1、網絡安全概述 1BNCC網絡安全概述網絡安全的概念網絡安全的內容網絡安全面臨的問題網絡安全的客觀必要性常見的網絡信息攻擊模式網絡安全保障體系網絡安全工作的目的2BNCC什么是網絡安全（五要素） 可用性： 授權實體有權訪問數據 機密性： 信息不暴露給未授權實體或進程 完整性： 保證數據不被未授權修改 可控性： 控制授權范圍內的信息流向及操作方式 可審查性：對出現的安全問題提供依據與手段3BNCC網絡安全的內容物理安全網絡安全傳輸安全應用安全用戶安全4BNCC網絡安全面臨的問題來源: CSI / FBI Computer Crime Survey, March 1998.21%48%72%89%外

2、國政府競爭對手黑客不滿的雇員5BNCC網絡安全威脅的來源 1.外部滲入（penetration） 未被授權使用計算機的人； 2.內部滲入者 被授權使用計算機，但不能訪問某些數據、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進行操作； -隱蔽用戶:逃避審計和訪問控制的用戶；3.濫用職權者: 被授權使用計算機和訪問系統資源，但濫用職權者。6BNCC冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網絡安全威脅線纜連接身份鑒別編程系統漏洞物理威脅網絡安全威脅的幾種類型7BNCC網絡安全面臨嚴

3、峻挑戰 網上犯罪形勢不容樂觀 有害信息污染嚴重 網絡病毒的蔓延和破壞 網上黑客無孔不入 機要信息流失與信息間諜潛入 網絡安全產品的自控權 信息戰的陰影不可忽視 互聯網正以巨大的力度和廣度 沖擊和改造著社會、經濟、生活的傳統模式 互聯網正在成為社會公眾強烈依賴的社會重要基 礎設施 互聯網安全正在成為普遍關注的焦點8BNCC網上犯罪形勢不容樂觀 計算機犯罪以100%的速度增加 網上攻擊事件每年以10倍速度增漲 銀行的電子購物賬戶密碼曝光事件增多 2000年2月7日攻擊美國知名網站案件： 損失$12億，影響百萬網民 Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet 網上

4、勒索、詐騙不斷： 用戶信用卡被曝光 美國網絡安全造成損失$170億/年 美國金融界計算機犯罪損失$100億/年9BNCC有害信息污染嚴重 黃色信息：涉及1%網站，10億美元年營業額 邪教信息：法輪功160多個反宣傳網站 虛假新聞：美校園炸彈恐嚇事件、網上股市欺詐 宣揚暴力：炸藥配方、幫助自殺 政治攻擊：考克斯報告、政治演變論10BNCC網絡病毒的蔓延和破壞 10年內以幾何級數增長 病毒達55000種（2000.12 亞洲計算機反病毒大會） 網絡病毒有更大的破壞性 1988年莫里斯事件（UNIX/Email） 6000臺、$9000萬 1998年4月的CIH病毒 2000萬臺計算機 1999年2

5、月的梅利莎案件（Window/Email） $12億 2000年5月4日的我愛你病毒 $87億 2001年7、8月紅色代碼（CodeRed）到目前為止 $26億11BNCC網上黑客無孔不入 美國網絡屢遭掃蕩 軍事、政治、經濟 美國五角大樓情報網絡、美國海軍研究室、空軍、美國中央情報局、許多貿易及金融機構都有被黑的歷史 全球網絡危機四伏 非法侵入、破壞系統、竊取機密 中國網絡不斷被侵入五一中美黑客大戰800多網站被黑 黑客是一些發自好奇、尋求刺激、富有挑戰的家伙 是一群以攻擊網絡，搜尋并破壞信息為了的無賴； 是一幫為了揚名，專與政府作對的極端分子； 是一些恐怖主義分子或政治、軍事、商業和科技間諜

6、。12BNCC機要信息流失與信息間諜潛入 國家機密信息、企業關鍵信息、個人隱私 Web發布、電子郵件、文件傳送的泄漏 預謀性竊取政治和經濟情報 CIA統計入侵美國要害系統的案件 年增長率為30% 我國信息網絡發展必然成為其重要目標13BNCC網絡安全產品的自控權 安全產品 隱通道、嵌入病毒、缺陷、可恢復密鑰 大量外購安全產品缺少自控權 我國缺少配套的安全產品控制政策和機制 我國安全產業還比較稚嫩 是重大安全隱患之一14BNCC信息戰的陰影不可忽視 有組織、大規模的網絡攻擊預謀行為： 國家級、集團級 無硝煙的戰爭： 跨國界、隱蔽性、低花費、跨領域 高技術性、情報不確定性 美國的“信息戰執行委員會

