網(wǎng)絡(luò)安全菜鳥初級(jí)教程

網(wǎng)絡(luò)安全菜鳥初級(jí)教程.txt用快樂去奔跑，用心去傾聽，用思維去發(fā)展，用努力去奮斗，用目標(biāo)去衡量，用愛去生活。錢多錢少，常有就好！人老人少，健康就好！家貧家富，和睦就好。由于現(xiàn)在用xp的用戶相對(duì)多一點(diǎn)，所以以下基本都是針對(duì)xp的，當(dāng)然有很多都是通用的，由于考慮到新手，所以講的都是基礎(chǔ)的。一：計(jì)算機(jī)個(gè)人密碼添加一個(gè)合法用戶，盡量不使用管理員賬號(hào)登陸。這里告訴大家一個(gè)小技巧，把管理員賬號(hào)的名稱(ADMINISTRATOR)改成一個(gè)不起眼的名字(控制面板-用戶帳戶里改)。然后建立一個(gè)受限的用戶(名字設(shè)為admini)，限制他的種種操作，并設(shè)置繁雜的密碼；還有設(shè)置復(fù)雜的口令，更改有助于防止口令蠕蟲輕易的進(jìn)入系統(tǒng)。二：禁用沒用的服務(wù)關(guān)閉了這些服務(wù)不僅增加了安全系數(shù)，而且可以使你的愛機(jī)提速不過(guò)當(dāng)你遇到禁用了某些服務(wù)后有些東西不能用了就馬上去看看被禁用的服務(wù)的說(shuō)明；三：關(guān)閉不用的端口如果覺得下面的端口所對(duì)應(yīng)的服務(wù)沒用，那么就關(guān)了好了下面是幾個(gè)常見的端口的關(guān)閉方法1、 139端口的關(guān)閉139端口是NetBIOSSession端口，用來(lái)文件和打印共享關(guān)閉139口聽方法是在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。2、 445端口的關(guān)閉修改注冊(cè)表，添加一個(gè)鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個(gè)SMBDeviceEnabled為REG_DWORD類型鍵值為0這樣就ok了3、 3389端口的關(guān)閉xp：我的電腦上點(diǎn)右鍵選屬性一＞遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉。win2000server開始--＞程序--＞管理工具--＞服務(wù)里找到TerminalServices服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停止該服務(wù)。win2000pro開始--＞設(shè)置--＞控制面板--＞管理工具--＞服務(wù)里找到TerminalServices服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類型改成手動(dòng)，并停止該服務(wù)。四：漏洞檢測(cè)，補(bǔ)丁下面是天網(wǎng)的一個(gè)檢測(cè)個(gè)人系統(tǒng)漏洞的網(wǎng)址，大家可以去檢測(cè)一下自己的系統(tǒng)/news/info/list.php?sessid=&sortid=17還有瑞星殺毒軟件也有檢測(cè)系統(tǒng)漏洞的功能（打開瑞星-工具-系統(tǒng)漏洞掃描）當(dāng)發(fā)現(xiàn)漏洞后就要去堵漏洞了，接下來(lái)就是打補(bǔ)丁，不僅可以增強(qiáng)兼容性外，更重要的是堵上已發(fā)現(xiàn)的安全漏洞。但是不是打上所以的補(bǔ)丁就最好，最好當(dāng)你下載前先看一下是什么內(nèi)容的，如果是你已經(jīng)關(guān)閉了服的務(wù)之類的補(bǔ)丁就不用下了。下面是上海交大的下載頁(yè)面，安全系數(shù)高點(diǎn)，可以下載系統(tǒng)未打的補(bǔ)丁/五：殺毒軟件和防火墻要系統(tǒng)安全，防火墻是很重要的，當(dāng)然，有了防火墻也不是沒事了，還要記得定時(shí)升級(jí)殺毒軟件殺毒。一般一新期一次差不多了。建議不要裝過(guò)多的防火墻和殺毒軟件，這樣可以加快啟動(dòng)，也可以避免某些沖突。下面的防火墻和殺毒軟件是新手區(qū)推薦的/bbs/viewthread.php?tid=34405六：數(shù)據(jù)備份系統(tǒng)還原是默認(rèn)打開的，它會(huì)自動(dòng)備分，當(dāng)遇到不可解決的問題時(shí)，可以嘗試一下系統(tǒng)還原，而不用重裝系統(tǒng)。開始-運(yùn)行輸入msconfig在一般這項(xiàng)里有“開始系統(tǒng)還原一項(xiàng)”如果要還原就點(diǎn)這里了；一旦黑客定位了你的網(wǎng)絡(luò)，他通常會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)會(huì)是安全漏洞最多或是他擁有最多攻擊工具的主機(jī)。非法入侵系統(tǒng)的方法有很多，你應(yīng)當(dāng)對(duì)這些方法引起注意。常見攻擊類型和特征攻擊特征是攻擊的特定指紋。入侵監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)掃描器就是根據(jù)這些特征來(lái)識(shí)別和防范攻擊的。下面簡(jiǎn)要回顧一些特定地攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法。常見的攻擊方法你也許知道許多常見的攻擊方法，下面列出了一些：-字典攻擊：黑客利用一些自動(dòng)執(zhí)行的程序猜測(cè)用戶命和密碼，審計(jì)這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測(cè)系統(tǒng)（IDS）。?Man-in-the-middle攻擊：黑客從合法的傳輸過(guò)程中嗅探到密碼和信息。防范這類攻擊的有效方法是應(yīng)用強(qiáng)壯的加密。-劫持攻擊：在雙方進(jìn)行會(huì)話時(shí)被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。雖然不是個(gè)完全的解決方案，但強(qiáng)的驗(yàn)證方法將有助于防范這種攻擊。-病毒攻擊：病毒是能夠自我復(fù)制和傳播的小程序，消耗系統(tǒng)資源。