【正文】 從而造成更嚴(yán)重的破壞。通常，非法使用嗅探器是入侵者在網(wǎng)絡(luò)中進(jìn)行欺騙或者進(jìn)行其它攻擊行為的開(kāi)始。由于嗅探器通常是安裝在某一臺(tái)主機(jī)上的，它能接受到本機(jī)網(wǎng)絡(luò)接口上所能接收到的報(bào)文，因此，要想使嗅 探器能夠獲取本網(wǎng)絡(luò)上的所有報(bào)文，應(yīng)必須具有以下幾個(gè)條件： （ 1） 共享式網(wǎng)絡(luò)（即網(wǎng)絡(luò)中使用的是共享式集線(xiàn)器）； （ 2） 網(wǎng)絡(luò)適配器的接受方式為混雜模式（即不僅接受發(fā)往本機(jī)的數(shù)據(jù)包，而且接受發(fā)往其它機(jī)器的數(shù)據(jù)包）； （ 3） 安裝有嗅探軟件。 嗅探器并不是萬(wàn)能的，并非有了嗅探器就 可以得到網(wǎng)絡(luò)上傳輸?shù)乃行畔ⅰ? 但是，由于嗅探器可以捕獲網(wǎng)絡(luò)報(bào)文，引起它對(duì)網(wǎng)絡(luò)安全也可能產(chǎn)生巨大的危害。 嗅探器可用 來(lái)分析網(wǎng)絡(luò)的流量，磅值找出網(wǎng)絡(luò)中潛在的問(wèn)題。通用網(wǎng)絡(luò)公司最早開(kāi)發(fā)了一個(gè)能夠捕捉網(wǎng)絡(luò)報(bào)文的程序，稱(chēng)為 Sniffer。對(duì)于入侵者來(lái)說(shuō)，一個(gè)放置很好的嗅探器就是一個(gè)巨大的寶藏，能夠從中得到成千上萬(wàn)條有用信息。重寫(xiě)協(xié)議棧，將安全、反掃描作為其中的一個(gè)目標(biāo)，可以從根本上解決這一問(wèn)題。這是最復(fù) 雜，同時(shí)也是最根本的方法。對(duì)掃描器發(fā)出的數(shù)據(jù)包，不按照正常的方式進(jìn)行回送，迷惑掃描者。 關(guān)閉不必要的服務(wù)，在收到一些類(lèi)似掃描或者其它無(wú)用的數(shù)據(jù)包之后，直接丟棄，不做任何處理。 （ 3） 防止利用 ICMP 進(jìn)行網(wǎng)絡(luò)掃描的方法 利用 ICMP 進(jìn)行網(wǎng)絡(luò)掃描和操作系統(tǒng)識(shí)別比使用 TCP 的識(shí)別技術(shù)有很大的優(yōu)勢(shì)，但并非沒(méi)有防范的方法。后者和前者比，具有以下的優(yōu)先：識(shí)別性能高，特別是在識(shí)別 Windows 操作系統(tǒng)上非常精確；實(shí)現(xiàn)方 式簡(jiǎn)單，只需發(fā)送幾個(gè)在邏輯上相互關(guān)聯(lián)的數(shù)據(jù)包即可。 這兩種方法在實(shí)現(xiàn)機(jī)制上雖不一致，但在對(duì)數(shù)據(jù)包的處理和分析上有著相同的地方。 主動(dòng)探測(cè)是指源主機(jī)向目標(biāo)主機(jī)發(fā)送特定的數(shù)據(jù)包，這些數(shù)據(jù)包的某些字段含有操 作系統(tǒng)的特征，然后檢測(cè)返回的數(shù)據(jù)包，根據(jù)其中相應(yīng)字段的值，并參照已有的操作系統(tǒng)指紋數(shù)據(jù)庫(kù)，就可以將操作系統(tǒng)歸類(lèi)或者惟一確定。該方法根據(jù)不同的操作系統(tǒng)對(duì)于協(xié)議定義存在的細(xì)微差別來(lái)識(shí)別操作系統(tǒng)的類(lèi)型信息。 （ 2） 操作系統(tǒng)指紋識(shí)別 對(duì)入侵者來(lái)說(shuō)，如果成功獲取了目標(biāo)主機(jī)操作系統(tǒng)的類(lèi)型信息，就可以根據(jù)該操作系統(tǒng)的漏洞進(jìn)行逐一試探，這樣可節(jié)約大量時(shí)間，也提高了掃描的效率和 30 準(zhǔn)確性。使用這些協(xié)議代碼，可以自主地在原始套接字的 IP 頭的協(xié)議字段中填入?yún)f(xié)議的代碼，從而構(gòu)建特殊的數(shù)據(jù)包并發(fā)往目標(biāo)主機(jī)。 為驗(yàn)證主機(jī)上可能運(yùn)行的協(xié)議，在設(shè)計(jì)報(bào)文時(shí)應(yīng)充分利用 IP 頭中的協(xié)議字段。利用 ICMP 進(jìn)行主機(jī)探測(cè)時(shí)，應(yīng)根據(jù)不同的情況分別采用不同的方式：對(duì)于單一主機(jī)最常采用的是“ Ping”；對(duì)多個(gè)主機(jī)是 Fping(Fast Ping)；對(duì)一個(gè)子網(wǎng)段的所有主機(jī)則是發(fā)送廣播的“ Ping”。 網(wǎng)絡(luò)掃描可分為三個(gè)層次：探測(cè)目標(biāo)主機(jī)是否存活；探測(cè)目標(biāo)主機(jī)的操作系統(tǒng)；識(shí)別某個(gè)應(yīng)用程序或特定服務(wù)的版本號(hào)。當(dāng)前流行的掃描技術(shù)分為兩大類(lèi)： TCP 技術(shù)和 ICMP 技術(shù)。這也是當(dāng)前入侵監(jiān)測(cè)系統(tǒng)的發(fā)展方向之一。針對(duì)這類(lèi)攻擊的防御和檢測(cè)，將是今后一段時(shí)期內(nèi)研究的難點(diǎn)之一。這樣對(duì)網(wǎng)絡(luò)入侵者無(wú)疑會(huì)產(chǎn)生極大的威懾力，從而有效地保證 網(wǎng)絡(luò)安全。由于網(wǎng)絡(luò)的異構(gòu)性，這種方法收效甚微。如果研究出確定掃描來(lái)源的技術(shù)，無(wú)疑會(huì)有效地抑制網(wǎng)絡(luò)入侵行為的發(fā)生。在這幾種可以采用專(zhuān)用協(xié)議、加密等方法來(lái)保證防火墻和入侵檢測(cè)系統(tǒng)等安全系統(tǒng)自身的安全，特別是入侵檢測(cè)系統(tǒng)內(nèi)部通信安全。 同時(shí)這一點(diǎn)上述構(gòu)建專(zhuān)用入侵監(jiān)測(cè)系統(tǒng)的方法是并行不悖，這是因?yàn)榉植际饺肭謾z測(cè)系統(tǒng)并非所有的功能都完全平分到每個(gè)節(jié)點(diǎn)上 ,數(shù)據(jù)采集和前期處理工作應(yīng)當(dāng)分布到網(wǎng)絡(luò)中的每個(gè)節(jié) 點(diǎn)，而數(shù)據(jù)的綜合處理工作則由于計(jì)算量較大應(yīng)該在專(zhuān)用主機(jī)上完成 （ 3） 提高網(wǎng)絡(luò)安全系統(tǒng)自身的安全性 從整體上看，網(wǎng)絡(luò)安全防護(hù)監(jiān)控系統(tǒng)屬于整個(gè)系統(tǒng)的一部分，也是安全鏈上一個(gè)重要的環(huán)節(jié)，如果防火墻和入侵檢測(cè)系統(tǒng)被攻破，那么整個(gè)系統(tǒng)就會(huì)暴露無(wú)疑。與此同時(shí)，分布式入侵檢測(cè)手段也在不斷地發(fā)展和完善。 （ 1） 使用專(zhuān)用防火墻，構(gòu)建專(zhuān)用入侵檢測(cè)系統(tǒng) 使用專(zhuān)用防火墻，可以過(guò)濾掉大量無(wú)用數(shù)據(jù)包以及簡(jiǎn)單的 DOS 攻擊，在一定程度上使內(nèi)部專(zhuān)用網(wǎng)和外部網(wǎng)隔離開(kāi)，保證內(nèi)部通信的質(zhì)量及安全，入侵檢測(cè)系統(tǒng)對(duì)計(jì)算能力，存儲(chǔ)能力和網(wǎng)絡(luò)吞吐能力要求都非常高，對(duì)于利用 DOS 等手段的攻擊性?huà)呙瑁捎酶咝阅艿臋z測(cè)設(shè)備和軟件是目前所采取的主要方法之一，對(duì)于一個(gè)中小型網(wǎng)絡(luò)來(lái)說(shuō)，應(yīng)盡量采用專(zhuān)用的機(jī)器來(lái)進(jìn)行預(yù)警和檢測(cè)工作。因此，防御和檢測(cè)掃描就顯得相對(duì)困難，如慢速掃描，目前就沒(méi)有什么好的應(yīng)對(duì)方法；如果在這種掃描中再加上大量偽造的數(shù)據(jù)，就更難以檢測(cè)。 要從幾個(gè)數(shù)據(jù)包上區(qū)分正常的服務(wù)請(qǐng)求和惡意的網(wǎng)絡(luò)掃描是非常困難的。更進(jìn)一步還可以構(gòu)建誘騙黑客攻擊的虛擬仿真網(wǎng)監(jiān)控黑客的行為。黑客進(jìn)行掃描的目的是盡量得到關(guān)于目標(biāo)主機(jī)的一些信息，從而找到響應(yīng)的破綻 。這樣如果這一環(huán)是安全的，那么整個(gè)系統(tǒng)的應(yīng)當(dāng)是安全的，所以，應(yīng)將那些不向外界提供的端口及服務(wù)予以關(guān)閉，一增強(qiáng)系統(tǒng)的安全性。要使這條鏈更加牢固，首先應(yīng)當(dāng)盡量去除不必要的環(huán)節(jié)。如果一臺(tái) Web服務(wù)器的 Web服務(wù)程序的版本相當(dāng)高，安全性也好，是否就認(rèn)為這是一個(gè)安全的系統(tǒng)呢？當(dāng)然不是，因?yàn)樗赡苓€同時(shí)提供了其它 10 項(xiàng)不同的服務(wù)。隱蔽性較強(qiáng)的掃描仍然具有網(wǎng)絡(luò)掃描的一些基本特征，因此一些對(duì)付網(wǎng)絡(luò)掃描的通用方法也可以應(yīng)用到對(duì)隱藏掃描的預(yù)防和檢測(cè)中。從本質(zhì)上來(lái)說(shuō)，網(wǎng)絡(luò)掃描不是一種入侵，而只是黑客入侵的前奏。此外，另一種可能是大量數(shù)據(jù)包使得 IDS 疲于應(yīng)付，無(wú)法及時(shí)進(jìn)行分析和記錄。 對(duì)于日志記錄系統(tǒng)，防火墻和 IDS 進(jìn)行 DOS 攻擊是另一種不得已而為之的方法。通過(guò)偽造大量具有虛假 IP 地址的數(shù)據(jù)包來(lái)隱藏自己的地址。目標(biāo)主機(jī)也會(huì)或多或少留 下些關(guān)于這些信息的記錄。因此，掃描也相當(dāng)從最常見(jiàn)的開(kāi)放端口開(kāi)始，也許在剛剛掃描了幾個(gè)端口之后，就能找到所需要的信息和漏洞。另外，在端口掃描中，掃描的順序也相 27 當(dāng)?shù)闹匾? （ 3） 以 假亂真的方法 盡量降掃描偽裝成正常的請(qǐng)求服務(wù)。網(wǎng)絡(luò)入侵者往往并不急于攻擊，而是在保證自己不被發(fā)現(xiàn)的情況下盡量收集信息。 對(duì)于涉及到時(shí)間的檢測(cè)。 針對(duì)第一類(lèi)規(guī)則，主要采用熱癥變換的方法。主機(jī)、防火墻和入侵檢測(cè)系統(tǒng)在進(jìn)行日志記錄和報(bào)警的時(shí)候，都要求有符合其規(guī)則和策略的相應(yīng)事件出現(xiàn)。一些著名的端口掃描工具（如 NMAP），已經(jīng)集成了上面所提到的各種掃描方式。 （ 1） 基于協(xié)議的方法 互聯(lián)網(wǎng)上的大多數(shù)應(yīng)用是基于 TCP/IP 協(xié)議的，在對(duì) TCP/IP 及其應(yīng)用層協(xié)議進(jìn)行分析的基礎(chǔ)上，可以發(fā)現(xiàn)多種獲取目標(biāo)主機(jī)信息的方法。 2即使目標(biāo)發(fā)現(xiàn)自己被掃描，也無(wú)法找到掃描的來(lái)源 達(dá)到上面兩條標(biāo)準(zhǔn)之一的掃描可認(rèn)為是隱蔽的。 隱蔽掃描及其對(duì)策 26 一直能夠新的掃描方法產(chǎn)生后，其效率和隱蔽性通常也就能夠一句該掃描方法的原理被大致確定下來(lái)，然而，由于網(wǎng)絡(luò)的多樣性，原理和實(shí)踐之間往往存在著巨大差異 同樣的掃描方法，采用不同的策略和工具，收到的效果也是不同的。 （ 5） UDP 掃描。 TCP FIN 掃描發(fā)送一個(gè)原始的 FIN 數(shù)據(jù)包； XMAS 掃描則將 FIN、 URG、和 PUSH 置位； NULL 掃描發(fā)送的數(shù)據(jù)包中清空了所有的標(biāo)志位。這類(lèi)掃描方法是重點(diǎn)，主要包括： TCO FIN 掃描、 ACK 掃描、XMAS 掃描和 NULL 掃描等。如果對(duì)方回送了一個(gè) SYN/ACK，那么該端口就處于監(jiān)聽(tīng)狀態(tài)；如果對(duì)方回復(fù)的是 RST，那么該端口關(guān)閉。 （ 3） TCP SYN 掃描。通常采用 ICMP Ping，即向目標(biāo)之際發(fā)送一個(gè) ICMP 回送請(qǐng)求數(shù)據(jù)包，并等待應(yīng)答，如果對(duì)方響應(yīng)這一請(qǐng)求，則目標(biāo)主機(jī)啟動(dòng)，否則目標(biāo)主機(jī)關(guān)閉或?qū)Υ藬?shù)據(jù)包不響應(yīng)。如果 目標(biāo)主機(jī)的該端口處于監(jiān)聽(tīng)狀態(tài)，那么 connect（）就能連接成功，否則該端口不可用。 下面是集中網(wǎng)絡(luò)掃描的主要原理 （ 1） TCP connect 掃描。這樣，通過(guò)對(duì)返回的數(shù)據(jù)包進(jìn)行分析，就可以得到目標(biāo)端口是否開(kāi)放的信息。按照獲取信息的方法，還可以分為主動(dòng)掃描和被動(dòng)掃描。 25 從不同的角度出發(fā)，掃描可以進(jìn)行多種分類(lèi)。對(duì)于攻擊者來(lái)說(shuō)，隱蔽性是最重要的。 比如，通過(guò)網(wǎng)絡(luò)掃描得知目標(biāo)主機(jī)的 23 號(hào)端口處于打開(kāi)狀態(tài)，那么就可以知道目標(biāo)主機(jī)運(yùn)行了 Tel 服務(wù)程序，然后就可以運(yùn)用一些口令攻擊程序?qū)el 服務(wù)進(jìn)行口令暴露破解。 根據(jù)網(wǎng)絡(luò)掃描方式的不同，可以 將 掃描分成端口掃描和漏洞掃描兩大類(lèi)。對(duì)自己的網(wǎng)絡(luò)和主機(jī)進(jìn)行掃描，可以及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，并搶在攻擊到來(lái)之前加以補(bǔ)救。 NMAP 是最著名的端口掃描器，其它的端口掃描器還有 Strobe 和 Netcat 等等。通常先要進(jìn)行全面的信息收集，然后才展開(kāi)具體的攻擊行為。當(dāng)然，這些策略也會(huì)使少量正常用戶(hù)的訪(fǎng)問(wèn)受到一些影響。 