信息安全工程及管理CISP認(rèn)證培訓(xùn)教程-2-網(wǎng)絡(luò)安全

信息平安技術(shù)

網(wǎng)絡(luò)平安中國信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心〔CNITSEC〕CISP-2-網(wǎng)絡(luò)平安〔培訓(xùn)樣稿〕今天的主題網(wǎng)絡(luò)根底網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊拒絕效勞〔DoS〕攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備平安拒絕效勞攻擊〔DoS〕的防御策略IPSec與VPN技術(shù)INTERNET的美妙之處在于你和每個(gè)人都能互相連接INTERNET的可怕之處在于每個(gè)人都能和你互相連接網(wǎng)絡(luò)根底OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

OSI層次劃分原那么應(yīng)該把層次分成理論上需要的不同等級(jí)，減少過多的層次；每一層都應(yīng)該較好地履行其特定的功能；每一層的功能選定都基于已有成功經(jīng)驗(yàn)的國際標(biāo)準(zhǔn)協(xié)議；每一層的界面都應(yīng)該選在效勞描述最少、通過接口的信息流量最少的地方；把類似的功能集中在同一層內(nèi)，使之易于局部化；當(dāng)在數(shù)據(jù)處理過程中需要不同級(jí)別抽象時(shí)，那么設(shè)立一個(gè)層次；一個(gè)層次內(nèi)的功能或協(xié)議更改時(shí)不影響其它各層；只為每一層建立與其相鄰的上一層和下一層的接口；在需要不同的通信效勞時(shí)，可在同一層內(nèi)再形成子層次，不需要時(shí)也可繞過該子層次。TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25EthernetTelnetSMTPDNSFTPUDPTCPIPTOKENRING無線網(wǎng)絡(luò)SATNETETHERNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕效勞攻擊和數(shù)據(jù)竊聽風(fēng)險(xiǎn)傳輸層：拒絕效勞攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞Internet的平安問題的產(chǎn)生Internet起于研究工程,平安不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計(jì)費(fèi)、性能、配置、平安“Securityissuesarenotdiscussedinthismemo〞網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標(biāo)可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策平安政策、計(jì)費(fèi)政策、路由政策網(wǎng)絡(luò)平安的物理范圍網(wǎng)絡(luò)平安的語義范圍

保密性完整性可用性可控性平安的級(jí)別PublicInternalConfidentialSecretWebSite

DataMarketing

DataPayroll

DataTrade

SecretsTypeofDataWhatisatRiskPublicPrestige,Trust,RevenueInternalOperationsConfidentialOperations,InternalTrustSecretIntellectualProperty局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行根本平安配置合理的劃分VLAN別離播送域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過濾良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)平安規(guī)劃原那么合理的分配地址合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)通過VLAN分隔網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)平安制度網(wǎng)絡(luò)設(shè)備平安配置關(guān)閉不必要的設(shè)備效勞使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級(jí)設(shè)備硬件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個(gè)國家或洲。廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行根本平安配置確保路由協(xié)議平安使用ACL進(jìn)行數(shù)據(jù)過濾使用AAA加強(qiáng)訪問控制和認(rèn)證網(wǎng)絡(luò)中面臨的威脅交換機(jī)-Vlan穿越原因由于802.1q幀標(biāo)記插在幀的目的、源MAC地址之后，交換機(jī)的端口收到特殊構(gòu)造的帶有802.1q標(biāo)記的幀后可以正確識(shí)別如果交換機(jī)不知道目的MAC，就將幀轉(zhuǎn)發(fā)到同一VLAN的所有端口在CISCO交換機(jī)上，端口缺省的VLAN為1，即使設(shè)為trunk模式也不會(huì)改變成功攻擊的條件源與目的主機(jī)接在不同的交換機(jī)上，交換機(jī)之間必須通過trunklink連接源主機(jī)必須與trunk端口位于同一vlan源主機(jī)必須知道目的主機(jī)的MAC地址目的主機(jī)能夠通過三層設(shè)備訪問源主機(jī)交換機(jī)-Vlan穿越對(duì)策將所有user-end端口都從vlan1中排除將trunk接口劃分到一個(gè)單獨(dú)的vlan中，該vlan中不應(yīng)包含任何user-end接口交換機(jī)-針對(duì)CDP攻擊說明Cisco專用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次，目標(biāo)MAC：01:00:0C:CC:CC:CC可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)翻開危害任何人可以輕松得到整個(gè)網(wǎng)絡(luò)信息可以被利用發(fā)起DoS攻擊：對(duì)策如不需要，禁止CDP禁止User-End端口的CDP交換機(jī)-針對(duì)STP攻擊說明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕效勞對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)〔banner〕其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)CommunityStringSnmp網(wǎng)管軟件SNMP工作模式輪詢模式

