黑客攻击与防范P3

null黑客大曝光黑客大曝光安　阳　大　学 @ http://www.linzhou.gov.cn/wl/index.html 第3部分　网络攻击第3部分　网络攻击主要内容： 第9章 防火墙 9.1 防火墙概述 9.2 防火墙的识别 9.3 穿透防火墙扫描 9.4 数据包过滤 9.5 应用代理的弱点 第10章 拒绝服务攻击 10.1 常见的DoS攻击技术 10.2 针对DoS攻击的防范措施 null 第9章　防火墙 第9章　防火墙　　把Web服务器（或任何其它用于此目的的计算机），置于因特网上而不部署防火墙无异于自杀。同样，把防火墙的管理职责扔给网络管理员（更坏的情况是系统管理员）的常见决策也相当于自杀。网络管理员也许明白防火墙的技术内涵，不过他们很少亲历安全活动，并不了解黑客（至少在把本书读过几遍之前是这样）。其后果是防火墙有可能因为配置有误而漏洞百出，使攻击者能破门而入进入到网络中，造成严重的后果。防火墙成为信息高速公路上不可缺少的隔离墩。9.1　防火墙概述9.1　防火墙概述　　当前市场上主要有两类防火墙:应用代理（application proxy）和数据包过滤网关（packet filtering gateway）（或二者的某种混合产物）。尽管应用代理一般认为比数据包过滤网关安全，他们的限制特性和对性能的影响却使它们的适用场合局限于从公司内部向外的数据包流动，而不是从流入本公司的Web服务器的数据包（或DMZ）。相反，数据包过滤网关或者更为先进的有状态数据包过滤网关则能在许多具有高性能要求的较大机构中找到。 　　防火墙保护着无数的网络躲过窥探的眼睛和邪恶的破坏者，市场上每个防火墙产品几乎每年都有安全脆弱点被发现。如果不犯错误，从设计到配置再到维护都做得很好的防火墙差不多是无机可乘的。9.2　防火墙的识别9.2　防火墙的识别　　几乎每种防火墙都会发出独特的电子“气味”。也就是说，凭借端口扫描，Firewalk工具和旗标攫取等技巧，攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本和规则。 直接扫描:制造网络噪音的技术 流行度:10 简单度:8 影响力:2 风险率: 7 　　查找防火墙最简单的方法就是对特定的默认端口执行扫描。市场上有些防火墙使用简单的端口扫描就会显露原形——你只需要知道应扫描那些端口。例：CheckPont的Firewall-1在256、257、258和259号TCP端口上监听（ Check Point NG在TCP端口18210、18211、18186、18190、18191和18192上监听），Microsoft的Proxy Server则通常在1080和1745号TCP端口上监听。知道这一点后，使用端口扫描程序来搜索这些类型的防火墙就轻而易举了。null直接扫描防范措施 检测 　　要准确的检测使用随机处理的端口扫描，你得精心调整每个端口扫描检测特征。 　　如果你使用的是UNIX版本的Firewall-1，难么可用Lance Spitzner编写的用语Firewall-1端口扫描检测的工具（http://www.enteract.com/-lspitz/intrusion.html). 　　如果你使用的是Linux防火墙产品，比如众所周知的netfilter/iptables，你将有很多种监测工具可以选用，他们都可以帮助你发现那些制造网络噪音的攻击活动。IPPL就是一个这样的工具，它是一个在后台运行的防护进程，你可以通过设置这个守护进程某些参数的办法把可疑的数据包记载到日志里。 预防 　　为防止来自因特网的防火墙端口扫描，需要在防火墙之前的路由器上阻塞这些端口。如果这些路由器是由自己的ISP管理的，那就得跟他们联系以执行阻塞。null路由跟踪　流行度:10 简单度:8 影响力:2 风险率: 7 　　找出某个网络上的防火墙的不动生色的精妙方法是使用traceroute。可以使用UNIX的traceroute或Windows的tracert.exe找出到达目标主机的路径上的每一跳，并做些检测工作。LINUX的traceroute有一个-I选项，它指定发送ICMP数据包执行路径跟踪，这与默认发送UDP数据包的技巧不同。 　　如果本地主机和目标服务器之间的路由器对TTL已过期的数据包作出响应，那么上面的例子没有问。