從防御的角度看，當(dāng)一個(gè) DoS 攻擊被識(shí)別后，可以采取 以 下幾種對(duì)策： (4)關(guān)閉一些服務(wù)一降低攻擊強(qiáng)度； (5)查看連接的 TTL 值，由于 DoS 攻擊經(jīng)常偽裝源 IP 地址，但一般無(wú)法偽裝 TTL 24 值，因此可以直接過(guò)濾掉相同的 TTL 值，但源 IP 地址不同的數(shù)據(jù)包，從而降低網(wǎng)絡(luò)負(fù)荷； (6)修改系統(tǒng)設(shè)置，減少 SYN 的 Timeout 值，以減少其在系統(tǒng)中所占用的資源； (7)減少 SYN ACK 的重試次數(shù)，加大延時(shí)避免對(duì) TCP/IP 堆棧造成過(guò)大的沖擊。這就需要各級(jí)部門(mén)的協(xié)同配合，甚至是不同組織、不同國(guó)家的合作才能很好地完成，這幾乎是不可能實(shí)現(xiàn)的。 要徹底杜絕拒絕服務(wù)攻擊，只有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。 (5) 當(dāng)正在遭受 DoS 攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)應(yīng)對(duì)策略，及時(shí)盡可能快地追蹤攻擊包，分析受 影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，阻擋已知攻擊節(jié)點(diǎn)的流量。 (3) 禁止不必要的網(wǎng)絡(luò)服務(wù)，經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。建立和完善備份機(jī)制，對(duì)一些特權(quán)賬號(hào) (如管理員賬號(hào) )的密碼設(shè)置要謹(jǐn)慎。防火墻和路由器是目前阻擋拒絕服務(wù)攻擊的常用設(shè)備，通過(guò)設(shè)計(jì)訪(fǎng)問(wèn)策略， 配置好這些設(shè)備的安全規(guī)則，過(guò)濾掉所有可能的偽造數(shù)據(jù)包，能夠?qū)芙^服務(wù)攻擊起到一定的防范作用。對(duì)于 DoS 攻擊的防范，重要的是用戶(hù)要加強(qiáng)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性。 DoS 攻擊只要一臺(tái)連接網(wǎng)絡(luò)的單機(jī)就可實(shí)現(xiàn)，而 DDoS 攻擊是利用一批受控制的機(jī)器向同一臺(tái)機(jī)器發(fā)起攻擊，因此這樣的攻擊難以防備，具有較大的破壞性。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)不斷的傳送新的請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡，無(wú)法提供服務(wù)給其他用戶(hù)，甚至?xí)贡还艟W(wǎng)絡(luò)的服務(wù)器系統(tǒng)負(fù)荷過(guò)載而停機(jī)、部分網(wǎng)絡(luò)連接及網(wǎng)絡(luò)系統(tǒng)失效。從網(wǎng)絡(luò)攻擊的方法和產(chǎn)生的破壞情況來(lái)看， DoS 是一種很簡(jiǎn)單但很有效的進(jìn)攻方式，它的目的就是拒絕服務(wù)訪(fǎng)問(wèn)。在不同的計(jì)算機(jī)上同時(shí)發(fā)出連續(xù)不斷的服務(wù)器請(qǐng)求來(lái) “ 轟炸 ” 雅虎網(wǎng)站。 