信息安全工程及管理CISP認證培訓(xùn)教程-2-網(wǎng)絡(luò)安全

信息平安技術(shù)

網(wǎng)絡(luò)平安中國信息平安產(chǎn)品測評認證中心〔CNITSEC〕CISP-2-網(wǎng)絡(luò)平安〔培訓(xùn)樣稿〕今天的主題網(wǎng)絡(luò)根底網(wǎng)絡(luò)中面臨的威脅針對網(wǎng)絡(luò)設(shè)備的攻擊拒絕效勞〔DoS〕攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備平安拒絕效勞攻擊〔DoS〕的防御策略IPSec與VPN技術(shù)INTERNET的美妙之處在于你和每個人都能互相連接INTERNET的可怕之處在于每個人都能和你互相連接網(wǎng)絡(luò)根底OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層

會話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

OSI層次劃分原那么應(yīng)該把層次分成理論上需要的不同等級，減少過多的層次；每一層都應(yīng)該較好地履行其特定的功能；每一層的功能選定都基于已有成功經(jīng)驗的國際標(biāo)準協(xié)議；每一層的界面都應(yīng)該選在效勞描述最少、通過接口的信息流量最少的地方；把類似的功能集中在同一層內(nèi)，使之易于局部化；當(dāng)在數(shù)據(jù)處理過程中需要不同級別抽象時，那么設(shè)立一個層次；一個層次內(nèi)的功能或協(xié)議更改時不影響其它各層；只為每一層建立與其相鄰的上一層和下一層的接口；在需要不同的通信效勞時，可在同一層內(nèi)再形成子層次，不需要時也可繞過該子層次。TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25EthernetTelnetSMTPDNSFTPUDPTCPIPTOKENRING無線網(wǎng)絡(luò)SATNETETHERNETTCP/IP模型與潛在風(fēng)險應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕效勞攻擊和數(shù)據(jù)竊聽風(fēng)險傳輸層：拒絕效勞攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞Internet的平安問題的產(chǎn)生Internet起于研究工程,平安不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能、配置、平安“Securityissuesarenotdiscussedinthismemo〞網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標(biāo)可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策平安政策、計費政策、路由政策網(wǎng)絡(luò)平安的物理范圍網(wǎng)絡(luò)平安的語義范圍

保密性完整性可用性可控性平安的級別PublicInternalConfidentialSecretWebSite

DataMarketing

DataPayroll

DataTrade

SecretsTypeofDataWhatisatRiskPublicPrestige,Trust,RevenueInternalOperationsConfidentialOperations,InternalTrustSecretIntellectualProperty局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行根本平安配置合理的劃分VLAN別離播送域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過濾良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)平安規(guī)劃原那么合理的分配地址合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)通過VLAN分隔網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)平安制度網(wǎng)絡(luò)設(shè)備平安配置關(guān)閉不必要的設(shè)備效勞使用強口令或密碼加強設(shè)備訪問的認證與授權(quán)升級設(shè)備硬件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個國家或洲。廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行根本平安配置確保路由協(xié)議平安使用ACL進行數(shù)據(jù)過濾使用AAA加強訪問控制和認證網(wǎng)絡(luò)中面臨的威脅交換機-Vlan穿越原因由于802.1q幀標(biāo)記插在幀的目的、源MAC地址之后，交換機的端口收到特殊構(gòu)造的帶有802.1q標(biāo)記的幀后可以正確識別如果交換機不知道目的MAC，就將幀轉(zhuǎn)發(fā)到同一VLAN的所有端口在CISCO交換機上，端口缺省的VLAN為1，即使設(shè)為trunk模式也不會改變成功攻擊的條件源與目的主機接在不同的交換機上，交換機之間必須通過trunklink連接源主機必須與trunk端口位于同一vlan源主機必須知道目的主機的MAC地址目的主機能夠通過三層設(shè)備訪問源主機交換機-Vlan穿越對策將所有user-end端口都從vlan1中排除將trunk接口劃分到一個單獨的vlan中，該vlan中不應(yīng)包含任何user-end接口交換機-針對CDP攻擊說明Cisco專用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次，目標(biāo)MAC：01:00:0C:CC:CC:CC可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認翻開危害任何人可以輕松得到整個網(wǎng)絡(luò)信息可以被利用發(fā)起DoS攻擊：對策如不需要，禁止CDP禁止User-End端口的CDP交換機-針對STP攻擊說明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時，可以導(dǎo)致某些端口暫時失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕效勞對策對User-End端口，禁止發(fā)送BPDU交換機-針對VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機動態(tài)添加刪除VLAN準確跟蹤和監(jiān)測VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個Domain的交換機才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過經(jīng)MD5加密的password驗證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對策設(shè)置password盡量將交換機的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標(biāo)路由器-猜測路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)〔banner〕其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示路由器-缺省帳號設(shè)備用戶名密碼級別bay路由器user空用戶

