任务10拒绝服务攻击和检测全解.ppt
45页
工作任务工作任务 问题探究问题探究 知识拓展知识拓展 检查评价检查评价 学习目标学习目标拒绝服务攻击和检测 实践操作实践操作 学习目标学习目标1. 知识目标知识目标2. 能力目标能力目标学习目标学习目标 返回 返回 下页 下页 上页 上页 学习目标学习目标 返回 返回 下页 下页 上页 上页 认识并了解认识并了解DoS和和DDoS攻击攻击1 1理解理解UDP Flood攻击的原理攻击的原理2 2理解理解SYN Flood攻击的原理攻击的原理3 3了解防御了解防御DDoS攻击的方法攻击的方法4 45 5了解安装入侵检测软件的必要性了解安装入侵检测软件的必要性1. 知识目标知识目标 学习目标学习目标 返回 返回 下页 下页 上页 上页 采用采用UDP Flood方式攻击目标主机方式攻击目标主机1防范常见防范常见DDoS攻击攻击2使用拒绝服务攻击状态监视器使用拒绝服务攻击状态监视器3安装和配置黑冰入侵检测软件安装和配置黑冰入侵检测软件42. 能力目标能力目标 工作任务工作任务 工作任务工作任务2. 工作任务背景工作任务背景4. 条件准备条件准备1. 工作名称工作名称3. 工作任务分析工作任务分析 返回 返回 下页 下页 上页上页 任任务务背背景景::最最近近张张老老师师发发现现校校园园网网服服务务器器的的运运行行速速度度经经常常会会突突然然变变慢慢,,有有时时甚甚至至出出现现死死机机的的情情况况,,导导致致用用户户无无法法正正常常登登陆陆服服务务器器。
打打开开服服务务器器的的“Windows任任务务管管理理器器”,,查查看看“性性能能”后后发发现现“CPU使使用用率率”接接近近100%,,内内存存的的“可可用用数数”接接近近0,,而而服服务务器器的的杀杀毒毒软软件件未未发发现现任任何何病病毒毒张张老老师师怀怀疑疑有有人人对对服服务务器器实实施施了了拒绝服务攻击拒绝服务攻击任务名称:任务名称:模拟拒绝服务攻击、安装入侵检测软件模拟拒绝服务攻击、安装入侵检测软件 任务名称与背景任务名称与背景 返回 返回 下页 下页 工作任务工作任务 上页 上页 拒绝服务攻击常见的表现形式主要有两种拒绝服务攻击常见的表现形式主要有两种,,一种为流一种为流量攻击量攻击,主要是针对网络带宽的攻击,即使用大量攻击,主要是针对网络带宽的攻击,即使用大量攻击包而导致网络带宽被阻塞,合法网络包被虚假的攻击包包而导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;淹没而无法到达主机;另一种为资源耗尽攻击另一种为资源耗尽攻击,主要是,主要是针对服务器主机的攻击,即使用大量攻击包而导致主机针对服务器主机的攻击,即使用大量攻击包而导致主机的的CUP和内存被耗尽,造成无法提供网络服务。
和内存被耗尽,造成无法提供网络服务在服务器再次遭受攻击时,张老师用一台主机在服务器再次遭受攻击时,张老师用一台主机Ping服服务器,发现可以务器,发现可以Ping通,没有超时和丢包现象,基本排通,没有超时和丢包现象,基本排除了遭受流量攻击的可能性张老师在服务器上用除了遭受流量攻击的可能性张老师在服务器上用“Netstat –na”命令观察到有大量的命令观察到有大量的“SYN_RECEIVED”、、“TIME_WAIT”、、“FIN_WAIT_1”等状态存在,而等状态存在,而“ESTABLISHED”状态很少状态很少ESTABLISHED”状态代表状态代表已经打开了一个连接,而已经打开了一个连接,而“SYN_RECEIVED”、、 任务分析任务分析 返回 返回 下页 下页 工作任务工作任务 上页 上页 “TIME_WAIT”等状态代表服务器正在等待对方对连等状态代表服务器正在等待对方对连接请求的确认,这就表示大量主机向服务器发送了连接接请求的确认,这就表示大量主机向服务器发送了连接请求,服务器接受请求,并发送回应信息,等待这些主请求,服务器接受请求,并发送回应信息,等待这些主机再次发送确认回应信息从而建立连接时,这些主机不机再次发送确认回应信息从而建立连接时,这些主机不再回应。
这就导致了服务器因等待这些大量的半连接信再回应这就导致了服务器因等待这些大量的半连接信息而消耗系统资源,而没有空余资源去处理普通用户的息而消耗系统资源,而没有空余资源去处理普通用户的正常请求正常请求张老师根据这些情况判定,这是一次典型的资源耗张老师根据这些情况判定,这是一次典型的资源耗尽型的拒绝服务攻击,而且是拒绝服务攻击中威力最为尽型的拒绝服务攻击,而且是拒绝服务攻击中威力最为巨大且为目前比较常见的分布式拒绝服务攻击(巨大且为目前比较常见的分布式拒绝服务攻击(DDoS,,Distributed Denial of Service)任务分析任务分析 返回 返回 下页 下页 工作任务工作任务 上页 上页 返回 返回 下页 下页 工作任务工作任务 上页 上页 任务分析任务分析张张老老师师决决定定在在服服务务器器中中安安装装“拒拒绝绝服服务务攻攻击击状状态态监监视视器器”,,用用于于检检测测本本次次拒拒绝绝服服务务攻攻击击的的类类型型和和攻攻击击频频率率,,为为服服务务器器安安装装BlackICE(黑黑冰冰)入入侵侵检检测测系系统统软软件件,,以以便便在在黑黑客客对对服服务务器器再再次次实实施施攻攻击击时时进进行行提提示示和和警警告告,,甚甚至至捕捉到实施捕捉到实施DDoS攻击的主机攻击的主机IP地址、用户名等信息。
