網(wǎng)絡(luò)安全概述 二

網(wǎng)絡(luò)安全概述

1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全面臨的問(wèn)題網(wǎng)絡(luò)安全的客觀必要性常見的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)安全保障體系網(wǎng)絡(luò)安全工作的目的2什么是網(wǎng)絡(luò)安全（五要素）可用性：授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)機(jī)密性：信息不暴露給未授權(quán)實(shí)體或進(jìn)程完整性：保證數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段3網(wǎng)絡(luò)安全的內(nèi)容物理安全網(wǎng)絡(luò)安全傳輸安全應(yīng)用安全用戶安全4網(wǎng)絡(luò)安全面臨的問(wèn)題來(lái)源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外國(guó)政府競(jìng)爭(zhēng)對(duì)手黑客不滿的雇員5網(wǎng)絡(luò)安全威脅的來(lái)源

1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人；

2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問(wèn)某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進(jìn)行操作；-隱蔽用戶:逃避審計(jì)和訪問(wèn)控制的用戶；

3.濫用職權(quán)者:被授權(quán)使用計(jì)算機(jī)和訪問(wèn)系統(tǒng)資源，但濫用職權(quán)者。6冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型7網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

網(wǎng)上犯罪形勢(shì)不容樂(lè)觀

有害信息污染嚴(yán)重網(wǎng)絡(luò)病毒的蔓延和破壞

網(wǎng)上黑客無(wú)孔不入

機(jī)要信息流失與信息間諜潛入

網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán)

信息戰(zhàn)的陰影不可忽視

互聯(lián)網(wǎng)正以巨大的力度和廣度

沖擊和改造著社會(huì)、經(jīng)濟(jì)、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會(huì)公眾強(qiáng)烈依賴的社會(huì)重要基礎(chǔ)設(shè)施互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn)8網(wǎng)上犯罪形勢(shì)不容樂(lè)觀計(jì)算機(jī)犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購(gòu)物賬戶密碼曝光事件增多2000年2月7日攻擊美國(guó)知名網(wǎng)站案件：

