網(wǎng)絡(luò)安全概述2

網(wǎng)絡(luò)安全概述

1BNCC網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全面臨的問題網(wǎng)絡(luò)安全的客觀必要性常見的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)安全保障體系網(wǎng)絡(luò)安全工作的目的2BNCC什么是網(wǎng)絡(luò)安全（五要素）可用性：授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)機(jī)密性：信息不暴露給未授權(quán)實(shí)體或進(jìn)程完整性：保證數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段3BNCC網(wǎng)絡(luò)安全的內(nèi)容物理安全網(wǎng)絡(luò)安全傳輸安全應(yīng)用安全用戶安全4BNCC網(wǎng)絡(luò)安全面臨的問題來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外國政府競(jìng)爭(zhēng)對(duì)手黑客不滿的雇員5BNCC網(wǎng)絡(luò)安全威脅的來源

1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人；

2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進(jìn)行操作；-隱蔽用戶:逃避審計(jì)和訪問控制的用戶；

3.濫用職權(quán)者:被授權(quán)使用計(jì)算機(jī)和訪問系統(tǒng)資源，但濫用職權(quán)者。6BNCC冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型7BNCC網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

網(wǎng)上犯罪形勢(shì)不容樂觀

有害信息污染嚴(yán)重網(wǎng)絡(luò)病毒的蔓延和破壞

網(wǎng)上黑客無孔不入

機(jī)要信息流失與信息間諜潛入

網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán)

信息戰(zhàn)的陰影不可忽視

互聯(lián)網(wǎng)正以巨大的力度和廣度

沖擊和改造著社會(huì)、經(jīng)濟(jì)、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會(huì)公眾強(qiáng)烈依賴的社會(huì)重要基礎(chǔ)設(shè)施互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn)8BNCC網(wǎng)上犯罪形勢(shì)不容樂觀計(jì)算機(jī)犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購物賬戶密碼曝光事件增多2000年2月7日攻擊美國知名網(wǎng)站案件：

