1、网络与信息安全 网络安全 (四),潘爱民,北京大学计算机研究所http:/ 容,欺骗 IP欺骗 邮件欺骗 Web欺骗 会话劫持 拒绝服务,你将会发现,TCP/IP协议是多么脆弱、不安全,复 习,DNS收集信息 DNS & nslookup Ping & traceroute 端口扫描 暴露网络上潜在的脆弱性 操作系统辨识 为系统相关的攻击打好基础,复习:关于端口扫描,有助于加强系统的安全性 常用技术 基本的TCP connect()扫描 TCP SYN扫描(半开连接扫描, half open) TCP Fin扫描(秘密扫描,stealth) TCP ftp proxy扫描(bounce att
2、ack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP recvfrom扫描 UDP ICMP端口不可达扫描 Reverse-ident扫描,端口扫描对策,入侵检测系统(IDS) 防火墙 阻止对内部系统的扫描,禁止探测包进入 个人防火墙,复习:关于操作系统辨识,从操作系统或者应用系统的具体实现中发掘出来的攻击手段(或漏洞)都需要辨识系统 常用技术 一些端口服务的提示信息 DNS泄漏出OS系统 TCP/IP栈指纹 寻找不同操作系统之间在处理网络数据包上的差异,并且把足够多的差异组合起来,以便精确地识别出一个系统的OS版本,操作系统辨识对策,IDS 针对探测包的特征,可以检测到有人
3、在扫描 防火墙 隐藏了内部的系统中IP协议栈的行为 个人防火墙 改变对网络数据包的处理方式,欺骗技术,IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗? 其他欺骗术 DNS欺骗 非技术性欺骗,IP欺骗,IP欺骗的动机 隐藏自己的IP地址,防止被跟踪 以IP地址作为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗:不考虑回传的数据包 双向IP欺骗:要求看到回传的数据包 更高级的欺骗:TCP会话劫持 IP欺骗成功的要诀 IP数据包路由原则:根据目标地址进行路由,IP欺骗:改变自己的地址,用网络配置工具改变机器的IP地址 注意:
4、 只能发送数据包 收不到回包 防火墙可能阻挡 在Linux平台上 用ifconfig,用程序实现IP欺骗,发送IP包,IP包头填上假冒的源IP地址 在Unix/Linux平台上,直接用socket就可以发送,但是需要root权限 在Windows平台上,不能使用Winsock 可以使用winpcap 可以用libnet构造IP包 代码示例 在Linux平台上,打开一个raw socket,自己填写IP头和传输层数据,然后发送出去,用程序实现IP欺骗代码示例,sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_I
5、P, IP_HDRINCL, ,IP欺骗:双向欺骗,欺骗的过程,攻击者H,H能看到这个包吗?,让回应包经过H H和A在同一个子网内部 使用源路由选项,如何避免IP欺骗,主机保护,两种考虑 保护自己的机器不被用来实施IP欺骗 物理防护、登录口令 权限控制,不允许修改配置信息 保护自己的机器不被成为假冒的对象 无能为力 网络防护 路由器上设置欺骗过滤器 入口过滤,外来的包带有内部IP地址 出口过滤,内部的包带有外部IP地址 保护免受源路由攻击 路由器上禁止这样的数据包,电子邮件欺骗,电子邮件欺骗的动机 隐藏发信人的身份,匿名信 挑拨离间,唯恐世界不乱 骗取敏感信息 欺骗的形式 使用类似的电子邮件地
6、址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗成功的要诀 与邮局的运作模式比较 基本的电子邮件协议不包括签名机制 发信可以要求认证,电子邮件欺骗:使用类似的地址,发信人使用被假冒者的名字注册一个账号,然后给目标发送一封正常的信,我是你的上司XX,请把XXX发送给我,我在外面度假,请送到我的个人信箱,他(她)能识别吗?,修改邮件客户软件的帐户配置,邮件帐户配置 姓名(Name)属性,会出现在“From”和“Reply-To”字段中,然后显示在“发件人”信息中 电子邮件地址,会出现在“From”字段中 回复地址,会出现在“Reply-To”字段中,可以不填 发送服务器设
