入侵检测知识介绍课件

黑客攻防案例分析与

现代网络安全技术主讲：柯宗贵黑客攻防案例分析与

现代网络安全技术主讲：柯宗贵内容黑客攻防案例分析当前黑客与网络安全事件的特点大规模网络安全事件回顾网络安全事件攻防案例分析现代网络安全技术内网保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术内容黑客攻防案例分析当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对pc的攻击比率越来越高攻击事件的破坏程度在增加当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便具有安全知识和专业的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点大规模事件出现日益频繁大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）大量垃圾邮件的出现传播速度越来越快利用系统漏洞，进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击当前黑客与网络安全事件的特点大规模事件出现日益频繁当前黑客与网络安全事件的特点对pc的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对pc设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加当前黑客与网络安全事件的特点对pc的攻击比率越来越高大规模网络安全事件回顾SQLSLAMMER蠕虫

2003年1月25日爆发，我国境内受感染两万多台口令蠕虫事件

2003年3月8日出现，部分大学网络瘫痪红色代码F变种

2003年3月11日发作，在我国网络中扩撒超过12万次大规模网络安全事件回顾SQLSLAMMER蠕虫大规模网络安全事件回顾冲击波蠕虫事件

2003年8月11日发现，至12月31日，150万台以上中招MYDOOM事件

1月27日出现，先后出现了多种变种，SCO网站受堵，163等邮件服务器出现问题。国内10%的电脑受感染“震荡波”事件

5月1日出现，至今仍有新变种出现，受“冲击波”的影响，没有造成重大危害。大规模网络安全事件回顾冲击波蠕虫事件大规模网络安全事件回顾DDOS事件广州某主机托管中心受国外黑客DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件篡改网页事件广西某市政府网站被篡改大规模网络安全事件回顾DDOS事件大规模网络安全事件回顾电子邮件事件番禺某小学“法轮功”反动电子邮件堵塞网络安全事件深圳市匿名电子邮件转发事件“网银大盗”事件4月，“网银大盗”偷取某家银行的网上银行用户的帐号和密码6月，“网银大盗Ⅱ”，涉及到十几家银行的多种网上交易业务6月，“网银大盗III”，偷取数家国际银行网上账号及密码大规模网络安全事件回顾电子邮件事件典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOMRPC漏洞网络恐怖主义NetBios与IPCARP欺骗DDoS攻击典型网络安全案件分析木马与“网银大盗”木马与“网银大盗”冰河国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”冰河木马与“网银大盗”WOLLF木马与“网银大盗”木马与“网银大盗”“网银大盗”

网上银行构架木马与“网银大盗”“网银大盗”木马与“网银大盗”“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe"木马与“网银大盗”“网银大盗”木马与“网银大盗”网银大盗II(Troj_Dingxa.A)原理

木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑解决办法1、终止病毒进程"svch0st.exe"2、注册表修复3、删除病毒释放的文件"svch0st.exe"4、配置防火墙和边界路由器木马与“网银大盗”网银大盗II(Troj_Dingxa.A木马与“网银大盗”“网银大盗”案例木马与“网银大盗”“网银大盗”案例多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备多媒体木马Internet种了木马的电脑传送信息黑客摄像头匿名电子邮件转发漏洞名称：ExchangeServer5.5匿名转发漏洞原理匿名电子邮件转发漏洞名称：ExchangeServer5.匿名电子邮件转发案例深圳市二十多个邮件服务器番禺东城小学Internet东城小学台湾日本匿名电子邮件转发案例Internet东城小学台湾日本匿名电子邮件转发造成危害网络堵塞给利用于反动宣传解决方法打补丁关闭该服务或端口25,110匿名电子邮件转发造成危害溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞造成的危害---冲击波溢出攻击与DCOMRPC漏洞造成的危害---冲击波MYDOOM案例分析邮件蠕虫:MYDOOM现象通过电子邮件附件传播，设定向和

发起DDoS攻击原理MYDOOM案例分析邮件蠕虫:MYDOOM网络恐怖主义网络恐怖主义NetBios漏洞与IPC入侵

NetBios

弱口令

例如:Administrator/12345NetBios漏洞与IPC入侵NetBiosNetBios漏洞与IPC入侵攻击原理Netuse\\38\IPC$

“12345”/u:“administrator”Copywollf.exe\\38\Admin$解决方法关闭139,445端口加强帐号强度NetBios漏洞与IPC入侵攻击原理ARP欺骗ARP地址解析协议ARP协议定义了两类基本的消息：

