【文章內(nèi)容簡(jiǎn)介】 bat 或 .cmd 文件）。當(dāng)命令需要路徑作為參數(shù)時(shí)，請(qǐng)使用絕對(duì)路徑，也就是從驅(qū)動(dòng)器號(hào)開(kāi)始的整個(gè)路徑。如果命令在遠(yuǎn)程計(jì)算機(jī)上，請(qǐng)指定服務(wù)器和共享名的通 用命名協(xié)定 (UNC) 符號(hào)，而不是遠(yuǎn)程驅(qū)動(dòng)器號(hào)。 DoS 攻擊的防范技術(shù) 根據(jù)上述 DoS 攻擊原理和不斷更新的攻擊技術(shù)，很少有網(wǎng)絡(luò)可以免受 DoS攻擊， DoS 防御存在許多挑戰(zhàn)。主要原因：一是分組、分組頭、通信信道等都有可能在攻擊過(guò)程中改變，導(dǎo)致 DoS 攻擊流不存在能用于檢測(cè)和過(guò)濾的共同特性；二是分布資源的協(xié)作使 DoS 攻擊難以防御和跟蹤，同時(shí)，資源、目標(biāo)和中間域之間缺乏合作也不能對(duì)攻擊做出快速、有效和分布式的響應(yīng)；三是攻擊者緊跟安全技術(shù)的進(jìn)展，不斷調(diào)節(jié)攻擊工具逃避安全系統(tǒng)檢查。面對(duì)此種情況，可以從以 下幾個(gè)方面來(lái)防范 DoS 攻擊。 、 加固操作系統(tǒng) 對(duì)各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。重新編譯或設(shè)置 Linux以及各種 BSD系統(tǒng)、 Solaris 和 Windows 等操作系統(tǒng)內(nèi)核中的某些參數(shù)，可在一定程度上提高系統(tǒng)的抗攻擊能力。 、利用防火墻 防火墻是防御 DoS攻擊最有效的辦法，目前很多廠商的防火墻中都注入了專門(mén)針對(duì) DoS 攻擊的功能?，F(xiàn)在防火墻中防御 DoS攻擊的主流技術(shù)主要有兩種：連接監(jiān)控（ TCP Interception）和同步網(wǎng)關(guān)（ SYN Gateway）兩種。 、利用負(fù)載均 衡技術(shù) 就是把應(yīng)用業(yè)務(wù)分布到幾臺(tái)不同的服務(wù)器上，甚至不同的地點(diǎn)。采用循環(huán)DNS服務(wù)或者硬件路由器技術(shù)，將進(jìn)入系統(tǒng)的請(qǐng)求分流到多臺(tái)服務(wù)器上。這種方法要求投資比較大，相應(yīng)的維護(hù)費(fèi)用也高。 、帶寬限制和 QoS 保證 通過(guò)對(duì)報(bào)文種類、來(lái)源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)，穩(wěn)定可靠的資源供給，防止有限資源被過(guò)度消耗。以上方法對(duì)流量小、針對(duì)性強(qiáng)、結(jié)構(gòu)簡(jiǎn)單的 DoS 攻擊進(jìn)行防范還是很有效的。而對(duì)于 DDoS 攻擊、 DRoS 攻擊等攻擊，則需要能夠應(yīng)對(duì)大流量的防范措施和技術(shù)，需要能夠綜合多種算法、集多種網(wǎng)絡(luò)設(shè)備功能 的集成技術(shù)。 參考文獻(xiàn) [1] （美） Bruce Schneier．網(wǎng)絡(luò)信息安全的真 相 [M]．北京：機(jī)械工業(yè)出版社 .2020 [2] 王忠誠(chéng)．電子商務(wù)安全 [M] 北京：機(jī)械工 業(yè)出版社 .2020 [3] 肖軍模．網(wǎng)絡(luò)信息安全 [M]．北京：機(jī)械 工業(yè)出版社 .2020 [4] 蔣漢生．電子商務(wù)安全導(dǎo)論 [M]．遼寧： 遼寧教育出版社 .2020 DDOS 的攻擊與防范 1 概要 DDOS 是英文“ Distributed Denial of Service”的縮寫(xiě)，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（ Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問(wèn)，從而達(dá)成攻擊者不可告人的目的。雖然同樣是拒絕服務(wù)攻擊，但是 DDOS 和 DOS還是有所不同， DDOS 的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”（被攻擊者入侵過(guò)或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致 拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見(jiàn)的 DDOS 攻擊手段有 SYN Flood、 ACK Flood、 UDP Flood、 ICMP Flood、TCP Flood、 Connections Flood、 Script Flood、 Proxy Flood 等；而 DOS 則側(cè)重于通過(guò)對(duì)主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)功能 ，從而造成拒絕服務(wù)，常見(jiàn)的 DOS 攻擊手段有TearDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、 OOB 等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是 DDOS 攻擊，原因是很難防范，至于 DOS攻擊，通過(guò)給主機(jī)服務(wù)器打補(bǔ)丁或安裝防火墻軟件就可以很好地防范，后文會(huì)詳細(xì)介紹怎么對(duì)付 DDOS 攻擊。 