損失$12億，影響百萬(wàn)網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：

用戶信用卡被曝光美國(guó)網(wǎng)絡(luò)安全造成損失$170億/年美國(guó)金融界計(jì)算機(jī)犯罪損失$100億/年9有害信息污染嚴(yán)重黃色信息：涉及1%網(wǎng)站，10億美元年?duì)I業(yè)額邪教信息：法輪功160多個(gè)反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚(yáng)暴力：炸藥配方、幫助自殺政治攻擊：考克斯報(bào)告、政治演變論10網(wǎng)絡(luò)病病毒的的蔓延延和破破壞10年年內(nèi)以以幾何何級(jí)數(shù)數(shù)增長(zhǎng)長(zhǎng)病毒達(dá)達(dá)55000種種（2000.12亞亞洲計(jì)計(jì)算機(jī)機(jī)反病病毒大大會(huì)））網(wǎng)絡(luò)病病毒有有更大大的破破壞性性1988年年莫里里斯事事件（（UNIX/Email）6000臺(tái)臺(tái)、$9000萬(wàn)1998年年4月月的CIH病毒毒2000萬(wàn)萬(wàn)臺(tái)計(jì)計(jì)算機(jī)機(jī)1999年年2月月的梅梅利莎莎案件件（Window/Email））$12億2000年年5月月4日日的我我愛你你病毒毒$87億2001年年7、、8月月紅色色代碼碼（CodeRed）到到目前前為止止$26億11網(wǎng)上黑黑客無(wú)無(wú)孔不不入美國(guó)網(wǎng)網(wǎng)絡(luò)屢屢遭掃掃蕩軍事、、政治治、經(jīng)經(jīng)濟(jì)美國(guó)五五角大大樓情情報(bào)網(wǎng)網(wǎng)絡(luò)、、美國(guó)國(guó)海軍軍研究究室、、空軍軍、美美國(guó)中中央情情報(bào)局局、許許多貿(mào)貿(mào)易及及金融融機(jī)構(gòu)構(gòu)都有有被黑黑的歷歷史全球網(wǎng)網(wǎng)絡(luò)危危機(jī)四四伏非法侵侵入、、破壞壞系統(tǒng)統(tǒng)、竊竊取機(jī)機(jī)密中國(guó)網(wǎng)網(wǎng)絡(luò)不不斷被被侵入入五一中中美黑黑客大大戰(zhàn)800多網(wǎng)網(wǎng)站被被黑黑客是一些些發(fā)自自好奇奇、尋尋求刺刺激、、富有有挑戰(zhàn)戰(zhàn)的家家伙是一群群以攻攻擊網(wǎng)網(wǎng)絡(luò)，，搜尋尋并破破壞信信息為為了的的無(wú)賴賴；是一幫幫為了了揚(yáng)名名，專專與政政府作作對(duì)的的極端端分子子；是一些些恐怖怖主義義分子子或政政治、、軍事事、商商業(yè)和和科技技間諜諜。12機(jī)要信信息流流失與與信息息間諜諜潛入入國(guó)家機(jī)機(jī)密信信息、、企業(yè)業(yè)關(guān)鍵鍵信息息、個(gè)個(gè)人隱隱私Web發(fā)布布、電電子郵郵件、、文件件傳送送的泄泄漏預(yù)謀性性竊取取政治治和經(jīng)經(jīng)濟(jì)情情報(bào)CIA統(tǒng)計(jì)計(jì)入侵侵美國(guó)國(guó)要害害系統(tǒng)統(tǒng)的案案件年增長(zhǎng)長(zhǎng)率為為30%我國(guó)信信息網(wǎng)網(wǎng)絡(luò)發(fā)發(fā)展必必然成成為其其重要要目標(biāo)標(biāo)13網(wǎng)絡(luò)安安全產(chǎn)產(chǎn)品的的自控控權(quán)安全產(chǎn)產(chǎn)品隱通道道、嵌嵌入病病毒、、缺陷陷、可可恢復(fù)復(fù)密鑰鑰大量外外購(gòu)安安全產(chǎn)產(chǎn)品缺缺少自自控權(quán)權(quán)我國(guó)缺缺少配配套的的安全全產(chǎn)品品控制制政策策和機(jī)機(jī)制我國(guó)安安全產(chǎn)產(chǎn)業(yè)還還比較較稚嫩嫩是重大大安全全隱患患之一一14信息戰(zhàn)戰(zhàn)的陰陰影不不可忽忽視有組織織、大大規(guī)模模的網(wǎng)網(wǎng)絡(luò)攻攻擊預(yù)預(yù)謀行行為：：國(guó)家級(jí)級(jí)、集集團(tuán)級(jí)級(jí)無(wú)硝煙煙的戰(zhàn)戰(zhàn)爭(zhēng)：：跨國(guó)界界、隱隱蔽性性、低低花費(fèi)費(fèi)、跨跨領(lǐng)域域高技術(shù)術(shù)性、、情報(bào)報(bào)不確確定性性美國(guó)的的“信信息戰(zhàn)戰(zhàn)執(zhí)行行委員員會(huì)””：網(wǎng)絡(luò)防防護(hù)中中心（（1999年））信息作作戰(zhàn)中中心（（2000年））網(wǎng)絡(luò)攻攻擊演演練（（2000年））要害目目標(biāo)：：金融支支付中中心、、證券券交易易中心心空中交交管中中心、、鐵路路調(diào)度度中心心電信網(wǎng)網(wǎng)管中中心、、軍事事指揮揮中心心15網(wǎng)絡(luò)的的脆弱弱性網(wǎng)絡(luò)的的擴(kuò)展展與業(yè)業(yè)務(wù)負(fù)負(fù)荷膨膨脹：：信息量量半年年長(zhǎng)一一倍，，網(wǎng)民民年增增漲30%網(wǎng)絡(luò)帶帶寬瓶瓶頸和和信息息擁擠擠社會(huì)與與經(jīng)濟(jì)濟(jì)對(duì)網(wǎng)網(wǎng)絡(luò)的的巨大大經(jīng)濟(jì)濟(jì)依賴賴性：20%股市市、25%產(chǎn)品品、30%金融融、40%人口口災(zāi)難情情況下下的網(wǎng)網(wǎng)絡(luò)脆脆弱性性“AOL””96年10小小時(shí)癱癱瘓：影響700萬(wàn)用用戶安全的的模糊糊性網(wǎng)網(wǎng)絡(luò)絡(luò)的開開放性性技術(shù)的的公開開性人人類的的天性性16安全的的模糊糊性安全是是相對(duì)對(duì)的，，不易易明確確安全全的目目標(biāo)安全是是復(fù)雜雜的，，不易易認(rèn)清清存在在的問(wèn)問(wèn)題安全是是廣泛泛的，，不易易普及及安全全的知知識(shí)安全鏈鏈條：：鏈條條的強(qiáng)強(qiáng)度等等于其其最弱弱一環(huán)環(huán)的強(qiáng)強(qiáng)度（（木桶桶原理理：網(wǎng)網(wǎng)絡(luò)安安全最最薄弱弱之處處好比比木桶桶壁上上最短短的木木塊，，也是是黑客客對(duì)網(wǎng)網(wǎng)絡(luò)攻攻擊的的首選選之處處。））17網(wǎng)絡(luò)的開放放性互聯(lián)機(jī)制提提供了廣泛泛的可訪問(wèn)問(wèn)性Client-Server模式提供供了明確的的攻擊目標(biāo)標(biāo)開放的網(wǎng)絡(luò)絡(luò)協(xié)議和操操作系統(tǒng)為為入侵提供供了線索用戶的匿名名性為攻擊擊提供了機(jī)機(jī)會(huì)18技術(shù)的公開開性如果不能集集思廣益，，自由地發(fā)發(fā)表對(duì)系統(tǒng)統(tǒng)的建議，，則會(huì)增加加系統(tǒng)潛在在的弱點(diǎn)被被忽視的危危險(xiǎn)，因此此Internet要求對(duì)網(wǎng)網(wǎng)絡(luò)安全問(wèn)問(wèn)題進(jìn)行坦坦率公開地地討論。基于上述原原則，高水水平的網(wǎng)絡(luò)絡(luò)安全資料料與工具在在Internet中可自由由獲得。19人類的天性性好奇心這扇門為什什么鎖上，，我能打開開嗎？惰性和依賴賴心理安全問(wèn)題應(yīng)應(yīng)由專家來(lái)來(lái)關(guān)心恐懼心理家丑不可外外揚(yáng)20網(wǎng)絡(luò)攻擊形形式按網(wǎng)絡(luò)服務(wù)務(wù)分：E-Mail、FTP、Telnet、R服務(wù)、IIS按技術(shù)途徑徑分：口令攻擊、、Dos攻攻擊、種植植木馬按攻擊目的的分：數(shù)據(jù)竊取、、偽造濫用用資源、篡篡改數(shù)據(jù)21主要攻擊與與威脅——十大攻攻擊手段1.Dos：使目標(biāo)系統(tǒng)統(tǒng)或網(wǎng)絡(luò)無(wú)無(wú)法提供正正常服務(wù)網(wǎng)絡(luò)Flooding:synflooding、、pingflooding、、DDos系統(tǒng)Crash:Pingofdeath、淚滴、、land、WinNuke應(yīng)用Crash/Overload：：利用應(yīng)用程程序缺陷，，如長(zhǎng)郵件件2.掃描探測(cè)：：系統(tǒng)弱點(diǎn)探探察SATAN、ISS、CybercopScanner、、ping（嗅探加密密口令,口令文件件)223.口令攻擊:弱口令口令竊?。海盒崽狡鳌⑼低蹈Q、社會(huì)會(huì)工程（垃垃圾、便條條、偽裝查查詢）口令猜測(cè)：：常用字—無(wú)無(wú)法獲得加加密的口令令-強(qiáng)力攻攻擊口令Crack：字典猜測(cè)、、字典攻擊擊—可獲得得加密的口口令（嗅探探加密口令令,口令文文件)4.獲取權(quán)限，，提升權(quán)限限（root/administrator）猜/crackroot口口令、緩沖沖區(qū)溢出、、利用NT注冊(cè)表、、訪問(wèn)和利利用高權(quán)限限控制臺(tái)、、利用啟動(dòng)動(dòng)文件、利利用系統(tǒng)或或應(yīng)用Bugs5.插入惡意代代碼:病毒、特洛洛伊木馬（（BO)、、后門、惡惡意Applet236.網(wǎng)絡(luò)破壞：：主頁(yè)篡改、、文件刪除除、毀壞OS、格格式化磁盤盤7.數(shù)據(jù)竊?。海好舾袛?shù)據(jù)拷拷貝、監(jiān)聽聽敏感數(shù)據(jù)據(jù)傳輸---共享媒媒介/服務(wù)務(wù)器監(jiān)聽/遠(yuǎn)程監(jiān)聽聽RMON8.偽造、浪費(fèi)費(fèi)與濫用資資源：違規(guī)使用9.篡改審計(jì)數(shù)數(shù)據(jù):刪除、修改改、權(quán)限改改變、使審審計(jì)進(jìn)程失失效10.安全基礎(chǔ)攻攻擊：防火墻、路路由、帳戶戶修改，文文件權(quán)限修修改。