7、置,接收邮件看到什么?,在客户端,点击回复,看邮件头能得到所有的详细信息,包括:这封信的回复将会送给谁,以及邮件传递路径,邮件欺骗:直接连接smtp服务器,直接连接smtp服务器的25端口,然后发送命令,常见命令为 Helo(or EHLO) Mail from: Rcpt to: Data Quit,收件人接收到的邮件为,邮件欺骗的保护,邮件服务器的验证 Smtp服务器验证发送者的身份,以及发送的邮件地址是否与邮件服务器属于相同的域 验证接收方的域名与邮件服务器的域名是否相同 有的也验证发送者的域名是否有效,通过反向DNS解析 攻击者可以运行自己的smtp邮件服务器 不能防止一个内部用户假冒
8、另一个内部用户发送邮件 审核制度,所有的邮件都有记录 隐私?,Web欺骗,Web是应用层上提供的服务,直接面向Internet用户,欺骗的根源在于 由于Internet的开放性,任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册,按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益,商业竞争 政治目的 Web欺骗的形式 使用相似的域名 改写URL 劫持Web会话,使用类似的域名,注册一个与目标公司或组织相似的域名,然后建立一个欺骗网站,骗取该公司的用户的信任,以便得到这些用户的信息 例如,针对ABC公司,用来混淆 如果客户提供了敏感信息,那么这种
9、欺骗可能会造成进一步的危害,例如: 用户在假冒的网站上订购了一些商品,然后出示支付信息,假冒的网站把这些信息记录下来(并分配一个cookie),然后提示:现在网站出现故障,请重试一次。当用户重试的时候,假冒网站发现这个用户带有cookie,就把它的请求转到真正的网站上。用这种方法,假冒网站可以收集到用户的敏感信息。 对于从事商业活动的用户,应对这种欺骗提高警惕,改写URL,一个HTTP页面从Web服务器到浏览器的传输过程中,如果其中的内容被修改了的话,则欺骗就会发生,其中最重要的是URL改写 URL改写可以把用户带到不该去的地方,例如: Welcom to Hollywood-Movie si
10、te. 有一些更为隐蔽的做法 直接指向一些恶意的代码 把url定向放到script代码中,难以发现 改写页面的做法 入侵Web服务器,修改页面 设置中间http代理 在传输路径上截获页面并改写 在客户端装载后门程序 ,Web会话劫持,HTTP协议不支持会话(无状态),Web会话如何实现? Cookie 用url记录会话 用表单中的隐藏元素记录会话 Web会话劫持的要点在于,如何获得或者猜测出会话ID,防止Web欺骗,使用类似的域名 注意观察URL地址栏的变化 不要信任不可靠的URL信息 改写URL 查看页面的源文本可以发现 使用SSL Web会话劫持 养成显式注销的习惯 使用长的会话ID We
11、b的安全问题很多,我们需要更多的手段来保证Web安全,关于欺骗技术,从这些欺骗技术,我们可以看到 IP协议的脆弱性 应用层上也缺乏有效的安全措施 在网络攻击技术中,欺骗术是比较初级的,技术含量并不高,它是针对Internet中各种不完善的机制而发展起来的 非技术性的欺骗 比如,实施社会工程 毕竟网络世界与现实世界是紧密相关的 避免被欺骗最好的办法是教育、教育、再教育 增强每一个Internet用户的安全意识,网络管理人员以及软件开发人员的安全意识更加重要,会话(交易)劫持,在现实环境中,比如对于银行一笔交易 如果营业员检查了顾客的身份证和账户卡 抬起头来,发现不再是刚才的顾客 他会把钱交给外面
12、的顾客吗?,在网络上没有人知道你是一条狗,TCP会话劫持(session hijacking),欺骗和劫持 欺骗是伪装成合法用户,以获得一定的利益 劫持是积极主动地使一个在线的用户下线,或者冒充这个用户发送消息,以便达到自己的目的 动机 Sniffer对于一次性密钥并没有用 认证协议使得口令不在网络上传输 会话劫持分两种 被动劫持,实际上就是藏在后面监听所有的会话流量。常常用来发现密码或者其他敏感信息 主动劫持,找到当前活动的会话,并且把会话接管过来。迫使一方下线,由劫持者取而代之,危害更大,因为攻击者接管了一个合法的会话之后,可以做许多危害性更大的事情,会话劫持示意图,被劫持者A,服务器B,
