《計算機網(wǎng)絡(luò)安全技術(shù)》教學(xué)課件01

計算機網(wǎng)絡(luò)平安聯(lián)系方式：Email:287986791@qq主講人：黃老邪1金目標(biāo)學(xué)習(xí)平臺賬號：9205512登陸方法：登錄名@9205512登錄名命名規(guī)那么：單字名：名全拼+姓全拼如：嬋娟為juanchan雙字名：名拼音首字母+姓全拼如：李如玉為ryli軟件下載地址：初始密碼為12345678；首次登錄后請自行修改密碼如遇登錄名相同或者選修多門課程者，末尾加1,2,3序號以示區(qū)分。學(xué)習(xí)交流考評平臺21、請牢記自己的賬號及登錄密碼；2、每周登錄系統(tǒng)在線時間不低于6個小時〔時間區(qū)間不限，累計達8個小時以上〕；3、記錄學(xué)習(xí)實驗內(nèi)容，遇到的問題、解決的問題及思路、過程等內(nèi)容，可以以文件附件、圖片及文字等方式描述學(xué)習(xí)內(nèi)容，每周學(xué)習(xí)內(nèi)容不少于講授內(nèi)容；4、雷同率大于50%即視為抄襲，以先閱覽到者為原創(chuàng)；抄襲者視為無效內(nèi)容；5、特殊情況在登錄賬號里面自行說明，否那么視為缺席，后補一律無效；6、本系統(tǒng)作為最終成績中課程平時成績來源之一，比率為60%。學(xué)習(xí)要求3關(guān)于考試考試方式：開卷考試內(nèi)容：網(wǎng)絡(luò)平安策略+分析+方法+技術(shù)考試要求：筆試50%+考勤10%+課程綜合實踐考評40%課程實驗：>36學(xué)時4關(guān)于考試友情揭示：沒有復(fù)習(xí)題不得攜帶、電腦、平板電腦等電子設(shè)備入場除了教學(xué)用教材、打印件、影印件之外的參考資料方可帶入考場5第一章網(wǎng)絡(luò)平安概述網(wǎng)絡(luò)平安的概念網(wǎng)絡(luò)平安的內(nèi)容網(wǎng)絡(luò)平安面臨的問題網(wǎng)絡(luò)平安的客觀必要性常見的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)平安保障體系網(wǎng)絡(luò)平安工作的目的6什么是網(wǎng)絡(luò)平安〔五要素〕可用性：授權(quán)實體有權(quán)訪問數(shù)據(jù)機密性：信息不暴露給未授權(quán)實體或進程完整性：保證數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對出現(xiàn)的平安問題提供依據(jù)與手段7網(wǎng)絡(luò)平安的內(nèi)容物理平安網(wǎng)絡(luò)平安傳輸平安應(yīng)用平安用戶平安8網(wǎng)絡(luò)平安面臨的問題來源:CSI/FBIComputerCrimeSurvey,March2012.21%48%72%89%外國政府競爭對手黑客不滿的雇員9網(wǎng)絡(luò)平安威脅的來源1.外部滲入〔penetration〕 未被授權(quán)使用計算機的人；2.內(nèi)部滲入者 被授權(quán)使用計算機，但不能訪問某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進行操作；-隱蔽用戶:逃避審計和訪問控制的用戶； 3.濫用職權(quán)者:被授權(quán)使用計算機和訪問系統(tǒng)資源，但濫用職權(quán)者。10冒名頂替廢物搜尋身份識別錯誤不平安效勞配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)平安威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)平安威脅的幾種類型11網(wǎng)絡(luò)平安面臨嚴(yán)峻挑戰(zhàn)網(wǎng)上犯罪形勢不容樂觀有害信息污染嚴(yán)重網(wǎng)絡(luò)病毒的蔓延和破壞網(wǎng)上黑客無孔不入機要信息流失與信息間諜潛入網(wǎng)絡(luò)平安產(chǎn)品的自控權(quán)信息戰(zhàn)的陰影不可無視

互聯(lián)網(wǎng)正以巨大的力度和廣度沖擊和改造著社會、經(jīng)濟、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會公眾強烈依賴的社會重要基礎(chǔ)設(shè)施互聯(lián)網(wǎng)平安正在成為普遍關(guān)注的焦點12網(wǎng)上犯罪形勢不容樂觀計算機犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購物賬戶密碼曝光事件增多2000年2月7日攻擊美國知名網(wǎng)站案件：損失$12億，影響百萬網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：用戶信用卡被曝光美國網(wǎng)絡(luò)平安造成損失$170億/年美國金融界計算機犯罪損失$100億/年13有害信息污染嚴(yán)重黃色信息：涉及1%網(wǎng)站，10億美元年營業(yè)額邪教信息：法輪功160多個反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚暴力：炸藥配方、幫助自殺政治攻擊：考克斯報告、政治演變論14網(wǎng)絡(luò)病毒的蔓延和破壞10年內(nèi)以幾何級數(shù)增長病毒達55000種〔2000.12亞洲計算機反病毒大會〕網(wǎng)絡(luò)病毒有更大的破壞性1988年莫里斯事件〔UNIX/Email〕6000臺、$9000萬1998年4月的CIH病毒2000萬臺計算機1999年2月的梅利莎案件〔Window/Email〕$12億2000年5月4日的我愛你病毒$87億2001年7、8月紅色代碼〔CodeRed〕到目前為止$26億15網(wǎng)上黑客無孔不入美國網(wǎng)絡(luò)屢遭掃蕩

軍事、政治、經(jīng)濟美國五角大樓情報網(wǎng)絡(luò)、美國海軍研究室、空軍、美國中央情報局、許多貿(mào)易及金融機構(gòu)都有被黑的歷史全球網(wǎng)絡(luò)危機四伏