24我國(guó)網(wǎng)絡(luò)安安全現(xiàn)狀硬件設(shè)備上上嚴(yán)重依賴賴國(guó)外網(wǎng)絡(luò)安全管管理存在漏漏洞網(wǎng)絡(luò)安全問(wèn)問(wèn)題還沒(méi)有有引起人們們的廣泛重重視安全技術(shù)有有待研究美國(guó)和西方方國(guó)家對(duì)我我過(guò)進(jìn)行破破壞、滲透透和污染啟動(dòng)了一些些網(wǎng)絡(luò)安全全研究項(xiàng)目目建立一批國(guó)國(guó)家網(wǎng)絡(luò)安安全基礎(chǔ)設(shè)設(shè)施25Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標(biāo)機(jī)）美2.7黑黑客案件的的攻擊方式式分布式拒決決服務(wù)（DDoS））26美國(guó)2.7黑客事件件的啟示互聯(lián)網(wǎng)正在在成為國(guó)家家重要基礎(chǔ)礎(chǔ)設(shè)施9800萬(wàn)萬(wàn)網(wǎng)民3000萬(wàn)萬(wàn)人參予網(wǎng)網(wǎng)上購(gòu)物，，$1000億元交交易額14%的股股市交易互聯(lián)網(wǎng)威脅脅給社會(huì)帶帶來(lái)巨大沖沖擊CNN的100萬(wàn)網(wǎng)網(wǎng)民閱讀網(wǎng)網(wǎng)絡(luò)新聞受受阻Amason的820萬(wàn)注冊(cè)冊(cè)用戶無(wú)無(wú)法購(gòu)書書3天總損損失高達(dá)達(dá)$12億互聯(lián)網(wǎng)安安全問(wèn)題題正在進(jìn)進(jìn)入國(guó)家家戰(zhàn)略層層克林頓2月16日召開開網(wǎng)絡(luò)安安全高峰峰會(huì)議支持$900萬(wàn)萬(wàn)建立高高科技安安全研究究所拔款$20億建建基礎(chǔ)設(shè)設(shè)施打擊擊網(wǎng)絡(luò)恐恐怖活動(dòng)動(dòng)27值得深思思的幾個(gè)個(gè)問(wèn)題網(wǎng)絡(luò)安全全的全局局性戰(zhàn)略略黑客工具具的公開開化對(duì)策策網(wǎng)絡(luò)安全全的預(yù)警警體系應(yīng)急反應(yīng)應(yīng)隊(duì)伍的的建設(shè)28傳統(tǒng)安全全觀念受受到挑戰(zhàn)戰(zhàn)網(wǎng)絡(luò)是變變化的、、風(fēng)險(xiǎn)是是動(dòng)態(tài)的的傳統(tǒng)安全全觀側(cè)重重策略的的技術(shù)實(shí)實(shí)現(xiàn)現(xiàn)代安全全觀強(qiáng)調(diào)調(diào)安全的的整體性性，安全全被看成成一個(gè)個(gè)與環(huán)境境相互作作用的動(dòng)動(dòng)態(tài)循環(huán)環(huán)過(guò)程29網(wǎng)絡(luò)安全全策略網(wǎng)絡(luò)安全全是一個(gè)個(gè)系統(tǒng)的的概念，，可靠的的網(wǎng)絡(luò)安安全解決決方案必必須建立立在集成成網(wǎng)絡(luò)安安全技術(shù)術(shù)的基礎(chǔ)礎(chǔ)上，網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全策策略就是是基于這這種技術(shù)術(shù)集成而而提出的的，主要要有三種種：1直接接風(fēng)險(xiǎn)控控制策略略（靜態(tài)態(tài)防御））安全=風(fēng)風(fēng)險(xiǎn)分析析+安全全規(guī)則+直接的的技術(shù)防防御體系系+安全全監(jiān)控攻擊手段段是不斷斷進(jìn)步的的，安全全漏洞也也是動(dòng)態(tài)態(tài)出現(xiàn)的的，因此此靜態(tài)防防御下的的該模型型存在著著本質(zhì)的的缺陷。。2自適適應(yīng)網(wǎng)絡(luò)絡(luò)安全策策略（動(dòng)動(dòng)態(tài)性））安全=風(fēng)風(fēng)險(xiǎn)分析析+執(zhí)行行策略+系統(tǒng)實(shí)實(shí)施+漏漏洞分析析+實(shí)時(shí)時(shí)響應(yīng)該策略強(qiáng)強(qiáng)調(diào)系統(tǒng)統(tǒng)安全管管理的動(dòng)動(dòng)態(tài)性，，主張通通過(guò)安全全性檢測(cè)測(cè)、漏洞洞監(jiān)測(cè)，，自適應(yīng)應(yīng)地填充充“安全全間隙””，從而而提高網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全全性。完完善的網(wǎng)網(wǎng)絡(luò)安全全體系，，必須合合理協(xié)調(diào)調(diào)法律、、技術(shù)和和管理三三種因素素，集成成防護(hù)、、監(jiān)控和和恢復(fù)三三種技術(shù)術(shù)，力求求增強(qiáng)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的健壯壯性與免免疫力。。局限性性在于：：只考慮慮增強(qiáng)系系統(tǒng)的健健壯性，，僅綜合合了技術(shù)術(shù)和管理理因素，，僅采用用了技術(shù)術(shù)防護(hù)。。30網(wǎng)絡(luò)安全全策略（（續(xù)）3智能能網(wǎng)絡(luò)系系統(tǒng)安全全策略（（動(dòng)態(tài)免免疫力））安全=風(fēng)風(fēng)險(xiǎn)分析析+安全全策略+技術(shù)防防御體系系+攻擊擊實(shí)時(shí)檢檢測(cè)+安安全跟蹤蹤+系統(tǒng)統(tǒng)數(shù)據(jù)恢恢復(fù)+系系統(tǒng)學(xué)習(xí)習(xí)進(jìn)化技術(shù)防御御體系包包括漏洞洞檢測(cè)和和安全縫縫隙填充充；安全全跟蹤是是為攻擊擊證據(jù)記記錄服務(wù)務(wù)的，系系統(tǒng)學(xué)習(xí)習(xí)進(jìn)化是是旨在改改善系統(tǒng)統(tǒng)性能而而引入的的智能反反饋機(jī)制制。模型中，，“風(fēng)險(xiǎn)險(xiǎn)分析+安全策策略”體體現(xiàn)了管管理因素素；“技技術(shù)防御御體系+攻擊實(shí)實(shí)時(shí)檢測(cè)測(cè)+系統(tǒng)統(tǒng)數(shù)據(jù)恢恢復(fù)+系系統(tǒng)學(xué)習(xí)習(xí)進(jìn)化””體現(xiàn)了了技術(shù)因因素；技技術(shù)因素素綜合了了防護(hù)、、監(jiān)控和和恢復(fù)技技術(shù)；““安全跟跟蹤+系系統(tǒng)數(shù)據(jù)據(jù)恢復(fù)+系統(tǒng)學(xué)學(xué)習(xí)進(jìn)化化”使系系統(tǒng)表現(xiàn)現(xiàn)出動(dòng)態(tài)態(tài)免疫力力。31網(wǎng)絡(luò)網(wǎng)絡(luò)絡(luò)安全防防護(hù)體系系（（PDRR））隨著信息息網(wǎng)絡(luò)的的飛速發(fā)發(fā)展，信信息網(wǎng)絡(luò)絡(luò)的安全全防護(hù)技技術(shù)已逐逐漸成為為一個(gè)新新興的重重要技術(shù)術(shù)領(lǐng)域，，并且受受到政府府、軍隊(duì)隊(duì)和全社社會(huì)的高高度重視視。隨著著我國(guó)政政府、金金融等重重要領(lǐng)域域逐步進(jìn)進(jìn)入信息息網(wǎng)絡(luò)，，國(guó)家的的信息網(wǎng)網(wǎng)絡(luò)已成成為繼領(lǐng)領(lǐng)土、領(lǐng)領(lǐng)海、領(lǐng)領(lǐng)空之后后的又一一個(gè)安全全防衛(wèi)領(lǐng)領(lǐng)域，逐逐漸成為為國(guó)家安安全的最最高價(jià)值值目標(biāo)之之一。可可以說(shuō)信信息網(wǎng)絡(luò)絡(luò)的安全全與國(guó)家家安全密密切相關(guān)關(guān)。32網(wǎng)絡(luò)網(wǎng)絡(luò)絡(luò)安全防防護(hù)體系系（（PDRR））最近安全全專家提提出了信信息保障障體系的的新概念念，即：：為了保保障網(wǎng)絡(luò)絡(luò)安全，，應(yīng)重視視提高系系統(tǒng)的入入侵檢測(cè)測(cè)能力、、事件反反應(yīng)能力力和遭破破壞后的的快速恢恢復(fù)能力力。信息息保障有有別于傳傳統(tǒng)的加加密、身身份認(rèn)證證、訪問(wèn)問(wèn)控制、、防火墻墻等技術(shù)術(shù)，它強(qiáng)強(qiáng)調(diào)信息息系統(tǒng)整整個(gè)生命命周期的的主動(dòng)防防御。美美國(guó)在信信息保障障方面的的一些舉舉措,如如：成立立關(guān)鍵信信息保障障辦公室室、國(guó)家家基礎(chǔ)設(shè)設(shè)施保護(hù)護(hù)委員會(huì)會(huì)和開展展對(duì)信息息戰(zhàn)的研研究等等等，表明明美國(guó)正正在尋求求一種信信息系統(tǒng)統(tǒng)防御和和保護(hù)的的新概念念，這應(yīng)應(yīng)該引起起我們的的高度重重視。33網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）保護(hù)、檢測(cè)、、響應(yīng)和恢復(fù)復(fù)涵蓋了對(duì)現(xiàn)現(xiàn)代信息系統(tǒng)統(tǒng)的安全防護(hù)護(hù)的各個(gè)方面面，構(gòu)成了一一個(gè)完整的體體系，使網(wǎng)絡(luò)絡(luò)安全建筑在在一個(gè)更加堅(jiān)堅(jiān)實(shí)的基礎(chǔ)之之上。34網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）保護(hù)(PROTECT)傳統(tǒng)安全概念念的繼承，包包括信息加密密技術(shù)、訪問(wèn)問(wèn)控制技術(shù)等等等。檢測(cè)(DETECT)從監(jiān)視、分析析、審計(jì)信息息網(wǎng)絡(luò)活動(dòng)的的角度，發(fā)現(xiàn)現(xiàn)對(duì)于信息網(wǎng)網(wǎng)絡(luò)的攻擊、、破壞活動(dòng)，，提供預(yù)警、、實(shí)時(shí)響應(yīng)、、事后分析和和系統(tǒng)恢復(fù)等等方面的支持持，使安全防防護(hù)從單純的的被動(dòng)防護(hù)演演進(jìn)到積極的的主動(dòng)防御。35網(wǎng)絡(luò)網(wǎng)絡(luò)安全全防護(hù)體系（（PDRR）響應(yīng)(RESPONSE)在遭遇攻擊和和緊急事件時(shí)時(shí)及時(shí)采取措措施，包括調(diào)調(diào)整系統(tǒng)的安安全措施、跟跟蹤攻擊源和和保護(hù)性關(guān)閉閉服務(wù)和主機(jī)機(jī)等?；謴?fù)(RECOVER)評(píng)估系統(tǒng)受到到的危害與損損失，恢復(fù)系系統(tǒng)功能和數(shù)數(shù)據(jù)，啟動(dòng)備備份系統(tǒng)等。。36網(wǎng)絡(luò)安全保障障體系安全管理與審審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問(wèn)控制點(diǎn)到點(diǎn)鏈路加加密物理信道安全全訪問(wèn)控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次次層次模型網(wǎng)絡(luò)安全技術(shù)術(shù)實(shí)現(xiàn)安全目標(biāo)標(biāo)用戶安全37網(wǎng)絡(luò)安全工作作的目的38黑客攻擊與防防范39以太幀與MAC地址一、以太資料料幀的結(jié)構(gòu)圖圖前同步碼報(bào)頭資料區(qū)資料幀檢查序列（FCS）8個(gè)字節(jié)（不包括）通常14個(gè)字節(jié)46-1，500字節(jié)

