【正文】 與其上一代版本 TFN不同， TFN2K的守護(hù)程序是完全沉默的，它不會對接收 到的命令有任何回應(yīng)。對目標(biāo)的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST PING (SMURF)數(shù)據(jù)包 flood等。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。整個(gè) TFN2K網(wǎng)絡(luò)可能使用不同的 TCP、 UDP或ICMP包進(jìn)行通訊。由一個(gè)主控端控制的多個(gè)代理端主機(jī)，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機(jī)列表。當(dāng)前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows NT等平臺的主機(jī)能被用于此類攻擊，而且這個(gè)工具非常容易被移植到其它系統(tǒng)平臺上。 目標(biāo)主機(jī) —— 分布式攻擊的目標(biāo)（主機(jī)或網(wǎng)絡(luò)）。 主控端 —— 運(yùn)行客戶端程序的主機(jī)。 70 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? 客戶端 —— 用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。 當(dāng)你是潛在的 DDoS攻擊受害者，你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時(shí)，你不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個(gè)很大的威脅。 比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹(jǐn)慎?？刹扇〉陌踩烙胧┯幸韵聨追N： 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。 68 DDoS攻擊的防御策略 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。 ? 使用 DDoS檢測工具 ? 當(dāng)攻擊者想使其攻擊陰謀得逞時(shí)，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。 ? 檢測 DDoS攻擊的主要方法有以下幾種： ? 根據(jù)異常情況分析 ? 當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時(shí)，你可一定要提高警惕，檢測此時(shí)的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時(shí)，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的 ICP和 UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時(shí)都要留神。 Stacheldrah中有一個(gè)內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。 ? Stacheldraht ? Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。攻擊方法增加了 Mix和 Targa3。它對 IP地址不做假，采用的通訊端口是： ? 攻擊者主機(jī)到主控端主機(jī)： 27665/TCP 主控端主機(jī)到代理端主機(jī)： 27444/UDP 代理端主機(jī)到主服務(wù)器主機(jī)： 31335/UDPFN ? TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風(fēng)暴、 Ping風(fēng)暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。下面我們來分析一下這些常用的黑客程序。 65 DDoS攻擊使用的常用工具 ? DDoS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。 64 SYN Flood的基本 基本解決方法 ? 第一種是縮短 SYN Timeout時(shí)間，由于 SYN Flood攻擊的效果取決于服務(wù)器上保持的 SYN半連接數(shù)，這個(gè)值 =SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到 SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄改連接的時(shí)間，例如設(shè)置為 20秒以下（過低的 SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。 63 SYN Flood的基本原理 ? 假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的 ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送 SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為 SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級（大約為 30秒 2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待 1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源 數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會消耗非常多的 CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的 IP進(jìn)行 SYN+ACK的重試。 第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文 ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個(gè) TCP連接完成。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。 60 DDOS原理 61 DDOS原理 ? 從圖可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。從圖 1我們可以看出 DoS攻擊只要一臺單機(jī)和一個(gè) modem就可實(shí)現(xiàn)，與之不同的是 DDoS攻擊是利用一批受控制的機(jī)器向一臺機(jī)器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會因超時(shí)而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。 DoS攻擊的原理如圖所示。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運(yùn)行，最終它會使你的部分 Inter連接和網(wǎng)絡(luò)系統(tǒng)失效。 