網(wǎng)絡(luò)安全概述

1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全面臨的問(wèn)題網(wǎng)絡(luò)安全的客觀必要性常見(jiàn)的網(wǎng)絡(luò)信息攻擊模式網(wǎng)絡(luò)安全保障體系網(wǎng)絡(luò)安全工作的目的2什么是網(wǎng)絡(luò)安全（五要素）可用性：授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)機(jī)密性：信息不暴露給未授權(quán)實(shí)體或進(jìn)程完整性：保證數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段3網(wǎng)絡(luò)安全的內(nèi)容物理安全網(wǎng)絡(luò)安全傳輸安全應(yīng)用安全用戶安全4網(wǎng)絡(luò)安全面臨的問(wèn)題來(lái)源:CSI/FBIComputerCrimeSurvey,March1998.21%48%72%89%外國(guó)政府競(jìng)爭(zhēng)對(duì)手黑客不滿的雇員5網(wǎng)絡(luò)安全威脅的來(lái)源

1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人；

2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問(wèn)某些數(shù)據(jù)、程序或資源，它包括： -冒名頂替:使用別人的用戶名和口令進(jìn)行操作；-隱蔽用戶:逃避審計(jì)和訪問(wèn)控制的用戶；

3.濫用職權(quán)者:被授權(quán)使用計(jì)算機(jī)和訪問(wèn)系統(tǒng)資源，但濫用職權(quán)者。6冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽(tīng)偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型7網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)

網(wǎng)上犯罪形勢(shì)不容樂(lè)觀

有害信息污染嚴(yán)重網(wǎng)絡(luò)病毒的蔓延和破壞

網(wǎng)上黑客無(wú)孔不入

機(jī)要信息流失與信息間諜潛入

網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán)

信息戰(zhàn)的陰影不可忽視

互聯(lián)網(wǎng)正以巨大的力度和廣度

沖擊和改造著社會(huì)、經(jīng)濟(jì)、生活的傳統(tǒng)模式互聯(lián)網(wǎng)正在成為社會(huì)公眾強(qiáng)烈依賴的社會(huì)重要基礎(chǔ)設(shè)施互聯(lián)網(wǎng)安全正在成為普遍關(guān)注的焦點(diǎn)8網(wǎng)上犯罪形勢(shì)不容樂(lè)觀計(jì)算機(jī)犯罪以100%的速度增加網(wǎng)上攻擊事件每年以10倍速度增漲銀行的電子購(gòu)物賬戶密碼曝光事件增多2000年2月7日攻擊美國(guó)知名網(wǎng)站案件：

損失$12億，影響百萬(wàn)網(wǎng)民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet網(wǎng)上勒索、詐騙不斷：

