成都私家侦探公司 > 行业新闻 > 黑客攻防之防范入侵攻击的主要方法

黑客攻防之防范入侵攻击的主要方法

来源: 成都私家侦探公司 发布日期:2017-08-15 21:33
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。  防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。  一、访问控制技术  访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。  1.网络登录控制  网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。  网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。  网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。  2.网络使用权限控制  当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。  网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。  3.目录级安全控制  用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。  一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。  4.属性安全控制  属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。  通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。  5.服务器安全控制  网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。  二、防火墙技术  防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。  三、入侵检测技术  入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。  入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。  四、安全扫描  安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。  安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。  安全扫描所涉及的检测技术主要有以下四种:  (1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。  (2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及系统的内核,文件的属性,操作系统的补丁等问题。  这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。  (3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。  (4)基于网络的检测技术,它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。  安全扫描技术正逐渐向模块化和专家系统两个方向发展。  在模块化方面,整个安全扫描系统由若干个插件组成,每个插件封装一个或多个漏洞扫描方法,主扫描过程通过调用插件的方法来执行扫描任务。系统更新时,只需添加新的插件就可增加新的扫描功能。另外,由于插件的规范化和标准化,使得安全扫描系统具有较强的灵活性、扩展性和可维护性。  在专家系统方面,安全扫描能够对扫描结果进行整理,形成报表,同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展,希望安全扫描系统能够对网络状况进行整体评估,并提出针对整个网络的安全解决方案。未来的系统,不仅仅是一个漏洞扫描工具,还应该是一个安全评估专家。  五、安全审计  安全审计是在网络中模拟社会活动的监察机构,对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估,还可以为制定合理的安全策略和加强安全管理提供决策依据,使网络系统能够及时调整对策。  在网络安全整体解决方案日益流行的今天,安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估,是保障网络安全的重要手段。  计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计,以及加强安全教育,增强安全责任意识。  网络安全是动态的,对已经建立的系统,如果没有实时的、集中的可视化审计,就不能及时评估系统的安全性和发现系统中存在的安全隐患。  目前,网络安全审计系统包含的主要功能和所涉及的共性问题如下:  1.网络安全审计系统的主要功能  (1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。  (2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。  (3)日志查询。能以多种方式查询网络中的日志信息,并以报表形式显示。  (4)入侵检测。使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。  (5)自动生成安全分析报告。根据日志数据库记录的日志信息,分析网络或系统的安全性,并向管理员提交安全性分析报告。  (6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。  (7)事件响应机制。当安全审计系统检测到安全事件时,能够及时响应和自动报警。  (8)集中管理。安全审计系统可利用统一的管理平台,实现对日志代理、安全审计中心和日志数据库的集中管理。  2.网络安全审计系统所涉及的共性问题  (1)日志格式兼容问题。通常情况下,不同类型的设备或系统所产生的日志格式互不兼容,这为网络安全事件的集中分析带来了巨大难度。  (2)日志数据的管理问题。日志数据量非常大,不断地增长,当超出限制后,不能简单地丢弃。