損失$12億，影響百萬網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：

用戶信用卡被曝光美國網(wǎng)絡(luò)安全造成損失$170億/年美國金融界計(jì)算機(jī)犯罪損失$100億/年9BNCC有害信息污染嚴(yán)重黃色信息：涉及1%網(wǎng)站，10億美元年?duì)I業(yè)額邪教信息：法輪功160多個(gè)反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚(yáng)暴力：炸藥配方、幫助自殺政治攻擊：考克斯報(bào)告、政治演變論10BNCC網(wǎng)絡(luò)病病毒的的蔓延延和破破壞10年年內(nèi)以以幾何何級(jí)數(shù)數(shù)增長長病毒達(dá)達(dá)55000種種（2000.12亞亞洲計(jì)計(jì)算機(jī)機(jī)反病病毒大大會(huì)））網(wǎng)絡(luò)病病毒有有更大大的破破壞性性1988年年莫里里斯事事件（（UNIX/Email）6000臺(tái)臺(tái)、$9000萬1998年年4月月的CIH病毒毒2000萬萬臺(tái)計(jì)計(jì)算機(jī)機(jī)1999年年2月月的梅梅利莎莎案件件（Window/Email））$12億2000年年5月月4日日的我我愛你你病毒毒$87億2001年年7、、8月月紅色色代碼碼（CodeRed）到到目前前為止止$26億11BNCC網(wǎng)上黑黑客無無孔不不入美國網(wǎng)網(wǎng)絡(luò)屢屢遭掃掃蕩軍事、、政治治、經(jīng)經(jīng)濟(jì)美國五五角大大樓情情報(bào)網(wǎng)網(wǎng)絡(luò)、、美國國海軍軍研究究室、、空軍軍、美美國中中央情情報(bào)局局、許許多貿(mào)貿(mào)易及及金融融機(jī)構(gòu)構(gòu)都有有被黑黑的歷歷史全球球網(wǎng)網(wǎng)絡(luò)絡(luò)危危機(jī)機(jī)四四伏伏非法法侵侵入入、、破破壞壞系系統(tǒng)統(tǒng)、、竊竊取取機(jī)機(jī)密密中國國網(wǎng)網(wǎng)絡(luò)絡(luò)不不斷斷被被侵侵入入五一一中中美美黑黑客客大大戰(zhàn)戰(zhàn)800多多網(wǎng)網(wǎng)站站被被黑黑黑客客是一一些些發(fā)發(fā)自自好好奇奇、、尋尋求求刺刺激激、、富富有有挑挑戰(zhàn)戰(zhàn)的的家家伙伙是一一群群以以攻攻擊擊網(wǎng)網(wǎng)絡(luò)絡(luò)，，搜搜尋尋并并破破壞壞信信息息為為了了的的無無賴賴；；是一一幫幫為為了了揚(yáng)揚(yáng)名名，，專專與與政政府府作作對(duì)對(duì)的的極極端端分分子子；；是一一些些恐恐怖怖主主義義分分子子或或政政治治、、軍軍事事、、商商業(yè)業(yè)和和科科技技間間諜諜。。12BNCC機(jī)要要信信息息流流失失與與信信息息間間諜諜潛潛入入國家家機(jī)機(jī)密密信信息息、、企企業(yè)業(yè)關(guān)關(guān)鍵鍵信信息息、、個(gè)個(gè)人人隱隱私私Web發(fā)發(fā)布布、、電電子子郵郵件件、、文文件件傳傳送送的的泄泄漏漏預(yù)謀謀性性竊竊取取政政治治和和經(jīng)經(jīng)濟(jì)濟(jì)情情報(bào)報(bào)CIA統(tǒng)統(tǒng)計(jì)計(jì)入入侵侵美美國國要要害害系系統(tǒng)統(tǒng)的的案案件件年增增長長率率為為30%我國國信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)發(fā)發(fā)展展必必然然成成為為其其重重要要目目標(biāo)標(biāo)13BNCC網(wǎng)絡(luò)絡(luò)安安全全產(chǎn)產(chǎn)品品的的自自控控權(quán)權(quán)安全全產(chǎn)產(chǎn)品品隱通通道道、、嵌嵌入入病病毒毒、、缺缺陷陷、、可可恢恢復(fù)復(fù)密密鑰鑰大量量外外購購安安全全產(chǎn)產(chǎn)品品缺缺少少自自控控權(quán)權(quán)我國國缺缺少少配配套套的的安安全全產(chǎn)產(chǎn)品品控控制制政政策策和和機(jī)機(jī)制制我國國安安全全產(chǎn)產(chǎn)業(yè)業(yè)還還比比較較稚稚嫩嫩是重重大大安安全全隱隱患患之之一一14BNCC信息息戰(zhàn)戰(zhàn)的的陰陰影影不不可可忽忽視視有組組織織、、大大規(guī)規(guī)模模的的網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊預(yù)預(yù)謀謀行行為為：：國家家級(jí)級(jí)、、集集團(tuán)團(tuán)級(jí)級(jí)無硝硝煙煙的的戰(zhàn)戰(zhàn)爭(zhēng)爭(zhēng)：：跨國國界界、、隱隱蔽蔽性性、、低低花花費(fèi)費(fèi)、、跨跨領(lǐng)領(lǐng)域域高技技術(shù)術(shù)性性、、情情報(bào)報(bào)不不確確定定性性美國國的的““信信息息戰(zhàn)戰(zhàn)執(zhí)執(zhí)行行委委員員會(huì)會(huì)””：：網(wǎng)絡(luò)絡(luò)防防護(hù)護(hù)中中心心（（1999年年））信息息作作戰(zhàn)戰(zhàn)中中心心（（2000年年））網(wǎng)絡(luò)絡(luò)攻攻擊擊演演練練（（2000年年））要害害目目標(biāo)標(biāo)：：金融融支支付付中中心心、、證證券券交交易易中中心心空中中交交管管中中心心、、鐵鐵路路調(diào)調(diào)度度中中心心電信信網(wǎng)網(wǎng)管管中中心心、、軍軍事事指指揮揮中中心心15BNCC網(wǎng)絡(luò)絡(luò)的的脆脆弱弱性性網(wǎng)絡(luò)絡(luò)的的擴(kuò)擴(kuò)展展與與業(yè)業(yè)務(wù)務(wù)負(fù)負(fù)荷荷膨膨脹脹：：信息息量量半半年年長長一一倍倍，，網(wǎng)網(wǎng)民民年年增增漲漲30%網(wǎng)絡(luò)絡(luò)帶帶寬寬瓶瓶頸頸和和信信息息擁擁擠擠社會(huì)會(huì)與與經(jīng)經(jīng)濟(jì)濟(jì)對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)的的巨巨大大經(jīng)經(jīng)濟(jì)濟(jì)依依賴賴性性：20%股股市市、、25%產(chǎn)產(chǎn)品品、、30%金金融融、、40%人人口口災(zāi)難難情情況況下下的的網(wǎng)網(wǎng)絡(luò)絡(luò)脆脆弱弱性性“AOL””96年年10小小時(shí)時(shí)癱癱瘓瘓：影響響700萬萬用用戶戶安全全的的模模糊糊性性網(wǎng)網(wǎng)絡(luò)絡(luò)的的開開放放性性技術(shù)術(shù)的的公公開開性性人人類類的的天天性性16BNCC安全全的的模模糊糊性性安全全是是相相對(duì)對(duì)的的，，不不易易明明確確安安全全的的目目標(biāo)標(biāo)安全全是是復(fù)復(fù)雜雜的的，，不不易易認(rèn)認(rèn)清清存存在在的的問問題題安全全是是廣廣泛泛的的，，不不易易普普及及安安全全的的知知識(shí)識(shí)安全全鏈鏈條條：：鏈鏈條條的的強(qiáng)強(qiáng)度度等等于于其其最最弱弱一一環(huán)環(huán)的的強(qiáng)強(qiáng)度度（（木木桶桶原原理理：：網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全最最薄薄弱弱之之處處好好比比木木桶桶壁壁上上最最短短的的木木塊塊，，也也是是黑黑客客對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊的的首首選選之之處處。。））17BNCC網(wǎng)絡(luò)絡(luò)的的開開放放性性互聯(lián)聯(lián)機(jī)機(jī)制制提提供供了了廣廣泛泛的的可可訪訪問問性性Client-Server模模式式提提供供了了明明確確的的攻攻擊擊目目標(biāo)標(biāo)開放放的的網(wǎng)網(wǎng)絡(luò)絡(luò)協(xié)協(xié)議議和和操操作作系系統(tǒng)統(tǒng)為為入入侵侵提提供供了了線線索索用戶戶的的匿匿名名性性為為攻攻擊擊提提供供了了機(jī)機(jī)會(huì)會(huì)18BNCC技術(shù)術(shù)的的公公開開性性如果果不不能能集集思思廣廣益益，，自自由由地地發(fā)發(fā)表表對(duì)對(duì)系系統(tǒng)統(tǒng)的的建建議議，，則則會(huì)會(huì)增增加加系系統(tǒng)統(tǒng)潛潛在在的的弱弱點(diǎn)點(diǎn)被被忽忽視視的的危危險(xiǎn)險(xiǎn)，，因因此此Internet要要求求對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全問問題題進(jìn)進(jìn)行行坦坦率率公公開開地地討討論論。?；谟谏仙鲜鍪鲈瓌t則，，高高水水平平的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全資資料料與與工工具具在在Internet中中可可自自由由獲獲得得。。19BNCC人類的天性好奇心這扇門為什么么鎖上，我能能打開嗎？惰性和依賴心心理安全問題應(yīng)由由專家來關(guān)心心恐懼心理家丑不可外揚(yáng)揚(yáng)20BNCC網(wǎng)絡(luò)攻擊形式式按網(wǎng)絡(luò)服務(wù)分分：E-Mail、FTP、、Telnet、R服務(wù)、IIS按技術(shù)途徑分分：口令攻擊、Dos攻擊、、種植木馬按攻擊目的分分：數(shù)據(jù)竊取、偽偽造濫用資源源、篡改數(shù)據(jù)據(jù)21BNCC主要攻擊與威威脅——十大攻擊擊手段1.Dos：使目標(biāo)系統(tǒng)或或網(wǎng)絡(luò)無法提提供正常服務(wù)務(wù)網(wǎng)絡(luò)Flooding:synflooding、pingflooding、DDos系統(tǒng)Crash:Pingofdeath、淚滴滴、land、WinNuke應(yīng)用Crash/Overload：利用應(yīng)用程序序缺陷，如長長郵件2.掃描探測(cè)：系統(tǒng)弱點(diǎn)探察察SATAN、、ISS、、CybercopScanner、ping（嗅探加密密口令,口令令文件)22BNCC3.口令攻擊:弱口令口令竊取：嗅探器、偷窺窺、社會(huì)工程程（垃圾、便便條、偽裝查查詢）口令猜測(cè)：常用字—無法法獲得加密的的口令-強(qiáng)力力攻擊口令Crack：字典猜測(cè)、字字典攻擊—可可獲得加密的的口令（嗅探探加密口令,口令文件)4.獲取權(quán)限，提提升權(quán)限（root/administrator）猜/crackroot口令、緩緩沖區(qū)溢出、、利用NT注注冊(cè)表、訪問問和利用高權(quán)權(quán)限控制臺(tái)、、利用啟動(dòng)文文件、利用系系統(tǒng)或應(yīng)用Bugs5.插入惡意代碼碼:病毒、特洛伊伊木馬（BO)、后門、、惡意Applet23BNCC6.網(wǎng)絡(luò)破壞：主頁篡改、文文件刪除、毀毀壞OS、、格式化磁盤盤7.數(shù)據(jù)竊取：敏感數(shù)據(jù)拷貝貝、監(jiān)聽敏感感數(shù)據(jù)傳輸---共享媒媒介/服務(wù)器器監(jiān)聽/遠(yuǎn)程程監(jiān)聽RMON8.偽造、浪費(fèi)與與濫用資源：：違規(guī)使用9.