CISP網(wǎng)絡(luò)與通信安全

1、信息安全技術(shù)網(wǎng)絡(luò)安全2003-12今天的主題第一章 網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識)第二章 網(wǎng)絡(luò)設(shè)備安全管理(物理上安全,設(shè)置上安全等)第三章 網(wǎng)絡(luò)中面臨的威脅 針對網(wǎng)絡(luò)設(shè)備的攻擊(不同的設(shè)備,不同的漏洞) 拒絕服務(wù)（DoS）攻擊(DOS,DDOS) 欺騙攻擊(IP地址欺騙等) 網(wǎng)絡(luò)嗅探(協(xié)議,端口)第四章 網(wǎng)絡(luò)設(shè)備的安全配置第五章 對網(wǎng)絡(luò)威脅采取的策略第六章 IPSec與VPN技術(shù)2 第一章 網(wǎng) 絡(luò) 安 全 基 礎(chǔ)3INTERNET的美妙之處在于你和每個人都能互相連接(工作,學(xué)習(xí),電子商務(wù)等)INTERNET的可怕之處在于每個人都能和你互相連接(面臨著威脅,例如:病毒)4網(wǎng)絡(luò)基礎(chǔ)5OSI參考模

2、型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu) 即開放系統(tǒng)互聯(lián)參考模型（Open System Interconnect Reference Model）。是ISO（國際標(biāo)準(zhǔn)化組織）根據(jù)整個計算機網(wǎng)絡(luò)功能劃分七層. 網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的 (為了更好的規(guī)劃網(wǎng)絡(luò),更好的達到網(wǎng)絡(luò)的互聯(lián)性,更好的解決問題, 更好的構(gòu)架網(wǎng)絡(luò)而建立)OSI參考模型的層次劃分 應(yīng)用層表示層 會話層 傳輸層網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層物理層 6OSI層次劃分原則 層次分明性應(yīng)該把層次分成理論上需要的不同等級，減少過多的層次；當(dāng)在數(shù)據(jù)處理過程中需要不同級別抽象時，則設(shè)立一個層次；在需要不同的通信服務(wù)時，可在同一層內(nèi)再形成子層次，不需要時也可繞過該子層次

3、。 獨立性一個層次內(nèi)的功能或協(xié)議更改時不影響其它各層； 互聯(lián)性只為每一層建立與其相鄰的上一層和下一層的接口；7OSI層次劃分原則 功能模塊化性每一層都應(yīng)該較好地履行其特定的功能； 成熟性每一層的功能選定都基于已有成功經(jīng)驗的國際標(biāo)準(zhǔn)協(xié)議； 簡明性每一層的界面都應(yīng)該選在服務(wù)描述最少、通過接口的信息流量最少的地方； 把類似的功能集中在同一層內(nèi)，使之易于局部化； 8TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型應(yīng)用層 Telnet SMTP傳輸層TCP UDP 網(wǎng)絡(luò)層IP ICMP ARP RARP網(wǎng)絡(luò)接口層X.25 ARPnet9TelnetSMTPDNSFTPUDPTCPIP以

4、太網(wǎng)無線網(wǎng)絡(luò)令牌網(wǎng)ARPNETTCP/IP模型與潛在風(fēng)險應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞10常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞傳輸層：拒絕服務(wù)攻擊網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞 (物理維護, 介質(zhì)保護,OPENBOOT)11網(wǎng)絡(luò)安全的語義范圍保密性 完整性可用性(CIA三元組基本安全法則)可控性 12 第二章 網(wǎng)絡(luò)設(shè)備安全管理13局域網(wǎng)的特性 局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率(廣域網(wǎng)絡(luò)高誤碼率)常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù)令牌控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技

