qq3250845

DOS攻击作为一种目的为耗尽服务器资源的攻击方式，其攻击形式有很多种，除去上文曾经讲过的关联洪水攻击外，本篇文章将依旧通过原理、表现以及应对措施三方面来讲述DOS攻击的另外一种形式，验证洪水攻击。

　　1.关于无线连接验证

　　在无线网络环境，无线客户端都是需要通过一个验证来实现连接无线接入点的。AP上的验证可采用开放式密钥验证或者预共享密钥验证两种方式。一个工作站可以同时与多个AP进行连接验证，但在实际连接时，同一时刻一般还只是通过一个AP进行的。

　　2.验证洪水攻击原理

　　验证洪水攻击，国际上称之为Authentication Flood Attack，全称即身份验证洪水攻击，通常被简称为Auth攻击，是无线网络拒绝服务攻击的一种形式。该攻击目标主要针对那些处于通过验证、和AP建立关联的关联客户端，攻击者将向AP发送大量伪造的身份验证请求帧(伪造的身份验证服务和状态代码)，当收到大量伪造的身份验证请求超过所能承受的能力时，AP将断开其它无线服务连接。

　　验证洪水攻击原理

　　一般来说，所有无线客户端的连接请求会被AP记录在连接表中。当连接数量超过AP所能提供的许可范围，AP就会拒绝其它客户端发起的连接请求。下图为笔者绘制的身份验证洪水攻击原理图，可看到攻击者对整个无线网络发送了伪造的身份验证报文。

　　3.身份验证攻击实现及效果

　　为了开展验证洪水攻击，攻击者会先使用一些看起来合法但其实是随机生成的MAC地址来伪造工作站，然后，攻击者就可以发送大量的虚假连接请求到AP。对AP进行持续且猛烈的虚假连接请求，最终会导致无线接入点的连接列表出现错误，合法用户的正常连接亦会被破坏。

　　可以使用的工具有很多，比如在Linux下比较有名的MDK2/3，或者早一点的Void11等，在Windows下我们也可以使用aireplay-ng的其中一个参数配合实现。

　　4.验证洪水攻击应对方法

　　通过跟踪客户端的验证情况和连接状况可以帮助无线管理人员识别此类拒绝服务攻击。也可通过在监测软件上部署警报来实现预警机制，这样当警报被触发时，被攻击影响的无线接入点和客户端都会被记录并重新识别。

　　另外，在企业AP上开启MAC地址过滤并进行详细的配置，对阻止攻击者会起到一定作用。

qq3250845

黑客，诈骗者和专门窃取隐私的人，他们攻击电脑和窃取隐私的花招总是层出不穷。这里列举了最新的攻防策略，以便广大用户有所了解做好防备。

　　虽然笔者经常打上最新的系统补丁，定期更新病毒库并扫描系统，但读完这篇文章后也感到非常震惊，一个新的木马(Trojan.Winloginhook.Delf.A)，可能是太新的缘故，以至笔者的杀毒软件没有任何反应。它是否木马家族的一个变体还是一种全新的攻击方式?现今的安全威胁，就算安全意识再高的人也变得不堪一击。

　　当然，有不少措施可以最大限度的降低风险。做好防御的第一步是要弄清楚自己正面对的是什么问题，所以这里列出了10个用户应该知道的严重安全问题。为了保护自己，应该知道怎么打补丁，并保证杀毒软件是最新的。此外，本文还提供了相应的建议，以避开这些威胁或在中招后减少损失。

　　一。傀儡机军团

　　危险程度：高

　　可能性：高

　　目标：Windows用户

　　Botnet(“僵尸网络”，又称“波特网”，是英语单词“BOTNET”的翻译语，国际上通常将集中控制的、数量庞大的受害电脑群称为“BOTNET”)曾经是技术犯罪高手的专利，他们通过远程控制被感染的PC来发送垃圾邮件，发动网络攻击，或借这些傀儡机传播间谍软件。但是，这都已成过去，现在就算是菜鸟级的攻击者也能够生成自己的botnet并进行攻击，而这都归咎于数码犯罪天才开发了用于这些目的的工具。

