網(wǎng)絡安全概念

網(wǎng)絡安全概述

1網(wǎng)絡安全概述網(wǎng)絡安全的概念網(wǎng)絡安全的內(nèi)容網(wǎng)絡安全面臨的問題網(wǎng)絡安全的客觀必要性常見的網(wǎng)絡信息攻擊模式網(wǎng)絡安全保障體系網(wǎng)絡安全工作的目的2什么是網(wǎng)絡安全（五要素）可用性：授權實體有權訪問數(shù)據(jù)機密性：信息不暴露給未授權實體或進程完整性：保證數(shù)據(jù)不被未授權修改可控性：控制授權范圍內(nèi)的信息流向及操作方式可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段3網(wǎng)絡安全的內(nèi)容物理安全網(wǎng)絡安全傳輸安全應用安全用戶安全4網(wǎng)絡安全面臨的問題來源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外國政府競爭對手黑客不滿的雇員5網(wǎng)絡安全威脅的來源

1.外部滲入（penetration） 未被授權使用計算機的人；

2.內(nèi)部滲入者 被授權使用計算機，但不能訪問某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進行操作；-隱蔽用戶:逃避審計和訪問控制的用戶；

3.濫用職權者:被授權使用計算機和訪問系統(tǒng)資源，但濫用職權者。6冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網(wǎng)絡安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡安全威脅的幾種類型7網(wǎng)絡安全面臨嚴峻挑戰(zhàn)

網(wǎng)上犯罪形勢不容樂觀

有害信息污染嚴重網(wǎng)絡病毒的蔓延和破壞

網(wǎng)上黑客無孔不入

機要信息流失與信息間諜潛入

網(wǎng)絡安全產(chǎn)品的自控權

信息戰(zhàn)的陰影不可忽視

互聯(lián)網(wǎng)正以巨大的力度和廣度

沖擊和改造著社會、經(jīng)濟、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會公眾強烈依賴的社會重要基礎設施互聯(lián)網(wǎng)安全正在成為普遍關注的焦點8網(wǎng)上犯罪形勢不容樂觀計算機犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購物賬戶密碼曝光事件增多2000年2月7日攻擊美國知名網(wǎng)站案件：

