网络安全概述

网络安全概述

1*第一页，共一百三十三页。网络安全概述网络安全的概念网络安全的内容网络安全面临的问题网络安全的客观必要性常见的网络信息攻击模式网络安全保障体系网络安全工作的目的2BNCC第二页，共一百三十三页。什么是网络安全（五要素）可用性：授权实体有权访问数据机密性：信息不暴露给未授权实体或进程完整性：保证数据不被未授权修改可控性：控制授权范围内的信息流向及操作方式可审查性：对出现的安全问题提供依据与手段3BNCC第三页，共一百三十三页。网络安全的内容物理安全网络安全传输安全应用安全用户安全4BNCC第四页，共一百三十三页。网络安全面临的问题來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外国政府竞争对手黑客不满的雇员5BNCC第五页，共一百三十三页。网络安全威胁的来源

1.外部渗入（penetration） 未被授权使用计算机的人；

2.内部渗入者 被授权使用计算机，但不能访问某些数据、程序或资源，它包括： -冒名顶替:使用别人的用户名和口令进行操作；-隐蔽用户:逃避审计和访问控制的用户；

3.滥用职权者:被授权使用计算机和访问系统资源，但滥用职权者。6BNCC第六页，共一百三十三页。冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁的几种类型7BNCC第七页，共一百三十三页。网络安全面临严峻挑战

网上犯罪形势不容乐观

有害信息污染严重网络病毒的蔓延和破坏

网上黑客无孔不入

机要信息流失与信息间谍潜入

网络安全产品的自控权

信息战的阴影不可忽视

互联网正以巨大的力度和广度

冲击和改造着社会、经济、生活的传统模式互联网正在成为社会公众强烈依赖的社会重要基础设施互联网安全正在成为普遍关注的焦点8BNCC第八页，共一百三十三页。网上犯罪形势不容乐观计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多2000年2月7日攻击美国知名网站案件：

损失$12亿，影响百万网民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet网上勒索、诈骗不断：

用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年9BNCC第九页，共一百三十三页。有害信息污染严重黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功160多个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方、帮助自杀政治攻击：考克斯报告、政治演变论10BNCC第十页，共一百三十三页。网络病毒的蔓延和破坏

10年内以几何级数增长病毒达55000种（2000.12亚洲计算机反病毒大会）网络病毒有更大的破坏性1988年莫里斯事件（UNIX/Email）6000台、$9000万1998年4月的CIH病毒2000万台计算机1999年2月的梅利莎案件（Window/Email）$12亿2000年5月4日的我爱你病毒$87亿2001年7、8月红色代码（CodeRed）到目前为止$26亿11BNCC第十一页，共一百三十三页。网上黑客无孔不入美国网络屡遭扫荡

军事、政治、经济美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史全球网络危机四伏

非法侵入、破坏系统、窃取机密中国网络不断被侵入五一中美黑客大战800多网站被黑黑客是一些发自好奇、寻求刺激、富有挑战的家伙是一群以攻击网络，搜寻并破坏信息为了的无赖；是一帮为了扬名，专与政府作对的极端分子；是一些恐怖主义分子或政治、军事、商业和科技间谍。12BNCC第十二页，共一百三十三页。机要信息流失与信息间谍潜入国家机密信息、企业关键信息、个人隐私Web发布、电子邮件、文件传送的泄漏预谋性窃取政治和经济情报CIA统计入侵美国要害系统的案件年增长率为30%我国信息网络发展必然成为其重要目标13BNCC第十三页，共一百三十三页。网络安全产品的自控权安全产品

隐通道、嵌入病毒、缺陷、可恢复密钥大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一14BNCC第十四页，共一百三十三页。信息战的阴影不可忽视

有组织、大规模的网络攻击预谋行为：

国家级、集团级

无硝烟的战争：

跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性

美国的“信息战执行委员会”：

网络防护中心（1999年）信息作战中心（2000年）网络攻击演练（2000年）

要害目标：

金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心15BNCC第十五页，共一百三十三页。网络的脆弱性网络的扩展与业务负荷膨胀：

信息量半年长一倍，网民年增涨30%

网络带宽瓶颈和信息拥挤

社会与经济对网络的巨大经济依赖性：

20%股市、25%产品、30%金融、40%人口

灾难情况下的网络脆弱性

“AOL”96年10小时瘫痪：

影响700万用户安全的模糊性网络的开放性技术的公开性人类的天性16BNCC第十六页，共一百三十三页。安全的模糊性安全是相对的，不易明确安全的目标安全是复杂的，不易认清存在的问题安全是广泛的，不易普及安全的知识安全链条：链条的强度等于其最弱一环的强度（木桶原理：网络安全最薄弱之处好比木桶壁上最短的木块，也是黑客对网络攻击的首选之处。）17BNCC第十七页，共一百三十三页。网络的开放性互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会18BNCC第十八页，共一百三十三页。技术的公开性如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。19BNCC第十九页，共一百三十三页。人类的天性好奇心 这扇门为什么锁上，我能打开吗？惰性和依赖心理