　　不少人通过创建并售卖功能齐全的bot开发工具来赚钱，通过这些工具，牧人(对那些运行botnet的人的称呼)可以自己进行攻击。而这些工具的售价从20美元到3，000美元不等，罪犯可以通过它来创建功能齐全的botnet和其它恶意软件，从可定制的蠕虫到按键记录程序等都可以实现，可怕的是，这完全没有任何技术要求。

　　更加聪明的网络控件

　　情况变得越来越严重。在创建了一个新的bot并发送给信任的电脑用户后，黑客就可以通过先进的命令控制工具来方便的操纵网络。

　　Sites的团队Sunbelt和安全机构iDefense Labs的快速响应团队已经发现了一种新的基于网页的botnet控件，他们称之为Metaphisher.与发送文本命令不同，牧人通过控件提供的高度图形化界面，精心设计符合习惯的图标和直观的控件，只需通过简单的点击就能完成攻击。

　　据iDefense Labs透露，在全球被Metaphisher控制的bot已经感染了超过100万部电脑。它甚至对本身与bot牧人间的通讯信息进行加密，并且几乎能够传播受感染电脑上的所有信息给控制bot的人——包括用户的地理位置，已经安装的Windows补丁和除了IE外用户机上运行的浏览器。

　　施法官员在对近期犯罪的调查中发现，所有这些易于使用的工具和控件无疑导致了大批的电脑被感染。例如，加州一个21岁的青年由于违反了《联邦反电脑欺诈与滥用法案》而被判入狱57个月。他经营了一间拥有多达400，000台基于botnet的被感染系统的公司。并且，去年秋季荷兰逮捕了三名bot牧人，估计他们已经控制了多达150万台傀儡PC.

　　较低的进入门槛意味着，就算通过法律将部分牧人绳之于法，但每天都不断会有新人加入。南卡罗莱纳州的一托管安全服务提供商Lurhq的高级安全研究员Joe Stewart表示，之所以有那么多人不断的进入这一行业是因为他们看到有人从事这行业并从中获利。

　　Botnet网络

　　工作原理：通过简单工具快速部署Bot

　　1. 一个潜在的犯人花费少量的金钱在线购买到一个建bot工具

　　2. 不要求任何技术，犯人就可以构建出一个杀毒厂商还不能识别的bot

　　3. 犯人通过电子邮件把bot以附件形式发送或上传到某个恶意网站上

　　4. 这个botnet通过发送垃圾邮件，间谍软件和发动拒绝服务攻击迅速获得金钱

　　防御措施

　　1. 避免浏览不熟悉的网站并且不要点击可疑电子邮件中提供的连接，bot基本是通过这样的方式传播的。

　　2. 警惕电子邮件的附件，尽管邮件好像是某个熟人发来。

　　3. 考虑使用其它浏览器，Firefox和Opera是个不错的选择。IE已经成为黑客的最爱。

　　二。被窃取的数据在网上自由流窜

　　危险程度： 高

　　可能性： 中等

　　目标： Windows用户

　　黑客通过按键记录程序来窃取用户的银行帐号和密码。而在一个没有任何保护措施的ftp上存放敏感数据无疑等于自投罗网。

　　不幸的是，安全研究人员在过去屡屡见到这样的事发生。

　　反间谍软件公司Sunbelt Software的Alex Eckelberry透露，他公司在调查一个还没流传的特别广的按键记录程序时就发现了那么一个ftp服务器。这个服务器上提供了多达1GB偷来的证书，而这些证书都是在4月期间窃取到的。

　　按键记录程序不但能够捕捉到用户输入的任何内容，而且还能够进行屏幕截图，此外还能够从受Windows保护的存储区域内获取数据，而这个地方正是IE保存密码的地方。

　　这个ftp服务器上其中的一个日志文件记录了很多美国银行客户的密码，还有Buy.com、Yahoo、Hotmail和其它电子邮件账户的用户名和密码，还有其它在线娱乐场所和网站的账户细节。而危险也是跨国性的：这个日记以多种语言记录，除了其它流行的语种外海包括德语，西班牙语，匈牙利语，土耳其语和日语。 并且记录的IP地址更是遍布全球。

　　Sunbelt的Eric Sites表示，由于有如此多的可用数据，所以就没出现创建新按键记录程序热潮了。据商业与法律执行委员会Anti-Phishing Working Group透露，在4月共发现有180多个不同的按键记录程序，比去年同期发现的77个大幅增加，但对比前三个月有细微下滑。