管理工作站

==>

Network

==>

Agent(Listen:UDP161)

<==Device

get指令

轉(zhuǎn)換成snmp消息格式

驗(yàn)證權(quán)限，處理請(qǐng)求并反響

管理工作站

<==

Network

<==

Agent

<==Device

自陷模式

管理工作站(Listen:UDP162)

<==

Network

<==

Agent

<==

Device

監(jiān)聽UCP162

轉(zhuǎn)換成snmp消息格式

當(dāng)設(shè)備事件發(fā)生時(shí)主動(dòng)反響信息

路由器-針對(duì)snmp攻擊利用讀、寫口令字下載配置文件針對(duì)SNMP的暴力破解程序CISCOSNMP越權(quán)訪問可寫口令字……拒絕效勞攻擊定義

DoS〔DenialofService〕拒絕效勞攻擊是用來顯著降低系統(tǒng)提供效勞的質(zhì)量或可用性的一種有目的行為。 DDoS〔DistributedDenialofservice〕分布式拒絕效勞攻擊使用了分布式客戶效勞器功能，，能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕效勞攻擊和遠(yuǎn)程訪問。DDoS攻擊示意圖分布式拒絕效勞攻擊示意圖DoS攻擊舉例SynFloodIcmpSmurf〔directedbroadcast〕UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統(tǒng)級(jí)別的拒絕效勞〔SMBDie〕應(yīng)用級(jí)別的拒絕效勞〔pcanywhere〕DDoS攻擊類型TrinooTFNTFN2KStacheldrahtFunTimeApocalypseSynFloodSYNFlood是當(dāng)前最流行的DoS〔拒絕效勞攻擊〕與DDoS〔分布式拒絕效勞攻擊〕的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡〔CPU滿負(fù)荷或內(nèi)存缺乏〕的攻擊方式。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒回應(yīng)就是讓你白等不能建立正常的連接IcmpSmurf

