網(wǎng)絡(luò)安全概述二

網(wǎng)絡(luò)安全概述

1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全面臨的問題網(wǎng)絡(luò)安全的客觀必要性常見的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)安全保障體系網(wǎng)絡(luò)安全工作的目的2什么是網(wǎng)絡(luò)安全（五要素）可用性：授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)機(jī)密性：信息不暴露給未授權(quán)實(shí)體或進(jìn)程完整性：保證數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段3網(wǎng)絡(luò)安全的內(nèi)容物理安全網(wǎng)絡(luò)安全傳輸安全應(yīng)用安全用戶安全4網(wǎng)絡(luò)安全面臨的問題來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外國(guó)政府競(jìng)爭(zhēng)對(duì)手黑客不滿的雇員5網(wǎng)絡(luò)安全威脅的來源

1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人；

2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進(jìn)行操作；-隱蔽用戶:逃避審計(jì)和訪問控制的用戶；

3.濫用職權(quán)者:被授權(quán)使用計(jì)算機(jī)和訪問系統(tǒng)資源，但濫用職權(quán)者。6冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型7網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

網(wǎng)上犯罪形勢(shì)不容樂觀

有害信息污染嚴(yán)重網(wǎng)絡(luò)病毒的蔓延和破壞

網(wǎng)上黑客無孔不入

機(jī)要信息流失與信息間諜潛入

網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán)

信息戰(zhàn)的陰影不可忽視

互聯(lián)網(wǎng)正以巨大的力度和廣度

沖擊和改造著社會(huì)、經(jīng)濟(jì)、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會(huì)公眾強(qiáng)烈依賴的社會(huì)重要基礎(chǔ)設(shè)施互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn)8網(wǎng)上犯罪形勢(shì)不容樂觀計(jì)算機(jī)犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購(gòu)物賬戶密碼曝光事件增多2000年2月7日攻擊美國(guó)知名網(wǎng)站案件：

