拒绝服务攻击

第1章引言1

1.1计算机网络的迅猛发展1

1.2网络安全问题日渐突出3

1.3网络安全重要性5

1.4网络为什么不安全5

1.4.1漏洞产生的原因6

1.4.2漏洞多的原因7

1.4.3补丁不是万能的7

1.5拒绝服务攻击问题的严重性10

1.6本书的主要内容及组织15

参考文献16

第2章TCP/IP协议19

2.1网络协议及网络的层次结构19

2.2ISO/OSI参考模型23

2.3TCP/IP参考模型及TCP/IP协议族26

2.3.1TCP/IP参考模型26

2.3.2TCP/IP协议族27

2.3.3OSI参考模型与TCP/IP参考模型对比30

2.4IP协议31

2.4.1IP提供的服务31

2.4.2IP头32

2.5TCP、UDP、ICMP协议34

2.5.1TCP协议34

2.5.2UDP协议37

2.5.3ICMP协议38

2.6TCP/IP协议族的安全缺陷41

2.6.1IP缺陷42

2.6.2ARP、RARP缺陷43

2.6.3TCP序列号预测44

2.6.4路由滥用49

2.7IP欺骗53

小结55

参考文献55

第3章拒绝服务攻击原理57

3.1什么是拒绝服务攻击57

3.2拒绝服务攻击的动机61

3.3拒绝服务攻击的分类65

3.3.1拒绝服务攻击的属性分类法67

3.3.2拒绝服务攻击的舞厅分类法72

3.4DDoS攻击的典型过程77

3.4.1获取目标信息78

3.4.2占领傀儡机和控制台85

3.4.3实施攻击86

小结86

参考文献86

第4章典型的拒绝服务攻击89

4.1剧毒包型DoS攻击90

4.1.1WinNuke攻击90

4.1.2碎片（Teardrop）攻击93

4.1.3Land攻击1044.1.4Pingofdeath攻击108

4.1.5循环攻击112

4.2风暴型DoS攻击113

4.2.1与风暴型攻击相关的Internet的缺陷115

4.2.2直接风暴型攻击116

4.2.3反射攻击122

小结135

参考文献135

第5章DoS工具与傀儡网络138

5.1DoS工具分析138

5.1.1Trinoo139

5.1.2TFN143

5.1.3Stacheldraht145

5.1.4Shaft149

5.1.5TFN2K152

5.1.6Trinity153

5.1.7Mstream153

5.1.8Jolt2155

5.1.9Agobot161

5.1.10DDoS攻击者161

5.2傀儡网络164

5.2.1什么是傀儡网络164

5.2.2傀儡网络的危害169

5.2.3傀儡网络的工作原理171

5.2.4以傀儡网络为平台的一些攻击实现174

5.3拒绝服务攻击的发展趋势177

5.3.1攻击程序的安装177

5.3.2攻击程序的利用178

5.3.3攻击的影响179

小结180

参考文献180

第6章蠕虫攻击及其对策184

6.1蠕虫的历史和研究现状184

6.1.1蠕虫的历史184

6.1.2目前研究概况189

6.2蠕虫的功能结构190

6.2.1蠕虫的定义190

6.2.2蠕虫与病毒的区别190

6.2.3网络蠕虫的功能结构192

6.3蠕虫的常见传播策略194

6.4蠕虫的常见传播模型196

6.4.1简单传播模型197

6.4.2Kermack-Mckendrick模型198

6.4.3SIS模型199

6.4.4双因子模型199

6.4.5BCM模型　　网络蠕虫对抗模型200

6.5蠕虫的攻击手段204

6.5.1缓冲区溢出攻击204

6.5.2格式化字符串攻击211

6.5.3拒绝服务攻击2166.5.4弱口令攻击216

6.5.5默认设置脆弱性攻击216

6.5.6社交工程攻击217

6.6蠕虫的检测与防范217

6.6.1基于单机的蠕虫检测217

6.6.2基于网络的蠕虫检测221

6.6.3其他223

小结230

参考文献230

第7章拒绝服务攻击的防御234

7.1拒绝服务攻击的终端防御235

7.1.1增强容忍性235

7.1.2提高主机系统或网络安全性238

7.1.3入口过滤241

7.1.4基于追踪的过滤243

7.1.5基于跳数的过滤249

7.2拒绝服务攻击的源端防御254

7.2.1出口过滤255

7.2.2D-WARD258

7.2.3COSSACK261

7.3拒绝服务攻击的中端防御262

7.4傀儡网络与傀儡程序的检测与控制263

7.4.1傀儡网络的发现264

7.4.2傀儡网络的控制267

7.4.3防止傀儡程序的植入269

7.4.4以工具检测与清除傀儡程序270

7.4.5傀儡程序的手工清除274

小结277

参考文献277

第8章拒绝服务攻击的检测281

8.1主机异常现象检测283

8.2主机网络连接特征检测285

8.3伪造数据包的检测285

8.3.1基于主机的主动检测285

8.3.2基于主机的被动检测288

8.4统计检测290

8.5SYN风暴检测290

小结294

参考文献294

第9章拒绝服务攻击的追踪295

9.1拒绝服务攻击的追踪问题296

9.1.1网络追踪的定义296

9.1.2网络追踪（NetworkTraceBack）与攻击追咎（AttackAttribute）296

9.1.3拒绝服务攻击追踪的重要性297

9.2包标记297

9.3日志记录298

9.4连接测试300

9.5ICMP追踪（iTrace）301

9.6覆盖网络（Centertrack）302

小结305参考文献305

第10章基于包标记的追踪308

10.1基本包标记308

10.2基本包标记的分析314

10.2.1误报和计算复杂性314

10.2.2不公平概率以及最弱链315

10.2.3短路径伪造316

10.2.4按比特穿插317

10.2.5攻击者对基本包标记的干扰“攻击”320

10.3高级包标记和带认证的包标记321

10.4基于代数编码的包标记323

10.5基本包标记的进一步改进326

小结328

参考文献328

第11章基于路由器编码的自适应包标记330

11.1自适应包标记330

11.1.1固定概率标记的分析331

11.1.2自适应标记332

11.1.3固定概率标记与自适应标记的比较338

11.2路由器的编码346

11.2.1编码方案Ⅰ346

11.2.2编码方案Ⅱ347

11.2.3编码方案Ⅲ347

11.3基于路由器编码的标记348

11.4几种包标记的比较355

11.4.1重构攻击路径所需数据包的数量355

11.4.2误报数357

11.4.3路径重构时的工作量360

11.4.4路由器标记数据包时的工作量360

11.4.6可移植性361

11.5相关问题362

11.5.1拓扑信息服务器362

11.5.2攻击树的修剪363

11.5.3追踪的部署与实施365

小结367

参考文献368

第12章应对拒绝服务攻击的商业化产品370

12.1黑洞370

12.2天清防拒绝服务攻击系统371

12.2.1算法和体系结构特点372

12.2.2使用特点373

12.2.3管理功能373

12.3冰盾抗DDOS防火墙374

12.3.1冰盾防火墙采用的安全机制374

12.3.2冰盾防火墙的功能特点375

12.4MazuEnforcer376

12.5TopLayer377

小结378

参考文献378

附录A一些拒绝服务相关网络资源379