Manager空管理員bay350T交換機NetlCs無關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)CommunityStringSnmp網(wǎng)管軟件SNMP工作模式輪詢模式

管理工作站

==>

Network

==>

Agent(Listen:UDP161)

<==Device

get指令

轉(zhuǎn)換成snmp消息格式

驗證權(quán)限，處理請求并反響

管理工作站

<==

Network

<==

Agent

<==Device

自陷模式

管理工作站(Listen:UDP162)

<==

Network

<==

Agent

<==

Device

監(jiān)聽UCP162

轉(zhuǎn)換成snmp消息格式

當(dāng)設(shè)備事件發(fā)生時主動反響信息

路由器-針對snmp攻擊利用讀、寫口令字下載配置文件針對SNMP的暴力破解程序CISCOSNMP越權(quán)訪問可寫口令字……拒絕效勞攻擊定義

DoS〔DenialofService〕拒絕效勞攻擊是用來顯著降低系統(tǒng)提供效勞的質(zhì)量或可用性的一種有目的行為。 DDoS〔DistributedDenialofservice〕分布式拒絕效勞攻擊使用了分布式客戶效勞器功能，，能被用于控制任意數(shù)量的遠程機器，以產(chǎn)生隨機匿名的拒絕效勞攻擊和遠程訪問。DDoS攻擊示意圖分布式拒絕效勞攻擊示意圖DoS攻擊舉例SynFloodIcmpSmurf〔directedbroadcast〕UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統(tǒng)級別的拒絕效勞〔SMBDie〕應(yīng)用級別的拒絕效勞〔pcanywhere〕DDoS攻擊類型TrinooTFNTFN2KStacheldrahtFunTimeApocalypseSynFloodSYNFlood是當(dāng)前最流行的DoS〔拒絕效勞攻擊〕與DDoS〔分布式拒絕效勞攻擊〕的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡〔CPU滿負荷或內(nèi)存缺乏〕的攻擊方式。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接IcmpSmurf

Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充滿目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進行效勞。攻擊的過程是這樣的：Attacker向一個具有大量主機和因特網(wǎng)連接的網(wǎng)絡(luò)的播送地址發(fā)送一個欺騙性Ping分組〔echo請求〕，這個目標(biāo)網(wǎng)絡(luò)被稱為反彈站點，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。這種攻擊的前提是，路由器接收到這個發(fā)送給IP播送地址〔如〕的分組后，會認為這就是播送分組，并且把以太網(wǎng)播送地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器人因特網(wǎng)上接收到該分組，會對本地網(wǎng)段中的所有主機進行播送。IcmpSmurf網(wǎng)段中的所有主機都會向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個很大的以太網(wǎng)段，可以會有500個以上的主機對收到的echo請求進行回復(fù)。由于多數(shù)系統(tǒng)都會盡快地處理ICMP傳輸信息，Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因些目標(biāo)系統(tǒng)都很快就會被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)效勞。這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀況。IcmpSmurf阻塞Smurf攻擊的源頭 Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請求。用戶可以使用路由路的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。阻塞Smurf的反彈站點 用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網(wǎng)絡(luò)。如果不能阻塞所有入站echo請求，用戶就需要將自己的路由器把網(wǎng)絡(luò)播送地址映射成為LAN播送地址。制止了這個映射過程，自己的系統(tǒng)就不會再收到這些echo請求。UdpFloodUDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP效勞都產(chǎn)生輸出，然后讓這兩種UDP效勞之間互相通信，使一方的輸出成為另一方的輸入。這樣會形成很大的數(shù)據(jù)流量。當(dāng)多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。如果涉及的主機數(shù)目少，那么只有這幾臺主時機癱瘓一些被惡意利用的UDP效勞，如echo和chargen效勞，它會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen效勞會在收到每一個數(shù)據(jù)包時隨機反響一些字符，如果惡意攻擊者將這2個UDP效勞互指，那么網(wǎng)絡(luò)可用帶寬將很快耗盡UdpFlood禁止相關(guān)效勞與網(wǎng)絡(luò)設(shè)備配合IcmpPingFloodPing是通過發(fā)送ICMP報文(類型8代碼0)探尋網(wǎng)絡(luò)主機是否存在的一個工具。局部操作系統(tǒng)〔例如win95〕，不能很好處理過大的Ping包，導(dǎo)致出現(xiàn)了PingtoDeath的攻擊方式〔用大Ping包搞垮對方或者塞滿網(wǎng)絡(luò)〕，由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機。如果對方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰，也占去許多帶寬。如TFN2K會產(chǎn)生大量的進程，每個進程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無法正常工作。IcmpPingFlood正常情況下，Ping的流程是這樣的:主機A發(fā)送ICMP8,0報文給主機B主機B回送ICMp0,0報文給主機A因為ICMP基于無連結(jié)，假設(shè)現(xiàn)在主機A偽裝成主機C發(fā)送ICMP8,0報文，結(jié)果會怎么樣呢?顯然，主機B會以為是主機C發(fā)送的報文而去回應(yīng)主機C，結(jié)構(gòu)如下：偽裝為主機C錯誤的回復(fù)主機A--------------------->主機B------------------>主機C這種情況下，由于主機A只需要不斷發(fā)送Ping報文而不需要處理返回的EchoReply，所以攻擊力度成倍的增加，同時實際上主機B和主機C都是被進攻的目標(biāo)，而且不會留下攻擊者的痕跡。