損失$12億，影響百萬網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：

用戶信用卡被曝光美國(guó)網(wǎng)絡(luò)安全造成損失$170億/年美國(guó)金融界計(jì)算機(jī)犯罪損失$100億/年9有害信息污染嚴(yán)重黃色信息：涉及1%網(wǎng)站，10億美元年?duì)I業(yè)額邪教信息：法輪功160多個(gè)反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚(yáng)暴力：炸藥配方、幫助自殺政治攻擊：考克斯報(bào)告、政治演變論10網(wǎng)絡(luò)病毒的的蔓延和破破壞10年內(nèi)以以幾何級(jí)數(shù)數(shù)增長(zhǎng)病毒達(dá)55000種種（2000.12亞洲計(jì)計(jì)算機(jī)反病病毒大會(huì)））網(wǎng)絡(luò)病毒有有更大的破破壞性1988年年莫里斯事事件（UNIX/Email）6000臺(tái)臺(tái)、$9000萬1998年年4月的CIH病毒毒2000萬萬臺(tái)計(jì)算機(jī)機(jī)1999年年2月的梅梅利莎案件件（Window/Email）$12億2000年年5月4日日的我愛你你病毒$87億2001年年7、8月月紅色代碼碼（CodeRed）到目前前為止$26億11網(wǎng)上黑客無無孔不入美國(guó)網(wǎng)絡(luò)屢屢遭掃蕩軍事、政治治、經(jīng)濟(jì)美國(guó)五角大大樓情報(bào)網(wǎng)網(wǎng)絡(luò)、美國(guó)國(guó)海軍研究究室、空軍軍、美國(guó)中中央情報(bào)局局、許多貿(mào)貿(mào)易及金融融機(jī)構(gòu)都有有被黑的歷歷史全球網(wǎng)絡(luò)危危機(jī)四伏非法侵入、、破壞系統(tǒng)統(tǒng)、竊取機(jī)機(jī)密中國(guó)網(wǎng)絡(luò)不不斷被侵入入五一中美黑黑客大戰(zhàn)800多網(wǎng)網(wǎng)站被黑黑客是一些發(fā)自自好奇、尋尋求刺激、、富有挑戰(zhàn)戰(zhàn)的家伙是一群以攻攻擊網(wǎng)絡(luò)，，搜尋并破破壞信息為為了的無賴賴；是一幫為了了揚(yáng)名，專專與政府作作對(duì)的極端端分子；是一些恐怖怖主義分子子或政治、、軍事、商商業(yè)和科技技間諜。12機(jī)要信息流流失與信息息間諜潛入入國(guó)家機(jī)密信信息、企業(yè)業(yè)關(guān)鍵信息息、個(gè)人隱隱私Web發(fā)布布、電子郵郵件、文件件傳送的泄泄漏預(yù)謀性竊取取政治和經(jīng)經(jīng)濟(jì)情報(bào)CIA統(tǒng)計(jì)計(jì)入侵美國(guó)國(guó)要害系統(tǒng)統(tǒng)的案件年增長(zhǎng)率為為30%我國(guó)信息網(wǎng)網(wǎng)絡(luò)發(fā)展必必然成為其其重要目標(biāo)標(biāo)13網(wǎng)絡(luò)安全產(chǎn)產(chǎn)品的自控控權(quán)安全產(chǎn)品隱通道、嵌嵌入病毒、、缺陷、可可恢復(fù)密鑰鑰大量外購(gòu)安安全產(chǎn)品缺缺少自控權(quán)權(quán)我國(guó)缺少配配套的安全全產(chǎn)品控制制政策和機(jī)機(jī)制我國(guó)安全產(chǎn)產(chǎn)業(yè)還比較較稚嫩是重大安全全隱患之一一14信息戰(zhàn)的陰陰影不可忽忽視有組織、大大規(guī)模的網(wǎng)網(wǎng)絡(luò)攻擊預(yù)預(yù)謀行為：：國(guó)家級(jí)、集集團(tuán)級(jí)無硝煙的戰(zhàn)戰(zhàn)爭(zhēng)：跨國(guó)界、隱隱蔽性、低低花費(fèi)、跨跨領(lǐng)域高技術(shù)性、、情報(bào)不確確定性美國(guó)的“信信息戰(zhàn)執(zhí)行行委員會(huì)””：網(wǎng)絡(luò)防護(hù)中中心（1999年））信息作戰(zhàn)中中心（2000年））網(wǎng)絡(luò)攻擊演演練（2000年））要害目標(biāo)：：金融支付中中心、證券券交易中心心空中交管中中心、鐵路路調(diào)度中心心電信網(wǎng)管中中心、軍事事指揮中心心15網(wǎng)絡(luò)的脆弱弱性網(wǎng)絡(luò)的擴(kuò)展展與業(yè)務(wù)負(fù)負(fù)荷膨脹：：信息量半年年長(zhǎng)一倍，，網(wǎng)民年增增漲30%網(wǎng)絡(luò)帶寬瓶瓶頸和信息息擁擠社會(huì)與經(jīng)濟(jì)濟(jì)對(duì)網(wǎng)絡(luò)的的巨大經(jīng)濟(jì)濟(jì)依賴性：20%股市市、25%產(chǎn)品、30%金融融、40%人口災(zāi)難情況下下的網(wǎng)絡(luò)脆脆弱性“AOL””96年10小時(shí)癱癱瘓：影響700萬用戶安全的模糊糊性網(wǎng)網(wǎng)絡(luò)的開開放性技術(shù)的公開開性人人類的天性性16安全的模糊糊性安全是相對(duì)對(duì)的，不易易明確安全全的目標(biāo)安全是復(fù)雜雜的，不易易認(rèn)清存在在的問題安全是廣泛泛的，不易易普及安全全的知識(shí)安全鏈條：：鏈條的強(qiáng)強(qiáng)度等于其其最弱一環(huán)環(huán)的強(qiáng)度（（木桶原理理：網(wǎng)絡(luò)安安全最薄弱弱之處好比比木桶壁上上最短的木木塊，也是是黑客對(duì)網(wǎng)網(wǎng)絡(luò)攻擊的的首選之處處。）17網(wǎng)絡(luò)絡(luò)的的開開放放性性互聯(lián)聯(lián)機(jī)機(jī)制制提提供供了了廣廣泛泛的的可可訪訪問問性性Client-Server模模式式提提供供了了明明確確的的攻攻擊擊目目標(biāo)標(biāo)開放的網(wǎng)絡(luò)協(xié)協(xié)議和操作系系統(tǒng)為入侵提提供了線索用戶的匿名性性為攻擊提供供了機(jī)會(huì)18技術(shù)的公開性性如果不能集思思廣益，自由由地發(fā)表對(duì)系系統(tǒng)的建議，，則會(huì)增加系系統(tǒng)潛在的弱弱點(diǎn)被忽視的的危險(xiǎn)，因此此Internet要求求對(duì)網(wǎng)絡(luò)安全全問題進(jìn)行坦坦率公開地討討論。基于上述原則則，高水平的的網(wǎng)絡(luò)安全資資料與工具在在Internet中可可自由獲得。。19人類的天性好奇心這扇門為什么么鎖上，我能能打開嗎？惰性和依賴心心理安全問題應(yīng)由由專家來關(guān)心心恐懼心理家丑不可外揚(yáng)揚(yáng)20網(wǎng)絡(luò)攻攻擊形形式按網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)分：：E-Mail、、FTP、、Telnet、R服務(wù)、、IIS按技術(shù)術(shù)途徑徑分：：口令攻攻擊、、Dos攻攻擊、、種植植木馬馬按攻擊擊目的的分：：數(shù)據(jù)竊竊取、、偽造造濫用用資源源、篡篡改數(shù)數(shù)據(jù)21主要攻攻擊與與威脅脅——十十大攻攻擊手手段1.Dos：使目標(biāo)標(biāo)系統(tǒng)統(tǒng)或網(wǎng)網(wǎng)絡(luò)無無法提提供正正常服服務(wù)網(wǎng)絡(luò)Flooding:synflooding、、pingflooding、、DDos系統(tǒng)Crash:Pingofdeath、淚淚滴、、land、、WinNuke應(yīng)用Crash/Overload：：利用應(yīng)應(yīng)用程程序缺缺陷，，如長(zhǎng)長(zhǎng)郵件件2.掃描探探測(cè)：：系統(tǒng)弱弱點(diǎn)探探察SATAN、ISS、、CybercopScanner、、ping（嗅探探加密密口口令,口令令文件件)223.口令攻攻擊:弱口令令口令竊竊取：：嗅探器器、偷偷窺、、社會(huì)會(huì)工程程（垃垃圾、、便條條、偽偽裝查查詢））口令猜猜測(cè)：：常用字字—無無法獲獲得加加密的的口令令-強(qiáng)強(qiáng)力攻攻擊口令Crack：字典猜猜測(cè)、、字典典攻擊擊—可可獲得得加密密的口口令（（嗅探探加密密口令令,口口令文文件)4.獲取權(quán)權(quán)限，，提升升權(quán)限限（root/administrator）猜/crackroot口口令、、緩沖沖區(qū)溢溢出、、利用用NT注冊(cè)冊(cè)表、、訪問問和利利用高高權(quán)限限控制制臺(tái)、、利用用啟動(dòng)動(dòng)文件件、利利用系系統(tǒng)或或應(yīng)用用Bugs5.插入惡惡意代代碼:病毒、、特洛洛伊木木馬（（BO)、、后門門、惡惡意Applet236.網(wǎng)絡(luò)破破壞：：主頁(yè)篡篡改、、文件件刪除除、毀毀壞OS、、格格式化化磁盤盤7.數(shù)據(jù)竊竊取：：敏感數(shù)數(shù)據(jù)拷拷貝、、監(jiān)聽聽敏感感數(shù)據(jù)據(jù)傳輸輸---共共享媒媒介/服務(wù)務(wù)器監(jiān)監(jiān)聽/遠(yuǎn)程程監(jiān)聽聽RMON8.偽造、、浪費(fèi)費(fèi)與濫濫用資資源：：違規(guī)使使用9.篡改審審計(jì)數(shù)數(shù)據(jù):刪除、、修改改、權(quán)權(quán)限改改變、、使審審計(jì)進(jìn)進(jìn)程失失效10.安全全基基礎(chǔ)礎(chǔ)攻攻擊擊：：防火火墻墻、、路路由由、、帳帳戶戶修修改改，，文文件件權(quán)權(quán)限限修修改改。。24我國(guó)國(guó)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全現(xiàn)現(xiàn)狀狀硬件件設(shè)設(shè)備備上上嚴(yán)嚴(yán)重重依依賴賴國(guó)國(guó)外外網(wǎng)絡(luò)絡(luò)安安全全管管理理存存在在漏漏洞洞網(wǎng)絡(luò)絡(luò)安安全全問問題題還還沒沒有有引引起起人人們們的的廣廣泛泛重重視視安全技術(shù)術(shù)有待研研究美國(guó)和西西方國(guó)家家對(duì)我過過進(jìn)行破破壞、滲滲透和污污染啟動(dòng)了一一些網(wǎng)絡(luò)絡(luò)安全研研究項(xiàng)目目建立一批批國(guó)家網(wǎng)網(wǎng)絡(luò)安全全基礎(chǔ)設(shè)設(shè)施25Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標(biāo)機(jī)）美2.7黑客案案件的攻攻擊方式式分布式拒拒決服務(wù)務(wù)（DDoS））26美國(guó)2.7黑客客事件的的啟示互聯(lián)網(wǎng)正正在成為為國(guó)家重重要基礎(chǔ)礎(chǔ)設(shè)施9800萬網(wǎng)民民3000萬人參參予網(wǎng)上上購(gòu)物，，$1000億億元交易易額14%的的股市交交易互聯(lián)網(wǎng)威威脅給社社會(huì)帶來來巨大沖沖擊CNN的的100萬網(wǎng)民民閱讀網(wǎng)網(wǎng)絡(luò)新聞聞受阻Amason的820萬注冊(cè)冊(cè)用戶無無法購(gòu)書書3天總損損失高達(dá)達(dá)$12億互聯(lián)網(wǎng)安全問問題正在進(jìn)入入國(guó)家戰(zhàn)略層層克林頓2月16日召開網(wǎng)網(wǎng)絡(luò)安全高峰峰會(huì)議支持$900萬建立高科科技安全研究究所拔款$20億億建基礎(chǔ)設(shè)施施打擊網(wǎng)絡(luò)恐恐怖活動(dòng)27值得深思的幾幾個(gè)問題網(wǎng)絡(luò)安全的全全局性戰(zhàn)略黑客工具的公公開化對(duì)策網(wǎng)絡(luò)安全的預(yù)預(yù)警體系應(yīng)急反應(yīng)隊(duì)伍伍的建設(shè)28傳統(tǒng)安全觀念念受到挑戰(zhàn)網(wǎng)絡(luò)是變化的的、風(fēng)險(xiǎn)是動(dòng)動(dòng)態(tài)的傳統(tǒng)安全觀側(cè)側(cè)重策略的技技術(shù)實(shí)現(xiàn)現(xiàn)代安全觀強(qiáng)強(qiáng)調(diào)安全的整整體性，安全全被看成一一個(gè)與環(huán)境相相互作用的動(dòng)動(dòng)態(tài)循環(huán)過程程29網(wǎng)絡(luò)安全策略略網(wǎng)絡(luò)安全是一一個(gè)系統(tǒng)的概概念，可靠的的網(wǎng)絡(luò)安全解解決方案必須須建立在集成成網(wǎng)絡(luò)安全技技術(shù)的基礎(chǔ)上上，網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全策略就就是基于這種種技術(shù)集成而而提出的，主主要有三種：：1直接風(fēng)險(xiǎn)險(xiǎn)控制策略（（靜態(tài)防御））安全=風(fēng)險(xiǎn)分分析+安全規(guī)規(guī)則+直接的的技術(shù)防御體體系+安全監(jiān)監(jiān)控攻擊手段是是不斷進(jìn)步步的，安全全漏洞也是是動(dòng)態(tài)出現(xiàn)現(xiàn)的，因此此靜態(tài)防御御下的該模模型存在著著本質(zhì)的缺缺陷。