CISP-2-網(wǎng)絡(luò)與通信安全

信息安全技術(shù)

網(wǎng)絡(luò)安全——堅(jiān)韌不拔、追求卓越議題網(wǎng)絡(luò)基礎(chǔ)概述網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議安全分析網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊拒絕服務(wù)（DoS）攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)服務(wù)的安全拒絕服務(wù)攻擊（DoS）的防御策略INTERNET的美妙之處在于你和每個(gè)人都能互相連接INTERNET的可怕之處在于每個(gè)人都能和你互相連接OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險(xiǎn)傳輸層：拒絕服務(wù)攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞Internet的安全問題的產(chǎn)生Internet起于研究項(xiàng)目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計(jì)費(fèi)、性能、配置、安全網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標(biāo)可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計(jì)費(fèi)政策、路由政策網(wǎng)絡(luò)安全的語義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置合理的劃分VLAN分離數(shù)據(jù)廣播域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過濾良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)通過VLAN分隔邏輯網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)安全制度網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個(gè)國(guó)家或洲。廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置確保路由協(xié)議安全使用ACL進(jìn)行數(shù)據(jù)過濾使用AAA加強(qiáng)訪問控制和認(rèn)證分層模型網(wǎng)絡(luò)分層的概念：網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織，每層完成一定的功能，每層都建在其下層之上，并通過層間接口向上層提供服務(wù)，將服務(wù)實(shí)現(xiàn)的細(xì)節(jié)對(duì)上層隱蔽。

優(yōu)點(diǎn)：減少?gòu)?fù)雜性，維護(hù)、修改相對(duì)容易、不同節(jié)點(diǎn)之間的對(duì)等層可以通過共享數(shù)據(jù)格式來進(jìn)行通信

網(wǎng)絡(luò)的分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu)。TCP/IP，OSI，SNA，DNA等OSI模型(1)國(guó)際標(biāo)準(zhǔn)組織ISO(InternationalOrganizationforStandardization)提出了開放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機(jī)互連的標(biāo)準(zhǔn)框架，為連接分散的“開放”系統(tǒng)提供了基礎(chǔ)——任何兩個(gè)遵守OSI標(biāo)準(zhǔn)的系統(tǒng)均可實(shí)施互連。

七層網(wǎng)絡(luò)體系架構(gòu)，這七層網(wǎng)絡(luò)自底向上分別是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層，各層完成一定的功能，每層為其上層網(wǎng)絡(luò)提供支持，這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝：SegmentPacketFrameOSI模型(2)OSI模型各層功能簡(jiǎn)述A：為應(yīng)用進(jìn)程訪問OSI環(huán)境提供手段，并為應(yīng)用進(jìn)程提供服務(wù)，關(guān)心數(shù)據(jù)的語義，如WWWP：提供數(shù)據(jù)的句法，處理通信雙方之間的數(shù)據(jù)表示問題，如ASCIIS:提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù),如SQLT：資源子網(wǎng)與通信子網(wǎng)的界面和橋梁，端到端的通信N：通信子網(wǎng)與網(wǎng)絡(luò)高層的界面，用戶進(jìn)人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口，主機(jī)到主機(jī)的通信，即尋址D：進(jìn)行鏈路上的數(shù)據(jù)傳輸，物理尋址P：物理設(shè)備間的接口，電平信號(hào)或光信號(hào)TCP/IP體系架構(gòu)TCP/IP由美國(guó)DODResearchProjectsAgency—DARPA）70年代開發(fā)。包括了一組協(xié)議。

采用了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu)。分為4層：自底向上分別是：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。

TCP/IP各層功能簡(jiǎn)述應(yīng)用層：向用戶提供一組常用的應(yīng)用程序，如FTP，HTTP，TELNET等，用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。傳輸層：提供應(yīng)用程序間（即端到端）的通信，格式化信息流、提供可靠傳輸及解決不同應(yīng)用程序的識(shí)別問題

網(wǎng)絡(luò)互連層：負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信

網(wǎng)絡(luò)接口層：負(fù)責(zé)收發(fā)數(shù)據(jù)包并通過網(wǎng)絡(luò)傳輸

OSI模型與DOD體系對(duì)照TCP/IP協(xié)議棧物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全TCP/IP協(xié)議安全分析TCP/IP協(xié)議集TCP/IP（傳輸控制協(xié)議/網(wǎng)間協(xié)議）是一組網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備，尤其是一個(gè)主機(jī)與另一個(gè)主機(jī)之間的數(shù)據(jù)往來格式以及傳送方式TCP/IP協(xié)議集與分層模型TCP/IP網(wǎng)絡(luò)的安全來由力求簡(jiǎn)單高效的設(shè)計(jì)初衷使TCP/IP協(xié)議集的許多安全因素未得以完善安全缺陷的一些表現(xiàn): TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸

TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，此舉并不能對(duì)節(jié)點(diǎn)上的用戶進(jìn)行有效的身份認(rèn)證 協(xié)議本身的特點(diǎn)被利用實(shí)施網(wǎng)絡(luò)攻擊

………物理層的安全威脅

物理層介紹物理層的安全風(fēng)險(xiǎn)分析

物理層的安全防護(hù)物理層介紹第一層稱為物理層(PhysicalLayer)，這一層負(fù)責(zé)傳送比特流

提供建立、維護(hù)和拆除物理鏈路所需的機(jī)械、電氣、功能和規(guī)程特性通過傳輸介質(zhì)進(jìn)行數(shù)據(jù)流的物理傳輸，故障檢測(cè)和物理層管理物理層的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。 例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過無線電輻射泄露秘密信息等。由于局域網(wǎng)中采用廣播方式，因此，若在某個(gè)廣播域中可以偵聽到所有的信息包，黑客就可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞都會(huì)暴露在黑客面前。

物理層的安全防護(hù)網(wǎng)絡(luò)分段網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)分段網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式，物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進(jìn)行直接通訊目前，許多交換機(jī)都有一定的訪問控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段網(wǎng)絡(luò)拓?fù)浒踩芾韱T必須了解他們保護(hù)的網(wǎng)絡(luò)的所有布局。黑客最常用的攻擊和滲透到網(wǎng)絡(luò)中的—種方法是在公司內(nèi)部主機(jī)上安裝一個(gè)packetsniffer。記住物理定義了介質(zhì)上的電子信號(hào)。局域網(wǎng)使用基帶傳輸，任何線纜上傳輸?shù)臄?shù)據(jù)將可被任何可以物理連接的人得到。理解你的網(wǎng)絡(luò)布局可以幫助阻止未知的sniffer