在審計(jì)過(guò)程中，你應(yīng)當(dāng)安裝最新的反病毒程序，并對(duì)用戶進(jìn)行防病毒教育。-非法服務(wù)：非法服務(wù)是任何未經(jīng)同意便運(yùn)行在你的操作系統(tǒng)上的進(jìn)程或服務(wù)。你會(huì)在接下來(lái)的課程中學(xué)到這種攻擊。-拒絕服務(wù)攻擊：利用各種程序(包括病毒和包發(fā)生器)使系統(tǒng)崩潰或消耗帶寬。容易遭受攻擊的目標(biāo)最常遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫(kù)、Web和FTP服務(wù)器，和與協(xié)議相關(guān)的服務(wù)，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標(biāo)。路由器連接公網(wǎng)的路由器由于被暴露在外，通常成為被攻擊的對(duì)象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPvl，成為潛在的問題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話，若明文傳輸?shù)目诹畋唤厝。诳途涂梢灾匦屡渲寐酚善?，這種配置包括關(guān)閉接口，重新配置路由跳計(jì)數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進(jìn)行終端會(huì)話。過(guò)濾Telnet為了避免未授權(quán)的路由器訪問，你應(yīng)利用防火墻過(guò)濾掉路由器外網(wǎng)的telnet端口和SNMP[161,162]端口技術(shù)提示：許多網(wǎng)絡(luò)管理員習(xí)慣于在配置完路由器后將Telnet服務(wù)禁止掉，因?yàn)槁酚善鞑⒉恍枰^(guò)多的維護(hù)工作。如果需要額外的配置，你可以建立物理連接。路由器和消耗帶寬攻擊最近對(duì)Yahoo、e-Bay等電子商務(wù)網(wǎng)站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務(wù)攻擊工具發(fā)起的：TribalFloodNetwork(TFN)TribalFloodNetwork(TFN2k)?Stacheldraht（TFN的一個(gè)變種）-Trinoo（這類攻擊工具中最早為人所知的）因?yàn)樵S多公司都由ISP提供服務(wù)，所以他們并不能直接訪問路由器。在你對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí)，要確保網(wǎng)絡(luò)對(duì)這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學(xué)習(xí)如何利用路由器防范拒絕服務(wù)攻擊。數(shù)據(jù)庫(kù)黑客最想得到的是公司或部門的數(shù)據(jù)庫(kù)。現(xiàn)在公司普遍將重要數(shù)據(jù)存儲(chǔ)在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫(kù)中，這些信息包括：-雇員數(shù)據(jù)，如個(gè)人信息和薪金情況。-市場(chǎng)和銷售情況。-重要的研發(fā)信息。-貨運(yùn)情況。黑客可以識(shí)別并攻擊數(shù)據(jù)庫(kù)。每種數(shù)據(jù)庫(kù)都有它的特征。如SQLServer使用1433/1434端口，你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。你會(huì)發(fā)現(xiàn)，很少有站點(diǎn)應(yīng)用這種保護(hù)，尤其在網(wǎng)絡(luò)內(nèi)部。服務(wù)器安全 WEB和FTP這兩種服務(wù)器通常置于DMZ，無(wú)法得到防火墻的完全保護(hù)，所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問題包括：-用戶通過(guò)公網(wǎng)發(fā)送未加密的信息；-操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)；-舊有操作系統(tǒng)中以root權(quán)限初始運(yùn)行的服務(wù)，一旦被黑客破壞，入侵者便可以在產(chǎn)生的命令解釋器中運(yùn)行任意的代碼。Web頁(yè)面涂改近來(lái)，未經(jīng)授權(quán)對(duì)Web服務(wù)器進(jìn)行攻擊并涂改缺省主頁(yè)的攻擊活動(dòng)越來(lái)越多。許多企業(yè)、政府和公司都遭受過(guò)類似的攻擊。有時(shí)這種攻擊是出于政治目的。大多數(shù)情況下Web頁(yè)面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩沖區(qū)溢出。有時(shí)，還包括劫持攻擊和拒絕服務(wù)攻擊。郵件服務(wù)廣泛使用的SMTP、POP3和IMAP一般用明文方式進(jìn)行通信。這種服務(wù)可以通過(guò)加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。又由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如WindowsNT服務(wù)器。這種攻擊不僅僅是針對(duì)NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個(gè)薄弱環(huán)節(jié)可以破壞整個(gè)的網(wǎng)絡(luò)。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。與郵件服務(wù)相關(guān)的問題包括：-利用字典和暴力攻擊POP3的loginshell；-在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞；-利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件名稱服務(wù)攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上。