網(wǎng)絡(luò)安全概述-04網(wǎng)絡(luò)安全威脅

第三章網(wǎng)絡(luò)安全威脅11TCPIP經(jīng)典威脅1.1ARP欺騙1.2RIP源路由欺騙1.3TCP欺騙1.4WEB欺騙2ARP欺騙防范措施：可利用一些工具（如ARPWatch）來監(jiān)視局域網(wǎng)內(nèi)所有的MAC地址和IP地址的映射對，一旦有改變，將產(chǎn)生告警或日志。3IP源路由欺騙IP報文首部的可選項中有“源站選路”,可以指定到達(dá)目的站點的路由。正常情況下,目的主機如果有應(yīng)答或其他信息返回源站,就可以直接將該路由反向運用作為應(yīng)答的回復(fù)路徑。4條件主機A(假設(shè)IP地址是1)是主機B的被信任主機主機X想冒充主機A從主機B（假設(shè)IP為）獲得某些服務(wù)攻擊過程攻擊者修改距離X最近的路由器G2，使得到達(dá)此路由器且包含目的地址的數(shù)據(jù)包以主機X所在的網(wǎng)絡(luò)為目的地攻擊者X利用IP欺騙（把數(shù)據(jù)包的源地址改為1）向主機B發(fā)送帶有源路由選項(指定最近的路由器G2)的數(shù)據(jù)包。當(dāng)B回送數(shù)據(jù)包時，按收到數(shù)據(jù)包的源路由選項反轉(zhuǎn)使用源路由，就傳送到被更改過的路由器G2。由于G2路由表已被修改，收到B的數(shù)據(jù)包時，G2根據(jù)路由表把數(shù)據(jù)包發(fā)送到X所在網(wǎng)絡(luò)，X可在其局域網(wǎng)內(nèi)較方便的進(jìn)行偵聽，收取此數(shù)據(jù)包。5TCP欺騙基本流程：步驟一，攻擊者X要確定目標(biāo)主機A的被信任主機B不在工作狀態(tài)，若其在工作狀態(tài)，也可使用SYNflooding等攻擊手段使其處于拒絕服務(wù)狀態(tài)。步驟二，攻擊者X偽造數(shù)據(jù)包：B->A:SYN(ISNC)，源IP地址使用B，初始序列號ISN為C，給目標(biāo)主機發(fā)送TCP的SYN包請求建立連接。步驟三，目標(biāo)主機回應(yīng)數(shù)據(jù)包：A->B:SYN(ISNS),ACK(ISNC)，初始序列號為S，確認(rèn)序號為C。由于B處于拒絕服務(wù)狀態(tài)，不會發(fā)出響應(yīng)包。攻擊者X使用嗅探器捕獲TCP報文段，得到初始序列號S。步驟四，攻擊者X偽造數(shù)據(jù)包：B->A:ACK(ISNS)，完成三次握手建立TCP連接。步驟五，攻擊者X一直使用B的IP地址與A進(jìn)行通信。6盲攻擊與非盲攻擊：非盲攻擊：攻擊者和被欺騙的目的主機在同一個網(wǎng)絡(luò)上，攻擊者可以簡單地使用協(xié)議分析器（嗅探器）捕獲TCP報文段，從而獲得需要的序列號。見上述流程。

盲攻擊：由于攻擊者和被欺騙的目標(biāo)主機不在同一個網(wǎng)絡(luò)上，攻擊者無法使用嗅探器捕獲TCP報文段。其攻擊步驟與非盲攻擊幾乎相同，只不過在步驟三無法使用嗅探器，可以使用TCP初始序列號預(yù)測技術(shù)得到初始序列號。在步驟五，攻擊者X可以發(fā)送第一個數(shù)據(jù)包，但收不到A的響應(yīng)包，較難實現(xiàn)交互。7Unicode輸入驗證攻擊Unicode：統(tǒng)一的字符編碼標(biāo)準(zhǔn)，采用雙字節(jié)對字符進(jìn)行編碼。當(dāng)微軟IIS4.0／5.0（遠(yuǎn)東地區(qū)版本）在處理包含有不完整的雙字節(jié)編碼字符的HTTP命令請求時，會導(dǎo)致Web目錄下的文件內(nèi)容被泄漏給遠(yuǎn)程攻擊者。利用這種IIS的漏洞，攻擊者就可以通過這些特殊字符繞過IIS的目錄審計遠(yuǎn)程執(zhí)行任意命令。8一般實例：http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\http://server/index.asp/..%c1%1c../..%c1%1c../winnt/win.ini