發(fā)生。最普通的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型，總線型，環(huán)型，和復(fù)合型網(wǎng)絡(luò)層的安全威脅

網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全防護(hù)與安全協(xié)議網(wǎng)絡(luò)層介紹網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯(cuò)誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來傳送數(shù)據(jù)報(bào)文

網(wǎng)絡(luò)層協(xié)議IP網(wǎng)間協(xié)議(InternetProtocol)。負(fù)責(zé)主機(jī)間數(shù)據(jù)的路由和網(wǎng)絡(luò)上數(shù)據(jù)的存儲(chǔ)。同時(shí)為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。用戶進(jìn)程通常不需要涉及這一層。ARP地址解析協(xié)議(AddressResolutionProtocol)。此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。RARP反向地址解析協(xié)議(ReverseAddressResolutionProtocol)。此協(xié)議將硬件地址映射到網(wǎng)絡(luò)地址。ICMP網(wǎng)間報(bào)文控制協(xié)議(InternetControlMessageProtocol)。此協(xié)議處理信關(guān)和主機(jī)間的差錯(cuò)和傳送控制。ICMP報(bào)文使用IP數(shù)據(jù)報(bào)進(jìn)行傳送，這些報(bào)文通常由TCP/IP網(wǎng)絡(luò)軟件本身來保證正確性。網(wǎng)絡(luò)層的安全威脅IP協(xié)議安全(spoofing等)Internet控制信息協(xié)議(ICMP)ARP欺騙和ARP洪水,DoSIGMP攻擊ARP協(xié)議ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在IP層之下,一般認(rèn)為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作---分層并不嚴(yán)格以太網(wǎng)的傳輸靠mac地址決定,即主機(jī)響應(yīng)ip包依靠ip包中所包含的mac地址來識(shí)別:主機(jī)在發(fā)送一個(gè)ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的mac地址。如果沒有找到，該主機(jī)就發(fā)送一個(gè)ARP廣播包，看起來象這樣子：

"我是主機(jī)xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機(jī)請(qǐng)告之你的mac來"

ip為xxx.xxx.xxx.xx1的主機(jī)響應(yīng)這個(gè)廣播，應(yīng)答ARP廣播為：

"我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2"

*ARP的查詢包為廣播包，而ARP的應(yīng)答包為單播包ARP協(xié)議安全問題針對(duì)ARP的攻擊主要有兩種，一種是DOS,一種是SpoofDOS:大量的arp

請(qǐng)求報(bào)文的攻擊假冒ARP應(yīng)答---DOS:冒充B向A應(yīng)答,使得A與B的通信不成功點(diǎn)對(duì)點(diǎn)的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功

自動(dòng)定時(shí)ARP欺騙:對(duì)網(wǎng)關(guān)的干擾推測(cè)ARP解析時(shí)間解決ARP協(xié)議安全網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上設(shè)置靜態(tài)的mac-->ip對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表使用ARP服務(wù)器:確保該機(jī)安全,通過該機(jī)查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播使用"proxy"代理ip的傳輸使用硬件屏蔽主機(jī),交換機(jī)和網(wǎng)橋無法阻止ARP欺騙定期用響應(yīng)的ip包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性使用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò)IP協(xié)議網(wǎng)際協(xié)議，

TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與TCP協(xié)議結(jié)合組成整個(gè)因特網(wǎng)協(xié)議的核心協(xié)議。包含尋址信息和控制信息，可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。IP適用于LAN和WAN通信。除了ARP和RARP，其它所有TCP/IP族中的協(xié)議都是使用

IP傳送主機(jī)與主機(jī)間的通信兩個(gè)基本任務(wù)：提供無連接的和最有效的數(shù)據(jù)包傳送；提供數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。IP協(xié)議只用于發(fā)送包，TCP協(xié)議負(fù)責(zé)將其按正確順序排列IP協(xié)議結(jié)構(gòu)HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協(xié)議結(jié)構(gòu)Version–4位字段，指出當(dāng)前使用的IP版本。IPHeaderLength（IHL）―指數(shù)據(jù)報(bào)協(xié)議頭長(zhǎng)度，具有32位字長(zhǎng)。指向數(shù)據(jù)起點(diǎn)。正確協(xié)議頭最小值為5。Type-of-Service―指出上層協(xié)議對(duì)處理當(dāng)前數(shù)據(jù)報(bào)所期望的服務(wù)質(zhì)量，并對(duì)數(shù)據(jù)報(bào)按照重要性級(jí)別進(jìn)行分配。這些8位字段用于分配優(yōu)先級(jí)、延遲、吞吐量以及可靠性。TotalLength―指定整個(gè)IP數(shù)據(jù)包的字節(jié)長(zhǎng)度，包括數(shù)據(jù)和協(xié)議頭。其最大值為65,535字節(jié)。典型的主機(jī)可以接收576字節(jié)的數(shù)據(jù)報(bào)。Identification―包含一個(gè)整數(shù)，用于識(shí)別當(dāng)前數(shù)據(jù)報(bào)。該字段由發(fā)送端分配幫助接收端集中數(shù)據(jù)報(bào)分片。Flags―由3位字段構(gòu)成，其中低兩位（最不重要）控制分片。低位指出數(shù)據(jù)包是否可進(jìn)行分片。中間位指出在一系列分片數(shù)據(jù)包中數(shù)據(jù)包是否是最后的分片。第三位即最高位不使用。FragmentOffset―13位字段，指出與源數(shù)據(jù)報(bào)的起始端相關(guān)的分片數(shù)據(jù)位置，支持目標(biāo)IP適當(dāng)重建源數(shù)據(jù)報(bào)。Time-to-Live―是一種計(jì)數(shù)器，在丟棄數(shù)據(jù)報(bào)的每個(gè)點(diǎn)值依次減1直至減少為0。這樣確保數(shù)據(jù)包無止境的環(huán)路過程。Protocol―指出在IP處理過程完成之后，有哪種上層協(xié)議接收導(dǎo)入數(shù)據(jù)包。HeaderChecksum―幫助確保