由于DNS使用UDP，而UDP連接又經(jīng)常被各種防火墻規(guī)則所過(guò)濾，所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此，DNS服務(wù)器經(jīng)常暴露在外，使它成為攻擊的目標(biāo)。DNS攻擊包括：?未授權(quán)的區(qū)域傳輸；-DNS毒藥，這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息；?拒絕服務(wù)攻擊；其它的一些名稱服務(wù)也會(huì)成為攻擊的目標(biāo)，如下所示：WINS，"Coke”通過(guò)拒絕服務(wù)攻擊來(lái)攻擊沒有打補(bǔ)丁的NT系統(tǒng)。SMB服務(wù)（包括Windows的SMB和UNIX的Samba）這些服務(wù)易遭受Man-in-the-middle攻擊，被捕獲的數(shù)據(jù)包會(huì)被類似L0phtCrack這樣的程序破解。NFS和NIS服務(wù)。這些服務(wù)通常會(huì)遭受Man-in-the-middle方式的攻擊。在審計(jì)各種各樣的服務(wù)時(shí)，請(qǐng)考慮升級(jí)提供這些服務(wù)的進(jìn)程。審計(jì)系統(tǒng)BUG作為安全管理者和審計(jì)人員，你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的MicrosoftIIS允許用戶在地址欄中運(yùn)行命令，這造成了IIS主要的安全問題。其實(shí)，最好的修補(bǔ)安全漏洞的方法是升級(jí)相關(guān)的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進(jìn)行交流，這樣，你才能跟上最新的發(fā)展。這些工作會(huì)幫助你了解更多的操作系統(tǒng)上的特定問題。雖然大多數(shù)的廠商都為其產(chǎn)品的問題發(fā)布了修補(bǔ)方法，但你必須充分理解補(bǔ)上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜，這些修補(bǔ)可能在補(bǔ)上舊問題的同時(shí)又開啟了新的漏洞。因此，你需要在實(shí)施升級(jí)前進(jìn)行測(cè)試。這些測(cè)試工作包括在隔離的網(wǎng)段中驗(yàn)證它是否符合你的需求。當(dāng)然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點(diǎn)。審計(jì)TrapDoor和RootKitRootkit是用木馬替代合法程序。TrapDoor是系統(tǒng)上的bug，當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIXsendmail，在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼，一個(gè)收到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。雖然rootkit通常出現(xiàn)在UNIX系統(tǒng)中，但攻擊者也可以通過(guò)看起來(lái)合法的程序在WindowsNT中置入后門。象NetBus,BackOrifice和MastersofParadise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測(cè)程序，當(dāng)然用最新升級(jí)的病毒檢測(cè)程序還是可以發(fā)現(xiàn)它們的蹤跡。在對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí)，你可以通過(guò)校驗(yàn)分析和掃描開放端口的方式來(lái)檢測(cè)是否存在rootkit等問題。審計(jì)和后門程序通常，在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如，最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你已經(jīng)知道的RedButton，它利用了WindowsNT的漏洞使攻擊者可以得知缺省的管理員賬號(hào)，即使賬號(hào)的名稱已經(jīng)更改。后門（backdoor）也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設(shè)計(jì)者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進(jìn)入游戲安裝的系統(tǒng)。雖然看來(lái)任何系統(tǒng)管理員都不會(huì)允許類似的程序安裝在網(wǎng)絡(luò)服務(wù)器上，但這種情況還是時(shí)有發(fā)生。從后門程序的危害性，我們可以得出結(jié)論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進(jìn)行審計(jì)時(shí)，請(qǐng)花費(fèi)一些時(shí)間仔細(xì)記錄任何你不了解它的由來(lái)和歷史的程序。審計(jì)拒絕服務(wù)攻擊WindowsNT易遭受拒絕服務(wù)攻擊，主要是由于這種操作系統(tǒng)比較流行并且沒有受到嚴(yán)格的檢驗(yàn)。針對(duì)NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為：發(fā)展勢(shì)頭迅猛但存在許多漏洞。在審計(jì)WindowsNT網(wǎng)絡(luò)時(shí)，一定要花時(shí)間來(lái)驗(yàn)證系統(tǒng)能否經(jīng)受這種攻擊的考驗(yàn)。打補(bǔ)丁是一種解決方法。當(dāng)然，如果能將服務(wù)器置于防火墻的保護(hù)之下或應(yīng)用入侵監(jiān)測(cè)系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng)，主要因?yàn)樗辉O(shè)計(jì)來(lái)供那些技術(shù)精湛而且心理健康的人使用。