13、会话劫持的原理,TCP协议 三次握手建立TCP连接(即一个TCP会话) 终止一个会话,正常情况需要4条消息 如何标识一个会话: 状态:源IP:端口+SN 目标IP:端口+SN 从TCP会话的状态入手 要了解每一个方向上的SN(数据序列号) 两个方向上的序列号是相互独立的 TCP数据包,除了第一个SYN包之外,都有一个ack标志,给出了期待对方发送数据的序列号 所以,猜测序列号是成功劫持TCP会话的关键,关于TCP协议的序列号,在每一个ACK包中,有两个序列号 第一个(SEG_SEQ)是当前包中数据第一个字节的序号 第二个(SEG_ACK)是期望收到对方数据包中第一个字节的序号 假设客户(CLT
14、)向服务器(SVR)发起一个连接,我们用以下的表示 SVR_SEQ: 服务器将要发送的下一个字节的序号 SVR_ACK: 服务器将要接收的下一个字节的序号(已经收到的最后一个字节的序号加1) SVR_WIND: 服务器的接收窗口 CLT_SEQ: 客户将要发送的下一个字节的序号 CLT_ACK: 客户将要接收的下一个字节的序号 CLT_WIND: 客户的接收窗口 关系 CLT_ACK = SVR_SEQ = CLT_ACK + CLT_WIND SVR_ACK = CLT_SEQ = SVR_ACK + SVR_WIND 只有满足这样条件的包,对方才会接收 否则,该包被丢掉,并且送回一个ACK
15、包(含有期望的序列号),关于TCP协议的序列号(续),同步状态 SVR_SEQ = CLT_ACK CLT_SEQ = SVR_ACK 不同步状态 SVR_SEQ != CLT_ACK CLT_SEQ != SVR_ACK 如果TCP连接进入到一种不同步的状态 客户发送一个包 SEG_SEQ = CLT_SEQ SEG_ACK = CLT_ACK 这个包不会被接收,因为CLT_SEQ != SVR_ACK 相反,如果第三方(攻击者)发送一个包 SEG_SEQ = SVR_ACK SEG_ACK = SVR_SEQ 这个包可以被服务器接收 如果攻击者能够伪造两边的包的话,还可以恢复客户和服务器之
16、间的会话,使得回到同步状态,TCP ACK Storm,当一个主机接收到一个不期望的数据包的时候,它会用自己的序列号发送ACK,而这个包本身也是不可被接受的。于是,两边不停地发送ACK包,形成ACK包的循环,是为ACK风暴。 如果有一个ACK包丢掉,则风暴停止 在不同步的情况下,当服务器发送数据给客户 如果攻击者不对这份数据响应ACK的话,这份数据会被重传,因为服务器收不到ACK,并且会形成ACK风暴,最终,连接会被终止 如果攻击者对这份数据作出响应,则只有一个ACK风暴,如何到达不同步的状态(一),在建立连接的时候劫持会话 当攻击者听到握手过程第二步的时候,它给服务器发送一个RST包,然后发
17、送用同样的TCP和端口号构造的一个SYN包,但是序列号与前面的SYN包不同 服务器关闭第一个连接,打开第二个连接,并且送回第二个SYN/ACK给客户,攻击者听到这个包之后,给服务器送出一个ACK包 至此,客户、服务器、攻击者都进入到TCP ESTABLISHED状态,但是攻击者和服务器之间是同步的,而客户和服务器之间是不同步的 注意,攻击者选择的序列号与客户的序列号一定要不同,否则不能成功,如何到达不同步的状态(二),给一方发送空数据 攻击者首先观察会话 然后,给服务器发送一些无关紧要的数据,这些数据会导致服务器的序列号发生变化 攻击者给客户也可以发送数据 这种手段成功的要点在于 可以发送一些
18、无关紧要的数据,并且能够把握发送的时机,不在一个子网中的劫持(欺骗)手法,有时候也称作“Blind spoofing” 攻击者发送一个SYN包 然后猜测服务器的ISN 只要能够猜得到,就可以建立连接 但是攻击者收不到服务器给客户的包 使用源路由技术? 条件: 真正的客户不能发送RST包 攻击者能够猜测服务器每个包的大小,实施会话劫持的一般性过程,发现目标 找到什么样的目标,以及可以有什么样的探查手段,取决于劫持的动机和环境 探查远程机器的ISN(初始序列号)规律 可以用nmap,或者手工发起多个连接 等待或者监听会话 最好在流量高峰期间进行,不容易被发现,而且可以有比较多可供选择的会话 猜测序
19、列号 这是最为关键的一步,如果不在一个子网中,难度将非常大 使被劫持方下线 ACK风暴,拒绝服务 接管会话 如果在同一个子网中,则可以收到响应,否则要猜测服务器的动作,Kill a connection,攻击者发送一个RST包给B,并且假冒A的IP地址 观察A和B之间的数据往来,算出A和B的序列号,在适当的时机插入一个RST包,只要在插入点上,序列号正确,则RST包就会被接受,从而达到目的 攻击者发送一个FIN包给B,并且假冒A的IP地址 同样地,在适当的时机给B发送一个FIN包 这时候,A怎么办?,A,B,攻击者,会话劫持过程详解(1),看到一个A-B包 TCP Packet ID (fro