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充滿目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行效勞。攻擊的過程是這樣的：Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的播送地址發(fā)送一個(gè)欺騙性Ping分組〔echo請(qǐng)求〕，這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。這種攻擊的前提是，路由器接收到這個(gè)發(fā)送給IP播送地址〔如〕的分組后，會(huì)認(rèn)為這就是播送分組，并且把以太網(wǎng)播送地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器人因特網(wǎng)上接收到該分組，會(huì)對(duì)本地網(wǎng)段中的所有主機(jī)進(jìn)行播送。IcmpSmurf網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段，可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因些目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)效勞。這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀況。IcmpSmurf阻塞Smurf攻擊的源頭 Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請(qǐng)求。用戶可以使用路由路的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點(diǎn)。阻塞Smurf的反彈站點(diǎn) 用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點(diǎn)。第一種方法可以簡單地阻塞所有入站echo請(qǐng)求，這們可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。如果不能阻塞所有入站echo請(qǐng)求，用戶就需要將自己的路由器把網(wǎng)絡(luò)播送地址映射成為LAN播送地址。制止了這個(gè)映射過程，自己的系統(tǒng)就不會(huì)再收到這些echo請(qǐng)求。UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP效勞都產(chǎn)生輸出，然后讓這兩種UDP效勞之間互相通信，使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺(tái)主時(shí)機(jī)癱瘓一些被惡意利用的UDP效勞，如echo和chargen效勞，它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen效勞會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反響一些字符，如果惡意攻擊者將這2個(gè)UDP效勞互指，那么網(wǎng)絡(luò)可用帶寬將很快耗盡UdpFlood禁止相關(guān)效勞與網(wǎng)絡(luò)設(shè)備配合IcmpPingFloodPing是通過發(fā)送ICMP報(bào)文(類型8代碼0)探尋網(wǎng)絡(luò)主機(jī)是否存在的一個(gè)工具。局部操作系統(tǒng)〔例如win95〕，不能很好處理過大的Ping包，導(dǎo)致出現(xiàn)了PingtoDeath的攻擊方式〔用大Ping包搞垮對(duì)方或者塞滿網(wǎng)絡(luò)〕，由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。如果對(duì)方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰，也占去許多帶寬。如TFN2K會(huì)產(chǎn)生大量的進(jìn)程，每個(gè)進(jìn)程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無法正常工作。IcmpPingFlood正常情況下，Ping的流程是這樣的:主機(jī)A發(fā)送ICMP8,0報(bào)文給主機(jī)B主機(jī)B回送ICMp0,0報(bào)文給主機(jī)A因?yàn)镮CMP基于無連結(jié)，假設(shè)現(xiàn)在主機(jī)A偽裝成主機(jī)C發(fā)送ICMP8,0報(bào)文，結(jié)果會(huì)怎么樣呢?顯然，主機(jī)B會(huì)以為是主機(jī)C發(fā)送的報(bào)文而去回應(yīng)主機(jī)C，結(jié)構(gòu)如下：偽裝為主機(jī)C錯(cuò)誤的回復(fù)主機(jī)A--------------------->主機(jī)B------------------>主機(jī)C這種情況下，由于主機(jī)A只需要不斷發(fā)送Ping報(bào)文而不需要處理返回的EchoReply，所以攻擊力度成倍的增加，同時(shí)實(shí)際上主機(jī)B和主機(jī)C都是被進(jìn)攻的目標(biāo)，而且不會(huì)留下攻擊者的痕跡。IcmpFlood禁止相關(guān)效勞與網(wǎng)絡(luò)設(shè)備配合TARGA3(堆棧突破)TARGA3攻擊的根本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不標(biāo)準(zhǔn)數(shù)據(jù)包，便會(huì)使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請(qǐng)求〔即拒絕效勞〕。典型代表是winnuke，jolt，teardrop等TARGA3(堆棧突破)升級(jí)操作系統(tǒng)與IDS等平安產(chǎn)品配合操作系統(tǒng)級(jí)別的拒絕效勞Microsoft操作系統(tǒng)對(duì)畸形的SMB〔ServerMessageBlock〕請(qǐng)求存在漏洞應(yīng)用級(jí)別的拒絕效勞包含在操作系統(tǒng)或應(yīng)用程序中與平安相關(guān)的系統(tǒng)缺陷而引起的拒絕效勞問題，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核，無心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻?。典型代表是pcanywhere的拒絕效勞問題應(yīng)用級(jí)別的拒絕效勞PCAnywhere存在因端口掃描導(dǎo)致的DoS攻擊發(fā)布日期:2000-4-27受影響的系統(tǒng):SymantecPCAnywhere9.2SymantecPCAnywhere9.0描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng)，只有重新啟動(dòng)效勞才能正常運(yùn)行。應(yīng)用級(jí)別的拒絕效勞升級(jí)相關(guān)軟件與平安產(chǎn)品配合Trinoo介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的Trin00是一種分布式拒絕效勞的工具。攻擊者使用該工具可以控制多個(gè)主機(jī)，利用這些主機(jī)向其他主機(jī)發(fā)送UDPflood。Trin00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDPflood配置Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常效勞，乃至崩潰。它對(duì)IP地址不做假，采用的通訊端口是： 攻擊者主機(jī)到主控端主機(jī)：27665/TCP主控端主機(jī)到代理端主機(jī)：27444/UDP 代理端主機(jī)到主效勞器主機(jī)：31335/UDPTFN介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的TribeFloodNetwork,TFN,是一種分布式拒絕效勞的工具，使用該工具可以使攻擊者利用多個(gè)主機(jī)，一次flood一個(gè)目標(biāo)。