《網(wǎng)絡(luò)中的安全問題》

第10章網(wǎng)絡(luò)中的平安問題10.1網(wǎng)絡(luò)平安概述10.2IP欺騙10.3端口掃描10.4網(wǎng)絡(luò)監(jiān)聽10.5拒絕效勞攻擊10.6特洛伊木馬實(shí)訓(xùn)工程10.1網(wǎng)絡(luò)平安概述TCP/IP是目前Internet使用的協(xié)議。TCP/IP存在著一系列的平安缺陷。有的缺陷是由于源地址的認(rèn)證問題造成的，有的缺陷那么來自網(wǎng)絡(luò)控制機(jī)制和路由協(xié)議等。這些缺陷，是所有使用TCP/IP的系統(tǒng)所共有的.10.1.1TCP序列號(hào)預(yù)計(jì) TCP序列號(hào)預(yù)計(jì)由莫里斯首先提出，是網(wǎng)絡(luò)平安領(lǐng)域中最有名的缺陷之一。這種攻擊的實(shí)質(zhì)，是在不能接到目的主機(jī)應(yīng)答確認(rèn)時(shí)，通過預(yù)計(jì)序列號(hào)建立連接。這樣，入侵者可以偽裝成信任主機(jī)與目的主機(jī)通話10.1.2路由協(xié)議缺陷

(1)源路由選項(xiàng)的使用 (2)偽造ARP包 (3)RIP的攻擊 (4)OSPF的攻擊(1)源路由選項(xiàng)的使用 在IP包頭中的源路由選項(xiàng)用于該IP包的路由選擇，這樣，一個(gè)IP包可以按照預(yù)告指定的路由到達(dá)目的主機(jī)。對(duì)于Cisco路由器，禁止源路由包可通過命令：noipsource-route實(shí)現(xiàn)。(2)偽造ARP包 偽造ARP包是一種很復(fù)雜的技術(shù)，涉及到TCP/IP及以太網(wǎng)特性的很多方面。偽造ARP包的主要過程是，以目的主機(jī)的IP地址和以太網(wǎng)地址為源地址發(fā)一ARP包，這樣即可造成另一種IPspoof。(3)RIP的攻擊如果入侵者宣布經(jīng)過自己的一條通向目的主機(jī)的路由，將導(dǎo)致所有往目的的主機(jī)數(shù)據(jù)包發(fā)往入侵者。這樣，入侵者就可以冒充是目的主機(jī)，也可以監(jiān)聽所有目的主機(jī)的數(shù)據(jù)包，甚至在數(shù)據(jù)流中插入任意的包。

解決上述問題的方法是：注意路由的改變信息。一個(gè)聰明的網(wǎng)關(guān)可以有效地?cái)P棄任何明顯錯(cuò)誤的路由信息。RIP的認(rèn)證、加密也是一種較好的方法。(4)OSPF的攻擊 OSPF〔OpenShortestPathFirst〕協(xié)議是用于自治域內(nèi)部的另一種路由協(xié)議。OSPF協(xié)議使用的路由算法是鏈路狀態(tài)〔Link-State〕算法。在該算法中，每個(gè)路由器給相鄰路由器宣布的信息是一個(gè)完整的路由狀態(tài)，包括可到達(dá)的路由器，連接類型和其他相關(guān)信息。和RIP相比，雖然OSPF協(xié)議中實(shí)施了認(rèn)證過程，但是該協(xié)議還存在著一些平安的問題。10.1.3網(wǎng)絡(luò)監(jiān)聽 如果有一個(gè)網(wǎng)絡(luò)設(shè)備專門收集播送而決不應(yīng)答，那么，它就可以看到本網(wǎng)的任何計(jì)算機(jī)在網(wǎng)上傳輸?shù)臄?shù)據(jù)。如果數(shù)據(jù)沒有經(jīng)過加密，那么它就可以看到所有的內(nèi)容。Sniffer就是一個(gè)在以太網(wǎng)上進(jìn)行監(jiān)聽的專用軟件。監(jiān)聽這個(gè)現(xiàn)象對(duì)網(wǎng)絡(luò)的平安威脅是相當(dāng)大的，因?yàn)樗梢宰龅揭韵聨c(diǎn):〔1〕抓到正在傳輸?shù)拿艽a?！?〕抓到別人的秘密〔信用卡號(hào)〕或不想共享的東西?！?〕暴露網(wǎng)絡(luò)信息。10.2IP欺騙10.2IP欺騙原理 1、信任關(guān)系 2、Rlogin 3、TCP序列號(hào)預(yù)測 4、序列編號(hào)、確認(rèn)和其他標(biāo)志信息 5、IP欺騙 6、IP欺騙的防止1、信任關(guān)系 信任關(guān)系是基于IP地址的。