安全问题应由专家来关心恐惧心理 家丑不可外扬20BNCC第二十页，共一百三十三页。网络攻击形式

按网络服务分：

E-Mail、FTP、Telnet、R服务、IIS按技术途径分：

口令攻击、Dos攻击、种植木马按攻击目的分：

数据窃取、伪造滥用资源、篡改数据21BNCC第二十一页，共一百三十三页。主要攻击与威胁

——十大攻击手段

1.Dos：使目标系统或网络无法提供正常服务

网络Flooding:synflooding、pingflooding、DDos

系统Crash:Pingofdeath、泪滴、land、WinNuke

应用Crash/Overload：利用应用程序缺陷，如长邮件

2.扫描探测：系统弱点探察SATAN、ISS、CybercopScanner、ping（嗅探加密口令,口令文件)

22BNCC第二十二页，共一百三十三页。3.口令攻击:弱口令

口令窃取：嗅探器、偷窥、社会工程（垃圾、便条、伪装查询） 口令猜测：常用字—无法获得加密的口令-强力攻击 口令Crack：字典猜测、字典攻击—可获得加密的口令（嗅探加密口令,口令文件)4.获取权限，提升权限（root/administrator）猜/crackroot口令、缓冲区溢出、利用NT注册表、访问和利用高权限控制台、利用启动文件、利用系统或应用Bugs

5.插入恶意代码:

病毒、特洛伊木马（BO)、后门、恶意Applet23BNCC第二十三页，共一百三十三页。6.网络破坏：

主页篡改、文件删除、毁坏OS、格式化磁盘7.数据窃取：

敏感数据拷贝、监听敏感数据传输---共享媒介/服务器监听/远程监听RMON

8.伪造、浪费与滥用资源：

违规使用

9.篡改审计数据:

删除、修改、权限改变、使审计进程失效

10.安全基础攻击：

防火墙、路由、帐户修改，文件权限修改。24BNCC第二十四页，共一百三十三页。我国网络安全现状硬件设备上严重依赖国外网络安全管理存在漏洞网络安全问题还没有引起人们的广泛重视安全技术有待研究美国和西方国家对我过进行破坏、渗透和污染启动了一些网络安全研究项目建立一批国家网络安全基础设施

25BNCC第二十五页，共一百三十三页。Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目标机）美2.7黑客案件的攻击方式分布式拒决服务（DDoS）26BNCC第二十六页，共一百三十三页。美国2.7黑客事件的启示

互联网正在成为国家重要基础设施

9800万网民3000万人参予网上购物，$1000亿元交易额14%的股市交易互联网威胁给社会带来巨大冲击

CNN的100万网民阅读网络新闻受阻Amason的820万注册用户无法购书3天总损失高达$12亿互联网安全问题正在进入国家战略层

克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动27BNCC第二十七页，共一百三十三页。值得深思的几个问题网络安全的全局性战略黑客工具的公开化对策网络安全的预警体系应急反应队伍的建设28BNCC第二十八页，共一百三十三页。

传统安全观念受到挑战网络是变化的、风险是动态的传统安全观侧重策略的技术实现现代安全观强调安全的整体性，安全被看成一个与环境相互作用的动态循环过程29BNCC第二十九页，共一百三十三页。网络安全策略网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种：

1直接风险控制策略（静态防御）

安全=风险分析+安全规则+直接的技术防御体系+安全监控攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。

2自适应网络安全策略（动态性）

安全=风险分析+执行策略+系统实施+漏洞分析+实时响应该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。

30BNCC第三十页，共一百三十三页。网络安全策略（续）

3智能网络系统安全策略（动态免疫力）

安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。 模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。31BNCC第三十一页，共一百三十三页。网络网络安全防护体系

（PDRR）

随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域，并且受到政府、军队和全社会的高度重视。随着我国政府、金融等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。可以说信息网络的安全与国家安全密切相关。32BNCC第三十二页，共一百三十三页。网络网络安全防护体系

（PDRR）

最近安全专家提出了信息保障体系的新概念，即：为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。美国在信息保障方面的一些举措,如：成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求一种信息系统防御和保护的新概念，这应该引起我们的高度重视。33BNCC第三十三页，共一百三十三页。网络网络安全防护体系

（PDRR）

保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构成了一个完整的体系，使网络安全建筑在一个更加坚实的基础之上。34BNCC第三十四页，共一百三十三页。网络网络安全防护体系

（PDRR）保护(PROTECT) 传统安全概念的继承，包括信息加密技术、访问控制技术等等。检测(DETECT) 从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。35BNCC第三十五页，共一百三十三页。网络网络安全防护体系

