口中文“黑客”

一詞譯自英文"hacker"□20世紀(jì)60年代，麻省理工學(xué)院的一些學(xué)生把計(jì)算機(jī)難題的解決稱(chēng)為"hack",

解決一個(gè)計(jì)算機(jī)難題就像砍倒一棵大樹(shù)口從事

“hacking"

的人就是

“hacker”。黑客一詞被發(fā)明的時(shí)候，完全是正面意義上的稱(chēng)呼，

大多具備精湛的技藝，包含著高度的創(chuàng)新和獨(dú)樹(shù)一幟的風(fēng)格?！?/p>

隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展，活躍

在其中的黑客也越來(lái)越多，黑客陣營(yíng)也發(fā)生了

分化·

人們通常用白帽、黑帽和灰帽來(lái)區(qū)分他們。白帽黑客，通過(guò)網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)去鉆研/挖掘計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)漏洞的人。但是他/她們不會(huì)去做任何的破壞，同時(shí)會(huì)告知管理員漏洞內(nèi)容及修復(fù)方案烏云平臺(tái)創(chuàng)始人方小頓中華人民共和國(guó)萬(wàn)歲!!!!!我是中國(guó)人!BeatdownImperlallsmofAmericanlThe

manifesto

of

Honker:Guardsthenationalsoverelgnty!OutsideconsistentresistanceshamelAttack

anti-Chinese

arrogance!國(guó)外媒體還把那些具有愛(ài)國(guó)熱情和明顯政治傾向、非官方的、使用技術(shù)來(lái)“維護(hù)國(guó)家和民族尊嚴(yán)”的人稱(chēng)為紅客。道，可道，非常道；名，可名，非常名。中國(guó)紅客進(jìn)入聯(lián)盟社區(qū)口黑帽黑客，指代那些非法侵入計(jì)算機(jī)網(wǎng)絡(luò)或?qū)嵤┯?jì)算機(jī)犯罪的黑客口為了將黑客中的白帽和黑帽區(qū)分，英文中使用“Cracker"、"Attacker”等詞來(lái)指代黑帽?？谥形囊沧g作駭客?！?007年8月21日，喬治霍茲完全解鎖iPhone手機(jī)，不再局限于AT&T網(wǎng)絡(luò)，而是

支持其他GSM

網(wǎng)絡(luò)□2009年，發(fā)布首款iPhone3GS越獄軟件□2010年，正式破解PS3□2011年，加盟Facebook口國(guó)內(nèi)對(duì)于黑客一詞主要是指“對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪(fǎng)問(wèn)的人員”(GA163-1997《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)》),屬于計(jì)算機(jī)犯罪的范疇?？诨颐焙诳?，用于描述那些直接向軟件供應(yīng)商報(bào)告漏洞的黑客□1998年，著名的黑客組織LOpht在接受《紐約時(shí)報(bào)》采訪(fǎng)時(shí)首次在媒體上用灰帽來(lái)指代他們的黑客行為。波蘭知名美女黑客JoannaRutkowska,2009

年曝光了

一個(gè)英特爾CPU

的緩存漏洞□

https://www.defcon.org/□DEF

CON由綽號(hào)為“Dark

Tangent

(黑暗切線(xiàn))”的黑客

Jeff

Moss創(chuàng)辦，是世界上最知名的“黑客大會(huì)”□

DEF

CON每年在美國(guó)內(nèi)華達(dá)州的拉斯維加斯舉行，第一屆

在1993年6月舉辦。全球著名的黑客大會(huì)及網(wǎng)站□

https://www.defcon.org/口吸引眾多黑客參加口當(dāng)然全球許多大公司以及美國(guó)國(guó)防部、聯(lián)邦調(diào)查局等政府機(jī)

構(gòu)也會(huì)參加。全球著名的黑客大會(huì)及網(wǎng)站□

https://www.black/口黑帽大會(huì)是DEFCON的商業(yè)版本，兩個(gè)會(huì)議都是JeffMoss所

創(chuàng)立(黑帽大會(huì)已被出售)。口黑帽大會(huì)具有全球的吸引力，其參會(huì)者比較“企業(yè)、公司化”,而大量的DEF

CON參會(huì)者則更加“街頭化”和“黑客化”。全球著名的黑客大會(huì)及網(wǎng)站烏云及相關(guān)服務(wù)升級(jí)公告尊敬的各位用戶(hù)：為了更好地向大家提供服務(wù)，烏云及相關(guān)服務(wù)將進(jìn)行升級(jí)。我們將在最短的

時(shí)間內(nèi)，以最好的姿態(tài)回歸。一直以來(lái)，烏云致力于讓安全性作為用戶(hù)選擇產(chǎn)品的重要考量之一，促進(jìn)企

業(yè)更重視安全，讓更多人了解安全關(guān)注安全，從而營(yíng)造出更好的安全生態(tài)。不管從前，現(xiàn)在，還是未來(lái)，我們都將堅(jiān)持這么做下去。與其聽(tīng)信謠言，不如相信烏云。共

勉

。烏云全體成員敬上2016年7月20日第四步

具體實(shí)施網(wǎng)絡(luò)攻擊第二步

收集網(wǎng)絡(luò)系統(tǒng)的信息第一步

隱藏攻擊源第五步

安裝后門(mén)第三步

探測(cè)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全漏洞第六步

隱藏攻擊痕跡利用被侵入的主機(jī)(俗稱(chēng)“肉雞”)作為跳板進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的?P地址。使用多級(jí)代理，這樣在被入侵主機(jī)上留下的是代理計(jì)算機(jī)的9P

地址。偽造?P

地址。假冒用戶(hù)賬號(hào)。第一步

隱藏攻擊源第二步

收集網(wǎng)絡(luò)系統(tǒng)的信息1

、TiaceRoute程序。能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。2

、SnmP

協(xié)議。用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。3

、DnS

服務(wù)器。該服務(wù)器提供了系統(tǒng)中可以訪(fǎng)問(wèn)的主機(jī)?P地址表和它們所對(duì)應(yīng)的主

機(jī)

名

。4

、Whois協(xié)議。該協(xié)議的服務(wù)信息能提供所有有關(guān)的Dns

域和相關(guān)的管理參數(shù)。5

、Ping實(shí)用程序。可以用來(lái)確定一個(gè)指定的主機(jī)的位置或網(wǎng)線(xiàn)是否連通。第三步探測(cè)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全漏洞1、自編程序。對(duì)某些系統(tǒng)，互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在，但用戶(hù)由于不懂或

一時(shí)疏忽未打上網(wǎng)上發(fā)布的該系統(tǒng)的“補(bǔ)丁”程序，那么黑客就可以自己編寫(xiě)一段程

序進(jìn)入到該系統(tǒng)進(jìn)行破壞。2、慢速掃描。由于一般掃描偵測(cè)器的實(shí)現(xiàn)是通過(guò)監(jiān)視某個(gè)時(shí)間段里一臺(tái)特定主機(jī)發(fā)起的連接的數(shù)目來(lái)決定是否在被掃描，這樣黑客可以通過(guò)使用掃描速度慢一些的掃描軟件進(jìn)行掃描。3、體系結(jié)構(gòu)探測(cè)。黑客利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī)，使其作出相對(duì)應(yīng)的響應(yīng)。由于每種操作系統(tǒng)的響應(yīng)時(shí)間和方式都是不一樣的，黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫(kù)中的資料相對(duì)照，從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息。4、利用公開(kāi)的工具軟件。像審計(jì)網(wǎng)絡(luò)用的安全分析工具SaTan、Pntennd的電子安全

掃描程序71S

等一些工具對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全方面的漏洞。第四步

具體實(shí)施網(wǎng)絡(luò)攻擊根據(jù)前面兩小點(diǎn)所得的信息，建立一個(gè)類(lèi)似攻擊對(duì)象的模擬環(huán)境，然后對(duì)此模擬目標(biāo)進(jìn)行一系列的攻擊。在此期間，通過(guò)檢查被攻擊方的日志，觀察檢測(cè)工具對(duì)攻擊