2自適應(yīng)應(yīng)網(wǎng)絡(luò)安全全策略（動(dòng)動(dòng)態(tài)性）安全=風(fēng)險(xiǎn)險(xiǎn)分析+執(zhí)執(zhí)行策略+系統(tǒng)實(shí)施施+漏洞分分析+實(shí)時(shí)時(shí)響應(yīng)該策略強(qiáng)調(diào)調(diào)系統(tǒng)安全全管理的動(dòng)動(dòng)態(tài)性，主主張通過安安全性檢測(cè)測(cè)、漏洞監(jiān)監(jiān)測(cè)，自適適應(yīng)地填充充“安全間間隙”，從從而提高網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的安全性。。完善的網(wǎng)網(wǎng)絡(luò)安全體體系，必須須合理協(xié)調(diào)調(diào)法律、技技術(shù)和管理理三種因素素，集成防防護(hù)、監(jiān)控控和恢復(fù)三三種技術(shù)，，力求增強(qiáng)強(qiáng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的健壯性性與免疫力力。局限性性在于：只只考慮增強(qiáng)強(qiáng)系統(tǒng)的健健壯性，僅僅綜合了技技術(shù)和管理理因素，僅僅采用了技技術(shù)防護(hù)。。30網(wǎng)絡(luò)安全策策略（續(xù)））3智能網(wǎng)網(wǎng)絡(luò)系統(tǒng)安安全策略（（動(dòng)態(tài)免疫疫力）安全=風(fēng)險(xiǎn)險(xiǎn)分析+安安全策略+技術(shù)防御御體系+攻攻擊實(shí)時(shí)檢檢測(cè)+安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復(fù)+系統(tǒng)統(tǒng)學(xué)習(xí)進(jìn)化化技術(shù)防御體體系包括漏漏洞檢測(cè)和和安全縫隙隙填充；安安全跟蹤是是為攻擊證證據(jù)記錄服服務(wù)的，系系統(tǒng)學(xué)習(xí)進(jìn)進(jìn)化是旨在在改善系統(tǒng)統(tǒng)性能而引引入的智能能反饋機(jī)制制。模型中，““風(fēng)險(xiǎn)分析析+安全策策略”體現(xiàn)現(xiàn)了管理因因素；“技技術(shù)防御體體系+攻擊擊實(shí)時(shí)檢測(cè)測(cè)+系統(tǒng)數(shù)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)習(xí)進(jìn)化”體體現(xiàn)了技術(shù)術(shù)因素；技技術(shù)因素綜綜合了防護(hù)護(hù)、監(jiān)控和和恢復(fù)技術(shù)術(shù)；“安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復(fù)+系統(tǒng)統(tǒng)學(xué)習(xí)進(jìn)化化”使系統(tǒng)統(tǒng)表現(xiàn)出動(dòng)動(dòng)態(tài)免疫力力。31網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）隨著信息網(wǎng)網(wǎng)絡(luò)的飛速速發(fā)展，信信息網(wǎng)絡(luò)的的安全防護(hù)護(hù)技術(shù)已逐逐漸成為一一個(gè)新興的的重要技術(shù)術(shù)領(lǐng)域，并并且受到政政府、軍隊(duì)隊(duì)和全社會(huì)會(huì)的高度重重視。隨著著我國(guó)政府府、金融等等重要領(lǐng)域域逐步進(jìn)入入信息網(wǎng)絡(luò)絡(luò)，國(guó)家的的信息網(wǎng)絡(luò)絡(luò)已成為繼繼領(lǐng)土、領(lǐng)領(lǐng)海、領(lǐng)空空之后的又又一個(gè)安全全防衛(wèi)領(lǐng)域域，逐漸成成為國(guó)家安安全的最高高價(jià)值目標(biāo)標(biāo)之一?？煽梢哉f信息息網(wǎng)絡(luò)的安安全與國(guó)家家安全密切切相關(guān)。32網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）最近安全專專家提出了了信息保障障體系的新新概念，即即：為了保保障網(wǎng)絡(luò)安安全，應(yīng)重重視提高系系統(tǒng)的入侵侵檢測(cè)能力力、事件反反應(yīng)能力和和遭破壞后后的快速恢恢復(fù)能力。。信息保障障有別于傳傳統(tǒng)的加密密、身份認(rèn)認(rèn)證、訪問問控制、防防火墻等技技術(shù)，它強(qiáng)強(qiáng)調(diào)信息系系統(tǒng)整個(gè)生生命周期的的主動(dòng)防御御。美國(guó)在在信息保障障方面的一一些舉措,如：成立立關(guān)鍵信息息保障辦公公室、國(guó)家家基礎(chǔ)設(shè)施施保護(hù)委員員會(huì)和開展展對(duì)信息戰(zhàn)戰(zhàn)的研究等等等，表明明美國(guó)正在在尋求一種種信息系統(tǒng)統(tǒng)防御和保保護(hù)的新概概念，這應(yīng)應(yīng)該引起我我們的高度度重視。33網(wǎng)絡(luò)絡(luò)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全防防護(hù)護(hù)體體系系（（PDRR））保護(hù)護(hù)、、檢檢測(cè)測(cè)、、響響應(yīng)應(yīng)和和恢恢復(fù)復(fù)涵涵蓋蓋了了對(duì)對(duì)現(xiàn)現(xiàn)代代信信息息系系統(tǒng)統(tǒng)的的安安全全防防護(hù)護(hù)的的各各個(gè)個(gè)方方面面，，構(gòu)構(gòu)成成了了一一個(gè)個(gè)完完整整的的體體系系，，使使網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全建建筑筑在在一一個(gè)個(gè)更更加加堅(jiān)堅(jiān)實(shí)實(shí)的的基基礎(chǔ)礎(chǔ)之之上上。。34網(wǎng)絡(luò)絡(luò)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全防防護(hù)護(hù)體體系系（（PDRR））保護(hù)護(hù)(PROTECT)傳統(tǒng)統(tǒng)安安全全概概念念的的繼繼承承，，包包括括信信息息加加密密技技術(shù)術(shù)、、訪訪問問控控制制技技術(shù)術(shù)等等等等。。檢測(cè)測(cè)(DETECT)從監(jiān)監(jiān)視視、、分分析析、、審審計(jì)計(jì)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)活活動(dòng)動(dòng)的的角角度度，，發(fā)發(fā)現(xiàn)現(xiàn)對(duì)對(duì)于于信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)的的攻攻擊擊、、破破壞壞活活動(dòng)動(dòng)，，提提供供預(yù)預(yù)警警、、實(shí)實(shí)時(shí)時(shí)響響應(yīng)應(yīng)、、事事后后分分析析和和系系統(tǒng)統(tǒng)恢恢復(fù)復(fù)等等方方面面的的支支持持，，使使安安全全防防護(hù)護(hù)從從單單純純的的被被動(dòng)動(dòng)防防護(hù)護(hù)演演進(jìn)進(jìn)到到積積極極的的主主動(dòng)動(dòng)防防御御。35網(wǎng)絡(luò)絡(luò)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全防防護(hù)護(hù)體體系系（（PDRR））響應(yīng)應(yīng)(RESPONSE)在遭遭遇遇攻攻擊擊和和緊緊急急事事件件時(shí)時(shí)及及時(shí)時(shí)采采取取措措施施，，包包括括調(diào)調(diào)整整系系統(tǒng)統(tǒng)的的安安全全措措施施、、跟跟蹤蹤攻攻擊擊源源和和保保護(hù)護(hù)性性關(guān)關(guān)閉閉服服務(wù)務(wù)和和主主機(jī)機(jī)等等。。恢復(fù)復(fù)(RECOVER)評(píng)估估系系統(tǒng)統(tǒng)受受到到的的危危害害與與損損失失，，恢恢復(fù)復(fù)系系統(tǒng)統(tǒng)功功能能和和數(shù)數(shù)據(jù)據(jù)，，啟啟動(dòng)動(dòng)備備份份系系統(tǒng)統(tǒng)等等。。36網(wǎng)絡(luò)安全全保障體體系安全管理理與審計(jì)計(jì)物理層安安全網(wǎng)絡(luò)層安全傳輸層安安全應(yīng)用層安安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層層會(huì)話層層審計(jì)與與監(jiān)控控身份認(rèn)認(rèn)證數(shù)據(jù)加加密數(shù)字簽簽名完整性性鑒別別端到端端加密密訪問控控制點(diǎn)到點(diǎn)點(diǎn)鏈路路加密密物理信信道安安全訪問控控制數(shù)據(jù)機(jī)機(jī)密性性數(shù)據(jù)完完整性性用戶認(rèn)認(rèn)證防抵賴賴安全審審計(jì)網(wǎng)絡(luò)安安全層層次層次模型網(wǎng)絡(luò)安安全技技術(shù)實(shí)現(xiàn)安安全目目標(biāo)用戶安全37網(wǎng)絡(luò)安安全工工作的的目的的38黑客攻攻擊與與防范范39以太幀幀與MAC地址址一、以以太資資料幀幀的結(jié)結(jié)構(gòu)圖圖前同步碼報(bào)頭資料區(qū)資料幀檢查序列（FCS）8個(gè)字節(jié)（不包括）通常14個(gè)字節(jié)46-1，500字節(jié)