（PDRR）响应(RESPONSE)在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复(RECOVER)评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等。36BNCC第三十六页，共一百三十三页。网络安全保障体系安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全访问控制数据机密性数据完整性用户认证防抵赖安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全37BNCC第三十七页，共一百三十三页。网络安全工作的目的38BNCC第三十八页，共一百三十三页。黑客攻击与防范39*第三十九页，共一百三十三页。以太帧与MAC地址一、以太资料帧的结构图前同步码报头资料区资料帧检查序列（FCS）8个字节（不包括）通常14个字节46-1，500字节

固定4字节40BNCC第四十页，共一百三十三页。以太帧构成元素解释及作用前同步码Send“Iamready,Iwillsendmessage”报头必须有：发送者MAC地址目的MAC地址共12个字节OR长度字段中的字节总数信息（差错控制）OR类型字段（说明以太帧的类型）资料区资料源IP目的地IP实际资料和协议信息如果资料超过1，500分解多个资料帧，使用序列号如果不够46个字节，数据区末尾加1FCS保证接受到的资料就是发送出的资料。41BNCC第四十一页，共一百三十三页。MAC地址的前三个字节制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF广播地址42BNCC第四十二页，共一百三十三页。地址解析协议

地址解析协议

索引物理位址IP地址类型物理口（接口）设备的物理地址与物理位址对应的IP地址这一行对应入口类型入口1

入口2

入口N

注：数值2表示这个入口是非法的，数值3表示这种映像是动态的，数值4表示是静态的（如口不改变），数值1表示不是上述任何一种。

入口：ARP高速缓存。43BNCC第四十三页，共一百三十三页。TIP/IPIP（InternetProtocol）网际协议，把要传输的一个文件分成一个个的群组，这些群组被称之为IP数据包，每个IP数据包都含有源地址和目的地址，知道从哪台机器正确地传送到另一台机器上去。IP协议具有分组交换的功能，不会因为一台机器传输而独占通信线路。

TCP（TransportcontrolProtocal）传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器，IP数据包的顺序可能序乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏，在规定的时间内如果目的地机器收不到这些IP数据包，TCP协议会让源机器重新发送这些IP数据包，直到到达目的地机器。TCP协议确认收到的IP数据包。超时机制是自动的，不依赖于通讯线路的远近。

IP和TCP两种协议协同工作，要传输的文件就可以准确无误地被传送和接收44BNCC第四十四页，共一百三十三页。TIP/IPTCP/IP协议族与OSI七层模型的对应关系，如下图所示45BNCC第四十五页，共一百三十三页。数据包是什么样的？TCP/IP/Ethernet举例对分组过滤而言：涉及四层1. Ethernet layer2. IP layer3. TCP layer4. data layer第四十六页，共一百三十三页。分组与数据封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每层，分组由两部分构成：首标（头）和本体（数据）首标包含与本层有关的协议信息，本体包括本层的所有数据每层分组要包括来自上层的所有信息，同时加上本层的首标，即封包应用层包括的就是要传送出去的数据第四十七页，共一百三十三页。Ethernetlayer1.分组＝EthernetHeader＋EthernetBody2.Header说明：3.EthernetBody包含的是IP分组该分组的类型，如AppleTalk数据包、Novell数据包、DECNET数据包等。输送该分组的机器的Ethernet地址（源址）接收该分组的机器的Ethernet地址（宿址）第四十八页，共一百三十三页。IPlayer1.IP分组＝IPheader+IPBody3.IP可将分组细分为更小的部分段(fragments)，以便网络传输。4.IPBody包含的是TCP分组。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP协议类型：说明IPBody中是TCP分组或是UDP分组，ICMP等IP选择字段：常空，用于IP源路由或IP安全选项的标识第四十九页，共一百三十三页。IP分组字段版本 IHL服务类型 总长度 标识 O分段偏差有效期 协议 报头校验和 源地址 宿地址 选项 填充 数据OMFF32BIT过滤字段50BNCC第五十页，共一百三十三页。IP:1、处于Internet中间层次。2、其下有很多不同的层：如Ethernet，tokenring，FDDI，PPP等。3、其上有很多协议：TCP，UDP，ICMP。4、与分组过滤有关的特性是：5、分段示意图：IP选项：用于Firewall中，对付IP源路由。IP分段：Firewall只处理首段，而让所有非首段通过。丢掉了首段，目的地就不能重组。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATA第五十一页，共一百三十三页。TCPLayer1、TCP分组：TCP报头＋TCP本体2、报头中与过滤有关部分：