非法侵入、破壞系統(tǒng)、竊取機密

中國網(wǎng)絡(luò)不斷被侵入五一中美黑客大戰(zhàn)800多網(wǎng)站被黑黑客是一些發(fā)自好奇、尋求刺激、富有挑戰(zhàn)的家伙是一群以攻擊網(wǎng)絡(luò)，搜尋并破壞信息為了的無賴；是一幫為了揚名，專與政府作對的極端分子；是一些恐怖主義分子或政治、軍事、商業(yè)和科技間諜。16機要信息流失與信息間諜潛入國家機密信息、企業(yè)關(guān)鍵信息、個人隱私Web發(fā)布、電子郵件、文件傳送的泄漏預(yù)謀性竊取政治和經(jīng)濟情報CIA統(tǒng)計入侵美國要害系統(tǒng)的案件年增長率為30%我國信息網(wǎng)絡(luò)開展必然成為其重要目標(biāo)17網(wǎng)絡(luò)平安產(chǎn)品的自控權(quán)平安產(chǎn)品隱通道、嵌入病毒、缺陷、可恢復(fù)密鑰大量外購平安產(chǎn)品缺少自控權(quán)我國缺少配套的平安產(chǎn)品控制政策和機制我國平安產(chǎn)業(yè)還比較稚嫩是重大平安隱患之一18信息戰(zhàn)的陰影不可無視有組織、大規(guī)模的網(wǎng)絡(luò)攻擊預(yù)謀行為：國家級、集團級無硝煙的戰(zhàn)爭：跨國界、隱蔽性、低花費、跨領(lǐng)域高技術(shù)性、情報不確定性美國的“信息戰(zhàn)執(zhí)行委員會”：網(wǎng)絡(luò)防護中心〔1999年〕信息作戰(zhàn)中心〔2000年〕網(wǎng)絡(luò)攻擊演練〔2000年〕要害目標(biāo)：金融支付中心、證券交易中心空中交管中心、鐵路調(diào)度中心電信網(wǎng)管中心、軍事指揮中心19網(wǎng)絡(luò)的脆弱性網(wǎng)絡(luò)的擴展與業(yè)務(wù)負(fù)荷膨脹：信息量半年長一倍，網(wǎng)民年增漲30%網(wǎng)絡(luò)帶寬瓶頸和信息擁擠社會與經(jīng)濟對網(wǎng)絡(luò)的巨大經(jīng)濟依賴性：20%股市、25%產(chǎn)品、30%金融、40%人口災(zāi)難情況下的網(wǎng)絡(luò)脆弱性“AOL”96年10小時癱瘓：影響700萬用戶平安的模糊性網(wǎng)絡(luò)的開放性技術(shù)的公開性人類的天性20平安的模糊性平安是相對的，不易明確平安的目標(biāo)平安是復(fù)雜的，不易認(rèn)清存在的問題平安是廣泛的，不易普及平安的知識平安鏈條：鏈條的強度等于其最弱一環(huán)的強度〔木桶原理：網(wǎng)絡(luò)平安最薄弱之處好比木桶壁上最短的木塊，也是黑客對網(wǎng)絡(luò)攻擊的首選之處?！?1網(wǎng)絡(luò)的開放性互聯(lián)機制提供了廣泛的可訪問性Client-Server模式提供了明確的攻擊目標(biāo)開放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索用戶的匿名性為攻擊提供了時機22技術(shù)的公開性如果不能集思廣益，自由地發(fā)表對系統(tǒng)的建議，那么會增加系統(tǒng)潛在的弱點被無視的危險，因此Internet要求對網(wǎng)絡(luò)平安問題進行坦率公開地討論。基于上述原那么，高水平的網(wǎng)絡(luò)平安資料與工具在Internet中可自由獲得。23人類的天性好奇心 這扇門為什么鎖上，我能翻開嗎？惰性和依賴心理 平安問題應(yīng)由專家來關(guān)心恐懼心理 家丑不可外揚24網(wǎng)絡(luò)攻擊形式

按網(wǎng)絡(luò)效勞分： E-Mail、FTP、Telnet、R效勞、IIS按技術(shù)途徑分： 口令攻擊、Dos攻擊、種植木馬按攻擊目的分： 數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù)25主要攻擊與威脅 ——十大攻擊手段

1.Dos：使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)無法提供正常效勞網(wǎng)絡(luò)Flooding:synflooding、pingflooding、DDos系統(tǒng)Crash:Pingofdeath、淚滴、land、WinNuke應(yīng)用Crash/Overload：利用應(yīng)用程序缺陷，如長郵件

2.掃描探測：系統(tǒng)弱點探察SATAN、ISS、CybercopScanner、ping〔嗅探加密口令,口令文件)

263.口令攻擊:弱口令 口令竊?。盒崽狡?、偷窺、社會工程〔垃圾、便條、偽裝查詢〕 口令猜測：常用字—無法獲得加密的口令-強力攻擊 口令Crack：字典猜測、字典攻擊—可獲得加密的口令〔嗅探加密口令,口令文件)4.獲取權(quán)限，提升權(quán)限〔root/administrator〕猜/crackroot口令、緩沖區(qū)溢出、利用NT注冊表、訪問和利用高權(quán)限控制臺、利用啟動文件、利用系統(tǒng)或應(yīng)用Bugs

5.插入惡意代碼: 病毒、特洛伊木馬〔BO)、后門、惡意Applet276.網(wǎng)絡(luò)破壞： 主頁篡改、文件刪除、毀壞OS、格式化磁盤7.數(shù)據(jù)竊?。?敏感數(shù)據(jù)拷貝、監(jiān)聽敏感數(shù)據(jù)傳輸---共享媒介/效勞器監(jiān)聽/遠程監(jiān)聽RMON8.偽造、浪費與濫用資源： 違規(guī)使用9.篡改審計數(shù)據(jù): 刪除、修改、權(quán)限改變、使審計進程失效10.平安根底攻擊： 防火墻、路由、帳戶修改，文件權(quán)限修改。28我國網(wǎng)絡(luò)平安現(xiàn)狀硬件設(shè)備上嚴(yán)重依賴國外網(wǎng)絡(luò)平安管理存在漏洞網(wǎng)絡(luò)平安問題還沒有引起人們的廣泛重視平安技術(shù)有待研究美國和西方國家對我過進行破壞、滲透和污染啟動了一些網(wǎng)絡(luò)平安研究工程建立一批國家網(wǎng)絡(luò)平安根底設(shè)施29Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標(biāo)機）美2.7黑客案件的攻擊方式分布式拒決效勞〔DDoS〕30美國2.7黑客事件的啟示

互聯(lián)網(wǎng)正在成為國家重要根底設(shè)施9800萬網(wǎng)民3000萬人參予網(wǎng)上購物，$1000億元交易額14%的股市交易互聯(lián)網(wǎng)威脅給社會帶來巨大沖擊CNN的100萬網(wǎng)民閱讀網(wǎng)絡(luò)新聞受阻Amason的820萬注冊用戶無法購書3天總損失高達$12億互聯(lián)網(wǎng)平安問題正在進入國家戰(zhàn)略層克林頓2月16日召開網(wǎng)絡(luò)平安頂峰會議支持$900萬建立高科技平安研究所拔款$20億建根底設(shè)施打擊網(wǎng)絡(luò)恐怖活動31值得深思的幾個問題網(wǎng)絡(luò)平安的全局性戰(zhàn)略黑客工具的公開化對策網(wǎng)絡(luò)平安的預(yù)警體系應(yīng)急反響隊伍的建設(shè)32傳統(tǒng)平安觀念受到挑戰(zhàn)網(wǎng)絡(luò)是變化的、風(fēng)險是動態(tài)的傳統(tǒng)平安觀側(cè)重策略的技術(shù)實現(xiàn)現(xiàn)代平安觀強調(diào)平安的整體性，平安被看成一個與環(huán)境相互作用的動態(tài)循環(huán)過程33網(wǎng)絡(luò)平安策略網(wǎng)絡(luò)平安是一個系統(tǒng)的概念，可靠的網(wǎng)絡(luò)平安解決方案必須建立在集成網(wǎng)絡(luò)平安技術(shù)的根底上，網(wǎng)絡(luò)系統(tǒng)平安策略就是基于這種技術(shù)集成而提出的，主要有三種：1直接風(fēng)險控制策略〔靜態(tài)防御〕平安=風(fēng)險分析+平安規(guī)那么+直接的技術(shù)防御體系+平安監(jiān)控攻擊手段是不斷進步的，平安漏洞也是動態(tài)出現(xiàn)的，因此靜態(tài)防御下的該模型存在著本質(zhì)的缺陷。2自適應(yīng)網(wǎng)絡(luò)平安策略〔動態(tài)性〕平安=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實施+漏洞分析+實時響應(yīng)該策略強調(diào)系統(tǒng)平安管理的動態(tài)性，主張通過平安性檢測、漏洞監(jiān)測，自適應(yīng)地填充“平安間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的平安性。完善的網(wǎng)絡(luò)平安體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護、監(jiān)控和恢復(fù)三種技術(shù)，力求增強網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護。34網(wǎng)絡(luò)平安策略〔續(xù)〕

