell= explorer.exe 程序名”后面所加載的程序。 .檢查注冊表：檢查注冊表：在注冊表中，最有可能隱藏木馬的地方是在注冊表中，最有可能隱藏木馬的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr

9、entVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce檢查注冊表檢查注冊表其他可能隱藏木馬的注冊表項還有：其他可能隱藏木馬的注冊表項還有：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoft

10、WindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_

11、USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows AppInit_DLLs.檢查服務(wù) 開始程序管理工具服務(wù)檢查系統(tǒng)進程 系統(tǒng)信息軟件環(huán)境正在運行任務(wù)(winXP)Pstools (winnt/2k)檢查開放端口 Netstat an(winXP)、Fport(winnt

12、/2k)監(jiān)視網(wǎng)絡(luò)通訊 防火墻、網(wǎng)絡(luò)監(jiān)視器(win2k)、Sniffer對可疑文件的分析 W32Dasm、IDA、Soft-ice.定義定義 嗅探器嗅探器 ( (SnifferSniffer) )是能夠從網(wǎng)絡(luò)設(shè)備上捕獲網(wǎng)是能夠從網(wǎng)絡(luò)設(shè)備上捕獲網(wǎng)絡(luò)報文的一種工具絡(luò)報文的一種工具SnifferSniffer名稱的來由名稱的來由 通用網(wǎng)絡(luò)公司開發(fā)的一個程序通用網(wǎng)絡(luò)公司開發(fā)的一個程序 NAINAI.規(guī)劃網(wǎng)絡(luò) 合理分段，采用交換機、路由器、網(wǎng)橋等設(shè)備，相互信任的主機處于同一網(wǎng)段采用加密會話 對安全性要求高的數(shù)據(jù)通訊進行加密傳輸 例如采用目前比較流行的SSL協(xié)議以及使用SSH這樣的安全產(chǎn)品傳送敏感使用一次性

13、口令技術(shù)(OTP)為了防止ARP欺騙，使用永久的ARP緩存條目使用檢測工具 TripWar Anti-Sniffer（L0pht，not free） .拒絕服務(wù)攻擊的簡稱是：DoS（Denial of Service）攻擊，凡是造成目標計算機拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊是：計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，最終導(dǎo)致計算機無法再處理合法用戶的請求。.TCP SYN AttackPing of

14、 Deathq 消耗系統(tǒng)資源(帶寬、內(nèi)存、隊列、CPU)q 系統(tǒng)宕機q 阻止授權(quán)用戶正常訪問網(wǎng)絡(luò)(慢、不能連接、沒有響應(yīng))CPU!.為什么要進行Dos攻擊放置木馬需要重啟使用IP欺騙，使冒用主機癱瘓使得被攻擊的目標主機的日志系統(tǒng)失效常見DoS攻擊種類死亡之Ping, land, teardrop, SYN floodICMP: smurf.CodeG. Mark Hardy.Code崩潰G. Mark Hardy.CodeG. Mark Hardy.以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標為目標常用的工具：常用的工具：Trin00Trin00TFN/TFN2K TFN/TFN2K

15、 StacheldrahtStacheldraht很難防范很難防范偽造源地址，流量加密偽造源地址，流量加密很難跟蹤很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP Flood.ScanningProgram不安全的計算機Hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。1Internet.Hacker被控制的計算機(代理端)黑客設(shè)法入侵有安全漏洞的主機并獲取控制權(quán)。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2Internet.Hacker 黑客在得到入侵計算機清單后，從中選出滿足建

16、立網(wǎng)絡(luò)所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。 3被控制計算機（代理端）MasterServerInternet.HackerUsing Client program, 黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）TargetedSystemMasterServerInternet.InternetHacker 主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。5MasterServerTargeted System被控制計算機（代理端）.TargetedSystemHacker 目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行

17、響應(yīng)，DDOS攻擊成功。6MasterServerUserRequest DeniedInternet被控制計算機（代理端）.DDOS攻擊的效果：由于整個過程是自動化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時撥打某公司的一部電話號碼。.預(yù)防DDOS攻擊的措施確保主機不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對外開放訪問的主機；在網(wǎng)絡(luò)上建立一個過濾器（filter）或偵測器(sniffer)，在攻擊信息到達之前阻擋攻擊

