信息安全技術(shù)

網(wǎng)絡(luò)安全2003-12今天的主題第一章網(wǎng)絡(luò)安全基礎(chǔ)(模型,基礎(chǔ)知識(shí))第二章網(wǎng)絡(luò)設(shè)備安全管理(物理上安全,設(shè)置上安全等)第三章網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊(不同的設(shè)備,不同的漏洞)拒絕服務(wù)（DoS）攻擊(DOS,DDOS)欺騙攻擊(IP地址欺騙等)網(wǎng)絡(luò)嗅探(協(xié)議,端口)第四章網(wǎng)絡(luò)設(shè)備的安全配置第五章對(duì)網(wǎng)絡(luò)威脅采取的策略第六章

IPSec與VPN技術(shù)第一章網(wǎng)絡(luò)安全基礎(chǔ)INTERNET的美妙之處在于你和每個(gè)人都能互相連接(工作,學(xué)習(xí),電子商務(wù)等)INTERNET的可怕之處在于每個(gè)人都能和你互相連接(面臨著威脅,例如:病毒)網(wǎng)絡(luò)基礎(chǔ)OSI參考模型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

即開放系統(tǒng)互聯(lián)參考模型（OpenSystemInterconnectReferenceModel）。是ISO（國(guó)際標(biāo)準(zhǔn)化組織）根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)功能劃分七層.網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

(為了更好的規(guī)劃網(wǎng)絡(luò),更好的達(dá)到網(wǎng)絡(luò)的互聯(lián)性,更好的解決問題,更好的構(gòu)架網(wǎng)絡(luò)而建立)OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

OSI層次劃分原則層次分明性應(yīng)該把層次分成理論上需要的不同等級(jí)，減少過多的層次；當(dāng)在數(shù)據(jù)處理過程中需要不同級(jí)別抽象時(shí)，則設(shè)立一個(gè)層次；在需要不同的通信服務(wù)時(shí)，可在同一層內(nèi)再形成子層次，不需要時(shí)也可繞過該子層次。獨(dú)立性一個(gè)層次內(nèi)的功能或協(xié)議更改時(shí)不影響其它各層；互聯(lián)性只為每一層建立與其相鄰的上一層和下一層的接口；OSI層次劃分原則

功能模塊化性每一層都應(yīng)該較好地履行其特定的功能；成熟性每一層的功能選定都基于已有成功經(jīng)驗(yàn)的國(guó)際標(biāo)準(zhǔn)協(xié)議；簡(jiǎn)明性每一層的界面都應(yīng)該選在服務(wù)描述最少、通過接口的信息流量最少的地方；把類似的功能集中在同一層內(nèi)，使之易于局部化；

TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)令牌網(wǎng)ARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞常見黑黑客攻攻擊方方式應(yīng)用層層：應(yīng)應(yīng)用程程序和和操作作系統(tǒng)統(tǒng)的攻攻擊與與破壞壞傳輸層層：拒拒絕服服務(wù)攻攻擊網(wǎng)絡(luò)層層：拒拒絕服服務(wù)攻攻擊和和數(shù)據(jù)據(jù)竊聽聽風(fēng)險(xiǎn)險(xiǎn)硬件設(shè)設(shè)備與與數(shù)據(jù)據(jù)鏈路路：物物理竊竊聽與與破壞壞(物理維維護(hù),介質(zhì)保保護(hù),OPENBOOT)網(wǎng)絡(luò)安安全的的語(yǔ)義義范圍圍保密性性完整性性可用性性(CIA三元組組基本本安全全法則則)可控性性第二章章網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)備備安全全管理理局域網(wǎng)網(wǎng)的特特性局域網(wǎng)網(wǎng)典型型特性性高數(shù)據(jù)據(jù)傳輸輸率短距離離低誤碼碼率(廣域網(wǎng)網(wǎng)絡(luò)高高誤碼碼率)常用的的局域域網(wǎng)介介質(zhì)訪訪問控控制技技術(shù)載波監(jiān)監(jiān)聽多多路訪訪問/沖突檢檢測(cè)(CSMA/CD)技術(shù)令牌控控制技技術(shù)光纖分分布數(shù)數(shù)據(jù)接接口(FDDI)技術(shù)局域網(wǎng)網(wǎng)安全全管理理良好的的網(wǎng)絡(luò)絡(luò)拓?fù)鋼湟?guī)劃劃(IP地址規(guī)規(guī)劃,路由區(qū)區(qū)域設(shè)設(shè)計(jì)等等)對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備備進(jìn)行行基本本安全全配置置(口令和和不必必要的的服務(wù)務(wù)關(guān)閉閉)合理的的劃分分VLAN(防一端端口屬屬多VLAN)分離數(shù)數(shù)據(jù)廣廣播域域(不同部部門)綁定IP地址與與Mac地址(防止盜盜用IP)配置防防火墻墻和IDS設(shè)備使用內(nèi)內(nèi)容監(jiān)監(jiān)控(NETFLOW)與病毒毒過濾濾良好的的網(wǎng)絡(luò)絡(luò)規(guī