用戶信用卡被曝光美國(guó)網(wǎng)絡(luò)安全造成損失$170億/年美國(guó)金融界計(jì)算機(jī)犯罪損失$100億/年9有害信息污染嚴(yán)重黃色信息：涉及1%網(wǎng)站，10億美元年?duì)I業(yè)額邪教信息：法輪功160多個(gè)反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚(yáng)暴力：炸藥配方、幫助自殺政治攻擊：考克斯報(bào)告、政治演變論10網(wǎng)絡(luò)病毒的的蔓延和破破壞10年內(nèi)以以幾何級(jí)數(shù)數(shù)增長(zhǎng)病毒達(dá)55000種種（2000.12亞洲計(jì)計(jì)算機(jī)反病病毒大會(huì)））網(wǎng)絡(luò)病毒有有更大的破破壞性1988年年莫里斯事事件（UNIX/Email）6000臺(tái)臺(tái)、$9000萬(wàn)1998年年4月的CIH病毒毒2000萬(wàn)萬(wàn)臺(tái)計(jì)算機(jī)機(jī)1999年年2月的梅梅利莎案件件（Window/Email）$12億2000年年5月4日日的我愛(ài)你你病毒$87億億2001年7、、8月紅紅色代碼碼（CodeRed））到目前前為止$26億億11網(wǎng)上黑客客無(wú)孔不不入美國(guó)網(wǎng)絡(luò)絡(luò)屢遭掃掃蕩軍事、政政治、經(jīng)經(jīng)濟(jì)美國(guó)五角角大樓情情報(bào)網(wǎng)絡(luò)絡(luò)、美國(guó)國(guó)海軍研研究室、、空軍、、美國(guó)中中央情報(bào)報(bào)局、許許多貿(mào)易易及金融融機(jī)構(gòu)都都有被黑黑的歷史史全球網(wǎng)絡(luò)絡(luò)危機(jī)四四伏非法侵入入、破壞壞系統(tǒng)、、竊取機(jī)機(jī)密中國(guó)網(wǎng)絡(luò)絡(luò)不斷被被侵入五一中美美黑客大大戰(zhàn)800多網(wǎng)網(wǎng)站被黑黑黑客是一些發(fā)發(fā)自好奇奇、尋求求刺激、、富有挑挑戰(zhàn)的家家伙是一群以以攻擊網(wǎng)網(wǎng)絡(luò)，搜搜尋并破破壞信息息為了的的無(wú)賴；；是一幫為為了揚(yáng)名名，專與與政府作作對(duì)的極極端分子子；是一些恐恐怖主義義分子或或政治、、軍事、、商業(yè)和和科技間間諜。12機(jī)要信息息流失與與信息間間諜潛入入國(guó)家機(jī)密密信息、、企業(yè)關(guān)關(guān)鍵信息息、個(gè)人人隱私Web發(fā)發(fā)布、電電子郵件件、文件件傳送的的泄漏預(yù)謀性竊竊取政治治和經(jīng)濟(jì)濟(jì)情報(bào)CIA統(tǒng)統(tǒng)計(jì)入侵侵美國(guó)要要害系統(tǒng)統(tǒng)的案件件年增長(zhǎng)率率為30%我國(guó)信息息網(wǎng)絡(luò)發(fā)發(fā)展必然然成為其其重要目目標(biāo)13網(wǎng)絡(luò)安全全產(chǎn)品的的自控權(quán)權(quán)安全產(chǎn)品品隱通道、、嵌入病病毒、缺缺陷、可可恢復(fù)密密鑰大量外購(gòu)購(gòu)安全產(chǎn)產(chǎn)品缺少少自控權(quán)權(quán)我國(guó)缺少少配套的的安全產(chǎn)產(chǎn)品控制制政策和和機(jī)制我國(guó)安全全產(chǎn)業(yè)還還比較稚稚嫩是重大安安全隱患患之一14信息戰(zhàn)的的陰影不不可忽視視有組織、、大規(guī)模模的網(wǎng)絡(luò)絡(luò)攻擊預(yù)預(yù)謀行為為：國(guó)家級(jí)、、集團(tuán)級(jí)級(jí)無(wú)硝煙的戰(zhàn)爭(zhēng)爭(zhēng)：跨國(guó)界、隱蔽蔽性、低花費(fèi)費(fèi)、跨領(lǐng)域高技術(shù)性、情情報(bào)不確定性性美國(guó)的“信息息戰(zhàn)執(zhí)行委員員會(huì)”：網(wǎng)絡(luò)防護(hù)中心心（1999年）信息作戰(zhàn)中心心（2000年）網(wǎng)絡(luò)攻擊演練練（2000年）要害目標(biāo)：金融支付中心心、證券交易易中心空中交管中心心、鐵路調(diào)度度中心電信網(wǎng)管中心心、軍事指揮揮中心15網(wǎng)絡(luò)的脆弱性性網(wǎng)絡(luò)的擴(kuò)展與與業(yè)務(wù)負(fù)荷膨膨脹：信息量半年長(zhǎng)長(zhǎng)一倍，網(wǎng)民民年增漲30%網(wǎng)絡(luò)帶寬瓶頸頸和信息擁擠擠社會(huì)與經(jīng)濟(jì)對(duì)對(duì)網(wǎng)絡(luò)的巨大大經(jīng)濟(jì)依賴性性：20%股市、、25%產(chǎn)品品、30%金金融、40%人口災(zāi)難情況下的的網(wǎng)絡(luò)脆弱性性“AOL”96年10小小時(shí)癱瘓：影響700萬(wàn)萬(wàn)用戶安全的模糊性性網(wǎng)絡(luò)絡(luò)的開(kāi)放性技術(shù)的公開(kāi)性性人類的的天性16安全的模糊性性安全是相對(duì)的的，不易明確確安全的目標(biāo)標(biāo)安全是復(fù)雜的的，不易認(rèn)清清存在的問(wèn)題題安全是廣泛的的，不易普及及安全的知識(shí)識(shí)安全鏈條：鏈鏈條的強(qiáng)度等等于其最弱一一環(huán)的強(qiáng)度（（木桶原理：：網(wǎng)絡(luò)安全最最薄弱之處好好比木桶壁上上最短的木塊塊，也是黑客客對(duì)網(wǎng)絡(luò)攻擊擊的首選之處處。）17網(wǎng)絡(luò)的開(kāi)放性性互聯(lián)機(jī)制提供供了廣泛的可可訪問(wèn)性Client-Server模式提提供了明確的的攻擊目標(biāo)開(kāi)放的網(wǎng)絡(luò)協(xié)協(xié)議和操作系系統(tǒng)為入侵提提供了線索用戶的匿名性性為攻擊提供供了機(jī)會(huì)18技術(shù)的公開(kāi)性性如果不能集思思廣益，自由由地發(fā)表對(duì)系系統(tǒng)的建議，，則會(huì)增加系系統(tǒng)潛在的弱弱點(diǎn)被忽視的的危險(xiǎn)，因此此Internet要求求對(duì)網(wǎng)絡(luò)安全全問(wèn)題進(jìn)行坦坦率公開(kāi)地討討論。基于上述原則則，高水平的的網(wǎng)絡(luò)安全資資料與工具在在Internet中可可自由獲得。。19人類的天性好奇心這扇門(mén)為什么么鎖上，我能能打開(kāi)嗎？惰性和依賴心心理安全問(wèn)題應(yīng)由由專家來(lái)關(guān)心心恐懼心理家丑不可外揚(yáng)揚(yáng)20網(wǎng)絡(luò)攻擊形式式按網(wǎng)絡(luò)服務(wù)分分：E-Mail、FTP、、Telnet、R服務(wù)、IIS按技術(shù)途徑分分：口令攻擊、Dos攻擊、、種植木馬按攻擊目的分分：數(shù)據(jù)竊取、偽偽造濫用資源源、篡改數(shù)據(jù)據(jù)21主要要攻攻擊擊與與威威脅脅———十十大大攻攻擊擊手手段段1.Dos：：使目目標(biāo)標(biāo)系系統(tǒng)統(tǒng)或或網(wǎng)網(wǎng)絡(luò)絡(luò)無(wú)無(wú)法法提提供供正正常常服服務(wù)務(wù)網(wǎng)絡(luò)絡(luò)Flooding:synflooding、、pingflooding、、DDos系統(tǒng)統(tǒng)Crash:Pingofdeath、、淚淚滴滴、、land、、WinNuke應(yīng)用用Crash/Overload：：利用用應(yīng)應(yīng)用用程程序序缺缺陷陷，，如如長(zhǎng)長(zhǎng)郵郵件件2.掃描描探探測(cè)測(cè)：：系統(tǒng)統(tǒng)弱弱點(diǎn)點(diǎn)探探察察SATAN、、ISS、、CybercopScanner、、ping（嗅嗅探探加加密密口口令令,口口令令文文件件)223.口令令攻攻擊擊:弱口口令令口令令竊竊取?。海盒崽教狡髌?