地址、用户名等信息张张老老师师还还下下载载了了一一个个可可以以实实施施UDP-Flood攻攻击击的的黑黑客客软软件件,,利利用用多多台台主主机机模模拟拟对对服服务务器器进进行行UDP-Flood攻攻击击 ,, 从从 而而 检检 验验 “拒拒 绝绝 服服 务务 攻攻 击击 状状 态态 监监 视视 器器 ”和和BlackICE(黑冰黑冰)入侵检测软件的配置和使用入侵检测软件的配置和使用 条件准备条件准备张张老老师师在在网网上上下下载载了了金金盾盾防防火火墙墙的的插插件件“拒拒绝绝服服务务攻攻击击状状态态监监视视器器”和和“BlackICE PC Protection ”黑黑冰冰入侵检测软件,并将两个软件安装到服务器中入侵检测软件,并将两个软件安装到服务器中金金盾盾防防火火墙墙的的 “拒拒绝绝服服务务攻攻击击状状态态监监视视器器”可可以以识识别别SYN Flood攻攻击击、、UDP Flood攻攻击击、、ICMP Flood攻攻击等多种攻击类型,并可以显示攻击频率等信息击等多种攻击类型,并可以显示攻击频率等信息BlackICE PC Protection 软软件件((简简称称BlackICE))是是由由ISS安安全全公公司司出出品品的的一一款款著著名名的的入入侵侵检检测测系系统统。
它它集集成成了了非非常常强强大大的的检检测测和和分分析析引引擎擎,,识识别别200多多种种入入侵侵技技巧巧,,进进行行全全面面的的网网络络检检测测及及系系统统防防护护,,拦拦截截可可疑疑的的网网络络入入侵侵和和攻攻击击,,并并将将试试图图入入侵侵的的黑黑客客的的NetBIOS(WINS)名名、、DNS名名以以及及其其目目前前所所使使用用的的IP地地址址记记录录下下来来,,以以便便采采取取进进一一步步行行动动该该软软件件的的灵灵敏敏度度和和准准确确率率非非常常高高,,稳稳定性也相当出色,系统资源占用率极少定性也相当出色,系统资源占用率极少 返回 返回 下页 下页 工作任务工作任务 上页上页 条件准备条件准备张张老老师师为为了了测测试试入入侵侵检检测测软软件件,,下下载载了了可可以以实实现现UDP攻攻击击的的黑黑客客软软件件,,并并安安装装到到网网络络实实验验室室的的20台台主主机机中,该实验室中的所有主机均能中,该实验室中的所有主机均能“ping”通服务器通服务器UDP(User Data Protocol,,用用户户数数据据报报协协议议)是是与与TCP相相对对应应的的协协议议。
它它是是面面向向非非连连接接的的协协议议,,它它不不与与目目标标主主机机建建立立连连接接,,而而是是直直接接把把数数据据包包发发送送到到目目标标主主机机的的端端口口目目标标主主机机接接收收到到一一个个 UDP 数数据据包包时时,,它它会会确确定定目的端口正在等待中的应用程序目的端口正在等待中的应用程序如如果果随随机机地地向向目目标标主主机机系系统统的的端端口口发发送送大大量量的的 UDP 数数据据包包,,而而目目标标主主机机发发现现该该端端口口中中并并不不存存在在正正在在等等待待的的应应用用程程序序,,它它就就会会产产生生一一个个目目的的地地址址无无法法连连接接的的 ICMP 数数据据包包发发送送给给源源地地址址,,这这就就构构成成了了UDP Flood攻攻击 返回 返回 下页 下页 工作任务工作任务 上页上页 实践操作实践操作 1.1.模拟模拟UDP FloodUDP Flood攻击攻击2.2.安装安装BlackICEBlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件3.3.配置配置BlackICEBlackICE(黑冰)软件(黑冰)软件4.4.利用利用BlackICEBlackICE进行入侵检测和防范进行入侵检测和防范实践操作实践操作 返回 返回 下页 下页 上页 上页 1.模拟模拟UDP Flood攻击攻击由由于于本本次次模模拟拟攻攻击击所所用用到到的的“UDP Flooder”软软件件可可被被较较新新的的杀杀毒毒软软件件和和防防火火墙墙检检测测出出并并自自动动进进行行隔隔离离或或删删除除的的处处理理,,因因此此,,在在模模拟拟攻攻击击前前要要先先将将网网络络实实验验室室中中20台台主主机机安安装装的的杀杀毒毒软软件件和和防防火火墙墙全全部部关关闭闭((服服务务器器的的防防火墙和杀毒软件不用关闭)。
火墙和杀毒软件不用关闭)分分别别在在20台台主主机机中中打打开开“UDP Flooder”攻攻击击软软件件,,在在“IP/hostname”后后面面的的文文本本框框中中输输入入服服务务器器的的IP地地址址,,在在“Port”后后的的文文本本框框中中输输入入端端口口号号,,一一般般为为“80”,,将将攻攻击击速速度度“speed”调调整整到到最最高高“max”,,即即每每秒秒发发送送255个个攻攻击击包包Data”选选项项中中选选择择“Text”,,其其后后的的内容随意输入单击内容随意输入单击“GO”按钮,开始攻击如图所示按钮,开始攻击如图所示实践操作实践操作 返回 返回 下页 下页 上页 上页 1.模拟模拟UDP Flood攻击攻击实践操作实践操作 返回 返回 下页 下页 上页 上页 UDP Flooder攻击器攻击器 拒绝服务攻击状态监视器拒绝服务攻击状态监视器 1.模拟模拟UDP Flood攻击攻击此此时时,,在在服服务务器器中中打打开开金金盾盾防防火火墙墙的的 “拒拒绝绝服服务务攻攻击击状状态态监监视视器器”,,可可以以观观察察到到该该服服务务器器已已经经遭遭受受到到了了“UDP攻攻击击”和和“ICMP攻攻击击”,,攻攻击击状状态态为为“中中度度攻攻击击”。
