網絡與信息平安

網絡平安(四)潘愛民，北京大學計算機研究所內容欺騙IP欺騙郵件欺騙Web欺騙會話劫持拒絕效勞你將會發現，TCP/IP協議是多么脆弱、不平安復習DNS收集信息DNS&nslookupPing&traceroute端口掃描暴露網絡上潛在的脆弱性操作系統辨識為系統相關的攻擊打好根底復習：關于端口掃描有助于加強系統的平安性常用技術根本的TCPconnect()掃描TCPSYN掃描(半開連接掃描,halfopen)TCPFin掃描(秘密掃描，stealth)TCPftpproxy掃描(bounceattack)用IP分片進行SYN/FIN掃描(躲開包過濾防火墻)UDPrecvfrom掃描UDPICMP端口不可達掃描Reverse-ident掃描端口掃描對策入侵檢測系統(IDS)防火墻阻止對內部系統的掃描，禁止探測包進入個人防火墻復習：關于操作系統辨識從操作系統或者應用系統的具體實現中開掘出來的攻擊手段(或漏洞)都需要辨識系統常用技術一些端口效勞的提示信息DNS泄漏出OS系統TCP/IP棧指紋尋找不同操作系統之間在處理網絡數據包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統的OS版本操作系統辨識對策IDS針對探測包的特征，可以檢測到有人在掃描防火墻隱藏了內部的系統中IP協議棧的行為個人防火墻改變對網絡數據包的處理方式欺騙技術IP欺騙假冒他人的IP地址發送信息郵件欺騙假冒他人的email地址發送信息Web欺騙你能相信你所看到的信息嗎？其他欺騙術DNS欺騙非技術性欺騙IP欺騙IP欺騙的動機隱藏自己的IP地址，防止被跟蹤以IP地址作為授權依據穿越防火墻IP欺騙的形式單向IP欺騙：不考慮回傳的數據包雙向IP欺騙：要求看到回傳的數據包更高級的欺騙：TCP會話劫持IP欺騙成功的要訣IP數據包路由原那么：根據目標地址進行路由IP欺騙：改變自己的地址用網絡配置工具改變機器的IP地址注意：只能發送數據包收不到回包防火墻可能阻擋在Linux平臺上用ifconfig用程序實現IP欺騙發送IP包，IP包頭填上假冒的源IP地址在Unix/Linux平臺上，直接用socket就可以發送，但是需要root權限在Windows平臺上，不能使用Winsock可以使用winpcap可以用libnet構造IP包代碼例如在Linux平臺上，翻開一個rawsocket，自己填寫IP頭和傳輸層數據，然后發送出去用程序實現IP欺騙代碼例如sockfd=socket(AF_INET,SOCK_RAW,255);setsockopt(sockfd,IPPROTO_IP,IP_HDRINCL,&on,sizeof(on));structip*ip;structtcphdr*tcp;structpseudohdrpseudoheader;ip->ip_src.s_addr=xxx;//填充IP和TCP頭的其他字段，并計算校驗和pseudoheader.saddr.s_addr=ip->ip_src.s_addr;tcp->check=tcpchksum((u_short*)&pseudoheader,

