网络安全概念

网络安全概述

1网络安全概述网络安全的概念网络安全的内容网络安全面临的问题网络安全的客观必要性常见的网络信息攻击模式网络安全保障体系网络安全工作的目的2什么是网络安全（五要素）可用性：授权实体有权访问数据机密性：信息不暴露给未授权实体或进程完整性：保证数据不被未授权修改可控性：控制授权范围内的信息流向及操作方式可审查性：对出现的安全问题提供依据与手段3网络安全的内容物理安全网络安全传输安全应用安全用户安全4网络安全面临的问题來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外国政府竞争对手黑客不满的雇员5网络安全威胁的来源

1.外部渗入（penetration） 未被授权使用计算机的人；

2.内部渗入者 被授权使用计算机，但不能访问某些数据、程序或资源，它包括： -冒名顶替:使用别人的用户名和口令进行操作；-隐蔽用户:逃避审计和访问控制的用户；

3.滥用职权者:被授权使用计算机和访问系统资源，但滥用职权者。6冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁的几种类型7网络安全面临严峻挑战

网上犯罪形势不容乐观

有害信息污染严重网络病毒的蔓延和破坏

网上黑客无孔不入

机要信息流失与信息间谍潜入

网络安全产品的自控权

信息战的阴影不可忽视

互联网正以巨大的力度和广度

冲击和改造着社会、经济、生活的传统模式互联网正在成为社会公众强烈依赖的社会重要基础设施互联网安全正在成为普遍关注的焦点8网上犯罪形势不容乐观计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多2000年2月7日攻击美国知名网站案件：

