【正文】 必須連接到 Inter，但是與路由器之間只有一條單一的連接，服務(wù)器運(yùn)行在一臺(tái)單一的計(jì)算機(jī)上，這樣的設(shè)計(jì)就不是完善的。 ? 這種情況下，攻擊者對(duì)路由器或服務(wù)器進(jìn)行 DoS攻擊，使運(yùn)行關(guān)鍵任務(wù)的應(yīng)用程序被迫離線。理想情況下，公司不僅要有多條與 Inter的連接，最好有不同地理區(qū)域的連接。 ? 公司的服務(wù)位置越分散， IP地址越分散，攻擊同時(shí)尋找與定位所有計(jì)算機(jī)的難度就越大。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 114 帶寬限制 ? 當(dāng) DoS攻擊發(fā)生時(shí)，針對(duì)單個(gè)協(xié)議的攻擊會(huì)損耗公司的帶寬，以致拒絕合法用戶的服務(wù)。例如，如果攻擊者向端口 25發(fā)送洪水般的數(shù)據(jù)，攻擊者會(huì)消耗掉所有帶寬，所以試圖連接端口80的用戶被拒絕服務(wù)。 ? 一種防范方法是限制基于協(xié)議的帶寬。例如，端口 25只能使用 25％的帶寬，端口 80只能使用 50％的帶寬。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 115 及時(shí)給系統(tǒng)安裝補(bǔ)丁 ? 當(dāng)新的 DoS 攻擊出現(xiàn)并攻擊計(jì)算機(jī)時(shí)，廠商一般會(huì)很快確定問(wèn)題并發(fā)布補(bǔ)丁。如果一個(gè)公司關(guān)注最新的補(bǔ)丁，同時(shí)及時(shí)安裝，這樣被 DoS攻擊的機(jī)會(huì)就會(huì)減少。 ? 記住：這些措施并不能阻止 DoS攻擊耗盡公司的資源。還有在安裝補(bǔ)丁之前，先要對(duì)其進(jìn)行測(cè)試。即使廠商聲明它可以彌補(bǔ) DoS漏洞，這并不意味著不會(huì)產(chǎn)生新的問(wèn)題。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 116 運(yùn)行盡可能少的服務(wù) ? 運(yùn)行盡可能少的服務(wù)可以減少被攻擊成功的機(jī)會(huì)。 ? 如果一臺(tái)計(jì)算機(jī)開(kāi)了 20個(gè)端口，這就使得攻擊者可以在大的范圍內(nèi)嘗試對(duì)每個(gè)端口進(jìn)行不同的攻擊。相反，如果系統(tǒng)只開(kāi)了兩個(gè)端口，這就限制了攻擊者攻擊站點(diǎn)的攻擊類型。 ? 另外，當(dāng)運(yùn)行的服務(wù)和開(kāi)放的端口都很少時(shí)，管理員可以容易的設(shè)置安全，因?yàn)橐O(jiān)聽(tīng)和擔(dān)心的事情都很少了。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 117 只允許必要的通信 ? 這一防御機(jī)制與上一個(gè)標(biāo)準(zhǔn) “ 運(yùn)行盡可能少的服務(wù) ” 很相似，不過(guò)它側(cè)重于周邊環(huán)境，主要是防火墻和路由器。關(guān)鍵是不僅要對(duì)系統(tǒng)實(shí)施最少權(quán)限原則，對(duì)網(wǎng)絡(luò)也要實(shí)施最少權(quán)限原則。確保防火墻只允許必要的通信出入網(wǎng)絡(luò)。 ? 許多公司只過(guò)濾進(jìn)入通信，而對(duì)向外的通信不采取任何措施。這兩種通信都應(yīng)該過(guò)濾。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 118 封鎖敵意 IP地址 ? 當(dāng)一個(gè)公司知道自己受到攻擊時(shí)，應(yīng)該馬上確定發(fā)起攻擊的 IP地址，并在其外部路由器上封鎖此 IP地址。這樣做的問(wèn)題是，即使在外部路由器上封鎖了這些 IP地址，路由器仍然會(huì)因?yàn)閿?shù)據(jù)量太多而擁塞，導(dǎo)致合法用戶被拒絕對(duì)其他系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)。 ? 因此，一旦公司受到攻擊應(yīng)立刻通知其 ISP和上游提供商封鎖敵意數(shù)據(jù)包。因?yàn)?ISP擁有較大的帶寬和多點(diǎn)的訪問(wèn)，如果他們封鎖了敵意通信，仍然可以保持合法用戶的通信，也可以恢復(fù)遭受攻擊公司的連接。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 119 分布式拒絕服務(wù)攻擊的防御 ? 分布式拒絕服務(wù)攻擊的監(jiān)測(cè) ? 分布式拒絕服務(wù)攻擊的防御 ? 拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì) 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 120 分布式拒絕服務(wù)攻擊的監(jiān)測(cè) ? 許多人或工具在監(jiān)測(cè)分布式拒絕服務(wù)攻擊時(shí)常犯的錯(cuò)誤是只搜索那些 DDoS工具的缺省特征字符串、缺省端口、缺省口令等。 ? 人們必須著重觀察分析 DDoS網(wǎng)絡(luò)通訊的普遍特征，不管是明顯的，還是模糊的。 ? 使用網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)（ NIDS），根據(jù)異?，F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)上建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測(cè)出 DDoS攻擊。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 121 分布式拒絕服務(wù)攻擊的監(jiān)測(cè) ? 實(shí)際上， DDoS的唯一檢測(cè)方式是：異常的網(wǎng)絡(luò)交通流量。 ? 下面將分別介紹 5種異常模式及相應(yīng)的解決辦法。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 122 異?，F(xiàn)象 1 ? 大量的 DNS PTR查詢請(qǐng)求 ? 根據(jù)分析，攻擊者在進(jìn)行 DDoS攻擊前總要解析目標(biāo)的主機(jī)名。 BIND域名服務(wù)器能夠記錄這些請(qǐng)求。由于每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出 PTR反向查詢請(qǐng)求，也就是說(shuō)在 DDoS攻擊前域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo)IP主機(jī)名的 PTR查詢請(qǐng)求。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 123 異?，F(xiàn)象 2 ? 超出網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量 ? 當(dāng) DDoS攻擊一個(gè)站點(diǎn)時(shí)，會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠分別對(duì)不同的源地址計(jì)算出對(duì)應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)就表明存在DDoS攻擊的通訊。 ? 因此可以在主干路由器端建立 ACL訪問(wèn)控制規(guī)則以監(jiān)測(cè)和過(guò)濾這些通訊。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 124 異常現(xiàn)象 3 ? 特大型的 ICMP和 UDP數(shù)據(jù)包。 ? 正常的 UDP會(huì)話一般都使用小的 UDP包，通常有效數(shù)據(jù)內(nèi)容不超過(guò) 10字節(jié)。正常的 ICMP消息也不會(huì)超過(guò) 64到 128字節(jié)。 ? 那些明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項(xiàng)。一旦捕獲到（沒(méi)有經(jīng)過(guò)偽造的）控制信息通訊， DDoS服務(wù)器的位置就無(wú)所遁形了，因?yàn)榭刂菩畔⑼ㄓ崝?shù)據(jù)包的目標(biāo)地址是沒(méi)有偽造的。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 125 異常現(xiàn)象 4 ? 不屬于正常連接通訊的 TCP和 UDP數(shù)據(jù)包。 ? 隱蔽的 DDoS工具隨機(jī)使用多種通訊協(xié)議通過(guò)基于無(wú)連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，那些連接到高于 1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 126 異?，F(xiàn)象 5 ? 數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符（例如，沒(méi)有空格、標(biāo)點(diǎn)和控制字符）的數(shù)據(jù)包。 ? 這往往是數(shù)據(jù)經(jīng)過(guò) BASE64編碼后而只會(huì)含有base64字符集字符的特征。 TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。 TFN2K（及其變種）的特征模式是在數(shù)據(jù)段中有一串 A字符（ AAA…… ），這是經(jīng)過(guò)調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒(méi)有使用 BASE64編碼，對(duì)于使用了加密算法數(shù)據(jù)包，這個(gè)連續(xù)的字符就是 “ \0” 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 127 分布式拒絕服務(wù)攻擊的防御 ? 雖然還沒(méi)有很好的措施來(lái)徹底解決分布式拒絕服務(wù)攻擊問(wèn)題，但下面有一些措施能降低系統(tǒng)受到拒絕服務(wù)攻擊的危害 : ? 優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu) ? 保護(hù)網(wǎng)絡(luò)及主機(jī)系統(tǒng)安全 ? 