【正文】 訪問(wèn)控制 ?數(shù)據(jù)機(jī)密性 ?數(shù)據(jù)完整性 ?用戶(hù)認(rèn)證 ?防抵賴(lài) ?安全審計(jì) 網(wǎng)絡(luò)安全層次 層次 模型 網(wǎng)絡(luò)安全技術(shù) 實(shí)現(xiàn)安全目標(biāo) 用戶(hù) 安全 38 網(wǎng)絡(luò)安全工作的目的 進(jìn)不來(lái) 拿不走 看不懂 改不了 跑不了 黑客攻擊與防范 40 以太幀與 MAC地址 ? 一 、 以太資料幀的結(jié)構(gòu)圖 前同步碼 報(bào)頭 資料區(qū) 資料幀檢查序列（ FCS） 8個(gè)字節(jié)（ 不包括 ） 通常 14個(gè)字節(jié) 461， 500字節(jié) 固定 4字節(jié) 41 以太幀構(gòu)成元素 解釋及作用 前同步碼 Send “I am ready, I will send message” 報(bào)頭 必須有：發(fā)送者 MAC地址 目的MAC地址 共 12個(gè)字節(jié) OR 長(zhǎng)度字段中的字節(jié)總數(shù)信息（ 差錯(cuò)控制 ） OR 類(lèi)型字段 （ 說(shuō)明以太幀的類(lèi)型 ） 資料區(qū) 資料源 IP 目的地 IP 實(shí)際資料和協(xié)議信息 如果資料超過(guò) 1， 500 分解多個(gè)資料幀 ，使用序列號(hào) 如果不夠 46個(gè)字節(jié) ， 數(shù)據(jù)區(qū)末尾加 1 FCS 保證接受到的資料就是發(fā)送出的資料 。 其上有很多協(xié)議： TCP， UDP， ICMP。 DDoS的攻擊原理如圖所示。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng) DDoS攻擊變成一件輕而易舉的事情。所以我們要加強(qiáng)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性。 代理端 —— 運(yùn)行守護(hù)程序的主機(jī)。客戶(hù)端重復(fù)發(fā)送每一個(gè)命令 20次，并且認(rèn)為守護(hù)程 序應(yīng)該至少能接收到其中一個(gè)。A39。 監(jiān) 測(cè) ◆ 掃描客戶(hù)端 /守護(hù)程序的名字。 3. B確認(rèn)收到的 A的數(shù)據(jù)段，將 acknowledge number設(shè)置成 A的 ISN+1。 } if (fork() == 0) { /* 子進(jìn)程 */ close(initsockid)。 89 IP欺騙攻擊的描述 ? 5. Z暫停一小會(huì)兒，讓 A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)?Z看不到這個(gè)包。 93 IP欺騙攻擊的描述 ? 8. 也許有人要問(wèn)，為什么 Z不能直接把自己的 IP設(shè)置成 B的？這個(gè)問(wèn)題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在 ARP沖突、出不了網(wǎng)關(guān)等問(wèn)題。設(shè)置路由器，過(guò)濾來(lái)自外部而信源地址卻是內(nèi)部 IP的報(bào)文。 驅(qū)動(dòng)程序不能正確被安裝。某些 CMOS病毒能夠清除 CMOS存儲(chǔ)器所保存的硬件數(shù)據(jù)。 ? WinBootDir= 啟 動(dòng) 所 需 要 文 件 的 位 置 122 分析問(wèn)題及恢復(fù) ? 缺 省 值 為 安 裝 時(shí) 指 定 的 目 錄 ( 如C:\WINDOWS)， 其 作 用 是 列 出 啟 動(dòng) 所 需 要 文 件 的 位 置。 116 破壞注冊(cè)表的途徑 (5) 應(yīng)用程序添加了錯(cuò)誤的數(shù)據(jù)文件和應(yīng)用程序之間的關(guān)聯(lián)。 109 注冊(cè)表常見(jiàn)問(wèn)題 110 注冊(cè)表常見(jiàn)問(wèn)題 111 注冊(cè)表常見(jiàn)問(wèn)題 無(wú)法運(yùn)行合法的應(yīng)用程序。作者在 3中提到連接 A的 25端口，可我想不明白的 是 513端口的 ISN和 25端口有什么關(guān)系？看來(lái)需要看看 TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。 92 IP欺騙攻擊的描述 ? 7. 如果 Z不是路由器，能否考慮組合使用 ICMP重定向以及 ARP欺騙等技術(shù)？沒(méi)有仔細(xì)分析過(guò)，只是隨便猜測(cè)而已?？墒侨绻@樣，完全不用攻擊 B， bind的時(shí)候指定一個(gè) B上根本不存在的端口即可。 } if (listen(initsockid, 5) 0) { error(listen error)。 ? ⑵誰(shuí)容易上當(dāng)？ IP欺騙技術(shù)之所以獨(dú)一無(wú)二，就在于只能實(shí)現(xiàn)對(duì)某些特定的運(yùn)行 Free TCP/IP協(xié)議的計(jì)算機(jī)進(jìn)行攻擊。 ◆ 如果不能禁止 ICMP協(xié)議，那就禁止主動(dòng)提供或所有的ICMP_ECHOREPLY包。 ◆ 來(lái)自每一個(gè)客戶(hù)端或守護(hù)進(jìn)程的所有數(shù)據(jù)包都可能被偽造。 72 ? 主控端通過(guò) TCP、 UDP、 ICMP或隨機(jī)性使用其中之一的數(shù)據(jù)包向代理端主機(jī) 發(fā)送命令。所以一旦發(fā)現(xiàn)系統(tǒng)中存在 DDoS攻擊的工具軟件要及時(shí)把它清除，以免留下后患?？傊?dāng)你的機(jī)器出現(xiàn)異常情況時(shí)，你最好分析這些情況，防患于未然。實(shí)際上如果服務(wù)器的 TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP連接請(qǐng)求而無(wú)暇理睬客戶(hù)的正常請(qǐng)求（畢竟客戶(hù)端的正常請(qǐng)求比率非常之?。藭r(shí)從正?？蛻?hù)的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況我們稱(chēng)作：服務(wù)器端受到了 SYN Flood攻擊（ SYN洪水攻擊）。 57 DOS原理 58 DOS原理 ? 從圖我們可以看出 DoS攻擊的基本過(guò)程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。 輸送該分組的機(jī)器的 Ether 地址（源址） 接收該分組的機(jī)器的 Ether 地址（宿址 ） 2022年 3月 IP layer 1. IP分組＝ IP header + IP Body 3. IP可將分組細(xì)分為更小的部分段 (fragments)， 以便網(wǎng)絡(luò)傳輸。 35 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） ? 保護(hù) ( PROTECT ) 傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪問(wèn)控制技術(shù)等等。） 18 網(wǎng)絡(luò)的開(kāi)放性 ? 互聯(lián)機(jī)制提供了廣泛的可訪問(wèn)性 ? ClientServer模式提供了明確的攻擊目標(biāo) ? 開(kāi)放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索 ? 用戶(hù)的匿名性為攻擊提供了機(jī)會(huì) 19 技術(shù)的公開(kāi)性 ? 如果不能集思廣益，自由地發(fā)表對(duì)系統(tǒng)的建議，則會(huì)增加系統(tǒng)潛在的弱點(diǎn)被忽視的危險(xiǎn)，因此 Inter要求對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行坦率公開(kāi)地討論。 32 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 隨著信息網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)的安全防護(hù)技術(shù)已逐漸成為一個(gè)新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊(duì)和全社會(huì)的高度重視。 TCP（ Transport control Protocal）傳輸控制協(xié)議具有重排 IP數(shù)據(jù)包順序和超時(shí)確認(rèn)的功能。 TCP宿端口 ：同上 TCP旗標(biāo)字段（ flag）， 含有 1bit的 ACK bit。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。攻擊方法增加了 Mix和 Targa3。 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機(jī)列表。 ◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base 64）成可打印的 ASCII字符。)就成了捕獲TFN2K命令數(shù)據(jù)包的特征了 76 ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* ** ** tfndaemon*** tfnchild*** 77 ? 目前仍沒(méi)有能有效防御 TFN2K拒絕服務(wù)攻擊的方法。 ◆ 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了 TCP、UDP和 ICMP包）。動(dòng)用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問(wèn)，攻擊只以成功為終極目標(biāo)，不在乎手段。首先連向 25端口(SMTP是沒(méi)有安全校驗(yàn)機(jī)制的 )，與 1中類(lèi)似，不過(guò)這次需要記錄 A的 ISN，以及 Z到 A的大致的 RTT(round trip time)。 