06網(wǎng)絡(luò)安全概述

1、網(wǎng)絡(luò)安全概述 1BNCC網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全面臨的問題網(wǎng)絡(luò)安全的客觀必要性常見的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)安全保障體系網(wǎng)絡(luò)安全工作的目的2BNCC什么是網(wǎng)絡(luò)安全（五要素） 可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù) 機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改 可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段3BNCC網(wǎng)絡(luò)安全的內(nèi)容物理安全網(wǎng)絡(luò)安全傳輸安全應(yīng)用安全用戶安全4BNCC網(wǎng)絡(luò)安全面臨的問題來源: CSI / FBI Computer Crime Survey, March 1998.21%48%72%89%外

2、國政府競爭對手黑客不滿的雇員5BNCC網(wǎng)絡(luò)安全威脅的來源 1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人； 2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進(jìn)行操作； -隱蔽用戶:逃避審計(jì)和訪問控制的用戶；3.濫用職權(quán)者: 被授權(quán)使用計(jì)算機(jī)和訪問系統(tǒng)資源，但濫用職權(quán)者。6BNCC冒名頂替廢物搜尋身份識別錯誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型7BNCC網(wǎng)絡(luò)安全面臨嚴(yán)

3、峻挑戰(zhàn) 網(wǎng)上犯罪形勢不容樂觀 有害信息污染嚴(yán)重 網(wǎng)絡(luò)病毒的蔓延和破壞 網(wǎng)上黑客無孔不入 機(jī)要信息流失與信息間諜潛入 網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán) 信息戰(zhàn)的陰影不可忽視 互聯(lián)網(wǎng)正以巨大的力度和廣度 沖擊和改造著社會、經(jīng)濟(jì)、生活的傳統(tǒng)模式 互聯(lián)網(wǎng)正在成為社會公眾強(qiáng)烈依賴的社會重要基 礎(chǔ)設(shè)施 互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn)8BNCC網(wǎng)上犯罪形勢不容樂觀 計(jì)算機(jī)犯罪以100%的速度增加 網(wǎng)上攻擊事件每年以10倍速度增漲 銀行的電子購物賬戶密碼曝光事件增多 2000年2月7日攻擊美國知名網(wǎng)站案件： 損失$12億，影響百萬網(wǎng)民 Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet 網(wǎng)上

4、勒索、詐騙不斷： 用戶信用卡被曝光 美國網(wǎng)絡(luò)安全造成損失$170億/年 美國金融界計(jì)算機(jī)犯罪損失$100億/年9BNCC有害信息污染嚴(yán)重 黃色信息：涉及1%網(wǎng)站，10億美元年?duì)I業(yè)額 邪教信息：法輪功160多個反宣傳網(wǎng)站 虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐 宣揚(yáng)暴力：炸藥配方、幫助自殺 政治攻擊：考克斯報(bào)告、政治演變論10BNCC網(wǎng)絡(luò)病毒的蔓延和破壞 10年內(nèi)以幾何級數(shù)增長 病毒達(dá)55000種（2000.12 亞洲計(jì)算機(jī)反病毒大會） 網(wǎng)絡(luò)病毒有更大的破壞性 1988年莫里斯事件（UNIX/Email） 6000臺、$9000萬 1998年4月的CIH病毒 2000萬臺計(jì)算機(jī) 1999年2

5、月的梅利莎案件（Window/Email） $12億 2000年5月4日的我愛你病毒 $87億 2001年7、8月紅色代碼（CodeRed）到目前為止 $26億11BNCC網(wǎng)上黑客無孔不入 美國網(wǎng)絡(luò)屢遭掃蕩 軍事、政治、經(jīng)濟(jì) 美國五角大樓情報(bào)網(wǎng)絡(luò)、美國海軍研究室、空軍、美國中央情報(bào)局、許多貿(mào)易及金融機(jī)構(gòu)都有被黑的歷史 全球網(wǎng)絡(luò)危機(jī)四伏 非法侵入、破壞系統(tǒng)、竊取機(jī)密 中國網(wǎng)絡(luò)不斷被侵入五一中美黑客大戰(zhàn)800多網(wǎng)站被黑 黑客是一些發(fā)自好奇、尋求刺激、富有挑戰(zhàn)的家伙 是一群以攻擊網(wǎng)絡(luò)，搜尋并破壞信息為了的無賴； 是一幫為了揚(yáng)名，專與政府作對的極端分子； 是一些恐怖主義分子或政治、軍事、商業(yè)和科技間諜

6、。12BNCC機(jī)要信息流失與信息間諜潛入 國家機(jī)密信息、企業(yè)關(guān)鍵信息、個人隱私 Web發(fā)布、電子郵件、文件傳送的泄漏 預(yù)謀性竊取政治和經(jīng)濟(jì)情報(bào) CIA統(tǒng)計(jì)入侵美國要害系統(tǒng)的案件 年增長率為30% 我國信息網(wǎng)絡(luò)發(fā)展必然成為其重要目標(biāo)13BNCC網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán) 安全產(chǎn)品 隱通道、嵌入病毒、缺陷、可恢復(fù)密鑰 大量外購安全產(chǎn)品缺少自控權(quán) 我國缺少配套的安全產(chǎn)品控制政策和機(jī)制 我國安全產(chǎn)業(yè)還比較稚嫩 是重大安全隱患之一14BNCC信息戰(zhàn)的陰影不可忽視 有組織、大規(guī)模的網(wǎng)絡(luò)攻擊預(yù)謀行為： 國家級、集團(tuán)級 無硝煙的戰(zhàn)爭： 跨國界、隱蔽性、低花費(fèi)、跨領(lǐng)域 高技術(shù)性、情報(bào)不確定性 美國的“信息戰(zhàn)執(zhí)行委員會

