三、拒絕服務(wù)攻擊及預(yù)防措施

在拒絕服務(wù)攻擊中，攻擊者加載過(guò)多的服務(wù)將對(duì)方資源全部使用，使得沒(méi)有多余資源供其他用戶無(wú)法使用。SYN Flood攻擊是典型的拒絕服務(wù)攻擊。

SYN Flood常常是源IP地址欺騙攻擊的前奏，又稱(chēng)半開(kāi)式連接攻擊，每當(dāng)我們進(jìn)行一次標(biāo)準(zhǔn)的TCP連接就會(huì)有一個(gè)三次握手的過(guò)程，而SYN Flood在它的實(shí)現(xiàn)過(guò)程中只有三次握手的前兩個(gè)步驟，當(dāng)服務(wù)方收到請(qǐng)求方的SYN并回送SYN-ACK確認(rèn)報(bào)文后，請(qǐng)求方由于采用源地址欺騙等手段，致使服務(wù)方得不到ACK回應(yīng)，這樣，服務(wù)方會(huì)在一定時(shí)間內(nèi)處于等待接收請(qǐng)求方ACK報(bào)文的狀態(tài)，一臺(tái)服務(wù)器可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)的發(fā)送此類(lèi)連接請(qǐng)求，則服務(wù)器的系統(tǒng)可用資源、網(wǎng)絡(luò)可用帶寬急劇下降，將無(wú)法向其它用戶提供正常的網(wǎng)絡(luò)服務(wù)。

為了防止拒絕服務(wù)攻擊，我們可以采取以下的預(yù)防措施：

（1） 建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制Syn半開(kāi)數(shù)據(jù)包的流量和個(gè)數(shù)。

（2）要防止SYN數(shù)據(jù)段攻擊，我們應(yīng)對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的Syn請(qǐng)求連接數(shù)據(jù)包復(fù)位，同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的Syn請(qǐng)求數(shù)據(jù)包。

（3）建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過(guò)程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類(lèi)攻擊。

（4）對(duì)于信息淹沒(méi)攻擊，我們應(yīng)關(guān)掉可能產(chǎn)生無(wú)限序列的服務(wù)來(lái)防止這種攻擊。比如我們可以在服務(wù)器端拒絕所有的ICMP包，或者在該網(wǎng)段路由器上對(duì)ICMP包進(jìn)行帶寬方面的限制，控制其在一定的范圍內(nèi)。

總之，要徹底杜絕拒絕服務(wù)攻擊，最好的辦法是惟有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。 要追蹤攻擊者可不是一件容易的事情，一旦其停止了攻擊行為，很難將其發(fā)現(xiàn)。惟一可行的方法是在其進(jìn)行攻擊的時(shí)候，根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征，采用逐級(jí)回溯的方法來(lái)查找其攻擊源頭。這時(shí)需要各級(jí)部門(mén)的協(xié)同配合方可有效果。

四、其他網(wǎng)絡(luò)攻擊行為的防范措施

協(xié)議攻擊和拒絕服務(wù)攻擊是黑客慣于使用的攻擊方法，但隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，攻擊行為千變?nèi)f化，新技術(shù)層出不窮。下面將闡述一下網(wǎng)絡(luò)嗅探及緩沖區(qū)溢出的攻擊原理及防范措施。

1、針對(duì)網(wǎng)絡(luò)嗅探的防范措施

網(wǎng)絡(luò)嗅探就是使網(wǎng)絡(luò)接口接收不屬于本主機(jī)的數(shù)據(jù)。計(jì)算機(jī)網(wǎng)絡(luò)通常建立在共享信道上，以太網(wǎng)就是這樣一個(gè)共享信道的網(wǎng)絡(luò)，其數(shù)據(jù)報(bào)頭包含目的主機(jī)的硬件地址，只有硬件地址匹配的機(jī)器才會(huì)接收該數(shù)據(jù)包。一個(gè)能接收所有數(shù)據(jù)包的機(jī)器被稱(chēng)為雜錯(cuò)節(jié)點(diǎn)。通常賬戶和口令等信息都以明文的形式在以太網(wǎng)上傳輸，一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上嗅探到，用戶就可能會(huì)遭到損害。