　　防御措施

　　1. 安装一个能够阻止不明程序与外网进行通讯的防火墙，以阻止按键记录程序反馈数据。免费软件ZoneAlarm防火墙就能实现这样的功能;而Windows XP集成的防火墙就无能为力了。

　　2. 定期修改密码，并且不要在多个网站上使用相同的用户名和密码。关于密码设置的技巧，可以阅读Steve Bass最新的“Keep it Secret，Keep It Safe”。

　　三.钓鱼者伪造合法站点

　　危险程度： 高

　　可能性： 高

　　目标：所有网络用户

　　钓鱼是最有利可图的犯罪手段之一，并且它还在持续急速增长。据Anti-Phishing Working Group最新的统计数据显示，在2006年4月，新的独立钓鱼网站到达了11，121个之多，几乎是去年4月发现的2854个网站的四倍。

　　用户可能会认为钓鱼者的网站很容易识破，以为这些网站都存在低级的拼写错误，并且网页简陋。但是，现在的钓鱼者很少手工创建一整个银行网站了。相反，他们通过强大的服务器端软件把真实银行网站的文本，图片和连接通通拉过来。用户输入的所有查询都会转到原真实站点，当然登陆数据除外。这部分数据会落入钓鱼者手中。

　　有些钓鱼站点做得实在太专业，就连很小心有经验的冲浪者也会上当。

　　浏览器被劫持

　　钓鱼者的目的就是要诱骗用户浏览某个伪造的网站。或许根据过去的经验，不要相信声称是从你银行发来的并要求你点击链接以确认帐户信息的链接。但是，现今的钓鱼者采取的是更加强逼性的手段来使用户的浏览器指向他们的站点。

　　一种称为智能重定向的恶意软件技术，就算用户正确的输入了银行的网址，但是浏览器还是会鬼使神差的转向钓鱼者的网站。在被感染用户电脑上运行的恶意软件，监控着世界各地活动的成百上千个假银行站点，一旦用户想登陆某个银行的站点，它就会自动重定向到某个活动的假站点。如果某个假站点被合法取缔了，那么这个智能重定向技术会把受感染电脑带到另外一个躲过检查的站点。

　　只要还有利可图，那么罪犯就会不断的锻炼技能和开发新技术。安全硬件制造商CounterStorm的Michael Rothschild表示，目前来说，的确非常有利可图，好的带有证书的信用卡信息可以卖到70美元一张。

　　网络钓鱼

　　工作原理：引诱警惕的人就范

　　1. 某位细心谨慎的用户在浏览器地址栏上输入银行的URL。

　　2. 在用户机器上的恶意软件把用户重定向到某个钓鱼网站。

　　3. 通过实时的从真实的银行网站上获取文本和图片，使得钓鱼网站看起来与真的没有什么区别

　　4. 在输入银行账户之后，就算是细心的用户也会落入老练的钓鱼者的圈套。

　　防御措施

　　1. 提防从任何公司发来的电子邮件，不要被它表面所欺骗。好的钓鱼站点和欺诈电子邮件没有什么明显的缺点。

　　2. 自己手动输入银行的URL或者通过书签登陆;避免点击电子邮件的链接。

　　3. 在浏览器的工具栏上，查看站点是否带有锁状标记，有的话说明站点是安全的。记得是工具栏上，而不是网页上。

　　4. 使用现有的，并且能够在进入某个已知钓鱼站点时对用户发出警告的反钓鱼工具栏。

　　四.人为的安全漏洞

　　危险程度： 高

　　可能性： 高

　　目标： 所有人

　　用户可以升级Windows和其它应用程序、安装安全软件来保护电脑，但一个永远都不可能被修补的缺陷是：人为的错误。

　　在线的罪犯不断的改变作案手段来引诱网络用户，并且越趋隐蔽。

　　近来发生的eBay拍卖陷阱充分说明了社会工程是多么的有效(社会工程(social engineering)陷阱，通常是利用大众的疏于防范的小诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取用户系统的秘密，例如：用户名单、用户密码及网络结构)。根据US-CERT和网络安全公司的报告表示，聪明的钓鱼者正通过eBay网站上的一个隐患来把拍卖链接添加到eBay的网页上。这些链接会把用户带到另外一个网站，并要求用户输入eBay的登陆信息。毫无疑问，用户会对那些要求点击并输入帐号信息的电子邮件存在戒心。但是，当你点击了可信的eBay网站上某个链接后再要求输入信息，那就算最谨慎的人都会放下戒备束手就擒。