固定4字節(jié)40以太幀構(gòu)成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報(bào)頭必須有：發(fā)送者M(jìn)AC地址目的MAC地址共12個(gè)字節(jié)OR長(zhǎng)度字段中的字節(jié)總數(shù)信息（差錯(cuò)控制）OR類型字段（說明以太幀的類型）資料區(qū)資料源IP目的地IP實(shí)際資料和協(xié)議信息如果資料超過1，500分解多個(gè)資料幀，使用序列號(hào)如果不夠46個(gè)字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41MAC地址的前三個(gè)字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42地址解析協(xié)協(xié)議地址解析協(xié)協(xié)議

索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對(duì)應(yīng)的IP地址這一行對(duì)應(yīng)入口類型入口1

入口2

入口N

注：數(shù)值2表示這個(gè)入入口是非法法的，數(shù)值值3表示這種映映像是動(dòng)態(tài)態(tài)的，數(shù)值值4表示是靜態(tài)態(tài)的（如口口不改變）），數(shù)值1表示不是上上述任何一一種。入口：ARP高速緩存。。43TIP/IPIP（InternetProtocol）網(wǎng)網(wǎng)際協(xié)議議，把要要傳輸?shù)牡囊粋€(gè)文文件分成成一個(gè)個(gè)個(gè)的群組組，這些些群組被被稱之為為IP數(shù)數(shù)據(jù)包，，每個(gè)IP數(shù)據(jù)據(jù)包都含含有源地地址和目目的地址址，知道道從哪臺(tái)臺(tái)機(jī)器正正確地傳傳送到另另一臺(tái)機(jī)機(jī)器上去去。IP協(xié)議具具有分組組交換的的功能，，不會(huì)因因?yàn)橐慌_(tái)臺(tái)機(jī)器傳傳輸而獨(dú)獨(dú)占通信信線路。。TCP（TransportcontrolProtocal）傳傳輸控制制協(xié)議具具有重排排IP數(shù)數(shù)據(jù)包順順序和超超時(shí)確認(rèn)認(rèn)的功能能。IP數(shù)據(jù)包包可能從從不同的的通信線線路到達(dá)達(dá)目的地地機(jī)器，，IP數(shù)數(shù)據(jù)包的的順序可可能序亂亂。TCP按IP數(shù)據(jù)據(jù)包原來來的順序序進(jìn)行重重排。IP數(shù)據(jù)據(jù)包可能能在傳輸輸過程中中丟失或或損壞，，在規(guī)定定的時(shí)間間內(nèi)如果果目的地地機(jī)器收收不到這這些IP數(shù)據(jù)包包，TCP協(xié)議議會(huì)讓源源機(jī)器重重新發(fā)送送這些IP數(shù)據(jù)據(jù)包，直直到到達(dá)達(dá)目的地地機(jī)器。。TCP協(xié)議確確認(rèn)收到到的IP數(shù)據(jù)包包。超時(shí)時(shí)機(jī)制是是自動(dòng)的的，不依依賴于通通訊線路路的遠(yuǎn)近近。IP和和TCP兩種協(xié)協(xié)議協(xié)同同工作，，要傳輸輸?shù)奈募涂梢砸詼?zhǔn)確無無誤地被被傳送和和接收44TIP/IPTCP/IP協(xié)協(xié)議議族族與與OSI七七層層模模型型的的對(duì)對(duì)應(yīng)應(yīng)關(guān)關(guān)系系，，如如下下圖圖所所示示45數(shù)據(jù)據(jù)包包是是什什么么樣樣的的？？TCP/IP/Ethernet舉舉例例對(duì)分分組組過過濾濾而而言言：：涉涉及及四四層層1.Ethernetlayer2.IPlayer3.TCPlayer4.datalayer分組組與與數(shù)數(shù)據(jù)據(jù)封封包包：：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分組組＝EthernetHeader＋EthernetBody2.Header說明：3.EthernetBody包含含的是IP分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機(jī)器的Ethernet地址（源址）接收該分組的機(jī)器的Ethernet地址（宿址）IPlayer1.IP分分組＝IPheader+IPBody3.IP可將分組細(xì)分分為更小的部部分段(fragments)，以便網(wǎng)絡(luò)傳輸輸。4.IPBody包含的是TCP分組。。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？?，用于IP源路由或IP安全選項(xiàng)的標(biāo)識(shí)IP分組字字段版本 IHL服務(wù)類型 總長(zhǎng)度 標(biāo)識(shí) O分段偏差有效期 協(xié)議 報(bào)頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù)OMFF32BIT過濾字段50IP:1、處于Internet中間層次次。2、其下有很很多不同的層層：如Ethernet，tokenring，F(xiàn)DDI，PPP等。3、其上有很很多協(xié)議：TCP，UDP，ICMP。4、與分組過過濾有關(guān)的特特性是：5、分段示意意圖：IP選項(xiàng)：用于Firewall中，對(duì)付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分分組：TCP報(bào)頭＋TCP本體2、報(bào)頭中與與過濾有關(guān)部部分：TCP源端口口：2byte數(shù)，說明明處理分組的的源機(jī)器。TCP宿端口口：同上TCP旗標(biāo)字字段（flag），含有1bit的ACKbit。3、本體內(nèi)是是實(shí)際要傳送送的數(shù)據(jù)。TCPLayer源端口口宿宿端口口序號(hào)號(hào)確認(rèn)認(rèn)號(hào)號(hào)HLEN保保留留碼碼位位窗窗口校驗(yàn)和和緊緊急指指針選項(xiàng)項(xiàng)填填充字字節(jié)數(shù)據(jù)據(jù)WordsBits048121620242831頭標(biāo)端口掃掃描攻攻擊54Sniffer攻擊擊55DOS原理理DoS的英英文全稱是是DenialofService，也就就是“拒絕絕服務(wù)”的的意思。從從網(wǎng)絡(luò)攻擊擊的各種方方法和所產(chǎn)產(chǎn)生的破壞壞情況來看看，DoS算是一種種很簡(jiǎn)單但但又很有效效的進(jìn)攻方方式。它的的目的就是是拒絕你的的服務(wù)訪問問，破壞組組織的正常常運(yùn)行，最最終它會(huì)使使你的部分分Internet連接和網(wǎng)網(wǎng)絡(luò)系統(tǒng)失失效。DoS的攻擊擊方式有很很多種，最最基本的DoS攻擊擊就是利用用合理的服服務(wù)請(qǐng)求來來占用過多多的服務(wù)資資源，從而而使合法用用戶無法得得到服務(wù)。。DoS攻攻擊的原理理如圖所示示。56DOS原理理57DOS原理理從圖我們可可以看出DoS攻擊擊的基本過過程：首先先攻擊者向向服務(wù)器發(fā)發(fā)送眾多的的帶有虛假假地址的請(qǐng)請(qǐng)求，服務(wù)務(wù)器發(fā)送回回復(fù)信息后后等待回傳傳信息，由由于地址是是偽造的，，所以服務(wù)務(wù)器一直等等不到回傳傳的消息，，分配給這這次請(qǐng)求的的資源就始始終沒有被被釋放。當(dāng)當(dāng)服務(wù)器等等待一定的的時(shí)間后，，連接會(huì)因因超時(shí)而被被切斷，攻攻擊者會(huì)再再度傳送新新的一批請(qǐng)請(qǐng)求，在這這種反復(fù)發(fā)發(fā)送偽地址址請(qǐng)求的情情況下，服服務(wù)器資源源最終會(huì)被被耗盡。58DDOS原原理DDoS（（分布式拒拒絕服務(wù)）），它的英英文全稱為為DistributedDenialofService，它是是一種基于于DoS的的特殊形式式的拒絕服服務(wù)攻擊，，是一種分分布、協(xié)作作的大規(guī)模模攻擊方式式，主要瞄瞄準(zhǔn)比較大大的站點(diǎn)，，象商業(yè)公公司，搜索索引擎和政政府部門的的站點(diǎn)。從從圖1我們們可以看出出DoS攻攻擊只要一一臺(tái)單機(jī)和和一個(gè)modem就就可實(shí)現(xiàn)，，與之不同同的是DDoS攻擊擊是利用一一批受控制制的機(jī)器向向一臺(tái)機(jī)器器發(fā)起攻擊擊，這樣來來勢(shì)迅猛的的攻擊令人人難以防備備，因此具具有較大的的破壞性。。DDoS的攻擊原原理如圖所所示。59DDOS原原理60DDOS原原理從圖可以看看出，DDoS攻擊擊分為3層層：攻擊者者、主控端端、代理端端，三者在在攻擊中扮扮演著不同同的角色。。1、攻擊者者：攻擊者所所用的計(jì)算算機(jī)是攻擊擊主控臺(tái)，，可以是網(wǎng)網(wǎng)絡(luò)上的任任何一臺(tái)主主機(jī)，甚至至可以是一一個(gè)活動(dòng)的的便攜機(jī)。。攻擊者操操縱整個(gè)攻攻擊過程，，它向主控控端發(fā)送攻攻擊命令。。2、主控端端：主控端是是攻擊者非非法侵入并并控制的一一些主機(jī)，，這些主機(jī)機(jī)還分別控控制大量的的代理主機(jī)機(jī)。主控端端主機(jī)的上上面安裝了了特定的程程序，因此此它們可以以接受攻擊擊者發(fā)來的的特殊指令令，并且可可以把這些些命令發(fā)送送到代理主主機(jī)上。3、代理端端：代理端同樣樣也是攻擊擊者侵入并并控制的一一批主機(jī)，，它們上面面運(yùn)行攻擊擊器程序，，接受和運(yùn)運(yùn)行主控端端發(fā)來的命命令。代理理端主機(jī)是是攻擊的執(zhí)執(zhí)行者，真真正向受害害者主機(jī)發(fā)發(fā)送攻擊。。61SYNFlood的基本原原理大家都知道道，TCP與UDP不同，它它是基于連連接的，也也就是說：：為了在服服務(wù)端和客客戶端之間間傳送TCP數(shù)據(jù)，，必須先建建立一個(gè)虛虛擬電路，，也就是TCP連接接，建立TCP連接接的標(biāo)準(zhǔn)過過程是這樣樣的：首首先先，請(qǐng)求端端（客戶端端）發(fā)送一一個(gè)包含SYN標(biāo)志志的TCP報(bào)文，SYN即同同步（Synchronize），同同步報(bào)文會(huì)會(huì)指明客戶戶端使用的的端口以及及TCP連連接的初始始序號(hào)；第第二步，服服務(wù)器在收收到客戶端端的SYN報(bào)文后，，將返回一一個(gè)SYN+ACK的報(bào)文，，表示客戶戶端的請(qǐng)求求被接受，，同時(shí)TCP序號(hào)被被加一，ACK即確確認(rèn)（Acknowledgement）。第第三步，客客戶端也返返回一個(gè)確確認(rèn)報(bào)文ACK給服服務(wù)器端，，同樣TCP序列號(hào)號(hào)被加一，，到此一個(gè)個(gè)TCP連連接完成。。

