【正文】 同時(shí)一旦發(fā)現(xiàn)系統(tǒng) 中存在 DDoS攻擊的工具軟件要及時(shí)把它清除，以免留下后患。 ? （ 5）當(dāng)發(fā)現(xiàn)自己正在遭受 DDoS攻擊時(shí)，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急策略，盡可能快的追蹤攻擊包，并且要及時(shí)聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊 節(jié)點(diǎn)的流量。 ? （ 3）利用網(wǎng)絡(luò)安全設(shè)備（如防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數(shù)據(jù)包。 ? （ 2）在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。 2. DDoS系統(tǒng)的一般結(jié)構(gòu) 3. 組織一次 DDoS攻擊的過程 （ 1）搜集了解目標(biāo)的情況 下列情況是黑客非常關(guān)心的情報(bào)： ? 被攻擊目標(biāo)主機(jī)數(shù)目、地址情況 ? 目標(biāo)主機(jī)的配置、性能 ? 目標(biāo)的帶寬 （ 2）占領(lǐng)傀儡機(jī) 黑客最感興趣的是有下列情況的主機(jī)： ? 鏈路狀態(tài)好的主機(jī) ? 性能好的主機(jī) ? 安全管理水平差的主機(jī) （ 3）實(shí)際攻擊 4. DDoS的監(jiān)測 （ 1）根據(jù)異常情況分析 ? 異常情況包括： ? 網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時(shí)； ? 網(wǎng)站的某一特定服務(wù)總是失?。? ? 發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑。在發(fā)動(dòng)攻擊時(shí)，侵入者與 master程序進(jìn)行連接。 ? （ 2） trinoo ? （ 3） Tribal Flood Network和TFN2K ? TFN可以并行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊，類型多種多樣（如UDP攻擊、 TCP SYN 攻擊、ICMP回音請求攻擊以及 ICMP 廣播），而且還可建立帶有偽裝源 IP地址的信息包。 1. DDoS攻擊原理 ? （ 1） Smurf與 Fraggle ? 將一個(gè)目的地址設(shè)置成廣播地址（以太網(wǎng)地址為FF:FF:FF:FF:FF:FF:FF）后，將會(huì)被網(wǎng)絡(luò)中所有主機(jī)接收并處理。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。 分布式拒絕服務(wù)攻擊 ? 分布式拒絕服務(wù)（ Distributed Denial of Service， DDoS）攻擊指借助于客戶 /服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。 ? 4. SYN“洪水 ” （ SYN Flood） 與 Land 這是兩個(gè)利用 TCP連接中三次握手過程的缺陷的拒絕服務(wù)攻擊 。兩臺(tái)機(jī)器之間的互相回送，會(huì)形成大量數(shù)據(jù)包。當(dāng)這樣的畸形分片傳送到目的主機(jī)后，在堆棧中重組時(shí)，就會(huì)導(dǎo)致重組出錯(cuò)，引起協(xié)議棧的崩潰。在這種情況下，一旦處理的數(shù)據(jù)報(bào)的實(shí)際長度超過 64KB，操作系統(tǒng)將會(huì)產(chǎn)生一個(gè)緩沖溢出，引起內(nèi)存分配錯(cuò)誤，最終導(dǎo)致 TCP/IP協(xié)議堆棧的崩潰，造成主機(jī)死機(jī)。如圖 ，ICMP報(bào)文始終包含 IP首部和產(chǎn)生 ICMP差錯(cuò)報(bào)文的 IP數(shù)據(jù)報(bào)的前 8個(gè)字節(jié)（ 64KB）。 ? 在許多情況下要使用上面兩種方法的組合。 ? （ 2）通過攻擊合理的服務(wù)請求，消耗系統(tǒng)資源，使服務(wù)超載，無法響應(yīng)其他請求。 8 拒絕服務(wù)攻擊 ? （ 1）基于錯(cuò)誤配置、系統(tǒng)漏洞或軟件缺陷，如 ? 利用傳輸協(xié)議缺陷，發(fā)送畸形數(shù)據(jù)包，以耗盡目標(biāo)主機(jī)資源，使之無法提供服務(wù)。前者在函數(shù)返回地址后增加一些附加字節(jié)，返回時(shí)要檢查這些字節(jié)有無被改動(dòng)。入侵者可以利用 longjmp（ buffer）跳轉(zhuǎn)到預(yù)定代碼。 ? 在緩沖區(qū)附近放一個(gè)函數(shù)指針，指向入侵者定義的指令。下面是 3種常用方法。 ? （ 2）修改返回地址。下面是兩種常用方法： ? 植入法：通過主機(jī)，將需要執(zhí)行的代碼（目標(biāo)平臺(tái)上可執(zhí)行的），直接放到緩沖區(qū)。 function(large_string)。 i++) large_string[i] = 39。 for( i = 0。 } void main() { char large_string[256]。 緩沖區(qū)溢出程序?qū)嵗? void function(char *str) { char buffer[16]。 ? 1988年 11月 2日，羅伯特 .