1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；

2）应答信息：包含发来的IP地址和对应的硬件地址。ARP欺骗ARP地址解析协议ARP欺骗2、原理ARP欺骗2、原理ARP欺骗防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器ARP欺骗防范ARP欺骗的方法DDoS攻击原理DDoS攻击原理DDoS攻击方法死亡之ping（pingofdeath）泪滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻击Smurf攻击Fraggle攻击DDoS攻击方法死亡之ping（pingofdeath常用DDoS攻击工具ThankgodSYNFlooder独裁者TrinooTFN2KStacheldraht常用DDoS攻击工具ThankgodDDoS攻击案例某市信息中心网站受DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件DDoS攻击案例现代网络安全技术内网安全保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术现代网络安全技术内网安全保密技术内网安全保密技术为什么需要内网保密审计系统？

1.内网信息泄漏问题

2.重要数据的保护问题

3.蠕虫病毒对边界防御体系的冲击问题内网安全保密技术为什么需要内网保密审计系统？内网安全保密技术为什么需要内网保密审计系统？内网安全保密技术为什么需要内网保密审计系统？蓝盾内网保密审计系统内网保密审计系统的作用

1.防信息泄漏和非法外联

2.重要数据的保护和监控

3.构建一个全网防御体系

4.各种网络行为的记录、审计

5.对各种攻击的检测（入侵检测功能）蓝盾内网保密审计系统内网保密审计系统的作用蓝盾内网保密审计系统蓝盾内网保密审计系统组成

系统由以下三部分组成：

1.网络安全监控器

2.主机代理客户端

3.控制中心蓝盾内网保密审计系统蓝盾内网保密审计系统组成蓝盾内网保密审计系统功能文件检测防护共享防护外联监控网络检测防护功能设备管理和认证注册表检测防护主机日志监控主机资源审计异常检测入侵检测与取证功能蠕虫检测与隔离蓝盾内网保密审计系统功能文件检测防护蓝盾内网保密审计系统蓝盾内网保密审计系统全网防御技术HostAHostCHostB联防中心InternetNIDS全网防御技术HostAHostCHostB联防中心In

黑客侦查与追踪技术蓝盾黑客侦查与追踪系统黑客侦查与追踪技术蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统系统组成

1、现场勘查分析

2、服务器监控

3、远程追踪分析控制软件服务监控软件远程追踪探头蓝盾黑客侦查与追踪系统系统组成分析控制软件服务监控软件远程追蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统远程追踪蓝盾黑客侦查与追踪系统远程追踪蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫描攻击破坏试探性攻击留后门扫描和试探性攻击阶段黑客一般用自身IP进行。而在进攻和破坏阶段黑客一般都会通过傀垒机进行蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照黑客主机蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照蜜罐（陷阱）技术A、记录模块

记录所有攻击信息、攻击流程、黑客IP和使用的工具。B、报警模块向管理机发出警报信息。C、反向扫描拍照模快对黑客主机进行反向扫描得出该主机的一些信息，如：主机名、用户名操作平台、版本号启用的服务端口、应用程序版本信息其它该主机存在一些漏洞信息。蜜罐（陷阱）技术A、记录模块DDoS攻击防御技术当前DDoS防御技术SYN代理SYN网关蓝盾DDoS防御网关DDoS攻击防御技术当前DDoS防御技术DDoS攻击防御方法SYN中继（代理）工作原理HostFWserverDDoS攻击防御方法SYN中继（代理）HostFWserveSYN中继（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中继（代理）1)HFW2)HSYN/ACKFWSYN中继（代理）存在问题FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。保护了服务器，堵死了防火墙SYN中继（代理）存在问题DDoS攻击防御方法SYN网关工作原理HostFWserverDDoS攻击防御方法SYN网关HostFWserverSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRSTSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHSYN网关

快速将连接试呼从S待办队列移开，避免服务器待办队

列堵塞定时器超时后，向S发送连接RST（复位）取消。存在问题

A、占用服务器缓冲

B、防火墙同样要储存SYN请求链接，攻击强烈时，同样会堵死防火墙SYN网关快速将连接试呼从S待办队列移开，避免服务器待蓝盾DDoS防御技术蓝盾防火墙、蓝盾DDoS防御网关对抗DDOS攻击的三层防御措施（一）连接指纹鉴别（二）自适应“催命”算法（三）恶性服务请求攻击的防御蓝盾DDoS防御技术蓝盾防火墙、蓝盾DDoS防御网关对抗DD连接指纹鉴别工作原理HostFWserver0积累识别技术,属国际专利连接指纹鉴别工作原理HostFWserver0积累识别技术,连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指纹验证)连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFW连接指纹鉴别工作原理A、SN序列号形成算法