3智能網(wǎng)絡(luò)系統(tǒng)平安策略〔動態(tài)免疫力〕平安=風(fēng)險分析+平安策略+技術(shù)防御體系+攻擊實時檢測+平安跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進化技術(shù)防御體系包括漏洞檢測和平安縫隙填充；平安跟蹤是為攻擊證據(jù)記錄效勞的，系統(tǒng)學(xué)習(xí)進化是旨在改善系統(tǒng)性能而引入的智能反響機制。 模型中，“風(fēng)險分析+平安策略”表達了管理因素；“技術(shù)防御體系+攻擊實時檢測+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進化”表達了技術(shù)因素；技術(shù)因素綜合了防護、監(jiān)控和恢復(fù)技術(shù)；“平安跟蹤+系統(tǒng)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)進化”使系統(tǒng)表現(xiàn)出動態(tài)免疫力。35網(wǎng)絡(luò)網(wǎng)絡(luò)平安防護體系

〔PDRR〕 隨著信息網(wǎng)絡(luò)的飛速開展，信息網(wǎng)絡(luò)的平安防護技術(shù)已逐漸成為一個新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊和全社會的高度重視。隨著我國政府、金融等重要領(lǐng)域逐步進入信息網(wǎng)絡(luò)，國家的信息網(wǎng)絡(luò)已成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的又一個平安防衛(wèi)領(lǐng)域，逐漸成為國家平安的最高價值目標(biāo)之一?？梢哉f信息網(wǎng)絡(luò)的平安與國家平安密切相關(guān)。36網(wǎng)絡(luò)網(wǎng)絡(luò)平安防護體系

〔PDRR〕 最近平安專家提出了信息保障體系的新概念，即：為了保障網(wǎng)絡(luò)平安，應(yīng)重視提高系統(tǒng)的入侵檢測能力、事件反響能力和遭破壞后的快速恢復(fù)能力。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻等技術(shù)，它強調(diào)信息系統(tǒng)整個生命周期的主動防御。美國在信息保障方面的一些舉措,如：成立關(guān)鍵信息保障辦公室、國家根底設(shè)施保護委員會和開展對信息戰(zhàn)的研究等等，說明美國正在尋求一種信息系統(tǒng)防御和保護的新概念，這應(yīng)該引起我們的高度重視。37網(wǎng)絡(luò)網(wǎng)絡(luò)平安防護體系

〔PDRR〕 保護、檢測、響應(yīng)和恢復(fù)涵蓋了對現(xiàn)代信息系統(tǒng)的平安防護的各個方面，構(gòu)成了一個完整的體系，使網(wǎng)絡(luò)平安建筑在一個更加堅實的根底之上。38網(wǎng)絡(luò)網(wǎng)絡(luò)平安防護體系

〔PDRR〕保護(PROTECT) 傳統(tǒng)平安概念的繼承，包括信息加密技術(shù)、訪問控制技術(shù)等等。檢測(DETECT) 從監(jiān)視、分析、審計信息網(wǎng)絡(luò)活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動，提供預(yù)警、實時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使平安防護從單純的被動防護演進到積極的主動防御。39網(wǎng)絡(luò)網(wǎng)絡(luò)平安防護體系

〔PDRR〕響應(yīng)(RESPONSE)在遭遇攻擊和緊急事件時及時采取措施，包括調(diào)整系統(tǒng)的平安措施、跟蹤攻擊源和保護性關(guān)閉效勞和主機等?；謴?fù)(RECOVER)評估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。40網(wǎng)絡(luò)平安保障體系平安管理與審計物理層平安網(wǎng)絡(luò)層平安傳輸層平安應(yīng)用層平安鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會話層審計與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制點到點鏈路加密物理信道平安訪問控制數(shù)據(jù)機密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴平安審計網(wǎng)絡(luò)平安層次層次模型網(wǎng)絡(luò)平安技術(shù)實現(xiàn)平安目標(biāo)用戶平安41網(wǎng)絡(luò)平安工作的目的42黑客攻擊與防范43以太幀與MAC地址一、以太資料幀的結(jié)構(gòu)圖前同步碼報頭資料區(qū)資料幀檢查序列（FCS）8個字節(jié)（不包括）通常14個字節(jié)46-1，500字節(jié)

固定4字節(jié)44以太幀構(gòu)成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報頭必須有：發(fā)送者MAC地址目的MAC地址共12個字節(jié)OR長度字段中的字節(jié)總數(shù)信息（差錯控制）OR類型字段（說明以太幀的類型）資料區(qū)資料源IP目的地IP實際資料和協(xié)議信息如果資料超過1，500分解多個資料幀，使用序列號如果不夠46個字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。45MAC地址的前三個字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址46地址解析協(xié)議

地址解析協(xié)議

索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對應(yīng)的IP地址這一行對應(yīng)入口類型入口1

入口2

入口N

注：數(shù)值2表示這個入口是非法的，數(shù)值3表示這種映像是動態(tài)的，數(shù)值4表示是靜態(tài)的〔如口不改變〕，數(shù)值1表示不是上述任何一種。入口：ARP高速緩存。47TIP/IPIP〔InternetProtocol〕網(wǎng)際協(xié)議，把要傳輸?shù)囊粋€文件分成一個個的群組，這些群組被稱之為IP數(shù)據(jù)包，每個IP數(shù)據(jù)包都含有源地址和目的地址，知道從哪臺機器正確地傳送到另一臺機器上去。IP協(xié)議具有分組交換的功能，不會因為一臺機器傳輸而獨占通信線路。

TCP〔TransportcontrolProtocal〕傳輸控制協(xié)議具有重排IP數(shù)據(jù)包順序和超時確認(rèn)的功能。IP數(shù)據(jù)包可能從不同的通信線路到達目的地機器，IP數(shù)據(jù)包的順序可能序亂。TCP按IP數(shù)據(jù)包原來的順序進行重排。IP數(shù)據(jù)包可能在傳輸過程中喪失或損壞，在規(guī)定的時間內(nèi)如果目的地機器收不到這些IP數(shù)據(jù)包，TCP協(xié)議會讓源機器重新發(fā)送這些IP數(shù)據(jù)包，直到到達目的地機器。TCP協(xié)議確認(rèn)收到的IP數(shù)據(jù)包。超時機制是自動的，不依賴于通訊線路的遠近。