损失$12亿，影响百万网民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet网上勒索、诈骗不断：

用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年9有害信息污染严重黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功160多个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方、帮助自杀政治攻击：考克斯报告、政治演变论10网络病毒的的蔓延和破破坏10年内以以几何级数数增长病毒达55000种种（2000.12亚洲计计算机反病病毒大会））网络病毒有有更大的破破坏性1988年年莫里斯事事件（UNIX/Email）6000台台、$9000万1998年年4月的CIH病毒毒2000万万台计算机机1999年年2月的梅梅利莎案件件（Window/Email）$12亿2000年年5月4日日的我爱你你病毒$87亿亿2001年7、、8月红红色代码码（CodeRed））到目前前为止$26亿亿11网上黑客客无孔不不入美国网络络屡遭扫扫荡军事、政政治、经经济美国五角角大楼情情报网络络、美国国海军研研究室、、空军、、美国中中央情报报局、许许多贸易易及金融融机构都都有被黑黑的历史史全球网络络危机四四伏非法侵入入、破坏坏系统、、窃取机机密中国网络络不断被被侵入五一中美美黑客大大战800多网网站被黑黑黑客是一些发发自好奇奇、寻求求刺激、、富有挑挑战的家家伙是一群以以攻击网网络，搜搜寻并破破坏信息息为了的的无赖；；是一帮为为了扬名名，专与与政府作作对的极极端分子子；是一些恐恐怖主义义分子或或政治、、军事、、商业和和科技间间谍。12机要信息息流失与与信息间间谍潜入入国家机密密信息、、企业关关键信息息、个人人隐私Web发发布、电电子邮件件、文件件传送的的泄漏预谋性窃窃取政治治和经济济情报CIA统统计入侵侵美国要要害系统统的案件件年增长率率为30%我国信息息网络发发展必然然成为其其重要目目标13网络安全全产品的的自控权权安全产品品隐通道、、嵌入病病毒、缺缺陷、可可恢复密密钥大量外购购安全产产品缺少少自控权权我国缺少少配套的的安全产产品控制制政策和和机制我国安全全产业还还比较稚稚嫩是重大安安全隐患患之一14信息战的的阴影不不可忽视视有组织、、大规模模的网络络攻击预预谋行为为：国家级、、集团级级无硝烟的战争争：跨国界、隐蔽蔽性、低花费费、跨领域高技术性、情情报不确定性性美国的“信息息战执行委员员会”：网络防护中心心（1999年）信息作战中心心（2000年）网络攻击演练练（2000年）要害目标：金融支付中心心、证券交易易中心空中交管中心心、铁路调度度中心电信网管中心心、军事指挥挥中心15网络的脆弱性性网络的扩展与与业务负荷膨膨胀：信息量半年长长一倍，网民民年增涨30%网络带宽瓶颈颈和信息拥挤挤社会与经济对对网络的巨大大经济依赖性性：20%股市、、25%产品品、30%金金融、40%人口灾难情况下的的网络脆弱性性“AOL”96年10小小时瘫痪：影响700万万用户安全的模糊性性网络络的开放性技术的公开性性人类的的天性16安全的模糊性性安全是相对的的，不易明确确安全的目标标安全是复杂的的，不易认清清存在的问题题安全是广泛的的，不易普及及安全的知识识安全链条：链链条的强度等等于其最弱一一环的强度（（木桶原理：：网络安全最最薄弱之处好好比木桶壁上上最短的木块块，也是黑客客对网络攻击击的首选之处处。）17网络的开放性性互联机制提供供了广泛的可可访问性Client-Server模式提提供了明确的的攻击目标开放的网络协协议和操作系系统为入侵提提供了线索用户的匿名性性为攻击提供供了机会18技术的公开性性如果不能集思思广益，自由由地发表对系系统的建议，，则会增加系系统潜在的弱弱点被忽视的的危险，因此此Internet要求求对网络安全全问题进行坦坦率公开地讨讨论。基于上述原则则，高水平的的网络安全资资料与工具在在Internet中可可自由获得。。19人类的天性好奇心这扇门为什么么锁上，我能能打开吗？惰性和依赖心心理安全问题应由由专家来关心心恐惧心理家丑不可外扬扬20网络攻击形式式按网络服务分分：E-Mail、FTP、、Telnet、R服务、IIS按技术途径分分：口令攻击、Dos攻击、、种植木马按攻击目的分分：数据窃取、伪伪造滥用资源源、篡改数据据21主要要攻攻击击与与威威胁胁———十十大大攻攻击击手手段段1.Dos：：使目目标标系系统统或或网网络络无无法法提提供供正正常常服服务务网络络Flooding:synflooding、、pingflooding、、DDos系统统Crash:Pingofdeath、、泪泪滴滴、、land、、WinNuke应用用Crash/Overload：：利用用应应用用程程序序缺缺陷陷，，如如长长邮邮件件2.扫描描探探测测：：系统统弱弱点点探探察察SATAN、、ISS、、CybercopScanner、、ping（嗅嗅探探加加密密口口令令,口口令令文文件件)223.口令令攻攻击击:弱口口令令口令令窃窃取取：：嗅探探器器、、偷偷窥窥、、社社会会工工程程（（垃垃圾圾、、便便条条、、伪伪装装查查询询））口令令猜猜测测：：常用用字字——无无法法获获得得加加密密的的口口令令-强强力力攻攻击击口令令Crack：：字典典猜猜测测、、字字典典攻攻击击——可可获获得得加加密密的的口口令令（（嗅嗅探探加加密密口口令令,口口令令文文件件)4.获取取权权限限，，提提升升权权限限（root/administrator））猜/crackroot口口令令、、缓缓冲冲区区溢溢出出、、利利用用NT注注册册表表、、访访问问和和利利用用高高权权限限控控制制台台、、利利用用启启动动文文件件、、利利用用系系统统或或应应用用Bugs5.插入入恶恶意意代代码码:病毒毒、、特特洛洛伊伊木木马马（（BO)、、后后门门、、恶恶意意Applet236.网络络破破坏坏：：主页页篡篡改改、、文文件件删删除除、、毁毁坏坏OS、、格格式式化化磁磁盘盘7.数据据窃窃取取：：敏感感数数据据拷拷贝贝、、监监听听敏敏感感数数据据传传输输---共共享享媒媒介介/服服务务器器监监听听/远远程程监监听听RMON8.伪造造、、浪浪费费与与滥滥用用资资源源：：违规规使使用用9.篡改改审审计计数数据据:删除除、、修修改改、、权权限限改改变变、、使使审审计计进进程程失失效效10.安全全基基础础攻攻击击：：防火火墙墙、、路路由由、、帐帐户户修修改改，，文文件件权权限限修修改改。。