7、”： 網絡防護中心（1999年） 信息作戰中心（2000年） 網絡攻擊演練（2000年） 要害目標： 金融支付中心、證券交易中心 空中交管中心、鐵路調度中心 電信網管中心、軍事指揮中心15BNCC網絡的脆弱性 網絡的擴展與業務負荷膨脹： 信息量半年長一倍，網民年增漲30% 網絡帶寬瓶頸和信息擁擠 社會與經濟對網絡的巨大經濟依賴性： 20%股市、25%產品、30%金融、40%人口 災難情況下的網絡脆弱性 “AOL”96年10小時癱瘓： 影響700萬用戶 安全的模糊性 網絡的開放性 技術的公開性 人類的天性16BNCC安全的模糊性安全是相對的，不易明確安全的目標安全是復雜的，不易認清存在的問題安全

8、是廣泛的，不易普及安全的知識安全鏈條：鏈條的強度等于其最弱一環的強度（木桶原理：網絡安全最薄弱之處好比木桶壁上最短的木塊，也是黑客對網絡攻擊的首選之處。） 17BNCC網絡的開放性互聯機制提供了廣泛的可訪問性Client-Server模式提供了明確的攻擊目標開放的網絡協議和操作系統為入侵提供了線索用戶的匿名性為攻擊提供了機會18BNCC技術的公開性如果不能集思廣益，自由地發表對系統的建議，則會增加系統潛在的弱點被忽視的危險，因此Internet要求對網絡安全問題進行坦率公開地討論。基于上述原則，高水平的網絡安全資料與工具在Internet中可自由獲得。19BNCC人類的天性 好奇心這扇門為什么

9、鎖上，我能打開嗎？ 惰性和依賴心理安全問題應由專家來關心 恐懼心理家丑不可外揚20BNCC網絡攻擊形式 按網絡服務分：E-Mail、FTP、Telnet、R服務、IIS 按技術途徑分：口令攻擊、Dos攻擊、種植木馬 按攻擊目的分：數據竊取、偽造濫用資源、篡改數據21BNCC主要攻擊與威脅十大攻擊手段 1.Dos：使目標系統或網絡無法提供正常服務 網絡Flooding:syn flooding、 ping flooding 、DDos 系統Crash: Ping of death、淚滴、 land 、WinNuke 應用Crash/Overload：利用應用程序缺陷，如長郵件 2.掃描探測：系統

10、弱點探察 SATAN、ISS 、Cybercop Scanner 、 ping （嗅探加 密口令,口令文件) 22BNCC3.口令攻擊: 弱口令口令竊取：嗅探器、偷窺、社會工程（垃圾、便條、偽裝查詢）口令猜測：常用字無法獲得加密的口令-強力攻擊口令Crack：字典猜測、字典攻擊可獲得加密的口令（嗅探加密口令,口令文件)4.獲取權限，提升權限（root/administrator）猜/crack root口令、緩沖區溢出、利用NT注冊表、訪問和利用高權限控制臺、利用啟動文件、利用系統或應用Bugs 5. 插入惡意代碼: 病毒、特洛伊木馬（BO)、后門、惡意Applet23BNCC6.網絡破壞：主

11、頁篡改、文件刪除、毀壞OS 、格式化磁盤7. 數據竊取：敏感數據拷貝、監聽敏感數據傳輸-共享媒介/服務器監聽/遠程監聽RMON 8.偽造、浪費與濫用資源：違規使用 9.篡改審計數據:刪除、修改、權限改變、使審計進程失效 10. 安全基礎攻擊：防火墻、路由、帳戶修改，文件權限修改。24BNCC我國網絡安全現狀硬件設備上嚴重依賴國外網絡安全管理存在漏洞網絡安全問題還沒有引起人們的廣泛重視安全技術有待研究美國和西方國家對我過進行破壞、滲透和污染啟動了一些網絡安全研究項目建立一批國家網絡安全基礎設施 25BNCCHacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Tar

12、get（目標機）美2.7黑客案件的攻擊方式 分布式拒決服務（DDoS）26BNCC美國2.7黑客事件的啟示 互聯網正在成為國家重要基礎設施 9800萬網民 3000萬人參予網上購物，$1000億元交易額 14%的股市交易 互聯網威脅給社會帶來巨大沖擊 CNN的100萬網民閱讀網絡新聞受阻 Amason的820萬注冊用戶無法購書 3天總損失高達$12億 互聯網安全問題正在進入國家戰略層 克林頓2月16日召開網絡安全高峰會議 支持$900萬建立高科技安全研究所 拔款$20億建基礎設施打擊網絡恐怖活動27BNCC值得深思的幾個問題 網絡安全的全局性戰略 黑客工具的公開化對策 網絡安全的預警體系 應急