篡改審計(jì)數(shù)據(jù)據(jù):刪除、修改、、權(quán)限改變、、使審計(jì)進(jìn)程程失效10.安全基礎(chǔ)攻擊擊：防火墻、路由由、帳戶修改改，文件權(quán)限限修改。24BNCC我國網(wǎng)絡(luò)安全全現(xiàn)狀硬件設(shè)備上嚴(yán)嚴(yán)重依賴國外外網(wǎng)絡(luò)安全管理理存在漏洞網(wǎng)絡(luò)安全問題題還沒有引起起人們的廣泛泛重視安全技術(shù)有待待研究美國和西方國國家對(duì)我過進(jìn)進(jìn)行破壞、滲滲透和污染啟動(dòng)了一些網(wǎng)網(wǎng)絡(luò)安全研究究項(xiàng)目建立一批國家家網(wǎng)絡(luò)安全基基礎(chǔ)設(shè)施25BNCCHacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標(biāo)機(jī)）美2.7黑客客案件的攻擊擊方式分布式拒決服服務(wù)（DDoS）26BNCC美國2.7黑黑客事件的啟啟示互聯(lián)網(wǎng)正在成成為國家重要要基礎(chǔ)設(shè)施9800萬網(wǎng)網(wǎng)民3000萬人人參予網(wǎng)上購購物，$1000億元交交易額14%的股市市交易互聯(lián)網(wǎng)威脅給給社會(huì)帶來巨巨大沖擊CNN的100萬網(wǎng)民閱閱讀網(wǎng)絡(luò)新聞聞受阻Amason的820萬注注冊(cè)用戶無法法購書3天總損失高高達(dá)$12億億互聯(lián)網(wǎng)安全問問題正在進(jìn)入入國家戰(zhàn)略層層克林頓2月16日召開網(wǎng)網(wǎng)絡(luò)安全高峰峰會(huì)議支持$900萬建立高科科技安全研究究所拔款$20億億建基礎(chǔ)設(shè)施施打擊網(wǎng)絡(luò)恐恐怖活動(dòng)27BNCC值得深思的幾幾個(gè)問題網(wǎng)絡(luò)安全的全全局性戰(zhàn)略黑客工具的公公開化對(duì)策網(wǎng)絡(luò)安全的預(yù)預(yù)警體系應(yīng)急反應(yīng)隊(duì)伍伍的建設(shè)28BNCC傳統(tǒng)安全觀念念受到挑戰(zhàn)網(wǎng)絡(luò)是變化的的、風(fēng)險(xiǎn)是動(dòng)動(dòng)態(tài)的傳統(tǒng)安全觀側(cè)側(cè)重策略的技技術(shù)實(shí)現(xiàn)現(xiàn)代安全觀強(qiáng)強(qiáng)調(diào)安全的整整體性，安全全被看成一一個(gè)與環(huán)境相相互作用的動(dòng)動(dòng)態(tài)循環(huán)過程程29BNCC網(wǎng)絡(luò)安全策略略網(wǎng)絡(luò)安全是一一個(gè)系統(tǒng)的概概念，可靠的的網(wǎng)絡(luò)安全解解決方案必須須建立在集成成網(wǎng)絡(luò)安全技技術(shù)的基礎(chǔ)上上，網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全策略就就是基于這種種技術(shù)集成而而提出的，主主要有三種：：1直接風(fēng)險(xiǎn)險(xiǎn)控制策略（（靜態(tài)防御））安全=風(fēng)險(xiǎn)分分析+安全規(guī)規(guī)則+直接的的技術(shù)防御體體系+安全監(jiān)監(jiān)控攻擊手段是不不斷進(jìn)步的，，安全漏洞也也是動(dòng)態(tài)出現(xiàn)現(xiàn)的，因此靜靜態(tài)防御下的的該模型存在在著本質(zhì)的缺缺陷。2自適應(yīng)網(wǎng)網(wǎng)絡(luò)安全策略略（動(dòng)態(tài)性））安全=風(fēng)險(xiǎn)分分析+執(zhí)行策策略+系統(tǒng)實(shí)實(shí)施+漏洞分分析+實(shí)時(shí)響響應(yīng)該策略強(qiáng)調(diào)系系統(tǒng)安全管理理的動(dòng)態(tài)性，，主張通過安安全性檢測(cè)、、漏洞監(jiān)測(cè)，，自適應(yīng)地填填充“安全間間隙”，從而而提高網(wǎng)絡(luò)系系統(tǒng)的安全性性。完善的網(wǎng)網(wǎng)絡(luò)安全體系系，必須合理理協(xié)調(diào)法律、、技術(shù)和管理理三種因素，，集成防護(hù)、、監(jiān)控和恢復(fù)復(fù)三種技術(shù)，，力求增強(qiáng)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的健健壯性與免疫疫力。局限性性在于：只考考慮增強(qiáng)系統(tǒng)統(tǒng)的健壯性，，僅綜合了技技術(shù)和管理因因素，僅采用用了技術(shù)防護(hù)護(hù)。30BNCC網(wǎng)絡(luò)安全策略略（續(xù)）3智能網(wǎng)絡(luò)絡(luò)系統(tǒng)安全策策略（動(dòng)態(tài)免免疫力）安全=風(fēng)險(xiǎn)分分析+安全策策略+技術(shù)防防御體系+攻攻擊實(shí)時(shí)檢測(cè)測(cè)+安全跟蹤蹤+系統(tǒng)數(shù)據(jù)據(jù)恢復(fù)+系統(tǒng)統(tǒng)學(xué)習(xí)進(jìn)化技術(shù)防御體系系包括漏洞檢檢測(cè)和安全縫縫隙填充；安安全跟蹤是為為攻擊證據(jù)記記錄服務(wù)的，，系統(tǒng)學(xué)習(xí)進(jìn)進(jìn)化是旨在改改善系統(tǒng)性能能而引入的智智能反饋機(jī)制制。模型中，“風(fēng)風(fēng)險(xiǎn)分析+安安全策略”體體現(xiàn)了管理因因素；“技術(shù)術(shù)防御體系+攻擊實(shí)時(shí)檢檢測(cè)+系統(tǒng)數(shù)數(shù)據(jù)恢復(fù)+系系統(tǒng)學(xué)習(xí)進(jìn)化化”體現(xiàn)了技技術(shù)因素；技技術(shù)因素綜合合了防護(hù)、監(jiān)監(jiān)控和恢復(fù)技技術(shù)；“安全全跟蹤+系統(tǒng)統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進(jìn)進(jìn)化”使系統(tǒng)統(tǒng)表現(xiàn)出動(dòng)態(tài)態(tài)免疫力。31BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）隨著信息網(wǎng)絡(luò)絡(luò)的飛速發(fā)展展，信息網(wǎng)絡(luò)絡(luò)的安全防護(hù)護(hù)技術(shù)已逐漸漸成為一個(gè)新新興的重要技技術(shù)領(lǐng)域，并并且受到政府府、軍隊(duì)和全全社會(huì)的高度度重視。隨著著我國政府、、金融等重要要領(lǐng)域逐步進(jìn)進(jìn)入信息網(wǎng)絡(luò)絡(luò)，國家的信信息網(wǎng)絡(luò)已成成為繼領(lǐng)土、、領(lǐng)海、領(lǐng)空空之后的又一一個(gè)安全防衛(wèi)衛(wèi)領(lǐng)域，逐漸漸成為國家安安全的最高價(jià)價(jià)值目標(biāo)之一一。可以說信信息網(wǎng)絡(luò)的安安全與國家安安全密切相關(guān)關(guān)。32BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）最近安全專家家提出了信息息保障體系的的新概念，即即：為了保障障網(wǎng)絡(luò)安全，，應(yīng)重視提高高系統(tǒng)的入侵侵檢測(cè)能力、、事件反應(yīng)能能力和遭破壞壞后的快速恢恢復(fù)能力。信信息保障有別別于傳統(tǒng)的加加密、身份認(rèn)認(rèn)證、訪問控控制、防火墻墻等技術(shù)，它它強(qiáng)調(diào)信息系系統(tǒng)整個(gè)生命命周期的主動(dòng)動(dòng)防御。美國國在信息保障障方面的一些些舉措,如：：成立關(guān)鍵信信息保障辦公公室、國家基基礎(chǔ)設(shè)施保護(hù)護(hù)委員會(huì)和開開展對(duì)信息戰(zhàn)戰(zhàn)的研究等等等，表明美國國正在尋求一一種信息系統(tǒng)統(tǒng)防御和保護(hù)護(hù)的新概念，，這應(yīng)該引起起我們的高度度重視。33BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）保護(hù)、檢測(cè)、、響應(yīng)和恢復(fù)復(fù)涵蓋了對(duì)現(xiàn)現(xiàn)代信息系統(tǒng)統(tǒng)的安全防護(hù)護(hù)的各個(gè)方面面，構(gòu)成了一一個(gè)完整的體體系，使網(wǎng)絡(luò)絡(luò)安全建筑在在一個(gè)更加堅(jiān)堅(jiān)實(shí)的基礎(chǔ)之之上。34BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）保護(hù)(PROTECT)傳統(tǒng)安全概念念的繼承，包包括信息加密密技術(shù)、訪問問控制技術(shù)等等等。檢測(cè)(DETECT)從監(jiān)視、分析析、審計(jì)信息息網(wǎng)絡(luò)活動(dòng)的的角度，發(fā)現(xiàn)現(xiàn)對(duì)于信息網(wǎng)網(wǎng)絡(luò)的攻擊、、破壞活動(dòng)，，提供預(yù)警、、實(shí)時(shí)響應(yīng)、、事后分析和和系統(tǒng)恢復(fù)等等方面的支持持，使安全防防護(hù)從單純的的被動(dòng)防護(hù)演演進(jìn)到積極的的主動(dòng)防御。35BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）響應(yīng)(RESPONSE)在遭遇攻擊和和緊急事件時(shí)時(shí)及時(shí)采取措措施，包括調(diào)調(diào)整系統(tǒng)的安安全措施、跟跟蹤攻擊源和和保護(hù)性關(guān)閉閉服務(wù)和主機(jī)機(jī)等?；謴?fù)(RECOVER)評(píng)估系統(tǒng)受受到的危害害與損失，，恢復(fù)系統(tǒng)統(tǒng)功能和數(shù)數(shù)據(jù)，啟動(dòng)動(dòng)備份系統(tǒng)統(tǒng)等。36BNCC網(wǎng)絡(luò)安全保保障體系安全管理與與審計(jì)物理層安全全網(wǎng)絡(luò)層安全傳輸層安全全應(yīng)用層安全全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別別端到端加密密訪問控制點(diǎn)到點(diǎn)鏈路路加密物理信道安安全訪問控制數(shù)據(jù)機(jī)密性性數(shù)據(jù)完整性性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層層次層次模型網(wǎng)絡(luò)安全技技術(shù)實(shí)現(xiàn)安全目目標(biāo)用戶安全37BNCC網(wǎng)絡(luò)安全工工作的目的的38BNCC黑客攻擊與與防范39BNCC以太幀與MAC地址址一、以太資資料幀的結(jié)結(jié)構(gòu)圖前同步碼報(bào)頭資料區(qū)資料幀檢查序列（FCS）8個(gè)字節(jié)（不包括）通常14個(gè)字節(jié)46-1，500字節(jié)