2、Rlogin Rlogin允許用戶從一臺(tái)主機(jī)登錄到另一臺(tái)主機(jī)上，并且，如果目標(biāo)主機(jī)信任它，Rlogin將允許在不應(yīng)答口令的情況下使用目標(biāo)主機(jī)上的資源。平安驗(yàn)證完全是基于源主機(jī)的IP地址。3、TCP序列號(hào)預(yù)測 可以對(duì)IP堆棧進(jìn)行修改，在源地址和目的地址中放入任意滿足要求的IP地址，也就是說，提供虛假的IP地址。4、序列編號(hào)、確認(rèn)和其他標(biāo)志信息 TCP序列號(hào)預(yù)測最早是由Morris對(duì)這一平安漏洞進(jìn)行闡述的。它使用TCP序列號(hào)預(yù)測，即使沒有從效勞器得到任何響應(yīng)也能產(chǎn)生一個(gè)TCP包序列，這使得它能欺騙在本地網(wǎng)絡(luò)上的主機(jī)。5、IP欺騙IP欺騙由假設(shè)干步驟組成：〔1〕使被信任主機(jī)喪失工作能力 一旦發(fā)現(xiàn)被信任的主機(jī)，為了偽裝成它，往往使其喪失工作能力。由于攻擊者將要代替真正的被信任主機(jī)，攻擊者必須確保真正被信任的主機(jī)不能接收到任何有效的網(wǎng)絡(luò)數(shù)據(jù)，否那么將會(huì)被揭穿。有許多方法可以做到這些?！?〕序列號(hào)取樣和猜測 要對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，必須知道目標(biāo)主機(jī)使用的數(shù)據(jù)包序列號(hào)。 一個(gè)和這種TCP序列號(hào)攻擊相似的方法是使用NETSTAT效勞。在這個(gè)攻擊中，入侵者模擬一個(gè)主機(jī)關(guān)機(jī)。如果目標(biāo)主機(jī)上有NETSTAT，它能提供在另一端口上必須的序列號(hào)。這取消了所有要猜測的必要。6、IP欺騙的防止〔1〕拋棄基于地址的信任策略 阻止這類攻擊的一種非常容易的方法就是放棄以地址為根底的驗(yàn)證。不允許r*類遠(yuǎn)程調(diào)用命令的使用；刪除.rhosts文件；清空/etc/hosts.equiv文件。這將迫使所有用戶使用其他遠(yuǎn)程通信手段，如telnet、ssh、skey等等。〔2〕進(jìn)行包過濾 如果網(wǎng)絡(luò)是通過路由接入Internet的，那么可以利用路由器來進(jìn)行包過濾。確信只有您的內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。您的路由器可以幫助您過濾掉所有來自于外部而希望與內(nèi)部建立連接的請(qǐng)求?！?〕使用加密方法 阻止IP欺騙的另一種明顯的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時(shí)，可能加密方法最為適用。〔4〕使用隨機(jī)化的初始序列號(hào) 黑客攻擊得以成功實(shí)現(xiàn)的一個(gè)很重要的因素，就是序列號(hào)不是隨機(jī)選擇的或者隨機(jī)增加的。10.3端口掃描10.3.1端口掃描簡介 掃描器是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)平安性弱點(diǎn)的程序，通過使用它，能夠掃描TCP端口，并記錄反響信息，可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程效勞器中各種TCP端口的分配、提供的效勞和它們的軟件版本。這就能直觀地或間接地了解遠(yuǎn)程主機(jī)存在的平安問題。10.3.2端口掃描的原理 最簡單的端口掃描程序僅僅是檢查一下目標(biāo)主機(jī)在哪些端口可以建立TCP連接，如果可以建立連接，那么說明該主機(jī)在那個(gè)端口監(jiān)聽。當(dāng)然，這種端口掃描程序不能進(jìn)一步確定端口提供什么樣的效勞，也不能確定該效勞是否有眾所周知的那些缺陷。 下面介紹入侵者們?nèi)绾卫蒙鲜鲞@些信息，來隱藏自己的端口掃描

: 1、TCPconnect()掃描 2、TCPSYN掃描