18、信息。.1定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點，清查可能存在的安全漏洞。對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用最佳位置，因此對這些主機本身加強主機安全是非常重要的。2在骨干節(jié)點上的防火墻的配置至關(guān)重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導(dǎo)向一些犧牲主機，這樣保護真正的主機不被癱瘓。BOBO、netbusnetbusService/DaemonService/Daemon帳戶帳戶其他其他.禁止禁止/ /關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù)/ /端口端口屏蔽敏感信息屏蔽敏感信息合理配置防火墻和合理配置防火墻和IDSIDS陷阱技術(shù)陷阱技術(shù)

19、HoneypotHoneypot 僚機策略僚機策略.（1）保密性confidentiality：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。（2）完整性integrity：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性availability：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）可控性controllability：對信息的傳播及內(nèi)容具有控制能力。（5）可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段.TCP/IP 技術(shù)的發(fā)展

20、 設(shè)計目標 實現(xiàn)異種網(wǎng)的網(wǎng)際互連 是最早出現(xiàn)的系統(tǒng)化的網(wǎng)絡(luò)體系結(jié)構(gòu)之一 順應(yīng)了技術(shù)發(fā)展網(wǎng)絡(luò)互連的應(yīng)用需求 采用了開放策略 與最流行的 UNIX 操作系統(tǒng)相結(jié)合TCP/IP的成功 主要應(yīng)該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)。 魚與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開放魚與熊掌總是不能兼得，也正是其體系結(jié)構(gòu)得開放性，導(dǎo)致了性，導(dǎo)致了TCP/IPTCP/IP網(wǎng)絡(luò)的安全性隱患！網(wǎng)絡(luò)的安全性隱患！.網(wǎng)際互連是通過 IP 網(wǎng)關(guān)（gateway）實現(xiàn)的網(wǎng)關(guān)提供網(wǎng)絡(luò)與網(wǎng)絡(luò)之間物理和邏輯上的連通功能網(wǎng)關(guān)是一種特殊的計算機，同時屬于多個網(wǎng)絡(luò)G1網(wǎng)絡(luò) 1網(wǎng)絡(luò)

21、3G1網(wǎng)絡(luò) 2.TCP/IP協(xié)議和OSI模型的對應(yīng)關(guān)系應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet, IEEE802.3,802.11等 ICMPARP RARPOSI參考模型Internet協(xié)議簇物理層. 目前業(yè)界共識：“安全不是技術(shù)或產(chǎn)品，而是一個過程”。為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻等技術(shù)，它強調(diào)信息系統(tǒng)整個生命周期的主動防御。.保護 ( PROTECT ) 傳統(tǒng)安全概念的繼承，包

22、括信息加密技術(shù)、訪問控制技術(shù)等等。檢測 ( DETECT ) 從監(jiān)視、分析、審計信息網(wǎng)絡(luò)活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動，提供預(yù)警、實時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。 .響應(yīng) ( RESPONSE ) 在遭遇攻擊和緊急事件時及時采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護性關(guān)閉服務(wù)和主機等?；謴?fù) ( RECOVER ) 評估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。.物理層：物理隔離 鏈路層: 鏈路加密技術(shù)、PPTP/L2TP 網(wǎng)絡(luò)層: IPSec協(xié)議（VPN）、防火墻 TCP 層: SSL 協(xié)議、基于公

23、鑰的認證和對稱鑰加密技術(shù) 應(yīng)用層: SHTTP、PGP、S/MIME、 SSH(Secure shell)、開發(fā)專用協(xié)議（SET）. 物理隔離設(shè)備 交換機/路由器安全模塊 防火墻(Firewall) 漏洞掃描器 入侵檢測系統(tǒng)IDS、入侵防御系統(tǒng)IPS、安全審計系統(tǒng)、日志審計系統(tǒng)綠盟遠程安全評估系統(tǒng) 虛擬專用網(wǎng)（VPN）、上網(wǎng)行為管理系統(tǒng) 病毒防護（防病毒軟件、防毒墻、防木馬軟件等） 網(wǎng)絡(luò)加速，負載均衡、流量控制.主要分兩種：雙網(wǎng)隔離計算機物理隔離網(wǎng)閘. 內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的接收及預(yù)處理等操作； 交換模塊采用專用的高速隔離電子開關(guān)實現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時刻內(nèi)外網(wǎng)間沒有鏈

