信息安全工程及管理 CISP认证培训教程 -2-网络安全.ppt

1、信息安全技术网络安全,中国信息安全产品测评认证中心（CNITSEC） CISP-2-网络安全（培训样稿）,今天的主题,网络基础 网络中面临的威胁 针对网络设备的攻击 拒绝服务（DoS）攻击 欺骗攻击 网络嗅探 网络设备安全 拒绝服务攻击（DoS）的防御策略 IPSec与VPN技术,INTERNET的美妙之处 在于你和每个人都能互相连接 INTERNET的可怕之处 在于每个人都能和你互相连接,网络基础,OSI参考模型,ISOOSI网络体系结构 网络体系结构分层的目的 OSI参考模型的层次划分 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层,OSI层次划分原则,应该把层次分成理论上需要

2、的不同等级，减少过多的层次； 每一层都应该较好地履行其特定的功能； 每一层的功能选定都基于已有成功经验的国际标准协议； 每一层的界面都应该选在服务描述最少、通过接口的信息流量最少的地方； 把类似的功能集中在同一层内，使之易于局部化； 当在数据处理过程中需要不同级别抽象时，则设立一个层次； 一个层次内的功能或协议更改时不影响其它各层； 只为每一层建立与其相邻的上一层和下一层的接口； 在需要不同的通信服务时，可在同一层内再形成子层次，不需要时也可绕过该子层次。,TCP/IP协议层次模型,TCP/IP协议分层并不完全对应OSI模型 应用层 Telnet FTP DNS SMTP 传输层 TCP UD

3、P 网络层 IP ICMP ARP RARP 网络接口层 X.25 Ethernet,Telnet,SMTP,DNS,FTP,UDP,TCP,IP,TOKEN RING,无线网络,SATNET,ETHERNET,TCP/IP模型与潜在风险,常见黑客攻击方式,应用层：应用程序和操作系统的攻击与破坏 网络层：拒绝服务攻击和数据窃听风险 传输层：拒绝服务攻击 硬件设备与数据链路：物理窃听与破坏,Internet 的安全问题的产生,Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues a

4、re not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策,网络安全的物理范围,网络安全的语义范围,保密性 完整性 可用性 可控性,安全的级别,Public,Internal,Confidential,Secret,Web SiteData,MarketingData,PayrollData,TradeSecrets,局域网的特性,局域网典型特性 高数据传输率 短距离 低误码率 常用的局域网介质访问控制技术 载波监听多路访问/冲突检测(CS

5、MA/CD)技术 令牌控制技术 令牌总线控制技术 光纤分布数据接口(FDDI)技术,局域网安全管理,良好的网络拓扑规划 对网络设备进行基本安全配置 合理的划分VLAN 分离广播域 绑定IP地址与Mac地址 配置防火墙和IDS设备 使用内容监控与病毒过滤,良好的网络规划,网络安全规划原则 合理的分配地址 合理的网络拓扑结构 通过VLAN分隔网络 通过域或工作组确定用户权限 建立良好的网络安全制度,网络设备安全配置,关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备硬件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型,广域网的概念和特性,广域网是覆盖地理范围相

6、对较广的数据通信网络。 网络的规模和分类： 局域网(LAN，local area network)可覆盖一个建筑物或一所学校; 城域网(MAN，metropolitan area network)可覆盖一座城市; (WAN，wide area network)可覆盖多座城市、多个国家或洲。,广域网的构成和种类,广域网的参考模型 广域网的构成 广域网的种类 X.25 帧中继 ATM,广域网安全管理,良好的网络拓扑规划 对网络设备进行基本安全配置 确保路由协议安全 使用ACL进行数据过滤 使用AAA加强访问控制和认证,网络中面临的威胁,交换机-Vlan穿越,原因 由于802.1q帧标记插在帧的目的