20、m_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EA ACK (hex): C34A67F6 FLAGS: -AP- Window: 7C00,包长为1,A,攻击者,B,B回应一个包,B-A TCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB-IP_A.PortA SEQ (hex): C34A67F6 ACK (hex): 5C8223EB FLAGS: -AP- Window: 2238,包长为1,A回应一个包,A-B TCP Packet ID (from_IP
21、.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EB ACK (hex): C34A67F7 FLAGS: -A- Window: 7C00,包长为0,会话劫持过程详解(2),攻击者模仿A插入一个包给B,假设这个包正常跟在第一个包之后 TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EB ACK (hex): C34A67F6 FLAGS: -AP- Window: 7C00,包长为10(一定的长度),A,攻击者,B
22、,B回应一个包,B-A TCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB-IP_A.PortA SEQ (hex): C34A67F7 ACK (hex): 5C8223F5 FLAGS: -AP- Window: 2238,包长不定(比如20),此时,A会按照它所理解的SEQ/ACK发送包 TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EB ACK (hex): C34A67F7 FLAGS: -A- Window: 7C00
23、 一阵广播风暴,会话劫持过程详解(3),攻击者已经劫持了会话,它可以与B正常通讯(用A的地址) TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223F5 ACK (hex): C34A680B FLAGS: -AP- Window: 7C00,包长不定(比如37),A,攻击者,B,B回应这个包,B-A TCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB-IP_A.PortA SEQ (hex): C34A680B ACK (hex):
24、5C82241A FLAGS: -AP- Window: 2238,包长不定,关于会话劫持的参考,三篇文章 Simple Active Attack Against TCP, http:/www.insecure.org/stf/iphijack.txt A short overview of IP spoofing: PART I, http:/staff.washington.edu/dittrich/papers/IP-spoof-1.txt A short overview of IP spoofing: PART II , http:/staff.washington.edu/dit
25、trich/papers/IP-spoof-2.txt “Hackers Beware”,中文版黑客攻击透析与防范,第五章“会话劫持”,进行会话劫持的工具,前页后两篇文章带了一些源码 Juggernaut 可以进行TCP会话攻击的网络sniffer程序 Hunt 功能与Juggernaut类似 TTY Watcher 免费程序,针对单一主机上的连接 IP Watcher 商用的会话劫持工具,Hunt工具介绍,源码开放的自由软件,可运行在Linux平台上 功能特点 监听当前网络上的会话 重置会话(reset a session) 劫持会话 在劫持之后,使连接继续同步 确定哪些主机在线 四个守护进
