信息安全技術

網絡安全——堅韌不拔、追求卓越議題網絡基礎概述網絡體系結構網絡協議安全分析網絡中面臨的威脅針對網絡設備的攻擊拒絕服務（DoS）攻擊欺騙攻擊網絡嗅探網絡設備安全網絡服務的安全拒絕服務攻擊（DoS）的防御策略INTERNET的美妙之處在于你和每個人都能互相連接INTERNET的可怕之處在于每個人都能和你互相連接OSI參考模型ISO／OSI網絡體系結構

網絡體系結構分層的目的

OSI參考模型的層次劃分

應用層表示層

會話層

傳輸層網絡層

數據鏈路層物理層

TCP/IP協議層次模型TCP/IP協議分層并不完全對應OSI模型應用層TelnetFTPDNSSMTP傳輸層TCPUDP網絡層IPICMPARPRARP網絡接口層X.25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太網無線網絡SATNETARPNETTCP/IP模型與潛在風險應用程序攻擊拒絕服務攻擊數據監聽和竊取硬件設備破壞常見黑客攻擊方式應用層：應用程序和操作系統的攻擊與破壞網絡層：拒絕服務攻擊和數據竊聽風險傳輸層：拒絕服務攻擊硬件設備與數據鏈路：物理竊聽與破壞Internet的安全問題的產生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能、配置、安全網絡協議的開放性與系統的通用性目標可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權威和統一的政策安全政策、計費政策、路由政策網絡安全的語義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)局域網的特性

局域網典型特性高數據傳輸率短距離低誤碼率常用的局域網介質訪問控制技術載波監聽多路訪問/沖突檢測(CSMA/CD)技術令牌控制技術令牌總線控制技術光纖分布數據接口(FDDI)技術局域網安全管理良好的網絡拓撲規劃對網絡設備進行基本安全配置合理的劃分VLAN分離數據廣播域綁定IP地址與Mac地址配置防火墻和IDS設備使用內容監控與病毒過濾良好的網絡規劃網絡安全規劃原則合理的分配地址合理的網絡邏輯結構通過VLAN分隔邏輯網絡通過域或工作組確定用戶權限建立良好的網絡安全制度網絡設備安全配置關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數據包類型廣域網的概念和特性廣域網是覆蓋地理范圍相對較廣的數據通信網絡。網絡的規模和分類：局域網(LAN，localareanetwork)可覆蓋一個建筑物或一所學校;城域網(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個國家或洲。廣域網的構成和種類廣域網的參考模型廣域網的構成廣域網的種類X.25幀中繼ATM廣域網安全管理良好的網絡拓撲規劃對網絡設備進行基本安全配置確保路由協議安全使用ACL進行數據過濾使用AAA加強訪問控制和認證分層模型網絡分層的概念：網絡協議按結構化層次方式組織，每層完成一定的功能，每層都建在其下層之上，并通過層間接口向上層提供服務，將服務實現的細節對上層隱蔽。

優點：減少復雜性，維護、修改相對容易、不同節點之間的對等層可以通過共享數據格式來進行通信

網絡的分層連同其相應協議叫網絡體系架構。TCP/IP，OSI，SNA，DNA等OSI模型(1)國際標準組織ISO(InternationalOrganizationforStandardization)提出了開放式系統互聯網絡體結架構(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機互連的標準框架，為連接分散的“開放”系統提供了基礎——任何兩個遵守OSI標準的系統均可實施互連。

七層網絡體系架構，這七層網絡自底向上分別是：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層，各層完成一定的功能，每層為其上層網絡提供支持，這種支持表現為數據(信息)的封裝：SegmentPacketFrameOSI模型(2)OSI模型各層功能簡述A：為應用進程訪問OSI環境提供手段，并為應用進程提供服務，關心數據的語義，如WWWP：提供數據的句法，處理通信雙方之間的數據表示問題，如ASCIIS:提供一種經過組織的方法在用戶之間交換數據,如SQLT：資源子網與通信子網的界面和橋梁，端到端的通信N：通信子網與網絡高層的界面，用戶進人網絡、以及網絡之間互連的接口，主機到主機的通信，即尋址D：進行鏈路上的數據傳輸，物理尋址P：物理設備間的接口，電平信號或光信號TCP/IP體系架構TCP/IP由美國DODResearchProjectsAgency—DARPA）70年代開發。包括了一組協議。

采用了網絡分層的概念,一般稱為DOD體系結構。分為4層：自底向上分別是：網絡接口層、網絡互聯層、傳輸層、應用層。

TCP/IP各層功能簡述應用層：向用戶提供一組常用的應用程序，如FTP，HTTP，TELNET等，用戶亦可在TCP/UDP基礎上定義專有應用。傳輸層：提供應用程序間（即端到端）的通信，格式化信息流、提供可靠傳輸及解決不同應用程序的識別問題

網絡互連層：負責相鄰計算機之間的通信

網絡接口層：負責收發數據包并通過網絡傳輸

OSI模型與DOD體系對照TCP/IP協議棧物理層安全網絡層安全傳輸層安全應用層安全TCP/IP協議安全分析TCP/IP協議集TCP/IP（傳輸控制協議/網間協議）是一組網絡通信協議，它規范了網絡上的所有通信設備，尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式TCP/IP協議集與分層模型TCP/IP網絡的安全來由力求簡單高效的設計初衷使TCP/IP協議集的許多安全因素未得以完善安全缺陷的一些表現: TCP/IP協議數據流采用明文傳輸