24、路層連接； 數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進行“擺渡”，傳送到網(wǎng)閘另一側(cè)； 集成多種安全技術(shù)手段，采用強制安全策略，對數(shù)據(jù)內(nèi)容進行安全檢測，保障數(shù)據(jù)安全、可靠的交換。.涉密網(wǎng)和非涉密網(wǎng)之間.優(yōu)點： 中斷直接連接 強大的檢查機制 最高的安全性 缺點： 對協(xié)議不透明，對每一種協(xié)議都要一種具體的實現(xiàn) 效率低.MAC綁定QOS設(shè)置多VLAN劃分日志其他.訪問控制鏈表 基于源地址/目標地址/協(xié)議端口號路徑的完整性 防止IP假冒和拒絕服務(wù)（Anti-spoofing/DDOS） 檢查源地址： ip verify unicast reverse-path 過濾RFC1918 地址空間的所有

25、IP包； 關(guān)閉源路由： no ip source-route 路由協(xié)議的過濾與認證Flood 管理日志其他抗攻擊功能.v VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個擴展的公司企業(yè)網(wǎng)v 提供高性能、低價位的因特網(wǎng)接入v VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的延伸.Internet內(nèi)部網(wǎng)惡意修改通道終點到：假冒網(wǎng)關(guān)外部段（公共因特網(wǎng)）ISP接入設(shè)備原始終點為：安全網(wǎng)關(guān)1.數(shù)據(jù)在到達終點之前要經(jīng)過許多路由器，明文傳輸?shù)膱笪暮苋菀自诼酚善魃媳徊榭春托薷?.監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)3.逐段加密不能防范在路由器上查看報文，因為路

26、由器需要解密報文選擇路由信息，然后再重新加密發(fā)送4.惡意的ISP可以修改通道的終點到一臺假冒的網(wǎng)關(guān)遠程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道.VPN功能v 數(shù)據(jù)機密性保護v 數(shù)據(jù)完整性保護v 數(shù)據(jù)源身份認證v 重放攻擊保護.遠程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸. 現(xiàn)有的VPN 解決方案v 基于 IPSec 的VPN解決方案v 基于第二層的VPN解決方案v 非 IPSec 的網(wǎng)絡(luò)層VPN解決方案v 非 IPSec 的應(yīng)用層解決方案.基于IPSec 的VPN 解決方案在通信協(xié)議分層中，網(wǎng)絡(luò)層是可能實現(xiàn)端到端安全通信的最低層，

27、它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護，用戶無需修改應(yīng)用層協(xié)議。 該方案能解決的問題：1.數(shù)據(jù)源身份認證：證實數(shù)據(jù)報文是所聲稱的發(fā)送者發(fā)出的。2.數(shù)據(jù)完整性：證實數(shù)據(jù)報文的內(nèi)容在傳輸過程中沒被修改過，無論是被故意改動或是由于發(fā)生了隨機的傳輸錯誤。3.數(shù)據(jù)保密：隱藏明文的消息，通?？考用軄韺崿F(xiàn)。4. 重放攻擊保護：保證攻擊者不能截獲數(shù)據(jù)報文，且稍后某個時間再發(fā)放數(shù)據(jù)報文，而不會被檢測到。5. 自動的密鑰管理和安全關(guān)聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴展的網(wǎng)絡(luò)上方便精確地實現(xiàn)公司的虛擬使用網(wǎng)絡(luò)方針 .v AH協(xié)議（頭部認證 ）v ESP協(xié)議（IPsec 封裝安全負載 ）v ISAKM

28、P/Oakley協(xié)議基于 IPSec 的VPN解決方案需要用到如下的協(xié)議：IPSec 框架的構(gòu)成.基于第二層的VPN解決方案 公司內(nèi)部網(wǎng)撥號連接因特網(wǎng)L2 T P 通道用于該層的協(xié)議主要有：v L2TP：Lay 2 Tunneling Protocolv PPTP：Point-to-Point Tunneling Protocolv L2F：Lay 2 ForwardingL2TP的缺陷：1.僅對通道的終端實體進行身份認證，而不認證通道中流過的每一個數(shù)據(jù)報文，無法抵抗插入攻擊、地址欺騙攻擊。2.沒有針對每個數(shù)據(jù)報文的完整性校驗，就有可能進行拒絕服務(wù)攻擊：發(fā)送假冒的控制信息，導(dǎo)致L2TP通道或者

