【正文】 情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源 數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU時間和內(nèi)存，何況還要不斷對這個列表中的 IP進行 SYN+ACK的重試。 65 DDoS攻擊使用的常用工具 ? DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。它對 IP地址不做假，采用的通訊端口是： ? 攻擊者主機到主控端主機： 27665/TCP 主控端主機到代理端主機： 27444/UDP 代理端主機到主服務器主機： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風暴、 Ping風暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。 ? 檢測 DDoS攻擊的主要方法有以下幾種： ? 根據(jù)異常情況分析 ? 當網(wǎng)絡的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當網(wǎng)站的某一特定服務總是失敗時，你也要多加注意；當發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要留神。 68 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。對一些特權(quán)帳號（例如管理員帳號）的密碼設置要謹慎。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 當你是潛在的 DDoS攻擊受害者，你發(fā)現(xiàn)你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個很大的威脅。 主控端 —— 運行客戶端程序的主機。當前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows NT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。 ◆ 與其上一代版本 TFN不同， TFN2K的守護程序是完全沉默的，它不會對接收 到的命令有任何回應。 ◆ 所有命令都經(jīng)過了 CAST256算法（ RFC 2612）加密。 74 ? ◆ 守護進程為每一個攻擊產(chǎn)生子進程。因此，只是簡單地檢 查進程列表未必能找到 TFN2K守護進程（及其子進程）?？赡苁浅绦蜃髡邽榱耸姑恳粋€數(shù)據(jù)包的長度變化而填充了 1到 16個零 (0x00)，經(jīng)過 Base 64編碼后就成為多個連續(xù)的 0x41(39。這些位于數(shù)據(jù)包尾部的 0x41(39。 預 防 ◆ 只使用應用代理型防火墻。特別是對于 ICMP數(shù)據(jù)，可只允許 ICMP類 型 3（ destination unreachable目標不可到達）數(shù)據(jù)包通過。 ◆ 對系統(tǒng)進行補丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。 79 ? ◆ 檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。因為 TFN2K的守護進程不會對接收到的命令作任何回復， TFN2K客戶端一般會繼續(xù)向代理端主機發(fā)送命令數(shù)據(jù)包。其實質(zhì)就是讓一臺機器來扮演另一臺機器，籍以達到蒙混過關的目的。 2. A回傳給 B一個帶有 SYS+ACK標志的數(shù)據(jù)段，告之自己的 ISN，并確認 B發(fā)送來的第一個數(shù)據(jù)段，將 acknowledge number設置成 B的 ISN+1。我的建議就是平時注意搜集蛛絲馬跡，厚積薄發(fā)。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。 } if (bind(initsockid, ...) 0) { error(bind error)。 /* 阻塞 */ if (newsockid 0) { error(accept error)。 } close(newsockid)?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時間。 88 IP欺騙攻擊的描述 ? 