)劃劃網(wǎng)絡(luò)安安全規(guī)規(guī)劃原原則合理的的分配配地址址(規(guī)劃表表)合理的的網(wǎng)絡(luò)絡(luò)邏輯輯結(jié)構(gòu)構(gòu)(拓?fù)浼凹皡f(xié)議議的選選擇)通過VLAN分隔邏邏輯網(wǎng)網(wǎng)絡(luò)通過域域或工工作組組確定定用戶戶權(quán)限限(操作系系統(tǒng))建立良良好的的網(wǎng)絡(luò)絡(luò)安全全制度度(文檔等等)網(wǎng)絡(luò)設(shè)設(shè)備安安全配配置關(guān)閉不不必要要的設(shè)設(shè)備服服務(wù)(STP,CDP等)使用強(qiáng)強(qiáng)口令令或密密碼加強(qiáng)設(shè)設(shè)備訪訪問的的認(rèn)證證與授授權(quán)(AAA口令)升級(jí)設(shè)設(shè)備固固件(對(duì)功能能的提提升)或OS(補(bǔ)丁)使用訪訪問控控制列列表限限制訪訪問(名稱,擴(kuò)展,基本)使用訪訪問控控制表表限制制數(shù)據(jù)據(jù)包類類型(二層)廣域網(wǎng)網(wǎng)的概概念和和特性性廣域網(wǎng)網(wǎng)是覆覆蓋地地理范范圍相相對(duì)較較廣的的數(shù)據(jù)據(jù)通信信網(wǎng)絡(luò)絡(luò)。網(wǎng)絡(luò)的的規(guī)模模和分分類：：局域網(wǎng)網(wǎng)(LAN，localareanetwork)可覆蓋蓋一個(gè)個(gè)建筑筑物或或一所所學(xué)校校;城域網(wǎng)網(wǎng)(MAN，metropolitanareanetwork)可覆蓋蓋一座座城市市;(WAN，wideareanetwork)可覆蓋蓋多座座城市市、多多個(gè)國(guó)國(guó)家或或洲。。廣域網(wǎng)網(wǎng)的構(gòu)構(gòu)成和和種類類廣域網(wǎng)網(wǎng)的構(gòu)構(gòu)成(設(shè)備及及基本本構(gòu)架架)廣域網(wǎng)網(wǎng)的種種類X.25幀中繼繼ATM廣域網(wǎng)網(wǎng)安全全管理理良好的的網(wǎng)絡(luò)絡(luò)拓?fù)鋼湟?guī)劃劃(協(xié)議選選擇等等)對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備備進(jìn)行行基本本安全全配置置(口令,加密)確保路路由協(xié)協(xié)議安安全(路由由協(xié)議議加密密,防惡意意路由由信息息介入入)使用ACL進(jìn)行行數(shù)據(jù)據(jù)過濾濾使用AAA加強(qiáng)強(qiáng)訪問問控制制和認(rèn)認(rèn)證交換機(jī)機(jī)-Vlan穿越對(duì)策將所有有user-end端口都都從vlan1中排除除(缺省VLAN的有很很多服服務(wù)沒沒有關(guān)關(guān)掉.)將trunk接口劃劃分到到一個(gè)個(gè)單獨(dú)獨(dú)的vlan中，該該vlan中不應(yīng)應(yīng)包含含任何何user-end接口交換機(jī)機(jī)-針對(duì)CDP攻擊交換機(jī)機(jī)-針對(duì)STP攻擊說明SpanningTreeProtocol防止交交換網(wǎng)網(wǎng)絡(luò)產(chǎn)產(chǎn)生回回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接接管rootbridge，導(dǎo)致致網(wǎng)絡(luò)絡(luò)邏輯輯結(jié)構(gòu)構(gòu)改變變，在在重新新生成成STP時(shí)，可可以導(dǎo)導(dǎo)致某某些端端口暫暫時(shí)失失效，，可以以監(jiān)聽聽大部部份網(wǎng)網(wǎng)絡(luò)流流量。。BPDUFlood：消耗耗帶寬寬，拒拒絕服服務(wù)(間隔時(shí)時(shí)間)對(duì)策對(duì)User-End端口，，禁止止發(fā)送送BPDU(或用參參數(shù)進(jìn)進(jìn)行控控制)交換機(jī)機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了了整個(gè)個(gè)網(wǎng)絡(luò)絡(luò)的VLAN配置和和管理理可以將將VLAN配置信信息傳傳遞到到其它它交換換機(jī)動(dòng)態(tài)添添加刪刪除VLAN(通過VTP更新信信息)準(zhǔn)確跟跟蹤和和監(jiān)測(cè)測(cè)VLAN變化模式Server,Client,Transparent交換機(jī)機(jī)-針對(duì)VTP攻擊脆弱性性Domain：只有有屬于于同一一個(gè)Domain的交換換機(jī)才才能交交換Vlan信息setvtpdomainnetpowerPassword：同一一domain可以相相互通通過經(jīng)經(jīng)MD5加密的的password驗(yàn)證，，但password設(shè)置非非必需需的，，如果果未設(shè)設(shè)置password，入侵侵者惡惡意添添加或或者刪刪除Vlan。對(duì)策設(shè)置password盡量將將交換換機(jī)的的vtp設(shè)置為為Transparent模式：：setvtpdomainnetpowermodetransparentpasswordsercetvty(不去管管VTP信息,只是轉(zhuǎn)轉(zhuǎn)發(fā))路由器器-發(fā)現(xiàn)路路由通過tracertroute命令最后一一個(gè)路路由容容易成成為DoS攻擊目目標(biāo)(產(chǎn)生大大量的的數(shù)據(jù)據(jù)包,使響應(yīng)應(yīng)者消消耗資資源)路由器器-猜測(cè)路路由器器類型型端口掃掃描CDP其它特特征：：如Cisco路由器器1999端口的的ack分組信信息，，會(huì)有有cisco字樣提提示(給入侵侵者帶帶來有有用信信息)路由器器-缺省帳帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