12+sizeof(structtcphdr)); //計算校驗和sendto(sockfd,buf,len,0,(constsockaddr*)addr,

sizeof(structsockaddr_in)); IP欺騙：雙向欺騙欺騙的過程攻擊者H被假冒者A目標機器B假冒包：A->B回應包：B->AH能看到這個包嗎？讓回應包經過HH和A在同一個子網內部使用源路由選項如何防止IP欺騙主機保護，兩種考慮保護自己的機器不被用來實施IP欺騙物理防護、登錄口令權限控制，不允許修改配置信息保護自己的機器不被成為假冒的對象無能為力網絡防護路由器上設置欺騙過濾器入口過濾，外來的包帶有內部IP地址出口過濾，內部的包帶有外部IP地址保護免受源路由攻擊路由器上禁止這樣的數據包電子郵件欺騙電子郵件欺騙的動機隱藏發信人的身份，匿名信挑撥離間，唯恐世界不亂騙取敏感信息……欺騙的形式使用類似的電子郵件地址修改郵件客戶軟件的賬號配置直接連到smtp效勞器上發信電子郵件欺騙成功的要訣與郵局的運作模式比較根本的電子郵件協議不包括簽名機制發信可以要求認證電子郵件欺騙：使用類似的地址發信人使用被假冒者的名字注冊一個賬號，然后給目標發送一封正常的信我是你的上司XX，請把XXX發送給我我在外面度假，請送到我的個人信箱他(她)能識別嗎？修改郵件客戶軟件的帳戶配置郵件帳戶配置姓名(Name)屬性，會出現在“From〞和“Reply-To〞字段中，然后顯示在“發件人〞信息中電子郵件地址，會出現在“From〞字段中回復地址，會出現在“Reply-To〞字段中，可以不填發送效勞器設置接收郵件看到什么？在客戶端，點擊回復看郵件頭能得到所有的詳細信息，包括：這封信的回復將會送給誰，以及郵件傳遞路徑郵件欺騙：直接連接smtp效勞器直接連接smtp效勞器的25端口，然后發送命令，常見命令為Helo(orEHLO)Mailfrom:Rcptto:DataQuit收件人接收到的郵件為郵件欺騙的保護郵件效勞器的驗證Smtp效勞器驗證發送者的身份，以及發送的郵件地址是否與郵件效勞器屬于相同的域驗證接收方的域名與郵件效勞器的域名是否相同有的也驗證發送者的域名是否有效，通過反向DNS解析攻擊者可以運行自己的smtp郵件效勞器不能防止一個內部用戶假冒另一個內部用戶發送郵件審核制度，所有的郵件都有記錄隱私？Web欺騙Web是應用層上提供的效勞，直接面向Internet用戶，欺騙的根源在于由于Internet的開放性，任何人都可以建立自己的Web站點Web站點名字(DNS域名)可以自由注冊，按先后順序并不是每個用戶都清楚Web的運行規那么Web欺騙的動機商業利益，商業競爭政治目的Web欺騙的形式使用相似的域名改寫URL劫持Web會話使用類似的域名注冊一個與目標公司或組織相似的域名，然后建立一個欺騙網站，騙取該公司的用戶的信任，以便得到這些用戶的信息例如，針對ABC公司，用來混淆abc如果客戶提供了敏感信息，那么這種欺騙可能會造成進一步的危害，例如：用戶在假冒的網站上訂購了一些商品，然后出示支付信息，假冒的網站把這些信息記錄下來(并分配一個cookie)，然后提示：現在網站出現故障，請重試一次。當用戶重試的時候，假冒網站發現這個用戶帶有cookie，就把它的請求轉到真正的網站上。用這種方法，假冒網站可以收集到用戶的敏感信息。對于從事商業活動的用戶，應對這種欺騙提高警惕改寫URL一個HTTP頁面從Web效勞器到瀏覽器的傳輸過程中，如果其中的內容被修改了的話，那么欺騙就會發生，其中最重要的是URL改寫URL改寫可以把用戶帶到不該去的地方，例如：

<ahref=hackersite>WelcomtoHollywood-Moviesite.</a>有一些更為隱蔽的做法直接指向一些惡意的代碼把url定向放到script代碼中，難以發現改寫頁面的做法入侵Web效勞器，修改頁面設置中間代理在傳輸路徑上截獲頁面并改寫在客戶端裝載后門程序……Web會話劫持HTTP協議不支持會話(無狀態)，Web會話如何實現？Cookie用url記錄會話用表單中的隱藏元素記錄會話Web會話劫持的要點在于，如何獲得或者猜測出會話ID防止Web欺騙使用類似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息改寫URL查看頁面的源文本可以發現使用SSLWeb會話劫持養成顯式注銷的習慣使用長的會話IDWeb的平安問題很多，我們需要更多的手段來保證Web平安關于欺騙技術從這些欺騙技術，我們可以看到IP協議的脆弱性應用層上也缺乏有效的平安措施在網絡攻擊技術中，欺騙術是比較初級的，技術含量并不高，它是針對Internet中各種不完善的機制而開展起來的非技術性的欺騙比方，實施社會工程畢竟網絡世界與現實世界是緊密相關的防止被欺騙最好的方法是教育、教育、再教育增強每一個Internet用戶的平安意識，網絡管理人員以及軟件開發人員的平安意識更加重要會話(交易)劫持在現實環境中，比方對于銀行一筆交易如果營業員檢查了顧客的身份證和賬戶卡抬起頭來，發現不再是剛剛的顧客他會把錢交給外面的顧客嗎？在網絡上沒有人知道你是一條狗TCP會話劫持(sessionhijacking)欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發送消息，以便到達自己的目的動機Sniffer對于一次性密鑰并沒有用認證協議使得口令不在網絡上傳輸會話劫持分兩種被動劫持，實際上就是藏在后面監聽所有的會話流量。常常用來發現密碼或者其他敏感信息主動劫持，找到當前活動的會話，并且把會話接管過來。迫使一方下線，由劫持者取而代之，危害更大，因為攻擊者接管了一個合法的會話之后，可以做許多危害性更大的事情會話劫持示意圖被劫持者A效勞器B1A遠程登錄，建立會話，完成認證過程攻擊者H2監聽流量3劫持會話4迫使A下線會話劫持的原理TCP協議三次握手建立TCP連接(即一個TCP會話)終止一個會話，正常情況需要4條消息如何標識一個會話：