5、術(shù)14局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(IP地址規(guī)劃,路由區(qū)域設(shè)計等)對網(wǎng)絡(luò)設(shè)備進行基本安全配置(口令和不必要的服務(wù)關(guān)閉)合理的劃分VLAN(防一端口屬多VLAN)分離數(shù)據(jù)廣播域(不同部門)綁定IP地址與Mac地址(防止盜用IP)配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控(NETFLOW)與病毒過濾15良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址(規(guī)劃表)合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)(拓?fù)浼皡f(xié)議的選擇)通過VLAN分隔邏輯網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限(操作系統(tǒng))建立良好的網(wǎng)絡(luò)安全制度 (文檔等)16網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)(STP,CDP等)使用強口令或密碼加強設(shè)備訪問的認(rèn)證與授權(quán)(AAA口令)升

6、級設(shè)備固件(對功能的提升)或OS(補丁)使用訪問控制列表限制訪問(名稱,擴展,基本)使用訪問控制表限制數(shù)據(jù)包類型(二層)17廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，local area network)可覆蓋一個建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitan area network)可覆蓋一座城市;(WAN，wide area network)可覆蓋多座城市、多個國家或洲。18廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的構(gòu)成(設(shè)備及基本構(gòu)架)廣域網(wǎng)的種類X.25 幀中繼 ATM19廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃(協(xié)議選擇等)對網(wǎng)絡(luò)設(shè)備進行基

7、本安全配置(口令,加密)確保路由協(xié)議安全(路由協(xié)議加密,防惡意路由信息介入)使用ACL進行數(shù)據(jù)過濾使用AAA加強訪問控制和認(rèn)證20交換機-Vlan穿越對策將所有user-end端口都從vlan1中排除 (缺省VLAN的有很多服務(wù)沒有關(guān)掉.)將trunk接口劃分到一個單獨的vlan中，該vlan中不應(yīng)包含任何user-end接口21交換機-針對CDP攻擊說明Cisco專用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次，目標(biāo)MAC：01:00:0C:CC:CC:CC可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)打開危害任何人可以輕松得到整個網(wǎng)絡(luò)

8、信息可以被利用發(fā)起DoS攻擊：對策如不需要，禁止CDP禁止User-End端口的CDP22交換機-針對STP攻擊說明Spanning Tree Protocol防止交換網(wǎng)絡(luò)產(chǎn)生回路Root BridgeBPDU-bridge ID, path cost, interface攻擊強制接管root bridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時，可以導(dǎo)致某些端口暫時失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDU Flood：消耗帶寬，拒絕服務(wù)(間隔時間)對策對User-End端口，禁止發(fā)送BPDU(或用參數(shù)進行控制)23交換機-針對VTP攻擊作用Vlan Trunking Protocol統(tǒng)一了整

9、個網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機動態(tài)添加刪除VLAN(通過VTP更新信息)準(zhǔn)確跟蹤和監(jiān)測VLAN變化模式Server, Client, Transparent24交換機-針對VTP攻擊脆弱性Domain：只有屬于同一個Domain的交換機才能交換Vlan信息 set vtp domain netpowerPassword：同一domain可以相互通過經(jīng)MD5加密的password驗證，但password設(shè)置非必需的，如果未設(shè)置password，入侵者惡意添加或者刪除Vlan。對策設(shè)置password盡量將交換機的vtp設(shè)置為Transparent模式：set v

10、tp domain netpower mode transparent password sercetvty(不去管VTP信息,只是轉(zhuǎn)發(fā))25路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標(biāo)(產(chǎn)生大量的數(shù)據(jù)包,使響應(yīng)者消耗資源)26路由器-猜測路由器類型端口掃描CDP其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示 (給入侵者帶來有用信息)27路由器-缺省帳號設(shè)備用戶名密碼級別bay路由器user空用戶Manager空管理員bay 350T交換機NetlCs無關(guān)管理員bay superStack IIsecuritysecuri

