【正文】 開(kāi)展對(duì)信息戰(zhàn)的研究等等，表明美國(guó)正在尋求一種信息系統(tǒng)防御和保護(hù)的，表明美國(guó)正在尋求一種信息系統(tǒng)防御和保護(hù)的新概念，這應(yīng)該引起我們的高度重視。 35BNCC網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ）l 響應(yīng)響應(yīng) ( RESPONSE ) 在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等。 IP數(shù)據(jù)包可能在 傳輸過(guò) 程中 丟 失或 損 壞，在 規(guī) 定的 時(shí)間 內(nèi)如果目的地機(jī)器收不到 這 些 IP數(shù)據(jù)包， TCP協(xié)議 會(huì) 讓 源機(jī)器重新 發(fā) 送 這 些 IP數(shù)據(jù)包，直到到達(dá)目的地機(jī)器。45BNCC數(shù)據(jù)包是什么樣的？TCP/IP/Ether 舉例對(duì)分組過(guò)濾而言：涉及四層1.Header＋ Ether4.F32選項(xiàng)：用于 Firewall中，對(duì)付 IP源路由。它的目的就是拒 絕 你的服 務(wù)訪問(wèn) ，破壞 組織 的正常運(yùn)行，最 終 它會(huì)使你的部分 Inter連 接和網(wǎng) 絡(luò) 系 統(tǒng) 失效。Service，它是一種基于DoS的特殊形式的拒 絕 服 務(wù) 攻 擊 ，是一種分布、 協(xié) 作的大 規(guī) 模攻 擊 方式，主要瞄準(zhǔn)比 較大的站點(diǎn)，象商 業(yè) 公司，搜索引擎和政府部 門(mén)的站點(diǎn)?！?　 代理端 ： 代理端同 樣 也是攻 擊 者侵入并控制的一批主機(jī)，它們 上面運(yùn)行攻 擊 器程序，接受和運(yùn)行主控端 發(fā) 來(lái)的命令。 實(shí)際 上如果服 務(wù) 器的 TCP/IP棧 不 夠 強(qiáng) 大，最后的 結(jié) 果往往是堆 棧 溢出崩 潰 即使服 務(wù) 器端的系 統(tǒng) 足 夠 強(qiáng)大，服 務(wù) 器端也將忙于 處 理攻 擊 者 偽 造的 TCP連 接 請(qǐng) 求而無(wú)暇理睬客 戶 的正常 請(qǐng) 求（ 畢 竟客 戶 端的正常 請(qǐng) 求比率非常之?。?，此 時(shí) 從正?？?戶 的角度看來(lái)，服 務(wù) 器失去響 應(yīng) ， 這 種情況我 們稱(chēng)作：服 務(wù) 器端受到了 SYNSYN但是很不幸的是一些傻瓜式的黑客程序的出 現(xiàn) ， 這 些程序可以在幾秒 鐘 內(nèi)完成入侵和攻 擊 程序的安裝，使 發(fā)動(dòng) DDoS攻 擊變 成一件 輕 而易 舉 的事情。此外它增加了主控端與代理端的加密通 訊 能力，它 對(duì) 命令源作假，可以防范一些路由器的 RFC2267過(guò)濾 。所以我 們 要加 強(qiáng) 安全防范意 識(shí)，提高網(wǎng) 絡(luò) 系 統(tǒng) 的安全性?！　?利用網(wǎng) 絡(luò) 安全 設(shè)備 （例如：防火 墻 ）來(lái)加固網(wǎng) 絡(luò) 的安全性，配置好它 們 的安全 規(guī)則 ， 過(guò)濾 掉所有的可能的 偽 造數(shù)據(jù)包。守護(hù)程序 —— 在代理端主機(jī)運(yùn)行的進(jìn)程，接收和響應(yīng)來(lái)自客戶端的命令。NT等平臺(tái)的主機(jī)能被用于此類(lèi)攻擊，而且這個(gè)工具非常容易被移植到其它系統(tǒng)平臺(tái)上。由一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過(guò)程中相互協(xié)同，保證攻擊的連續(xù)性。發(fā)送命令。主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機(jī)的，除了 ICMP總是使用到的命令有任何回應(yīng)。TFN2K命令不是基于字符串的，而采用了 ++格式，其中是以掩飾自己。64編碼后就成為多個(gè)連續(xù)的 0x41(39。預(yù) 用代理服務(wù)器通常是不切合實(shí)際的，因此只能盡可能使用最少的非代理服務(wù)?！?