TCP源端口：2byte数，说明处理分组的源机器。

TCP宿端口：同上

TCP旗标字段（flag），含有1bit的ACKbit。3、本体内是实际要传送的数据。第五十二页，共一百三十三页。TCPLayer源端口宿端口序号确认号HLEN保留码位窗口校验和紧急指针选项填充字节数据WordsBits048121620242831头标第五十三页，共一百三十三页。端口扫描攻击54BNCC第五十四页，共一百三十三页。Sniffer攻击55BNCC第五十五页，共一百三十三页。DOS原理DoS的英文全称是DenialofService，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的原理如图所示。56BNCC第五十六页，共一百三十三页。DOS原理57BNCC第五十七页，共一百三十三页。DOS原理从图我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。58BNCC第五十八页，共一百三十三页。DDOS原理DDoS（分布式拒绝服务），它的英文全称为DistributedDenialofService，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。DDoS的攻击原理如图所示。59BNCC第五十九页，共一百三十三页。DDOS原理60BNCC第六十页，共一百三十三页。DDOS原理从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。61BNCC第六十一页，共一百三十三页。

SYNFlood的基本原理

大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）。62BNCC第六十二页，共一百三十三页。

SYNFlood的基本原理

假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。

63BNCC第六十三页，共一百三十三页。SYNFlood的基本基本解决方法

第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度x

SYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。

64BNCC第六十四页，共一百三十三页。DDoS攻击使用的常用工具

DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。下面我们来分析一下这些常用的黑客程序。1、TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDPFNTFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。65BNCC第六十五页，共一百三十三页。DDoS攻击使用的常用工具

3、TFN2KTFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。

4、StacheldrahtStacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。66BNCC第六十六页，共一百三十三页。

DDoS的监测

现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种：

1、根据异常情况分析当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。

2、使用DDoS检测工具当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。67BNCC第六十七页，共一百三十三页。DDoS攻击的防御策略由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种：1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。

68BNCC第六十八页，共一百三十三页。DDoS攻击的防御策略5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。69BNCC第六十九页，共一百三十三页。分布式拒绝服务（DDoS）攻击工具分析--TFN2K

客户端——用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。

守护程序——在代理端主机运行的进程，接收和响应来自客户端的命令。

主控端——运行客户端程序的主机。

代理端——运行守护程序的主机。

目标主机——分布式攻击的目标（主机或网络）。

70BNCC第七十页，共一百三十三页。分布式拒绝服务（DDoS）攻击工具分析--TFN2K

TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和WindowsNT等平台的主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。

TFN2K由两部分组成：在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协同，保证攻击的连续性。主控央和代理端的网络通讯是经过加密的，还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。

71BNCC第七十一页，共一百三十三页。主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机

发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST

PING(SMURF)数据包flood等。◆主控端与代理端之间数据包的头信息也是随机的，除了ICMP总是使用

ICMP_ECHOREPLY类型数据包。

◆与其上一代版本TFN不同，TFN2K的守护程序是完全沉默的，它不会对接收

到的命令有任何回应。客户端重复发送每一个命令20次，并且认为守护程

序应该至少能接收到其中一个。

72BNCC第七十二页，共一百三十三页。◆这些命令数据包可能混杂了许多发送到随机IP地址的伪造数据包。

◆TFN2K命令不是基于字符串的，而采用了"++"格式，其中是

代表某个特定命令的数值，则是该命令的参数。

◆所有命令都经过了CAST-256算法（RFC2612）加密。加密关键字在程序编

译时定义，并作为TFN2K客户端程序的口令。

◆所有加密数据在发送前都被编码（Base64）成可打印的ASCII字符。TFN2K

守护程序接收数据包并解密数据。

73BNCC第七十三页，共一百三十三页。◆守护进程为每一个攻击产生子进程。

◆TFN2K守护进程试图通过修改argv[0]内容（或在某些平台中修改进程名）

以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。

这个功能使TFN2K伪装成代理端主机的普通正常进程。因此，只是简单地检

查进程列表未必能找到TFN2K守护进程（及其子进程）。

◆来自每一个客户端或守护进程的所有数据包都可能被伪造。

74BNCC第七十四页，共一百三十三页。TFN2K仍然有弱点。可能是疏忽的原因，加密后的Base64编码在每一个TFN2K数据包的尾部留下了痕迹（与协议和加密算法无关）。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0x00)，经过Base64编码后就成为多个连续的0x41('A')。添加到数据包尾部的0x41的数量是可变的，但至少会有一个。这些位于数据包尾部的0x41('A')就成了捕获TFN2K命令数据包的特征了75BNCC第七十五页，共一百三十三页。fork