29、底層PPP連接的關(guān)閉。3.雖然PPP報文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密密鑰的自動產(chǎn)生和自動刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2 T P 通道.非IPSec 的網(wǎng)絡(luò)層VPN 解決方案 v 網(wǎng)絡(luò)地址轉(zhuǎn)換由于AH協(xié)議需要對整個數(shù)據(jù)包做認證，因此使用AH協(xié)議后不能使用NATv 包過濾由于使用ESP協(xié)議將對數(shù)據(jù)包的全部或部分信息加密，因此基于報頭或者數(shù)據(jù)區(qū)內(nèi)容進行控制過濾的設(shè)備將不能使用v 服務(wù)質(zhì)量由于AH協(xié)議將IP協(xié)議中的TOS位當(dāng)作可變字段來處理，因此，可以使用TOS位來控制服務(wù)質(zhì)量.非IPSec 的應(yīng)用層VPN 解決方案 v SOCKS位于OSI模型的會話層，

30、在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機的單獨會話，效率低，但會話控制靈活性大v SSL（安全套接層協(xié)議 ）屬于高層安全機制，廣泛用于Web Browse and Web Server，提供對等的身份認證和應(yīng)用數(shù)據(jù)的加密。在SSL中，身份認證是基于證書的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持v S-HTTP提供身份認證、數(shù)據(jù)加密，比SSL靈活，但應(yīng)用很少，因SSL易于管理v S-MIME一個特殊的類似于SSL的協(xié)議，屬于應(yīng)用層安全體系，但應(yīng)用僅限于保護電子郵件系統(tǒng)，通過加密和數(shù)字簽名來保障郵件的安全，這些安全都是基于公鑰

31、技術(shù)的，雙方身份靠X.509證書來標識，不需要Firewall and Router 的支持.Network Interface(Data Link)IP(Internetwork)TCP/UDP(Transport) SMIME Kerberos Proxies SET IPSec (ISAKMP) SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAP TCP/IP 協(xié)議棧與對應(yīng)的VPN協(xié)議Application.現(xiàn)有的VPN 解決方案小結(jié) 1.網(wǎng)絡(luò)層對所有的上層數(shù)據(jù)提供透明方式的

32、保護，但無法為應(yīng)用提供足夠細的控制粒度2.數(shù)據(jù)到了目的主機，基于網(wǎng)絡(luò)層的安全技術(shù)就無法繼續(xù)提供保護，因此在目的主機的高層協(xié)議棧中很容易受到攻擊3.應(yīng)用層的安全技術(shù)可以保護堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙4.應(yīng)用層安全幾乎更加智能，但更復(fù)雜且效率低5. 因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長補短. 監(jiān)控并限制訪問針對黑客攻擊的不安全因素，防火墻采取控制進出內(nèi)外網(wǎng)的數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理，及時發(fā)現(xiàn)存在的異常行為；同時，根據(jù)不同情況采取相應(yīng)的防范措施，從而提高系統(tǒng)的抗攻擊能力。 控制協(xié)議和服務(wù)針對網(wǎng)

33、絡(luò)先天缺陷的不安全因素，防火墻采取控制協(xié)議和服務(wù)的方法，使得只有授權(quán)的協(xié)議和服務(wù)才可以通過防火墻，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起災(zāi)難性安全事故的可能性。. 保護網(wǎng)絡(luò)內(nèi)部針對軟件及系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上；同時，針對受保護的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進行訪問上的限制；防火墻還可以屏蔽受保護網(wǎng)絡(luò)的相關(guān)信息，使黑客無從下手。 日志記錄與審計當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部Internet 連接均需經(jīng)過的安全節(jié)點時，防火墻系統(tǒng)就能夠?qū)λ械木W(wǎng)絡(luò)請求做出日志記錄。日志是對一些可能的

34、攻擊行為進行分析和防范的十分重要的情報。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計。這樣網(wǎng)絡(luò)管理員通過對統(tǒng)計結(jié)果進行分析，掌握網(wǎng)絡(luò)的運行狀態(tài)，繼而更加有效的管理整個網(wǎng)絡(luò)。.可屏蔽內(nèi)部服務(wù)，避免相關(guān)安全缺陷被利用27層訪問控制（集中在3-4層）解決地址不足問題抗網(wǎng)絡(luò)層、傳輸層一般攻擊不足防外不防內(nèi)對網(wǎng)絡(luò)性能有影響對應(yīng)用層檢測能力有限.基本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡(luò)攻擊優(yōu)點：能及時獲知網(wǎng)絡(luò)安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時采取措施。不足：準確性：誤報率和漏報率有效性：難以及時阻斷危險行為.基本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征