路由器器-缺省帳帳號(hào)

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器器-密碼Cisco路由器器的密密碼(選擇手手工安安裝模模式就就可以以沒有有缺省省密碼碼)弱加密密MD5加密Enablesecret5路由器器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIBSnmp網(wǎng)管軟軟件讀寫權(quán)權(quán)限關(guān)掉不不必要要的服服務(wù)SNMP對(duì)管理理人員員有用用,同時(shí)也也為黑黑客提提供方方便.路由器器-針對(duì)snmp攻擊利用讀讀、寫寫口令令字下下載配配置文文件針對(duì)SNMP的暴力力破解解程序序CISCOSNMP越權(quán)訪訪問可可寫口口令字字……第三章章網(wǎng)網(wǎng)絡(luò)絡(luò)存在在的威威脅網(wǎng)絡(luò)中中面臨臨的威威脅拒絕服服務(wù)攻攻擊定義DoS（DenialofService）拒絕服服務(wù)攻攻擊是是用來來顯著著降低低系統(tǒng)統(tǒng)提供供服務(wù)務(wù)的質(zhì)質(zhì)量或或可用用性的的一種種有目目的行行為。。DDoS（DistributedDenialofservice）分布式式拒絕絕服務(wù)務(wù)攻擊擊使用用了分分布式式客戶戶服務(wù)務(wù)器功功能，，加密密技術(shù)術(shù)及其其它類類的功功能，，它能能被用用于控控制任任意數(shù)數(shù)量的的遠(yuǎn)程程機(jī)器器，以以產(chǎn)生生隨隨機(jī)機(jī)匿名名的的拒拒絕服服務(wù)攻攻擊和和遠(yuǎn)程程訪問問。DDoS攻擊擊示示意意圖圖分布布式式拒拒絕絕服服務(wù)務(wù)攻攻擊擊示示意意圖圖DoS攻擊擊舉舉例例SynFloodUdpFloodIcmpPingFloodSynFloodSYNFlood是當(dāng)當(dāng)前前最最流流行行的的DoS（拒拒絕絕服服務(wù)務(wù)攻攻擊擊））與與DDoS（分分布布式式拒拒絕絕服服務(wù)務(wù)攻攻擊擊）），，是是利利用用TCP協(xié)議議缺缺陷陷，，發(fā)發(fā)送送大大量量偽偽造造的的TCP連接接請(qǐng)請(qǐng)求求，，從從而而使使得得被被攻攻擊擊方方資資源源耗耗盡盡（（CPU滿負(fù)負(fù)荷荷或或內(nèi)內(nèi)存存不不足足））的的一一種種攻攻擊擊方方式式。。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起起方方應(yīng)答方正常常的的三三次次握握手手建建立立通通訊訊的的過過程程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）攻擊者受害者偽造造地地址址進(jìn)進(jìn)行行SYN請(qǐng)求求為何還沒回應(yīng)就是讓你白等不能能建建立立正正常常的的連連接接UdpFloodUDP攻擊擊的的原原理理是是使使兩兩個(gè)個(gè)或或兩兩個(gè)個(gè)以以上上的的系系統(tǒng)統(tǒng)之之間間產(chǎn)產(chǎn)生生巨巨大大的的UDP數(shù)據(jù)據(jù)包包。。首首先先使使這這兩兩種種UDP服務(wù)務(wù)都都產(chǎn)產(chǎn)生生輸輸出出，，然然后后讓讓這這兩兩種種UDP服務(wù)務(wù)之之間間互互相相通通信信，，使使一一方方的的輸輸出出成成為為另另一一方方的的輸輸入入。。這這樣樣會(huì)會(huì)形形成成很很大大的的數(shù)數(shù)據(jù)據(jù)流流量量。。當(dāng)當(dāng)多多個(gè)個(gè)系系統(tǒng)統(tǒng)之之間間互互相相產(chǎn)產(chǎn)生生UDP數(shù)據(jù)據(jù)包包時(shí)時(shí)，，最最終終將將導(dǎo)導(dǎo)致致整整個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)癱癱瘓瘓。。如如果果涉涉及及的的主主機(jī)機(jī)數(shù)數(shù)目目少少，，那那么么只只有有這這幾幾臺(tái)臺(tái)主主機(jī)機(jī)會(huì)會(huì)癱癱瘓瘓UdpFlood禁止止相相關(guān)關(guān)服服務(wù)務(wù)(RIP禁止止對(duì)對(duì)所所有有端端口口轉(zhuǎn)轉(zhuǎn)發(fā)發(fā))與網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備配配合合(FWACL)IcmpPingFloodPing是通通過過發(fā)發(fā)送送ICMP報(bào)文文,不能能很很好好處處理理過過大大的的Ping包，，導(dǎo)導(dǎo)致致出出現(xiàn)現(xiàn):占去去許許多多帶帶寬寬,塞滿滿網(wǎng)網(wǎng)絡(luò)絡(luò).