7、、源MAC地址之后，交换机的端口收到特殊构造的带有802.1q标记的帧后可以正确识别 如果交换机不知道目的MAC，就将帧转发到同一VLAN的所有端口 在CISCO交换机上，端口缺省的VLAN为1，即使设为trunk模式也不会改变 成功攻击的条件 源与目的主机接在不同的交换机上，交换机之间必须通过trunk link连接 源主机必须与trunk端口位于同一vlan 源主机必须知道目的主机的MAC地址 目的主机能够通过三层设备访问源主机,交换机-Vlan穿越,对策 将所有user-end端口都从vlan1中排除 将trunk接口划分到一个单独的vlan中，该vlan中不应包含任何user-end接

8、口,交换机-针对CDP攻击,说明 Cisco专用协议，用来发现周边相邻的网络设备 链路层帧，30s发送一次，目标MAC：01:00:0C:CC:CC:CC 可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息 在所有接口上默认打开 危害 任何人可以轻松得到整个网络信息 可以被利用发起DoS攻击：http:/www.phenoelit.de/irpas/ 对策 如不需要，禁止CDP 禁止User-End端口的CDP,交换机-针对STP攻击,说明 Spanning Tree Protocol 防止交换网络产生回路 Root Bridge BPDU-bridge ID, pat

9、h cost, interface 攻击 强制接管root bridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。 BPDU Flood：消耗带宽，拒绝服务 对策 对User-End端口，禁止发送BPDU,交换机-针对VTP攻击,作用 Vlan Trunking Protocol 统一了整个网络的VLAN配置和管理 可以将VLAN配置信息传递到其它交换机 动态添加删除VLAN 准确跟踪和监测VLAN变化 模式 Server, Client, Transparent 脆弱性 Domain：只有属于同一个Domain的交换机才能交换Vlan信息

10、set vtp domain netpower Password：同一domain可以相互通过经MD5加密的password验证，但password设置非必需的，如果未设置password，可能构造VTP帧，添加或者删除Vlan。 对策 设置password 尽量将交换机的vtp设置为Transparent模式：set vtp domain netpower mode transparent password sercetvty,路由器-发现路由,通过tracertroute命令 最后一个路由容易成为DoS攻击目标,路由器-猜测路由器类型,端口扫描 操作系统堆栈指纹 登陆旗标（banner）

11、其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示,路由器-缺省帐号,路由器-密码,Cisco路由器的密码 弱加密 MD5加密 Enable secret 5,路由器-SNMP,SNMP 版本 SNMPv1,SNMPv2,SNMPv3 Snmp Agent MIB 轮循(Polling-only)和中断(Interupt-base) Community String Snmp网管软件,SNMP工作模式,轮询模式 管理工作站 =Network =Agent(Listen:UDP 161)= Deviceget指令转换成snmp消息格式 验证权限，处理请求并反馈管理工

12、作站 =Network =Agent= Device 自陷模式管理工作站(Listen:UDP 162) =Network = Agent= Device监听UCP 162转换成snmp消息格式 当设备事件发生时主动反馈信息,路由器-针对snmp攻击,利用读、写口令字下载配置文件 针对SNMP的暴力破解程序 CISCO SNMP越权访问可写口令字 ,拒绝服务攻击,定义DoS （Denial of Service ） 拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。 DDoS （Distributed Denial of service） 分布式拒绝服务攻击使用了分布式客户

13、服务器功能，能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。,DDoS攻击示意图,分布式拒绝服务攻击示意图,DoS攻击举例,Syn Flood Icmp Smurf（directed broadcast） Udp Flood Icmp Ping Flood TARGA3(堆栈突破) 操作系统级别的拒绝服务（SMBDie） 应用级别的拒绝服务（pcanywhere）,DDoS攻击类型,Trinoo TFN TFN2K Stacheldraht FunTime Apocalypse,Syn Flood,SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式

14、拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。,Syn Flood,发起方,应答方,正常的三次握手建立通讯的过程,Syn Flood,攻击者,受害者,伪造地址进行SYN请求,不能建立正常的连接,Icmp Smurf,Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。 攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（

15、echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。 这种攻击的前提是，路由器接收到这个发送给IP广播地址（如55）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器人因特网上接收到该分组，会对本地网段中的所有主机进行广播。,Icmp Smurf,网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。 由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地