13、反應隊伍的建設28BNCC 傳統安全觀念受到挑戰 網絡是變化的、風險是動態的 傳統安全觀側重策略的技術實現 現代安全觀強調安全的整體性，安全被看 成一個與環境相互作用的動態循環過程29BNCC網絡安全策略 網絡安全是一個系統的概念，可靠的網絡安全解決方案必須建立在集成網絡安全技術的基礎上，網絡系統安全策略就是基于這種技術集成而提出的，主要有三種： 1 直接風險控制策略（靜態防御） 安全=風險分析+安全規則+直接的技術防御體系+安全監控 攻擊手段是不斷進步的，安全漏洞也是動態出現的，因此靜態防御下的該模型存在著本質的缺陷。 2 自適應網絡安全策略（動態性） 安全=風險分析+執行策略+系統實施+漏

14、洞分析+實時響應 該策略強調系統安全管理的動態性，主張通過安全性檢測、漏洞監測，自適應地填充“安全間隙”，從而提高網絡系統的安全性。完善的網絡安全體系，必須合理協調法律、技術和管理三種因素，集成防護、監控和恢復三種技術，力求增強網絡系統的健壯性與免疫力。局限性在于：只考慮增強系統的健壯性，僅綜合了技術和管理因素，僅采用了技術防護。 30BNCC網絡安全策略（續） 3 智能網絡系統安全策略（動態免疫力） 安全=風險分析+安全策略+技術防御體系+攻擊實時檢測+安全跟蹤+系統數據恢復+系統學習進化 技術防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據記錄服務的，系統學習進化是旨在改善系統性能

15、而引入的智能反饋機制。模型中，“風險分析+安全策略”體現了管理因素；“技術防御體系+攻擊實時檢測+系統數據恢復+系統學習進化”體現了技術因素；技術因素綜合了防護、監控和恢復技術；“安全跟蹤+系統數據恢復+系統學習進化”使系統表現出動態免疫力。31BNCC網絡網絡安全防護體系 （ PDRR ） 隨著信息網絡的飛速發展，信息網絡的安全防護技術已逐漸成為一個新興的重要技術領域，并且受到政府、軍隊和全社會的高度重視。隨著我國政府、金融等重要領域逐步進入信息網絡，國家的信息網絡已成為繼領土、領海、領空之后的又一個安全防衛領域，逐漸成為國家安全的最高價值目標之一。可以說信息網絡的安全與國家安全密切相關。3

16、2BNCC網絡網絡安全防護體系 （ PDRR ） 最近安全專家提出了信息保障體系的新概念，即：為了保障網絡安全，應重視提高系統的入侵檢測能力、事件反應能力和遭破壞后的快速恢復能力。信息保障有別于傳統的加密、身份認證、訪問控制、防火墻等技術，它強調信息系統整個生命周期的主動防御。美國在信息保障方面的一些舉措,如：成立關鍵信息保障辦公室、國家基礎設施保護委員會和開展對信息戰的研究等等，表明美國正在尋求一種信息系統防御和保護的新概念，這應該引起我們的高度重視。33BNCC網絡網絡安全防護體系 （PDRR ） 保護、檢測、響應和恢復涵蓋了對現代信息系統的安全防護的各個方面，構成了一個完整的體系，使網絡

17、安全建筑在一個更加堅實的基礎之上。34BNCC網絡網絡安全防護體系 （ PDRR ）保護 ( PROTECT ) 傳統安全概念的繼承，包括信息加密技術、訪問控制技術等等。檢測 ( DETECT ) 從監視、分析、審計信息網絡活動的角度，發現對于信息網絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統恢復等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。 35BNCC網絡網絡安全防護體系 （ PDRR ）響應 ( RESPONSE ) 在遭遇攻擊和緊急事件時及時采取措施，包括調整系統的安全措施、跟蹤攻擊源和保護性關閉服務和主機等。恢復 ( RECOVER ) 評估系統受到的危害與

18、損失，恢復系統功能和數據，啟動備份系統等。36BNCC網絡安全保障體系安全管理與審計物理層安全網絡層安全傳輸層安全應用層安全鏈路層物理層網絡層傳輸層應用層表示層會話層審計與監控身份認證數據加密數字簽名完整性鑒別端到端加密訪問控制點到點鏈路加密物理信道安全訪問控制數據機密性數據完整性用戶認證防抵賴安全審計網絡安全層次層次模型網絡安全技術實現安全目標用戶安全37BNCC網絡安全工作的目的38BNCC黑客攻擊與防范39BNCC以太幀與MAC地址 一、以太資料幀的結構圖前同步碼報頭資料區資料幀檢查序列（FCS）8個字節（不包括）通常14個字節46-1，500字節固定4字節40BNCC以太幀構成元素解釋

19、及作用前同步碼Send “I am ready, I will send message”報頭必須有：發送者MAC地址 目的MAC地址共12個字節OR 長度字段中的字節總數信息（差錯控制）OR 類型字段（說明以太幀的類型）資料區資料源IP 目的地IP 實際資料和協議信息如果資料超過1，500 分解多個資料幀，使用序列號如果不夠46個字節，數據區末尾加1FCS保證接受到的資料就是發送出的資料。41BNCCMAC地址的前三個字節制造商00-00-0CCISCO00-00-A2BAY NETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWL

20、ET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42BNCC地址解析協議地址解析協議索引物理位址IP地址類型物理口（接口）設備的物理地址與物理位址對應的IP地址這一行對應入口類型入口1入口2入口N注：數值2表示這個入口是非法的，數值3表示這種映像是動態的，數值4表示是靜態的（如口不改變），數值1表示不是上述任何一種。 入口：ARP高速緩存。43BNCCTIP/IPIP（Internet Protocol）網際協議，把要傳輸的一個文件分成一個個的群組，這些群組被稱之為IP數據包，每個IP數據包都含有源地址和目的地址，知道從哪臺機器正確地傳送到另

21、一臺機器上去。IP協議具有分組交換的功能，不會因為一臺機器傳輸而獨占通信線路。 TCP（Transport control Protocal）傳輸控制協議具有重排IP數據包順序和超時確認的功能。IP數據包可能從不同的通信線路到達目的地機器，IP數據包的順序可能序亂。TCP按IP數據包原來的順序進行重排。IP數據包可能在傳輸過程中丟失或損壞，在規定的時間內如果目的地機器收不到這些IP數據包，TCP協議會讓源機器重新發送這些IP數據包，直到到達目的地機器。TCP協議確認收到的IP數據包。超時機制是自動的，不依賴于通訊線路的遠近。 IP和TCP兩種協議協同工作，要傳輸的文件就可以準確無誤地被傳送和接

22、收44BNCCTIP/IPTCP/IP協議族與OSI七層模型的對應關系，如下圖所示 45BNCC數據包是什么樣的？TCP/IP/Ethernet 舉例對分組過濾而言：涉及四層1. Ethernetlayer2.IPlayer3.TCPlayer4.datalayer分組與數據封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplication layer(SMTP, Telnet, FTP, etc)Transport layer(TCP,UDP,ICMP)Internet Layer(IP)Network Access Laye

23、r (Ethernet, FDDI, ATM, etc)在每層，分組由兩部分構成：首標（頭）和本體（數據）首標包含與本層有關的協議信息，本體包括本層的所有數據每層分組要包括來自上層的所有信息，同時加上本層的首標，即封包應用層包括的就是要傳送出去的數據Ethernet layer1. 分組Ethernet HeaderEthernet Body2. Header 說明：3. Ethernet Body 包含的是 IP 分組該分組的類型，如AppleTalk數據包、Novell數據包、DECNET數據包等。輸送該分組的機器的 Ethernet 地址（源址）接收該分組的機器的 Ethernet 地址

24、（宿址）IP layer1. IP分組IP header + IP Body3. IP可將分組細分為更小的部分段(fragments)，以便網絡傳輸。4. IP Body包含的是TCP分組。2. IP header包括：IP源地址：4 bytes, eg. 4IP的目的地址：同上 IP協議類型：說明 IP Body中是TCP分組或是UDP分組，ICMP等IP選擇字段：常空，用于IP源路由或IP安全選項的標識IP 分組字段版本IHL 服務類型總長度標識 O 分段偏差有效期協議 報頭校驗和源地址宿地址選項填充數據O MF F32 BIT過濾字段50BNCCIP:1、處于Internet中間層次。2

25、、其下有很多不同的層：如Ethernet，token ring，FDDI，PPP等。3、其上有很多協議：TCP，UDP，ICMP。4、與分組過濾有關的特性是：5、分段示意圖：IP 選項：用于Firewall中，對付IP源路由。IP 分段：Firewall只處理首段，而讓所有非首段通過。 丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCP Layer1、TCP分組：TCP報頭TCP 本體2、報頭中與過濾有關部分： TCP源端口：2 byte數，說明處理分組的源機器。 TC

26、P宿端口：同上 TCP旗標字段（flag），含有1bit的ACK bit。3、本體內是實際要傳送的數據。TCP Layer 源端口 宿端口 序 號 確 認 號 HLEN 保留 碼位 窗口 校驗和 緊急指針 選 項 填充字節 數 據WordsBits048121620242831頭標端口掃描攻擊54BNCCSniffer攻擊55BNCCDOS原理DoS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Internet連接

27、和網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DoS攻擊的原理如圖所示。56BNCCDOS原理57BNCCDOS原理從圖我們可以看出DoS攻擊的基本過程：首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，服務器資源最終會被耗盡。58BNCCDDOS原理DDoS（分布式拒絕服務），它

28、的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，象商業公司，搜索引擎和政府部門的站點。從圖1我們可以看出DoS攻擊只要一臺單機和一個modem就可實現，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDoS的攻擊原理如圖所示。59BNCCDDOS原理60BNCCDDOS原理從圖可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。1、攻擊者：攻擊者所用的計算機是攻擊主