在審計(jì)UNIX系統(tǒng)時(shí)，要注意Finger服務(wù)，它特別容易造成緩沖區(qū)溢出。緩沖區(qū)溢出緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時(shí)出現(xiàn)的問題。所有程序都需要內(nèi)存空間和緩沖區(qū)來(lái)運(yùn)行。如果有正確的權(quán)限，操作系統(tǒng)可以為程序分配空間。C和C++等編程語(yǔ)言容易造成緩沖區(qū)溢出，主要因?yàn)樗鼈儾幌葯z查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存。一個(gè)低質(zhì)量的程序會(huì)不經(jīng)檢查就重寫被其它程序占用的內(nèi)存，而造成程序或整個(gè)系統(tǒng)死掉，而留下的shell有較高的權(quán)限，易被黑客利用運(yùn)行任意代碼。據(jù)統(tǒng)計(jì)，緩沖區(qū)溢出是當(dāng)前最緊迫的安全問題。要獲得關(guān)于緩沖區(qū)溢出的更多信息，請(qǐng)?jiān)L問Http:///software/de...verflows/index.hemlTelnet的拒絕服務(wù)攻擊Windows中的Telnet一直以來(lái)都是網(wǎng)絡(luò)管理員們最喜愛的網(wǎng)絡(luò)實(shí)用工具之一，但是一個(gè)新的漏洞表明，在Windows2000中Telnet在守護(hù)其進(jìn)程時(shí)，在已經(jīng)被初始化的會(huì)話還未被復(fù)位的情況下很容易受到一種普通的拒絕服務(wù)攻擊。Telnet連接后，在初始化的對(duì)話還未被復(fù)位的情況下，在一定的時(shí)間間隔之后，此時(shí)如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對(duì)話將會(huì)超時(shí)。直到用戶輸入一個(gè)字符之后連接才會(huì)被復(fù)位。如果惡意用戶連接到Windows2000的Telnet守護(hù)進(jìn)程中，并且對(duì)該連接不進(jìn)行復(fù)位的話，他就可以有效地拒絕其他的任何用戶連接該Telnet服務(wù)器，主要是因?yàn)榇藭r(shí)Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務(wù)器的用戶都將會(huì)收到如下錯(cuò)誤信息：MicrosoftWindowsWorkstationallowsonly1TelnetClientLicenseServerhasclosedconnection察看“列出當(dāng)前用戶”選項(xiàng)時(shí)并不會(huì)顯示超時(shí)的會(huì)話，因?yàn)樵摃?huì)話還沒有成功地通過(guò)認(rèn)證。WindowsNT的TCPport3389存在漏洞WindowsNTServer4.0終端服務(wù)器版本所作的DoS攻擊。這個(gè)安全性弱點(diǎn)讓遠(yuǎn)端使用者可以迅速的耗盡WindowsNTTerminalServer上所有可用的內(nèi)存，造成主機(jī)上所有登陸者斷線，并且無(wú)法再度登入。說(shuō)明：WindowsNTServer4.0終端服務(wù)器版本在TCPport3389監(jiān)聽終端連接(terminalconnection)，一旦某個(gè)TCP連接連上這個(gè)端口，終端服務(wù)器會(huì)開始分配系統(tǒng)資源，以處理新的客戶端連接，并作連接的認(rèn)證工作。此處的漏洞在于：在認(rèn)證工作完成前，系統(tǒng)需要撥出相當(dāng)多的資源去處理新的連接，而系統(tǒng)并未針對(duì)分配出去的資源作節(jié)制。因此遠(yuǎn)端的攻擊者可以利用建立大量TCP連接到port3389的方法，造成系統(tǒng)存儲(chǔ)體配置達(dá)到飽和。此時(shí)服務(wù)器上所有使用者連接都會(huì)處于超時(shí)狀態(tài)，而無(wú)法繼續(xù)連接到服務(wù)器上，遠(yuǎn)端攻擊者仍能利用一個(gè)僅耗用低頻寬的程式，做出持續(xù)性的攻擊，讓此服務(wù)器處?kù)蹲疃嘤洃涹w被耗用的狀態(tài)，來(lái)避免新的連接繼續(xù)產(chǎn)生。在國(guó)外的測(cè)試報(bào)告中指出，長(zhǎng)期持續(xù)不斷針對(duì)此項(xiàng)弱點(diǎn)的攻擊，甚至可以導(dǎo)致服務(wù)器持續(xù)性當(dāng)機(jī)，除非重新開機(jī)，服務(wù)器將無(wú)法再允許新連接的完成。解決方案:以下是修正程序的網(wǎng)址：ftp://ftp.microsoft.eom/bussys/w...sa/NT40tse/hotfixespostSP4/Flood-fix/［注意］：因?yàn)樾袛?shù)限制，上面網(wǎng)址請(qǐng)合并為一行。更詳細(xì)資料請(qǐng)參考Microsoft網(wǎng)站的網(wǎng)址：/security/bulletins/ms99-028.asp.防范拒絕服務(wù)攻擊你可以通過(guò)以下方法來(lái)減小拒絕服務(wù)攻擊的危害：-加強(qiáng)操作系統(tǒng)的補(bǔ)丁等級(jí)。-如果有雇員建立特定的程序，請(qǐng)?zhí)貏e留意代碼的產(chǎn)生過(guò)程。-只使用穩(wěn)定版本的服務(wù)和程序。審計(jì)非法服務(wù)，特洛伊木馬和蠕蟲非法服務(wù)開啟一個(gè)秘密的端口，提供未經(jīng)許可的服務(wù)，常見的非法服務(wù)包括：NetBusBackOrifice和BackOrifice2000Girlfriend?冰河2.X?秘密的建立共享的程序許多程序?qū)⒉煌姆欠ǚ?wù)聯(lián)合起來(lái)。例如，BackOrifice2000允許你將HTTP服務(wù)配置在任意端口。你可以通過(guò)掃描開放端口來(lái)審計(jì)這類服務(wù)，確保你了解為什么這些端口是開放的。如果你不知道這些端口的用途，用包嗅探器和其它程序來(lái)了解它的用途。技術(shù)提示：不要混淆非法服務(wù)和木馬。