IP協(xié)議頭的完整性。由于某些協(xié)議頭字段的改變，如生存期（TimetoLive），這就需要對(duì)每個(gè)點(diǎn)重新計(jì)算和檢驗(yàn)。Internet協(xié)議頭需要進(jìn)行處理。SourceAddress―指定發(fā)送代碼。DestinationAddress―指定接收代碼。Options―允許IP支持各種選項(xiàng)，如安全性。Data―包括上層信息。IP協(xié)議安全問題IP協(xié)議存在的主要缺陷包括IP通信不需用進(jìn)行身份認(rèn)證，IP數(shù)據(jù)傳輸沒有加密，IP的分組和重組機(jī)制不完善，IP地址的表示不需要真實(shí)并確認(rèn)真假等。IP碎片攻擊，源路由攻擊，IP欺騙，IP偽造，PingFlooding和PingofDeath等大量的攻擊，都是利用IP協(xié)議的缺陷對(duì)IP協(xié)議進(jìn)行攻擊的。且很多上層的安全隱患源于

IP欺騙，如DNS欺騙等實(shí)例:Smurf攻擊

,向大量的遠(yuǎn)程主機(jī)發(fā)送一系列的ping請(qǐng)求命令。黑客把源IP地址換成想要攻擊目標(biāo)主機(jī)的IP地址。所有的遠(yuǎn)程計(jì)算機(jī)都響應(yīng)這些ping請(qǐng)求，然后對(duì)目標(biāo)地址進(jìn)行回復(fù)而不是回復(fù)給攻擊者的IP地址用。目標(biāo)IP地址將被大量的ICMP包淹沒而不能有效的工作。IP協(xié)議安全解決辦法網(wǎng)絡(luò)分段VLAN防火墻IPSecICMP協(xié)議ICMP是“InternetControlMessageProtocol”（Internet控制消息協(xié)議）的縮寫控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。控制消息并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。如PingICMP在IP層之上,利用IP層收、發(fā)數(shù)據(jù)包ICMP協(xié)議結(jié)構(gòu)ICMP協(xié)議結(jié)構(gòu)Type―錯(cuò)誤消息或信息消息。錯(cuò)誤消息可能是不可獲得目標(biāo)文件，數(shù)據(jù)包太大，超時(shí)，參數(shù)問題等?？赡艿男畔⑾⒂校篍choRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不可獲得目標(biāo)文件正是這樣一個(gè)例子，即其中可能的消息是：目標(biāo)文件沒有路由，禁止與目標(biāo)文件的通信，非鄰居，不可獲得地址，不可獲得端口。具體細(xì)節(jié)請(qǐng)參照相關(guān)標(biāo)準(zhǔn)。Checksum―計(jì)算校驗(yàn)和時(shí)，Checksum字段設(shè)置為0。Identifier―幫助匹配Requests/Replies的標(biāo)識(shí)符，值可能為0。SequenceNumber―幫助匹配

Requests/Replies的序列號(hào)，值可能為0。AddressMask―32位掩碼地址。

ICMP安全問題lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī),此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識(shí)別*基于ICMP路由欺騙的技術(shù)都是停留在理論上占整個(gè)攻擊總數(shù)的90%以上如:1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機(jī)發(fā)起“PingofDeath”（死亡之Ping）攻擊2.向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會(huì)最終使系統(tǒng)癱瘓。ICMP協(xié)議安全解決辦法在路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包--包過濾/防火墻IGMP協(xié)議IGMP（InternetGroupManagementProtocol）是IP主機(jī)用作向相鄰多目路由器報(bào)告多目組成員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機(jī)通過發(fā)送IGMP報(bào)告來應(yīng)答查詢。組播路由器負(fù)責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。Internet組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個(gè)組播協(xié)議，用于IP主機(jī)向任一個(gè)直接相鄰的路由器報(bào)告他們的組成員情況。IGMP信息封裝在

IP報(bào)文中，其

IP的協(xié)議號(hào)為2IGMP由IETF（）定義在

RFC1112、RFC2236和RFC3376中IGMP協(xié)議結(jié)構(gòu)Type―0x11信息類型（會(huì)員查詢）MaxResponseTime―只用于會(huì)員查詢信息。規(guī)定每1/10秒中發(fā)送響應(yīng)報(bào)告之前的最大允許時(shí)間。在所有其它信息中，發(fā)送方設(shè)置該值為0，而接收方忽略不計(jì)。Checksum―信息差錯(cuò)的校驗(yàn)和。GroupAddress―當(dāng)發(fā)送一個(gè)通用查詢時(shí)，GroupAddress設(shè)為0。當(dāng)發(fā)送一個(gè)特定組查詢或組及特定源查詢時(shí)，它被設(shè)置為正在查詢的GroupAddress。在離開組信息的會(huì)員報(bào)告中，該字段用于保存將要報(bào)告或離開的組的IP組播組地址。RSV―預(yù)留。傳輸過程中設(shè)置為0，接收方忽略不計(jì)。QQIC―查詢者的查詢間隔代碼。NumberofSource（N）―信息中源地址的數(shù)目。SourceAddress―IP單播地址向量。IGMP協(xié)議結(jié)構(gòu)IGMP協(xié)議安全問題可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip棧崩潰.win95最常用的igmp攻擊就是偽造一個(gè)目的地址是單個(gè)ip,但ip上層協(xié)議指定為IGMP,系統(tǒng)會(huì)為你打造一個(gè)igmp報(bào)頭,因?yàn)榻M播使用D類地址,所以系統(tǒng)不知如何處理,造成崩潰.IGMP攻擊如：向有WINDOWS9x操作系統(tǒng)的機(jī)器發(fā)送長(zhǎng)度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。IGMP安全解決辦法直接阻塞外來的IGMP數(shù)據(jù)包網(wǎng)絡(luò)層的安全防護(hù)網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測(cè)技術(shù)VPN技術(shù)加密技術(shù)、數(shù)字簽名和認(rèn)證技術(shù)防火墻服務(wù)VLAN的實(shí)現(xiàn)網(wǎng)絡(luò)層的安全防護(hù)網(wǎng)絡(luò)層的安全防護(hù)邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來控制各子網(wǎng)際的訪問。VLAN的實(shí)施:按照系統(tǒng)的安全性來劃分VLAN防火墻服務(wù):在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。加密技術(shù):通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性,有面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)2種形式數(shù)字簽名和認(rèn)證技術(shù):解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可VPN技術(shù):在不可信任的公共網(wǎng)絡(luò)上安全的通信