24我国国网网络络安安全全现现状状硬件件设设备备上上严严重重依依赖赖国国外外网络络安安全全管管理理存存在在漏漏洞洞网络络安安全全问问题题还还没没有有引引起起人人们们的的广广泛泛重重视视安全全技技术术有有待待研研究究美国国和和西西方方国国家家对对我我过过进进行行破破坏坏、、渗渗透透和和污污染染启动动了了一一些些网网络络安安全全研研究究项项目目建立立一一批批国国家家网网络络安安全全基基础础设设施施25Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目标机）美2.7黑黑客客案案件件的的攻攻击击方方式式分布布式式拒拒决决服服务务（（DDoS））26美国国2.7黑黑客客事事件件的的启启示示互联联网网正正在在成成为为国国家家重重要要基基础础设设施施9800万万网网民民3000万万人人参参予予网网上上购购物物，，$1000亿亿元元交交易易额额14%的的股股市市交交易易互联联网网威威胁胁给给社社会会带带来来巨巨大大冲冲击击CNN的的100万万网网民民阅阅读读网网络络新新闻闻受受阻阻Amason的820万万注注册册用用户户无无法法购购书书3天天总总损损失失高高达达$12亿亿互联联网网安安全全问问题题正正在在进进入入国国家家战战略略层层克林林顿顿2月月16日日召召开开网网络络安安全全高高峰峰会会议议支持持$900万万建建立立高高科科技技安安全全研研究究所所拔款款$20亿亿建建基基础础设设施施打打击击网网络络恐恐怖怖活活动动27值得深深思的的几个个问题题网络安安全的的全局局性战战略黑客工工具的的公开开化对对策网络安安全的的预警警体系系应急反反应队队伍的的建设设28传统安安全观观念受受到挑挑战网络是是变化化的、、风险险是动动态的的传统安安全观观侧重重策略略的技技术实实现现代安安全观观强调调安全全的整整体性性，安安全被被看成成一一个与与环境境相互互作用用的动动态循循环过过程29网络安安全策策略网络安安全是是一个个系统统的概概念，，可靠靠的网网络安安全解解决方方案必必须建建立在在集成成网络络安全全技术术的基基础上上，网网络系系统安安全策策略就就是基基于这这种技技术集集成而而提出出的，，主要要有三三种：：1直直接风风险控控制策策略（（静态态防御御）安全=风险险分析析+安安全规规则+直接接的技技术防防御体体系+安全全监控控攻击手手段是是不断断进步步的，，安全全漏洞洞也是是动态态出现现的，，因此此静态态防御御下的的该模模型存存在着着本质质的缺缺陷。。2自自适应应网络络安全全策略略（动动态性性）安全=风险险分析析+执执行策策略+系统统实施施+漏漏洞分分析+实时时响应应该策略略强调调系统统安全全管理理的动动态性性，主主张通通过安安全性性检测测、漏漏洞监监测，，自适适应地地填充充“安安全间间隙””，从从而提提高网网络系系统的的安全全性。。完善善的网网络安安全体体系，，必须须合理理协调调法律律、技技术和和管理理三种种因素素，集集成防防护、、监控控和恢恢复三三种技技术，，力求求增强强网络络系统统的健健壮性性与免免疫力力。局局限性性在于于：只只考虑虑增强强系统统的健健壮性性，仅仅综合合了技技术和和管理理因素素，仅仅采用用了技技术防防护。。30网络安全策策略（续））3智能网网络系统安安全策略（（动态免疫疫力）安全=风险险分析+安安全策略+技术防御御体系+攻攻击实时检检测+安全全跟踪+系系统数据恢恢复+系统统学习进化化技术防御体体系包括漏漏洞检测和和安全缝隙隙填充；安安全跟踪是是为攻击证证据记录服服务的，系系统学习进进化是旨在在改善系统统性能而引引入的智能能反馈机制制。模型中，““风险分析析+安全策策略”体现现了管理因因素；“技技术防御体体系+攻击击实时检测测+系统数数据恢复+系统学习习进化”体体现了技术术因素；技技术因素综综合了防护护、监控和和恢复技术术；“安全全跟踪+系系统数据恢恢复+系统统学习进化化”使系统统表现出动动态免疫力力。31网络网络安安全防护体体系（（PDRR）随着信息网网络的飞速速发展，信信息网络的的安全防护护技术已逐逐渐成为一一个新兴的的重要技术术领域，并并且受到政政府、军队队和全社会会的高度重重视。随着着我国政府府、金融等等重要领域域逐步进入入信息网络络，国家的的信息网络络已成为继继领土、领领海、领空空之后的又又一个安全全防卫领域域，逐渐成成为国家安安全的最高高价值目标标之一。可可以说信息息网络的安安全与国家家安全密切切相关。32网络网络安安全防护体体系（（PDRR）最近安全专专家提出了了信息保障障体系的新新概念，即即：为了保保障网络安安全，应重重视提高系系统的入侵侵检测能力力、事件反反应能力和和遭破坏后后的快速恢恢复能力。。信息保障障有别于传传统的加密密、身份认认证、访问问控制、防防火墙等技技术，它强强调信息系系统整个生生命周期的的主动防御御。美国在在信息保障障方面的一一些举措,如：成立立关键信息息保障办公公室、国家家基础设施施保护委员员会和开展展对信息战战的研究等等等，表明明美国正在在寻求一种种信息系统统防御和保保护的新概概念，这应应该引起我我们的高度度重视。33网络网络安安全防护体体系（（PDRR）保护、检测测、响应和和恢复涵盖盖了对现代代信息系统统的安全防防护的各个个方面，构构成了一个个完整的体体系，使网网络安全建建筑在一个个更加坚实实的基础之之上。34网络网络安安全防护体体系（（PDRR）保护(PROTECT)传统安全概概念的继承承，包括信信息加密技技术、访问问控制技术术等等。检测(DETECT)从监视、分分析、审计计信息网络络活动的角角度，发现现对于信息息网络的攻攻击、破坏坏活动，提提供预警、、实时响应应、事后分分析和系统统恢复等方方面的支持持，使安全全防护从单单纯的被动动防护演进进到积极的的主动防御御。35网络网络安安全防护体体系（（PDRR）响应(RESPONSE)在遭遇攻击击和紧急事事件时及时时采取措施施，包括调调整系统的的安全措施施、跟踪攻攻击源和保保护性关闭闭服务和主主机等。恢复(RECOVER)评估系统受受到的危害害与损失，，恢复系统统功能和数数据，启动动备份系统统等。36网络安全保保障体系安全管理与与审计物理层安全全网络层安全传输层安全全应用层安全全链路层物理层网络层传输层应用层表示层会话层审计与监控控身份认证数据加密数字签名完整性鉴别别端到端加密密访问控制点到点链路路加密物理信道安安全访问控制数据机密性性数据完整性性用户认证防抵赖安全审计网络安全层层次层次模型网络安全技技术实现安全目目标用户安全37网络安全工工作的目的的38黑客攻击与与防范39以太帧与MAC地址址一、以太资资料帧的结结构图前同步码报头资料区资料帧检查序列（FCS）8个字节（不包括）通常14个字节46-1，500字节