以上的的連接過程程在TCP協(xié)議中被被稱為三次次握手（Three-wayHandshake）。。62SYNFlood的基本原原理假設(shè)一個(gè)用用戶向服務(wù)務(wù)器發(fā)送了了SYN報(bào)報(bào)文后突然然死機(jī)或掉掉線，那么么服務(wù)器在在發(fā)出SYN+ACK應(yīng)答報(bào)報(bào)文后是無無法收到客客戶端的ACK報(bào)文文的（第三三次握手無無法完成）），這種情情況下服務(wù)務(wù)器端一般般會(huì)重試（（再次發(fā)送送SYN+ACK給給客戶端））并等待一一段時(shí)間后后丟棄這個(gè)個(gè)未完成的的連接，這這段時(shí)間的的長(zhǎng)度我們們稱為SYNTimeout，一般般來說這個(gè)個(gè)時(shí)間是分分鐘的數(shù)量量級(jí)（大約約為30秒秒-2分鐘鐘）；一個(gè)個(gè)用戶出現(xiàn)現(xiàn)異常導(dǎo)致致服務(wù)器的的一個(gè)線程程等待1分分鐘并不是是什么很大大的問題，，但如果有有一個(gè)惡意意的攻擊者者大量模擬擬這種情況況，服務(wù)器器端將為了了維護(hù)一個(gè)個(gè)非常大的的半連接列列表而消耗耗非常多的的資源----數(shù)以以萬計(jì)的半半連接，即即使是簡(jiǎn)單單的保存并并遍歷也會(huì)會(huì)消耗非常常多的CPU時(shí)間和和內(nèi)存，何何況還要不不斷對(duì)這個(gè)個(gè)列表中的的IP進(jìn)行行SYN+ACK的的重試。實(shí)實(shí)際上如果果服務(wù)器的的TCP/IP棧不不夠強(qiáng)大，，最后的結(jié)結(jié)果往往是是堆棧溢出出崩潰---即使服服務(wù)器端的的系統(tǒng)足夠夠強(qiáng)大，服服務(wù)器端也也將忙于處處理攻擊者者偽造的TCP連接接請(qǐng)求而無無暇理睬客客戶的正常常請(qǐng)求（畢畢竟客戶端端的正常請(qǐng)請(qǐng)求比率非非常之?。?，此時(shí)從從正?？蛻魬舻慕嵌瓤纯磥?，服務(wù)務(wù)器失去響響應(yīng)，這種種情況我們們稱作：服服務(wù)器端受受到了SYNFlood攻攻擊（SYN洪水攻攻擊）。63SYNFlood的基本基本解決方方法第一種是縮縮短SYNTimeout時(shí)間，由由于SYNFlood攻擊擊的效果取取決于服務(wù)務(wù)器上保持持的SYN半連接數(shù)數(shù)，這個(gè)值值=SYN攻擊的頻頻度xSYNTimeout，所以通通過縮短從從接收到SYN報(bào)文文到確定這這個(gè)報(bào)文無無效并丟棄棄改連接的的時(shí)間，例例如設(shè)置為為20秒以以下（過低低的SYNTimeout設(shè)置可能能會(huì)影響客客戶的正常常訪問），，可以成倍倍的降低服服務(wù)器的負(fù)負(fù)荷。第第二種方法法是設(shè)置SYNCookie，就是是給每一個(gè)個(gè)請(qǐng)求連接接的IP地地址分配一一個(gè)Cookie，，如果短時(shí)時(shí)間內(nèi)連續(xù)續(xù)受到某個(gè)個(gè)IP的重重復(fù)SYN報(bào)文，就就認(rèn)定是受受到了攻擊擊，以后從從這個(gè)IP地址來的的包會(huì)被丟丟棄。64DDoS攻攻擊使用的的常用工具具DDoS攻攻擊實(shí)施起起來有一定定的難度，，它要求攻攻擊者必須須具備入侵侵他人計(jì)算算機(jī)的能力力。但是很很不幸的是是一些傻瓜瓜式的黑客客程序的出出現(xiàn)，這些些程序可以以在幾秒鐘鐘內(nèi)完成入入侵和攻擊擊程序的安安裝，使發(fā)發(fā)動(dòng)DDoS攻擊變變成一件輕輕而易舉的的事情。下下面我們來來分析一下下這些常用用的黑客程程序。1、TrinooTrinoo的攻擊擊方法是向向被攻擊目目標(biāo)主機(jī)的的隨機(jī)端口口發(fā)出全零零的4字節(jié)節(jié)UDP包包，在處理理這些超出出其處理能能力的垃圾圾數(shù)據(jù)包的的過程中，，被攻擊主主機(jī)的網(wǎng)絡(luò)絡(luò)性能不斷斷下降，直直到不能提提供正常服服務(wù)，乃至至崩潰。它它對(duì)IP地地址不做假假，采用的的通訊端口口是：攻擊者主機(jī)機(jī)到主控端端主機(jī)：27665/TCP主主控端主機(jī)機(jī)到代理端端主機(jī)：27444/UDP代代理端主機(jī)機(jī)到主服務(wù)務(wù)器主機(jī)：：31335/UDPFNTFN由由主主控控端端程程序序和和代代理理端端程程序序兩兩部部分分組組成成，，它它主主要要采采取取的的攻攻擊擊方方法法為為：：SYN風(fēng)風(fēng)暴暴、、Ping風(fēng)風(fēng)暴暴、、UDP炸炸彈彈和和SMURF，，具具有有偽偽造造數(shù)數(shù)據(jù)據(jù)包包的的能能力力。。65DDoS攻攻擊擊使使用用的的常常用用工工具具3、、TFN2KTFN2K是是由由TFN發(fā)發(fā)展展而而來來的的，，在在TFN所所具具有有的的特特性性上上，，TFN2K又又新新增增一一些些特特性性，，它它的的主主控控端端和和代代理理端端的的網(wǎng)網(wǎng)絡(luò)絡(luò)通通訊訊是是經(jīng)經(jīng)過過加加密密的的，，中中間間還還可可能能混混雜雜了了許許多多虛虛假假數(shù)數(shù)據(jù)據(jù)包包，，而而TFN對(duì)對(duì)ICMP的的通通訊訊沒沒有有加加密密。。攻攻擊擊方方法法增增加加了了Mix和和Targa3。。并并且且TFN2K可可配配置置的的代代理理端端進(jìn)進(jìn)程程端端口口。。4、StacheldrahtStacheldraht也也是從TFN派派生出來來的，因因此它具具有TFN的特特性。此此外它增增加了主主控端與與代理端端的加密密通訊能能力，它它對(duì)命令令源作假假，可以以防范一一些路由由器的RFC2267過濾。。Stacheldrah中中有一個(gè)個(gè)內(nèi)嵌的的代理升升級(jí)模塊塊，可以以自動(dòng)下下載并安安裝最新新的代理理程序。。66DDoS的監(jiān)測(cè)測(cè)現(xiàn)在網(wǎng)上上采用DDoS方式進(jìn)進(jìn)行攻擊擊的攻擊擊者日益益增多，，我們只只有及早早發(fā)現(xiàn)自自己受到到攻擊才才能避免免遭受慘慘重的損損失。檢測(cè)DDoS攻攻擊的主主要方法法有以下下幾種：：1、根據(jù)據(jù)異常情情況分析析當(dāng)網(wǎng)絡(luò)的的通訊量量突然急急劇增長(zhǎng)長(zhǎng)，超過過平常的的極限值值時(shí)，你你可一定定要提高高警惕，，檢測(cè)此此時(shí)的通通訊；當(dāng)當(dāng)網(wǎng)站的的某一特特定服務(wù)務(wù)總是失失敗時(shí)，，你也要要多加注注意；當(dāng)當(dāng)發(fā)現(xiàn)有有特大型型的ICP和UDP數(shù)數(shù)據(jù)包通通過或數(shù)數(shù)據(jù)包內(nèi)內(nèi)容可疑疑時(shí)都要要留神。?？傊?，，當(dāng)你的的機(jī)器出出現(xiàn)異常常情況時(shí)時(shí)，你最最好分析析這些情情況，防防患于未未然。2、使用用DDoS檢測(cè)測(cè)工具當(dāng)攻擊者者想使其其攻擊陰陰謀得逞逞時(shí)，他他首先要要掃描系系統(tǒng)漏洞洞，目前前市面上上的一些些網(wǎng)絡(luò)入入侵檢測(cè)測(cè)系統(tǒng)，，可以杜杜絕攻擊擊者的掃掃描行為為。另外外，一些些掃描器器工具可可以發(fā)現(xiàn)現(xiàn)攻擊者者植入系系統(tǒng)的代代理程序序，并可可以把它它從系統(tǒng)統(tǒng)中刪除除。67DDoS攻擊的的防御策策略由于DDoS攻攻擊具有有隱蔽性性，因此此到目前前為止我我們還沒沒有發(fā)現(xiàn)現(xiàn)對(duì)DDoS攻攻擊行之之有效的的解決方方法。所所以我們們要加強(qiáng)強(qiáng)安全防防范意識(shí)識(shí)，提高高網(wǎng)絡(luò)系系統(tǒng)的安安全性。。可采取取的安全全防御措措施有以以下幾種種：1、及早早發(fā)現(xiàn)系系統(tǒng)存在在的攻擊擊漏洞，，及時(shí)安安裝系統(tǒng)統(tǒng)補(bǔ)丁程程序。對(duì)對(duì)一些重重要的信信息（例例如系統(tǒng)統(tǒng)配置信信息）建建立和完完善備份份機(jī)制。。對(duì)一些些特權(quán)帳帳號(hào)（例例如管理理員帳號(hào)號(hào)）的密密碼設(shè)置置要謹(jǐn)慎慎。通過過這樣一一系列的的舉措可可以把攻攻擊者的的可乘之之機(jī)降低低到最小小。2、在在網(wǎng)絡(luò)絡(luò)管理理方面面，要要經(jīng)常常檢查查系統(tǒng)統(tǒng)的物物理環(huán)環(huán)境，，禁止止那些些不必必要的的網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)。建建立邊邊界安安全界界限，，確保保輸出出的包包受到到正確確限制制。經(jīng)經(jīng)常檢檢測(cè)系系統(tǒng)配配置信信息，，并注注意查查看每每天的的安全全日志志。3、利利用網(wǎng)網(wǎng)絡(luò)安安全設(shè)設(shè)備（（例如如：防防火墻墻）來來加固固網(wǎng)絡(luò)絡(luò)的安安全性性，配配置好好它們們的安安全規(guī)規(guī)則，，過濾濾掉所所有的的可能能的偽偽造數(shù)數(shù)據(jù)包包。4、比比較好好的防防御措措施就就是和和你的的網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)提供供商協(xié)協(xié)調(diào)工工作，，讓他他們幫幫助你你實(shí)現(xiàn)現(xiàn)路由由的訪訪問控控制和和對(duì)帶帶寬總總量的的限制制。