損失$12億，影響百萬網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：

用戶信用卡被曝光美國網(wǎng)絡安全造成損失$170億/年美國金融界計算機犯罪損失$100億/年9有害信息污染嚴重黃色信息：涉及1%網(wǎng)站，10億美元年營業(yè)額邪教信息：法輪功160多個反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚暴力：炸藥配方、幫助自殺政治攻擊：考克斯報告、政治演變論10網(wǎng)絡病毒的的蔓延和破破壞10年內(nèi)以以幾何級數(shù)數(shù)增長病毒達55000種種（2000.12亞洲計計算機反病病毒大會））網(wǎng)絡病毒有有更大的破破壞性1988年年莫里斯事事件（UNIX/Email）6000臺臺、$9000萬1998年年4月的CIH病毒毒2000萬萬臺計算機機1999年年2月的梅梅利莎案件件（Window/Email）$12億2000年年5月4日日的我愛你你病毒$87億億2001年7、、8月紅紅色代碼碼（CodeRed））到目前前為止$26億億11網(wǎng)上黑客客無孔不不入美國網(wǎng)絡絡屢遭掃掃蕩軍事、政政治、經(jīng)經(jīng)濟美國五角角大樓情情報網(wǎng)絡絡、美國國海軍研研究室、、空軍、、美國中中央情報報局、許許多貿(mào)易易及金融融機構都都有被黑黑的歷史史全球網(wǎng)絡絡危機四四伏非法侵入入、破壞壞系統(tǒng)、、竊取機機密中國網(wǎng)絡絡不斷被被侵入五一中美美黑客大大戰(zhàn)800多網(wǎng)網(wǎng)站被黑黑黑客是一些發(fā)發(fā)自好奇奇、尋求求刺激、、富有挑挑戰(zhàn)的家家伙是一群以以攻擊網(wǎng)網(wǎng)絡，搜搜尋并破破壞信息息為了的的無賴；；是一幫為為了揚名名，專與與政府作作對的極極端分子子；是一些恐恐怖主義義分子或或政治、、軍事、、商業(yè)和和科技間間諜。12機要信息息流失與與信息間間諜潛入入國家機密密信息、、企業(yè)關關鍵信息息、個人人隱私Web發(fā)發(fā)布、電電子郵件件、文件件傳送的的泄漏預謀性竊竊取政治治和經(jīng)濟濟情報CIA統(tǒng)統(tǒng)計入侵侵美國要要害系統(tǒng)統(tǒng)的案件件年增長率率為30%我國信息息網(wǎng)絡發(fā)發(fā)展必然然成為其其重要目目標13網(wǎng)絡安全全產(chǎn)品的的自控權權安全產(chǎn)品品隱通道、、嵌入病病毒、缺缺陷、可可恢復密密鑰大量外購購安全產(chǎn)產(chǎn)品缺少少自控權權我國缺少少配套的的安全產(chǎn)產(chǎn)品控制制政策和和機制我國安全全產(chǎn)業(yè)還還比較稚稚嫩是重大安安全隱患患之一14信息戰(zhàn)的的陰影不不可忽視視有組織、、大規(guī)模模的網(wǎng)絡絡攻擊預預謀行為為：國家級、、集團級級無硝煙的戰(zhàn)爭爭：跨國界、隱蔽蔽性、低花費費、跨領域高技術性、情情報不確定性性美國的“信息息戰(zhàn)執(zhí)行委員員會”：網(wǎng)絡防護中心心（1999年）信息作戰(zhàn)中心心（2000年）網(wǎng)絡攻擊演練練（2000年）要害目標：金融支付中心心、證券交易易中心空中交管中心心、鐵路調(diào)度度中心電信網(wǎng)管中心心、軍事指揮揮中心15網(wǎng)絡的脆弱性性網(wǎng)絡的擴展與與業(yè)務負荷膨膨脹：信息量半年長長一倍，網(wǎng)民民年增漲30%網(wǎng)絡帶寬瓶頸頸和信息擁擠擠社會與經(jīng)濟對對網(wǎng)絡的巨大大經(jīng)濟依賴性性：20%股市、、25%產(chǎn)品品、30%金金融、40%人口災難情況下的的網(wǎng)絡脆弱性性“AOL”96年10小小時癱瘓：影響700萬萬用戶安全的模糊性性網(wǎng)絡絡的開放性技術的公開性性人類的的天性16安全的模糊性性安全是相對的的，不易明確確安全的目標標安全是復雜的的，不易認清清存在的問題題安全是廣泛的的，不易普及及安全的知識識安全鏈條：鏈鏈條的強度等等于其最弱一一環(huán)的強度（（木桶原理：：網(wǎng)絡安全最最薄弱之處好好比木桶壁上上最短的木塊塊，也是黑客客對網(wǎng)絡攻擊擊的首選之處處。）17網(wǎng)絡的開放性性互聯(lián)機制提供供了廣泛的可可訪問性Client-Server模式提提供了明確的的攻擊目標開放的網(wǎng)絡協(xié)協(xié)議和操作系系統(tǒng)為入侵提提供了線索用戶的匿名性性為攻擊提供供了機會18技術的公開性性如果不能集思思廣益，自由由地發(fā)表對系系統(tǒng)的建議，，則會增加系系統(tǒng)潛在的弱弱點被忽視的的危險，因此此Internet要求求對網(wǎng)絡安全全問題進行坦坦率公開地討討論?；谏鲜鲈瓌t則，高水平的的網(wǎng)絡安全資資料與工具在在Internet中可可自由獲得。。19人類的天性好奇心這扇門為什么么鎖上，我能能打開嗎？惰性和依賴心心理安全問題應由由專家來關心心恐懼心理家丑不可外揚揚20網(wǎng)絡攻擊形式式按網(wǎng)絡服務分分：E-Mail、FTP、、Telnet、R服務、IIS按技術途徑分分：口令攻擊、Dos攻擊、、種植木馬按攻擊目的分分：數(shù)據(jù)竊取、偽偽造濫用資源源、篡改數(shù)據(jù)據(jù)21主要要攻攻擊擊與與威威脅脅———十十大大攻攻擊擊手手段段1.Dos：：使目目標標系系統(tǒng)統(tǒng)或或網(wǎng)網(wǎng)絡絡無無法法提提供供正正常常服服務務網(wǎng)絡絡Flooding:synflooding、、pingflooding、、DDos系統(tǒng)統(tǒng)Crash:Pingofdeath、、淚淚滴滴、、land、、WinNuke應用用Crash/Overload：：利用用應應用用程程序序缺缺陷陷，，如如長長郵郵件件2.掃描描探探測測：：系統(tǒng)統(tǒng)弱弱點點探探察察SATAN、、ISS、、CybercopScanner、、ping（嗅嗅探探加加密密口口令令,口口令令文文件件)223.口令令攻攻擊擊:弱口口令令口令令竊竊取?。海盒崽教狡髌鳌?、偷偷窺窺、、社社會會工工程程（（垃垃圾圾、、便便條條、、偽偽裝裝查查詢詢））口令令猜猜測測：：常用用字字——無無法法獲獲得得加加密密的的口口令令-強強力力攻攻擊擊口令令Crack：：字典典猜猜測測、、字字典典攻攻擊擊——可可獲獲得得加加密密的的口口令令（（嗅嗅探探加加密密口口令令,口口令令文文件件)4.獲取取權權限限，，提提升升權權限限（root/administrator））猜/crackroot口口令令、、緩緩沖沖區(qū)區(qū)溢溢出出、、利利用用NT注注冊冊表表、、訪訪問問和和利利用用高高權權限限控控制制臺臺、、利利用用啟啟動動文文件件、、利利用用系系統(tǒng)統(tǒng)或或應應用用Bugs5.插入入惡惡意意代代碼碼:病毒毒、、特特洛洛伊伊木木馬馬（（BO)、、后后門門、、惡惡意意Applet236.網(wǎng)絡絡破破壞壞：：主頁頁篡篡改改、、文文件件刪刪除除、、毀毀壞壞OS、、格格式式化化磁磁盤盤7.數(shù)據(jù)據(jù)竊竊取?。海好舾懈袛?shù)數(shù)據(jù)據(jù)拷拷貝貝、、監(jiān)監(jiān)聽聽敏敏感感數(shù)數(shù)據(jù)據(jù)傳傳輸輸---共共享享媒媒介介/服服務務器器監(jiān)監(jiān)聽聽/遠遠程程監(jiān)監(jiān)聽聽RMON8.偽造造、、浪浪費費與與濫濫用用資資源源：：違規(guī)規(guī)使使用用9.篡改改審審計計數(shù)數(shù)據(jù)據(jù):刪除除、、修修改改、、權權限限改改變變、、使使審審計計進進程程失失效效10.安全全基基礎礎攻攻擊擊：：防火火墻墻、、路路由由、、帳帳戶戶修修改改，，文文件件權權限限修修改改。。