TCP/IP協議以IP地址作為網絡節點的唯一標識，此舉并不能對節點上的用戶進行有效的身份認證 協議本身的特點被利用實施網絡攻擊

………物理層的安全威脅

物理層介紹物理層的安全風險分析

物理層的安全防護物理層介紹第一層稱為物理層(PhysicalLayer)，這一層負責傳送比特流

提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規程特性通過傳輸介質進行數據流的物理傳輸，故障檢測和物理層管理物理層的安全風險分析網絡的物理安全風險主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用，而造成網絡系統的不可用。 例如：設備被盜、被毀壞；設備老化、意外故障；計算機系統通過無線電輻射泄露秘密信息等。由于局域網中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。

物理層的安全防護網絡分段網絡拓撲網絡分段網絡分段可分為物理分段和邏輯分段兩種方式，物理分段通常是指將網絡從物理層和數據鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊目前，許多交換機都有一定的訪問控制能力，可實現對網絡的物理分段網絡拓撲安全管理員必須了解他們保護的網絡的所有布局。黑客最常用的攻擊和滲透到網絡中的—種方法是在公司內部主機上安裝一個packetsniffer。記住物理定義了介質上的電子信號。局域網使用基帶傳輸，任何線纜上傳輸的數據將可被任何可以物理連接的人得到。理解你的網絡布局可以幫助阻止未知的sniffer

發生。最普通的網絡拓撲結構是星型，總線型，環型，和復合型網絡層的安全威脅

網絡層協議及安全威脅網絡層的安全防護與安全協議網絡層介紹網絡層主要用于尋址和路由。它并不提供任何錯誤糾正和流控制的方法。網絡層使用較高效的服務來傳送數據報文

網絡層協議IP網間協議(InternetProtocol)。負責主機間數據的路由和網絡上數據的存儲。同時為ICMP、TCP、UDP提供分組發送服務。用戶進程通常不需要涉及這一層。ARP地址解析協議(AddressResolutionProtocol)。此協議將網絡地址映射到硬件地址。RARP反向地址解析協議(ReverseAddressResolutionProtocol)。此協議將硬件地址映射到網絡地址。ICMP網間報文控制協議(InternetControlMessageProtocol)。此協議處理信關和主機間的差錯和傳送控制。ICMP報文使用IP數據報進行傳送，這些報文通常由TCP/IP網絡軟件本身來保證正確性。網絡層的安全威脅IP協議安全(spoofing等)Internet控制信息協議(ICMP)ARP欺騙和ARP洪水,DoSIGMP攻擊ARP協議ARP:將IP地址轉化成MAC地址的一種協議,ARP在IP層之下,一般認為其屬網絡層,但它利用數據鏈路層工作---分層并不嚴格以太網的傳輸靠mac地址決定,即主機響應ip包依靠ip包中所包含的mac地址來識別:主機在發送一個ip包之前，它要到該轉換表中尋找和ip包對應的mac地址。如果沒有找到，該主機就發送一個ARP廣播包，看起來象這樣子：

"我是主機xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機請告之你的mac來"

ip為xxx.xxx.xxx.xx1的主機響應這個廣播，應答ARP廣播為：

"我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2"

*ARP的查詢包為廣播包，而ARP的應答包為單播包ARP協議安全問題針對ARP的攻擊主要有兩種，一種是DOS,一種是SpoofDOS:大量的arp

請求報文的攻擊假冒ARP應答---DOS:冒充B向A應答,使得A與B的通信不成功點對點的假冒查詢:顯充A向B發包更新B的ARP表,使B與A的通信不成功

自動定時ARP欺騙:對網關的干擾推測ARP解析時間解決ARP協議安全網絡安全信任關系不要單純建立在ip或mac基礎上設置靜態的mac-->ip對應表，不要讓主機刷新你設定好的轉換表使用ARP服務器:確保該機安全,通過該機查找自己的ARP轉換表來響應其他機器的ARP廣播使用"proxy"代理ip的傳輸使用硬件屏蔽主機,交換機和網橋無法阻止ARP欺騙定期用響應的ip包中獲得一個rarp請求，然后檢查ARP響應的真實性使用防火墻/IDS連續監控網絡IP協議網際協議，

TCP/IP協議族中的主要網絡層協議，與TCP協議結合組成整個因特網協議的核心協議。包含尋址信息和控制信息，可使數據包在網絡中路由。IP適用于LAN和WAN通信。除了ARP和RARP，其它所有TCP/IP族中的協議都是使用

IP傳送主機與主機間的通信兩個基本任務：提供無連接的和最有效的數據包傳送；提供數據包的分割及重組以支持不同最大傳輸單元大小的數據連接。IP協議只用于發送包，TCP協議負責將其按正確順序排列IP協議結構HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協議結構Version–4位字段，指出當前使用的IP版本。IPHeaderLength（IHL）―指數據報協議頭長度，具有32位字長。指向數據起點。正確協議頭最小值為5。Type-of-Service―指出上層協議對處理當前數據報所期望的服務質量，并對數據報按照重要性級別進行分配。這些8位字段用于分配優先級、延遲、吞吐量以及可靠性。TotalLength―指定整個IP數據包的字節長度，包括數據和協議頭。其最大值為65,535字節。典型的主機可以接收576字節的數據報。Identification―包含一個整數，用于識別當前數據報。該字段由發送端分配幫助接收端集中數據報分片。Flags―由3位字段構成，其中低兩位（最不重要）控制分片。低位指出數據包是否可進行分片。中間位指出在一系列分片數據包中數據包是否是最后的分片。第三位即最高位不使用。FragmentOffset―13位字段，指出與源數據報的起始端相關的分片數據位置，支持目標IP適當重建源數據報。Time-to-Live―是一種計數器，在丟棄數據報的每個點值依次減1直至減少為0。這樣確保數據包無止境的環路過程。Protocol―指出在IP處理過程完成之后，有哪種上層協議接收導入數據包。HeaderChecksum―幫助確保