有四種不同類型的flood：ICMPEchofloodUDPFloodSYNFloodSmurf攻擊TFN介紹TFN客戶機(jī)和效勞器使用ICMPecho互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩局部組成，具有偽造數(shù)據(jù)包的能力。TFN2K介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機(jī)的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕效勞的工具，可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成?？蛻舳丝刂埔粋€(gè)多個(gè)主機(jī)主流程序，主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood?？蛻舳丝梢允褂肬DP、TCP或ICMP與主機(jī)主流程序進(jìn)行通訊，并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹TFN2K是由TFN開展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對(duì)ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。Stacheldraht介紹影響平臺(tái):任何平臺(tái)風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)的Stacheldraht是一種分布式拒絕效勞的工具，它是利用TribeFloodNetwork(TFN)和Trin00源代碼編制的工具。除具有TFN和Trin00的功能外，Stacheldraht對(duì)客戶機(jī)、主人效勞器〔或稱為操作者〕及代理之間進(jìn)行加密通訊。還可以利用rcp命令遠(yuǎn)程升級(jí)代理〔提供帳號(hào)和效勞器名稱〕。Stacheldraht是專為Linux和Solaris設(shè)計(jì)的，但是只需對(duì)源代碼進(jìn)行一些修改，就可以安裝到任何系統(tǒng)。Stacheldraht介紹Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對(duì)命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個(gè)內(nèi)嵌的代理升級(jí)模塊，可以自動(dòng)下載并安裝最新的代理程序。FunTimeApocalypse介紹影響平臺(tái):Windows9x,NT,2K風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò)的FuntimeApocalypse是Windows9x和WindowsNT平臺(tái)的分布式拒絕效勞(DDoS)工具，攻擊者可以調(diào)用一個(gè)"timerfused"flood一個(gè)目標(biāo)計(jì)算機(jī)。FuntimeApocalypse由以下文件組成:一個(gè)flood程序(bmb2.exe)一個(gè)主機(jī)文件(funtime.txt)一些批處理文件(funtime.bat,timer98.bat和timerNT.bat)兩個(gè)WindowsHTML應(yīng)用程序(funtime98.hta和funtimeNT.hta)Funtime需要攻擊者對(duì)批處理文件和WindowsHTML應(yīng)用程序進(jìn)行修正，否那么將不能實(shí)施攻擊DDoS攻擊特性DDoS攻擊將越來越多地采用IP欺騙的技術(shù)；DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻，轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);DDoS攻擊將會(huì)變得越來越智能化，試圖躲過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤，并試圖繞過防火墻防御體系;針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大假設(shè)干倍;采用半連接技術(shù)SYN攻擊，和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。采用ICMP攻擊。采用smurf攻擊采用UDP攻擊。IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議，偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過濾加密使用隨機(jī)化初始序列號(hào)ARP欺騙實(shí)現(xiàn)簡易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MACArp_send.c危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于播送方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff平安事件案例2002年4月某校園網(wǎng)被攻擊原因：管理員工作站被攻擊后續(xù)：跳躍攻擊其它主機(jī)交換環(huán)境下的嗅探技術(shù)arpspoof，fragroute，dsniff網(wǎng)絡(luò)設(shè)備平安配置路由設(shè)備平安配置關(guān)閉不必要的設(shè)備效勞使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型Cisco路由器的平安配置使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由器平安配置控制網(wǎng)絡(luò)線路訪問access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50以上措施可以保證路由器的密碼平安Cisco路由器平安配置禁用交換機(jī)HTTP效勞器noipserver禁用CDP開掘協(xié)議nocdprun禁用交換機(jī)NTP效勞器nontpenable禁用低端口簡單效勞noservice-udp-small-servicesnoservice-udp-small-services禁用Finger效勞noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)Cisco路由器平安配置禁用簡單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)平安特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時(shí)使用，如果必要使用SNMP平安性1>>2>>3Cisco路由器平安配置認(rèn)證與日志管理使用AAA加強(qiáng)設(shè)備訪問控制日志管理loggingonloggingbuffered36000Cisco路由器平安配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向播送noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由器平安配置啟用TCP截獲特性防止DoS攻擊創(chuàng)立截獲訪問控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式Cisco路由器平安配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據(jù)包使用訪問控制列表限定數(shù)據(jù)流量使用訪問控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)拒絕效勞攻擊的防御策略第一種是縮短SYNTimeout時(shí)間，由于SYNFlood攻擊的效果取決于效勞器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄改連接的時(shí)間，例如設(shè)置為20秒以下〔過低的SYNTimeout設(shè)置可能會(huì)影響客戶的正常訪問〕，可以成倍的降低效勞器的負(fù)荷。