如图所示如图所示由由于于服服务务器器的的硬硬件件配配置置一一般般较较高高,,来来自自20台台主主机机的的攻攻击击不不会会对对服服务务器器造造成成太太大大的的影影响响,,但但是是如如果果利利用用黑黑客客入入侵侵手手段段,,将将攻攻击击软软件件作作为为木木马马植植入入到到几几千千台台甚甚至至上上万万台台主主机机中中,,并并由由一一台台管管理理机机控控制制,,所所有有被被控控主主机机同同时时对对服服务务器器进进行行攻攻击击,,即即发发动动一一次次分分布布式式拒拒绝绝服服务务攻攻击击((DDoS)),,往往会使服务器瘫痪往往会使服务器瘫痪实践操作实践操作 返回 返回 下页 下页 上页 上页 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 ⑴⑴ 安装前准备:安装前准备:实践操作实践操作 返回 返回 下页 下页 上页 上页 在在安安装装BlackICE之之前前,,先先要要确确定定服服务务器器的的操操作作系系统统,,如如果果是是Windows Server 2003 SP1或或WinXP SP2及及以以上上版版本本,,则则要要先先对对操操作作系系统统做做一一下下调调整整,,否否则则安安装装后后会会出现蓝屏现象。
出现蓝屏现象因因为为这这些些版版本本的的操操作作系系统统新新增增了了一一个个名名为为DEP((数数据据执执行行保保护护))的的安安全全保保护护功功能能如如果果服服务务器器使使用用64位位CPU,,那那么么,,这这个个保保护护功功能能将将更更加加强强大大,,因因为为64位位处处理理器器中中采采用用了了一一种种全全新新的的防防毒毒技技术术--EVP(增增强强型型病病毒毒防防护护),,配配合合DEP技技术术,,能能将将病病毒毒的的防防治治机机制制提提升升到到一一个个新新的的高高度度不不过过EVP和和DEP也也存存在在兼兼容容问问题题,,它它可可能能对对用用户户有用的程序也进行阻止,包括有用的程序也进行阻止,包括BlackICE软件打打开开“我我的的电电脑脑”,,执执行行“工工具具”菜菜单单中中的的“文文件件夹夹选选项项”命命令令,,选选择择“查查看看”选选项项卡卡,,将将“高高级级设设置置”中中“隐隐藏藏受受保保护护的的操操作作系系统统文文件件((推推荐荐))”选选项项前前面面的的“√”去去掉掉,,并并在在“隐隐藏藏文文件件和和文文件件夹夹”中中选选择择“显显示示所有文件和文件所有文件和文件 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 在在系系统统所所在在分分区区((一一般般为为C盘盘))的的根根目目录录下下找找到到Boot.ini文文件件。
在在该该文文件件上上点点击击鼠鼠标标右右键键,,选选择择“属属性性”命命令令,,将将该该文文件件的的“只只读读属属性性”去去掉掉然然后后双双击击打打开开该该文文件件,,看看到到该该文文件件有有一一个个“NoExecute”参参数数,,其其值值为为“Opton”,,该该参参数数即即为为“数数据据执执行行保保护护”启启动动状状态态设设置置“NoExecute=AlwaysOff”,,并并保保存存这这相相当当于于关关闭闭了了EVP和和DEP功能,解决了这两项功能引起的兼容性问题功能,解决了这两项功能引起的兼容性问题恢恢复复Boot.ini文文件件的的“只只读读属属性性”,,恢恢复复“文文件件夹夹选选项项”中中“高级设置高级设置”的初始状态的初始状态实践操作实践操作 返回 返回 下页 下页 上页 上页 夹夹”点点击击“确确定定”完完成成,,此此时时所所有有系系统统文文件件和和隐隐藏藏文文件均显示出来件均显示出来 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 ⑵⑵ 安装安装BlackICE:: 实践操作实践操作 返回 返回 下页 下页 上页 上页 在在 服服 务务 器器 中中 运运 行行 BlackICE软软 件件 的的 安安 装装 程程 序序“BISPSetup.exe”,,启启动动安安装装过过程程。
