【正文】 種： 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。 Stacheldrah中有一個(gè)內(nèi)嵌的代理升級(jí)模塊，可以自動(dòng)下載并安裝最新的代理程序。下面我們來(lái)分析一下這些常用的黑客程序。 第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文 ACK給服務(wù)器端，同樣TCP序列號(hào)被加一，到此一個(gè) TCP連接完成。 59 DDOS原理 60 DDOS原理 ? 從圖可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分 Inter連接和網(wǎng)絡(luò)系統(tǒng)失效。 與分組過(guò)濾有關(guān)的特性是： 分段示意圖： IP 選項(xiàng)：用于 Firewall中，對(duì)付 IP源路由。 TCP協(xié)議確認(rèn)收到的 IP數(shù)據(jù)包。 41 MAC地址的前三個(gè)字節(jié) 制造商 00000C CISCO 0000A2 BAY NETWORKS 0080D3 SHIVA 00AA00 INTEL 02608C 3COM 080009 HEWLETPACKARD 080020 SUN 08005A IBM FFFFFFFFFF 廣播地址 42 地址解析協(xié)議 ? 地址解析協(xié)議 索引 物理位址 IP地址 類(lèi)型 物理口（接口） 設(shè)備的物理地址 與物理位址對(duì)應(yīng)的 IP地址 這一行對(duì)應(yīng)入口類(lèi)型 入口1 入口2 入口N 注：數(shù)值 2表示這個(gè)入口是非法的 ， 數(shù)值 3表示這種映像是動(dòng)態(tài)的 ， 數(shù)值 4表示是靜態(tài)的 （ 如口不改變 ） ， 數(shù)值 1表示不是上述任何一種 。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問(wèn)控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動(dòng)防御。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。網(wǎng)絡(luò)安全概述 1 網(wǎng)絡(luò)安全概述 ? 網(wǎng)絡(luò)安全的概念 ? 網(wǎng)絡(luò)安全的內(nèi)容 ? 網(wǎng)絡(luò)安全面臨的問(wèn)題 ? 網(wǎng)絡(luò)安全的客觀必要性 ? 常見(jiàn)的網(wǎng)絡(luò)信息攻擊模式 ? 網(wǎng)絡(luò)安全保障體系 ? 網(wǎng)絡(luò)安全工作的目的 2 什么是網(wǎng)絡(luò)安全（五要素） ? 可用性 ： 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù) ? 機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程 ? 完整性： 保證數(shù)據(jù)不被未授權(quán)修改 ? 可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 ? 可審查性：對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段 3 網(wǎng)絡(luò)安全的內(nèi)容 ?物理安全 ?網(wǎng)絡(luò)安全 ?傳輸安全 ?應(yīng)用安全 ?用戶安全 4 網(wǎng)絡(luò)安全面臨的問(wèn)題 來(lái)源 : CSI / FBI Computer Crime Survey, March 1998. 21% 48% 72% 89% 外國(guó)政府 競(jìng)爭(zhēng)對(duì)手 黑客 不滿的雇員 5 網(wǎng)絡(luò)安全威脅的來(lái)源 （ peration） 未被授權(quán)使用計(jì)算機(jī)的人； 被授權(quán)使用計(jì)算機(jī) ， 但不能訪問(wèn)某些數(shù)據(jù) 、 程序或資源 ， 它包括： 冒名頂替 :使用別人的用戶名和口令進(jìn)行操作； 隱蔽用戶 :逃避審計(jì)和訪問(wèn)控制的用戶； : 被授權(quán)使用計(jì)算機(jī)和訪問(wèn)系統(tǒng)資源 ， 但濫用職權(quán)者 。 2 自適應(yīng)網(wǎng)絡(luò)安全策略（動(dòng)態(tài)性） 安全 =風(fēng)險(xiǎn)分析 +執(zhí)行策略 +系統(tǒng)實(shí)施 +漏洞分析 +實(shí)時(shí)響應(yīng) 該策略強(qiáng)調(diào)系統(tǒng)安全管理的動(dòng)態(tài)性，主張通過(guò)安全性檢測(cè)、漏洞監(jiān)測(cè)，自適應(yīng)地填充“安全間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。 