需要一套完整的备份、恢复、处理机制。  (3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击,如果单个分析每个目标主机上的日志信息,不仅工作量大,而且很难发现攻击。如何将多个目标主机上的日志信息关联起来,从中发现攻击行为是安全审计系统所面临的重要问题。  (4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息,巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此,提供一种直观的分析报告及统计报表的自动生成机制是十分必要的,它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。  六、安全管理  1.信息安全管理的内涵  根据我国计算机信息系统安全等级保护管理要求(GA/T 391—2002)中的描述,信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理,它包括:  (1)落实安全组织及安全管理人员,明确角色与职责,制定安全规划;  (2)开发安全策略;  (3)实施风险管理;  (4)制定业务持续性计划和灾难恢复计划;  (5)选择与实施安全措施;  (6)保证配置、变更的正确与安全;  (7)进行安全审计;  (8)保证维护支持;  (9)进行监控、检查,处理安全事件;  (10)安全意识与安全教育;  (11)人员安全管理。  一般意义上讲,安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段,包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。  2.信息安全管理的基本原则  需要明确指出的一点是:不论多么先进的安全技术,都只是实现信息安全管理的手段而已。信息安全源于有效的管理,要使先进的安全技术发挥较好的效果,就必须建立良好的信息安全管理体系,这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题,并将信息安全管理的责任限制在技术人员身上,事实上这种观点和做法是十分错误的。  现在,信息已成为企业发展的重要资产,企业高层领导必须重视信息安全管理,必须参与信息安全管理工作,将信息安全管理视为现有管理措施的一个重要组成部分。  在我国,加强对信息安全工作的领导,建立、健全信息安全管理责任制,通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求,坚持的总原则是:主要领导人负责原则;规范定级原则;依法行政原则;以人为本原则;适度安全原则;全面防范、突出重点原则;系统、动态原则;以及控制社会影响原则。而信息安全管理的主要策略是:分权制衡、最小特权、选用成熟技术和普遍参与。  3.信息安全管理的基本过程  安全管理是一个不断发展、不断修正的动态过程,贯穿于信息系统生命周期,涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密,防止数据的非授权修改、丢失和破坏,防止系统能力的丧失、降低,防止欺骗,保证信息及系统的可信度和资产的安全。  黑客攻防:SYN攻击基本原理与防范技术  据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。  一、TCP握手协议  在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。  第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;  第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;  第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。  完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:  未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。  Backlog参数:表示未连接队列的最大容纳数目。  SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。  半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。  二、SYN攻击原理  SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。  三、SYN攻击工具  SYN攻击实现起来非常的简单,互联网上有大量现成的SYN攻击工具。  Windows系统下的SYN工具:  以synkill.exe为例,运行工具,选择随机的源地址和源端囗,并填写目标机器地址和TCP端囗,激活运行,很快就会发现目标系统运行缓慢。如果攻击效果不明显,可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗,此时可选择允许访问的TCP端囗,通常,Windows系统开放tcp139端囗,UNIX系统开放tcp7、21、23等端囗。  四、检测SYN攻击  检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:  # netstat -n -p TCP tcp 0  0 10.11.11.11:23124.173.152.8:25882  SYN_RECV - tcp 0  0 10.11.11.11:23236.15.133.204:2577  SYN_RECV - tcp 0  0  10.11.11.11:23127.160.6.129:51748  SYN_RECV - tcp 0  0  10.11.11.11:23222.220.13.25:47393  SYN_RECV - tcp 0  0  10.11.11.11:23212.200.204.182:60427 SYN_RECV - tcp 0  0  10.11.11.11:23232.115.18.38:278 SYN_RECV - tcp 0  0  10.11.11.11:23239.116.95.96:5122SYN_RECV - tcp 0  0  10.11.11.11:23236.219.139.207:49162 SYN_RECV - ...  