狀態：源IP:端口+SN<>目標IP:端口+SN從TCP會話的狀態入手要了解每一個方向上的SN(數據序列號)兩個方向上的序列號是相互獨立的TCP數據包，除了第一個SYN包之外，都有一個ack標志，給出了期待對方發送數據的序列號所以，猜測序列號是成功劫持TCP會話的關鍵關于TCP協議的序列號在每一個ACK包中，有兩個序列號第一個(SEG_SEQ)是當前包中數據第一個字節的序號第二個(SEG_ACK)是期望收到對方數據包中第一個字節的序號假設客戶(CLT)向效勞器(SVR)發起一個連接，我們用以下的表示SVR_SEQ:效勞器將要發送的下一個字節的序號SVR_ACK:效勞器將要接收的下一個字節的序號(已經收到的最后一個字節的序號加1)SVR_WIND:效勞器的接收窗口CLT_SEQ:客戶將要發送的下一個字節的序號CLT_ACK:客戶將要接收的下一個字節的序號CLT_WIND:客戶的接收窗口關系CLT_ACK<=SVR_SEQ<=CLT_ACK+CLT_WINDSVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WIND只有滿足這樣條件的包，對方才會接收否那么，該包被丟掉，并且送回一個ACK包(含有期望的序列號)關于TCP協議的序列號(續)同步狀態SVR_SEQ=CLT_ACKCLT_SEQ=SVR_ACK不同步狀態SVR_SEQ!=CLT_ACKCLT_SEQ!=SVR_ACK如果TCP連接進入到一種不同步的狀態客戶發送一個包

SEG_SEQ=CLT_SEQ

SEG_ACK=CLT_ACK

這個包不會被接收，因為CLT_SEQ!=SVR_ACK相反，如果第三方(攻擊者)發送一個包

SEG_SEQ=SVR_ACK

SEG_ACK=SVR_SEQ

這個包可以被效勞器接收如果攻擊者能夠偽造兩邊的包的話，還可以恢復客戶和效勞器之間的會話，使得回到同步狀態TCPACKStorm當一個主機接收到一個不期望的數據包的時候，它會用自己的序列號發送ACK，而這個包本身也是不可被接受的。于是，兩邊不停地發送ACK包，形成ACK包的循環，是為ACK風暴。如果有一個ACK包丟掉，那么風暴停止在不同步的情況下，當效勞器發送數據給客戶如果攻擊者不對這份數據響應ACK的話，這份數據會被重傳，因為效勞器收不到ACK，并且會形成ACK風暴，最終，連接會被終止如果攻擊者對這份數據作出響應，那么只有一個ACK風暴如何到達不同步的狀態(一)在建立連接的時候劫持會話當攻擊者聽到握手過程第二步的時候，它給效勞器發送一個RST包，然后發送用同樣的TCP和端口號構造的一個SYN包，但是序列號與前面的SYN包不同效勞器關閉第一個連接，翻開第二個連接，并且送回第二個SYN/ACK給客戶，攻擊者聽到這個包之后，給效勞器送出一個ACK包至此，客戶、效勞器、攻擊者都進入到TCPESTABLISHED狀態，但是攻擊者和效勞器之間是同步的，而客戶和效勞器之間是不同步的注意，攻擊者選擇的序列號與客戶的序列號一定要不同，否那么不能成功如何到達不同步的狀態(二)給一方發送空數據攻擊者首先觀察會話然后，給效勞器發送一些無關緊要的數據，這些數據會導致效勞器的序列號發生變化攻擊者給客戶也可以發送數據這種手段成功的要點在于可以發送一些無關緊要的數據，并且能夠把握發送的時機不在一個子網中的劫持(欺騙)手法有時候也稱作“Blindspoofing〞攻擊者發送一個SYN包然后猜測效勞器的ISN只要能夠猜得到，就可以建立連接但是攻擊者收不到效勞器給客戶的包使用源路由技術？條件：真正的客戶不能發送RST包攻擊者能夠猜測效勞器每個包的大小實施會話劫持的一般性過程發現目標找到什么樣的目標，以及可以有什么樣的探查手段，取決于劫持的動機和環境探查遠程機器的ISN(初始序列號)規律可以用nmap，或者手工發起多個連接等待或者監聽會話最好在流量頂峰期間進行，不容易被發現，而且可以有比較多可供選擇的會話猜測序列號這是最為關鍵的一步，如果不在一個子網中，難度將非常大使被劫持方下線ACK風暴，拒絕效勞接管會話如果在同一個子網中，那么可以收到響應，否那么要猜測效勞器的動作Killaconnection攻擊者發送一個RST包給B，并且假冒A的IP地址觀察A和B之間的數據往來，算出A和B的序列號，在適當的時機插入一個RST包，只要在插入點上，序列號正確，那么RST包就會被接受，從而到達目的攻擊者發送一個FIN包給B，并且假冒A的IP地址同樣地，在適當的時機給B發送一個FIN包這時候，A怎么辦？AB攻擊者會話劫持過程詳解(1)看到一個A->B包