35、在網(wǎng)絡(luò)數(shù)據(jù)中比對，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點：能有效阻斷已知網(wǎng)絡(luò)病毒的傳播不足： 只能檢查已經(jīng)局部發(fā)作的病毒 對網(wǎng)絡(luò)有一定影響.通過模擬網(wǎng)絡(luò)攻擊檢查目標主機是否存在已知安全漏洞優(yōu)點：有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患不足： 只能針對已知安全問題進行掃描 準確性 vs 指導(dǎo)性.廣義的訪問控制功能包括鑒別、授權(quán)和記賬等鑒別（Authentication）：辨別用戶是誰的過程。 授權(quán)（Authorization）對完成認證過程的用戶授予相應(yīng)權(quán)限，解決用戶能做什么的問題。在一些訪問控制的實現(xiàn)中，認證和授權(quán)是統(tǒng)一在一起的 記賬（Accounting）；統(tǒng)計用戶做過什么的過程，通常使用消耗的系統(tǒng)時

36、間、接收和發(fā)送的數(shù)據(jù)量來量度。Tacacs、Tacacs+、Radius等技術(shù)能實現(xiàn)這三種功能。 .RADIUS協(xié)議 針對遠程用戶Radius（Remote Authentication Dialin User service）協(xié)議，采用分布式的Client/Server結(jié)構(gòu)完成密碼的集中管理和其他訪問控制功能；網(wǎng)絡(luò)用戶（Client）通過網(wǎng)絡(luò)訪問服務(wù)器（NAS）訪問網(wǎng)絡(luò)，NAS同時作為Radius結(jié)構(gòu)的客戶端，認證、授權(quán)和計帳的3A功能通過NAS和安全服務(wù)器（Secutity Server）或Radius服務(wù)器之間的Radius協(xié)議過程完成，而用戶的控制功能在NAS實現(xiàn)。 .TACAS協(xié)議

37、TACACS （Terminal Access Controller Access Control System-終端訪問控制系統(tǒng)）是歷史上用于UNIX系統(tǒng)的認證協(xié)議，它使遠程訪問服務(wù)器將用戶的登錄信息發(fā)送到認證服務(wù)器以確定用戶是否可以訪問給定系統(tǒng)。TACACS對數(shù)據(jù)并不加密，因此它的安全性要差一些，針對這種情況，又設(shè)計了TACACS+和RADIUS協(xié)議。 .TACACS+協(xié)議 由Cisco公司提出，在此協(xié)議中，當(dāng)用戶試圖登錄時，NAS將詢問安全服務(wù)做什么，安全服務(wù)器通常知NAS輸入用戶名和密碼，然后，發(fā)送接受或拒絕響應(yīng)信息給NAS。用戶登錄進入之后，對于每一條用戶輸入的命令，NAS都將提請安

38、全服務(wù)器進行授權(quán)。.TACACS+協(xié)議的應(yīng)用 .經(jīng)常關(guān)注安全信息發(fā)布 Microsoft、Sun、hp、ibm等公司的安全公告 安全焦點 綠盟網(wǎng)站 .經(jīng)常性檢查重要服務(wù)器、網(wǎng)絡(luò)設(shè)備是否存在安全漏洞 微軟安全基線檢測工具 Nmap X-scan 流光 ISS-SCANNER等其他商業(yè)安全工具 Windows平臺利用Msconfig檢查啟動項目.根據(jù)安全公告、掃描結(jié)果及時打補丁或升級軟件利用簽名工具對系統(tǒng)重要文件進行簽名，經(jīng)常檢查有無變化，防止木馬植入關(guān)閉服務(wù)器或網(wǎng)絡(luò)設(shè)備上不必要的功能或服務(wù)制定切實可行的安全策

39、略，形成制度并強制執(zhí)行.安全理念 主動防御安全工具 高性能 高安全 高可靠安全管理 注重制度建設(shè)和安全人才培養(yǎng).平時在桌面上的資料應(yīng)及時備份至其他盤（非C盤）或者U盤。不在“我的文檔”里放文件（因為大部分系統(tǒng)都默認其位置屬于C盤）養(yǎng)成經(jīng)常殺毒和清理插件的習(xí)慣，發(fā)現(xiàn)系統(tǒng)有問題時及時進行殺毒清理，另外可設(shè)置定期殺毒，防患于未然?。ㄏ嚓P(guān)軟件可找網(wǎng)管安裝設(shè)置）使用U盤時請先殺毒，然后請盡量使用“右鍵打開”的方式打開U盤，因為很多U盤病毒都是通過“雙擊”來啟動的，用右鍵打開一定程度上可以避免U盤病毒的傳播。發(fā)現(xiàn)中毒跡象時，應(yīng)盡可能的先備份文件至其他盤，若是連接內(nèi)網(wǎng)的機器應(yīng)立即斷開內(nèi)網(wǎng)（不會操作的直接拔網(wǎng)