的反應(yīng)，可以進(jìn)一步了解在攻擊過(guò)程中留下的“痕跡”及被攻擊方的狀態(tài)，以此來(lái)制

定一個(gè)較為周密的攻擊策略。入侵者根據(jù)前幾步所獲得的信息，同時(shí)結(jié)合自身的水平及經(jīng)驗(yàn)總結(jié)出相應(yīng)的攻擊方法，在進(jìn)行模擬攻擊的實(shí)踐后，將等待時(shí)機(jī)，以備實(shí)施真正的網(wǎng)絡(luò)攻擊。為什么?一次成功的入侵通常要耗費(fèi)攻擊者的大量時(shí)間與精力，所以精于算計(jì)的攻擊者在退出系統(tǒng)之前會(huì)在系統(tǒng)中安裝后門(mén)，以保持對(duì)已經(jīng)入侵主機(jī)的長(zhǎng)期控制。放寬系統(tǒng)許可權(quán)重新開(kāi)放不安全的服務(wù)修改系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等替換系統(tǒng)本身的共享庫(kù)文件安裝各種木馬，修改系統(tǒng)的源代碼第五步

安裝后門(mén)通常攻擊者的活動(dòng)在被攻擊主機(jī)上的一些日志文檔中會(huì)有記

載，如攻擊者的?P地址、入侵的時(shí)間以及進(jìn)行的操作等等，

這樣很容易被管理員發(fā)現(xiàn)。清除或篡改日志文件。改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。

利用前面介紹的代理跳板隱藏真實(shí)的攻擊者和攻擊路徑。第六步

隱藏攻擊痕跡(1)偽裝攻擊口

通過(guò)指定路由或偽造假地址，以假冒身份與其它主機(jī)進(jìn)行

合法通信、或發(fā)送假數(shù)據(jù)包，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作?？?/p>

如

?P欺騙(2)

探測(cè)攻擊通過(guò)掃描允許連接的服務(wù)和開(kāi)放的端口，能夠迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的

分配情況、提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)，以及系統(tǒng)漏洞情況常見(jiàn)的探測(cè)攻擊程序有：Mmap

、Neau

、Mdaplot

、Shadow

Senitg(3)嗅探攻擊將網(wǎng)卡設(shè)置為混雜模式，對(duì)以太網(wǎng)上流通的所有數(shù)據(jù)包進(jìn)行嗅探，以獲取敏感信息常見(jiàn)的網(wǎng)絡(luò)嗅探工具有：

SniflerPro、Tpdunp、Wiresharh

等(4)

解碼類(lèi)攻擊用口令猜測(cè)程序破解系統(tǒng)用戶(hù)帳號(hào)和密碼常見(jiàn)工具有：大OphtCrack、gohntheRipper、Caindtabel

、Saminside

、WinlogonHack等還可以破解重要支撐軟件的弱口令，例如使用apacheTomcatCrach破解Tomcat口令。(5)

緩沖區(qū)溢出攻擊通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行

的程序的功能，使攻擊者獲得程序的控制權(quán)。(6)欺騙攻擊利用TCPIIP協(xié)議本身的一些缺陷對(duì)TCPIIP網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：aRP

欺騙、DnS

欺騙、WeL欺騙等。(7)拒絕服務(wù)攻擊DoS攻擊的基本原理，就是向被攻擊者發(fā)送大量帶有虛假源地址的服務(wù)請(qǐng)求，占用

服務(wù)資源，最終被攻擊者的資源被耗盡，直到癱瘓的過(guò)程。(8)We腳本入侵網(wǎng)站存在大量漏洞，使得入侵成為可能。如黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進(jìn)行攻擊；也可以針對(duì)網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行攻擊，還可以在網(wǎng)頁(yè)中寫(xiě)入具有攻擊性的代碼；甚至可以通過(guò)圖片進(jìn)行攻擊We腳本攻擊常見(jiàn)方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫(kù)入侵等。(⑦)Oday,攻擊Oday通常是指還沒(méi)有補(bǔ)丁的漏洞，而Oday,攻擊則是指利用這種漏洞進(jìn)行的攻擊。O

day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅O

day,不但是黑客的最?lèi)?ài)，掌握多少0day也成為評(píng)價(jià)黑客技術(shù)水平的一個(gè)重要參數(shù)。(10)社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)是一種利用人的弱點(diǎn)，如人的本能反應(yīng)、好奇心、信任、貪便宜等進(jìn)行諸如欺騙等危害手段，獲取自身利益的手法。(10)社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)是一種利用人的弱點(diǎn)，如人的本能反應(yīng)、好奇心、信任、貪便宜等進(jìn)行諸如欺騙等危害手段，獲取自身利益的手法。從字面意義上講，有人可能會(huì)認(rèn)為T(mén)CP/IP

是指TCP

和

IP

兩種協(xié)議。實(shí)際生

活當(dāng)中有時(shí)也確實(shí)就是指這兩種協(xié)議。然而在很多情況下，它只是利用IP

進(jìn)行通信時(shí)所必須用到的協(xié)議群的統(tǒng)稱(chēng)。具體來(lái)說(shuō)，IP

或

ICMP、TCP或

UDP、

TELNET

或

FTP、以及HTTP

等都屬于TCP/IP

協(xié)議。他們與

TCP

或

IP

的關(guān)

系緊密，是互聯(lián)網(wǎng)必不可少的組成部分。TCP/IP

一詞泛指這些協(xié)議，因此，

有時(shí)也稱(chēng)TCP/IP

為網(wǎng)際協(xié)議群?；ヂ?lián)網(wǎng)進(jìn)行通信時(shí)，需要相應(yīng)的網(wǎng)絡(luò)協(xié)議，TCP/IP原本就是為使用互聯(lián)網(wǎng)而

開(kāi)發(fā)制定的協(xié)議族。因此，互聯(lián)網(wǎng)的協(xié)議就是TCP/IP,TCP/IP

就是互聯(lián)網(wǎng)

的協(xié)議

。應(yīng)用協(xié)議HTTP、SMTP、FTP、

TELNET

、SNMP路由控制協(xié)議RIP

、OSPF

、BGP傳輸協(xié)議TCP

、UDP網(wǎng)際協(xié)議IP/ICMP/ARPTCP/IP

協(xié)議群TCP/IP中有兩個(gè)具有代表性的傳輸層協(xié)議，分別是TCP

和

UDP。TCP是面向連接的、可靠的流協(xié)議。流就是指不間斷的數(shù)據(jù)結(jié)構(gòu)，當(dāng)應(yīng)用程序采用TCP

發(fā)送消息時(shí)，雖然可以保證發(fā)送的順序，但還是猶如沒(méi)有任何間隔的數(shù)據(jù)流發(fā)送給接收端。TCP

為提供可靠性傳輸，實(shí)行“順序控制”或“重發(fā)控制”機(jī)制。此

外還具備“流控制(流量控制)”、“擁塞控制”、提高網(wǎng)絡(luò)利用率等眾多功能。UDP

是不具有可靠性的數(shù)據(jù)報(bào)協(xié)議。細(xì)微的處理它會(huì)交給上層的應(yīng)用去完成。在UDP的情況下，雖然可以確保發(fā)送消息的大小，卻不能保證消息一定會(huì)到達(dá)。因此，應(yīng)用有時(shí)會(huì)根據(jù)自己的需要進(jìn)行重發(fā)處理。TCP和

UDP

的優(yōu)缺點(diǎn)無(wú)法簡(jiǎn)單地、絕對(duì)地去做比較：TCP用于在傳輸層有必要實(shí)現(xiàn)可靠傳輸?shù)那闆r；而在一方面，UDP主要用于那些對(duì)高速傳輸和實(shí)時(shí)性有較高要求的通信或廣播通信。TCP和

UDP應(yīng)該根據(jù)應(yīng)用的目的按需使用。TCP/UDP

傳輸層

在程序之間傳輸數(shù)據(jù)數(shù)據(jù)連接

VS

非連接對(duì)方是否收到內(nèi)容是否完整順序是否正確電話(huà)接通互相通話(huà)結(jié)束掛斷UDPTCP寫(xiě)信電話(huà)2.UDPUDP

不提供復(fù)雜的控制機(jī)制，利用IP

提供面向無(wú)連接的通信服務(wù)。并且它是將應(yīng)用程序發(fā)來(lái)的數(shù)據(jù)在收到的那一刻，立即按照原樣發(fā)送到網(wǎng)絡(luò)上的一種

機(jī)制。即使是出現(xiàn)網(wǎng)絡(luò)擁堵的情況，UDP

也無(wú)法進(jìn)行流量控制等避免網(wǎng)絡(luò)擁塞行為。此外，傳輸途中出現(xiàn)丟包，

UDP

也不負(fù)責(zé)重發(fā)。甚至當(dāng)包的到達(dá)順序出現(xiàn)亂序時(shí)也沒(méi)有糾正的功能。如果需要以上的細(xì)節(jié)控制，不得不交由采用UDP

的應(yīng)用程序去處理。UDP

常用于一下幾個(gè)方面：1.包總量較少的通信

(DNS、SNMP等);2.視頻、音頻

等多媒體通信(即時(shí)通信);3.

