【正文】 (LIFO)隊(duì)列 . 堆棧中定義了一些操作 . 兩個(gè)最重要的是 PUSH和 POP. PUSH操作在堆棧的頂部加入一 個(gè)元素 . POP操作相反 , 在堆棧頂部移去一個(gè)元素 , 并將堆棧的大小減一 . 101 為什么使用堆棧 ? 現(xiàn)代計(jì)算機(jī)被設(shè)計(jì)成能夠理解人們頭腦中的高級(jí)語(yǔ)言 . 在使用高級(jí)語(yǔ)言構(gòu)造程序時(shí) 最重要的技術(shù)是過(guò)程 (procedure)和函數(shù) (function). 從這一點(diǎn)來(lái)看 , 一個(gè)過(guò)程調(diào)用可 以象跳轉(zhuǎn) (jump)命令那樣改變程序的控制流程 , 但是與跳轉(zhuǎn)不同的是 , 當(dāng)工作完成時(shí) , 函數(shù)把控制權(quán)返回給調(diào)用之后的語(yǔ)句或指令 . 這種高級(jí)抽象實(shí)現(xiàn)起來(lái)要靠堆棧的幫助 . 堆棧也用于給函數(shù)中使用的局部變量動(dòng)態(tài)分配空間 , 同樣給函數(shù)傳遞參數(shù)和函數(shù)返 回值也要用到堆棧 . 102 堆棧區(qū)域 ? 堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存 . 一個(gè)名為堆棧指針 (SP)的寄存器指向堆棧的頂部 . 堆棧的底部在一個(gè)固定的地址 . 堆棧的大小在運(yùn)行時(shí)由內(nèi)核動(dòng)態(tài)地調(diào)整 . CPU實(shí)現(xiàn)指令 PUSH和POP, 向堆棧中添加元素和從中移去元素 . 堆棧由邏輯堆棧幀組成 . 當(dāng)調(diào)用函數(shù)時(shí)邏輯堆棧幀被壓入棧中 , 當(dāng)函數(shù)返回時(shí)邏輯 堆棧幀被從棧中彈出 . 堆棧幀包括函數(shù)的參數(shù) , 函數(shù)地局部變量 , 以及恢復(fù)前一個(gè)堆棧 幀所需要的數(shù)據(jù) , 其中包括在函數(shù)調(diào)用時(shí)指令指針 (IP)的值 . 堆棧既可以向下增長(zhǎng) (向內(nèi)存低地址 )也可以向上增長(zhǎng) , 這依賴于具體的實(shí)現(xiàn) . 103 堆棧區(qū)域 ? 在我 們的例子中 , 堆棧是向下增長(zhǎng)的 . 這是很多計(jì)算機(jī)的實(shí)現(xiàn)方式 , 包括 Intel, Motorola, SPARC和 MIPS處理器 . 堆棧指針 (SP)也是依賴于具體實(shí)現(xiàn)的 . 它可以指向堆棧的最后地址 , 或者指向堆棧之后的下一個(gè)空閑可用地址 . 在我們的討論當(dāng)中 , SP指向堆棧的最后地址 . 除了堆棧指針 (SP指向堆棧頂部的的低地址 )之外 , 為了使用方便還有指向幀內(nèi)固定 地址的指針叫做幀指針 (FP). 104 堆棧區(qū)域 ? 有些文章把它叫做局部基指針 (LBlocal base pointer). 從理論上來(lái)說(shuō) , 局部變量可以用 SP加偏移量來(lái)引用 . 然而 , 當(dāng)有字被壓棧和出棧后 , 這 些偏移量就變了 . 盡管在某些情況下編譯器能夠跟蹤棧中的字操作 , 由此可以修正偏移 量 , 但是在某些情況下不能 . 而且在所有情況下 , 要引入可觀的管理開(kāi)銷 . 而且在有些 機(jī)器上 , 比如 Intel處理器 , 由 SP加偏移量訪問(wèn)一個(gè)變量需要多條指令才能實(shí)現(xiàn) . 105 堆棧區(qū)域 ? 因此 , 許多編譯器使用第二個(gè)寄存器 , FP, 對(duì)于局部變量和函數(shù)參數(shù)都可以引用 , 因?yàn)樗鼈兊紽P的距離不會(huì)受到 PUSH和 POP操作的影響 . 在 Intel CPU中 , BP(EBP)用于這 個(gè)目的 . 在Motorola CPU中 , 除了 A7(堆棧指針 SP)之外的任何地址寄存器都可以做 FP. 考慮到我們堆棧的增長(zhǎng)方向 , 從 FP的位置開(kāi)始計(jì)算 , 函數(shù)參數(shù)的偏移量是正值 , 而局部 變量的偏移量是負(fù)值 . 當(dāng)一個(gè)例程被調(diào)用時(shí)所必須做的第一件事是保存前一個(gè) FP(這樣當(dāng)例程退出時(shí)就可以 恢復(fù) ). 