06网络安全概述

1、网络安全概述 1BNCC网络安全概述网络安全的概念网络安全的内容网络安全面临的问题网络安全的客观必要性常见的网络信息攻击模式网络安全保障体系网络安全工作的目的2BNCC什么是网络安全（五要素） 可用性： 授权实体有权访问数据 机密性： 信息不暴露给未授权实体或进程 完整性： 保证数据不被未授权修改 可控性： 控制授权范围内的信息流向及操作方式 可审查性：对出现的安全问题提供依据与手段3BNCC网络安全的内容物理安全网络安全传输安全应用安全用户安全4BNCC网络安全面临的问题來源: CSI / FBI Computer Crime Survey, March 1998.21%48%72%89%外

2、国政府竞争对手黑客不满的雇员5BNCC网络安全威胁的来源 1.外部渗入（penetration） 未被授权使用计算机的人； 2.内部渗入者 被授权使用计算机，但不能访问某些数据、程序或资源，它包括： -冒名顶替:使用别人的用户名和口令进行操作； -隐蔽用户:逃避审计和访问控制的用户；3.滥用职权者: 被授权使用计算机和访问系统资源，但滥用职权者。6BNCC冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁的几种类型7BNCC网络安全面临严

3、峻挑战 网上犯罪形势不容乐观 有害信息污染严重 网络病毒的蔓延和破坏 网上黑客无孔不入 机要信息流失与信息间谍潜入 网络安全产品的自控权 信息战的阴影不可忽视 互联网正以巨大的力度和广度 冲击和改造着社会、经济、生活的传统模式 互联网正在成为社会公众强烈依赖的社会重要基 础设施 互联网安全正在成为普遍关注的焦点8BNCC网上犯罪形势不容乐观 计算机犯罪以100%的速度增加 网上攻击事件每年以10倍速度增涨 银行的电子购物账户密码曝光事件增多 2000年2月7日攻击美国知名网站案件： 损失$12亿，影响百万网民 Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet 网上

4、勒索、诈骗不断： 用户信用卡被曝光 美国网络安全造成损失$170亿/年 美国金融界计算机犯罪损失$100亿/年9BNCC有害信息污染严重 黄色信息：涉及1%网站，10亿美元年营业额 邪教信息：法轮功160多个反宣传网站 虚假新闻：美校园炸弹恐吓事件、网上股市欺诈 宣扬暴力：炸药配方、帮助自杀 政治攻击：考克斯报告、政治演变论10BNCC网络病毒的蔓延和破坏 10年内以几何级数增长 病毒达55000种（2000.12 亚洲计算机反病毒大会） 网络病毒有更大的破坏性 1988年莫里斯事件（UNIX/Email） 6000台、$9000万 1998年4月的CIH病毒 2000万台计算机 1999年2

5、月的梅利莎案件（Window/Email） $12亿 2000年5月4日的我爱你病毒 $87亿 2001年7、8月红色代码（CodeRed）到目前为止 $26亿11BNCC网上黑客无孔不入 美国网络屡遭扫荡 军事、政治、经济 美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史 全球网络危机四伏 非法侵入、破坏系统、窃取机密 中国网络不断被侵入五一中美黑客大战800多网站被黑 黑客是一些发自好奇、寻求刺激、富有挑战的家伙 是一群以攻击网络，搜寻并破坏信息为了的无赖； 是一帮为了扬名，专与政府作对的极端分子； 是一些恐怖主义分子或政治、军事、商业和科技间谍

6、。12BNCC机要信息流失与信息间谍潜入 国家机密信息、企业关键信息、个人隐私 Web发布、电子邮件、文件传送的泄漏 预谋性窃取政治和经济情报 CIA统计入侵美国要害系统的案件 年增长率为30% 我国信息网络发展必然成为其重要目标13BNCC网络安全产品的自控权 安全产品 隐通道、嵌入病毒、缺陷、可恢复密钥 大量外购安全产品缺少自控权 我国缺少配套的安全产品控制政策和机制 我国安全产业还比较稚嫩 是重大安全隐患之一14BNCC信息战的阴影不可忽视 有组织、大规模的网络攻击预谋行为： 国家级、集团级 无硝烟的战争： 跨国界、隐蔽性、低花费、跨领域 高技术性、情报不确定性 美国的“信息战执行委员会