29、控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發送攻擊命令。2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到代理主機上。3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發來的命令。代理端主機是攻擊的執行者，真正向受害者主機發送攻擊。61BNCCSYN Flood的基本原理大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在服務端和客戶端之間傳送TCP數據，

30、必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標準過程是這樣的：首先，請求端（客戶端）發送一個包含SYN標志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknowledgement）。第三步，客戶端也返回一個確認報文ACK給服務器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協議中被稱為三次握手（Three-way Handshake）。62BNCCSYN

31、 Flood的基本原理假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數量級（大約為30秒-2分鐘）；一個用戶出現異常導致服務器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源-數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的C

32、PU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰-即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從正常客戶的角度看來，服務器失去響應，這種情況我們稱作：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）。63BNCCSYN Flood的基本基本解決方法第一種是縮短SYN Timeout時間，由于SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數，這個值=SYN攻擊的頻度 x SYN Timeo

33、ut，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設置為20秒以下（過低的SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。第二種方法是設置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。64BNCCDDoS攻擊使用的常用工具DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現，這些程序可以在幾秒鐘內完成入侵和攻擊程序的安裝，使發動DDoS攻擊變成

34、一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。1、TrinooTrinoo的攻擊方法是向被攻擊目標主機的隨機端口發出全零的4字節UDP包，在處理這些超出其處理能力的垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它對IP地址不做假，采用的通訊端口是：攻擊者主機到主控端主機：27665/TCP主控端主機到代理端主機：27444/UDP代理端主機到主服務器主機：31335/UDPFNTFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數據包的能力。65BNCCDDoS攻擊使用的常用

35、工具3、TFN2KTFN2K是由TFN發展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網絡通訊是經過加密的，中間還可能混雜了許多虛假數據包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。4、StacheldrahtStacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。66BNCCDDoS的監測現在網上采

36、用DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發現自己受到攻擊才能避免遭受慘重的損失。檢測DDoS攻擊的主要方法有以下幾種：1、根據異常情況分析當網絡的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當網站的某一特定服務總是失敗時，你也要多加注意；當發現有特大型的ICP和UDP數據包通過或數據包內容可疑時都要留神。總之，當你的機器出現異常情況時，你最好分析這些情況，防患于未然。2、使用DDoS檢測工具當攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統漏洞，目前市面上的一些網絡入侵檢測系統，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發現攻擊者植入系統的代理程

37、序，并可以把它從系統中刪除。67BNCCDDoS攻擊的防御策略由于DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發現對DDoS攻擊行之有效的解決方法。所以我們要加強安全防范意識，提高網絡系統的安全性。可采取的安全防御措施有以下幾種：1、及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序。對一些重要的信息（例如系統配置信息）建立和完善備份機制。對一些特權帳號（例如管理員帳號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。2、在網絡管理方面，要經常檢查系統的物理環境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統配置信息，并注意查看每天

38、的安全日志。3、利用網絡安全設備（例如：防火墻）來加固網絡的安全性，配置好它們的安全規則，過濾掉所有的可能的偽造數據包。4、比較好的防御措施就是和你的網絡服務提供商協調工作，讓他們幫助你實現路由的訪問控制和對帶寬總量的限制。68BNCCDDoS攻擊的防御策略5、當你發現自己正在遭受DDoS攻擊時，你應當啟動您的應付策略，盡可能快的追蹤攻擊包，并且要及時聯系ISP和有關應急組織，分析受影響的系統，確定涉及的其他節點，從而阻擋從已知攻擊節點的流量。6、當你是潛在的DDoS攻擊受害者，你發現你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統暫時沒有受到損害而掉以輕心，攻擊者已發現你系統的漏洞

39、，這對你的系統是一個很大的威脅。所以一旦發現系統中存在DDoS攻擊的工具軟件要及時把它清除，以免留下后患。69BNCC分布式拒絕服務（DDoS）攻擊工具分析 - TFN2K客戶端用于通過發動攻擊的應用程序，攻擊者通過它來發送各種命令。守護程序在代理端主機運行的進程，接收和響應來自客戶端的命令。主控端運行客戶端程序的主機。代理端運行守護程序的主機。目標主機分布式攻擊的目標（主機或網絡）。70BNCC分布式拒絕服務（DDoS）攻擊工具分析 - TFN2KTFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協同攻擊。當前互聯網中的UNIX、Solaris和Windows NT等平臺的

40、主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統平臺上。TFN2K由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發送攻擊指定的目標主機列表。代理端據此對目標進行拒絕服務攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協同，保證攻擊的連續性。主控央和代理端的網絡通訊是經過加密的，還可能混雜了許多虛假數據包。整個TFN2K網絡可能使用不同的TCP、UDP或ICMP包進行通訊。而且主控端還能偽造其IP地址。所有這些特性都使發展防御TFN2K攻擊的策略和技術都非常困難或效率低下。71BNCC主控端通過TCP、UDP、ICMP或隨機性使用其中之一的