IP協議頭的完整性。由于某些協議頭字段的改變，如生存期（TimetoLive），這就需要對每個點重新計算和檢驗。Internet協議頭需要進行處理。SourceAddress―指定發送代碼。DestinationAddress―指定接收代碼。Options―允許IP支持各種選項，如安全性。Data―包括上層信息。IP協議安全問題IP協議存在的主要缺陷包括IP通信不需用進行身份認證，IP數據傳輸沒有加密，IP的分組和重組機制不完善，IP地址的表示不需要真實并確認真假等。IP碎片攻擊，源路由攻擊，IP欺騙，IP偽造，PingFlooding和PingofDeath等大量的攻擊，都是利用IP協議的缺陷對IP協議進行攻擊的。且很多上層的安全隱患源于

IP欺騙，如DNS欺騙等實例:Smurf攻擊

,向大量的遠程主機發送一系列的ping請求命令。黑客把源IP地址換成想要攻擊目標主機的IP地址。所有的遠程計算機都響應這些ping請求，然后對目標地址進行回復而不是回復給攻擊者的IP地址用。目標IP地址將被大量的ICMP包淹沒而不能有效的工作。IP協議安全解決辦法網絡分段VLAN防火墻IPSecICMP協議ICMP是“InternetControlMessageProtocol”（Internet控制消息協議）的縮寫控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。控制消息并不傳輸用戶數據，但是對于用戶數據的傳遞起著重要的作用。如PingICMP在IP層之上,利用IP層收、發數據包ICMP協議結構ICMP協議結構Type―錯誤消息或信息消息。錯誤消息可能是不可獲得目標文件，數據包太大，超時，參數問題等。可能的信息消息有：EchoRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不可獲得目標文件正是這樣一個例子，即其中可能的消息是：目標文件沒有路由，禁止與目標文件的通信，非鄰居，不可獲得地址，不可獲得端口。具體細節請參照相關標準。Checksum―計算校驗和時，Checksum字段設置為0。Identifier―幫助匹配Requests/Replies的標識符，值可能為0。SequenceNumber―幫助匹配

Requests/Replies的序列號，值可能為0。AddressMask―32位掩碼地址。

ICMP安全問題lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協議本身的特點決定了它非常容易被用于攻擊網絡上的路由器和主機,此外也被用于攻擊前期掃描工作的系統指紋識別*基于ICMP路由欺騙的技術都是停留在理論上占整個攻擊總數的90%以上如:1.可以利用操作系統規定的ICMP數據包最大尺寸不超過64KB這一規定，向主機發起“PingofDeath”（死亡之Ping）攻擊2.向目標主機長時間、連續、大量地發送ICMP數據包，也會最終使系統癱瘓。ICMP協議安全解決辦法在路由器上對ICMP數據包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內在主機上設置ICMP數據包的處理規則，最好是設定拒絕所有的ICMP數據包--包過濾/防火墻IGMP協議IGMP（InternetGroupManagementProtocol）是IP主機用作向相鄰多目路由器報告多目組成員。多目路由器是支持組播的路由器，向本地網絡發送IGMP查詢。主機通過發送IGMP報告來應答查詢。組播路由器負責將組播包轉發到所有網絡中組播成員。Internet組管理協議（IGMP）是因特網協議家族中的一個組播協議，用于IP主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在

IP報文中，其

IP的協議號為2IGMP由IETF（）定義在

RFC1112、RFC2236和RFC3376中IGMP協議結構Type―0x11信息類型（會員查詢）MaxResponseTime―只用于會員查詢信息。規定每1/10秒中發送響應報告之前的最大允許時間。在所有其它信息中，發送方設置該值為0，而接收方忽略不計。Checksum―信息差錯的校驗和。GroupAddress―當發送一個通用查詢時，GroupAddress設為0。當發送一個特定組查詢或組及特定源查詢時，它被設置為正在查詢的GroupAddress。在離開組信息的會員報告中，該字段用于保存將要報告或離開的組的IP組播組地址。RSV―預留。傳輸過程中設置為0，接收方忽略不計。QQIC―查詢者的查詢間隔代碼。NumberofSource（N）―信息中源地址的數目。SourceAddress―IP單播地址向量。IGMP協議結構IGMP協議安全問題可以發送畸形的igmp包來導致系統tcp-ip棧崩潰.win95最常用的igmp攻擊就是偽造一個目的地址是單個ip,但ip上層協議指定為IGMP,系統會為你打造一個igmp報頭,因為組播使用D類地址,所以系統不知如何處理,造成崩潰.IGMP攻擊如：向有WINDOWS9x操作系統的機器發送長度和數量都較大的IGMP數據包。典型的攻擊工具有DOOM。IGMP安全解決辦法直接阻塞外來的IGMP數據包網絡層的安全防護網絡分段網絡安全掃描技術入侵檢測技術VPN技術加密技術、數字簽名和認證技術防火墻服務VLAN的實現網絡層的安全防護網絡層的安全防護邏輯網絡分段:網絡分成若干IP子網，各子網際必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網際的訪問。VLAN的實施:按照系統的安全性來劃分VLAN防火墻服務:在網絡入口點檢查網絡通訊，根據設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡通訊。加密技術:通過對網絡數據的加密來保障網絡的安全可靠性,有面向網絡或面向應用服務2種形式數字簽名和認證技術:解決網絡通訊過程中通訊雙方的身份認可VPN技術:在不可信任的公共網絡上安全的通信