、、偷偷窺窺、、社社會(huì)會(huì)工工程程（（垃垃圾圾、、便便條條、、偽偽裝裝查查詢?cè)儯┛诹盍畈虏聹y(cè)測(cè)：：常用用字字——無(wú)無(wú)法法獲獲得得加加密密的的口口令令-強(qiáng)強(qiáng)力力攻攻擊擊口令令Crack：：字典典猜猜測(cè)測(cè)、、字字典典攻攻擊擊——可可獲獲得得加加密密的的口口令令（（嗅嗅探探加加密密口口令令,口口令令文文件件)4.獲取取權(quán)權(quán)限限，，提提升升權(quán)權(quán)限限（root/administrator））猜/crackroot口口令令、、緩緩沖沖區(qū)區(qū)溢溢出出、、利利用用NT注注冊(cè)冊(cè)表表、、訪訪問(wèn)問(wèn)和和利利用用高高權(quán)權(quán)限限控控制制臺(tái)臺(tái)、、利利用用啟啟動(dòng)動(dòng)文文件件、、利利用用系系統(tǒng)統(tǒng)或或應(yīng)應(yīng)用用Bugs5.插入入惡惡意意代代碼碼:病毒毒、、特特洛洛伊伊木木馬馬（（BO)、、后后門(mén)門(mén)、、惡惡意意Applet236.網(wǎng)絡(luò)絡(luò)破破壞壞：：主頁(yè)頁(yè)篡篡改改、、文文件件刪刪除除、、毀毀壞壞OS、、格格式式化化磁磁盤(pán)盤(pán)7.數(shù)據(jù)據(jù)竊竊取?。海好舾懈袛?shù)數(shù)據(jù)據(jù)拷拷貝貝、、監(jiān)監(jiān)聽(tīng)聽(tīng)敏敏感感數(shù)數(shù)據(jù)據(jù)傳傳輸輸---共共享享媒媒介介/服服務(wù)務(wù)器器監(jiān)監(jiān)聽(tīng)聽(tīng)/遠(yuǎn)遠(yuǎn)程程監(jiān)監(jiān)聽(tīng)聽(tīng)RMON8.偽造造、、浪浪費(fèi)費(fèi)與與濫濫用用資資源源：：違規(guī)規(guī)使使用用9.篡改改審審計(jì)計(jì)數(shù)數(shù)據(jù)據(jù):刪除除、、修修改改、、權(quán)權(quán)限限改改變變、、使使審審計(jì)計(jì)進(jìn)進(jìn)程程失失效效10.安全全基基礎(chǔ)礎(chǔ)攻攻擊擊：：防火火墻墻、、路路由由、、帳帳戶戶修修改改，，文文件件權(quán)權(quán)限限修修改改。。24我國(guó)國(guó)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全現(xiàn)現(xiàn)狀狀硬件件設(shè)設(shè)備備上上嚴(yán)嚴(yán)重重依依賴賴國(guó)國(guó)外外網(wǎng)絡(luò)絡(luò)安安全全管管理理存存在在漏漏洞洞網(wǎng)絡(luò)絡(luò)安安全全問(wèn)問(wèn)題題還還沒(méi)沒(méi)有有引引起起人人們們的的廣廣泛泛重重視視安全全技技術(shù)術(shù)有有待待研研究究美國(guó)國(guó)和和西西方方國(guó)國(guó)家家對(duì)對(duì)我我過(guò)過(guò)進(jìn)進(jìn)行行破破壞壞、、滲滲透透和和污污染染啟動(dòng)動(dòng)了了一一些些網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全研研究究項(xiàng)項(xiàng)目目建立立一一批批國(guó)國(guó)家家網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施25Hacker(黑客）MMMMaster(主攻手）zzzzzzzzZombie（僵尸）Target（目標(biāo)機(jī)）美2.7黑黑客客案案件件的的攻攻擊擊方方式式分布布式式拒拒決決服服務(wù)務(wù)（（DDoS））26美國(guó)國(guó)2.7黑黑客客事事件件的的啟啟示示互聯(lián)聯(lián)網(wǎng)網(wǎng)正正在在成成為為國(guó)國(guó)家家重重要要基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施9800萬(wàn)萬(wàn)網(wǎng)網(wǎng)民民3000萬(wàn)萬(wàn)人人參參予予網(wǎng)網(wǎng)上上購(gòu)購(gòu)物物，，$1000億億元元交交易易額額14%的的股股市市交交易易互聯(lián)聯(lián)網(wǎng)網(wǎng)威威脅脅給給社社會(huì)會(huì)帶帶來(lái)來(lái)巨巨大大沖沖擊擊CNN的的100萬(wàn)萬(wàn)網(wǎng)網(wǎng)民民閱閱讀讀網(wǎng)網(wǎng)絡(luò)絡(luò)新新聞聞受受阻阻Amason的820萬(wàn)萬(wàn)注注冊(cè)冊(cè)用用戶戶無(wú)無(wú)法法購(gòu)購(gòu)書(shū)書(shū)3天天總總損損失失高高達(dá)達(dá)$12億億互聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全問(wèn)問(wèn)題題正正在在進(jìn)進(jìn)入入國(guó)國(guó)家家戰(zhàn)戰(zhàn)略略層層克林林頓頓2月月16日日召召開(kāi)開(kāi)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全高高峰峰會(huì)會(huì)議議支持持$900萬(wàn)萬(wàn)建建立立高高科科技技安安全全研研究究所所拔款款$20億億建建基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施打打擊擊網(wǎng)網(wǎng)絡(luò)絡(luò)恐恐怖怖活活動(dòng)動(dòng)27值得深深思的的幾個(gè)個(gè)問(wèn)題題網(wǎng)絡(luò)安安全的的全局局性戰(zhàn)戰(zhàn)略黑客工工具的的公開(kāi)開(kāi)化對(duì)對(duì)策網(wǎng)絡(luò)安安全的的預(yù)警警體系系應(yīng)急反反應(yīng)隊(duì)隊(duì)伍的的建設(shè)設(shè)28傳統(tǒng)安安全觀觀念受受到挑挑戰(zhàn)網(wǎng)絡(luò)是是變化化的、、風(fēng)險(xiǎn)險(xiǎn)是動(dòng)動(dòng)態(tài)的的傳統(tǒng)安安全觀觀側(cè)重重策略略的技技術(shù)實(shí)實(shí)現(xiàn)現(xiàn)代安安全觀觀強(qiáng)調(diào)調(diào)安全全的整整體性性，安安全被被看成成一一個(gè)與與環(huán)境境相互互作用用的動(dòng)動(dòng)態(tài)循循環(huán)過(guò)過(guò)程29網(wǎng)絡(luò)安安全策策略網(wǎng)絡(luò)安安全是是一個(gè)個(gè)系統(tǒng)統(tǒng)的概概念，，可靠靠的網(wǎng)網(wǎng)絡(luò)安安全解解決方方案必必須建建立在在集成成網(wǎng)絡(luò)絡(luò)安全全技術(shù)術(shù)的基基礎(chǔ)上上，網(wǎng)網(wǎng)絡(luò)系系統(tǒng)安安全策策略就就是基基于這這種技技術(shù)集集成而而提出出的，，主要要有三三種：：1直直接風(fēng)風(fēng)險(xiǎn)控控制策策略（（靜態(tài)態(tài)防御御）安全=風(fēng)險(xiǎn)險(xiǎn)分析析+安安全規(guī)規(guī)則+直接接的技技術(shù)防防御體體系+安全全監(jiān)控控攻擊手手段是是不斷斷進(jìn)步步的，，安全全漏洞洞也是是動(dòng)態(tài)態(tài)出現(xiàn)現(xiàn)的，，因此此靜態(tài)態(tài)防御御下的的該模模型存存在著著本質(zhì)質(zhì)的缺缺陷。。2自自適應(yīng)應(yīng)網(wǎng)絡(luò)絡(luò)安全全策略略（動(dòng)動(dòng)態(tài)性性）安全=風(fēng)險(xiǎn)險(xiǎn)分析析+執(zhí)執(zhí)行策策略+系統(tǒng)統(tǒng)實(shí)施施+漏漏洞分分析+實(shí)時(shí)時(shí)響應(yīng)應(yīng)該策略略強(qiáng)調(diào)調(diào)系統(tǒng)統(tǒng)安全全管理理的動(dòng)動(dòng)態(tài)性性，主主張通通過(guò)安安全性性檢測(cè)測(cè)、漏漏洞監(jiān)監(jiān)測(cè)，，自適適應(yīng)地地填充充“安安全間間隙””，從從而提提高網(wǎng)網(wǎng)絡(luò)系系統(tǒng)的的安全全性。。