68DDoS攻攻擊的的防御御策略略5、當(dāng)當(dāng)你發(fā)發(fā)現(xiàn)自自己正正在遭遭受DDoS攻攻擊時(shí)時(shí)，你你應(yīng)當(dāng)當(dāng)啟動(dòng)動(dòng)您的的應(yīng)付付策略略，盡盡可能能快的的追蹤蹤攻擊擊包，，并且且要及及時(shí)聯(lián)聯(lián)系ISP和有有關(guān)應(yīng)應(yīng)急組組織，，分析析受影影響的的系統(tǒng)統(tǒng)，確確定涉涉及的的其他他節(jié)點(diǎn)點(diǎn)，從從而阻阻擋從從已知知攻擊擊節(jié)點(diǎn)點(diǎn)的流流量。。6、當(dāng)當(dāng)你是是潛在在的DDoS攻攻擊受受害者者，你你發(fā)現(xiàn)現(xiàn)你的的計(jì)算算機(jī)被被攻擊擊者用用做主主控端端和代代理端端時(shí)，，你不不能因因?yàn)槟隳愕南迪到y(tǒng)暫暫時(shí)沒沒有受受到損損害而而掉以以輕心心，攻攻擊者者已發(fā)發(fā)現(xiàn)你你系統(tǒng)統(tǒng)的漏漏洞，，這對(duì)對(duì)你的的系統(tǒng)統(tǒng)是一一個(gè)很很大的的威脅脅。所所以一一旦發(fā)發(fā)現(xiàn)系系統(tǒng)中中存在在DDoS攻擊擊的工工具軟軟件要要及時(shí)時(shí)把它它清除除，以以免留留下后后患。。69分布布式式拒拒絕絕服服務(wù)務(wù)（（DDoS））攻攻擊擊工工具具分分析析--TFN2K客戶戶端端————用用于于通通過過發(fā)發(fā)動(dòng)動(dòng)攻攻擊擊的的應(yīng)應(yīng)用用程程序序，，攻攻擊擊者者通通過過它它來來發(fā)發(fā)送送各各種種命命令令。。守守護(hù)護(hù)程程序序————在在代代理理端端主主機(jī)機(jī)運(yùn)運(yùn)行行的的進(jìn)進(jìn)程程，，接接收收和和響響應(yīng)應(yīng)來來自自客客戶戶端端的的命命令令。。主主控控端端————運(yùn)運(yùn)行行客客戶戶端端程程序序的的主主機(jī)機(jī)。。代代理理端端————運(yùn)運(yùn)行行守守護(hù)護(hù)程程序序的的主主機(jī)機(jī)。。目目標(biāo)標(biāo)主主機(jī)機(jī)————分分布布式式攻攻擊擊的的目目標(biāo)標(biāo)（（主主機(jī)機(jī)或或網(wǎng)網(wǎng)絡(luò)絡(luò)））。。70分布布式式拒拒絕絕服服務(wù)務(wù)（（DDoS））攻攻擊擊工工具具分分析析--TFN2KTFN2K通通過過主主控控端端利利用用大大量量代代理理端端主主機(jī)機(jī)的的資資源源進(jìn)進(jìn)行行對(duì)對(duì)一一個(gè)個(gè)或或多多個(gè)個(gè)目目標(biāo)標(biāo)進(jìn)進(jìn)行行協(xié)協(xié)同同攻攻擊擊。。當(dāng)當(dāng)前前互互聯(lián)聯(lián)網(wǎng)網(wǎng)中中的的UNIX、、Solaris和和WindowsNT等等平平臺(tái)臺(tái)的的主主機(jī)機(jī)能能被被用用于于此此類類攻攻擊擊，，而而且且這這個(gè)個(gè)工工具具非非常常容容易易被被移移植植到到其其它它系系統(tǒng)統(tǒng)平平臺(tái)臺(tái)上上。。TFN2K由由兩兩部部分分組組成成：：在在主主控控端端主主機(jī)機(jī)上上的的客客戶戶端端和和在在代代理理端端主主機(jī)機(jī)上上的的守守護(hù)護(hù)進(jìn)進(jìn)程程。。主主控控端端向向其其代代理理端端發(fā)發(fā)送送攻攻擊擊指指定定的的目目標(biāo)標(biāo)主主機(jī)機(jī)列列表表。。代代理理端端據(jù)據(jù)此此對(duì)對(duì)目目標(biāo)標(biāo)進(jìn)進(jìn)行行拒拒絕絕服服務(wù)務(wù)攻攻擊擊。。由由一一個(gè)個(gè)主主控控端端控控制制的的多多個(gè)個(gè)代代理理端端主主機(jī)機(jī)，，能能夠夠在在攻攻擊擊過過程程中中相相互互協(xié)協(xié)同同，，保保證證攻攻擊擊的的連連續(xù)續(xù)性性。。主主控控央央和和代代理理端端的的網(wǎng)網(wǎng)絡(luò)絡(luò)通通訊訊是是經(jīng)經(jīng)過過加加密密的的，，還還可可能能混混雜雜了了許許多多虛虛假假數(shù)數(shù)據(jù)據(jù)包包。。整整個(gè)個(gè)TFN2K網(wǎng)網(wǎng)絡(luò)絡(luò)可可能能使使用用不不同同的的TCP、、UDP或或ICMP包包進(jìn)進(jìn)行行通通訊訊。。而而且且主主控控端端還還能能偽偽造造其其IP地地址址。。所所有有這這些些特特性性都都使使發(fā)發(fā)展展防防御御TFN2K攻攻擊擊的的策策略略和和技技術(shù)術(shù)都都非非常常困困難難或或效效率率低低下下。。71主控端端通過過TCP、、UDP、、ICMP或隨隨機(jī)性性使用用其中中之一一的數(shù)數(shù)據(jù)包包向代代理端端主機(jī)機(jī)發(fā)發(fā)送送命令令。對(duì)對(duì)目標(biāo)標(biāo)的攻攻擊方方法包包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)數(shù)據(jù)包包flood等等?！糁髦骺囟硕伺c代代理端端之間間數(shù)據(jù)據(jù)包的的頭信信息也也是隨隨機(jī)的的，除除了ICMP總總是使使用ICMP_ECHOREPLY類類型數(shù)數(shù)據(jù)包包?！簟襞c與其上上一代代版本本TFN不不同，，TFN2K的的守護(hù)護(hù)程序序是完完全沉沉默的的，它它不會(huì)會(huì)對(duì)接接收到到的命命令有有任何何回應(yīng)應(yīng)。客客戶端端重復(fù)復(fù)發(fā)送送每一一個(gè)命命令20次次，并并且認(rèn)認(rèn)為守守護(hù)程程序序應(yīng)應(yīng)該至至少能能接收收到其其中一一個(gè)。。72◆這這些命命令數(shù)數(shù)據(jù)包包可能能混雜雜了許許多發(fā)發(fā)送到到隨機(jī)機(jī)IP地址址的偽偽造數(shù)數(shù)據(jù)包包?！簟鬞FN2K命令令不是是基于于字符符串的的，而而采用用了"++"格格式，，其中中是代代表某某個(gè)特特定命命令的的數(shù)值值，則則是該該命令令的參參數(shù)。?！簟羲杏忻盍疃冀?jīng)經(jīng)過了了CAST-256算法法（RFC2612））加密密。加加密關(guān)關(guān)鍵字字在程程序編編譯譯時(shí)時(shí)定義義，并并作為為TFN2K客客戶端端程序序的口口令。?！簟羲杏屑用苊軘?shù)據(jù)據(jù)在發(fā)發(fā)送前前都被被編碼碼（Base64）成成可打打印的的ASCII字字符。。TFN2K守守護(hù)程程序接接收數(shù)數(shù)據(jù)包包并解解密數(shù)數(shù)據(jù)。。73◆守守護(hù)護(hù)進(jìn)進(jìn)程程為為每每一一個(gè)個(gè)攻攻擊擊產(chǎn)產(chǎn)生生子子進(jìn)進(jìn)程程。。◆◆TFN2K守守護(hù)護(hù)進(jìn)進(jìn)程程試試圖圖通通過過修修改改argv[0]內(nèi)內(nèi)容容（（或或在在某某些些平平臺(tái)臺(tái)中中修修改改進(jìn)進(jìn)程程名名））以以掩掩飾飾自自己己。。偽偽造造的的進(jìn)進(jìn)程程名名在在編編譯譯時(shí)時(shí)指指定定，，因因此此每每次次安安裝裝時(shí)時(shí)都都有有可可能能不不同同。。這這個(gè)個(gè)功功能能使使TFN2K偽偽裝裝成成代代理理端端主主機(jī)機(jī)的的普普通通正正常常進(jìn)進(jìn)程程。。因因此此，，只只是是簡(jiǎn)簡(jiǎn)單單地地檢檢查查進(jìn)進(jìn)程程列列表表未未必必能能找找到到TFN2K守守護(hù)護(hù)進(jìn)進(jìn)程程（（及及其其子子進(jìn)進(jìn)程程））。?！簟魜韥碜宰悦棵恳灰粋€(gè)個(gè)客客戶戶端端或或守守護(hù)護(hù)進(jìn)進(jìn)程程的的所所有有數(shù)數(shù)據(jù)據(jù)包包都都可可能能被被偽偽造造。。74TFN2K仍仍然然有有弱弱點(diǎn)點(diǎn)。?？煽赡苣苁鞘鞘枋韬龊龅牡脑蛞颍?，加加密密后后的的Base64編編碼碼在在每每一一個(gè)個(gè)TFN2K數(shù)數(shù)據(jù)據(jù)包包的的尾尾部部留留下下了了痕痕跡跡（（與與協(xié)協(xié)議議和和加加密密算算法法無無關(guān)關(guān)））。?？煽赡苣苁鞘浅坛绦蛐蜃髯髡哒邽闉榱肆耸故姑棵恳灰粋€(gè)個(gè)數(shù)數(shù)據(jù)據(jù)包包的的長(zhǎng)長(zhǎng)度度變變化化而而填填充充了了1到到16個(gè)個(gè)零零(0x00)，，經(jīng)經(jīng)過過Base64編編碼碼后后就就成成為為多多個(gè)個(gè)連連續(xù)續(xù)的的0x41('A')。。添添加加到到數(shù)數(shù)據(jù)據(jù)包包尾尾部部的的0x41的的數(shù)數(shù)量量是是可可變變的的，，但但至至少少會(huì)會(huì)有有一一個(gè)個(gè)。。這這些些位位于于數(shù)數(shù)據(jù)據(jù)包包尾尾部部的的0x41('A')就就成成了了捕捕獲獲TFN2K命命令令數(shù)數(shù)據(jù)據(jù)包包的的特特征征了了75forkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+//dev/urandom/dev/random%d.%d.%d.%dsh*ksh*command.exe**cmd.exe**tfn-daemon***tfn-child***76目前仍沒沒有能有有效防御御TFN2K拒拒絕服務(wù)務(wù)攻擊的的方法。。最有效效的策略略是防止止網(wǎng)絡(luò)資資源被用用作客戶戶端或代代理端。。預(yù)防防