41、數據包向代理端主機發送命令。對目標的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING (SMURF)數據包flood等。 主控端與代理端之間數據包的頭信息也是隨機的，除了ICMP總是使用ICMP_ECHOREPLY類型數據包。 與其上一代版本TFN不同，TFN2K的守護程序是完全沉默的，它不會對接收到的命令有任何回應。客戶端重復發送每一個命令20次，并且認為守護程序應該至少能接收到其中一個。72BNCC 這些命令數據包可能混雜了許多發送到隨機IP地址的偽造數據包。 TFN2K命令不是基于字符串的，而采用了+格式，其中是代表某個特定命令的數值，則是該命令的參數

42、。 所有命令都經過了CAST-256算法（RFC 2612）加密。加密關鍵字在程序編譯時定義，并作為TFN2K客戶端程序的口令。 所有加密數據在發送前都被編碼（Base 64）成可打印的ASCII字符。TFN2K守護程序接收數據包并解密數據。73BNCC 守護進程為每一個攻擊產生子進程。 TFN2K守護進程試圖通過修改argv0內容（或在某些平臺中修改進程名）以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。這個功能使TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢查進程列表未必能找到TFN2K守護進程（及其子進程）。 來自每一個客戶端或守護進程的所有數據包都可能被

43、偽造。74BNCCTFN2K仍然有弱點。可能是疏忽的原因，加密后的Base 64編碼在每一個TFN2K數據包的尾部留下了痕跡（與協議和加密算法無關）。可能是程序作者為了使每一個數據包的長度變化而填充了1到16個零(0 x00)，經過Base 64編碼后就成為多個連續的0 x41(A)。添加到數據包尾部的0 x41的數量是可變的，但至少會有一個。這些位于數據包尾部的0 x41(A)就成了捕獲TFN2K命令數據包的特征了75BNCCforkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/dev/urandom/dev/

44、random%d.%d.%d.%dsh*ksh*command.exe*cmd.exe*tfn-daemon*tfn-child*76BNCC目前仍沒有能有效防御TFN2K拒絕服務攻擊的方法。最有效的策略是防止網絡資源被用作客戶端或代理端。預防 只使用應用代理型防火墻。這能夠有效地阻止所有的TFN2K通訊。但只使用應用代理服務器通常是不切合實際的，因此只能盡可能使用最少的非代理服務。 禁止不必要的ICMP、TCP和UDP通訊。特別是對于ICMP數據，可只允許ICMP類型3（destination unreachable目標不可到達）數據包通過。 如果不能禁止ICMP協議，那就禁止主動提供或所有

45、的ICMP_ECHOREPLY包。77BNCC 禁止不在允許端口列表中的所有UDP和TCP包。 配置防火墻過濾所有可能的偽造數據包。 對系統進行補丁和安全配置，以防止攻擊者入侵并安裝TFN2K。監測 掃描客戶端/守護程序的名字。 根據前面列出的特征字符串掃描所有可執行文件。 掃描系統內存中的進程列表。78BNCC 檢查ICMP_ECHOREPLY數據包的尾部是否含有連續的0 x41。另外，檢查數據側面內容是否都是ASCII可打印字符（2B，2F-39，0 x41-0 x5A，0 x61-0 x7A）。 監視含有相同數據內容的連續數據包（有可能混合了TCP、UDP和ICMP包）。響應一旦在系統中

46、發現了TFN2K，必須立即通知安全公司或專家以追蹤入侵進行。因為TFN2K的守護進程不會對接收到的命令作任何回復，TFN2K客戶端一般會繼續向代理端主機發送命令數據包。另外，入侵者發現攻擊失效時往往會試圖連接到代理端主機上以進行檢查。這些網絡通訊都可被追蹤。79BNCCIP欺騙的原理 什么是IP電子欺騙攻擊？所謂IP欺騙，無非就是偽造他人的源IP地址。其實質就是讓一臺機器來扮演另一臺機器，籍以達到蒙混過關的目的。誰容易上當？IP欺騙技術之所以獨一無二，就在于只能實現對某些特定的運行Free TCP/IP協議的計算機進行攻擊。一般來說，如下的服務易受到IP欺騙攻擊：任何使用Sun RPC調用的配

47、置任何利用IP地址認證的網絡服務MIT的X Window系統R服務80BNCCIP欺騙的原理 假設B上的客戶運行rlogin與A上的rlogind通信： 1. B發送帶有SYN標志的數據段通知A需要建立TCP連接。并將TCP報頭中的sequence number設置成自己本次連接的初始值ISN。2. A回傳給B一個帶有SYS+ACK標志的數據段，告之自己的ISN，并確認B發送來的第一個數據段，將acknowledge number設置成B的ISN+1。 3. B確認收到的A的數據段，將acknowledge number設置成A的ISN+1。 81BNCCB - SYN - A B A 82B