32 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 最近安全專家提出了信息保障體系的新概念，即：為了保障網(wǎng)絡(luò)安全，應(yīng)重視提高系統(tǒng)的入侵檢測(cè)能力、事件反應(yīng)能力和遭破壞后的快速恢復(fù)能力。 36 網(wǎng)絡(luò)安全保障體系 安全管理與審計(jì) 物理層安全 網(wǎng)絡(luò)層安全 傳輸層安全 應(yīng)用層安全 鏈路層 物理層 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 表示層 會(huì)話層 審計(jì)與監(jiān)控 身份認(rèn)證 數(shù)據(jù)加密 數(shù)字簽名 完整性鑒別 端到端加密 訪問(wèn)控制 點(diǎn)到點(diǎn)鏈路加密 物理信道安全 ?訪問(wèn)控制 ?數(shù)據(jù)機(jī)密性 ?數(shù)據(jù)完整性 ?用戶認(rèn)證 ?防抵賴 ?安全審計(jì) 網(wǎng)絡(luò)安全層次 層次 模型 網(wǎng)絡(luò)安全技術(shù) 實(shí)現(xiàn)安全目標(biāo) 用戶 安全 37 網(wǎng)絡(luò)安全工作的目的 進(jìn)不來(lái) 拿不走 看不懂 改不了 跑不了 38 黑客攻擊與防范 39 以太幀與 MAC地址 ? 一 、 以太資料幀的結(jié)構(gòu)圖 前同步碼 報(bào)頭 資料區(qū) 資料幀檢查序列（ FCS） 8個(gè)字節(jié)（ 不包括 ） 通常 14個(gè)字節(jié) 461， 500字節(jié) 固定 4字節(jié) 40 以太幀構(gòu)成元素 解釋及作用 前同步碼 Send “ I am ready, I will send message” 報(bào)頭 必須有：發(fā)送者 MAC地址 目的MAC地址 共 12個(gè)字節(jié) OR 長(zhǎng)度字段中的字節(jié)總數(shù)信息（ 差錯(cuò)控制 ） OR 類(lèi)型字段 （ 說(shuō)明以太幀的類(lèi)型 ） 資料區(qū) 資料源 IP 目的地 IP 實(shí)際資料和協(xié)議信息 如果資料超過(guò) 1， 500 分解多個(gè)資料幀 ，使用序列號(hào) 如果不夠 46個(gè)字節(jié) ， 數(shù)據(jù)區(qū)末尾加 1 FCS 保證接受到的資料就是發(fā)送出的資料 。 IP數(shù)據(jù)包可能在傳輸過(guò)程中丟失或損壞，在規(guī)定的時(shí)間內(nèi)如果目的地機(jī)器收不到這些 IP數(shù)據(jù)包， TCP協(xié)議會(huì)讓源機(jī)器重新發(fā)送這些 IP數(shù)據(jù)包，直到到達(dá)目的地機(jī)器。 其上有很多協(xié)議： TCP， UDP， ICMP。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看， DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。 DDoS的攻擊原理如圖所示。 61 SYN Flood的基本原理 ? 大家都知道， TCP與 UDP不同，它是基于連接的，也就是說(shuō)：為了在服務(wù)端和客戶端之間傳送 TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路，也就是 TCP連接，建立 TCP連接的標(biāo)準(zhǔn)過(guò)程是這樣的： 首先，請(qǐng)求端（客戶端）發(fā)送一個(gè)包含 SYN標(biāo)志的 TCP報(bào)文，SYN即同步（ Synchronize），同步報(bào)文會(huì)指明客戶端使用的端口以及 TCP連接的初始序號(hào)； 第二步，服務(wù)器在收到客戶端的 SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí) TCP序號(hào)被加一， ACK即確認(rèn)（ Acknowledgement）。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng) DDoS攻擊變成一件輕而易舉的事情。此外它增加了主控端與代理端的加密通訊能力，它對(duì)命令源作假，可以防范一些路由器的 RFC2267過(guò)濾。所以我們要加強(qiáng)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性。 利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過(guò)濾掉所有的可能的偽造數(shù)據(jù)包。 代理端 —— 運(yùn)行守護(hù)程序的主機(jī)。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過(guò)加密的，還可能混雜了許多虛假數(shù)據(jù)包?？蛻舳酥貜?fù)發(fā)送每一個(gè)命令 20次，并且認(rèn)為守護(hù)程 序應(yīng)該至少能接收到其中一個(gè)。 ◆ TFN2K守護(hù)進(jìn)程試圖通過(guò)修改 argv[0]內(nèi)容（或在某些平臺(tái)中修改進(jìn)程名） 以掩飾自己。A39。