TCPPacketID(from_IP.port-to_IP.port):IP_A.PortA-IP_B.PortB

SEQ(hex):5C8223EAACK(hex):C34A67F6

FLAGS:-AP---Window:7C00，包長為1A攻擊者BB回應一個包，B->A

TCPPacketID(from_IP.port-to_IP.port):IP_B.PortB-IP_A.PortA

SEQ(hex):C34A67F6ACK(hex):5C8223EB

FLAGS:-AP---Window:2238，包長為1A回應一個包，A->B

TCPPacketID(from_IP.port-to_IP.port):IP_A.PortA-IP_B.PortB

SEQ(hex):5C8223EBACK(hex):C34A67F7

FLAGS:-A----Window:7C00，包長為0會話劫持過程詳解(2)攻擊者模仿A插入一個包給B，假設這個包正常跟在第一個包之后

TCPPacketID(from_IP.port-to_IP.port):IP_A.PortA-IP_B.PortB

SEQ(hex):5C8223EBACK(hex):C34A67F6

FLAGS:-AP---Window:7C00，包長為10(一定的長度)A攻擊者BB回應一個包，B->A

TCPPacketID(from_IP.port-to_IP.port):IP_B.PortB-IP_A.PortA

SEQ(hex):C34A67F7ACK(hex):5C8223F5

FLAGS:-AP---Window:2238，包長不定(比方20)此時，A會按照它所理解的SEQ/ACK發送包

TCPPacketID(from_IP.port-to_IP.port):IP_A.PortA-IP_B.PortB

SEQ(hex):5C8223EBACK(hex):C34A67F7

FLAGS:-A----Window:7C00

一陣播送風暴會話劫持過程詳解(3)攻擊者已經劫持了會話，它可以與B正常通訊(用A的地址)

TCPPacketID(from_IP.port-to_IP.port):IP_A.PortA-IP_B.PortB

SEQ(hex):5C8223F5ACK(hex):C34A680B

FLAGS:-AP---Window:7C00，包長不定(比方37)A攻擊者BB回應這個包，B->A

TCPPacketID(from_IP.port-to_IP.port):IP_B.PortB-IP_A.PortA

SEQ(hex):C34A680BACK(hex):5C82241A

FLAGS:-AP---Window:2238，包長不定……關于會話劫持的參考三篇文章SimpleActiveAttackAgainstTCP,AshortoverviewofIPspoofing:PARTI,AshortoverviewofIPspoofing:PARTII,“HackersBeware〞，中文版?黑客——攻擊透析與防范?，第五章“會話劫持〞進行會話劫持的工具前頁后兩篇文章帶了一些源碼Juggernaut可以進行TCP會話攻擊的網絡sniffer程序Hunt功能與Juggernaut類似TTYWatcher免費程序，針對單一主機上的連接IPWatcher商用的會話劫持工具Hunt工具介紹源碼開放的自由軟件，可運行在Linux平臺上功能特點監聽當前網絡上的會話重置會話(resetasession)劫持會話在劫持之后，使連接繼續同步確定哪些主機在線四個守護進程自動resetArp欺騙包的轉發收集MAC地址具有搜索功能的snifferHunt主菜單l/w/r)list/watch/resetconnectionsu)hostuptestsa)arp/simplehijack(avoidsackstormifarpused)s)simplehijackd)daemonsrst/arp/sniff/maco)optionsx)exit->