上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。  我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:  #netstat -n -p TCP   grep SYN_RECV   grep :22   wc -l 324  显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。  五、SYN攻击防范技术  关于SYN攻击防范技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协议重新设计。  1、过滤网关防护  这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和SYN代理三种。  ·网关超时设置:  防火墙设置SYN转发超时参数(状态检测的防火墙可在状态表里面设置),该参数远小于服务器的timeout时间。当客户端发送完SYN包,服务端发送确认包后(SYN+ACK),防火墙如果在计数器到期时还未收到客户端的确认包(ACK),则往服务器发送RST包,以使服务器从队列中删去该半连接。值得注意的是,网关超时参数设置不宜过小也不宜过大,超时参数设置过小会影响正常的通讯,设置太大,又会影响防范SYN攻击的效果,必须根据所处的网络应用环境来设置此参数。  ·SYN网关:  SYN网关收到客户端的SYN包时,直接转发给服务器;SYN网关收到服务器的SYN/ACK包后,将该包转发给客户端,同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时,如果有数据则转发,否则丢弃。事实上,服务器除了维持半连接队列外,还要有一个连接队列,如果发生SYN攻击时,将使连接队列数目增加,但一般服务器所能承受的连接数量比半连接数量大得多,所以这种方法能有效地减轻对服务器的攻击。  ·SYN代理:  当客户端SYN包到达过滤网关时,SYN代理并不转发SYN包,而是以服务器的名义主动回复SYN/ACK包给客户,如果收到客户的ACK包,表明这是正常的访问,此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击,此时要求过滤网关自身具有很强的防范SYN攻击能力。  2、加固tcp/ip协议栈  防范SYN攻击的另一项主要技术是调整tcp/ip协议栈,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进行充分了解和测试的前提下进行此项工作。  ·SynAttackProtect机制  为防范SYN攻击,Windows2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制,Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Windows2000操作系统并不支持SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:  HKLMSYSTEMCurrentControlSetServicesTcpipParameters  当SynAttackProtect值(如无特别说明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect保护。  当SynAttackProtect值为1时,系统通过减少重传次数和延迟未连接时路由缓冲项(route cache entry)防范SYN攻击。  当SynAttackProtect值为2时(Microsoft推荐使用此值),系统不仅使用backlog队列,还使用附加的半连接指示,以此来处理更多的SYN连接,使用此键值时,tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止。  我们应该知道,平时,系统是不启用SynAttackProtect机制的,仅在检测到SYN攻击时,才启用,并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢?事实上,系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。  TcpMaxHalfOpen 表示能同时处理的最大半连接数,如果超过此值,系统认为正处于SYN攻击中。Windows2000 server默认值为100,Windows2000 Advanced server为500。  TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数,如果超过此值,系统自动启动SynAttackProtect机制。Windows2000 server默认值为80,Windows2000 Advanced server为400。  TcpMaxPortsExhausted 是指系统拒绝的SYN请求包的数量,默认是5。  如果想调整以上参数的默认值,可以在注册表里修改(位置与SynAttackProtect相同)  · SYN cookies技术  我们知道,TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目,当SYN请求不断增加,并这个空间,致使系统丢弃SYN连接。为使半连接队列被塞满的情况下,服务器仍能处理新到的SYN请求,SYN cookies技术被设计出来。  SYN cookies应用于linux、FreeBSD等操作系统,当半连接队列满时,SYNcookies并不丢弃SYN请求,而是通过加密技术来标识半连接状态。  在TCP实现中,当收到客户端的SYN请求时,服务器需要回复SYN+ACK包给客户端,客户端也要发送确认包给服务器。通常,服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数,但在SYN cookies中,服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算,加密得到的,称之为cookie。当服务器遭受SYN攻击使得backlog队列满时,服务器并不拒绝新的SYN请求,而是回复cookie(回复包的SYN序列号)给客户端, 如果收到客户端的ACK包,服务器将客户端的ACK序列号减去1得到cookie比较值,并将上述要素进行一次hash运算,看看是否等于此cookie。