48、NCCIP欺騙攻擊的描述1. 假設Z企圖攻擊A，而A信任B，所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關設置。注意，如何才能知道A信任B呢？沒有什么確切的辦法。我的建議就是平時注意搜集蛛絲馬跡，厚積薄發。一次成功的攻擊其實主要不是因為技術上的高明，而是因為信息搜集的廣泛翔實。動用了自以為很有成就感的技術，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標，不在乎手段。 2. 假設Z已經知道了被信任的B，應該想辦法使B的網絡功能暫時癱瘓，以免對攻擊造成干擾。著名的SYN flood常常是一次IP欺騙攻擊的前奏。請看一個并發服務器的框架： 83BNCCIP欺騙攻擊

49、的描述int initsockid, newsockid; if (initsockid = socket(.) 0) error(cant create socket); if (bind(initsockid, .) 0) error(bind error); if (listen(initsockid, 5) 0) error(listen error); 84BNCCIP欺騙攻擊的描述for (;) newsockid = accept(initsockid, .); /* 阻塞 */ if (newsockid /.rhosts 這樣的命令，于是攻擊完成。如果預測不準確，A將發送一個

50、帶有RST標志的數據段異常終止連接，Z只有從頭再來。 89BNCCIP欺騙攻擊的描述Z(B) - SYN - A B A Z(B) - PSH - A . 6. IP欺騙攻擊利用了RPC服務器僅僅依賴于信源IP地址進行安全校驗的特性，建議閱讀rlogind的源代碼。攻擊最困難的地方在于預測A的ISN。作者認為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點矛盾。90BNCCIP欺騙攻擊的描述考慮這種情況，入侵者控制了一臺由A到B之間的路由器，假設Z就是這臺路由器，那么A回送到B的數據段，現在Z是可以看到的，顯然攻擊難度驟然下降了許多。否則Z必須精確地預見可能從A發往B的信息，以及A期

51、待來自B的什么應答信息，這要求攻擊者對協議本身相當熟悉。同時需要明白，這種攻擊根本不可能在交互狀態下完成，必須寫程序完成。當然在準備階段可以用netxray之類的工具進行協議分析。 91BNCCIP欺騙攻擊的描述7. 如果Z不是路由器，能否考慮組合使用ICMP重定向以及ARP欺騙等技術？沒有仔細分析過，只是隨便猜測而已。并且與A、B、 Z之間具體的網絡拓撲有密切關系，在某些情況下顯然大幅度降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網上發起的，不局限于局域網，這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個A上的shell，對于許多高級入侵者，得到目標主機的shell，離root權限就不

52、遠了，最容易想到的當然是接下來進行buffer overflow攻擊。 92BNCCIP欺騙攻擊的描述8. 也許有人要問，為什么Z不能直接把自己的IP設置成B的？這個問題很不好回答，要具體分析網絡拓撲，當然也存在ARP沖突、出不了網關等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題。回想我前面貼過的ARP欺騙攻擊，如果B的ARP Cache沒有受到影響，就不會出現ARP沖突。如果Z向A發送數據段時，企圖解析A的MAC地址或者路由器的MAC地址，必然會發送ARP請求包，但這個ARP請求包中源IP以及源MAC都是Z的，自然不會引起ARP沖突。而ARP Cache只會被ARP包改變，不受IP包

53、的影響，所以可以肯定地說，IP欺騙攻擊過程中不存在ARP沖突。相反，如果Z修改了自己的IP，這種ARP沖突就有可能出現，示具體情況而言。攻擊中連帶B一起攻擊了，其目的無非是防止B干擾了攻擊過程， 如果B本身已經down掉，那是再好不過93BNCCIP欺騙攻擊的描述9. fakeip曾經沸沸揚揚了一下，對之進行端口掃描，發現其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯系，和安全校驗是有關系的。94BNCCIP欺騙攻擊的描述10. 關于預測ISN，我想到另一個問題。就是如何以第三方身份切斷 A與B之間的TCP連接，實際上也是預測sequence number的問題。嘗試過，也很困難。如

54、果Z是A與B之間的路由器，就不用說了； 或者Z動用了別的技術可以監聽到A與B之間的通信，也容易些； 否則預測太難。作者在3中提到連接A的25端口，可我想不明白的 是513端口的ISN和25端口有什么關系？看來需要看看TCP/IP內部實現的源代碼。95BNCC96BNCC未雨綢繆 雖然IP欺騙攻擊有著相當難度，但我們應該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。預防這種攻擊還是比較容易的， 比如刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/ inetd.conf文件，使得RPC機制無法運做，還可以殺掉portmapper等等。設置路由器，過濾