網(wǎng)絡(luò)層安全協(xié)議IPSEC:于1995年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩饕卣魇强梢詫?duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證提供三種形式來保護(hù)通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)數(shù)據(jù)認(rèn)證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的完整--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測(cè)的數(shù)據(jù)丟失與改變機(jī)密性--使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容從VPN實(shí)例看網(wǎng)絡(luò)層數(shù)據(jù)安全防護(hù)基于PPTP,使用windows2000提供的遠(yuǎn)程訪問和路由服務(wù)構(gòu)造VPN鏈接:使用挑戰(zhàn)握手協(xié)議chapv2/v1加密認(rèn)證使用明文密碼協(xié)議pap進(jìn)行認(rèn)證internetWin2kServerRASWinPro/XP/ServerVPN構(gòu)造實(shí)例服務(wù)端（遠(yuǎn)程訪問和路由服務(wù)）客戶端(VPNClient)

網(wǎng)絡(luò)連接使用PAP認(rèn)證服務(wù)端控制策略的身份驗(yàn)證配置客戶端安全設(shè)置使用PAP認(rèn)證PAP認(rèn)證使用了明文傳輸?shù)拿艽a使用CHAP認(rèn)證客戶端安全配置服務(wù)端遠(yuǎn)程訪問控制策略網(wǎng)絡(luò)層的安全性特點(diǎn)主要優(yōu)點(diǎn)：透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)主要缺點(diǎn)：網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會(huì)導(dǎo)致性能下降

傳輸層的安全威脅

傳輸層介紹傳輸層協(xié)議及其安全分析

傳輸層介紹傳輸層控制主機(jī)間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（TransmissionControlProtocol)。這是一種提供給用戶進(jìn)程的可靠的全雙工字節(jié)流面向連接的協(xié)議。它要為用戶進(jìn)程提供虛電路服務(wù)，并為數(shù)據(jù)可靠傳輸建立檢查。大多數(shù)網(wǎng)絡(luò)用戶程序使用TCP。UDP用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)。這是提供給用戶進(jìn)程的無連接協(xié)議，用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查。

TCP協(xié)議通過序列確認(rèn)以及包重發(fā)機(jī)制，提供可靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。與IP協(xié)議相結(jié)合，TCP組成了因特網(wǎng)協(xié)議的核心。網(wǎng)絡(luò)

IP地址和端口號(hào)結(jié)合成為唯一的標(biāo)識(shí),我們稱之為“套接字”或“端點(diǎn)”。TCP在端點(diǎn)間建立連接或虛擬電路進(jìn)行可靠通信。提供數(shù)據(jù)流傳輸、可靠性、有效流控制、全雙工操作和多路復(fù)用技術(shù)等。TCP協(xié)議數(shù)據(jù)流傳輸

,TCP交付一個(gè)由序列號(hào)定義的無結(jié)構(gòu)的字節(jié)流。這個(gè)服務(wù)對(duì)應(yīng)用程序有利，因?yàn)樵谒统龅絋CP之前應(yīng)用程序不需要將數(shù)據(jù)劃分成塊，

TCP可以將字節(jié)整合成字段，然后傳給IP進(jìn)行發(fā)送?？煽啃?。TCP在字節(jié)上加上一個(gè)遞進(jìn)的確認(rèn)序列號(hào)來告訴接收者發(fā)送者期望收到的下一個(gè)字節(jié)。如果在規(guī)定時(shí)間內(nèi)，沒有收到關(guān)于這個(gè)包的確認(rèn)響應(yīng)，重新發(fā)送此包。TCP的可靠機(jī)制允許設(shè)備處理丟失、延時(shí)、重復(fù)及讀錯(cuò)的包。超時(shí)機(jī)制允許設(shè)備監(jiān)測(cè)丟失包并請(qǐng)求重發(fā)。有效流控制。當(dāng)向發(fā)送者返回確認(rèn)響應(yīng)時(shí)，接收TCP進(jìn)程就會(huì)說明它能接收并保證緩存不會(huì)發(fā)生溢出的最高序列號(hào)。全雙工操作：TCP進(jìn)程能夠同時(shí)發(fā)送和接收包。多路技術(shù)：大量同時(shí)發(fā)生的上層會(huì)話能在單個(gè)連接上時(shí)進(jìn)行多路復(fù)用。TCP協(xié)議結(jié)構(gòu)SourcePort–識(shí)別上層源處理器接收

TCP服務(wù)的點(diǎn)。DestinationPort–識(shí)別上層目標(biāo)處理器接收

TCP服務(wù)的點(diǎn)。SequenceNumber–通常指定分配到當(dāng)前信息中的數(shù)據(jù)首字節(jié)的序號(hào)。在連接建立階段，該字段用于設(shè)別傳輸中的初始序列號(hào)。AcknowledgmentNumber–包含數(shù)據(jù)包發(fā)送端期望接收的數(shù)據(jù)下一字節(jié)的序列號(hào)。一旦連接成功，該值會(huì)一直被發(fā)送。DataOffset–4位。TCP協(xié)議頭中的32位字序號(hào)表示數(shù)據(jù)開始位置。Reserved–6位。預(yù)留以備用，必須設(shè)置為0。ControlBits（Flags）–6位。傳送各種控制信息。Window–16位。指定發(fā)送端接收窗口的大小，也就是說，數(shù)據(jù)可用的八位緩存區(qū)大小。Checksum–16位。指出協(xié)議頭在傳輸中是否遭到破壞。UrgentPointer–16位。指向數(shù)據(jù)包中的第一個(gè)重要數(shù)據(jù)字節(jié)。Option+Padding–指定各種

TCP選項(xiàng)?？蛇x項(xiàng)有兩種可能形式：?jiǎn)蝹€(gè)八位可選類型和八位可選類型，八位可選長(zhǎng)度和實(shí)際可選數(shù)據(jù)八位位組。Data–包含上層信息TCP協(xié)議結(jié)構(gòu)建立一個(gè)TCP連接SYN（SEQs=ISNc）SYN（SEQs=ISNc），ACK(SEQA=ISNc+1)ACK（SEQA=ISNs+1）服務(wù)器S客戶機(jī)C結(jié)束一個(gè)TCP連接TCP協(xié)議的安全問題

