網路攻擊攔截

反攻擊技術（入侵檢測技術）的核心問題是如何截獲所有的網路信息。目前主要是通過兩種途徑來獲取信息，一種是通過網路偵聽的途徑（如Sniffer，Vpacket等程式）來獲取所有的網路信息（數據包信息，網路流量信息、網路狀態信息、網路管理信息等），這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對作業系統和應用程式的系統日誌進行分析，來發現入侵行為和系統潛在的安全漏洞。

黑客對網路的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統配置的缺陷”，“作業系統的安全漏洞”或“通信協定的安全漏洞”來進行的。到目前為止，已經發現的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經有相應的解決方法，這些攻擊大概可以劃分為以下六類：

1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或重要伺服器）的系統關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

2.非授權訪問嘗試：是攻擊者對被保護檔案進行讀、寫或執行的嘗試，也包括為獲得被保護訪問許可權所做的嘗試。

3.預探測攻擊：在連續的非授權訪問嘗試過程中，攻擊者為了獲得網路內部的信息及網路周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、連線埠掃描和IP半途掃描等。

4.可疑活動：是通常定義的“標準”網路通信範疇之外的活動，也可以指網路上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等。

5.協定解碼：協定解碼可用於以上任何一種非期望的方法中，網路或安全管理員需要進行解碼工作，並獲得相應的結果，解碼後的協定信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。

6.系統代理攻擊：這種攻擊通常是針對單個主機發起的，而並非整個網路，通過RealSecure系統代理可以對它們進行監視。

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析，並提出相應的對策。

攻擊類型：Land攻擊是一種拒絕服務攻擊。

攻擊特徵：用於Land攻擊的數據包中的源地址和目標地址是相同的，因為當作業系統接收到這類數據包時，不知道該如何處理堆疊中通信源地址和目的地址相同的這種情況，或者循環傳送和接收該數據包，消耗大量的系統資源，從而有可能造成系統崩潰或當機等現象。

檢測方法：判斷網路數據包的源地址和目標地址是否相同。

反攻擊方法：適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為（一般是丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP位址）。

攻擊類型：TCP SYN攻擊是一種拒絕服務攻擊。

攻擊特徵：它是利用TCP客戶機與伺服器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP位址向被攻擊者傳送大量的SYN數據包，當被攻擊主機接收到大量的SYN數據包時，需要使用大量的快取來處理這些連線，並將SYN ACK數據包傳送回錯誤的IP位址，並一直等待ACK數據包的回應，最終導致快取用完，不能再處理其它合法的SYN連線，即不能對外提供正常服務。

檢測方法：檢查單位時間內收到的SYN連線否收超過系統設定的值。

反攻擊方法：當接收到大量的SYN數據包時，通知防火牆阻斷連線請求或丟棄這些數據包，並進行系統審計。

攻擊類型：Ping Of Death攻擊是一種拒絕服務攻擊。

攻擊特徵：該攻擊數據包大於65535個位元組。由於部分作業系統接收到長度大於65535位元組的數據包時，就會造成記憶體溢出、系統崩潰、重啟、核心失敗等後果，從而達到攻擊的目的。

檢測方法：判斷數據包的大小是否大於65535個位元組。

反攻擊方法：使用新的補丁程式，當收到大於65535個位元組的數據包時，丟棄該數據包，並進行系統審計。

攻擊類型：WinNuke攻擊是一種拒絕服務攻擊。

攻擊特徵：WinNuke攻擊又稱帶外傳輸攻擊，它的特徵是攻擊目標連線埠，被攻擊的目標連線埠通常是139、138、137、113、53，而且URG位設為“1”，即緊急模式。

檢測方法：判斷數據包目標連線埠是否為139、138、137等，並判斷URG位是否為“1”。

反攻擊方法：適當配置防火牆設備或過濾路由器就可以防止這種攻擊手段（丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP位址MAC）。

攻擊類型：Teardrop攻擊是一種拒絕服務攻擊。

攻擊特徵：Teardrop是基於UDP的病態分片數據包的攻擊方法，其工作原理是向被攻擊者傳送多個分片的IP包（IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息），某些作業系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。

檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。

反攻擊方法：添加系統補丁程式，丟棄收到的病態分片數據包並對這種攻擊進行審計。

攻擊類型：TCP/UDP連線埠掃描是一種預探測攻擊。

攻擊特徵：對被攻擊主機的不同連線埠傳送TCP或UDP連線請求，探測被攻擊對象運行的服務類型。

檢測方法：統計外界對系統連線埠的連線請求，特別是對21、23、25、53、80、8000、8080等以外的非常用連線埠的連線請求。

反攻擊方法：當收到多個TCP/UDP數據包對異常連線埠的連線請求時，通知防火牆阻斷連線請求，並對攻擊者的IP位址和MAC地址進行審計。

對於某些較複雜的入侵攻擊行為（如分散式攻擊、組合攻擊）不但需要採用模式匹配的方法，還需要利用狀態轉移、網路拓撲結構等方法來進行入侵檢測。

制定詳盡的入侵應急措施。一旦發現有可疑的情況，應該立即打開進程記錄功能。有條件的話，立即打開網段上另外一台主機監聽網路流量，以便定位入侵者的位置。如有必要,斷開網路連線.在服務主機不能繼續服務的情況下，應該有能力從備份磁帶中恢復服務到備份主機上。