網絡層安全協議IPSEC:于1995年在互聯網標準草案中頒布可以保證局域網、專用或公用的廣域網及Internet上信息傳輸的安全主要特征是可以對所有IP級的通信進行加密和認證提供三種形式來保護通過IP網絡傳送的私有數據數據認證--可以確定所接受的數據與所發送的數據在數據完整性方面是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的完整--保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變機密性--使相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容從VPN實例看網絡層數據安全防護基于PPTP,使用windows2000提供的遠程訪問和路由服務構造VPN鏈接:使用挑戰握手協議chapv2/v1加密認證使用明文密碼協議pap進行認證internetWin2kServerRASWinPro/XP/ServerVPN構造實例服務端（遠程訪問和路由服務）客戶端(VPNClient)

網絡連接使用PAP認證服務端控制策略的身份驗證配置客戶端安全設置使用PAP認證PAP認證使用了明文傳輸的密碼使用CHAP認證客戶端安全配置服務端遠程訪問控制策略網絡層的安全性特點主要優點：透明性，也就是說，安全服務的提供不需要應用程序、其他通信層次和網絡部件做任何改動主要缺點：網絡層一般對屬于不同進程和相應條例的包不作區別。對所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導致提供不了所需的功能，也會導致性能下降

傳輸層的安全威脅

傳輸層介紹傳輸層協議及其安全分析

傳輸層介紹傳輸層控制主機間傳輸的數據流。TCP傳輸控制協議（TransmissionControlProtocol)。這是一種提供給用戶進程的可靠的全雙工字節流面向連接的協議。它要為用戶進程提供虛電路服務，并為數據可靠傳輸建立檢查。大多數網絡用戶程序使用TCP。UDP用戶數據報協議(UserDatagramProtocol)。這是提供給用戶進程的無連接協議，用于傳送數據而不執行正確性檢查。

TCP協議通過序列確認以及包重發機制，提供可靠的數據流發送和到應用程序的虛擬連接服務。與IP協議相結合，TCP組成了因特網協議的核心。網絡

IP地址和端口號結合成為唯一的標識,我們稱之為“套接字”或“端點”。TCP在端點間建立連接或虛擬電路進行可靠通信。提供數據流傳輸、可靠性、有效流控制、全雙工操作和多路復用技術等。TCP協議數據流傳輸

,TCP交付一個由序列號定義的無結構的字節流。這個服務對應用程序有利，因為在送出到TCP之前應用程序不需要將數據劃分成塊，

TCP可以將字節整合成字段，然后傳給IP進行發送。可靠性。TCP在字節上加上一個遞進的確認序列號來告訴接收者發送者期望收到的下一個字節。如果在規定時間內，沒有收到關于這個包的確認響應，重新發送此包。TCP的可靠機制允許設備處理丟失、延時、重復及讀錯的包。超時機制允許設備監測丟失包并請求重發。有效流控制。當向發送者返回確認響應時，接收TCP進程就會說明它能接收并保證緩存不會發生溢出的最高序列號。全雙工操作：TCP進程能夠同時發送和接收包。多路技術：大量同時發生的上層會話能在單個連接上時進行多路復用。TCP協議結構SourcePort–識別上層源處理器接收

TCP服務的點。DestinationPort–識別上層目標處理器接收

TCP服務的點。SequenceNumber–通常指定分配到當前信息中的數據首字節的序號。在連接建立階段，該字段用于設別傳輸中的初始序列號。AcknowledgmentNumber–包含數據包發送端期望接收的數據下一字節的序列號。一旦連接成功，該值會一直被發送。DataOffset–4位。TCP協議頭中的32位字序號表示數據開始位置。Reserved–6位。預留以備用，必須設置為0。ControlBits（Flags）–6位。傳送各種控制信息。Window–16位。指定發送端接收窗口的大小，也就是說，數據可用的八位緩存區大小。Checksum–16位。指出協議頭在傳輸中是否遭到破壞。UrgentPointer–16位。指向數據包中的第一個重要數據字節。Option+Padding–指定各種

TCP選項。可選項有兩種可能形式：單個八位可選類型和八位可選類型，八位可選長度和實際可選數據八位位組。Data–包含上層信息TCP協議結構建立一個TCP連接SYN（SEQs=ISNc）SYN（SEQs=ISNc），ACK(SEQA=ISNc+1)ACK（SEQA=ISNs+1）服務器S客戶機C結束一個TCP連接TCP協議的安全問題

TCP協議被攻擊，主要是利用TCP的三次握手機制,如有:TCP序列號欺騙

TCP序列號轟炸攻擊

SYNFlooding攻擊，ACKFlooding攻擊等;此外，Tcp

掃描攻擊包括SYNscan、FINscan、XmasTreescan和Nullscan也是TCP安全問題之一,再如會話劫持、RST攻擊等傳輸層協議，為無確認的數據報服務，只是簡單的接收和傳輸數據UDP比TCP傳輸數據快UDP頭標UDP數據區IP頭標IP數據區UDPUDP無連接的傳輸層協議，提供面向事務的簡單不可靠信息傳送服務與TCP不同，UDP并不提供對IP協議的可靠機制、流控制以及錯誤恢復功能等。UDP比較簡單，UDP頭包含很少的字節，比TCP負載消耗少。UDP適用于不需要