限定于LAN

等特定網(wǎng)絡(luò)中的應(yīng)用通信；4.廣播通信

(廣播、多播)。3.TCPTCP與UDP

的區(qū)別相當(dāng)大。它充分地實(shí)現(xiàn)了數(shù)據(jù)傳輸時(shí)各種控制功能，可以進(jìn)行丟

包時(shí)的重發(fā)控制，還可以對(duì)次序亂掉的分包進(jìn)行順序控制。而這些在UDP

中都沒(méi)有。

此

外

，TCP

作為一種面向有連接的協(xié)議，只有在確認(rèn)通信對(duì)端存在時(shí)才會(huì)發(fā)送數(shù)據(jù)，

從而可以控制通信流量的浪費(fèi)。根據(jù)TCP

的這些機(jī)制，在IP

這種無(wú)連接的網(wǎng)絡(luò)上也能夠?qū)崿F(xiàn)高可靠性的通信(主要

通過(guò)檢驗(yàn)和、序列號(hào)、確認(rèn)應(yīng)答、重發(fā)控制、連接管理以及窗口控制等機(jī)制實(shí)現(xiàn))。3.1三次握手TCP

提供面向有連接的通信傳輸。面向有連接是指在數(shù)據(jù)通信開(kāi)始之前先做好兩端之間的準(zhǔn)備工作。所謂三次握手是指建立一個(gè)TCP

連接時(shí)需要客戶(hù)端和服務(wù)器端總共發(fā)送三個(gè)包以確

認(rèn)連接的建立。在socket編程中，這一過(guò)程由客戶(hù)端執(zhí)行connect來(lái)觸發(fā)。第一次握手：客戶(hù)端將標(biāo)志位SYN置為1,隨機(jī)產(chǎn)生一個(gè)值seq=J,并將該數(shù)據(jù)包發(fā)送給服務(wù)器端，客戶(hù)端進(jìn)入SYN_SENT狀態(tài)，等待服務(wù)器端確認(rèn)。第二次握手：服務(wù)器端收到數(shù)據(jù)包后由標(biāo)志位SYN=1知道客戶(hù)端請(qǐng)求建立連接，服

務(wù)器端將標(biāo)志位SYN和ACK都置為1,

ack=J+1,隨機(jī)產(chǎn)生一個(gè)值seq=K,并將該數(shù)據(jù)

包發(fā)送給客戶(hù)端以確認(rèn)連接請(qǐng)求，服務(wù)器端進(jìn)入SYN_RCVD

狀態(tài)。第三次握手：客戶(hù)端收到確認(rèn)后，檢查ack是否為J+1,ACK是否為1,如果正確則將

標(biāo)志位ACK置為1,ack=K+1,并將該數(shù)據(jù)包發(fā)送給服務(wù)器端，服務(wù)器端檢查ack是否為K+1,ACK

是否為1,如果正確則連接建立成功，客戶(hù)端和服務(wù)器端進(jìn)入ESTABLISHED狀態(tài)，完成三次握手，隨后客戶(hù)端與服務(wù)器端之間可以開(kāi)始傳輸數(shù)據(jù)

了。SYN-SENDESTABLISHEDSYN-RCVDESTABLISHED服務(wù)端Listen客戶(hù)端InitSYNSYN+ACK三次握手ACK丟包問(wèn)題

亂序問(wèn)題發(fā)送緩沖

11213

…

1DD-199ACK=100發(fā)送報(bào)文

序列號(hào)

長(zhǎng)度

數(shù)據(jù)內(nèi)容回復(fù)確認(rèn)ACK=

序列號(hào)+長(zhǎng)度下一包起始序列號(hào)切割發(fā)送根據(jù)序列號(hào)和長(zhǎng)度重組丟失重發(fā)ESTABLISHED·

四次揮手即終止TCP連接，就是指斷開(kāi)一個(gè)TCP連接時(shí)，需要客戶(hù)端

和服務(wù)端總共發(fā)送4個(gè)包以確認(rèn)連接的斷開(kāi)。在socket編程中，這一過(guò)

程由客戶(hù)端或服務(wù)端任一方執(zhí)行close來(lái)觸發(fā)?！?/p>

由于TCP連接是全雙工的，因此，每個(gè)方向都必須要單獨(dú)進(jìn)行關(guān)閉，這一原則是當(dāng)一方完成數(shù)據(jù)發(fā)送任務(wù)后，發(fā)送一個(gè)FIN來(lái)終止這一方向

的連接，收到一個(gè)FIN

只是意味著這一方向上沒(méi)有數(shù)據(jù)流動(dòng)了，即不會(huì)

再收到數(shù)據(jù)了，但是在這個(gè)TCP

連接上仍然能夠發(fā)送數(shù)據(jù)，直到這一

方向也發(fā)送了FIN

。首先進(jìn)行關(guān)閉的一方將執(zhí)行主動(dòng)關(guān)閉，而另一方則

執(zhí)行被動(dòng)關(guān)閉。中斷連接端可以是客戶(hù)端，也可以是服務(wù)器端。第一次揮手：客戶(hù)端發(fā)送一個(gè)FIN=M,用來(lái)關(guān)閉客戶(hù)端到服務(wù)器端的數(shù)據(jù)傳送，客戶(hù)端

進(jìn)入FIN_WAIT_1狀態(tài)。意思是說(shuō)"我客戶(hù)端沒(méi)有數(shù)據(jù)要發(fā)給你了",但是如果你服務(wù)器端

還有數(shù)據(jù)沒(méi)有發(fā)送完成，則不必急著關(guān)閉連接，可以繼續(xù)發(fā)送數(shù)據(jù)。第二次揮手：服務(wù)器端收到FIN后，先發(fā)送ack=M+1,

告訴客戶(hù)端，你的請(qǐng)求我收到了，但是我還沒(méi)準(zhǔn)備好，請(qǐng)繼續(xù)你等我的消息。這個(gè)時(shí)候客戶(hù)端就進(jìn)入FIN_WAIT_2狀態(tài)，繼

續(xù)等待服務(wù)器端的FIN報(bào)文。第三次揮手：當(dāng)服務(wù)器端確定數(shù)據(jù)已發(fā)送完成，則向客戶(hù)端發(fā)送FIN=N報(bào)文，告訴客戶(hù)端，

好了，我這邊數(shù)據(jù)發(fā)完了，準(zhǔn)備好關(guān)閉連接了。服務(wù)器端進(jìn)入LAST_ACK

狀態(tài)。第四次揮手：客戶(hù)端收到FIN=N報(bào)文后，就知道可以關(guān)閉連接了，但是他還是不相信網(wǎng)絡(luò)，

怕服務(wù)器端不知道要關(guān)閉，所以發(fā)送ack=N+1

后進(jìn)入TIME_WAIT狀態(tài)，如果Server

端沒(méi)有

收到ACK

則可以重傳。服務(wù)器端收到ACK

后，就知道可以斷開(kāi)連接了?？蛻?hù)端等待了2MSL

后依然沒(méi)有收到回復(fù)，則證明服務(wù)器端已正常關(guān)閉，那好，我客戶(hù)端也可以關(guān)閉連

接了。最終完成了四次握手?？蛻?hù)端ESTABLISHEDFIN-WAIT-1FIN-WAIT-2TIME-WAITCLDSED四次揮手第一次揮手第四次揮手第二次揮手第三次揮手CLOSE-WAITLAST-ACK服務(wù)端ESTABLISHEDACKFINACK關(guān)閉連接CLOSEDFIN數(shù)據(jù)包性能損耗少

資源占用少穩(wěn)定可靠速度快

□.comUDP協(xié)議TCPVSUDP無(wú)狀態(tài)穩(wěn)定性弱在TCP/IP網(wǎng)絡(luò)中，如果兩臺(tái)主機(jī)之間要實(shí)現(xiàn)可靠的數(shù)據(jù)傳輸，首先要通過(guò)三次握手方式建立主

機(jī)之間的TCP

連接，但在TCP

連接過(guò)程中很容易出

現(xiàn)一個(gè)嚴(yán)重的安全問(wèn)題TCP

SYN泛洪攻擊TCP

SYN泛洪攻擊TCP

SYN泛洪攻擊如果在第一次握手過(guò)程中，源主機(jī)A發(fā)送給目的主機(jī)B的SYN

報(bào)文段中的IP地址是偽造的，同時(shí)源主機(jī)A

同

時(shí)向目的主機(jī)B發(fā)送大量的SYN

報(bào)文段。這時(shí)，對(duì)于目

的主機(jī)B來(lái)說(shuō)會(huì)正常接收這些SYN報(bào)文段，并發(fā)送SYN+ACK確認(rèn)報(bào)文段。由于目的主機(jī)B接收到的SYN報(bào)