對(duì)于網(wǎng)絡(luò)嗅探攻擊，我們可以采取以下措施進(jìn)行防范：

（1）網(wǎng)絡(luò)分段 一個(gè)網(wǎng)絡(luò)段包括一組共享低層設(shè)備和線路的機(jī)器，如交換機(jī)，動(dòng)態(tài)集線器和網(wǎng)橋等設(shè)備，可以對(duì)數(shù)據(jù)流進(jìn)行限制，從而達(dá)到防止嗅探的目的。

（2）加密 一方面可以對(duì)數(shù)據(jù)流中的部分重要信息進(jìn)行加密，另一方面也可只對(duì)應(yīng)用層加密，然而后者將使大部分與網(wǎng)絡(luò)和操作系統(tǒng)有關(guān)的敏感信息失去保護(hù)。選擇何種加密方式這就取決于信息的安全級(jí)別及網(wǎng)絡(luò)的安全程度。

（3）一次性口令技術(shù) 口令并不在網(wǎng)絡(luò)上傳輸而是在兩端進(jìn)行字符串匹配，客戶端利用從服務(wù)器上得到的Challenge和自身的口令計(jì)算出一個(gè)新字符串并將之返回給服務(wù)器。在服務(wù)器上利用比較算法進(jìn)行匹配，如果匹配，連接就允許建立，所有的Challenge和字符串都只使用一次。

（4）禁用雜錯(cuò)節(jié)點(diǎn) 安裝不支持雜錯(cuò)的網(wǎng)卡，通?？梢苑乐笽BM兼容機(jī)進(jìn)行嗅探。

2、緩沖區(qū)溢出攻擊及其防范措施

緩沖區(qū)溢出攻擊是屬于系統(tǒng)攻擊的手段，通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。當(dāng)然，隨便往緩沖區(qū)中填東西并不能達(dá)到攻擊的目的。最常見(jiàn)的手段是通過(guò)制造緩沖區(qū)溢出使程序運(yùn)行一個(gè)用戶shell，再通過(guò)shell執(zhí)行其它命令。如果該程序具有root權(quán)限的話，攻擊者就可以對(duì)系統(tǒng)進(jìn)行任意操作了。

緩沖區(qū)溢出對(duì)網(wǎng)絡(luò)系統(tǒng)帶來(lái)了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn)：

（1）程序指針完整性檢查 在程序指針被引用之前檢測(cè)它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用。

（2）堆棧的保護(hù) 這是一種提供程序指針完整性檢查的編譯器技術(shù)，通過(guò)檢查函數(shù)活動(dòng)記錄中的返回地址來(lái)實(shí)現(xiàn)。在堆棧中函數(shù)返回地址后面加了一些附加的字節(jié)，而在函數(shù)返回時(shí)，首先檢查這個(gè)附加的字節(jié)是否被改動(dòng)過(guò)。如果發(fā)生過(guò)緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測(cè)到。但是，如果攻擊者預(yù)見(jiàn)到這些附加字節(jié)的存在，并且能在溢出過(guò)程中同樣地制造他們，那么他就能成功地跳過(guò)堆棧保護(hù)的檢測(cè)。

（3）數(shù)組邊界檢查 所有的對(duì)數(shù)組的讀寫(xiě)操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)進(jìn)行。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化技術(shù)來(lái)減少檢查次數(shù)。目前主要有這幾種檢查方法：Compaq C編譯器、Jones & Kelly C數(shù)組邊界檢查、Purify存儲(chǔ)器存取檢查等。

未來(lái)的競(jìng)爭(zhēng)是信息競(jìng)爭(zhēng)，而網(wǎng)絡(luò)信息是競(jìng)爭(zhēng)的重要組成部分。其實(shí)質(zhì)是人與人的對(duì)抗，它具體體現(xiàn)在安全策略與攻擊策略的交鋒上。為了不斷增強(qiáng)信息系統(tǒng)的安全防御能力，必須充分理解系統(tǒng)內(nèi)核及網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)，真正做到洞察對(duì)方網(wǎng)絡(luò)系統(tǒng)的"細(xì)枝末節(jié)"，同時(shí)應(yīng)該熟知針對(duì)各種攻擊手段的預(yù)防措施，只有這樣才能盡最大可能保證網(wǎng)絡(luò)的安全。

多易