24我國國網(wǎng)網(wǎng)絡絡安安全全現(xiàn)現(xiàn)狀狀硬件件設設備備上上嚴嚴重重依依賴賴國國外外網(wǎng)絡絡安安全全管管理理存存在在漏漏洞洞網(wǎng)絡絡安安全全問問題題還還沒沒有有引引起起人人們們的的廣廣泛泛重重視視安全全技技術術有有待待研研究究美國國和和西西方方國國家家對對我我過過進進行行破破壞壞、、滲滲透透和和污污染染啟動動了了一一些些網(wǎng)網(wǎng)絡絡安安全全研研究究項項目目建立立一一批批國國家家網(wǎng)網(wǎng)絡絡安安全全基基礎礎設設施施25Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標機）美2.7黑黑客客案案件件的的攻攻擊擊方方式式分布布式式拒拒決決服服務務（（DDoS））26美國國2.7黑黑客客事事件件的的啟啟示示互聯(lián)聯(lián)網(wǎng)網(wǎng)正正在在成成為為國國家家重重要要基基礎礎設設施施9800萬萬網(wǎng)網(wǎng)民民3000萬萬人人參參予予網(wǎng)網(wǎng)上上購購物物，，$1000億億元元交交易易額額14%的的股股市市交交易易互聯(lián)聯(lián)網(wǎng)網(wǎng)威威脅脅給給社社會會帶帶來來巨巨大大沖沖擊擊CNN的的100萬萬網(wǎng)網(wǎng)民民閱閱讀讀網(wǎng)網(wǎng)絡絡新新聞聞受受阻阻Amason的820萬萬注注冊冊用用戶戶無無法法購購書書3天天總總損損失失高高達達$12億億互聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全問問題題正正在在進進入入國國家家戰(zhàn)戰(zhàn)略略層層克林林頓頓2月月16日日召召開開網(wǎng)網(wǎng)絡絡安安全全高高峰峰會會議議支持持$900萬萬建建立立高高科科技技安安全全研研究究所所拔款款$20億億建建基基礎礎設設施施打打擊擊網(wǎng)網(wǎng)絡絡恐恐怖怖活活動動27值得深深思的的幾個個問題題網(wǎng)絡安安全的的全局局性戰(zhàn)戰(zhàn)略黑客工工具的的公開開化對對策網(wǎng)絡安安全的的預警警體系系應急反反應隊隊伍的的建設設28傳統(tǒng)安安全觀觀念受受到挑挑戰(zhàn)網(wǎng)絡是是變化化的、、風險險是動動態(tài)的的傳統(tǒng)安安全觀觀側重重策略略的技技術實實現(xiàn)現(xiàn)代安安全觀觀強調(diào)調(diào)安全全的整整體性性，安安全被被看成成一一個與與環(huán)境境相互互作用用的動動態(tài)循循環(huán)過過程29網(wǎng)絡安安全策策略網(wǎng)絡安安全是是一個個系統(tǒng)統(tǒng)的概概念，，可靠靠的網(wǎng)網(wǎng)絡安安全解解決方方案必必須建建立在在集成成網(wǎng)絡絡安全全技術術的基基礎上上，網(wǎng)網(wǎng)絡系系統(tǒng)安安全策策略就就是基基于這這種技技術集集成而而提出出的，，主要要有三三種：：1直直接風風險控控制策策略（（靜態(tài)態(tài)防御御）安全=風險險分析析+安安全規(guī)規(guī)則+直接接的技技術防防御體體系+安全全監(jiān)控控攻擊手手段是是不斷斷進步步的，，安全全漏洞洞也是是動態(tài)態(tài)出現(xiàn)現(xiàn)的，，因此此靜態(tài)態(tài)防御御下的的該模模型存存在著著本質(zhì)質(zhì)的缺缺陷。。2自自適應應網(wǎng)絡絡安全全策略略（動動態(tài)性性）安全=風險險分析析+執(zhí)執(zhí)行策策略+系統(tǒng)統(tǒng)實施施+漏漏洞分分析+實時時響應應該策略略強調(diào)調(diào)系統(tǒng)統(tǒng)安全全管理理的動動態(tài)性性，主主張通通過安安全性性檢測測、漏漏洞監(jiān)監(jiān)測，，自適適應地地填充充“安安全間間隙””，從從而提提高網(wǎng)網(wǎng)絡系系統(tǒng)的的安全全性。。完善善的網(wǎng)網(wǎng)絡安安全體體系，，必須須合理理協(xié)調(diào)調(diào)法律律、技技術和和管理理三種種因素素，集集成防防護、、監(jiān)控控和恢恢復三三種技技術，，力求求增強強網(wǎng)絡絡系統(tǒng)統(tǒng)的健健壯性性與免免疫力力。局局限性性在于于：只只考慮慮增強強系統(tǒng)統(tǒng)的健健壯性性，僅僅綜合合了技技術和和管理理因素素，僅僅采用用了技技術防防護。。30網(wǎng)絡安全策策略（續(xù)））3智能網(wǎng)網(wǎng)絡系統(tǒng)安安全策略（（動態(tài)免疫疫力）安全=風險險分析+安安全策略+技術防御御體系+攻攻擊實時檢檢測+安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復+系統(tǒng)統(tǒng)學習進化化技術防御體體系包括漏漏洞檢測和和安全縫隙隙填充；安安全跟蹤是是為攻擊證證據(jù)記錄服服務的，系系統(tǒng)學習進進化是旨在在改善系統(tǒng)統(tǒng)性能而引引入的智能能反饋機制制。模型中，““風險分析析+安全策策略”體現(xiàn)現(xiàn)了管理因因素；“技技術防御體體系+攻擊擊實時檢測測+系統(tǒng)數(shù)數(shù)據(jù)恢復+系統(tǒng)學習習進化”體體現(xiàn)了技術術因素；技技術因素綜綜合了防護護、監(jiān)控和和恢復技術術；“安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復+系統(tǒng)統(tǒng)學習進化化”使系統(tǒng)統(tǒng)表現(xiàn)出動動態(tài)免疫力力。31網(wǎng)絡網(wǎng)絡安安全防護體體系（（PDRR）隨著信息網(wǎng)網(wǎng)絡的飛速速發(fā)展，信信息網(wǎng)絡的的安全防護護技術已逐逐漸成為一一個新興的的重要技術術領域，并并且受到政政府、軍隊隊和全社會會的高度重重視。隨著著我國政府府、金融等等重要領域域逐步進入入信息網(wǎng)絡絡，國家的的信息網(wǎng)絡絡已成為繼繼領土、領領海、領空空之后的又又一個安全全防衛(wèi)領域域，逐漸成成為國家安安全的最高高價值目標標之一?？煽梢哉f信息息網(wǎng)絡的安安全與國家家安全密切切相關。32網(wǎng)絡網(wǎng)絡安安全防護體體系（（PDRR）最近安全專專家提出了了信息保障障體系的新新概念，即即：為了保保障網(wǎng)絡安安全，應重重視提高系系統(tǒng)的入侵侵檢測能力力、事件反反應能力和和遭破壞后后的快速恢恢復能力。。信息保障障有別于傳傳統(tǒng)的加密密、身份認認證、訪問問控制、防防火墻等技技術，它強強調(diào)信息系系統(tǒng)整個生生命周期的的主動防御御。美國在在信息保障障方面的一一些舉措,如：成立立關鍵信息息保障辦公公室、國家家基礎設施施保護委員員會和開展展對信息戰(zhàn)戰(zhàn)的研究等等等，表明明美國正在在尋求一種種信息系統(tǒng)統(tǒng)防御和保保護的新概概念，這應應該引起我我們的高度度重視。33網(wǎng)絡網(wǎng)絡安安全防護體體系（（PDRR）保護、檢測測、響應和和恢復涵蓋蓋了對現(xiàn)代代信息系統(tǒng)統(tǒng)的安全防防護的各個個方面，構構成了一個個完整的體體系，使網(wǎng)網(wǎng)絡安全建建筑在一個個更加堅實實的基礎之之上。34網(wǎng)絡網(wǎng)絡安安全防護體體系（（PDRR）保護(PROTECT)傳統(tǒng)安全概概念的繼承承，包括信信息加密技技術、訪問問控制技術術等等。檢測(DETECT)從監(jiān)視、分分析、審計計信息網(wǎng)絡絡活動的角角度，發(fā)現(xiàn)現(xiàn)對于信息息網(wǎng)絡的攻攻擊、破壞壞活動，提提供預警、、實時響應應、事后分分析和系統(tǒng)統(tǒng)恢復等方方面的支持持，使安全全防護從單單純的被動動防護演進進到積極的的主動防御御。35網(wǎng)絡網(wǎng)絡安安全防護體體系（（PDRR）響應(RESPONSE)在遭遇攻擊擊和緊急事事件時及時時采取措施施，包括調(diào)調(diào)整系統(tǒng)的的安全措施施、跟蹤攻攻擊源和保保護性關閉閉服務和主主機等。恢復(RECOVER)評估系統(tǒng)受受到的危害害與損失，，恢復系統(tǒng)統(tǒng)功能和數(shù)數(shù)據(jù)，啟動動備份系統(tǒng)統(tǒng)等。36網(wǎng)絡安全保保障體系安全管理與與審計物理層安全全網(wǎng)絡層安全傳輸層安全全應用層安全全鏈路層物理層網(wǎng)絡層傳輸層應用層表示層會話層審計與監(jiān)控控身份認證數(shù)據(jù)加密數(shù)字簽名完整性鑒別別端到端加密密訪問控制點到點鏈路路加密物理信道安安全訪問控制數(shù)據(jù)機密性性數(shù)據(jù)完整性性用戶認證防抵賴安全審計網(wǎng)絡安全層層次層次模型網(wǎng)絡安全技技術實現(xiàn)安全目目標用戶安全37網(wǎng)絡安全工工作的目的的38黑客攻擊與與防范39以太幀與MAC地址址一、以太資資料幀的結結構圖前同步碼報頭資料區(qū)資料幀檢查序列（FCS）8個字節(jié)（不包括）通常14個字節(jié)46-1，500字節(jié)