◆只只使用用應(yīng)用代代理型防防火墻。。這能夠夠有效地地阻止所所有的TFN2K通訊訊。但只只使用應(yīng)應(yīng)用用代代理服務(wù)務(wù)器通常常是不切切合實(shí)際際的，因因此只能能盡可能能使用最最少的非非代理服服務(wù)?！簟艚共徊槐匾牡腎CMP、TCP和和UDP通訊。。特別是是對(duì)于ICMP數(shù)據(jù)，，可只允允許ICMP類類型型3（destinationunreachable目標(biāo)不不可到達(dá)達(dá)）數(shù)據(jù)據(jù)包通過過?！簟羧缛绻荒苣芙笽CMP協(xié)議，，那就禁禁止主動(dòng)動(dòng)提供或或所有的的ICMP_ECHOREPLY包包。77◆禁止止不在允允許端口口列表中中的所有有UDP和TCP包。?！簟襞渲弥梅阑饓^濾所所有可能能的偽造造數(shù)據(jù)包包?！簟魧?duì)對(duì)系統(tǒng)進(jìn)進(jìn)行補(bǔ)丁丁和安全全配置，，以防止止攻擊者者入侵并并安裝TFN2K。監(jiān)監(jiān)測(cè)測(cè)◆◆掃描描客戶端端/守護(hù)護(hù)程序的的名字。?！簟舾鶕?jù)據(jù)前面列列出的特特征字符符串掃描描所有可可執(zhí)行文文件?！簟魭邟呙柘迪到y(tǒng)內(nèi)存存中的進(jìn)進(jìn)程列表表。78◆檢查查ICMP_ECHOREPLY數(shù)數(shù)據(jù)包的的尾部是是否含有有連續(xù)的的0x41。另另外，檢檢查數(shù)據(jù)據(jù)側(cè)面面內(nèi)容是是否都是是ASCII可可打印字字符（2B，2F-39，0x41-0x5A，，0x61-0x7A）?！簟舯O(jiān)監(jiān)視含含有相同同數(shù)據(jù)內(nèi)內(nèi)容的連連續(xù)數(shù)據(jù)據(jù)包（有有可能混混合了TCP、、UDP和ICMP包包）。響響應(yīng)應(yīng)一一旦旦在系統(tǒng)統(tǒng)中發(fā)現(xiàn)現(xiàn)了TFN2K，必須須立即通通知安全全公司或或?qū)＜乙砸宰粉櫲肴肭诌M(jìn)行行。因?yàn)闉門FN2K的的守護(hù)進(jìn)進(jìn)程不會(huì)會(huì)對(duì)接收收到的命命令作任任何回復(fù)復(fù)，TFN2K客戶端端一般會(huì)會(huì)繼續(xù)向向代理端端主機(jī)發(fā)發(fā)送命令令數(shù)據(jù)包包。另外外，入侵侵者發(fā)現(xiàn)現(xiàn)攻擊失失效時(shí)往往往會(huì)試試圖連接接到代理理端主機(jī)機(jī)上以進(jìn)進(jìn)行檢查查。這些些網(wǎng)絡(luò)通通訊都可可被追蹤蹤。79IP欺騙騙的原理理⑴什么是是IP電電子欺騙騙攻擊？？