這能夠有效地阻止所有的 TFN2K通訊。 監(jiān) 測(cè) ◆ 掃描客戶端 /守護(hù)程序的名字。另外，入侵者發(fā)現(xiàn)攻擊失效時(shí)往往會(huì)試圖連接到代理端主機(jī)上以進(jìn)行檢查。 3. B確認(rèn)收到的 A的數(shù)據(jù)段，將 acknowledge number設(shè)置成 A的 ISN+1。請(qǐng)看一個(gè)并發(fā)服務(wù)器的框架： 83 IP欺騙攻擊的描述 ? int initsockid, newsockid。 } if (fork() == 0) { /* 子進(jìn)程 */ close(initsockid)。必須立即進(jìn)入攻擊，否則在這之間有其他主機(jī)與 A連接， ISN將比預(yù)料的多出 64000。 88 IP欺騙攻擊的描述 ? 5. Z暫停一小會(huì)兒，讓 A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)?Z看不到這個(gè)包。 90 IP欺騙攻擊的描述 ? 考慮這種情況，入侵者控制了一臺(tái)由 A到 B之間的路由器，假設(shè) Z就是這臺(tái)路由器，那么 A回送到 B的數(shù)據(jù)段，現(xiàn)在 Z是可以看到的，顯然攻擊難度驟然下降了許多。 92 IP欺騙攻擊的描述 ? 8. 也許有人要問(wèn)，為什么 Z不能直接把自己的 IP設(shè)置成 B的？這個(gè)問(wèn)題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在 ARP沖突、出不了網(wǎng)關(guān)等問(wèn)題。 94 IP欺騙攻擊的描述 ? 10. 關(guān)于預(yù)測(cè) ISN，我想到另一個(gè)問(wèn)題。 cisio公司的產(chǎn)品就有這種功能。 在多數(shù)情況下，實(shí)施 DNS欺騙時(shí)，入侵者要取得 DNS服務(wù)器的信任并明目張膽地改變主機(jī)的 IP地址表，這些變化被寫(xiě)入到 DNS服務(wù)器的轉(zhuǎn)換表數(shù)據(jù)庫(kù)中，因此，當(dāng)客戶發(fā)出一個(gè)查詢請(qǐng)求時(shí)，他會(huì)等到假的 IP地址，這一地址會(huì)處于入侵者的完全控制之下。 無(wú)法調(diào)入驅(qū)動(dòng)程序。因此，誰(shuí)也不可能測(cè)試所有的可能性，這樣就有不兼容的可能性存在。 116 破壞注冊(cè)表的途徑 (2) 斷電 在非正常斷電情況下，可能會(huì)燒毀主板或者其他硬件設(shè)備。 119 分析問(wèn)題及恢復(fù) ? 3. 在 MSDOS 狀 態(tài) 下 去 除 及 文 件 的 只 讀、 系 統(tǒng)、 隱 藏 屬 性： ? attrib r h s attrib r h s ? 4. 將 、 兩 文 件 改 名 為、 ： ? rename rename 5. 重 新 啟 動(dòng) 機(jī) 器， 系 統(tǒng) 會(huì) 自 動(dòng) 修： 在 引 導(dǎo) 時(shí)， 如 果 Windows95 找 不 著 注 冊(cè) 表 文 件， 它 用 備 份 的 和 做 為 注 冊(cè) 表 文 件； 假 如 這 倆 文 件 運(yùn) 行 正 常 的 話， 系 統(tǒng) 就 把 它 們 分 別 改 為 和 。 在 DOS下使用注冊(cè)表編輯器 ? 在 DOS提示符下鍵入 Regedit命令 ,將出現(xiàn)一個(gè)幫助屏。 ? WinDir= WIN95 目 錄 的 位 置 ? 缺 省 值 為 安 裝 時(shí) 指 定 的 目 錄 ( 如 C: \WINDOWS)， 其 作 用 是 列 出 安 裝 過(guò) 程 中 指 定 的 WIN95 目 錄 的 位 置。 117 破壞注冊(cè)表的途徑 由于注冊(cè)表中的數(shù)據(jù)是非常復(fù)雜的（在第 5章中，我們花費(fèi)了大量的篇幅詳解了注冊(cè)表），所以，用戶在手工修改注冊(cè)表的時(shí)候，經(jīng)常導(dǎo)致注冊(cè)表中的內(nèi)容的毀壞。 如果計(jì)算機(jī)系統(tǒng)本身出現(xiàn)了問(wèn)題，常常會(huì)導(dǎo)致注冊(cè)表的毀壞。最好的情況就是用戶在使用軟件過(guò)程中沒(méi)有遇到到錯(cuò)誤，而且那些看似微小的錯(cuò)誤，可能會(huì)導(dǎo)致非常嚴(yán)重的后果。 應(yīng)用程序無(wú)法正常運(yùn)行。一個(gè)現(xiàn)成的 bug足以讓你取得 root權(quán)限 . 98 ? 其他形式的電子欺騙 電子欺騙還有其他一些形式，諸如 DNS欺騙。作者在 3中提到連接 A的 25端口，可我想不明白的 是 513端口的 ISN和 25端口有什么關(guān)系？看來(lái)需要看看 TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。而 ARP Cache只會(huì)被 ARP包改變，不受 IP包的影響，所以可以肯定地說(shuō)， IP欺騙攻擊過(guò)程中不存在 ARP沖突。 91 IP欺騙攻擊的描述 ? 7. 如果 Z不是路由器，能否考慮組合使用 ICMP重定