固定4字节40以太帧构成元素解释及作用前同步码Send“Iamready,Iwillsendmessage”报头必须有：发送者MAC地址目的MAC地址共12个字节OR长度字段中的字节总数信息（差错控制）OR类型字段（说明以太帧的类型）资料区资料源IP目的地IP实际资料和协议信息如果资料超过1，500分解多个资料帧，使用序列号如果不够46个字节，数据区末尾加1FCS保证接受到的资料就是发送出的资料。41MAC地址的前三个字节制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF广播地址42地址解析协协议地址解析协协议

索引物理位址IP地址类型物理口（接口）设备的物理地址与物理位址对应的IP地址这一行对应入口类型入口1

入口2

入口N

注：数值2表示这个入入口是非法法的，数值值3表示这种映映像是动态态的，数值值4表示是静态态的（如口口不改变）），数值1表示不是上上述任何一一种。入口：ARP高速缓存。。43TIP/IPIP（InternetProtocol））网际协议议，把要传传输的一个个文件分成成一个个的的群组，这这些群组被被称之为IP数据包包，每个IP数据包包都含有源源地址和目目的地址，，知道从哪哪台机器正正确地传送送到另一台台机器上去去。IP协协议具有分分组交换的的功能，不不会因为一一台机器传传输而独占占通信线路路。TCP（TransportcontrolProtocal））传输控制制协议具有有重排IP数据包顺顺序和超时时确认的功功能。IP数据包可可能从不同同的通信线线路到达目目的地机器器，IP数数据包的顺顺序可能序序乱。TCP按IP数据包原原来的顺序序进行重排排。IP数数据包可能能在传输过过程中丢失失或损坏，，在规定的的时间内如如果目的地地机器收不不到这些IP数据包包，TCP协议会让让源机器重重新发送这这些IP数数据包，直直到到达目目的地机器器。TCP协议确认认收到的IP数据包包。超时机机制是自动动的，不依依赖于通讯讯线路的远远近。IP和TCP两种协协议协同工工作，要传传输的文件件就可以准准确无误地地被传送和和接收44TIP/IPTCP/IP协议族与OSI七层模模型的对应关关系，如下图图所示45数据包是什么么样的？TCP/IP/Ethernet举举例对分组过滤而而言：涉及四四层1.Ethernetlayer2. IPlayer3. TCP layer4. data layer分组与数据封封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每层，分组由两部分构成：首标（头）和本体（数据）首标包含与本层有关的协议信息，本体包括本层的所有数据每层分组要包括来自上层的所有信息，同时加上本层的首标，即封包应用层包括的就是要传送出去的数据Ethernetlayer1.分组组＝EthernetHeader＋EthernetBody2.Header说明：3.EthernetBody包含含的是IP分组该分组的类型，如AppleTalk数据包、Novell数据包、DECNET数据包等。输送该分组的机器的Ethernet地址（源址）接收该分组的机器的Ethernet地址（宿址）IPlayer1.IP分分组＝IPheader+IPBody3.IP可将分组细分分为更小的部部分段(fragments)，以便网络传输输。4.IPBody包含的是TCP分组。。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP协议类型：说明IPBody中是TCP分组或是UDP分组，ICMP等IP选择字段：常空，用于IP源路由或IP安全选项的标识IP分组字字段版本 IHL服务类型 总长度 标识 O分段偏差有效期 协议 报头校验和 源地址 宿地址 选项 填充 数据OMFF32BIT过滤字段50IP:1、处于Internet中间层次次。2、其下有很很多不同的层层：如Ethernet，tokenring，FDDI，PPP等。3、其上有很很多协议：TCP，UDP，ICMP。4、与分组过过滤有关的特特性是：5、分段示意意图：IP选项：用于Firewall中，对付IP源路由。IP分段：Firewall只处理首段，而让所有非首段通过。丢掉了首段，目的地就不能重组。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分分组：TCP报头＋TCP本体2、报头中与与过滤有关部部分：TCP源端口口：2byte数，说明明处理分组的的源机器。TCP宿端口口：同上TCP旗标字字段（flag），含有1bit的ACKbit。3、本体内是是实际要传送送的数据。TCPLayer源端口宿宿端口序号确认号号HLEN保保留码码位窗窗口校验和紧紧急指针针选项填填充充字节数据据WordsBits048121620242831头标端口扫描攻击击54Sniffer攻击55DOS原理DoS的英文文全称是DenialofService，也就是““拒绝服务””的意思。从从网络攻击的的各种方法和和所产生的破破坏情况来看看，DoS算算是一种很简简单但又很有有效的进攻方方式。它的目目的就是拒绝绝你的服务访访问，破坏组组织的正常运运行，最终它它会使你的部部分Internet连连接和网络系系统失效。DoS的攻击击方式有很多多种，最基本本的DoS攻攻击就是利用用合理的服务务请求来占用用过多的服务务资源，从而而使合法用户户无法得到服服务。DoS攻击的原理理如图所示。。56DOS原理57DOS原理从图我们可以以看出DoS攻击的基本本过程：首先先攻击者向服服务器发送众众多的带有虚虚假地址的请请求，服务器器发送回复信信息后等待回回传信息，由由于地址是伪伪造的，所以以服务器一直直等不到回传传的消息，分分配给这次请请求的资源就就始终没有被被释放。当服服务器等待一一定的时间后后，连接会因因超时而被切切断，攻击者者会再度传送送新的一批请请求，在这种种反复发送伪伪地址请求的的情况下，服服务器资源最最终会被耗尽尽。58DDOS原原理DDoS（（分布式拒拒绝服务）），它的英英文全称为为DistributedDenialofService，它是是一种基于于DoS的的特殊形式式的拒绝服服务攻击，，是一种分分布、协作作的大规模模攻击方式式，主要瞄瞄准比较大大的站点，，象商业公公司，搜索索引擎和政政府部门的的站点。从从图1我们们可以看出出DoS攻攻击只要一一台单机和和一个modem就就可实现，，与之不同同的是DDoS攻击击是利用一一批受控制制的机器向向一台机器器发起攻击击，这样来来势迅猛的的攻击令人人难以防备备，因此具具有较大的的破坏性。。DDoS的攻击原原理如图所所示。59DDOS原原理60DDOS原原理从图可以看看出，DDoS攻击击分为3层层：攻击者者、主控端端、代理端端，三者在在攻击中扮扮演着不同同的角色。。1、攻击者者：攻击者所所用的计算算机是攻击击主控台，，可以是网网络上的任任何一台主主机，甚至至可以是一一个活动的的便携机。。攻击者操操纵整个攻攻击过程，，它向主控控端发送攻攻击命令。。2、主控端端：主控端是是攻击者非非法侵入并并控制的一一些主机，，这些主机机还分别控控制大量的的代理主机机。主控端端主机的上上面安装了了特定的程程序，因此此它们可以以接受攻击击者发来的的特殊指令令，并且可可以把这些些命令发送送到代理主主机上。3、代理端端：代理端同样样也是攻击击者侵入并并控制的一一批主机，，它们上面面运行攻击击器程序，，接受和运运行主控端端发来的命命令。代理理端主机是是攻击的执执行者，真真正向受害害者主机发发送攻击。。61SYNFlood的基本原原理大家都知道道，TCP与UDP不同，它它是基于连连接的，也也就是说：：为了在服服务端和客客户端之间间传送TCP数据，，必须先建建立一个虚虚拟电路，，也就是TCP连接接，建立TCP连接接的标准过过程是这样样的：首首先先，请求端端（客户端端）发送一一个包含SYN标志志的TCP报文，SYN即同同步（Synchronize），同同步报文会会指明客户户端使用的的端口以及及TCP连连接的初始始序号；第第二步，服服务器在收收到客户端端的SYN报文后，，将返回一一个SYN+ACK的报文，，表示客户户端的请求求被接受，，同时TCP序号被被加一，ACK即确确认（Acknowledgement）。第第三步，客客户端也返返回一个确确认报文ACK给服服务器端，，同样TCP序列号号被加一，，到此一个个TCP连连接完成。。