如TFN2K會(huì)產(chǎn)產(chǎn)生生大大量量的的進(jìn)進(jìn)程程，，每每個(gè)個(gè)進(jìn)進(jìn)程程都都不不停停地地發(fā)發(fā)送送PING包，，從從而而導(dǎo)導(dǎo)致致被被攻攻擊擊目目標(biāo)標(biāo)的的無無法法正正常常工工作作。。IcmpFlood禁止止相相關(guān)關(guān)服服務(wù)務(wù)與網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備配配合合(CISCO設(shè)備備最最新新功功能能用用命命令令去去禁禁止止)應(yīng)用用級(jí)級(jí)別別的的拒拒絕絕服服務(wù)務(wù)包含含在在操操作作系系統(tǒng)統(tǒng)或或應(yīng)應(yīng)用用程程序序中中與與安安全全相相關(guān)關(guān)的的系系統(tǒng)統(tǒng)缺缺陷陷而而引引起起的的拒拒絕絕服服務(wù)務(wù)問問題題，，這這些些缺缺陷陷大大多多是是由由于于錯(cuò)錯(cuò)誤誤的的程程序序編編制制，，粗粗心心的的源源代代碼碼審審核核.典型型代代表表是是pcanywhere的拒拒絕絕服服務(wù)務(wù)問問題題應(yīng)用用級(jí)級(jí)別別的的拒拒絕絕服服務(wù)務(wù)PCAnywhere存在在因因端端口口掃掃描描導(dǎo)導(dǎo)致致的的DoS攻擊擊描述述:在遭遭受受到到nmap2.30BETA21的TCPSYN掃描描之之后后,PcAnyWhere將停停止止響響應(yīng)應(yīng)，，只只有有重重新新啟啟動(dòng)動(dòng)服服務(wù)務(wù)才才能能正正常常運(yùn)運(yùn)行行。。應(yīng)用用級(jí)級(jí)別別的的拒拒絕絕服服務(wù)務(wù)升級(jí)級(jí)相相關(guān)關(guān)軟軟件件(補(bǔ)漏漏洞洞)與安安全全產(chǎn)產(chǎn)品品配配合合(IDS,FW,ACL,ROUTE-MAP策略略控控制制)Trinoo介紹紹影響響平平臺(tái)臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)險(xiǎn)級(jí)級(jí)別別:高攻擊擊類類型型:基于于網(wǎng)網(wǎng)絡(luò)絡(luò)，，基基于于主主機(jī)機(jī)的的Trin00是一一種種分分布布式式拒拒絕絕服服務(wù)務(wù)的的工工具具。。攻攻擊擊者者使使用用該該工工具具可可以以控控制制多多個(gè)個(gè)主主機(jī)機(jī)，，利利用用這這些些主主機(jī)機(jī)向向其其他他主主機(jī)機(jī)發(fā)發(fā)送送UDPflood。Trin00控制制者者可可以以給給Trin00主機(jī)機(jī)守守護(hù)護(hù)程程序序制制造造多多種種請(qǐng)請(qǐng)求求。。使用用UDP包開開始始flood主機(jī)機(jī)使用用UDP包終終止止flood主機(jī)機(jī)修改改主主機(jī)機(jī)主主流流程程序序的的UDPflood配置置Trinoo介紹紹Trinoo的的攻攻擊擊方方法法是是向向被被攻攻擊擊目目標(biāo)標(biāo)主主機(jī)機(jī)的的隨隨機(jī)機(jī)端端口口發(fā)發(fā)出出全全零零的的4字字節(jié)節(jié)UDP包包，，在在處處理理這這些些超超出出其其處處理理能能力力的的垃垃圾圾數(shù)數(shù)據(jù)據(jù)包包的的過過程程中中，，被被攻攻擊擊主主機(jī)機(jī)的的網(wǎng)網(wǎng)絡(luò)絡(luò)性性能能不不斷斷下下降降，，直直到到不不能能提提供供正正常常服服務(wù)務(wù)，，乃乃至至崩崩潰潰。。它它對(duì)對(duì)IP地地址址不不做做假假.通訊訊端端口口是是：：(要要在在相相應(yīng)應(yīng)策策略略控控制制里里封封掉掉)攻擊擊者者主主機(jī)機(jī)到到主主控控端端主主機(jī)機(jī)：：27665/TCP主控控端端主主機(jī)機(jī)到到代代理理端端主主機(jī)機(jī)：：27444/UDP代理理端端主主機(jī)機(jī)到到主主服服務(wù)務(wù)器器主主機(jī)機(jī)：：31335/UDPTFN介紹紹影響響平平臺(tái)臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)險(xiǎn)級(jí)級(jí)別別:高攻擊擊類類型型:基于于網(wǎng)網(wǎng)絡(luò)絡(luò)，，基基于于主主機(jī)機(jī)的的TribeFloodNetwork,TFN,是一一種種分分布布式式拒拒絕絕服服務(wù)務(wù)的的工工具具，，使使用用該該工工具具可可以以使使攻攻擊擊者者利利用用多多個(gè)個(gè)主主機(jī)機(jī)，，一一次次flood一個(gè)個(gè)目目標(biāo)標(biāo)。。有有三三種種不不同同類類型型的的flood：ICMPEchofloodUDPFloodSYNFloodTFN介紹紹TFN客戶戶機(jī)機(jī)和和服服務(wù)務(wù)器器使使用用ICMPecho互相相發(fā)發(fā)送送響響應(yīng)應(yīng)包包進(jìn)進(jìn)行行通通訊訊。。TFN由由主主控控端端程程序序和和代代理理端端程程序序兩兩部部分分組組成成，，具具有有偽偽造造數(shù)數(shù)據(jù)據(jù)包包的的能能力力。