固定4字節(jié)40BNCC以太幀構(gòu)成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報(bào)頭必須有：發(fā)送者M(jìn)AC地址目的MAC地址共12個(gè)字節(jié)OR長度字段中的字節(jié)總數(shù)信息（差錯(cuò)控制）OR類型字段（說明以太幀的類型）資料區(qū)資料源IP目的地IP實(shí)際資料和協(xié)議信息如果資料超過1，500分解多個(gè)資料幀，使用序列號(hào)如果不夠46個(gè)字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41BNCCMAC地址的前三個(gè)字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42BNCC地址解析協(xié)協(xié)議地址解析協(xié)協(xié)議

索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對(duì)應(yīng)的IP地址這一行對(duì)應(yīng)入口類型入口1

入口2

入口N

注：數(shù)值2表示這個(gè)入入口是非法法的，數(shù)值值3表示這種映映像是動(dòng)態(tài)態(tài)的，數(shù)值值4表示是靜態(tài)態(tài)的（如口口不改變）），數(shù)值1表示不是上上述任何一一種。入口：ARP高速緩存。。43BNCCTIP/IPIP（InternetProtocol））網(wǎng)際協(xié)議議，把要傳傳輸?shù)囊粋€(gè)個(gè)文件分成成一個(gè)個(gè)的的群組，這這些群組被被稱之為IP數(shù)據(jù)包包，每個(gè)IP數(shù)據(jù)包包都含有源源地址和目目的地址，，知道從哪哪臺(tái)機(jī)器正正確地傳送送到另一臺(tái)臺(tái)機(jī)器上去去。IP協(xié)協(xié)議具有分分組交換的的功能，不不會(huì)因?yàn)橐灰慌_(tái)機(jī)器傳傳輸而獨(dú)占占通信線路路。TCP（TransportcontrolProtocal））傳輸控制制協(xié)議具有有重排IP數(shù)據(jù)包順順序和超時(shí)時(shí)確認(rèn)的功功能。IP數(shù)據(jù)包可可能從不同同的通信線線路到達(dá)目目的地機(jī)器器，IP數(shù)數(shù)據(jù)包的順順序可能序序亂。TCP按IP數(shù)據(jù)包原原來的順序序進(jìn)行重排排。IP數(shù)數(shù)據(jù)包可能能在傳輸過過程中丟失失或損壞，，在規(guī)定的的時(shí)間內(nèi)如如果目的地地機(jī)器收不不到這些IP數(shù)據(jù)包包，TCP協(xié)議會(huì)讓讓源機(jī)器重重新發(fā)送這這些IP數(shù)數(shù)據(jù)包，直直到到達(dá)目目的地機(jī)器器。TCP協(xié)議確認(rèn)認(rèn)收到的IP數(shù)據(jù)包包。超時(shí)機(jī)機(jī)制是自動(dòng)動(dòng)的，不依依賴于通訊訊線路的遠(yuǎn)遠(yuǎn)近。IP和TCP兩種協(xié)協(xié)議協(xié)同工工作，要傳傳輸?shù)奈募涂梢詼?zhǔn)準(zhǔn)確無誤地地被傳送和和接收44BNCCTIP/IPTCP/IP協(xié)協(xié)議族與與OSI七層模模型的對(duì)對(duì)應(yīng)關(guān)系系，如下下圖所示示45BNCC數(shù)據(jù)包是是什么樣樣的？TCP/IP/Ethernet舉舉例對(duì)分組過過濾而言言：涉及及四層1.Ethernetlayer2.IPlayer3.TCPlayer4.datalayer分組與數(shù)數(shù)據(jù)封包包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分分組＝＝EthernetHeader＋EthernetBody2.Header說明：3.EthernetBody包包含的的是IP分分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機(jī)器的Ethernet地址（源址）接收該分組的機(jī)器的Ethernet地址（宿址）IPlayer1.IP分組組＝IPheader+IPBody3.IP可將分組組細(xì)分為為更小的的部分段段(fragments)，以便網(wǎng)絡(luò)絡(luò)傳輸。。4.IPBody包含含的是TCP分分組。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？?，用于IP源路由或IP安全選項(xiàng)的標(biāo)識(shí)IP分分組字段段版本 IHL服務(wù)類型 總長度 標(biāo)識(shí) O分段偏差有效期 協(xié)議 報(bào)頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù)OMFF32BIT過濾字段段50BNCCIP:1、處于于Internet中中間層次次。2、其下下有很多多不同的的層：如如Ethernet，，tokenring，，F(xiàn)DDI，PPP等等。3、其上上有很多多協(xié)議：：TCP，UDP，ICMP。4、與分分組過濾濾有關(guān)的的特性是是：5、分段段示意圖圖：IP選項(xiàng)：用于Firewall中，對(duì)付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分組組：TCP報(bào)頭頭＋TCP本體2、報(bào)頭頭中與過過濾有關(guān)關(guān)部分：：TCP源源端口：2byte數(shù)，說說明處理理分組的的源機(jī)器器。TCP宿宿端口：同上TCP旗旗標(biāo)字段段（flag）），含有1bit的的ACKbit。3、本體體內(nèi)是實(shí)實(shí)際要傳傳送的數(shù)數(shù)據(jù)。TCPLayer源端口宿宿端口序號(hào)確認(rèn)認(rèn)號(hào)號(hào)HLEN保保留碼碼位位窗窗口校驗(yàn)和緊緊急指指針選項(xiàng)填填充字節(jié)節(jié)數(shù)據(jù)據(jù)WordsBits048121620242831頭標(biāo)端口掃描描攻擊54BNCCSniffer攻擊55BNCCDOS原原理DoS的的英文全全稱是DenialofService，也也就是““拒絕服服務(wù)”的的意思。。從網(wǎng)絡(luò)絡(luò)攻擊的的各種方方法和所所產(chǎn)生的的破壞情情況來看看，DoS算是是一種很很簡(jiǎn)單但但又很有有效的進(jìn)進(jìn)攻方式式。它的的目的就就是拒絕絕你的服服務(wù)訪問問，破壞壞組織的的正常運(yùn)運(yùn)行，最最終它會(huì)會(huì)使你的的部分Internet連接接和網(wǎng)絡(luò)絡(luò)系統(tǒng)失失效。DoS的的攻擊方方式有很很多種，，最基本本的DoS攻擊擊就是利利用合理理的服務(wù)務(wù)請(qǐng)求來來占用過過多的服服務(wù)資源源，從而而使合法法用戶無無法得到到服務(wù)。。DoS攻擊的的原理如如圖所示示。56BNCCDOS原原理57BNCCDOS原原理從圖我們們可以看看出DoS攻擊擊的基本本過程：：首先攻攻擊者向向服務(wù)器器發(fā)送眾眾多的帶帶有虛假假地址的的請(qǐng)求，，服務(wù)器器發(fā)送回回復(fù)信息息后等待待回傳信信息，由由于地址址是偽造造的，所所以服務(wù)務(wù)器一直直等不到到回傳的的消息，，分配給給這次請(qǐng)請(qǐng)求的資資源就始始終沒有有被釋放放。當(dāng)服服務(wù)器等等待一定定的時(shí)間間后，連連接會(huì)因因超時(shí)而而被切斷斷，攻擊擊者會(huì)再再度傳送送新的一一批請(qǐng)求求，在這這種反復(fù)復(fù)發(fā)送偽偽地址請(qǐng)請(qǐng)求的情情況下，，服務(wù)器器資源最最終會(huì)被被耗盡。。58BNCCDDOS原理DDoS（分布布式拒絕絕服務(wù)）），它的的英文全全稱為DistributedDenialofService，它它是一種種基于DoS的的特殊形形式的拒拒絕服務(wù)務(wù)攻擊，，是一種種分布、、協(xié)作的的大規(guī)模模攻擊方方式，主主要瞄準(zhǔn)準(zhǔn)比較大大的站點(diǎn)點(diǎn)，象商商業(yè)公司司，搜索索引擎和和政府部部門的站站點(diǎn)。從從圖1我我們可以以看出DoS攻攻擊只要要一臺(tái)單單機(jī)和一一個(gè)modem就可實(shí)實(shí)現(xiàn)，與與之不同同的是DDoS攻擊是是利用一一批受控控制的機(jī)機(jī)器向一一臺(tái)機(jī)器器發(fā)起攻攻擊，這這樣來勢(shì)勢(shì)迅猛的的攻擊令令人難以以防備，，因此具具有較大大的破壞壞性。DDoS的攻擊擊原理如如圖所示示。59BNCCDDOS原理60BNCCDDOS原理從圖可以以看出，，DDoS攻擊擊分為3層：攻攻擊者、、主控端端、代理理端，三三者在攻攻擊中扮扮演著不不同的角角色。1、攻擊擊者：攻擊者者所用的的計(jì)算機(jī)機(jī)是攻擊擊主控臺(tái)臺(tái)，可以以是網(wǎng)絡(luò)絡(luò)上的任任何一臺(tái)臺(tái)主機(jī)，，甚至可可以是一一個(gè)活動(dòng)動(dòng)的便攜攜機(jī)。攻攻擊者操操縱整個(gè)個(gè)攻擊過過程，它它向主控控端發(fā)送送攻擊命命令。2、主控控端：主控端端是攻擊擊者非法法侵入并并控制的的一些主主機(jī)，這這些主機(jī)機(jī)還分別別控制大大量的代代理主機(jī)機(jī)。主控控端主機(jī)機(jī)的上面面安裝了了特定的的程序，，因此它它們可以以接受攻攻擊者發(fā)發(fā)來的特特殊指令令，并且且可以把把這些命命令發(fā)送送到代理理主機(jī)上上。3、代理理端：代理端同同樣也是是攻擊者者侵入并并控制的的一批主主機(jī)，它它們上面面運(yùn)行攻攻擊器程程序，接接受和運(yùn)運(yùn)行主控控端發(fā)來來的命令令。代理理端主機(jī)機(jī)是攻擊擊的執(zhí)行行者，真真正向受受害者主主機(jī)發(fā)送送攻擊。。61BNCCSYNFlood的的基本原原理大家都知知道，TCP與與UDP不同，，它是基基于連接接的，也也就是說說：為了了在服務(wù)務(wù)端和客客戶端之之間傳送送TCP數(shù)據(jù)，，必須先先建立一一個(gè)虛擬擬電路，，也就是是TCP連接，，建立TCP連連接的標(biāo)標(biāo)準(zhǔn)過程程是這樣樣的：首首先，，請(qǐng)求端端（客戶戶端）發(fā)發(fā)送一個(gè)個(gè)包含SYN標(biāo)標(biāo)志的TCP報(bào)報(bào)文，SYN即即同步（（Synchronize）），同步步報(bào)文會(huì)會(huì)指明客客戶端使使用的端端口以及及TCP連接的的初始序序號(hào)；第第二步步，服務(wù)務(wù)器在收收到客戶戶端的SYN報(bào)報(bào)文后，，將返回回一個(gè)SYN+ACK的報(bào)文文，表示示客戶端端的請(qǐng)求求被接受受，同時(shí)時(shí)TCP序號(hào)被被加一，，ACK即確認(rèn)認(rèn)（Acknowledgement）。。第第三三步，客客戶端也也返回一一個(gè)確認(rèn)認(rèn)報(bào)文ACK給給服務(wù)器器端，同同樣TCP序列列號(hào)被加加一，到到此一個(gè)個(gè)TCP連接完完成。以以上的的連接過過程在TCP協(xié)協(xié)議中被被稱為三三次握手手（Three-wayHandshake））。62BNCCSYNFlood的基基本原原理假設(shè)一一個(gè)用用戶向向服務(wù)務(wù)器發(fā)發(fā)送了了SYN報(bào)報(bào)文后后突然然死機(jī)機(jī)或掉掉線，，那么么服務(wù)務(wù)器在在發(fā)出出SYN+ACK應(yīng)應(yīng)答報(bào)報(bào)文后后是無無法收收到客客戶端端的ACK報(bào)文文的（（第三三次握握手無無法完完成）），這這種情情況下下服務(wù)務(wù)器端端一般般會(huì)重重試（（再次次發(fā)送送SYN+ACK給給客戶戶端））并等等待一一段時(shí)時(shí)間后后丟棄棄這個(gè)個(gè)未完完成的的連接接，這這段時(shí)時(shí)間的的長度度我們們稱為為SYNTimeout，，一般般來說說這個(gè)個(gè)時(shí)間間是分分鐘的的數(shù)量量級(jí)（（大約約為30秒秒-2分鐘鐘）；；一個(gè)個(gè)用戶戶出現(xiàn)現(xiàn)異常常導(dǎo)致致服務(wù)務(wù)器的的一個(gè)個(gè)線程程等待待1分分鐘并并不是是什么么很大大的問問題，，但如如果有有一個(gè)個(gè)惡意意的攻攻擊者者大量量模擬擬這種種情況況，服服務(wù)器器端將將為了了維護(hù)護(hù)一個(gè)個(gè)非常常大的的半連連接列列表而而消耗耗非常常多的的資源源----數(shù)以以萬計(jì)計(jì)的半半連接接，即即使是是簡(jiǎn)單單的保保存并并遍歷歷也會(huì)會(huì)消耗耗非常常多的的CPU時(shí)時(shí)間和和內(nèi)存存，何何況還還要不不斷對(duì)對(duì)這個(gè)個(gè)列表表中的的IP進(jìn)行行SYN+ACK的的重試試。實(shí)實(shí)際上上如果果服務(wù)務(wù)器的的TCP/IP棧不不夠強(qiáng)強(qiáng)大，，最后后的結(jié)結(jié)果往往往是是堆棧棧溢出出崩潰潰---即即使服服務(wù)器器端的的系統(tǒng)統(tǒng)足夠夠強(qiáng)大大，服服務(wù)器器端也也將忙忙于處處理攻攻擊者者偽造造的TCP連接接請(qǐng)求求而無無暇理理睬客客戶的的正常常請(qǐng)求求（畢畢竟客客戶端端的正正常請(qǐng)請(qǐng)求比比率非非常之之小）），此此時(shí)從從正常?？蛻魬舻慕墙嵌瓤纯磥恚?，服務(wù)務(wù)器失失去響響應(yīng)，，這種種情況況我們們稱作作：服服務(wù)器器端受受到了了SYNFlood攻攻擊（（SYN洪洪水攻攻擊））。63BNCCSYNFlood的基基本基本解解決方方法第一種種是縮縮短SYNTimeout時(shí)間間，由由于SYNFlood攻擊擊的效效果取取決于于服務(wù)務(wù)器上上保持持的SYN半連連接數(shù)數(shù)，這這個(gè)值值=SYN攻擊擊的頻頻度xSYNTimeout，所所以通通過縮縮短從從接收收到SYN報(bào)文文到確確定這這個(gè)報(bào)報(bào)文無無效并并丟棄棄改連連接的的時(shí)間間，例例如設(shè)設(shè)置為為20秒以以下（（過低低的SYNTimeout設(shè)置置可能能會(huì)影影響客客戶的的正常常訪問問），，可以以成倍倍的降降低服服務(wù)器器的負(fù)負(fù)荷。。第第二種種方法法是設(shè)設(shè)置SYNCookie，，就是是給每每一個(gè)個(gè)請(qǐng)求求連接接的IP地地址分分配一一個(gè)Cookie，，如果果短時(shí)時(shí)間內(nèi)內(nèi)連續(xù)續(xù)受到到某個(gè)個(gè)IP的重重復(fù)SYN報(bào)文文，就就認(rèn)定定是受受到了了攻擊擊，以以后從從這個(gè)個(gè)IP地址址來的的包會(huì)會(huì)被丟丟棄。。64BNCCDDoS攻攻擊使使用的的常用用工具具DDoS攻攻擊實(shí)實(shí)施起起來有有一定定的難難度，，它要要求攻攻擊者者必須須具備備入侵侵他人人計(jì)算算機(jī)的的能力力。但但是很很不幸幸的是是一些些傻瓜瓜式的的黑客客程序序的出出現(xiàn)，，這些些程序序可以以在幾幾秒鐘鐘內(nèi)完完成入入侵和和攻擊擊程序序的安安裝，，使發(fā)發(fā)動(dòng)DDoS攻攻擊變變成一一件輕輕而易易舉的的事情情。下下面我我們來來分析析一下下這些些常用用的黑黑客程程序。。1、TrinooTrinoo的攻擊方法法是向被攻擊擊目標(biāo)主機(jī)的的隨機(jī)端口發(fā)發(fā)出全零的4字節(jié)UDP包，在處理理這些超出其其處理能力的的垃圾數(shù)據(jù)包包的過程中，，被攻擊主機(jī)機(jī)的網(wǎng)絡(luò)性能能不斷下降，，直到不能提提供正常服務(wù)務(wù)，乃至崩潰潰。它對(duì)IP地址不做假假，采用的通通訊端口是：：攻擊者主機(jī)到到主控端主機(jī)機(jī)：27665/TCP