DDOS 的攻擊原理 眾所周知， DoS(Denial of Service，拒絕服務(wù)攻擊 ) 是 DDoS 的基礎(chǔ)，它利用了 TCP 三次握手過(guò)程的空子。攻 擊者首先向服務(wù)器發(fā)送帶有 虛假地址的 Syn連接請(qǐng)求，服 務(wù)器接 ~lJSyn 請(qǐng)求信息之后就發(fā)送 Syn+ACK 或 RST 回復(fù) 信息，然后等待回傳信息。由于地址是虛假的，所以服 務(wù)器一直等不到回傳的消息分配給這次請(qǐng)求的服務(wù)器 資源就始終無(wú)法被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后， 連接會(huì)因超時(shí)而被中斷。攻擊者會(huì)再度傳送一批新的請(qǐng) 求，在這種反復(fù)不斷地、無(wú)休止地發(fā)送偽地址請(qǐng)求的情 況下，服務(wù)器資源在漫長(zhǎng)的回應(yīng)等待中最終被耗盡。 單一的 DoS 攻擊是一對(duì)一的。若被攻擊目標(biāo)計(jì)算機(jī) 的 CPU 速度低、內(nèi)存小或網(wǎng)絡(luò)帶寬窄等各項(xiàng)性能指標(biāo)不 高，其攻擊效果比較 明顯。然而，隨著計(jì)算機(jī)處理能力 的大大提高和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，其對(duì)惡意攻擊包的 承受能力大為提高，使得攻擊者對(duì)目標(biāo)的攻擊效果大打 折扣。于是攻擊者們又找到了另一種新的 DoS 攻擊方法， RpDDoS。 DDoS 是利用多臺(tái)計(jì)算機(jī)，采用分布式對(duì)單個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)起 DoS 攻擊。攻擊者首先尋找在互聯(lián) 網(wǎng)上有系統(tǒng)漏洞 (Bug)的計(jì)算機(jī)，竊取其 IP 地址、用戶名 和登錄密碼等數(shù)據(jù)，進(jìn)入系統(tǒng)后安裝后門(mén)程序，即木馬 病毒。這些被安裝了特定程序、受到攻擊者控制的各類計(jì)算機(jī)，充當(dāng)了傀儡角色。攻擊者發(fā)動(dòng)攻擊的時(shí)候，通常攻擊者本身并不 直接參與，而是利用這些傀儡。攻擊時(shí)，攻擊者向主控端發(fā)送攻擊命令，主控端又把這些指令送到代理主 機(jī)上，代理端是真正向受害者發(fā)起攻擊的 直接執(zhí)行者。 DoS 攻擊只需要一臺(tái)單機(jī)和一個(gè)調(diào)制解調(diào)器 (Modem) 就可實(shí)現(xiàn)，算是“單打”；而 DDoS 攻擊是利用一大批受控制的計(jì)算機(jī)向目標(biāo)同時(shí)發(fā)起攻擊，采用狼群戰(zhàn)術(shù)，屬于“群毆”。這樣來(lái)勢(shì)迅猛的、從不同方向不同渠道來(lái) 的密集攻擊令人難以防備，因此具有較大的破壞性。 現(xiàn)今全球網(wǎng)絡(luò)廣泛連接，給我們的生活帶來(lái)了方便，同時(shí)也為 DDoS 攻擊創(chuàng)造了極為有利的條件?，F(xiàn)在，各大城市之間網(wǎng)絡(luò)帶 寬都為 G 級(jí)，這使得網(wǎng)絡(luò)攻擊者更容易從遠(yuǎn)程城市，甚至從其他國(guó)家發(fā)起攻擊，受控制的代理端主機(jī)可以分布在更大范圍，甚至可以跨越國(guó)界遍布全世界，選擇和利用它更靈活、更方便，攻擊者隱藏起來(lái)更難以尋跡。上面提及的韓國(guó)的網(wǎng)絡(luò)攻擊事件充分證明了這一點(diǎn)。 DDoS 防范方法 DDoS 攻擊主要分兩大類：帶寬耗盡型和資源耗盡 型。①帶寬耗盡型主 要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，導(dǎo)致帶寬消耗不能提供正常的服務(wù)。例如：常見(jiàn)的 Smurf攻擊、 UDP Flood 攻擊、 MStream Flood 攻擊等，都屬于此類型。針對(duì)此類攻擊一般采取的措施是 QoS，即在路由器或 防火墻上針對(duì)此類數(shù)據(jù)流進(jìn)行限制流量，從而保障正常 帶寬的使用。單純帶寬耗盡型攻擊較易被識(shí)別，并被丟 棄。②資源耗盡型是攻擊者利用服務(wù)器處理缺陷，消耗 目標(biāo)服務(wù)器的關(guān)鍵資源， ~MCPU、內(nèi)存等，導(dǎo)致無(wú)法提供正常服務(wù)，常見(jiàn)的有 TCP Syn Flood 攻擊等。資源耗盡型攻擊利用系統(tǒng)對(duì)正常網(wǎng)絡(luò)協(xié)議處理的缺陷， 使系統(tǒng)難以分辨正常流和攻擊流，因此防范難度較大。 根據(jù) DDoS 的攻擊原理，對(duì) DDoS 攻擊的防范主要分 為三層：攻擊源端防范、骨干網(wǎng)防范和目標(biāo)端防范。對(duì)于第一層攻擊源端而言，由于攻擊者發(fā)動(dòng)攻擊之后，往往刪除攻擊命令等痕跡，隱藏起來(lái)，再加上網(wǎng)絡(luò)上聯(lián)網(wǎng)協(xié)議的缺陷和無(wú)國(guó)界性，以目前的國(guó)家機(jī)制和法律很難追蹤和懲罰國(guó)外的 DDoS 攻擊者。