90 IP欺騙攻擊的描述 ? Z(B) SYN A B SYN+ACK A Z(B) ACK A Z(B) PSH A ...... 6. IP欺騙攻擊利用了 RPC服務(wù)器僅僅依賴(lài)于信源 IP地址進(jìn)行安全校驗(yàn)的特性，建議閱讀rlogind的源代碼。相反，如果 Z修改了自己的 IP，這種 ARP沖突就有可能出現(xiàn)，示具體情況而言。一個(gè)現(xiàn)成的 bug足以讓你取得 root權(quán)限 . 99 ? 其他形式的電子欺騙 電子欺騙還有其他一些形式，諸如 DNS欺騙。最好的情況就是用戶(hù)在使用軟件過(guò)程中沒(méi)有遇到到錯(cuò)誤，而且那些看似微小的錯(cuò)誤，可能會(huì)導(dǎo)致非常嚴(yán)重的后果。 118 破壞注冊(cè)表的途徑 由于注冊(cè)表中的數(shù)據(jù)是非常復(fù)雜的（在第 5章中，我們花費(fèi)了大量的篇幅詳解了注冊(cè)表），所以，用戶(hù)在手工修改注冊(cè)表的時(shí)候，經(jīng)常導(dǎo)致注冊(cè)表中的內(nèi)容的毀壞。 119 分析問(wèn)題及恢復(fù) ? 出 現(xiàn) 注 冊(cè) 表 故 障 的 可 能 原 因 有 三 個(gè)： WIN95 目 錄 中 的 文 件 不 存 在、 崩 潰 或 文 件 中 的 ［ Paths ］ 部 分 丟 失 了。那些做 Beta測(cè)試的軟件，就是因?yàn)橄到y(tǒng)還沒(méi)有定型，還有相當(dāng)多的錯(cuò)誤，希望被測(cè)試用戶(hù)在使用的過(guò)程中發(fā)現(xiàn)。這種情況發(fā)生的可能性很小，然而萬(wàn)一發(fā)生將會(huì)導(dǎo)致不堪設(shè)想的泄密后果。和 IP欺騙等沒(méi)有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時(shí)間。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。因?yàn)?TFN2K的守護(hù)進(jìn)程不會(huì)對(duì)接收到的命令作任何回復(fù)， TFN2K客戶(hù)端一般會(huì)繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。 預(yù) 防 ◆ 只使用應(yīng)用代理型防火墻。 74 ? ◆ 守護(hù)進(jìn)程為每一個(gè)攻擊產(chǎn)生子進(jìn)程。由一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過(guò)程中相互協(xié)同，保證攻擊的連續(xù)性。經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來(lái)的，因此它具有 TFN的特性。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。 2022年 3月 TCP Layer 源端口 宿端口 序 號(hào) 確 認(rèn) 號(hào) HLEN 保留 碼位 窗口 校驗(yàn)和 緊急指針 選 項(xiàng) 填充字節(jié) 數(shù) 據(jù) Words Bits 0 4 8 12 16 20 24 28 31 頭標(biāo) 54 端口掃描攻擊 ? WWW服務(wù) ? ＳＭＴＰ 服務(wù) ? ＰＯＰ３ 服務(wù) ? ＤＮＳ 服務(wù) ? ＳＮＭＰ服務(wù) 55 Sniffer攻擊 56 DOS原理 ? DoS的英文全稱(chēng)是 Denial of Service，也就是“ 拒絕服務(wù) ” 的意思。 TCP按 IP數(shù)據(jù)包原來(lái)的順序進(jìn)行重排?？梢哉f(shuō)信息網(wǎng)絡(luò)的安全與國(guó)家安全密切相關(guān)。 7 冒名頂替 廢物搜尋 身份識(shí)別錯(cuò)誤 不安全服務(wù) 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號(hào)進(jìn)入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽(tīng) 偷竊 網(wǎng)絡(luò)安全威脅 線纜連接 身份鑒別 編程 系統(tǒng)漏洞 物理威脅 網(wǎng)絡(luò)安全威脅的幾種類(lèi)型 8 網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn) ? 網(wǎng)上犯罪形勢(shì)不容樂(lè)觀 ? 有害信息污染嚴(yán)重 ? 網(wǎng)絡(luò)病毒的蔓延和破壞 ? 網(wǎng)上黑客無(wú)孔不入 ? 機(jī)要信息流失與信息間諜潛入 ? 網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán) ? 信息戰(zhàn)的陰影不可忽視 互聯(lián)網(wǎng)正以巨大