固定4字節(jié)40以太幀構成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報頭必須有：發(fā)送者MAC地址目的MAC地址共12個字節(jié)OR長度字段中的字節(jié)總數(shù)信息（差錯控制）OR類型字段（說明以太幀的類型）資料區(qū)資料源IP目的地IP實際資料和協(xié)議信息如果資料超過1，500分解多個資料幀，使用序列號如果不夠46個字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41MAC地址的前三個字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42地址解析協(xié)協(xié)議地址解析協(xié)協(xié)議

索引物理位址IP地址類型物理口（接口）設備的物理地址與物理位址對應的IP地址這一行對應入口類型入口1

入口2

入口N

注：數(shù)值2表示這個入入口是非法法的，數(shù)值值3表示這種映映像是動態(tài)態(tài)的，數(shù)值值4表示是靜態(tài)態(tài)的（如口口不改變）），數(shù)值1表示不是上上述任何一一種。入口：ARP高速緩存。。43TIP/IPIP（InternetProtocol））網(wǎng)際協(xié)議議，把要傳傳輸?shù)囊粋€個文件分成成一個個的的群組，這這些群組被被稱之為IP數(shù)據(jù)包包，每個IP數(shù)據(jù)包包都含有源源地址和目目的地址，，知道從哪哪臺機器正正確地傳送送到另一臺臺機器上去去。IP協(xié)協(xié)議具有分分組交換的的功能，不不會因為一一臺機器傳傳輸而獨占占通信線路路。TCP（TransportcontrolProtocal））傳輸控制制協(xié)議具有有重排IP數(shù)據(jù)包順順序和超時時確認的功功能。IP數(shù)據(jù)包可可能從不同同的通信線線路到達目目的地機器器，IP數(shù)數(shù)據(jù)包的順順序可能序序亂。TCP按IP數(shù)據(jù)包原原來的順序序進行重排排。IP數(shù)數(shù)據(jù)包可能能在傳輸過過程中丟失失或損壞，，在規(guī)定的的時間內(nèi)如如果目的地地機器收不不到這些IP數(shù)據(jù)包包，TCP協(xié)議會讓讓源機器重重新發(fā)送這這些IP數(shù)數(shù)據(jù)包，直直到到達目目的地機器器。TCP協(xié)議確認認收到的IP數(shù)據(jù)包包。超時機機制是自動動的，不依依賴于通訊訊線路的遠遠近。IP和TCP兩種協(xié)協(xié)議協(xié)同工工作，要傳傳輸?shù)奈募涂梢詼蕼蚀_無誤地地被傳送和和接收44TIP/IPTCP/IP協(xié)議族與OSI七層模模型的對應關關系，如下圖圖所示45數(shù)據(jù)包是什么么樣的？TCP/IP/Ethernet舉舉例對分組過濾而而言：涉及四四層1.Ethernetlayer2. IPlayer3. TCP layer4. data layer分組與數(shù)據(jù)封封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構成：首標（頭）和本體（數(shù)據(jù)）首標包含與本層有關的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來自上層的所有信息，同時加上本層的首標，即封包應用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分組組＝EthernetHeader＋EthernetBody2.Header說明：3.EthernetBody包含含的是IP分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機器的Ethernet地址（源址）接收該分組的機器的Ethernet地址（宿址）IPlayer1.IP分分組＝IPheader+IPBody3.IP可將分組細分分為更小的部部分段(fragments)，以便網(wǎng)絡傳輸輸。4.IPBody包含的是TCP分組。。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？?，用于IP源路由或IP安全選項的標識IP分組字字段版本 IHL服務類型 總長度 標識 O分段偏差有效期 協(xié)議 報頭校驗和 源地址 宿地址 選項 填充 數(shù)據(jù)OMFF32BIT過濾字段50IP:1、處于Internet中間層次次。2、其下有很很多不同的層層：如Ethernet，tokenring，F(xiàn)DDI，PPP等。3、其上有很很多協(xié)議：TCP，UDP，ICMP。4、與分組過過濾有關的特特性是：5、分段示意意圖：IP選項：用于Firewall中，對付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分分組：TCP報頭＋TCP本體2、報頭中與與過濾有關部部分：TCP源端口口：2byte數(shù)，說明明處理分組的的源機器。TCP宿端口口：同上TCP旗標字字段（flag），含有1bit的ACKbit。3、本體內(nèi)是是實際要傳送送的數(shù)據(jù)。TCPLayer源端口宿宿端口序號確認號號HLEN保保留碼碼位窗窗口校驗和緊緊急指針針選項填填充充字節(jié)數(shù)據(jù)據(jù)WordsBits048121620242831頭標端口掃描攻擊擊54Sniffer攻擊55DOS原理DoS的英文文全稱是DenialofService，也就是““拒絕服務””的意思。從從網(wǎng)絡攻擊的的各種方法和和所產(chǎn)生的破破壞情況來看看，DoS算算是一種很簡簡單但又很有有效的進攻方方式。它的目目的就是拒絕絕你的服務訪訪問，破壞組組織的正常運運行，最終它它會使你的部部分Internet連連接和網(wǎng)絡系系統(tǒng)失效。DoS的攻擊擊方式有很多多種，最基本本的DoS攻攻擊就是利用用合理的服務務請求來占用用過多的服務務資源，從而而使合法用戶戶無法得到服服務。DoS攻擊的原理理如圖所示。。56DOS原理57DOS原理從圖我們可以以看出DoS攻擊的基本本過程：首先先攻擊者向服服務器發(fā)送眾眾多的帶有虛虛假地址的請請求，服務器器發(fā)送回復信信息后等待回回傳信息，由由于地址是偽偽造的，所以以服務器一直直等不到回傳傳的消息，分分配給這次請請求的資源就就始終沒有被被釋放。當服服務器等待一一定的時間后后，連接會因因超時而被切切斷，攻擊者者會再度傳送送新的一批請請求，在這種種反復發(fā)送偽偽地址請求的的情況下，服服務器資源最最終會被耗盡盡。58DDOS原原理DDoS（（分布式拒拒絕服務）），它的英英文全稱為為DistributedDenialofService，它是是一種基于于DoS的的特殊形式式的拒絕服服務攻擊，，是一種分分布、協(xié)作作的大規(guī)模模攻擊方式式，主要瞄瞄準比較大大的站點，，象商業(yè)公公司，搜索索引擎和政政府部門的的站點。從從圖1我們們可以看出出DoS攻攻擊只要一一臺單機和和一個modem就就可實現(xiàn)，，與之不同同的是DDoS攻擊擊是利用一一批受控制制的機器向向一臺機器器發(fā)起攻擊擊，這樣來來勢迅猛的的攻擊令人人難以防備備，因此具具有較大的的破壞性。。DDoS的攻擊原原理如圖所所示。59DDOS原原理60DDOS原原理從圖可以看看出，DDoS攻擊擊分為3層層：攻擊者者、主控端端、代理端端，三者在在攻擊中扮扮演著不同同的角色。。1、攻擊者者：攻擊者所所用的計算算機是攻擊擊主控臺，，可以是網(wǎng)網(wǎng)絡上的任任何一臺主主機，甚至至可以是一一個活動的的便攜機。。攻擊者操操縱整個攻攻擊過程，，它向主控控端發(fā)送攻攻擊命令。。2、主控端端：主控端是是攻擊者非非法侵入并并控制的一一些主機，，這些主機機還分別控控制大量的的代理主機機。主控端端主機的上上面安裝了了特定的程程序，因此此它們可以以接受攻擊擊者發(fā)來的的特殊指令令，并且可可以把這些些命令發(fā)送送到代理主主機上。3、代理端端：代理端同樣樣也是攻擊擊者侵入并并控制的一一批主機，，它們上面面運行攻擊擊器程序，，接受和運運行主控端端發(fā)來的命命令。代理理端主機是是攻擊的執(zhí)執(zhí)行者，真真正向受害害者主機發(fā)發(fā)送攻擊。。61SYNFlood的基本原原理大家都知道道，TCP與UDP不同，它它是基于連連接的，也也就是說：：為了在服服務端和客客戶端之間間傳送TCP數(shù)據(jù)，，必須先建建立一個虛虛擬電路，，也就是TCP連接接，建立TCP連接接的標準過過程是這樣樣的：首首先先，請求端端（客戶端端）發(fā)送一一個包含SYN標志志的TCP報文，SYN即同同步（Synchronize），同同步報文會會指明客戶戶端使用的的端口以及及TCP連連接的初始始序號；第第二步，服服務器在收收到客戶端端的SYN報文后，，將返回一一個SYN+ACK的報文，，表示客戶戶端的請求求被接受，，同時TCP序號被被加一，ACK即確確認（Acknowledgement）。第第三步，客客戶端也返返回一個確確認報文ACK給服服務器端，，同樣TCP序列號號被加一，，到此一個個TCP連連接完成。。