以上的的连接过程程在TCP协议中被被称为三次次握手（Three-wayHandshake）。。62SYNFlood的基本原原理假设一个用用户向服务务器发送了了SYN报报文后突然然死机或掉掉线，那么么服务器在在发出SYN+ACK应答报报文后是无无法收到客客户端的ACK报文文的（第三三次握手无无法完成）），这种情情况下服务务器端一般般会重试（（再次发送送SYN+ACK给给客户端））并等待一一段时间后后丢弃这个个未完成的的连接，这这段时间的的长度我们们称为SYNTimeout，一般般来说这个个时间是分分钟的数量量级（大约约为30秒秒-2分钟钟）；一个个用户出现现异常导致致服务器的的一个线程程等待1分分钟并不是是什么很大大的问题，，但如果有有一个恶意意的攻击者者大量模拟拟这种情况况，服务器器端将为了了维护一个个非常大的的半连接列列表而消耗耗非常多的的资源----数以以万计的半半连接，即即使是简单单的保存并并遍历也会会消耗非常常多的CPU时间和和内存，何何况还要不不断对这个个列表中的的IP进行行SYN+ACK的的重试。实实际上如果果服务器的的TCP/IP栈不不够强大，，最后的结结果往往是是堆栈溢出出崩溃---即使服服务器端的的系统足够够强大，服服务器端也也将忙于处处理攻击者者伪造的TCP连接接请求而无无暇理睬客客户的正常常请求（毕毕竟客户端端的正常请请求比率非非常之小）），此时从从正常客户户的角度看看来，服务务器失去响响应，这种种情况我们们称作：服服务器端受受到了SYNFlood攻攻击（SYN洪水攻攻击）。63SYNFlood的的基基本本基本本解解决决方方法法第一一种种是是缩缩短短SYNTimeout时时间间，，由由于于SYNFlood攻攻击击的的效效果果取取决决于于服服务务器器上上保保持持的的SYN半半连连接接数数，，这这个个值值=SYN攻攻击击的的频频度度xSYNTimeout，，所所以以通通过过缩缩短短从从接接收收到到SYN报报文文到到确确定定这这个个报报文文无无效效并并丢丢弃弃改改连连接接的的时时间间，，例例如如设设置置为为20秒秒以以下下（（过过低低的的SYNTimeout设设置置可可能能会会影影响响客客户户的的正正常常访访问问）），，可可以以成成倍倍的的降降低低服服务务器器的的负负荷荷。。第第二二种种方方法法是是设设置置SYNCookie，，就就是是给给每每一一个个请请求求连连接接的的IP地地址址分分配配一一个个Cookie，，如如果果短短时时间间内内连连续续受受到到某某个个IP的的重重复复SYN报报文文，，就就认认定定是是受受到到了了攻攻击击，，以以后后从从这这个个IP地地址址来来的的包包会会被被丢丢弃弃。。64DDoS攻攻击使使用的的常用用工具具DDoS攻攻击实实施起起来有有一定定的难难度，，它要要求攻攻击者者必须须具备备入侵侵他人人计算算机的的能力力。但但是很很不幸幸的是是一些些傻瓜瓜式的的黑客客程序序的出出现，，这些些程序序可以以在几几秒钟钟内完完成入入侵和和攻击击程序序的安安装，，使发发动DDoS攻攻击变变成一一件轻轻而易易举的的事情情。下下面我我们来来分析析一下下这些些常用用的黑黑客程程序。。1、TrinooTrinoo的的攻击击方法法是向向被攻攻击目目标主主机的的随机机端口口发出出全零零的4字节节UDP包包，在在处理理这些些超出出其处处理能能力的的垃圾圾数据据包的的过程程中，，被攻攻击主主机的的网络络性能能不断断下降降，直直到不不能提提供正正常服服务，，乃至至崩溃溃。它它对IP地地址不不做假假，采采用的的通讯讯端口口是：：攻击者者主机机到主主控端端主机机：27665/TCP主主控端端主机机到代代理端端主机机：27444/UDP代代理端端主机机到主主服务务器主主机：：31335/UDPFNTFN由主主控端端程序序和代代理端端程序序两部部分组组成，，它主主要采采取的的攻击击方法法为：：SYN风风暴、、Ping风暴暴、UDP炸弹弹和SMURF，具具有伪伪造数数据包包的能能力。。65DDoS攻攻击使使用的的常用用工具具3、TFN2KTFN2K是由由TFN发发展而而来的的，在在TFN所所具有有的特特性上上，TFN2K又新新增一一些特特性，，它的的主控控端和和代理理端的的网络络通讯讯是经经过加加密的的，中中间还还可能能混杂杂了许许多虚虚假数数据包包，而而TFN对对ICMP的通通讯没没有加加密。。攻击击方法法增加加了Mix和Targa3。。并且且TFN2K可可配置置的代代理端端进程程端口口。4、StacheldrahtStacheldraht也也是从从TFN派派生出出来的的，因因此它它具有有TFN的的特性性。此此外它它增加加了主主控端端与代代理端端的加加密通通讯能能力，，它对对命令令源作作假，，可以以防范范一些些路由由器的的RFC2267过过滤。。Stacheldrah中中有一一个内内嵌的的代理理升级级模块块，可可以自自动下下载并并安装装最新新的代代理程程序。。66DDoS的的监测现在网上采采用DDoS方式进进行攻击的的攻击者日日益增多，，我们只有有及早发现现自己受到到攻击才能能避免遭受受惨重的损损失。检测DDoS攻击的的主要方法法有以下几几种：1、根据异异常情况分分析当网络的通通讯量突然然急剧增长长，超过平平常的极限限值时，你你可一定要要提高警惕惕，检测此此时的通讯讯；当网站站的某一特特定服务总总是失败时时，你也要要多加注意意；当发现现有特大型型的ICP和UDP数据包通通过或数据据包内容可可疑时都要要留神。总总之，当你你的机器出出现异常情情况时，你你最好分析析这些情况况，防患于于未然。2、使用DDoS检检测工具当攻击者想想使其攻击击阴谋得逞逞时，他首首先要扫描描系统漏洞洞，目前市市面上的一一些网络入入侵检测系系统，可以以杜绝攻击击者的扫描描行为。另另外，一些些扫描器工工具可以发发现攻击者者植入系统统的代理程程序，并可可以把它从从系统中删删除。67DDoS攻攻击的防御御策略由于DDoS攻击具具有隐蔽性性，因此到到目前为止止我们还没没有发现对对DDoS攻击行之之有效的解解决方法。。所以我们们要加强安安全防范意意识，提高高网络系统统的安全性性。可采取取的安全防防御措施有有以下几种种：1、及早发发现系统存存在的攻击击漏洞，及及时安装系系统补丁程程序。对一一些重要的的信息（例例如系统配配置信息））建立和完完善备份机机制。对一一些特权帐帐号（例如如管理员帐帐号）的密密码设置要要谨慎。通通过这样一一系列的举举措可以把把攻击者的的可乘之机机降低到最最小。2、在网络络管理方面面，要经常常检查系统统的物理环环境，禁止止那些不必必要的网络络服务。建建立边界安安全界限，，确保输出出的包受到到正确限制制。经常检检测系统配配置信息，，并注意查查看每天的的安全日志志。3、利用网网络安全设设备（例如如：防火墙墙）来加固固网络的安安全性，配配置好它们们的安全规规则，过滤滤掉所有的的可能的伪伪造数据包包。4、比较好好的防御措措施就是和和你的网络络服务提供供商协调工工作，让他他们帮助你你实现路由由的访问控控制和对带带宽总量的的限制。68DDoS攻攻击的防御御策略5、当你发发现自己正正在遭受DDoS攻攻击时，你你应当启动动您的应付付策略，尽尽可能快的的追踪攻击击包，并且且要及时联联系ISP和有关应应急组织，，分析受影影响的系统统，确定涉涉及的其他他节点，从从而阻挡从从已知攻击击节点的流流量。6、当你是是潜在的DDoS攻攻击受害者者，你发现现你的计算算机被攻击击者用做主主控端和代代理端时，，你不能因因为你的系系统暂时没没有受到损损害而掉以以轻心，攻攻击者已发发现你系统统的漏洞，，这对你的的系统是一一个很大的的威胁。所所以一旦发发现系统中中存在DDoS攻击击的工具软软件要及时时把它清除除，以免留留下后患。。69分布式拒绝绝服务（DDoS））攻击工具具分析--TFN2K客户端———用于通过过发动攻击击的应用程程序，攻击击者通过它它来发送各各种命令。。