固定4字節(jié)40以太幀構(gòu)成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報(bào)頭必須有：發(fā)送者M(jìn)AC地址目的MAC地址共12個(gè)字節(jié)OR長(zhǎng)度字段中的字節(jié)總數(shù)信息（差錯(cuò)控制）OR類型字段（說(shuō)明以太幀的類型）資料區(qū)資料源IP目的地IP實(shí)際資料和協(xié)議信息如果資料超過(guò)1，500分解多個(gè)資料幀，使用序列號(hào)如果不夠46個(gè)字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41MAC地址的前三個(gè)字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42地址解析協(xié)議議地址解析協(xié)議議

索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對(duì)應(yīng)的IP地址這一行對(duì)應(yīng)入口類型入口1

入口2

入口N

注：數(shù)值2表示這個(gè)入口口是非法的，，數(shù)值3表示這種映像像是動(dòng)態(tài)的，，數(shù)值4表示是靜態(tài)的的（如口不改改變），數(shù)值值1表示不是上述述任何一種。。入口：ARP高速緩存。43TIP/IPIP（InternetProtocol））網(wǎng)際協(xié)議，，把要傳輸?shù)牡囊粋€(gè)文件分分成一個(gè)個(gè)的的群組，這些些群組被稱之之為IP數(shù)據(jù)據(jù)包，每個(gè)IP數(shù)據(jù)包都都含有源地址址和目的地址址，知道從哪哪臺(tái)機(jī)器正確確地傳送到另另一臺(tái)機(jī)器上上去。IP協(xié)協(xié)議具有分組組交換的功能能，不會(huì)因?yàn)闉橐慌_(tái)機(jī)器傳傳輸而獨(dú)占通通信線路。TCP（TransportcontrolProtocal）傳傳輸控制協(xié)議議具有重排IP數(shù)據(jù)包順順序和超時(shí)確確認(rèn)的功能。。IP數(shù)據(jù)包包可能從不同同的通信線路路到達(dá)目的地地機(jī)器，IP數(shù)據(jù)包的順順序可能序亂亂。TCP按按IP數(shù)據(jù)包包原來(lái)的順序序進(jìn)行重排。。IP數(shù)據(jù)包包可能在傳輸輸過(guò)程中丟失失或損壞，在在規(guī)定的時(shí)間間內(nèi)如果目的的地機(jī)器收不不到這些IP數(shù)據(jù)包，TCP協(xié)議會(huì)會(huì)讓源機(jī)器重重新發(fā)送這些些IP數(shù)據(jù)包包，直到到達(dá)達(dá)目的地機(jī)器器。TCP協(xié)協(xié)議確認(rèn)收到到的IP數(shù)據(jù)據(jù)包。超時(shí)機(jī)機(jī)制是自動(dòng)的的，不依賴于于通訊線路的的遠(yuǎn)近。IP和TCP兩兩種協(xié)議協(xié)同同工作，要傳傳輸?shù)奈募途涂梢詼?zhǔn)確無(wú)無(wú)誤地被傳送送和接收44TIP/IPTCP/IP協(xié)議族族與OSI七層模型型的對(duì)應(yīng)關(guān)關(guān)系，如下下圖所示45數(shù)據(jù)包是什什么樣的？？TCP/IP/Ethernet舉舉例對(duì)分組過(guò)濾濾而言：涉涉及四層1.Ethernetlayer2. IP layer3. TCPlayer4. datalayer分組與數(shù)據(jù)據(jù)封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來(lái)自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分分組＝EthernetHeader＋EthernetBody2.Header說(shuō)明：3.EthernetBody包含含的是IP分組組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機(jī)器的Ethernet地址（源址）接收該分組的機(jī)器的Ethernet地址（宿址）IPlayer1.IP分組＝IPheader+IPBody3.IP可將分組細(xì)細(xì)分為更小小的部分段段(fragments)，以便網(wǎng)絡(luò)傳傳輸。4.IPBody包含含的是TCP分組。。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說(shuō)明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？?，用于IP源路由或IP安全選項(xiàng)的標(biāo)識(shí)IP分組組字段版本 IHL服務(wù)類型 總長(zhǎng)度 標(biāo)識(shí) O分段偏差有效期 協(xié)議 報(bào)頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù)OMFF32BIT過(guò)濾字段50IP:1、處于Internet中中間層次。。2、其下有有很多不同同的層：如如Ethernet，tokenring，F(xiàn)DDI，PPP等。3、其上有有很多協(xié)議議：TCP，UDP，ICMP。4、與分組組過(guò)濾有關(guān)關(guān)的特性是是：5、分段示示意圖：IP選項(xiàng)：用于Firewall中，對(duì)付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過(guò)。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分組：TCP報(bào)頭頭＋TCP本體2、報(bào)頭中中與過(guò)濾有有關(guān)部分：：TCP源端端口：2byte數(shù)，，說(shuō)明處理理分組的源源機(jī)器。TCP宿端端口：同上TCP旗標(biāo)標(biāo)字段（flag）），含有1bit的ACKbit。3、本體內(nèi)內(nèi)是實(shí)際要要傳送的數(shù)數(shù)據(jù)。TCPLayer源端口宿宿端口序號(hào)號(hào)確認(rèn)認(rèn)號(hào)號(hào)HLEN保保留留碼碼位位窗窗口口校驗(yàn)驗(yàn)和和緊緊急急指指針針選項(xiàng)項(xiàng)填填充充字字節(jié)節(jié)數(shù)據(jù)據(jù)WordsBits048121620242831頭標(biāo)端口口掃掃描描攻攻擊擊54Sniffer攻攻擊擊55DOS原原理理DoS的的英英文文全全稱稱是是DenialofService，，也也就就是是““拒拒絕絕服服務(wù)務(wù)””的的意意思思。。從從網(wǎng)網(wǎng)絡(luò)絡(luò)攻攻擊擊的的各各種種方方法法和和所所產(chǎn)產(chǎn)生生的的破破壞壞情情況況來(lái)來(lái)看看，，DoS算算是是一一種種很很簡(jiǎn)簡(jiǎn)單單但但又又很很有有效效的的進(jìn)進(jìn)攻攻方方式式。。它它的的目目的的就就是是拒拒絕絕你你的的服服務(wù)務(wù)訪訪問(wèn)問(wèn)，，破破壞壞組組織織的的正正常常運(yùn)運(yùn)行行，，最最終終它它會(huì)會(huì)使使你你的的部部分分Internet連連接接和和網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)失失效效。。DoS的的攻攻擊擊方方式式有有很很多多種種，，最最基基本本的的DoS攻攻擊擊就就是是利利用用合合理理的的服服務(wù)務(wù)請(qǐng)請(qǐng)求求來(lái)來(lái)占占用用過(guò)過(guò)多多的的服服務(wù)務(wù)資資源源，，從從而而使使合合法法用用戶戶無(wú)無(wú)法法得得到到服服務(wù)務(wù)。。DoS攻攻擊擊的的原原理理如如圖圖所所示示。。