7、”： 網(wǎng)絡(luò)防護(hù)中心（1999年） 信息作戰(zhàn)中心（2000年） 網(wǎng)絡(luò)攻擊演練（2000年） 要害目標(biāo)： 金融支付中心、證券交易中心 空中交管中心、鐵路調(diào)度中心 電信網(wǎng)管中心、軍事指揮中心15BNCC網(wǎng)絡(luò)的脆弱性 網(wǎng)絡(luò)的擴(kuò)展與業(yè)務(wù)負(fù)荷膨脹： 信息量半年長一倍，網(wǎng)民年增漲30% 網(wǎng)絡(luò)帶寬瓶頸和信息擁擠 社會與經(jīng)濟(jì)對網(wǎng)絡(luò)的巨大經(jīng)濟(jì)依賴性： 20%股市、25%產(chǎn)品、30%金融、40%人口 災(zāi)難情況下的網(wǎng)絡(luò)脆弱性 “AOL”96年10小時癱瘓： 影響700萬用戶 安全的模糊性 網(wǎng)絡(luò)的開放性 技術(shù)的公開性 人類的天性16BNCC安全的模糊性安全是相對的，不易明確安全的目標(biāo)安全是復(fù)雜的，不易認(rèn)清存在的問題安全

8、是廣泛的，不易普及安全的知識安全鏈條：鏈條的強(qiáng)度等于其最弱一環(huán)的強(qiáng)度（木桶原理：網(wǎng)絡(luò)安全最薄弱之處好比木桶壁上最短的木塊，也是黑客對網(wǎng)絡(luò)攻擊的首選之處。） 17BNCC網(wǎng)絡(luò)的開放性互聯(lián)機(jī)制提供了廣泛的可訪問性Client-Server模式提供了明確的攻擊目標(biāo)開放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索用戶的匿名性為攻擊提供了機(jī)會18BNCC技術(shù)的公開性如果不能集思廣益，自由地發(fā)表對系統(tǒng)的建議，則會增加系統(tǒng)潛在的弱點(diǎn)被忽視的危險，因此Internet要求對網(wǎng)絡(luò)安全問題進(jìn)行坦率公開地討論?；谏鲜鲈瓌t，高水平的網(wǎng)絡(luò)安全資料與工具在Internet中可自由獲得。19BNCC人類的天性 好奇心這扇門為什么

9、鎖上，我能打開嗎？ 惰性和依賴心理安全問題應(yīng)由專家來關(guān)心 恐懼心理家丑不可外揚(yáng)20BNCC網(wǎng)絡(luò)攻擊形式 按網(wǎng)絡(luò)服務(wù)分：E-Mail、FTP、Telnet、R服務(wù)、IIS 按技術(shù)途徑分：口令攻擊、Dos攻擊、種植木馬 按攻擊目的分：數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù)21BNCC主要攻擊與威脅十大攻擊手段 1.Dos：使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)無法提供正常服務(wù) 網(wǎng)絡(luò)Flooding:syn flooding、 ping flooding 、DDos 系統(tǒng)Crash: Ping of death、淚滴、 land 、WinNuke 應(yīng)用Crash/Overload：利用應(yīng)用程序缺陷，如長郵件 2.掃描探測：系統(tǒng)

10、弱點(diǎn)探察 SATAN、ISS 、Cybercop Scanner 、 ping （嗅探加 密口令,口令文件) 22BNCC3.口令攻擊: 弱口令口令竊?。盒崽狡?、偷窺、社會工程（垃圾、便條、偽裝查詢）口令猜測：常用字無法獲得加密的口令-強(qiáng)力攻擊口令Crack：字典猜測、字典攻擊可獲得加密的口令（嗅探加密口令,口令文件)4.獲取權(quán)限，提升權(quán)限（root/administrator）猜/crack root口令、緩沖區(qū)溢出、利用NT注冊表、訪問和利用高權(quán)限控制臺、利用啟動文件、利用系統(tǒng)或應(yīng)用Bugs 5. 插入惡意代碼: 病毒、特洛伊木馬（BO)、后門、惡意Applet23BNCC6.網(wǎng)絡(luò)破壞：主

11、頁篡改、文件刪除、毀壞OS 、格式化磁盤7. 數(shù)據(jù)竊?。好舾袛?shù)據(jù)拷貝、監(jiān)聽敏感數(shù)據(jù)傳輸-共享媒介/服務(wù)器監(jiān)聽/遠(yuǎn)程監(jiān)聽RMON 8.偽造、浪費(fèi)與濫用資源：違規(guī)使用 9.篡改審計(jì)數(shù)據(jù):刪除、修改、權(quán)限改變、使審計(jì)進(jìn)程失效 10. 安全基礎(chǔ)攻擊：防火墻、路由、帳戶修改，文件權(quán)限修改。24BNCC我國網(wǎng)絡(luò)安全現(xiàn)狀硬件設(shè)備上嚴(yán)重依賴國外網(wǎng)絡(luò)安全管理存在漏洞網(wǎng)絡(luò)安全問題還沒有引起人們的廣泛重視安全技術(shù)有待研究美國和西方國家對我過進(jìn)行破壞、滲透和污染啟動了一些網(wǎng)絡(luò)安全研究項(xiàng)目建立一批國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施 25BNCCHacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Tar