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*

command.exe**

cmd.exe**

tfn-daemon***

tfn-child***

76BNCC第七十六页，共一百三十三页。目前仍没有能有效防御TFN2K拒绝服务攻击的方法。最有效的策略是防止网络资源被用作客户端或代理端。

预

防

◆只使用应用代理型防火墙。这能够有效地阻止所有的TFN2K通讯。但只使用应

用代理服务器通常是不切合实际的，因此只能尽可能使用最少的非代理服务。

◆禁止不必要的ICMP、TCP和UDP通讯。特别是对于ICMP数据，可只允许ICMP类

型3（destinationunreachable目标不可到达）数据包通过。

◆如果不能禁止ICMP协议，那就禁止主动提供或所有的ICMP_ECHOREPLY包。

77BNCC第七十七页，共一百三十三页。◆禁止不在允许端口列表中的所有UDP和TCP包。

◆配置防火墙过滤所有可能的伪造数据包。

◆对系统进行补丁和安全配置，以防止攻击者入侵并安装TFN2K。

监

测

◆扫描客户端/守护程序的名字。

◆根据前面列出的特征字符串扫描所有可执行文件。

◆扫描系统内存中的进程列表。

78BNCC第七十八页，共一百三十三页。◆检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0x41。另外，检查数据侧

面内容是否都是ASCII可打印字符（2B，2F-39，0x41-0x5A，0x61-0x7A）。

◆监视含有相同数据内容的连续数据包（有可能混合了TCP、UDP和ICMP包）。

响

应

一旦在系统中发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的命令作任何回复，TFN2K客户端一般会继续向代理端主机发送命令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。

79BNCC第七十九页，共一百三十三页。

IP欺骗的原理

⑴什么是IP电子欺骗攻击？

所谓IP欺骗，无非就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。⑵谁容易上当？

IP欺骗技术之所以独一无二，就在于只能实现对某些特定的运行FreeTCP/IP协议的计算机进行攻击。

一般来说，如下的服务易受到IP欺骗攻击：

■任何使用SunRPC调用的配置

■任何利用IP地址认证的网络服务

■MIT的XWindow系统

■R服务80BNCC第八十页，共一百三十三页。

IP欺骗的原理

假设B上的客户运行rlogin与A上的rlogind通信：

1.B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequencenumber设置成自己本次连接的初始值ISN。

2.A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledgenumber设置成B的ISN+1。

3.B确认收到的A的数据段，将acknowledgenumber设置成A的ISN+1。

81BNCC第八十一页，共一百三十三页。B----SYN---->A

B<----SYN+ACK----A

B----ACK---->A

82BNCC第八十二页，共一百三十三页。IP欺骗攻击的描述1.假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。

2.假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时瘫痪，以免对攻击造成干扰。著名的SYNflood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架：

83BNCC第八十三页，共一百三十三页。IP欺骗攻击的描述intinitsockid,newsockid;

if((initsockid=socket(...))<0){

error("can'tcreatesocket");

}

if(bind(initsockid,...)<0){

error("binderror");

}

if(listen(initsockid,5)<0){

error("listenerror");

}

84BNCC第八十四页，共一百三十三页。IP欺骗攻击的描述for(;;){

newsockid=accept(initsockid,...);/*阻塞*/

if(newsockid<0){

error("accepterror");

}

if(fork()==0){/*子进程*/

close(initsockid);

do(newsockid);/*处理客户方请求*/

exit(0);

}

close(newsockid);

}

85BNCC第八十五页，共一百三十三页。IP欺骗攻击的描述3.Z必须确定A当前的ISN。首先连向25端口(SMTP是没有安全校验机制的)，与1中类似，不过这次需要记录A的ISN，以及Z到A的大致的RTT(roundtriptime)。这个步骤要重复多次以便求出RTT的平均值。现在Z知道了A的ISN基值和增加规律(比如每秒增加128000，每次连接增加64000)，也知道了从Z到A需要RTT/2的时间。必须立即进入攻击，否则在这之间有其他主机与A连接，ISN将比预料的多出64000。

86BNCC第八十六页，共一百三十三页。IP欺骗攻击的描述4.Z向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B，注意是针对TCP513端口(rlogin)。A向B回送SYN+ACK数据段，B已经无法响应(凭什么？按照作者在2中所说，估计还达不到这个效果，因为Z必然要模仿B发起connect调用，connect调用会完成全相关，自动指定本地socket地址和端口，可事实上B很可能并没有这样一个端口等待接收数据。87BNCC第八十七页，共一百三十三页。IP欺骗攻击的描述除非Z模仿B发起连接请求时打破常规，主动在客户端调用bind函数，明确完成全相关，这样必然知道A会向B的某个端口回送，在2中也针对这个端口攻击B。可是如果这样，完全不用攻击B，bind的时候指定一个B上根本不存在的端口即可。我也是想了又想，还没来得及看看老外的源代码，不妥之处有待商榷。总之，觉得作者好象在蒙我们，他自己也没有实践成功过吧。)，B的TCP层只是简单地丢弃A的回送数据段。

88BNCC第八十八页，共一百三十三页。IP欺骗攻击的描述5.Z暂停一小会儿，让A有足够时间发送SYN+ACK，因为Z看不到这个包。然后Z再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是Z，Z仍然无法看到A发往B的数据段，Z必须蒙着头按照rlogin协议标准假冒B向A发送类似"cat++>>~/.rhosts"这样的命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，Z只有从头再来。

89BNCC第八十九页，共一百三十三页。IP欺骗攻击的描述Z(B)----SYN---->A

B<----SYN+ACK----A

Z(B)----ACK---->A

Z(B)----PSH---->A

......