但是有些路由器和防火墙设置成不返送ICMP TTL 已过期数据包（对于ICMP和UDP探测数据包都一样）。这种情况下所作推断不够科学。你能做得就是运行raceroute， 查看那一跳最后响应，然后推断它或者是真正的防火墙，或者至少是路径上开始阻塞路径跟踪数据包的第一个路由器。null路由跟踪对策 　　解决raceroute信息泄露的措施是限制尽可能多的防火墙和路由器对ICMP　TTL已过期数据包作出响应。然而这并非总是在你的控制之下，因为所涉及的路由器有许多可能是由你得ISP控制的，所以应该尽可能促使ISP采取行动。 检测 　　在边界上检测标准的traceroute 探测数据包需要监视TTL值为1的ICMP和UDP 数据包，可以使用RealSecure 3.0完成。 预防 　　要防止在边界上穿透traceroute探测数据包，可以把边界路由器配置成接收到TTL值为1或1的数据包时不响应TTL EXPIRED。null旗标攫取　流行度:10 简单度:9 影响力:3 风险率: 7 　　扫描防火墙端口有助于寻找防火墙，不过大多数防火墙并不像Check Point 和Microsoft那样在默认的端口上监听，因此还需要其他定位防火墙的方法。我们以前讨论过如何连接到发现打开着的服务上并读取旗标以发现运行中的应用程序名和版本的方法。防火墙检测也可以差不多同样地进行。许多流行的防火墙只要简单地连接它们，就会知道是否存在。例如许多代理性质的防火墙会声明它们是防火墙的功能，有的还公布自己的类型和版本。我们可能使用netcat连接到一台相信是防火墙的主机来测试。null利用nmap工具作出简单推断　流行度:4 简单度:6 影响力:7 风险率: 6 　　nmap在发现防火墙信息上是个好工具。使用mmap扫描一台主机时，他不光告知那些端口开着或者关闭着，还告诉那些端口被阻塞者。从端口扫描取得大量信息能够给出防火墙配置的大量素材。 　　nmap输出里的被过滤端口意味着以下三种情况之一: 　　　　没有接收到SYN/ACK数据包。 　　　　　没有接收到PST/ACK数据包。 　　　　　收到了一个类型为3（Destination Unreachable，无法到达指定目的地）、代码为13（Communication Administratively Prohibited，对方不允许进行这种通信）的ICMP数据包。 　　nmap将把所有这些条件合在一起作为“过滤掉的”端口报告。null端口识别　流行度:5 简单度:6 影响力:7 风险率: 6 　　某些防火墙有独特的显示为一系列数字的足迹，能够与其他防火墙区分开。例如，当连接到Check Point的257号SNMP管理TCP端口时，他会显示一系列的数字。尽管一个系统单是打开256-259号端口，通常已足以表明存在Check Point的Firewall-1。9.3　穿透防火墙扫描9.3　穿透防火墙扫描发送原始数据包　　流行度:3 简单度:4 影响度:8 风险率: 5 　　Salvatore Sanfilippo（http://www.hping.org）编写的hping,其工作原理是通过向一个目的系统/端口发送ICMP、TCP或UPD数据包，并报告由他取回的数据包。根据条件的不同，hping返回各种各样的响应。每个数据包部分或全面地提供了防火墙具体范围控制的相当清晰的画面。 null Firewalk工具　流行度:3 简单度:3 影响度:8 风险率: 4 　　Firewalk(http://www.packetfactory.net/projects/firewalk/)是个精致的小工具，像端口扫描程序那样能够发现在防火墙之后打开着的端口。由Mike Schiffman（别名为Route）和Dave Goldsmith编写的这个工具将扫描一个防火墙的某个下游主机，并且不需要真正触及目标系统就能往回报告允许到达该主机的规则。 　　Firewalk通过构造其TTL值专门计算过的IP数据包来工作，该TTL值在相应数据包过防火墙时只剩下一跳。如果防火墙允许该数据包通过，那么他将如期地过期，从而引发一个ICMP“TTL expired in transmit(TTL在传送中过期)”的消息。相反，如果该数据包被防火墙的ACL规则所阻塞，那么它将被丢弃，从而要么不发送任何响应，要么发送一个ICMP类型为3代码为13的“admin prohibited filter(管理上受禁而过滤)”数据包。