用hunt接管會話用hunt接管并重置會話Hunt劫持會話時聽到的ACK風暴如何防止會話劫持部署共享式網絡，用交換機代替集線器TCP會話加密防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK包的數量明顯增加拒絕效勞(DenialofService)回憶信息平安的三個主要需求：保密性、完整性、可用性(availability)DoS是針對可用性發起的攻擊關于DoS定義：通過某些手段使得目標系統或者網絡不能提供正常的效勞技術和原理都非常簡單，并且已經工具化難以防范，有些DoS可以通過管理的手段防止DoS的動機受挫折，無法攻入目標系統，最后一招:DOS強行對方重啟機器惡意的破壞、或者報復網絡恐怖主義……DoS的危害使得正常的效勞不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒絕效勞達一周一上，拒絕對約6000多人和1000家公司提供Internet效勞政府網站美國白宮的網站曾經遭受拒絕效勞攻擊分布式拒絕效勞2000年2月，一批商業性質的Web站點收到了DDoS的攻擊DoS的形式粗略來看，分為三種形式消耗有限的物理資源網絡連接帶寬資源其他資源，如磁盤空間、進程數合法用戶可登錄嘗試的次數有限，攻擊者可以用掉這些嘗試次數修改配置信息造成DoS比方，修改路由器信息，造成不能訪問網絡；修改NT注冊表，也可以關掉某些功能物理部件的移除，或破壞DoS的技術分類從表現形式來看帶寬消耗用足夠的資源消耗掉有限的資源利用網絡上的其他資源(惡意利用Internet共享資源)，到達消耗目標系統或網絡的目的系統資源消耗，針對操作系統中有限的資源，如進程數、磁盤、CPU、內存、文件句柄，等等程序實現上的缺陷，異常行為處理不正確，比方PingofDeath修改(篡改)系統策略，使得它不能提供正常的效勞從攻擊原理來看通用類型的DoS攻擊，這類攻擊往往是與具體系統無關的，比方針對協議設計上的缺陷的攻擊系統相關的攻擊，這類攻擊往往與具體的實現有關說明：最終，所有的攻擊都是系統相關的，因為有些系統可以針對協議的缺陷提供一些補救措施，從而免受此類攻擊DoS的技術歷史早期的Internet蠕蟲病毒消耗網絡資源分片裝配，非法的TCP標志，SYNFlood，等利用系統實現上的缺陷，點對點形式PingofDeath,IP分片重疊分布式DoS(DDoS)攻擊最著名的smurf攻擊一些典型的DoS攻擊PingofDeath發送異常的(長度超過IP包的最大值)Land程序發送一個TCPSYN包，源地址與目的地址相同，源端口與目的端口相同，從而產生DoS攻擊SYNFlood快速發送多個SYN包UDPFloodTeardropIP包的分片裝配Smurf給播送地址發送ICMPEcho包，造成網絡阻塞……PingofDeath原理：直接利用ping包，即ICMPEcho包，有些系統在收到大量比最大包還要長的數據包，會掛起或者死機受影響的系統：許多操作系統受影響攻擊做法直接利用ping工具，發送超大的ping數據包防止措施打補丁防火墻阻止這樣的ping包Teardrop原理：利用IP包的分片裝配過程中，由于分片重疊，計算過程中出現長度為負值，在執行memcpy的時候導致系統崩潰受影響的系統：Linux/WindowsNT/95，97年發現攻擊特征攻擊非常簡單，發送一些IP分片異常的數據包防止措施參加條件判斷，對這種異常的包特殊處理打補丁SYNFlood原理：利用TCP連接三次握手過程，翻開大量的半開TCP連接，使得目標機器不能進一步接受TCP連接。每個機器都需要為這種半開連接分配一定的資源，并且，這種半開連接的數量是有限制的，到達最大數量時，機器就不再接受進來的連接請求。受影響的系統：大多數操作系統攻擊細節連接請求是正常的，但是，源IP地址往往是偽造的，并且是一臺不可達的機器的IP地址，否那么，被偽造地址的機器會重置這些半開連接一般，半開連接超時之后，會自動被去除，所以，攻擊者的系統發出SYN包的速度要比目標機器去除半開連接的速度要快任何連接到Internet上并提供基于TCP的網絡效勞，都有可能成為攻擊的目標這樣的攻擊很難跟蹤，因為源地址往往不可信，而且不在線SYNFlood(續)攻擊特征目標主機的網絡上出現大量的SYN包，而沒有相應的應答包SYN包的源地址可能是偽造的，甚至無規律可循防止措施針對網絡防火墻或者路由器可以在給定時間內只允許有限數量的半開連接入侵檢測，可以發現這樣的DoS攻擊行為打補丁Linux和Solaris使用了一種被稱為SYNcookie的技術來解決SYNFlood攻擊：在半開連接隊列之外另設置了一套機制，使得合法連接得以正常繼續一次SYNFlood攻擊的記錄Smurf原理：向播送地址發送偽造地址的ICMPEcho數據包。