　　当然，对电子邮件也要加倍小心。聪明的诈骗者盗取或购买到电子邮件地址，他们不发送垃圾邮件，而是发送看起来像是从某个真实地址发来但带有病毒的邮件。用户很可能会点击看起来是从“某人@用户公司.com”地址发来的Word文档或电子邮件中的链接。

　　加上近日在微软Word中发现的零日利用漏洞，这种通过虚假电子邮件地址进行攻击的方式就变得更加有效了。你一旦打开恶意电子邮件中的.doc附件就会中毒。

　　防御措施

　　1. 订阅专注安全的RSS Feed来获得最新的网络威胁信息。推荐的feed有：F-Secure，卡巴斯基和Sophos。

　　2. 获得尽可能多的安全建议和产品评论。推荐网站有：PCWorld的间谍软件与安全信息中心。

　　五.诈骗者重定向用户浏览器到其欺诈网站

　　危险等级： 高

　　可能性： 高

　　目标： 商业用户

　　用户可能每天都在使用域名系统(DNS)。它能够把如“”的域名转换成计算机用于识别网络上其它电脑的数字IP地址。它的作用对于因特网来说必不可少。

　　但是，根据网络公司The Measurement Factory透露，全球75%的DNS服务器仍然运行着旧的或者是配置错误的DNS软件。这些系统对于很大一部分攻击来说都是非常脆弱的，计算机安全研究与教育组织SANS Institute已经把DNS软件列为20个最危险的网络隐患之一。例如，攻击者就是利用错误配置的DNS服务器来发动拒绝服务攻击，迫使反垃圾邮件机构Blue Security从此关门大吉。

　　有多种方法可以实现攻击。其中一种方法是“缓存中毒”，这样攻击者可以同时锁定使用DNS服务器的所有用户。用户输入的可能是一个合法的网站，但结果是转向到恶意网站并最终在用户电脑上种植恶意软件。

　　另一种致命的攻击手段是：攻击者把虚假请求发送给递归式的DNS服务器，而服务器把应答的响应数据发送到受害者那里。响应包含了比原来请求包含更多的数据，这样就极大的增强了攻击的效果。倒霉的受害者忙于应付这些垃圾数据因此不能响应正常的用户请求。

　　网络欺诈

　　预防措施

　　向企业的IT部门确认DNS服务器不是递归式的，并且其上的软件保证是最新。用户可以阅读US-CERT报告以获得更多的信息。

qq3250845

我们今天主要向大家讲述的是互联网的巨大威胁之ICMP洪水攻击，几年前的某天晚上9时，突然有两个“大虾”进入一个聊天室，提议里面的50多个网民“去响应号召，做爱国的事”，以下是原话摘录：

　　大虾甲：今晚10点，大家一起去ping白宫!

　　大虾乙：嗯嗯!ping死白宫!

　　网民：怎么做?

　　大虾甲：你怎么这么笨?开MS-DOS窗口，输入 ping xxx.xxx.xxx.xxx -l 65500 -t就可以了!

　　网民：这样有什么用?

　　大虾甲：只要这样做，白宫网站就进不去了。

　　网民：哦~~原来如此~~~这样做是什么原理?高手可以解释一下吗?

　　大虾甲：这个嘛……还是让他来说吧!

　　大虾乙：这个……这个……咳，总之别问这么多，照着做就是了，上头说过好像是什么DOS攻击吧，这样做，白宫网站的服务器就会垮掉。

　　大虾甲：总之到时候你们一起这样做就可以了!10点准时开始，我们先去准备了!

　　网民：不懂……

　　不懂归不懂，当晚10点，爱国的网民们一起用上面“高手”给出的命令开始了雄伟的“爱国反击战”——一场无聊的闹剧!

　　他们这样做是什么原理?那样的“攻击”有效吗?要解释这些，就要从ICMP协议说起。

　　一、什么是ICMP协议?