所謂謂IP欺欺騙，無無非就是是偽造他他人的源源IP地地址。其其實(shí)質(zhì)就就是讓一一臺(tái)機(jī)器器來扮演演另一臺(tái)臺(tái)機(jī)器，，籍以達(dá)達(dá)到蒙混混過關(guān)的的目的。。⑵誰容易易上當(dāng)？？

IP欺騙技技術(shù)之所所以獨(dú)一一無二，，就在于于只能實(shí)實(shí)現(xiàn)對(duì)某某些特定定的運(yùn)行行FreeTCP/IP協(xié)協(xié)議的計(jì)計(jì)算機(jī)進(jìn)進(jìn)行攻擊擊。一一般來說說，如下下的服務(wù)務(wù)易受到到IP欺欺騙攻擊擊：■■任何使使用SunRPC調(diào)調(diào)用的配配置■■任何利利用IP地址認(rèn)認(rèn)證的網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)

■MIT的的XWindow系系統(tǒng)■■R服務(wù)務(wù)80IP欺騙騙的原理理假設(shè)B上上的客戶戶運(yùn)行rlogin與與A上的的rlogind通信信：1.B發(fā)送送帶有SYN標(biāo)標(biāo)志的數(shù)數(shù)據(jù)段通通知A需需要建立立TCP連接。。并將TCP報(bào)報(bào)頭中的的sequencenumber設(shè)置成成自己本本次連接接的初始始值ISN。2.A回傳傳給B一一個(gè)帶有有SYS+ACK標(biāo)志志的數(shù)據(jù)據(jù)段，告告之自己己的ISN，并并確認(rèn)B發(fā)送來來的第一一個(gè)數(shù)據(jù)據(jù)段，將將acknowledgenumber設(shè)置成成B的ISN+1。3.B確確認(rèn)收到到的A的的數(shù)據(jù)段段，將acknowledgenumber設(shè)設(shè)置成A的ISN+1。81B----SYN---->AB<----SYN+ACK----AB----ACK---->A82IP欺騙騙攻擊的的描述1.假假設(shè)Z企企圖攻擊擊A，而而A信任任B，所所謂信任任指/etc/hosts.equiv和和$HOME/.rhosts中有有相關(guān)設(shè)設(shè)置。注注意，如如何才能能知道A信任B呢？沒沒有什么么確切的的辦法。。我的建建議就是是平時(shí)注注意搜集集蛛絲馬馬跡，厚厚積薄發(fā)發(fā)。一次次成功的的攻擊其其實(shí)主要要不是因因?yàn)榧夹g(shù)術(shù)上的高高明，而而是因?yàn)闉樾畔⑺阉鸭膹V廣泛翔實(shí)實(shí)。動(dòng)用用了自以以為很有有成就感感的技術(shù)術(shù)，卻不不比人家家酒桌上上的巧妙妙提問，，攻擊只只以成功功為終極極目標(biāo)，，不在乎乎手段。。2.假假設(shè)Z已已經(jīng)知道道了被信信任的B，應(yīng)該該想辦法法使B的的網(wǎng)絡(luò)功功能暫時(shí)時(shí)癱瘓，，以免對(duì)對(duì)攻擊造造成干擾擾。著名名的SYNflood常常常是一次次IP欺欺騙攻擊擊的前奏奏。請(qǐng)看看一個(gè)并并發(fā)服務(wù)務(wù)器的框框架：83IP欺騙騙攻擊的的描述intinitsockid,newsockid;if((initsockid=socket(...))<0){error("can'tcreatesocket");}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){error("listenerror");}84IP欺騙騙攻擊的的描述for(;;){newsockid=accept(initsockid,...);/*阻阻塞*/if(newsockid<0){error("accepterror");}if(fork()==0){/*子子進(jìn)程程*/close(initsockid);do(newsockid);/*處理理客戶方方請(qǐng)求*/exit(0);}close(newsockid);}85IP欺騙騙攻擊的的描述3.Z必須確確定A當(dāng)當(dāng)前的ISN。。首先連連向25端口(SMTP是沒沒有安全全校驗(yàn)機(jī)機(jī)制的)，與1中類似似，不過過這次需需要記錄錄A的ISN，，以及Z到A的的大致的的RTT(roundtriptime)。。這個(gè)步步驟要重重復(fù)多次次以便求求出RTT的平平均值?！，F(xiàn)在Z知道了了A的ISN基基值和增增加規(guī)律律(比如如每秒增增加128000，，每次連連接增加加64000)，也知知道了從從Z到A需要RTT/2的的時(shí)間。。必須立立即進(jìn)入入攻擊，，否則在在這之間間有其他他主機(jī)與與A連接接，ISN將將比預(yù)料料的多出出64000。。86IP欺騙騙攻擊的的描述4.Z向A發(fā)發(fā)送帶有有SYN標(biāo)志的的數(shù)據(jù)段段請(qǐng)求連連接，只只是信源源IP改改成了B，注意意是針對(duì)對(duì)TCP513端口(rlogin)。A向B回回送SYN+ACK數(shù)數(shù)據(jù)段，，B已經(jīng)經(jīng)無法響響應(yīng)(憑憑什么？？按照作作者在2中所說說，估計(jì)計(jì)還達(dá)不不到這個(gè)個(gè)效果，，因?yàn)閆必然要要模仿B發(fā)起connect調(diào)用，，connect調(diào)用用會(huì)完成成全相關(guān)關(guān)，自動(dòng)動(dòng)指定本本地socket地址址和端口口，可事事實(shí)上B很可能能并沒有有這樣一一個(gè)端口口等待接接收數(shù)據(jù)據(jù)。87IP欺騙騙攻擊的的描述除非Z模模仿B發(fā)發(fā)起連接接請(qǐng)求時(shí)時(shí)打破常常規(guī)，主主動(dòng)在客客戶端調(diào)調(diào)用bind函函數(shù)，明明確完成成全相關(guān)關(guān)，這樣樣必然知知道A會(huì)會(huì)向B的的某個(gè)端端口回送送，在2中也針針對(duì)這個(gè)個(gè)端口攻攻擊B。?？墒侨缛绻@樣樣，完全全不用攻攻擊B，，bind的時(shí)時(shí)候指定定一個(gè)B上根本本不