7、”： 网络防护中心（1999年） 信息作战中心（2000年） 网络攻击演练（2000年） 要害目标： 金融支付中心、证券交易中心 空中交管中心、铁路调度中心 电信网管中心、军事指挥中心15BNCC网络的脆弱性 网络的扩展与业务负荷膨胀： 信息量半年长一倍，网民年增涨30% 网络带宽瓶颈和信息拥挤 社会与经济对网络的巨大经济依赖性： 20%股市、25%产品、30%金融、40%人口 灾难情况下的网络脆弱性 “AOL”96年10小时瘫痪： 影响700万用户 安全的模糊性 网络的开放性 技术的公开性 人类的天性16BNCC安全的模糊性安全是相对的，不易明确安全的目标安全是复杂的，不易认清存在的问题安全

8、是广泛的，不易普及安全的知识安全链条：链条的强度等于其最弱一环的强度（木桶原理：网络安全最薄弱之处好比木桶壁上最短的木块，也是黑客对网络攻击的首选之处。） 17BNCC网络的开放性互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会18BNCC技术的公开性如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。19BNCC人类的天性 好奇心这扇门为什么

9、锁上，我能打开吗？ 惰性和依赖心理安全问题应由专家来关心 恐惧心理家丑不可外扬20BNCC网络攻击形式 按网络服务分：E-Mail、FTP、Telnet、R服务、IIS 按技术途径分：口令攻击、Dos攻击、种植木马 按攻击目的分：数据窃取、伪造滥用资源、篡改数据21BNCC主要攻击与威胁十大攻击手段 1.Dos：使目标系统或网络无法提供正常服务 网络Flooding:syn flooding、 ping flooding 、DDos 系统Crash: Ping of death、泪滴、 land 、WinNuke 应用Crash/Overload：利用应用程序缺陷，如长邮件 2.扫描探测：系统

10、弱点探察 SATAN、ISS 、Cybercop Scanner 、 ping （嗅探加 密口令,口令文件) 22BNCC3.口令攻击: 弱口令口令窃取：嗅探器、偷窥、社会工程（垃圾、便条、伪装查询）口令猜测：常用字无法获得加密的口令-强力攻击口令Crack：字典猜测、字典攻击可获得加密的口令（嗅探加密口令,口令文件)4.获取权限，提升权限（root/administrator）猜/crack root口令、缓冲区溢出、利用NT注册表、访问和利用高权限控制台、利用启动文件、利用系统或应用Bugs 5. 插入恶意代码: 病毒、特洛伊木马（BO)、后门、恶意Applet23BNCC6.网络破坏：主

11、页篡改、文件删除、毁坏OS 、格式化磁盘7. 数据窃取：敏感数据拷贝、监听敏感数据传输-共享媒介/服务器监听/远程监听RMON 8.伪造、浪费与滥用资源：违规使用 9.篡改审计数据:删除、修改、权限改变、使审计进程失效 10. 安全基础攻击：防火墙、路由、帐户修改，文件权限修改。24BNCC我国网络安全现状硬件设备上严重依赖国外网络安全管理存在漏洞网络安全问题还没有引起人们的广泛重视安全技术有待研究美国和西方国家对我过进行破坏、渗透和污染启动了一些网络安全研究项目建立一批国家网络安全基础设施 25BNCCHacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Tar

12、get（目标机）美2.7黑客案件的攻击方式 分布式拒决服务（DDoS）26BNCC美国2.7黑客事件的启示 互联网正在成为国家重要基础设施 9800万网民 3000万人参予网上购物，$1000亿元交易额 14%的股市交易 互联网威胁给社会带来巨大冲击 CNN的100万网民阅读网络新闻受阻 Amason的820万注册用户无法购书 3天总损失高达$12亿 互联网安全问题正在进入国家战略层 克林顿2月16日召开网络安全高峰会议 支持$900万建立高科技安全研究所 拔款$20亿建基础设施打击网络恐怖活动27BNCC值得深思的几个问题 网络安全的全局性战略 黑客工具的公开化对策 网络安全的预警体系 应急