　　ICMP全称Internet Control Message Protocol(网际控制信息协议)。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。

　　为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

　　二、ICMP报文格式

　　ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文(见图表，ICMP报文的结构和几种常见的ICMP报文格式)，IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式，此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下：

　　类型代码 类型描述

　　0 响应应答(ECHO-REPLY)

　　3 不可到达

　　4 源抑制

　　5 重定向

　　8 响应请求(ECHO-REQUEST)

　　11 超时

　　12 参数失灵

　　13 时间戳请求

　　14 时间戳应答

　　15 信息请求(*已作废)

　　16 信息应答(*已作废)

　　17 地址掩码请求

　　18 地址掩码应答

　　其中代码为15、16的信息报文已经作废。

　　下面是几种常见的ICMP报文：

　　1.响应请求

　　我们日常使用最多的ping，就是响应请求(Type=8)和应答(Type=0)，一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败)，则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。

　　2.目标不可到达、源抑制和超时报文

　　这三种报文的格式是一样的，目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口(端口号小于1024)时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的!”，常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。

　　3.时间戳

　　时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。

　　三、回到正题：这样的攻击有效吗?

　　在前面讲过了，ping使用的是ECHO应答，不知道大家注意过没有，ping的返回很慢，用NetXRAY抓包仅为1--5包/秒，这是为什么呢?事实上，ICMP本身并不慢(由于ICMP是SOCK_RAW产生的原始报文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎10倍!)，这样的速度是ping程序故意延迟的(为什么?M$可不想每个人都能用ping来干坏事)，同样，我测试过一些号称“ping洪水”的程序，发现它们的效率和ping.exe没什么两样。

　　经过Dependency Walker查看程序调用的函数发现，他们用的是icmp.dll提供的IcmpSendEcho这个API，这个函数是计算ECHO时间的，速度当然慢!而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击，但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧!就用ping.exe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么?还不是让人家看笑话!这种攻击根本就是浪费自己的时间!(如今还经常有人问ping -l 65500 -t的攻击威力如何……哎，悲哀啊悲哀……)

　　四、什么是ICMP洪水?

　　1.ICMP洪水的成因

　　ping.exe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息，这个过程需要花费大量时间，而Flood——洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。极慢的发送速度+56Kbps小猫等于什么?等于一个未关紧的水龙头，根本没用。

　　由于ping.exe无法提速，这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽，这才是洪水。

　　2.实现ICMP洪水的前提

　　最大的前提是攻击者的速度!如果你要用56K拨号去攻击一个512Kbps ADSL用户，后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的!其次是你的机器运行速度和数据吞吐量，由于涉及IP校验和的计算(先设置头校验和域的数值为0，然后对整个数据报头按每16位求异或，再把结果取反，就得到了校验和)，如果数据处理能力不够，在这步就慢了一个级别，效果当然大打折扣。

　　最后就是目标机器的带宽!如果对方比你大很多(例如你2M ADSL，别人用DDN或T1)，那么任何Flood都是无病呻吟，挠痒都不够!(希望不要再问“小金，你的R-Series怎么不好用啊”、“我用小金的AnGryPing攻击别人半天都没事!”、“独裁者的攻击怎么无效啊?”这样的问题了，天啊，我头都大了!)

　　还有许多人都忽略的问题：发送的速度与数据包大小成反比，而且太大的数据包会被路由器等设备过滤掉!找到一个合适的数据包大小，对提高Flood的效率有很大帮助!

　　3.洪水——两败俱伤的攻击方式

　　别以为洪水无所不能，实际上，你展开ICMP洪水攻击时，攻击程序在消耗对方带宽和资源时，也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上，有经验的攻击者都是用被控制的服务器(肉鸡)来代替自己的机器发动攻击的，不到万不得已或者你对自己的机器网速有自信，否则尽量少用自己的机器来拼搏!