12、get（目標(biāo)機(jī)）美2.7黑客案件的攻擊方式 分布式拒決服務(wù)（DDoS）26BNCC美國2.7黑客事件的啟示 互聯(lián)網(wǎng)正在成為國家重要基礎(chǔ)設(shè)施 9800萬網(wǎng)民 3000萬人參予網(wǎng)上購物，$1000億元交易額 14%的股市交易 互聯(lián)網(wǎng)威脅給社會帶來巨大沖擊 CNN的100萬網(wǎng)民閱讀網(wǎng)絡(luò)新聞受阻 Amason的820萬注冊用戶無法購書 3天總損失高達(dá)$12億 互聯(lián)網(wǎng)安全問題正在進(jìn)入國家戰(zhàn)略層 克林頓2月16日召開網(wǎng)絡(luò)安全高峰會議 支持$900萬建立高科技安全研究所 拔款$20億建基礎(chǔ)設(shè)施打擊網(wǎng)絡(luò)恐怖活動27BNCC值得深思的幾個問題 網(wǎng)絡(luò)安全的全局性戰(zhàn)略 黑客工具的公開化對策 網(wǎng)絡(luò)安全的預(yù)警體系 應(yīng)急

13、反應(yīng)隊(duì)伍的建設(shè)28BNCC 傳統(tǒng)安全觀念受到挑戰(zhàn) 網(wǎng)絡(luò)是變化的、風(fēng)險是動態(tài)的 傳統(tǒng)安全觀側(cè)重策略的技術(shù)實(shí)現(xiàn) 現(xiàn)代安全觀強(qiáng)調(diào)安全的整體性，安全被看 成一個與環(huán)境相互作用的動態(tài)循環(huán)過程29BNCC網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全是一個系統(tǒng)的概念，可靠的網(wǎng)絡(luò)安全解決方案必須建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)系統(tǒng)安全策略就是基于這種技術(shù)集成而提出的，主要有三種： 1 直接風(fēng)險控制策略（靜態(tài)防御） 安全=風(fēng)險分析+安全規(guī)則+直接的技術(shù)防御體系+安全監(jiān)控 攻擊手段是不斷進(jìn)步的，安全漏洞也是動態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質(zhì)的缺陷。 2 自適應(yīng)網(wǎng)絡(luò)安全策略（動態(tài)性） 安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏

14、洞分析+實(shí)時響應(yīng) 該策略強(qiáng)調(diào)系統(tǒng)安全管理的動態(tài)性，主張通過安全性檢測、漏洞監(jiān)測，自適應(yīng)地填充“安全間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。 30BNCC網(wǎng)絡(luò)安全策略（續(xù)） 3 智能網(wǎng)絡(luò)系統(tǒng)安全策略（動態(tài)免疫力） 安全=風(fēng)險分析+安全策略+技術(shù)防御體系+攻擊實(shí)時檢測+安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化 技術(shù)防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務(wù)的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能

15、而引入的智能反饋機(jī)制。模型中，“風(fēng)險分析+安全策略”體現(xiàn)了管理因素；“技術(shù)防御體系+攻擊實(shí)時檢測+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”體現(xiàn)了技術(shù)因素；技術(shù)因素綜合了防護(hù)、監(jiān)控和恢復(fù)技術(shù)；“安全跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)化”使系統(tǒng)表現(xiàn)出動態(tài)免疫力。31BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 隨著信息網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)的安全防護(hù)技術(shù)已逐漸成為一個新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊(duì)和全社會的高度重視。隨著我國政府、金融等重要領(lǐng)域逐步進(jìn)入信息網(wǎng)絡(luò)，國家的信息網(wǎng)絡(luò)已成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的又一個安全防衛(wèi)領(lǐng)域，逐漸成為國家安全的最高價值目標(biāo)之一。可以說信息網(wǎng)絡(luò)的安全與國家安全密切相關(guān)。3

16、2BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 最近安全專家提出了信息保障體系的新概念，即：為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個生命周期的主動防御。美國在信息保障方面的一些舉措,如：成立關(guān)鍵信息保障辦公室、國家基礎(chǔ)設(shè)施保護(hù)委員會和開展對信息戰(zhàn)的研究等等，表明美國正在尋求一種信息系統(tǒng)防御和保護(hù)的新概念，這應(yīng)該引起我們的高度重視。33BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （PDRR ） 保護(hù)、檢測、響應(yīng)和恢復(fù)涵蓋了對現(xiàn)代信息系統(tǒng)的安全防護(hù)的各個方面，構(gòu)成了一個完整的體系，使網(wǎng)絡(luò)