首首先先进进入入欢欢迎迎对对话话框,如图所示框,如图所示 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 单击单击“Next”按钮,进入按钮,进入“用户许可协议用户许可协议”确认对话框,确认对话框,单单击击“I Accept”按按钮钮,,同同意意协协议议内内容容,,打打开开软软件件序序列列号号输输入入对对话话框框,,在在“License”后后的的文文本本框框中中输输入入黑黑冰冰软软件件的的序序列列号号,,序序列列号号由由12位位数数字字和和字字母母组组合合而而成成,,如如果果不不输输入入或或输输入入错错误误,,安安装装程程序序将将提提示示是是否否再再次次输输入入,,如如果果单单击击“否否”按按钮钮,,将将退退出出安安装装序序列列号号输输入入正正确确后后单单击击“next”按按钮钮,,进进入入软软件件安安装装位位置置设设置置对对话话框框,,系系统统默默认认将将软软件件安安装装到到“C:\Program Files\ISS\BlackICE”文文件件夹夹下下,,如如果果需需要要更更改改安安装装位位置置,,可可单单击击“Browse”按按钮钮,,选选择择新新的的文文件件夹夹。
位位置置选选择择完完成成后后单单击击“Next”按按钮钮,,进进入入应应用用程程序序文文件件夹夹设设置置对对话话框框,,默默认认程程序序文文件件夹夹为为“ISS”设设置置完完成成后后单单击击“Next”按按钮钮,,打打开开应应用用程序保护模式选择对话框,如图所示程序保护模式选择对话框,如图所示 实践操作实践操作 返回 返回 下页 下页 上页 上页 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 该该对对话话框框有有两两个个选选项项,,“AP Off”和和“AP On”其其中中“AP On”模模式式表表示示打打开开应应用用程程序序保保护护模模式式,,如如果果选选择择该该模模式式,,软软件件将将对对应应用用程程序序的的运运行行进进行行保保护护,,并并且且在在安安装装结结束束后后扫扫描系统中的所有文件,找描系统中的所有文件,找实践操作实践操作 返回 返回 下页 下页 上页 上页 出出可可以以访访问问Internet的的程程序序,,这这样样可可以以有有效效地地防防止止木木马马程程序序访访问问网网络络AP Off”模模式式则则对对应应用用程程序序不不进进行行保保护。
为安全起见,选择护为安全起见,选择“AP On”点点击击“next”按按钮钮,,打打开开服服务务器器是是否否有有人人值值守守的的选选择择对话框,如图所示对话框,如图所示 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 在在 该该 对对 话话 框框 中中 ,,“Attended”表表示示有有人人值值守守,,选选择择该该项项,,则则发发生生未未知知的的程程序序活活动动、、网网络络连连接接等等操操作作时时BlackICE都都会会进进行行提提示示,,要要求求服服务务器器管管理理员员((值值守守者者))进进行行确确认认;;“Unattended”表表示示无无人人值值守守,,选选择择该该项项的的话话,,BlackICE会会自自动动禁禁止止所所有有的的未未知知活活动动这这里里选选择择“Attended”实践操作实践操作 返回 返回 下页 下页 上页 上页 2.安装安装BlackICE(黑冰)入侵检测软件(黑冰)入侵检测软件 点点击击“next”按按钮钮,,会会显显示示前前面面所所做做设设置置的的回回顾顾界界面面,,如如果果不不需需修修改改的的话话点点击击“next”按按钮钮,,开开始始文文件件复复制安装。
制安装安安装装结结束束之之后后,,BlackICE软软件件将将对对操操作作系系统统的的当当前前情况进行检测情况进行检测实践操作实践操作 返回 返回 下页 下页 上页 上页 ⑶⑶ 卸载卸载BlackICE:: 卸卸载载BlackICE软软件件,,不不能能在在“控控制制面面板板”的的“添添加加/删删除除程程序序”中中进进行行而而是是需需要要重重新新启启动动计计算算机机,,并并进进入入“安安全全模模式式”打打开开BlackICE软软件件的的安安装装目目录录,,找找到到“BIRemove.exe”文件,双击执行,完成卸载操作文件,双击执行,完成卸载操作 3.配置配置BlackICE(黑冰)软件(黑冰)软件 ⑴⑴控制台界面:控制台界面:BlackICE安安装装后后将将以以后后台台服服务务的的方方式式运运行行前前端端提提供供一一个个控控制制台台进进行行各各种种报报警警和和修修改改程程序序的的配配置置,,可可以以通通过过双双击任务栏中的击任务栏中的“ ”图标打开图标打开BlackICE控制台,控制台, 实践操作实践操作 返回 返回 下页 下页 上页 上页 3.配置配置BlackICE(黑冰)软件(黑冰)软件 在在控控制制台台中中,,“Events”窗窗口口提提供供一一些些基基本本入入侵侵信信息息,,如如入入侵侵的的时时间间、、动动作作、、入入侵侵者者的的IP等等。
可可以以直直接接右右击击一一条条入入侵侵信信息息来来对对该该入入侵侵者者进进行行诸诸如如信信任任、、阻阻止止等等的的操操作作这这些些信信息息中中,,黄黄色色的的问问号号是是怀怀疑疑攻攻击击,,橙橙色色和和红红色色的的叹叹号号是是十十分分确确定定的的攻攻击击只只要要在在图图标标上上有有黑黑色色的的斜斜杠杠 ,, 就就 代代 表表 成成 功功 拦拦 截截 灰灰 色色 的的 斜斜 杠杠 是是 在在 攻攻 击击 时时 BlackICE已已经经尝尝试试拦拦截截,,但但是是可可能能有有部部分分数数据据还还是是穿穿透透了了防防火火墙墙Intruders”窗窗口口提提供供了了入入侵侵者者更更为为详详细细的的信信息息,,如如果果需需要要永永久久拦拦截截该该入入侵侵者者的的访访问问,,可可以以在在入入侵侵者者名名单单上上单单击击鼠鼠标标右右键键,,在在出出现现的的快快捷捷菜菜单单中中选选择择“Block Iintruder→Forever”History”窗窗口口提提供供图图示示统统计计信信息息,,在在其其左左侧侧选选择择“Min”、、“Hour”或或“Day”,,就就可可以以很很直直观观地地看看到到分分别别以以分分钟钟、、小小时时、、天天数数为为单单位位的的事事件件发发生生曲曲线线图图和和网网络络数数据据流流量量图图,,据据此此就就可可判断出木马、病毒程序作案的发生频率、数据包流量。