　　五、不同方式的ICMP洪水

　　1.直接Flood

　　要做这个的首要条件是你的带宽够，然后就是要一个好用的ICMP Flooder，别用ping.exe那种探路用的垃圾，例如我以前发布的AnGryPing，发包速度达到6000---9000包/秒(512 Kbps ADSL)，默认是32bytes的ECHO报文洪水，用它即使不能flood别人下去，防火墙也叫得够惨的了。直接攻击会暴露自己IP(如果对方没有还击能力那还无所谓，固定IP用户不推荐使用这种Flood)，直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷，否则一般还是别用为妙。

　　简单示意图：

　　ICMP

　　攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击，嘿嘿

　　2.伪造IP的Flood

　　如果你是Win2000/XP并且是Administrator权限，可以试试看FakePing，它能随意伪造一个IP来Flood，让对方摸不到头脑，属于比较隐蔽阴险的Flood。

　　简单示意图：

　　伪造IP=1.1.1.1的ICMP

　　攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=1.1.1.1]==>倒死

　　3.反射

　　用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击，把隐蔽性又提高了一个档次，这种攻击模式里，最终淹没目标的洪水不是由攻击者发出的，也不是伪造IP发出的，而是正常通讯的服务器发出的!

　　实现的原理也不算复杂，Smurf方式把源IP设置为受害者IP，然后向多台服务器发送ICMP报文(通常是ECHO请求)，这些接收报文的服务器被报文欺骗，向受害者返回ECHO应答(Type=0)，导致垃圾阻塞受害者的门口……

　　从示意图可以看出，它比上面两种方法多了一级路径——受骗的主机(称为“反射源”)，所以，一个反射源是否有效或者效率低下，都会对Flood效果造成影响!

　　简单示意图：

　　伪造受害者的ICMP 应答

　　攻击者[IP=211.97.54.3]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易?!]==>哭啊……

　　以上是几种常见的Flood方式，在测试中，我发现一个有趣的现象：一些防火墙(如天网)只能拦截ECHO请求(Ping)的ICMP报文，对于其他ICMP报文一概睁只眼闭只眼，不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时，请尽量避开直接ECHO Flood，换用Type=0的ECHO应答或Type=14的时间戳应答最好，其他类型的ICMP报文没有详细测试过，大家可以试试看Type=3、4、11的特殊报文会不会有更大效果。

　　六、ICMP Flood能防吗?

　　先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡?(坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢)

　　软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢?”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。

　　(一般软件防火墙就是这么判断并丢弃数据包的。)但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~(所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~)”

　　所以，洪水没法防!能做的只有提高自己的带宽和预防洪水的发生(虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做)。

　　以上的相关内容就是对互联网的巨大威胁之ICMP洪水攻击的介绍，望你能有所收获。

佛山高防罗沛亮

高防服务器 Q：347397455/2880269198

qq3250845

以下的文章主要描述的是黑客攻破SQL服务器系统的正确操作方法，无论是使用手工试探还是安全测试工具，攻击者总是使用各种手段从你的防火墙内部与外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。

　　无论是使用手工试探还是使用安全测试工具，恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。

　　黑客攻破SQL服务器系统的方法1.通过互联网直接连接

　　这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是，我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且，这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。

　　黑客攻破SQL服务器系统的方法2.安全漏洞扫描

　　安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现，并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间，我建议使用商业性的安全漏洞评估工具，如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用，提供了最广泛的评估，并且可以提供最佳的结果。

　　黑客攻破SQL服务器系统的方法　

　　图1:使用WebInspect发现的普通SQL注入安全漏洞。

　　黑客攻破SQL服务器系统的方法3.列举SQL服务器解析服务

　　在UDP端口1434上运行，这能让你发现隐蔽的数据库实例和更深入地探查这个系统。Chip Andrews的“SQLPing v 2.5”是一个极好的工具，可用来查看SQL服务器系统并且确定版本编号。你的数据库实例即使不监听这个默认的端口，这个工具软件也能发挥作用。此外，当过分长的SQL服务器请求发送到UDP端口1434的广播地址的时候，会出现缓存溢出问题。

　　黑客攻破SQL服务器系统的方法4.破解SA口令

　　攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是，在许多情况下不需要破解口令，因为没有分配口令。因此，可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。

qq3250845

....................

qq3250845

.............................