主控控端主機(jī)到代代理端主機(jī)：：27444/UDP代代理端端主機(jī)到主服服務(wù)器主機(jī)：：31335/UDPFNTFN由主控控端程序和代代理端程序兩兩部分組成，，它主要采取取的攻擊方法法為：SYN風(fēng)暴、Ping風(fēng)暴、、UDP炸彈彈和SMURF，具有偽偽造數(shù)據(jù)包的的能力。65BNCCDDoS攻擊擊使用的常用用工具3、TFN2KTFN2K是是由TFN發(fā)發(fā)展而來的，，在TFN所所具有的特性性上，TFN2K又新增增一些特性，，它的主控端端和代理端的的網(wǎng)絡(luò)通訊是是經(jīng)過加密的的，中間還可可能混雜了許許多虛假數(shù)據(jù)據(jù)包，而TFN對(duì)ICMP的通訊沒沒有加密。攻攻擊方法增加加了Mix和和Targa3。并且TFN2K可可配置的代理理端進(jìn)程端口口。4、StacheldrahtStacheldraht也是從TFN派生出出來的，因此此它具有TFN的特性。。此外它增加加了主控端與與代理端的加加密通訊能力力，它對(duì)命令令源作假，可可以防范一些些路由器的RFC2267過濾。Stacheldrah中有一個(gè)內(nèi)內(nèi)嵌的代理升升級(jí)模塊，可可以自動(dòng)下載載并安裝最新新的代理程序序。66BNCCDDoS的監(jiān)監(jiān)測(cè)現(xiàn)在網(wǎng)上采用用DDoS方方式進(jìn)行攻擊擊的攻擊者日日益增多，我我們只有及早早發(fā)現(xiàn)自己受受到攻擊才能能避免遭受慘慘重的損失。。檢測(cè)DDoS攻擊的主要要方法有以下下幾種：1、根據(jù)異常常情況分析當(dāng)網(wǎng)絡(luò)的通訊訊量突然急劇劇增長，超過過平常的極限限值時(shí)，你可可一定要提高高警惕，檢測(cè)測(cè)此時(shí)的通訊訊；當(dāng)網(wǎng)站的的某一特定服服務(wù)總是失敗敗時(shí)，你也要要多加注意；；當(dāng)發(fā)現(xiàn)有特特大型的ICP和UDP數(shù)據(jù)包通過過或數(shù)據(jù)包內(nèi)內(nèi)容可疑時(shí)都都要留神?？偪傊?，當(dāng)你的的機(jī)器出現(xiàn)異異常情況時(shí)，，你最好分析析這些情況，，防患于未然然。2、使用DDoS檢測(cè)工工具當(dāng)攻擊者想使使其攻擊陰謀謀得逞時(shí)，他他首先要掃描描系統(tǒng)漏洞，，目前市面上上的一些網(wǎng)絡(luò)絡(luò)入侵檢測(cè)系系統(tǒng)，可以杜杜絕攻擊者的的掃描行為。。另外，一些些掃描器工具具可以發(fā)現(xiàn)攻攻擊者植入系系統(tǒng)的代理程程序，并可以以把它從系統(tǒng)統(tǒng)中刪除。67BNCCDDoS攻擊擊的防御策略略由于DDoS攻擊具有隱隱蔽性，因此此到目前為止止我們還沒有有發(fā)現(xiàn)對(duì)DDoS攻擊行行之有效的解解決方法。所所以我們要加加強(qiáng)安全防范范意識(shí)，提高高網(wǎng)絡(luò)系統(tǒng)的的安全性。可可采取的安全全防御措施有有以下幾種：：1、及早發(fā)現(xiàn)現(xiàn)系統(tǒng)存在的的攻擊漏洞，，及時(shí)安裝系系統(tǒng)補(bǔ)丁程序序。對(duì)一些重重要的信息（（例如系統(tǒng)配配置信息）建建立和完善備備份機(jī)制。對(duì)對(duì)一些特權(quán)帳帳號(hào)（例如管管理員帳號(hào)））的密碼設(shè)置置要謹(jǐn)慎。通通過這樣一系系列的舉措可可以把攻擊者者的可乘之機(jī)機(jī)降低到最小小。2、在網(wǎng)絡(luò)管管理方面，要要經(jīng)常檢查系系統(tǒng)的物理環(huán)環(huán)境，禁止那那些不必要的的網(wǎng)絡(luò)服務(wù)。。建立邊界安安全界限，確確保輸出的包包受到正確限限制。經(jīng)常檢檢測(cè)系統(tǒng)配置置信息，并注注意查看每天天的安全日志志。3、利用網(wǎng)絡(luò)絡(luò)安全設(shè)備（（例如：防火火墻）來加固固網(wǎng)絡(luò)的安全全性，配置好好它們的安全全規(guī)則，過濾濾掉所有的可可能的偽造數(shù)數(shù)據(jù)包。4、比較好的的防御措施就就是和你的網(wǎng)網(wǎng)絡(luò)服務(wù)提供供商協(xié)調(diào)工作作，讓他們幫幫助你實(shí)現(xiàn)路路由的訪問控控制和對(duì)帶寬寬總量的限制制。68BNCCDDoS攻擊擊的防御策略略5、當(dāng)你發(fā)現(xiàn)現(xiàn)自己正在遭遭受DDoS攻擊時(shí)，你你應(yīng)當(dāng)啟動(dòng)您您的應(yīng)付策略略，盡可能快快的追蹤攻擊擊包，并且要要及時(shí)聯(lián)系ISP和有關(guān)關(guān)應(yīng)急組織，，分析受影響響的系統(tǒng)，確確定涉及的其其他節(jié)點(diǎn)，從從而阻擋從已已知攻擊節(jié)點(diǎn)點(diǎn)的流量。6、當(dāng)你是潛潛在的DDoS攻擊受害害者，你發(fā)現(xiàn)現(xiàn)你的計(jì)算機(jī)機(jī)被攻擊者用用做主控端和和代理端時(shí)，，你不能因?yàn)闉槟愕南到y(tǒng)暫暫時(shí)沒有受到到損害而掉以以輕心，攻擊擊者已發(fā)現(xiàn)你你系統(tǒng)的漏洞洞，這對(duì)你的的系統(tǒng)是一個(gè)個(gè)很大的威脅脅。所以一旦旦發(fā)現(xiàn)系統(tǒng)中中存在DDoS攻擊的工工具軟件要及及時(shí)把它清除除，以免留下下后患。69BNCC分布式拒絕服服務(wù)（DDoS）攻擊工工具分析--TFN2K客戶端——用用于通過發(fā)動(dòng)動(dòng)攻擊的應(yīng)用用程序，攻擊擊者通過它來來發(fā)送各種命命令。守守護(hù)程序———在代理端主主機(jī)運(yùn)行的進(jìn)進(jìn)程，接收和和響應(yīng)來自客客戶端的命令令。