守护护程序———在代理端端主机运行行的进程，，接收和响响应来自客客户端的命命令。主主控端———运行客客户端程序序的主机。。

代理理端——运运行守护程程序的主机机。目目标主机———分布式式攻击的目目标（主机机或网络））。70分布式拒绝绝服务（DDoS））攻击工具具分析--TFN2KTFN2K通过主控控端利用大大量代理端端主机的资资源进行对对一个或多多个目标进进行协同攻攻击。当前前互联网中中的UNIX、Solaris和WindowsNT等平台的的主机能被被用于此类类攻击，而而且这个工工具非常容容易被移植植到其它系系统平台上上。TFN2K由两部分分组成：在在主控端主主机上的客客户端和在在代理端主主机上的守守护进程。。主控端向向其代理端端发送攻击击指定的目目标主机列列表。代理理端据此对对目标进行行拒绝服务务攻击。由由一个主控控端控制的的多个代理理端主机，，能够在攻攻击过程中中相互协同同，保证攻攻击的连续续性。主控控央和代理理端的网络络通讯是经经过加密的的，还可能能混杂了许许多虚假数数据包。整整个TFN2K网络络可能使用用不同的TCP、UDP或ICMP包包进行通讯讯。而且主主控端还能能伪造其IP地址。。所有这些些特性都使使发展防御御TFN2K攻击的的策略和技技术都非常常困难或效效率低下。。71主控端通过过TCP、、UDP、、ICMP或随机性性使用其中中之一的数数据包向代代理端主机机发发送命令令。对目标标的攻击方方法包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)数数据包flood等等。◆主控端端与代理端端之间数据据包的头信信息也是随随机的，除除了ICMP总是使使用ICMP_ECHOREPLY类类型数据包包。◆◆与其上上一代版本本TFN不不同，TFN2K的的守护程序序是完全沉沉默的，它它不会对接接收到到的命命令有任何何回应。客客户端重复复发送每一一个命令20次，并并且认为守守护程序序应应该至少能能接收到其其中一个。。72◆这些命命令数据包包可能混杂杂了许多发发送到随机机IP地址址的伪造数数据包。◆◆TFN2K命令不是是基于字符符串的，而而采用了"++"格格式，其中中是代代表某某个特定命命令的数值值，则是该该命令的参参数。◆◆所有有命令都经经过了CAST-256算法法（RFC2612）加密密。加密关关键字在程程序编译译时时定义，并并作为TFN2K客客户端程序序的口令。。