IP和TCP兩種協(xié)議協(xié)同工作，要傳輸?shù)奈募涂梢詼?zhǔn)確無誤地被傳送和接收48TIP/IPTCP/IP協(xié)議族與OSI七層模型的對應(yīng)關(guān)系，如以下圖所示49數(shù)據(jù)包是什么樣的？TCP/IP/Ethernet舉例對分組過濾而言：涉及四層1. Ethernet layer2. IP layer3. TCP layer4. data layer分組與數(shù)據(jù)封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來自上層的所有信息，同時加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分組＝EthernetHeader＋EthernetBody2.Header說明：3.EthernetBody包含的是IP分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機器的Ethernet地址（源址）接收該分組的機器的Ethernet地址（宿址）IPlayer1.IP分組＝IPheader+IPBody3.IP可將分組細(xì)分為更小的局部段(fragments)，以便網(wǎng)絡(luò)傳輸。4.IPBody包含的是TCP分組。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？眨糜贗P源路由或IP安全選項的標(biāo)識IP分組字段版本 IHL服務(wù)類型 總長度 標(biāo)識 O分段偏差有效期 協(xié)議 報頭校驗和 源地址 宿地址 選項 填充 數(shù)據(jù)OMFF32BIT過濾字段54IP:1、處于Internet中間層次。2、其下有很多不同的層：如Ethernet，tokenring，F(xiàn)DDI，PPP等。3、其上有很多協(xié)議：TCP，UDP，ICMP。4、與分組過濾有關(guān)的特性是：5、分段示意圖：IP選項：用于Firewall中，對付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分組：TCP報頭＋TCP本體2、報頭中與過濾有關(guān)局部：TCP源端口：2byte數(shù)，說明處理分組的源機器。TCP宿端口：同上TCP旗標(biāo)字段〔flag〕，含有1bit的ACKbit。3、本體內(nèi)是實際要傳送的數(shù)據(jù)。TCPLayer源端口宿端口序號確認(rèn)號HLEN保存碼位窗口校驗和緊急指針選項填充字節(jié)數(shù)據(jù)WordsBits048121620242831頭標(biāo)端口掃描攻擊WWW效勞ＳＭＴＰ效勞ＰＯＰ３效勞ＤＮＳ效勞ＳＮＭＰ效勞58Sniffer攻擊59DOS原理DoS的英文全稱是DenialofService，也就是“拒絕效勞”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的效勞訪問，破壞組織的正常運行，最終它會使你的局部Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最根本的DoS攻擊就是利用合理的效勞請求來占用過多的效勞資源，從而使合法用戶無法得到效勞。DoS攻擊的原理如下圖。60DOS原理61DOS原理從圖我們可以看出DoS攻擊的根本過程：首先攻擊者向效勞器發(fā)送眾多的帶有虛假地址的請求，效勞器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以效勞器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)效勞器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，效勞器資源最終會被耗盡。62DDOS原理DDoS〔分布式拒絕效勞〕，它的英文全稱為DistributedDenialofService，它是一種基于DoS的特殊形式的拒絕效勞攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。從圖1我們可以看出DoS攻擊只要一臺單機和一個modem就可實現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防范，因此具有較大的破壞性。DDoS的攻擊原理如下圖。63DDOS原理64DDOS原理從圖可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

1、攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。

2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。

3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。65SYNFlood的根本原理大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在效勞端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：

首先，請求端〔客戶端〕發(fā)送一個包含SYN標(biāo)志的TCP報文，SYN即同步〔Synchronize〕，同步報文會指明客戶端使用的端口以及TCP連接的初始序號；

第二步，效勞器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(rèn)〔Acknowledgement〕。

第三步，客戶端也返回一個確認(rèn)報文ACK給效勞器端，同樣TCP序列號被加一，到此一個TCP連接完成。

以上的連接過程在TCP協(xié)議中被稱為三次握手〔Three-wayHandshake〕。66

SYNFlood的根本原理

假設(shè)一個用戶向效勞器發(fā)送了SYN報文后突然死機或掉線，那么效勞器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的〔第三次握手無法完成〕，這種情況下效勞器端一般會重試〔再次發(fā)送SYN+ACK給客戶端〕并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級〔大約為30秒-2分鐘〕；一個用戶出現(xiàn)異常導(dǎo)致效勞器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，效勞器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果效勞器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰---即使效勞器端的系統(tǒng)足夠強大，效勞器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求〔畢竟客戶端的正常請求比率非常之小〕，此時從正?？蛻舻慕嵌瓤磥恚谄魇ロ憫?yīng)，這種情況我們稱作：效勞器端受到了SYNFlood攻擊〔SYN洪水攻擊〕。67SYNFlood的根本根本解決方法

第一種是縮短SYNTimeout時間，由于SYNFlood攻擊的效果取決于效勞器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度x

SYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為20秒以下〔過低的SYNTimeout設(shè)置可能會影響客戶的正常訪問〕，可以成倍的降低效勞器的負(fù)荷。

第二種方法是設(shè)置SYNCookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。

68DDoS攻擊使用的常用工具DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動DDoS攻擊變成一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。1、TrinooTrinoo的攻擊方法是向被攻擊目標(biāo)主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常效勞，乃至崩潰。它對IP地址不做假，采用的通訊端口是：攻擊者主機到主控端主機：27665/TCP

主控端主機到代理端主機：27444/UDP

代理端主機到主效勞器主機：31335/UDPFNTFN由主控端程序和代理端程序兩局部組成，它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。69DDoS攻擊使用的常用工具3、TFN2KTFN2K是由TFN開展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。4、StacheldrahtStacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。70

DDoS的監(jiān)測

現(xiàn)在網(wǎng)上采用DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能防止遭受沉重的損失。檢測DDoS攻擊的主要方法有以下幾種：1、根據(jù)異常情況分析當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當(dāng)網(wǎng)站的某一特定效勞總是失敗時，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要留神?？傊?，當(dāng)你的機器出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。2、使用DDoS檢測工具當(dāng)攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。71DDoS攻擊的防御策略由于DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。所以我們要加強平安防范意識，提高網(wǎng)絡(luò)系統(tǒng)的平安性。可采取的平安防御措施有以下幾種：1、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些重要的信息〔例如系統(tǒng)配置信息〕建立和完善備份機制。對一些特權(quán)帳號〔例如管理員帳號〕的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。2、在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)效勞。建立邊界平安界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的平安日志。3、利用網(wǎng)絡(luò)平安設(shè)備〔例如：防火墻〕來加固網(wǎng)絡(luò)的平安性，配置好它們的平安規(guī)那么，過濾掉所有的可能的偽造數(shù)據(jù)包。4、比較好的防御措施就是和你的網(wǎng)絡(luò)效勞提供商協(xié)調(diào)工作，讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制。