9.4　数据包过滤9.4　数据包过滤　　数据包过滤防火墙依赖于ACL规则确定各个数据包是否有权出入内部网络。大多数情况下，这些ACL是精心设计的，难以绕过。然而有些情况下会碰到ACL规则自由散漫的防火墙，允许某些数据包不受约束地通过。 没有实效的ACL规则　流行度:8 简单度:2 影响度:2 风险率: 4 　　没有实效的ACL规则在防火墙上屡见不鲜，考虑一个单位可能希望自己的ISP进行区域传送的情况。可能会采用“允许来自53号TCP源端口的所有活动”这样的自由散漫ACL 规则，而不是严格的“允许来自ISP的DNS服务器的源和目的TCP端口号都是53的活动”。这些误配置造成的危险可能真正具有破坏性，允许攻击者从外部扫描整个目标网络 null Check Point诡计　流行度:8 简单度:2 影响度:2 风险率: 4 　　Check Point3.0和4.0提供默认打开着的端口。DNS查找（53号UDP端口）、DNS区域传送（52号TCP端口）和RIP（520号UDP端口）都允许从任何主机到任何主机的数据包且不记录。 　　前面已讨论过确认Check Point防火墙很容易，利用上述新知识，攻击者现在就可以有效地绕过所设置的防火墙规则。不过这样的攻击有一个明确的先决条件。攻击者必须预先攻破防火墙后面的某个系统，或是欺骗某个后端系统上的用户执行一个特洛伊木马程序。他们就取得了一个穿透防火墙通达任意受害系统的孔洞了。null ICMP和UDP隧道　流行度:2 简单度:1 影响力:9 风险率: 4 　　ICMP隧道有能力在ICMP数据包头部封装真正的数据。许多允许ICMP回射请求、ICMP回射应答和UDP数据包盲目出入的路由器和防火墙会遭受这种攻击的侵害。与Check Point的DNS弱点很相似，ICMP和UDP隧道攻击也依赖于防火墙之后已有一个受害的系统。 　　Jeremy Rauch和Mike Schiffman把这种隧道概念付诸实施，编写了发掘它的工具：loki 和lokid（分别是客户和服务器程序）,在允许ICMP回射请求和回射应答数据包穿行的防火墙后面的某个系统上运行lokid服务器工具，它将允许攻击者运行loki客户工具，而loki把待执行的每个命令包裹在ICMP回射请求数据包中发送给lokid，lokid解出命令后在本地运行，再把结果包裹在ICMP回射应答数据包中返回给攻击者。使用这种技巧，攻击者就能完全绕过防火墙。9.5　应用代理的弱点9.5　应用代理的弱点　　总的来说，应用代理的弱点极为少见。一旦加强了防火墙的安全并实施了稳固的代理规则，代理防火墙就难以绕过。然而不幸的是，误配置并不少见。 主机名:localhost　流行度:4 简单度:2 影响力:9 风险率: 5 　　使用某些较早期的UNIX代理时，很容易忘了限制本地访问。尽管内部用户访问因特网是存在认证要求，他们却有可能获取防火墙本身的本地访问权。这种攻击需要知道防火墙上的一个有效用户名和口令字，然而有时候猜测起来又出奇的容易。要检查自己的代理防火墙是否存在这种弱点，可使用netcat工具。null未经身份验证的外部代理访问　流行度:8 简单度:8 影响力:4 风险率: 7 　　这种情况在应用透明代理的防火墙上较为常见，不过其他防火墙上也不鲜见。防火墙管理员可能极大的加强了防火墙的安全，建立了强壮的访问控制规则，但却忘了阻止外部的访问。这种危险是两方面的:（1）攻击者可能使用这样的代理服务器在因特网上匿名的跳来跳去，使用诸如CGI弱点和Web欺骗之类基于Web的攻击手段攻击Web服务器，（2）攻击者可能获取通达整个内联网的Web访问权。null未经身份验证的浏览 流行度:9 简单度:9 影响力:2 风险率:7 　　流行的Windows代理防火墙软件WinGate已经知道存在几个弱点。许多管理员简单地按默认设置安装完毕就让它运行起来，而忘了安全问题。 　　与许多误配置的代理一样，某些WinGate版本允许外部人员完全匿名地浏览因特网。这对于专门针对Web服务器的攻击者来说很重要，因为他们能称心如意地攻击而不必担心自己被抓住。Web攻击意味着没有多少防御手段，因为所有数据包都是在80号TCP端口中隧穿的，或者是通过TCP端口443加密传输的。null未经身份验证的telnet　流行度:9 简单度:9 影响力:6 风险率:8 　　比匿名Web浏览更糟糕的是未经本身份验证的telnet访问，这只是黑客工具箱中的核心工具之一。