56DOS原原理理57DOS原原理理從圖圖我我們們可可以以看看出出DoS攻攻擊擊的的基基本本過(guò)過(guò)程程：：首首先先攻攻擊擊者者向向服服務(wù)務(wù)器器發(fā)發(fā)送送眾眾多多的的帶帶有有虛虛假假地地址址的的請(qǐng)請(qǐng)求求，，服服務(wù)務(wù)器器發(fā)發(fā)送送回回復(fù)復(fù)信信息息后后等等待待回回傳傳信信息息，，由由于于地地址址是是偽偽造造的的，，所所以以服服務(wù)務(wù)器器一一直直等等不不到到回回傳傳的的消消息息，，分分配配給給這這次次請(qǐng)請(qǐng)求求的的資資源源就就始始終終沒(méi)沒(méi)有有被被釋釋放放。。當(dāng)當(dāng)服服務(wù)務(wù)器器等等待待一一定定的的時(shí)時(shí)間間后后，，連連接接會(huì)會(huì)因因超超時(shí)時(shí)而而被被切切斷斷，，攻攻擊擊者者會(huì)會(huì)再再度度傳傳送送新新的的一一批批請(qǐng)請(qǐng)求求，，在在這這種種反反復(fù)復(fù)發(fā)發(fā)送送偽偽地地址址請(qǐng)請(qǐng)求求的的情情況況下下，，服服務(wù)務(wù)器器資資源源最最終終會(huì)會(huì)被被耗耗盡盡。。58DDOS原理DDoS（分布布式拒絕絕服務(wù)）），它的的英文全全稱為DistributedDenialofService，它它是一種種基于DoS的的特殊形形式的拒拒絕服務(wù)務(wù)攻擊，，是一種種分布、、協(xié)作的的大規(guī)模模攻擊方方式，主主要瞄準(zhǔn)準(zhǔn)比較大大的站點(diǎn)點(diǎn)，象商商業(yè)公司司，搜索索引擎和和政府部部門的站站點(diǎn)。從從圖1我我們可以以看出DoS攻攻擊只要要一臺(tái)單單機(jī)和一一個(gè)modem就可實(shí)實(shí)現(xiàn)，與與之不同同的是DDoS攻擊是是利用一一批受控控制的機(jī)機(jī)器向一一臺(tái)機(jī)器器發(fā)起攻攻擊，這這樣來(lái)勢(shì)勢(shì)迅猛的的攻擊令令人難以以防備，，因此具具有較大大的破壞壞性。DDoS的攻擊擊原理如如圖所示示。59DDOS原原理60DDOS原原理從圖可可以看看出，，DDoS攻擊擊分為為3層層：攻攻擊者者、主主控端端、代代理端端，三三者在在攻擊擊中扮扮演著著不同同的角角色。。1、攻攻擊者者：攻擊擊者所所用的的計(jì)算算機(jī)是是攻擊擊主控控臺(tái)，，可以以是網(wǎng)網(wǎng)絡(luò)上上的任任何一一臺(tái)主主機(jī)，，甚至至可以以是一一個(gè)活活動(dòng)的的便攜攜機(jī)。。攻擊擊者操操縱整整個(gè)攻攻擊過(guò)過(guò)程，，它向向主控控端發(fā)發(fā)送攻攻擊命命令。。2、主主控端端：主控控端是是攻擊擊者非非法侵侵入并并控制制的一一些主主機(jī)，，這些些主機(jī)機(jī)還分分別控控制大大量的的代理理主機(jī)機(jī)。主主控端端主機(jī)機(jī)的上上面安安裝了了特定定的程程序，，因此此它們們可以以接受受攻擊擊者發(fā)發(fā)來(lái)的的特殊殊指令令，并并且可可以把把這些些命令令發(fā)送送到代代理主主機(jī)上上。3、代代理端端：代理端端同樣樣也是是攻擊擊者侵侵入并并控制制的一一批主主機(jī)，，它們們上面面運(yùn)行行攻擊擊器程程序，，接受受和運(yùn)運(yùn)行主主控端端發(fā)來(lái)來(lái)的命命令。。代理理端主主機(jī)是是攻擊擊的執(zhí)執(zhí)行者者，真真正向向受害害者主主機(jī)發(fā)發(fā)送攻攻擊。。61SYNFlood的基基本原原理大家都都知道道，TCP與UDP不同同，它它是基基于連連接的的，也也就是是說(shuō)：：為了了在服服務(wù)端端和客客戶端端之間間傳送送TCP數(shù)數(shù)據(jù)，，必須須先建建立一一個(gè)虛虛擬電電路，，也就就是TCP連接接，建建立TCP連接接的標(biāo)標(biāo)準(zhǔn)過(guò)過(guò)程是是這樣樣的：：首首先先，請(qǐng)請(qǐng)求端端（客客戶端端）發(fā)發(fā)送一一個(gè)包包含SYN標(biāo)志志的TCP報(bào)文文，SYN即同同步（（Synchronize）），同同步報(bào)報(bào)文會(huì)會(huì)指明明客戶戶端使使用的的端口口以及及TCP連連接的的初始始序號(hào)號(hào)；第第二步步，服服務(wù)器器在收收到客客戶端端的SYN報(bào)文文后，，將返返回一一個(gè)SYN+ACK的報(bào)報(bào)文，，表示示客戶戶端的的請(qǐng)求求被接接受，，同時(shí)時(shí)TCP序序號(hào)被被加一一，ACK即確確認(rèn)（（Acknowledgement））。第第三步步，客客戶端端也返返回一一個(gè)確確認(rèn)報(bào)報(bào)文ACK給服服務(wù)器器端，，同樣樣TCP序序列號(hào)號(hào)被加加一，，到此此一個(gè)個(gè)TCP連連接完完成。。以以上的的連接接過(guò)程程在TCP協(xié)議議中被被稱為為三次次握手手（Three-wayHandshake）。。62SYNFlood的基基本原原理假設(shè)一一個(gè)用用戶向向服務(wù)務(wù)器發(fā)發(fā)送了了SYN報(bào)報(bào)文后后突然然死機(jī)機(jī)或掉掉線，，那么么服務(wù)務(wù)器在在發(fā)出出SYN+ACK應(yīng)應(yīng)答報(bào)報(bào)文后后是無(wú)無(wú)法收收到客客戶端端的ACK報(bào)文文的（（第三三次握握手無(wú)無(wú)法完完成）），這這種情情況下下服務(wù)務(wù)器端端一般般會(huì)重重試（（再次次發(fā)送送SYN+ACK給給客戶戶端））并等等待一一段時(shí)時(shí)間后后丟棄棄這個(gè)個(gè)未完完成的的連接接，這這段時(shí)時(shí)間的的長(zhǎng)度度我們們稱為為SYNTimeout，，一般般來(lái)說(shuō)說(shuō)這個(gè)個(gè)時(shí)間間是分分鐘的的數(shù)量量級(jí)（（大約約為30秒秒-2分鐘鐘）；；一個(gè)個(gè)用戶戶出現(xiàn)現(xiàn)異常常導(dǎo)致致服務(wù)務(wù)器的的一個(gè)個(gè)線程程等待待1分分鐘并并不是是什么么很大大的問(wèn)問(wèn)題，，但如如果有有一個(gè)個(gè)惡意意的攻攻擊者者大量量模擬擬這種種情況況，服服務(wù)器器端將將為了了維護(hù)護(hù)一個(gè)個(gè)非常常大的的半連連接列列表而而消耗耗非常常多的的資源源----數(shù)以以萬(wàn)計(jì)計(jì)的半半連接接，即即使是是簡(jiǎn)單單的保保存并并遍歷歷也會(huì)會(huì)消耗耗非常常多的的CPU時(shí)時(shí)間和和內(nèi)存存，何何況還還要不不斷對(duì)對(duì)這個(gè)個(gè)列表表中的的IP進(jìn)行行SYN+ACK的的重試試。實(shí)實(shí)際上上如果果服務(wù)務(wù)器的的TCP/IP棧不不夠強(qiáng)強(qiáng)大，，最后后的結(jié)結(jié)果往往往是是堆棧棧溢出出崩潰潰---即即使服服務(wù)器器端的的系統(tǒng)統(tǒng)足夠夠強(qiáng)大大，服服務(wù)器器端也也將忙忙于處處理攻攻擊者者偽造造的TCP連接接請(qǐng)求求而無(wú)無(wú)暇理理睬客客戶的的正常常請(qǐng)求求（畢畢竟客客戶端端的正正常請(qǐng)請(qǐng)求比比率非非常之之小）），此此時(shí)從從正常常客戶戶的角角度看看來(lái)，，服務(wù)務(wù)器失失去響響應(yīng)，，這種種情況況我們們稱作作：服服務(wù)器器端受受到了了SYNFlood攻攻擊（（SYN洪洪水攻攻擊））。63SYNFlood的基本基本解決方方法第一種是縮縮短SYNTimeout時(shí)間，由由于SYNFlood攻擊擊的效果取取決于服務(wù)務(wù)器上保持持的SYN半連接數(shù)數(shù)，這個(gè)值值=SYN攻擊的頻頻度xSYNTimeout，所以通通過(guò)縮短從從接收到SYN報(bào)文文到確定這這個(gè)報(bào)文無(wú)無(wú)效并丟棄棄改連接的的時(shí)間，例例如設(shè)置為為20秒以以下（過(guò)低低的SYNTimeout設(shè)置可能能會(huì)影響客客戶的正常常訪問(wèn)），，可以成倍倍的降低服服務(wù)器的負(fù)負(fù)荷。