3、TCPFIN掃描 4、Fragmentation掃描 5、UDPrecfrom()和write()掃描 6、ICMP掃描1、TCPconnect()掃描 TCPconnect()是最根本的一種掃描方式。使用系統(tǒng)提供的connect()系統(tǒng)調(diào)用建立與目標(biāo)主機(jī)端口的連接。如果端口正在監(jiān)聽，connect()就成功返回；否那么，說明該端口不可訪問。2、TCPSYN掃描 一個(gè)RST響應(yīng)說明該端口沒有被監(jiān)聽。如果收到一個(gè)SYN/ACK，那么通過立即發(fā)送一個(gè)RST來關(guān)閉連接。這樣做的好處是極少有主機(jī)來記錄這種連接請(qǐng)求。不利之處在于，必須有超級(jí)用戶權(quán)限才能建立這種可配置的SYN數(shù)據(jù)包。3.TCPFIN掃描 根本思想是關(guān)閉的端口將會(huì)用正確的RST來應(yīng)答發(fā)送的FIN數(shù)據(jù)包；相反，翻開的端口往往忽略這些請(qǐng)求。這是一個(gè)TCP實(shí)現(xiàn)上的錯(cuò)誤，也不是所有的系統(tǒng)都存在這類錯(cuò)誤，因此，并不是100％有效。4、Fragmentation掃描 Fragmentation掃描并不是僅僅發(fā)送探測的數(shù)據(jù)包，而是將要發(fā)送的數(shù)據(jù)包分成一組更小的IP包。通過將TCP包頭分成幾段，放入不同的IP包中，使得包過濾程序難以過濾。5.UDPrecfrom()和write()掃描 沒有root權(quán)限的用戶不能直接得到端口不可訪問的錯(cuò)誤，但是Linux可以間接地通知用戶。6、ICMP掃描 ICMP掃描并不是一個(gè)真正的端口掃描，因?yàn)镮CMP并沒得到端口的信息。然而，用PING這個(gè)命令，通?？梢缘玫骄W(wǎng)上目標(biāo)主機(jī)是否正在運(yùn)行的信息。10.3.3端口掃描的工具1、NSS NSS，即網(wǎng)絡(luò)平安掃描器，是一個(gè)非常隱蔽的掃描器。如果用流行的搜索程序搜索它，所能發(fā)現(xiàn)的入口不超過20個(gè)。這并非意味著NSS使用不廣泛，而是意味著多數(shù)有該掃描器的FTP的站點(diǎn)處在暗處，或無法通過WWW搜索器找到它們。2.SATAN SATAN的英文全稱為SecurityAdministratorToolforAnalyzingNetworks，即平安管理員的網(wǎng)絡(luò)分析工具。SATAN是一個(gè)分析網(wǎng)絡(luò)的平安管理、測試與報(bào)告工具。它用來收集網(wǎng)絡(luò)上主機(jī)的信息，可以識(shí)別并且自動(dòng)報(bào)告與網(wǎng)絡(luò)相關(guān)的平安問題。3.Strobe Strobe是一個(gè)超級(jí)優(yōu)化TCP端口檢測程序，能快速地識(shí)別指定機(jī)器上正運(yùn)行什么效勞，用于掃描網(wǎng)絡(luò)漏洞。它可以記錄指定機(jī)器的所有開放端口。Strobe運(yùn)行速度很快，它的主要特點(diǎn)是能快速識(shí)別指定機(jī)器上正在運(yùn)行什么效勞10.4網(wǎng)絡(luò)監(jiān)聽10.4.1網(wǎng)絡(luò)監(jiān)聽的原理 網(wǎng)絡(luò)監(jiān)聽工具是提供給管理員的一類管理工具。這種工具本來是用來管理網(wǎng)絡(luò)，監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?。但是，由于它能有效地截獲網(wǎng)上的數(shù)據(jù)，因此也成了網(wǎng)上黑客使用最多的方法1、監(jiān)聽的可能性 網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)黑客成功地登錄到一臺(tái)網(wǎng)絡(luò)上的主機(jī)，并取得這臺(tái)主機(jī)超級(jí)用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制權(quán)。而網(wǎng)絡(luò)監(jiān)聽那么是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。

