攻擊行為特征及反攻擊技術(shù)！

　　要想更好的保護網(wǎng)絡不受 的攻擊，就必須對 的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解，只有這樣才能更有效、更具有針對性的進行主動防護，

攻擊行為特征及反攻擊技術(shù)

。下面通過對 攻擊方法的特征分析，來研究如何對 攻擊行為進行檢測與防御。

　　一、反攻擊技術(shù)的核心問題

　　反攻擊技術(shù)（入侵檢測技術(shù)）的核心問題是如何截獲所有的網(wǎng)絡信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡偵聽的途徑 （如Sniffer，Vpacket等程序）來獲取所有的網(wǎng)絡信息（數(shù)據(jù)包信息，網(wǎng)絡流量信息、網(wǎng)絡狀態(tài)信息、網(wǎng)絡管理信息等），這既是 進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

　　二、 攻擊的主要方式

　　 對網(wǎng)絡的攻擊方式是多種多樣的，一般來講，攻擊總是利用系統(tǒng)配置的缺陷，操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞來進行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分 攻擊手段已經(jīng)有相應的解決方法，這些攻擊大概可以劃分為以下六類：

　　1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或重要服務器）的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

　　2.非授權(quán)訪問嘗試：是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權(quán)限所做的嘗試。

　　3.預探測攻擊：在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡內(nèi)部的信息及網(wǎng)絡周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

　　4.可疑活動：是通常定義的標準網(wǎng)絡通信范疇之外的活動，也可以指網(wǎng)絡上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等，

電腦資料

《攻擊行為特征及反攻擊技術(shù)》(http://www.oriental01.com)。

　　5.協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡或安全管理員需要進行解碼工作，并獲得相應的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。

　　6.系統(tǒng)代理攻擊：這種攻擊通常是針對單個主機發(fā)起的，而并非整個網(wǎng)絡，通過RealSecure系統(tǒng)代理可以對它們進行監(jiān)視。

　　三、 攻擊行為的特征分析與反攻擊技術(shù)

　　入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進行分析，并提出相應的對策。

　　1.Land攻擊

　　攻擊類型：Land攻擊是一種拒絕服務攻擊。

　　攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

　　檢測方法：判斷網(wǎng)絡數(shù)據(jù)包的源地址和目標地址是否相同。

　　反攻擊方法：適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址）。

　　2.TCP SYN攻擊

　　攻擊類型：TCP SYN攻擊是一種拒絕服務攻擊。

　　攻擊特征：它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當被攻擊主機接收到大量的SYN數(shù)據(jù)包時，需要使用大量的緩存來處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的IP地址，并一直等待ACK數(shù)據(jù)包的回應，最終導致緩存用完，不能再處理其它合法的SYN連接，即不能對外提供正常服務。

　　檢測方法：檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設定的值。

　　反攻擊方法：當接收到大量的SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進行系統(tǒng)審計。

　　3.Ping Of Death攻擊

　　攻擊類型：Ping Of Death攻擊是一種拒絕服務攻擊。