CISP网络与通信安全培训课件

信息安全技术

网络安全2003-12信息安全技术

网络安全今天的主题第一章网络安全基础(模型,基础知识)第二章网络设备安全管理(物理上安全,设置上安全等)第三章网络中面临的威胁针对网络设备的攻击(不同的设备,不同的漏洞)拒绝服务（DoS）攻击(DOS,DDOS)欺骗攻击(IP地址欺骗等)网络嗅探(协议,端口)第四章网络设备的安全配置第五章对网络威胁采取的策略第六章

IPSec与VPN技术今天的主题第一章网络安全基础(模型,基础知识)第一章网络安全基础CISP网络与通信安全培训课件INTERNET的美妙之处在于你和每个人都能互相连接(工作,学习,电子商务等)INTERNET的可怕之处在于每个人都能和你互相连接(面临着威胁,例如:病毒)INTERNET的美妙之处网络基础网络基础OSI参考模型ISO/OSI网络体系结构

即开放系统互联参考模型（OpenSystemInterconnectReferenceModel）。是ISO（国际标准化组织）根据整个计算机网络功能划分七层.网络体系结构分层的目的

(为了更好的规划网络,更好的达到网络的互联性,更好的解决问题,更好的构架网络而建立)OSI参考模型的层次划分

应用层表示层

会话层

传输层网络层

数据链路层物理层

OSI参考模型OSI层次划分原则层次分明性应该把层次分成理论上需要的不同等级，减少过多的层次；当在数据处理过程中需要不同级别抽象时，则设立一个层次；在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。独立性一个层次内的功能或协议更改时不影响其它各层；互联性只为每一层建立与其相邻的上一层和下一层的接口；OSI层次划分原则层次分明性OSI层次划分原则

功能模块化性每一层都应该较好地履行其特定的功能；成熟性每一层的功能选定都基于已有成功经验的国际标准协议；简明性每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方；把类似的功能集中在同一层内，使之易于局部化；

OSI层次划分原则功能模块化性TCP/IP协议层次模型TCP/IP协议分层并不完全对应OSI模型应用层TelnetFTPDNSSMTP传输层TCPUDP网络层IPICMPARPRARP网络接口层X.25ARPnetTCP/IP协议层次模型TCP/IP协议分层并不完全对应OSTelnetSMTPDNSFTPUDPTCPIP以太网无线网络令牌网ARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏TelnetSMTPDNSFTPUDPTCPIP以太网无线网常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏传输层：拒绝服务攻击网络层：拒绝服务攻击和数据窃听风险硬件设备与数据链路：物理窃听与破坏

(物理维护,介质保护,OPENBOOT)常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏网络安全的语义范围

保密性完整性可用性(CIA三元组基本安全法则)可控性网络安全的语义范围

保密性第二章网络设备安全管理CISP网络与通信安全培训课件局域网的特性

局域网典型特性高数据传输率短距离低误码率(广域网络高误码率)常用的局域网介质访问控制技术载波监听多路访问/冲突检测(CSMA/CD)技术令牌控制技术光纤分布数据接口(FDDI)技术局域网的特性局域网典型特性局域网安全管理良好的网络拓扑规划(IP地址规划,路由区域设计等)对网络设备进行基本安全配置(口令和不必要的服务关闭)合理的划分VLAN(防一端口属多VLAN)分离数据广播域(不同部门)绑定IP地址与Mac地址(防止盗用IP)配置防火墙和IDS设备使用内容监控(NETFLOW)与病毒过滤局域网安全管理良好的网络拓扑规划(IP地址规划,路由区域设计良好的网络规划网络安全规划原则合理的分配地址(规划表)合理的网络逻辑结构(拓扑及协议的选择)通过VLAN分隔逻辑网络通过域或工作组确定用户权限(操作系统)建立良好的网络安全制度

(文档等)良好的网络规划网络安全规划原则网络设备安全配置关闭不必要的设备服务(STP,CDP等)使用强口令或密码加强设备访问的认证与授权(AAA口令)升级设备固件(对功能的提升)或OS(补丁)使用访问控制列表限制访问(名称,扩展,基本)使用访问控制表限制数据包类型(二层)网络设备安全配置关闭不必要的设备服务(STP,CDP等)广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类：局域网(LAN，localareanetwork)可覆盖一个建筑物或一所学校;城域网(MAN，metropolitanareanetwork)可覆盖一座城市;(WAN，wideareanetwork)可覆盖多座城市、多个国家或洲。广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络广域网的构成和种类广域网的构成(设备及基本构架)广域网的种类X.25帧中继ATM广域网的构成和种类广域网安全管理良好的网络拓扑规划(协议选择等)对网络设备进行基本安全配置(口令,加密)确保路由协议安全(路由协议加密,防恶意路由信息介入)使用ACL进行数据过滤使用AAA加强访问控制和认证广域网安全管理良好的网络拓扑规划(协议选择等)交换机-Vlan穿越对策将所有user-end端口都从vlan1中排除