6.IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。作者认为攻击难度虽然大，但成功的可能性也很大，不是很理解，似乎有点矛盾。90BNCC第九十页，共一百三十三页。IP欺骗攻击的描述考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么A回送到B的数据段，现在Z是可以看到的，显然攻击难度骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

91BNCC第九十一页，共一百三十三页。IP欺骗攻击的描述7.如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、

Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主机的shell，离root权限就不远了，最容易想到的当然是接下来进行bufferoverflow攻击。

92BNCC第九十二页，共一百三十三页。IP欺骗攻击的描述8.也许有人要问，为什么Z不能直接把自己的IP设置成B的？这个问题很不好回答，要具体分析网络拓扑，当然也存在ARP冲突、出不了网关等问题。那么在IP欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击，如果B的ARPCache没有受到影响，就不会出现ARP冲突。如果Z向A发送数据段时，企图解析A的MAC地址或者路由器的MAC地址，必然会发送ARP请求包，但这个ARP请求包中源IP以及源MAC都是Z的，自然不会引起ARP冲突。而ARPCache只会被ARP包改变，不受IP包的影响，所以可以肯定地说，IP欺骗攻击过程中不存在ARP冲突。相反，如果Z修改了自己的IP，这种ARP冲突就有可能出现，示具体情况而言。攻击中连带B一起攻击了，其目的无非是防止B干扰了攻击过程，如果B本身已经down掉，那是再好不过

93BNCC第九十三页，共一百三十三页。IP欺骗攻击的描述9.fakeip曾经沸沸扬扬了一下，对之进行端口扫描，发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系，和安全校验是有关系的。

94BNCC第九十四页，共一百三十三页。IP欺骗攻击的描述10.关于预测ISN，我想到另一个问题。就是如何以第三方身份切断A与B之间的TCP连接，实际上也是预测sequencenumber的问题。尝试过，也很困难。如果Z是A与B之间的路由器，就不用说了；或者Z动用了别的技术可以监听到A与B之间的通信，也容易些；否则预测太难。作者在3中提到连接A的25端口，可我想不明白的是513端口的ISN和25端口有什么关系？看来需要看看TCP/IP内部实现的源代码。95BNCC第九十五页，共一百三十三页。96BNCC第九十六页，共一百三十三页。未雨绸缪

虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的，比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC机制无法运做，还可以杀掉portmapper等等。设置路由器，过滤来自外部而信源地址却是内部IP的报文。cisio公司的产品就有这种功能。不过路由器只防得了外部入侵，内部入侵呢？

TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规可循，可以修改与ISN相关的代码，选择好的算法，使得攻击者难以找到规律。97BNCC第九十七页，共一百三十三页。未雨绸缪估计Linux下容易做到，那solaris、irix、hp-unix还有aix呢？sigh

虽然作者纸上谈兵，但总算让我们了解了一下IP欺骗攻击，我实验过预测sequencenumber，不是ISN，企图切断一个TCP连接，感觉难度很大。建议要找到规律，不要盲目预测，这需要时间和耐心。一个现成的bug足以让你取得root权限.98BNCC第九十八页，共一百三十三页。99BNCC第九十九页，共一百三十三页。进程的内存组织形式为了理解什么是堆栈缓冲区,我们必须首先理解一个进程是以什么组织形式在内存中存在的.进程被分成三个区域:文本,数据和堆栈.我们把精力集中在堆栈区域,但首先按照顺序简单介绍一下其他区域.文本区域是由程序确定的,包括代码(指令)和只读数据.该区域相当于可执行文件的文本段.这个区域通常被标记为只读,任何对其写入的操作都会导致段错误(segmentationviolation).数据区域包含了已初始化和未初始化的数据.静态变量储存在这个区域中.数据区域对应可执行文件中的data-bss段.它的大小可以用系统调用brk(2)来改变.如果bss数据的扩展或用户堆栈把可用内存消耗光了,进程就会被阻塞住,等待有了一块更大的内存空间之后再运行.新内存加入到数据和堆栈段的中间.100BNCC第一百页，共一百三十三页。什么是堆栈堆栈是一个在计算机科学中经常使用的抽象数据类型.堆栈中的物体具有一个特性:最后一个放入堆栈中的物体总是被最先拿出来,这个特性通常称为后进先处(LIFO)队列.堆栈中定义了一些操作.两个最重要的是PUSH和POP.PUSH操作在堆栈的顶部加入一个元素.POP操作相反,在堆栈顶部移去一个元素,并将堆栈的大小减一.101BNCC第一百零一页，共一百三十三页。为什么使用堆栈现代计算机被设计成能够理解人们头脑中的高级语言.在使用高级语言构造程序时最重要的技术是过程(procedure)和函数(function).从这一点来看,一个过程调用可以象跳转(jump)命令那样改变程序的控制流程,但是与跳转不同的是,当工作完成时,函数把控制权返回给调用之后的语句或指令.这种高级抽象实现起来要靠堆栈的帮助.堆栈也用于给函数中使用的局部变量动态分配空间,同样给函数传递参数和函数返回值也要用到堆栈.102BNCC第一百零二页，共一百三十三页。堆栈区域