注意：以上“+”代表空格。9黑網(wǎng)頁實例C:>idahack<Host><HostPort><HostType><ShellPort>C:>nc<Host><ShellPort>進(jìn)入網(wǎng)頁所在目錄C:>echo內(nèi)容>網(wǎng)頁文件名102典型系統(tǒng)安全威脅2.1緩沖區(qū)溢出概述2.2緩沖區(qū)溢出原理2.3緩沖區(qū)溢出防范112.1SQL注入攻擊問題簡介用用戶的輸入創(chuàng)建一個動態(tài)的SQL請求有可能讓攻擊者控制SQL語句的意思。12

Example1:下面的C#代碼動態(tài)的創(chuàng)建SQL語句查詢屬于當(dāng)前使用者的物品的名稱。 ... stringuserName=ctx.getAuthenticatedUserName(); stringquery="SELECT*FROMitemsWHEREowner='" +userName+"'ANDitemname='" +ItemName.Text+"'"; sda=newSqlDataAdapter(query,conn); DataTabledt=newDataTable(); sda.Fill(dt); ...13查詢語句預(yù)期被寫為 SELECT*FROMitems WHEREowner= ANDitemname=;但是如果攻擊者輸入"name'OR'a'='a"，SQL語句就會變成 SELECT*FROMitems WHEREowner='wiley' ANDitemname='name'OR'a'='a';于是可以簡化成 SELECT*FROMitems;這樣攻擊者就可以查詢到不屬于當(dāng)前用戶下的items了，而是查詢到所有用戶的items。14

Example2:如果用戶輸入"name';DELETEFROMitems;--"SQL語句變?yōu)椋? SELECT*FROMitems WHEREowner='hacker' ANDitemname='name'; DELETEFROMitems; --'152.2緩沖區(qū)溢出非常普遍、非常危險后果：程序運行失敗系統(tǒng)關(guān)機、重新啟動執(zhí)行非授權(quán)指令，取得系統(tǒng)特權(quán)概括：對可用性、完整性和機密性的攻擊淵源：MorrisWorm1988針對fingerdCERT/CC（計算機緊急事件響應(yīng)組/協(xié)調(diào)中心）ComputerEmergencyResponseTeam/CoordinationCenter16緩沖區(qū)溢出的根本原因來自C語言（以及其后代C++）本質(zhì)的不安全性：·

沒有邊界來檢查數(shù)組和指針的引用；·

標(biāo)準(zhǔn)C庫中還存在許多非安全字符串操作，如strcpy()、sprintf()、gets()等。為了說明這個問題還必須看一看程序的內(nèi)存映像。任何一個源程序通常都包括代碼段和數(shù)據(jù)段，這些代碼和數(shù)據(jù)本身都是靜態(tài)的。為了運行程序，首先要由操作系統(tǒng)負(fù)責(zé)為其創(chuàng)建進(jìn)程，并在進(jìn)程的虛擬地址空間中為其代碼段和數(shù)據(jù)段建立映射。但是，光有靜態(tài)的代碼段和數(shù)據(jù)段是不夠的，進(jìn)程在運行過程中還要有其動態(tài)環(huán)境。一般說來，默認(rèn)的動態(tài)存儲環(huán)境通過堆棧（簡稱棧）機制建立。所有局部變量以及所有按值傳遞的函數(shù)參數(shù)都通過堆棧機制自動地進(jìn)行內(nèi)存空間的分配。分配同一數(shù)據(jù)類型相鄰塊的內(nèi)存區(qū)域稱為緩沖區(qū)。圖2.6為Linux下進(jìn)程的地址空間布局。當(dāng)然，C語言還允許程序員使用堆機制創(chuàng)建存儲器，存儲使用malloc()獲得的數(shù)據(jù)。不過，這與本節(jié)討論的問題無關(guān)。