16、址设置为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。 这种攻击不仅影响目标系统，还影响目标系统的网络状况。,Icmp Smurf,阻塞Smurf攻击的源头 Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。 阻塞Smurf的反弹站点 用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网

17、络。 如果不能阻塞所有入站echo请求，用户就需要将自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。,Udp Flood,UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪 一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的c

18、hargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽,Udp Flood,禁止相关服务 与网络设备配合,Icmp Ping Flood,Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了Ping to Death的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息

19、来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。 如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。,Icmp Ping Flood,正常情况下，Ping的流程是这样的: 主机A发送ICMP 8,0报文给主机B 主机B回送ICMp 0,0报文给主机A 因为ICMP基于无连结，假设现在主机A伪装成主机C发 送ICMP 8,0报文，结果会怎么样呢?显然，主机B会以为 是主机C发

20、送的报文而去回应主机C，结构如下： 伪装为主机C 错误的回复 主机A-主机B-主机C 这种情况下，由于主机A只需要不断发送Ping报文而不 需要处理返回的EchoReply，所以攻击力度成倍的增 加，同时实际上主机B和主机C都是被进攻的目标，而 且不会留下攻击者的痕迹。,Icmp Flood,禁止相关服务 与网络设备配合,TARGA3(堆栈突破),TARGA3 攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。 典型代表是

21、winnuke，jolt，teardrop等,TARGA3(堆栈突破),升级操作系统 与IDS等安全产品配合,操作系统级别的拒绝服务,Microsoft操作系统对畸形的SMB（Server Message Block）请求存在漏洞,应用级别的拒绝服务,包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。 典型代表是pcanywhere的拒绝服务问题,应用级别的拒绝服务,PCAnywhere 存在因端口扫描导致的 DoS 攻击 发布日期: 2000-4-27 受影响的系统: Symante

22、c PCAnywhere 9.2 Symantec PCAnywhere 9.0 Symantec pcAnywhere 8.0.2 描述: 在遭受到nmap 2.30BETA21的TCP SYN 扫描之后, PcAnyWhere将停止响应，只有重新启动服务才能正常运行。,应用级别的拒绝服务,升级相关软件 与安全产品配合,Trinoo介绍,影响平台: Linux, Solaris, Unix 风险级别: 高 攻击类型: 基于网络，基于主机的 Trin00 是一种分布式拒绝服务的工具。攻击者使用该工具可以控制多个主机，利用这些主机向其他主机发送UDP flood。Trin00控制者可以给Trin

23、00主机守护程序制造多种请求。 使用UDP包开始flood主机 使用UDP包终止flood主机 修改主机主流程序的UDP flood配置,Trinoo介绍,Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是： 攻击者主机到主控端主机：27665/TCP 主控端主机到代理端主机：27444/UDP 代理端主机到主服务器主机：31335/UDP,TFN介绍,影响平台: Linux, Solaris, Unix 风险级别: 高 攻击

24、类型: 基于网络，基于主机的Tribe Flood Network, TFN,是一种分布式拒绝服务的工具，使用该工具可以使攻击者利用多个主机，一次flood一个目标。有四种不同类型的flood： ICMP Echo flood UDP Flood SYN Flood Smurf攻击,TFN介绍,TFN客户机和服务器使用ICMP echo互相发送响应包进行通讯。 TFN由主控端程序和代理端程序两部分组成，具有伪造数据包的能力。,TFN2K介绍,影响平台: Linux, Solaris, Unix 风险级别: 高 攻击类型: 基于网络，基于主机的Tribe Flood Network 2000 (

25、TFN2k) 是一种分布式拒绝服务的工具，可以实施多种类型的flood攻击一个主机。TFN2k由客户端和主机驻留程序组成。客户端控制一个多个主机主流程序，主机主流程序对目标主机进行flood。客户端可以使用UDP、 TCP或ICMP与主机主流程序进行通讯，并可以隐藏欺骗发包的源IP地址。,TFN2K介绍,TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。,Stacheldraht介绍