第第二種方法法是設(shè)置SYNCookie，就是是給每一個(gè)個(gè)請(qǐng)求連接接的IP地地址分配一一個(gè)Cookie，，如果短時(shí)時(shí)間內(nèi)連續(xù)續(xù)受到某個(gè)個(gè)IP的重重復(fù)SYN報(bào)文，就就認(rèn)定是受受到了攻擊擊，以后從從這個(gè)IP地址來(lái)的的包會(huì)被丟丟棄。64DDoS攻攻擊使用的的常用工具具DDoS攻攻擊實(shí)施起起來(lái)有一定定的難度，，它要求攻攻擊者必須須具備入侵侵他人計(jì)算算機(jī)的能力力。但是很很不幸的是是一些傻瓜瓜式的黑客客程序的出出現(xiàn)，這些些程序可以以在幾秒鐘鐘內(nèi)完成入入侵和攻擊擊程序的安安裝，使發(fā)發(fā)動(dòng)DDoS攻擊變變成一件輕輕而易舉的的事情。下下面我們來(lái)來(lái)分析一下下這些常用用的黑客程程序。1、TrinooTrinoo的攻擊擊方法是向向被攻擊目目標(biāo)主機(jī)的的隨機(jī)端口口發(fā)出全零零的4字節(jié)節(jié)UDP包包，在處理理這些超出出其處理能能力的垃圾圾數(shù)據(jù)包的的過(guò)程中，，被攻擊主主機(jī)的網(wǎng)絡(luò)絡(luò)性能不斷斷下降，直直到不能提提供正常服服務(wù)，乃至至崩潰。它它對(duì)IP地地址不做假假，采用的的通訊端口口是：攻擊擊者者主主機(jī)機(jī)到到主主控控端端主主機(jī)機(jī)：：27665/TCP主主控控端端主主機(jī)機(jī)到到代代理理端端主主機(jī)機(jī)：：27444/UDP代代理理端端主主機(jī)機(jī)到到主主服服務(wù)務(wù)器器主主機(jī)機(jī)：：31335/UDPFNTFN由由主主控控端端程程序序和和代代理理端端程程序序兩兩部部分分組組成成，，它它主主要要采采取取的的攻攻擊擊方方法法為為：：SYN風(fēng)風(fēng)暴暴、、Ping風(fēng)風(fēng)暴暴、、UDP炸炸彈彈和和SMURF，，具具有有偽偽造造數(shù)數(shù)據(jù)據(jù)包包的的能能力力。。65DDoS攻攻擊擊使使用用的的常常用用工工具具3、、TFN2KTFN2K是是由由TFN發(fā)發(fā)展展而而來(lái)來(lái)的的，，在在TFN所所具具有有的的特特性性上上，，TFN2K又又新新增增一一些些特特性性，，它它的的主主控控端端和和代代理理端端的的網(wǎng)網(wǎng)絡(luò)絡(luò)通通訊訊是是經(jīng)經(jīng)過(guò)過(guò)加加密密的的，，中中間間還還可可能能混混雜雜了了許許多多虛虛假假數(shù)數(shù)據(jù)據(jù)包包，，而而TFN對(duì)對(duì)ICMP的的通通訊訊沒(méi)沒(méi)有有加加密密。。攻攻擊擊方方法法增增加加了了Mix和和Targa3。。并并且且TFN2K可可配配置置的的代代理理端端進(jìn)進(jìn)程程端端口口。。4、StacheldrahtStacheldraht也是從TFN派生出出來(lái)的，因此此它具有TFN的特性。。此外它增加加了主控端與與代理端的加加密通訊能力力，它對(duì)命令令源作假，可可以防范一些些路由器的RFC2267過(guò)濾。Stacheldrah中有一個(gè)內(nèi)內(nèi)嵌的代理升升級(jí)模塊，可可以自動(dòng)下載載并安裝最新新的代理程序序。66DDoS的監(jiān)監(jiān)測(cè)現(xiàn)在網(wǎng)上采用用DDoS方方式進(jìn)行攻擊擊的攻擊者日日益增多，我我們只有及早早發(fā)現(xiàn)自己受受到攻擊才能能避免遭受慘慘重的損失。。檢測(cè)DDoS攻擊的主要要方法有以下下幾種：1、根據(jù)異常常情況分析當(dāng)網(wǎng)絡(luò)的通訊訊量突然急劇劇增長(zhǎng)，超過(guò)過(guò)平常的極限限值時(shí)，你可可一定要提高高警惕，檢測(cè)測(cè)此時(shí)的通訊訊；當(dāng)網(wǎng)站的的某一特定服服務(wù)總是失敗敗時(shí)，你也要要多加注意；；當(dāng)發(fā)現(xiàn)有特特大型的ICP和UDP數(shù)據(jù)包通過(guò)過(guò)或數(shù)據(jù)包內(nèi)內(nèi)容可疑時(shí)都都要留神?？偪傊?dāng)你的的機(jī)器出現(xiàn)異異常情況時(shí)，，你最好分析析這些情況，，防患于未然然。2、使用DDoS檢測(cè)工工具當(dāng)攻擊者想使使其攻擊陰謀謀得逞時(shí)，他他首先要掃描描系統(tǒng)漏洞，，目前市面上上的一些網(wǎng)絡(luò)絡(luò)入侵檢測(cè)系系統(tǒng)，可以杜杜絕攻擊者的的掃描行為。。另外，一些些掃描器工具具可以發(fā)現(xiàn)攻攻擊者植入系系統(tǒng)的代理程程序，并可以以把它從系統(tǒng)統(tǒng)中刪除。67DDoS攻擊擊的防御策略略由于DDoS攻擊具有隱隱蔽性，因此此到目前為止止我們還沒(méi)有有發(fā)現(xiàn)對(duì)DDoS攻擊行行之有效的解解決方法。所所以我們要加加強(qiáng)安全防范范意識(shí)，提高高網(wǎng)絡(luò)系統(tǒng)的的安全性。可可采取的安全全防御措施有有以下幾種：：1、及早發(fā)現(xiàn)現(xiàn)系統(tǒng)存在的的攻擊漏洞，，及時(shí)安裝系系統(tǒng)補(bǔ)丁程序序。對(duì)一些重重要的信息（（例如系統(tǒng)配配置信息）建建立和完善備備份機(jī)制。對(duì)對(duì)一些特權(quán)帳帳號(hào)（例如管管理員帳號(hào)））的密碼設(shè)置置要謹(jǐn)慎。通通過(guò)這樣一系系列的舉措可可以把攻擊者者的可乘之機(jī)機(jī)降低到最小小。2、在網(wǎng)絡(luò)管管理方面，要要經(jīng)常檢查系系統(tǒng)的物理環(huán)環(huán)境，禁止那那些不必要的的網(wǎng)絡(luò)服務(wù)。。建立邊界安安全界限，確確保輸出的包包受到正確限限制。經(jīng)常檢檢測(cè)系統(tǒng)配置置信息，并注注意查看每天天的安全日志志。3、利用網(wǎng)絡(luò)絡(luò)安全設(shè)備（（例如：防火火墻）來(lái)加固固網(wǎng)絡(luò)的安全全性，配置好好它們的安全全規(guī)則，過(guò)濾濾掉所有的可可能的偽造數(shù)數(shù)據(jù)包。4、比較好的的防御措施就就是和你的網(wǎng)網(wǎng)絡(luò)服務(wù)提供供商協(xié)調(diào)工作作，讓他們幫幫助你實(shí)現(xiàn)路路由的訪問(wèn)控控制和對(duì)帶寬寬總量的限制制。68DDoS攻擊擊的防御策略略5、當(dāng)你發(fā)現(xiàn)現(xiàn)自己正在遭遭受DDoS攻擊時(shí)，你你應(yīng)當(dāng)啟動(dòng)您您的應(yīng)付策略略，盡可能快快的追蹤攻擊擊包，并且要要及時(shí)聯(lián)系ISP和有關(guān)關(guān)應(yīng)急組織，，分析受影響響的系統(tǒng)，確確定涉及的其其他節(jié)點(diǎn)，從從而阻擋從已已知攻擊節(jié)點(diǎn)點(diǎn)的流量。6、當(dāng)你是潛潛在的DDoS攻擊受害害者，你發(fā)現(xiàn)現(xiàn)你的計(jì)算機(jī)機(jī)被攻擊者用用做主控端和和代理端時(shí)，，你不能因?yàn)闉槟愕南到y(tǒng)暫暫時(shí)沒(méi)有受到到損害而掉以以輕心，攻擊擊者已發(fā)現(xiàn)你你系統(tǒng)的漏洞洞，這對(duì)你的的系統(tǒng)是一個(gè)個(gè)很大的威脅脅。所以一旦旦發(fā)現(xiàn)系統(tǒng)中中存在DDoS攻擊的工工具軟件要及及時(shí)把它清除除，以免留下下后患。69分布式拒絕服服務(wù)（DDoS）攻擊工工具分析--TFN2K客戶端——用用于通過(guò)發(fā)動(dòng)動(dòng)攻擊的應(yīng)用用程序，攻擊擊者通過(guò)它來(lái)來(lái)發(fā)送各種命命令。守守護(hù)程序———在代理端主主機(jī)運(yùn)行的進(jìn)進(jìn)程，接收和和響應(yīng)來(lái)自客客戶端的命令令。