在網(wǎng)絡(luò)上，監(jiān)聽效果最好的地方是網(wǎng)關(guān)、路由器和防火墻。監(jiān)聽最方便的地方是以太網(wǎng)中任何一臺(tái)上網(wǎng)的主機(jī)，這是大多數(shù)黑客的做法2、以太網(wǎng)中可以監(jiān)聽的原因 以太網(wǎng)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。在包頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收數(shù)據(jù)包。但是，當(dāng)主機(jī)工作在監(jiān)聽模式下，那么，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。10.4.2網(wǎng)絡(luò)監(jiān)聽的檢測1、簡單的檢測方法 網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的。運(yùn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動(dòng)地接收在局域網(wǎng)上傳輸?shù)男畔?，并沒有主動(dòng)的行動(dòng)，既不會(huì)與其他主機(jī)交換信息，也不會(huì)修改在網(wǎng)上傳輸?shù)男畔?。這一切決定了網(wǎng)絡(luò)監(jiān)聽的檢測是非常困難的。(1)方法一 對(duì)于疑心運(yùn)行監(jiān)聽程序的機(jī)器，用正確的IP地址和錯(cuò)誤的物理地址去ping，運(yùn)行監(jiān)聽程序的機(jī)器會(huì)有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處于監(jiān)聽狀態(tài)的機(jī)器能接收，如果他的IPstack不再次反向檢查，就會(huì)響應(yīng)。這種方法依賴于系統(tǒng)的IPstack，對(duì)一些系統(tǒng)可能行不通(2)方法二 往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，會(huì)導(dǎo)致性能下降。通過比較前后該機(jī)器性能〔icmpechodelay等方法〕加以判斷。這種方法難度比較大。

一個(gè)比較可行的檢查監(jiān)聽程序的方法是搜索所有主機(jī)上運(yùn)行的進(jìn)程。當(dāng)然，這幾乎是不可能的。但是至少管理員可以確定是否有一個(gè)進(jìn)程被從管理員機(jī)器上啟動(dòng)。在不同平臺(tái)上執(zhí)行這個(gè)操作的命令是不同的。那些使用Dos、Windowsforworkgroup或者Windows95的機(jī)器很難做到這一點(diǎn)。而使用UNIX和WindowsNT/2000的機(jī)器可以很容易地得到當(dāng)前進(jìn)程的清單。2、對(duì)付一個(gè)監(jiān)聽 擊敗一個(gè)監(jiān)聽程序的攻擊并不十分困難。用戶有多種選擇，而最終采用哪一種取決于用戶真正想做什么，剩下的就取決于運(yùn)行時(shí)的開銷了。3、其他防范監(jiān)聽的方法 一般能夠接受的擊敗網(wǎng)絡(luò)監(jiān)聽的方法是使用平安的拓?fù)浣Y(jié)構(gòu)。這種技術(shù)通常被稱為分段技術(shù)。將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一網(wǎng)段的集線器連接到一個(gè)交換機(jī)上(Switch)，因?yàn)榫W(wǎng)段是硬件連接的，因而包只能在該子網(wǎng)的網(wǎng)段之內(nèi)被監(jiān)聽工具截獲。這樣，網(wǎng)絡(luò)中剩余的局部〔不在同一網(wǎng)段的局部〕就被保護(hù)了4、ifstatus工具Ifstatus的開發(fā)者是DaveCurry。Ifstatus運(yùn)行的UNIX操作系統(tǒng)中，它可以識(shí)別出系統(tǒng)的網(wǎng)絡(luò)接口是否正處于調(diào)試狀態(tài)或者說監(jiān)聽狀態(tài)下。當(dāng)網(wǎng)絡(luò)接口運(yùn)行在這種模式下，很可能是一個(gè)入侵者侵入了系統(tǒng)，正在運(yùn)行一個(gè)監(jiān)聽程序，用來截獲在網(wǎng)絡(luò)上傳送的口令和其他明文形式的信息。 網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)管理很重要的一個(gè)環(huán)節(jié)，同時(shí)也是黑客們常用的一種方法。