TCP可靠機制的情形,如網絡文件系統（NFS）、簡單網絡管理協議（SNMP）、域名系統（DNS）以及簡單文件傳輸系統（TFTP）均基于UDPUDP協議結構SourcePort—16位。源端口是可選字段。當使用時，它表示發送程序的端口，同時它還被認為是沒有其它信息的情況下需要被尋址的答復端口。如果不使用，設置值為0。DestinationPort—16位。目標端口在特殊因特網目標地址的情況下具有意義。Length—16位。該用戶數據報的八位長度，包括協議頭和數據。長度最小值為8。Checksum—16位。IP協議頭、UDP協議頭和數據位，最后用0填補的信息假協議頭總和。如果必要的話，可以由兩個八位復合而成。Data—包含上層數據信息。UDP協議結構UDP協議安全問題對UDP協議的攻擊，主要利用UDP協議本身特性，進行流量攻擊，強化UDP通信的不可靠性，以達到拒絕服務的目的。此外,某些Unix的服務器默認一些可被惡意利用的UDP服務，如echo和chargen，它會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符，如果惡意攻擊者將這2個UDP服務互指，則網絡可用帶寬將很快耗盡。

UDP協議安全問題Trinoo就是基于UDPflood的攻擊軟件，它向被攻擊目標主機的隨機端口發出全零的4字節UDP包，在處理這些超出其處理能力垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰以及釣魚島事件中用于攻擊日本的阿拉丁UDP攻擊軟件傳輸層安全性 傳輸層處于通信子網和資源子網之間，起著承上啟下的作用,支持多種安全服務：對等實體認證服務；訪問控制服務；數據保密服務；數據完整性服務；數據源點認證服務。

傳輸層安全措施采用安全協議：SSL和PCTtls應用傳輸層安全協議要對傳輸層IPC界面和應用程序兩端都進行修改

基于UDP的通信很難在傳輸層建立起安全機制

優點：提供基于進程對進程的(而不是主機對主機的)安全服務

使用防火墻/包過濾針對TCP和UDP攻擊的防火墻安全策略目的:阻止傳輸層協議特點被利用帶來的系統與數據安全威脅應用層的安全威脅

應用層介紹應用層常見協議安全性應用層的安全實現

應用層介紹標準協議:簡單郵件傳輸協議（SMTP）文件傳輸協議(FTP)超文本傳輸協議(HTTP)遠程連接服務標準協議（Telnet）簡單網絡管理協議(SNMP)域名系統(DNS)定制應用：復雜DNSSNMPTelnetHTTPFTPSMTPFTP協議文件傳輸協議（FTP）使得主機間可以共享文件FTP使用

TCP生成一個虛擬連接用于控制信息，然后再生成一個單獨的TCP連接用于數據傳輸。控制連接使用類似

TELNET協議在主機間交換命令和消息。主要功能:提供文件的共享（計算機程序/數據）；支持間接使用遠程計算機；使用戶不因各類主機文件存儲器系統的差異而受影響；可靠且有效的傳輸數據。

FTP協議結構FTP安全問題上載弱點 上載就是允許客戶將文件傳送到服務器，此弱點對連接在互聯網上的服務器來言，大量的數據涌入服務器，致使服務器的磁盤空間被填滿，導致系統不能正常工作；參數溢出參數溢出主要是在PASV方式下，由于執行不完善的命令，導致系統CoreDump而使系統崩潰；遠程執行漏洞遠程執行功能如果允許執行諸如cat，cp等能瀏覽和拷貝文件的命令，則系統存在很大的危險性，入侵者可以利用此功能獲取系統中的敏感文件，或改變系統中的配置文件；獲取超級用戶權限獲取超級用戶權限主要是有些FTP服務進程支持CD~root命令，此命令可使普通用戶獲得超級用戶權限。Telnet協議TELNET是TCP/IP環境下的終端仿真協議，通過

TCP建立服務器與客戶機之間的連接。Telnet協議結構Telnet安全問題Telnet本身的缺陷是沒有口令保護沒有強力認證過程沒有完整性檢查傳送的數據都沒有加密客戶機/服務器模型

HTTP協議請求/響應式的應用層協議請求的格式是：統一資源標識符（URI）、協議版本號，后面是類似

MIME的信息，包括請求修飾符、客戶機信息和可能的內容。響應信息，其格式是：一個狀態行包括信息的協議版本號、一個成功或錯誤的代碼，后面也是類似

MIME的信息，包括服務器信息、實體信息和可能的內容。也可用作普通協議，實現用戶代理與連接其它Internet服務（如SMTP、NNTP、FTP、GOPHER及WAIS）的代理服務器或網關之間的通信，允許基本的超媒體訪問各種應用提供的資源，同時簡化了用戶代理系統的實施HTTP協議結構HTTP協議安全問題HTTP協議明文傳輸數據。WEB用戶可能下載有破壞性的ActiveX控件或JAVAapplets這些程序在用戶的計算機上執行并含有某種類別的代碼，包括病毒或特洛伊木馬HTTP服務器也必須要小心保護，HTTP服務器在很多基礎上類似FTP服務器HTTP明文被截獲SMTP協議SMTP是建模在FTP文件傳輸服務上的一種郵件服務，主要用于傳輸系統之間的郵件信息并提供來信有關的通知。SMTP獨立于特定的傳輸子系統，且只需要可靠有序的數據流信道支持。SMTP重要特性之一是其能跨越網絡傳輸郵件，即“

SMTP郵件中繼”。使用

SMTP，可實現相同網絡上處理機之間的郵件傳輸，也可通過中繼器或網關實現某處理機與其它網絡之間的郵件傳輸。域名服務系統（DNS）的郵件交換服務器可以用來識別出傳輸郵件的下一跳IP地址。SMTP協議結構SMTP安全問題大多數郵件系統使用SMTP實現 用TCP進行的郵件交換是由報文傳送代理MTA(MessageTransferAgent)完成的。兩個MTA之間用NVTASCII進行通信，客戶向服務器發出命令，服務器用數字應答碼和可選的字符串進行響應SMTP自身沒有安全問題，但處理SMTP的服務器存在安全問題，如郵件中繼代理open-relaySNMP協議用于在IP網絡管理網絡節點使網絡管理員能夠管理網絡效能，發現并解決網絡問題以及規劃網絡增長。通過