TCP協(xié)議被攻擊，主要是利用TCP的三次握手機(jī)制,如有:TCP序列號(hào)欺騙

TCP序列號(hào)轟炸攻擊

SYNFlooding攻擊，ACKFlooding攻擊等;此外，Tcp

掃描攻擊包括SYNscan、FINscan、XmasTreescan和Nullscan也是TCP安全問題之一,再如會(huì)話劫持、RST攻擊等傳輸層協(xié)議，為無確認(rèn)的數(shù)據(jù)報(bào)服務(wù)，只是簡(jiǎn)單的接收和傳輸數(shù)據(jù)UDP比TCP傳輸數(shù)據(jù)快UDP頭標(biāo)UDP數(shù)據(jù)區(qū)IP頭標(biāo)IP數(shù)據(jù)區(qū)UDPUDP無連接的傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)與TCP不同，UDP并不提供對(duì)IP協(xié)議的可靠機(jī)制、流控制以及錯(cuò)誤恢復(fù)功能等。UDP比較簡(jiǎn)單，UDP頭包含很少的字節(jié)，比TCP負(fù)載消耗少。UDP適用于不需要

TCP可靠機(jī)制的情形,如網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡(jiǎn)單文件傳輸系統(tǒng)（TFTP）均基于UDPUDP協(xié)議結(jié)構(gòu)SourcePort—16位。源端口是可選字段。當(dāng)使用時(shí)，它表示發(fā)送程序的端口，同時(shí)它還被認(rèn)為是沒有其它信息的情況下需要被尋址的答復(fù)端口。如果不使用，設(shè)置值為0。DestinationPort—16位。目標(biāo)端口在特殊因特網(wǎng)目標(biāo)地址的情況下具有意義。Length—16位。該用戶數(shù)據(jù)報(bào)的八位長(zhǎng)度，包括協(xié)議頭和數(shù)據(jù)。長(zhǎng)度最小值為8。Checksum—16位。IP協(xié)議頭、UDP協(xié)議頭和數(shù)據(jù)位，最后用0填補(bǔ)的信息假協(xié)議頭總和。如果必要的話，可以由兩個(gè)八位復(fù)合而成。Data—包含上層數(shù)據(jù)信息。UDP協(xié)議結(jié)構(gòu)UDP協(xié)議安全問題對(duì)UDP協(xié)議的攻擊，主要利用UDP協(xié)議本身特性，進(jìn)行流量攻擊，強(qiáng)化UDP通信的不可靠性，以達(dá)到拒絕服務(wù)的目的。此外,某些Unix的服務(wù)器默認(rèn)一些可被惡意利用的UDP服務(wù)，如echo和chargen，它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符，如果惡意攻擊者將這2個(gè)UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡。

UDP協(xié)議安全問題Trinoo就是基于UDPflood的攻擊軟件，它向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰以及釣魚島事件中用于攻擊日本的阿拉丁UDP攻擊軟件傳輸層安全性 傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用,支持多種安全服務(wù)：對(duì)等實(shí)體認(rèn)證服務(wù)；訪問控制服務(wù)；數(shù)據(jù)保密服務(wù)；數(shù)據(jù)完整性服務(wù)；數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。

傳輸層安全措施采用安全協(xié)議：SSL和PCTtls應(yīng)用傳輸層安全協(xié)議要對(duì)傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改

基于UDP的通信很難在傳輸層建立起安全機(jī)制

優(yōu)點(diǎn)：提供基于進(jìn)程對(duì)進(jìn)程的(而不是主機(jī)對(duì)主機(jī)的)安全服務(wù)

使用防火墻/包過濾針對(duì)TCP和UDP攻擊的防火墻安全策略目的:阻止傳輸層協(xié)議特點(diǎn)被利用帶來的系統(tǒng)與數(shù)據(jù)安全威脅應(yīng)用層的安全威脅

應(yīng)用層介紹應(yīng)用層常見協(xié)議安全性應(yīng)用層的安全實(shí)現(xiàn)

應(yīng)用層介紹標(biāo)準(zhǔn)協(xié)議:簡(jiǎn)單郵件傳輸協(xié)議（SMTP）文件傳輸協(xié)議(FTP)超文本傳輸協(xié)議(HTTP)遠(yuǎn)程連接服務(wù)標(biāo)準(zhǔn)協(xié)議（Telnet）簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)域名系統(tǒng)(DNS)定制應(yīng)用：復(fù)雜DNSSNMPTelnetHTTPFTPSMTPFTP協(xié)議文件傳輸協(xié)議（FTP）使得主機(jī)間可以共享文件FTP使用

TCP生成一個(gè)虛擬連接用于控制信息，然后再生成一個(gè)單獨(dú)的TCP連接用于數(shù)據(jù)傳輸?？刂七B接使用類似

TELNET協(xié)議在主機(jī)間交換命令和消息。主要功能:提供文件的共享（計(jì)算機(jī)程序/數(shù)據(jù)）；支持間接使用遠(yuǎn)程計(jì)算機(jī)；使用戶不因各類主機(jī)文件存儲(chǔ)器系統(tǒng)的差異而受影響；可靠且有效的傳輸數(shù)據(jù)。

FTP協(xié)議結(jié)構(gòu)FTP安全問題上載弱點(diǎn) 上載就是允許客戶將文件傳送到服務(wù)器，此弱點(diǎn)對(duì)連接在互聯(lián)網(wǎng)上的服務(wù)器來言，大量的數(shù)據(jù)涌入服務(wù)器，致使服務(wù)器的磁盤空間被填滿，導(dǎo)致系統(tǒng)不能正常工作；參數(shù)溢出參數(shù)溢出主要是在PASV方式下，由于執(zhí)行不完善的命令，導(dǎo)致系統(tǒng)CoreDump而使系統(tǒng)崩潰；遠(yuǎn)程執(zhí)行漏洞遠(yuǎn)程執(zhí)行功能如果允許執(zhí)行諸如cat，cp等能瀏覽和拷貝文件的命令，則系統(tǒng)存在很大的危險(xiǎn)性，入侵者可以利用此功能獲取系統(tǒng)中的敏感文件，或改變系統(tǒng)中的配置文件；獲取超級(jí)用戶權(quán)限獲取超級(jí)用戶權(quán)限主要是有些FTP服務(wù)進(jìn)程支持CD~root命令，此命令可使普通用戶獲得超級(jí)用戶權(quán)限。Telnet協(xié)議TELNET是TCP/IP環(huán)境下的終端仿真協(xié)議，通過

TCP建立服務(wù)器與客戶機(jī)之間的連接。Telnet協(xié)議結(jié)構(gòu)Telnet安全問題Telnet本身的缺陷是沒有口令保護(hù)沒有強(qiáng)力認(rèn)證過程沒有完整性檢查傳送的數(shù)據(jù)都沒有加密客戶機(jī)/服務(wù)器模型

