【正文】 情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源 數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會(huì)消耗非常多的 CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的 IP進(jìn)行 SYN+ACK的重試。 65 DDoS攻擊使用的常用工具 ? DDoS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。它對 IP地址不做假，采用的通訊端口是： ? 攻擊者主機(jī)到主控端主機(jī)： 27665/TCP 主控端主機(jī)到代理端主機(jī)： 27444/UDP 代理端主機(jī)到主服務(wù)器主機(jī)： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風(fēng)暴、 Ping風(fēng)暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。 ? 檢測 DDoS攻擊的主要方法有以下幾種： ? 根據(jù)異常情況分析 ? 當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時(shí)，你可一定要提高警惕，檢測此時(shí)的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時(shí)，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時(shí)都要留神。 68 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。對一些特權(quán)帳號(hào)（例如管理員帳號(hào)）的密碼設(shè)置要謹(jǐn)慎。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 當(dāng)你是潛在的 DDoS攻擊受害者，你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時(shí)，你不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個(gè)很大的威脅。 主控端 —— 運(yùn)行客戶端程序的主機(jī)。當(dāng)前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows NT等平臺(tái)的主機(jī)能被用于此類攻擊，而且這個(gè)工具非常容易被移植到其它系統(tǒng)平臺(tái)上。由一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。 ◆ 與其上一代版本 TFN不同， TFN2K的守護(hù)程序是完全沉默的，它不會(huì)對接收 到的命令有任何回應(yīng)。 ◆ 所有命令都經(jīng)過了 CAST256算法（ RFC 2612）加密。 74 ? ◆ 守護(hù)進(jìn)程為每一個(gè)攻擊產(chǎn)生子進(jìn)程。因此，只是簡單地檢 查進(jìn)程列表未必能找到 TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）?？赡苁浅绦蜃髡邽榱耸姑恳粋€(gè)數(shù)據(jù)包的長度變化而填充了 1到 16個(gè)零 (0x00)，經(jīng)過 Base 64編碼后就成為多個(gè)連續(xù)的 0x41(39。這些位于數(shù)據(jù)包尾部的 0x41(39。 預(yù) 防 ◆ 只使用應(yīng)用代理型防火墻。特別是對于 ICMP數(shù)據(jù)，可只允許 ICMP類 型 3（ destination unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過。 ◆ 對系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。 79 ? ◆ 檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。因?yàn)?TFN2K的守護(hù)進(jìn)程不會(huì)對接收到的命令作任何回復(fù)， TFN2K客戶端一般會(huì)繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，籍以達(dá)到蒙混過關(guān)的目的。 2. A回傳給 B一個(gè)帶有 SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的 ISN，并確認(rèn) B發(fā)送來的第一個(gè)數(shù)據(jù)段，將 acknowledge number設(shè)置成 B的 ISN+1。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。 } if (bind(initsockid, ...) 0) { error(bind error)。 /* 阻塞 */ if (newsockid 0) { error(accept error)。 } close(newsockid)?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時(shí)間。 88 IP欺騙攻擊的描述 ? 