堆栈是一块保存数据的连续内存.一个名为堆栈指针(SP)的寄存器指向堆栈的顶部.堆栈的底部在一个固定的地址.堆栈的大小在运行时由内核动态地调整.CPU实现指令PUSH和POP,向堆栈中添加元素和从中移去元素.堆栈由逻辑堆栈帧组成.当调用函数时逻辑堆栈帧被压入栈中,当函数返回时逻辑堆栈帧被从栈中弹出.堆栈帧包括函数的参数,函数地局部变量,以及恢复前一个堆栈帧所需要的数据,其中包括在函数调用时指令指针(IP)的值.堆栈既可以向下增长(向内存低地址)也可以向上增长,这依赖于具体的实现.103BNCC第一百零三页，共一百三十三页。堆栈区域在我们的例子中,堆栈是向下增长的.这是很多计算机的实现方式,包括Intel,Motorola,SPARC和MIPS处理器.堆栈指针(SP)也是依赖于具体实现的.它可以指向堆栈的最后地址,或者指向堆栈之后的下一个空闲可用地址.在我们的讨论当中,SP指向堆栈的最后地址.除了堆栈指针(SP指向堆栈顶部的的低地址)之外,为了使用方便还有指向帧内固定地址的指针叫做帧指针(FP).104BNCC第一百零四页，共一百三十三页。堆栈区域有些文章把它叫做局部基指针(LB-localbasepointer).从理论上来说,局部变量可以用SP加偏移量来引用.然而,当有字被压栈和出栈后,这些偏移量就变了.尽管在某些情况下编译器能够跟踪栈中的字操作,由此可以修正偏移量,但是在某些情况下不能.而且在所有情况下,要引入可观的管理开销.而且在有些机器上,比如Intel处理器,由SP加偏移量访问一个变量需要多条指令才能实现.105BNCC第一百零五页，共一百三十三页。堆栈区域因此,许多编译器使用第二个寄存器,FP,对于局部变量和函数参数都可以引用,因为它们到FP的距离不会受到PUSH和POP操作的影响.在IntelCPU中,BP(EBP)用于这个目的.在MotorolaCPU中,除了A7(堆栈指针SP)之外的任何地址寄存器都可以做FP.考虑到我们堆栈的增长方向,从FP的位置开始计算,函数参数的偏移量是正值,而局部变量的偏移量是负值.当一个例程被调用时所必须做的第一件事是保存前一个FP(这样当例程退出时就可以恢复).106BNCC第一百零六页，共一百三十三页。系统应用技巧107*第一百零七页，共一百三十三页。注册表常见问题

1注册表破坏后的现象在通常情况下，注册表被破坏后，系统会有如下现象发生：●系统无法启动。例如，在启动Windows95/98时，将出现如对话框。108BNCC第一百零八页，共一百三十三页。注册表常见问题109BNCC第一百零九页，共一百三十三页。注册表常见问题110BNCC第一百一十页，共一百三十三页。注册表常见问题无法运行合法的应用程序。应用程序无法正常运行。找不到相应的文件。例如，在启动Windows95/98时，可能会出现如下提示信息：111BNCC第一百一十一页，共一百三十三页。注册表常见问题CannotfindadevicefilethatmaybeneededtorunWindowsorawindowsapplication.TheWindowsRegistryorSystem.inifilereferstothisdevicefile,butthedevicefilenolongerexistsIfyoudeletedthisfileonpurpose,tryuninsallingtheassociatedapplicationusingitsuninstallOrSetupprogram.Ifyoustillwanttousetheapplicationassociaredwiththisdevicefile,Tryreinstallingtheapplicationtoreplacethemissingfile.Ndskwan.vxdPressakeytocontinue.112BNCC第一百一十二页，共一百三十三页。注册表常见问题没有访问应用程序的权限。驱动程序不能正确被安装。无法调入驱动程序。不能进行网络连接。注册表条目有误。113BNCC第一百一十三页，共一百三十三页。破坏注册表的途径破坏注册表的途径