106 系統(tǒng)應(yīng)用技巧 107 注冊(cè)表常見(jiàn)問(wèn)題 ? 1 注冊(cè)表破壞后的現(xiàn)象 在通常情況下，注冊(cè)表被破壞后，系統(tǒng)會(huì)有如下現(xiàn)象發(fā)生： ●系統(tǒng)無(wú)法啟動(dòng)。 找不到相應(yīng)的文件。 不能進(jìn)行網(wǎng)絡(luò)連接。同時(shí)，當(dāng)今的軟件的數(shù)目是如此的繁多，誰(shuí)也不能確定當(dāng)多個(gè)軟件安裝在一個(gè)系統(tǒng)里以后，是否能正常運(yùn)行，彼此間是否毫無(wú)沖突。 (3) 使用了錯(cuò)誤的驅(qū)動(dòng)程序 某些驅(qū)動(dòng)程序是 16位，在安裝到 32位的 Windows 95/98操作系統(tǒng)后，可能出現(xiàn)不兼容的情況。下面列出了幾種原因會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)出現(xiàn)問(wèn)題： (1) 病毒 現(xiàn)在一些病毒（如 CIH病毒等）可以更改系統(tǒng)的BIOS程序，使 BIOS程序受到破壞。 (3) CPU燒毀 在 CPU超頻情況下，可能會(huì)燒毀 CPU。 有時(shí)，用戶會(huì)將另一臺(tái)計(jì)算機(jī)上的注冊(cè)表覆蓋到本地計(jì)算機(jī)上的注冊(cè)表文件，但是由于一個(gè)注冊(cè)表在一臺(tái)計(jì)算機(jī)上使用正常，并不等于它會(huì)在其他計(jì)算機(jī)上也使用正常，這樣做極易破壞整個(gè)系統(tǒng)。 120 分析問(wèn)題及恢復(fù) ? 如 果 是 第 三 種 原 因， 則 應(yīng) 做 下 面 的 工 作： ? 在 MSDOS. SYS 文 件 中 加 上 ［ Paths ］ 部 分， 或 對(duì) ［ Paths ］ 部 分 進(jìn) 行 修 改。 ? 如 果 是 故 障 的 第 三 種 原 因， 則 可 以 參 考 上 面 的 內(nèi) 容 用 任 一 種 編 輯 器 對(duì) 引 導(dǎo) 盤 根 目 錄 ( 通 常 為 C:\) 下 的 隱 含 文 件 進(jìn) 行 編 輯， 一 般 都 能 解 決 問(wèn) 題。此屏幕給出了其命令行參數(shù)及其使用方法。 Windows 95/98的RegEdit、 ScanReg是最合適不過(guò)的修復(fù)與維護(hù)工具軟件。 ? WinBootDir= 啟 動(dòng) 所 需 要 文 件 的 位 置 121 分析問(wèn)題及恢復(fù) ? 缺 省 值 為 安 裝 時(shí) 指 定 的 目 錄 ( 如C:\WINDOWS)， 其 作 用 是 列 出 啟 動(dòng) 所 需 要 文 件 的 位 置。 ? 如 果 是 第 一、 二 種 原 因， 可 用 下 面 的 方 法 進(jìn) 行 恢 復(fù)： ? 1. 進(jìn) 入 WIN95 目 錄， 看 看 及 文 件 是 否 存 在： ? attrib/ attrib ? 2. 如 果 、 兩 文 件 存 在， 則 做 第 4 步； 否 則 跳 到 第 5 步。 (4) 硬盤錯(cuò)誤 由于硬盤質(zhì)量不穩(wěn)定，導(dǎo)致系統(tǒng)受到破壞。某些 CMOS病毒能夠清除 CMOS存儲(chǔ)器所保存的硬件數(shù)據(jù)。 115 破壞注冊(cè)表的途徑 (5) 應(yīng)用程序添加了錯(cuò)誤的數(shù)據(jù)文件和應(yīng)用程序之間的關(guān)聯(lián)。 114 破壞注冊(cè)表的途徑 (2)驅(qū)動(dòng)程序的不兼容性 雖然驅(qū)動(dòng)程序一般都經(jīng)過(guò)了比較周密的測(cè)試，但是由于 PC的體系結(jié)構(gòu)是一個(gè)開(kāi)放性的體系結(jié)構(gòu)，誰(shuí)也不能確認(rèn)每個(gè)驅(qū)動(dòng)程序會(huì)和哪些其他程序協(xié)同工作。 113 破壞注冊(cè)表的途徑 破壞注冊(cè)表的途徑 破壞注冊(cè)表的主要途徑可以歸結(jié)為如下三大類： 由于用戶經(jīng)常地在 Windows 95/98上添加或者刪除各種應(yīng)用程序和驅(qū)動(dòng)程序，因此，基于以下幾種情況，注冊(cè)表有被破壞的可能性： (1)應(yīng)用程序的錯(cuò)誤 在實(shí)際使用過(guò)程中，很少有完全沒(méi)有錯(cuò)誤的應(yīng)用程序。 