緩沖區(qū)溢出原理17從邏輯上講進(jìn)程的堆棧是由多個堆棧幀構(gòu)成的，其中每個堆棧幀都對應(yīng)一個函數(shù)調(diào)用。當(dāng)函數(shù)調(diào)用發(fā)生時，新的堆棧幀被壓入堆棧；當(dāng)函數(shù)返回時，相應(yīng)的堆棧幀從堆棧中彈出。盡管堆棧幀結(jié)構(gòu)的引入為在高級語言中實現(xiàn)函數(shù)或過程這樣的概念提供了直接的硬件支持，但是由于將函數(shù)返回地址這樣的重要數(shù)據(jù)保存在程序員可見的堆棧中。當(dāng)程序?qū)懭氤^緩沖區(qū)的邊界時，這就是所謂的“緩沖區(qū)溢出”。發(fā)生緩沖區(qū)溢出時，就會覆蓋下一個相鄰的內(nèi)存塊，導(dǎo)致一些不可預(yù)料的結(jié)果：也許程序可以繼續(xù)，也許程序的執(zhí)行出現(xiàn)奇怪現(xiàn)象，也許程序完全失敗。18下面的程序是一個緩沖溢出的實例。例2.3.1#include<stdio.h>intmain(){ charname[5]; printf(“Pleaseinputyourname:”); gets(name); printf(“youare%s”,name);}

運行這個程序可以發(fā)現(xiàn)，當(dāng)輸入的字符數(shù)少時，程序運行正常；當(dāng)輸入的字符數(shù)太多時（超過8），程序就不能正常結(jié)束。這就是緩沖區(qū)溢出所造成。

19典型的堆棧幀結(jié)構(gòu)如圖2.7所示。堆棧中存放的是與每個函數(shù)對應(yīng)的堆棧幀。當(dāng)函數(shù)調(diào)用發(fā)生時，新的堆棧幀被壓入堆棧；當(dāng)函數(shù)返回時，相應(yīng)的堆棧幀從堆棧中彈出。

圖2.7典型的堆棧幀結(jié)構(gòu)

20堆棧幀的頂部為函數(shù)的實參，下面是函數(shù)的返回地址以及前一個堆棧幀的指針，最下面是分配給函數(shù)的局部變量使用的空間。一個堆棧幀通常都有兩個指針，其中一個稱為堆棧幀指針，另一個稱為棧頂指針。前者所指向的位置是固定的，而后者所指向的位置在函數(shù)的運行過程中可變。因此，在函數(shù)中訪問實參和局部變量時都是以堆棧幀指針為基址，再加上一個偏移。由圖2.7可知，實參的偏移為正，局部變量的偏移為負(fù)。當(dāng)發(fā)生數(shù)據(jù)棧溢出時，多余的內(nèi)容就會越過棧底，覆蓋棧底后面的內(nèi)容。通常，與棧底相鄰的內(nèi)存空間中存放著程序返回地址。因此，數(shù)據(jù)棧的溢出，會覆蓋程序的返回地址，從而造成如下局面：要么程序會取到一個錯誤地址，要么將因程序無權(quán)訪問該地址而產(chǎn)生一個錯誤。鑒此，C語言把這一艱巨任務(wù)交給了開發(fā)人員，要求他們進(jìn)行邊界檢查，編寫安全的程序。然而這一要求往往被人們忽視，從而給黑客有機可乘。

21（1）安裝安全補丁。（2）編寫安全的代碼：緩沖區(qū)溢出攻擊的根源在于編寫程序的機制。因此，防范緩沖區(qū)溢出漏洞首先應(yīng)該確保在Linux系統(tǒng)上運行的程序（包括系統(tǒng)軟件和應(yīng)用軟件）代碼的正確性，避免程序中有不檢查變量、緩沖區(qū)大小及邊界等情況存在。比如，使用grep工具搜索源代碼中容易產(chǎn)生漏洞的庫調(diào)用，檢測變量的大小、數(shù)組的邊界、對指針變量進(jìn)行保護(hù)，以及使用具有邊界、大小檢測功能的C編譯器等。