2022年 3月 TCP Layer 源端口 宿端口 序 號 確 認(rèn) 號 HLEN 保留 碼位 窗口 校驗(yàn)和 緊急指針 選 項(xiàng) 填充字節(jié) 數(shù) 據(jù) Words Bits 0 4 8 12 16 20 24 28 31 頭標(biāo) 54 端口掃描攻擊 ? WWW服務(wù) ? ＳＭＴＰ 服務(wù) ? ＰＯＰ３ 服務(wù) ? ＤＮＳ 服務(wù) ? ＳＮＭＰ服務(wù) 55 Sniffer攻擊 56 DOS原理 ? DoS的英文全稱是 Denial of Service，也就是“ 拒絕服務(wù) ” 的意思。 TCP宿端口 ：同上 TCP旗標(biāo)字段（ flag）， 含有 1bit的 ACK bit。 丟掉了首段，目的地就不能重組。 與分組過濾有關(guān)的特性是： 分段示意圖： IP 選項(xiàng)：用于 Firewall中，對付 IP源路由。 其下有很多不同的層：如 Ether， token ring， FDDI， PPP等。 4. IP Body包含的是 TCP分組。 IP和 TCP兩種協(xié)議協(xié)同工作，要傳輸?shù)奈募涂梢詼?zhǔn)確無誤地被傳送和接收 45 TIP/IP ? TCP/IP協(xié)議族與 OSI七層模型的對應(yīng)關(guān)系，如下圖所示 2022年 3月 數(shù)據(jù)包是什么樣的？ TCP/IP/Ether 舉例 對分組過濾而言：涉及四層 1. Ether layer 2. IP layer 3. TCP layer 4. data layer 2022年 3月 分組與數(shù)據(jù)封包： Data Data Data Data Header Header Header Header Header Header Application layer (SMTP, Tel, FTP, etc) Transport layer (TCP,UDP,ICMP) Inter Layer (IP) Network Access Layer (Ether, FDDI, ATM, etc) 在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)） 首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù) 每層分組要包括來自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包 應(yīng)用層包括的就是要傳送出去的數(shù)據(jù) 2022年 3月 Ether layer 1. 分組＝ Ether Header＋ Ether Body 2. Header 說明： 3. Ether Body 包含的是 IP 分組 該分組的類型，如 AppleTalk數(shù)據(jù)包、 Novell數(shù)據(jù)包、 DECNET數(shù)據(jù)包等。 TCP協(xié)議確認(rèn)收到的 IP數(shù)據(jù)包。 TCP按 IP數(shù)據(jù)包原來的順序進(jìn)行重排。 TCP（ Transport control Protocal）傳輸控制協(xié)議具有重排 IP數(shù)據(jù)包順序和超時(shí)確認(rèn)的功能。 44 TIP/IP ? IP（ Inter Protocol）網(wǎng)際協(xié)議，把要傳輸?shù)囊粋€(gè)文件分成一個(gè)個(gè)的群組，這些群組被稱之為 IP數(shù)據(jù)包，每個(gè) IP數(shù)據(jù)包都含有源地址和目的地址，知道從哪臺機(jī)器正確地傳送到另一臺機(jī)器上去。 42 MAC地址的前三個(gè)字節(jié) 制造商 00000C CISCO 0000A2 BAY NETWORKS 0080D3 SHIVA 00AA00 INTEL 02608C 3COM 080009 HEWLETPACKARD 080020 SUN 08005A IBM FFFFFFFFFF 廣播地址 43 地址解析協(xié)議 ? 地址解析協(xié)議 索引 物理位址 IP地址 類型 物理口（接口） 設(shè)備的物理地址 與物理位址對應(yīng)的 IP地址 這一行對應(yīng)入口類型 入口1 入口2 入口N 注：數(shù)值 2表示這個(gè)入口是非法的 ， 數(shù)值 3表示這種映像是動態(tài)的 ， 數(shù)值 4表示是靜態(tài)的 （ 如口不改變 ） ， 數(shù)值 1表示不是上述任何一種 。 ? 恢復(fù) ( RECOVER ) 評估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等。 ? 檢測 ( DETECT ) 從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護(hù)從單純的被動防護(hù)演進(jìn)到積極的主動防御 。 34 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 保護(hù)、檢測、響應(yīng)和恢復(fù)涵蓋了對現(xiàn)代信息系統(tǒng)的安全防護(hù)的各個(gè)方面，構(gòu)成了一個(gè)完整的體系，使網(wǎng)絡(luò)安全建筑在一個(gè)更加堅(jiān)實(shí)的基礎(chǔ)之上。信息保障有別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻等技術(shù)，它強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的主動防御?？梢哉f信息網(wǎng)絡(luò)的安全與國家安全密切相關(guān)。 32 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)體系 （ PDRR ） 隨著信息網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)的安全防護(hù)技術(shù)已逐漸成為一個(gè)新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊(duì)和全社會的高度重視。 31 網(wǎng)絡(luò)安全策略（續(xù)） 3 智能網(wǎng)絡(luò)系統(tǒng)安全策略（動態(tài)免疫力） 安全 =風(fēng)險(xiǎn)分析 +安全策略 +技術(shù)防御體系 +攻擊實(shí)時(shí)檢測 +安全跟蹤 +系統(tǒng)數(shù)據(jù)恢復(fù) +系統(tǒng)學(xué)習(xí)進(jìn)化 技術(shù)防御體系包括漏洞檢測和安全縫隙填充；安全跟蹤是為攻擊證據(jù)記錄服務(wù)的，系統(tǒng)學(xué)習(xí)進(jìn)化是旨在改善系統(tǒng)性能而引入的智能反饋機(jī)制。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)，力求增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。 25 我國網(wǎng)絡(luò)安全現(xiàn)狀 ? 硬件設(shè)備上嚴(yán)重依賴國外 ? 網(wǎng)絡(luò)安全管理存在漏洞 ? 網(wǎng)絡(luò)安全問題還沒有引起人們的廣泛重視 ? 安全技術(shù)有待研究 ? 美國和西方國家對我過進(jìn)行破壞 、 滲透和污染 ? 啟動了一些網(wǎng)絡(luò)安全研究項(xiàng)目 ? 建立一批國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施 26 Hacker (黑客） M M M Master (主攻手） z z z z z