◆所所有加密密数据在发发送前都被被编码（Base64）成成可打印的的ASCII字符。。TFN2K守守护程程序接收数数据包并解解密数据。。73◆守护进进程为每一一个攻击产产生子进程程。◆◆TFN2K守护护进程试图图通过修改改argv[0]内内容（或在在某些平台台中修改进进程名）以以掩饰自己己。伪造的的进程名在在编译时指指定，因此此每次安装装时都有可可能不同。。这这个功能能使TFN2K伪装装成代理端端主机的普普通正常进进程。因此此，只是简简单地检查查进程列表表未必能找找到TFN2K守护护进程（及及其子进程程）。◆◆来自自每一个客客户端或守守护进程的的所有数据据包都可能能被伪造。。74TFN2K仍然有弱弱点。可能能是疏忽的的原因，加加密后的Base64编码码在每一个个TFN2K数据包包的尾部留留下了痕迹迹（与协议议和加密算算法无关））。可能是是程序作者者为了使每每一个数据据包的长度度变化而填填充了1到到16个零零(0x00)，经经过Base64编码后就就成为多个个连续的0x41('A')。添加到到数据包尾尾部的0x41的数数量是可变变的，但至至少会有一一个。这些些位于数据据包尾部的的0x41('A')就成了了捕获TFN2K命命令数据包包的特征了了75forkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*command.exe**

cmd.exe**tfn-daemon***

tfn-child***76目前前仍仍没没有有能能有有效效防防御御TFN2K拒拒绝绝服服务务攻攻击击的的方方法法。。最最有有效效的的策策略略是是防防止止网网络络资资源源被被用用作作客客户户端端或或代代理理端端。。预防防◆◆只只使使用用应应用用代代理理型型防防火火墙墙。。这这能能够够有有效效地地阻阻止止所所有有的的TFN2K通通讯讯。。但但只只使使用用应应用用代代理理服服务务器器通通常常是是不不切切合合实实际际的的，，因因此此只只能能尽尽可可能能使使用用最最少少的的非非代代理理服服务务。。◆◆禁禁止止不不必必要要的的ICMP、、TCP和和UDP通通讯讯。。特特别别是是对对于于ICMP数数据据，，可可只只允允许许ICMP类类型型3（（destinationunreachable目目标标不不可可到到达达））数数据据包包通通过过。。◆◆如如果果不不能能禁禁止止ICMP协协议议，，那那就就禁禁止止主主动动提提供供或或所所有有的的ICMP_ECHOREPLY包包。。77◆禁止不在在允许端口列列表中的所有有UDP和TCP包。◆◆配置置防火墙过滤滤所有可能的的伪造数据包包。

◆对对系统进行行补丁和安全全配置，以防防止攻击者入入侵并安装TFN2K。。

监测测◆◆扫描客户户端/守护程程序的名字。。

◆根根据前面列出出的特征字符符串扫描所有有可执行文件件。

◆扫扫描系统内内存中的进程程列表。78◆检查ICMP_ECHOREPLY数据包包的尾部是否否含有连续的的0x41。。另外，检查查数据侧面面内容容是否都是ASCII可可打印字符（（2B，2F-39，0x41-0x5A，0x61-0x7A）。。

◆监监视含有相同同数据内容的的连续数据包包（有可能混混合了TCP、UDP和和ICMP包包）。

响应应一一旦旦在系统中发发现了TFN2K，必须须立即通知安安全公司或专专家以追踪入入侵进行。因因为TFN2K的守护进进程不会对接接收到的命令令作任何回复复，TFN2K客户端一一般会继续向向代理端主机机发送命令数数据包。另外外，入侵者发发现攻击失效效时往往会试试图连接到代代理端主机上上以进行检查查。这些网络络通讯都可被被追踪。79IP欺骗的原原理⑴什么是IP电子欺骗攻攻击？

所谓谓IP欺骗，，无非就是伪伪造他人的源源IP地址。。其实质就是是让一台机器器来扮演另一一台机器，籍籍以达到蒙混混过关的目的的。⑵谁容易上当当？

IP欺欺骗技术之所所以独一无二二，就在于只只能实现对某某些特定的运运行FreeTCP/IP协议的的计算机进行行攻击。一一般来说，如如下的服务易易受到IP欺欺骗攻击：■■任何使用用SunRPC调用的的配置

■任任何利用IP地址认证的的网络服务■■MIT的的XWindow系统统

■R服务务80IP欺骗的原原理假设B上的客客户运行rlogin与与A上的rlogind通信：1.B发发送带有SYN标志的数数据段通知A需要建立TCP连接。。并将TCP报头中的sequencenumber设设置成自己本本次连接的初初始值ISN。

2.A回传给B一个带有SYS+ACK标志的数数据段，告之之自己的ISN，并确认认B发送来的的第一个数据据段，将acknowledgenumber设置成B的ISN+1。3.B确认认收到的A的的数据段，将将acknowledgenumber设置置成A的ISN+1。81B----SYN---->AB<----SYN+ACK----A