(缺省VLAN的有很多服务没有关掉.)将trunk接口划分到一个单独的vlan中，该vlan中不应包含任何user-end接口交换机-Vlan穿越对策交换机-针对CDP攻击交换机-针对CDP攻击交换机-针对STP攻击说明SpanningTreeProtocol防止交换网络产生回路RootBridgeBPDU--bridgeID,pathcost,interface攻击强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。BPDUFlood：消耗带宽，拒绝服务(间隔时间)对策对User-End端口，禁止发送BPDU(或用参数进行控制)交换机-针对STP攻击说明交换机-针对VTP攻击作用VlanTrunkingProtocol统一了整个网络的VLAN配置和管理可以将VLAN配置信息传递到其它交换机动态添加删除VLAN(通过VTP更新信息)准确跟踪和监测VLAN变化模式Server,Client,Transparent交换机-针对VTP攻击作用交换机-针对VTP攻击脆弱性Domain：只有属于同一个Domain的交换机才能交换Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password，入侵者恶意添加或者删除Vlan。对策设置password尽量将交换机的vtp设置为Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是转发)交换机-针对VTP攻击脆弱性路由器-发现路由通过tracertroute命令最后一个路由容易成为DoS攻击目标(产生大量的数据包,使响应者消耗资源)路由器-发现路由通过tracertroute命令路由器-猜测路由器类型端口扫描CDP其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示

(给入侵者带来有用信息)路由器-猜测路由器类型端口扫描路由器-缺省帐号设备用户名密码级别bay路由器user空用户

Manager空管理员bay350T交换机NetlCs无关管理员baysuperStackIIsecuritysecurity管理员3com交换机adminsynnet管理员

readsynnet用户

writesynnet管理员

debugsynnet管理员

techtech

路由器-缺省帐号设备用户名密码级别bay路由器user空用户路由器-缺省帐号

monitormonitor用户

managermanager管理员

securitysecurity管理员cisco路由器(telnet)c(Cisco2600s)管理员

(telnet)cisco用户

enablecisco管理员

(telnet)ciscorouters

shivaroot空管理员

Guest空用户Webrampwradmintrancell管理员MotorolaCableRoutercablecomrouter管理员路由器-缺省帐号monitormonitor用户mana路由器-密码Cisco路由器的密码(选择手工安装模式就可以没有缺省密码)弱加密MD5加密Enablesecret5路由器-密码Cisco路由器的密码(选择手工安装模式就可以没路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp网管软件读写权限关掉不必要的服务

SNMP对管理人员有用,同时也为黑客提供方便.路由器-SNMPSNMP路由器-针对snmp攻击利用读、写口令字下载配置文件针对SNMP的暴力破解程序CISCOSNMP越权访问可写口令字……路由器-针对snmp攻击利用读、写口令字下载配置文件

第三章网络存在的威胁CISP网络与通信安全培训课件网络中面临的威胁网络中面临的威胁拒绝服务攻击定义

DoS（DenialofService）

拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDoS（DistributedDenialofservice）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。拒绝服务攻击定义

DoS（DenialofServicDDoS攻击示意图分布式拒绝服务攻击示意图DDoS攻击示意图分布式拒绝服务攻击示意图DoS攻击举例SynFloodUdpFloodIcmpPingFloodDoS攻击举例SynFloodSynFloodSYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击），是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的一种攻击方式。SynFloodSYNFlood是当前最流行的DoS（拒SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程SynFloodSYN（我可以连接吗？）ACK（可以）SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接SynFloodSYN（我可以连接吗？）ACK（可以）UdpFloodUDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪UdpFloodUDP攻击的原理是使两个或两个以上的系统之UdpFlood禁止相关服务(RIP禁止对所有端口转发)与网络设备配合(FWACL)UdpFlood禁止相关服务(RIP禁止对所有端口转发)IcmpPingFloodPing是通过发送ICMP报文,不能很好处理过大的Ping包，导致出现:占去许多带宽,塞满网络.如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。IcmpPingFloodPing是通过发送ICMP报文IcmpFlood禁止相关服务与网络设备配合(CISCO设备最新功能用命令去禁止)IcmpFlood禁止相关服务应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码审核.典型代表是pcanywhere的拒绝服务问题应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统应用级别的拒绝服务PCAnywhere存在因端口扫描导致的DoS攻击描述:在遭受到nmap2.30BETA21的TCPSYN扫描之后,PcAnyWhere将停止响应，只有重新启动服务才能正常运行。应用级别的拒绝服务PCAnywhere存在因端口扫描导致的应用级别的拒绝服务升级相关软件(补漏洞)与安全产品配合(IDS,FW,ACL,ROUTE-MAP策略控制)应用级别的拒绝服务升级相关软件(补漏洞)Trinoo介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的Trin00是一种分布式拒绝服务的工具。攻击者使用该工具可以控制多个主机，利用这些主机向其他主机发送UDPflood。Trin00控制者可以给Trin00主机守护程序制造多种请求。使用UDP包开始flood主机使用UDP包终止flood主机修改主机主流程序的UDPflood配置Trinoo介绍影响平台:Linux,Solaris,Trinoo介绍Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假.通讯端口是：(要在相应策略控制里封掉)

攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDPTrinoo介绍Trinoo的攻击方法是向被攻击目标主机的随TFN介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork,TFN,是一种分布式拒绝服务的工具，使用该工具可以使攻击者利用多个主机，一次flood一个目标。有三种不同类型的flood：ICMPEchofloodUDPFloodSYNFloodTFN介绍影响平台:Linux,Solaris,UniTFN介绍TFN客户机和服务器使用ICMPecho互相发送响应包进行通讯。TFN由主控端程序和代理端程序两部分组成，具有伪造数据包的能力。TFN介绍TFN客户机和服务器使用ICMPechoTFN2K介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork2000(TFN2k)是一种分布式拒绝服务的工具，可以实施多种类型的flood攻击一个主机。TFN2k由客户端和主机驻留程序组成。客户端控制一个多个主机主流程序，主机主流程序对目标主机进行flood。客户端可以使用UDP、TCP或ICMP与主机主流程序进行通讯，并可以隐藏欺骗发包的源IP地址。TFN2K介绍影响平台:Linux,Solaris,UTFN2K介绍TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。并且TFN2K可配置的代理端进程端口。TFN2K介绍TFN2K是由TFN发展而来的，在TFN所具有DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系;针对路由器的弱点的DDoS攻击将会增多;DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;基于不同协议的攻击:

--采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。

--采用ICMP攻击。

--采用UDP攻击。DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；IP欺骗原理IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。TCP三次握手DoS攻击序列号取样和猜测预防抛弃基于地址的信任策略进行包过滤加密使用随机化初始序列号IP欺骗原理ARP欺骗实现简易指定ARP包中的源IP、目标IP、源MAC、目标MAC危害嗅探导致windows9x、NTIP冲突死机Flooding导致网络异常ARP欺骗实现简易共享环境下的嗅探技术原理在以太网中是基于广播方式传送数据网卡置于混杂模式下可以接收所有经的数据工具Snifferpro、IRIS、tcpdump、snoop共享环境下的嗅探技术原理

第四章网络设备的安全配置CISP网络与通信安全培训课件路由交换设备安全配置关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型路由交换设备安全配置关闭不必要的设备服务Cisco路由交换的安全配置使用加密的强密码servicepassword-encryptionenablesecretpa55w0rd使用分级密码策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用户密码策略usernamepasswordpassprivilegeexec6showCisco路由交换的安全配置使用加密的强密码Cisco路由交换安全配置控制网络线路访问access-list8permit0access-list8denyanylinevty04access-class8in设置网络连接超时Exec-timeout50以上措施可以保证路由器的密码安全Cisco路由交换安全配置控制网络线路访问以上措施可以保证路Cisco路由交换安全配置禁用交换机HTTP服务器noiphttpserver禁用CDP发掘协议nocdprun禁用交换机NTP服务器nontpenable如果用了,需要验证Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低端口简单服务noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服务noservicefinger以上措施可以降低路由器遭受应用层攻击的风险Cisco路由交换安全配置禁用交换机HTTP服务器以上措施可Cisco路由交换安全配置禁用简单网络管理协议nosnmp-serverenable使用SNMPv3加强安全特性snmp-serverenabletrapssnmpauthmd5使用强的SNMPv1通讯关键字snmp-servercommunityname以上三者不可同时使用，如果必要使用SNMP安全性1>>2>>3Cisco路由交换安全配置禁用简单网络管理协议以上三者不可同Cisco路由交换安全配置认证与日志管理

logging设置与不同的服务相关联

logging的不同级别使用AAA加强设备访问控制

AAA概念日志管理loggingonloggingserverCisco路由交换安全配置认证与日志管理Cisco路由交换安全配置禁用IPUnreachable报文禁用ICMPRedirect报文noipredirect禁用定向广播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP验证Ipverifyunicastreverse-path禁用IP源路由选项noipsource-routeCisco路由交换安全配置禁用IPUnreachable报Cisco路由交换安全配置启用TCP截获特性防止DoS攻击创建截获访问控制列表起用TCP截获特性设置门限制设置丢弃模式Cisco路由交换安全配置启用TCP截获特性防止DoS攻击Cisco路由交换安全配置使用访问控制列表限制访问地址使用访问控制列表限定访问端口使用访问控制列表过滤特定类型数据包使用访问控制列表限定数据流量使用访问控制列表保护内部网络Cisco路由交换安全配置使用访问控制列表限制访问地址第五章对网络威胁采取的策略CISP网络与通信安全培训课件拒绝服务攻击的防御策略拒绝服务攻击的防御策略第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷.

