【正文】 數(shù)據(jù) O M F F 32 BIT 過濾字段 2023年 3月 IP: 處于 Inter中間層次。 本體內(nèi)是實際要傳送的數(shù)據(jù)。 59 DDOS原理 ? DDoS（分布式拒絕服務），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。 第二種方法是設置 SYN Cookie，就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP的重復 SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。并且 TFN2K可配置的代理端進程端口。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。建立邊界安全界限，確保輸出的包受到正確限制。 守護程序 —— 在代理端主機運行的進程，接收和響應來自客戶端的命令。代理端據(jù)此對目標進行拒絕服務攻擊。 ? ◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了 ICMP總是使用 ICMP_ECHOREPLY類型數(shù)據(jù)包。 TFN2K 守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)?？赡苁鞘韬龅脑?，加密后的 Base 64編碼在每一個 TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關）。最有效的策略是防止網(wǎng)絡資源被用作客戶端或代理端。 ◆ 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。 響 應 一旦在系統(tǒng)中發(fā)現(xiàn)了 TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M行。并將 TCP報頭中的 sequence number設置成自己本次連接的初始值 ISN。 2. 假設 Z已經(jīng)知道了被信任的 B，應該想辦法使 B的網(wǎng)絡功能暫時癱瘓，以免對攻擊造成干擾。) { newsockid = accept(initsockid, ...)。這個步驟要重復多次以便求出 RTT的平均值?？傊?，覺得作者好象在蒙我們，他自己也沒有實踐成功過吧。攻擊最困難的地方在于預測A的 ISN。注意 IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。攻擊中連帶 B一起攻擊了，其目的無非是防止 B干擾了攻擊過程， 如果 B本身已經(jīng) down掉，那是再好不過 94 IP欺騙攻擊的描述 ? 9. fakeip曾經(jīng)沸沸揚揚了一下，對之進行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的。預防這種攻擊還是比較容易的， 比如刪除所有的 /etc/、 $HOME/.rhosts文件，修改 /etc/ ，使得 RPC機制無法運做，還可以殺掉 portmapper等等。這種情況發(fā)生的可能性很小，然而萬一發(fā)生將會導致不堪設想的泄密后果。 ? 例如，在啟動 Windows 95/98時，可能會出現(xiàn)如下提示信息： 112 注冊表常見問題 Cannot find a device file that may be needed to run Windows or a windows application. The Windows Registry or file refers to this device file,but the device file no longer exists If you deleted this file on purpose,try uninsalling the associated application using its uninstall Or Setup program. If you still want to use the application associared with this device file, Try reinstalling the application to replace the missing file. Press a key to continue. 113 注冊表常見問題 沒有訪問應用程序的權(quán)限。那些做 Beta測試的軟件，就是因為系統(tǒng)還沒有定型，還有相當多的錯誤，希望被測試用戶在使用的過程中發(fā)現(xiàn)。還有一些病毒可能會隱藏在 Cache中，使系統(tǒng)運行不正常。 119 分析問題及恢復 ? 出 現(xiàn) 注 冊 表 故 障 的 可 能 原 因 有 三 個： WIN95 目 錄 中 的 文 件 不 存 在、 崩 潰 或 文 件 中 的 ［ Paths ］ 部 分 丟 失 了。 123 分析問題及恢復 ? 當您的 Windows 95/98因注冊表問題而無法啟動到圖形界面時，您此時只有在 DOS下使用一些工具軟件修復注冊表。 有 關 MSDOS. SYS 的 內(nèi) 容， ? 這 部 分 內(nèi) 容 包 括 三 項： ? HostWinBootDrv= 引 導 盤 的 根 目 錄 ? 缺 省 值 為 C， 其 作 用 是 指 明 引 導 盤 的 根 目 錄。另外，在夏天工作時，由于溫度過高，對于發(fā)熱量較大的 CPU（如 AMD、 Cyrix、 IBM、 WinChip等）極易燒毀。 (4) 應用程序在注冊表中添加了錯誤的內(nèi)容 某些應用程序在修改注冊表時，增加了不該增加的內(nèi)容，或者將原來正確的注冊表內(nèi)容修改為不正確的內(nèi)容。 注冊表條目有誤。 例如，在啟動 Windows 95/98時，將出現(xiàn)如對話框。 98 未雨綢繆 ? 估計 Linux下容易做到，那 solaris、 irix、hpunix還有 aix呢？ sigh 雖然作者紙上談兵，但總算讓我們了解了一下 IP欺騙攻擊，我實驗過預測sequence number，不是 ISN，企圖切斷一個 TCP連接，感覺難度很大。嘗試過，也很困難?；叵胛仪懊尜N過的 ARP欺騙攻擊，如果 B的 ARP Cache沒有受到影響，就不會出現(xiàn) ARP沖突。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。如果預測準確，連接建立，數(shù)據(jù)傳送開始。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無法響應 (憑什么？