11、ty管理員3com交換機adminsynnet管理員readsynnet用戶writesynnet管理員debugsynnet管理員techtech28路由器-缺省帳號monitormonitor用戶managermanager管理員securitysecurity管理員cisco路由器(telnet)c(Cisco 2600s)管理員(telnet)cisco用戶enablecisco管理員(telnet)cisco routersshivaroot空管理員Guest空用戶Webrampwradmintrancell管理員Motorola CableRoutercablecomrouter管

12、理員29路由器-密碼Cisco路由器的密碼(選擇手工安裝模式就可以沒有缺省密碼)弱加密MD5加密Enable secret 530路由器-SNMPSNMP版本 SNMPv1,SNMPv2,SNMPv3Snmp AgentMIBSnmp網(wǎng)管軟件讀寫權(quán)限關(guān)掉不必要的服務(wù) SNMP對管理人員有用,同時也為黑客提供方便.31路由器-針對snmp攻擊利用讀、寫口令字下載配置文件針對SNMP的暴力破解程序CISCO SNMP越權(quán)訪問可寫口令字32 第三章 網(wǎng)絡(luò)存在的威脅33網(wǎng)絡(luò)中面臨的威脅34拒絕服務(wù)攻擊定義DoS （Denial of Service ） 拒絕服務(wù)攻擊是用來顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可

13、用性的一種有目的行為。 DDoS （Distributed Denial of service） 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠程機器，以產(chǎn)生 隨機匿名 的拒絕服務(wù)攻擊和遠程訪問。35DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖36DoS攻擊舉例Syn FloodUdp FloodIcmp Ping Flood37Syn FloodSYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊），是利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的一種攻擊方

14、式。38Syn FloodSYN （我可以連接嗎？）ACK （可以）/SYN（請確認(rèn)?。〢CK （確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過程39Syn FloodSYN （我可以連接嗎？）ACK （可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接40Udp FloodUDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種UDP服務(wù)之間互相通信，使一方的輸出成為另一方的輸入。這樣會形成很大的數(shù)據(jù)流量。當(dāng)多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。如果涉及的主機

15、數(shù)目少，那么只有這幾臺主機會癱瘓41Udp Flood禁止相關(guān)服務(wù)(RIP禁止對所有端口轉(zhuǎn)發(fā))與網(wǎng)絡(luò)設(shè)備配合(FW ACL)42Icmp Ping FloodPing是通過發(fā)送ICMP報文,不能很好處理過大的Ping包，導(dǎo)致出現(xiàn):占去許多帶寬,塞滿網(wǎng)絡(luò).如TFN2K會產(chǎn)生大量的進程，每個進程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無法正常工作。43Icmp Flood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合(CISCO設(shè)備最新功能用命令去禁止)44應(yīng)用級別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問題，這些缺陷大多是由于錯誤的程序編制，粗心的源代碼審核.典型代表是pcany

16、where的拒絕服務(wù)問題45應(yīng)用級別的拒絕服務(wù)PCAnywhere 存在因端口掃描導(dǎo)致的 DoS 攻擊描述:在遭受到nmap 2.30BETA21的TCP SYN 掃描之后, PcAnyWhere將停止響應(yīng)，只有重新啟動服務(wù)才能正常運行。46應(yīng)用級別的拒絕服務(wù)升級相關(guān)軟件(補漏洞)與安全產(chǎn)品配合(IDS,FW,ACL,ROUTE-MAP策略控制)47Trinoo介紹影響平臺: Linux, Solaris, Unix 風(fēng)險級別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機的 Trin00 是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個主機，利用這些主機向其他主機發(fā)送UDP flood。Trin

17、00控制者可以給Trin00主機守護程序制造多種請求。使用UDP包開始flood主機使用UDP包終止flood主機修改主機主流程序的UDP flood配置48Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對IP地址不做假.通訊端口是：(要在相應(yīng)策略控制里封掉) 攻擊者主機到主控端主機：27665/TCP 主控端主機到代理端主機：27444/UDP代理端主機到主服務(wù)器主機：31335/UDP49TFN介紹影響平臺: Linux, Solari