拒絕服務(wù)攻擊 2020 年 2 月雅虎網(wǎng)站遭到攻擊，導(dǎo)致其站點(diǎn)癱瘓而無(wú)法提供給用戶(hù)持 續(xù)的服務(wù)，致使雅虎的網(wǎng)絡(luò)服務(wù)停頓了近三個(gè)小時(shí)。這種方法不能解決所有的緩沖區(qū)溢出問(wèn)題，但是這種方法在性能上有很大的優(yōu)勢(shì)，而且兼容性也很好。 （ 4）程序指針完整性檢查 程序指針完整性檢查指的是在程序指針被引用之前檢測(cè)到它的改變。為了實(shí)現(xiàn)數(shù)組邊界檢查，則所有的對(duì)數(shù)組的讀寫(xiě)操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。 （ 3）數(shù)組邊界檢查 數(shù)組邊界檢查完全沒(méi)有緩沖區(qū)溢出的產(chǎn)生和攻擊。防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開(kāi)發(fā)者在開(kāi)發(fā)程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。通常可以采取以下防范措施。另外可以用來(lái)實(shí)施緩沖區(qū)溢出攻擊的字符串非常多樣化，無(wú)法與正常數(shù)據(jù)有效地進(jìn)行區(qū)分。 如 2020 年 8月， “ 紅色代碼 ” 利用微軟 IIS 漏洞產(chǎn)生緩沖區(qū)溢出進(jìn)行攻擊，2020 年 1 月， Slammer 蠕蟲(chóng)利用微軟 SQL 漏洞產(chǎn)生緩沖區(qū)溢出進(jìn)行攻擊， 2020年 8 月，沖擊波蠕蟲(chóng)病毒利用微軟 RPC 遠(yuǎn)程調(diào)用存在的緩沖區(qū)漏洞對(duì) Windows 2020/XP、 Windows Server 2020 進(jìn)行攻擊，這些蠕蟲(chóng)病毒發(fā)作原理，就是利 用未及時(shí)更新補(bǔ)丁的緩沖溢出漏洞，并通過(guò)互聯(lián)網(wǎng)迅速波及到全球網(wǎng)絡(luò)系統(tǒng)的。然后這段精巧設(shè)計(jì)的攻擊代碼以一定的權(quán)限運(yùn)行漏洞程序，從而獲得目標(biāo)主機(jī)的控制權(quán)。 通常緩沖區(qū)溢出攻擊都是一次完成攻擊代碼植入和程序轉(zhuǎn)向攻擊代碼兩種功能。 當(dāng)一個(gè)超長(zhǎng)的數(shù)據(jù)進(jìn)入到緩沖區(qū)時(shí)，超出部分就會(huì)被寫(xiě)入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或被破壞掉。而直接的原因則是“由于字符串處理函數(shù)（如 21 gets 和 strcpy 等等）沒(méi)有對(duì)數(shù)組的越界加以監(jiān)視和限制”。 攻擊 緩沖區(qū)溢出 簡(jiǎn)介 緩沖區(qū)溢出的根本原因在于 C語(yǔ)言本身的一些特性。 在使用緩沖區(qū)時(shí)，理想情況是在使用程序前檢查數(shù)據(jù)長(zhǎng)度，并且不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符串。更為嚴(yán)重的是，可以利用緩沖區(qū)溢出執(zhí)行非授權(quán)指令，甚至取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。如果能有效地解決緩沖區(qū)溢出漏洞的問(wèn)題，將會(huì)給系統(tǒng)的安全性能帶來(lái)本質(zhì)上的改變。 緩沖區(qū)溢出漏洞是