17、安全建筑在一個更加堅(jiān)實(shí)的基礎(chǔ)之上。34BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ）保護(hù) ( PROTECT ) 傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪問控制技術(shù)等等。檢測 ( DETECT ) 從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動，提供預(yù)警、實(shí)時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動防護(hù)演進(jìn)到積極的主動防御。 35BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ）響應(yīng) ( RESPONSE ) 在遭遇攻擊和緊急事件時及時采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等?；謴?fù) ( RECOVER ) 評估系統(tǒng)受到的危害與

18、損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。36BNCC網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制點(diǎn)到點(diǎn)鏈路加密物理信道安全訪問控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次層次模型網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)安全目標(biāo)用戶安全37BNCC網(wǎng)絡(luò)安全工作的目的38BNCC黑客攻擊與防范39BNCC以太幀與MAC地址 一、以太資料幀的結(jié)構(gòu)圖前同步碼報(bào)頭資料區(qū)資料幀檢查序列（FCS）8個字節(jié)（不包括）通常14個字節(jié)46-1，500字節(jié)固定4字節(jié)40BNCC以太幀構(gòu)成元素解釋

19、及作用前同步碼Send “I am ready, I will send message”報(bào)頭必須有：發(fā)送者M(jìn)AC地址 目的MAC地址共12個字節(jié)OR 長度字段中的字節(jié)總數(shù)信息（差錯控制）OR 類型字段（說明以太幀的類型）資料區(qū)資料源IP 目的地IP 實(shí)際資料和協(xié)議信息如果資料超過1，500 分解多個資料幀，使用序列號如果不夠46個字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41BNCCMAC地址的前三個字節(jié)制造商00-00-0CCISCO00-00-A2BAY NETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWL

20、ET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42BNCC地址解析協(xié)議地址解析協(xié)議索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對應(yīng)的IP地址這一行對應(yīng)入口類型入口1入口2入口N注：數(shù)值2表示這個入口是非法的，數(shù)值3表示這種映像是動態(tài)的，數(shù)值4表示是靜態(tài)的（如口不改變），數(shù)值1表示不是上述任何一種。 入口：ARP高速緩存。43BNCCTIP/IPIP（Internet Protocol）網(wǎng)際協(xié)議，把要傳輸?shù)囊粋€文件分成一個個的群組，這些群組被稱之為IP數(shù)據(jù)包，每個IP數(shù)據(jù)包都含有源地址和目的地址，知道從哪臺機(jī)器正確地傳送到另

21、一臺機(jī)器上去。IP協(xié)議具有分組交換的功能，不會因?yàn)橐慌_機(jī)器傳輸而獨(dú)占通信線路。 TCP（Transport control Protocal）傳輸控制協(xié)議具有重排IP數(shù)據(jù)包順序和超時確認(rèn)的功能。IP數(shù)據(jù)包可能從不同的通信線路到達(dá)目的地機(jī)器，IP數(shù)據(jù)包的順序可能序亂。TCP按IP數(shù)據(jù)包原來的順序進(jìn)行重排。IP數(shù)據(jù)包可能在傳輸過程中丟失或損壞，在規(guī)定的時間內(nèi)如果目的地機(jī)器收不到這些IP數(shù)據(jù)包，TCP協(xié)議會讓源機(jī)器重新發(fā)送這些IP數(shù)據(jù)包，直到到達(dá)目的地機(jī)器。TCP協(xié)議確認(rèn)收到的IP數(shù)據(jù)包。超時機(jī)制是自動的，不依賴于通訊線路的遠(yuǎn)近。 IP和TCP兩種協(xié)議協(xié)同工作，要傳輸?shù)奈募涂梢詼?zhǔn)確無誤地被傳送和接

22、收44BNCCTIP/IPTCP/IP協(xié)議族與OSI七層模型的對應(yīng)關(guān)系，如下圖所示 45BNCC數(shù)據(jù)包是什么樣的？TCP/IP/Ethernet 舉例對分組過濾而言：涉及四層1. Ethernetlayer2.IPlayer3.TCPlayer4.datalayer分組與數(shù)據(jù)封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplication layer(SMTP, Telnet, FTP, etc)Transport layer(TCP,UDP,ICMP)Internet Layer(IP)Network Access Laye

23、r (Ethernet, FDDI, ATM, etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來自上層的所有信息，同時加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernet layer1. 分組Ethernet HeaderEthernet Body2. Header 說明：3. Ethernet Body 包含的是 IP 分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機(jī)器的 Ethernet 地址（源址）接收該分組的機(jī)器的 Ethernet 地址

24、（宿址）IP layer1. IP分組IP header + IP Body3. IP可將分組細(xì)分為更小的部分段(fragments)，以便網(wǎng)絡(luò)傳輸。4. IP Body包含的是TCP分組。2. IP header包括：IP源地址：4 bytes, eg. 4IP的目的地址：同上 IP協(xié)議類型：說明 IP Body中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？?，用于IP源路由或IP安全選項(xiàng)的標(biāo)識IP 分組字段版本IHL 服務(wù)類型總長度標(biāo)識 O 分段偏差有效期協(xié)議 報(bào)頭校驗(yàn)和源地址宿地址選項(xiàng)填充數(shù)據(jù)O MF F32 BIT過濾字段50BNCCIP:1、處于Internet中間層次。2