完善善的網(wǎng)網(wǎng)絡(luò)安安全體體系，，必須須合理理協(xié)調(diào)調(diào)法律律、技技術(shù)和和管理理三種種因素素，集集成防防護(hù)、、監(jiān)控控和恢恢復(fù)三三種技技術(shù)，，力求求增強(qiáng)強(qiáng)網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)的健健壯性性與免免疫力力。局局限性性在于于：只只考慮慮增強(qiáng)強(qiáng)系統(tǒng)統(tǒng)的健健壯性性，僅僅綜合合了技技術(shù)和和管理理因素素，僅僅采用用了技技術(shù)防防護(hù)。。30網(wǎng)絡(luò)安全策策略（續(xù)））3智能網(wǎng)網(wǎng)絡(luò)系統(tǒng)安安全策略（（動(dòng)態(tài)免疫疫力）安全=風(fēng)險(xiǎn)險(xiǎn)分析+安安全策略+技術(shù)防御御體系+攻攻擊實(shí)時(shí)檢檢測(cè)+安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復(fù)+系統(tǒng)統(tǒng)學(xué)習(xí)進(jìn)化化技術(shù)防御體體系包括漏漏洞檢測(cè)和和安全縫隙隙填充；安安全跟蹤是是為攻擊證證據(jù)記錄服服務(wù)的，系系統(tǒng)學(xué)習(xí)進(jìn)進(jìn)化是旨在在改善系統(tǒng)統(tǒng)性能而引引入的智能能反饋機(jī)制制。模型中，““風(fēng)險(xiǎn)分析析+安全策策略”體現(xiàn)現(xiàn)了管理因因素；“技技術(shù)防御體體系+攻擊擊實(shí)時(shí)檢測(cè)測(cè)+系統(tǒng)數(shù)數(shù)據(jù)恢復(fù)+系統(tǒng)學(xué)習(xí)習(xí)進(jìn)化”體體現(xiàn)了技術(shù)術(shù)因素；技技術(shù)因素綜綜合了防護(hù)護(hù)、監(jiān)控和和恢復(fù)技術(shù)術(shù)；“安全全跟蹤+系系統(tǒng)數(shù)據(jù)恢恢復(fù)+系統(tǒng)統(tǒng)學(xué)習(xí)進(jìn)化化”使系統(tǒng)統(tǒng)表現(xiàn)出動(dòng)動(dòng)態(tài)免疫力力。31網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）隨著信息網(wǎng)網(wǎng)絡(luò)的飛速速發(fā)展，信信息網(wǎng)絡(luò)的的安全防護(hù)護(hù)技術(shù)已逐逐漸成為一一個(gè)新興的的重要技術(shù)術(shù)領(lǐng)域，并并且受到政政府、軍隊(duì)隊(duì)和全社會(huì)會(huì)的高度重重視。隨著著我國(guó)政府府、金融等等重要領(lǐng)域域逐步進(jìn)入入信息網(wǎng)絡(luò)絡(luò)，國(guó)家的的信息網(wǎng)絡(luò)絡(luò)已成為繼繼領(lǐng)土、領(lǐng)領(lǐng)海、領(lǐng)空空之后的又又一個(gè)安全全防衛(wèi)領(lǐng)域域，逐漸成成為國(guó)家安安全的最高高價(jià)值目標(biāo)標(biāo)之一。可可以說(shuō)信息息網(wǎng)絡(luò)的安安全與國(guó)家家安全密切切相關(guān)。32網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）最近安全專專家提出了了信息保障障體系的新新概念，即即：為了保保障網(wǎng)絡(luò)安安全，應(yīng)重重視提高系系統(tǒng)的入侵侵檢測(cè)能力力、事件反反應(yīng)能力和和遭破壞后后的快速恢恢復(fù)能力。。信息保障障有別于傳傳統(tǒng)的加密密、身份認(rèn)認(rèn)證、訪問(wèn)問(wèn)控制、防防火墻等技技術(shù)，它強(qiáng)強(qiáng)調(diào)信息系系統(tǒng)整個(gè)生生命周期的的主動(dòng)防御御。美國(guó)在在信息保障障方面的一一些舉措,如：成立立關(guān)鍵信息息保障辦公公室、國(guó)家家基礎(chǔ)設(shè)施施保護(hù)委員員會(huì)和開(kāi)展展對(duì)信息戰(zhàn)戰(zhàn)的研究等等等，表明明美國(guó)正在在尋求一種種信息系統(tǒng)統(tǒng)防御和保保護(hù)的新概概念，這應(yīng)應(yīng)該引起我我們的高度度重視。33網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）保護(hù)、檢測(cè)測(cè)、響應(yīng)和和恢復(fù)涵蓋蓋了對(duì)現(xiàn)代代信息系統(tǒng)統(tǒng)的安全防防護(hù)的各個(gè)個(gè)方面，構(gòu)構(gòu)成了一個(gè)個(gè)完整的體體系，使網(wǎng)網(wǎng)絡(luò)安全建建筑在一個(gè)個(gè)更加堅(jiān)實(shí)實(shí)的基礎(chǔ)之之上。34網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）保護(hù)(PROTECT)傳統(tǒng)安全概概念的繼承承，包括信信息加密技技術(shù)、訪問(wèn)問(wèn)控制技術(shù)術(shù)等等。檢測(cè)(DETECT)從監(jiān)視、分分析、審計(jì)計(jì)信息網(wǎng)絡(luò)絡(luò)活動(dòng)的角角度，發(fā)現(xiàn)現(xiàn)對(duì)于信息息網(wǎng)絡(luò)的攻攻擊、破壞壞活動(dòng)，提提供預(yù)警、、實(shí)時(shí)響應(yīng)應(yīng)、事后分分析和系統(tǒng)統(tǒng)恢復(fù)等方方面的支持持，使安全全防護(hù)從單單純的被動(dòng)動(dòng)防護(hù)演進(jìn)進(jìn)到積極的的主動(dòng)防御御。35網(wǎng)絡(luò)網(wǎng)絡(luò)安安全防護(hù)體體系（（PDRR）響應(yīng)(RESPONSE)在遭遇攻擊擊和緊急事事件時(shí)及時(shí)時(shí)采取措施施，包括調(diào)調(diào)整系統(tǒng)的的安全措施施、跟蹤攻攻擊源和保保護(hù)性關(guān)閉閉服務(wù)和主主機(jī)等?；謴?fù)(RECOVER)評(píng)估系統(tǒng)受受到的危害害與損失，，恢復(fù)系統(tǒng)統(tǒng)功能和數(shù)數(shù)據(jù)，啟動(dòng)動(dòng)備份系統(tǒng)統(tǒng)等。36網(wǎng)絡(luò)安全保保障體系安全管理與與審計(jì)物理層安全全網(wǎng)絡(luò)層安全傳輸層安全全應(yīng)用層安全全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)控控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別別端到端加密密訪問(wèn)控制點(diǎn)到點(diǎn)鏈路路加密物理信道安安全訪問(wèn)控制數(shù)據(jù)機(jī)密性性數(shù)據(jù)完整性性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層層次層次模型網(wǎng)絡(luò)安全技技術(shù)實(shí)現(xiàn)安全目目標(biāo)用戶安全37網(wǎng)絡(luò)安全工工作的目的的38黑客攻擊與與防范39以太幀與MAC地址址一、以太資資料幀的結(jié)結(jié)構(gòu)圖前同步碼報(bào)頭資料區(qū)資料幀檢查序列（FCS）8個(gè)字節(jié)（不包括）通常14個(gè)字節(jié)46-1，500字節(jié)