除非 Z模仿 B發(fā)起連接請求時(shí)打破常規(guī)，主動(dòng)在客戶端調(diào)用 bind函數(shù)，明確完成全相關(guān)，這樣必然知道 A會(huì)向 B的某個(gè)端口回送，在 2中也針對這個(gè)端口攻擊 B。 )， B的 TCP層只是簡單地丟棄 A的回送數(shù)據(jù)段。問題在于即使連接建立，A仍然會(huì)向 B發(fā)送數(shù)據(jù)，而不是 Z， Z 仍然無法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒 B向 A發(fā)送類似 cat + + ~/.rhosts 這樣的命令，于是攻擊完成。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。當(dāng)然在準(zhǔn)備階段可以用 xray之類的工具進(jìn)行協(xié)議分析。利用 IP欺騙攻擊得到一個(gè) A上的 shell，對于許多高級(jí)入侵者，得到目標(biāo)主機(jī)的 shell，離 root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來進(jìn)行buffer overflow攻擊。如果 Z向 A發(fā)送數(shù)據(jù)段時(shí)，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會(huì)發(fā)送 ARP請求包，但這個(gè) ARP請求包中源 IP以及源 MAC都是 Z的，自然不會(huì)引起 ARP沖突。和 IP欺騙等沒有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。如果 Z是 A與 B之間的路由器，就不用說了； 或者 Z動(dòng)用了別的技術(shù)可以監(jiān)聽到 A與 B之間的通信，也容易些； 否則預(yù)測太難。設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部 IP的報(bào)文。建議要找到規(guī)律，不要盲目預(yù)測，這需要時(shí)間和耐心。此類攻擊雖然罕見，人們也不能因此高枕無憂。 109 注冊表常見問題 110 注冊表常見問題 111 注冊表常見問題 無法運(yùn)行合法的應(yīng)用程序。 驅(qū)動(dòng)程序不能正確被安裝。 114 破壞注冊表的途徑 破壞注冊表的途徑 破壞注冊表的主要途徑可以歸結(jié)為如下三大類： 由于用戶經(jīng)常地在 Windows 95/98上添加或者刪除各種應(yīng)用程序和驅(qū)動(dòng)程序，因此，基于以下幾種情況，注冊表有被破壞的可能性： (1)應(yīng)用程序的錯(cuò)誤 在實(shí)際使用過程中，很少有完全沒有錯(cuò)誤的應(yīng)用程序。 115 破壞注冊表的途徑 (2)驅(qū)動(dòng)程序的不兼容性 雖然驅(qū)動(dòng)程序一般都經(jīng)過了比較周密的測試，但是由于 PC的體系結(jié)構(gòu)是一個(gè)開放性的體系結(jié)構(gòu)，誰也不能確認(rèn)每個(gè)驅(qū)動(dòng)程序會(huì)和哪些其他程序協(xié)同工作。 116 破壞注冊表的途徑 (5) 應(yīng)用程序添加了錯(cuò)誤的數(shù)據(jù)文件和應(yīng)用程序之間的關(guān)聯(lián)。某些 CMOS病毒能夠清除 CMOS存儲(chǔ)器所保存的硬件數(shù)據(jù)。 (4) 硬盤錯(cuò)誤 由于硬盤質(zhì)量不穩(wěn)定，導(dǎo)致系統(tǒng)受到破壞。 ? 如 果 是 第 一、 二 種 原 因， 可 用 下 面 的 方 法 進(jìn) 行 恢 復(fù)： ? 1. 進(jìn) 入 WIN95 目 錄， 看 看 及 文 件 是 否 存 在： ? attrib/ attrib ? 2. 如 果 、 兩 文 件 存 在， 則 做 第 4 步； 否 則 跳 到 第 5 步。 ? WinBootDir= 啟 動(dòng) 所 需 要 文 件 的 位 置 122 分析問題及恢復(fù) ? 缺 省 值 為 安 裝 時(shí) 指 定 的 目 錄 ( 如C:\WINDOWS)， 其 作 用 是 列 出 啟 動(dòng) 所 需 要 文 件 的 位 置。 Windows 95/98的RegEdi。 ? 如 果 是 故 障 的 第 三 種 原 因， 則 可 以 參 考 上 面 的 內(nèi) 容 用 任 一 種 編 輯 器 對 引 導(dǎo) 盤 根 目 錄 ( 通 常 為 C:\) 下 的 隱 含 文 件 進(jìn) 行 編 輯， 一 般 都 能 解 決 問 題。 121 分析問題及恢復(fù) ? 如 果 是 第 三 種 原 因， 則 應(yīng) 做 下 面 的 工 作： ? 在 MSDOS. SYS 文 件 中 加 上 ［ Paths ］ 部 分， 或 對 ［ Paths ］ 部 分 進(jìn) 行 修 改。 有時(shí)，用戶會(huì)將另一臺(tái)計(jì)算機(jī)上的注冊表覆蓋到本地計(jì)算機(jī)上的注冊表文件，但是由于一個(gè)注冊表在一臺(tái)計(jì)算機(jī)上使用正常，并不等于它會(huì)在其他計(jì)算機(jī)上也使用正常，這樣做極易破壞整個(gè)系統(tǒng)。 (3) CPU燒毀 在 CPU超頻情況下，可能會(huì)燒毀 CPU。