25、、其下有很多不同的層：如Ethernet，token ring，F(xiàn)DDI，PPP等。3、其上有很多協(xié)議：TCP，UDP，ICMP。4、與分組過濾有關(guān)的特性是：5、分段示意圖：IP 選項(xiàng)：用于Firewall中，對付IP源路由。IP 分段：Firewall只處理首段，而讓所有非首段通過。 丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCP Layer1、TCP分組：TCP報(bào)頭TCP 本體2、報(bào)頭中與過濾有關(guān)部分： TCP源端口：2 byte數(shù)，說明處理分組的源機(jī)器。 TC

26、P宿端口：同上 TCP旗標(biāo)字段（flag），含有1bit的ACK bit。3、本體內(nèi)是實(shí)際要傳送的數(shù)據(jù)。TCP Layer 源端口 宿端口 序 號 確 認(rèn) 號 HLEN 保留 碼位 窗口 校驗(yàn)和 緊急指針 選 項(xiàng) 填充字節(jié) 數(shù) 據(jù)WordsBits048121620242831頭標(biāo)端口掃描攻擊54BNCCSniffer攻擊55BNCCDOS原理DoS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運(yùn)行，最終它會使你的部分Internet連接

27、和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。DoS攻擊的原理如圖所示。56BNCCDOS原理57BNCCDOS原理從圖我們可以看出DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。58BNCCDDOS原理DDoS（分布式拒絕服務(wù)），它

28、的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。從圖1我們可以看出DoS攻擊只要一臺單機(jī)和一個modem就可實(shí)現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺機(jī)器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDoS的攻擊原理如圖所示。59BNCCDDOS原理60BNCCDDOS原理從圖可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主

29、控臺，可以是網(wǎng)絡(luò)上的任何一臺主機(jī)，甚至可以是一個活動的便攜機(jī)。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。61BNCCSYN Flood的基本原理大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，

30、必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：首先，請求端（客戶端）發(fā)送一個包含SYN標(biāo)志的TCP報(bào)文，SYN即同步（Synchronize），同步報(bào)文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個SYN+ACK的報(bào)文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(rèn)（Acknowledgement）。第三步，客戶端也返回一個確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-way Handshake）。62BNCCSYN

31、 Flood的基本原理假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源-數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會消耗非常多的C

32、PU時間和內(nèi)存，何況還要不斷對這個列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰-即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊（SYN洪水攻擊）。63BNCCSYN Flood的基本基本解決方法第一種是縮短SYN Timeout時間，由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度 x SYN Timeo

33、ut，所以通過縮短從接收到SYN報(bào)文到確定這個報(bào)文無效并丟棄改連接的時間，例如設(shè)置為20秒以下（過低的SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。第二種方法是設(shè)置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。64BNCCDDoS攻擊使用的常用工具DDoS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動DDoS攻擊變成

34、一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。1、TrinooTrinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對IP地址不做假，采用的通訊端口是：攻擊者主機(jī)到主控端主機(jī)：27665/TCP主控端主機(jī)到代理端主機(jī)：27444/UDP代理端主機(jī)到主服務(wù)器主機(jī)：31335/UDPFNTFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。65BNCCDDoS攻擊使用的常用

35、工具3、TFN2KTFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。4、StacheldrahtStacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。66BNCCDDoS的監(jiān)測現(xiàn)在網(wǎng)上采

36、用DDoS方式進(jìn)行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。檢測DDoS攻擊的主要方法有以下幾種：1、根據(jù)異常情況分析當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要留神?？傊?，當(dāng)你的機(jī)器出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。2、使用DDoS檢測工具當(dāng)攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程

37、序，并可以把它從系統(tǒng)中刪除。67BNCCDDoS攻擊的防御策略由于DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。所以我們要加強(qiáng)安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性。可采取的安全防御措施有以下幾種：1、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補(bǔ)丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。2、在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天

38、的安全日志。3、利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數(shù)據(jù)包。4、比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制。68BNCCDDoS攻擊的防御策略5、當(dāng)你發(fā)現(xiàn)自己正在遭受DDoS攻擊時，你應(yīng)當(dāng)啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。6、當(dāng)你是潛在的DDoS攻擊受害者，你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時，你不能因?yàn)槟愕南到y(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞

39、，這對你的系統(tǒng)是一個很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它清除，以免留下后患。69BNCC分布式拒絕服務(wù)（DDoS）攻擊工具分析 - TFN2K客戶端用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。守護(hù)程序在代理端主機(jī)運(yùn)行的進(jìn)程，接收和響應(yīng)來自客戶端的命令。主控端運(yùn)行客戶端程序的主機(jī)。代理端運(yùn)行守護(hù)程序的主機(jī)。目標(biāo)主機(jī)分布式攻擊的目標(biāo)（主機(jī)或網(wǎng)絡(luò)）。70BNCC分布式拒絕服務(wù)（DDoS）攻擊工具分析 - TFN2KTFN2K通過主控端利用大量代理端主機(jī)的資源進(jìn)行對一個或多個目標(biāo)進(jìn)行協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX、Solaris和Windows NT等平臺的

40、主機(jī)能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。TFN2K由兩部分組成：在主控端主機(jī)上的客戶端和在代理端主機(jī)上的守護(hù)進(jìn)程。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機(jī)列表。代理端據(jù)此對目標(biāo)進(jìn)行拒絕服務(wù)攻擊。由一個主控端控制的多個代理端主機(jī)，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進(jìn)行通訊。而且主控端還能偽造其IP地址。所有這些特性都使發(fā)展防御TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。71BNCC主控端通過TCP、UDP、ICMP或隨機(jī)性使用其中之一的