安裝入侵檢測(cè)系統(tǒng) ? 與 ISP服務(wù)商合作 ? 使用掃描工具 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 128 優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu) ? 理想情況下，提供的服務(wù)不僅要有多條與Inter的連接，而且最好有不同地理區(qū)域的連接。這樣服務(wù)器 IP地址越分散，攻擊者定位目標(biāo)的難度就越大，當(dāng)問(wèn)題發(fā)生時(shí)，所有的通信都可以被重新路由，可以大大降低其影響。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 129 保護(hù)網(wǎng)絡(luò)及主機(jī)系統(tǒng)安全 ? 本質(zhì)上，如果攻擊者無(wú)法獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)，無(wú)法攻克一臺(tái)主機(jī)，他就無(wú)法在系統(tǒng)上安裝 DDoS服務(wù)器。要使一個(gè)系統(tǒng)成為服務(wù)器，首先要以某種手段攻克它。 ? 如果周邊環(huán)境不會(huì)被突破，系統(tǒng)能夠保持安全，就不會(huì)被用于攻擊其他系統(tǒng)。 ? 對(duì)所有可能成為目標(biāo)的主機(jī)都進(jìn)行優(yōu)化，禁止不必要的服務(wù)，可以減少被攻擊的機(jī)會(huì)。要注意保護(hù)主機(jī)系統(tǒng)的安全，避免其被攻擊者用作傀儡主機(jī)，充當(dāng) DDoS的間接受害者。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 130 安裝入侵檢測(cè)系統(tǒng) ? 能否盡可能快地探測(cè)到攻擊是非常關(guān)鍵的。以DDoS的角度來(lái)看，單位越快探測(cè)到系統(tǒng)被入侵或服務(wù)器被用來(lái)進(jìn)行攻擊，該單位的網(wǎng)絡(luò)狀況越好。 ? 借助于入侵檢測(cè)系統(tǒng)（ IDS）可以完成這一工作。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 131 安裝入侵檢測(cè)系統(tǒng) ? 有兩種常用的 IDS:基于網(wǎng)絡(luò)的和基于主機(jī)的。 ? 基于網(wǎng)絡(luò)的 IDS是網(wǎng)絡(luò)上被動(dòng)的設(shè)備，負(fù)責(zé)嗅探通過(guò)給定網(wǎng)段的所有數(shù)據(jù)包。通過(guò)查看數(shù)據(jù)包，查找顯示可能的攻擊的簽名并對(duì)可疑行為發(fā)出警報(bào)。 ? 基于主機(jī)的 IDS運(yùn)行在一臺(tái)獨(dú)立的服務(wù)器上，并經(jīng)常查看審計(jì)日志以查找可能的攻擊信息。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 132 安裝入侵檢測(cè)系統(tǒng) ? 正如有兩種類型 IDS一樣，也有兩種構(gòu)建 IDS的技術(shù)：樣式匹配和不規(guī)則探測(cè)。 ? 樣式匹配技術(shù) 有一個(gè)關(guān)于已知攻擊特征的數(shù)據(jù)庫(kù)。當(dāng)它找到與給定樣式相同的數(shù)據(jù)包時(shí)就發(fā)出警報(bào)。 ? 不規(guī)則探測(cè)系統(tǒng) 決定什么是網(wǎng)絡(luò)的正常通信，任何不符合這一規(guī)則的通信都被標(biāo)為可疑的。 ? 可以想象，基于不規(guī)則探測(cè)的系統(tǒng)實(shí)現(xiàn)起來(lái)十分困難，因?yàn)閷?duì)于一個(gè)公司正常的通信對(duì)于另一個(gè)公司則是不正常的。因此大多數(shù)入侵檢測(cè)系統(tǒng)都是 基于樣式匹配技術(shù) 的。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 133 與 ISP合作 ? 這一點(diǎn)非常重要。 DDoS攻擊非常重要的一個(gè)特點(diǎn)是洪水般的網(wǎng)絡(luò)流量，耗用了大量帶寬，單憑自己管理網(wǎng)絡(luò)，是無(wú)法對(duì)付這些攻擊的。當(dāng)受到攻擊時(shí)，與 ISP協(xié)商，確定發(fā)起攻擊的 IP地址，請(qǐng)求 ISP實(shí)施正確的路由訪問(wèn)控制策略，封鎖來(lái)自敵意 IP地址的數(shù)據(jù)包，減輕網(wǎng)絡(luò)負(fù)擔(dān)，防止網(wǎng)絡(luò)擁塞，保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 134 使用掃描工具 ? 由于許多公司網(wǎng)絡(luò)安全措施都進(jìn)行得很慢，它們的網(wǎng)絡(luò)可能已經(jīng)被攻克并用作了 DDoS服務(wù)器，因此要掃描這些網(wǎng)絡(luò)查找 DDoS服務(wù)器并盡可能的把它們從系統(tǒng)中關(guān)閉刪除。 ? 一些工具可以做到這些，而且大多數(shù)商業(yè)的漏洞掃描程序都能檢測(cè)到系統(tǒng)是否被用作DDoS服務(wù)器。