SN=f（源、目标IP，源、目标端口，其它信息，秘密字）B、只有当主机H回答包所携带的SN号经验证合法后，才须建立连接代理。2、优点

由于在未确认SYN请求的合法性前，无须建立连接队列，所以这种方法具备以下优点：

A、防火墙无须耗费内存资源

B、没有缓冲溢出的危险

C、在NAT模式下不占用防火墙的连接数连接指纹鉴别工作原理A、SN序列号形成算法自适应“催命”算法针对性针对通过高层编程（固定ＩＰ）进行的攻击，如socket编程中的“connect”函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。工作原理防火墙中建立每条连接都有一个连接超时值Age（又叫生命期），一般每半秒钟减一，蓝盾防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的递减步长STEP，降低某些可疑连接的生命期，加快这些连接超时。自适应“催命”算法针对性恶性服务请求攻击的防御针对性一般SQL数据库访问会占用服务器较多资源，黑客会分析web页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成SQL服务器响应不过来。工作原理蓝盾会留给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某IP使用某SQL语句数量超过某一阀值时，防火墙会拒绝该IP的访问。恶性服务请求攻击的防御针对性其它措施对于一些固定IP的恶性攻击蓝盾防火墙会对该IP进行自动锁定，超过一定时间，一般为180秒后再进行开锁。某集团内网黑客FWserver蓝盾DDOS网关其它措施对于一些固定IP的恶性攻击蓝盾防火墙会对该IP进行自谢谢！谢谢！！谢谢！黑客攻防案例分析与

现代网络安全技术主讲：柯宗贵黑客攻防案例分析与

现代网络安全技术主讲：柯宗贵内容黑客攻防案例分析当前黑客与网络安全事件的特点大规模网络安全事件回顾网络安全事件攻防案例分析现代网络安全技术内网保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术内容黑客攻防案例分析当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对pc的攻击比率越来越高攻击事件的破坏程度在增加当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便具有安全知识和专业的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点大规模事件出现日益频繁大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）大量垃圾邮件的出现传播速度越来越快利用系统漏洞，进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击当前黑客与网络安全事件的特点大规模事件出现日益频繁当前黑客与网络安全事件的特点对pc的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对pc设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加当前黑客与网络安全事件的特点对pc的攻击比率越来越高大规模网络安全事件回顾SQLSLAMMER蠕虫

2003年1月25日爆发，我国境内受感染两万多台口令蠕虫事件

2003年3月8日出现，部分大学网络瘫痪红色代码F变种

2003年3月11日发作，在我国网络中扩撒超过12万次大规模网络安全事件回顾SQLSLAMMER蠕虫大规模网络安全事件回顾冲击波蠕虫事件

2003年8月11日发现，至12月31日，150万台以上中招MYDOOM事件

1月27日出现，先后出现了多种变种，SCO网站受堵，163等邮件服务器出现问题。国内10%的电脑受感染“震荡波”事件

5月1日出现，至今仍有新变种出现，受“冲击波”的影响，没有造成重大危害。大规模网络安全事件回顾冲击波蠕虫事件大规模网络安全事件回顾DDOS事件广州某主机托管中心受国外黑客DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件篡改网页事件广西某市政府网站被篡改大规模网络安全事件回顾DDOS事件大规模网络安全事件回顾电子邮件事件番禺某小学“法轮功”反动电子邮件堵塞网络安全事件深圳市匿名电子邮件转发事件“网银大盗”事件4月，“网银大盗”偷取某家银行的网上银行用户的帐号和密码6月，“网银大盗Ⅱ”，涉及到十几家银行的多种网上交易业务6月，“网银大盗III”，偷取数家国际银行网上账号及密码大规模网络安全事件回顾电子邮件事件典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOMRPC漏洞网络恐怖主义NetBios与IPCARP欺骗DDoS攻击典型网络安全案件分析木马与“网银大盗”木马与“网银大盗”冰河国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”冰河木马与“网银大盗”WOLLF木马与“网银大盗”木马与“网银大盗”“网银大盗”

网上银行构架木马与“网银大盗”“网银大盗”木马与“网银大盗”“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe"木马与“网银大盗”“网银大盗”木马与“网银大盗”网银大盗II(Troj_Dingxa.A)原理

木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑解决办法1、终止病毒进程"svch0st.exe"2、注册表修复3、删除病毒释放的文件"svch0st.exe"4、配置防火墙和边界路由器木马与“网银大盗”网银大盗II(Troj_Dingxa.A木马与“网银大盗”“网银大盗”案例木马与“网银大盗”“网银大盗”案例多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备多媒体木马Internet种了木马的电脑传送信息黑客摄像头匿名电子邮件转发漏洞名称：ExchangeServer5.5匿名转发漏洞原理匿名电子邮件转发漏洞名称：ExchangeServer5.匿名电子邮件转发案例深圳市二十多个邮件服务器番禺东城小学Internet东城小学台湾日本匿名电子邮件转发案例Internet东城小学台湾日本匿名电子邮件转发造成危害网络堵塞给利用于反动宣传解决方法打补丁关闭该服务或端口25,110匿名电子邮件转发造成危害溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞造成的危害---冲击波溢出攻击与DCOMRPC漏洞造成的危害---冲击波MYDOOM案例分析邮件蠕虫:MYDOOM现象通过电子邮件附件传播，设定向和