18、s, Unix 風(fēng)險級別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機的Tribe Flood Network, TFN,是一種分布式拒絕服務(wù)的工具，使用該工具可以使攻擊者利用多個主機，一次flood一個目標(biāo)。有三種不同類型的flood：ICMP Echo floodUDP FloodSYN Flood50TFN介紹TFN客戶機和服務(wù)器使用ICMP echo 互相發(fā)送響應(yīng)包進行通訊。TFN由主控端程序和代理端程序兩部分組成，具有偽造數(shù)據(jù)包的能力。51TFN2K介紹影響平臺: Linux, Solaris, Unix 風(fēng)險級別: 高攻擊類型: 基于網(wǎng)絡(luò)，基于主機的Tribe Flood Network 2

19、000 (TFN2k) 是一種分布式拒絕服務(wù)的工具，可以實施多種類型的flood攻擊一個主機。TFN2k由客戶端和主機駐留程序組成。客戶端控制一個多個主機主流程序，主機主流程序?qū)δ繕?biāo)主機進行flood?？蛻舳丝梢允褂肬DP、 TCP或ICMP與主機主流程序進行通訊，并可以隱藏欺騙發(fā)包的源IP地址。52TFN2K介紹TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。并且TFN2K可配置的代理端進程端口。53DDoS攻擊特性DDoS攻擊將越來越多地采用IP欺騙

20、的技術(shù)； DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進攻，轉(zhuǎn)變?yōu)橛啥鄠€攻擊源對單一目標(biāo)進攻的趨勢; DDoS攻擊將會變得越來越智能化，試圖躲過網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測跟蹤，并試圖繞過防火墻防御體系; 針對路由器的弱點的DDoS攻擊將會增多; DDoS攻擊利用路由器的多點傳送功能可以將攻擊效果擴大若干倍; 基于不同協(xié)議的攻擊: -采用半連接技術(shù)SYN攻擊，和針對TCP/IP協(xié)議先天缺陷的的ACK攻擊。 -采用ICMP攻擊。 -采用UDP攻擊。54IP欺騙原理IP是網(wǎng)絡(luò)層的一個非面向連接的協(xié)議，偽造IP地址相對容易。TCP三次握手DoS攻擊序列號取樣和猜測預(yù)防拋棄基于地址的信任策略進行包過濾加密使用隨機化初始

21、序列號55ARP欺騙實現(xiàn)簡易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MAC危害嗅探導(dǎo)致windows 9x、NT IP沖突死機Flooding導(dǎo)致網(wǎng)絡(luò)異常56共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù) 網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Sniffer pro、IRIS、tcpdump、snoop57 第四章 網(wǎng)絡(luò)設(shè)備的安全配置58路由交換設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強口令或密碼加強設(shè)備訪問的認(rèn)證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型59Cisco路由交換的安全配置使用加密的強密碼service password-enc

22、ryptionenable secret pa55w0rd使用分級密碼策略(07)enable secret 6 pa55wordprivilege exec 6 show使用用戶密碼策略user name password pass privilege exec 6 show60Cisco路由交換安全配置控制網(wǎng)絡(luò)線路訪問access-list 8 permit 0access-list 8 deny anyline vty 0 4access-class 8 in設(shè)置網(wǎng)絡(luò)連接超時Exec-timeout 5 0以上措施可以保證路由器的密碼安全61Cisco路由交換安全配置禁用交換機HTTP服

23、務(wù)器no ip http server禁用CDP發(fā)掘協(xié)議no cdp run禁用交換機NTP服務(wù)器no ntp enable如果用了,需要驗證Ntp authenticate-key 10 md5 ntpkeyNtp server seattle key 10禁用低端口簡單服務(wù)no service-udp-small-servicesno service-udp-small-services禁用Finger服務(wù)no service finger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險62Cisco路由交換安全配置禁用簡單網(wǎng)絡(luò)管理協(xié)議no snmp-server enable使用SNMPv3加