文段中的IP地址都是偽造的，所以發(fā)送出去的SYN+ACK

確認(rèn)報(bào)文段全部得不到回復(fù)。在目的主機(jī)B的

隊(duì)列中存在大量的“半開(kāi)放狀態(tài)”的連接，最終將隊(duì)列的存儲(chǔ)空間填滿(mǎn)，并因資源耗盡而癱瘓。服務(wù)器(目的主機(jī)B)攻擊主機(jī)(源主機(jī)A)ACK:ack=A+1-ACK:ack=B+1一?←SYN:seq=Y—SYN:seq=DACK:ack=C+1SYN:seq=XACK:ack=D+1-SYN:seq=W時(shí)間TCP

SYN泛洪攻擊TCP

SYN泛洪攻擊的工作過(guò)程-SYN:seq=A-SYN:seq=B?-SYN:seq=Z時(shí)間TCPSYN

泛洪的防范口可以在Windows注冊(cè)表內(nèi)配置TCP/IP參數(shù)，以便保護(hù)服務(wù)器免遭網(wǎng)絡(luò)級(jí)別的TCP

SYN泛洪攻擊。下面以Windows

2000/2003為例進(jìn)行介紹。1

修

改

注

冊(cè)

表SynAttackProtect機(jī)制是通過(guò)關(guān)閉某些socket

選項(xiàng)，增加額外的連接指示和減少超時(shí)時(shí)間，使系統(tǒng)能處理更

多的SYN

連接，以達(dá)到防范SYN

攻擊的目的。①找到注冊(cè)表位置：HKEY

LOCAL

MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters②

新

建DWORD值，名為SynAttackProtect。值名稱(chēng)值(REG

_

D

WORD)SynAttackProtect2TcpMaxPortsExhausted1TcpMaxHalfOpen500TcpMaxHalfOpenRetried400TcpMaxConnectResponseRetransmissions2TcpMaxDataRetransmissions2EnablePMTUDiscovery0KeepAliveTime300000(5分鐘)NoNameReleaseOnDemand1注冊(cè)表中建議值Windows

操作系統(tǒng)提供了netstat命令來(lái)顯示當(dāng)前

TCP/IP網(wǎng)絡(luò)的連接情

況。查看命令：

netstat/?2

Windows操作系統(tǒng)已開(kāi)放端口的查看方法ActiveConnectionsProto

Local

Address82:203002:2033Foreign

Address:0:0:0:8:07:1863

47:80

9:80216-239.57.99=88命令提示符C:Docunents

andSettings\Adninistrator>netstat-naTIME_VAIT

TIME_VAITTIME_WAITIME_WAIT2

Windows操作系統(tǒng)已開(kāi)放端口的查看方法·netstat-S按照各個(gè)協(xié)議分別顯示其統(tǒng)計(jì)數(shù)據(jù)?！etstat

-e顯示關(guān)于以太網(wǎng)的統(tǒng)計(jì)數(shù)據(jù)·netstat-r顯示路由表的信息.·netstat

-a顯示一個(gè)所有的有效連接信息列表·netstat-n顯示所有已建立的有效連接?！跞绻贒OS窗口中輸入了netstat

-nab命令，還將顯示每個(gè)連接都是由哪些程序創(chuàng)建的。Windows

操作系統(tǒng)已開(kāi)放端口的查看方法:0:0:0:07:18637:13921:139

21:13921:139LISTENINGLISTENINGESTABLISHEDTIME_VAIT

TIME_WAIT

TIME_VAITTCP

172.16.1.102:139TCP

02:103382:2131

02:213382:214102:2143588TCPView-Sysinternals:FileOptionsProcessViewHelpXA-T團(tuán)ProcessProtocolLocalAddressRemote

Address:StateIEXPLORE.EXE:3684IEXPLORE.EXE:3684魚(yú)香I

XPLORE.EXE:3684◎EXPLORE.EXE:3684□Isass.exe:1096Isass.exe:1096Isass.exe:1096msnmsggr.exe:712msnmsgr.exe:712msnmsgr.exe:712msnmsgr.exe:712msnmsgr.exe:712QQ.exe:1004QQ.exe:10004QQ.exe:1004QQ.exe:10004A

QQ.exe:10004QQ.exe:1004A

QQ.exe:10004QQ.exe:10004A

QQ.exe:10004A

QQ.exe:10004QQ.exe:10004訊QQ.exe:1004AQQ.exe:10004Rtvscan.exe:452svchost.exe:1388svchost.exe:1480svchost.exe:1480TCPTCPTCPTCPTCPUDPUDPTCPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPUDPTCPTCPUDPUDPchina-osvo4vuat:2310china-osvo4vuat:2311china-0svo4vuat:2313china-osv04vuat:2315

china-osvo4vuat:1025u15198698.onlinehome

13:http

9:http9:http

china-0svo4vuat:0ESTABLISHEDCLOSE_WAITESTABLISHEDESTABLISHEDLISTENINGchina-osv04vuat:isakmp

**china-osvo4vuat:ipsec-*★china-osvo4vua:1033china-0svo4vuat:1046

china-osv04vuat:1034baym2-cs77.message...ESTABLISHED**china-0svo4vuat.discard*★china-osvo4vuat:48952

*china-osv04vuat:40000

大china-osvo4yuat:6000china-osvo4vuat:6001china-osvo4vuat:60002china-osvo4vuat:6003尖、中china-0svo4vuat:6004

tchina-osv04vuat:6005

★china-osvo4yuat:6006大.★china-0svo4vuat:6007china-osv04yuat:6008china-0svo4vuat:6009china-osvo4vuat:6010china-osvo4vuat:1037china-osvo4vuat:2967china-osv04vuat:epmapchina-osv04vuat:1026china-osvo4vuat:1042LISTENINGLISTENING口另

外

，也可以使用一些專(zhuān)門(mén)的端口監(jiān)

視軟件來(lái)查看本機(jī)打開(kāi)了哪些端口。這類(lèi)軟件非常多，如Tcpview

、PortReporter、綠鷹PC

萬(wàn)

能精靈、

網(wǎng)絡(luò)端口

查看器等。Windows

操作系統(tǒng)已開(kāi)放端口的查看方法*.*china-osvo4vua:0china-0svo4vuat:0各類(lèi)大★口端口是應(yīng)用層程序(進(jìn)程)與傳輸層協(xié)議

(TCP

或UDP)

之間的連接通道?？谕ㄟ^(guò)端口限制功能，可以只允許計(jì)算機(jī)通過(guò)指定的TCP或UDP端口來(lái)通信，其他端口的通信功

能將被全部關(guān)閉?？诩僭O(shè)在一臺(tái)Web服務(wù)器上只開(kāi)放TCP80端口，

只允許用戶(hù)使用系統(tǒng)默認(rèn)的TCP

80端口訪(fǎng)問(wèn)服務(wù)

器上的HTTP

頁(yè)面，而無(wú)法從事其他的網(wǎng)絡(luò)訪(fǎng)問(wèn)，

以加強(qiáng)對(duì)專(zhuān)用Web服務(wù)器的安全保護(hù)。限

制

T

C

P

端

口TCP/IP篩選?啟用TCP/IP篩選(所有適配器)(正)C全部允許P)6只允許Y)TCP端口

80添加

刪除(R)

確定

取消屬

性

(

F

)描述

：TCP/IP

篩選允許您控制連接到您的

Windows

計(jì)算機(jī)的

TCP/IP

網(wǎng)絡(luò)流量類(lèi)型。高級(jí)

TCP/IP

設(shè)置限制TCP

端口

選

項(xiàng)可選的設(shè)置Q):◎全部允許I)

C只允許L)IP協(xié)議

取消◎全部允許血)UDP端口冊(cè)除V)刪除⑩確

定篩

選TCP/IP口通過(guò)限制主機(jī)的TCP或UDP

的端口，可以對(duì)一些

專(zhuān)業(yè)服務(wù)器進(jìn)行安全保護(hù)。如果一臺(tái)服務(wù)器上提

供了Web、FTP、Mail等多項(xiàng)服務(wù)，同一項(xiàng)服務(wù)(如Web)

還可能同時(shí)存在多個(gè)站點(diǎn)，且不同站

點(diǎn)采取不同的安全保護(hù)策略。

限制TCP

端口

DnS安全DNS

攻擊相關(guān)案例和影響口事件：百度網(wǎng)站被伊朗網(wǎng)軍攻擊2010年1月12日晨7時(shí)起百度

(baidu.com)