72DDoS攻擊的防御策略5、當(dāng)你發(fā)現(xiàn)自己正在遭受DDoS攻擊時，你應(yīng)當(dāng)啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從攻擊節(jié)點的流量。6、當(dāng)你是潛在的DDoS攻擊受害者，你發(fā)現(xiàn)你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它去除，以免留下后患。73分布式拒絕效勞〔DDoS〕攻擊工具分析--TFN2K

客戶端——用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。

守護程序——在代理端主機運行的進程，接收和響應(yīng)來自客戶端的命令。

主控端——運行客戶端程序的主機。

代理端——運行守護程序的主機。

目標(biāo)主機——分布式攻擊的目標(biāo)〔主機或網(wǎng)絡(luò)〕。

74分布式拒絕效勞〔DDoS〕攻擊工具分析--TFN2K

TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標(biāo)進行協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX、Solaris和WindowsNT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。

TFN2K由兩局部組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機列表。代理端據(jù)此對目標(biāo)進行拒絕效勞攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進行通訊。而且主控端還能偽造其IP地址。所有這些特性都使開展防御TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。

75主控端通過TCP、UDP、ICMP或隨機性使用其中之一的數(shù)據(jù)包向代理端主機

發(fā)送命令。對目標(biāo)的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST

PING(SMURF)數(shù)據(jù)包flood等?！糁骺囟伺c代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了ICMP總是使用

ICMP_ECHOREPLY類型數(shù)據(jù)包。

◆與其上一代版本TFN不同，TFN2K的守護程序是完全沉默的，它不會對接收

到的命令有任何回應(yīng)。客戶端重復(fù)發(fā)送每一個命令20次，并且認(rèn)為守護程

序應(yīng)該至少能接收到其中一個。

76◆這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機IP地址的偽造數(shù)據(jù)包。

◆TFN2K命令不是基于字符串的，而采用了"++"格式，其中是

代表某個特定命令的數(shù)值，那么是該命令的參數(shù)。

◆所有命令都經(jīng)過了CAST-256算法〔RFC2612〕加密。加密關(guān)鍵字在程序編

譯時定義，并作為TFN2K客戶端程序的口令。

◆所有加密數(shù)據(jù)在發(fā)送前都被編碼〔Base64〕成可打印的ASCII字符。TFN2K

守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。

77◆守護進程為每一個攻擊產(chǎn)生子進程。

◆TFN2K守護進程試圖通過修改argv[0]內(nèi)容〔或在某些平臺中修改進程名〕

以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。

這個功能使TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢

查進程列表未必能找到TFN2K守護進程〔及其子進程〕。

◆來自每一個客戶端或守護進程的所有數(shù)據(jù)包都可能被偽造。

78TFN2K仍然有弱點?？赡苁鞘韬龅脑颍用芎蟮腂ase64編碼在每一個TFN2K數(shù)據(jù)包的尾部留下了痕跡〔與協(xié)議和加密算法無關(guān)〕。可能是程序作者為了使每一個數(shù)據(jù)包的長度變化而填充了1到16個零(0x00)，經(jīng)過Base64編碼后就成為多個連續(xù)的0x41('A')。添加到數(shù)據(jù)包尾部的0x41的數(shù)量是可變的，但至少會有一個。這些位于數(shù)據(jù)包尾部的0x41('A')就成了捕獲TFN2K命令數(shù)據(jù)包的特征了79fork

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*

command.exe**

cmd.exe**

tfn-daemon***

tfn-child***

80目前仍沒有能有效防御TFN2K拒絕效勞攻擊的方法。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。

預(yù)

防

◆只使用應(yīng)用代理型防火墻。這能夠有效地阻止所有的TFN2K通訊。但只使用應(yīng)

用代理效勞器通常是不切合實際的，因此只能盡可能使用最少的非代理效勞。

◆禁止不必要的ICMP、TCP和UDP通訊。特別是對于ICMP數(shù)據(jù)，可只允許ICMP類

型3〔destinationunreachable目標(biāo)不可到達〕數(shù)據(jù)包通過。

◆如果不能禁止ICMP協(xié)議，那就禁止主動提供或所有的ICMP_ECHOREPLY包。

81◆禁止不在允許端口列表中的所有UDP和TCP包。

◆配置防火墻過濾所有可能的偽造數(shù)據(jù)包。

◆對系統(tǒng)進行補丁和平安配置，以防止攻擊者入侵并安裝TFN2K。

監(jiān)

測

◆掃描客戶端/守護程序的名字。

◆根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。

◆掃描系統(tǒng)內(nèi)存中的進程列表。

82◆檢查ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的0x41。另外，檢查數(shù)據(jù)側(cè)

面內(nèi)容是否都是ASCII可打印字符〔2B，2F-39，0x41-0x5A，0x61-0x7A〕。

◆監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包〔有可能混合了TCP、UDP和ICMP包〕。

響

應(yīng)

一旦在系統(tǒng)中發(fā)現(xiàn)了TFN2K，必須立即通知平安公司或?qū)＜乙宰粉櫲肭诌M行。因為TFN2K的守護進程不會對接收到的命令作任何回復(fù)，TFN2K客戶端一般會繼續(xù)向代理端主機發(fā)送命令數(shù)據(jù)包。另外，入侵者發(fā)現(xiàn)攻擊失效時往往會試圖連接到代理端主機上以進行檢查。這些網(wǎng)絡(luò)通訊都可被追蹤。

83

IP欺騙的原理

⑴什么是IP電子欺騙攻擊？

所謂IP欺騙，無非就是偽造他人的源IP地址。其實質(zhì)就是讓一臺機器來扮演另一臺機器，籍以到達蒙混過關(guān)的目的。⑵誰容易上當(dāng)？

IP欺騙技術(shù)之所以獨一無二，就在于只能實現(xiàn)對某些特定的運行FreeTCP/IP協(xié)議的計算機進行攻擊。

一般來說，如下的效勞易受到IP欺騙攻擊：

■任何使用SunRPC調(diào)用的配置

■任何利用IP地址認(rèn)證的網(wǎng)絡(luò)效勞

■MIT的XWindow系統(tǒng)

■R效勞84

IP欺騙的原理

假設(shè)B上的客戶運行rlogin與A上的rlogind通信：

1.B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報頭中的sequencenumber設(shè)置成自己本次連接的初始值ISN。

2.A回傳給B一個帶有SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的ISN，并確認(rèn)B發(fā)送來的第一個數(shù)據(jù)段，將acknowledgenumber設(shè)置成B的ISN+1。

3.B確認(rèn)收到的A的數(shù)據(jù)段，將acknowledgenumber設(shè)置成A的ISN+1。

85B----SYN---->A

B<----SYN+ACK----A

B----ACK---->A

86IP欺騙攻擊的描述1.假設(shè)Z企圖攻擊A，而A信任B，所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意，如何才能知道A信任B呢？沒有什么確切的方法。我的建議就是平時注意搜集蛛絲馬跡，厚積薄發(fā)。一次成功的攻擊其實主要不是因為技術(shù)上的高明，而是因為信息搜集的廣泛翔實。動用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標(biāo)，不在乎手段。