55、來自外部而信源地址卻是內部IP的報文。cisio公司的產品就有這種功能。不過路由器只防得了外部入侵，內部入侵呢？TCP的ISN選擇不是隨機的，增加也不是隨機的，這使攻擊者有規可循，可以修改與ISN相關的代碼，選擇好的算法，使得攻擊者難以找到規律。97BNCC未雨綢繆估計Linux下容易做到，那solaris、irix、hp-unix還有aix呢？sigh 雖然作者紙上談兵，但總算讓我們了解了一下IP欺騙攻擊，我實驗過預測sequence number，不是ISN，企圖切斷一個TCP連接，感覺難度很大。建議要找到規律，不要盲目預測，這需要時間和耐心。一個現成的bug足以讓你取得root權限.98

56、BNCC99BNCC進程的內存組織形式為了理解什么是堆棧緩沖區, 我們必須首先理解一個進程是以什么組織形式在 內存中存在的. 進程被分成三個區域: 文本, 數據和堆棧. 我們把精力集中在堆棧 區域, 但首先按照順序簡單介紹一下其他區域. 文本區域是由程序確定的, 包括代碼(指令)和只讀數據. 該區域相當于可執行 文件的文本段. 這個區域通常被標記為只讀, 任何對其寫入的操作都會導致段錯誤 (segmentation violation). 數據區域包含了已初始化和未初始化的數據. 靜態變量儲存在這個區域中. 數 據區域對應可執行文件中的data-bss段. 它的大小可以用系統調用brk(2)來

57、改變. 如果bss數據的擴展或用戶堆棧把可用內存消耗光了, 進程就會被阻塞住, 等待有了 一塊更大的內存空間之后再運行. 新內存加入到數據和堆棧段的中間. 100BNCC什么是堆棧堆棧是一個在計算機科學中經常使用的抽象數據類型. 堆棧中的物體具有一個特性: 最后一個放入堆棧中的物體總是被最先拿出來, 這個特性通常稱為后進先處(LIFO)隊列. 堆棧中定義了一些操作. 兩個最重要的是PUSH和POP. PUSH操作在堆棧的頂部加入一 個元素. POP操作相反, 在堆棧頂部移去一個元素, 并將堆棧的大小減一. 101BNCC為什么使用堆棧現代計算機被設計成能夠理解人們頭腦中的高級語言. 在使用高級

58、語言構造程序時 最重要的技術是過程(procedure)和函數(function). 從這一點來看, 一個過程調用可 以象跳轉(jump)命令那樣改變程序的控制流程, 但是與跳轉不同的是, 當工作完成時, 函數把控制權返回給調用之后的語句或指令. 這種高級抽象實現起來要靠堆棧的幫助. 堆棧也用于給函數中使用的局部變量動態分配空間, 同樣給函數傳遞參數和函數返 回值也要用到堆棧. 102BNCC堆棧區域 堆棧是一塊保存數據的連續內存. 一個名為堆棧指針(SP)的寄存器指向堆棧的頂部. 堆棧的底部在一個固定的地址. 堆棧的大小在運行時由內核動態地調整. CPU實現指令 PUSH和POP, 向堆棧中

59、添加元素和從中移去元素. 堆棧由邏輯堆棧幀組成. 當調用函數時邏輯堆棧幀被壓入棧中, 當函數返回時邏輯 堆棧幀被從棧中彈出. 堆棧幀包括函數的參數, 函數地局部變量, 以及恢復前一個堆棧 幀所需要的數據, 其中包括在函數調用時指令指針(IP)的值. 堆棧既可以向下增長(向內存低地址)也可以向上增長, 這依賴于具體的實現. 103BNCC堆棧區域在我 們的例子中, 堆棧是向下增長的. 這是很多計算機的實現方式, 包括Intel, Motorola, SPARC和MIPS處理器. 堆棧指針(SP)也是依賴于具體實現的. 它可以指向堆棧的最后地址, 或者指向堆棧之后的下一個空閑可用地址. 在我們的討

60、論當中, SP指向堆棧的最后地址. 除了堆棧指針(SP指向堆棧頂部的的低地址)之外, 為了使用方便還有指向幀內固定 地址的指針叫做幀指針(FP). 104BNCC堆棧區域有些文章把它叫做局部基指針(LB-local base pointer). 從理論上來說, 局部變量可以用SP加偏移量來引用. 然而, 當有字被壓棧和出棧后, 這 些偏移量就變了. 盡管在某些情況下編譯器能夠跟蹤棧中的字操作, 由此可以修正偏移 量, 但是在某些情況下不能. 而且在所有情況下, 要引入可觀的管理開銷. 而且在有些 機器上, 比如Intel處理器, 由SP加偏移量訪問一個變量需要多條指令才能實現. 105BNCC