出現(xiàn)了長(zhǎng)時(shí)間無(wú)法訪(fǎng)問(wèn)故障，網(wǎng)民訪(fǎng)問(wèn)百度首頁(yè)時(shí)發(fā)現(xiàn)，網(wǎng)頁(yè)會(huì)被重

定向到一個(gè)位于荷蘭的IP地址。上午10點(diǎn)多，百度對(duì)大面積癱瘓事件進(jìn)行了首次回應(yīng)，

稱(chēng)由于www.baidu.com的域名在美國(guó)域名注冊(cè)商處被非法

篡改，導(dǎo)致百度不能被正常訪(fǎng)問(wèn)。這一事件是自百度建立以來(lái)，所遭遇的持續(xù)時(shí)間最長(zhǎng)、影響最嚴(yán)重的黑客攻擊。被攻擊前被攻擊后DomainNane:BAIDU.CORRegistrar:REGISTER.COM,IBC.WhoisServer;Referral

URL:http://www.xegister,comUpdated

Date:03-dec-2008Creation

Date:11-oct-1999Expiration

Date:11-oct-2014DonainHane:BAIDU.COMRegistrar:REGISTER

COM,INC.ThoisServer:Referral

URL;http://www.reister,conUpdated

Date:12-jan-2010Creation

Date:11-oct-1999Expiration

Date:11-oct-2014百度攻擊事件前baidu.com最后修改的時(shí)間是2008年

12月3號(hào)，到期日期是2014年8月11號(hào)。百度攻擊事件

后修改的時(shí)間變?yōu)槭?010

年的1月12號(hào)。百度被攻擊前和攻擊后的相關(guān)信息對(duì)比如下：DNS

攻擊相關(guān)案例和影響httn://

/百度

一

下，你就矢

知

道面ALL游戲

淘

淘寶特賣(mài)

Google□IT貓撲社區(qū)-Power.…□IT貓撲門(mén)戶(hù)資訊網(wǎng)…體育運(yùn)動(dòng)▼□好251百

度新聞

網(wǎng)頁(yè)

貼吧

知道音樂(lè)圖片視頻

地圖

百科文庫(kù)

更多》》百度一下C:Docunents

and

Settings

Administrator>ping

w.baidu.comPingingWU.[43]with32bytesofdata:nanlyfrom43:bytes=32time=26msTTL=54Replyfrom43:bytes=32

time=59msTTL=54Reply

from

43:bytes=32

time=129ms

TTL=54Reply

from

43:bytes=32

time=29ms

TTL=54Ping

statistics

for

43:Packets:Sent=4,Received=4,Lost=0(zloss),Approximate

round

trip

times

in

nilli-seconds:Mininun=26ms,Maximum=129ms,Average=60ms1.DNS

概述220.181.112.143為了解決主機(jī)IP

地址與主機(jī)名之間的對(duì)應(yīng)關(guān)系，

Internet網(wǎng)絡(luò)信息中心制定了一套稱(chēng)為域名系統(tǒng)(Domain

Name

System,DNS)的分層名字解析

方案，當(dāng)DNS用戶(hù)提出IP地址查詢(xún)請(qǐng)求時(shí)，就可

以由DNS

服務(wù)器中的數(shù)據(jù)庫(kù)提供所需的數(shù)據(jù)。1.DNS

概述口

簡(jiǎn)單地講，DNS協(xié)議的最基本的功能是對(duì)主機(jī)名與對(duì)應(yīng)的IP地址之間建立映射關(guān)系?？诶纾吕司W(wǎng)站的一個(gè)IP地址202.106.184.200,幾乎所有瀏覽該網(wǎng)站的用戶(hù)都是使用www.s,互聯(lián)網(wǎng)域名注冊(cè)證書(shū)Internet

Domain

RegistrationCertificate注醋者：腹門(mén)市海滄區(qū)鴻泰興塑膠工藝廠(chǎng)

編號(hào)：CEDOMAINO0024364乳膠腳勢(shì)en乳服酶

中國(guó)汽車(chē)乳膠腳墊，中國(guó)有效日期：2007年1月22日

至2017年1月22日科技集團(tuán)酸份.a

證道

一新的本證注不可材斷而并非使用IP地址來(lái)訪(fǎng)問(wèn)。2.DNS

的功能及組成www.hc360.com-

C

全

力pAwwWCENETCN域

名：73a2.DNS

的功能及組成口使

用

主

機(jī)

名(

域

名

)

比

直

接

使

用IP地址具有以下兩點(diǎn)好處：口

主機(jī)名便于記憶，如si.cn?？?/p>

數(shù)字形式的IP地址可能會(huì)由于各種原因而改變，而主機(jī)名可以保持不變。頂級(jí)域名服務(wù)器.edu域名服務(wù)器域.

.c

……三級(jí)域名……四級(jí)域名

服務(wù)器務(wù)器om名su口

圖顯示了頂級(jí)域的名字空間及下一級(jí)子域之間的樹(shù)型結(jié)構(gòu)關(guān)系，圖中的每一個(gè)節(jié)點(diǎn)以及其下的所有節(jié)點(diǎn)叫做一

個(gè)域。域可以有主機(jī)(計(jì)算機(jī))和其他域(子域)。.edu.cn

.域名服務(wù)器

域名服務(wù)器

域名服務(wù)器.cn域名服務(wù)器域名服務(wù)器域名服務(wù)器域名服務(wù)器2.DNS

的功能及組成根域名服務(wù)器.hk域名服務(wù)器域名服務(wù)器服務(wù)器服務(wù)器多計(jì)算機(jī)科學(xué)家將根域名服務(wù)器稱(chēng)作“真理”

(TRUTH)。域名服務(wù)器

頂級(jí)域名服務(wù)器域名服務(wù)器.

.域名

服

務(wù)

器

域

名

服

務(wù)

器.cn

)域名服務(wù)器

2.DNS

的功能及組成

口

全球共有13臺(tái)根邏輯域名服務(wù)器。這13臺(tái)邏輯根域名服務(wù)器中名字分別為

“A”至

“M”,

真實(shí)的根服務(wù)器在2014年1月25日的數(shù)據(jù)為386臺(tái)，分布于全球各大洲?？?/p>

根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國(guó)外，許二級(jí)域名服務(wù)器·

三級(jí)域名

服務(wù)器……四級(jí)域名服務(wù)器.edu域

名

服

務(wù)

器.域名服務(wù)器域名服務(wù)器.hk域名服務(wù)器.域名服務(wù)器.com域

名

服

務(wù)

器.域

名

服

務(wù)

器字母IPv4地址舊名稱(chēng)運(yùn)作單位AernVeriSignB01南加州大學(xué)信息科學(xué)研究所C2Cogent

CommunicationsD3馬里蘭大學(xué)學(xué)院市分校E0NASAF41互聯(lián)網(wǎng)系統(tǒng)協(xié)會(huì)G192.112.36.4美國(guó)國(guó)防部國(guó)防信息系統(tǒng)局H3aos.arl.a美國(guó)國(guó)防部陸軍研究所I192.36.148.17瑞典奧托諾米嘉公司J192.58.128.30VerisignK193.0.14.129荷蘭RIPENCCL2ICANNM3日本W(wǎng)IDE

Project2.DNS

的功能及組成■中國(guó)鐵通，2%■中國(guó)電信，57%■阿里云，1%_■中國(guó)移動(dòng)，9%一■其他，6%■中國(guó)聯(lián)通，25%■中國(guó)電信■中國(guó)聯(lián)通

■其他■中國(guó)移動(dòng)■阿里云■中國(guó)鐵通我國(guó)DNS服務(wù)器網(wǎng)絡(luò)服務(wù)提供商③查詢(xún)com

名字服務(wù)器根服務(wù)器④查詢(xún)sina.com名字服務(wù)器.com名字服務(wù)器⑥將.名字服務(wù)器Web客

戶(hù)

端

http傳輸服務(wù)器3.DNS

的解析過(guò)程⑤查詢(xún)www.sina.com

對(duì)應(yīng)的IP地址對(duì)應(yīng)的IP地址發(fā)送給查詢(xún)主機(jī)②DNS服務(wù)器中獲得DNS服務(wù)器①本在查詢(xún)sina

yahoocom口域名查詢(xún)服務(wù)1.

分布式自己的數(shù)據(jù)由自己維護(hù)，而其他

人的數(shù)據(jù)則分散在全球全球最大的分布式數(shù)據(jù)庫(kù)系統(tǒng)

以樹(shù)狀結(jié)構(gòu)的方式找到目的地

址(每個(gè)結(jié)點(diǎn)需被授權(quán))2.