莫里寫的蠕蟲病毒利用了 fingerd程序的緩沖區(qū)溢出漏洞 ? 操作系統(tǒng)等一些系統(tǒng)軟件存在著大量的緩沖區(qū)溢出漏洞，通過緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的 80%以上 緩沖區(qū)溢出原理 ? 緩沖區(qū)溢出是一種系統(tǒng)攻擊手段，通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 緩沖區(qū)溢出攻擊 ? 常見的緩沖區(qū)溢出來自 C語言（以及其后代 C++）本質(zhì)的不安全性： ? 沒有邊界來檢查數(shù)組和指針的引用； ? 標(biāo)準(zhǔn) C 庫中還存在許多非安全字符串操作，如 strcpy() 、 sprintf() 、 gets() 等。這就給對入侵檢測系統(tǒng)的發(fā)覺帶來困難。 ? （ 4）慢速掃描 ? 慢速掃描就是使用非連續(xù)性端口進(jìn)行時(shí)間間隔長且無定率的掃描，并使用不一致的源地址，使這些掃描記錄無規(guī)律地分布在大量的日志中，被淹沒，給日志分析造成困難。向一個(gè)網(wǎng)絡(luò)中的所有地址發(fā)送 RST報(bào)文后，路由器會(huì)對這些報(bào)文進(jìn)行檢查：當(dāng)目標(biāo)地址不可到達(dá)時(shí)，就送回ICMP差錯(cuò)報(bào)文；沒有返回的 ICMP差錯(cuò)報(bào)文的，就是主機(jī)在線。其基本原理是利用了多數(shù)路由器只對報(bào)文中的地址進(jìn)行檢查，而不分析報(bào)文的內(nèi)容?！?TCP FIN掃描”的原理是向目標(biāo)端口發(fā)送 FIN報(bào)文，如果收到了 RST的回復(fù)，表明該端口沒有開放；反之（沒有回復(fù)），該端口是開放的，因?yàn)榇蜷_的端口往往忽略對 FIN的回復(fù)。 SYN=1， ACK=0， SEQ=y， ACK=x+1 器 TCPB 主機(jī) B 主機(jī) A TCPA SYN=1， ACK=1， SEQ=x SYN=1， ACK=1， SEQ=x+1， ACK=y+1 連接請求 確認(rèn) 確認(rèn) ? （ 2） FIN掃描 ? FIN是釋放連接的數(shù)據(jù)報(bào)文，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)要發(fā)送了。 3. 基本掃描技術(shù) ? （ 1）半開放掃描 ? TCP連接通過三次握手（ threeway handshake）建立。管理人員可以通過掃描對所管理的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全審計(jì)，檢測系統(tǒng)中的安全脆弱環(huán)節(jié)。 ? （ 3）漏洞掃描 ? 漏洞是系統(tǒng)所存在的安全缺陷或薄弱環(huán)節(jié)。例如， FTP服務(wù)的端口號為 2 Tel服務(wù)的端口號為 2 DNS服務(wù)的端口號為5 Http服務(wù)的端口號為 53等。如果 ping不到某臺(tái)主機(jī)，就表明它不在線。 2. 掃描對象 ? （ 1）地址掃描 ? 地址掃描就是判斷某個(gè) IP地址上有無活動(dòng)主機(jī)或某臺(tái)主機(jī)是否在線。 ? 基于應(yīng)用的掃描技術(shù)，這種技術(shù)主要用于檢查應(yīng)用軟件包的設(shè)置和 安全漏洞。 ? 基于目標(biāo)的掃描技術(shù)，其基本原理是基于消息加密算法和哈希函數(shù)，因此輸入有一點(diǎn)變化，輸出就會(huì)發(fā)生很大變化。由于一個(gè)局域網(wǎng)上發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)幀的目標(biāo)地址都是指向網(wǎng)關(guān)的， Sniffer就能嗅到本地網(wǎng)中的數(shù)據(jù)。 Sniffer ? （ 1）在共享網(wǎng)絡(luò)中的嗅覺器 MAC地址類型 產(chǎn)生中斷，通知 CPU 接收數(shù)據(jù)包 查看數(shù)據(jù)包 MA地址 C 本地接口地址或廣播地址 其他硬件地址 接口配置模式 不處理，丟棄 混雜模式 非混雜模式 ? （ 2）交換式網(wǎng)絡(luò)上的 Sniffer ? 交換式網(wǎng)絡(luò)不是共享網(wǎng)絡(luò)，交換式設(shè)備可以準(zhǔn)確地將數(shù)據(jù)報(bào)文發(fā)給目的主機(jī)。 ? 偷窺：觀察別人敲口令。 ? （ 3）查點(diǎn)（ enumeration）。掃描包含了非破壞性原則，即不對網(wǎng)絡(luò)造成任何破壞。 6 信息獲取攻擊 ? （ 1）踩點(diǎn)（ footprinting） ? 標(biāo)機(jī)的類型、 IP地址、所在網(wǎng)絡(luò)的類型； ? 操作系統(tǒng)的類型、版本； ? 系統(tǒng)管理人員的名字、郵件地址； ? …… 。 Web欺騙的技巧 ? （ 1）表單欺騙 ? （ 2）設(shè)計(jì)攻擊的導(dǎo)火索 ? 把錯(cuò)誤的 Web鏈接到一個(gè)熱門 Web站點(diǎn)上； ? 如果受攻擊者使用基于Web的郵件，可以將它指向錯(cuò)誤的 Web； ? 創(chuàng)建錯(cuò)誤的 Web索引，指示給搜索引擎。具體辦法是攻擊者將自已的Web地址加在所有 URL地址的前面。典型的例子是假冒金融機(jī)構(gòu)偷盜客戶的信用卡信息。 Web欺騙 ? （ 1）基本的網(wǎng)站