固定4字節(jié)40以太幀構(gòu)成元素解釋及作用前同步碼Send“Iamready,Iwillsendmessage”報(bào)頭必須有：發(fā)送者M(jìn)AC地址目的MAC地址共12個(gè)字節(jié)OR長(zhǎng)度字段中的字節(jié)總數(shù)信息（差錯(cuò)控制）OR類型字段（說(shuō)明以太幀的類型）資料區(qū)資料源IP目的地IP實(shí)際資料和協(xié)議信息如果資料超過(guò)1，500分解多個(gè)資料幀，使用序列號(hào)如果不夠46個(gè)字節(jié)，數(shù)據(jù)區(qū)末尾加1FCS保證接受到的資料就是發(fā)送出的資料。41MAC地址的前三個(gè)字節(jié)制造商00-00-0CCISCO00-00-A2BAYNETWORKS00-80-D3SHIVA00-AA-00INTEL02-60-8C3COM08-00-09HEWLET-PACKARD08-00-20SUN08-00-5AIBMFF-FF-FF-FF-FF廣播地址42地址解析協(xié)協(xié)議地址解析協(xié)協(xié)議

索引物理位址IP地址類型物理口（接口）設(shè)備的物理地址與物理位址對(duì)應(yīng)的IP地址這一行對(duì)應(yīng)入口類型入口1

入口2

入口N

注：數(shù)值2表示這個(gè)入入口是非法法的，數(shù)值值3表示這種映映像是動(dòng)態(tài)態(tài)的，數(shù)值值4表示是靜態(tài)態(tài)的（如口口不改變）），數(shù)值1表示不是上上述任何一一種。入口：ARP高速緩存。。43TIP/IPIP（InternetProtocol））網(wǎng)際協(xié)議議，把要傳傳輸?shù)囊粋€(gè)個(gè)文件分成成一個(gè)個(gè)的的群組，這這些群組被被稱之為IP數(shù)據(jù)包包，每個(gè)IP數(shù)據(jù)包包都含有源源地址和目目的地址，，知道從哪哪臺(tái)機(jī)器正正確地傳送送到另一臺(tái)臺(tái)機(jī)器上去去。IP協(xié)協(xié)議具有分分組交換的的功能，不不會(huì)因?yàn)橐灰慌_(tái)機(jī)器傳傳輸而獨(dú)占占通信線路路。TCP（TransportcontrolProtocal））傳輸控制制協(xié)議具有有重排IP數(shù)據(jù)包順順序和超時(shí)時(shí)確認(rèn)的功功能。IP數(shù)據(jù)包可可能從不同同的通信線線路到達(dá)目目的地機(jī)器器，IP數(shù)數(shù)據(jù)包的順順序可能序序亂。TCP按IP數(shù)據(jù)包原原來(lái)的順序序進(jìn)行重排排。IP數(shù)數(shù)據(jù)包可能能在傳輸過(guò)過(guò)程中丟失失或損壞，，在規(guī)定的的時(shí)間內(nèi)如如果目的地地機(jī)器收不不到這些IP數(shù)據(jù)包包，TCP協(xié)議會(huì)讓讓源機(jī)器重重新發(fā)送這這些IP數(shù)數(shù)據(jù)包，直直到到達(dá)目目的地機(jī)器器。TCP協(xié)議確認(rèn)認(rèn)收到的IP數(shù)據(jù)包包。超時(shí)機(jī)機(jī)制是自動(dòng)動(dòng)的，不依依賴于通訊訊線路的遠(yuǎn)遠(yuǎn)近。IP和TCP兩種協(xié)協(xié)議協(xié)同工工作，要傳傳輸?shù)奈募涂梢詼?zhǔn)準(zhǔn)確無(wú)誤地地被傳送和和接收44TIP/IPTCP/IP協(xié)議族與OSI七層模模型的對(duì)應(yīng)關(guān)關(guān)系，如下圖圖所示45數(shù)據(jù)包是什么么樣的？TCP/IP/Ethernet舉舉例對(duì)分組過(guò)濾而而言：涉及四四層1.Ethernetlayer2. IPlayer3. TCP layer4. data layer分組與數(shù)據(jù)封封包：DataDataDataDataHeaderHeaderHeaderHeaderHeaderHeaderApplicationlayer(SMTP,Telnet,FTP,etc)Transportlayer(TCP,UDP,ICMP)InternetLayer(IP)NetworkAccessLayer(Ethernet,FDDI,ATM,etc)在每層，分組由兩部分構(gòu)成：首標(biāo)（頭）和本體（數(shù)據(jù)）首標(biāo)包含與本層有關(guān)的協(xié)議信息，本體包括本層的所有數(shù)據(jù)每層分組要包括來(lái)自上層的所有信息，同時(shí)加上本層的首標(biāo)，即封包應(yīng)用層包括的就是要傳送出去的數(shù)據(jù)Ethernetlayer1.分組組＝EthernetHeader＋EthernetBody2.Header說(shuō)明：3.EthernetBody包含含的是IP分組該分組的類型，如AppleTalk數(shù)據(jù)包、Novell數(shù)據(jù)包、DECNET數(shù)據(jù)包等。輸送該分組的機(jī)器的Ethernet地址（源址）接收該分組的機(jī)器的Ethernet地址（宿址）IPlayer1.IP分分組＝IPheader+IPBody3.IP可將分組細(xì)分分為更小的部部分段(fragments)，以便網(wǎng)絡(luò)傳輸輸。4.IPBody包含的是TCP分組。。2.IPheader包括：IP源地址：4bytes,eg.4IP的目的地址：同上

IP協(xié)議類型：說(shuō)明IPBody中是TCP分組或是UDP分組，ICMP等IP選擇字段：?？眨糜贗P源路由或IP安全選項(xiàng)的標(biāo)識(shí)IP分組字字段版本 IHL服務(wù)類型 總長(zhǎng)度 標(biāo)識(shí) O分段偏差有效期 協(xié)議 報(bào)頭校驗(yàn)和 源地址 宿地址 選項(xiàng) 填充 數(shù)據(jù)OMFF32BIT過(guò)濾字段50IP:1、處于Internet中間層次次。2、其下有很很多不同的層層：如Ethernet，tokenring，F(xiàn)DDI，PPP等。3、其上有很很多協(xié)議：TCP，UDP，ICMP。4、與分組過(guò)過(guò)濾有關(guān)的特特性是：5、分段示意意圖：IP選項(xiàng)：用于Firewall中，對(duì)付IP源路由。IP分段：Firewall只處理首段，而讓所有非首段通過(guò)。丟掉了首段，目的地就不能重組。IPHeaderTCPHeaderDATADATAIPHeaderTCPHeaderDATAIPHeaderDATAIPHeaderDATATCPLayer1、TCP分分組：TCP報(bào)頭＋TCP本體2、報(bào)頭中與與過(guò)濾有關(guān)部部分：TCP源端口口：2byte數(shù)，說(shuō)明明處理分組的的源機(jī)器。TCP宿端口口：同上TCP旗標(biāo)字字段（flag），含有1bit的ACKbit。3、本體內(nèi)是是實(shí)際要傳送送的數(shù)據(jù)。TCPLayer源端口宿宿端口序號(hào)確認(rèn)號(hào)號(hào)HLEN保保留碼碼位窗窗口校驗(yàn)和緊緊急指針針選項(xiàng)填填充充字節(jié)數(shù)據(jù)據(jù)WordsBits048121620242831頭標(biāo)端口掃描攻擊擊54Sniffer攻擊55DOS原理DoS的英文文全稱是DenialofService，也就是““拒絕服務(wù)””的意思。從從網(wǎng)絡(luò)攻擊的的各種方法和和所產(chǎn)生的破破壞情況來(lái)看看，DoS算算是一種很簡(jiǎn)簡(jiǎn)單但又很有有效的進(jìn)攻方方式。它的目目的就是拒絕絕你的服務(wù)訪訪問(wèn)，破壞組組織的正常運(yùn)運(yùn)行，最終它它會(huì)使你的部部分Internet連連接和網(wǎng)絡(luò)系系統(tǒng)失效。DoS的攻擊擊方式有很多多種，最基本本的DoS攻攻擊就是利用用合理的服務(wù)務(wù)請(qǐng)求來(lái)占用用過(guò)多的服務(wù)務(wù)資源，從而而使合法用戶戶無(wú)法得到服服務(wù)。DoS攻擊的原理理如圖所示。。56DOS原理57DOS原理從圖我們可以以看出DoS攻擊的基本本過(guò)程：首先先攻擊者向服服務(wù)器發(fā)送眾眾多的帶有虛虛假地址的請(qǐng)請(qǐng)求，服務(wù)器器發(fā)送回復(fù)信信息后等待回回傳信息，由由于地址是偽偽造的，所以以服務(wù)器一直直等不到回傳傳的消息，分分配給這次請(qǐng)請(qǐng)求的資源就就始終沒(méi)有被被釋放。當(dāng)服服務(wù)器等待一一定的時(shí)間后后，連接會(huì)因因超時(shí)而被切切斷，攻擊者者會(huì)再度傳送送新的一批請(qǐng)請(qǐng)求，在這種種反復(fù)發(fā)送偽偽地址請(qǐng)求的的情況下，服服務(wù)器資源最最終會(huì)被耗盡盡。58DDOS原原理DDoS（（分布式拒拒絕服務(wù)）），它的英英文全稱為為DistributedDenialofService，它是是一種基于于DoS的的特殊形式式的拒絕服服務(wù)攻擊，，是一種分分布、協(xié)作作的大規(guī)模模攻擊方式式，主要瞄瞄準(zhǔn)比較大大的站點(diǎn)，，象商業(yè)公公司，搜索索引擎和政政府部門(mén)的的站點(diǎn)。從從圖1我們們可以看出出DoS攻攻擊只要一一臺(tái)單機(jī)和和一個(gè)modem就就可實(shí)現(xiàn)，，與之不同同的是DDoS攻擊擊是利用一一批受控制制的機(jī)器向向一臺(tái)機(jī)器器發(fā)起攻擊擊，這樣來(lái)來(lái)勢(shì)迅猛的的攻擊令人人難以防備備，因此具具有較大的的破壞性。。DDoS的攻擊原原理如圖所所示。59DDOS原原理60DDOS原原理從圖可以看看出，DDoS攻擊擊分為3層層：攻擊者者、主控端端、代理端端，三者在在攻擊中扮扮演著不同同的角色。。1、攻擊者者：攻擊者所所用的計(jì)算算機(jī)是攻擊擊主控臺(tái)，，可以是網(wǎng)網(wǎng)絡(luò)上的任任何一臺(tái)主主機(jī)，甚至至可以是一一個(gè)活動(dòng)的的便攜機(jī)。。攻擊者操操縱整個(gè)攻攻擊過(guò)程，，它向主控控端發(fā)送攻攻擊命令。。2、主控端端：主控端是是攻擊者非非法侵入并并控制的一一些主機(jī)，，這些主機(jī)機(jī)還分別控控制大量的的代理主機(jī)機(jī)。主控端端主機(jī)的上上面安裝了了特定的程程序，因此此它們可以以接受攻擊擊者發(fā)來(lái)的的特殊指令令，并且可可以把這些些命令發(fā)送送到代理主主機(jī)上。3、代理端端：代理端同樣樣也是攻擊擊者侵入并并控制的一一批主機(jī)，，它們上面面運(yùn)行攻擊擊器程序，，接受和運(yùn)運(yùn)行主控端端發(fā)來(lái)的命命令。代理理端主機(jī)是是攻擊的執(zhí)執(zhí)行者，真真正向受害害者主機(jī)發(fā)發(fā)送攻擊。。61SYNFlood的基本原原理大家都知道道，TCP與UDP不同，它它是基于連連接的，也也就是說(shuō)：：為了在服服務(wù)端和客客戶端之間間傳送TCP數(shù)據(jù)，，必須先建建立一個(gè)虛虛擬電路，，也就是TCP連接接，建立TCP連接接的標(biāo)準(zhǔn)過(guò)過(guò)程是這樣樣的：首首先先，請(qǐng)求端端（客戶端端）發(fā)送一一個(gè)包含SYN標(biāo)志志的TCP報(bào)文，SYN即同同步（Synchronize），同同步報(bào)文會(huì)會(huì)指明客戶戶端使用的的端口以及及TCP連連接的初始始序號(hào)；第第二步，服服務(wù)器在收收到客戶端端的SYN報(bào)文后，，將返回一一個(gè)SYN+ACK的報(bào)文，，表示客戶戶端的請(qǐng)求求被接受，，同時(shí)TCP序號(hào)被被加一，ACK即確確認(rèn)（Acknowledgement）。第第三步，客客戶端也返返回一個(gè)確確認(rèn)報(bào)文ACK給服服務(wù)器端，，同樣TCP序列號(hào)號(hào)被加一，，到此一個(gè)個(gè)TCP連連接完成。。