26、,影响平台: 任何平台 风险级别: 高 攻击类型: 基于网络的 Stacheldraht是一种分布式拒绝服务的工具，它是利用Tribe Flood Network (TFN)和Trin00源代码编制的工具。除具有TFN和Trin00的功能外，Stacheldraht 对客户机、主人服务器（或称为操作者）及代理之间进行加密通讯。还可以利用rcp命令远程升级代理（提供帐号和服务器名称）。 Stacheldraht是专为Linux和Solaris设计的，但是只需对源代码进行一些修改，就可以安装到任何系统。,Stacheldraht介绍,Stacheldraht也是从TFN派生出来的，因此它具有TFN

27、的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。,FunTime Apocalypse介绍,影响平台: Windows 9x, NT, 2K 风险级别: 高 攻击类型: 基于网络的 Funtime Apocalypse 是Windows 9x和Windows NT平台的分布式拒绝服务(DDoS)工具，攻击者可以调用一个timer fused flood一个目标计算机。Funtime Apocalypse 由以下文件组成: 一个flood程序 (bmb2.

28、exe) 一个主机文件 (funtime.txt) 一些批处理文件(funtime.bat, timer98.bat和timerNT.bat) 两个Windows HTML应用程序(funtime98.hta 和 funtimeNT.hta) Funtime 需要攻击者对批处理文件和Windows HTML应用程序进行修正，否则将不能实施攻击,DDoS攻击特性,DDoS攻击将越来越多地采用IP欺骗的技术； DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势; DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的

29、弱点的DDoS攻击将会增多; DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍; 采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。 采用ICMP攻击。 采用smurf攻击 采用UDP攻击。,IP欺骗,原理 IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。 TCP三次握手 DoS攻击 序列号取样和猜测 预防 抛弃基于地址的信任策略 进行包过滤 加密 使用随机化初始序列号,ARP欺骗,实现简易 指定ARP包中的源IP、目标IP、源MAC、目标MAC Arp_send.c 危害 嗅探 导致windows 9x、NT IP冲突死机 Flooding 导致网

30、络异常,共享环境下的嗅探技术,原理 在以太网中是基于广播方式传送数据 网卡置于混杂模式下可以接收所有经的数据 工具 Sniffer pro、IRIS、netxray tcpdump、snoop、dsniff,安全事件案例,2002年4月某校园网被攻击 原因：管理员工作站被攻击 后续：跳跃攻击其它主机,交换环境下的嗅探技术,arpspoof，fragroute，dsniff,网络设备安全配置,路由设备安全配置,关闭不必要的设备服务 使用强口令或密码 加强设备访问的认证与授权 升级设备固件或OS 使用访问控制列表限制访问 使用访问控制表限制数据包类型,Cisco路由器的安全配置,使用加密的强密码

31、service password-encryption enable secret pa55w0rd 使用分级密码策略 enable secret 6 pa55word privilege exec 6 show 使用用户密码策略 user name password pass privilege exec 6 show,Cisco路由器安全配置,控制网络线路访问 access-list 8 permit 0 access-list 8 permit *.*.*.* access-list 8 deny any line vty 0 4 access-class 8 in

32、 设置网络连接超时 Exec-timeout 5 0,以上措施可以保证路由器的密码安全,Cisco路由器安全配置,禁用交换机HTTP服务器 no ip http server 禁用CDP发掘协议 no cdp run 禁用交换机NTP服务器 no ntp enable 禁用低端口简单服务 no service-udp-small-services no service-udp-small-services 禁用Finger服务 no service finger,以上措施可以降低路由器遭受应用层攻击的风险,Cisco路由器安全配置,禁用简单网络管理协议 no snmp-server enabl

33、e 使用SNMPv3加强安全特性 snmp-server enable traps snmp auth md5 使用强的SNMPv1通讯关键字 snmp-server communityname,以上三者不可同时使用，如果必要使用SNMP 安全性123,Cisco路由器安全配置,认证与日志管理 使用AAA加强设备访问控制 日志管理 logging on logging buffered 36000,Cisco路由器安全配置,禁用IP Unreachable报文 禁用ICMP Redirect报文 no ip redirect 禁用定向广播 no ip directed-broadcast 禁用