以上的的連接過程程在TCP協(xié)議中被被稱為三次次握手（Three-wayHandshake）。。62SYNFlood的基本原原理假設一個用用戶向服務務器發(fā)送了了SYN報報文后突然然死機或掉掉線，那么么服務器在在發(fā)出SYN+ACK應答報報文后是無無法收到客客戶端的ACK報文文的（第三三次握手無無法完成）），這種情情況下服務務器端一般般會重試（（再次發(fā)送送SYN+ACK給給客戶端））并等待一一段時間后后丟棄這個個未完成的的連接，這這段時間的的長度我們們稱為SYNTimeout，一般般來說這個個時間是分分鐘的數(shù)量量級（大約約為30秒秒-2分鐘鐘）；一個個用戶出現(xiàn)現(xiàn)異常導致致服務器的的一個線程程等待1分分鐘并不是是什么很大大的問題，，但如果有有一個惡意意的攻擊者者大量模擬擬這種情況況，服務器器端將為了了維護一個個非常大的的半連接列列表而消耗耗非常多的的資源----數(shù)以以萬計的半半連接，即即使是簡單單的保存并并遍歷也會會消耗非常常多的CPU時間和和內(nèi)存，何何況還要不不斷對這個個列表中的的IP進行行SYN+ACK的的重試。實實際上如果果服務器的的TCP/IP棧不不夠強大，，最后的結結果往往是是堆棧溢出出崩潰---即使服服務器端的的系統(tǒng)足夠夠強大，服服務器端也也將忙于處處理攻擊者者偽造的TCP連接接請求而無無暇理睬客客戶的正常常請求（畢畢竟客戶端端的正常請請求比率非非常之?。藭r從從正?？蛻魬舻慕嵌瓤纯磥?，服務務器失去響響應，這種種情況我們們稱作：服服務器端受受到了SYNFlood攻攻擊（SYN洪水攻攻擊）。63SYNFlood的的基基本本基本本解解決決方方法法第一一種種是是縮縮短短SYNTimeout時時間間，，由由于于SYNFlood攻攻擊擊的的效效果果取取決決于于服服務務器器上上保保持持的的SYN半半連連接接數(shù)數(shù)，，這這個個值值=SYN攻攻擊擊的的頻頻度度xSYNTimeout，，所所以以通通過過縮縮短短從從接接收收到到SYN報報文文到到確確定定這這個個報報文文無無效效并并丟丟棄棄改改連連接接的的時時間間，，例例如如設設置置為為20秒秒以以下下（（過過低低的的SYNTimeout設設置置可可能能會會影影響響客客戶戶的的正正常常訪訪問問）），，可可以以成成倍倍的的降降低低服服務務器器的的負負荷荷。。第第二二種種方方法法是是設設置置SYNCookie，，就就是是給給每每一一個個請請求求連連接接的的IP地地址址分分配配一一個個Cookie，，如如果果短短時時間間內(nèi)內(nèi)連連續(xù)續(xù)受受到到某某個個IP的的重重復復SYN報報文文，，就就認認定定是是受受到到了了攻攻擊擊，，以以后后從從這這個個IP地地址址來來的的包包會會被被丟丟棄棄。。64DDoS攻攻擊使使用的的常用用工具具DDoS攻攻擊實實施起起來有有一定定的難難度，，它要要求攻攻擊者者必須須具備備入侵侵他人人計算算機的的能力力。但但是很很不幸幸的是是一些些傻瓜瓜式的的黑客客程序序的出出現(xiàn)，，這些些程序序可以以在幾幾秒鐘鐘內(nèi)完完成入入侵和和攻擊擊程序序的安安裝，，使發(fā)發(fā)動DDoS攻攻擊變變成一一件輕輕而易易舉的的事情情。下下面我我們來來分析析一下下這些些常用用的黑黑客程程序。。1、TrinooTrinoo的的攻擊擊方法法是向向被攻攻擊目目標主主機的的隨機機端口口發(fā)出出全零零的4字節(jié)節(jié)UDP包包，在在處理理這些些超出出其處處理能能力的的垃圾圾數(shù)據(jù)據(jù)包的的過程程中，，被攻攻擊主主機的的網(wǎng)絡絡性能能不斷斷下降降，直直到不不能提提供正正常服服務，，乃至至崩潰潰。它它對IP地地址不不做假假，采采用的的通訊訊端口口是：：攻擊者者主機機到主主控端端主機機：27665/TCP主主控端端主機機到代代理端端主機機：27444/UDP代代理端端主機機到主主服務務器主主機：：31335/UDPFNTFN由主主控端端程序序和代代理端端程序序兩部部分組組成，，它主主要采采取的的攻擊擊方法法為：：SYN風風暴、、Ping風暴暴、UDP炸彈彈和SMURF，具具有偽偽造數(shù)數(shù)據(jù)包包的能能力。。65DDoS攻攻擊使使用的的常用用工具具3、TFN2KTFN2K是由由TFN發(fā)發(fā)展而而來的的，在在TFN所所具有有的特特性上上，TFN2K又新新增一一些特特性，，它的的主控控端和和代理理端的的網(wǎng)絡絡通訊訊是經(jīng)經(jīng)過加加密的的，中中間還還可能能混雜雜了許許多虛虛假數(shù)數(shù)據(jù)包包，而而TFN對對ICMP的通通訊沒沒有加加密。。攻擊擊方法法增加加了Mix和Targa3。。并且且TFN2K可可配置置的代代理端端進程程端口口。4、StacheldrahtStacheldraht也也是從從TFN派派生出出來的的，因因此它它具有有TFN的的特性性。此此外它它增加加了主主控端端與代代理端端的加加密通通訊能能力，，它對對命令令源作作假，，可以以防范范一些些路由由器的的RFC2267過過濾。。Stacheldrah中中有一一個內(nèi)內(nèi)嵌的的代理理升級級模塊塊，可可以自自動下下載并并安裝裝最新新的代代理程程序。。66DDoS的的監(jiān)測現(xiàn)在網(wǎng)上采采用DDoS方式進進行攻擊的的攻擊者日日益增多，，我們只有有及早發(fā)現(xiàn)現(xiàn)自己受到到攻擊才能能避免遭受受慘重的損損失。檢測DDoS攻擊的的主要方法法有以下幾幾種：1、根據(jù)異異常情況分分析當網(wǎng)絡的通通訊量突然然急劇增長長，超過平平常的極限限值時，你你可一定要要提高警惕惕，檢測此此時的通訊訊；當網(wǎng)站站的某一特特定服務總總是失敗時時，你也要要多加注意意；當發(fā)現(xiàn)現(xiàn)有特大型型的ICP和UDP數(shù)據(jù)包通通過或數(shù)據(jù)據(jù)包內(nèi)容可可疑時都要要留神?？偪傊斈隳愕臋C器出出現(xiàn)異常情情況時，你你最好分析析這些情況況，防患于于未然。2、使用DDoS檢檢測工具當攻擊者想想使其攻擊擊陰謀得逞逞時，他首首先要掃描描系統(tǒng)漏洞洞，目前市市面上的一一些網(wǎng)絡入入侵檢測系系統(tǒng)，可以以杜絕攻擊擊者的掃描描行為。另另外，一些些掃描器工工具可以發(fā)發(fā)現(xiàn)攻擊者者植入系統(tǒng)統(tǒng)的代理程程序，并可可以把它從從系統(tǒng)中刪刪除。67DDoS攻攻擊的防御御策略由于DDoS攻擊具具有隱蔽性性，因此到到目前為止止我們還沒沒有發(fā)現(xiàn)對對DDoS攻擊行之之有效的解解決方法。。所以我們們要加強安安全防范意意識，提高高網(wǎng)絡系統(tǒng)統(tǒng)的安全性性?？刹扇∪〉陌踩婪烙胧┯杏幸韵聨追N種：1、及早發(fā)發(fā)現(xiàn)系統(tǒng)存存在的攻擊擊漏洞，及及時安裝系系統(tǒng)補丁程程序。對一一些重要的的信息（例例如系統(tǒng)配配置信息））建立和完完善備份機機制。對一一些特權帳帳號（例如如管理員帳帳號）的密密碼設置要要謹慎。通通過這樣一一系列的舉舉措可以把把攻擊者的的可乘之機機降低到最最小。2、在網(wǎng)絡絡管理方面面，要經(jīng)常常檢查系統(tǒng)統(tǒng)的物理環(huán)環(huán)境，禁止止那些不必必要的網(wǎng)絡絡服務。建建立邊界安安全界限，，確保輸出出的包受到到正確限制制。經(jīng)常檢檢測系統(tǒng)配配置信息，，并注意查查看每天的的安全日志志。3、利用網(wǎng)網(wǎng)絡安全設設備（例如如：防火墻墻）來加固固網(wǎng)絡的安安全性，配配置好它們們的安全規(guī)規(guī)則，過濾濾掉所有的的可能的偽偽造數(shù)據(jù)包包。4、比較好好的防御措措施就是和和你的網(wǎng)絡絡服務提供供商協(xié)調(diào)工工作，讓他他們幫助你你實現(xiàn)路由由的訪問控控制和對帶帶寬總量的的限制。68DDoS攻攻擊的防御御策略5、當你發(fā)發(fā)現(xiàn)自己正正在遭受DDoS攻攻擊時，你你應當啟動動您的應付付策略，盡盡可能快的的追蹤攻擊擊包，并且且要及時聯(lián)聯(lián)系ISP和有關應應急組織，，分析受影影響的系統(tǒng)統(tǒng)，確定涉涉及的其他他節(jié)點，從從而阻擋從從已知攻擊擊節(jié)點的流流量。6、當你是是潛在的DDoS攻攻擊受害者者，你發(fā)現(xiàn)現(xiàn)你的計算算機被攻擊擊者用做主主控端和代代理端時，，你不能因因為你的系系統(tǒng)暫時沒沒有受到損損害而掉以以輕心，攻攻擊者已發(fā)發(fā)現(xiàn)你系統(tǒng)統(tǒng)的漏洞，，這對你的的系統(tǒng)是一一個很大的的威脅。所所以一旦發(fā)發(fā)現(xiàn)系統(tǒng)中中存在DDoS攻擊擊的工具軟軟件要及時時把它清除除，以免留留下后患。。69分布式拒絕絕服務（DDoS））攻擊工具具分析--TFN2K客戶端———用于通過過發(fā)動攻擊擊的應用程程序，攻擊擊者通過它它來發(fā)送各各種命令。。