事實(shí)上，網(wǎng)絡(luò)監(jiān)聽的原理和方法是廣義的，例如路由器也是將傳輸中的包截獲，進(jìn)行分析并重新發(fā)送出去。許多的網(wǎng)絡(luò)管理軟件都少不了監(jiān)聽這一環(huán)節(jié)。而網(wǎng)絡(luò)監(jiān)聽工具只是這一大類應(yīng)用中的一個(gè)小的方面。對(duì)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行加密，可以有效地防止網(wǎng)絡(luò)監(jiān)聽的攻擊10.5拒絕效勞攻擊10.5.1概述 拒絕效勞，即DenialofService，簡稱DoS，從因特網(wǎng)誕生以來就伴隨著因特網(wǎng)的開展而一直存在，并不斷地開展和升級(jí)。由于它的不易識(shí)別和覺察性以及簡易性，因而一直是困擾網(wǎng)絡(luò)平安的重大隱患。 拒絕效勞是一種簡單的破壞性攻擊，通常攻擊者利用TCP/IP中的某個(gè)漏洞，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的攻擊，使得攻擊目標(biāo)失去工作能力，使得系統(tǒng)不可訪問因而合法用戶不能及時(shí)得到應(yīng)得的效勞或系統(tǒng)資源，如CPU處理時(shí)間與存儲(chǔ)器等。它最本質(zhì)的特征是延長正常的應(yīng)用效勞的等待時(shí)間。主要表現(xiàn)為以下幾個(gè)方面：(1)企圖湮滅一個(gè)網(wǎng)絡(luò)，中斷正常的網(wǎng)絡(luò)流量；(2)企圖破壞兩個(gè)機(jī)器之間的連接，禁止訪問可用效勞；(3)企圖阻止某一特定用戶對(duì)網(wǎng)絡(luò)上效勞的訪問；(4)企圖破壞一個(gè)特定系統(tǒng)或使其不能提供正常訪問10.5.2拒絕效勞攻擊的原理1、拒絕效勞的模式 拒絕效勞有很多分類方法，按照入侵方式，拒絕效勞可以分為資源消耗型，配置修改型，物理破壞型以及效勞利用型。(1)資源消耗型 資源消耗型拒絕效勞是指入侵者試圖消耗目標(biāo)的合法資源，例如網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤空間以及CPU使用率，從而到達(dá)拒絕效勞的目的。(2)配置修改型計(jì)算機(jī)配置不當(dāng)可能造成系統(tǒng)運(yùn)行不正常甚至根本不能運(yùn)行。入侵者通過改變或者破壞系統(tǒng)的配置信息來阻止其他合法用戶來使用計(jì)算機(jī)和網(wǎng)絡(luò)提供的效勞，主要有以下幾種：改變路由信息；修改WindowsNT注冊(cè)表；修改UNIX的各種配置文件(3)物理破壞型 物理破壞型拒絕效勞主要針對(duì)物理設(shè)備的平安，入侵者可以通過破壞或改變網(wǎng)絡(luò)部件以實(shí)現(xiàn)拒絕效勞。(4)效勞利用型 利用入侵目標(biāo)的自身資源實(shí)現(xiàn)入侵意圖，由于被入侵系統(tǒng)具有漏洞和通信協(xié)議的弱點(diǎn)，這給了入侵者提供了入侵的時(shí)機(jī)2、拒絕效勞常用方法(1)死亡之Ping(PingofDeath)①原理Ping入侵是通過向目標(biāo)端口發(fā)送大量超大尺寸的ICMP包來實(shí)現(xiàn)的。②防御這種方式主要是針對(duì)Windows9X操作系統(tǒng)的，而UNIX、Linux、Solaris與Mac等大多數(shù)操作系統(tǒng)都具有抵抗一般PingofDeath入侵的能力(2)Teardrop①原理 鏈路層具有最大傳輸單元MTU這個(gè)特性，它限制了數(shù)據(jù)幀的最大長度，不同的網(wǎng)絡(luò)類型都有一個(gè)上限值。以太網(wǎng)的MTU是1500，可以用netstat—i命令查看這個(gè)值。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了MTU，那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片操作，使每一片的長度都小于或等于MTU。每一IP分片都各自路由，到達(dá)目的主機(jī)在IP層重組，IP首部中的數(shù)據(jù)能夠正確完成分片的重組。