TFN2K介紹紹影響響平平臺(tái)臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)險(xiǎn)級(jí)級(jí)別別:高攻擊擊類類型型:基于于網(wǎng)網(wǎng)絡(luò)絡(luò)，，基基于于主主機(jī)機(jī)的的TribeFloodNetwork2000(TFN2k)是一一種種分分布布式式拒拒絕絕服服務(wù)務(wù)的的工工具具，，可可以以實(shí)實(shí)施施多多種種類類型型的的flood攻擊擊一一個(gè)個(gè)主主機(jī)機(jī)。。TFN2k由客戶戶端端和和主主機(jī)機(jī)駐駐留留程程序序組成成。?？蛻舳丝刂埔粋€(gè)個(gè)多個(gè)主機(jī)主流流程序，主機(jī)主主流程序序?qū)δ繕?biāo)主機(jī)機(jī)進(jìn)行flood?？蛻舳硕丝梢允故褂肬DP、TCP或ICMP與主機(jī)主主流程序序進(jìn)行通通訊，并并可以隱藏欺騙騙發(fā)包的的源IP地址。TFN2K介紹TFN2K是由由TFN發(fā)展而而來的，，在TFN所具具有的特特性上，，TFN2K又又新增一一些特性性，它的的主控端和和代理端端的網(wǎng)絡(luò)通通訊是經(jīng)經(jīng)過加密的，中間間還可能能混雜了了許多虛虛假數(shù)據(jù)據(jù)包，而而TFN對(duì)ICMP的的通訊沒有加密密。并且TFN2K可配配置的代代理端進(jìn)進(jìn)程端口口。DDoS攻擊特性性DDoS攻擊將將越來越越多地采采用IP欺騙的的技術(shù)；；DDoS攻擊呈呈現(xiàn)由單單一攻擊擊源發(fā)起起進(jìn)攻，，轉(zhuǎn)變?yōu)闉橛啥鄠€(gè)攻擊擊源對(duì)單一目目標(biāo)進(jìn)攻攻的趨勢(shì)勢(shì);DDoS攻擊將將會(huì)變得得越來越越智能化化，試圖圖躲過網(wǎng)網(wǎng)絡(luò)入侵侵檢測(cè)系系統(tǒng)的檢檢測(cè)跟蹤蹤，并試試圖繞過過防火墻墻防御體體系;針對(duì)路由由器的弱弱點(diǎn)的DDoS攻擊將將會(huì)增多多;DDoS攻擊利利用路由由器的多點(diǎn)傳送送功能可以將攻攻擊效果果擴(kuò)大若若干倍;基于不同同協(xié)議的的攻擊:--采用半連接技技術(shù)SYN攻攻擊，和和針對(duì)TCP/IP協(xié)協(xié)議先天天缺陷的的的ACK攻擊擊。--采用ICMP攻攻擊。--采用UDP攻擊擊。IP欺騙原理IP是網(wǎng)絡(luò)層層的一個(gè)個(gè)非面向向連接的的協(xié)議，，偽造IP地址相對(duì)對(duì)容易。。TCP三次握手手DoS攻擊序列號(hào)取取樣和猜猜測(cè)預(yù)防拋棄基于于地址的的信任策策略進(jìn)行包過過濾加密使用隨機(jī)機(jī)化初始始序列號(hào)號(hào)ARP欺騙實(shí)現(xiàn)簡(jiǎn)易易指定ARP包中的源源IP、目標(biāo)IP、源MAC、目標(biāo)MAC危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)絡(luò)異常共享環(huán)境境下的嗅嗅探技術(shù)術(shù)原理在以太網(wǎng)網(wǎng)中是基基于廣播播方式傳傳送數(shù)據(jù)據(jù)網(wǎng)卡置于于混雜模模式下可可以接收收所有經(jīng)經(jīng)的數(shù)據(jù)據(jù)工具Snifferpro、IRIS、tcpdump、snoop第四章網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)備的的安全配配置路由交換換設(shè)備安安全配置置關(guān)閉不必必要的設(shè)設(shè)備服務(wù)務(wù)使用強(qiáng)口口令或密密碼加強(qiáng)設(shè)備備訪問的的認(rèn)證與與授權(quán)升級(jí)設(shè)備備固件或或OS使用訪問問控制列列表限制制訪問使用訪問問控制表表限制數(shù)數(shù)據(jù)包類類型Cisco路由交換換的安全全配置使用加密密的強(qiáng)密密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)級(jí)密碼策策略(0~7)enablesecret6pa55wordprivilegeexec6show使用用戶戶密碼策策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由交換換安全配配置控制網(wǎng)絡(luò)絡(luò)線路訪訪問access-list8permit0access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)絡(luò)連接超超時(shí)Exec-timeout50以上措施施可以保保證路由由器的密密碼安全全Cisco路由交換換安全配配置禁用交換換機(jī)HTTP服務(wù)器noiphttpserver禁用CDP發(fā)掘協(xié)議議nocdprun禁用交換換機(jī)NTP服務(wù)器nontpenable如果用了了,需要要驗(yàn)證Ntpauthenticate-key10md5ntpkeyNtpserverseattlekey10禁用低端端口簡(jiǎn)單單服務(wù)noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務(wù)noservicefinger以上措施施可以降降低路由由器遭受受應(yīng)用層層攻擊的的風(fēng)險(xiǎn)Cisco