【正文】 線路的遠(yuǎn)近。 2. IP header包括： IP源地址： 4 bytes, eg. IP的目的地址 ：同上 IP協(xié)議類型 ：說明 IP Body中是 TCP分組或是 UDP分組， ICMP等 IP選擇字段 ：?？?，用于 IP源路由 或 IP安全選項(xiàng)的標(biāo)識 50 IP 分組字段 版本 IHL 服務(wù)類型 總長度 標(biāo)識 O 分段偏差 有效期 協(xié)議 報頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù) O M F F 32 BIT 過濾字段 2022年 3月 IP: 處于 Inter中間層次。 IP 分段： Firewall只處理首段，而讓所有非首段通過。 本體內(nèi)是實(shí)際要傳送的數(shù)據(jù)。DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。 59 DDOS原理 ? DDoS（分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。 攻擊者 ：攻擊者所用的計算機(jī)是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機(jī)，甚至可以是一個活動的便攜機(jī)。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。 以上的連接過程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。 第二種方法是設(shè)置 SYN Cookie，就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP的重復(fù) SYN報文，就認(rèn)定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。并且 TFN2K可配置的代理端進(jìn)程端口。 67 DDoS的監(jiān)測 ? 現(xiàn)在網(wǎng)上采用 DDoS方式進(jìn)行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。建立邊界安全界限，確保輸出的包受到正確限制。 ? 69 DDoS攻擊的防御策略 當(dāng)你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，你應(yīng)當(dāng)啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。 守護(hù)程序 —— 在代理端主機(jī)運(yùn)行的進(jìn)程，接收和響應(yīng)來自客戶端的命令。 71 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過主控端利用大量代理端主機(jī)的資源進(jìn)行對一個或多個目標(biāo)進(jìn)行協(xié)同攻擊。代理端據(jù)此對目標(biāo)進(jìn)行拒絕服務(wù)攻擊。而且主控端還能偽造其 IP地址。 ? ◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機(jī)的，除了 ICMP總是使用 ICMP_ECHOREPLY類型數(shù)據(jù)包。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個特定命令的數(shù)值，則是該命令的參數(shù)。 TFN2K 守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。 這個功能使 TFN2K偽裝成代理端主機(jī)的普通正常進(jìn)程?？赡苁鞘韬龅脑颍用芎蟮?Base 64編碼在每一個 TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關(guān)）。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會有一個。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。 ◆ 禁止不必要的 ICMP、 TCP和 UDP通訊。 ◆ 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。 ◆ 掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。 響 應(yīng) 一旦在系統(tǒng)中發(fā)現(xiàn)了 TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M(jìn)行。 80 IP欺騙的原理 ? ⑴ 什么是 IP電子欺騙攻擊？ 所謂 IP欺騙，無非就是偽造他人的源 IP地址。并將 TCP報頭中的 sequence number設(shè)置成自己本次連接的初始值 ISN。