按照作者在 2中所說，估計還達不到這個效果，因為 Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會完成全相關，自動指定本地 socket地址和端口，可事實上 B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。 /* 處理客戶方請求 */ exit(0)。t create socket)。注意，如何才能知道 A信任 B呢？沒有什么確切的辦法。 80 IP欺騙的原理 ? ⑴ 什么是 IP電子欺騙攻擊？ 所謂 IP欺騙，無非就是偽造他人的源 IP地址。 ◆ 掃描系統(tǒng)內(nèi)存中的進程列表。 ◆ 禁止不必要的 ICMP、 TCP和 UDP通訊。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會有一個。 這個功能使 TFN2K偽裝成代理端主機的普通正常進程。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個特定命令的數(shù)值，則是該命令的參數(shù)。而且主控端還能偽造其 IP地址。 71 分布式拒絕服務（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協(xié)同攻擊。 ? 69 DDoS攻擊的防御策略 當你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，你應當啟動您的應付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系 ISP和有關應急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。 67 DDoS的監(jiān)測 ? 現(xiàn)在網(wǎng)上采用 DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡性能不斷下降，直到不能提供正常服務，乃至崩潰。 以上的連接過程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。 攻擊者 ：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡上的任何一臺主機，甚至可以是一個活動的便攜機。 DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。 IP 分段： Firewall只處理首段，而讓所有非首段通過。超時機制是自動的，不依賴于通訊線路的遠近。 入口： ARP高速緩存 。美國在信息保障方面的一些舉措 ,如：成立關鍵信息保障辦公室、國家基礎設施保護委員會和開展對信息戰(zhàn)的研究等等，表明美國正在尋求一種信息系統(tǒng)防御和保護的新概念，這應該引起我們的高度重視。局限性在于：只考慮增強系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護。 7 冒名頂替 廢物搜尋 身份識別錯誤 不安全服務 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號進入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽 偷竊 網(wǎng)絡安全威脅 線纜連接 身份鑒別 編程 系統(tǒng)漏洞 物理威脅 網(wǎng)絡安全威脅的幾種類型 8 網(wǎng)絡安全面臨嚴峻挑戰(zhàn) ? 網(wǎng)上犯罪形勢不容樂觀 ? 有害信息污染嚴重 ? 網(wǎng)絡病毒的蔓延和破壞 ? 網(wǎng)上黑客無孔不入 ? 機要信息流失與信息間諜潛入 ? 網(wǎng)絡安全產(chǎn)品的自控權(quán) ? 信息戰(zhàn)的陰影不可忽視 互聯(lián)網(wǎng)正以巨大的力度和廣度 沖擊和改造著社會、經(jīng)濟、生活的傳統(tǒng)模式 互聯(lián)網(wǎng)正在成為社會公眾強烈依賴的社會重要基 礎設施 互聯(lián)網(wǎng)安全正在成為普遍關注的焦點 9 網(wǎng)上犯罪形勢不容樂觀 ? 計算機犯罪以 100%的速度增加 ? 網(wǎng)上攻擊事件每年以 10倍速度增漲 ? 銀行的電子購物賬戶密碼曝光事件增多 ? 2023年 2月 7日攻擊美國知名網(wǎng)站案件： 損失 $12億，影響百萬網(wǎng)民 Yahoo、 Amazon、 CNN、 Buy、 eBay、 ETrade、 ZDNet ? 網(wǎng)上勒索、詐騙不斷： 用戶信用卡被曝光 ? 美國網(wǎng)絡安全造成損失 $170億 /年 ? 美國金融界計算機犯罪損失 $100億 /年 10 有害信息污染嚴重 ? 黃色信息： 涉及 1%網(wǎng)站， 10億美元年營業(yè)額 ? 邪教信息： 法輪功 160多個反宣傳網(wǎng)站 ? 虛假新聞： 美校園炸彈恐嚇事件、網(wǎng)上股市欺詐 ? 宣揚暴力： 炸藥配方、幫助自殺 ? 政治攻擊： 考克斯報告、政治演變論 11 網(wǎng)絡病毒的蔓延和破壞 ? 10年內(nèi)以幾何級數(shù)增長 ? 病毒達 55000種（ 亞洲計算機反病毒大會） ? 網(wǎng)絡病毒有更大的破壞性 ? 1988年莫里斯事件（ UNIX/Email） 6000臺、 $9000萬 ? 1998年 4月的 CIH病毒 2023萬臺計算機 ? 1999年 2月的梅利莎案件（ Window/Email） $12億 ? 2023年 5月 4日的我愛你病毒 $87億 ? 2023年 8月紅色代碼（ CodeRed）到目前為止 $26億 12 網(wǎng)上黑客無孔不入 ? 美國網(wǎng)絡屢遭掃蕩 軍事、政治、經(jīng)濟 美國五角大樓情報網(wǎng)絡、美國海軍研究室、空軍、美國中央情報局、許多貿(mào)易及金融機構(gòu)都有被黑的歷史 ? 全球網(wǎng)絡危機四伏 非法侵入、破壞系統(tǒng)、竊取機密 ? 中國網(wǎng)絡不斷被侵入 五一中美黑客大戰(zhàn) 800多網(wǎng)站被黑 黑客 是一些發(fā)自好奇、尋求刺激、富有挑戰(zhàn)的家伙 是一群以攻擊網(wǎng)絡，搜尋并破壞信息為了的無賴； 是一幫為了揚名，專與政府作對的極端分子； 是一些恐怖主義分子或政治、軍事、商業(yè)和科技間諜。 25 我國網(wǎng)絡安全現(xiàn)狀 ? 硬件設備上嚴重依賴國外 ? 網(wǎng)絡安全管理存在漏洞 ? 網(wǎng)絡安全問題還沒有引起人們的廣泛重視 ? 安全技術(shù)有待研究 ? 美國和西方國家對我過進