守護護程序———在代理端端主機運行行的進程，，接收和響響應來自客客戶端的命命令。主主控端———運行客客戶端程序序的主機。。

代理理端——運運行守護程程序的主機機。目目標主機———分布式式攻擊的目目標（主機機或網(wǎng)絡））。70分布式拒絕絕服務（DDoS））攻擊工具具分析--TFN2KTFN2K通過主控控端利用大大量代理端端主機的資資源進行對對一個或多多個目標進進行協(xié)同攻攻擊。當前前互聯(lián)網(wǎng)中中的UNIX、Solaris和WindowsNT等平臺的的主機能被被用于此類類攻擊，而而且這個工工具非常容容易被移植植到其它系系統(tǒng)平臺上上。TFN2K由兩部分分組成：在在主控端主主機上的客客戶端和在在代理端主主機上的守守護進程。。主控端向向其代理端端發(fā)送攻擊擊指定的目目標主機列列表。代理理端據(jù)此對對目標進行行拒絕服務務攻擊。由由一個主控控端控制的的多個代理理端主機，，能夠在攻攻擊過程中中相互協(xié)同同，保證攻攻擊的連續(xù)續(xù)性。主控控央和代理理端的網(wǎng)絡絡通訊是經(jīng)經(jīng)過加密的的，還可能能混雜了許許多虛假數(shù)數(shù)據(jù)包。整整個TFN2K網(wǎng)絡絡可能使用用不同的TCP、UDP或ICMP包包進行通訊訊。而且主主控端還能能偽造其IP地址。。所有這些些特性都使使發(fā)展防御御TFN2K攻擊的的策略和技技術都非常常困難或效效率低下。。71主控端通過過TCP、、UDP、、ICMP或隨機性性使用其中中之一的數(shù)數(shù)據(jù)包向代代理端主機機發(fā)發(fā)送命令令。對目標標的攻擊方方法包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)數(shù)據(jù)包flood等等?！糁骺囟硕伺c代理端端之間數(shù)據(jù)據(jù)包的頭信信息也是隨隨機的，除除了ICMP總是使使用ICMP_ECHOREPLY類類型數(shù)據(jù)包包?！簟襞c其上上一代版本本TFN不不同，TFN2K的的守護程序序是完全沉沉默的，它它不會對接接收到到的命命令有任何何回應?？涂蛻舳酥貜蛷桶l(fā)送每一一個命令20次，并并且認為守守護程序序應應該至少能能接收到其其中一個。。72◆這些命命令數(shù)據(jù)包包可能混雜雜了許多發(fā)發(fā)送到隨機機IP地址址的偽造數(shù)數(shù)據(jù)包?！簟鬞FN2K命令不是是基于字符符串的，而而采用了"++"格格式，其中中是代代表某某個特定命命令的數(shù)值值，則是該該命令的參參數(shù)?！簟羲杏忻疃冀?jīng)經(jīng)過了CAST-256算法法（RFC2612）加密密。加密關關鍵字在程程序編譯譯時時定義，并并作為TFN2K客客戶端程序序的口令。。