注意，如何才能知道 A信任 B呢？沒有什么確切的辦法。 2. 假設(shè) Z已經(jīng)知道了被信任的 B，應(yīng)該想辦法使 B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。t create socket)。) { newsockid = accept(initsockid, ...)。 /* 處理客戶方請求 */ exit(0)。這個步驟要重復(fù)多次以便求出 RTT的平均值。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無法響應(yīng) (憑什么？按照作者在 2中所說，估計還達(dá)不到這個效果，因?yàn)?Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會完成全相關(guān)，自動指定本地 socket地址和端口，可事實(shí)上 B很可能并沒有這樣一個端口等待接收數(shù)據(jù)?？傊X得作者好象在蒙我們，他自己也沒有實(shí)踐成功過吧。如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。攻擊最困難的地方在于預(yù)測A的 ISN。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。注意 IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在?；叵胛仪懊尜N過的 ARP欺騙攻擊，如果 B的 ARP Cache沒有受到影響，就不會出現(xiàn) ARP沖突。攻擊中連帶 B一起攻擊了，其目的無非是防止 B干擾了攻擊過程， 如果 B本身已經(jīng) down掉，那是再好不過 94 IP欺騙攻擊的描述 ? 9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，對之進(jìn)行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的。嘗試過，也很困難。詳細(xì)情況可閱讀以下所述的資料： l 97 未雨綢繆 ? 雖然 IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。不過路由器只防得了外部入侵，內(nèi)部入侵呢？ TCP的 ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與 ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。當(dāng) DNS服務(wù)器被入侵者接手后就有可能出現(xiàn) DNS欺騙。 100 進(jìn)程的內(nèi)存組織形式 ? 為了理解什么是堆棧緩沖區(qū) , 我們必須首先理解一個進(jìn)程是以什么組織形式在 內(nèi)存中存在的 . 進(jìn)程被分成三個區(qū)域 : 文本 , 數(shù)據(jù)和堆棧 . 我們把精力集中在堆棧 區(qū)域 , 但首先按照順序簡單介紹一下其他區(qū)域 . 文本區(qū)域是由程序確定的 , 包括代碼 (指令 )和只讀數(shù)據(jù) . 該區(qū)域相當(dāng)于可執(zhí)行 文件的文本段 . 這個區(qū)域通常被標(biāo)記為只讀 , 任何對其寫入的操作都會導(dǎo)致段錯誤 (segmentation violation). 數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù) . 靜態(tài)變量儲存在這個區(qū)域中 . 數(shù) 據(jù)區(qū)域?qū)?yīng)可執(zhí)行文件中的 databss段 . 它的大小可以用系統(tǒng)調(diào)用 brk(2)來改變 . 如果 bss數(shù)據(jù)的擴(kuò)展或用戶堆棧把可用內(nèi)存消耗光了 , 進(jìn)程就會被阻塞住 , 等待有了 一塊更大的內(nèi)存空間之后再運(yùn)行 . 新內(nèi)存加入到數(shù)據(jù)和堆棧段的中間 . 101 什么是堆棧 ? 堆棧是一個在計算機(jī)科學(xué)中經(jīng)常使用的抽象數(shù)據(jù)類型 . 堆棧中的物體具有一個特性 : 最后一個放入堆棧中的物體總是被最先拿出來 , 這個特性通常稱為后進(jìn)先處 (LIFO)隊(duì)列 . 堆棧中定義了一些操作 . 兩個最重要的是 PUSH和 POP. PUSH操作在堆棧的頂部加入一 個元素 . POP操作相反 , 在堆棧頂部移去一個元素 , 并將堆棧的大小減一 . 102 為什么使用堆棧 ? 現(xiàn)代計算機(jī)被設(shè)計成能夠理解人們頭腦中的高級語言 . 在使用高級語言構(gòu)造程序時 最重要的技術(shù)是過程 (procedure)和函數(shù) (function). 從這一點(diǎn)來看 , 一個過程調(diào)用可 以象跳轉(zhuǎn) (jump)命令那樣改變程序的控制流程 , 但是與跳轉(zhuǎn)不同的是 , 當(dāng)工作完成時 , 函數(shù)把控制權(quán)返回給調(diào)用之后的語句或指令 . 