40、線）并通知網(wǎng)管，避免禍害局域網(wǎng)內(nèi)其他電腦及服務(wù)器！電腦密碼必須盡量復(fù)雜化，并不隨意透露給任何人，否則后果自負。.利用Windows 2003的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖所示?？梢耘渲盟念惏踩呗裕簬舨呗?、本地策略、公鑰策略和帳戶策略、本地策略、公鑰策略和IPIP安全策略安全策略。在默認的情況下，這些策略都是沒有開啟的。.1）禁止建立空連接（IPC）默認情況下，任何用戶都可通過空連接連上服務(wù)器，進而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：即把“

41、Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous” 的值改成“1”即可。如果使用“2”可能會造成你的一些服務(wù)無法啟動，如SQL Server 。.2）禁止管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters項對于服務(wù)器，添加鍵值“AutoShareServer”，類型為“REG_DWORD”，值為“0”。對于客戶機，添加鍵值“AutoShareWks”，類型為“REG_DWORD”，值為“0”。(關(guān)閉server服務(wù))

42、 .3)3)、停止不必要的服務(wù)、停止不必要的服務(wù) 服務(wù)開的太多也不是個好事，將沒有必要的服務(wù)通通關(guān)掉吧！特別是連管理員都不知道是干什么的服務(wù)，還開著干什么！關(guān)掉！免得給系統(tǒng)帶來災(zāi)難。 另外，管理員如果不外出，不需要遠程管理你的計算機的話，最好將一切的遠程網(wǎng)絡(luò)登錄功能都關(guān)掉。 注意，除非特別需要，否則禁用“Task Scheduler”、“RunAs Service”服務(wù)！ 關(guān)閉一項服務(wù)的方法很簡單，運行cmd.exe之后，直接net stop servername 即可。 .服務(wù)名服務(wù)名說明說明Computer Browser維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表維護網(wǎng)絡(luò)上計算機的最新列表

43、以及提供這個列表Task scheduler允許程序在指定時間運行允許程序在指定時間運行Routing and Remote Access在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removable storage管理可移動媒體、驅(qū)動程序和庫管理可移動媒體、驅(qū)動程序和庫Remote Registry Service允許遠程注冊表操作允許遠程注冊表操作Print Spooler將文件加載到內(nèi)存中以便以后打印。要用打印機的用戶不能禁用這項將文件加載到內(nèi)存中以便以后打印。要用打印機的用戶不能禁用這項服務(wù)服務(wù)IPSEC Policy Agent管理管理IP安全

44、策略以及啟動安全策略以及啟動ISAKMP/Oakley(IKE)和和IP安全驅(qū)動程序安全驅(qū)動程序Distributed Link Tracking Client當(dāng)文件在網(wǎng)絡(luò)域的當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知卷中移動時發(fā)送通知Com+ Event System提供事件的自動發(fā)布到訂閱提供事件的自動發(fā)布到訂閱COM組件組件6)、設(shè)置生存時間以禁止黑客判斷主機類型HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff(0-255 十進制,默認值128)指定傳出

45、IP數(shù)據(jù)包中設(shè)置的默認生存時間(TTL)值。TTL決定了IP數(shù)據(jù)包在到達目標前在網(wǎng)絡(luò)中生存的最大時間。它實際上限定了IP數(shù)據(jù)包在丟棄前允許通過的路由器數(shù)量.有時利用此數(shù)值來探測遠程主機操作系統(tǒng)。 4)、使用組策略，IP策略 gpedit.msc mmc.exe5)、防范SYN攻擊（見后面的專題）.1 1）制定詳細的安全策略。）制定詳細的安全策略。2 2）安裝防火墻。）安裝防火墻。3 3）加強主機安全。）加強主機安全。4 4）采用加密和認證技術(shù)。）采用加密和認證技術(shù)。5 5）加強入侵檢測。）加強入侵檢測。6 6）安裝備份恢復(fù)與審計報警系統(tǒng)。）安裝備份恢復(fù)與審計報警系統(tǒng)。. 1. 1.在入侵者正在