以上的的連接過(guò)程程在TCP協(xié)議中被被稱為三次次握手（Three-wayHandshake）。。62SYNFlood的基本原原理假設(shè)一個(gè)用用戶向服務(wù)務(wù)器發(fā)送了了SYN報(bào)報(bào)文后突然然死機(jī)或掉掉線，那么么服務(wù)器在在發(fā)出SYN+ACK應(yīng)答報(bào)報(bào)文后是無(wú)無(wú)法收到客客戶端的ACK報(bào)文文的（第三三次握手無(wú)無(wú)法完成）），這種情情況下服務(wù)務(wù)器端一般般會(huì)重試（（再次發(fā)送送SYN+ACK給給客戶端））并等待一一段時(shí)間后后丟棄這個(gè)個(gè)未完成的的連接，這這段時(shí)間的的長(zhǎng)度我們們稱為SYNTimeout，一般般來(lái)說(shuō)這個(gè)個(gè)時(shí)間是分分鐘的數(shù)量量級(jí)（大約約為30秒秒-2分鐘鐘）；一個(gè)個(gè)用戶出現(xiàn)現(xiàn)異常導(dǎo)致致服務(wù)器的的一個(gè)線程程等待1分分鐘并不是是什么很大大的問(wèn)題，，但如果有有一個(gè)惡意意的攻擊者者大量模擬擬這種情況況，服務(wù)器器端將為了了維護(hù)一個(gè)個(gè)非常大的的半連接列列表而消耗耗非常多的的資源----數(shù)以以萬(wàn)計(jì)的半半連接，即即使是簡(jiǎn)單單的保存并并遍歷也會(huì)會(huì)消耗非常常多的CPU時(shí)間和和內(nèi)存，何何況還要不不斷對(duì)這個(gè)個(gè)列表中的的IP進(jìn)行行SYN+ACK的的重試。實(shí)實(shí)際上如果果服務(wù)器的的TCP/IP棧不不夠強(qiáng)大，，最后的結(jié)結(jié)果往往是是堆棧溢出出崩潰---即使服服務(wù)器端的的系統(tǒng)足夠夠強(qiáng)大，服服務(wù)器端也也將忙于處處理攻擊者者偽造的TCP連接接請(qǐng)求而無(wú)無(wú)暇理睬客客戶的正常常請(qǐng)求（畢畢竟客戶端端的正常請(qǐng)請(qǐng)求比率非非常之?。藭r(shí)從從正?？蛻魬舻慕嵌瓤纯磥?lái)，服務(wù)務(wù)器失去響響應(yīng)，這種種情況我們們稱作：服服務(wù)器端受受到了SYNFlood攻攻擊（SYN洪水攻攻擊）。63SYNFlood的的基基本本基本本解解決決方方法法第一一種種是是縮縮短短SYNTimeout時(shí)時(shí)間間，，由由于于SYNFlood攻攻擊擊的的效效果果取取決決于于服服務(wù)務(wù)器器上上保保持持的的SYN半半連連接接數(shù)數(shù)，，這這個(gè)個(gè)值值=SYN攻攻擊擊的的頻頻度度xSYNTimeout，，所所以以通通過(guò)過(guò)縮縮短短從從接接收收到到SYN報(bào)報(bào)文文到到確確定定這這個(gè)個(gè)報(bào)報(bào)文文無(wú)無(wú)效效并并丟丟棄棄改改連連接接的的時(shí)時(shí)間間，，例例如如設(shè)設(shè)置置為為20秒秒以以下下（（過(guò)過(guò)低低的的SYNTimeout設(shè)設(shè)置置可可能能會(huì)會(huì)影影響響客客戶戶的的正正常常訪訪問(wèn)問(wèn)）），，可可以以成成倍倍的的降降低低服服務(wù)務(wù)器器的的負(fù)負(fù)荷荷。。第第二二種種方方法法是是設(shè)設(shè)置置SYNCookie，，就就是是給給每每一一個(gè)個(gè)請(qǐng)請(qǐng)求求連連接接的的IP地地址址分分配配一一個(gè)個(gè)Cookie，，如如果果短短時(shí)時(shí)間間內(nèi)內(nèi)連連續(xù)續(xù)受受到到某某個(gè)個(gè)IP的的重重復(fù)復(fù)SYN報(bào)報(bào)文文，，就就認(rèn)認(rèn)定定是是受受到到了了攻攻擊擊，，以以后后從從這這個(gè)個(gè)IP地地址址來(lái)來(lái)的的包包會(huì)會(huì)被被丟丟棄棄。。64DDoS攻攻擊使使用的的常用用工具具DDoS攻攻擊實(shí)實(shí)施起起來(lái)有有一定定的難難度，，它要要求攻攻擊者者必須須具備備入侵侵他人人計(jì)算算機(jī)的的能力力。但但是很很不幸幸的是是一些些傻瓜瓜式的的黑客客程序序的出出現(xiàn)，，這些些程序序可以以在幾幾秒鐘鐘內(nèi)完完成入入侵和和攻擊擊程序序的安安裝，，使發(fā)發(fā)動(dòng)DDoS攻攻擊變變成一一件輕輕而易易舉的的事情情。下下面我我們來(lái)來(lái)分析析一下下這些些常用用的黑黑客程程序。。1、TrinooTrinoo的的攻擊擊方法法是向向被攻攻擊目目標(biāo)主主機(jī)的的隨機(jī)機(jī)端口口發(fā)出出全零零的4字節(jié)節(jié)UDP包包，在在處理理這些些超出出其處處理能能力的的垃圾圾數(shù)據(jù)據(jù)包的的過(guò)程程中，，被攻攻擊主主機(jī)的的網(wǎng)絡(luò)絡(luò)性能能不斷斷下降降，直直到不不能提提供正正常服服務(wù)，，乃至至崩潰潰。它它對(duì)IP地地址不不做假假，采采用的的通訊訊端口口是：：攻擊者者主機(jī)機(jī)到主主控端端主機(jī)機(jī)：27665/TCP主主控端端主機(jī)機(jī)到代代理端端主機(jī)機(jī)：27444/UDP代代理端端主機(jī)機(jī)到主主服務(wù)務(wù)器主主機(jī)：：31335/UDPFNTFN由主主控端端程序序和代代理端端程序序兩部部分組組成，，它主主要采采取的的攻擊擊方法法為：：SYN風(fēng)風(fēng)暴、、Ping風(fēng)暴暴、UDP炸彈彈和SMURF，具具有偽偽造數(shù)數(shù)據(jù)包包的能能力。。65DDoS攻攻擊使使用的的常用用工具具3、TFN2KTFN2K是由由TFN發(fā)發(fā)展而而來(lái)的的，在在TFN所所具有有的特特性上上，TFN2K又新新增一一些特特性，，它的的主控控端和和代理理端的的網(wǎng)絡(luò)絡(luò)通訊訊是經(jīng)經(jīng)過(guò)加加密的的，中中間還還可能能混雜雜了許許多虛虛假數(shù)數(shù)據(jù)包包，而而TFN對(duì)對(duì)ICMP的通通訊沒(méi)沒(méi)有加加密。。攻擊擊方法法增加加了Mix和Targa3。。并且且TFN2K可可配置置的代代理端端進(jìn)程程端口口。4、StacheldrahtStacheldraht也也是從從TFN派派生出出來(lái)的的，因因此它它具有有TFN的的特性性。此此外它它增加加了主主控端端與代代理端端的加加密通通訊能能力，，它對(duì)對(duì)命令令源作作假，，可以以防范范一些些路由由器的的RFC2267過(guò)過(guò)濾。。Stacheldrah中中有一一個(gè)內(nèi)內(nèi)嵌的的代理理升級(jí)級(jí)模塊塊，可可以自自動(dòng)下下載并并安裝裝最新新的代代理程程序。。66DDoS的的監(jiān)測(cè)現(xiàn)在網(wǎng)上采采用DDoS方式進(jìn)進(jìn)行攻擊的的攻擊者日日益增多，，我們只有有及早發(fā)現(xiàn)現(xiàn)自己受到到攻擊才能能避免遭受受慘重的損損失。檢測(cè)DDoS攻擊的的主要方法法有以下幾幾種：1、根據(jù)異異常情況分分析當(dāng)網(wǎng)絡(luò)的通通訊量突然然急劇增長(zhǎng)長(zhǎng)，超過(guò)平平常的極限限值時(shí)，你你可一定要要提高警惕惕，檢測(cè)此此時(shí)的通訊訊；當(dāng)網(wǎng)站站的某一特特定服務(wù)總總是失敗時(shí)時(shí)，你也要要多加注意意；當(dāng)發(fā)現(xiàn)現(xiàn)有特大型型的ICP和UDP數(shù)據(jù)包通通過(guò)或數(shù)據(jù)據(jù)包內(nèi)容可可疑時(shí)都要要留神?？偪傊?，當(dāng)你你的機(jī)器出出現(xiàn)異常情情況時(shí)，你你最好分析析這些情況況，防患于于未然。2、使用DDoS檢檢測(cè)工具當(dāng)攻擊者想想使其攻擊擊陰謀得逞逞時(shí)，他首首先要掃描描系統(tǒng)漏洞洞，目前市市面上的一一些網(wǎng)絡(luò)入入侵檢測(cè)系系統(tǒng)，可以以杜絕攻擊擊者的掃描描行為。另另外，一些些掃描器工工具可以發(fā)發(fā)現(xiàn)攻擊者者植入系統(tǒng)統(tǒng)的代理程程序，并可可以把它從從系統(tǒng)中刪刪除。67DDoS攻攻擊的防御御策略由于DDoS攻擊具具有隱蔽性性，因此到到目前為止止我們還沒(méi)沒(méi)有發(fā)現(xiàn)對(duì)對(duì)DDoS攻擊行之之有效的解解決方法。。所以我們們要加強(qiáng)安安全防范意意識(shí)，提高高網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全性性?？刹扇∪〉陌踩婪烙胧┯杏幸韵聨追N種：1、及早發(fā)發(fā)現(xiàn)系統(tǒng)存存在的攻擊擊漏洞，及及時(shí)安裝系系統(tǒng)補(bǔ)丁程程序。對(duì)一一些重要的的信息（例例如系統(tǒng)配配置信息））建立和完完善備份機(jī)機(jī)制。對(duì)一一些特權(quán)帳帳號(hào)（例如如管理員帳帳號(hào)）的密密碼設(shè)置要要謹(jǐn)慎。通通過(guò)這樣一一系列的舉舉措可以把把攻擊者的的可乘之機(jī)機(jī)降低到最最小。2、在網(wǎng)絡(luò)絡(luò)管理方面面，要經(jīng)常常檢查系統(tǒng)統(tǒng)的物理環(huán)環(huán)境，禁止止那些不必必要的網(wǎng)絡(luò)絡(luò)服務(wù)。建建立邊界安安全界限，，確保輸出出的包受到到正確限制制。經(jīng)常檢檢測(cè)系統(tǒng)配配置信息，，并注意查查看每天的的安全日志志。3、利用網(wǎng)網(wǎng)絡(luò)安全設(shè)設(shè)備（例如如：防火墻墻）來(lái)加固固網(wǎng)絡(luò)的安安全性，配配置好它們們的安全規(guī)規(guī)則，過(guò)濾濾掉所有的的可能的偽偽造數(shù)據(jù)包包。4、比較好好的防御措措施就是和和你的網(wǎng)絡(luò)絡(luò)服務(wù)提供供商協(xié)調(diào)工工作，讓他他們幫助你你實(shí)現(xiàn)路由由的訪問(wèn)控控制和對(duì)帶帶寬總量的的限制。68DDoS攻攻擊的防御御策略5、當(dāng)你發(fā)發(fā)現(xiàn)自己正正在遭受DDoS攻攻擊時(shí)，你你應(yīng)當(dāng)啟動(dòng)動(dòng)您的應(yīng)付付策略，盡盡可能快的的追蹤攻擊擊包，并且且要及時(shí)聯(lián)聯(lián)系ISP和有關(guān)應(yīng)應(yīng)急組織，，分析受影影響的系統(tǒng)統(tǒng)，確定涉涉及的其他他節(jié)點(diǎn)，從從而阻擋從從已知攻擊擊節(jié)點(diǎn)的流流量。6、當(dāng)你是是潛在的DDoS攻攻擊受害者者，你發(fā)現(xiàn)現(xiàn)你的計(jì)算算機(jī)被攻擊擊者用做主主控端和代代理端時(shí)，，你不能因因?yàn)槟愕南迪到y(tǒng)暫時(shí)沒(méi)沒(méi)有受到損損害而掉以以輕心，攻攻擊者已發(fā)發(fā)現(xiàn)你系統(tǒng)統(tǒng)的漏洞，，這對(duì)你的的系統(tǒng)是一一個(gè)很大的的威脅。所所以一旦發(fā)發(fā)現(xiàn)系統(tǒng)中中存在DDoS攻擊擊的工具軟軟件要及時(shí)時(shí)把它清除除，以免留留下后患。。69分布式拒絕絕服務(wù)（DDoS））攻擊工具具分析--TFN2K客戶端———用于通過(guò)過(guò)發(fā)動(dòng)攻擊擊的應(yīng)用程程序，攻擊擊者通過(guò)它它來(lái)發(fā)送各各種命令。。