木馬程序通常包含非法服務(wù)，而且，木馬程序還可以包含擊鍵記錄程序，蠕蟲或病毒。特洛伊木馬特洛伊木馬是在執(zhí)行看似正常的程序時(shí)還同時(shí)運(yùn)行了未被察覺的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如，他們?cè)谝粋€(gè)合法的程序中安放rootkit或控制程序。還有一些通常的策略是使用程序來(lái)捕獲密碼和口令的hash值。類似的程序可以通過(guò)E-mail把信息發(fā)送到任何地方。審計(jì)木馬掃描開放端口是審計(jì)木馬攻擊的途徑之一。如果你無(wú)法說(shuō)明一個(gè)開放端口用途，你也許就檢測(cè)到一個(gè)問題。所以，盡量在你的系統(tǒng)上只安裝有限的軟件包，同時(shí)跟蹤這些程序和服務(wù)的漏洞。許多TCP/IP程序動(dòng)態(tài)地使用端口，因此，你不應(yīng)將所有未知的端口都視為安全漏洞。在建立好網(wǎng)絡(luò)基線后，你便可以確定哪些端口可能存在問題了。蠕蟲Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計(jì)系統(tǒng)時(shí)，通常需要配置防火墻來(lái)排除特殊的活動(dòng)。防火墻規(guī)則的設(shè)置超出了本術(shù)的范圍。但是，作為審計(jì)人員，你應(yīng)當(dāng)對(duì)建議在防火墻上過(guò)濾那些從不信任的網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包和端口有所準(zhǔn)備。蠕蟲靠特定的軟件傳播。例如，在2000年三月發(fā)現(xiàn)的Win32/Melting.worm蠕蟲只能攻擊運(yùn)行MicrosoftOutlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播，癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運(yùn)行不穩(wěn)定。結(jié)合所有攻擊定制審計(jì)策略攻擊者有兩個(gè)共同的特點(diǎn)。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們?cè)谝淮喂糁欣煤脦追N系統(tǒng)。綜合應(yīng)用攻擊策略可以增強(qiáng)攻擊的成功率。同時(shí)利用好幾種系統(tǒng)使他們更不容易被捕獲。例如，在實(shí)施IP欺騙時(shí)，攻擊者通常會(huì)先實(shí)施拒絕服務(wù)攻擊以確保被攻擊主機(jī)不會(huì)建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會(huì)先捕獲SMB的密碼，再使用L0phtCrack這樣的程序進(jìn)行暴力破解攻擊。滲透策略你已經(jīng)了解到那些網(wǎng)絡(luò)設(shè)備和服務(wù)是通常遭受攻擊的目標(biāo)和黑客活動(dòng)的攻擊特征現(xiàn)在，請(qǐng)參考下列的一些場(chǎng)景。它們將有助于你在審計(jì)過(guò)程中關(guān)注那些設(shè)備和服務(wù)。請(qǐng)記住，將這些攻擊策略結(jié)合起來(lái)的攻擊是最容易成功的。物理接觸如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過(guò)安裝和執(zhí)行程序來(lái)使驗(yàn)證機(jī)制無(wú)效。例如，攻擊者可以重啟系統(tǒng)，利用其它啟動(dòng)盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞，所以你可以使用啟動(dòng)盤獲得有價(jià)值的信息，例如有管理權(quán)限的賬號(hào)。物理攻擊的簡(jiǎn)單例子包括通過(guò)重新啟動(dòng)系統(tǒng)來(lái)破壞Windows95或98的屏幕鎖定功能。更簡(jiǎn)單的物理攻擊是該系統(tǒng)根本就沒有進(jìn)行屏幕鎖定。操作系統(tǒng)策略近來(lái)，美國(guó)白宮的Web站點(diǎn)()被一個(gè)缺乏經(jīng)驗(yàn)的攻擊者黑掉。攻擊者偵查出該Web服務(wù)器()運(yùn)行的操作系統(tǒng)是Solaris70雖然Solaris7被成為藝術(shù)級(jí)的操作系統(tǒng)，但管理員并沒有改變系統(tǒng)的缺省設(shè)置。雖然該站點(diǎn)的管理員設(shè)置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問了Web服務(wù)器。較弱的密碼策略上面白宮網(wǎng)站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來(lái)升級(jí)服務(wù)器。雖然使用FTP來(lái)更新網(wǎng)站并沒有錯(cuò)，但大多數(shù)FTP會(huì)話使用明文傳輸密碼。很明顯，該系統(tǒng)管理員并沒有意識(shí)到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務(wù)上使用相同的密碼，這使攻擊者能夠獲得系統(tǒng)的訪問權(quán)。更基本的，你可以保證/etc/passwd文件的安全。NetBIOSAuthenticationTool(NAT)當(dāng)攻擊者以WindowsNT為目標(biāo)時(shí)，他們通常會(huì)使用NetBIOSAuthenticationTool(NAT)來(lái)測(cè)試弱的口令。這個(gè)程序可以實(shí)施字典攻擊。當(dāng)然它也有命令行界面，這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時(shí)，你必須指定三個(gè)文本文件和IP地址的范圍。當(dāng)然，你也可以指定一個(gè)地址°NAT使用兩個(gè)文本文件來(lái)實(shí)施攻擊而第三個(gè)來(lái)存儲(chǔ)攻擊結(jié)果。第一個(gè)文本文件包含一個(gè)用戶列表，第二個(gè)文件中是你輸入的猜測(cè)密碼。