穩(wěn)定負(fù)載平衡：可由Master

主機(jī)自由

的復(fù)制到Slave

主機(jī)備份：一個(gè)域名可有多臺(tái)主機(jī)共同服務(wù)(輪流查詢(xún))互聯(lián)網(wǎng)DNS

服務(wù)

器

DNS

服

務(wù)

器電信線(xiàn)路

網(wǎng)通線(xiàn)路工作站

工作站電信用戶(hù)

網(wǎng)通用戶(hù)服務(wù)器

服務(wù)器

服務(wù)器

服務(wù)器電信服務(wù)群

網(wǎng)通服務(wù)群域名策略解析+獨(dú)立負(fù)載均衡3.DNS

的解析過(guò)程口域名查詢(xún)服務(wù)3.

樹(shù)狀結(jié)構(gòu)經(jīng)由全球統(tǒng)一的

Root

Server

達(dá)到正確搜尋的目的RootServer

共十三部，每一部可能都有許多

Mirror(如

f.root-有二三十部)4.

效率使用UDP

封包查詢(xún)速度基本上都在100

msec

內(nèi)使用

Cache

技術(shù)來(lái)加快

DNS

的查詢(xún)3.DNS

的解析過(guò)程暴風(fēng)服務(wù)器DNSpod運(yùn)營(yíng)商DNS

服務(wù)器暴風(fēng)海量用戶(hù)案例分析正常情況異常情況黑客攻擊DNS

的安全問(wèn)題1.緩存中毒利用了DNS

緩存機(jī)制，在DNS

服務(wù)器的緩存中存入大量

錯(cuò)誤的數(shù)據(jù)記錄主動(dòng)供用戶(hù)查

詢(xún)。例如將查詢(xún)指向某一個(gè)特定的服務(wù)器，使所有通過(guò)該DNS

查詢(xún)的用戶(hù)都訪(fǎng)問(wèn)某一個(gè)網(wǎng)站的主頁(yè)；或?qū)?/p>

所有的郵件指向某一臺(tái)郵件服務(wù)器，

攔截利用該DNS

進(jìn)行解析的郵件360實(shí)時(shí)保護(hù)-

攔截到對(duì)本機(jī)的ARP攻擊檢測(cè)到DBS欺騙攻擊，已攔截攻擊者可能偽造IP/MAC地址發(fā)起攻擊，達(dá)到隱藏自身的目的，您可以通過(guò)追蹤攻擊源來(lái)定位攻擊者，建議您將追蹤到的信息

反饋給網(wǎng)絡(luò)管理員或者網(wǎng)絡(luò)服務(wù)提供商。如何解決攻擊問(wèn)題?自動(dòng)攔截此類(lèi)攻擊，不再提示(可在設(shè)置中重新選擇)確定偽裝的IP:192.168.10.1攻擊者M(jìn)AC:00-25-86-A7-F9-BA攻擊者機(jī)器名：攻擊類(lèi)型：DNS欺騙追蹤攻擊源IP1.緩存中毒由于DNS服務(wù)器之間會(huì)進(jìn)行記錄的同步復(fù)制，

所以在TTL內(nèi)，緩存中毒的DNS

服務(wù)器有可能將錯(cuò)

誤的記錄發(fā)送給其他的DNS

服務(wù)器，導(dǎo)致更多的

DNS服務(wù)器中毒。正如DNS的發(fā)明者PaulMockapetris所說(shuō)：中毒的緩存就像是“使

人

們

走

錯(cuò)

方向的

假

冒

路牌”。

2.拒絕服務(wù)攻擊DNS

服務(wù)器在互聯(lián)網(wǎng)中的關(guān)鍵作用使它很容易

成為攻擊者進(jìn)行攻擊的目標(biāo)DNS

服務(wù)器對(duì)大量的攻擊沒(méi)有相應(yīng)的防御能力現(xiàn)在使用的DNS

采用了樹(shù)型結(jié)構(gòu)，

一旦DNS

服

務(wù)器不能提供服務(wù)，其所轄的子域都將無(wú)法解析

客戶(hù)端的域名查詢(xún)請(qǐng)求。3.域名劫持域名劫持通常是指通過(guò)采用非法

手段獲得某一個(gè)域名管理員的賬戶(hù)和

密碼，或者域名管理郵箱，然后將該

域名的IP地址指向其他的主機(jī)(該主

機(jī)的IP地址有可能不存在)。域名被劫持后，不僅有關(guān)該域名

的記錄會(huì)被改變，甚至該域名的所有

權(quán)可能會(huì)落到其他人的手里。S

緩存，百度被黑地區(qū)DN吳

委派電信服務(wù)商0:61.5001HUB10.00.10S20210602E01000yIatenetChient我在這里哦baidu.com服務(wù)器集群百度域名劫持詳解BDC銀河系超級(jí)黑客10.00.12

S這個(gè)“男”人來(lái)自“伊朗”3.域名劫持Exchange

Leade:1000.50修改百度DNS

記

錄wwWFTP31000.100PDCMalExchange外網(wǎng)主DNS80:202.10601輔助DNSPDC4.信息泄露■如系統(tǒng)、版本等信息泄漏■發(fā)現(xiàn)軟件版本有助于攻擊者探測(cè)服務(wù)器。利用版本發(fā)

現(xiàn)攻擊DNS

的方法是查詢(xún)版本文件，造成的后果是軟

件版本泄密?！霾榭催h(yuǎn)程DNS

服務(wù)器版本號(hào)-nslookup一

server

x.X.X.X-set

class=chaos-set

type=txt-version.bind4.信息泄露■如系統(tǒng)、版本等信息泄漏■發(fā)現(xiàn)軟件版本有助于攻擊者探測(cè)服務(wù)器。利用版本發(fā)

現(xiàn)攻擊DNS

的方法是查詢(xún)版本文件，造成的后果是軟

件版本泄密?！霾榭催h(yuǎn)程DNS

服務(wù)器版本號(hào)-nslookup一

server

x.X.X.X-set

class=chaos-set

type=txt-version.bindDNS

安全擴(kuò)展1.DNSSEC

的基本原理域名系統(tǒng)安全擴(kuò)展(DNSSEC)

是在原有的

域名系統(tǒng)(DNS)

上通過(guò)公鑰技術(shù)，對(duì)DNS中的信息進(jìn)行數(shù)字簽名，從而提供DNS

的安

全認(rèn)證和信息完整性檢驗(yàn)。1.DNSSEC

的基本原理具體原理為：發(fā)送方：口首先使用Hash

函數(shù)對(duì)要發(fā)送的DNS

信息進(jìn)行計(jì)算，得到固定長(zhǎng)度的“信息摘要”;口然后對(duì)“信息摘要”用私鑰進(jìn)行加密，此過(guò)程實(shí)現(xiàn)了對(duì)

“信息摘要”的數(shù)字簽名；口最后將要發(fā)送的DNS信息、該DNS信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，

一起發(fā)送出來(lái)。1.DNSSEC

的基本原理具體原理為：接收方：口首先使用對(duì)應(yīng)的公鑰對(duì)接收到的數(shù)字簽名進(jìn)行解密，得到“信息摘要”;口用相同的Hash函數(shù)對(duì)接收到的DNS信息進(jìn)行運(yùn)算，得到運(yùn)算后的“消息摘要”

;口進(jìn)行比較，如果兩者相同，可確認(rèn)消息是合法的。2.DNSSEC

機(jī)制根域US

CNcom

net國(guó)家和地區(qū)頂級(jí)域

通用頂級(jí)域schoorentop新通用頂級(jí)域biz

info后增通用頂級(jí)域

3.DNSSEC

的應(yīng)用現(xiàn)狀

□DNSSEC作為對(duì)目前DNS的安全擴(kuò)展□可有效地防范DNS存在的各種攻擊，保證客戶(hù)端

收到的DNS記錄的真實(shí)性和完整性?！鮀NSSEC與原有的DNS具有向下的兼容性，在實(shí)現(xiàn)

上具有可行性?！鯊?997年第一個(gè)有關(guān)DNSSEC的標(biāo)準(zhǔn)RFC2065發(fā)布，

中間經(jīng)過(guò)幾次修訂使其更加可用?！?010年5月5日，互聯(lián)網(wǎng)史上又一個(gè)重要的日

子，全球13臺(tái)DNS根服務(wù)器升級(jí)到支持DNSSEC的版本。3.DNSSEC

的應(yīng)用現(xiàn)狀3.DNSSEC

的應(yīng)用現(xiàn)狀口各個(gè)國(guó)家基本上都意識(shí)到DNSSEC對(duì)于互聯(lián)網(wǎng)體系的重要性，也在一層一層往下部署?！鮅CANN