判断出木马、病毒程序作案的发生频率、数据包流量实践操作实践操作 返回 返回 下页 下页 上页 上页 3.配置配置BlackICE(黑冰)软件(黑冰)软件 ⑵⑵BlackICE设置:设置:选选 择择 “Tools”菜菜 单单 中中 的的“Edit BlackICE Settings”命命 令令 可可 以以 打打 开开“BlackICE Settings”对对话框,如图所示,其中:话框,如图所示,其中:实践操作实践操作 返回 返回 下页 下页 上页 上页 3.配置配置BlackICE(黑冰)软件(黑冰)软件 “Firewall((防防火火墙墙))”选选项项卡卡::修修改改BlackICE的的安安全全级级别别BlackICE对对外外来来访访问问设设有有4个个安安全全级级别别,,分分别别是是Trusting、、Cautious、、Nervous和和ParanoidParanoid是是阻阻断断所所有有的的未未受受权权信信息息,,Nervous是是阻阻断断大大部部分分的的未未受受权权信信息息,,Cautious是是阻阻断断部部分分的的未未受受权权的的信信息息,,而而BlackICE软软件件缺缺省省设设置置的的是是Trusting级级别别,,即即接接受所有的信息。
受所有的信息Back Trace((回回溯溯))”选选项项卡卡::将将里里面面两两项项复复选选框框均均勾选中,就可以跟踪并分析入侵者的信息勾选中,就可以跟踪并分析入侵者的信息Evidence(( 证证 据据 日日 志志 )) ”:: 将将 其其 中中 的的“Logging enabled((启启用用日日志志))”复复选选框框选选中中可可以以将将入侵者的入侵记录存入证据日志中入侵者的入侵记录存入证据日志中实践操作实践操作 返回 返回 下页 下页 上页 上页 3.配置配置BlackICE(黑冰)软件(黑冰)软件 实践操作实践操作 返回 返回 下页 下页 上页 上页 “Application Control(( 应应 用用 程程 序序 控控 制制 )) ”和和“Communications Control((通通讯讯控控制制))”选选项项卡卡::建建议议将将这这两两个个选选项项卡卡的的“Enable Application Port((启启用用应应用用程程序序保保护护))”复复选选框框选选中中,,这这样样可可以以防防止止未未经经许许可可的的应应用用程程序序访访问问网网络络,,从从而而防防范范病病毒毒或或木木马马程程序序对对系系统的破坏统的破坏。
Inrtusion Detection((入入侵侵检检测测))”选选项项卡卡::可可以以单击单击“add”按钮添加自己绝对信任的按钮添加自己绝对信任的IP地址或服务地址或服务 3.配置配置BlackICE(黑冰)软件(黑冰)软件 ⑶⑶高级防火墙设置:高级防火墙设置:实践操作实践操作 返回 返回 下页 下页 上页 上页 执执行行“Tools”菜菜单单的的“Advanced Firewall Settings”命命令令,,可可以以打打开开高高级防火墙设置对话框,级防火墙设置对话框, 3.配置配置BlackICE(黑冰)软件(黑冰)软件 在在该该对对话话框框可可以以打打开开某某个个端端口口,,从从而而开开启启相相应应的的服服务务,,也也可可以以关关闭闭某某个个端端口口,,从从而而防防范范通通过过该该端端口口进进行行的的入侵在在该该窗窗口口中中点点击击“Add”或或“Modify”按按钮钮可可以以新新增增或修改应用规则,点击或修改应用规则,点击“Delete”可以删除选中的规则可以删除选中的规则实践操作实践操作 返回 返回 下页 下页 上页 上页 4.利用利用BlackICE进行入侵检测和防范进行入侵检测和防范 ⑴⑴检测检测UDP Flood攻击:攻击:实践操作实践操作 返回 返回 下页 下页 上页 上页 将将 服服 务务 器器 的的BlackICE软软 件件 的的安安全全级级别别设设置置为为Paranoid,,阻阻断断所所有有的的未未受受权权信信息息。