通过连接到一个误配置的WinGate服务器的telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹并随意地攻击。9.6　小结9.6　小结　　在现实世界中，要想绕过配置得相当的防火墙极为困难。然而使用诸如traceroute,hping和nmap之类信息收集工具，攻击者可以发现经由目标站点的路由器和防火墙的访问通路，并确定所用防火墙的类型。当前发现的许多脆弱点的根源在于防火墙的误配置和缺乏管理性监视，然而这两点一旦被加以利用，所导致的后果可能使毁灭性的。 　　代理和数据包过滤这两种防火墙中都存在一些特定的脆弱点，包括未经身份验证的Web和telnet访问以及本地主机登录。对其中大多数脆弱点，可采取相应的对策防止对它们的发掘。 　　我们曾测试过几乎所有的自由软件类和商业类防火墙产品。它们当中有许多非常优秀，Astaro是让我们非常满意的防火墙产品之一。Astaro是一个基于Linux的防火墙，它有许多种特色功能，其中包括查杀垃圾邮件、调用Snort程序进行入侵监测、查杀病毒以及集中内建的代理。Astaro安装简便，防护效果出色。可以从http://www.astaro.com/firewall_network_security/buy主页免费下载（仅限家庭用户）。null第10章　拒绝服务攻击第10章　拒绝服务攻击　　2000年开始，日渐成熟的技术使得拒绝服务攻击从一种骚扰变成了一种对电子商务活动构成严重威胁的高发风险。20世纪90年代末的拒绝服务攻击技术几乎都利用了与因特网底层通信TCP/IP有关的某种操作系统缺陷。只须发出一组简单的数据包，诸如“ping of death”、Smurf、Fraggle、boink、teardrop之类的攻击手段就可以让没有及时打上补丁的系统陷于瘫痪。10.1　常见的Dos攻击技术10.1　常见的Dos攻击技术　　DOS：即Denial Of Service，拒绝服务的缩写。拒绝服务，相当于在客满的时候不再让人进去一样。DOS攻击即：攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。比如： 　　试图FLOOD服务器，阻止合法的网络通讯 　破坏两个机器间的连接，阻止访问服务 　　　阻止特殊用户访问服务 　破坏服务器的服务或者导致服务器死机 10.1.1　早期的Dos攻击技术:安防漏洞10.1.1　早期的Dos攻击技术:安防漏洞　　20世纪90年代中期的Dos攻击活动差不多都是基于利用操作系统里的各种软件缺陷。与我们在这本书里讨论过的大多数安防漏洞一样，这些缺陷大都属于会导致软件或硬件无法处理例外情况的程序设计失误。这些“早期的”Dos攻击技术当中，最具危害性的是以某种操作系统的TCP/IP协议栈作为攻击目标的“发送异常数据包”手段。 下面是一些经典DoS攻击技术：null超长数据包　　这是最早出现的Dos攻击技术之一，攻击者在一台Windows系统上发出“Ping of death ”（运行“ ping -1 65510 192.168.2.3”命令，其中“192.168.2.3”是被攻击者的IP地址）是这种攻击技术的典型运用之一。Jolt程序也属于这类攻击工具，攻击者可以利用这个简单的C程序在操作系统自带的Ping命令无法生成超长数据包时发动这种攻击。 数据包片断重叠　　这种攻击技术的要点是迫使目标系统的操作系统去处理彼此有重叠的TCP/IP数据包片断，而这将导致很多系统发生崩溃或出现资源耗尽问题。这类工具主要有:teardrop、bonk和nestea。 自反馈洪水　　这类攻击的早期经典实现之一是利用UNIX系统上的Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统上echo服务，这样就形成一个无限循环，而那台系统将被他自己生成的数据“冲”垮。null“原子弹”　　这类攻击与前些年发现的一个Windows安防漏洞有关：有这个漏洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络里很流行，它们可以让玩家把惹恼了自己的对手赶出网络。 “超级碎片”　　TCP/IP协议允许发送者按照他自己的想法把数据包拆分成一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断，接受方的系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。 NETBIOS/SMB　　微软专利的组网协议多年来一直存在着各种各样的问题，他们的某些缓冲区溢出漏洞可以导致Dos攻击和NetBILS名字重叠攻击，遭到攻击的Windows系统将无法接入自己所属的局域网。 DOS工具包　　因为没有耐心去一种一种地尝试哪种攻击手段可以奏效，所以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。 10.1.2　现代Dos:能力消耗10.1.2　现代Dos:能力消耗　　当今的网络世界能真正构成威胁的现代DoS技术：能力消耗　（capacity depletion）攻击；也有人称之为带宽耗用攻击。 　　早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达到目的，但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的安防漏洞越来越少的情况下，现代DOS攻击技术采取了一个更直接的战术:设法耗尽目标系统的全部带宽，让它无法向合法用户提供服务。两类最重要的能力消耗DOS：通信层和应用层。null针对体系结构的DOS攻击技术 SYN洪水　发生洪水攻击的原理如下图： 　　正常的三次握手建立通讯的过程null连接耗尽连接耗尽nullUDP洪水 　　因为UDP的不可靠性，通过发送大量UDP数据包而导致目标系统的计算负载出现显著增加的事情并不那么容易发生。Foundstone公司开发的udpflood工具提供一个简单的办法来演示这种技术。除了能够在最短时间里发出尽可能多的UDP数据包以外，UDP洪水没有任何技术方面的突出之处。 　　放大效应：Smurf和Fraggle 　　Smurf攻击因其对攻击的放大效应而成为最令人害怕的DOS攻击之一。这种放大效果是往一个网络上的多个系统发送定向广播的Ping请求，这些系统接着对这种请求作出响应的结果。定向广播的Ping请求既可能发送给网络地址，也可以发送给网络广播地址，并且需要一个设备，可以执行第3层到第2层的广播功能。如果某个攻击者给一个拥有100个会对广播Ping请求作出响应的系统的放大网络发送了单个ICMP数据包，那么从效果看他把Dos攻击放大了100倍。我们称响应数据包和请求数据包的比例为放大率。这么一来，能够找到高放大率放大网络的攻击者有更大的填塞受害网络的机会。nullDDoS 　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了－ 目标对恶意攻击包的"消化能力"加强了不少。 　　这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。nullnullDDoS代理与“机器人” 　　发生在2000年的DDos攻击使得Tribe Flood Network(TFN)、Trinoo和Stacheldraht等工具名声大噪，以它们为蓝本的后续工具包TFN2K、WinTrinoo、Shaft和mStreams。 　　TFN是第一个公开的Linux/UNIX分布式拒绝服务攻击工具。TFN有客户端和服务器端组件，允许攻击者安装服务器程序至远程的被攻陷的系统上，然后在客户端上使用简单的命令，就可发起完整的分布式拒绝服务攻击。 　　和TFN类似，Trinoo的工作方式也是通过一个远程控制程序和主控制进行通信来指挥它的守护进程发动攻击的。客户端与主控之间通过TCP 27665号端口进行通信。主控端到服务器程序的通信通过UDP 27444号端口进行，服务器到主控端的通信则通过静态UDP 31335号端口进行。 　　Stacheldreht工具汇集了Trinoo和TFN的功能，而且主控端与受控端之间的Telnet会话是加密的。 　　最新的DDOS变体普遍依赖IRC的“机器人”功能来管理他们的攻击活动。在各种“机器人”软件中，流传最广的是Agobot/Gaobot系列。null针对应用程序级的DOS攻击技术 　　做为DoS技术的最新发展动向，应用程序级DoS技术更为精巧，如果运用得当，攻击者只须使用比蛮力DoS技术少得多的资源就可能发动一次DoS攻击。 　　