緩沖區(qū)溢出防范22（3）基于一定的安全策略設(shè)置系統(tǒng)：攻擊者攻擊某一個Linux系統(tǒng)，必須事先通過某些途徑對要攻擊的系統(tǒng)做必要的了解，如版本信息等，然后再利用系統(tǒng)的某些設(shè)置直接或間接地獲取控制權(quán)。因此，防范緩沖區(qū)溢出攻擊就要對系統(tǒng)設(shè)置實施有效的安全策略。這些策略種類很多，下面只列舉幾個典型措施。·

在裝有Telnet服務(wù)的情況下，通過手工改寫“/etc/inetd.conf”文件中的Telnet設(shè)置，使得遠(yuǎn)程登錄的用戶無法看到系統(tǒng)的提示信息。具體方法是將Telnet設(shè)置改寫為：telnetstreamtcpnowaitroot/usr/sbin/tcpd/in.telnetd-h末尾加上“-h”參數(shù)可以讓守護(hù)進(jìn)程不顯示任何系統(tǒng)信息，只顯示登錄提示?！?/p>

改寫“rc.local”文件。默認(rèn)情況下，當(dāng)?shù)卿汱inux系統(tǒng)時系統(tǒng)運行rc.local文件，顯示該Linux發(fā)行版本的名字、版本號、內(nèi)核版本和服務(wù)器名稱等信息，這使得大量系統(tǒng)信息被泄露。將“rc.local”文件中顯示這些信息的代碼注釋掉，可以使系統(tǒng)不顯示這些信息。

23一種方法是在顯示這些信息的代碼行前加“#”：…#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue##echo>>/etc/issue…另一種方法是將保存有系統(tǒng)信息的文件/etc/和issue刪除。這兩個文件分別用于在遠(yuǎn)程登錄和本地登錄時向用戶提供相關(guān)信息。刪除這兩個文件的同時，仍需要完成方法一中的注釋工作，否則，系統(tǒng)在啟動時將會自動重新生成這兩個文件。

·

禁止提供finger服務(wù)。使用finger命令可以顯示本地或遠(yuǎn)程系統(tǒng)中目前已登錄用戶的詳細(xì)信息。禁止提供finger服務(wù)的有效方法是，通過修改該文件屬性、權(quán)限，使得只有root用戶才可以執(zhí)行該命令?！?/p>

處理“inetd.conf”文件。該程序通過“/etc/inetd.conf”文件獲得inetd在監(jiān)聽哪些網(wǎng)絡(luò)端口，為每個端口啟動哪些特定服務(wù)等信息，會泄露大量的敏感信息。

24（4）保護(hù)堆?！?/p>

加入函數(shù)建立和銷毀代碼。前者在函數(shù)返回地址后增加一些附加字節(jié)，返回時要檢查這些字節(jié)有無被改動?！?/p>

使堆棧不可執(zhí)行——非執(zhí)行緩沖區(qū)技術(shù)，使入侵者無法利用緩沖區(qū)溢出漏洞。

253計算機木馬3.1計算機木馬概述3.2計算機木馬原理3.3計算機木馬防御3.4流行木馬簡介263.1計算機木馬概述木馬（Trojanhorse）是一種基于遠(yuǎn)程控制的黑客工具，具有：隱蔽性、潛伏性、危害性、非授權(quán)性。木馬與病毒、遠(yuǎn)程控制的區(qū)別病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數(shù)據(jù)、個人隱私等行為。隱蔽、非授權(quán)性27木馬的發(fā)展（1）第一代一般主要表現(xiàn)木馬的欺騙性,比如在Unix系統(tǒng)上表現(xiàn)的是假Login誘騙、假su誘騙，在Windows上則是BO，Netspy等木馬；第二代木馬，在隱藏、自啟動和操縱服務(wù)器等技術(shù)上有了很大的發(fā)展，比如冰河、廣外女生等；28木馬的發(fā)展（2）第三代木馬在隱藏、自啟動和數(shù)據(jù)傳遞技術(shù)上則有了根本性的進(jìn)步，以前的木馬主要靠UDP協(xié)議傳輸數(shù)據(jù),但在第三代木馬中出現(xiàn)了靠ICMP協(xié)議傳遞數(shù)據(jù)；第四代木馬在進(jìn)程隱藏方面，則做了更大的改動——采用改寫和替換系統(tǒng)文件的做法，修改操作系統(tǒng)內(nèi)核,在UNIX內(nèi)它偽裝成系統(tǒng)守護(hù)進(jìn)程,而在WINDOWS內(nèi)它則偽裝成DLL動態(tài)連接庫,這樣一來使木馬幾乎和操作系統(tǒng)結(jié)合在一起，從而使現(xiàn)有的殺毒軟件幾乎無能為力,極好地達(dá)到了隱藏的目的29木馬的發(fā)展（3）發(fā)展趨勢跨平臺性模塊化設(shè)計能夠自我復(fù)制即時通知30發(fā)現(xiàn)木馬的方法系統(tǒng)的異常情況打開文件，沒有任何反應(yīng)