如果相等,直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。  在RedHat linux中,启用SYN cookies是通过在启动环境中设置以下命令来完成:  # echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies  · 增加最大半连接数  大量的SYN请求导致未连接队列被塞满,使正常的TCP连接无法顺利完成三次握手,通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源,不能被无限的扩大。  Windows2000:除了上面介绍的TcpMaxHalfOpen, TcpMaxHalfOpenRetried参数外,Windows2000操作系统可以通过设置动态backlog(dynamic backlog)来增大系统所能容纳的最大半连接数,配置动态backlog由AFD.SYS驱动完成,AFD.SYS是一种内核级的驱动,用于支持基于window socket的应用程序,比如ftp、telnet等。AFD.SYS在注册表的位置:  HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值为1时,表示启用动态backlog,可以修改最大半连接数。  MinimumDynamicBacklog表示半连接队列为单个TCP端囗分配的最小空闲连接数,当该TCP端囗在backlog队列的空闲连接小于此临界值时,系统为此端囗自动启用扩展的空闲连接(DynamicBacklogGrowthDelta),Microsoft推荐该值为20。  MaximumDynamicBacklog是当前活动的半连接和空闲连接的和,当此和超过某个临界值时,系统拒绝SYN包,Microsoft推荐MaximumDynamicBacklog值不得超过2000。  DynamicBacklogGrowthDelta值是指扩展的空闲连接数,此连接数并不计算在MaximumDynamicBacklog内,当半连接队列为某个TCP端囗分配的空闲连接小于MinimumDynamicBacklog时,系统自动分配DynamicBacklogGrowthDelta所定义的空闲连接空间,以使该TCP端囗能处理更多的半连接。Microsoft推荐该值为10。  LINUX:Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat 7.3中,该变量的值默认为256,这个值是远远不够的,一次强度不大的SYN攻击就能使半连接队列占满。我们可以通过以下命令修改此变量的值:  # sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`  Sun Solaris Sun Solaris用变量tcp_conn_req_max_q0来定义最大半连接数,在Sun Solaris 8中,该值默认为1024,可以通过add命令改变这个值:  # ndd -set /dev/tcp tcp_conn_req_max_q0 2048  HP-UX:HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数,在HP-UX 11.00中,该值默认为500,可以通过ndd命令改变默认值:  #ndd -set /dev/tcp tcp_syn_rcvd_max 2048  ·缩短超时时间  上文提到,通过增大backlog队列能防范SYN攻击;另外减少超时时间也使系统能处理更多的SYN请求。我们知道,timeout超时时间,也即半连接存活时间,是系统所有重传次数等待的超时时间总和,这个值越大,半连接数占用backlog队列的时间就越长,系统能处理的SYN请求就越少。为缩短超时时间,可以通过缩短重传超时时间(一般是第一次重传超时时间)和减少重传次数来实现。  Windows2000第一次重传之前等待时间默认为3秒,为改变此默认值,可以通过修改网络接囗在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions 来定义,注册表的位置是:  HKLMSYSTEMCurrentControlSetServicesTcpipParameters registry key  当然我们也可以把重传次数设置为0次,这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。  LINUX:Redhat使用变量tcp_synack_retries定义重传次数,其默认值是5次,总超时时间需要3分钟。  Sun Solaris Solaris 默认的重传次数是3次,总超时时间为3分钟,可以通过ndd命令修改这些默认值。  黑客攻防实战之对有防火墙网站入侵过程  一、踩点  ping www.111.com 发现超时,可以是有防火墙或做了策略。再用superscan扫一下,发现开放的端口有很多个,初步估计是软件防火墙。  二、注入  从源文件里搜索关键字asp,找到了一个注入点。用nbsi注入,发现是sa口令登陆,去加了一个用户,显示命令完成。哈哈,看来管理员太粗心了。先上传一个webshell,上传了一个老兵的asp木马。接下来的就是个人习惯了,我平时入侵的习惯是先上传webshell,然后再把webshell提升为system权限。因为这样说可以说在入侵之时会非常的方便,我个人觉得这个方法非常好。  三、提升权限  先看哪些特权的:  cs cript C:InetpubAdminS criptsadsutil.vbs get /W3SVC/InProcessIsapiApps  得到:  Microsoft (R) Windows 脚本宿主版本 5.1 for Windows  版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.  