34、ARP代理 no ip proxy-arp 使用IP验证 Ip verify unicast reverse-path 禁用IP源路由选项 no ip source-route,Cisco路由器安全配置,启用TCP截获特性防止DoS攻击 创建截获访问控制列表 起用TCP截获特性 设置截获模式 设置门限制 设置丢弃模式,Cisco路由器安全配置,使用访问控制列表限制访问地址 使用访问控制列表限定访问端口 使用访问控制列表过滤特定类型数据包 使用访问控制列表限定数据流量 使用访问控制列表保护内部网络,拒绝服务攻击的防御策略,第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取

35、决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。 第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。,Syn Flood 解决办法,动态分析受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、

36、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合,Syn Flood 其它办法,Syn Flood 其它办法,负载均衡基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名

37、解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。,检测DDoS攻击,根据异常情况分析 访问量突然剧增，经过sniffer分析，有大量的非正常的包，如没有正常的tcp三次握手，或者是三次握手后没有正常的关闭连接，或者大量的广播包，或者大量的icmp包，这说明极其有可能是遭受DDoS攻击。 外部访问突然变慢，或者访问不到，可是主机的访问量却不大，这很有可能是路由器的配置出现问题，询问一下是否有人对路由器等设备进行过操作，或者你的对等ISP的线路出现问题。 主机突然反应很迟钝。这要经过sniffer进行侦听，这有两种可能，一种是流量确实很大，

38、有可能是遭受DoS攻击，还有就是应用程序编写有误，导致系统资源耗尽。,检测DDoS攻击,使用DDoS检测工具 使用工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 使用ngrep监听工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3,SYNflood,UDPflood,ICMPflood和smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕

39、获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽量详细的日志记录。,DDoS攻击的对策,与网络服务提供商协作 能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求他们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问他们的路由器。,DDoS攻击的对策,安装IDS和监控异常流量。 在防卫攻击

40、方面，安装IDS可以发现是否有入侵行动正在进行，立即对入侵行动进行报警。以最快时间内对入侵做成反应。此外，也要时常监控网络流量，注意是否有异常的流量产生。 优化对外提供服务的主机 对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配置。此外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。,DDoS攻击的对策,立即启动应付策略，尽可能快的向回追踪攻击包 如果发现攻击并非来自内部应当立即与服务提供商取得联系。由于攻击包的源地址很有

41、可能是被攻击者伪装的，因此不必过分的相信该地址。应当迅速的判断是否遭到了拒绝服务攻击，因为在攻击停止后，只有很短的一段时间您可以向回追踪攻击包，这最好和安全公司或组织一道来追查攻击者。 与信息安全监察部门联系 由于系统日志属于电子证据，可以被非法修改。所以一旦攻击发生，应该及时与信息安全监察部门联系，及时提供系统日志作为证据保全，以利于追查和起诉攻击者，便于日后用法律手段追回经济损失,DDoS预防方法,限制ICMP数据包出站速率 Interface xx Rate-limit output access-group 102 256000 8000 8000 conform-action tra

42、nsmit exceed-action drop Access-list 102 permit icmp any any echo Access-list 102 permit icmp any any echo-reply,DDoS预防方法,限制SYN数据包连接速率 Interface xx Rate-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action drop Access-list 103 deny tcp any host xx.xx.xx.xx established Ac

43、cess-list 103 permit tcp any host xx.xx.xx.xx,DDoS预防方法,RFC1918约定过滤 Interface xx Ip access-group 101 in Access-list 101 deny ip 55 any Access-list 101 deny ip 55 any Access-list 101 deny ip 55 any Access-list 101 permit ip any any,DDoS预防方法,RFC2728约定过滤 入口数据包必须来自客户地址 出口数据包不能来自客户 确保检查入口数据包有效,DDoS预防方法,验证单点传送反向路径 检查数据包的返回路径是否使用与到达相同接口，以缓解某些欺骗数据包 需要路由CEF（快速向前传输）特性 在存在非对称路径时不适合,IPSec与VPN技术,VPN技术,虚拟专用网（Virtual Private Network）：在公众网络上所建立的企业网络，且此企业网络拥有与专用网络相同的安全、管理及功能等特