對(duì)于第二層大型電信骨干網(wǎng)來(lái)說(shuō)，他們需滿足各種不同用戶的服務(wù)要求，其認(rèn)證和授權(quán)問(wèn)題難以解決，所以在節(jié)點(diǎn)上實(shí)行限制，實(shí)現(xiàn)起來(lái)難度很大。因此，第三層的目標(biāo)端防范技術(shù)，作為最實(shí)際的防范措施，得到 廣泛的應(yīng)用。 本人寫(xiě)的只是討論目標(biāo)端路由器防范。用戶端路由器的 ACL*M~E 流是比較有效的防范措施，例如對(duì)特征攻擊包 進(jìn)行訪問(wèn)限制；發(fā)現(xiàn)有攻擊嫌疑的 IP包就丟棄；或者對(duì) 異常流量進(jìn)行限制等。 過(guò)濾廣播欺騙 (Broadcast Spoofing) Smurf 攻擊通常使用 IP欺騙使網(wǎng)絡(luò)產(chǎn)生大量的響應(yīng) ICMP 回復(fù)請(qǐng)求。路由器上設(shè)置 Access list 和 Filtering directed broadcast 可阻斷某些 Smurf 攻擊。 可濾掉的 IP地址域： 0． 0． 0． 0／ 8： Default／ Broadcastamp。Other unique IP 127． 0． 0． 0／ 8： Host Loopback IP address 169． 254． 0． 0／ 16： DHCP 中自動(dòng)生成的 IP 192． 0． 2． 0／ 24： TEST～ NET IP 10． 0． 0． 0／ 8， 172． 16． 0． 0／ 12， 192． 168． 0． 0／ 16： RFC 1918 上定義的 IP Acces list set Router(config)acceslist 101 deny ip 0． 0． 0． 0 0． 255． 255． 255 any Router(config)acceslist 101 deny ip 10． 0． 0． 0 0． 255． 255． 255 any R0uter(confjg)access— list l 0l deny ip 127． 0． 0． 0 0． 255． 255． 255 any Router(config)access— list 1 0 1 deny ip 169． 254． 0． 0 0． 0． 255． 255 any Router(config)accesslist l01 deny ip 192． 0． 2． 0 0． 0． 0． 255 any Router(config)access— list 101 deny ip 172． 16． 0． 0 0． 15． 255． 255 any Router(config)accesslist 1 0 1 deny ip 192． 168． 0． 0 0． 0． 255． 255 any Router(config)access— list 101 deny ip{內(nèi)部網(wǎng) IP組 }any Router(config)accesslist l 0 1 permit ip any any Router(config)interface serial 0 Router(config— if)ip acces— group 1 0 1 in Cisco 7000 Series Router Acces list set(Turbo ACL enable) Router(config)acceslist piled Filtering directed broadcast Router(config— if)no ip directed broadcast 利用反向路徑轉(zhuǎn)發(fā) (RPF)過(guò)濾源 IP 欺騙 Cisco 路由器上使用“ ip verfy unicast reverse～ path”網(wǎng)絡(luò)接口命令，這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包。在路由器的 CEF(Cisco Expres Forwarding) 表中，該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒(méi)有該數(shù)據(jù)包源 IP 地址的路由，該數(shù)據(jù)包將被丟棄。 RPF Rule Set Router(config)ip cef Router(config—— if)ip verify unicast reversepath 使用 Unicast RPF 需要打開(kāi)路由器的“＼ CEF swithing＼”或“＼ CEF distributed switching＼”選項(xiàng)， 不需要將輸入接口配置為 CEF 交換。只要該路由器打開(kāi) 了 CEF 功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其他交換模式。 DualHomed Routing RPF Rule Set Router(config)ip cef 一 cef enable Router(config— if)ip verify unicast source reachable—— via any 過(guò)濾 TCP Syn Flooding(Syn 洪水攻擊 ) 如上所述，客戶端與服務(wù)器建立連接，是 TCP 的三次握手來(lái)實(shí)現(xiàn)的。攻擊者 利用發(fā)送