InProcessIsapiApps : (LIST) (5 Items)  "C:WINNTsystem32idq.dll"  "C:WINNTsystem32inetsrvhttpext.dll"  "C:WINNTsystem32inetsrvhttpodbc.dll"  "C:WINNTsystem32inetsrvssinc.dll"  "C:WINNTsystem32msw3prt.dll"  把asp.dll加进去:  cs cript C:InetpubAdminS criptsadsutil.vbs  set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll" "C:WINNTsystem32  inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll" "C:WINNTsystem32  inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll""c:winntsystem32  inetsrvasp.dll"  然后用asp木马加个用户,显示命令完成。  四、TerminalService  接下来就是开3389了,用net start显示,发现已开了TS服务,但端口上没有3389,觉得可能是改端口了。但事实上它们欺骗我的感情,我用netstat -an察看了一下,发现有3389,再从net start 里发现是对方的防火墙搞的鬼。算了,上传个木马吧,上传了一个改了特征码的20CN反弹木马,然后用木马在GUI下关掉了防火墙,再用3389登陆器登了上去,这里我这样做是因为我知道管理员一定不会在旁边。而对于这个时候,比较老道的方法大家可以用fpipe实现端口重定向,或者用httptunnel。和黑防里面说的那样,不过我试过没有成功过一次,而且我在收集资料里看到黑防的那篇和另外一个高手写的一模一样,不知道谁抄谁。还有一种工具是despoxy,(TCP tunnel for HTTP Proxies)大家有兴趣的话可以去试一下,它可以穿透http代理。  五、简单后门  1.改了FSO名,这样是让我自己享受,这个有system权限的马儿。  2.放了几个rootkit和几个网络上少见的后台。  3.我个从是不喜欢多放后台,觉得很烦。  六、Sniffer  1.TS界面下,下载了些嗅探器。先ARPsniffer图形的看了一下,晕死,没有一台内网机子。又看了一个外网,晕死,整个IP段都是。看来我的运行不错嘛,打开webdavscan查了一下,只有两三个IP是网站,而且是很小型的,接下来就没有什么动力了。170   侵害健康权的人身损害赔偿中,  受害人的实际损失包括哪些?------------ 私家侦探解答:侵害健康权的直接损害是指破坏人体生理机能正常运转和身体功能的完整发挥。这种损害可能造成受害人以下实际损失:1.医疗费损失。受害人的健康权受到损害,最直接最主要的损失是为了治疗人身损害,使得受破坏的人体机能或人体功能能够最大限度地恢复而支付的金钱。这是侵害健康权所造成的受害人财产方面的直接损失。2.误工费损失。受害人遭受人身损害,在受损害之前所从事的工作因此而受到影响,必然会造成预期财产利益的损失,这是侵害健康权造成的财产方面的间接损失。也就是由于遭受侵害应该得到而没有得到的财产利益。3.住院伙食费和营养费损失。侵害健康权造成人身损害后,如果受害人需要住院治疗,在住院期间就会发生伙食费上的支出,有时还会需要必要的营养费用支出。4.护理费损失。侵害健康权造成人身损害之后,如果受害人行动不能自理,就需要有人专门进行护理,这就需要增加护理费的支出。5.交通费、住宿费损失。侵害健康权造成人身损害之后,受害人屡次到医院进行治疗、复诊、转院治疗就会支出一定数额的交通费用,有时也会需要一定的住宿费用。6.残疾人生活补助费损失。如果侵害健康权致人伤残,受害人劳动能力部分或全部丧失,会造成其正常收入的减少,甚至丧失生活来源。7.残疾辅助用具费损失。侵害健康权致人残疾,受害人为了生活的需要,有时会需要配置残疾用具,比如,四肢伤残的需要配置假肢,腿部伤残的需要配置轮椅、拐杖。这些残疾用具都有一定的使用期限,比如,假肢根据国家标准需要几年一换。配置以及屡次更换这些残疾用具费用的支出,都是受害人遭受人身损害后导致的财产上的损失。8.被扶养人扶养来源丧失的损失。受害人因遭受人身损害全部或者部分丧失劳动能力,减少或丧失了工资收入,除了对自己的生活造成损害以外,还会对以其扶养为主要生活来源的被扶养人的生活造成损失,使其丧失或部分丧失扶养来源。9.精神痛苦和身体疼痛损害。受害人遭受人身损害必然会造成精神上的痛苦和身体上的疼痛。一般而言,侵害程度越严重,受害人的精神损害程度也越严重,侵害程度越轻,受害人遭到精神损害的程度也越轻。171   哪些属于人身损害赔偿中的医疗费?  医疗费的确定有无截止时间?------------ 私家侦探解答:医疗费赔偿按照全部赔偿的规则,损失多少,赔偿多少,目的是补偿侵害人身造成的受害人的财产损失。医疗费主要包括医药费和治疗费两大项。具体来说,一般包括:(1)挂号费,包括医院门诊挂号费、专家门诊挂号费等;(2)医药费,即购买药品所支出的费用;(3)检查费,包括为确诊或治疗所进行的各种医疗检查的费用,比如X光片、换药、注射、理疗、手术、整容等费用;(4)住院费,指受害人住院治疗期间向医院缴纳的住院费用;(5)其他医疗费用,比如,受害人因侵权行为眼睛受伤,移植眼角膜的费用,聘请专家进行会诊的费用等。根据最高人民法院《关于审理人身损害赔偿案件适用法律若干问题的解释》第十九条的规定,医疗费根据医疗机构出具的医药费、住院费等收款凭证,结合病历和诊断证明等相关证据确定。赔偿义务人对治疗的必要性和合理性有异议的,应当承担相应的举证责任。医疗费的赔偿数额应当按照一审法庭辩论终结前实际发生的数额确定。器官功能恢复训练所必要的康复费、适当的整容费以及其他后续治疗费,赔偿权利人可以待实际发生后另行起诉。但根据医疗证明或者鉴定结论确定必然发生的费用,可以与已经发生的医疗费一并予以赔偿。司法实践中,受害人因侵权行为受到人身伤害,发生了一定的医疗费,但是,治疗的费用是分多个阶段或者延续性的。有的当事人因为医疗费用始终没有完结,而迟迟不起诉,错过了诉讼时效。有的当事人在诉讼期间,要求法院一并判决侵权行为人承担诉讼之后发生的预期费用,或者在判决中明确诉讼之后发生的医疗费用由侵权行为人承担。对此,一是要注意不能为了等待治疗全部结束,费用清算完结而延误了诉讼时效,失去胜诉权。二是如果诉讼之后发生的医疗费用根据医疗证明或者鉴定结论能够确定是必然发生的费用,可以与已经发生的医疗费一并赔偿。三是如果诉讼之后发生的医疗费用并不能根据医疗证明或者鉴定结论得出必然发生的结论,则判决承担的医疗费一般只截止到一审法庭辩论终结之前实际发生的数额,而不能包括法庭辩论终结之后发生的费用。

作者:成都私家侦探|私人侦探调查公司|成都婚姻调查|婚外情调查公司http://cd.jiedun007.com 未经允许,请勿转载!