HTTP協(xié)議請(qǐng)求/響應(yīng)式的應(yīng)用層協(xié)議請(qǐng)求的格式是：統(tǒng)一資源標(biāo)識(shí)符（URI）、協(xié)議版本號(hào)，后面是類似

MIME的信息，包括請(qǐng)求修飾符、客戶機(jī)信息和可能的內(nèi)容。響應(yīng)信息，其格式是：一個(gè)狀態(tài)行包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼，后面也是類似

MIME的信息，包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。也可用作普通協(xié)議，實(shí)現(xiàn)用戶代理與連接其它Internet服務(wù)（如SMTP、NNTP、FTP、GOPHER及WAIS）的代理服務(wù)器或網(wǎng)關(guān)之間的通信，允許基本的超媒體訪問各種應(yīng)用提供的資源，同時(shí)簡(jiǎn)化了用戶代理系統(tǒng)的實(shí)施HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議安全問題HTTP協(xié)議明文傳輸數(shù)據(jù)。WEB用戶可能下載有破壞性的ActiveX控件或JAVAapplets這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬HTTP服務(wù)器也必須要小心保護(hù)，HTTP服務(wù)器在很多基礎(chǔ)上類似FTP服務(wù)器HTTP明文被截獲SMTP協(xié)議SMTP是建模在FTP文件傳輸服務(wù)上的一種郵件服務(wù)，主要用于傳輸系統(tǒng)之間的郵件信息并提供來信有關(guān)的通知。SMTP獨(dú)立于特定的傳輸子系統(tǒng)，且只需要可靠有序的數(shù)據(jù)流信道支持。SMTP重要特性之一是其能跨越網(wǎng)絡(luò)傳輸郵件，即“

SMTP郵件中繼”。使用

SMTP，可實(shí)現(xiàn)相同網(wǎng)絡(luò)上處理機(jī)之間的郵件傳輸，也可通過中繼器或網(wǎng)關(guān)實(shí)現(xiàn)某處理機(jī)與其它網(wǎng)絡(luò)之間的郵件傳輸。域名服務(wù)系統(tǒng)（DNS）的郵件交換服務(wù)器可以用來識(shí)別出傳輸郵件的下一跳IP地址。SMTP協(xié)議結(jié)構(gòu)SMTP安全問題大多數(shù)郵件系統(tǒng)使用SMTP實(shí)現(xiàn) 用TCP進(jìn)行的郵件交換是由報(bào)文傳送代理MTA(MessageTransferAgent)完成的。兩個(gè)MTA之間用NVTASCII進(jìn)行通信，客戶向服務(wù)器發(fā)出命令，服務(wù)器用數(shù)字應(yīng)答碼和可選的字符串進(jìn)行響應(yīng)SMTP自身沒有安全問題，但處理SMTP的服務(wù)器存在安全問題，如郵件中繼代理open-relaySNMP協(xié)議用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長(zhǎng)。通過

SNMP接收隨機(jī)消息（及事件報(bào)告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。三個(gè)主要組成部分：管理的設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)。一種應(yīng)用程序協(xié)議，封裝在

UDP/TCP中。SNMP安全問題SNMPv1跟蹤消息處理系列缺陷:SNMP代理(SNMPagents)發(fā)送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器報(bào)告錯(cuò)誤信息、警報(bào)和其它的有關(guān)宿主的狀態(tài)信息。管理器必須解析和處理這些數(shù)據(jù)。OUSPG發(fā)現(xiàn)很多SNMP管理器在解析和處理過程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1請(qǐng)求信息處理系列缺陷:在數(shù)據(jù)處理過程中，代理和管理器都有出現(xiàn)拒絕服務(wù)錯(cuò)誤、格式化字符串錯(cuò)誤和緩沖溢出攻擊的可能。SNMP的安全隱患團(tuán)體名作為唯一的SNMP認(rèn)證手段，也是薄弱環(huán)節(jié)之一SNMPv1消息的團(tuán)體名在網(wǎng)上以明碼傳輸SNMP主要采用UDP傳輸，很容易進(jìn)行IP源地址假冒多數(shù)SNMP設(shè)備接收來自網(wǎng)絡(luò)廣播地址的SNMP消息SNMP安全問題攻擊方法：如果獲取支持SNMP協(xié)議設(shè)備的“communitystring”，攻擊者將可以修改路由器配置、獲取服務(wù)器最高控制權(quán)、重新啟動(dòng)設(shè)備不知道“communitystring”的前提下，則進(jìn)行拒絕服務(wù)攻擊。SNMP安全解決辦法從廠商獲得補(bǔ)丁程序并執(zhí)行禁止SNMP服務(wù)

邊界訪問過濾

(tcp161/162,udp161/162)在內(nèi)部網(wǎng)絡(luò)中過濾不正常的SNMP訪問

修改缺省的"communitystring"隔離SNMP包

分布式網(wǎng)絡(luò)目錄服務(wù)，用于域名與IP地址的相互轉(zhuǎn)換，控制電子郵件發(fā)送，負(fù)載均衡等。多數(shù)因特網(wǎng)服務(wù)依賴于DNS而工作兩個(gè)獨(dú)立的方面：定義命名語法和規(guī)范，以利于通過名稱委派域名權(quán)限?；菊Z法是：local.group.site；定義如何實(shí)現(xiàn)一個(gè)分布式計(jì)算機(jī)系統(tǒng)，以便有效地將域名轉(zhuǎn)換成