第二種方法是設(shè)置SYNCookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會(huì)被一概丟棄。SynFlood解決方法動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCPSYN報(bào)文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識(shí)、TCP首部中的序列號(hào)、TTL值等，特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標(biāo)之間的路由器距離，至少也可以通過過濾特定TTL值的報(bào)文降低被攻擊系統(tǒng)的負(fù)荷〔在這種情況下TTL值與攻擊報(bào)文不同的用戶就可以恢復(fù)正常訪問〕

網(wǎng)絡(luò)設(shè)備配合SynFlood其它方法SynFlood其它方法

負(fù)載均衡

基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYNFlood的免疫力，基于DNS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的效勞器主機(jī)上，SYNFlood程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動(dòng)進(jìn)行域名解析，但是它們有一點(diǎn)是相同的，就是一旦攻擊開始，將不會(huì)再進(jìn)行域名解析。攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)效勞器。

檢測(cè)DDoS攻擊根據(jù)異常情況分析 訪問量突然劇增，經(jīng)過sniffer分析，有大量的非正常的包，如沒有正常的tcp三次握手，或者是三次握手后沒有正常的關(guān)閉連接，或者大量的播送包，或者大量的icmp包，這說明極其有可能是遭受DDoS攻擊。 外部訪問突然變慢，或者訪問不到，可是主機(jī)的訪問量卻不大，這很有可能是路由器的配置出現(xiàn)問題，詢問一下是否有人對(duì)路由器等設(shè)備進(jìn)行過操作，或者你的對(duì)等ISP的線路出現(xiàn)問題。 主機(jī)突然反響很遲鈍。這要經(jīng)過sniffer進(jìn)行偵聽，這有兩種可能，一種是流量確實(shí)很大，有可能是遭受DoS攻擊，還有就是應(yīng)用程序編寫有誤，導(dǎo)致系統(tǒng)資源耗盡。檢測(cè)DDoS攻擊使用DDoS檢測(cè)工具 使用工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。使用ngrep監(jiān)聽工具。經(jīng)過修改的ngrep可以監(jiān)聽大約五種類型的tfn2k拒絕效勞攻擊(targa3,SYNflood,UDPflood,ICMPflood和smurf)，它還有一個(gè)循環(huán)使用的緩存用來記錄DNS和ICMP請(qǐng)求。如果ngrep覺察有攻擊行為的話，它會(huì)將其緩存中的內(nèi)容打印出來并繼續(xù)記錄ICMP回應(yīng)請(qǐng)求。假設(shè)攻擊者通過ping目標(biāo)主機(jī)的手段來鉚定攻擊目標(biāo)的話，在攻擊過程中或之后記錄ICMP的回應(yīng)請(qǐng)求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的效勞來核實(shí)其攻擊的效果〔例如web〕，所以對(duì)其他的標(biāo)準(zhǔn)效勞也應(yīng)當(dāng)有盡量詳細(xì)的日志記錄。DDoS攻擊的對(duì)策與網(wǎng)絡(luò)效勞提供商協(xié)作 能否與上一級(jí)的網(wǎng)絡(luò)主干效勞提供商進(jìn)行良好的合作是非常重要的事情。DDoS攻擊對(duì)帶寬的使用是非常嚴(yán)格的，無論使用什么方法都無法使自己的網(wǎng)絡(luò)對(duì)它的上一級(jí)進(jìn)行控制。