路由交換換安全配配置禁用簡(jiǎn)單單網(wǎng)絡(luò)管管理協(xié)議議nosnmp-serverenable使用SNMPv3加強(qiáng)安全全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的的SNMPv1通訊關(guān)鍵鍵字snmp-servercommunityname以上三者者不可同同時(shí)使用用，如果果必要使使用SNMP安全性1>>2>>3Cisco路由交換換安全配配置認(rèn)證與日日志管理理logging設(shè)置與不不同的服服務(wù)相關(guān)關(guān)聯(lián)logging的不同級(jí)級(jí)別使用AAA加強(qiáng)設(shè)備備訪問控控制AAA概念日志管理理loggingonloggingserverCisco路由交換換安全配配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選選項(xiàng)noipsource-routeCisco路由交換換安全配配置啟用TCP截獲特性性防止DoS攻擊創(chuàng)建截獲獲訪問控控制列表表起用TCP截獲特性性設(shè)置門限限制設(shè)置丟棄棄模式Cisco路由交換換安全配配置使用訪問問控制列列表限制制訪問地地址使用訪問問控制列列表限定定訪問端端口使用訪問問控制列列表過濾濾特定類類型數(shù)據(jù)據(jù)包使用訪問問控制列列表限定定數(shù)據(jù)流流量使用訪問問控制列列表保護(hù)護(hù)內(nèi)部網(wǎng)網(wǎng)絡(luò)第五章對(duì)對(duì)網(wǎng)絡(luò)威威脅采取取的策略略拒絕服務(wù)務(wù)攻擊的的防御策策略第一種是是縮短SYNTimeout時(shí)間，由由于SYNFlood攻擊的效效果取決決于服務(wù)務(wù)器上保保持的SYN半連接數(shù)數(shù)，這個(gè)個(gè)值=SYN攻擊的頻頻度xSYNTimeout，所以通通過縮短短從接收收到SYN報(bào)文到確確定這個(gè)個(gè)報(bào)文無無效并丟丟棄該連連接的時(shí)時(shí)間，例例如設(shè)置置為20秒以下（（過低的的SYNTimeout設(shè)置可能能會(huì)影響響客戶的的正常訪訪問），，可以成成倍的降降低服務(wù)務(wù)器的負(fù)負(fù)荷.第二種方方法是設(shè)設(shè)置SYNCookie，就是給給每一個(gè)個(gè)請(qǐng)求連連接的IP地址分配配一個(gè)Cookie，如果短時(shí)間內(nèi)內(nèi)連續(xù)受受到某個(gè)個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定定是受到到了攻擊擊，以后后從這個(gè)個(gè)IP地址來的的包會(huì)被被一概丟丟棄。SynFlood解決辦法法動(dòng)態(tài)分析析受到攻擊擊時(shí)在線線分析TCPSYN報(bào)文的所所有細(xì)節(jié)節(jié)。如源源地址、、IP首部中的的標(biāo)識(shí)、、TCP首部中的的序列號(hào)號(hào)、TTL值等，特特別是TTL值，如果果大量的的攻擊包包似乎來來自不同同的IP但是TTL值卻相同同，往往能能推斷出出攻擊者者與目標(biāo)標(biāo)之間的的路由器器距離，，至少也也可以通通過過濾特定定TTL值的報(bào)文降降低被攻攻擊系統(tǒng)統(tǒng)的負(fù)荷荷（在這這種情況況下TTL值與攻擊擊報(bào)文不不同的用用戶就可可以恢復(fù)復(fù)正常訪訪問）網(wǎng)絡(luò)設(shè)備備配合SynFlood其它辦法法SynFlood其它辦法法負(fù)載均衡衡基于DNS解析的負(fù)負(fù)載均衡衡本身就就擁有對(duì)對(duì)SYNFlood的免疫力力，基于于DNS解析的負(fù)負(fù)載均衡衡能將用用戶的請(qǐng)求分配配到不同同IP的服務(wù)器器主機(jī)上，，SYNFlood程序有兩兩種攻擊擊方式，，基于IP的和基于于域名的，前者者是攻擊擊者自己己進(jìn)行域域名解析析并將IP地址傳遞遞給攻擊擊程序，，后者是是攻擊程程序自動(dòng)動(dòng)進(jìn)行域域名解析析，但是是它們有有一點(diǎn)是是相同的的，就是是一旦攻攻擊開始始，將不不會(huì)再進(jìn)進(jìn)行域名名解析。。攻擊者者攻擊的的永遠(yuǎn)只只是其中中一臺(tái)服務(wù)務(wù)器。檢測(cè)DDoS攻擊根據(jù)異常常情況分分析訪問量突突然劇增增，經(jīng)過過sniffer分析析，有大大量的非非正常的的包，如如沒有正正常的tcp三三次握手手，或者者是三次次握手后后沒有正正常的關(guān)關(guān)閉連接接，或者者大量的的廣播包包，或者者大量的的icmp包，，這說明明極其有有可能是是遭受DDoS攻擊。。外部訪問問突然變變慢，或或者訪問問不到，，可是主主機(jī)的訪訪問量卻卻不大，，這很有有可能是是路由器器的配置置出現(xiàn)問問題，詢?cè)儐栆幌孪率欠裼杏腥藢?duì)路路由器等等設(shè)備進(jìn)進(jìn)行過操操作，或或者你的的對(duì)等ISP的的線路出出現(xiàn)問題題。主機(jī)突然然反應(yīng)很很遲鈍。。這要經(jīng)經(jīng)過sniffer進(jìn)進(jìn)行偵聽聽，這有有兩種可可能，一一種是流流量確實(shí)實(shí)很大，，有可能是是遭受DoS攻擊，，還有就就是應(yīng)用用程序編編寫有誤誤，導(dǎo)致致系統(tǒng)資資源耗盡盡。