IP地址。DNS協(xié)議結(jié)構(gòu)DNS協(xié)議結(jié)構(gòu)DNS協(xié)議結(jié)構(gòu)ID–用于連接查詢和答復(fù)的16bit。Q–識(shí)別查詢和答復(fù)消息的1位字段。Query–描述消息類型的4位字段：0標(biāo)準(zhǔn)查詢（由姓名到地址）；1逆向查詢；2服務(wù)狀態(tài)請(qǐng)求A–命令回答：1位字段。當(dāng)設(shè)置為1時(shí)，識(shí)別由命令名字服務(wù)器作出的答復(fù)。T–切斷。1位字段。當(dāng)設(shè)置為1，表明消息已被切斷。R–1位字段。由名字服務(wù)器設(shè)置為1請(qǐng)求遞歸服務(wù)。V–1位字段。由名字服務(wù)器設(shè)置表示遞歸服務(wù)的實(shí)用性。B–3位字段。備用，必須設(shè)置為0。Rcode–響應(yīng)代碼，由名字服務(wù)器設(shè)置的4位字段用以識(shí)別查詢狀態(tài)。Questioncount–16位字段用以定義問題部分的登陸號(hào)。Answercount–16位字段，用以定義回答部分的資源記錄號(hào)。Authoritycount–16位字段，用以定義命令部分名字服務(wù)器的資源記錄號(hào)。Additionalcount–16位字段，用以定義附加記錄部分的資源記錄號(hào)。DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要安全問題名字欺騙信息隱藏DNS協(xié)議安全問題NetBIOS對(duì)所有人完全共享對(duì)所有人完全共享，這是在WindowNT共享時(shí)的缺省配置，他對(duì)所有可訪問該主機(jī)的用戶提供完全的訪問權(quán)限；對(duì)Guest用戶完全共享對(duì)Guest用戶完全共享，Guest帳號(hào)是WinNT的缺省帳號(hào)，它有缺省口令，如果系統(tǒng)提供對(duì)Guest用戶的完全訪問權(quán)限，入侵者可通過Guest帳號(hào)注冊(cè)到服務(wù)器獲取信息或修改數(shù)據(jù)；沒有訪問控制的共享沒有訪問控制的共享，是指沒有合法認(rèn)證的共享，在網(wǎng)絡(luò)上的任何用戶都可訪問，此弱點(diǎn)在Win95上常見；對(duì)所有人可寫對(duì)所有人可寫是指對(duì)所有可訪問該服務(wù)器的用戶具有對(duì)共享目錄的寫權(quán)限，此弱點(diǎn)可能會(huì)使被共享目錄中的文件被篡改或刪除；對(duì)Guest用戶可寫對(duì)Guest用戶可寫是指通過Guest帳號(hào)注冊(cè)就能獲取共享資源的寫權(quán)限；NetBios空會(huì)話NetBios空會(huì)話通過長(zhǎng)度為零的用戶名和口令注冊(cè)獲取對(duì)服務(wù)器的訪問權(quán)。應(yīng)用層協(xié)議安全小結(jié)應(yīng)用層協(xié)議本身存在的主要問題是信息明文傳輸，包括如FTP、Telnet登錄驗(yàn)證帳號(hào)和密碼都是明文，攻擊者可以通過網(wǎng)絡(luò)嗅探獲取有價(jià)值信息，以備下一步攻擊之用,此外應(yīng)用層協(xié)議的許多威脅來自于低層協(xié)議的安全性問題。應(yīng)用層應(yīng)用實(shí)現(xiàn)的安全缺陷(網(wǎng)絡(luò)編程)應(yīng)用層安全防護(hù)威脅：復(fù)雜多樣

安全協(xié)議：SSH，S-HTTP,SET.PGP,S/MIME應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段，可以實(shí)施細(xì)粒度的安全控制

可能的方法：對(duì)每個(gè)應(yīng)用(及應(yīng)用協(xié)議)分別進(jìn)行修改；實(shí)施強(qiáng)大的基于用戶的身份認(rèn)證；實(shí)施數(shù)據(jù)加密；訪問控制；數(shù)據(jù)的備份和恢復(fù)措施；對(duì)資源的有效性進(jìn)行控制。應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全

網(wǎng)絡(luò)中面臨的威脅交換機(jī)-針對(duì)CDP攻擊說明Cisco專用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)打開危害任何人可以輕松得到整個(gè)網(wǎng)絡(luò)信息可以被利用發(fā)起DoS攻擊：http://www.phenoelit.de/irpas/對(duì)策如不需要，禁止CDP禁止User-End端口的CDP交換機(jī)-針對(duì)STP攻擊說明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕服務(wù)對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

MotorolaCableRoutercablecomrouter管理員路由器-密碼與TFTPCisco路由器的密碼弱加密MD5加密Enablesecret5Cisco路由器TFTP攻擊

Cisco基于拒絕服務(wù)攻擊HTTP的漏洞

Cisco路由啟用(enable)遠(yuǎn)程WEB管理，很容易遭受DoS。這種DoS能導(dǎo)致路由器停止對(duì)網(wǎng)絡(luò)請(qǐng)求的響應(yīng)。這是功能是Cisco路由的內(nèi)嵌功能。但啟用這個(gè)特性，通過構(gòu)造一個(gè)簡(jiǎn)單的Http請(qǐng)求就會(huì)造成DoS攻擊：

http://<router-ip>/%%

這種請(qǐng)求導(dǎo)致路由停止響應(yīng)，甚至引起路由器執(zhí)行硬重置(hardreset)。

如果http起用，瀏覽：

http://route_ip_addr/anytest?/并且提供特權(quán)口令，則可以導(dǎo)致DoS攻擊，導(dǎo)致路由停機(jī)或者重啟。Cisco的WEB服務(wù)的越權(quán)訪問漏洞：幾乎所有的版本的Cisco設(shè)備IOS都有這個(gè)問題存在，攻擊者只需要構(gòu)造一個(gè)如下的URL:http://IP/level/xx/exec/......即可!這里的xx是一個(gè)從16-99之間的整數(shù)。對(duì)于不同的設(shè)備，這個(gè)數(shù)值可能是不同的，但是攻擊者僅需要測(cè)試84次即可找到正確的數(shù)值。如果不能進(jìn)入，嘗試：0/level/20/exec/showconfig

試試這個(gè)連接地址，就會(huì)發(fā)現(xiàn)結(jié)果好象是不一樣了，我們已經(jīng)按照剛才的漏洞描述成功的繞過了Cisco的密碼檢查機(jī)制，現(xiàn)在擁有的是設(shè)備的管理員權(quán)限。Cisco路由器的安全配置使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由器安全配置控制網(wǎng)絡(luò)線路訪問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50

Cisco路由器安全配置禁用交換機(jī)HTTP服務(wù)器noiphttpserver禁用CDP發(fā)掘協(xié)議nocdprun禁用交換機(jī)NTP服務(wù)器nontpenable禁用低端口簡(jiǎn)單服務(wù)noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務(wù)noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)Cisco路由器安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時(shí)使用，如果必要使用SNMP安全性1>>2>>3Cisco路由器安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由器安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據(jù)包使用訪問控制列表限定數(shù)據(jù)流量使用訪問控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)路由設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型關(guān)于IOS的問題的幾點(diǎn)安全建議