IcmpFlood禁止相關(guān)效勞與網(wǎng)絡(luò)設(shè)備配合TARGA3(堆棧突破)TARGA3攻擊的根本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不標(biāo)準數(shù)據(jù)包，便會使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請求〔即拒絕效勞〕。典型代表是winnuke，jolt，teardrop等TARGA3(堆棧突破)升級操作系統(tǒng)與IDS等平安產(chǎn)品配合操作系統(tǒng)級別的拒絕效勞Microsoft操作系統(tǒng)對畸形的SMB〔ServerMessageBlock〕請求存在漏洞應(yīng)用級別的拒絕效勞包含在操作系統(tǒng)或應(yīng)用程序中與平安相關(guān)的系統(tǒng)缺陷而引起的拒絕效勞問題，這些缺陷大多是由于錯誤的程序編制，粗心的源代碼審核，無心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻?。典型代表是pcanywhere的拒絕效勞問題應(yīng)用級別的拒絕效勞PCAnywhere存在因端口掃描導(dǎo)致的DoS攻擊發(fā)布日期:2000-4-27受影響的系統(tǒng):SymantecPCAnywhere9.2SymantecPCAnywhere9.0描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng)，只有重新啟動效勞才能正常運行。應(yīng)用級別的拒絕效勞升級相關(guān)軟件與平安產(chǎn)品配合Trinoo介紹影響平臺:Linux,Solaris,Unix風(fēng)險級別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機的Trin00是一種分布式拒絕效勞的工具。攻擊者使用該工具可以控制多個主機，利用這些主機向其他主機發(fā)送UDPflood。Trin00控制者可以給Trin00主機守護程序制造多種請求。使用UDP包開始flood主機使用UDP包終止flood主機修改主機主流程序的UDPflood配置Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常效勞，乃至崩潰。它對IP地址不做假，采用的通訊端口是： 攻擊者主機到主控端主機：27665/TCP主控端主機到代理端主機：27444/UDP 代理端主機到主效勞器主機：31335/UDPTFN介紹影響平臺:Linux,Solaris,Unix風(fēng)險級別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機的TribeFloodNetwork,TFN,是一種分布式拒絕效勞的工具，使用該工具可以使攻擊者利用多個主機，一次flood一個目標(biāo)。有四種不同類型的flood：ICMPEchofloodUDPFloodSYNFloodSmurf攻擊TFN介紹TFN客戶機和效勞器使用ICMPecho互相發(fā)送響應(yīng)包進行通訊。TFN由主控端程序和代理端程序兩局部組成，具有偽造數(shù)據(jù)包的能力。TFN2K介紹影響平臺:Linux,Solaris,Unix風(fēng)險級別:高攻擊類型:基于網(wǎng)絡(luò)，基于主機的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕效勞的工具，可以實施多種類型的flood攻擊一個主機。TFN2k由客戶端和主機駐留程序組成?？蛻舳丝刂埔粋€多個主機主流程序，主機主流程序?qū)δ繕?biāo)主機進行flood?？蛻舳丝梢允褂肬DP、TCP或ICMP與主機主流程序進行通訊，并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹TFN2K是由TFN開展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。Stacheldraht介紹影響平臺:任何平臺風(fēng)險級別:高攻擊類型:基于網(wǎng)絡(luò)的Stacheldraht是一種分布式拒絕效勞的工具，它是利用TribeFloodNetwork(TFN)和Trin00源代碼編制的工具。除具有TFN和Trin00的功能外，Stacheldraht對客戶機、主人效勞器〔或稱為操作者〕及代理之間進行加密通訊。還可以利用rcp命令遠程升級代理〔提供帳號和效勞器名稱〕。Stacheldraht是專為Linux和Solaris設(shè)計的，但是只需對源代碼進行一些修改，就可以安裝到任何系統(tǒng)。Stacheldraht介紹Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。FunTimeApocalypse介紹影響平臺:Windows9x,NT,2K風(fēng)險級別:高攻擊類型:基于網(wǎng)絡(luò)的FuntimeApocalypse是Windows9x和WindowsNT平臺的分布式拒絕效勞(DDoS)工具，攻擊者可以調(diào)用一個"timerfused"flood一個目標(biāo)計算機。