2.假設(shè)Z已經(jīng)知道了被信任的B，應(yīng)該想方法使B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。著名的SYNflood常常是一次IP欺騙攻擊的前奏。請看一個并發(fā)效勞器的框架：

87IP欺騙攻擊的描述intinitsockid,newsockid;

if((initsockid=socket(...))<0){

error("can'tcreatesocket");

}

if(bind(initsockid,...)<0){

error("binderror");

}

if(listen(initsockid,5)<0){

error("listenerror");

}

88IP欺騙攻擊的描述for(;;){

newsockid=accept(initsockid,...);/*阻塞*/

if(newsockid<0){

error("accepterror");

}

if(fork()==0){/*子進程*/

close(initsockid);

do(newsockid);/*處理客戶方請求*/

exit(0);

}

close(newsockid);

}

89IP欺騙攻擊的描述3.Z必須確定A當(dāng)前的ISN。首先連向25端口(SMTP是沒有平安校驗機制的)，與1中類似，不過這次需要記錄A的ISN，以及Z到A的大致的RTT(roundtriptime)。這個步驟要重復(fù)屢次以便求出RTT的平均值?，F(xiàn)在Z知道了A的ISN基值和增加規(guī)律(比方每秒增加128000，每次連接增加64000)，也知道了從Z到A需要RTT/2的時間。必須立即進入攻擊，否那么在這之間有其他主機與A連接，ISN將比預(yù)料的多出64000。

90IP欺騙攻擊的描述4.Z向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接，只是信源IP改成了B，注意是針對TCP513端口(rlogin)。A向B回送SYN+ACK數(shù)據(jù)段，B已經(jīng)無法響應(yīng)(憑什么？按照作者在2中所說，估計還達不到這個效果，因為Z必然要模仿B發(fā)起connect調(diào)用，connect調(diào)用會完成全相關(guān)，自動指定本地socket地址和端口，可事實上B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。91IP欺騙攻擊的描述除非Z模仿B發(fā)起連接請求時打破常規(guī)，主動在客戶端調(diào)用bind函數(shù)，明確完成全相關(guān)，這樣必然知道A會向B的某個端口回送，在2中也針對這個端口攻擊B?？墒侨绻@樣，完全不用攻擊B，bind的時候指定一個B上根本不存在的端口即可。我也是想了又想，還沒來得及看看老外的源代碼，不妥之處有待商榷?？傊?，覺得作者好象在蒙我們，他自己也沒有實踐成功過吧。)，B的TCP層只是簡單地丟棄A的回送數(shù)據(jù)段。

92IP欺騙攻擊的描述5.Z暫停一小會兒，讓A有足夠時間發(fā)送SYN+ACK，因為Z看不到這個包。然后Z再次偽裝成B向A發(fā)送ACK，此時發(fā)送的數(shù)據(jù)段帶有Z預(yù)測的A的ISN+1。如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。問題在于即使連接建立，A仍然會向B發(fā)送數(shù)據(jù)，而不是Z，Z仍然無法看到A發(fā)往B的數(shù)據(jù)段，Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送類似"cat++>>~/.rhosts"這樣的命令，于是攻擊完成。如果預(yù)測不準(zhǔn)確，A將發(fā)送一個帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，Z只有從頭再來。

93IP欺騙攻擊的描述Z(B)----SYN---->A

B<----SYN+ACK----A

Z(B)----ACK---->A

Z(B)----PSH---->A

......

6.IP欺騙攻擊利用了RPC效勞器僅僅依賴于信源IP地址進行平安校驗的特性，建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測A的ISN。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點矛盾。94IP欺騙攻擊的描述考慮這種情況，入侵者控制了一臺由A到B之間的路由器，假設(shè)Z就是這臺路由器，那么A回送到B的數(shù)據(jù)段，現(xiàn)在Z是可以看到的，顯然攻擊難度驟然下降了許多。否那么Z必須精確地預(yù)見可能從A發(fā)往B的信息，以及A期待來自B的什么應(yīng)答信息，這要求攻擊者對協(xié)議本身相當(dāng)熟悉。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進行協(xié)議分析。

95IP欺騙攻擊的描述7.如果Z不是路由器，能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)？沒有仔細(xì)分析過，只是隨便猜測而已。并且與A、B、

Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個A上的shell，對于許多高級入侵者，得到目標(biāo)主機的shell，離root權(quán)限就不遠了，最容易想到的當(dāng)然是接下來進行bufferoverflow攻擊。

96IP欺騙攻擊的描述8.也許有人要問，為什么Z不能直接把自己的IP設(shè)置成B的？這個問題很不好答復(fù)，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題?；叵胛仪懊尜N過的ARP欺騙攻擊，如果B的ARPCache沒有受到影響，就不會出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時，企圖解析A的MAC地址或者路由器的MAC地址，必然會發(fā)送ARP請求包，但這個ARP請求包中源IP以及源MAC都是Z的，自然不會引起ARP沖突。而ARPCache只會被ARP包改變，不受IP包的影響，所以可以肯定地說，IP欺騙攻擊過程中不存在ARP沖突。相反，如果Z修改了自己的IP，這種ARP沖突就有可能出現(xiàn)，示具體情況而言。攻擊中連帶B一起攻擊了，其目的無非是防止B干擾了攻擊過程，如果B本身已經(jīng)down掉，那是再好不過

97IP欺騙攻擊的描述9.fakeip曾經(jīng)沸沸揚揚了一下，對之進行端口掃描，發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系，和平安校驗是有關(guān)系的。

98IP欺騙攻擊的描述10.關(guān)于預(yù)測ISN，我想到另一個問題。就是如何以第三方身份切斷A與B之間的TCP連接，實際上也是預(yù)測sequencenumber的問題。嘗試過，也很困難。如果Z是A與B之間的路由器，就不用說了；或者Z動用了別的技術(shù)可以監(jiān)聽到A與B之間的通信，也容易些；否那么預(yù)測太難。作者在3中提到連接A的25端口，可我想不明白的是513端口的ISN和25端口有什么關(guān)系？看來需要看看TCP/IP內(nèi)部實現(xiàn)的源代碼。99電子欺騙攻擊很少見，但必竟也發(fā)生過。詳細(xì)情況可閱讀以下所述的資料：

/scc/sec.9532.txt

:///~coder/spoofit/spoofithtm

://lighting.ch/products/software/ipx/details.html

://craycom.co.uk/prodinfo/inetwork/fsin301x.htm100未雨綢繆

雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的，比方刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC機制無法運做，還可以殺掉portmapper等等。設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部IP的報文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵，內(nèi)部入侵呢？

TCP的ISN選擇不是隨機的，增加也不是隨機的，這使攻擊者有規(guī)可循，可以修改與ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。101未雨綢繆估計Linux下容易做到，那solaris、irix、hp-unix還有aix呢？sigh