當(dāng)使用命令行版本時(shí)，語(yǔ)法格式為：nat-uusername.txt-ppasswordlist.txt-ooutputfile.txt即使服務(wù)器設(shè)置了密碼的過(guò)期策略和鎖定，攻擊者還是可以利用NAT反復(fù)嘗試登錄來(lái)騷擾管理員。通過(guò)簡(jiǎn)單地鎖定所有已知的賬號(hào)，攻擊者會(huì)極大地影響服務(wù)器的訪問，這也是一些系統(tǒng)管理員不強(qiáng)行鎖定賬號(hào)的原因。較弱的系統(tǒng)策略到此為止，你已經(jīng)學(xué)習(xí)了一些外部攻擊。然而，對(duì)于管理員來(lái)說(shuō)最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒有安全策略，通常會(huì)導(dǎo)致弱的密碼和系統(tǒng)策略。通常，公司并不采取簡(jiǎn)單的預(yù)防措施，比如需要非空的或有最小長(zhǎng)度要求的密碼。忽略這些限制會(huì)給攻擊者留下很大的活動(dòng)空間。審計(jì)文件系統(tǒng)漏洞不論你的操作系統(tǒng)采取何種文件系統(tǒng)（FAT,NTFS或NFS）,每種系統(tǒng)都有它的缺陷。例如，缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分（WindowsNT），因此也成為許多攻擊的目標(biāo)。NFS文件系統(tǒng)可以共享被遠(yuǎn)程系統(tǒng)掛接，因此這也是攻擊者入侵系統(tǒng)的途徑之一。IP欺騙和劫持：實(shí)例IP欺騙是使驗(yàn)證無(wú)效的攻擊手段之一，也是如何組合攻擊策略攻擊網(wǎng)絡(luò)的典型實(shí)例。IP欺騙利用了Internet開放式的網(wǎng)絡(luò)設(shè)計(jì)和傳統(tǒng)的建立在UNIX操作系統(tǒng)之間信任關(guān)系。主要的問題是使用TCP/IP協(xié)議的主機(jī)假設(shè)所有從合法IP地址發(fā)來(lái)的數(shù)據(jù)包都是有效的。攻擊者可以利用這一缺陷，通過(guò)程序來(lái)發(fā)送虛假的IP包，從而建立TCP連接，攻擊者可以使一個(gè)系統(tǒng)看起來(lái)象另一個(gè)系統(tǒng)。許多UNIX操作系統(tǒng)通過(guò)rhosts和rlogin在非信任的網(wǎng)絡(luò)上（如Internet）建立信任的連接。這種傳統(tǒng)的技術(shù)是流行的管理工具并減輕了管理負(fù)擔(dān)。通常，這種系統(tǒng)由于把UNIX的驗(yàn)證機(jī)制和IP地址使用相結(jié)合從而提供了適當(dāng)?shù)陌踩Ｈ欢?，這種驗(yàn)證機(jī)制是如此的獨(dú)立于IP地址不會(huì)被偽造的假設(shè)，以至于很容易被擊破。Non-blindspoofing和BlindspoofingNon-blindspoofing是指攻擊者在同一物理網(wǎng)段上操縱連接。Blindspoofing是指攻擊者在不同的物理網(wǎng)段操縱連接。后者在實(shí)施上更困難，但也時(shí)常發(fā)生。進(jìn)行IP欺騙的攻擊者需要一些程序，包括：-一個(gè)包嗅探器-一個(gè)能夠同時(shí)終止TCP連接、產(chǎn)生另一個(gè)TCP連接、進(jìn)行IP偽裝的程序IP欺騙涉及了三臺(tái)主機(jī)。像先前分析的那樣，使用驗(yàn)證的服務(wù)器必須信任和它建立連接的主機(jī)。如果缺乏天生的安全特性，欺騙是非常容易的。思考下列的場(chǎng)景，有三臺(tái)主機(jī)分別是A,B和C。A使用TCPSYN連接與合法用戶B初始一個(gè)連接。但是B并沒有真正參與到這次連接中，因?yàn)镃已經(jīng)對(duì)B實(shí)施了拒絕服務(wù)攻擊。所以，雖然A認(rèn)為是在與B對(duì)話，但實(shí)際上是與C對(duì)話。IP欺騙實(shí)際上組合了幾種攻擊手法包括對(duì)系統(tǒng)實(shí)施了拒絕服務(wù)攻擊，還包括利用驗(yàn)證技術(shù)。作為審計(jì)人員，你不應(yīng)該說(shuō)服管理員終止這種信任關(guān)系，相反，你應(yīng)當(dāng)建議使用防火墻規(guī)則來(lái)檢測(cè)有問題的包。TCP/IP序列號(hào)生成方法TCP的InitialSequenceNumber(ISN)的預(yù)測(cè)正常的TCP連接基于一個(gè)三次握手(3-wayhandshake)，一個(gè)客戶端(Client)向服務(wù)器(Server)發(fā)送一個(gè)初始化序列號(hào)ISNc,隨后，服務(wù)器相應(yīng)這個(gè)客戶端ACK(ISNc),并且發(fā)送自己的初始化序列號(hào)ISNs，接著，客戶端響應(yīng)這個(gè)ISNs(如下圖)，三次握手完成。C---〉S:(ISNc)S---〉C:ACK(ISNc)+ISNsC---〉S:ACK(ISNs)C 〉S:dataand/orS---〉C:data下面，我以Windows2000AdvancedServer為例，來(lái)說(shuō)一下兩臺(tái)主機(jī)是如何進(jìn)行三次握手。我們可以看到：Smartboy首先發(fā)送一個(gè)seq:32468329的包給服務(wù)器。然后，響應(yīng)主機(jī)Smartboy,它送給Smartboy自己的seq:3333416325而且響應(yīng)Smartboy的ack:3240689240。Smartboy再響應(yīng)服務(wù)器,seq:3240689240,ack:3333416326。三次握手完畢，兩臺(tái)幾建立起連接。可以看出，在三次握手協(xié)議中，Clinet一定要監(jiān)聽服務(wù)器發(fā)送過(guò)來(lái)的ISNs,TCP使用的sequencenumber是一個(gè)32位的計(jì)數(shù)器，從0-4294967295。TCP為每一個(gè)連接選擇一個(gè)初始序號(hào)ISN，為了防止因?yàn)檠舆t、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時(shí)間變化的規(guī)律，對(duì)于成功地進(jìn)行IP欺騙攻擊很重要。