(The

Internet

Corporation

forAssigned

Names

and

Numbers)

正在全面部署DNSSEC,它為用戶(hù)DNS

查詢(xún)的每一步增加一個(gè)數(shù)字簽名驗(yàn)證，以防止第三方偽造DNS數(shù)據(jù)。

3.DNSSEC

的應(yīng)用現(xiàn)狀

口從DNS到DNSSEC的轉(zhuǎn)換不可能在短期內(nèi)完成，需要一個(gè)漸進(jìn)的過(guò)程?！跸扔嗅槍?duì)性地建立一些安全區(qū)域，如.cn、net等，然后再向其他區(qū)域擴(kuò)展。當(dāng)整個(gè)Internet

部署了DNSSEC后，所有的信任將集中到根域下。3.DNSSEC

的應(yīng)用現(xiàn)狀DNSSEC

崩潰時(shí)怎么辦?口

當(dāng)DNSSEC崩潰，分布在全世界的7個(gè)人將拿著密鑰，來(lái)到美國(guó)的一個(gè)秘密數(shù)據(jù)中心合作解開(kāi)DNSSEC

的根密鑰，

重建DNSSEC?！?個(gè)人只需5位就能破解根密鑰——這種加密方法被稱(chēng)為Shamir'sSecretSharing口密鑰被分成幾部分，每一部分都獨(dú)一無(wú)二，其中幾

部分或全部聯(lián)合起來(lái)就能解密密鑰。3.DNSSEC

的應(yīng)用現(xiàn)狀DNS系統(tǒng)的安全設(shè)置1.

選擇安全性較高的DNS服務(wù)器軟件□Internet

上大量的DNS服務(wù)器軟件使用的是基于UNIX/Linux的BIND軟件，目前最新版本為BIND9.x。最新版本的BIND軟件支持許多安全特性，如支持DNSSEC,解決了早期版

本中存在的一些安全漏洞等?？?/p>

對(duì)于Windows

NT服務(wù)器來(lái)說(shuō)，建議使用高版本的系統(tǒng)。

2.限制端口

□DNS

在工作時(shí)使用UDP

53和TCP53端口進(jìn)行通信。其中，

DNS服務(wù)器會(huì)同時(shí)監(jiān)聽(tīng)這兩個(gè)端口，DNS

客戶(hù)端通過(guò)UDP53端口與DNS

服務(wù)器之間進(jìn)行域名解析的請(qǐng)求和應(yīng)

答，而TCP

53端口用于DNS區(qū)域之間的數(shù)據(jù)復(fù)制。在控制面板-->管理工具-->服務(wù)中把DNS

Client和DHCPclient兩個(gè)服務(wù)組件啟動(dòng)，而且設(shè)置成自動(dòng)。再進(jìn)行清除緩存：點(diǎn)擊“開(kāi)始”-

“運(yùn)行”

一輸入cmd

并點(diǎn)擊“確定”,在命令提示符

窗口中鍵入：

ipconfig/flushdns。修復(fù)本地連接Windows無(wú)法完成修復(fù)問(wèn)題，因?yàn)橄铝胁僮鳠o(wú)法完成：清除

DNS

緩存要獲得協(xié)助，請(qǐng)與網(wǎng)絡(luò)管理員聯(lián)系。關(guān)

閉3

.

清

除

緩

存

DHCP概

述1.什么是DHCPDHCP:DynamicHostConfigurationProtocol(動(dòng)態(tài)

主機(jī)配置協(xié)議)能為網(wǎng)絡(luò)內(nèi)的客戶(hù)端計(jì)

算機(jī)自

動(dòng)分配TCP/IP配置

信息(如IP地址、子網(wǎng)掩碼、

默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器地

址等),從而省去網(wǎng)絡(luò)管理

員手動(dòng)配置相關(guān)選項(xiàng)的工

作。如果網(wǎng)絡(luò)支持些功能，則可以獲取自動(dòng)指派的

IP

設(shè)置。否則，

您需要從網(wǎng)絡(luò)系統(tǒng)管理員處獲得適當(dāng)?shù)?/p>

IP

設(shè)置。◎自動(dòng)獲得IP地址(0)◎使用下面的

IP

地址(S):

IP

地址I):子網(wǎng)掩碼(U):默認(rèn)網(wǎng)關(guān)(①):◎自動(dòng)獲得DNS

服務(wù)器地址(B)◎使用下面的

DNS

服務(wù)器地址(CE):協(xié)議版本4(TCP/IPv4)

屬

性備用配置首選

DNS

服務(wù)器(P):備用DNS服務(wù)器(A):高

級(jí)(V).….Internet常

規(guī)確定

取消□退出時(shí)驗(yàn)證設(shè)置(L)手動(dòng)配置TCP/IP自動(dòng)配置TCP/IP√

IP地址需要在每臺(tái)客戶(hù)

端手動(dòng)配置√

可能輸入錯(cuò)誤的或無(wú)效

的IP地址√

錯(cuò)誤的IP地址可能導(dǎo)致

通訊和網(wǎng)絡(luò)故障的發(fā)生√

當(dāng)客戶(hù)端經(jīng)常移動(dòng)時(shí)，

導(dǎo)致管理工作量很大√

IP地址自動(dòng)提供給每臺(tái)

客戶(hù)端√

保證客戶(hù)端總是使用正

確的配置信息√

當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，

客戶(hù)端配置信息自動(dòng)更新

√

可以避免一些常見(jiàn)的網(wǎng)

絡(luò)問(wèn)題2.為什么要用DHCP服務(wù)?3.應(yīng)用場(chǎng)景□手動(dòng)配置IP地

址

：口網(wǎng)絡(luò)模型比較??；□比較重要的服務(wù)器(DNS、DHCP、

Web等

)□自

動(dòng)

配

置IP地址

：口網(wǎng)絡(luò)模型比較大時(shí)或移動(dòng)客戶(hù)端。DHCPDatabaseIPAddress1:Leased

to

DHCP

Client1IPAddress2:Leased

to

DHCP

Client2IP

Address3:Available

to

be

leased104DHCP

Clientl:DHCP服務(wù)器：向網(wǎng)絡(luò)中的客戶(hù)端分發(fā)P

地址。以數(shù)據(jù)庫(kù)的形式存儲(chǔ)可分發(fā)的

IP地址，并按順序分發(fā)P地址給客戶(hù)端。

(總是從庫(kù)中第一個(gè)未分配的地址開(kāi)

始

)Lease

DHCP客戶(hù)端：網(wǎng)卡Ip地址配置為自動(dòng)獲取，需要從

DHCP服務(wù)器租用IP地址的客戶(hù)端4.DHCP服務(wù)器怎么分配IP

地址給客戶(hù)端非DHCP客戶(hù)端：網(wǎng)卡IP地址為手動(dòng)指定，即配置了靜態(tài)Ip地址的客戶(hù)端Non-DHCP

Client:Static

IPconfigurationDHCP

Client2:IPconfigurationfrom

DHCP

serverLease

Generation4.DHCP

服務(wù)器怎么分配IP

地址給客戶(hù)端DHCPServer221

、租約的發(fā)現(xiàn)階段：

DHCP客戶(hù)端以廣播的方式發(fā)送DHCPDISCOVER包2、IP租約的提供階段：

DHCP服務(wù)器以單播的方式發(fā)送DHCP

OFFER包3、IP租約請(qǐng)求階段：

DHCP客戶(hù)端以廣播的方式發(fā)送DHCP

REQUEST包4、IP租約確認(rèn)階段：

DHCP

Server1服務(wù)器以單播的方式發(fā)送DHCP

ACK包DHCPServerlDHCPClient5.

幾點(diǎn)說(shuō)明

□DHCP服務(wù)器默認(rèn)的租約是8天□DHCP客戶(hù)端當(dāng)租約到達(dá)一

半

(即50%)時(shí)，進(jìn)行第

一

次續(xù)約□如果第一次續(xù)約不成功，DHCP客戶(hù)端會(huì)在租約到達(dá)四

分之三

(即87.5%)時(shí)，進(jìn)行第二次續(xù)約■如果第二次續(xù)約不成功，DHCP

客戶(hù)端會(huì)在租約到期

(即100%)時(shí)，進(jìn)行新的租約申請(qǐng)□如果續(xù)約成功，則從成

功

開(kāi)

始

算

起，租期為DHCP

服

務(wù)

器分配的租期(默認(rèn)為8天)

DHCP

安

全

問(wèn)

題口

由

于DHCP客戶(hù)端在獲得DHCP服務(wù)器的P地址等信息時(shí)，系統(tǒng)

沒(méi)有提供對(duì)合法DHCP服務(wù)器的認(rèn)證，所以DHCP客戶(hù)端從首先得到DHcp響應(yīng)(DHCPOFFER)的

DHCP服務(wù)器處獲得Ip地址等信息。1.