46、行動時，捉住入侵者。例如，當(dāng)管理員正在工作時，發(fā)現(xiàn)有人使用超在入侵者正在行動時，捉住入侵者。例如，當(dāng)管理員正在工作時，發(fā)現(xiàn)有人使用超級用戶的戶頭通過撥號終端登錄。而超級用戶口令只有管理員本人知道。級用戶的戶頭通過撥號終端登錄。而超級用戶口令只有管理員本人知道。 2. 2. 根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵。例如，管理員可能發(fā)現(xiàn)在根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵。例如，管理員可能發(fā)現(xiàn)在/etc/passwd/etc/passwd文件中突然多出了一個戶頭，或者收到從入侵者那里發(fā)來的一封嘲弄的文件中突然多出了一個戶頭，或者收到從入侵者那里發(fā)來的一封嘲弄的電子郵件。一些系統(tǒng)中，操作一些文件

47、失敗時，會有一封郵件通知該用戶。如果入侵電子郵件。一些系統(tǒng)中，操作一些文件失敗時，會有一封郵件通知該用戶。如果入侵者取得了超級用戶權(quán)限，又操作文件失敗，那么，系統(tǒng)會自動將操作失敗的補救辦法者取得了超級用戶權(quán)限，又操作文件失敗，那么，系統(tǒng)會自動將操作失敗的補救辦法用郵件通知該用戶，在這種情況下就發(fā)給了系統(tǒng)管理員用戶。因而管理員便會知道系用郵件通知該用戶，在這種情況下就發(fā)給了系統(tǒng)管理員用戶。因而管理員便會知道系統(tǒng)已被入侵。統(tǒng)已被入侵。 3. 3. 從其他站點的管理員那里收到郵件，稱從本站點有人對從其他站點的管理員那里收到郵件，稱從本站點有人對“他他”的站點大肆活動。的站點大肆活動。 4. 4. 系

48、統(tǒng)中一些奇怪的現(xiàn)象，例如，系統(tǒng)崩潰，突然的磁盤存取活動，或者系統(tǒng)突然便系統(tǒng)中一些奇怪的現(xiàn)象，例如，系統(tǒng)崩潰，突然的磁盤存取活動，或者系統(tǒng)突然便得非常緩慢。得非常緩慢。 5. 5. 在系統(tǒng)中，有許多命令可以讓人們發(fā)現(xiàn)系統(tǒng)是否被入侵。一些優(yōu)秀的軟件，例如在系統(tǒng)中，有許多命令可以讓人們發(fā)現(xiàn)系統(tǒng)是否被入侵。一些優(yōu)秀的軟件，例如TigerTiger，TripwireTripwire可以幫助發(fā)現(xiàn)入侵?？梢詭椭l(fā)現(xiàn)入侵。.思考以下問題：思考以下問題：系統(tǒng)是否真的發(fā)生了安全事件？在一些時候看起來是一次入侵者的行為，系統(tǒng)是否真的發(fā)生了安全事件？在一些時候看起來是一次入侵者的行為，其實是由于人的錯誤，或者軟件的錯

49、誤導(dǎo)致的。其實是由于人的錯誤，或者軟件的錯誤導(dǎo)致的。系統(tǒng)是否真的遭到了破壞？在許多入侵事件中，入侵者雖然進行了沒有被系統(tǒng)是否真的遭到了破壞？在許多入侵事件中，入侵者雖然進行了沒有被許可的訪問。但是并沒有訪問敏感信息，或者修改文件的內(nèi)容。許可的訪問。但是并沒有訪問敏感信息，或者修改文件的內(nèi)容。是否有必要保留一些證據(jù)，以備以后進行調(diào)查。是否有必要保留一些證據(jù)，以備以后進行調(diào)查。使系統(tǒng)盡快回到正常狀態(tài)是否很重要？使系統(tǒng)盡快回到正常狀態(tài)是否很重要？是否準備檢查文件已被改變或者移動？如果沒有采取行動，是否能夠入侵是否準備檢查文件已被改變或者移動？如果沒有采取行動，是否能夠入侵者修改了文件？者修改了文件？