13、反应队伍的建设28BNCC 传统安全观念受到挑战 网络是变化的、风险是动态的 传统安全观侧重策略的技术实现 现代安全观强调安全的整体性，安全被看 成一个与环境相互作用的动态循环过程29BNCC网络安全策略 网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种： 1 直接风险控制策略（静态防御） 安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略（动态性） 安全=风险分析+执行策略+系统实施+漏

14、洞分析+实时响应 该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。 30BNCC网络安全策略（续） 3 智能网络系统安全策略（动态免疫力） 安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能

15、而引入的智能反馈机制。模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。31BNCC网络网络安全防护体系 （ PDRR ） 随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域，并且受到政府、军队和全社会的高度重视。随着我国政府、金融等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。可以说信息网络的安全与国家安全密切相关。3

16、2BNCC网络网络安全防护体系 （ PDRR ） 最近安全专家提出了信息保障体系的新概念，即：为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。美国在信息保障方面的一些举措,如：成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求一种信息系统防御和保护的新概念，这应该引起我们的高度重视。33BNCC网络网络安全防护体系 （PDRR ） 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构成了一个完整的体系，使网络

17、安全建筑在一个更加坚实的基础之上。34BNCC网络网络安全防护体系 （ PDRR ）保护 ( PROTECT ) 传统安全概念的继承，包括信息加密技术、访问控制技术等等。检测 ( DETECT ) 从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。 35BNCC网络网络安全防护体系 （ PDRR ）响应 ( RESPONSE ) 在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复 ( RECOVER ) 评估系统受到的危害与

18、损失，恢复系统功能和数据，启动备份系统等。36BNCC网络安全保障体系安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全访问控制数据机密性数据完整性用户认证防抵赖安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全37BNCC网络安全工作的目的38BNCC黑客攻击与防范39BNCC以太帧与MAC地址 一、以太资料帧的结构图前同步码报头资料区资料帧检查序列（FCS）8个字节（不包括）通常14个字节46-1，500字节固定4字节40BNCC以太帧构成元素解释

19、及作用前同步码Send “I am ready, I will send message”报头必须有：发送者MAC地址 目的MAC地址共12个字节OR 长度字段中的字节总数信息（差错控制）OR 类型字段（说明以太帧的类型）资料区资料源IP 目的地IP 实际资料和协议信息如果资料超过1，500 分解多个资料帧，使用序列号如果不够46个字节，数据区末尾加1FCS保证接受到的资料就是发送出的资料。41BNCCMAC地址的前三个字节制造商00-00-0CCISCO00-00-A2BAY NETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWL

20、ET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF广播地址42BNCC地址解析协议地址解析协议索引物理位址IP地址类型物理口（接口）设备的物理地址与物理位址对应的IP地址这一行对应入口类型入口1入口2入口N注：数值2表示这个入口是非法的，数值3表示这种映像是动态的，数值4表示是静态的（如口不改变），数值1表示不是上述任何一种。 入口：ARP高速缓存。43BNCCTIP/IPIP（Internet Protocol）网际协议，把要传输的一个文件分成一个个的群组，这些群组被称之为IP数据包，每个IP数据包都含有源地址和目的地址，知道从哪台机器正确地传送到另

21、一台机器上去。IP协议具有分组交换的功能，不会因为一台机器传输而独占通信线路。 TCP（Transport control Protocal）传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器，IP数据包的顺序可能序乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏，在规定的时间内如果目的地机器收不到这些IP数据包，TCP协议会让源机器重新发送这些IP数据包，直到到达目的地机器。TCP协议确认收到的IP数据包。超时机制是自动的，不依赖于通讯线路的远近。 IP和TCP两种协议协同工作，要传输的文件就可以准确无误地被传送和接