守護(hù)護(hù)程序———在代理端端主機(jī)運(yùn)行行的進(jìn)程，，接收和響響應(yīng)來(lái)自客客戶端的命命令。主主控端———運(yùn)行客客戶端程序序的主機(jī)。。

代理理端——運(yùn)運(yùn)行守護(hù)程程序的主機(jī)機(jī)。目目標(biāo)主機(jī)———分布式式攻擊的目目標(biāo)（主機(jī)機(jī)或網(wǎng)絡(luò)））。70分布式拒絕絕服務(wù)（DDoS））攻擊工具具分析--TFN2KTFN2K通過(guò)主控控端利用大大量代理端端主機(jī)的資資源進(jìn)行對(duì)對(duì)一個(gè)或多多個(gè)目標(biāo)進(jìn)進(jìn)行協(xié)同攻攻擊。當(dāng)前前互聯(lián)網(wǎng)中中的UNIX、Solaris和WindowsNT等平臺(tái)的的主機(jī)能被被用于此類類攻擊，而而且這個(gè)工工具非常容容易被移植植到其它系系統(tǒng)平臺(tái)上上。TFN2K由兩部分分組成：在在主控端主主機(jī)上的客客戶端和在在代理端主主機(jī)上的守守護(hù)進(jìn)程。。主控端向向其代理端端發(fā)送攻擊擊指定的目目標(biāo)主機(jī)列列表。代理理端據(jù)此對(duì)對(duì)目標(biāo)進(jìn)行行拒絕服務(wù)務(wù)攻擊。由由一個(gè)主控控端控制的的多個(gè)代理理端主機(jī)，，能夠在攻攻擊過(guò)程中中相互協(xié)同同，保證攻攻擊的連續(xù)續(xù)性。主控控央和代理理端的網(wǎng)絡(luò)絡(luò)通訊是經(jīng)經(jīng)過(guò)加密的的，還可能能混雜了許許多虛假數(shù)數(shù)據(jù)包。整整個(gè)TFN2K網(wǎng)絡(luò)絡(luò)可能使用用不同的TCP、UDP或ICMP包包進(jìn)行通訊訊。而且主主控端還能能偽造其IP地址。。所有這些些特性都使使發(fā)展防御御TFN2K攻擊的的策略和技技術(shù)都非常常困難或效效率低下。。71主控端通過(guò)過(guò)TCP、、UDP、、ICMP或隨機(jī)性性使用其中中之一的數(shù)數(shù)據(jù)包向代代理端主機(jī)機(jī)發(fā)發(fā)送命令令。對(duì)目標(biāo)標(biāo)的攻擊方方法包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)數(shù)據(jù)包flood等等?！糁骺囟硕伺c代理端端之間數(shù)據(jù)據(jù)包的頭信信息也是隨隨機(jī)的，除除了ICMP總是使使用ICMP_ECHOREPLY類類型數(shù)據(jù)包包。◆◆與其上上一代版本本TFN不不同，TFN2K的的守護(hù)程序序是完全沉沉默的，它它不會(huì)對(duì)接接收到到的命命令有任何何回應(yīng)。客客戶端重復(fù)復(fù)發(fā)送每一一個(gè)命令20次，并并且認(rèn)為守守護(hù)程序序應(yīng)應(yīng)該至少能能接收到其其中一個(gè)。。72◆這些命命令數(shù)據(jù)包包可能混雜雜了許多發(fā)發(fā)送到隨機(jī)機(jī)IP地址址的偽造數(shù)數(shù)據(jù)包?！簟鬞FN2K命令不是是基于字符符串的，而而采用了"++"格格式，其中中是代代表某某個(gè)特定命命令的數(shù)值值，則是該該命令的參參數(shù)?！簟羲杏忻疃冀?jīng)經(jīng)過(guò)了CAST-256算法法（RFC2612）加密密。加密關(guān)關(guān)鍵字在程程序編譯譯時(shí)時(shí)定義，并并作為T(mén)FN2K客客戶端程序序的口令。。

◆所所有加密密數(shù)據(jù)在發(fā)發(fā)送前都被被編碼（Base64）成成可打印的的ASCII字符。。TFN2K守守護(hù)程程序接收數(shù)數(shù)據(jù)包并解解密數(shù)據(jù)。。73◆守護(hù)進(jìn)進(jìn)程為每一一個(gè)攻擊產(chǎn)產(chǎn)生子進(jìn)程程?！簟鬞FN2K守護(hù)護(hù)進(jìn)程試圖圖通過(guò)修改改argv[0]內(nèi)內(nèi)容（或在在某些平臺(tái)臺(tái)中修改進(jìn)進(jìn)程名）以以掩飾自己己。偽造的的進(jìn)程名在在編譯時(shí)指指定，因此此每次安裝裝時(shí)都有可可能不同。。這這個(gè)功能能使TFN2K偽裝裝成代理端端主機(jī)的普普通正常進(jìn)進(jìn)程。因此此，只是簡(jiǎn)簡(jiǎn)單地檢查查進(jìn)程列表表未必能找找到TFN2K守護(hù)護(hù)進(jìn)程（及及其子進(jìn)程程）。◆◆來(lái)自自每一個(gè)客客戶端或守守護(hù)進(jìn)程的的所有數(shù)據(jù)據(jù)包都可能能被偽造。。74TFN2K仍然有弱弱點(diǎn)?？赡苣苁鞘韬龅牡脑颍蛹用芎蟮腂ase64編碼碼在每一個(gè)個(gè)TFN2K數(shù)據(jù)包包的尾部留留下了痕跡跡（與協(xié)議議和加密算算法無(wú)關(guān)））。可能是是程序作者者為了使每每一個(gè)數(shù)據(jù)據(jù)包的長(zhǎng)度度變化而填填充了1到到16個(gè)零零(0x00)，經(jīng)經(jīng)過(guò)Base64編碼后就就成為多個(gè)個(gè)連續(xù)的0x41('A')。添加到到數(shù)據(jù)包尾尾部的0x41的數(shù)數(shù)量是可變變的，但至至少會(huì)有一一個(gè)。這些些位于數(shù)據(jù)據(jù)包尾部的的0x41('A')就成了了捕獲TFN2K命命令數(shù)據(jù)包包的特征了了75forkABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*command.exe**

cmd.exe**tfn-daemon***

tfn-child***76目前前仍仍沒(méi)沒(méi)有有能能有有效效防防御御TFN2K拒拒絕絕服服務(wù)務(wù)攻攻擊擊的的方方法法。。最最有有效效的的策策略略是是防防止止網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源被被用用作作客客戶戶端端或或代代理理端端。。預(yù)防防◆◆只只使使用用應(yīng)應(yīng)用用代代理理型型防防火火墻墻。。這這能能夠夠有有效效地地阻阻止止所所有有的的TFN2K通通訊訊。。但但只只使使用用應(yīng)應(yīng)用用代代理理服服務(wù)務(wù)器器通通常常是是不不切切合合實(shí)實(shí)際際的的，，因因此此只只能能盡盡可可能能使使用用最最少少的的非非代代理理服服務(wù)務(wù)。?！簟艚怪共徊槐乇匾牡腎CMP、、TCP和和UDP通通訊訊。。特特別別是是對(duì)對(duì)于于ICMP數(shù)數(shù)據(jù)據(jù)，，可可只只允允許許ICMP類類型型3（（destinationunreachable目目標(biāo)標(biāo)不不可可到到達(dá)達(dá)））數(shù)數(shù)據(jù)據(jù)包包通通過(guò)過(guò)。。◆◆如如果果不不能能禁禁止止ICMP協(xié)協(xié)議議，，那那就就禁禁止止主主動(dòng)動(dòng)提提供供或或所所有有的的ICMP_ECHOREPLY包包。。77◆禁止不在在允許端口列列表中的所有有UDP和TCP包?！簟襞渲弥梅阑饓^(guò)濾濾所有可能的的偽造數(shù)據(jù)包包。

◆對(duì)對(duì)系統(tǒng)進(jìn)行行補(bǔ)丁和安全全配置，以防防止攻擊者入入侵并安裝TFN2K。。

監(jiān)測(cè)測(cè)◆◆掃描客戶戶端/守護(hù)程程序的名字。。

◆根根據(jù)前面列出出的特征字符符串掃描所有有可執(zhí)行文件件。

◆掃掃描系統(tǒng)內(nèi)內(nèi)存中的進(jìn)程程列表。78◆檢查ICMP_ECHOREPLY數(shù)據(jù)包包的尾部是否否含有連續(xù)的的0x41。。另外，檢查查數(shù)據(jù)側(cè)面面內(nèi)容容是否都是ASCII可可打印字符（（2B，2F-39，0x41-0x5A，0x61-0x7A）。。

◆監(jiān)監(jiān)視含有相同同數(shù)據(jù)內(nèi)容的的連續(xù)數(shù)據(jù)包包（有可能混混合了TCP、UDP和和ICMP包包）。

響應(yīng)應(yīng)一一旦旦在系統(tǒng)中發(fā)發(fā)現(xiàn)了TFN2K，必須須立即通知安安全公司或?qū)＜乙宰粉櫲肴肭诌M(jìn)行。因因?yàn)門(mén)FN2K的守護(hù)進(jìn)進(jìn)程不會(huì)對(duì)接接收到的命令令作任何回復(fù)復(fù)，TFN2K客戶端一一般會(huì)繼續(xù)向向代理端主機(jī)機(jī)發(fā)送命令數(shù)數(shù)據(jù)包。另外外，入侵者發(fā)發(fā)現(xiàn)攻擊失效效時(shí)往往會(huì)試試圖連接到代代理端主機(jī)上上以進(jìn)行檢查查。這些網(wǎng)絡(luò)絡(luò)通訊都可被被追蹤。79IP欺騙的原原理⑴什么是IP電子欺騙攻攻擊？

所謂謂IP欺騙，，無(wú)非就是偽偽造他人的源源IP地址。。其實(shí)質(zhì)就是是讓一臺(tái)機(jī)器器來(lái)扮演另一一臺(tái)機(jī)器，籍籍以達(dá)到蒙混混過(guò)關(guān)的目的的。⑵誰(shuí)容易上當(dāng)當(dāng)？

IP欺欺騙技術(shù)之所所以獨(dú)一無(wú)二二，就在于只只能實(shí)現(xiàn)對(duì)某某些特定的運(yùn)運(yùn)行FreeTCP/IP協(xié)議的的計(jì)算機(jī)進(jìn)行行攻擊。一一般來(lái)說(shuō)，如如下的服務(wù)易易受到IP欺欺騙攻擊：■■任何使用用SunRPC調(diào)用的的配置

■任任何利用IP地址認(rèn)證的的網(wǎng)絡(luò)服務(wù)■■MIT的的XWindow系統(tǒng)統(tǒng)

■R服務(wù)務(wù)80IP欺騙的原原理假設(shè)B上的客客戶運(yùn)行rlogin與與A上的rlogind通信：1.B發(fā)發(fā)送帶有SYN標(biāo)志的數(shù)數(shù)據(jù)段通知A需要建立TCP連接。。并將TCP報(bào)頭中的sequencenumber設(shè)設(shè)置成自己本本次連接的初初始值ISN。