驅(qū)動(dòng)程序不能正確被安裝。 108 注冊(cè)表常見(jiàn)問(wèn)題 109 注冊(cè)表常見(jiàn)問(wèn)題 110 注冊(cè)表常見(jiàn)問(wèn)題 無(wú)法運(yùn)行合法的應(yīng)用程序。此類攻擊雖然罕見(jiàn)，人們也不能因此高枕無(wú)憂。建議要找到規(guī)律，不要盲目預(yù)測(cè)，這需要時(shí)間和耐心。設(shè)置路由器，過(guò)濾來(lái)自外部而信源地址卻是內(nèi)部 IP的報(bào)文。如果 Z是 A與 B之間的路由器，就不用說(shuō)了； 或者 Z動(dòng)用了別的技術(shù)可以監(jiān)聽(tīng)到 A與 B之間的通信，也容易些； 否則預(yù)測(cè)太難。和 IP欺騙等沒(méi)有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。如果 Z向 A發(fā)送數(shù)據(jù)段時(shí)，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會(huì)發(fā)送 ARP請(qǐng)求包，但這個(gè) ARP請(qǐng)求包中源 IP以及源 MAC都是 Z的，自然不會(huì)引起 ARP沖突。利用 IP欺騙攻擊得到一個(gè) A上的 shell，對(duì)于許多高級(jí)入侵者，得到目標(biāo)主機(jī)的 shell，離 root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來(lái)進(jìn)行buffer overflow攻擊。當(dāng)然在準(zhǔn)備階段可以用 xray之類的工具進(jìn)行協(xié)議分析。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。問(wèn)題在于即使連接建立，A仍然會(huì)向 B發(fā)送數(shù)據(jù)，而不是 Z， Z 仍然無(wú)法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒 B向 A發(fā)送類似 cat + + ~/.rhosts 這樣的命令，于是攻擊完成。 )， B的 TCP層只是簡(jiǎn)單地丟棄 A的回送數(shù)據(jù)段。 87 IP欺騙攻擊的描述 ? 除非 Z模仿 B發(fā)起連接請(qǐng)求時(shí)打破常規(guī)，主動(dòng)在客戶端調(diào)用 bind函數(shù)，明確完成全相關(guān)，這樣必然知道 A會(huì)向 B的某個(gè)端口回送，在 2中也針對(duì)這個(gè)端口攻擊 B?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時(shí)間。 } close(newsockid)。 /* 阻塞 */ if (newsockid 0) { error(accept error)。 } if (bind(initsockid, ...) 0) { error(bind error)。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。 2. A回傳給 B一個(gè)帶有 SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的 ISN，并確認(rèn) B發(fā)送來(lái)的第一個(gè)數(shù)據(jù)段，將 acknowledge number設(shè)置成 B的 ISN+1。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，籍以達(dá)到蒙混過(guò)關(guān)的目的。因?yàn)?TFN2K的守護(hù)進(jìn)程不會(huì)對(duì)接收到的命令作任何回復(fù)， TFN2K客戶端一般會(huì)繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。 78 ? ◆ 檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。 ◆ 對(duì)系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。