監(jiān) 78BNCCl ◆ 響 另外，入侵者發(fā)現(xiàn)攻擊失效時(shí)往往會(huì)試圖連接到代理端主機(jī)上以進(jìn)行檢查。RPC調(diào)用的配置■任何利用 IP地址認(rèn)證的網(wǎng)絡(luò)服務(wù)■MIT的 XA回傳給 B一個(gè)帶有 SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的 ISN，并確認(rèn) B發(fā)送來(lái)的第一個(gè)數(shù)據(jù)段，將 acknowledgeA注意，如何才能知道 A信任 B呢？沒(méi)有什么確切的辦法。flood常常是一次 IP欺騙攻擊的前奏。=socket)。{(。/*error(accept{/*}加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/287BNCCIP欺騙攻擊的描述l 除非 Z模仿 B發(fā)起連接請(qǐng)求時(shí)打破常規(guī)，主動(dòng)在客戶端調(diào)用 bind函數(shù)，明確完成全相關(guān)，這樣必然知道 A會(huì)向 B的某個(gè)端口回送，在 2中也針對(duì)這個(gè)端口攻擊 B。然后 Z再次偽裝成 B向 A發(fā)送 ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有 Z預(yù)測(cè)的 A的 ISN+1。~/.rhostsAACK......當(dāng)然在準(zhǔn)備階段可以用 xray之類(lèi)的工具進(jìn)行協(xié)議分析。overflow攻擊。而 ARP關(guān)于預(yù)測(cè) ISN，我想到另一個(gè)問(wèn)題。作者在 3中提到連接 A的 25端口，可我想不明白的 cisio公司的產(chǎn)品就有這種功能。內(nèi)存中存在的 .包括代 碼 (指令 )和只 讀 數(shù)據(jù) .靜 態(tài)變 量?jī)?chǔ) 存在 這 個(gè)區(qū)域中 .新內(nèi)存加入到數(shù)據(jù)和堆 棧 段的中 間 .個(gè)元素 .一個(gè) 過(guò) 程 調(diào) 用可 回 值 也要用到堆 棧 .向堆 棧 中添加元素和從中移去元素 .幀 所需要的數(shù)據(jù) ,包括 Intel,除了堆 棧 指 針 (SP指向堆 棧頂 部的的低地址 )之外 ,然而 ,而且在所有情況下 ,FP,CPU中 ,恢復(fù) ).找不到相應(yīng)的文件。 雖然驅(qū)動(dòng)程序一般都經(jīng)過(guò)了比較周密的測(cè)試，但是由于 PC的體系結(jié)構(gòu)是一個(gè)開(kāi)放性的體系結(jié)構(gòu)，誰(shuí)也不能確認(rèn)每個(gè)驅(qū)動(dòng)程序會(huì)和哪些其他程序協(xié)同工作。那些做 Beta測(cè)試的軟件，就是因?yàn)橄到y(tǒng)還沒(méi)有定型，還有相當(dāng)多的錯(cuò)誤，希望被測(cè)試用戶在使用的過(guò)程中發(fā)現(xiàn)。 1. 向系統(tǒng)中添加應(yīng)用程序和驅(qū)動(dòng)程序不能進(jìn)行網(wǎng)絡(luò)連接。 1 注冊(cè)表破壞后的現(xiàn)象在通常情況下，注冊(cè)表被破壞后，系統(tǒng)會(huì)有如下現(xiàn)象發(fā)生：● 系統(tǒng)無(wú)法啟動(dòng)。函數(shù)參數(shù)的偏移量是正 值 ,CPU中 ,比如 Intel處 理器 ,盡管在某些情況下 編譯 器能 夠 跟蹤 棧 中的字操作 ,base它可以指向堆 棧 的最后地址 , 103BNCC堆 棧 區(qū)域l 在我 堆 棧幀被從 棧 中 彈 出 .堆 棧 的底部在一個(gè)固定的地址 .函數(shù)把控制 權(quán) 返回 給調(diào) 用之后的 語(yǔ) 句或指令 .101BNCC為 什么使用堆 棧l 現(xiàn) 代 計(jì) 算機(jī)被 設(shè)計(jì) 成能 夠 理解人 們頭腦 中的高 級(jí)語(yǔ) 言 .這 個(gè)特性通常稱(chēng) 為 后 進(jìn) 先 處 (LIFO)隊(duì) 列 .