查看打開的端口檢查注冊表查看進(jìn)程31木馬實施攻擊的步驟1.配置木馬木馬偽裝：信息反饋：2.傳播木馬3.啟動木馬4.建立連接5.遠(yuǎn)程控制323.2計算機木馬原理實際就是一個C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口被植入木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)33木馬文件的隱藏與偽裝（1）文件的位置（2）文件的屬性（3）捆綁到其他文件上（4）文件的名字（5）文件的的擴展名（6）文件的圖標(biāo)34木馬運行中的隱藏與偽裝（1）在任務(wù)欄里隱藏（2）在任務(wù)管理器里隱藏（3）隱藏端口35木馬啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動:偽裝在普通文件中設(shè)置在超級連接中36木馬傳播方式（主動與被動）：主動植入通過E－mail文件下載瀏覽網(wǎng)頁373.3計算機木馬防御

發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級查在安裝新的軟件之前，請先備份注冊表在安裝完軟件以后，立即用殺毒軟件查殺Windows文件夾和所安裝的軟件的所在文件夾。如果殺毒軟件報告有病毒，這時請將它殺掉，殺毒完成后，重新啟動計算機383.4流行木馬簡介冰河backorificeSubseven網(wǎng)絡(luò)公牛(Netbull)網(wǎng)絡(luò)神偷(Nethief)廣外女生Netspy(網(wǎng)絡(luò)精靈)（見脫機資料）394拒絕服務(wù)攻擊4.1拒絕服務(wù)攻擊實例4.2分布式拒絕服務(wù)攻擊4.3一次DDoS攻擊過程4.4計算機蠕蟲404.1拒絕服務(wù)攻擊實例PingofDeathJolt2Land41PingofDeath原理：攻擊者：發(fā)送長度超過65535的ICMPEchoRequest的碎片分組，目標(biāo)機：重組分片時會造成事先分配的65535字節(jié)緩沖區(qū)溢出，導(dǎo)致TCP/IP堆棧崩潰防御：Win98之后的系統(tǒng)都能夠應(yīng)對超大尺寸的包配置防火墻阻斷ICMP以及任何未知協(xié)議分組42Jolt2

原理：發(fā)送大量相同的碎片化IP分組分片標(biāo)志位MF被置為0偏移量為65520IP分組大小為29字節(jié)IPID為1109（IDS檢測特征）防御：Windows系統(tǒng)必須安裝最新的補丁在網(wǎng)絡(luò)邊界上禁止碎片包通過，或者限制其包速率必須確保防火墻重組碎片的算法沒有問題計算總長度：20+65520+9=65549>6553543Land