41、數(shù)據(jù)包向代理端主機(jī)發(fā)送命令。對目標(biāo)的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING (SMURF)數(shù)據(jù)包flood等。 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機(jī)的，除了ICMP總是使用ICMP_ECHOREPLY類型數(shù)據(jù)包。 與其上一代版本TFN不同，TFN2K的守護(hù)程序是完全沉默的，它不會對接收到的命令有任何回應(yīng)?？蛻舳酥貜?fù)發(fā)送每一個命令20次，并且認(rèn)為守護(hù)程序應(yīng)該至少能接收到其中一個。72BNCC 這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機(jī)IP地址的偽造數(shù)據(jù)包。 TFN2K命令不是基于字符串的，而采用了+格式，其中是代表某個特定命令的數(shù)值，則是該命令的參數(shù)

42、。 所有命令都經(jīng)過了CAST-256算法（RFC 2612）加密。加密關(guān)鍵字在程序編譯時定義，并作為TFN2K客戶端程序的口令。 所有加密數(shù)據(jù)在發(fā)送前都被編碼（Base 64）成可打印的ASCII字符。TFN2K守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。73BNCC 守護(hù)進(jìn)程為每一個攻擊產(chǎn)生子進(jìn)程。 TFN2K守護(hù)進(jìn)程試圖通過修改argv0內(nèi)容（或在某些平臺中修改進(jìn)程名）以掩飾自己。偽造的進(jìn)程名在編譯時指定，因此每次安裝時都有可能不同。這個功能使TFN2K偽裝成代理端主機(jī)的普通正常進(jìn)程。因此，只是簡單地檢查進(jìn)程列表未必能找到TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）。 來自每一個客戶端或守護(hù)進(jìn)程的所有數(shù)據(jù)包都可能被

43、偽造。74BNCCTFN2K仍然有弱點(diǎn)?？赡苁鞘韬龅脑?，加密后的Base 64編碼在每一個TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關(guān)）?？赡苁浅绦蜃髡邽榱耸姑恳粋€數(shù)據(jù)包的長度變化而填充了1到16個零(0 x00)，經(jīng)過Base 64編碼后就成為多個連續(xù)的0 x41(A)。添加到數(shù)據(jù)包尾部的0 x41的數(shù)量是可變的，但至少會有一個。這些位于數(shù)據(jù)包尾部的0 x41(A)就成了捕獲TFN2K命令數(shù)據(jù)包的特征了75BNCCforkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/dev/urandom/dev/

44、random%d.%d.%d.%dsh*ksh*command.exe*cmd.exe*tfn-daemon*tfn-child*76BNCC目前仍沒有能有效防御TFN2K拒絕服務(wù)攻擊的方法。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。預(yù)防 只使用應(yīng)用代理型防火墻。這能夠有效地阻止所有的TFN2K通訊。但只使用應(yīng)用代理服務(wù)器通常是不切合實(shí)際的，因此只能盡可能使用最少的非代理服務(wù)。 禁止不必要的ICMP、TCP和UDP通訊。特別是對于ICMP數(shù)據(jù)，可只允許ICMP類型3（destination unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過。 如果不能禁止ICMP協(xié)議，那就禁止主動提供或所有

45、的ICMP_ECHOREPLY包。77BNCC 禁止不在允許端口列表中的所有UDP和TCP包。 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。 對系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝TFN2K。監(jiān)測 掃描客戶端/守護(hù)程序的名字。 根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。 掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。78BNCC 檢查ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的0 x41。另外，檢查數(shù)據(jù)側(cè)面內(nèi)容是否都是ASCII可打印字符（2B，2F-39，0 x41-0 x5A，0 x61-0 x7A）。 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了TCP、UDP和ICMP包）。響應(yīng)一旦在系統(tǒng)中

46、發(fā)現(xiàn)了TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M(jìn)行。因?yàn)門FN2K的守護(hù)進(jìn)程不會對接收到的命令作任何回復(fù)，TFN2K客戶端一般會繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。另外，入侵者發(fā)現(xiàn)攻擊失效時往往會試圖連接到代理端主機(jī)上以進(jìn)行檢查。這些網(wǎng)絡(luò)通訊都可被追蹤。79BNCCIP欺騙的原理 什么是IP電子欺騙攻擊？所謂IP欺騙，無非就是偽造他人的源IP地址。其實(shí)質(zhì)就是讓一臺機(jī)器來扮演另一臺機(jī)器，籍以達(dá)到蒙混過關(guān)的目的。誰容易上當(dāng)？IP欺騙技術(shù)之所以獨(dú)一無二，就在于只能實(shí)現(xiàn)對某些特定的運(yùn)行Free TCP/IP協(xié)議的計(jì)算機(jī)進(jìn)行攻擊。一般來說，如下的服務(wù)易受到IP欺騙攻擊：任何使用Sun RPC調(diào)用的配