B----ACK---->A82IP欺骗攻击击的描述1.假设Z企图攻击A，而A信任任B，所谓信信任指/etc/hosts.equiv和$HOME/.rhosts中有相相关设置。注注意，如何才才能知道A信信任B呢？没没有什么确切切的办法。我我的建议就是是平时注意搜搜集蛛丝马迹迹，厚积薄发发。一次成功功的攻击其实实主要不是因因为技术上的的高明，而是是因为信息搜搜集的广泛翔翔实。动用了了自以为很有有成就感的技技术，却不比比人家酒桌上上的巧妙提问问，攻击只以以成功为终极极目标，不在在乎手段。2.假假设Z已经知知道了被信任任的B，应该该想办法使B的网络功能能暂时瘫痪，，以免对攻击击造成干扰。。著名的SYNflood常常是是一次IP欺欺骗攻击的前前奏。请看一一个并发服务务器的框架：：83IP欺骗攻击击的描述intinitsockid,newsockid;

if((initsockid=socket(...))<0){error("can'tcreatesocket");

}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){

error("listenerror");

}84IP欺骗攻击击的描述for(;;){newsockid=accept(initsockid,...);/*阻塞*/

if(newsockid<0){error("accepterror");}

if(fork()==0){/*子子进程*/

close(initsockid);

do(newsockid);/*处处理客户方方请求*/

exit(0);

}close(newsockid);}85IP欺骗攻击击的描述3.Z必须须确定A当前前的ISN。。首先连向25端口(SMTP是没没有安全校验验机制的)，，与1中类似似，不过这次次需要记录A的ISN，，以及Z到A的大致的RTT(roundtriptime)。。这个步骤要要重复多次以以便求出RTT的平均值值。现在Z知知道了A的ISN基值和和增加规律(比如每秒增增加128000，每每次连接增加加64000)，也知道道了从Z到A需要RTT/2的时时间。必须立立即进入攻击击，否则在这这之间有其他他主机与A连连接，ISN将比预料料的多出64000。86IP欺骗攻击击的描述4.Z向A发送带有SYN标志的的数据段请求求连接，只是是信源IP改改成了B，注注意是针对TCP513端口(rlogin)。A向B回回送SYN+ACK数据据段，B已经经无法响应(凭什么？按按照作者在2中所说，估估计还达不到到这个效果，，因为Z必然然要模仿B发发起connect调用用，connect调用用会完成全相相关，自动指指定本地socket地地址和端口，，可事实上B很可能并没没有这样一个个端口等待接接收数据。87IP欺骗攻击击的描述除非Z模仿B发起连接请请求时打破常常规，主动在在客户端调用用bind函函数，明确完完成全相关，，这样必然知知道A会向B的某个端口口回送，在2中也针对这这个端口攻击击B。可是如如果这样，完完全不用攻击击B，bind的时候指指定一个B上上根本不存在在的端口即可可。我也是想想了又想，还还没来得及看看看老外的源源代码，不妥妥之处有待商商榷。总之，，觉得作者好好象在蒙我们们，他自己也也没有实践成成功过吧。)，B的TCP层只是简简单地丢弃A的回送数据据段。88IP欺骗攻击击的描述5.Z暂停停一小会儿，，让A有足够够时间发送SYN+ACK，因为Z看不到这个个包。然后Z再次伪装成成B向A发送送ACK，此此时发送的数数据段带有Z预测的A的的ISN+1。如果预测测准确，连接接建立，数据据传送开始。。问题在于即即使连接建立立，A仍然会会向B发送数数据，而不是是Z，Z仍仍然无法看到到A发往B的的数据段，Z必须蒙着头头按照rlogin协议议标准假冒B向A发送类类似"cat++>>~/.rhosts"这这样的命令令，于是攻击击完成。如果果预测不准确确，A将发送送一个带有RST标志的的数据段异常常终止连接，，Z只有从头头再来。89IP欺骗攻击击的描述Z(B)----SYN---->A

B<----SYN+ACK----AZ(B)----ACK---->AZ(B)----PSH---->A

......6.IP欺骗攻击利利用了RPC服务器仅仅仅依赖于信源源IP地址进进行安全校验验的特性，建建议阅读rlogind的源代码。。攻击最困难难的地方在于于预测A的ISN。作者者认为攻击难难度虽然大，，但成功的可可能性也很大大，不是很理理解，似乎有有点矛盾。90IP欺骗攻击击的描述考虑这种情况况，入侵者控控制了一台由由A到B之间间的路由器，，假设Z就是是这台路由器器，那么A回回送到B的数数据段，现在在Z是可以看看到的，显然然攻击难度骤骤然下降了许许多。否则Z必须精确地地预见可能从从A发往B的的信息，以及及A期待来自自B的什么应应答信息，这这要求攻击者者对协议本身身相当熟悉。。同时需要明明白，这种攻攻击根本不可可能在交互状状态下完成，，必须写程序序完成。当然然在准备阶段段可以用netxray之类的工具具进行协议分分析。91IP欺欺骗攻攻击的的描述述7.如如果果Z不不是路路由器器，能能否考考虑组组合使使用ICMP重重定向向以及及ARP欺欺骗等等技术术？没没有仔仔细分分析过过，只只是随随便猜猜测而而已。。并且且与A、B、Z之间间具体体的网网络拓拓扑有有密切切关系系，在在某些些情况况下显显然大大幅度度降低低了攻攻击难难度。。注意意IP欺骗骗攻击击理论论上是是从广广域网网上发发起的的，不不局限限于局局域网网，这这也正正是这这种攻攻击的的魅力力所在在。利利用IP欺欺骗攻攻击得得到一一个A上的的shell，，对于于许多多高级级入侵侵者，，得到到目标标主机机的shell，离离root权限限就不不远了了，最最容易易想到到的当当然是是接下下来进进行bufferoverflow攻击击。92IP欺欺骗攻攻击的的描述述8.也也许许有人人要问问，为为什么么Z不不能直直接把把自己己的IP设设置成成B的的？这这个问问题很很不好好回答答，要要具体体分