雖然作者紙上談兵，但總算讓我們了解了一下IP欺騙攻擊，我實驗過預(yù)測sequencenumber，不是ISN，企圖切斷一個TCP連接，感覺難度很大。建議要找到規(guī)律，不要盲目預(yù)測，這需要時間和耐心。一個現(xiàn)成的bug足以讓你取得root權(quán)限.102其他形式的電子欺騙

電子欺騙還有其他一些形式，諸如DNS欺騙。當(dāng)DNS效勞器被入侵者接手后就有可能出現(xiàn)DNS欺騙。這種情況發(fā)生的可能性很小，然而萬一發(fā)生將會導(dǎo)致不堪設(shè)想的泄密后果。此類攻擊雖然罕見，人們也不能因此高枕無憂。

:///ciac/bulletins/g-14.shtml

在多數(shù)情況下，實施DNS欺騙時，入侵者要取得DNS效勞器的信任并明目張膽地改變主機的IP地址表，這些變化被寫入到DNS效勞器的轉(zhuǎn)換表數(shù)據(jù)庫中，因此，當(dāng)客戶發(fā)出一個查詢請求時，他會等到假的IP地址，這一地址會處于入侵者的完全控制之下。

:///sip/pub/oakland-paper-96.pdf

/pub/tools/unix103進程的內(nèi)存組織形式為了理解什么是堆棧緩沖區(qū),我們必須首先理解一個進程是以什么組織形式在內(nèi)存中存在的.進程被分成三個區(qū)域:文本,數(shù)據(jù)和堆棧.我們把精力集中在堆棧區(qū)域,但首先按照順序簡單介紹一下其他區(qū)域.文本區(qū)域是由程序確定的,包括代碼(指令)和只讀數(shù)據(jù).該區(qū)域相當(dāng)于可執(zhí)行文件的文本段.這個區(qū)域通常被標(biāo)記為只讀,任何對其寫入的操作都會導(dǎo)致段錯誤(segmentationviolation).數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù).靜態(tài)變量儲存在這個區(qū)域中.數(shù)據(jù)區(qū)域?qū)?yīng)可執(zhí)行文件中的data-bss段.它的大小可以用系統(tǒng)調(diào)用brk(2)來改變.如果bss數(shù)據(jù)的擴展或用戶堆棧把可用內(nèi)存消耗光了,進程就會被阻塞住,等待有了一塊更大的內(nèi)存空間之后再運行.新內(nèi)存參加到數(shù)據(jù)和堆棧段的中間.104什么是堆棧堆棧是一個在計算機科學(xué)中經(jīng)常使用的抽象數(shù)據(jù)類型.堆棧中的物體具有一個特性:最后一個放入堆棧中的物體總是被最先拿出來,這個特性通常稱為后進先處(LIFO)隊列.堆棧中定義了一些操作.兩個最重要的是PUSH和POP.PUSH操作在堆棧的頂部參加一個元素.POP操作相反,在堆棧頂部移去一個元素,并將堆棧的大小減一.105為什么使用堆?，F(xiàn)代計算機被設(shè)計成能夠理解人們頭腦中的高級語言.在使用高級語言構(gòu)造程序時最重要的技術(shù)是過程(procedure)和函數(shù)(function).從這一點來看,一個過程調(diào)用可以象跳轉(zhuǎn)(jump)命令那樣改變程序的控制流程,但是與跳轉(zhuǎn)不同的是,當(dāng)工作完成時,函數(shù)把控制權(quán)返回給調(diào)用之后的語句或指令.這種高級抽象實現(xiàn)起來要靠堆棧的幫助.堆棧也用于給函數(shù)中使用的局部變量動態(tài)分配空間,同樣給函數(shù)傳遞參數(shù)和函數(shù)返回值也要用到堆棧.106堆棧區(qū)域

堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存.一個名為堆棧指針(SP)的存放器指向堆棧的頂部.堆棧的底部在一個固定的地址.堆棧的大小在運行時由內(nèi)核動態(tài)地調(diào)整.CPU實現(xiàn)指令PUSH和POP,向堆棧中添加元素和從中移去元素.堆棧由邏輯堆棧幀組成.當(dāng)調(diào)用函數(shù)時邏輯堆棧幀被壓入棧中,當(dāng)函數(shù)返回時邏輯堆棧幀被從棧中彈出.堆棧幀包括函數(shù)的參數(shù),函數(shù)地局部變量,以及恢復(fù)前一個堆棧幀所需要的數(shù)據(jù),其中包括在函數(shù)調(diào)用時指令指針(IP)的值.堆棧既可以向下增長(向內(nèi)存低地址)也可以向上增長,這依賴于具體的實現(xiàn).107堆棧區(qū)域在我們的例子中,堆棧是向下增長的.這是很多計算機的實現(xiàn)方式,包括Intel,Motorola,SPARC和MIPS處理器.堆棧指針(SP)也是依賴于具體實現(xiàn)的.它可以指向堆棧的最后地址,或者指向堆棧之后的下一個空閑可用地址.在我們的討論當(dāng)中,SP指向堆棧的最后地址.除了堆棧指針(SP指向堆棧頂部的的低地址)之外,為了使用方便還有指向幀內(nèi)固定地址的指針叫做幀指針(FP).108堆棧區(qū)域有些文章把它叫做局部基指針(LB-localbasepointer).從理論上來說,局部變量可以用SP加偏移量來引用.然而,當(dāng)有字被壓棧和出棧后,這些偏移量就變了.盡管在某些情況下編譯器能夠跟蹤棧中的字操作,由此可以修正偏移量,但是在某些情況下不能.而且在所有情況下,要引入可觀的管理開銷.而且在有些機器上,比方Intel處理器,由SP加偏移量訪問一個變量需要多條指令才能實現(xiàn).109堆棧區(qū)域因此,許多編譯器使用第二個存放器,FP,對于局部變量和函數(shù)參數(shù)都可以引用,因為它們到FP的距離不會受到PUSH和POP操作的影響.在IntelCPU中,BP(EBP)用于這個目的.在MotorolaCPU中,除了A7(堆棧指針SP)之外的任何地址存放器都可以做FP.考慮到我們堆棧的增長方向,從FP的位置開始計算,函數(shù)參數(shù)的偏移量是正值,而局部變量的偏移量是負(fù)值.當(dāng)一個例程被調(diào)用時所必須做的第一件事是保存前一個FP(這樣當(dāng)例程退出時就可以恢復(fù)).110系統(tǒng)應(yīng)用技巧111注冊表常見問題