這種高級抽象實(shí)現(xiàn)起來要靠堆棧的幫助 . 堆棧也用于給函數(shù)中使用的局部變量動態(tài)分配空間 , 同樣給函數(shù)傳遞參數(shù)和函數(shù)返 回值也要用到堆棧 . 103 堆棧區(qū)域 ? 堆棧是一塊保存數(shù)據(jù)的連續(xù)內(nèi)存 . 一個名為堆棧指針 (SP)的寄存器指向堆棧的頂部 . 堆棧的底部在一個固定的地址 . 堆棧的大小在運(yùn)行時由內(nèi)核動態(tài)地調(diào)整 . CPU實(shí)現(xiàn)指令 PUSH和POP, 向堆棧中添加元素和從中移去元素 . 堆棧由邏輯堆棧幀組成 . 當(dāng)調(diào)用函數(shù)時邏輯堆棧幀被壓入棧中 , 當(dāng)函數(shù)返回時邏輯 堆棧幀被從棧中彈出 . 堆棧幀包括函數(shù)的參數(shù) , 函數(shù)地局部變量 , 以及恢復(fù)前一個堆棧 幀所需要的數(shù)據(jù) , 其中包括在函數(shù)調(diào)用時指令指針 (IP)的值 . 堆棧既可以向下增長 (向內(nèi)存低地址 )也可以向上增長 , 這依賴于具體的實(shí)現(xiàn) . 104 堆棧區(qū)域 ? 在我 們的例子中 , 堆棧是向下增長的 . 這是很多計算機(jī)的實(shí)現(xiàn)方式 , 包括 Intel, Motorola, SPARC和 MIPS處理器 . 堆棧指針 (SP)也是依賴于具體實(shí)現(xiàn)的 . 它可以指向堆棧的最后地址 , 或者指向堆棧之后的下一個空閑可用地址 . 在我們的討論當(dāng)中 , SP指向堆棧的最后地址 . 除了堆棧指針 (SP指向堆棧頂部的的低地址 )之外 , 為了使用方便還有指向幀內(nèi)固定 地址的指針叫做幀指針 (FP). 105 堆棧區(qū)域 ? 有些文章把它叫做局部基指針 (LBlocal base pointer). 從理論上來說 , 局部變量可以用 SP加偏移量來引用 . 然而 , 當(dāng)有字被壓棧和出棧后 , 這 些偏移量就變了 . 盡管在某些情況下編譯器能夠跟蹤棧中的字操作 , 由此可以修正偏移 量 , 但是在某些情況下不能 . 而且在所有情況下 , 要引入可觀的管理開銷 . 而且在有些 機(jī)器上 , 比如 Intel處理器 , 由 SP加偏移量訪問一個變量需要多條指令才能實(shí)現(xiàn) . 106 堆棧區(qū)域 ? 因此 , 許多編譯器使用第二個寄存器 , FP, 對于局部變量和函數(shù)參數(shù)都可以引用 , 因?yàn)樗鼈兊紽P的距離不會受到 PUSH和 POP操作的影響 . 在 Intel CPU中 , BP(EBP)用于這 個目的 . 在Motorola CPU中 , 除了 A7(堆棧指針 SP)之外的任何地址寄存器都可以做 FP. 考慮到我們堆棧的增長方向 , 從 FP的位置開始計算 , 函數(shù)參數(shù)的偏移量是正值 , 而局部 變量的偏移量是負(fù)值 . 當(dāng)一個例程被調(diào)用時所必須做的第一件事是保存前一個 FP(這樣當(dāng)例程退出時就可以 恢復(fù) ). 系統(tǒng)應(yīng)用技巧 108 注冊表常見問題 ? 1 注冊表破壞后的現(xiàn)象 在通常情況下，注冊表被破壞后，系統(tǒng)會有如下現(xiàn)象發(fā)生： ●系統(tǒng)無法啟動。 找不到相應(yīng)的文件。 不能進(jìn)行網(wǎng)絡(luò)連接。同時，當(dāng)今的軟件的數(shù)目是如此的繁多，誰也不能確定當(dāng)多個軟件安裝在一個系統(tǒng)里以后，是否能正常運(yùn)行，彼此間是否毫無沖突。 (3) 使用了錯誤的驅(qū)動程序 某些驅(qū)動程序是 16位，在安裝到 32位的 Windows 95/98操作系統(tǒng)后，可能出現(xiàn)不兼容的情況。下面列出了幾種原因會導(dǎo)致計算機(jī)系統(tǒng)出現(xiàn)問題： (1) 病毒 現(xiàn)在一些病毒（如 CIH病毒等）可以更改系統(tǒng)的BIOS程序，使 BIOS程序受到破壞。 (3) CPU燒毀 在 CPU超頻情況下，可能會燒毀 CPU。 有時，用戶會將另一臺計算機(jī)上的注冊表覆蓋到本地計算機(jī)上的注冊表文件，但是由于一個注冊表在一臺計算機(jī)上使用正常，并不等于它會在其他計算機(jī)上也使用正常，這樣做極易破壞整個系統(tǒng)。 121 分析問題及恢復(fù) ? 如 果 是 第 三 種 原 因， 則 應(yīng) 做 下 面 的 工 作： ? 在 MSDOS. SYS 文 件 中 加 上 ［ Paths ］ 部 分， 或 對 ［ Paths ］ 部 分 進(jìn) 行 修 改。 ? 如 果 是 故 障 的 第 三 種 原 因， 則 可 以 參 考 上 面 的 內(nèi) 容 用 任 一 種 編 輯 器 對 引 導(dǎo) 盤 根 目 錄 ( 通 常 為 C:\) 下 的