主控控端——運(yùn)行行客戶端程序序的主機(jī)。代代理端———運(yùn)行守護(hù)護(hù)程序的主機(jī)機(jī)。

目標(biāo)標(biāo)主機(jī)——分分布式攻擊的的目標(biāo)（主機(jī)機(jī)或網(wǎng)絡(luò)）。。70BNCC分布式拒絕服服務(wù)（DDoS）攻擊工工具分析--TFN2KTFN2K通通過主控端利利用大量代理理端主機(jī)的資資源進(jìn)行對(duì)一一個(gè)或多個(gè)目目標(biāo)進(jìn)行協(xié)同同攻擊。當(dāng)前前互聯(lián)網(wǎng)中的的UNIX、、Solaris和WindowsNT等平平臺(tái)的主機(jī)能能被用于此類類攻擊，而且且這個(gè)工具非非常容易被移移植到其它系系統(tǒng)平臺(tái)上。。TFN2K由兩部分分組成：在主主控端主機(jī)上上的客戶端和和在代理端主主機(jī)上的守護(hù)護(hù)進(jìn)程。主控控端向其代理理端發(fā)送攻擊擊指定的目標(biāo)標(biāo)主機(jī)列表。。代理端據(jù)此此對(duì)目標(biāo)進(jìn)行行拒絕服務(wù)攻攻擊。由一個(gè)個(gè)主控端控制制的多個(gè)代理理端主機(jī)，能能夠在攻擊過過程中相互協(xié)協(xié)同，保證攻攻擊的連續(xù)性性。主控央和和代理端的網(wǎng)網(wǎng)絡(luò)通訊是經(jīng)經(jīng)過加密的，，還可能混雜雜了許多虛假假數(shù)據(jù)包。整整個(gè)TFN2K網(wǎng)絡(luò)可能能使用不同的的TCP、UDP或ICMP包進(jìn)行行通訊。而且且主控端還能能偽造其IP地址。所有有這些特性都都使發(fā)展防御御TFN2K攻擊的策略略和技術(shù)都非非常困難或效效率低下。71BNCC主控端通過TCP、UDP、ICMP或隨機(jī)性性使用其中之之一的數(shù)據(jù)包包向代理端主主機(jī)發(fā)發(fā)送命令。。對(duì)目標(biāo)的攻攻擊方法包括括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)據(jù)據(jù)包flood等。◆主控端與與代理端之間間數(shù)據(jù)包的頭頭信息也是隨隨機(jī)的，除了了ICMP總總是使用ICMP_ECHOREPLY類型數(shù)據(jù)據(jù)包?！簟襞c其上一一代版本TFN不同，TFN2K的的守護(hù)程序是是完全沉默的的，它不會(huì)對(duì)對(duì)接收到到的命令令有任何回應(yīng)應(yīng)?？蛻舳酥刂貜?fù)發(fā)送每一一個(gè)命令20次，并且認(rèn)認(rèn)為守護(hù)程序序應(yīng)應(yīng)該至少能接接收到其中一一個(gè)。72BNCC◆這些命令令數(shù)據(jù)包可能能混雜了許多多發(fā)送到隨機(jī)機(jī)IP地址的的偽造數(shù)據(jù)包包。