第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

SynFlood解决办法第一种是缩短SYNTimeout时间，由于SYNFloo动态分析

受到攻击时在线分析TCPSYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）

网络设备配合SynFlood其它办法动态分析

受到攻击时在线分析TCPSYN报文的所有细节。如SynFlood其它办法

负载均衡

基于DNS解析的负载均衡本身就拥有对SYNFlood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYNFlood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。

SynFlood其它办法

负载均衡

基于DNS解析的负检测DDoS攻击根据异常情况分析

访问量突然剧增，经过sniffer分析，有大量的非正常的包，如没有正常的tcp三次握手，或者是三次握手后没有正常的关闭连接，或者大量的广播包，或者大量的icmp包，这说明极其有可能是遭受DDoS攻击。外部访问突然变慢，或者访问不到，可是主机的访问量却不大，这很有可能是路由器的配置出现问题，询问一下是否有人对路由器等设备进行过操作，或者你的对等ISP的线路出现问题。

主机突然反应很迟钝。这要经过sniffer进行侦听，这有两种可能，一种是流量确实很大，有可能是遭受DoS攻击，还有就是应用程序编写有误，导致系统资源耗尽。检测DDoS攻击根据异常情况分析DDoS攻击的对策与网络服务提供商协作

能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求他们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问他们的路由器。DDoS攻击的对策与网络服务提供商协作DDoS攻击的对策安装IDS和监控异常流量。

在防卫攻击方面，安装IDS可以发现是否有入侵行动正在进行，立即对入侵行动进行报警。以最快时间内对入侵做成反应。此外，也要时常监控网络流量，注意是否有异常的流量产生。(IDS操作)优化对外提供服务的主机

对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配置。此外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。DDoS攻击的对策安装IDS和监控异常流量。DDoS攻击的对策立即启动应付策略，尽可能快的向回追踪攻击包

如果发现攻击并非来自内部应当立即与服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的，因此不必过分的相信该地址。应当迅速的判断是否遭到了拒绝服务攻击，因为在攻击停止后，只有很短的一段时间您可以向回追踪攻击包，这最好和安全公司或组织一道来追查攻击者。与信息安全监察部门联系

由于系统日志属于电子证据，可以被非法修改。所以一旦攻击发生，应该及时与信息安全监察部门联系，及时提供系统日志作为证据保全，以利于追查和起诉攻击者，便于日后用法律手段追回经济损失DDoS攻击的对策立即启动应付策略，尽可能快的向回追踪攻击包DDoS预防方法限制ICMP数据包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS预防方法限制ICMP数据包出站速率DDoS预防方法限制SYN数据包连接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS预防方法限制SYN数据包连接速率DDoS预防方法InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS预防方法DDoS预防方法入口数据包必须来自客户地址确保检查入口数据包有效DDoS预防方法DDoS预防方法验证单点传送反向路径检查数据包地返回路径是否使用与到达相同接口，以缓解某些欺骗数据包需要路由CEF（快速向前传输）特性

DDoS预防方法验证单点传送反向路径

第六章IPSec与VPN技术CISP网络与通信安全培训课件IPSec与VPN技术IPSec与VPN技术VPN技术虚拟专用网（VirtualPrivateNetwork）：在公众网络上所建立的企业网络，且此企业网络拥有与专用网络相同的安全、管理及功能等特点。

VPN技术虚拟专用网（VirtualPrivateNet采用VPN的原因费用安全性采用VPN的原因费用安全性VPN协议—隧道协议第二层隧道协议PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三层隧道协议GREIPSecVPN协议—隧道协议第二层隧道协议PPTP将其他协议和数据封装于IP网络；该方式用在公共的Internet创建VPN，远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。此协议由Microsoft开发，与Windows95和NT集成很好。在数据安全性方面，此协议使用40bit或128bitRC4的加密算法。PPTP将其他协议和数据封装于IP网络；该方式用在公共的InL2TPIETF所制定的在Internet上创建VPN的协议。它支持非IP的协议，例如：AppleTalk和IPX,还有非IP的协议，例如：AppleTalk和IPX，还有非IPSec的安全协议。这个协议是在PPTP和L2F的技术之上所制定的标准InternetTunnel协议。在数据安全方面，建议使用IPSec作为加密方式。