24、強安全特性snmp-server enable traps snmp auth md5使用強的SNMPv1通訊關(guān)鍵字snmp-server communityname以上三者不可同時使用，如果必要使用SNMP安全性12363Cisco路由交換安全配置認(rèn)證與日志管理 logging 設(shè)置與不同的服務(wù)相關(guān)聯(lián) logging 的不同級別使用AAA加強設(shè)備訪問控制 AAA概念日志管理logging onlogging server 64Cisco路由交換安全配置禁用IP Unreachable報文禁用ICMP Redirect報文no ip redirect禁用定向廣播no ip directed-b

25、roadcast禁用ARP代理no ip proxy-arp使用IP驗證Ip verify unicast reverse-path禁用IP源路由選項no ip source-route65Cisco路由交換安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問控制列表起用TCP截獲特性設(shè)置門限制設(shè)置丟棄模式66Cisco路由交換安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據(jù)包使用訪問控制列表限定數(shù)據(jù)流量使用訪問控制列表保護內(nèi)部網(wǎng)絡(luò)67 第五章 對網(wǎng)絡(luò)威脅采取的策略68拒絕服務(wù)攻擊的防御策略69第一種是縮短SYN Timeout時間，由于SYN

26、Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄該連接的時間，例如設(shè)置為20秒以下（過低的SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷.第二種方法是設(shè)置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄。 Syn Flood 解決辦法70動態(tài)分析受到攻擊時在線分析TCP SYN報文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識、

27、TCP首部中的序列號、TTL值等，特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標(biāo)之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統(tǒng)的負(fù)荷（在這種情況下TTL值與攻擊報文不同的用戶就可以恢復(fù)正常訪問）網(wǎng)絡(luò)設(shè)備配合Syn Flood 其它辦法71Syn Flood 其它辦法負(fù)載均衡基于DNS解析的負(fù)載均衡本身就擁有對SYN Flood的免疫力，基于DNS解析的負(fù)載均衡能將用戶的請求分配到不同IP的服務(wù)器主機上，SYN Flood程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進行域名解析并將IP地址傳遞給攻擊程序，后者是

28、攻擊程序自動進行域名解析，但是它們有一點是相同的，就是一旦攻擊開始，將不會再進行域名解析。攻擊者攻擊的永遠只是其中一臺服務(wù)器。72檢測DDoS攻擊根據(jù)異常情況分析訪問量突然劇增，經(jīng)過sniffer分析，有大量的非正常的包，如沒有正常的tcp三次握手，或者是三次握手后沒有正常的關(guān)閉連接，或者大量的廣播包，或者大量的icmp包，這說明極其有可能是遭受DDoS攻擊。外部訪問突然變慢，或者訪問不到，可是主機的訪問量卻不大，這很有可能是路由器的配置出現(xiàn)問題，詢問一下是否有人對路由器等設(shè)備進行過操作，或者你的對等ISP的線路出現(xiàn)問題。主機突然反應(yīng)很遲鈍。這要經(jīng)過sniffer進行偵聽，這有兩種可能，一種是

29、流量確實很大，有可能是遭受DoS攻擊，還有就是應(yīng)用程序編寫有誤，導(dǎo)致系統(tǒng)資源耗盡。73DDoS攻擊的對策與網(wǎng)絡(luò)服務(wù)提供商協(xié)作能否與上一級的網(wǎng)絡(luò)主干服務(wù)提供商進行良好的合作是非常重要的事情。DDoS攻擊對帶寬的使用是非常嚴(yán)格的，無論使用什么方法都無法使自己的網(wǎng)絡(luò)對它的上一級進行控制。最好能夠與網(wǎng)絡(luò)服務(wù)供應(yīng)商進行協(xié)商，請求他們幫助實現(xiàn)路由的訪問控制，以實現(xiàn)對帶寬總量的限制以及不同的訪問地址在同一時間對帶寬的占有率。最好請求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時允許訪問他們的路由器。74DDoS攻擊的對策安裝IDS和監(jiān)控異常流量。在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動正在進行，立即對入侵