发起DDoS攻击原理MYDOOM案例分析邮件蠕虫:MYDOOM网络恐怖主义网络恐怖主义NetBios漏洞与IPC入侵

NetBios

弱口令

例如:Administrator/12345NetBios漏洞与IPC入侵NetBiosNetBios漏洞与IPC入侵攻击原理Netuse\\38\IPC$

“12345”/u:“administrator”Copywollf.exe\\38\Admin$解决方法关闭139,445端口加强帐号强度NetBios漏洞与IPC入侵攻击原理ARP欺骗ARP地址解析协议ARP协议定义了两类基本的消息：

1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；

2）应答信息：包含发来的IP地址和对应的硬件地址。ARP欺骗ARP地址解析协议ARP欺骗2、原理ARP欺骗2、原理ARP欺骗防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器ARP欺骗防范ARP欺骗的方法DDoS攻击原理DDoS攻击原理DDoS攻击方法死亡之ping（pingofdeath）泪滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻击Smurf攻击Fraggle攻击DDoS攻击方法死亡之ping（pingofdeath常用DDoS攻击工具ThankgodSYNFlooder独裁者TrinooTFN2KStacheldraht常用DDoS攻击工具ThankgodDDoS攻击案例某市信息中心网站受DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件DDoS攻击案例现代网络安全技术内网安全保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术现代网络安全技术内网安全保密技术内网安全保密技术为什么需要内网保密审计系统？

1.内网信息泄漏问题

2.重要数据的保护问题

3.蠕虫病毒对边界防御体系的冲击问题内网安全保密技术为什么需要内网保密审计系统？内网安全保密技术为什么需要内网保密审计系统？内网安全保密技术为什么需要内网保密审计系统？蓝盾内网保密审计系统内网保密审计系统的作用

1.防信息泄漏和非法外联

2.重要数据的保护和监控

3.构建一个全网防御体系

4.各种网络行为的记录、审计

5.对各种攻击的检测（入侵检测功能）蓝盾内网保密审计系统内网保密审计系统的作用蓝盾内网保密审计系统蓝盾内网保密审计系统组成

系统由以下三部分组成：

1.网络安全监控器

2.主机代理客户端

3.控制中心蓝盾内网保密审计系统蓝盾内网保密审计系统组成蓝盾内网保密审计系统功能文件检测防护共享防护外联监控网络检测防护功能设备管理和认证注册表检测防护主机日志监控主机资源审计异常检测入侵检测与取证功能蠕虫检测与隔离蓝盾内网保密审计系统功能文件检测防护蓝盾内网保密审计系统蓝盾内网保密审计系统全网防御技术HostAHostCHostB联防中心InternetNIDS全网防御技术HostAHostCHostB联防中心In

黑客侦查与追踪技术蓝盾黑客侦查与追踪系统黑客侦查与追踪技术蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统系统组成

1、现场勘查分析

2、服务器监控

3、远程追踪分析控制软件服务监控软件远程追踪探头蓝盾黑客侦查与追踪系统系统组成分析控制软件服务监控软件远程追蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统远程追踪蓝盾黑客侦查与追踪系统远程追踪蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫描攻击破坏试探性攻击留后门扫描和试探性攻击阶段黑客一般用自身IP进行。而在进攻和破坏阶段黑客一般都会通过傀垒机进行蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照黑客主机蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照蜜罐（陷阱）技术A、记录模块

记录所有攻击信息、攻击流程、黑客IP和使用的工具。B、报警模块向管理机发出警报信息。C、反向扫描拍照模快对黑客主机进行反向扫描得出该主机的一些信息，如：主机名、用户名操作平台、版本号启用的服务端口、应用程序版本信息其它该主机存在一些漏洞信息。蜜罐（陷阱）技术A、记录模块DDoS攻击防御技术当前DDoS防御技术SYN代理SYN网关蓝盾DDoS防御网关DDoS攻击防御技术当前DDoS防御技术DDoS攻击防御方法SYN中继（代理）工作原理HostFWserverDDoS攻击防御方法SYN中继（代理）HostFWserveSYN中继（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中继（代理）1)HFW2)HSYN/ACKFWSYN中继（代理）存在问题FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。保护了服务器，堵死了防火墙SYN中继（代理）存在问题DDoS攻击防御方法SYN网关工作原理HostFWserverDDoS攻击防御方法SYN网关HostFWserverSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）