【正文】 數(shù)據(jù) O M F F 32 BIT 過(guò)濾字段 2023年 3月 IP: 處于 Inter中間層次。 本體內(nèi)是實(shí)際要傳送的數(shù)據(jù)。 59 DDOS原理 ? DDoS（分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。 第二種方法是設(shè)置 SYN Cookie，就是給每一個(gè)請(qǐng)求連接的 IP地址分配一個(gè) Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè) IP的重復(fù) SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè) IP地址來(lái)的包會(huì)被丟棄。并且 TFN2K可配置的代理端進(jìn)程端口。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。建立邊界安全界限，確保輸出的包受到正確限制。 守護(hù)程序 —— 在代理端主機(jī)運(yùn)行的進(jìn)程，接收和響應(yīng)來(lái)自客戶端的命令。代理端據(jù)此對(duì)目標(biāo)進(jìn)行拒絕服務(wù)攻擊。 ? ◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機(jī)的，除了 ICMP總是使用 ICMP_ECHOREPLY類(lèi)型數(shù)據(jù)包。 TFN2K 守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)?？赡苁鞘韬龅脑颍用芎蟮?Base 64編碼在每一個(gè) TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無(wú)關(guān)）。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。 ◆ 配置防火墻過(guò)濾所有可能的偽造數(shù)據(jù)包。 響 應(yīng) 一旦在系統(tǒng)中發(fā)現(xiàn)了 TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M(jìn)行。并將 TCP報(bào)頭中的 sequence number設(shè)置成自己本次連接的初始值 ISN。 2. 假設(shè) Z已經(jīng)知道了被信任的 B，應(yīng)該想辦法使 B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，以免對(duì)攻擊造成干擾。) { newsockid = accept(initsockid, ...)。這個(gè)步驟要重復(fù)多次以便求出 RTT的平均值?？傊?，覺(jué)得作者好象在蒙我們，他自己也沒(méi)有實(shí)踐成功過(guò)吧。攻擊最困難的地方在于預(yù)測(cè)A的 ISN。注意 IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。攻擊中連帶 B一起攻擊了，其目的無(wú)非是防止 B干擾了攻擊過(guò)程， 如果 B本身已經(jīng) down掉，那是再好不過(guò) 94 IP欺騙攻擊的描述 ? 9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，對(duì)之進(jìn)行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的。預(yù)防這種攻擊還是比較容易的， 比如刪除所有的 /etc/、 $HOME/.rhosts文件，修改 /etc/ ，使得 RPC機(jī)制無(wú)法運(yùn)做，還可以殺掉 portmapper等等。這種情況發(fā)生的可能性很小，然而萬(wàn)一發(fā)生將會(huì)導(dǎo)致不堪設(shè)想的泄密后果。 ? 例如，在啟動(dòng) Windows 95/98時(shí)，可能會(huì)出現(xiàn)如下提示信息： 112 注冊(cè)表常見(jiàn)問(wèn)題 Cannot find a device file that may be needed to run Windows or a windows application. The Windows Registry or file refers to this device file,but the device file no longer exists If you deleted this file on purpose,try uninsalling the associated application using its uninstall Or Setup program. If you still want to use the application associared with this device file, Try reinstalling the application to replace the missing file. Press a key to continue. 113 注冊(cè)表常見(jiàn)問(wèn)題 沒(méi)有訪問(wèn)應(yīng)用程序的權(quán)限。那些做 Beta測(cè)試的軟件，就是因?yàn)橄到y(tǒng)還沒(méi)有定型，還有相當(dāng)多的錯(cuò)誤，希望被測(cè)試用戶在使用的過(guò)程中發(fā)現(xiàn)。