最好能夠與網(wǎng)絡(luò)效勞供給商進(jìn)行協(xié)商，請(qǐng)求他們幫助實(shí)現(xiàn)路由的訪問控制，以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問地址在同一時(shí)間對(duì)帶寬的占有率。最好請(qǐng)求效勞提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時(shí)允許訪問他們的路由器。DDoS攻擊的對(duì)策安裝IDS和監(jiān)控異常流量。 在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動(dòng)正在進(jìn)行，立即對(duì)入侵行動(dòng)進(jìn)行報(bào)警。以最快時(shí)間內(nèi)對(duì)入侵做成反響。此外，也要時(shí)常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。優(yōu)化對(duì)外提供效勞的主機(jī) 對(duì)于潛在的有可能遭受攻擊的主機(jī)也要同樣進(jìn)行設(shè)置保護(hù)。在效勞器上禁止一切不必要的效勞，打補(bǔ)丁，進(jìn)行平安配置。此外，用防火墻對(duì)提供效勞的主機(jī)進(jìn)行保護(hù)，對(duì)訪問量大的主機(jī)進(jìn)行負(fù)載均衡。將網(wǎng)站分布在多個(gè)不同的物理主機(jī)上，這樣每一臺(tái)主機(jī)只包含了網(wǎng)站的一局部，防止了網(wǎng)站在遭受攻擊時(shí)全部癱瘓。DDoS攻擊的對(duì)策立即啟動(dòng)應(yīng)付策略，盡可能快的向回追蹤攻擊包 如果發(fā)現(xiàn)攻擊并非來自內(nèi)部應(yīng)當(dāng)立即與效勞提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。應(yīng)當(dāng)迅速的判斷是否遭到了拒絕效勞攻擊，因?yàn)樵诠敉Ｖ购?，只有很短的一段時(shí)間您可以向回追蹤攻擊包，這最好和平安公司或組織一道來追查攻擊者。與信息平安監(jiān)察部門聯(lián)系 由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。所以一旦攻擊發(fā)生，應(yīng)該及時(shí)與信息平安監(jiān)察部門聯(lián)系，及時(shí)提供系統(tǒng)日志作為證據(jù)保全，以利于追查和起訴攻擊者，便于日后用法律手段追回經(jīng)濟(jì)損失DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRate-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRate-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedDDoS預(yù)防方法RFC1918約定過濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方法RFC2728約定過濾入口數(shù)據(jù)包必須來自客戶地址出口數(shù)據(jù)包不能來自客戶確保檢查入口數(shù)據(jù)包有效DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包的返回路徑是否使用與到達(dá)相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF〔快速向前傳輸〕特性在存在非對(duì)稱路徑時(shí)不適合IPSec與VPN技術(shù)VPN技術(shù)虛擬專用網(wǎng)〔VirtualPrivateNetwork〕：在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的平安、管理及功能等特點(diǎn)。采用VPN的原因費(fèi)用平安性VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三層隧道協(xié)議GREIPSecPPTP將其他協(xié)議和數(shù)據(jù)封裝于IP數(shù)據(jù)包中；該方式用在公共的Internet創(chuàng)立隧道，遠(yuǎn)端