DDoS攻擊的對(duì)對(duì)策與網(wǎng)絡(luò)服服務(wù)提供供商協(xié)作作能否與上上一級(jí)的的網(wǎng)絡(luò)主主干服務(wù)務(wù)提供商商進(jìn)行良良好的合合作是非非常重要要的事情情。DDoS攻攻擊對(duì)帶帶寬的使使用是非非常嚴(yán)格格的，無無論使用用什么方方法都無無法使自自己的網(wǎng)網(wǎng)絡(luò)對(duì)它它的上一一級(jí)進(jìn)行行控制。。最好能能夠與網(wǎng)絡(luò)服務(wù)務(wù)供應(yīng)商商進(jìn)行協(xié)協(xié)商，請(qǐng)求他他們幫助助實(shí)現(xiàn)路由的訪訪問控制制，以實(shí)現(xiàn)現(xiàn)對(duì)帶寬寬總量的的限制以以及不同同的訪問問地址在在同一時(shí)時(shí)間對(duì)帶帶寬的占占有率。。最好請(qǐng)請(qǐng)求服務(wù)務(wù)提供商商幫監(jiān)視網(wǎng)絡(luò)絡(luò)流量，并在遭遭受攻擊擊時(shí)允許訪問問他們的的路由器器。DDoS攻擊的對(duì)對(duì)策安裝IDS和監(jiān)監(jiān)控異常常流量。。在防衛(wèi)攻攻擊方面面，安裝裝IDS可以發(fā)發(fā)現(xiàn)是否否有入侵侵行動(dòng)正正在進(jìn)行行，立即即對(duì)入侵侵行動(dòng)進(jìn)進(jìn)行報(bào)警警。以最最快時(shí)間間內(nèi)對(duì)入入侵做成成反應(yīng)。。此外，，也要時(shí)時(shí)常監(jiān)控控網(wǎng)絡(luò)流流量，注注意是否否有異常常的流量量產(chǎn)生。。(IDS操作)優(yōu)化對(duì)外外提供服服務(wù)的主主機(jī)對(duì)于潛在在的有可可能遭受受攻擊的的主機(jī)也也要同樣樣進(jìn)行設(shè)設(shè)置保護(hù)護(hù)。在服服務(wù)器上上禁止一一切不必要的的服務(wù)，打補(bǔ)丁，進(jìn)行安安全配置置。此外外，用防防火墻對(duì)對(duì)提供服服務(wù)的主主機(jī)進(jìn)行行保護(hù)，，對(duì)訪問問量大的的主機(jī)進(jìn)進(jìn)行負(fù)載均衡衡。將網(wǎng)站站分布在在多個(gè)不不同的物物理主機(jī)機(jī)上，這這樣每一一臺(tái)主機(jī)機(jī)只包含含了網(wǎng)站站的一部部分，防防止了網(wǎng)網(wǎng)站在遭遭受攻擊擊時(shí)全部部癱瘓。。DDoS攻擊的的對(duì)策策立即啟啟動(dòng)應(yīng)應(yīng)付策策略，，盡可可能快快的向向回追追蹤攻攻擊包包如果發(fā)發(fā)現(xiàn)攻攻擊并并非來來自內(nèi)內(nèi)部應(yīng)應(yīng)當(dāng)立立即與與服務(wù)務(wù)提供供商取取得聯(lián)聯(lián)系。。由于于攻擊擊包的的源地址址很有有可能能是被被攻擊擊者偽偽裝的，因因此不不必過過分的的相信信該地地址。。應(yīng)當(dāng)當(dāng)迅速速的判判斷是是否遭遭到了了拒絕絕服務(wù)務(wù)攻擊擊，因因?yàn)樵谠诠魮敉Ｖ怪购?，，只有有很短短的一一段時(shí)時(shí)間您您可以以向回回追蹤蹤攻擊擊包，，這最最好和和安全全公司司或組組織一一道來來追查查攻擊擊者。。與信息息安全全監(jiān)察察部門門聯(lián)系系由于系系統(tǒng)日日志屬屬于電電子證證據(jù)，，可以以被非非法修修改。。所以以一旦旦攻擊擊發(fā)生生，應(yīng)應(yīng)該及及時(shí)與與信息息安全全監(jiān)察察部門門聯(lián)系系，及及時(shí)提提供系系統(tǒng)日日志作作為證證據(jù)保保全，，以利利于追追查和和起訴訴攻擊擊者，，便于于日后后用法法律手手段追追回經(jīng)經(jīng)濟(jì)損損失DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方法限制SYN數(shù)據(jù)包連接接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預(yù)防方法InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方法入口數(shù)據(jù)包包必須來自自客戶地址址確保檢查入入口數(shù)據(jù)包包有效DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳傳送反向路路徑檢查數(shù)據(jù)包包地返回路路徑是否使使用與到達(dá)達(dá)相同接口口，以緩解解某些欺騙騙數(shù)據(jù)包需要路由CEF（快速向前前傳輸）特特性第六章IPSec與VPN技術(shù)IPSec與VPN技術(shù)VPN技術(shù)虛擬專用網(wǎng)網(wǎng)（VirtualPrivateNetwork）：在公眾網(wǎng)絡(luò)絡(luò)上所建立立的企業(yè)網(wǎng)網(wǎng)絡(luò)，且此此企業(yè)網(wǎng)絡(luò)絡(luò)擁有與專專用網(wǎng)絡(luò)相相同的安全全、管理及及功能等特特點(diǎn)。