安全隱患DHCPServer2DHCPServerlDHCPClient口

當(dāng)一臺(tái)運(yùn)行有DHCP客戶(hù)端程序的計(jì)算機(jī)連接到網(wǎng)絡(luò)中時(shí)，即使是一個(gè)

沒(méi)有權(quán)限使用網(wǎng)絡(luò)的非法用戶(hù)

也

能很容易地從DHCP服務(wù)器獲得一個(gè)IP地址及網(wǎng)關(guān)、

DNS等信息，成為網(wǎng)絡(luò)的合

法使用者。1.

安全隱患DHCP

Server2DHCPServerlDHCPClient□DHCP

服務(wù)器不能發(fā)現(xiàn)網(wǎng)絡(luò)上非DHCP

客戶(hù)機(jī)已經(jīng)在使用的IP

地址?！?/p>

IP地址沖突口不能管理非DHCP

客戶(hù)機(jī)IP地址1.

安全隱患DHCP

Server2DHCPServerlDHCPClientInternet路由器三層交換機(jī)正常的DHCP響應(yīng)?？?/p>

戶(hù)端獲得正確的IP地

址、網(wǎng)關(guān)、DNS等信息DHCP服務(wù)器非法的DHCP響應(yīng)?？蛻?hù)端獲得不正確的IP地址、網(wǎng)關(guān)

、DNS等信息非法DHCP服務(wù)

器□一臺(tái)非法DHCP服務(wù)器接入到了網(wǎng)絡(luò)中，并冒充為一這個(gè)網(wǎng)段中的合法DHCP服務(wù)器。2.攻擊示例DHCP客戶(hù)端DHCP客戶(hù)端交換機(jī)Internet路由器三層交換機(jī)正常的DHCP響應(yīng)?？蛻?hù)端獲得正確的IP地址、網(wǎng)關(guān)、DNS等信息DHCP服務(wù)器非法的DHCP響應(yīng)?？蛻?hù)端獲得不正確的IP地址、網(wǎng)關(guān)

、DNS等信息非法DHCP服務(wù)器口攻擊者可以發(fā)送數(shù)千個(gè)DHCP

請(qǐng)求向服務(wù)器獲取地址，而服務(wù)器無(wú)

法判斷請(qǐng)求是否真實(shí)，因此最終

會(huì)耗盡所有的可用IP地址2.攻擊示例DHCP客戶(hù)端DHCP客戶(hù)端交換機(jī)

非法DHCP服務(wù)的防范□DHCPSnooping能夠過(guò)濾來(lái)自

網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報(bào)文?？?/p>

在交換機(jī)上，當(dāng)某一端口設(shè)置為非信任端口時(shí)，可以限制客戶(hù)端特定的IP地址、MAC

地址或VLANID等報(bào)文通過(guò)。Internet信任端口

DHCP

服務(wù)器非信任端口在非信任端口

上的DHCP響應(yīng)

報(bào)文將被阻斷路由器三層交換機(jī)在信任端口上的DHCP響

應(yīng)報(bào)文將允許通過(guò)，客戶(hù)

端將獲得正確的IP地址、網(wǎng)關(guān)、DNS

等參數(shù)交換機(jī)1.使用DHCPSnooping信任端口非

法DHCP

服務(wù)器DHCP

客戶(hù)端DHCP

客戶(hù)端□

一旦將交換機(jī)的某一端口設(shè)置為指向正確DHCP服務(wù)器的接入端口，則交換機(jī)會(huì)自動(dòng)

丟失從其他端口上接收到的DHCP響應(yīng)報(bào)文。1.使用DHCPSnooping信任端口Internet路由器三層交換機(jī)在信任端口上的DHCP響

應(yīng)報(bào)文將允許通過(guò)，客戶(hù)

端將獲得正確的IP地址、網(wǎng)關(guān)、DNS

等參數(shù)交換機(jī)信任端口

DHCP

服務(wù)器非信任端口在非信任端口

上的DHCP響應(yīng)

報(bào)文將被阻斷非

法DHCP

服務(wù)器DHCP

客戶(hù)端DHCP

客戶(hù)端口設(shè)定監(jiān)測(cè)主機(jī)，具有固定的IP、Mac、子網(wǎng)掩碼等信息，仍允許DHCP協(xié)

議

，并對(duì)比信息內(nèi)容2.反DHCP

冒充技術(shù)核心交換機(jī)(

如Cisco6006)交換機(jī)

交換機(jī)交換機(jī)vlahi監(jiān)測(cè)主機(jī)Vian2監(jiān)測(cè)主機(jī)vlaN監(jiān)測(cè)主機(jī)DHCP

Server3.修改DHCP協(xié)議，實(shí)現(xiàn)對(duì)IP

地址管理收到DHCPDISCOVER報(bào)文IP地址池選擇地址IP沖突檢測(cè)P

地址是否在使用N構(gòu)造DHCPOFFER

報(bào)文4.在DHCP

服務(wù)器上進(jìn)行IP

與MAC

地址的綁定

口在通過(guò)DHCP

服務(wù)器進(jìn)行客戶(hù)端IP地址等參數(shù)分配的網(wǎng)絡(luò)中，對(duì)于一些重要部門(mén)的用戶(hù)，可以通過(guò)在DHCP

服務(wù)器上綁定IP與MAC

地址，實(shí)現(xiàn)對(duì)指定計(jì)算機(jī)IP地址的安全分配。

DHCP+

介

紹□DHCP+

認(rèn)證技術(shù)是一種基于DHCP協(xié)議控制終端用戶(hù)的IP地址分配，實(shí)現(xiàn)控制用戶(hù)接入上網(wǎng)的認(rèn)證鑒權(quán)技術(shù)。PDALaptop運(yùn)營(yíng)商/

SP

第1門(mén)戶(hù)(WLANIP

CamWork

PCWireless

Media

PlayerOther

fileMedia

PCInternetsharingADSL/Cable□DHCP+

的認(rèn)證過(guò)程如下：□

(1)DHCP

用戶(hù)通過(guò)廣播找到DHCP

服務(wù)器，□

(2)從回應(yīng)的多個(gè)DHCP

服務(wù)器中選一個(gè)提出申請(qǐng)□

(3)該服務(wù)器接受之后，

通過(guò)認(rèn)證用戶(hù)的有關(guān)信息，確認(rèn)是合法用戶(hù)之后，就把相關(guān)參數(shù)傳送給用戶(hù)?！?/p>

(4)用戶(hù)得到這些參數(shù)之后，就能直接進(jìn)入Internet

網(wǎng)進(jìn)行通信，而所有的通信流無(wú)需經(jīng)過(guò)DHCP服務(wù)器。aRP安全目錄1

ARP

概

述2

ARP

欺騙3

ARP

欺騙的防范通過(guò)ARP傳播的病毒什么是ARP地址解析協(xié)議ARP

(Address

Resolve

Protocol)

逆地址解析協(xié)議RARPIP

地址

ARP

物理地址物理地址

RARP

IP

地址不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址。每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存(ARP

cache),里

面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP

地址到硬件地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個(gè)主機(jī)

B發(fā)送IP

數(shù)據(jù)報(bào)時(shí)，就先在其ARP高速緩存中查看有無(wú)主機(jī)

B

的

IP

地址。如

有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫(xiě)入MAC

幀，然后通過(guò)局域網(wǎng)將該MAC

幀發(fā)往此硬件地址。什么是ARP主機(jī)A

廣播發(fā)送ARP

請(qǐng)求分組

我是,硬件地址是00-00-C0-15-AD-18我想知道主機(jī)的硬件地址ARP請(qǐng)求

ARP請(qǐng)求ARP請(qǐng)求

ARP請(qǐng)求我是209.0.0.6硬件地址是08-00-2B-00-EE-0AARP

響應(yīng)B08-00-2B-00-EE-0AX

2

.0.0.500-00-C0-15-AD-18A09A00-00-C0-15-AD-18主機(jī)B向A發(fā)送

ARP響應(yīng)分組BZX

ARP

Table

動(dòng)態(tài)更新規(guī)則

源主機(jī)在發(fā)出ARP