1注冊表破壞后的現(xiàn)象在通常情況下，注冊表被破壞后，系統(tǒng)會有如下現(xiàn)象發(fā)生：●系統(tǒng)無法啟動。例如，在啟動Windows95/98時，將出現(xiàn)如對話框。112注冊表常見問題113注冊表常見問題114注冊表常見問題無法運行合法的應(yīng)用程序。應(yīng)用程序無法正常運行。找不到相應(yīng)的文件。例如，在啟動Windows95/98時，可能會出現(xiàn)如下提示信息：115注冊表常見問題CannotfindadevicefilethatmaybeneededtorunWindowsorawindowsapplication.TheWindowsRegistryorSystem.inifilereferstothisdevicefile,butthedevicefilenolongerexistsIfyoudeletedthisfileonpurpose,tryuninsallingtheassociatedapplicationusingitsuninstallOrSetupprogram.Ifyoustillwanttousetheapplicationassociaredwiththisdevicefile,Tryreinstallingtheapplicationtoreplacethemissingfile.Ndskwan.vxdPressakeytocontinue.116注冊表常見問題沒有訪問應(yīng)用程序的權(quán)限。驅(qū)動程序不能正確被安裝。無法調(diào)入驅(qū)動程序。不能進行網(wǎng)絡(luò)連接。注冊表條目有誤。117破壞注冊表的途徑破壞注冊表的途徑

破壞注冊表的主要途徑可以歸結(jié)為如下三大類：

1.向系統(tǒng)中添加應(yīng)用程序和驅(qū)動程序

由于用戶經(jīng)常地在Windows95/98上添加或者刪除各種應(yīng)用程序和驅(qū)動程序，因此，基于以下幾種情況，注冊表有被破壞的可能性：(1)應(yīng)用程序的錯誤

在實際使用過程中，很少有完全沒有錯誤的應(yīng)用程序。最好的情況就是用戶在使用軟件過程中沒有遇到到錯誤，而且那些看似微小的錯誤，可能會導(dǎo)致非常嚴(yán)重的后果。同時，當(dāng)今的軟件的數(shù)目是如此的繁多，誰也不能確定當(dāng)多個軟件安裝在一個系統(tǒng)里以后，是否能正常運行，彼此間是否毫無沖突。那些做Beta測試的軟件，就是因為系統(tǒng)還沒有定型，還有相當(dāng)多的錯誤，希望被測試用戶在使用的過程中發(fā)現(xiàn)。118破壞注冊表的途徑(2)驅(qū)動程序的不兼容性

雖然驅(qū)動程序一般都經(jīng)過了比較周密的測試，但是由于PC的體系結(jié)構(gòu)是一個開放性的體系結(jié)構(gòu)，誰也不能確認(rèn)每個驅(qū)動程序會和哪些其他程序協(xié)同工作。因此，誰也不可能測試所有的可能性，這樣就有不兼容的可能性存在。(3)使用了錯誤的驅(qū)動程序

某些驅(qū)動程序是16位，在安裝到32位的Windows95/98操作系統(tǒng)后，可能出現(xiàn)不兼容的情況。(4)應(yīng)用程序在注冊表中添加了錯誤的內(nèi)容

某些應(yīng)用程序在修改注冊表時，增加了不該增加的內(nèi)容，或者將原來正確的注冊表內(nèi)容修改為不正確的內(nèi)容。119破壞注冊表的途徑(5)應(yīng)用程序添加了錯誤的數(shù)據(jù)文件和應(yīng)用程序之間的關(guān)聯(lián)。2.硬件被更換或者被損壞

如果計算機系統(tǒng)本身出現(xiàn)了問題，常常會導(dǎo)致注冊表的毀壞。下面列出了幾種原因會導(dǎo)致計算機系統(tǒng)出現(xiàn)問題：

(1)病毒

現(xiàn)在一些病毒〔如CIH病毒等〕可以更改系統(tǒng)的BIOS程序，使BIOS程序受到破壞。還有一些病毒可能會隱藏在Cache中，使系統(tǒng)運行不正常。某些CMOS病毒能夠去除CMOS存儲器所保存的硬件數(shù)據(jù)。

120破壞注冊表的途徑(2)斷電在非正常斷電情況下，可能會燒毀主板或者其他硬件設(shè)備。(3)CPU燒毀

在CPU超頻情況下，可能會燒毀CPU。另外，在夏天工作時，由于溫度過高，對于發(fā)熱量較大的CPU〔如AMD、Cyrix、IBM、WinChip等〕極易燒毀。(4)硬盤錯誤

由于硬盤質(zhì)量不穩(wěn)定，導(dǎo)致系統(tǒng)受到破壞。121破壞注冊表的途徑

3.用戶手工修改注冊表

由于注冊表中的數(shù)據(jù)是非常復(fù)雜的〔在第5章中，我們花費了大量的篇幅詳解了注冊表〕，所以，用戶在手工修改注冊表的時候，經(jīng)常導(dǎo)致注冊表中的內(nèi)容的毀壞。

有時，用戶會將另一臺計算機上的注冊表覆蓋到本地計算機上的注冊表文件，但是由于一個注冊表在一臺計算機上使用正常，并不等于它會在其他計算機上也使用正常，這樣做極易破壞整個系統(tǒng)。122分析問題及恢復(fù)出現(xiàn)注冊表故障的可能原因有三個：WIN95目錄中的SYSTEM.DAT文件不存在、崩潰或MSDOS.SYS文件中的［Paths］部分丟失了。----如果是第一、二種原因，可用下面的方法進行恢復(fù)：----1.進入WIN95目錄，看看SYSTEM.DAT及USER.DAT文件是否存在：attrib/system.datattribuser.dat----2.如果SYSTEM.DAT、USER.DAT兩文件存在，那么做第3、4步；否那么跳到第5步。123分析問題及恢復(fù)----3.在MS-DOS狀態(tài)下去除SYSTEM.DAT及USER.DAT文件的只讀、系統(tǒng)、隱藏屬性：attribsystem.dat-r-h-sattribuser.dat-r-h-s----4.將SYSTEM.DAT、USER.DAT兩文件改名為SYSTEM.BAD、USER.BAD：renamesystem.datsystem.badrenameuser.datuser.bad----5.重新啟動機器，系統(tǒng)會自動修：在引導(dǎo)時，如果Windows95找不著注冊表文件，它用備份的SYSTEM.DA0和USER.DA0做為注冊表文件；假如這倆文件運行正常的話，系統(tǒng)就把它們分別改為SYSTEM.DAT和USER.DAT。124分析問題及恢復(fù)----如果是第三種原因，那么應(yīng)做下面的工作：----在MSDOS.SYS文件中加上［Paths］部分，或?qū)Γ跴aths］部分進行修改。有關(guān)MSDOS.SYS的內(nèi)容，----這部分內(nèi)容包括三項：----HostWinBootDrv=<引導(dǎo)盤的根目錄>----缺省值為C，其作用是指明引導(dǎo)盤的根目錄。----WinBootDir=<啟動所需要文件的位置>125分析問題及恢復(fù)----缺省值為安裝時指定的目錄(如C:\WINDOWS)，其作用是列出啟動所需要文件的位置。----WinDir=<WIN95目錄的位置>----缺省值為安裝時指定的目錄(如C:\WINDOWS)，其作用是列出安裝過程中指定的WIN95目錄的位置。----如果是故障的第三種原因，那么可以參考上面的內(nèi)容用任一種編輯器對引導(dǎo)盤根目錄(通常為C:\)下的隱含文件MSDOS.SYS進