主控控端——運(yùn)行行客戶端程序序的主機(jī)。代代理端———運(yùn)行守護(hù)護(hù)程序的主機(jī)機(jī)。

目標(biāo)標(biāo)主機(jī)——分分布式攻擊的的目標(biāo)（主機(jī)機(jī)或網(wǎng)絡(luò)）。。70分布式式拒絕絕服務(wù)務(wù)（DDoS））攻擊擊工具具分析析--TFN2KTFN2K通過(guò)過(guò)主控控端利利用大大量代代理端端主機(jī)機(jī)的資資源進(jìn)進(jìn)行對(duì)對(duì)一個(gè)個(gè)或多多個(gè)目目標(biāo)進(jìn)進(jìn)行協(xié)協(xié)同攻攻擊。。當(dāng)前前互聯(lián)聯(lián)網(wǎng)中中的UNIX、、Solaris和和WindowsNT等平平臺(tái)的的主機(jī)機(jī)能被被用于于此類類攻擊擊，而而且這這個(gè)工工具非非常容容易被被移植植到其其它系系統(tǒng)平平臺(tái)上上。TFN2K由兩兩部分分組成成：在在主控控端主主機(jī)上上的客客戶端端和在在代理理端主主機(jī)上上的守守護(hù)進(jìn)進(jìn)程。。主控控端向向其代代理端端發(fā)送送攻擊擊指定定的目目標(biāo)主主機(jī)列列表。。代理理端據(jù)據(jù)此對(duì)對(duì)目標(biāo)標(biāo)進(jìn)行行拒絕絕服務(wù)務(wù)攻擊擊。由由一個(gè)個(gè)主控控端控控制的的多個(gè)個(gè)代理理端主主機(jī)，，能夠夠在攻攻擊過(guò)過(guò)程中中相互互協(xié)同同，保保證攻攻擊的的連續(xù)續(xù)性。。主控控央和和代理理端的的網(wǎng)絡(luò)絡(luò)通訊訊是經(jīng)經(jīng)過(guò)加加密的的，還還可能能混雜雜了許許多虛虛假數(shù)數(shù)據(jù)包包。整整個(gè)TFN2K網(wǎng)絡(luò)絡(luò)可能能使用用不同同的TCP、UDP或ICMP包包進(jìn)行行通訊訊。而而且主主控端端還能能偽造造其IP地地址。。所有有這些些特性性都使使發(fā)展展防御御TFN2K攻攻擊的的策略略和技技術(shù)都都非常常困難難或效效率低低下。。71主控端端通過(guò)過(guò)TCP、、UDP、、ICMP或隨隨機(jī)性性使用用其中中之一一的數(shù)數(shù)據(jù)包包向代代理端端主機(jī)機(jī)發(fā)發(fā)送送命令令。對(duì)對(duì)目標(biāo)標(biāo)的攻攻擊方方法包包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)數(shù)據(jù)包包flood等等。◆主主控端端與代代理端端之間間數(shù)據(jù)據(jù)包的的頭信信息也也是隨隨機(jī)的的，除除了ICMP總總是使使用ICMP_ECHOREPLY類類型數(shù)數(shù)據(jù)包包。◆◆與與其上上一代代版本本TFN不不同，，TFN2K的的守護(hù)護(hù)程序序是完完全沉沉默的的，它它不會(huì)會(huì)對(duì)接接收到到的命命令有有任何何回應(yīng)應(yīng)?？涂蛻舳硕酥貜?fù)復(fù)發(fā)送送每一一個(gè)命命令20次次，并并且認(rèn)認(rèn)為守守護(hù)程程序序應(yīng)應(yīng)該至至少能能接收收到其其中一一個(gè)。。72◆這這些命命令數(shù)數(shù)據(jù)包包可能能混雜雜了許許多發(fā)發(fā)送到到隨機(jī)機(jī)IP地址址的偽偽造數(shù)數(shù)據(jù)包包?！簟鬞FN2K命令令不是是基于于字符符串的的，而而采用用了"++"格格式，，其中中是代代表某某個(gè)特特定命命令的的數(shù)值值，則則是該該命令令的參參數(shù)。。◆◆所所有有命令令都經(jīng)經(jīng)過(guò)了了CAST-256算法法（RFC2612））加密密。加加密關(guān)關(guān)鍵字字在程程序編編譯譯時(shí)時(shí)定義義，并并作為為TFN2K客客戶端端程序序的口口令。。◆◆所所有有加密密數(shù)據(jù)據(jù)在發(fā)發(fā)送前前都被被編碼碼（Base64）成成可打打印的的ASCII字字符。。TFN2K守守護(hù)程程序接接收數(shù)數(shù)據(jù)包包并解解密數(shù)數(shù)據(jù)。。73◆守守護(hù)進(jìn)進(jìn)程為為每一一個(gè)攻攻擊產(chǎn)產(chǎn)生子子進(jìn)程程?！簟鬞FN2K守護(hù)護(hù)進(jìn)程程試圖圖通過(guò)過(guò)修改改argv[0]內(nèi)內(nèi)容（（或在在某些些平臺(tái)臺(tái)中修修改進(jìn)進(jìn)程名名）以以掩飾飾自己己。偽偽造的的進(jìn)程程名在在編譯譯時(shí)指指定，，因此此每次次安裝裝時(shí)都都有可可能不不同。。這這個(gè)個(gè)功能能使TFN2K偽裝裝成代代理端端主機(jī)機(jī)的普普通正正常進(jìn)進(jìn)程。。因此此，只只是簡(jiǎn)簡(jiǎn)單地地檢查查進(jìn)程程列表表未必必能找找到TFN2K守護(hù)護(hù)進(jìn)程程（及及其子子進(jìn)程程）。。◆◆來(lái)來(lái)自自每一一個(gè)客客戶端端或守守護(hù)進(jìn)進(jìn)程的的所有有數(shù)據(jù)據(jù)包都都可能能被偽偽造。。74TFN2K仍仍然然有有弱弱點(diǎn)點(diǎn)。?？煽赡苣苁鞘鞘枋韬龊龅牡脑蛞?，，加加密密后后的的Base64編編碼碼在在每每一一個(gè)個(gè)TFN2K數(shù)數(shù)據(jù)據(jù)包包的的尾尾部部留留下下了了痕痕跡跡（（與與協(xié)協(xié)議議和和加加密密算算法法無(wú)無(wú)關(guān)關(guān)））。?？煽赡苣苁鞘浅坛绦蛐蜃髯髡哒邽闉榱肆耸故姑棵恳灰粋€(gè)個(gè)數(shù)數(shù)據(jù)據(jù)包包的的長(zhǎng)長(zhǎng)度度變變化化而而填填充充了了1到到16個(gè)個(gè)零零(0x00)，，經(jīng)經(jīng)過(guò)過(guò)Base64編編碼碼后后就就成成為為多多個(gè)個(gè)連連續(xù)續(xù)的的0x41('A')。。添添加加到到數(shù)數(shù)據(jù)據(jù)包包尾尾部部的的0x41的的數(shù)數(shù)量量是是可可變變的的，，但但至至少少會(huì)會(huì)有有一一個(gè)個(gè)。。這這些些位位于于數(shù)數(shù)據(jù)據(jù)包包尾尾部部的的0x41('A')就就成成了了捕捕獲獲TFN2K命命令令數(shù)數(shù)據(jù)據(jù)包包的的特特征征了了75forkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+//dev/urandom/dev/random%d.%d.%d.%dsh*ksh*command.exe**cmd.exe**tfn-daemon***tfn-child***76目前前仍仍沒(méi)沒(méi)有有能能有有效效防防御御TFN2K拒拒絕絕服服務(wù)務(wù)攻攻擊擊的的方方法法。。最最有有效效的的策策略略是是防防止止網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源被被用用作作客客戶戶端端或或代代理理端端。。預(yù)防防◆◆只只使使用應(yīng)應(yīng)用代代理型型防火火墻。。這能能夠有有效地地阻止止所有有的TFN2K通訊訊。但但只使使用應(yīng)應(yīng)用用代代理服服務(wù)器器通常常是不不切合合實(shí)際際的，，因此此只能能盡可可能使使用最最少的的非代代理服服務(wù)。?！簟艚怪共槐乇匾牡腎CMP、TCP和UDP通訊訊。特特別是是對(duì)于于ICMP數(shù)據(jù)據(jù)，可可只允允許ICMP類類型型3（destinationunreachable目標(biāo)標(biāo)不可可到達(dá)達(dá)）數(shù)數(shù)據(jù)包包通過(guò)過(guò)。◆◆如如果不不能禁禁止ICMP協(xié)協(xié)議，，那就就禁止止主動(dòng)動(dòng)提供供或所所有的的ICMP_ECHOREPLY包。。77◆禁禁止不不在允允許端端口列列表中中的所所有UDP和TCP包。。◆◆配配置置防火火墻過(guò)過(guò)濾所所有可可能的的偽造造數(shù)據(jù)據(jù)包。?！簟魧?duì)對(duì)系系統(tǒng)進(jìn)進(jìn)行補(bǔ)補(bǔ)丁和和安全全配置置，以以防止止攻擊擊者入入侵并并安裝裝TFN2K。。