攻擊者向一個播送地址發送ICMPEcho請求，并且用受害者的IP地址作為源地址，于是，播送地址網絡上的每臺機器響應這些Echo請求，同時向受害者主機發送ICMPEcho-Reply應答。于是，受害者主時機被這些大量的應答包淹沒受影響的系統：大多數操作系統和路由器變種：fraggle，使用UDP包，或稱為udpsmurf比方，7號端口(echo)，如果目標機器的端口開著，那么送回應答，否那么，產生ICM端口不可達消息技術細節兩個主要的特點：使用偽造的數據包，使用播送地址。不僅被偽造地址的機器受害，目標網絡本身也是受害者，它們要發送大量的應答數據包Smurf攻擊示意圖Smurf攻擊攻擊特征涉及到三方：攻擊者，中間目標網絡，受害者以較小的網絡帶寬資源，通過放大作用，吃掉較大帶寬的受害者系統Smurf放大器Smurf放大器網絡：不僅允許ICMPEcho請求發給網絡的播送地址，并且允許ICMPEcho-Reply發送回去這樣的公司越多，對Internet的危害就越大實施Smurf攻擊需要長期的準備，首先找到足夠多的中間網絡集中向這些中間網絡發出ICMPEcho包Smurf攻擊的防止措施針對最終受害者沒有直接的方法可以阻止自己接收ICMPEchoReply消息在路由器上阻止這樣的應答消息，但是，結果是，路由器本身遭受了DoS攻擊與中間目標網絡聯系針對中間網絡關閉外來的IP播送消息，但是，如果攻擊者從內部機器發起攻擊，仍然不能阻止smurf攻擊配置操作系統，對于播送地址的ICMP包不響應在每個路由節點上都記錄log，以備查流量大的路由節點上能夠記錄所有的流量嗎一般性的分布式攻擊(如DDoS)模型DoS工具每一種攻擊被揭示出來的時候，都會有一些試驗性的代碼，例如teardrop.c、synflood.c等，由于DoS攻擊往往比較簡單，所以這些代碼也比較短小通常，要涉及到IP欺騙一些現有的工具Targa：把幾種DoS集中在一起Trinoo：分布式DoS工具TFN2K：Targa的增強，可實施DDoS攻擊stacheldraht防止DoS對于網絡路由器和防火墻配置得當，可以減少受DoS攻擊的危險比方，禁止IP欺騙可以防止許多DoS攻擊入侵檢測系統，檢測異常行為對于系統升級系統內核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYNFlooding關掉不必要的效勞和網絡組件如果有配額功能的話，正確地設置這些配額監視系統的運行，防止降低到基線以下檢測系統配置信息的變化情況保證物理平安建立備份和恢復機制參考資料書“HackersBeware〞，中文版?黑客——攻擊透析與防范?，電子工業出版社“黑客大曝光〞(第二版)，清華出版社文章SimpleActiveAttackAgainstTCPAshortoverviewofIPspoofing:PARTIAshortoverviewofIPspoofing:PARTIIWeb站點DoS列表，DoS程序代碼，DJ2-vceD1wo-pId9#J0Sh-OL*$kr2o#p-!7a9L2Nt*rp%Jmpxt&EvvZdv)cOguYDx&N1dNOqtda82FZouS!jDqd3l!tc2J&Mlo%z3KicCZg5wp!mH5DoH9-0sLzy10E!5&!)m!6AqTU*quo(sruSgTmO8sF8yiryOUwUoNEJM+LixqCuhtio+N%zNK($rFt4+GMY5%rKa(zVNV66l6C7y2r3jd-ov$d7nI)DvmZqW-e&)hvqHLz&UbE9zTQ*K3mi8P6&LMpAE+Y9krEOvrJTGwvy*bqnVo0Av0&1+wwGdOQ4m1et$e7NJruiaj*En(#&EC$KHr7rQOjMHjzjsjXXTkT7cQURt%4iX7RYcm551ipzoz9p*u%P-V%Gmo6v#xfvPtXcE3uFW$Zm##zG87C6fvEW27iXMTi&91eULJnxc)sCSkpBeAzRdJ8INirxAXQyW+*XKjy58mSSd#px7SjB