50、如果這次入侵被本組織內(nèi)部的人聽到，會有什么的麻煩？如果被本單位以如果這次入侵被本組織內(nèi)部的人聽到，會有什么的麻煩？如果被本單位以外的人聽到又怎樣？外的人聽到又怎樣？入侵是否會再次發(fā)生？入侵是否會再次發(fā)生？ .開始進行記錄。在本子上記錄下來所發(fā)現(xiàn)的開始進行記錄。在本子上記錄下來所發(fā)現(xiàn)的一切，甚至包括日期和時間。如果是檢查文一切，甚至包括日期和時間。如果是檢查文本文件，將結(jié)果打印下來，然后寫上相關(guān)信本文件，將結(jié)果打印下來，然后寫上相關(guān)信息和日期，如果系統(tǒng)中有足夠的空間，對重息和日期，如果系統(tǒng)中有足夠的空間，對重要文件進行復(fù)制，這一點對以后的追蹤和修要文件進行復(fù)制，這一點對以后的追蹤和修復(fù)系統(tǒng)非常重

51、要。復(fù)系統(tǒng)非常重要。 .1.1. 對問題進行分析和理解。對問題進行分析和理解。2. 2. 限制或者停止破壞限制或者停止破壞 . .3. 3. 診斷，并決定危害的程度診斷，并決定危害的程度4. 4. 恢復(fù)系統(tǒng)恢復(fù)系統(tǒng) 5. 5. 處理問題處理問題 .發(fā)現(xiàn)入侵者之后，有這樣一些對策：發(fā)現(xiàn)入侵者之后，有這樣一些對策： 1. 1. 不理。不理。 2. 2. 試圖使用試圖使用writewrite或者或者talktalk這些工具詢問他們究竟想要做什么。這些工具詢問他們究竟想要做什么。 3. 3. 試圖跟蹤這個連接，找出入侵者的來路和身份。試圖跟蹤這個連接，找出入侵者的來路和身份。 4. 4. 殺死這個進程

52、來切斷入侵者與系統(tǒng)的連接。拔下調(diào)制解調(diào)器或殺死這個進程來切斷入侵者與系統(tǒng)的連接。拔下調(diào)制解調(diào)器或網(wǎng)線或者關(guān)閉計算機。網(wǎng)線或者關(guān)閉計算機。 5.5.管理員可以使用一些工具來監(jiān)視入侵者，發(fā)現(xiàn)他們正在做什么。管理員可以使用一些工具來監(jiān)視入侵者，發(fā)現(xiàn)他們正在做什么。這些工具包括這些工具包括snoopsnoop、psps、lastcommlastcomm和和ttywatchttywatch等。等。 .1.1.檢查單檢查單IPIP包首部（包括包首部（包括tcptcp、udpudp首部）即可發(fā)覺的攻擊：如首部）即可發(fā)覺的攻擊：如winnukewinnuke、ping of deathping of deat

53、h、landland，部分，部分OS detectionOS detection，source routingsource routing等。等。2.2.檢查單檢查單IPIP包，但同時要檢查數(shù)據(jù)段信息才能發(fā)覺的攻擊：如利用包，但同時要檢查數(shù)據(jù)段信息才能發(fā)覺的攻擊：如利用cgicgi漏洞，和漏洞，和大量的大量的buffer overflowbuffer overflow攻擊。易于察覺，但最好設(shè)為選用，由用戶在性能、攻擊。易于察覺，但最好設(shè)為選用，由用戶在性能、安全兩者之間進行折衷。安全兩者之間進行折衷。3.3.通過檢測發(fā)生頻率才能發(fā)覺的攻擊：如掃描，通過檢測發(fā)生頻率才能發(fā)覺的攻擊：如掃描，syn flood,smurfsyn flood,smurf等。需要維等。需要維持一個額外的狀態(tài)信息表，且因為結(jié)論是通過統(tǒng)計得來的，有誤判漏判的可能。持一個額外的狀態(tài)信息表，且因為結(jié)論是通過統(tǒng)計得來的，有誤判漏判的可能。檢測難度不是很大，但也要考慮對性能的影響。檢測難度不是很大，但也要考慮對性能的影響。4.4.利用分片進行的攻擊：如利用分片進行的攻擊：如teadropteadrop、nesteanestea、joltjolt等。此類攻擊利用了分片等。此類攻擊利用了分片組裝算法的種種漏洞。若要檢查此類漏洞，必須提前作組裝嘗試（在組裝算法的種種