26、程 自动reset Arp欺骗包的转发 收集MAC地址 具有搜索功能的sniffer,Hunt主菜单,l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit -,用hunt接管会话,用hunt接管并重置会话,Hunt劫持会话时听到的ACK风暴,如何防止会话劫持,部署共享式网络,用交换机代替集线器 TCP会话加密 防
27、火墙配置 限制尽可能少量的外部许可连接的IP地址 检测 ACK包的数量明显增加,拒绝服务(Denial of Service),回顾信息安全的三个主要需求: 保密性、完整性、可用性(availability) DoS是针对可用性发起的攻击 关于DoS 定义:通过某些手段使得目标系统或者网络不能提供正常的服务 技术和原理都非常简单,并且已经工具化 难以防范,有些DoS可以通过管理的手段防止 DoS的动机 受挫折,无法攻入目标系统,最后一招: DOS 强行对方重启机器 恶意的破坏、或者报复 网络恐怖主义 ,DoS的危害,使得正常的服务不能提供 案例:1996年9月,一家ISP(Public Acc
28、ess Networks)公司遭受拒绝服务达一周一上,拒绝对约6000多人和1000家公司提供Internet服务 政府网站 美国白宫的网站曾经遭受拒绝服务攻击 分布式拒绝服务 2000年2月,一批商业性质的Web站点收到了DDoS的攻击,DoS的形式,粗略来看,分为三种形式 消耗有限的物理资源 网络连接 带宽资源 其他资源,如磁盘空间、进程数 合法用户可登录尝试的次数有限,攻击者可以用掉这些尝试次数 修改配置信息造成DoS 比如,修改路由器信息,造成不能访问网络;修改NT注册表,也可以关掉某些功能 物理部件的移除,或破坏,DoS的技术分类,从表现形式来看 带宽消耗 用足够的资源消耗掉有限的资
29、源 利用网络上的其他资源(恶意利用Internet共享资源),达到消耗目标系统或网络的目的 系统资源消耗,针对操作系统中有限的资源,如进程数、磁盘、CPU、内存、文件句柄,等等 程序实现上的缺陷,异常行为处理不正确,比如Ping of Death 修改(篡改)系统策略,使得它不能提供正常的服务 从攻击原理来看 通用类型的DoS攻击,这类攻击往往是与具体系统无关的,比如针对协议设计上的缺陷的攻击 系统相关的攻击,这类攻击往往与具体的实现有关 说明:最终,所有的攻击都是系统相关的,因为有些系统可以针对协议的缺陷提供一些补救措施,从而免受此类攻击,DoS的技术历史,早期的Internet蠕虫病毒 消
30、耗网络资源 分片装配,非法的TCP标志,SYN Flood,等 利用系统实现上的缺陷,点对点形式 Ping of Death, IP分片重叠 分布式DoS(DDoS)攻击 最著名的smurf攻击,一些典型的DoS攻击,Ping of Death 发送异常的(长度超过IP包的最大值) Land 程序发送一个TCP SYN包,源地址与目的地址相同,源端口与目的端口相同,从而产生DoS攻击 SYN Flood 快速发送多个SYN包 UDP Flood Teardrop IP包的分片装配 Smurf 给广播地址发送ICMP Echo包,造成网络阻塞 ,Ping of Death,原理:直接利用ping
31、包,即ICMP Echo包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机 受影响的系统:许多操作系统受影响 攻击做法 直接利用ping工具,发送超大的ping数据包 防止措施 打补丁 防火墙阻止这样的ping包,Teardrop,原理:利用IP包的分片装配过程中,由于分片重叠,计算过程中出现长度为负值,在执行memcpy的时候导致系统崩溃 受影响的系统:Linux/Windows NT/95,97年发现 攻击特征 攻击非常简单,发送一些IP分片异常的数据包 防止措施 加入条件判断,对这种异常的包特殊处理 打补丁 参考:http:/www.attrition.org/security
32、/denial/w/teardrop.dos.html,SYN Flood,原理:利用TCP连接三次握手过程,打开大量的半开TCP连接,使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源,并且,这种半开连接的数量是有限制的,达到最大数量时,机器就不再接受进来的连接请求。 受影响的系统:大多数操作系统 攻击细节 连接请求是正常的,但是,源IP地址往往是伪造的,并且是一台不可达的机器的IP地址,否则,被伪造地址的机器会重置这些半开连接 一般,半开连接超时之后,会自动被清除,所以,攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快 任何连接到Interne