采用VPN的原因費(fèi)用安全性VPN協(xié)議—隧道協(xié)議第二層隧道道協(xié)議PPTP(Point-to-PointTunnelingProtocol)L2F(Layer2Forwarding)L2TP(Layer2TunnelingProtocol)第三層隧道道協(xié)議GREIPSecPPTP將其他協(xié)議議和數(shù)據(jù)封封裝于IP網(wǎng)絡(luò)；該方方式用在公公共的Internet創(chuàng)建VPN，遠(yuǎn)端用戶戶能夠透過過任何支持持PPTP的ISP訪問公司的的專用網(wǎng)絡(luò)絡(luò)。此協(xié)議議由Microsoft開發(fā)，與Windows95和NT集成很好。。在數(shù)據(jù)安安全性方面面，此協(xié)議議使用40bit或128bitRC4的加密算法法。L2TPIETF所制定的在在Internet上創(chuàng)建VPN的協(xié)議。它它支持非IP的協(xié)議，例例如：AppleTalk和IPX,還有非IP的協(xié)議，例例如：AppleTalk和IPX，還有非IPSec的安全協(xié)議議。這個(gè)協(xié)協(xié)議是在PPTP和L2F的技術(shù)之上上所制定的的標(biāo)準(zhǔn)InternetTunnel協(xié)議。在數(shù)數(shù)據(jù)安全方方面，建議議使用IPSec作為加密方方式。IPSecIETF所制定的安安全協(xié)議。。它可以在在Internet網(wǎng)上提供Tunnel封裝、數(shù)據(jù)據(jù)驗(yàn)證和數(shù)數(shù)據(jù)亂碼加加密的服務(wù)務(wù)。IPSec工作在網(wǎng)絡(luò)絡(luò)協(xié)議棧的的第三層，，并且支持持IPV6，使用DES（56-bit）或TripleDES(112-bit)加密方式。。IPSec分兩種工作作方式：Tunnel模式（tunnel服務(wù)和加密密服務(wù)同時(shí)時(shí)提供）和和Transport模式（只提提供加密服服務(wù)，不提提供Tunnel）IPSec工作模式傳輸模式在IPSec之前在IPSec*之后IP有效載荷IP頭內(nèi)部受保護(hù)的數(shù)據(jù)IP有效載荷IP頭IPSec

頭線上傳輸保護(hù)TCP/UDP/ICMP有效負(fù)載用于LAN的IPSec傳輸模式點(diǎn)對(duì)點(diǎn)通信信對(duì)保護(hù)工作作組通信非非常有效B:A:LANIPSec工作模式隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保護(hù)IP包頭和IP負(fù)載可適用于兩兩者,隱藏內(nèi)部IP地址,協(xié)議類型和和端口號(hào)加密在IPSec之前在IPSec*之后用于WAN的IPSec隧道模式通過WAN把私有地址址空間擴(kuò)展展到任意地地方跨WAN保證私有性性,完整性和身身份驗(yàn)證ISPVPNGatewayInternetB:C:1D:A:經(jīng)過隧道的的私有地址址可路由的公公有地址隧道和傳輸輸模式相結(jié)結(jié)合通過WAN的安全隧道道和通過LAN的安全傳輸輸相結(jié)合而而對(duì)LAN和WAN實(shí)現(xiàn)一個(gè)統(tǒng)統(tǒng)一的安全全策略建筑的內(nèi)外外有一致的的安全性ISPVPNGatewayInternet

B:A:主機(jī)間的傳輸C:1

D:通過WAN的隧道VPN網(wǎng)絡(luò)架構(gòu)告電安全隧道公共網(wǎng)絡(luò)FR/DDN/X.25分支機(jī)構(gòu)子網(wǎng)分支機(jī)構(gòu)子網(wǎng)管理中心子網(wǎng)VPN網(wǎng)關(guān)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)NEsec300CA警內(nèi)網(wǎng)接口外網(wǎng)接口源認(rèn)證服務(wù)器管理器VPN的特點(diǎn)解決了企業(yè)業(yè)進(jìn)行遠(yuǎn)程程通訊必須須購(gòu)置專用用遠(yuǎn)程訪問問服務(wù)器，，必須使用用租用線路路的高成本本、低擴(kuò)展展性的問題題。將遠(yuǎn)程網(wǎng)絡(luò)絡(luò)主干的通通訊的軟硬硬件維護(hù)的的任務(wù)交給給ISP管理，大大大減少企業(yè)業(yè)為了管理理網(wǎng)絡(luò)所投投入的人力力和物力，，減少了企企業(yè)的管理理成本。利用點(diǎn)對(duì)點(diǎn)點(diǎn)等隧道協(xié)協(xié)議（PPP）以及第二二層隧道協(xié)協(xié)議（L2TP）可以實(shí)現(xiàn)現(xiàn)多點(diǎn)建立立VPN，使得用戶戶可以開通通多個(gè)VPN，以便同時(shí)時(shí)訪問Internet和企業(yè)網(wǎng)絡(luò)絡(luò)。采用Microsoft的點(diǎn)對(duì)點(diǎn)加加密協(xié)議（（MPPE）以及安全全I(xiàn)P標(biāo)準(zhǔn)（IPsec）和密匙可可以實(shí)現(xiàn)VPN的安全策略略。問題？9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹，燈下白頭頭人。。17:32:0417:32:0417:3212/20/20225:32:04PM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2217:32:0417:32Dec-2220-Dec-2212、故人江海海別，幾度度隔山川。。。17:32:0417:32