L2TPIETF所制定的在Internet上创建VPN的协议IPSecIETF所制定的安全协议。它可以在Internet网上提供Tunnel封装、数据验证和数据乱码加密的服务。IPSec工作在网络协议栈的第三层，并且支持IPV6，使用DES（56-bit）或TripleDES(112-bit)加密方式。IPSec分两种工作方式：Tunnel模式（tunnel服务和加密服务同时提供）和Transport模式（只提供加密服务，不提供Tunnel）IPSecIETF所制定的安全协议。它可以在InternetIPSec工作模式传输模式在IPSec之前在IPSec*之后IP有效载荷IP头内部受保护的数据IP有效载荷IP头IPSec

头线上传输保护TCP/UDP/ICMP有效负载IPSec工作模式传输模式在IPSec之前在IPSec*用于LAN的IPSec传输模式点对点通信

对保护工作组通信非常有效

B:A:LAN用于LAN的IPSec传输模式点对点通信 B:10.0.IPSec工作模式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保护IP包头和IP负载可适用于两者,隐藏内部IP地址,协议类型和端口号加密在IPSec之前在IPSec*之后IPSec工作模式隧道模式IPPayloadIPhead用于WAN的IPSec隧道模式通过WAN把私有地址空间扩展到任意地方跨WAN保证私有性,完整性和身份验证ISPVPNGatewayInternet

B:C:1

D:A:经过隧道的私有地址可路由的公有地址用于WAN的IPSec隧道模式通过WAN把私有地址空间扩展到隧道和传输模式相结合通过WAN的安全隧道和通过LAN的安全传输相结合而对LAN和WAN实现一个统一的安全策略建筑的内外有一致的安全性ISPVPNGatewayInternet

B:A:主机间的传输C:1

D:通过WAN的隧道隧道和传输模式相结合通过WAN的安全隧道和通过LAN的安全传VPN网络架构告电安全隧道公共网络FR/DDN/X.25分支机构子网分支机构子网管理中心子网VPN网关NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源VPN网关VPN网关NEsec300CA警内网接口外网接口源认证服务器管理器VPN网络架构告电安全隧道公共网络FR/DDN/X.25分支VPN的特点解决了企业进行远程通讯必须购置专用远程访问服务器，必须使用租用线路的高成本、低扩展性的问题。将远程网络主干的通讯的软硬件维护的任务交给ISP管理，大大减少企业为了管理网络所投入的人力和物力，减少了企业的管理成本。利用点对点等隧道协议（PPP）以及第二层隧道协议（L2TP）可以实现多点建立VPN，使得用户可以开通多个VPN，以便同时访问Internet和企业网络。采用Microsoft的点对点加密协议（MPPE）以及安全IP标准（IPsec）和密匙可以实现VPN的安全策略。VPN的特点解决了企业进行远程通讯必须购置专用远程访问服务器问题？问题？信息安全技术

网络安全2003-12信息安全技术

网络安全今天的主题第一章网络安全基础(模型,基础知识)第二章网络设备安全管理(物理上安全,设置上安全等)第三章网络中面临的威胁针对网络设备的攻击(不同的设备,不同的漏洞)拒绝服务（DoS）攻击(DOS,DDOS)欺骗攻击(IP地址欺骗等)网络嗅探(协议,端口)第四章网络设备的安全配置第五章对网络威胁采取的策略第六章

IPSec与VPN技术今天的主题第一章网络安全基础(模型,基础知识)第一章网络安全基础CISP网络与通信安全培训课件INTERNET的美妙之处在于你和每个人都能互相连接(工作,学习,电子商务等)INTERNET的可怕之处在于每个人都能和你互相连接(面临着威胁,例如:病毒)INTERNET的美妙之处网络基础网络基础OSI参考模型ISO/OSI网络体系结构

即开放系统互联参考模型（OpenSystemInterconnectReferenceModel）。是ISO（国际标准化组织）根据整个计算机网络功能划分七层.网络体系结构分层的目的

(为了更好的规划网络,更好的达到网络的互联性,更好的解决问题,更好的构架网络而建立)OSI参考模型的层次划分

应用层表示层

会话层

传输层网络层

数据链路层物理层

OSI参考模型OSI层次划分原则层次分明性应该把层次分成理论上需要的不同等级，减少过多的层次；当在数据处理过程中需要不同级别抽象时，则设立一个层次；在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。独立性一个层次内的功能或协议更改时不影响其它各层；互联性只为每一层建立与其相邻的上一层和下一层的接口；OSI层次划分原则层次分明性OSI层次划分原则

功能模块化性每一层都应该较好地履行其特定的功能；成熟性每一层的功能选定都基于已有成功经验的国际标准协议；简明性每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方；把类似的功能集中在同一层内，使之易于局部化；