還有一些病毒可能會(huì)隱藏在 Cache中，使系統(tǒng)運(yùn)行不正常。 119 分析問(wèn)題及恢復(fù) ? 出 現(xiàn) 注 冊(cè) 表 故 障 的 可 能 原 因 有 三 個(gè)： WIN95 目 錄 中 的 文 件 不 存 在、 崩 潰 或 文 件 中 的 ［ Paths ］ 部 分 丟 失 了。 123 分析問(wèn)題及恢復(fù) ? 當(dāng)您的 Windows 95/98因注冊(cè)表問(wèn)題而無(wú)法啟動(dòng)到圖形界面時(shí)，您此時(shí)只有在 DOS下使用一些工具軟件修復(fù)注冊(cè)表。 有 關(guān) MSDOS. SYS 的 內(nèi) 容， ? 這 部 分 內(nèi) 容 包 括 三 項(xiàng)： ? HostWinBootDrv= 引 導(dǎo) 盤(pán) 的 根 目 錄 ? 缺 省 值 為 C， 其 作 用 是 指 明 引 導(dǎo) 盤(pán) 的 根 目 錄。另外，在夏天工作時(shí)，由于溫度過(guò)高，對(duì)于發(fā)熱量較大的 CPU（如 AMD、 Cyrix、 IBM、 WinChip等）極易燒毀。 (4) 應(yīng)用程序在注冊(cè)表中添加了錯(cuò)誤的內(nèi)容 某些應(yīng)用程序在修改注冊(cè)表時(shí)，增加了不該增加的內(nèi)容，或者將原來(lái)正確的注冊(cè)表內(nèi)容修改為不正確的內(nèi)容。 注冊(cè)表?xiàng)l目有誤。 例如，在啟動(dòng) Windows 95/98時(shí)，將出現(xiàn)如對(duì)話框。 98 未雨綢繆 ? 估計(jì) Linux下容易做到，那 solaris、 irix、hpunix還有 aix呢？ sigh 雖然作者紙上談兵，但總算讓我們了解了一下 IP欺騙攻擊，我實(shí)驗(yàn)過(guò)預(yù)測(cè)sequence number，不是 ISN，企圖切斷一個(gè) TCP連接，感覺(jué)難度很大。嘗試過(guò)，也很困難?；叵胛仪懊尜N過(guò)的 ARP欺騙攻擊，如果 B的 ARP Cache沒(méi)有受到影響，就不會(huì)出現(xiàn) ARP沖突。同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫(xiě)程序完成。如果預(yù)測(cè)準(zhǔn)確，連接建立，數(shù)據(jù)傳送開(kāi)始。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無(wú)法響應(yīng) (憑什么？按照作者在 2中所說(shuō)，估計(jì)還達(dá)不到這個(gè)效果，因?yàn)?Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會(huì)完成全相關(guān)，自動(dòng)指定本地 socket地址和端口，可事實(shí)上 B很可能并沒(méi)有這樣一個(gè)端口等待接收數(shù)據(jù)。 /* 處理客戶方請(qǐng)求 */ exit(0)。t create socket)。注意，如何才能知道 A信任 B呢？沒(méi)有什么確切的辦法。 80 IP欺騙的原理 ? ⑴ 什么是 IP電子欺騙攻擊？ 所謂 IP欺騙，無(wú)非就是偽造他人的源 IP地址。 ◆ 掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。 ◆ 禁止不必要的 ICMP、 TCP和 UDP通訊。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會(huì)有一個(gè)。 這個(gè)功能使 TFN2K偽裝成代理端主機(jī)的普通正常進(jìn)程。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個(gè)特定命令的數(shù)值，則是該命令的參數(shù)。而且主控端還能偽造其 IP地址。 71 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過(guò)主控端利用大量代理端主機(jī)的資源進(jìn)行對(duì)一個(gè)或多個(gè)目標(biāo)進(jìn)行協(xié)同攻擊。 ? 69 DDoS攻擊的防御策略 當(dāng)你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時(shí)，你應(yīng)當(dāng)啟動(dòng)您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時(shí)聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。 67 DDoS的監(jiān)測(cè) ? 現(xiàn)在網(wǎng)上采用 DDoS方式進(jìn)行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過(guò)程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。 以上的連接過(guò)程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。 攻擊者 ：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。 DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。 IP 分段： Firewall只處理首段，而讓所有非首段通過(guò)。超時(shí)機(jī)制是自動(dòng)的，不依賴于通訊線路的遠(yuǎn)近。 入口： ARP高速緩存 。美國(guó)在信息保障方面的一些舉措 ,如：成立關(guān)鍵信息保障辦公室、國(guó)家基礎(chǔ)設(shè)施保護(hù)委員會(huì)和開(kāi)展對(duì)信息戰(zhàn)的研究等等，表明美國(guó)正在尋求一種信息系統(tǒng)防御和保護(hù)的新概念，這應(yīng)該引起我們的高度重視。局限性在于：只考慮增強(qiáng)系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護(hù)。 7 冒名頂替 廢物搜尋 身份識(shí)別錯(cuò)誤 不安全服務(wù) 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號(hào)進(jìn)入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽(tīng) 偷竊 網(wǎng)絡(luò)安全威脅 線纜連接 身份鑒別 編程 系統(tǒng)漏洞 物理威脅 網(wǎng)絡(luò)安全威脅的幾種類(lèi)型 8 網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn) ? 網(wǎng)上犯罪形勢(shì)不容樂(lè)觀 ? 有害信息污染嚴(yán)重 ? 網(wǎng)絡(luò)病毒的蔓延和破壞 ? 網(wǎng)上黑客無(wú)孔不入 ? 機(jī)要信息流失與信息間諜潛入 ? 網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán) ? 信息戰(zhàn)的陰影不可忽視 互聯(lián)網(wǎng)正以巨大的力度和廣度 沖擊和改造著社會(huì)、經(jīng)濟(jì)、生活的傳統(tǒng)模式 互聯(lián)網(wǎng)正在成為社會(huì)公眾強(qiáng)烈依賴的社會(huì)重要基 礎(chǔ)設(shè)施 互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn) 9 網(wǎng)上犯罪形勢(shì)不容樂(lè)觀 ? 計(jì)算機(jī)犯罪以 100%的速度增加 ? 網(wǎng)上攻擊事件每年以 10倍速度增漲 ? 銀行的電子購(gòu)物賬戶密碼曝光事件增多 ? 2023年 2月 7日攻擊美國(guó)知名網(wǎng)站案件： 損失 $12億，影響百萬(wàn)網(wǎng)民 Yahoo、 Amazon、 CNN、 Buy、 eBay、 ETrade、 ZDNet ? 網(wǎng)上勒索、詐騙不斷： 用戶信用卡被曝光 ? 美國(guó)網(wǎng)絡(luò)安全造成損失 $170億 /年 ? 美國(guó)金融界計(jì)算機(jī)犯罪損失 $100億 /年 10 有害信息污染嚴(yán)重 ? 黃色信息： 涉及 1%網(wǎng)站， 10億美元年?duì)I業(yè)額 ? 邪教信息： 法輪功 160多個(gè)反宣傳網(wǎng)站 ? 虛假新聞： 美校園炸彈恐嚇事件、網(wǎng)上股市欺詐 ? 宣揚(yáng)暴力： 炸藥配方、幫助自殺 ? 政治攻擊： 考克斯報(bào)告、政治演變論 11 網(wǎng)絡(luò)病毒的蔓延和破壞 ? 10年內(nèi)以幾何級(jí)數(shù)增長(zhǎng) ? 病毒達(dá) 55000種（ 亞洲計(jì)算機(jī)反病毒大會(huì)） ? 網(wǎng)絡(luò)病毒有更大的破壞性 ? 1988年莫里斯事件（ UNIX/Email） 6000臺(tái)、 $9000萬(wàn) ? 1998年 4月的 CIH病毒 2023萬(wàn)臺(tái)計(jì)算機(jī) ? 1999年 2月的梅利莎案件（ Window/Email） $12億 ? 2023年 5月 4日的我愛(ài)你病毒 $87億 ? 2023年 8月紅色代碼（ CodeRed）到目前為止 $26億 12 網(wǎng)上黑客無(wú)孔不入 ? 美國(guó)網(wǎng)絡(luò)屢遭掃蕩 軍事、政治、經(jīng)濟(jì) 美國(guó)五角大樓情報(bào)網(wǎng)絡(luò)、美國(guó)海軍研究室、空軍、美國(guó)中央情報(bào)局、許多貿(mào)易及金融機(jī)構(gòu)都有被黑的歷史 ? 全球網(wǎng)絡(luò)危機(jī)四伏 非法侵入、破壞系統(tǒng)、竊取機(jī)密 ? 中國(guó)網(wǎng)絡(luò)不斷被侵入 五一中美黑客大戰(zhàn) 800多網(wǎng)站被黑 黑客 是一些發(fā)自好奇、尋求刺激、富有挑戰(zhàn)的家伙 是一群以攻擊網(wǎng)絡(luò)，搜尋并破壞信息為了的無(wú)賴； 是一幫為了揚(yáng)名，專與政府作對(duì)的極端分子； 是一些恐怖主義分子或政治、軍事、商業(yè)和科技間諜。 25 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀 ? 硬件設(shè)備上嚴(yán)重依賴國(guó)外 ? 網(wǎng)絡(luò)安全管理存在漏洞 ? 網(wǎng)絡(luò)安全問(wèn)題還沒(méi)有引起人們的廣泛重視 ? 安全技術(shù)有待研究 ? 美國(guó)和西方國(guó)家對(duì)我過(guò)進(jìn)