47、置任何利用IP地址認(rèn)證的網(wǎng)絡(luò)服務(wù)MIT的X Window系統(tǒng)R服務(wù)80BNCCIP欺騙的原理 假設(shè)B上的客戶運(yùn)行rlogin與A上的rlogind通信： 1. B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報(bào)頭中的sequence number設(shè)置成自己本次連接的初始值ISN。2. A回傳給B一個帶有SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的ISN，并確認(rèn)B發(fā)送來的第一個數(shù)據(jù)段，將acknowledge number設(shè)置成B的ISN+1。 3. B確認(rèn)收到的A的數(shù)據(jù)段，將acknowledge number設(shè)置成A的ISN+1。 81BNCCB - SYN - A B A 82B

48、NCCIP欺騙攻擊的描述1. 假設(shè)Z企圖攻擊A，而A信任B，所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意，如何才能知道A信任B呢？沒有什么確切的辦法。我的建議就是平時注意搜集蛛絲馬跡，厚積薄發(fā)。一次成功的攻擊其實(shí)主要不是因?yàn)榧夹g(shù)上的高明，而是因?yàn)樾畔⑺鸭膹V泛翔實(shí)。動用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標(biāo)，不在乎手段。 2. 假設(shè)Z已經(jīng)知道了被信任的B，應(yīng)該想辦法使B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。著名的SYN flood常常是一次IP欺騙攻擊的前奏。請看一個并發(fā)服務(wù)器的框架： 83BNCCIP欺騙攻擊

49、的描述int initsockid, newsockid; if (initsockid = socket(.) 0) error(cant create socket); if (bind(initsockid, .) 0) error(bind error); if (listen(initsockid, 5) 0) error(listen error); 84BNCCIP欺騙攻擊的描述for (;) newsockid = accept(initsockid, .); /* 阻塞 */ if (newsockid /.rhosts 這樣的命令，于是攻擊完成。如果預(yù)測不準(zhǔn)確，A將發(fā)送一個

50、帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，Z只有從頭再來。 89BNCCIP欺騙攻擊的描述Z(B) - SYN - A B A Z(B) - PSH - A . 6. IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測A的ISN。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。90BNCCIP欺騙攻擊的描述考慮這種情況，入侵者控制了一臺由A到B之間的路由器，假設(shè)Z就是這臺路由器，那么A回送到B的數(shù)據(jù)段，現(xiàn)在Z是可以看到的，顯然攻擊難度驟然下降了許多。否則Z必須精確地預(yù)見可能從A發(fā)往B的信息，以及A期

51、待來自B的什么應(yīng)答信息，這要求攻擊者對協(xié)議本身相當(dāng)熟悉。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進(jìn)行協(xié)議分析。 91BNCCIP欺騙攻擊的描述7. 如果Z不是路由器，能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)？沒有仔細(xì)分析過，只是隨便猜測而已。并且與A、B、 Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個A上的shell，對于許多高級入侵者，得到目標(biāo)主機(jī)的shell，離root權(quán)限就不

52、遠(yuǎn)了，最容易想到的當(dāng)然是接下來進(jìn)行buffer overflow攻擊。 92BNCCIP欺騙攻擊的描述8. 也許有人要問，為什么Z不能直接把自己的IP設(shè)置成B的？這個問題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)洌?dāng)然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題?；叵胛仪懊尜N過的ARP欺騙攻擊，如果B的ARP Cache沒有受到影響，就不會出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時，企圖解析A的MAC地址或者路由器的MAC地址，必然會發(fā)送ARP請求包，但這個ARP請求包中源IP以及源MAC都是Z的，自然不會引起ARP沖突。而ARP Cache只會被ARP包改變，不受IP包

53、的影響，所以可以肯定地說，IP欺騙攻擊過程中不存在ARP沖突。相反，如果Z修改了自己的IP，這種ARP沖突就有可能出現(xiàn)，示具體情況而言。攻擊中連帶B一起攻擊了，其目的無非是防止B干擾了攻擊過程， 如果B本身已經(jīng)down掉，那是再好不過93BNCCIP欺騙攻擊的描述9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，對之進(jìn)行端口掃描，發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。94BNCCIP欺騙攻擊的描述10. 關(guān)于預(yù)測ISN，我想到另一個問題。就是如何以第三方身份切斷 A與B之間的TCP連接，實(shí)際上也是預(yù)測sequence number的問題。嘗試過，也很困難。如

54、果Z是A與B之間的路由器，就不用說了； 或者Z動用了別的技術(shù)可以監(jiān)聽到A與B之間的通信，也容易些； 否則預(yù)測太難。作者在3中提到連接A的25端口，可我想不明白的 是513端口的ISN和25端口有什么關(guān)系？看來需要看看TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。95BNCC96BNCC未雨綢繆 雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的， 比如刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/ inetd.conf文件，使得RPC機(jī)制無法運(yùn)做，還可以殺掉portmapper等等。設(shè)置路由器，過濾

55、來自外部而信源地址卻是內(nèi)部IP的報(bào)文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵，內(nèi)部入侵呢？TCP的ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。97BNCC未雨綢繆估計(jì)Linux下容易做到，那solaris、irix、hp-unix還有aix呢？sigh 雖然作者紙上談兵，但總算讓我們了解了一下IP欺騙攻擊，我實(shí)驗(yàn)過預(yù)測sequence number，不是ISN，企圖切斷一個TCP連接，感覺難度很大。建議要找到規(guī)律，不要盲目預(yù)測，這需要時間和耐心。一個現(xiàn)成的bug足以讓你取得root權(quán)限.98