假設(shè)在IP分組中指定一個(gè)非法的偏移值，將可能造成某些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋，導(dǎo)致系統(tǒng)崩潰。②防御 Windows操作系統(tǒng)應(yīng)打上最新的ServicePack,目前的Linux內(nèi)核已經(jīng)不受影響；如果可能，應(yīng)在網(wǎng)絡(luò)邊界上禁止碎片包通過，或者用iptables限定每秒通過碎片包的數(shù)目；如果防火墻有重組碎片的功能，應(yīng)確保自身的算法沒有問題，否那么拒絕效勞就會(huì)影響整個(gè)網(wǎng)絡(luò)；在Windows2000操作系統(tǒng)中，可以自定義IP平安策略并設(shè)置碎片檢查(3)Land①原理 Land是由著名黑客組織RootShell發(fā)現(xiàn)的，原理比較簡單，就是向目標(biāo)機(jī)發(fā)送源地址與目的地址一樣的數(shù)據(jù)包，造成目標(biāo)機(jī)解析Land包占用太多資源，從而使網(wǎng)絡(luò)功能完全癱瘓。②防御 打最新的補(bǔ)丁，或者在防火墻進(jìn)行配置，將那些在外部接口上入站的含有源地址是內(nèi)部地址的數(shù)據(jù)包過濾掉

(4)Smurf①原理 這種方法結(jié)合了使用了IP欺騙和ICMP回復(fù)方法，使大量網(wǎng)絡(luò)傳輸充滿目標(biāo)系統(tǒng)，導(dǎo)致目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)效勞。②防御 可以分別在源站點(diǎn)、中間站點(diǎn)和目標(biāo)站點(diǎn)采取以下步驟，以限制Smurf入侵。阻塞Smurf入侵的源頭阻塞Smurf的中間站點(diǎn)防止Smurf入侵目標(biāo)站點(diǎn)(5)PingFlood①原理 當(dāng)黑客偽裝成被入侵主機(jī)向一個(gè)播送地址發(fā)送ping請(qǐng)求時(shí)，所有這個(gè)播送地址內(nèi)的主機(jī)都會(huì)回應(yīng)這個(gè)Ping請(qǐng)求〔當(dāng)然是回應(yīng)入侵主機(jī)，人人都認(rèn)為是它Ping的〕。這樣，相當(dāng)于n倍的入侵力度〔n＝播送地址內(nèi)回應(yīng)Ping包的主機(jī)數(shù)量〕。②防范 關(guān)閉broadcast播送功能；實(shí)行包過濾〔packetfiltering〕；關(guān)閉ICMPEchoReply功能。(6)SYNFlood①原理 正常的一個(gè)TCP連接需要連接雙方進(jìn)行“3次握手〞，假設(shè)一個(gè)用戶向效勞器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么效勞器在發(fā)出SYN＋ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的〔第三次握手無法完成〕。②防范第一種是縮短SYNTimeout的時(shí)間，第二種方法是設(shè)置SYNCookie，(7)UDPFlood①原理 如果惡意入侵者將兩個(gè)UDP效勞互指，那么網(wǎng)絡(luò)可用帶寬會(huì)很快耗盡。②防范 對(duì)于UDPFlood入侵，防火墻只能通過防止數(shù)據(jù)報(bào)文的回應(yīng)來減少效勞器的負(fù)荷，而無法防止網(wǎng)絡(luò)的擁塞。對(duì)于網(wǎng)絡(luò)擁塞的問題，那么需要相關(guān)的路由器和交換機(jī)等網(wǎng)絡(luò)根底設(shè)施的配合。10.6特洛伊木馬 特洛伊木馬程序并不是一種病毒，因?yàn)樗痪哂胁《镜目蓚魅拘浴⒆晕覐?fù)制能力等特性，但是特洛伊木馬程序具有很大的破壞力和危害性。這一節(jié)里主要介紹特洛伊木馬的根本概念、原理以及如何預(yù)防和去除特洛伊木馬。10.6.1特洛伊木馬程序簡介所謂特洛伊木馬程序，是指以下幾種情況之一一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序當(dāng)中。這個(gè)未經(jīng)授權(quán)的程序提供了一些用戶不知道〔也可能是不希望實(shí)現(xiàn)的〕的功能。