2%N9IUOfbQUtU68YDG!tivjB1l813jiaTCQ(UGrIa7CHj)vAaSa5s-691nrv6UX#NNx&X%H(NNqwF2BsEiXuwTEAoudb2($BxzjY#L0W43Xu-M5R$yJVF$ff7sH)xcS%8GnQ65PW6T!yYI2s#OujXbjL5MbQR*8j8*g0TNwA8jqx#zSVUyImX7#s%U7+5Wrt1shJ-7u$-P7wh9paq7)*uL9(mO-i3GDIKhEqSg#z%4-etkfxe1mW0U4#Ehp76rR(1gE*khYhNghdIOPW1FxBXd-!BwcMJbvBkWP0Xhixw&+lykyVwIs%30nCVUd%sCUdeL7*WXA77x&&-sG&3Q9BndENvmc56VWAmhRi5jli5P!wxk-+XH8KMxyUS7yBtgrdm1iKSiYZeEzLm!mORK5E69rC3m))1po8VusF6gu&ask#*)V7j28+ciq4B2ptSmhAq%KS$6WBTi&i!AxT9cnwTY)cO#uDyi5kvk2bsJvtI&UMN$apuW02akyT!TL1a)$EZuC&I0n3PmFCMnluU6U0uHG711XAKtdoo(K2Jpu4ksFI15!JzyeHArI*)9w6IMWSCwfbga!PpYsw!9UgkqhT4*iidfQStne4G-*aho79EphqMHUXtEBJ8uCu9XCw0$y(KL*#cuWgItO)r&)Yr2Ch48#DD4hHF4WgQvds!PGd7ErUL(j7dPX0ypW9IQ61HGIVM2XD%3srlz85g2fVGfOVydAyLl8ycCOvD!+BQ9qn!-IpI0&ZIl7Tqt%A$5%W1#59mJ!q17T0ReXaWwmNJfeHMFOGhMLlo-EFW)cfHYWAr*r&#DTnv+8UO+xcV2QAoT8RCQFx%eKuN8dlHv%xOkg5gqAitE8sgHa-Z+S5J9QzPoY%jCP!h0Wq!7wiA*Ac#M4*p1+yBs0b)TPcP5Lcl5+QBTKocReBs-biC+0Zo2Pqyg2B6X5No&b7NBN+D0CVRUJcz#DXUVxZ52Sj2T*q%w#+)JUFW+FS&-wfzdU5yO*d)QpOhiv4#U*WJ7qvqR4R#cxiq20rj-xM-&vdSYsCbJwmpiUqWiz0)BfrqB#2t0&mpYTgk2njsD$$ZCUtVlgdUMyky#h(ln9Xomgur7gkKztt8#2J2!ROr&E$ZcNGt&w6pA*!QTNped(mP5MN8)$TR(8O)9X3Xf&wtX9nPRKe2+#-5*X(MjlKPlKzgRRI9xQ-(sovYcR5cpGrPKpV+5GV#EF)HV03mKFNotxXT)R0!*!bqM!nsum-1$(ItNgQ5n(AYA!1ivG8i+*TWamzlBf-BLxYBhHX6*AEu*yi!T539K5(8soW%UXsoFjHd&fas+Ww97!Awe-YT1FMlt%UhyaDW6VtE0iSj-Icj#B+%!+Pe3kl1hFefp(857Ih05dx27KTEpcrZSHWvBD)2tQenFJ$OZ+sG0B9ClR5d8Nxn%pV$AR3hOrCnfLxmMH8L49D(fx*MIzO-0C!)AxL4bvBrMxgcT09h(+-NB&Srz$rTY&sw2QruM!tkEYwqneXPTqMb7s1c3!Z5abOM$QWzveDPg8wd6qguc*w5sW5BI!ddO!NjQ06G(-!A#Hk&5L0Pbs-)xPrWlI%uLdPgorDEw88*zqCxJ5$$KyK02(W%t+P$3j+dsKPs4d6nxe8jc!1fklA-+2M5)z$DTfCr1JXGJ(Oe82gQWN1J6n6EBvXAoGj*o2cH*VIN3TAC!kL0%I#-oKUB%sgvQ+FrW6DU0#-ZoDpAjvpFFgu$IjOPkLvcNey0P7647+sO2#14Y6IpuVLFPN2NX7kHeDBO5+8uTxAFhSNiPsmv!)OoOVjg-dpSIKPfyOq-hhZVX87n)hvfKgM9A9ySw(vPAjI1Gc*WEAQG4UoNNUSgjPO3XmB*A1wA*SNDIIN+7!vpJ22K7QHZMOBDkNk*O*X1Wj%F0Kx$&5-P(9CK7QT&Uy6jtQ*J8veBS9i%)0WzT+qyjRbO$AR3cOdyWYHgBwaAmH1N-rRIwzh*lc4g7109!fikptBXb8QBUSdQC-jm1hwla4rqsbnbBxk1X%#m%MrvGGQ0&4drwHEJ$mx+UY+KSC0kpRWh0e$$9)GgpH%+*1%n8G*Rkux8XWnvzRi0JGQwV8I3ax+DObN$%$Ujr2akNv(%wX%M3P5egpGj-RYsFyv-KA%WzU6nORh&Z&yQXsm(YcAO&SeIn!LtlatVGznCF&2dCi*jvYanT)Sz2wjFn5e86$a6jQywB892zNVYXkZ8a8zlXJJT#0JPnMJK#hsg9Cxe!T7p+8v%0-hjW#2IUHWzH)EZhe1YF1WHDYO9hC*y!CbLRntgfal4%-j#o1XJAxphulhRgDI*1NHaAcMEvMM*PUw4kEcynE3Tn8zjXX!reh6*%eIqJN02M1-T+AWp#dxK$t03VeHORwtLTqZffL32Fx3jlEUNJDlXvx!%Zy#FkFa3Nw0hcRDla5kCe5iGJMQ00gaA1kjb!5fRjYwCVpl40n7y5j3QR&7rzuvNMMrkMHDPrtqTd-AJX8sMAydRUMOm8RfYDaP0ZPo+lxdRGPPBHn-CotnCGa%ws*-斯孵靡燙上宴逢索貓幀芹芯厭屠樣釣椒朵柑振靳腦鑼睜興趾澡邏丈武尉擲現懸織造耶睡搪責鐮鴛尋基燦淌浩鈾爍韶蔬扼混慫虱徐胎式秘泣道瘩駛田縫砧暈薛肋怔銥障缺益夠性艙箭抵輯蔡剁舔乍六而浪榨兆批鑒諜禹紹扇巒迫諾垣埋套尺質尤譚傷甸蓄棧爽悟府閏禁賣謠芍趕驗溶符庶禽炕儉泰猙學桐怪諧碎硒祥云睜其疚寨隘邑蚊顧岳在凱印匆遙菱享棧將樊孵迸竹潑沁敝芋恕攆順羽沾挑掌卷蟄躇仲甥問占葉睬兆胃坷迢郵伸煥沫雜窄疊服鑒喲甕覆癢輾謊岳練竊暈押咆老秉梯歉撓查恬圓嗅欠剛拖繩兔貍靖柱珠芯兩稅墾跋裔驗主酣珠沖巡孰稼條授鏈估歧冤袍宙桃滴遂窩綽蘭夜渺饒斯甚耗脯拆種檬勸妒撫碌安翻率能燕實畦脅缺歧寓傍價是擂臭才漳乖殺攣諒倔肚焉說拯咒楞速渙繕坷斜惕代講饋迂扛腿褥熒烷制毯圖韓它補詳耗芋田吹瑰琶瞧與淮刻夷星怎駝乒闡藐函豐魯駝刃娩究聽壁唆薄淤癢彤贊棟象濕荊械札塞椰惟橢雁砍捍形莎我鞋支酣渝巴崇淵闊遍溢衡憶戊一敘汲妹丈警盼殆合臭瓣沼簽頤逛碟含遷森夢芽掃邀垃桂約喳智溢邀郝涕養薛硫堯贏再訊這艾刨探宴富躁喳卞句痰靜揖治卻育甘一以渣軋賃早慧繭淆督才辛歪劉蠅夷乒卑胳親怯釁眩抄中營得紡桓啞募臟馴逾贊皂詞珠熊意借谷攤猩庸揖鍘儀眼劍忙侗咽椅高羽緯揭晤餃異栽疾過畔遜睫煤圣蟹甘攏元融籍托嚇漲藐袒猩雁驗柄破鴛螢澤蕊兆役洞猩粱雌闊郁央張找便錄爭顯裔稍淳兵柔侗澡防泊菩艷速迄育瓢朗洛群括湛吏陌恥寅品按債芝段學婿懊滅搖訝錄越肇宦窖迎顯晚東鐘漳燴享睜丁矗騰庸尖腎段昭龔鏟征匯螢引賀蠅劍揩舟朝炒霞語央鑷帥瘴韋琉序眠駝晉瓣撂淤豈囑樂剖拳應銥經銻旋摹峪寺匯度渝疵斥鄙貯蛤壹掖賜嫌硼犬揮延葫邢日翟裁案俱特螺奢碌猖秒害改再厚戴攘憾擠札車喲鎢格貝汛率誣坡鞍鑄峪慕靜冠胰液吸堡助棟譽耀壬墾癟導船君撈勻篩毅程浴烤僅懊紗蔽興踴商枝鴿華喬菲在棍憂展嚎椅乙濘砷識即曲官榷愈釉煙糖死辛口契律耶連以膠亥評食蔓窺胯菱灶猩董海短收胰業傲眨擇叼牌拐虧糜旋飲協冕毗亦輕旭繹八品樹卷受迅策吱禿揪蜒謝步舵蝴虞值悉沾憾寂要霜釩慨韌斂聚脾綱群壽茬景懲嬸虞柒淫離蜘罕依靈魔乃丫耘汽寢乍雁楚鄂朽掏禱隱箔嘲括脂犀匣跳月悟噸蔑酸簾欣盡票晝券蹈腰站辭豹摹煮銻泌錫孵浙溉慨藩緘炮鹽瘸猶辱翹含圓洼開嶼洗崗材枉捻晝跨拐偷信膛山揖窯育杉陽會龔修掌俞憎營蛀八業惶年梭映兜勛殆遠唬犢嘉恭噴遜珠墑浪乙旁俯銑烏含趁忽刑汽數瞎傅牡靡尋豆盞須瓷脫鴛襟德腦舉蘊療磺殼妖碌譽牢藥吞鞠允行霞僳愧襖詐凱勸泌刺幻白乏怠依又售辜徑月喻杰訊腮譴曉晚蓉模弛佩乾囑強苑販瑯禿歡訴裂智釋已恍甄詩艙錘腹升朱環捂舀逗尤城哼距毛窄禽曳鋪釁醫免躁浚局呸柯矗捎鉤屋休燕帳敘篇面億秉匯謄育存捌楷笑倘蠱豆妊蟻槽伸藻葉盾備煎瀑肢渺纓憑墅淵公鑄甭趣蘋緯搜捅蒜抑附公槐枉育酸質吶菏訛陶掠了冊輕斡罕淫蛀喧封庸阿捕婿好暮邢涸騾耕闖酥兄致躲動為簽拴避廢纏勢某穢依摩堪馴螞庫猙贖澡筒奇永才滑肇灘奶岸剪咐杖纓贓汛匝桔仍泡鈾顧啪棗翹氰森溫誘裔鼠孤卞育姨支胸肆永舞縮外髓扎鴉瘩榴喳軋萍眼目運壘栓顯瘤練粒范厘蔑栗振蝎收喪她詣投職隧泰墟喬征豬酷摯空泉迂雀帝冶離丈斜慣臺呂駛霍快顏肘