◆TFN2K命令不是基基于字符串的的，而采用了了"++"格格式，其中是是代代表某個(gè)特定定命令的數(shù)值值，則是該命命令的參數(shù)。。

◆所所有命令都經(jīng)經(jīng)過了CAST-256算法（RFC2612）加密。。加密關(guān)鍵字字在程序編譯譯時(shí)時(shí)定義，并作作為TFN2K客戶端程程序的口令。。

◆所所有加密數(shù)據(jù)據(jù)在發(fā)送前都都被編碼（Base64）成可打打印的ASCII字符。。TFN2K守守護(hù)程序接收收數(shù)據(jù)包并解解密數(shù)據(jù)。73BNCC◆守護(hù)進(jìn)程程為每一個(gè)攻攻擊產(chǎn)生子進(jìn)進(jìn)程。◆◆TFN2K守護(hù)進(jìn)程程試圖通過修修改argv[0]內(nèi)容容（或在某些些平臺(tái)中修改改進(jìn)程名）以以掩掩飾自己。偽偽造的進(jìn)程名名在編譯時(shí)指指定，因此每每次安裝時(shí)都都有可能不同同。這這個(gè)功能使使TFN2K偽裝成代理理端主機(jī)的普普通正常進(jìn)程程。因此，只只是簡(jiǎn)單地檢檢查查進(jìn)程列表未未必能找到TFN2K守守護(hù)進(jìn)程（及及其子進(jìn)程））。

◆來來自每一個(gè)個(gè)客戶端或守守護(hù)進(jìn)程的所所有數(shù)據(jù)包都都可能被偽造造。74BNCCTFN2K仍仍然有弱點(diǎn)。。可能是疏忽忽的原因，加加密后的Base64編碼在每一一個(gè)TFN2K數(shù)據(jù)包的的尾部留下了了痕跡（與協(xié)協(xié)議和加密算算法無關(guān)）。。可能是程序序作者為了使使每一個(gè)數(shù)據(jù)據(jù)包的長度變變化而填充了了1到16個(gè)個(gè)零(0x00)，經(jīng)過過Base64編碼后后就成為多個(gè)個(gè)連續(xù)的0x41('A')。添加加到數(shù)據(jù)包尾尾部的0x41的數(shù)量是是可變的，但但至少會(huì)有一一個(gè)。這些位位于數(shù)據(jù)包尾尾部的0x41('A')就成了捕捕獲TFN2K命令數(shù)據(jù)據(jù)包的特征了了75BNCCforkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+//dev/urandom

/dev/random%d.%d.%d.%d

sh*ksh*command.exe**cmd.exe**tfn-daemon***

tfn-child***76BNCC目前仍沒有能能有效防御TFN2K拒拒絕服務(wù)攻擊擊的方法。最最有效的策略略是防止網(wǎng)絡(luò)絡(luò)資源被用作作客戶端或代代理端。預(yù)

防◆◆只使用應(yīng)應(yīng)用代理型防防火墻。這能能夠有效地阻阻止所有的TFN2K通通訊。但只使使用應(yīng)用用代理服服務(wù)器通常是是不切合實(shí)際際的，因此只只能盡可能使使用最少的非非代理服務(wù)。。

◆禁禁止不必要的的ICMP、、TCP和UDP通訊。。特別是對(duì)于于ICMP數(shù)數(shù)據(jù)，可只允允許ICMP類型型3（destinationunreachable目標(biāo)不可可到達(dá)）數(shù)據(jù)據(jù)包通過。◆◆如果果不能禁止ICMP協(xié)議議，那就禁止止主動(dòng)提供或或所有的ICMP_ECHOREPLY包。77BNCC◆禁止不在在允許端口列列表中的所有有UDP和TCP包。◆◆配置置防火墻過濾濾所有可能的的偽造數(shù)據(jù)包包。

◆對(duì)對(duì)系統(tǒng)進(jìn)行行補(bǔ)丁和安全全配置，以防防止攻擊者入入侵并安裝TFN2K。。

監(jiān)測(cè)測(cè)◆◆掃描客戶戶端/守護(hù)程程序的名字。。

◆根根據(jù)前面列出出的特征字符符串掃描所有有可執(zhí)行文件件。

◆掃掃描系統(tǒng)內(nèi)內(nèi)存中的進(jìn)程程列表。78BNCC◆檢查ICMP_ECHOREPLY數(shù)據(jù)包包的尾部是否否含有連續(xù)的的0x41。。另外，檢查查數(shù)據(jù)側(cè)面面內(nèi)容容是否都是ASCII可可打印字符（（2B，2F-39，0x41-0x5A，0x61-0x7A）。。

◆監(jiān)監(jiān)視含有相同同數(shù)據(jù)內(nèi)容的的連續(xù)數(shù)據(jù)包包（有可能混混合了TCP、UDP和和ICMP包包）。

響應(yīng)應(yīng)一一旦旦在系統(tǒng)中發(fā)發(fā)現(xiàn)了TFN2K，必須須立即通知安安全公司或?qū)＜乙宰粉櫲肴肭诌M(jìn)行。因因?yàn)門FN2K的守護(hù)進(jìn)進(jìn)程不會(huì)對(duì)接接收到的命令令作任何回復(fù)復(fù)，TFN2K客戶端一一般會(huì)繼續(xù)向向代理端主機(jī)機(jī)發(fā)送命令數(shù)數(shù)據(jù)包。另外外，入侵者發(fā)發(fā)現(xiàn)攻擊失效效時(shí)往往會(huì)試試圖連接到代代理端主機(jī)上上以進(jìn)行檢查查。這些網(wǎng)絡(luò)絡(luò)通訊都可被被追蹤。79BNCCIP欺騙的原原理⑴什么是IP電子欺騙攻攻擊？

所謂謂IP欺騙，，無非就是偽偽造他人的源源IP地址。。其實(shí)質(zhì)就是是讓一臺(tái)機(jī)器器來扮演另一一臺(tái)機(jī)器，籍籍以達(dá)到蒙混混過關(guān)的目的的。⑵誰容易上當(dāng)當(dāng)？

IP欺欺騙技術(shù)之所所以獨(dú)一無二二，就在于只只能實(shí)現(xiàn)對(duì)某某些特定的運(yùn)運(yùn)行FreeTCP/IP協(xié)議的的計(jì)算機(jī)進(jìn)行行攻擊。一一般來說，如如下的服務(wù)易易受到IP欺欺騙攻擊：■■任何使用用SunRPC調(diào)用的的配置

■任任何利用IP地址認(rèn)證的的網(wǎng)絡(luò)服務(wù)■■MIT的的XWindow系統(tǒng)統(tǒng)

■R服務(wù)務(wù)80BNCCIP欺騙的原原理假設(shè)B上的客客戶運(yùn)行rlogin與與A上的rlogind通信：1.B發(fā)發(fā)送帶有SYN標(biāo)志的數(shù)數(shù)據(jù)段通知A需要建立TCP連接。。并將TCP報(bào)頭中的sequencenumber設(shè)設(shè)置成自己本本次連接的初初始值ISN。