33、t上并提供基于TCP的网络服务,都有可能成为攻击的目标 这样的攻击很难跟踪,因为源地址往往不可信,而且不在线,SYN Flood(续),攻击特征 目标主机的网络上出现大量的SYN包,而没有相应的应答包 SYN包的源地址可能是伪造的,甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半开连接 入侵检测,可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解决SYN Flood攻击:在半开连接队列之外另设置了一套机制,使得合法连接得以正常继续,一次SYN Flood攻击的记录,Smurf,原理:向广播地址发送
34、伪造地址的ICMP Echo数据包。攻击者向一个广播地址发送ICMP Echo请求,并且用受害者的IP地址作为源地址,于是,广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMP Echo-Reply应答。于是,受害者主机会被这些大量的应答包淹没 受影响的系统:大多数操作系统和路由器 变种:fraggle,使用UDP包,或称为udpsmurf 比如,7号端口(echo),如果目标机器的端口开着,则送回应答,否则,产生ICM端口不可达消息 技术细节 两个主要的特点:使用伪造的数据包,使用广播地址。 不仅被伪造地址的机器受害,目标网络本身也是受害者,它们要发送大量的应答数据包,
35、Smurf攻击示意图,Smurf攻击,攻击特征 涉及到三方:攻击者,中间目标网络,受害者 以较小的网络带宽资源,通过放大作用,吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络:不仅允许ICMP Echo请求发给网络的广播地址,并且允许ICMP Echo-Reply发送回去 这样的公司越多,对Internet的危害就越大 实施Smurf攻击 需要长期的准备,首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包,Smurf攻击的防止措施,针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息,但是,结果是,路由
36、器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息,但是,如果攻击者从内部机器发起攻击,仍然不能阻止smurf攻击 配置操作系统,对于广播地址的ICMP包不响应 在每个路由节点上都记录log,以备查 流量大的路由节点上能够记录所有的流量吗,一般性的分布式攻击(如DDoS)模型,DoS工具,每一种攻击被揭示出来的时候,都会有一些试验性的代码,例如teardrop.c、synflood.c等,由于DoS攻击往往比较简单,所以这些代码也比较短小 通常,要涉及到IP欺骗 一些现有的工具 Targa:把几种DoS集中在一起 Trinoo:分布式DoS工具 TFN2K:Tar
37、ga的增强,可实施DDoS攻击 stacheldraht,防止DoS,对于网络 路由器和防火墙配置得当,可以减少受DoS攻击的危险 比如,禁止IP欺骗可以避免许多DoS攻击 入侵检测系统,检测异常行为 对于系统 升级系统内核,打上必要的补丁,特别是一些简单的DoS攻击,例如SYN Flooding 关掉不必要的服务和网络组件 如果有配额功能的话,正确地设置这些配额 监视系统的运行,避免降低到基线以下 检测系统配置信息的变化情况 保证物理安全 建立备份和恢复机制,参考资料,书 “Hackers Beware”,中文版黑客攻击透析与防范,电子工业出版社 “黑客大曝光”(第二版),清华出版社 文章 Simple Active Attack Against TCP A short overview of IP spoofing: PART I A short overview of IP spoofing: PART II Web站点 http:/www.washington.edu/People/dad/ DoS列表,http:/www.attrition.org/security/denial/ DoS程序代码,http:/www.itsecurity.it/dos_2.htm,