30、行動進行報警。以最快時間內(nèi)對入侵做成反應(yīng)。此外，也要時常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。(IDS操作)優(yōu)化對外提供服務(wù)的主機對于潛在的有可能遭受攻擊的主機也要同樣進行設(shè)置保護。在服務(wù)器上禁止一切不必要的服務(wù)，打補丁，進行安全配置。此外，用防火墻對提供服務(wù)的主機進行保護，對訪問量大的主機進行負(fù)載均衡。將網(wǎng)站分布在多個不同的物理主機上，這樣每一臺主機只包含了網(wǎng)站的一部分，防止了網(wǎng)站在遭受攻擊時全部癱瘓。75DDoS攻擊的對策立即啟動應(yīng)付策略，盡可能快的向回追蹤攻擊包如果發(fā)現(xiàn)攻擊并非來自內(nèi)部應(yīng)當(dāng)立即與服務(wù)提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。應(yīng)

31、當(dāng)迅速的判斷是否遭到了拒絕服務(wù)攻擊，因為在攻擊停止后，只有很短的一段時間您可以向回追蹤攻擊包，這最好和安全公司或組織一道來追查攻擊者。與信息安全監(jiān)察部門聯(lián)系 由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。所以一旦攻擊發(fā)生，應(yīng)該及時與信息安全監(jiān)察部門聯(lián)系，及時提供系統(tǒng)日志作為證據(jù)保全，以利于追查和起訴攻擊者，便于日后用法律手段追回經(jīng)濟損失76DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率Interface xxRete-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action dropAcce

32、ss-list 102 permit icmp any any echoAccess-list 102 permit icmp any any echo-reply77DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率Interface xxRete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action dropAccess-list 103 deny tcp any host xx.xx.xx.xx established Access-list 103 permit tcp any host

33、 xx.xx.xx.xx78DDoS預(yù)防方法Interface xxIp access-group 101 inAccess-list 101 deny ip 55 anyAccess-list 101 deny ip 55 anyAccess-list 101 deny ip 55 anyAccess-list 101 permit ip any any79DDoS預(yù)防方法入口數(shù)據(jù)包必須來自客戶地址確保檢查入口數(shù)據(jù)包有效80DDoS預(yù)防方法驗證單點傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF（快速向前傳輸）特性 81 第六章 IPSec與VPN技

34、術(shù)82IPSec與VPN技術(shù)83VPN技術(shù)虛擬專用網(wǎng)（Virtual Private Network）：在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點。 84采用VPN的原因費用安全性85VPN協(xié)議隧道協(xié)議第二層隧道協(xié)議PPTP(Point-to-Point Tunneling Protocol)L2F(Layer 2 Forwarding)L2TP(Layer2 Tunneling Protocol)第三層隧道協(xié)議GREIPSec86PPTP將其他協(xié)議和數(shù)據(jù)封裝于IP網(wǎng)絡(luò)；該方式用在公共的Internet創(chuàng)建VPN，遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網(wǎng)絡(luò)。此協(xié)議由Microsoft開發(fā)，與Windows95和NT集成很好。在數(shù)據(jù)安全性方面，此協(xié)議使用40bit或128bitRC4的加密算法。87L2TPIETF所制定的在Internet上創(chuàng)建VPN的協(xié)議。它支持非IP的協(xié)議，例如：AppleTalk和IPX,還有非IP的協(xié)議，例如：AppleTalk和IPX，還有非IPSec的安全協(xié)議。這個協(xié)議是在PPTP和L2F的技術(shù)之上所制定的標(biāo)準(zhǔn)Internet Tunnel