qq3250845

【综合消息】分布式拒绝服务(DDoS)攻击——是现在互联网服务提供商（ISP）、主机托管服务提供商和企业数据中心运营商都面临的一个共同问题。它对网络和应用的可用性构成重大威胁。近年来，由于黑客团体发现了将僵尸军团转化为经济利益的新商业模式，这类攻击的强度和复杂度显著增加。而且这一趋势没有任何减弱的迹象。因此数据中心运营商和网络提供商需要一种有效的、具有性价比且管理更方便的防御措施。

　　另一方面，传统网络安全重心也在近几年发生很大偏移，由原来的网络安全为中心到如今以数据安全为中心的变化，网络基础架构的安全已经不再是难点，我们可以通过眼下大的IT趋势所带来的变革推测出，现在以及未来几年内的信息安全，会因为云和移动化的迅速发展让信息安全在目前的形势下变的更加不可控。

　　针对中小企业或是个人用户，各类基于云的应用的增多、移动化趋势的无处不在都是未来信息安全所要面临的严峻考验。而针对大型企业或是数据中心级的安全则是围绕着云产生了一系列的变化，这就需要一套完整的移动安全解决方案，能够基于应用层清楚识别使用主体，准确识别用户身份。

　　云信令具有更快地预防DDoS攻击的自动化方式的功能，云信令功能是企业数据中心和服务提供商云连接的高效集成方式。云信令功能使内部Pravail APS设备与基于云的Peakflow SP解决方案相连接。云信令功能的核心是Arbor Networks的Peakflow SP和Pravail 可用性保护系统(APS)解决方案。

　　作为第一个集超大网络及智能和运营商级威胁管理于一身的系统，Peakflow SP能够在不中断合法流量的情况下识别和阻断网络及应用层攻击，提供应用层攻击检测、手术式缓解和报告功能；通过创建持续不断检测的网络行为模型来加强基线保护，此类信息可用于识别异常流量，并阻挡其在攻击发生时进入网络；通过使用专门的、持续不断监测的将是检测机制来控制将是军团，此类极致确保受到入侵的源主机不攻击关键业务基础架构，防御应用层DDoS攻击。

　　另外，Arbor的主动威胁级别分析系统（ATLAS）可以预警最新僵尸网络和应用层DDoS攻击的行为特征代码。通过监测并阻止各种僵尸网络和应用层DDoS攻击，基于应用层识别抵御DDoS攻击。

qq3250845

　一、什么是ICMP协议？

　　ICMP全称Internet Control Message Protocol（网际控制信息协议）。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

　　二、ICMP报文格式

　　ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文（见图表，ICMP报文的结构和几种常见的ICMP报文格式），IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式，此外还有一个代码（Code）域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下：

　　类型代码 类型描述

　　0 响应应答（ECHO-REPLY）
　　3 不可到达
　　4 源抑制
　　5 重定向
　　8 响应请求（ECHO-REQUEST）
　　11 超时
　　12 参数失灵
　　13 时间戳请求
　　14 时间戳应答
　　15 信息请求（*已作废）
　　16 信息应答（*已作废）
　　17 地址掩码请求
　　18 地址掩码应答

　　其中代码为15、16的信息报文已经作废。

　　下面是几种常见的ICMP报文：

　　1.响应请求

　　我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。

　　2.目标不可到达、源抑制和超时报文

　　这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。

　　3.时间戳

　　时间戳请求报文（Type=13）和时间戳应答报文（Type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。

　　三、回到正题：这样的攻击有效吗？

　　在前面讲过了，ping使用的是ECHO应答，不知道大家注意过没有，ping的返回很慢，用NetXRAY抓包仅为1--5包/秒，这是为什么呢？事实上，ICMP本身并不慢（由于ICMP是SOCK_RAW产生的原始报文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎10倍！），这样的速度是ping程序故意延迟的（为什么？M$可不想每个人都能用ping来干坏事），同样，我测试过一些号称“ping洪水”的程序，发现它们的效率和ping.exe没什么两样，经过Dependency Walker查看程序调用的函数发现，他们用的是icmp.dll提供的IcmpSendEcho这个API，这个函数是计算ECHO时间的，速度当然慢！而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击，但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧！就用ping.exe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么？还不是让人家看笑话！这种攻击根本就是浪费自己的时间！（如今还经常有人问ping -l 65500 -t的攻击威力如何……哎，悲哀啊悲哀……）

qq3250845

浅谈WEB服务器被CC攻击的症状以及防护