2.A回傳給B一個(gè)帶有SYS+ACK標(biāo)志的數(shù)數(shù)據(jù)段，告之之自己的ISN，并確認(rèn)認(rèn)B發(fā)送來(lái)的的第一個(gè)數(shù)據(jù)據(jù)段，將acknowledgenumber設(shè)置成B的ISN+1。3.B確認(rèn)認(rèn)收到的A的的數(shù)據(jù)段，將將acknowledgenumber設(shè)置置成A的ISN+1。81B----SYN---->AB<----SYN+ACK----A

B----ACK---->A82IP欺騙攻擊擊的描述1.假設(shè)Z企圖攻擊A，而A信任任B，所謂信信任指/etc/hosts.equiv和$HOME/.rhosts中有相相關(guān)設(shè)置。注注意，如何才才能知道A信信任B呢？沒(méi)沒(méi)有什么確切切的辦法。我我的建議就是是平時(shí)注意搜搜集蛛絲馬跡跡，厚積薄發(fā)發(fā)。一次成功功的攻擊其實(shí)實(shí)主要不是因因?yàn)榧夹g(shù)上的的高明，而是是因?yàn)樾畔⑺阉鸭膹V泛翔翔實(shí)。動(dòng)用了了自以為很有有成就感的技技術(shù)，卻不比比人家酒桌上上的巧妙提問(wèn)問(wèn)，攻擊只以以成功為終極極目標(biāo)，不在在乎手段。2.假假設(shè)Z已經(jīng)知知道了被信任任的B，應(yīng)該該想辦法使B的網(wǎng)絡(luò)功能能暫時(shí)癱瘓，，以免對(duì)攻擊擊造成干擾。。著名的SYNflood常常是是一次IP欺欺騙攻擊的前前奏。請(qǐng)看一一個(gè)并發(fā)服務(wù)務(wù)器的框架：：83IP欺騙攻擊擊的描述intinitsockid,newsockid;

if((initsockid=socket(...))<0){error("can'tcreatesocket");

}if(bind(initsockid,...)<0){error("binderror");}if(listen(initsockid,5)<0){

error("listenerror");

}84IP欺騙攻擊擊的描述for(;;){newsockid=accept(initsockid,...);/*阻塞*/

if(newsockid<0){error("accepterror");}

if(fork()==0){/*子子進(jìn)程*/

close(initsockid);

do(newsockid);/*處處理客戶方方請(qǐng)求*/

exit(0);

}close(newsockid);}85IP欺騙攻擊擊的描述3.Z必須須確定A當(dāng)前前的ISN。。首先連向25端口(SMTP是沒(méi)沒(méi)有安全校驗(yàn)驗(yàn)機(jī)制的)，，與1中類似似，不過(guò)這次次需要記錄A的ISN，，以及Z到A的大致的RTT(roundtriptime)。。這個(gè)步驟要要重復(fù)多次以以便求出RTT的平均值值?，F(xiàn)在Z知知道了A的ISN基值和和增加規(guī)律(比如每秒增增加128000，每每次連接增加加64000)，也知道道了從Z到A需要RTT/2的時(shí)時(shí)間。必須立立即進(jìn)入攻擊擊，否則在這這之間有其他他主機(jī)與A連連接，ISN將比預(yù)料料的多出64000。86IP欺騙攻擊擊的描述4.Z向A發(fā)送帶有SYN標(biāo)志的的數(shù)據(jù)段請(qǐng)求求連接，只是是信源IP改改成了B，注注意是針對(duì)TCP513端口(rlogin)。A向B回回送SYN+ACK數(shù)據(jù)據(jù)段，B已經(jīng)經(jīng)無(wú)法響應(yīng)(憑什么？按按照作者在2中所說(shuō)，估估計(jì)還達(dá)不到到這個(gè)效果，，因?yàn)閆必然然要模仿B發(fā)發(fā)起connect調(diào)用用，connect調(diào)用用會(huì)完成全相相關(guān)，自動(dòng)指指定本地socket地地址和端口，，可事實(shí)上B很可能并沒(méi)沒(méi)有這樣一個(gè)個(gè)端口等待接接收數(shù)據(jù)。87IP欺騙攻擊擊的描述除非Z模仿B發(fā)起連接請(qǐng)請(qǐng)求時(shí)打破常常規(guī)，主動(dòng)在在客戶端調(diào)用用bind函函數(shù)，明確完完成全相關(guān)，，這樣必然知知道A會(huì)向B的某個(gè)端口口回送，在2中也針對(duì)這這個(gè)端口攻擊擊B?？墒侨缛绻@樣，完完全不用攻擊擊B，bind的時(shí)候指指定一個(gè)B上上根本不存在在的端口即可可。我也是想想了又想，還還沒(méi)來(lái)得及看看看老外的源源代碼，不妥妥之處有待商商榷?？傊?，，覺(jué)得作者好好象在蒙我們們，他自己也也沒(méi)有實(shí)踐成成功過(guò)吧。)，B的TCP層只是簡(jiǎn)簡(jiǎn)單地丟棄A的回送數(shù)據(jù)據(jù)段。88IP欺騙攻擊擊的描述5.Z暫停停一小會(huì)兒，，讓A有足夠夠時(shí)間發(fā)送SYN+ACK，因?yàn)閆看不到這個(gè)個(gè)包。然后Z再次偽裝成成B向A發(fā)送送ACK，此此時(shí)發(fā)送的數(shù)數(shù)據(jù)段帶有Z預(yù)測(cè)的A的的ISN+1。如果預(yù)測(cè)測(cè)準(zhǔn)確，連接接建立，數(shù)據(jù)據(jù)傳送開(kāi)始。。問(wèn)題在于即即使連接建立立，A仍然會(huì)會(huì)向B發(fā)送數(shù)數(shù)據(jù)，而不是是Z，Z仍仍然無(wú)法看到到A發(fā)往B的的數(shù)據(jù)段，Z必須蒙著頭頭按照rlogin協(xié)議議標(biāo)準(zhǔn)假冒B向A發(fā)送類類似"cat++>>~/.rhosts"這這樣的命令令，于是攻擊擊完成。如果果預(yù)測(cè)不準(zhǔn)確確，A將發(fā)送送一個(gè)帶有RST標(biāo)志的的數(shù)據(jù)段異常常終止連接，，Z只有從頭頭再來(lái)。89IP欺騙攻擊擊的描述Z(B)----SYN---->A

B<----SYN+ACK----AZ(B)----ACK---->AZ(B)----PSH---->A

......6.IP欺騙攻擊利利用了RPC服務(wù)器僅僅僅依賴于信源源IP地址進(jìn)進(jìn)行安全校驗(yàn)驗(yàn)的特性，建建議閱讀rlogind的源代碼。。攻擊最困難難的地方在于于預(yù)測(cè)A的ISN。作者者認(rèn)為攻擊難難度雖然大，，但成功的可可能性也很大大，不是很理理解，似乎有有點(diǎn)矛盾。90IP欺騙攻擊擊的描述考慮這種情況況，入侵者控控制了一臺(tái)由由A到B之間間的路由器，，假設(shè)Z就是是這臺(tái)路由器器，那么A回回送到B的數(shù)數(shù)據(jù)段，現(xiàn)在在Z是可以看看到的，顯然然攻擊難度驟驟然下降了許許多。否則Z必須精確地地預(yù)見(jiàn)可能從從A發(fā)往B的的信息，以及及A期待來(lái)自自B的什么應(yīng)應(yīng)答信息，這這要求攻擊者者對(duì)協(xié)議本身身相當(dāng)熟悉。。同時(shí)需要明明白，這種攻攻擊根本不可可能在交互狀狀態(tài)下完成，，必須寫(xiě)程序序完成。當(dāng)然然在準(zhǔn)備階段段可以用netxray之類的工具具進(jìn)行協(xié)議分分析。91IP欺欺騙攻攻擊的的描述述7.如如果果Z不不是路路由器器，能能否考考慮組組合使使用ICMP重重定向向以及及ARP欺欺騙等等技術(shù)術(shù)？沒(méi)沒(méi)有仔仔細(xì)分分析過(guò)過(guò)，只只是隨隨便猜猜測(cè)而而已。。并且且與A、B、Z之間間具體體的網(wǎng)網(wǎng)絡(luò)拓拓?fù)溆杏忻芮星嘘P(guān)系系，在在某些些情況況下顯顯然大大幅度度降低低了攻攻擊難難度。。注意意IP欺騙騙攻擊擊理論論上是是從廣廣域網(wǎng)網(wǎng)上發(fā)發(fā)起的的，不不局限限于局局域網(wǎng)網(wǎng)，這這也正正是這這種攻攻擊的的魅力力所在在。利利用IP欺欺騙攻攻擊得得到一一個(gè)A上的的shell，，對(duì)于于許多多高級(jí)級(jí)入侵侵者，，得到到目標(biāo)標(biāo)主機(jī)機(jī)的shell，離離root權(quán)限限就不不遠(yuǎn)了了，最最容易易想到到的當(dāng)當(dāng)然是是接下下來(lái)進(jìn)進(jìn)行bufferoverflow攻擊擊。92IP欺欺騙攻攻擊的的描述述8.也也許許有人人要問(wèn)問(wèn)，為為什么么Z不不能直直接把把自己己的IP設(shè)設(shè)置成成B的的？這這個(gè)問(wèn)問(wèn)題很很不好好回答答，要要具體體分