22、收44BNCCTIP/IPTCP/IP协议族与OSI七层模型的对应关系，如下图所示 45BNCC数据包是什么样的？TCP/IP/Ethernet 举例对分组过滤而言：涉及四层1. Ethernetlayer2.IPlayer3.TCPlayer4.datalayer分组与数据封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplication layer(SMTP, Telnet, FTP, etc)Transport layer(TCP,UDP,ICMP)Internet Layer(IP)Network Access Laye

23、r (Ethernet, FDDI, ATM, etc)在每层，分组由两部分构成：首标（头）和本体（数据）首标包含与本层有关的协议信息，本体包括本层的所有数据每层分组要包括来自上层的所有信息，同时加上本层的首标，即封包应用层包括的就是要传送出去的数据Ethernet layer1. 分组Ethernet HeaderEthernet Body2. Header 说明：3. Ethernet Body 包含的是 IP 分组该分组的类型，如AppleTalk数据包、Novell数据包、DECNET数据包等。输送该分组的机器的 Ethernet 地址（源址）接收该分组的机器的 Ethernet 地址

24、（宿址）IP layer1. IP分组IP header + IP Body3. IP可将分组细分为更小的部分段(fragments)，以便网络传输。4. IP Body包含的是TCP分组。2. IP header包括：IP源地址：4 bytes, eg. 4IP的目的地址：同上 IP协议类型：说明 IP Body中是TCP分组或是UDP分组，ICMP等IP选择字段：常空，用于IP源路由或IP安全选项的标识IP 分组字段版本IHL 服务类型总长度标识 O 分段偏差有效期协议 报头校验和源地址宿地址选项填充数据O MF F32 BIT过滤字段50BNCCIP:1、处于Internet中间层次。2

25、、其下有很多不同的层：如Ethernet，token ring，FDDI，PPP等。3、其上有很多协议：TCP，UDP，ICMP。4、与分组过滤有关的特性是：5、分段示意图：IP 选项：用于Firewall中，对付IP源路由。IP 分段：Firewall只处理首段，而让所有非首段通过。 丢掉了首段，目的地就不能重组。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCP Layer1、TCP分组：TCP报头TCP 本体2、报头中与过滤有关部分： TCP源端口：2 byte数，说明处理分组的源机器。 TC

26、P宿端口：同上 TCP旗标字段（flag），含有1bit的ACK bit。3、本体内是实际要传送的数据。TCP Layer 源端口 宿端口 序 号 确 认 号 HLEN 保留 码位 窗口 校验和 紧急指针 选 项 填充字节 数 据WordsBits048121620242831头标端口扫描攻击54BNCCSniffer攻击55BNCCDOS原理DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接

27、和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的原理如图所示。56BNCCDOS原理57BNCCDOS原理从图我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。58BNCCDDOS原理DDoS（分布式拒绝服务），它

28、的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。DDoS的攻击原理如图所示。59BNCCDDOS原理60BNCCDDOS原理从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。1、攻击者：攻击者所用的计算机是攻击主

29、控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。61BNCCSYN Flood的基本原理大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，

30、必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。62BNCCSYN

31、 Flood的基本原理假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的C

32、PU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。63BNCCSYN Flood的基本基本解决方法第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeo

33、ut，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。64BNCCDDoS攻击使用的常用工具DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成

34、一件轻而易举的事情。下面我们来分析一下这些常用的黑客程序。1、TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：攻击者主机到主控端主机：27665/TCP主控端主机到代理端主机：27444/UDP代理端主机到主服务器主机：31335/UDPFNTFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。65BNCCDDoS攻击使用的常用

35、工具3、TFN2KTFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。4、StacheldrahtStacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。66BNCCDDoS的监测现在网上采

36、用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种：1、根据异常情况分析当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。2、使用DDoS检测工具当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程

37、序，并可以把它从系统中删除。67BNCCDDoS攻击的防御策略由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种：1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天

38、的安全日志。3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。68BNCCDDoS攻击的防御策略5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞

39、，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。69BNCC分布式拒绝服务（DDoS）攻击工具分析 - TFN2K客户端用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。守护程序在代理端主机运行的进程，接收和响应来自客户端的命令。主控端运行客户端程序的主机。代理端运行守护程序的主机。目标主机分布式攻击的目标（主机或网络）。70BNCC分布式拒绝服务（DDoS）攻击工具分析 - TFN2KTFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的

40、主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。TFN2K由两部分组成：在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协同，保证攻击的连续性。主控央和代理端的网络通讯是经过加密的，还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。71BNCC主控端通过TCP、UDP、ICMP或随机性使用其中之一的

41、数据包向代理端主机发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING (SMURF)数据包flood等。 主控端与代理端之间数据包的头信息也是随机的，除了ICMP总是使用ICMP_ECHOREPLY类型数据包。 与其上一代版本TFN不同，TFN2K的守护程序是完全沉默的，它不会对接收到的命令有任何回应。客户端重复发送每一个命令20次，并且认为守护程序应该至少能接收到其中一个。72BNCC 这些命令数据包可能混杂了许多发送到随机IP地址的伪造数据包。 TFN2K命令不是基于字符串的，而采用了+格式，其中是代表某个特定命令的数值，则是该命令的参数

42、。 所有命令都经过了CAST-256算法（RFC 2612）加密。加密关键字在程序编译时定义，并作为TFN2K客户端程序的口令。 所有加密数据在发送前都被编码（Base 64）成可打印的ASCII字符。TFN2K守护程序接收数据包并解密数据。73BNCC 守护进程为每一个攻击产生子进程。 TFN2K守护进程试图通过修改argv0内容（或在某些平台中修改进程名）以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。这个功能使TFN2K伪装成代理端主机的普通正常进程。因此，只是简单地检查进程列表未必能找到TFN2K守护进程（及其子进程）。 来自每一个客户端或守护进程的所有数据包都可能被

43、伪造。74BNCCTFN2K仍然有弱点。可能是疏忽的原因，加密后的Base 64编码在每一个TFN2K数据包的尾部留下了痕迹（与协议和加密算法无关）。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0 x00)，经过Base 64编码后就成为多个连续的0 x41(A)。添加到数据包尾部的0 x41的数量是可变的，但至少会有一个。这些位于数据包尾部的0 x41(A)就成了捕获TFN2K命令数据包的特征了75BNCCforkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/dev/urandom/dev/

44、random%d.%d.%d.%dsh*ksh*command.exe*cmd.exe*tfn-daemon*tfn-child*76BNCC目前仍没有能有效防御TFN2K拒绝服务攻击的方法。最有效的策略是防止网络资源被用作客户端或代理端。预防 只使用应用代理型防火墙。这能够有效地阻止所有的TFN2K通讯。但只使用应用代理服务器通常是不切合实际的，因此只能尽可能使用最少的非代理服务。 禁止不必要的ICMP、TCP和UDP通讯。特别是对于ICMP数据，可只允许ICMP类型3（destination unreachable目标不可到达）数据包通过。 如果不能禁止ICMP协议，那就禁止主动提供或所有

45、的ICMP_ECHOREPLY包。77BNCC 禁止不在允许端口列表中的所有UDP和TCP包。 配置防火墙过滤所有可能的伪造数据包。 对系统进行补丁和安全配置，以防止攻击者入侵并安装TFN2K。监测 扫描客户端/守护程序的名字。 根据前面列出的特征字符串扫描所有可执行文件。 扫描系统内存中的进程列表。78BNCC 检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0 x41。另外，检查数据侧面内容是否都是ASCII可打印字符（2B，2F-39，0 x41-0 x5A，0 x61-0 x7A）。 监视含有相同数据内容的连续数据包（有可能混合了TCP、UDP和ICMP包）。响应一旦在系统中

46、发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的命令作任何回复，TFN2K客户端一般会继续向代理端主机发送命令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。79BNCCIP欺骗的原理 什么是IP电子欺骗攻击？所谓IP欺骗，无非就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。谁容易上当？IP欺骗技术之所以独一无二，就在于只能实现对某些特定的运行Free TCP/IP协议的计算机进行攻击。一般来说，如下的服务易受到IP欺骗攻击：任何使用Sun RPC调用的配