◆所所有加密密數(shù)據(jù)在發(fā)發(fā)送前都被被編碼（Base64）成成可打印的的ASCII字符。。TFN2K守守護程程序接收數(shù)數(shù)據(jù)包并解解密數(shù)據(jù)。。73◆守護進進程為每一一個攻擊產(chǎn)產(chǎn)生子進程程。◆◆TFN2K守護護進程試圖圖通過修改改argv[0]內(nèi)內(nèi)容（或在在某些平臺臺中修改進進程名）以以掩飾自己己。偽造的的進程名在在編譯時指指定，因此此每次安裝裝時都有可可能不同。。這這個功能能使TFN2K偽裝裝成代理端端主機的普普通正常進進程。因此此，只是簡簡單地檢查查進程列表表未必能找找到TFN2K守護護進程（及及其子進程程）?！簟魜碜宰悦恳粋€客客戶端或守守護進程的的所有數(shù)據(jù)據(jù)包都可能能被偽造。。74TFN2K仍然有弱弱點?？赡苣苁鞘韬龅牡脑?，加加密后的Base64編碼碼在每一個個TFN2K數(shù)據(jù)包包的尾部留留下了痕跡跡（與協(xié)議議和加密算算法無關））?？赡苁鞘浅绦蜃髡哒邽榱耸姑棵恳粋€數(shù)據(jù)據(jù)包的長度度變化而填填充了1到到16個零零(0x00)，經(jīng)經(jīng)過Base64編碼后就就成為多個個連續(xù)的0x41('A')。添加到到數(shù)據(jù)包尾尾部的0x41的數(shù)數(shù)量是可變變的，但至至少會有一一個。這些些位于數(shù)據(jù)據(jù)包尾部的的0x41('A')就成了了捕獲TFN2K命命令數(shù)據(jù)包包的特征了了75forkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*command.exe**

cmd.exe**tfn-daemon***

tfn-child***76目前前仍仍沒沒有有能能有有效效防防御御TFN2K拒拒絕絕服服務務攻攻擊擊的的方方法法。。最最有有效效的的策策略略是是防防止止網(wǎng)網(wǎng)絡絡資資源源被被用用作作客客戶戶端端或或代代理理端端。。預防防◆◆只只使使用用應應用用代代理理型型防防火火墻墻。。這這能能夠夠有有效效地地阻阻止止所所有有的的TFN2K通通訊訊。。但但只只使使用用應應用用代代理理服服務務器器通通常常是是不不切切合合實實際際的的，，因因此此只只能能盡盡可可能能使使用用最最少少的的非非代代理理服服務務。?！簟艚怪共徊槐乇匾牡腎CMP、、TCP和和UDP通通訊訊。。特特別別是是對對于于ICMP數(shù)數(shù)據(jù)據(jù)，，可可只只允允許許ICMP類類型型3（（destinationunreachable目目標標不不可可到到達達））數(shù)數(shù)據(jù)據(jù)包包通通過過。?！簟羧缛绻徊荒苣芙怪笽CMP協(xié)協(xié)議議，，那那就就禁禁止止主主動動提提供供或或所所有有的的ICMP_ECHOREPLY包包。。77◆禁止不在在允許端口列列表中的所有有UDP和TCP包?！簟襞渲弥梅阑饓^濾濾所有可能的的偽造數(shù)據(jù)包包。

◆對對系統(tǒng)進行行補丁和安全全配置，以防防止攻擊者入入侵并安裝TFN2K。。

監(jiān)測測◆◆掃描客戶戶端/守護程程序的名字。。

◆根根據(jù)前面列出出的特征字符符串掃描所有有可執(zhí)行文件件。

◆掃掃描系統(tǒng)內(nèi)內(nèi)存中的進程程列表。78◆檢查ICMP_ECHOREPLY數(shù)據(jù)包包的尾部是否否含有連續(xù)的的0x41。。另外，檢查查數(shù)據(jù)側面面內(nèi)容容是否都是ASCII可可打印字符（（2B，2F-39，0x41-0x5A，0x61-0x7A）。。

◆監(jiān)監(jiān)視含有相同同數(shù)據(jù)內(nèi)容的的連續(xù)數(shù)據(jù)包包（有可能混混合了TCP、UDP和和ICMP包包）。

響應應一一旦旦在系統(tǒng)中發(fā)發(fā)現(xiàn)了TFN2K，必須須立即通知安安全公司或?qū)＜乙宰粉櫲肴肭诌M行。因因為TFN2K的守護進進程不會對接接收到的命令令作任何回復復，TFN2K客戶端一一般會繼續(xù)向向代理端主機機發(fā)送命令數(shù)數(shù)據(jù)包。另外外，入侵者發(fā)發(fā)現(xiàn)攻擊失效效時往往會試試圖連接到代代理端主機上上以進行檢查查。這些網(wǎng)絡絡通訊都可被被追蹤。79IP欺騙的原原理⑴什么是IP電子欺騙攻攻擊？

所謂謂IP欺騙，，無非就是偽偽造他人的源源IP地址。。其實質(zhì)就是是讓一臺機器器來扮演另一一臺機器，籍籍以達到蒙混混過關的目的的。⑵誰容易上當當？

IP欺欺騙技術之所所以獨一無二二，就在于只只能實現(xiàn)對某某些特定的運運行FreeTCP/IP協(xié)議的的計算機進行行攻擊。一一般來說，如如下的服務易易受到IP欺欺騙攻擊：■■任何使用用SunRPC調(diào)用的的配置

■任任何利用IP地址認證的的網(wǎng)絡服務■■MIT的的XWindow系統(tǒng)統(tǒng)

■R服務務80IP欺騙的原原理假設B上的客客戶運行rlogin與與A上的rlogind通信：1.B發(fā)發(fā)送帶有SYN標志的數(shù)數(shù)據(jù)段通知A需要建立TCP連接。。并將TCP報頭中的sequencenumber設設置成自己本本次連接的初初始值ISN。

2.A回傳給B一個帶有SYS+ACK標志的數(shù)數(shù)據(jù)段，告之之自己的ISN，并確認認B發(fā)送來的的第一個數(shù)據(jù)據(jù)段，將acknowledgenumber設置成B的ISN+1。3.B確認認收到的A的的數(shù)據(jù)段，將將acknowledgenumber設置置成A的ISN+1。81B----SYN---->AB<----SYN+ACK----A