除非 Z模仿 B發(fā)起連接請求時打破常規(guī)，主動在客戶端調(diào)用 bind函數(shù)，明確完成全相關，這樣必然知道 A會向 B的某個端口回送，在 2中也針對這個端口攻擊 B。 )， B的 TCP層只是簡單地丟棄 A的回送數(shù)據(jù)段。問題在于即使連接建立，A仍然會向 B發(fā)送數(shù)據(jù)，而不是 Z， Z 仍然無法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標準假冒 B向 A發(fā)送類似 cat + + ~/.rhosts 這樣的命令，于是攻擊完成。作者認為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點矛盾。當然在準備階段可以用 xray之類的工具進行協(xié)議分析。利用 IP欺騙攻擊得到一個 A上的 shell，對于許多高級入侵者，得到目標主機的 shell，離 root權(quán)限就不遠了，最容易想到的當然是接下來進行buffer overflow攻擊。如果 Z向 A發(fā)送數(shù)據(jù)段時，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會發(fā)送 ARP請求包，但這個 ARP請求包中源 IP以及源 MAC都是 Z的，自然不會引起 ARP沖突。和 IP欺騙等沒有直接聯(lián)系，和安全校驗是有關系的。如果 Z是 A與 B之間的路由器，就不用說了； 或者 Z動用了別的技術(shù)可以監(jiān)聽到 A與 B之間的通信，也容易些； 否則預測太難。設置路由器，過濾來自外部而信源地址卻是內(nèi)部 IP的報文。建議要找到規(guī)律，不要盲目預測，這需要時間和耐心。此類攻擊雖然罕見，人們也不能因此高枕無憂。 109 注冊表常見問題 110 注冊表常見問題 111 注冊表常見問題 無法運行合法的應用程序。 驅(qū)動程序不能正確被安裝。 114 破壞注冊表的途徑 破壞注冊表的途徑 破壞注冊表的主要途徑可以歸結(jié)為如下三大類： 由于用戶經(jīng)常地在 Windows 95/98上添加或者刪除各種應用程序和驅(qū)動程序，因此，基于以下幾種情況，注冊表有被破壞的可能性： (1)應用程序的錯誤 在實際使用過程中，很少有完全沒有錯誤的應用程序。 115 破壞注冊表的途徑 (2)驅(qū)動程序的不兼容性 雖然驅(qū)動程序一般都經(jīng)過了比較周密的測試，但是由于 PC的體系結(jié)構(gòu)是一個開放性的體系結(jié)構(gòu)，誰也不能確認每個驅(qū)動程序會和哪些其他程序協(xié)同工作。 116 破壞注冊表的途徑 (5) 應用程序添加了錯誤的數(shù)據(jù)文件和應用程序之間的關聯(lián)。某些 CMOS病毒能夠清除 CMOS存儲器所保存的硬件數(shù)據(jù)。 (4) 硬盤錯誤 由于硬盤質(zhì)量不穩(wěn)定，導致系統(tǒng)受到破壞。 ? 如 果 是 第 一、 二 種 原 因， 可 用 下 面 的 方 法 進 行 恢 復： ? 1. 進 入 WIN95 目 錄， 看 看 及 文 件 是 否 存 在： ? attrib/ attrib ? 2. 如 果 、 兩 文 件 存 在， 則 做 第 4 步； 否 則 跳 到 第 5 步。 ? WinBootDir= 啟 動 所 需 要 文 件 的 位 置 122 分析問題及恢復 ? 缺 省 值 為 安 裝 時 指 定 的 目 錄 ( 如C:\WINDOWS)， 其 作 用 是 列 出 啟 動 所 需 要 文 件 的 位 置。 Windows 95/98的RegEdi。 ? 如 果 是 故 障 的 第 三 種 原 因， 則 可 以 參 考 上 面 的 內(nèi) 容 用 任 一 種 編 輯 器 對 引 導 盤 根 目 錄 ( 通 常 為 C:\) 下 的 隱 含 文 件 進 行 編 輯， 一 般 都 能 解 決 問 題。 121 分析問題及恢復 ? 如 果 是 第 三 種 原 因， 則 應 做 下 面 的 工 作： ? 在 MSDOS. SYS 文 件 中 加 上 ［ Paths ］ 部 分， 或 對 ［ Paths ］ 部 分 進 行 修 改。 有時，用戶會將另一臺計算機上的注冊表覆蓋到本地計算機上的注冊表文件，但是由于一個注冊表在一臺計算機上使用正常，并不等于它會在其他計算機上也使用正常，這樣做極易破壞整個系統(tǒng)。 (3) CPU燒毀 在 CPU超頻情況下，可能會燒毀 CPU。下面列出了幾種原因會導致計算機系統(tǒng)出現(xiàn)問題： (1) 病毒 現(xiàn)在一些病毒（如 CIH病毒等）可以更改系統(tǒng)的BIOS程序，使 BIOS程序受到破壞。 (3) 使用了錯誤的驅(qū)動程序 某些驅(qū)動程序是 16位，在安裝到 32位的 Windows 95/98操作系統(tǒng)后，可能出現(xiàn)不兼容的情況。同時，當今的軟件的數(shù)目是如此的繁多，誰也不能確定當多個軟件安裝在一個系統(tǒng)里以后，是否能正常運行，彼此間是否毫無沖突。 不能進行網(wǎng)絡連接。 找不到相應的文件。 100 進程的內(nèi)存組織形式 ? 為了理解什么是堆棧緩沖區(qū) , 我們必須首先理解一個進程是以什么組織形式在 內(nèi)存中存在的 . 進程被分成三個區(qū)域 : 文本 , 數(shù)據(jù)和堆棧 . 我們把精力集中在堆棧 區(qū)域 , 但首先按照順序簡單介紹一下其他區(qū)域 . 文本區(qū)域是由程序確定的 , 包括代碼 (指令 )和只讀數(shù)據(jù) . 該區(qū)域相當于可執(zhí)行 文件的文本段 . 這個區(qū)域通常被標記為只讀 , 任何對其寫入的操作都會導致段錯誤 (segmentation violation). 數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù) . 靜態(tài)變量儲存在這個區(qū)域中 . 數(shù) 據(jù)區(qū)域?qū)蓤?zhí)行文件中的 databss段 . 它的大小可以用系統(tǒng)調(diào)用 brk(2)來改變 . 如果 bss數(shù)據(jù)的擴展或用戶堆棧把可用內(nèi)存消耗光了 , 進程就會被阻塞住 , 等待有了 一塊更大的內(nèi)存空間之后再運行 . 新內(nèi)存加入到數(shù)據(jù)和堆棧段的中間 . 101 什么是堆棧 ? 堆棧是一個在計算機科學中經(jīng)常使用的抽象數(shù)據(jù)類型 . 堆棧中的物體具有一個特性 : 最后一個放入堆棧中的物體總是被最先拿出來 , 這個特性通常稱為后進先處 (LIFO)隊列 . 堆棧中定義了一些操作 . 兩個最重要的是 PUSH和 POP. PUSH操作在堆棧的頂部加入一 個元素 . POP操作相反 , 在堆棧頂部移去一個元素 , 并將堆棧的大小減一 . 102 為什么使用堆棧 ? 現(xiàn)代計算機被設計成能夠理解人們頭腦中的高級語言 . 在使用高級語言構(gòu)造程序時 最重要的技術(shù)是過程 (procedure)和函數(shù) (function). 從這一點來看 , 一個過程調(diào)用可 以象跳轉(zhuǎn) (jump)命令那樣改變程序的控制流程 , 但是與跳轉(zhuǎn)不同的是 , 當工作完成時 , 函數(shù)把控制權(quán)返回給調(diào)用之后的語句或指令 . 這種高級抽象實現(xiàn)起來要靠堆棧的幫助 . 堆棧也用于給函數(shù)中使用的局部變量動態(tài)分配空間 , 同樣給函數(shù)傳遞參數(shù)和函數(shù)返 回值也要用到堆棧 . 103 堆棧區(qū)域 ? 堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存 . 一個名為堆棧指針 (SP)的寄存器指向堆棧的頂部 . 堆棧的底部在一個固定的地址 . 堆棧的大小在運行時由內(nèi)核動態(tài)地調(diào)整 . CPU實現(xiàn)指令 PUSH和 POP, 向堆棧中添加元素和從中移去元素 . 堆棧由邏輯堆棧幀組成 . 當調(diào)用函數(shù)時邏輯堆棧幀被壓入棧中 , 當函數(shù)返回時邏輯 堆棧幀被從棧中彈出 . 堆棧幀包括函數(shù)的參數(shù) , 函數(shù)地局部變量 , 以及恢復前一個堆棧 幀所需要的數(shù)據(jù) , 其中包括在函數(shù)調(diào)用時指令指針 (IP)的值 . 堆棧既可以向下增長 (向內(nèi)存低地址 )也可以向上增長 , 這依賴于具體的實現(xiàn) . 104 堆棧區(qū)域 ? 在我 們的例子中 , 堆棧是向下增長的 . 這是很多計算機的實現(xiàn)方式 , 包括 Intel, Motorola, SPARC和 MIPS處理器 . 堆棧指針 (SP)也是依賴于具體實現(xiàn)的 . 它可以指向堆棧的最后地址 , 或者指向堆棧之后的下一個空閑可用地址 . 在我們的討論當中 , SP指向堆棧的最后地址 . 除了堆棧指針(SP指向堆棧頂部的的低地址 )之外 , 為了使用方便還有指向幀內(nèi)固定 地址的指針叫做幀指針(FP). 105 堆棧區(qū)域 ? 有些文章把它叫做局部基指針 (LBlocal base pointer). 從理論上來說 , 局部變量可以用 SP加偏