56、BNCC99BNCC進(jìn)程的內(nèi)存組織形式為了理解什么是堆棧緩沖區(qū), 我們必須首先理解一個進(jìn)程是以什么組織形式在 內(nèi)存中存在的. 進(jìn)程被分成三個區(qū)域: 文本, 數(shù)據(jù)和堆棧. 我們把精力集中在堆棧 區(qū)域, 但首先按照順序簡單介紹一下其他區(qū)域. 文本區(qū)域是由程序確定的, 包括代碼(指令)和只讀數(shù)據(jù). 該區(qū)域相當(dāng)于可執(zhí)行 文件的文本段. 這個區(qū)域通常被標(biāo)記為只讀, 任何對其寫入的操作都會導(dǎo)致段錯誤 (segmentation violation). 數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù). 靜態(tài)變量儲存在這個區(qū)域中. 數(shù) 據(jù)區(qū)域?qū)?yīng)可執(zhí)行文件中的data-bss段. 它的大小可以用系統(tǒng)調(diào)用brk(2)來

57、改變. 如果bss數(shù)據(jù)的擴(kuò)展或用戶堆棧把可用內(nèi)存消耗光了, 進(jìn)程就會被阻塞住, 等待有了 一塊更大的內(nèi)存空間之后再運(yùn)行. 新內(nèi)存加入到數(shù)據(jù)和堆棧段的中間. 100BNCC什么是堆棧堆棧是一個在計(jì)算機(jī)科學(xué)中經(jīng)常使用的抽象數(shù)據(jù)類型. 堆棧中的物體具有一個特性: 最后一個放入堆棧中的物體總是被最先拿出來, 這個特性通常稱為后進(jìn)先處(LIFO)隊(duì)列. 堆棧中定義了一些操作. 兩個最重要的是PUSH和POP. PUSH操作在堆棧的頂部加入一 個元素. POP操作相反, 在堆棧頂部移去一個元素, 并將堆棧的大小減一. 101BNCC為什么使用堆棧現(xiàn)代計(jì)算機(jī)被設(shè)計(jì)成能夠理解人們頭腦中的高級語言. 在使用高級

58、語言構(gòu)造程序時 最重要的技術(shù)是過程(procedure)和函數(shù)(function). 從這一點(diǎn)來看, 一個過程調(diào)用可 以象跳轉(zhuǎn)(jump)命令那樣改變程序的控制流程, 但是與跳轉(zhuǎn)不同的是, 當(dāng)工作完成時, 函數(shù)把控制權(quán)返回給調(diào)用之后的語句或指令. 這種高級抽象實(shí)現(xiàn)起來要靠堆棧的幫助. 堆棧也用于給函數(shù)中使用的局部變量動態(tài)分配空間, 同樣給函數(shù)傳遞參數(shù)和函數(shù)返 回值也要用到堆棧. 102BNCC堆棧區(qū)域 堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存. 一個名為堆棧指針(SP)的寄存器指向堆棧的頂部. 堆棧的底部在一個固定的地址. 堆棧的大小在運(yùn)行時由內(nèi)核動態(tài)地調(diào)整. CPU實(shí)現(xiàn)指令 PUSH和POP, 向堆棧中

59、添加元素和從中移去元素. 堆棧由邏輯堆棧幀組成. 當(dāng)調(diào)用函數(shù)時邏輯堆棧幀被壓入棧中, 當(dāng)函數(shù)返回時邏輯 堆棧幀被從棧中彈出. 堆棧幀包括函數(shù)的參數(shù), 函數(shù)地局部變量, 以及恢復(fù)前一個堆棧 幀所需要的數(shù)據(jù), 其中包括在函數(shù)調(diào)用時指令指針(IP)的值. 堆棧既可以向下增長(向內(nèi)存低地址)也可以向上增長, 這依賴于具體的實(shí)現(xiàn). 103BNCC堆棧區(qū)域在我 們的例子中, 堆棧是向下增長的. 這是很多計(jì)算機(jī)的實(shí)現(xiàn)方式, 包括Intel, Motorola, SPARC和MIPS處理器. 堆棧指針(SP)也是依賴于具體實(shí)現(xiàn)的. 它可以指向堆棧的最后地址, 或者指向堆棧之后的下一個空閑可用地址. 在我們的討

60、論當(dāng)中, SP指向堆棧的最后地址. 除了堆棧指針(SP指向堆棧頂部的的低地址)之外, 為了使用方便還有指向幀內(nèi)固定 地址的指針叫做幀指針(FP). 104BNCC堆棧區(qū)域有些文章把它叫做局部基指針(LB-local base pointer). 從理論上來說, 局部變量可以用SP加偏移量來引用. 然而, 當(dāng)有字被壓棧和出棧后, 這 些偏移量就變了. 盡管在某些情況下編譯器能夠跟蹤棧中的字操作, 由此可以修正偏移 量, 但是在某些情況下不能. 而且在所有情況下, 要引入可觀的管理開銷. 而且在有些 機(jī)器上, 比如Intel處理器, 由SP加偏移量訪問一個變量需要多條指令才能實(shí)現(xiàn). 105BNCC