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 135 拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì) ? 利用總結(jié)出的若干拒絕服務(wù)攻擊數(shù)據(jù)包的特征，可以進(jìn)行拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì)，建立網(wǎng)絡(luò)通信中異?，F(xiàn)象的模式庫(kù)，把實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包與模式庫(kù)進(jìn)行模式匹配，得到監(jiān)控結(jié)果。 ? 下頁(yè)為監(jiān)控系統(tǒng)的結(jié)構(gòu)圖。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 136 拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì) 模式庫(kù) 分析單元 分析報(bào)告 采集庫(kù) 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 137 拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì) ? 上圖中，采集器用來(lái)收集網(wǎng)絡(luò)通信信息，并向分析單元提供分析所需的數(shù)據(jù)，同時(shí)還能接收分析單元的指令，進(jìn)一步采集分析單元所需的特定信息。 ? 分析單元可以采用人工神經(jīng)元網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)采集信息和模式庫(kù)進(jìn)行模式匹配得出分析報(bào)告，同時(shí)定期進(jìn)行自學(xué)習(xí)，更新模式庫(kù)，及時(shí)跟蹤并反映拒絕服務(wù)攻擊模式的最新動(dòng)態(tài)。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 138 小結(jié) ? 無(wú)論是 DoS還是 DDoS攻擊，其目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，表現(xiàn)為 : ? 制造大流量無(wú)用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法正常和外界通信。 ? 利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理其它正常的請(qǐng)求。 ? 利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身的實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤的分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)。 ? DoS/DDoS攻擊是很有效的攻擊方式，必須注意防范這種攻擊。 2023/3/24 網(wǎng)絡(luò)入侵與防范講義 139 ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , March 24, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 10:35:3510:35:3510:353/24/2023 10:35:35 AM ? 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :35:3510:35Mar2324Mar23 ? 1故人江海別，幾度隔山川。 10:35:3510:35:3510:35Friday, March 24, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :35:3510:35:35March 24, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 3月 24日星期五 上午 10時(shí) 35分 35秒 10:35: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 上午 10時(shí) 35分 :35March 24, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 24日星期五 10時(shí) 35分 35秒 10:35:3524 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 上午 10時(shí) 35分 35秒 上午 10時(shí) 35分 10:35: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 , March 24, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 10:35:3510:35:3510:353/24/2023 10:35:35 AM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :35:3510:3