利利用用实实验验室室的的某某台台计计算算机机对对服服务务器器发发动动UDP Flood攻攻击击此此 时时 BlackICE的的控控制制台台显显示示如如图图所所示 4.利用利用BlackICE进行入侵检测和防范进行入侵检测和防范 可可以以看看到到,,在在“Events”窗窗口口中中,,显显示示出出一一条条怀怀疑疑攻攻击击信信息息((黄黄色色问问号号图图标标)),,该该信信息息包包括括攻攻击击时时间间、、攻攻击击类类型型、、攻攻击击着着主主机机名名、、攻攻击击数数据据包包数数量量的的内内容容图图标标上上显显示示黑黑色色的的斜斜杠杠,,表表示示该该攻攻击击已已经经被被拦拦截截点点击击“Intruders”选选项项卡卡还还可可以以看看到到攻攻击击者者的的IP地地址址等等更更加加详细的信息详细的信息如如果果需需要要拦拦截截来来自自该该主主机机的的访访问问,,可可以以在在该该条条攻攻击击信信息息上上单单击击鼠鼠标标右右键键,,执执行行“Block Intruder”命命令令,,选选择择“Forever”进进行行永永久久拦拦截截,,或或选选择择拦拦截截一一小小时时((For an Hour))、、一一天天((For a Day))或或一一个个月月((For a Month)。
如如果果确确信信来来自自该该主主机机的的访访问问没没有有攻攻击击意意图图,,是是可可以以信信 任任 的的 ,, 可可 以以 执执 行行 “Trust Intruder”命命 令令 ,, 选选 择择“Trust and Accept”信信赖赖并并认认可可该该主主机机的的访访问问,,或或选选择择“Trust Only”仅信赖该主机的访问仅信赖该主机的访问 实践操作实践操作 返回 返回 下页 下页 上页 上页 4.利用利用BlackICE进行入侵检测和防范进行入侵检测和防范 ⑵⑵防范某台主机的防范某台主机的139端口入侵:端口入侵:执行执行“Tools”菜单的菜单的“Advanced Firewall Settings”命令,打开高级命令,打开高级防火墙设置对话框,单击防火墙设置对话框,单击“Add”按钮,打开端口访问按钮,打开端口访问设置对话框如图所示设置对话框如图所示 实践操作实践操作 返回 返回 下页 下页 上页 上页 4.利用利用BlackICE进行入侵检测和防范进行入侵检测和防范 在在该该对对话话框框中中,,“Name”文文本本框框为为该该规规则则的的名名称称,,“IP”文文本本框框可可以以输输入入对对该该端端口口进进行行操操作作的的主主机机IP,,选选择择“All Address”复复选选框框表表示示所所有有主主机机对对该该端端口口的的操操作作都都是是相相同同的的,,“Port”文文本本框框输输入入端端口口号号,,“All Port”表表示示对对所所有有端端口口采采取取措措施施,,“Type”表表示示访访问问的的类类型型,,“Mode”中中的的“Accept”表表示示允允许许用用户户对对该该端端口口操操作作,,“Reject”表表 示示 拒拒 绝绝 用用 户户 对对 该该 端端 口口 的的 操操 作作 ,,““Duration of Rule”选选择择可可以以设设置置规规则则的的持持续续时时间。
间如如果果要要防防范范某某台台主主机机的的139端端口口攻攻击击,,可可以以在在“Name”文文本本框框中中任任意意输输入入规规则则的的名名称称,,“IP”文文本本框框中中输输入入该该用用户户的的IP地地址址,,去去掉掉“All Port”的的勾勾选选,,在在“Port”文文本本框框中中输输入入“139”,,“Type”选选择择“TCP”,,“Mode”中中选选择择“Reject”,,并并选选择择规规则则持持续续时时间间后后,,点击点击“OK”按钮这样就添加了一条防范规则这样就添加了一条防范规则实践操作实践操作 返回 返回 下页 下页 上页 上页 4.利用利用BlackICE进行入侵检测和防范进行入侵检测和防范 对多台主机的防范需要添加多条规则对多台主机的防范需要添加多条规则如如果果需需要要添添加加某某个个端端口口,,开开启启相相应应的的服服务务,,也也可可以采用类似的方法以采用类似的方法⑶⑶拒绝某台主机的所有访问:拒绝某台主机的所有访问:如如果果需需要要对对某某台台主主机机的的所所有有访访问问操操作作均均进进行行拒拒绝绝,,可可以以打打开开高高级级防防火火墙墙对对话话框框,,单单击击“Add”按按钮钮,,在在“IP”一一栏栏填填入入这这台台主主机机的的IP地地址址,,选选择择“Type”为为“IP”,,将将“Mode”选选为为“Reject”,,“Duration of Rule”选选为为“Forever”,此时该,此时该IP地址被永远屏蔽了。
地址被永远屏蔽了实践操作实践操作 返回 返回 下页 下页 上页 上页 问题探究问题探究 问题探究问题探究DoS攻攻击击是是目目前前非非常常常常见见的的黑黑客客攻攻击击手手段段,,它它采采用用一对一的攻击形式,如图所示一对一的攻击形式,如图所示 返回 返回 下页 下页 上页 上页 DoS攻击可以划分为三种类型:攻击可以划分为三种类型:Ø带宽攻击带宽攻击Ø协议攻击协议攻击Ø逻辑攻击逻辑攻击 问题探究问题探究 问题探究问题探究带带宽宽攻攻击击是是早早期期比比较较常常见见的的DoS攻攻击击形形式式这这种种攻攻击击行行为为通通过过发发送送一一定定数数量量的的请请求求,,使使网网络络服服务务器器中中充充斥斥了了大大量量要要求求回回复复的的信信息息,,消消耗耗网网络络带带宽宽和和系系统统资资源源,,导导致致网网络络或或系系统统不不胜胜负负荷荷以以至至于于瘫瘫痪痪,,停停止止正正常常的的网网络络服服务务这这种种攻攻击击是是在在比比谁谁的的机机器器性性能能好好、、速速度度快快不不过过现现在在的的科科技技飞飞速速发发展展,,一一般般主主机机的的处处理理能能力力、、内内存存大大小小和和网网络络速速度度都都有有了了飞飞速速的的发发展展,,有有的的网网络络带带宽宽甚甚至至超超过过了了千千兆兆级级别别,,因因此此这这种种攻攻击击形形式式就就没没有有什什么么作作用用了了。