FuntimeApocalypse由以下文件組成:一個flood程序(bmb2.exe)一個主機文件(funtime.txt)一些批處理文件(funtime.bat,timer98.bat和timerNT.bat)兩個WindowsHTML應(yīng)用程序(funtime98.hta和funtimeNT.hta)Funtime需要攻擊者對批處理文件和WindowsHTML應(yīng)用程序進行修正，否那么將不能實施攻擊DDoS攻擊特性DDoS攻擊將越來越多地采用IP欺騙的技術(shù)；DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進攻，轉(zhuǎn)變?yōu)橛啥鄠€攻擊源對單一目標(biāo)進攻的趨勢;DDoS攻擊將會變得越來越智能化，試圖躲過網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測跟蹤，并試圖繞過防火墻防御體系;針對路由器的弱點的DDoS攻擊將會增多;DDoS攻擊利用路由器的多點傳送功能可以將攻擊效果擴大假設(shè)干倍;采用半連接技術(shù)SYN攻擊，和針對TCP/IP協(xié)議先天缺陷的的ACK攻擊。采用ICMP攻擊。采用smurf攻擊采用UDP攻擊。IP欺騙原理IP是網(wǎng)絡(luò)層的一個非面向連接的協(xié)議，偽造IP地址相對容易。TCP三次握手DoS攻擊序列號取樣和猜測預(yù)防拋棄基于地址的信任策略進行包過濾加密使用隨機化初始序列號ARP欺騙實現(xiàn)簡易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MACArp_send.c危害嗅探導(dǎo)致windows9x、NTIP沖突死機Flooding導(dǎo)致網(wǎng)絡(luò)異常共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于播送方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff平安事件案例2002年4月某校園網(wǎng)被攻擊原因：管理員工作站被攻擊后續(xù)：跳躍攻擊其它主機交換環(huán)境下的嗅探技術(shù)arpspoof，fragroute，dsniff網(wǎng)絡(luò)設(shè)備平安配置路由設(shè)備平安配置關(guān)閉不必要的設(shè)備效勞使用強口令或密碼加強設(shè)備訪問的認證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型Cisco路由器的平安配置使用加密的強密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略usernamepasswordpassprivilegeexec6showCisco路由器平安配置控制網(wǎng)絡(luò)線路訪問access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時Exec-timeout50以上措施可以保證路由器的密碼平安Cisco路由器平安配置禁用交換機HTTP效勞器noipserver禁用CDP開掘協(xié)議nocdprun禁用交換機NTP效勞器nontpenable禁用低端口簡單效勞noservice-udp-small-servicesnoservice-udp-small-services禁用Finger效勞noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險Cisco路由器平安配置禁用簡單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強平安特性snmp-serverenabletrapssnmpauthmd5使用強的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時使用，如果必要使用SNMP平安性1>>2>>3Cisco路由器平安配置認證與日志管理使用AAA加強設(shè)備訪問控制日志管理loggingonloggingbuffered36000Cisco路由器平安配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定向播送noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗證Ipverifyunicastreverse-path禁用IP源路由選項noipsource-routeCisco路由器平安配置啟用TCP截獲特性防止DoS攻擊創(chuàng)立截獲訪問控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式Cisco路由器平安配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據(jù)包使用訪問控制列表限定數(shù)據(jù)流量使用訪問控制列表保護內(nèi)部網(wǎng)絡(luò)拒絕效勞攻擊的防御策略第一種是縮短SYNTimeout時間，由于SYNFlood攻擊的效果取決于效勞器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為20秒以下〔過低的SYNTimeout設(shè)置可能會影響客戶的正常訪問〕，可以成倍的降低效勞器的負荷。

