【正文】 ? WinBootDir= 啟 動 所 需 要 文 件 的 位 置 121 BNCC 分析問題及恢復 ? 缺 省 值 為 安 裝 時 指 定 的 目 錄 ( 如C:\WINDOWS)， 其 作 用 是 列 出 啟 動 所 需 要 文 件 的 位 置。 ? 如 果 是 第 一、 二 種 原 因， 可 用 下 面 的 方 法 進 行 恢 復： ? 1. 進 入 WIN95 目 錄， 看 看 及 文 件 是 否 存 在： ? attrib/ attrib ? 2. 如 果 、 兩 文 件 存 在， 則 做 第 4 步； 否 則 跳 到 第 5 步。 (4) 硬盤錯誤 由于硬盤質(zhì)量不穩(wěn)定，導致系統(tǒng)受到破壞。某些 CMOS病毒能夠清除 CMOS存儲器所保存的硬件數(shù)據(jù)。 115 BNCC 破壞注冊表的途徑 (5) 應用程序添加了錯誤的數(shù)據(jù)文件和應用程序之間的關(guān)聯(lián)。 114 BNCC 破壞注冊表的途徑 (2)驅(qū)動程序的不兼容性 雖然驅(qū)動程序一般都經(jīng)過了比較周密的測試，但是由于 PC的體系結(jié)構(gòu)是一個開放性的體系結(jié)構(gòu)，誰也不能確認每個驅(qū)動程序會和哪些其他程序協(xié)同工作。 113 BNCC 破壞注冊表的途徑 破壞注冊表的途徑 破壞注冊表的主要途徑可以歸結(jié)為如下三大類： 由于用戶經(jīng)常地在 Windows 95/98上添加或者刪除各種應用程序和驅(qū)動程序，因此，基于以下幾種情況，注冊表有被破壞的可能性： (1)應用程序的錯誤 在實際使用過程中，很少有完全沒有錯誤的應用程序。 驅(qū)動程序不能正確被安裝。 108 BNCC 注冊表常見問題 109 BNCC 注冊表常見問題 110 BNCC 注冊表常見問題 無法運行合法的應用程序。 97 BNCC 未雨綢繆 ? 估計 Linux下容易做到，那 solaris、 irix、hpunix還有 aix呢？ sigh 雖然作者紙上談兵，但總算讓我們了解了一下 IP欺騙攻擊，我實驗過預測sequence number，不是 ISN，企圖切斷一個 TCP連接，感覺難度很大。預防這種攻擊還是比較容易的， 比如刪除所有的 /etc/、 $HOME/.rhosts文件，修改 /etc/ ，使得 RPC機制無法運做，還可以殺掉 portmapper等等。嘗試過，也很困難。攻擊中連帶 B一起攻擊了，其目的無非是防止 B干擾了攻擊過程， 如果 B本身已經(jīng) down掉，那是再好不過 93 BNCC IP欺騙攻擊的描述 ? 9. fakeip曾經(jīng)沸沸揚揚了一下，對之進行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的?；叵胛仪懊尜N過的 ARP欺騙攻擊，如果 B的 ARP Cache沒有受到影響，就不會出現(xiàn) ARP沖突。注意 IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。攻擊最困難的地方在于預測A的 ISN。如果預測準確，連接建立，數(shù)據(jù)傳送開始?？傊?，覺得作者好象在蒙我們，他自己也沒有實踐成功過吧。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無法響應 (憑什么？按照作者在 2中所說，估計還達不到這個效果，因為 Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會完成全相關(guān)，自動指定本地 socket地址和端口，可事實上 B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。這個步驟要重復多次以便求出 RTT的平均值。 /* 處理客戶方請求 */ exit(0)。) { newsockid = accept(initsockid, ...)。t create socket)。 2. 假設(shè) Z已經(jīng)知道了被信任的 B，應該想辦法使 B的網(wǎng)絡(luò)功能暫時癱瘓，以免對攻擊造成干擾。注意，如何才能知道 A信任 B呢？沒有什么確切的辦法。并將 TCP報頭中的 sequence number設(shè)置成自己本次連接的初始值 ISN。 79 BNCC IP欺騙的原理 ? ⑴什么是 IP電子欺騙攻擊？ 所謂 IP欺騙，無非就是偽造他人的源 IP地址。 響 應 一旦在系統(tǒng)中發(fā)現(xiàn)了 TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M行。 ◆ 掃描系統(tǒng)內(nèi)存中的進程列表。 ◆ 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。 ◆ 禁止不必要的 ICMP、 TCP和 UDP通訊。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會有一個?？赡苁鞘韬龅脑颍用芎蟮?Base 64編碼在每一個 TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關(guān)）。 這個功能使 TFN2K偽裝成代理端主機的普通正常進程。 TFN2K 守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。 ◆ TFN2K命令不是基于字符串的，而采用了 ++格式，其中是 代表某個特定命令的數(shù)值，則是該命令的參數(shù)。 ? ◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了 ICMP總是使用 ICMP_ECHOREPLY類型數(shù)據(jù)包。而且主控端還能偽造其 IP地址。代理端據(jù)此對目標進行拒絕服務攻擊。 70 BNCC 分布式拒絕服務（ DDoS）攻擊工具分析 TFN2K ? TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協(xié)同攻擊。 守護程序 —— 在代理端主機運行的進程，接收和響應來自客戶端的命令。 ? 68 BNCC DDoS攻擊的防御策略 當你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，你應當啟動您的應付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系 ISP和有關(guān)應急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。建立邊界安全界限，確保輸出的包受到正確限制。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。 