CISP-2-网络与通信安全.pptVIP

* * * TCP协议结构 ACK起使值是0 ********* TCP当中的控制位：U，P，紧急指针有效性 URG：16 SYN：请求建立连接 ACK：确认 FIN：断开 RST：复位 握手：3次 断开连接：4次 DOS 攻击 发送方 接受方 1、SYN=1 SEQ=100 2、SYN=1 ACK=1 ACKNUM=101 SEQ=300 3、ACK =1 ACKNUM=301 SEQ=101 * * * * SMTP 的第八步可以伪造， * * * * * * DNS查询方法：递归和迭代 递归：标准答案 迭代：最终答案 * * * * * * * 建议启用SSH，废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1 * NBAR-network-based application recognition基于网络的应用识别:是在cisco ios12.0(5)xe2中引入的，一般用于在路由器上实施QoS功能，它能确保关键的应用得到必要的带宽得以正常工作。NBAR要求使用cisco的快速转发功能，只有支持CEF的路由器才支持。 SLB-server load balancing-服务器负载平衡，但只能工作在比较高端的路由器上。 * * ?**************************** * * * * * * * * * * * 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。 第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。 Syn Flood 解决办法 动态分析 受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合专业级的抗DDOS攻击产品。 Syn Flood 其它办法 Syn Flood 其它办法 负载均衡 基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。 检测DDoS攻击 根据异常情况分析 访问量突然剧增，经过sniffer分析，有大量的非正常的包，如没有正常的tcp三次握手，或者是三次握手后没有正常的关闭连接，或者大量的广播包，或者大量的icmp包，这说明极其有可能是遭受DDoS攻击。 外部访问突然变慢，或者访问不到，可是主机的访问量却不大，这很有可能是路由器的配置出现问题，询问一下是否有人对路由器等设备进行过操作，或者你的对等ISP的线路出现问题。 主机突然反应很迟钝。这要经过sniffer进行侦听，这有两种可能，一种是流量确实很大，有可能是遭受DoS攻击，还有就是应用程序编写有误，导致系统资源耗尽。 检测DDoS攻击 使用DDoS检测工具 使用工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 使用ngrep监听工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3,　SYN　flood,　UDP　flood,　ICMP　flood　和　smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