主流的因特网搜索引擎如Google、Yahoo、AltaVista（现已被Yahoo收购）和Lycos都曾在2004年7月间遭到过这样的应用程序级DoS攻击。人们后来估计那次攻击是由几万台被MyDoom蠕虫的某种变体感染了的计算机导致的，这种蠕虫以那四家搜索引擎为攻击目标，让他们去查找电子邮件地址并向那些地址发送蠕虫的副本来扩大感染面。根据几家新闻媒体当时的报导，那四家搜索引擎在那次攻击中都出现了不同程度的可用性问题。10.2　针对DOS攻击的防范措施10.2　针对DOS攻击的防范措施　　因为DOS攻击具有难以追查其根源的特点，所以DOS要比其他任何攻击手段都应该采用有抵御、监测和响应等多种机制相结合的多重防线来加以防范。单独使用这些机制中的任何一种都不能保证百分之百的安全，但如果把它们结合起来，就可以把网络财产所面临的风险控制在一个适当的水平。10.2.1　要有切实可行的工作目标10.2.1　要有切实可行的工作目标　　从理论上讲，DOS攻击是永远也无法彻底防住的，DOS防范工作的目标应该是让自己能够在任意给定时刻向数量最多的客户提供最好水平的服务。如果能把这句话当做工作目标，再加上一些关于“服务水平”和“最多顾客”的硬性指标，就可以为网络应用程序赢得一个相对平稳的运行环境，同时也为自己赢得顾客的尊敬——即便是在危机时期也会如此。 　　防范DOS攻击的责任必须由企业的IT团队和管理团队共同承担，要让管理团队也参与到信息安全防线的建设工作中来，而能力/资源的管理责任必须正确合理地落实到每一个人——不管是因为受到了DOS的影响还是因为正常的内部调整而导致的可用性问题，都必须有人去负担起责任。10.2.2　防御DOS攻击10.2.2　防御DOS攻击下面是我们在如何建立技术性Dos防御体系方面的建议。 DOS杀毒工具　　如果你们有一个中型或大型网络并且你们的业务活动需要依赖这个网络的话，建议选购成熟技术来防范DOS攻击。推荐产品：Cisco Guard和Top Layer。购买Juniperr路由器同时可获得路由器和过滤器两种好东西。这两种产品都使用了可以阻断诸如“SYN洪水”和“合法的HTTP连接洪水”等常见DOS攻击手段的技术。 通信能力规划　　对网络的通信能力作出适当的规划并在公司愿意承受的前提下为可能发生的Dos攻击留出一些富裕量。不赞成在没有对公司可能面对的风险做出合理评估的情况下毫无节制地花费金钱去扩充通信能力的做法。请于ISP以及公司内部的风险管理团队密切合作，共同指定出一个从服务器和网络两方面看都有理有据的。 与你的ISP密切合作　　与ISP的技术人员多多接触，要了解他们都采取了哪些DoS防范措施、他们为防范DoS攻击而预留的富裕通信能力有多大、是否对在遭到DoS攻击时的应变能力进行过独立审计或测试。有远见的ISP都会在自己的网络边界使用过滤器对外来通信进行过滤以防止恶意通信进入自己的网络。null对网络边界进行硬化　　 　　　　阻断ICMP和UDP 早期的DOS攻击技术几乎都是利用这两个协议里的漏洞来达到其目的的。因为这两个协议现在已不常用了，所以推荐在网络边界对它们做出限制。 　　　　对外来数据包进行过滤　　意味着阻断明显非法的外来通信如源IP地址属于私用或保留范围的数据包，这样的数据包不应该出现在公共网络上。 　　　　对外数据包进行过滤　　只允许源IP地址是你站点上的合法IP地址的数据包发往因特网，其他源IP地址的数据包都不允许离开你的网络。 　　　　禁用定向IP广播 使用下列命令来禁用定向广播功能： 　　　　　　　no ip directed-broadcast 　　　　对访问量进行限制　　对访问量作出限制可以有效地销弱Dos攻击的效果。 　　　　安排一条“下水道” 　　可以对非法地址进行过滤的同时追踪它们的真正源头。这一机制的基本思路是：通过配置一个诱饵路由器并把路由终点设置为一个“陷阱”地址，就可以把任何类型的恶意通信全部送到那个“陷阱”里去。null对服务器进行硬化 　　网络在Dos攻击活动中首当其冲，但Dos攻击者的最终目的还是保存在服务器里的信息，所以对服务器进行硬化也是在Dos防范工作的一个重要组成部分。 　　　　及时打好补丁　　这是我们在这本书里再三推荐过的常识性办法。 　　　　系统级SYN保护措施　　绝大数现代的操作系统都已经具备了“SYN洪水”监测和预防功能。 　　　　