下面列出了幾種原因會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)出現(xiàn)問題： (1) 病毒 現(xiàn)在一些病毒（如 CIH病毒等）可以更改系統(tǒng)的BIOS程序，使 BIOS程序受到破壞。 (3) 使用了錯(cuò)誤的驅(qū)動(dòng)程序 某些驅(qū)動(dòng)程序是 16位，在安裝到 32位的 Windows 95/98操作系統(tǒng)后，可能出現(xiàn)不兼容的情況。同時(shí)，當(dāng)今的軟件的數(shù)目是如此的繁多，誰也不能確定當(dāng)多個(gè)軟件安裝在一個(gè)系統(tǒng)里以后，是否能正常運(yùn)行，彼此間是否毫無沖突。 不能進(jìn)行網(wǎng)絡(luò)連接。 找不到相應(yīng)的文件。 100 進(jìn)程的內(nèi)存組織形式 ? 為了理解什么是堆棧緩沖區(qū) , 我們必須首先理解一個(gè)進(jìn)程是以什么組織形式在 內(nèi)存中存在的 . 進(jìn)程被分成三個(gè)區(qū)域 : 文本 , 數(shù)據(jù)和堆棧 . 我們把精力集中在堆棧 區(qū)域 , 但首先按照順序簡單介紹一下其他區(qū)域 . 文本區(qū)域是由程序確定的 , 包括代碼 (指令 )和只讀數(shù)據(jù) . 該區(qū)域相當(dāng)于可執(zhí)行 文件的文本段 . 這個(gè)區(qū)域通常被標(biāo)記為只讀 , 任何對其寫入的操作都會(huì)導(dǎo)致段錯(cuò)誤 (segmentation violation). 數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù) . 靜態(tài)變量儲(chǔ)存在這個(gè)區(qū)域中 . 數(shù) 據(jù)區(qū)域?qū)?yīng)可執(zhí)行文件中的 databss段 . 它的大小可以用系統(tǒng)調(diào)用 brk(2)來改變 . 如果 bss數(shù)據(jù)的擴(kuò)展或用戶堆棧把可用內(nèi)存消耗光了 , 進(jìn)程就會(huì)被阻塞住 , 等待有了 一塊更大的內(nèi)存空間之后再運(yùn)行 . 新內(nèi)存加入到數(shù)據(jù)和堆棧段的中間 . 101 什么是堆棧 ? 堆棧是一個(gè)在計(jì)算機(jī)科學(xué)中經(jīng)常使用的抽象數(shù)據(jù)類型 . 堆棧中的物體具有一個(gè)特性 : 最后一個(gè)放入堆棧中的物體總是被最先拿出來 , 這個(gè)特性通常稱為后進(jìn)先處 (LIFO)隊(duì)列 . 堆棧中定義了一些操作 . 兩個(gè)最重要的是 PUSH和 POP. PUSH操作在堆棧的頂部加入一 個(gè)元素 . POP操作相反 , 在堆棧頂部移去一個(gè)元素 , 并將堆棧的大小減一 . 102 為什么使用堆棧 ? 現(xiàn)代計(jì)算機(jī)被設(shè)計(jì)成能夠理解人們頭腦中的高級(jí)語言 . 在使用高級(jí)語言構(gòu)造程序時(shí) 最重要的技術(shù)是過程 (procedure)和函數(shù) (function). 從這一點(diǎn)來看 , 一個(gè)過程調(diào)用可 以象跳轉(zhuǎn) (jump)命令那樣改變程序的控制流程 , 但是與跳轉(zhuǎn)不同的是 , 當(dāng)工作完成時(shí) , 函數(shù)把控制權(quán)返回給調(diào)用之后的語句或指令 . 這種高級(jí)抽象實(shí)現(xiàn)起來要靠堆棧的幫助 . 堆棧也用于給函數(shù)中使用的局部變量動(dòng)態(tài)分配空間 , 同樣給函數(shù)傳遞參數(shù)和函數(shù)返 回值也要用到堆棧 . 103 堆棧區(qū)域 ? 堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存 . 一個(gè)名為堆棧指針 (SP)的寄存器指向堆棧的頂部 . 堆棧的底部在一個(gè)固定的地址 . 堆棧的大小在運(yùn)行時(shí)由內(nèi)核動(dòng)態(tài)地調(diào)整 . CPU實(shí)現(xiàn)指令 PUSH和 POP, 向堆棧中添加元素和從中移去元素 . 堆棧由邏輯堆棧幀組成 . 當(dāng)調(diào)用函數(shù)時(shí)邏輯堆棧幀被壓入棧中 , 當(dāng)函數(shù)返回時(shí)邏輯 堆棧幀被從棧中彈出 . 堆棧幀包括函數(shù)的參數(shù) , 函數(shù)地局部變量 , 以及恢復(fù)前一個(gè)堆棧 幀所需要的數(shù)據(jù) , 其中包括在函數(shù)調(diào)用時(shí)指令指針 (IP)的值 . 堆棧既可以向下增長 (向內(nèi)存低地址 )也可以向上增長 , 這依賴于具體的實(shí)現(xiàn) . 104 堆棧區(qū)域 ? 在我 們的例子中 , 堆棧是向下增長的 . 這是很多計(jì)算機(jī)的實(shí)現(xiàn)方式 , 包括 Intel, Motorola, SPARC和 MIPS處理器 . 堆棧指針 (SP)也是依賴于具體實(shí)現(xiàn)的 . 它可以指向堆棧的最后地址 , 或者指向堆棧之后的下一個(gè)空閑可用地址 . 在我們的討論當(dāng)中 , SP指向堆棧的最后地址 . 除了堆棧指針(SP指向堆棧頂部的的低地址 )之外 , 為了使用方便還有指向幀內(nèi)固定 地址的指針叫做幀指針(FP). 105 堆棧區(qū)域 ? 有些文章把它叫做局部基指針 (LBlocal base pointer). 從理論上來說 , 局部變量可以用 SP加偏