66 BNCC DDoS的監(jiān)測 ? 現(xiàn)在網(wǎng)上采用 DDoS方式進行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。并且 TFN2K可配置的代理端進程端口。 Trinoo ? Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務，乃至崩潰。 第二種方法是設(shè)置 SYN Cookie，就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP的重復 SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。 以上的連接過程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。 代理端 ： 代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。 攻擊者 ：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。 58 BNCC DDOS原理 ? DDoS（分布式拒絕服務），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。 DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。 本體內(nèi)是實際要傳送的數(shù)據(jù)。 IP 分段： Firewall只處理首段，而讓所有非首段通過。 2. IP header包括： IP源地址： 4 bytes, eg. IP的目的地址 ：同上 IP協(xié)議類型 ：說明 IP Body中是 TCP分組或是 UDP分組， ICMP等 IP選擇字段 ：常空，用于 IP源路由 或 IP安全選項的標識 IP 分組字段 版本 IHL 服務類型 總長度 標識 O 分段偏差 有效期 協(xié)議 報頭校驗和 源地址 宿地址 選項 填充 數(shù)據(jù) O M F F 32 BIT 過濾字段 50 BNCC IP: 處于 Inter中間層次。超時機制是自動的，不依賴于通訊線路的遠近。 IP數(shù)據(jù)包可能從不同的通信線路到達目的地機器， IP數(shù)據(jù)包的順序可能序亂。 入口： ARP高速緩存 。 35 BNCC 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護體系 （ PDRR ） ? 響應 ( RESPONSE ) 在遭遇攻擊和緊急事件時及時采取措施，包括調(diào)整系統(tǒng)的安全措施、跟蹤攻擊源和保護性關(guān)閉服務和主機等。美國在信息保障方面的一些舉措 ,如：成立關(guān)鍵信息保障辦公室、國家基礎(chǔ)設(shè)施保護委員會和開展對信息戰(zhàn)的研究等等，表明美國正在尋求一種信息系統(tǒng)防御和保護的新概念，這應該引起我們的高度重視。隨著我國政府、金融等重要領(lǐng)域逐步進入信息網(wǎng)絡(luò)，國家的信息網(wǎng)絡(luò)已成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的又一個安全防衛(wèi)領(lǐng)域，逐漸成為國家安全的最高價值目標之一。局限性在于：只考慮增強系統(tǒng)的健壯性，僅綜合了技術(shù)和管理因素，僅采用了技術(shù)防護。 19 BNCC 人類的天性 ? 好奇心 這扇門為什么鎖上，我能打開嗎？ ? 惰性和依賴心理 安全問題應由專家來關(guān)心 ? 恐懼心理 家丑不可外揚 20 BNCC 網(wǎng)絡(luò)攻擊形式 ? 按網(wǎng)絡(luò)服務分： EMail、 FTP、 Tel、 R服務、 IIS ? 按技術(shù)途徑分： 口令攻擊、 Dos攻擊、種植木馬 ? 按攻擊目的分： 數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù) 21 BNCC 主要攻擊與威脅 —— 十大攻擊手段 ： 使目標系統(tǒng)或網(wǎng)絡(luò)無法提供正常服務 網(wǎng)絡(luò) Flooding:syn flooding、 ping flooding 、 DDos 系統(tǒng) Crash: Ping of death、 淚滴 、 land 、 WinNuke 應用 Crash/Overload： 利用應用程序缺陷 ， 如長郵件 ： 系統(tǒng)弱點探察 SATAN、 ISS 、 Cybercop Scanner 、 ping （嗅探加 密口令 ,口令文件 ) 22 BNCC : 弱口令 口令竊?。?嗅探器 、 偷窺 、 社會工程 （ 垃圾 、 便條 、 偽裝查詢 ） 口令猜測： 常用字 — 無法獲得加密的口令 強力攻擊 口令 Crack： 字典猜測 、 字典攻擊 — 可獲得加密的口令 （ 嗅探加密口令 ,口令文件 ) ， 提升權(quán)限 （ root/administrator） 猜 /crack root口令 、 緩沖區(qū)溢出 、 利用 NT注冊表 、 訪問和利用高權(quán)限控制臺 、 利用啟動文件 、 利用系統(tǒng)或應用 Bugs 5. 插入惡意代碼 : 病毒 、 特洛伊木馬 （ BO)、 后門 、 惡意 Applet 23 BNCC ： 主頁篡改、文件刪除、毀壞 OS 、格式化磁盤 7. 數(shù)據(jù)竊?。? 敏感數(shù)據(jù)拷貝、監(jiān)聽敏感數(shù)據(jù)傳輸 共享媒介 /服務器監(jiān)聽 /遠程監(jiān)聽 RMON 、浪費與濫用資源： 違規(guī)使用 : 刪除、修改、權(quán)限改變、使審計進程失效 10. 安全基礎(chǔ)攻擊： 防火墻、路由、帳戶修改，文件權(quán)限修改。 6 BNCC 冒名頂替 廢物搜尋 身份識別錯誤 不安全服務 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號進入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽 偷竊 網(wǎng)絡(luò)安全威脅 線纜連接 身份鑒別 編程 系統(tǒng)漏洞 物理威脅 網(wǎng)絡(luò)安全威脅的幾種類型 7 BNCC 網(wǎng)絡(luò)安全面臨嚴峻挑戰(zhàn) ? 網(wǎng)上犯罪形勢不容樂觀 ? 有害信息污染嚴重 ? 網(wǎng)絡(luò)病毒的蔓延和破壞 ? 網(wǎng)上黑客無孔不入 ? 機要信息流失與信息間諜潛入 ? 網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán) ? 信息戰(zhàn)的陰影不可忽視