破坏注册表的主要途径可以归结为如下三大类：

1.向系统中添加应用程序和驱动程序

由于用户经常地在Windows95/98上添加或者删除各种应用程序和驱动程序，因此，基于以下几种情况，注册表有被破坏的可能性：(1)应用程序的错误

在实际使用过程中，很少有完全没有错误的应用程序。最好的情况就是用户在使用软件过程中没有遇到到错误，而且那些看似微小的错误，可能会导致非常严重的后果。同时，当今的软件的数目是如此的繁多，谁也不能确定当多个软件安装在一个系统里以后，是否能正常运行，彼此间是否毫无冲突。那些做Beta测试的软件，就是因为系统还没有定型，还有相当多的错误，希望被测试用户在使用的过程中发现。114BNCC第一百一十四页，共一百三十三页。破坏注册表的途径(2)驱动程序的不兼容性

虽然驱动程序一般都经过了比较周密的测试，但是由于PC的体系结构是一个开放性的体系结构，谁也不能确认每个驱动程序会和哪些其他程序协同工作。因此，谁也不可能测试所有的可能性，这样就有不兼容的可能性存在。(3)使用了错误的驱动程序

某些驱动程序是16位，在安装到32位的Windows95/98操作系统后，可能出现不兼容的情况。(4)应用程序在注册表中添加了错误的内容

某些应用程序在修改注册表时，增加了不该增加的内容，或者将原来正确的注册表内容修改为不正确的内容。115BNCC第一百一十五页，共一百三十三页。破坏注册表的途径(5)应用程序添加了错误的数据文件和应用程序之间的关联。2.硬件被更换或者被损坏

如果计算机系统本身出现了问题，常常会导致注册表的毁坏。下面列出了几种原因会导致计算机系统出现问题：

(1)病毒

现在一些病毒（如CIH病毒等）可以更改系统的BIOS程序，使BIOS程序受到破坏。还有一些病毒可能会隐藏在Cache中，使系统运行不正常。某些CMOS病毒能够清除CMOS存储器所保存的硬件数据。

116BNCC第一百一十六页，共一百三十三页。破坏注册表的途径(2)断电在非正常断电情况下，可能会烧毁主板或者其他硬件设备。(3)CPU烧毁

在CPU超频情况下，可能会烧毁CPU。另外，在夏天工作时，由于温度过高，对于发热量较大的CPU（如AMD、Cyrix、IBM、WinChip等）极易烧毁。(4)硬盘错误

由于硬盘质量不稳定，导致系统受到破坏。117BNCC第一百一十七页，共一百三十三页。破坏注册表的途径

3.用户手工修改注册表

由于注册表中的数据是非常复杂的（在第5章中，我们花费了大量的篇幅详解了注册表），所以，用户在手工修改注册表的时候，经常导致注册表中的内容的毁坏。

有时，用户会将另一台计算机上的注册表覆盖到本地计算机上的注册表文件，但是由于一个注册表在一台计算机上使用正常，并不等于它会在其他计算机上也使用正常，这样做极易破坏整个系统。118BNCC第一百一十八页，共一百三十三页。分析问题及恢复出现注册表故障的可能原因有三个：WIN95目录中的SYSTEM.DAT文件不存在、崩溃或MSDOS.SYS文件中的［Paths］部分丢失了。----如果是第一、二种原因，可用下面的方法进行恢复：----1.进入WIN95目录，看看SYSTEM.DAT及USER.DAT文件是否存在：attrib/system.datattribuser.dat----2.如果SYSTEM.DAT、USER.DAT两文件存在，则做第3、4步；否则跳到第5步。119BNCC第一百一十九页，共一百三十三页。分析问题及恢复----3.在MS-DOS状态下去除SYSTEM.DAT及USER.DAT文件的只读、系统、隐藏属性：attribsystem.dat-r-h-sattribuser.dat-r-h-s----4.将SYSTEM.DAT、USER.DAT两文件改名为SYSTEM.BAD、USER.BAD：renamesystem.datsystem.badrenameuser.datuser.bad----5.重新启动机器，系统会自动修：在引导时，如果Windows95找不着注册表文件，它用备份的SYSTEM.DA0和USER.DA0做为注册表文件；假如这俩文件运行正常的话，系统就把它们分别改为SYSTEM.DAT和USER.DAT。120BNCC第一百二十页，共一百三十三页。分析问题及恢复----如果是第三种原因，则应做下面的工作：----在MSDOS.SYS文件中加上［Paths］部分，或对［Paths］部分进行修改。有关MSDOS.SYS的内容，----这部分内容包括三项：----HostWinBootDrv=<引导盘的根目录>----缺省值为C，其作用是指明引导盘的根目录。----WinBootDir=<启动所需要文件的位置>121BNCC第一百二十一页，共一百三十三页。分析问题及恢复----缺省值为安装时指定的目录(如C:\WINDOWS)，其作用是列出启动所需要文件的位置。----WinDir=<WIN95目录的位置>----缺省值为安装时指定的目录(如C:\WINDOWS)，其作用是列出安装过程中指定的WIN95目录的位置。----如果是故障的第三种原因，则可以参考上面的内容用任一种编辑器对引导盘根目录(通常为C:\)下的隐含文件