47、置任何利用IP地址认证的网络服务MIT的X Window系统R服务80BNCCIP欺骗的原理 假设B上的客户运行rlogin与A上的rlogind通信： 1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。2. A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledge number设置成B的ISN+1。 3. B确认收到的A的数据段，将acknowledge number设置成A的ISN+1。 81BNCCB - SYN - A B A 82B

48、NCCIP欺骗攻击的描述1. 假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。 2. 假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时瘫痪，以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架： 83BNCCIP欺骗攻击

49、的描述int initsockid, newsockid; if (initsockid = socket(.) 0) error(cant create socket); if (bind(initsockid, .) 0) error(bind error); if (listen(initsockid, 5) 0) error(listen error); 84BNCCIP欺骗攻击的描述for (;) newsockid = accept(initsockid, .); /* 阻塞 */ if (newsockid /.rhosts 这样的命令，于是攻击完成。如果预测不准确，A将发送一个

50、带有RST标志的数据段异常终止连接，Z只有从头再来。 89BNCCIP欺骗攻击的描述Z(B) - SYN - A B A Z(B) - PSH - A . 6. IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。作者认为攻击难度虽然大，但成功的可能性也很大，不是很理解，似乎有点矛盾。90BNCCIP欺骗攻击的描述考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么A回送到B的数据段，现在Z是可以看到的，显然攻击难度骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息，以及A期

51、待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。 91BNCCIP欺骗攻击的描述7. 如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、 Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主机的shell，离root权限就不

52、远了，最容易想到的当然是接下来进行buffer overflow攻击。 92BNCCIP欺骗攻击的描述8. 也许有人要问，为什么Z不能直接把自己的IP设置成B的？这个问题很不好回答，要具体分析网络拓扑，当然也存在ARP冲突、出不了网关等问题。那么在IP欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击，如果B的ARP Cache没有受到影响，就不会出现ARP冲突。如果Z向A发送数据段时，企图解析A的MAC地址或者路由器的MAC地址，必然会发送ARP请求包，但这个ARP请求包中源IP以及源MAC都是Z的，自然不会引起ARP冲突。而ARP Cache只会被ARP包改变，不受IP包

53、的影响，所以可以肯定地说，IP欺骗攻击过程中不存在ARP冲突。相反，如果Z修改了自己的IP，这种ARP冲突就有可能出现，示具体情况而言。攻击中连带B一起攻击了，其目的无非是防止B干扰了攻击过程， 如果B本身已经down掉，那是再好不过93BNCCIP欺骗攻击的描述9. fakeip曾经沸沸扬扬了一下，对之进行端口扫描，发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系，和安全校验是有关系的。94BNCCIP欺骗攻击的描述10. 关于预测ISN，我想到另一个问题。就是如何以第三方身份切断 A与B之间的TCP连接，实际上也是预测sequence number的问题。尝试过，也很困难。如

54、果Z是A与B之间的路由器，就不用说了； 或者Z动用了别的技术可以监听到A与B之间的通信，也容易些； 否则预测太难。作者在3中提到连接A的25端口，可我想不明白的 是513端口的ISN和25端口有什么关系？看来需要看看TCP/IP内部实现的源代码。95BNCC96BNCC未雨绸缪 虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的， 比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/ inetd.conf文件，使得RPC机制无法运做，还可以杀掉portmapper等等。设置路由器，过滤

55、来自外部而信源地址却是内部IP的报文。cisio公司的产品就有这种功能。不过路由器只防得了外部入侵，内部入侵呢？TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规可循，可以修改与ISN相关的代码，选择好的算法，使得攻击者难以找到规律。97BNCC未雨绸缪估计Linux下容易做到，那solaris、irix、hp-unix还有aix呢？sigh 虽然作者纸上谈兵，但总算让我们了解了一下IP欺骗攻击，我实验过预测sequence number，不是ISN，企图切断一个TCP连接，感觉难度很大。建议要找到规律，不要盲目预测，这需要时间和耐心。一个现成的bug足以让你取得root权限.98