OSI层次划分原则功能模块化性TCP/IP协议层次模型TCP/IP协议分层并不完全对应OSI模型应用层TelnetFTPDNSSMTP传输层TCPUDP网络层IPICMPARPRARP网络接口层X.25ARPnetTCP/IP协议层次模型TCP/IP协议分层并不完全对应OSTelnetSMTPDNSFTPUDPTCPIP以太网无线网络令牌网ARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏TelnetSMTPDNSFTPUDPTCPIP以太网无线网常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏传输层：拒绝服务攻击网络层：拒绝服务攻击和数据窃听风险硬件设备与数据链路：物理窃听与破坏

(物理维护,介质保护,OPENBOOT)常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏网络安全的语义范围

保密性完整性可用性(CIA三元组基本安全法则)可控性网络安全的语义范围

保密性第二章网络设备安全管理CISP网络与通信安全培训课件局域网的特性

局域网典型特性高数据传输率短距离低误码率(广域网络高误码率)常用的局域网介质访问控制技术载波监听多路访问/冲突检测(CSMA/CD)技术令牌控制技术光纤分布数据接口(FDDI)技术局域网的特性局域网典型特性局域网安全管理良好的网络拓扑规划(IP地址规划,路由区域设计等)对网络设备进行基本安全配置(口令和不必要的服务关闭)合理的划分VLAN(防一端口属多VLAN)分离数据广播域(不同部门)绑定IP地址与Mac地址(防止盗用IP)配置防火墙和IDS设备使用内容监控(NETFLOW)与病毒过滤局域网安全管理良好的网络拓扑规划(IP地址规划,路由区域设计良好的网络规划网络安全规划原则合理的分配地址(规划表)合理的网络逻辑结构(拓扑及协议的选择)通过VLAN分隔逻辑网络通过域或工作组确定用户权限(操作系统)建立良好的网络安全制度

(文档等)良好的网络规划网络安全规划原则网络设备安全配置关闭不必要的设备服务(STP,CDP等)使用强口令或密码加强设备访问的认证与授权(AAA口令)升级设备固件(对功能的提升)或OS(补丁)使用访问控制列表限制访问(名称,扩展,基本)使用访问控制表限制数据包类型(二层)网络设备安全配置关闭不必要的设备服务(STP,CDP等)广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类：局域网(LAN，localareanetwork)可覆盖一个建筑物或一所学校;城域网(MAN，metropolitanareanetwork)可覆盖一座城市;(WAN，wideareanetwork)可覆盖多座城市、多个国家或洲。广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络广域网的构成和种类广域网的构成(设备及基本构架)广域网的种类X.25帧中继ATM广域网的构成和种类广域网安全管理良好的网络拓扑规划(协议选择等)对网络设备进行基本安全配置(口令,加密)确保路由协议安全(路由协议加密,防恶意路由信息介入)使用ACL进行数据过滤使用AAA加强访问控制和认证广域网安全管理良好的网络拓扑规划(协议选择等)交换机-Vlan穿越对策将所有user-end端口都从vlan1中排除

(缺省VLAN的有很多服务没有关掉.)将trunk接口划分到一个单独的vlan中，该vlan中不应包含任何user-end接口交换机-Vlan穿越对策交换机-针对CDP攻击交换机-针对CDP攻击交换机-针对STP攻击说明SpanningTreeProtocol防止交换网络产生回路RootBridgeBPDU--bridgeID,pathcost,interface攻击强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。BPDUFlood：消耗带宽，拒绝服务(间隔时间)对策对User-End端口，禁止发送BPDU(或用参数进行控制)交换机-针对STP攻击说明交换机-针对VTP攻击作用VlanTrunkingProtocol统一了整个网络的VLAN配置和管理可以将VLAN配置信息传递到其它交换机动态添加删除VLAN(通过VTP更新信息)准确跟踪和监测VLAN变化模式Server,Client,Transparent交换机-针对VTP攻击作用交换机-针对VTP攻击脆弱性Domain：只有属于同一个Domain的交换机才能交换Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password，入侵者恶意添加或者删除Vlan。对策设置password尽量将交换机的vtp设置为Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管VTP信息,只是转发)交换机-针对VTP攻击脆弱性路由器-发现路由通过tracertroute命令最后一个路由容易成为DoS攻击目标(产生大量的数据包,使响应者消耗资源)路由器-发现路由通过tracertroute命令路由器-猜测路由器类型端口扫描CDP其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示

(给入侵者带来有用信息)路由器-猜测路由器类型端口扫描路由器-缺省帐号设备用户名密码级别bay路由器user空用户

Manager空管理员bay350T交换机NetlCs无关管理员baysuperStackIIsecuritysecurity管理员3com交换机adminsynnet管理员

readsynnet用户

writesynnet管理员

debugsynnet管理员

techtech

路由器-缺省帐号设备用户名密码级别bay路由器user空用户路由器-缺省帐号

monitormonitor用户

managermanager管理员

securitysecurity管理员cisco路由器(telnet)c(Cisco2600s)管理员

(telnet)cisco用户

enablecisco管理员

(telnet)ciscorouters

shivaroot空管理员

Guest空用户Webrampwradmintrancell管理员MotorolaCableRoutercablecomrouter管理员路由器-缺省帐号monitormonitor用户mana路由器-密码Cisco路由器的密码(选择手工安装模式就可以没有缺省密码)弱加密MD5加密Enablesecret5路由器-密码Cisco路由器的密码(选择手工安装模式就可以没路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp网管软件读写权限关掉不必要的服务