如果 bss數(shù)據(jù)的 擴(kuò) 展或用戶 堆 棧 把可用內(nèi)存消耗光了 ,任何 對(duì) 其寫(xiě)入的操作都會(huì) 導(dǎo) 致段 錯(cuò)誤 我 們 把精力集中在堆 棧 number，不是 ISN，企圖切斷一個(gè) TCP連接，感覺(jué)難度很大。預(yù)防這種攻擊還是比較容易的， 嘗試過(guò)，也很困難。如果 B本身已經(jīng) down掉，那是再好不過(guò)93BNCCIP欺騙攻擊的描述l9.那么在 IP欺騙攻擊過(guò)程中是否存在 ARP沖突問(wèn)題。并且與 A、 B、 作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。89BNCCIP欺騙攻擊的描述l Z(B)cat )， B的 TCP層只是簡(jiǎn)單地丟棄 A的回送數(shù)據(jù)段。 tripclose(initsockid)。if(newsockid=error)。}(bind(initsockid,{newsockid。 BB確認(rèn)收到的 A的數(shù)據(jù)段，將 acknowledgeB發(fā)送帶有 SYN標(biāo)志的數(shù)據(jù)段通知 A需要建立 TCP連接。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，籍以達(dá)到蒙混過(guò)關(guān)的目的。◆ ◆ 這能夠有效地阻止所有的 TFN2K通訊。這些位于數(shù)據(jù)包尾部的 0x41(39。74BNCCl TFN2K仍然有弱點(diǎn)。◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base◆ 序應(yīng)該至少能接收到其中一個(gè)。◆ 所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。70BNCC分布式拒絕服務(wù)（ DDoS）攻擊工具分析 所以一旦 發(fā)現(xiàn) 系 統(tǒng) 中存在 DDoS攻 擊 的工具 軟 件要及時(shí) 把它清除，以免留下后患。通 過(guò)這樣 一系列的 舉 措可以把攻 擊 者的可乘之機(jī)降低到最小。 總 之，當(dāng)你的機(jī)器出 現(xiàn)異常情況 時(shí) ，你最好分析 這 些情況，防患于未然。 65BNCCDDoS攻 擊 使用的常用工具l 　 TFN2Kl 　　 TFN2K是由 TFN發(fā) 展而來(lái)的，在 TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng) 絡(luò) 通 訊 是 經(jīng)過(guò) 加密的，中 間還 可能混 雜 了 許 多虛假數(shù)據(jù)包，而 TFN對(duì) ICMP的通 訊 沒(méi)有加密?！　〉诙N方法是 設(shè) 置 SYNTimeout時(shí)間 ，由于 SYN以上的 連 接 過(guò) 程在 TCP協(xié)議 中被稱(chēng) 為 三次握手（ Threeway　 　 攻 擊 者 ：攻 擊 者所用的 計(jì) 算機(jī)是攻 擊 主控臺(tái)，可以是網(wǎng) 絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活 動(dòng) 的便攜機(jī)。當(dāng)服 務(wù) 器等待一定的 時(shí)間后， 連 接會(huì)因超 時(shí) 而被切斷，攻 擊 者會(huì)再度傳 送新的一批 請(qǐng) 求，在 這 種反復(fù) 發(fā) 送 偽 地址請(qǐng) 求的情況下，服 務(wù) 器 資 源最 終 會(huì)被耗盡。TCP Layer 源端口 宿端口 序 號(hào) 確 認(rèn) 號(hào) HLEN 保留 碼位 窗口 校驗(yàn)和 緊急指針 選 項(xiàng) 填充字節(jié) 數(shù) 據(jù)WordsBits0 4 8 12 16 20 24 28 31頭標(biāo)端口掃描攻擊54BNCCSniffer攻擊55BNCCDOS原理l DoS的英文全稱(chēng)是 Denialbyte數(shù)，說(shuō)明處理分組的源機(jī)器。丟掉了首段，目的地就不能重組。ring， FDDI， PPP等。2.IP分組該分組的類(lèi)型，如 AppleTalk數(shù)據(jù)包、 Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。