通過noiphttpserver取消http服務(wù)，消除Http帶來的隱患；限制SNMP訪問配置；及時(shí)升級(jí)Cisco的IOS程序或者修補(bǔ)程序；利用安全工具對(duì)路由進(jìn)行安全檢查。拒絕服務(wù)攻擊定義

DoS

（DenialofService）

拒絕服務(wù)攻擊是用來顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為。

DDoS

（DistributedDenialofservice）分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問。DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DoS攻擊舉例SynFloodIcmpSmurf（directedbroadcast）UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統(tǒng)級(jí)別的拒絕服務(wù)（SMBDie）應(yīng)用級(jí)別的拒絕服務(wù)（pcanywhere）DDoS攻擊類型TrinooTFNTFN2KFunTimeApocalypseSynFloodSYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒回應(yīng)就是讓你白等不能建立正常的連接IcmpSmurf

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。攻擊的過程是這樣的：Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組（echo請(qǐng)求），這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。IcmpSmurf網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段，可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因些目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)服務(wù)。這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀況。IcmpSmurf阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請(qǐng)求。用戶可以使用路由路的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點(diǎn)。阻塞Smurf的反彈站點(diǎn) 用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點(diǎn)。第一種方法可以簡(jiǎn)單地阻塞所有入站echo請(qǐng)求，這們可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。如果不能阻塞所有入站echo請(qǐng)求，用戶就需要將自己的路由器把網(wǎng)絡(luò)廣播地址映射成為L(zhǎng)AN廣播地址。制止了這個(gè)映射過程，自己的系統(tǒng)就不會(huì)再收到這些echo請(qǐng)求。UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種UDP服務(wù)之間互相通信，使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺(tái)主機(jī)會(huì)癱瘓一些被惡意利用的UDP服務(wù)，如echo和chargen服務(wù)，它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符，如果惡意攻擊者將這2個(gè)UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡UdpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合IcmpPingFloodPing是通過發(fā)送ICMP報(bào)文(類型8代碼0)探尋網(wǎng)絡(luò)主機(jī)是否存在的一個(gè)工具。部分操作系統(tǒng)（例如win95），不能很好處理過大的Ping包，導(dǎo)致出現(xiàn)了PingtoDeath的攻擊方式（用大Ping包搞垮對(duì)方或者塞滿網(wǎng)絡(luò)），由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。如果對(duì)方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰，也占去許多帶寬。如TFN2K會(huì)產(chǎn)生大量的進(jìn)程，每個(gè)進(jìn)程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無法正常工作。IcmpPingFlood正常情況下，Ping的流程是這樣的:主機(jī)A發(fā)送ICMP8,0報(bào)文給主機(jī)B主機(jī)B回送ICMp0,0報(bào)文給主機(jī)A因?yàn)镮CMP基于無連結(jié)，假設(shè)現(xiàn)在主機(jī)A偽裝成主機(jī)C發(fā)送ICMP8,0報(bào)文，結(jié)果會(huì)怎么樣呢?顯然，主機(jī)B會(huì)以為是主機(jī)C發(fā)送的報(bào)文而去回應(yīng)主機(jī)C，結(jié)構(gòu)如下：偽裝為主機(jī)C錯(cuò)誤的回復(fù)主機(jī)A--------------------->主機(jī)B------------------>主機(jī)C這種情況下，由于主機(jī)A只需要不斷發(fā)送Ping報(bào)文而不需要處理返回的EchoReply，所以攻擊力度成倍的增加，同時(shí)實(shí)際上主機(jī)B和主機(jī)C都是被進(jìn)攻的目標(biāo)，而且不會(huì)留下攻擊者的痕跡。IcmpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合TARGA3(堆棧突破)TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會(huì)使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請(qǐng)求（即拒絕服務(wù)）。典型代表是winnuke，jolt，teardrop等TARGA3(堆棧突破)升級(jí)操作系統(tǒng)與IDS等安全產(chǎn)品配合操作系統(tǒng)級(jí)別的拒絕服務(wù)Microsoft操作系統(tǒng)對(duì)畸形的SMB（ServerMessageBlock）請(qǐng)求存在漏洞應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問題，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核，無心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻摹５湫痛硎莗canywhere的拒絕服務(wù)問題應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere

存在因端口掃描導(dǎo)致的DoS

攻擊發(fā)布日期:2000-4-27受影響的系統(tǒng):SymantecPCAnywhere9.2SymantecPCAnywhere9.0SymantecpcAnywhere8.0.2描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng)，只有重新啟動(dòng)服務(wù)才能正常運(yùn)行。應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件與安全產(chǎn)品配合Trinoo介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的Trin00是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個(gè)主機(jī)，利用這些主機(jī)向其他主機(jī)發(fā)送UDPflood。Trin00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDPflood配置Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對(duì)IP地址不做假，采用的通訊端口是：

攻擊者主機(jī)到主控端主機(jī)：27665/TCP

主控端主機(jī)到代理端主機(jī)：27444/UDP

代理端主機(jī)到主服務(wù)器主機(jī)：31335/UDPTFN介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的TribeFloodNetwork,TFN,是一種分布式拒絕服務(wù)的工具，使用該工具可以使攻擊者利用多個(gè)主機(jī)，一次flood一個(gè)目標(biāo)。有四種不同類型的flood：ICMPEchofloodUDPFloodSYNFloodSmurf攻擊TFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPecho互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩部分組成，具有偽造數(shù)據(jù)包的能力。TFN2K介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕服務(wù)的工具，可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成?？蛻舳丝刂埔粋€(gè)或多個(gè)主機(jī)主流程序，主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood。客戶端可以使用UDP、TCP或ICMP與主機(jī)主流程序進(jìn)行通訊，并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對(duì)ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。DDoS攻擊特性DDoS攻擊將越來越多地采用IP欺騙的技術(shù)；DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻，轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);DDoS攻擊將會(huì)變得越來越智能化，試圖躲過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤，并試圖繞過防火墻防御體系;針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍;采用半連接技術(shù)SYN攻擊，和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。采用ICMP攻擊。采用smurf攻擊采用UDP攻擊。IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議，偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過濾加密使用隨機(jī)化初始序列號(hào)ARP欺騙實(shí)現(xiàn)簡(jiǎn)易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MACArp_send.c危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff交換環(huán)境下的嗅探技術(shù)dsniff

、arpredirect、arpspoof，fragroute；拒絕服務(wù)攻擊的防御策略第一種是縮短SYNTimeout時(shí)間，由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文