第二種方法是設(shè)置SYNCookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄。SynFlood解決方法動態(tài)分析

受到攻擊時在線分析TCPSYN報文的所有細節(jié)。如源地址、IP首部中的標(biāo)識、TCP首部中的序列號、TTL值等，特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標(biāo)之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統(tǒng)的負荷〔在這種情況下TTL值與攻擊報文不同的用戶就可以恢復(fù)正常訪問〕

網(wǎng)絡(luò)設(shè)備配合SynFlood其它方法SynFlood其它方法

負載均衡

基于DNS解析的負載均衡本身就擁有對SYNFlood的免疫力，基于DNS解析的負載均衡能將用戶的請求分配到不同IP的效勞器主機上，SYNFlood程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動進行域名解析，但是它們有一點是相同的，就是一旦攻擊開始，將不會再進行域名解析。攻擊者攻擊的永遠只是其中一臺效勞器。

檢測DDoS攻擊根據(jù)異常情況分析 訪問量突然劇增，經(jīng)過sniffer分析，有大量的非正常的包，如沒有正常的tcp三次握手，或者是三次握手后沒有正常的關(guān)閉連接，或者大量的播送包，或者大量的icmp包，這說明極其有可能是遭受DDoS攻擊。 外部訪問突然變慢，或者訪問不到，可是主機的訪問量卻不大，這很有可能是路由器的配置出現(xiàn)問題，詢問一下是否有人對路由器等設(shè)備進行過操作，或者你的對等ISP的線路出現(xiàn)問題。 主機突然反響很遲鈍。這要經(jīng)過sniffer進行偵聽，這有兩種可能，一種是流量確實很大，有可能是遭受DoS攻擊，還有就是應(yīng)用程序編寫有誤，導(dǎo)致系統(tǒng)資源耗盡。檢測DDoS攻擊使用DDoS檢測工具 使用工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。使用ngrep監(jiān)聽工具。經(jīng)過修改的ngrep可以監(jiān)聽大約五種類型的tfn2k拒絕效勞攻擊(targa3,SYNflood,UDPflood,ICMPflood和smurf)，它還有一個循環(huán)使用的緩存用來記錄DNS和ICMP請求。如果ngrep覺察有攻擊行為的話，它會將其緩存中的內(nèi)容打印出來并繼續(xù)記錄ICMP回應(yīng)請求。假設(shè)攻擊者通過ping目標(biāo)主機的手段來鉚定攻擊目標(biāo)的話，在攻擊過程中或之后記錄ICMP的回應(yīng)請求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的效勞來核實其攻擊的效果〔例如web〕，所以對其他的標(biāo)準效勞也應(yīng)當(dāng)有盡量詳細的日志記錄。DDoS攻擊的對策與網(wǎng)絡(luò)效勞提供商協(xié)作 能否與上一級的網(wǎng)絡(luò)主干效勞提供商進行良好的合作是非常重要的事情。DDoS攻擊對帶寬的使用是非常嚴格的，無論使用什么方法都無法使自己的網(wǎng)絡(luò)對它的上一級進行控制。最好能夠與網(wǎng)絡(luò)效勞供給商進行協(xié)商，請求他們幫助實現(xiàn)路由的訪問控制，以實現(xiàn)對帶寬總量的限制以及不同的訪問地址在同一時間對帶寬的占有率。最好請求效勞提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時允許訪問他們的路由器。DDoS攻擊的對策安裝IDS和監(jiān)控異常流量。 在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動正在進行，立即對入侵行動進行報警。以最快時間內(nèi)對入侵做成反響。此外，也要時常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。優(yōu)化對外提供效勞的主機 對于潛在的有可能遭受攻擊的主機也要同樣進行設(shè)置保護。在效勞器上禁止一切不必要的效勞，打補丁，進行平安配置。此外，用防火墻對提供效勞的主機進行保護，對訪問量大的主機進行負載均衡。將網(wǎng)站分布在多個不同的物理主機上，這樣每一臺主機只包含了網(wǎng)站的一局部，防止了網(wǎng)站在遭受攻擊時全部癱瘓。DDoS攻擊的對策立即啟動應(yīng)付策略，盡可能快的向回追蹤攻擊包 如果發(fā)現(xiàn)攻擊并非來自內(nèi)部應(yīng)當(dāng)立即與效勞提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。應(yīng)當(dāng)迅速的判斷是否遭到了拒絕效勞攻擊，因為在攻擊停止后，只有很短的一段時間您可以向回追蹤攻擊包，這最好和平安公司或組織一道來追查攻擊者。與信息平安監(jiān)察部門聯(lián)系 由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。所以一旦攻擊發(fā)生，應(yīng)該及時與信息平安監(jiān)察部門聯(lián)系，及時提供系統(tǒng)日志作為證據(jù)保全，以利于追查和起訴攻擊者，便于日后用法律手段追回經(jīng)濟損失DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRate-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRate-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedDDoS預(yù)防方法RFC1918約定過濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方法RFC2728約定過濾入口數(shù)據(jù)包必須來自客戶地址出口數(shù)據(jù)包不能來自客戶確保檢查入口數(shù)據(jù)包有效DDoS預(yù)防方法驗證單點傳送反向路徑檢查數(shù)據(jù)包的返回路徑是否使用與到達相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF〔快速向前傳輸〕特性在存在非對稱路徑時不適合IPSec與VPN技術(shù)VPN技術(shù)虛擬專用網(wǎng)〔VirtualPrivateNetwork〕：在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的平安、管理及功能等特點。采用VPN的原因費用平安性VPN協(xié)議—隧道協(xié)議第二層隧道協(xié)議PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三層隧道協(xié)議GREIPSecPPTP將其他協(xié)議和數(shù)據(jù)封裝于IP數(shù)據(jù)包中；該方式用在公共的Internet創(chuàng)立隧道，遠端