在Unix系統(tǒng)里，基于遠(yuǎn)程過(guò)程調(diào)用RPC的命令，比如rlogin、rcp、rsh等等，根據(jù)/etc/hosts.equiv以及$HOME/.rhosts文件進(jìn)行安全校驗(yàn)，其實(shí)質(zhì)是僅僅根據(jù)源IP地址進(jìn)行用戶身份確認(rèn)，以便允許或拒絕用戶RPC。這就給與了那些攻擊者進(jìn)行IP地址欺騙的機(jī)會(huì)。讓我們看X是如何冒充T來(lái)欺騙S，從而建立一個(gè)非法連接:X——>S:SYN(ISNx),SRC=TS——>T:SYN(ISNs),ACK(ISNT)(*)X——>S:ACK(ISNs+1),SRC=T(**)X——>S:ACK(ISNs+1),SRC=T,攻擊命令(可能是一些特權(quán)命令)但是，T必須要在第(**)中給出ISNs，問題是ISNs在第(*)步中發(fā)給了T(X當(dāng)然很難截取到)，幸運(yùn)的是，TCP協(xié)議有一個(gè)約定：ISN變量每秒增加250,000次，這個(gè)增加值在許多版本比較舊的操作系統(tǒng)中都是一個(gè)常量，在FreeBSD4.3中是125000次每秒，這就給X一個(gè)可乘之機(jī)?？匆幌耎是如何猜出ISNs:a、首先，X發(fā)送一個(gè)SYN包來(lái)獲取服務(wù)器現(xiàn)在的ISNsX---〉S:(ISNx)S---〉X:ACK(ISNx)+ISNs#(1)b、 緊接著，X冒充T向服務(wù)器發(fā)送SYN包X---〉S:SYN(ISNx),SRC=T(2)c、 于是，服務(wù)器發(fā)出一個(gè)響應(yīng)包給T(這個(gè)包X是收不到的)S---〉T:SYN(ISNs$),ACK(ISNT)(3)d、 X計(jì)算ISNs$:ISNs$=ISNs#+RTTXIncrementofISN(4)其中，RTT(RoundTripTime),是一個(gè)包往返X和S所用的時(shí)間，可以通過(guò)Ping來(lái)得到。上圖顯示了roundtriptimes(RTT)大概是0。IncrementofISN是協(xié)議棧的初始序列號(hào)每秒鐘增加的值，以Unix為例，當(dāng)沒有外部連接發(fā)生時(shí)，服務(wù)器的ISN每秒增加128,000,有連接的時(shí)候，服務(wù)器的ISN每秒增加64,000。e、 于是，X--->S:ACK（ISNs$）（冒充可信主機(jī)成功了）X--->S:惡意的命令或竊取機(jī)密消息的命令在評(píng)價(jià)以下的解決方案時(shí)有幾點(diǎn)要注意：該解決方案是否很好地滿足TCP的穩(wěn)定性和可操作性的要求？該解決方案是否容易實(shí)現(xiàn)？該解決方案對(duì)性能的影響如何？該解決方案是否經(jīng)得起時(shí)間的考驗(yàn)？以下的幾種方案各有各的優(yōu)點(diǎn)和缺點(diǎn)，它們都是基于增強(qiáng)ISN生成器的目標(biāo)提出的。配置和使用密碼安全協(xié)議TCP的初始序列號(hào)并沒有提供防范連接攻擊的相應(yīng)措施°TCP的頭部缺少加密選項(xiàng)用于強(qiáng)加密認(rèn)證，于是，一種叫做IPSec的密碼安全協(xié)議的技術(shù)提出了。IPSec提供了一種加密技術(shù)（Endtoendcryptographic），使系統(tǒng)能驗(yàn)證一個(gè)包是否屬于一個(gè)特定的流。這種加密技術(shù)是在網(wǎng)絡(luò)層實(shí)現(xiàn)的。其它的在傳輸層實(shí)現(xiàn)的解決方案（如SSL/TLS和SSH1/SSH2）,只能防止一個(gè)無(wú)關(guān)的包插入一個(gè)會(huì)話中，但對(duì)連接重置（拒絕服務(wù)）卻無(wú)能為力，原因是因?yàn)檫B接處理是發(fā)生在更低的層。IPSec能夠同時(shí)應(yīng)付著兩種攻擊（包攻擊和連接攻擊）。它直接集成在網(wǎng)絡(luò)層的安全模型里面。上面的解決方案并不需要對(duì)TCP協(xié)議做任何得修改，RFC2385（“基于TCPMD5簽名選項(xiàng)的BGP會(huì)話保護(hù)）和其他的技術(shù)提供了增加TCP頭部的密碼保護(hù)，但是，卻帶來(lái)了收到拒絕服務(wù)攻擊和互操作性和性能方面的潛在威脅。使用加密安全協(xié)議有幾個(gè)優(yōu)于其它方案的地方。TCP頭部加密防止了Hijacking和包擾亂等攻擊行為，而TCP層仍然能夠提供返回一個(gè)簡(jiǎn)單增加ISN的機(jī)制，使方案提供了最大程度的可靠性。但實(shí)現(xiàn)IPSec非常復(fù)雜，而且它需要客戶機(jī)支持，考慮到可用性，許多系統(tǒng)都選擇使用RFC1948。使用RFC1948在RFC1948中，Bellovin提出了通過(guò)使用4-tuples的HASH單向加密函數(shù)，能夠使遠(yuǎn)程攻擊者無(wú)從下手（但不能阻止同一網(wǎng)段的攻擊者通過(guò)監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)來(lái)判斷ISN）。Newsham在他的論文［ref_newsham］中提到：RFC1948［ref1］提出了一種不容易攻擊（通過(guò)猜測(cè)）的TCPISN的生成方法。此方法通過(guò)連接標(biāo)識(shí)符來(lái)區(qū)分序列號(hào)空間。每一個(gè)連接標(biāo)識(shí)符由本地地址，本地端口，遠(yuǎn)程地址，遠(yuǎn)程端口來(lái)組成，并由一個(gè)函數(shù)計(jì)算標(biāo)識(shí)符分的序列號(hào)地址空間偏移值（唯一）。此函數(shù)不能被攻擊者獲得，否則，攻擊者可以通過(guò)計(jì)算獲得ISN。于是，ISN就在這個(gè)偏移值上增加。ISN的值以這種方式產(chǎn)生能夠抵受上面提到的對(duì)ISN的猜測(cè)攻擊。旦全局ISN空間由上述方法來(lái)生成，所有的對(duì)TCPISN的遠(yuǎn)程攻擊都變得不合實(shí)際。