特別是對(duì)于 ICMP數(shù)據(jù)，可只允許 ICMP類 型 3（ destination unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過(guò)。 預(yù) 防 ◆ 只使用應(yīng)用代理型防火墻。這些位于數(shù)據(jù)包尾部的 0x41(39?？赡苁浅绦蜃髡邽榱耸姑恳粋€(gè)數(shù)據(jù)包的長(zhǎng)度變化而填充了 1到 16個(gè)零 (0x00)，經(jīng)過(guò) Base 64編碼后就成為多個(gè)連續(xù)的 0x41(39。因此，只是簡(jiǎn)單地檢 查進(jìn)程列表未必能找到 TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）。 73 ? ◆ 守護(hù)進(jìn)程為每一個(gè)攻擊產(chǎn)生子進(jìn)程。 ◆ 所有命令都經(jīng)過(guò)了 CAST256算法（ RFC 2612）加密。 ◆ 與其上一代版本 TFN不同， TFN2K的守護(hù)程序是完全沉默的，它不會(huì)對(duì)接收 到的命令有任何回應(yīng)。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。由一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過(guò)程中相互協(xié)同，保證攻擊的連續(xù)性。當(dāng)前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows NT等平臺(tái)的主機(jī)能被用于此類攻擊，而且這個(gè)工具非常容易被移植到其它系統(tǒng)平臺(tái)上。 主控端 —— 運(yùn)行客戶端程序的主機(jī)。 當(dāng)你是潛在的 DDoS攻擊受害者，你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時(shí)，你不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒(méi)有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對(duì)你的系統(tǒng)是一個(gè)很大的威脅。經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。對(duì)一些特權(quán)帳號(hào)（例如管理員帳號(hào)）的密碼設(shè)置要謹(jǐn)慎。 67 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒(méi)有發(fā)現(xiàn)對(duì)DDoS攻擊行之有效的解決方法。 ? 檢測(cè) DDoS攻擊的主要方法有以下幾種： ? 根據(jù)異常情況分析 ? 當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長(zhǎng)，超過(guò)平常的極限值時(shí)，你可一定要提高警惕，檢測(cè)此時(shí)的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時(shí)，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過(guò)或數(shù)據(jù)包內(nèi)容可疑時(shí)都要留神。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來(lái)的，因此它具有 TFN的特性。它對(duì) IP地址不做假，采用的通訊端口是： ? 攻擊者主機(jī)到主控端主機(jī)： 27665/TCP 主控端主機(jī)到代理端主機(jī)： 27444/UDP 代理端主機(jī)到主服務(wù)器主機(jī)： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風(fēng)暴、 Ping風(fēng)暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。 64 DDoS攻擊使用的常用工具 ? DDoS攻擊實(shí)施起來(lái)有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。 62 SYN Flood的基本原理