SNMP接收隨機消息（及事件報告）網絡管理系統獲知網絡出現問題。三個主要組成部分：管理的設備、代理和網絡管理系統。一種應用程序協議，封裝在

UDP/TCP中。SNMP安全問題SNMPv1跟蹤消息處理系列缺陷:SNMP代理(SNMPagents)發送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器報告錯誤信息、警報和其它的有關宿主的狀態信息。管理器必須解析和處理這些數據。OUSPG發現很多SNMP管理器在解析和處理過程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1請求信息處理系列缺陷:在數據處理過程中，代理和管理器都有出現拒絕服務錯誤、格式化字符串錯誤和緩沖溢出攻擊的可能。SNMP的安全隱患團體名作為唯一的SNMP認證手段，也是薄弱環節之一SNMPv1消息的團體名在網上以明碼傳輸SNMP主要采用UDP傳輸，很容易進行IP源地址假冒多數SNMP設備接收來自網絡廣播地址的SNMP消息SNMP安全問題攻擊方法：如果獲取支持SNMP協議設備的“communitystring”，攻擊者將可以修改路由器配置、獲取服務器最高控制權、重新啟動設備不知道“communitystring”的前提下，則進行拒絕服務攻擊。SNMP安全解決辦法從廠商獲得補丁程序并執行禁止SNMP服務

邊界訪問過濾

(tcp161/162,udp161/162)在內部網絡中過濾不正常的SNMP訪問

修改缺省的"communitystring"隔離SNMP包

分布式網絡目錄服務，用于域名與IP地址的相互轉換，控制電子郵件發送，負載均衡等。多數因特網服務依賴于DNS而工作兩個獨立的方面：定義命名語法和規范，以利于通過名稱委派域名權限。基本語法是：local.group.site；定義如何實現一個分布式計算機系統，以便有效地將域名轉換成

IP地址。DNS協議結構DNS協議結構DNS協議結構ID–用于連接查詢和答復的16bit。Q–識別查詢和答復消息的1位字段。Query–描述消息類型的4位字段：0標準查詢（由姓名到地址）；1逆向查詢；2服務狀態請求A–命令回答：1位字段。當設置為1時，識別由命令名字服務器作出的答復。T–切斷。1位字段。當設置為1，表明消息已被切斷。R–1位字段。由名字服務器設置為1請求遞歸服務。V–1位字段。由名字服務器設置表示遞歸服務的實用性。B–3位字段。備用，必須設置為0。Rcode–響應代碼，由名字服務器設置的4位字段用以識別查詢狀態。Questioncount–16位字段用以定義問題部分的登陸號。Answercount–16位字段，用以定義回答部分的資源記錄號。Authoritycount–16位字段，用以定義命令部分名字服務器的資源記錄號。Additionalcount–16位字段，用以定義附加記錄部分的資源記錄號。DNS服務是Internet上其它服務的基礎DNS服務存在的主要安全問題名字欺騙信息隱藏DNS協議安全問題NetBIOS對所有人完全共享對所有人完全共享，這是在WindowNT共享時的缺省配置，他對所有可訪問該主機的用戶提供完全的訪問權限；對Guest用戶完全共享對Guest用戶完全共享，Guest帳號是WinNT的缺省帳號，它有缺省口令，如果系統提供對Guest用戶的完全訪問權限，入侵者可通過Guest帳號注冊到服務器獲取信息或修改數據；沒有訪問控制的共享沒有訪問控制的共享，是指沒有合法認證的共享，在網絡上的任何用戶都可訪問，此弱點在Win95上常見；對所有人可寫對所有人可寫是指對所有可訪問該服務器的用戶具有對共享目錄的寫權限，此弱點可能會使被共享目錄中的文件被篡改或刪除；對Guest用戶可寫對Guest用戶可寫是指通過Guest帳號注冊就能獲取共享資源的寫權限；NetBios空會話NetBios空會話通過長度為零的用戶名和口令注冊獲取對服務器的訪問權。應用層協議安全小結應用層協議本身存在的主要問題是信息明文傳輸，包括如FTP、Telnet登錄驗證帳號和密碼都是明文，攻擊者可以通過網絡嗅探獲取有價值信息，以備下一步攻擊之用,此外應用層協議的許多威脅來自于低層協議的安全性問題。應用層應用實現的安全缺陷(網絡編程)應用層安全防護威脅：復雜多樣

安全協議：SSH，S-HTTP,SET.PGP,S/MIME應用層的安全服務實際上是最靈活的處理單個文件安全性的手段，可以實施細粒度的安全控制

可能的方法：對每個應用(及應用協議)分別進行修改；實施強大的基于用戶的身份認證；實施數據加密；訪問控制；數據的備份和恢復措施；對資源的有效性進行控制。應用層安全的解決目前往往依賴于網絡層、操作系統、數據庫的安全

網絡中面臨的威脅交換機-針對CDP攻擊說明Cisco專用協議，用來發現周邊相鄰的網絡設備鏈路層幀，30s發送一次可以得到相鄰設備名稱，操作系統版本，接口數量和類型，接口IP地址等關鍵信息在所有接口上默認打開危害任何人可以輕松得到整個網絡信息可以被利用發起DoS攻擊：http://www.phenoelit.de/irpas/對策如不需要，禁止CDP禁止User-End端口的CDP交換機-針對STP攻擊說明SpanningTreeProtocol防止交換網絡產生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強制接管rootbridge，導致網絡邏輯結構改變，在重新生成STP時，可以導致某些端口暫時失效，可以監聽大部份網絡流量。BPDUFlood：消耗帶寬，拒絕服務對策對User-End端口，禁止發送BPDU路由器-發現路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標路由器-猜測路由器類型端口掃描操作系統堆棧指紋登陸旗標（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶

Manager空管理員baysuperStackIIsecuritysecurity管理員3com交換機adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

MotorolaCableRoutercablecomrouter管理員路由器-密碼與TFTPCisco路由器的密碼弱加密MD5加密Enablesecret5Cisco路由器TFTP攻擊

Cisco基于拒絕服務攻擊HTTP的漏洞

Cisco路由啟用(enable)遠程WEB管理，很容易遭受DoS。這種DoS能導致路由器停止對網絡請求的響應。這是功能是Cisco路由的內嵌功能。但啟用這個特性，通過構造一個簡單的Http請求就會造成DoS攻擊：

http://<router-ip>/%%

這種請求導致路由停止響應，甚至引起路由器執行硬重置(hardreset)。

如果http起用，瀏覽：

http://route_ip_addr/anytest?/并且提供特權口令，則可以導致DoS攻擊，導致路由停機或者重啟。Cisco的WEB服務的越權訪問漏洞：幾乎所有的版本的Cisco設備IOS都有這個問題存在，攻擊者只需要構造一個如下的URL:http://IP/level/xx/exec/......即可!這里的xx是一個從16-99之間的整數。對于不同的設備，這個數值可能是不同的，但是攻擊者僅需要測試84次即可找到正確的數值。如果不能進入，嘗試：0/level/20/exec/showconfig

試試這個連接地址，就會發現結果好象是不一樣了，我們已經按照剛才的漏洞描述成功的繞過了Cisco的密碼檢查機制，現在擁有的是設備的管理員權限。Cisco路由器的安全配置使用加密的強密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略usernamepasswordpassprivilegeexec6showCisco路由器安全配置控制網絡線路訪問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設置網絡連接超時Exec-timeout50

Cisco路由器安全配置禁用交換機HTTP服務器noiphttpserver禁用CDP發掘協議nocdprun禁用交換機NTP服務器nontpenable禁用低端口簡單服務noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務noservicefinger以上措施可以降低路由器遭受應用層攻擊的風險Cisco路由器安全配置禁用簡單網絡管理協議nosnmp-serverenable使用SNMPv3加強安全特性snmp-serverenabletrapssnmpauthmd5使用強的SNMPv1通訊關鍵字snmp-servercommunityname以上三者不可同時使用，如果必要使用SNMP安全性1>>2>>3Cisco路由器安全配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗證Ipverifyunicastreverse-path禁用IP源路由選項noipsource-routeCisco路由器安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數據包使用訪問控制列表限定數據流量使用訪問控制列表保護內部網絡路由設備安全配置關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數據包類型關于IOS的問題的幾點安全建議

通過noiphttpserver取消http服務，消除Http帶來的隱患；限制SNMP訪問配置；及時升級Cisco的IOS程序或者修補程序；利用安全工具對路由進行安全檢查。拒絕服務攻擊定義

DoS

（DenialofService）

拒絕服務攻擊是用來顯著降低系統提供服務的質量或可用性的一種有目的行為。

DDoS

（DistributedDenialofservice）分布式拒絕服務攻擊使用了分布式客戶服務器功能，加密技術及其它類的功能，它能被用于控制任意數量的遠程機器，以產生隨機匿名的拒絕服務攻擊和遠程訪問。DDoS攻擊示意圖分布式拒絕服務攻擊示意圖DoS攻擊舉例SynFloodIcmpSmurf（directedbroadcast）UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統級別的拒絕服務（SMBDie）應用級別的拒絕服務（pcanywhere）DDoS攻擊類型TrinooTFNTFN2KFunTimeApocalypseSynFloodSYNFlood是當前最流行的DoS（拒絕服務攻擊）與DDoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）ACK（確認連接）發起方應答方正常的三次握手建立通訊的過程SynFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應就是讓你白等不能建立正常的連接IcmpSmurf

Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統進行服務。攻擊的過程是這樣的：Attacker向一個具有大量主機和因特網連接的網絡的廣播地址發送一個欺騙性Ping分組（echo請求），這個目標網絡被稱為反彈站點，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統。IcmpSmurf網段中的所有主機都會向欺騙性分組的IP地址發送echo響應信息。如果這是一個很大的以太網段，可以會有500個以上的主機對收到的echo請求進行回復。由于多數系統都會盡快地處理ICMP傳輸信息，Attacker把分組的源地址設置為目標系統，因些目標系統都很快就會被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統處理其它任何網絡傳輸，從而引起拒絕為正常系統服務。這種攻擊不僅影響目標系統，還影響目標系統的網絡狀況。IcmpSmurf阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網絡中發出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。阻塞Smurf的反彈站點 用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網絡。如果不能阻塞所有入站echo請求，用戶就需要將自己的路由器把網絡廣播地址映射成為LAN廣播地址。制止了這個映射過程，自己的系統就不會再收到這些echo請求。UdpFloodUDP攻擊的原理是使兩個或兩個以上的系統之間產生巨大的UDP數據包。首先使這兩種UDP服務都產生輸出，然后讓這兩種UDP服務之間互相通信，使一方的輸出成為另一方的輸入。這樣會形成很大的數據流量。當多個系統之間互相產生UDP數據包時，最終將導致整個網絡癱瘓。如果涉及的主機數目少，那么只有這幾臺主機會癱瘓一些被惡意利用的UDP服務，如echo和chargen服務，它會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符，如果惡意攻擊者將這2個UDP服務互指，則網絡可用帶寬將很快耗盡UdpFlood禁止相關服務與網絡設備配合IcmpPingFloodPing是通過發送ICMP報文(類型8代碼0)探尋網絡主機是否存在的一個工具。部分操作系統（例如win95），不能很好處理過大的Ping包，導致出現了PingtoDeath的攻擊方式（用大Ping包搞垮對方或者塞滿網絡），由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。如果對方的操作系統已經可以防御堆棧崩潰，也占去許多帶寬。如TFN2K會產生大量的進程，每個進程都不停地發送PING包，從而導致被攻擊目標的無法正常工作。IcmpPingFlood正常情況下，Ping的流程是這樣的:主機A發送ICMP8,0報文給主機B主機B回送ICMp0,0報文給主機A因為ICMP基于無連結，假設現在主機A偽裝成主機C發送ICMP8,0報文，結果會怎么樣呢?顯然，主機B會以為是主機C發送的報文而去回應主機C，結構如下：偽裝為主機C錯誤的回復主機A--------------------->主機B------------------>主機C這種情況下，由于主機A只需要不斷發送Ping報文而不需要處理返回的EchoReply，所以攻擊力度成倍的增加，同時實際上主機B和主機C都是被進攻的目標，而且不會留下攻擊者的痕跡。IcmpFlood禁止相關服務與網絡設備配合TARGA3(堆棧突破)TARGA3攻擊的基本原理是發送TCP/UDP/ICMP的碎片包，其大小、標記、包數據等都是隨機的。一些有漏洞的系統內核由于不能正確處理這些極端不規范數據包，便會使其TCP/IP堆棧出現崩潰，從而導致無法繼續響應網絡請求（即拒絕服務）。典型代表是winnuke，jolt，teardrop等TARGA3(堆棧突破)升級操作系統與IDS等安全產品配合操作系統級別的拒絕服務Microsoft操作系統對畸形的SMB（ServerMessageBlock）請求存在漏洞應用級別的拒絕服務包含在操作系統或應用程序中與安全相關的系統缺陷而引起的拒絕服務問題，這些缺陷大多是由于錯誤的程序編制，粗心的源代碼審核，無心的副效應或一些不適當的綁定所造成的。典型代表是pcanywhere的拒絕服務問題應用級別的拒絕服務PCAnywhere

存在因端口掃描導致的DoS

攻擊發布日期:2000-4-27受影響的系統:SymantecPCAnywhere9.2SymantecPCAnywhere9.0SymantecpcAnywhere8.0.2描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應，只有重新啟動服務才能正常運行。應用級別的拒絕服務升級相關軟件與安全產品配合Trinoo介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，基于主機的Trin00是一種分布式拒絕服務的工具。攻擊者使用該工具可以控制多個主機，利用這些主機向其他主機發送UDPflood。Trin00控制者可以給Trin00主機守護程序制造多種請求。使用UDP包開始flood主機使用UDP包終止flood主機修改主機主流程序的UDPflood配置Trinoo介紹Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發出全零的4字節UDP包，在處理這些超出其處理能力的垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它對IP地址不做假，采用的通訊端口是：

攻擊者主機到主控端主機：27665/TCP

主控端主機到代理端主機：27444/UDP

代理端主機到主服務器主機：31335/UDPTFN介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，基于主機的TribeFloodNetwork,TFN,是一種分布式拒絕服務的工具，使用該工具可以使攻擊者利用多個主機，一次flood一個目標。有四種不同類型的flood：ICMPEchofloodUDPFloodSYNFloodSmurf攻擊TFN介紹TFN客戶機和服務器使用ICMPecho互相發送響應包進行通訊。TFN由主控端程序和代理端程序兩部分組成，具有偽造數據包的能力。TFN2K介紹影響平臺:Linux,Solaris,Unix風險級別:高攻擊類型:基于網絡，基于主機的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕服務的工具，可以實施多種類型的flood攻擊一個主機。TFN2k由客戶端和主機駐留程序組成。客戶端控制一個或多個主機主流程序，主機主流程序對目標主機進行flood。客戶端可以使用UDP、TCP或ICMP與主機主流程序進行通訊，并可以隱藏欺騙發包的源IP地址。TFN2K介紹TFN2K是由TFN發展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網絡通訊是經過加密的，中間還可能混雜了許多虛假數據包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。DDoS攻擊特性DDoS攻擊將越來越多地采用IP欺騙的技術；DDoS攻擊呈現由單一攻擊源發起進攻，轉變為由多個攻擊源對單一目標進攻的趨勢;DDoS攻擊將會變得越來越智能化，試圖躲過網絡入侵檢測系統的檢測跟蹤，并試圖繞過防火墻防御體系;針對路由器的弱點的DDoS攻擊將會增多;DDoS攻擊利用路由器的多點傳送功能可以將攻擊效果擴大若干倍;采用半連接技術SYN攻擊，和針對TCP/IP協議先天缺陷的的ACK攻擊。采用ICMP攻擊。采用smurf攻擊采用UDP攻擊。IP欺騙原理IP是網絡層的一個非面向連接的協議，偽造IP地址相對容易。TCP三次握手DoS攻擊序列號取樣和猜測預防拋棄基于地址的信任策略進行包過濾加密使用隨機化初始序列號ARP欺騙實現簡易指定ARP包中的源IP、目標IP、源MAC、目標MACArp_send.c危害嗅探導致windows9x、NTIP沖突死機Flooding導致網絡異常共享環境下的嗅探技術原理在以太網中是基于廣播方式傳送數據網卡置于混雜模式下可以接收所有經的數據工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff交換環境下的嗅探技術dsniff

、arpredirect、arpspoof，fragroute；拒絕服務攻擊的防御策略第一種是縮短SYNTimeout時間，由于SYNFlood攻擊的效果取決于服務器上保持的SYN半連接數，這個值=SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文