2.A回傳給B一個(gè)帶有SYS+ACK標(biāo)志的數(shù)數(shù)據(jù)段，告之之自己的ISN，并確認(rèn)認(rèn)B發(fā)送來的的第一個(gè)數(shù)據(jù)據(jù)段，將acknowledgenumber設(shè)置成B的ISN+1。3.B確認(rèn)認(rèn)收到的A的的數(shù)據(jù)段，將將acknowledgenumber設(shè)置置成A的ISN+1。81BNCCB----SYN---->AB<----SYN+ACK----AB----ACK---->A82BNCCIP欺欺騙騙攻攻擊擊的的描描述述1.假假設(shè)設(shè)Z企企圖圖攻攻擊擊A，，而而A信信任任B，，所所謂謂信信任任指指/etc/hosts.equiv和和$HOME/.rhosts中中有有相相關(guān)關(guān)設(shè)設(shè)置置。。注注意意，，如如何何才才能能知知道道A信信任任B呢呢？？沒沒有有什什么么確確切切的的辦辦法法。。我我的的建建議議就就是是平平時(shí)時(shí)注注意意搜搜集集蛛蛛絲絲馬馬跡跡，，厚厚積積薄薄發(fā)發(fā)。。一一次次成成功功的的攻攻擊擊其其實(shí)實(shí)主主要要不不是是因因?yàn)闉榧技夹g(shù)術(shù)上上的的高高明明，，而而是是因因?yàn)闉樾判畔⑾⑺阉鸭牡膹V廣泛泛翔翔實(shí)實(shí)。。動(dòng)動(dòng)用用了了自自以以為為很很有有成成就就感感的的技技術(shù)術(shù)，，卻卻不不比比人人家家酒酒桌桌上上的的巧巧妙妙提提問問，，攻攻擊擊只只以以成成功功為為終終極極目目標(biāo)標(biāo)，，不不在在乎乎手手段段。。2.假假設(shè)設(shè)Z已已經(jīng)經(jīng)知知道道了了被被信信任任的的B，，應(yīng)應(yīng)該該想想辦辦法法使使B的的網(wǎng)網(wǎng)絡(luò)絡(luò)功功能能暫暫時(shí)時(shí)癱癱瘓瘓，，以以免免對(duì)對(duì)攻攻擊擊造造成成干干擾擾。。著著名名的的SYNflood常常常常是是一一次次IP欺欺騙騙攻攻擊擊的的前前奏奏。。請(qǐng)請(qǐng)看看一一個(gè)個(gè)并并發(fā)發(fā)服服務(wù)務(wù)器器的的框框架架：：83BNCCIP欺騙騙攻擊的的描述intinitsockid,newsockid;if((initsockid=socket(...))<0){error("can'tcreatesocket");}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){error("listenerror");}84BNCCIP欺騙騙攻擊的的描述for(;;){newsockid=accept(initsockid,...);/*阻阻塞*/if(newsockid<0){error("accepterror");}if(fork()==0){/*子子進(jìn)程程*/close(initsockid);do(newsockid);/*處理理客戶方方請(qǐng)求*/exit(0);}close(newsockid);}85BNCCIP欺騙騙攻擊的的描述3.Z必須確確定A當(dāng)當(dāng)前的ISN。。首先連連向25端口(SMTP是沒沒有安全全校驗(yàn)機(jī)機(jī)制的)，與1中類似似，不過過這次需需要記錄錄A的ISN，，以及Z到A的的大致的的RTT(roundtriptime)。。這個(gè)步步驟要重重復(fù)多次次以便求求出RTT的平平均值。?，F(xiàn)在Z知道了了A的ISN基基值和增增加規(guī)律律(比如如每秒增增加128000，，每次連連接增加加64000)，也知知道了從從Z到A需要RTT/2的的時(shí)間。。必須立立即進(jìn)入入攻擊，，否則在在這之間間有其他他主機(jī)與與A連接接，ISN將將比預(yù)料料的多出出64000。。86BNCCIP欺騙騙攻擊的的描述4.Z向A發(fā)發(fā)送帶有有SYN標(biāo)志的的數(shù)據(jù)段段請(qǐng)求連連接，只只是信源源IP改改成了B，注意意是針對(duì)對(duì)TCP513端口(rlogin)。A向B回回送SYN+ACK數(shù)數(shù)據(jù)段，，B已經(jīng)經(jīng)無法響響應(yīng)(憑憑什么？？按照作作者在2中所說說，估計(jì)計(jì)還達(dá)不不到這個(gè)個(gè)效果，，因?yàn)閆必然要要模仿B發(fā)起connect調(diào)用，，connect調(diào)用用會(huì)完成成全相關(guān)關(guān)，自動(dòng)動(dòng)指定本本地socket地址址和端口口，可事事實(shí)上B很可能能并沒有有這樣一一個(gè)端口口等待接接收數(shù)據(jù)據(jù)。87BNCCIP欺騙攻攻擊的描述述除非Z模仿仿B發(fā)起連連接請(qǐng)求時(shí)時(shí)打破常規(guī)規(guī)，主動(dòng)在在客戶端調(diào)調(diào)用bind函數(shù)，，明確完成成全相關(guān)，，這樣必然然知道A會(huì)會(huì)向B的某某個(gè)端口回回送，在2中也針對(duì)對(duì)這個(gè)端口口攻擊B。。可是如果果這樣，完完全不用攻攻擊B，bind的的時(shí)候指定定一個(gè)B上上根本不存存在的端口口即可。我我也是想了了又想，還還沒來得及及看看老外外的源代碼碼，不妥之之處有待商商榷。總之之，覺得作作者好象在在蒙我們，，他自己也也沒有實(shí)踐踐成功過吧吧。)，B的TCP層只是簡(jiǎn)簡(jiǎn)單地丟棄棄A的回送送數(shù)據(jù)段。。88BNCCIP欺騙攻攻擊的描述述5.Z暫暫停一小會(huì)會(huì)兒，讓A有足夠時(shí)時(shí)間發(fā)送SYN+ACK，因因?yàn)閆看不不到這個(gè)包包。然后Z再次偽裝裝成B向A發(fā)送ACK，此時(shí)時(shí)發(fā)送的數(shù)數(shù)據(jù)段帶有有Z預(yù)測(cè)的的A的ISN+1。。如果預(yù)測(cè)測(cè)準(zhǔn)確，連連接建立，，數(shù)據(jù)傳送送開始。問問題在于即即使連接建建立，A仍仍然會(huì)向B發(fā)送數(shù)據(jù)據(jù)，而不是是Z，Z仍仍然無法法看到A發(fā)發(fā)往B的數(shù)數(shù)據(jù)段，Z必須蒙著著頭按照rlogin協(xié)議標(biāo)標(biāo)準(zhǔn)假冒B向A發(fā)送送類似"cat++>>~/.rhosts"這樣樣的命令，，于是攻擊擊完成。如如果預(yù)測(cè)不不準(zhǔn)確，A將發(fā)送一一個(gè)帶有RST標(biāo)志志的數(shù)據(jù)段段異常終止止連接，Z只有從頭頭再來。89BNCCIP欺騙攻攻擊的描述述Z(B)----SYN---->A

B<----SYN+ACK----A

Z(B)----ACK---->AZ(B)----PSH---->A......6.IP欺騙攻攻擊利用了了RPC服服務(wù)器僅僅僅依賴于信信源IP地地址進(jìn)行安安全校驗(yàn)的的特性，建建議閱讀rlogind的源源代碼。攻攻擊最困難難的地方在在于預(yù)測(cè)A的ISN。作者認(rèn)認(rèn)為攻擊難難度雖然大大，但成功功的可能性性也很大，，不是很理理解，似乎乎有點(diǎn)矛盾盾。90BNCCIP欺騙攻攻擊的描述述考慮這種情情況，入侵侵者控制了了一臺(tái)由A到B之間間的路由器器，假設(shè)Z就是這臺(tái)臺(tái)路由器，，那么A回回送到B的的數(shù)據(jù)段，，現(xiàn)在Z是是可以看到到的，顯然然攻擊難度度驟然下降降了許多。。否則Z必必須精確地地預(yù)見可能能從A發(fā)往往B的信息息，以及A期待來自自B的什么么應(yīng)答信息息，這要求求攻擊者對(duì)對(duì)協(xié)議本身身相當(dāng)熟悉悉。同時(shí)需需要明白，，這種攻擊擊根本不可可能在交互互狀態(tài)下完完成，必須須寫程序完完成。當(dāng)然然在準(zhǔn)備階階段可以用用netxray之之類的工具具進(jìn)行協(xié)議議分析。91BNCCIP欺騙攻攻擊的描述述7.如果果Z不是路路由器，能能否考慮組組合使用ICMP重重定向以及及ARP欺欺騙等技術(shù)術(shù)？沒有仔仔細(xì)分析過過，只是隨隨便猜測(cè)而而已。并且且與A、B、Z之間具體體的網(wǎng)絡(luò)拓拓?fù)溆忻芮星嘘P(guān)系，在在某些情況況下顯然大大幅度降低低了攻擊難難度。注意意IP欺騙騙攻擊理論論上是從廣廣域網(wǎng)上發(fā)發(fā)起的，不不局限于局局域網(wǎng)，這