監(jiān)監(jiān)測(cè)測(cè)◆◆掃掃描客客戶端端/守守護(hù)程程序的的名字字?！簟舾鶕?jù)前前面列列出的的特征征字符符串掃掃描所所有可可執(zhí)行行文件件?！簟魭邟呙柘迪到y(tǒng)內(nèi)內(nèi)存中中的進(jìn)進(jìn)程列列表。。78◆檢檢查ICMP_ECHOREPLY數(shù)數(shù)據(jù)包包的尾尾部是是否含含有連連續(xù)的的0x41。另另外，，檢查查數(shù)據(jù)據(jù)側(cè)面面內(nèi)容容是否否都是是ASCII可可打印印字符符（2B，，2F-39，，0x41-0x5A，，0x61-0x7A））?！簟舯O(jiān)監(jiān)視含含有相相同數(shù)數(shù)據(jù)內(nèi)內(nèi)容的的連續(xù)續(xù)數(shù)據(jù)據(jù)包（（有可可能混混合了了TCP、、UDP和和ICMP包））。響響應(yīng)應(yīng)一一旦旦在系系統(tǒng)中中發(fā)現(xiàn)現(xiàn)了TFN2K，必必須立立即通通知安安全公公司或或?qū)＜壹乙宰纷粉櫲肴肭诌M(jìn)進(jìn)行。。因?yàn)闉門FN2K的的守護(hù)護(hù)進(jìn)程程不會(huì)會(huì)對(duì)接接收到到的命命令作作任何何回復(fù)復(fù)，TFN2K客戶戶端一一般會(huì)會(huì)繼續(xù)續(xù)向代代理端端主機(jī)機(jī)發(fā)送送命令令數(shù)據(jù)據(jù)包。。另外外，入入侵者者發(fā)現(xiàn)現(xiàn)攻擊擊失效效時(shí)往往往會(huì)會(huì)試圖圖連接接到代代理端端主機(jī)機(jī)上以以進(jìn)行行檢查查。這這些網(wǎng)網(wǎng)絡(luò)通通訊都都可被被追蹤蹤。79IP欺欺騙的的原理理⑴什么么是IP電電子欺欺騙攻攻擊？？所所謂IP欺欺騙，，無(wú)非非就是是偽造造他人人的源源IP地址址。其其實(shí)質(zhì)質(zhì)就是是讓一一臺(tái)機(jī)機(jī)器來(lái)來(lái)扮演演另一一臺(tái)機(jī)機(jī)器，，籍以以達(dá)到到蒙混混過(guò)關(guān)關(guān)的目目的。。⑵誰(shuí)容容易上上當(dāng)？？IP欺欺騙技技術(shù)之之所以以獨(dú)一一無(wú)二二，就就在于于只能能實(shí)現(xiàn)現(xiàn)對(duì)某某些特特定的的運(yùn)行行FreeTCP/IP協(xié)協(xié)議的的計(jì)算算機(jī)進(jìn)進(jìn)行攻攻擊。。一一般來(lái)來(lái)說(shuō)，，如下下的服服務(wù)易易受到到IP欺騙騙攻擊擊：■■任任何使使用SunRPC調(diào)用用的配配置■■任任何利利用IP地地址認(rèn)認(rèn)證的的網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)■■MIT的的XWindow系統(tǒng)統(tǒng)■■R服服務(wù)80IP欺欺騙的的原理理假設(shè)B上的的客戶戶運(yùn)行行rlogin與A上的的rlogind通通信：：1.B發(fā)送送帶有有SYN標(biāo)標(biāo)志的的數(shù)據(jù)據(jù)段通通知A需要要建立立TCP連連接。。并將將TCP報(bào)報(bào)頭中中的sequencenumber設(shè)置置成自自己本本次連連接的的初始始值ISN。2.A回傳傳給B一個(gè)個(gè)帶有有SYS+ACK標(biāo)標(biāo)志的的數(shù)據(jù)據(jù)段，，告之之自己己的ISN，并并確認(rèn)認(rèn)B發(fā)發(fā)送來(lái)來(lái)的第第一個(gè)個(gè)數(shù)據(jù)據(jù)段，，將acknowledgenumber設(shè)設(shè)置成成B的的ISN+1。。3.B確認(rèn)認(rèn)收到到的A的數(shù)數(shù)據(jù)段段，將將acknowledgenumber設(shè)置置成A的ISN+1。81B----SYN---->AB<----SYN+ACK----AB----ACK---->A82IP欺欺騙攻攻擊的的描述述1.假假設(shè)設(shè)Z企企圖攻攻擊A，而而A信信任B，所所謂信信任指指/etc/hosts.equiv和$HOME/.rhosts中有有相關(guān)關(guān)設(shè)置置。注注意，，如何何才能能知道道A信信任B呢？？沒(méi)有有什么么確切切的辦辦法。。我的的建議議就是是平時(shí)時(shí)注意意搜集集蛛絲絲馬跡跡，厚厚積薄薄發(fā)。。一次次成功功的攻攻擊其其實(shí)主主要不不是因因?yàn)榧技夹g(shù)上上的高高明，，而是是因?yàn)闉樾畔⑾⑺鸭膹V廣泛翔翔實(shí)。。動(dòng)用用了自自以為為很有有成就就感的的技術(shù)術(shù)，卻卻不比比人家家酒桌桌上的的巧妙妙提問(wèn)問(wèn)，攻攻擊只只以成成功為為終極極目標(biāo)標(biāo)，不不在乎乎手段段。2.假假設(shè)設(shè)Z已已經(jīng)知知道了了被信信任的的B，，應(yīng)該該想辦辦法使使B的的網(wǎng)絡(luò)絡(luò)功能能暫時(shí)時(shí)癱瘓瘓，以以免對(duì)對(duì)攻擊擊造成成干擾擾。著著名的的SYNflood常常常是是一次次IP欺騙騙攻擊擊的前前奏。。請(qǐng)看看一個(gè)個(gè)并發(fā)發(fā)服務(wù)務(wù)器的的框架架：83IP欺欺騙攻攻擊的的描述述intinitsockid,newsockid;if((initsockid=socket(...))<0){error("can'tcreatesocket");}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){error("listenerror");}84IP欺欺騙攻攻擊的的描述述for(;;){newsockid=accept(initsockid,...);/*阻阻塞*/if(newsockid<0){error("accepterror");}if(fork()==0){/*子子進(jìn)程程*/close(initsockid);do(newsockid);/*處處理客客戶方方請(qǐng)求求*/exit(0);}close(newsockid);}85IP欺欺騙攻攻擊的的描述述3.Z必必須確確定A當(dāng)前前的ISN。首首先連連向25端端口(SMTP是沒(méi)沒(méi)有安安全校校驗(yàn)機(jī)機(jī)制的的)，，與1中類類似，，不過(guò)過(guò)這次次需要要記錄錄A的的ISN，，以及及Z到到A的的大致致的RTT(roundtriptime)。。這個(gè)個(gè)步驟驟要重重復(fù)多多次以以便求求出RTT的平平均值值?，F(xiàn)現(xiàn)在Z知道道了A的ISN基值值和增增加規(guī)規(guī)律(比如如每秒秒增加加128000，，每次次連接接增加加64000)，也也知道道了從從Z到到A需需要RTT/2的的時(shí)間間。必必須立立即進(jìn)進(jìn)入攻攻擊，，否則則在這這之間間有其其他主主機(jī)與與A連連接，，ISN將比比預(yù)料料的多多出64000。86IP欺騙攻攻擊的描述述4.Z向向A發(fā)送帶帶有SYN標(biāo)志的數(shù)數(shù)據(jù)段請(qǐng)求求連接，只只是信源IP改成了了B，注意意是針對(duì)TCP513端口(rlogin)。。A向B回回送SYN+ACK數(shù)據(jù)段，，B已經(jīng)無(wú)無(wú)法響應(yīng)(憑什么？？按照作者者在2中所所說(shuō)，估計(jì)計(jì)還達(dá)不到到這個(gè)效果果，因?yàn)閆必然要模模仿B發(fā)起起connect調(diào)調(diào)用，connect調(diào)用會(huì)會(huì)完成全相相關(guān)，自動(dòng)動(dòng)指定本地地socket地址址和端口，，可事實(shí)上上B很可能能并沒(méi)有這這樣一個(gè)端端口等待接接收數(shù)據(jù)。。87IP欺騙攻攻擊的描述述除非Z模仿仿B發(fā)起連連接請(qǐng)求時(shí)時(shí)打破常規(guī)規(guī)，主動(dòng)在在客戶端調(diào)調(diào)用bind函數(shù)，，明確完成成全相關(guān)，，這樣必然然知道A會(huì)會(huì)向B的某某個(gè)端口回回送，在2中也針對(duì)對(duì)這個(gè)端口口攻擊B。?？墒侨绻@樣，完完全不用攻攻擊B，bind的的時(shí)候指定定一個(gè)B上上根本不存存在的端口口即可。我我也是想了了又想，還還