但是，需要指出的，即使我們依照RFC1948來(lái)實(shí)現(xiàn)ISN的生成器，攻擊者仍然可以通過(guò)特定的條件來(lái)獲得ISN（這一點(diǎn)在后面敘述）.另外，用加密的強(qiáng)哈希算法（MD5）來(lái)實(shí)現(xiàn)ISN的生成器會(huì)導(dǎo)致TCP的建立時(shí)間延長(zhǎng)。所以，有些生成器（如Linuxkernel）選擇用減少了輪數(shù)的MD4函數(shù)來(lái)提供足夠好的安全性同時(shí)又把性能下降變得最低。削弱哈希函數(shù)的一個(gè)地方是每幾分鐘就需要對(duì)生成器做一次re-key的處理，經(jīng)過(guò)了一次re-key的處理后，安全性提高了，但是，RFC793提到的可靠性卻變成另一個(gè)問題。我們已經(jīng)知道，嚴(yán)格符合RFC1948的ISN生成方法有一個(gè)潛在的危機(jī)：一個(gè)攻擊者如果以前合法擁有過(guò)一個(gè)IP地址，他通過(guò)對(duì)ISN進(jìn)行大量的采樣，可以估計(jì)到隨后的ISN的變化規(guī)律。在以后，盡管這個(gè)IP地址已經(jīng)不屬于此攻擊者，但他仍然可以通過(guò)猜測(cè)ISN來(lái)進(jìn)行IP欺騙。以下，我們可以看到RFC1948的弱點(diǎn)：ISN=M+F（sip,sport,dip,dport,）其中ISN32位的初始序列號(hào)M單調(diào)增加的計(jì)數(shù)器F單向散列哈希函數(shù)（例如MD4orMD5）sip源IP地址sport源端口dip目的IP地址dport目的端口哈希函數(shù)可選部分，使遠(yuǎn)程攻擊者更難猜到ISN.ISN自身的值是按照一個(gè)常數(shù)值穩(wěn)定增加的，所以F（）需要保持相對(duì)的穩(wěn)定性。而根據(jù)Bellovin所提出的，是一個(gè)系統(tǒng)特定的值（例如機(jī)器的啟動(dòng)時(shí)間，密碼，初始隨機(jī)數(shù)等），這些值并不會(huì)經(jīng)常變。但是，如果Hash函數(shù)在實(shí)現(xiàn)上存在漏洞（我們無(wú)法保證一個(gè)絕對(duì)安全的Hash函數(shù)，況且，它的實(shí)現(xiàn)又與操作系統(tǒng)密切相關(guān))，攻擊者就可以通過(guò)大量的采樣，來(lái)分析，其中，源IP地址，源端口，目的IP地址，目的端口都是不變的，這減少了攻擊者分析的難度。LinuxTCP的ISN生成器避免了這一點(diǎn)。它每5分鐘計(jì)算一次值，把泄漏的風(fēng)險(xiǎn)降到了最低。有一個(gè)辦法可以做的更好：取M=M+R(t)ISN=M+F(sip,sport,dip,dport,)其中R(t)是一個(gè)關(guān)于時(shí)間的隨機(jī)函數(shù)很有必要這樣做，因?yàn)樗构粽卟聹y(cè)ISN的難度更大了(弱點(diǎn)在理論上還是存在的)。其它一些方法構(gòu)造TCPISN生成器的一些更直接的方法是：簡(jiǎn)單地選取一些隨機(jī)數(shù)作為ISN。這就是給定一個(gè)32位的空間，指定ISN=R(t)。(假設(shè)R()是完全的非偽隨機(jī)數(shù)生成函數(shù))固然，對(duì)于完全隨機(jī)的ISN值，攻擊者猜測(cè)到的可能性是1/232是，隨之帶來(lái)的一個(gè)問題是ISN空間里面的值的互相重復(fù)。這違反了許多RFC(RFC793,RFC1185,RFC1323,RFC1948等)的假設(shè)----ISN單調(diào)增加。這將對(duì)TCP協(xié)議的穩(wěn)定性和可靠性帶來(lái)不可預(yù)計(jì)的問題。其它一些由NielsProvos(來(lái)自O(shè)penBSD組織)結(jié)合完全隨機(jī)方法和RFC1948解決方案：ISN=((PRNG(t))<<16)+R(t) 32位其中PRNG(t):一組隨機(jī)指定的連續(xù)的16位數(shù)字0x00000000--0xffff0000R(t):16位隨機(jī)數(shù)生成器(它的高位msb設(shè)成0)0x00000000—0x0000ffff上面的公式被用于設(shè)計(jì)OpenBsd的ISN生成器，相關(guān)的源代碼可以從下面的網(wǎng)址獲得/cgi-bin/cvsweb/src/...inet/tcp_subr.cProvos的實(shí)現(xiàn)方法有效地生成了一組在給定時(shí)間內(nèi)的不會(huì)重復(fù)的ISN的值，每?jī)蓚€(gè)ISN值都至少相差32K,這不但避免了隨機(jī)方法造成的ISN的值的沖突，而且避免了因?yàn)楣：瘮?shù)計(jì)算帶來(lái)的性能上的下降，但是，它太依賴于系統(tǒng)時(shí)鐘，一旦系統(tǒng)時(shí)鐘狀態(tài)給攻擊者知道了,就存在著系統(tǒng)的全局ISN狀態(tài)泄密的危機(jī)。TCPISN生成器的構(gòu)造方法的安全性評(píng)估ISN與PRNGs（偽隨機(jī)數(shù)生成器）我們很難用一臺(tái)計(jì)算機(jī)去生成一些不可預(yù)測(cè)的數(shù)字，因?yàn)?，?jì)算機(jī)被設(shè)計(jì)成一種以重復(fù)和準(zhǔn)確的方式去執(zhí)行一套指令的機(jī)器。所以，每個(gè)固定的算法都可以在其他機(jī)器上生成同樣的結(jié)果。如果能夠推斷遠(yuǎn)程主機(jī)的內(nèi)部狀態(tài)，攻擊者就可以預(yù)測(cè)它的輸出；即使不知道遠(yuǎn)程主機(jī)的PNRG函數(shù)，但因?yàn)樗惴ㄗ罱K會(huì)使ISN回繞，按一定的規(guī)律重復(fù)生成以前的ISN,所以，攻擊者仍然可以推斷ISN。幸運(yùn)的是，目前條件下，ISN的重復(fù)可以延長(zhǎng)到幾個(gè)月甚至幾年。但是，仍然有部分PRNG生成器在產(chǎn)生500個(gè)元素后就開始回繞。解決偽隨機(jī)數(shù)的方法是引入外部隨機(jī)源，擊鍵延時(shí)，I/O中斷，或者其它對(duì)攻擊者來(lái)說(shuō)不可預(yù)知的參數(shù)。把這種方法和一個(gè)合理的HA