举举个个例例子子,,假假如如攻攻击击者者的的主主机机每每秒秒能能够够发发送送10个个攻攻击击用用的的数数据据包包,,而而被被攻攻击击的的主主机机(性性能能、、网网络络带带宽宽都都是是顶顶级级的的)每每秒秒能能够够接接收收并并处处理理100个个攻攻击击数数据据包包,,这这样样的的话话,,这这种种攻攻击击就就什什么么用用处处都都没没有有了了,,而而且且由由于于攻攻击击者者发发动动这这样样的的攻攻击击时时,,主主机机CPU的的占占用用率率会会达达到到90%以以上上,,如如果果该该机机器配置不够高的话,很有可能出现死机的情况器配置不够高的话,很有可能出现死机的情况 返回 返回 下页 下页 上页 上页 问题探究问题探究 问题探究问题探究协协议议攻攻击击是是目目前前越越来来越越流流行行的的DoS攻攻击击形形式式,,这这种种攻攻击击需需要要更更多多的的技技巧巧攻攻击击者者通通过过对对目目标标主主机机特特定定漏漏洞洞的的利利用用进进行行攻攻击击,,导导致致网网络络失失效效、、系系统统崩崩溃溃、、主主机机死死机机而无法提供正常的网络服务功能而无法提供正常的网络服务功能逻逻辑辑攻攻击击是是一一种种最最高高级级的的攻攻击击形形式式,,这这种种攻攻击击包包含含了了对对组组网网技技术术的的深深入入理理解解。
攻攻击击者者发发送送具具有有相相同同源源IP地地址址和和目目的的IP地地址址的的伪伪造造数数据据包包,,很很多多系系统统不不能能够够处处理理这这种引起混乱的行为,从而导致崩溃种引起混乱的行为,从而导致崩溃尽尽管管发发自自单单台台主主机机的的DoS攻攻击击通通常常就就能能够够发发挥挥作作用用,,但但如如果果有有多多台台主主机机参参与与攻攻击击,,效效率率自自然然就就会会更更高高这这种种攻攻击击方方式式称称为为分分布布式式拒拒绝绝服服务务((DDoS,,Distributed Denial of Service))攻攻击击一一般般来来说说,,DDoS攻攻击击不不是是由很多黑客一起参与实施,而是由一名黑客来操作由很多黑客一起参与实施,而是由一名黑客来操作 返回 返回 下页 下页 上页 上页 问题探究问题探究 问题探究问题探究这这名名黑黑客客先先是是探探测测扫扫描描大大量量主主机机以以找找到到可可以以入入侵侵的的脆脆弱弱主主机机,,入入侵侵这这些些有有安安全全漏漏洞洞的的主主机机并并获获取取控控制制权权((这这些些被被控控制制的的主主机机称称为为“肉肉鸡鸡”)),,在在每每台台被被入入侵侵的的主主机机上上安安装装攻攻击击程程序序,,这这个个过过程程完完全全是是自自动动化化的的,,在在短短时时间间内内即即可可入入 返回 返回 下页 下页 上页 上页 侵侵数数千千台台主主机机,,在在控控制制了了足足够够多多的的主主机机之之后后,,从从中中选选择择一一台台作作为为管管理理机机,,安安装装攻攻击击主主程程序序。
黑客控制该管理机黑客控制该管理机指指挥挥所所有有“肉肉鸡鸡”对对目目标标发发起起攻攻击击,,造造成成目目标标机机瘫痪如图所示如图所示 问题探究问题探究 问题探究问题探究在在刚刚才才带带宽宽攻攻击击的的例例子子中中,,一一台台主主机机每每秒秒能能发发送送10个个攻攻击击数数据据包包,,被被攻攻击击的的主主机机每每秒秒能能够够接接收收并并处处理理100个个攻攻击击数数据据包包,,这这样样的的攻攻击击肯肯定定不不会会起起作作用用,,而而如如果果使使用用10台台甚甚至至更更多多的的主主机机来来对对被被攻攻击击的的主主机机同同时时进进行行攻攻击击的话,其结果就不言而喻了的话,其结果就不言而喻了分分布布式式拒拒绝绝服服务务攻攻击击一一旦旦被被实实施施,,攻攻击击网网络络包包就就会会犹犹如如洪洪水水般般涌涌向向受受害害主主机机,,从从而而把把合合法法用用户户的的网网络络包包淹淹没没,,导导致致合合法法用用户户无无法法正正常常访访问问服服务务器器的的网网络络资资源源,,因因此此,,DDoS攻攻击击又又被被称称为为“洪洪水水式式攻攻击击”,,本本单单元元介介绍绍的的UDP Flood攻击就属于这种攻击形式。
攻击就属于这种攻击形式 返回 返回 下页 下页 上页 上页 知识拓展知识拓展 知识拓展知识拓展除除了了已已经经介介绍绍的的UDP Flood之之外外,,常常见见的的DDOS攻攻击击还还有有SYN Flood、、ICMP Flood、、TCP Flood、、Script Flood、、Proxy Flood等等,,其其中中黑黑客客经经常常使使用用的的是是SYN FloodSYN-Flood攻攻击击是是利利用用了了大大多多数数主主机机使使用用TCP三三次次握制中的漏洞实施攻击的握制中的漏洞实施攻击的在在客客户户端端与与服服务务器器建建立立连连接接时时需需要要进进行行TCP的的“三三次握手次握手”,如图所示如图所示 返回 返回 下页 下页 上页 上页 知识拓展知识拓展 知识拓展知识拓展第第一一步步::客客户户端端发发送送一一个个带带SYN位位的的请请求求包包,,向向服服务器表示需要连接;务器表示需要连接;第第二二步步::服服务务器器接接收收到到这这样样的的请请求求包包后后,,如如果果确确认认接接受受请请求求,,则则向向客客户户端端发发送送回回应应包包,,表表示示服服务务器器连连接接已已经准备好,并等待客户端的确认。