56、BNCC99BNCC进程的内存组织形式为了理解什么是堆栈缓冲区, 我们必须首先理解一个进程是以什么组织形式在 内存中存在的. 进程被分成三个区域: 文本, 数据和堆栈. 我们把精力集中在堆栈 区域, 但首先按照顺序简单介绍一下其他区域. 文本区域是由程序确定的, 包括代码(指令)和只读数据. 该区域相当于可执行 文件的文本段. 这个区域通常被标记为只读, 任何对其写入的操作都会导致段错误 (segmentation violation). 数据区域包含了已初始化和未初始化的数据. 静态变量储存在这个区域中. 数 据区域对应可执行文件中的data-bss段. 它的大小可以用系统调用brk(2)来

57、改变. 如果bss数据的扩展或用户堆栈把可用内存消耗光了, 进程就会被阻塞住, 等待有了 一块更大的内存空间之后再运行. 新内存加入到数据和堆栈段的中间. 100BNCC什么是堆栈堆栈是一个在计算机科学中经常使用的抽象数据类型. 堆栈中的物体具有一个特性: 最后一个放入堆栈中的物体总是被最先拿出来, 这个特性通常称为后进先处(LIFO)队列. 堆栈中定义了一些操作. 两个最重要的是PUSH和POP. PUSH操作在堆栈的顶部加入一 个元素. POP操作相反, 在堆栈顶部移去一个元素, 并将堆栈的大小减一. 101BNCC为什么使用堆栈现代计算机被设计成能够理解人们头脑中的高级语言. 在使用高级

58、语言构造程序时 最重要的技术是过程(procedure)和函数(function). 从这一点来看, 一个过程调用可 以象跳转(jump)命令那样改变程序的控制流程, 但是与跳转不同的是, 当工作完成时, 函数把控制权返回给调用之后的语句或指令. 这种高级抽象实现起来要靠堆栈的帮助. 堆栈也用于给函数中使用的局部变量动态分配空间, 同样给函数传递参数和函数返 回值也要用到堆栈. 102BNCC堆栈区域 堆栈是一块保存数据的连续内存. 一个名为堆栈指针(SP)的寄存器指向堆栈的顶部. 堆栈的底部在一个固定的地址. 堆栈的大小在运行时由内核动态地调整. CPU实现指令 PUSH和POP, 向堆栈中

59、添加元素和从中移去元素. 堆栈由逻辑堆栈帧组成. 当调用函数时逻辑堆栈帧被压入栈中, 当函数返回时逻辑 堆栈帧被从栈中弹出. 堆栈帧包括函数的参数, 函数地局部变量, 以及恢复前一个堆栈 帧所需要的数据, 其中包括在函数调用时指令指针(IP)的值. 堆栈既可以向下增长(向内存低地址)也可以向上增长, 这依赖于具体的实现. 103BNCC堆栈区域在我 们的例子中, 堆栈是向下增长的. 这是很多计算机的实现方式, 包括Intel, Motorola, SPARC和MIPS处理器. 堆栈指针(SP)也是依赖于具体实现的. 它可以指向堆栈的最后地址, 或者指向堆栈之后的下一个空闲可用地址. 在我们的讨

60、论当中, SP指向堆栈的最后地址. 除了堆栈指针(SP指向堆栈顶部的的低地址)之外, 为了使用方便还有指向帧内固定 地址的指针叫做帧指针(FP). 104BNCC堆栈区域有些文章把它叫做局部基指针(LB-local base pointer). 从理论上来说, 局部变量可以用SP加偏移量来引用. 然而, 当有字被压栈和出栈后, 这 些偏移量就变了. 尽管在某些情况下编译器能够跟踪栈中的字操作, 由此可以修正偏移 量, 但是在某些情况下不能. 而且在所有情况下, 要引入可观的管理开销. 而且在有些 机器上, 比如Intel处理器, 由SP加偏移量访问一个变量需要多条指令才能实现. 105BNCC