B----ACK---->A82IP欺騙攻擊擊的描述1.假設Z企圖攻擊A，而A信任任B，所謂信信任指/etc/hosts.equiv和$HOME/.rhosts中有相相關設置。注注意，如何才才能知道A信信任B呢？沒沒有什么確切切的辦法。我我的建議就是是平時注意搜搜集蛛絲馬跡跡，厚積薄發(fā)發(fā)。一次成功功的攻擊其實實主要不是因因為技術上的的高明，而是是因為信息搜搜集的廣泛翔翔實。動用了了自以為很有有成就感的技技術，卻不比比人家酒桌上上的巧妙提問問，攻擊只以以成功為終極極目標，不在在乎手段。2.假假設Z已經(jīng)知知道了被信任任的B，應該該想辦法使B的網(wǎng)絡功能能暫時癱瘓，，以免對攻擊擊造成干擾。。著名的SYNflood常常是是一次IP欺欺騙攻擊的前前奏。請看一一個并發(fā)服務務器的框架：：83IP欺騙攻擊擊的描述intinitsockid,newsockid;

if((initsockid=socket(...))<0){error("can'tcreatesocket");

}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){

error("listenerror");

}84IP欺騙攻擊擊的描述for(;;){newsockid=accept(initsockid,...);/*阻塞*/

if(newsockid<0){error("accepterror");}

if(fork()==0){/*子子進程*/

close(initsockid);

do(newsockid);/*處處理客戶方方請求*/

exit(0);

}close(newsockid);}85IP欺騙攻擊擊的描述3.Z必須須確定A當前前的ISN。。首先連向25端口(SMTP是沒沒有安全校驗驗機制的)，，與1中類似似，不過這次次需要記錄A的ISN，，以及Z到A的大致的RTT(roundtriptime)。。這個步驟要要重復多次以以便求出RTT的平均值值。現(xiàn)在Z知知道了A的ISN基值和和增加規(guī)律(比如每秒增增加128000，每每次連接增加加64000)，也知道道了從Z到A需要RTT/2的時時間。必須立立即進入攻擊擊，否則在這這之間有其他他主機與A連連接，ISN將比預料料的多出64000。86IP欺騙攻擊擊的描述4.Z向A發(fā)送帶有SYN標志的的數(shù)據(jù)段請求求連接，只是是信源IP改改成了B，注注意是針對TCP513端口(rlogin)。A向B回回送SYN+ACK數(shù)據(jù)據(jù)段，B已經(jīng)經(jīng)無法響應(憑什么？按按照作者在2中所說，估估計還達不到到這個效果，，因為Z必然然要模仿B發(fā)發(fā)起connect調(diào)用用，connect調(diào)用用會完成全相相關，自動指指定本地socket地地址和端口，，可事實上B很可能并沒沒有這樣一個個端口等待接接收數(shù)據(jù)。87IP欺騙攻擊擊的描述除非Z模仿B發(fā)起連接請請求時打破常常規(guī)，主動在在客戶端調(diào)用用bind函函數(shù)，明確完完成全相關，，這樣必然知知道A會向B的某個端口口回送，在2中也針對這這個端口攻擊擊B?？墒侨缛绻@樣，完完全不用攻擊擊B，bind的時候指指定一個B上上根本不存在在的端口即可可。我也是想想了又想，還還沒來得及看看看老外的源源代碼，不妥妥之處有待商商榷?？傊?，覺得作者好好象在蒙我們們，他自己也也沒有實踐成成功過吧。)，B的TCP層只是簡簡單地丟棄A的回送數(shù)據(jù)據(jù)段。88IP欺騙攻擊擊的描述5.Z暫停停一小會兒，，讓A有足夠夠時間發(fā)送SYN+ACK，因為Z看不到這個個包。然后Z再次偽裝成成B向A發(fā)送送ACK，此此時發(fā)送的數(shù)數(shù)據(jù)段帶有Z預測的A的的ISN+1。如果預測測準確，連接接建立，數(shù)據(jù)據(jù)傳送開始。。問題在于即即使連接建立立，A仍然會會向B發(fā)送數(shù)數(shù)據(jù)，而不是是Z，Z仍仍然無法看到到A發(fā)往B的的數(shù)據(jù)段，Z必須蒙著頭頭按照rlogin協(xié)議議標準假冒B向A發(fā)送類類似"cat++>>~/.rhosts"這這樣的命令令，于是攻擊擊完成。如果果預測不準確確，A將發(fā)送送一個帶有RST標志的的數(shù)據(jù)段異常常終止連接，，Z只有從頭頭再來。89IP欺騙攻擊擊的描述Z(B)----SYN---->A

B<----SYN+ACK----AZ(B)----ACK---->AZ(B)----PSH---->A

......6.IP欺騙攻擊利利用了RPC服務器僅僅僅依賴于信源源IP地址進進行安全校驗驗的特性，建建議閱讀rlogind的源代碼。。攻擊最困難難的地方在于于預測A的ISN。作者者認為攻擊難難度雖然大，，但成功的可可能性也很大大，不是很理理解，似乎有有點矛盾。90IP欺騙攻擊擊的描述考慮這種情況況，入侵者控控制了一臺由由A到B之間間的路由器，，假設Z就是是這臺路由器器，那么A回回送到B的數(shù)數(shù)據(jù)段，現(xiàn)在在Z是可以看看到的，顯然然攻擊難度驟驟然下降了許許多。否則Z必須精確地地預見可能從從A發(fā)往B的的信息，以及及A期待來自自B的什么應應答信息，這這要求攻擊者者對協(xié)議本身身相當熟悉。。同時需要明明白，這種攻攻擊根本不可可能在交互狀狀態(tài)下完成，，必須寫程序序完成。當然然在準備階段段可以用netxray之類的工具具進行協(xié)議分分析。91IP欺欺騙攻攻擊的的描述述7.如如果果Z不不是路路由器器，能能否考考慮組組合使使用ICMP重重定向向以及及ARP欺欺騙等等技術術？沒沒有仔仔細分分析過過，只只是隨隨便猜猜測而而已。。并且且與A、B、Z之間間具體體的網(wǎng)網(wǎng)絡拓拓撲有有密切切關系系，在在某些些情況況下顯顯然大大幅度度降低低了攻攻擊難難度。。注意意IP欺騙騙攻擊擊理論論上是是從廣廣域網(wǎng)網(wǎng)上發(fā)發(fā)起的的，不不局限限于局局域網(wǎng)網(wǎng)，這這也正正是這這種攻攻擊的的魅力力所在在。利利用IP欺欺騙攻攻擊得得到一一個A上的的shell，，對于于許多多高級級入侵侵者，，得到到目標標主機機的shell，離離root權限限就不不遠了了，最最容易易想到到的當當然是是接下下來進進行bufferoverflow攻擊擊。92IP欺欺騙攻攻擊的的描述述8.也也許許有人人要問問，為為什么么Z不不能直直接把把自己己的IP設設置成成B的的？這這個問問題很很不好好回答答，要要具體體分