原理：發(fā)送一個特別定制的SYN分組源地址和目的地址都設(shè)為目標(biāo)機地址源端口號和目的端口號相同防御：為操作系統(tǒng)安裝最新的補丁配置防火墻，過濾從外部接口進(jìn)入的、含有內(nèi)部源地址的分組44SYNFlooding原理：TCP連接的三次握手和半開連接攻擊者：發(fā)送大量偽造的TCP連接請求方法1：偽裝成當(dāng)時不在線的IP地址發(fā)動攻擊方法2：在主機或路由器上阻截目標(biāo)機的SYN/ACK分組目標(biāo)機：堆棧溢出崩潰或無法處理正常請求防御：縮短SYNTimeout時間（設(shè)置為20秒以下）設(shè)置SYNCookie缺陷：依賴于對方使用真實的IP地址設(shè)置路由器和防火墻,在給定的時間內(nèi)只允許數(shù)量有限的半開TCP連接發(fā)往主機給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)收到某IP的重復(fù)SYN報文，就認(rèn)定受到了攻擊，從此IP地址來的后繼包被丟棄。45客戶端服務(wù)器端客戶端服務(wù)器端正常過程半開連接SYNSYN/ACKACKSYNSYN/ACKSYN/ACKSYNTimeoutSYNFlooding之TCP三次握手46....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應(yīng)答SYN/ACK.........47分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用C/S技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。

4.2分布式拒絕服務(wù)攻擊48一個將目的地址設(shè)置成廣播地址（以太網(wǎng)地址為FF:FF:FF:FF:FF:FF:FF）后的數(shù)據(jù)包，將會被網(wǎng)絡(luò)中所有主機接收并處理。顯然，如果攻擊者假冒目標(biāo)主機的地址發(fā)出廣播信息，則所有主機都會向目標(biāo)主機回復(fù)一個應(yīng)答使目標(biāo)主機淹沒在大量信息中，無法提供新的服務(wù)。這兩個攻擊就是利用廣播地址的這一特點將攻擊放大而實施的拒絕服務(wù)攻擊。其中，Smurf是用廣播地址發(fā)送ICMPECHO包，而Fraggle是用廣播地址發(fā)送UDP包。Smurf49顯然，smurf為了能工作，必須要找到攻擊平臺，這個平臺就是：其路由器上啟動了IP廣播功能——允許smurf發(fā)送一個偽造的ping信息包，然后將它傳播到整個計算機網(wǎng)絡(luò)中。另一方面，為防止系統(tǒng)成為smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止（一般來講，IP廣播功能并不需要）。但是，攻擊者若從LAN內(nèi)部發(fā)動一個smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊，許多操作系統(tǒng)都提供了相應(yīng)設(shè)置，防止計算機對IP廣播請求做出響應(yīng)。挫敗一個smurf攻擊的最簡單方法就是，對邊界路由器的回音應(yīng)答(echoreply)信息包進(jìn)行過濾，然后丟棄它們，使網(wǎng)絡(luò)避免被淹沒。50目標(biāo)機攻擊者放大器放大器源地址：目標(biāo)機目的地址：廣播地址（放大器網(wǎng)絡(luò)）Smurf之放大器51圖2.15DDoS的一般原理

DDoS的一般原理52一個比較完善的DDoS攻擊體系分成4部分：·攻擊者所在機·控制機（用來控制傀儡機）·傀儡機·受害者。對受害者的攻擊是從擊傀儡機上發(fā)出的，控制機只發(fā)布命令而不參與實際的攻擊。trinooDDoS攻擊的基本過程是：攻擊者連接到安裝了master程序的計算機，啟動master程序，然后根據(jù)一個IP地址的列表，由master程序負(fù)責(zé)啟動所有的代理程序。接著，代理程序用UDP信息包沖擊網(wǎng)絡(luò)，攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有master程序的計算機和所有裝有代理程序的計算機。DDoS就是利用更多的傀儡機來發(fā)起進(jìn)攻，以更大的規(guī)模來進(jìn)攻受害者。

532.DDoS系統(tǒng)的一般結(jié)構(gòu)在更一般的情況下，DDoS可能使用多臺控制機，形成圖2.16所示的結(jié)構(gòu)。

圖2.16DDoS攻擊原理

541)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(nèi)(“肉機”)，并且秘密地安置一個其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS攻擊時序55