经准备好,并等待客户端的确认第第三三步步::客客户户端端发发送送确确认认建建立立连连接接的的信信息息,,此此时时客客户端与服务器的连接建立起来户端与服务器的连接建立起来如如果果不不完完成成TCP三三次次握握手手中中的的第第三三步步,,也也就就是是不不发发送送确确认认连连接接的的信信息息给给服服务务器器这这样样,,服服务务器器无无法法完完成成第第三三次次握握手手,,但但服服务务器器不不会会立立即即放放弃弃,,而而是是不不停停地地重重试试并并等等待待一一定定的的时时间间后后才才放放弃弃这这个个未未完完成成的的连连接接,,这这段段时时间间叫做叫做SYN timeout,这段时间大约,这段时间大约30秒至秒至2分钟左右分钟左右 返回 返回 下页 下页 上页 上页 知识拓展知识拓展 知识拓展知识拓展如如果果一一个个用用户户在在连连接接时时出出现现问问题题导导致致服服务务器器的的一一个个线线程程等等待待1-2分分钟钟并并不不是是什什么么大大不不了了的的问问题题,,但但是是如如果果有有人人用用特特殊殊的的软软件件大大量量模模拟拟这这种种情情况况,,那那后后果果就就可可想想而而知知了了。
一一个个服服务务器器若若是是处处理理这这些些大大量量的的半半连连接接信信息息而而消消耗耗大大量量的的系系统统资资源源和和网网络络带带宽宽,,就就没没有有空空余余资资源源去去处处理理普普通通用用户的正常请求,致使服务器无法工作户的正常请求,致使服务器无法工作 返回 返回 下页 下页 上页 上页 在在国国内内,,随随着着上上网网的的关关键键部部门门、、关关键键业业务务越越来来越越多多,,迫迫切切需需要要具具有有自自主主版版权权的的入入侵侵检检测测产产品品但但现现状状是是市市场场上上独独立立的的入入侵侵检检测测软软件件还还不不多多,,大大多多数数是是防防火火墙墙软软件件中中集集成成较较为为初初级级的的入入侵侵检检测测模模块块,,如如360安安全全卫卫士士中中的的ARP防防火火墙墙、、天天网网防防火火墙墙中中均均具具有有入入侵侵检检测测的的功功能能如如图所示 知识拓展知识拓展 知识拓展知识拓展 返回 返回 下页 下页 上页 上页 360安全卫士中的安全卫士中的ARP防火墙防火墙 天网防火墙的入侵检测功能天网防火墙的入侵检测功能 检查评价检查评价 检查与评价检查与评价1.填空题:.填空题:⑴⑴拒绝服务攻击常见的表现形式主要有两种,一种为拒绝服务攻击常见的表现形式主要有两种,一种为 ,主要,主要是针对网络带宽的攻击,另一种为是针对网络带宽的攻击,另一种为 ,主要是针对服务器,主要是针对服务器主机的攻击。
主机的攻击⑵⑵ 是面向非连接的协议,它不与目标主机建立连接,而是直接把是面向非连接的协议,它不与目标主机建立连接,而是直接把数据包发送到目标主机的端口数据包发送到目标主机的端口⑶⑶卸载卸载BlackICE软件,需要重新启动计算机,并进入软件,需要重新启动计算机,并进入 模式在BlackICE软件的安装目录中执行软件的安装目录中执行 文文件⑷⑷BlackICE对外来访问设有对外来访问设有4个安全级别中个安全级别中 是阻断所有是阻断所有的未受权信息,的未受权信息, 是阻断大部分的未受权信息,是阻断大部分的未受权信息, 是阻断部分的未受权的信息,是阻断部分的未受权的信息, 是接受所有的信息是接受所有的信息⑸⑸DoS攻击可以划分为三种类型攻击可以划分为三种类型 、、 、、 返回 返回 下页 下页 上页 上页 检查评价检查评价 检查与评价检查与评价2.选择题:.选择题:⑴⑴下列攻击方式中不属于下列攻击方式中不属于DOS攻击的是(攻击的是( ))A. SYN Flood B. UDP Flood C. ICMP Flood D. web欺骗欺骗⑵⑵BlackICE对对外外来来访访问问设设有有4个个安安全全级级别别,,其其中中(( ))是是缺缺省省设设置。
置A. Trusting B. Cautious C. Nervous D. Paranoid⑶⑶( )攻击是指攻击者通过对目标主机特定漏洞的利用进行攻击攻击是指攻击者通过对目标主机特定漏洞的利用进行攻击A. 带宽攻击 带宽攻击 B. 协议攻击 协议攻击 C. 逻辑攻击 逻辑攻击 D. 漏洞扫描漏洞扫描⑷⑷一般来说,分布式拒绝服务攻击的实施者是一般来说,分布式拒绝服务攻击的实施者是( )A. 多名黑客 多名黑客 B. 一名黑客 一名黑客 C. 多台肉鸡 多台肉鸡 D. 一名黑客和多台肉鸡一名黑客和多台肉鸡⑸⑸以下(以下( )攻击利用了)攻击利用了TCP三次握制中的漏洞三次握制中的漏洞A. ICMP Flood B. TCP Flood C. SYN Flood D. UDPFlood3.实做题:.实做题:请在机房模拟实现黑客拒绝服务攻击过程请在机房模拟实现黑客拒绝服务攻击过程4.实做题:.实做题:请在机房安装并配置黑冰入侵检测软件请在机房安装并配置黑冰入侵检测软件 返回 返回 下页 下页 上页 上页 。