一段合法的程序，但是它的功能已經(jīng)被安裝在其中的未經(jīng)授權(quán)的代碼改變了。這些代碼提供了一些用戶不知道的〔也可能是不希望實(shí)現(xiàn)的〕功能。 任何一段程序，似乎是提供了一系列符合用戶需要的功能，但是由于在其中包含了一些用戶不知道的未經(jīng)授權(quán)的代碼，使得該程序有一些不為用戶所知道〔也可能是不希望實(shí)現(xiàn)的〕功能10.6.2特洛伊木馬程序程序的位置和危險(xiǎn)級(jí)別特洛伊木馬程序代表了一種很高級(jí)別的威脅危險(xiǎn)，主要是有以下幾個(gè)原因。特洛伊木馬程序很難被發(fā)現(xiàn)。在許多情況下，特洛伊木馬程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多以無法閱讀的形式存在。特洛伊木馬程序可以作用于許多機(jī)器中10.6.3特洛伊木馬的類型 根據(jù)特洛伊木馬的不同特點(diǎn)，大致可以分為以下幾種類型1、遠(yuǎn)程訪問型特洛伊木馬2、密碼發(fā)送型特洛伊木馬3、鍵盤記錄型特洛伊木馬4、毀壞型特洛伊木馬5、FTP型特洛伊木馬1、遠(yuǎn)程訪問型特洛伊木馬 這種特洛伊木馬是現(xiàn)在使用最廣泛的特洛伊木馬。它可以訪問其他用戶的硬盤。2、密碼發(fā)送型特洛伊木馬 這種特洛伊木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。3、鍵盤記錄型特洛伊木馬 這種特洛伊木馬是非常簡單的。它們只做一種事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。4、毀壞型特洛伊木馬 這種特洛伊木馬的惟一功能是毀壞并且刪除文件，這使它們非常簡單，并且很容易被使用。5、FTP型特洛伊木馬 這種特洛伊木馬將翻開用戶機(jī)器的端口21，使每一個(gè)人都有一個(gè)FTP客戶端可以不用密碼就連接到用戶的機(jī)器，并且會(huì)有平安的上傳和下載選項(xiàng)。10.6.4特洛伊木馬的檢測1、檢測的根本方法 對(duì)于特洛伊木馬程序的檢測方式與用戶的平安需求和平安級(jí)別有關(guān)。如果用戶比較重要或敏感的數(shù)據(jù)放在效勞器上〔一般建議不要這樣做〕，那么可能需要采取比較嚴(yán)格的檢測措施。如果在效勞器上沒有這些信息，或者用戶數(shù)據(jù)是可以局部共享的，那么采取一般的簡單檢測措施即可。2、檢測工具M(jìn)D5 有一些對(duì)付特洛伊木馬程序的方法，其中之一就是數(shù)字簽名技術(shù)，用來保護(hù)已有的程序不被更換，這需要計(jì)算現(xiàn)有的每個(gè)文件的數(shù)字指紋〔數(shù)字簽名〕，通過文件加密的方法和解密驗(yàn)證來檢查文件的變化。這是由一些算法來實(shí)現(xiàn)的，其中最常用的是MD5算法10.6.5特洛伊木馬的防范1、特洛伊木馬的根本工作原理(1)在任務(wù)欄中隱藏自己，這時(shí)最根本的解決方法是把Form的Visible屬性設(shè)為False,ShowInTackBar屬性設(shè)為False，程序運(yùn)行時(shí)就不會(huì)出現(xiàn)在任務(wù)欄中了。

(2)在任務(wù)管理器中隱形：將程序設(shè)為“系統(tǒng)效勞〞可以很輕松地偽裝自己。特洛伊木馬程序悄無聲息地啟動(dòng)，而不是在用戶每次啟動(dòng)后點(diǎn)擊特洛伊木馬圖標(biāo)才運(yùn)行效勞端程序。特洛伊木馬程序會(huì)在每次用戶啟動(dòng)時(shí)自動(dòng)裝載效勞端，它可以充分利用Windows操作系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法，例如，啟動(dòng)組、win.ini、system.ini與注冊(cè)表等都是特洛伊木馬藏身的好地方2、去除特洛伊木馬的一般方法 知道了特洛伊木馬的工作原理，查殺就變得很容易。如果發(fā)現(xiàn)有特洛伊木馬存在，首要的一點(diǎn)是立即將計(jì)算機(jī)與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)對(duì)用戶計(jì)算機(jī)所進(jìn)行的攻擊。

在對(duì)付特洛伊木馬程序方面，綜合起