3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請求56DDoS工具TFN2K

TFN2K由客戶端和守護(hù)程序兩部分組成。其中，客戶端運行在主控端計算機上，是用于發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令；守護(hù)程序運行在代理端計算機上，是一個用于接收和響應(yīng)來自主控端（即客戶端）命令的進(jìn)程57TF2K特征主控端和代理端之間的信息通訊都是經(jīng)過加密可以用多種拒絕服務(wù)攻擊方法對受害者發(fā)起攻擊，比如說SYN洪水攻擊、Ping洪水攻擊、Smurf攻擊等TFN2K守護(hù)程序的進(jìn)程名是在編譯時指定的，因此在不同的代理端計算機上，TFN2K守護(hù)進(jìn)程的名字都有可能不同58攻擊來自路由器的數(shù)據(jù)包源地址為攻擊目標(biāo)的IP攻擊者網(wǎng)站網(wǎng)站遭到攻擊的原理圖路由器路由器59攻擊者向一些正常的網(wǎng)絡(luò)路由器發(fā)送帶有連接請求的SYN數(shù)據(jù)包，這些數(shù)據(jù)包都帶有一個相同的虛假IP地址，而且這個虛假的IP地址就是攻擊目標(biāo)的。網(wǎng)絡(luò)路由器接收這個請求連接的數(shù)據(jù)包，并做出應(yīng)答，向網(wǎng)站發(fā)送應(yīng)答數(shù)據(jù)包，作為建立TCP連接三次握手過程中的第二步。這些路由器不會向攻擊者發(fā)送應(yīng)答數(shù)據(jù)包。60DDoS攻擊的防御策略DDoS攻擊的隱蔽性極強，迄今為止人們還沒有找到對DDoS攻擊行之有效的解決方法。所以加強安全防范意識、提高網(wǎng)絡(luò)系統(tǒng)的安全性，還是當(dāng)前最為有效的辦法?？刹扇〉陌踩烙胧┯幸韵聨追N：（1）及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。（2）在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。61這里用“組織”這個詞，是因為DDoS并不象入侵一臺主機那樣簡單。一般來說，黑客進(jìn)行DDoS攻擊時會經(jīng)過如下幾個步驟。（1）搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報：

·

被攻擊目標(biāo)主機數(shù)目、地址情況

·

目標(biāo)主機的配置、性能

·

目標(biāo)的帶寬

4.3一次DDoS攻擊過程62對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點，如http://www.WWWW.com，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站可能有很多臺主機利用負(fù)載均衡技術(shù)提供同一個網(wǎng)站的www服務(wù)。以yahoo為例，一般會有下列地址都是提供http://www.WWW.com服務(wù)的：

7 8 90 1 34 6對一個網(wǎng)站實施DDoS攻擊，就要讓這個網(wǎng)站中所有IP地址的機器都癱掉。所以事先搜集情報對DDoS攻擊者來說是非常重要的，這關(guān)系到使用多少臺傀儡機才能達(dá)到效果的問題。

63（2）占領(lǐng)傀儡機黑客最感興趣的是有下列情況的主機：

·

鏈路狀態(tài)好的主機

·

性能好的主機

·

安全管理水平差的主機首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)網(wǎng)絡(luò)上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了。黑客在占領(lǐng)了一臺傀儡機后，除了要進(jìn)行留后門、擦腳印這些基本工作之外，還要把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDoS的發(fā)包程序，黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。

64（3）實際攻擊前面的準(zhǔn)備做得好的話，實際攻擊過程反而是比較簡單的。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應(yīng)控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機或是無法響應(yīng)正常的請求。黑客一般會以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊。高明的攻擊者還要一邊攻擊一邊用各種手段來監(jiān)視攻擊的效果，以便需要的時候進(jìn)行一些調(diào)整。簡單些的辦法就是開個窗口不斷地ping目標(biāo)主機，在能接到回應(yīng)的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

654.DDoS的監(jiān)測現(xiàn)在網(wǎng)上DDoS攻擊日益增多，只有及時檢測，及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。檢測DDoS攻擊的主要方法有以下幾種：（1）根據(jù)異常情況分析異常情況包括：·

網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時；·

網(wǎng)站的某一特定服務(wù)總是失?。弧?/p>

發(fā)現(xiàn)有特大型的ICMP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑。66（2）使用DDoS檢測工具掃描系統(tǒng)漏洞是攻擊者最常進(jìn)行的攻擊準(zhǔn)備。目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)