SNMP对管理人员有用,同时也为黑客提供方便.路由器-SNMPSNMP路由器-针对snmp攻击利用读、写口令字下载配置文件针对SNMP的暴力破解程序CISCOSNMP越权访问可写口令字……路由器-针对snmp攻击利用读、写口令字下载配置文件

第三章网络存在的威胁CISP网络与通信安全培训课件网络中面临的威胁网络中面临的威胁拒绝服务攻击定义

DoS（DenialofService）

拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDoS（DistributedDenialofservice）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。拒绝服务攻击定义

DoS（DenialofServicDDoS攻击示意图分布式拒绝服务攻击示意图DDoS攻击示意图分布式拒绝服务攻击示意图DoS攻击举例SynFloodUdpFloodIcmpPingFloodDoS攻击举例SynFloodSynFloodSYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击），是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的一种攻击方式。SynFloodSYNFlood是当前最流行的DoS（拒SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程SynFloodSYN（我可以连接吗？）ACK（可以）SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接SynFloodSYN（我可以连接吗？）ACK（可以）UdpFloodUDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪UdpFloodUDP攻击的原理是使两个或两个以上的系统之UdpFlood禁止相关服务(RIP禁止对所有端口转发)与网络设备配合(FWACL)UdpFlood禁止相关服务(RIP禁止对所有端口转发)IcmpPingFloodPing是通过发送ICMP报文,不能很好处理过大的Ping包，导致出现:占去许多带宽,塞满网络.如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。IcmpPingFloodPing是通过发送ICMP报文IcmpFlood禁止相关服务与网络设备配合(CISCO设备最新功能用命令去禁止)IcmpFlood禁止相关服务应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码审核.典型代表是pcanywhere的拒绝服务问题应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统应用级别的拒绝服务PCAnywhere存在因端口扫描导致的DoS攻击描述:在遭受到nmap2.30BETA21的TCPSYN扫描之后,PcAnyWhere将停止响应，只有重新启动服务才能正常运行。应用级别的拒绝服务PCAnywhere存在因端口扫描导致的应用级别的拒绝服务升级相关软件(补漏洞)与安全产品配合(IDS,FW,ACL,ROUTE-MAP策略控制)应用级别的拒绝服务升级相关软件(补漏洞)Trinoo介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的Trin00是一种分布式拒绝服务的工具。攻击者使用该工具可以控制多个主机，利用这些主机向其他主机发送UDPflood。Trin00控制者可以给Trin00主机守护程序制造多种请求。使用UDP包开始flood主机使用UDP包终止flood主机修改主机主流程序的UDPflood配置Trinoo介绍影响平台:Linux,Solaris,Trinoo介绍Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假.通讯端口是：(要在相应策略控制里封掉)

攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDPTrinoo介绍Trinoo的攻击方法是向被攻击目标主机的随TFN介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork,TFN,是一种分布式拒绝服务的工具，使用该工具可以使攻击者利用多个主机，一次flood一个目标。有三种不同类型的flood：ICMPEchofloodUDPFloodSYNFloodTFN介绍影响平台:Linux,Solaris,UniTFN介绍TFN客户机和服务器使用ICMPecho互相发送响应包进行通讯。TFN由主控端程序和代理端程序两部分组成，具有伪造数据包的能力。TFN介绍TFN客户机和服务器使用ICMPechoTFN2K介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork2000(TFN2k)是一种分布式拒绝服务的工具，可以实施多种类型的flood攻击一个主机。TFN2k由客户端和主机驻留程序组成。客户端控制一个多个主机主流程序，主机主流程序对目标主机进行flood。客户端可以使用UDP、TCP或ICMP与主机主流程序进行通讯，并可以隐藏欺骗发包的源IP地址。TFN2K介绍影响平台:Linux,Solaris,UTFN2K介绍TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。并且TFN2K可配置的代理端进程端口。TFN2K介绍TFN2K是由TFN发展而来的，在TFN所具有DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系;针对路由器的弱点的DDoS攻击将会增多;DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;基于不同协议的攻击:

--采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。

--采用ICMP攻击。

--采用UDP攻击。DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；IP欺骗原理IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。TCP三次握手DoS攻击序列号取样和猜测预防抛弃基于地址的信任策略进行包过滤加密使用随机化初始序列号IP欺骗原理ARP欺骗实现简易指定ARP包中的源IP、目标IP、源MAC、目标MAC危害嗅探导致windows9x、NTIP冲突死机Flooding导致网络异常ARP欺骗实现简易共享环境下的嗅探技术原理在以太网中是基于广播方式传送数据网卡置于混杂模式下可以接收所有经的数据工具Snifferpro、IRIS、tcpdump、snoop共享环境下的嗅探技术原理

第四章网络设备的安全配置CISP网络与通信安全培训课件路由交换设备安全配置关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型路由交换设备安全配置关闭不必要的设备服务Cisco路由交换的安全配置使用加密的强密码servicepassword-encryptionenablesecretpa55w0rd使用分级密码策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用户密码策略usernamepasswordpassprivilegeexec6showCisco路由交换的安全配置使用加密的强密码Cisco路由交换安全配置控制网络线路访问access-list8permit0access-list8denyanylinevty04access-class8in设置网络连接超时Exec-timeout50以上措施可以保证路由器的密码安全Cisco路由交换安全配置控制网络线路访问以上措施可以保证路Cisco路由交换安全配置禁用交换机HTTP服务器noiphttpserver禁用CDP发掘协议nocdprun禁用交换机NTP服务器nontpenable如果用了,需要验证Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低端口简单服务noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服务noservicefinger以上措施可以降低路由器遭受应用层攻击的风险Cisco路由交换安全配置禁用交换机HTTP服务器以上措施可Cisco路由交换安全配置禁用简单网络管理协议nosnmp-serverenable使用SNMPv3加强安全特性snmp-serverenabletrapssnmpauthmd5使用强的SNMPv1通讯关键字snmp-servercommunityname以上三者不可同时使用，如果必要使用SNMP安全性1>>2>>3Cisco路由交换安全配置禁用简单网络管理协议以上三者不可同Cisco路由交换安全配置认证与日志管理

logging设置与不同的服务相关联

logging的不同级别使用AAA加强设备访问控制

AAA概念日志管理loggingonloggingserverCisco路由交换安全配置认证与日志管理Cisco路由交换安全配置禁用IPUnreachable报文禁用ICMPRedirect报文noipredirect禁用定向广播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP验证Ipverifyunicastreverse-path禁用IP源路由选项noipsource-routeCisco路由交换安全配置禁用IPUnreachable报Cisco路由交换安全配置启用TCP截获特性防止DoS攻击创建截获访问控制列表起用TCP截获特性设置门限制设置丢弃模式Cisco路由交换安全配置启用TCP截获特性防止DoS攻击Cisco路由交换安全配置使用访问控制列表限制访问地址使用访问控制列表限定访问端口使用访问控制列表过滤特定类型数据包使用访问控制列表限定数据流量使用访问控制列表保护内部网络Cisco路由交换安全配置使用访问控制列表限制访问地址第五章对网络威胁采取的策略CISP网络与通信安全培训课件拒绝服务攻击的防御策略拒绝服务攻击的防御策略第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷.

第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

SynFlood解决办法第一种是缩短SYNTimeout时间，由于SYNFloo动态分析

受到攻击时在线分析TCPSYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）

网络设备配合SynFlood其它办法动态分析

受到攻击时在线分析TCPSYN报文的所有细节。如SynFlood其它办法

负载均衡

基于DNS解析的负载均衡本身就拥有对SYNFlood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYNFlood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。

SynFlood其它办法

负载均衡

基于DNS解析的负检测DDoS攻击根据异常情况分析

访问量突然剧增，经过sniffer分析，有大量的非正常的包，如没有正常的tcp三次握手，或者是三次握手后没有正常的关闭连接，或者大量的广播包，或者大量的icmp包，这说明极其有可能是遭受DDoS攻击。外部访问突然变慢，或者访问不到，可是主机的访问量却不大，这很有可能是路由器的配置出现问题，询问一下是否有人对路由器等设备进行过操作，或者你的对等ISP的线路出现问题。

主机突然反应很迟钝。这要经过sniffer进行侦听，这有两种可能，一种是流量确实很大，有可能是遭受DoS攻击，还有就是应用程序编写有误，导致系统资源耗尽。检测DDoS攻击根据异常情况分析DDoS攻击的对策与网络服务提供商协作

能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求他们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问他们的路由器。DDoS攻击的对策与网络服务提供商协作DDoS攻击的对策安装IDS和监控异常流量。

在防卫攻击方面，安装IDS可以发现是否有入侵行动正在进行，立即对入侵行动进行报警。以最快时间内对入侵做成反应。此外，也要时常监控网络流量，注意是否有异常的流量产生。(IDS操作)优化对外提供服务的主机

对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配置。此外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。DDoS攻击的对策安装IDS和监控异常流量。DDoS攻击的对策立即启动应付策略，尽可能快的向回追踪攻击包

如果发现攻击