Header Ether layer2. IP layer3. TCP layer4. data layer分組與數(shù)據(jù)封包：DataDataDataDataHeaderHeaderHeaderHeader Header HeaderApplication layer(SMTP, Tel, FTP, etc)Transport layer(TCP,UDP,ICMP)Inter Layer(IP)Network Access Layer (Ether, FDDI, ATM, etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來(lái)自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ether layer1.control 入口： ARP高速緩存。 36BNCC網(wǎng)絡(luò)安全保障體系安全管理與審計(jì)物理層安全 網(wǎng)絡(luò)層安全 傳輸層安全 應(yīng)用層安全鏈路層物理層 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問(wèn)控制點(diǎn)到點(diǎn)鏈路加密物理信道安全l訪問(wèn)控制l數(shù)據(jù)機(jī)密性l數(shù)據(jù)完整性l用戶認(rèn)證l防抵賴(lài)l安全審計(jì)網(wǎng)絡(luò)安全層次層次模型網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)安全目標(biāo)用戶安全37BNCC網(wǎng)絡(luò)安全工作的目的38BNCC黑客攻擊與防范BNCC以太幀與 MAC地址l 一、以太資料幀的結(jié)構(gòu)圖前同步碼報(bào)頭 資料區(qū) 資料幀檢查序列（ FCS）8個(gè)字節(jié)（不包括）通常 14個(gè)字節(jié) 461， 500字節(jié) 基礎(chǔ)之上。最近安全專(zhuān)家提出了信息保障體系的新概念最近安全專(zhuān)家提出了信息保障體系的新概念，即：為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入，即：為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測(cè)能力、事件反應(yīng)能力和遭破壞后的快速恢侵檢測(cè)能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。19BNCC人類(lèi)的天性l 好奇心好奇心這扇門(mén)為什么鎖上，我能打開(kāi)嗎？這扇門(mén)為什么鎖上，我能打開(kāi)嗎？l 惰性和依賴(lài)心理惰性和依賴(lài)心理安全問(wèn)題應(yīng)由專(zhuān)家來(lái)關(guān)心安全問(wèn)題應(yīng)由專(zhuān)家來(lái)關(guān)心l 恐懼心理恐懼心理家丑不可外揚(yáng)家丑不可外揚(yáng)20BNCC網(wǎng)絡(luò)攻擊形式網(wǎng)絡(luò)攻擊形式 ? 按網(wǎng)絡(luò)服務(wù)分：按網(wǎng)絡(luò)服務(wù)分：EMail、 FTP、 Tel、 R服務(wù)、服務(wù)、 IIS? 按技術(shù)途徑分：按技術(shù)途徑分：口令攻擊、口令攻擊、 Dos攻擊、種植木馬攻擊、種植木馬? 按攻擊目的分：按攻擊目的分：數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù)數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù)21BNCC主要攻擊與威脅主要攻擊與威脅———— 十大攻擊手段十大攻擊手段 ：： 使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù)使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù) 網(wǎng)絡(luò)網(wǎng)絡(luò) Flooding:syn flooding、 ping flooding 、 DDos 系統(tǒng)系統(tǒng) Crash: Ping of death、淚滴、淚滴、 land 、 Wi