部分操作系统的系统级防DoS配置　　某些操作系统可以配置成丢弃广播的ICMP ECHO 数据包，这种数据包可以发动Smurf或Fraggle风格的攻击。 　　　　Dos攻击测试　　对你们直接面向因特网的系统进行包括Dos在内的各种攻击测试。借助于模拟类似负载的办法进行Dos攻击测试，RadView公司的WebLOAO软件是这个领域的好工具之一。 10.2.3　监测Dos攻击10.2.3　监测Dos攻击掌握黑客软件的最新动向 　　最早收到的警报不应该来自针对性的Dos监测活动，应该来自对黑客团体最新活动迹象的及时掌握。 掌握Dos监测技术和监测技巧 　　需要监测的是异乎寻常的通信活动，推荐产品是Arbor Networks公司的Peakflow软件。部署在网络边界上的Peakflow软件可以根据预先为每个站点分别设定一个阈值去监测其通信量的变化并在发现疑似DoS的通信异常情况时刻发出警报。 在网络上扫描DOS“机器人” 　　查杀DOS客户/“机器人”的最佳办法是在整个网络上全面部署反病毒技术。查杀各种DOS客户的自由软件程序比较值得关注的包括Foundstone公司开发的DDOSPing、Bindview公司Razor团队开发的Zombie Zapper以及National Infrastructure Protection Center开发的find_ddos 工具。10.2.4　化解Dos攻击10.2.4　化解Dos攻击制定应变计划做好演习 　　首先，如果公司已经制定了灾难事件应变计划的话，请对那些计划进行评估。其次，在攻击发生时，一定要按计划行事，不要随便偏离既定方针。最后在Dos 攻击战结束之后，一定要对整个事件进行事后分析并出你们的应变计划都有哪些成功和不足之处。 对Dos通信流进行过滤或重定向 　　对DoS通信流进行过滤或重定向是一种传统的DoS防御技术。虽说使用了假造源地址的DDoS攻击技术已经让这种防御技术的效力打了不小的折扣，但许多企业仍在把阻断来自攻击方IP地址的通信作为他们防御DoS攻击的主要手段。阻断某个源地址可以百分之百地化解来自那个地址的DoS攻击。 与ISP合作追查攻击来源 　　如果站点遭到攻击，应该尽快与ISP的网络运行中心取得联系。追查出攻击活动的始作俑者可能非常空难，但并不是不可能。请ISP帮你过滤掉源自它们网络的DoS通信绝对是釜底抽薪的最佳办法。 null转移目标 　　首先，为了挫败那些使用静态IP地址来寻找目标的DoS攻击，微软公司只是简单地在预定攻击时刻到来之前在他们自己的DNS系统里改变了Microsoft.com的IP地址并缩短了目标域名上的TTL时间，这样一来，英特网上的DNS客户就会迅速收到Microsoft.com使用了新服务地址的通知并相应的更新了有关的DNS信息。在对付其他攻击的时候，微软还多在他们的DNS系统里增加了一个用来把DoS攻击重定向到另一家服务提供商的网络的CNAME项。微软公司的另一个招数是从DNS系统里彻底删除了某个被攻击者设定为预定目标的DNS名字，这样一来，由于无法解析出这个DNS名字，那些Dos傀儡甚至连一个DoS数据包都没有发出就“死”掉了。 把体系结构或应用程序切换到另一个运行模式 　　在应用程序级，可以考虑为应用程序设计一些不同的运行模式以便在遭到DoS攻击时进行切换。比如说，可以给某个在正常情况下对用户进行身份验证的网络应用程序增加一个应用Cookie去验证用户身份的运行模式，但切换到这个模式时，合法顾客必须进行少许的交互操作才能对它进行访问。10.3　小结10.3　小结　　随着电子商务在电子化经济活动中扮演的角色越来越重要，DoS攻击对我们的电子化社会所产生的冲击也越来越大。通过网络商务活动而获得的收入在许多企业里占的份量越来越重。因此，一次持续时间略长的DoS攻击不定就会把某些企业送进破产的行列。DOS攻击还作为未来战争的电子武器。 　　如果想获得一份关于DoS信息资源的最新清单，推荐http://directory.googol.com/Top/computers/internet/Abuse/Denial_of_service 和 Dave Dittrich 的个人主页http://staff.washington.edu/dittrich/misc/ddos .下周课程安排： 下周课程安排： 第4部分 软件攻击 　　第11章 攻击应用代码 第12章 We 攻击