信息安全与保密技术研究论文.doc

《信息安全与保密技术研究论文.doc》由会员分享，可在线阅读，更多相关《信息安全与保密技术研究论文.doc（21页珍藏版）》请在沃文网上搜索。

1、信息安全与保密技术研究信息安全与保密技术研究前言近年来，随着信息化的发展，世界各国的政治安全和经济安全越来越依赖网络和信息的安全运行。信息安全问题日益突出，成为世界各国日益关注的共同问题。特别是在中国，在一个有13亿人口的社会主义大国，在工业化水平还很低，在信息安全核心技术和关键产品主要依赖于进口，受制于人的情况下，推进信息化，信息安全显得尤为重要，成为关系国家安全的重大问题。 信息化是新生事物，信息安全更是发展过程中的新课题。我们对信息化的发展规律和趋势，对信息化可能对社会带来的影响和冲击还认识不足，无论在思想观念上、在行为方式上，还是在法律上、组织上、管理上，都还有许多与信息化发展不相适应

2、的地方。进一步加深对信息化的本质和规律的认识，主动地适应信息化发展的要求，积极地解决发展中可能出现的这样或那样的矛盾，处理好维护国家信息安全和促进信息化发展的关系，是我们面临的一个重大历史课题。目录一、信息安全与保密技术的重要性4二、影响信息系统安全的各种因素分析4三、信息系统主要安全防范策略6四、信息系统安全管理9五、信息安全保密的基本技术101、防病毒技术102、防火墙技术113、密码技术11六、防火墙技术的原理、作用及应用实例121、防火墙技术的原理122、防火墙的作用：133、防火墙应用实例13七、信息安全评估17摘要 本文首先对影响信息安全的各种因素进行了进行了分析，然后提出相应的安

3、全策略和安全管理办法，在安全保密基本技术方面，分析了防病毒技术、防火墙技术和加密技术等几种主要的安全保密技术，并结合工作实际，重点叙述了其中的防火墙技术如何防范攻击实例。最后提供了信息系统的安全性能评估中的评估模型、评估准则和评估方式关键词信息安全 保密技术 安全策略 安全管理 安全技术 防病毒技术 防火墙技术 加密技术 安全性能评估 评估模型 评估准则一、信息安全与保密技术的重要性近年来，世界各国相继提出自己的信息高速公路计划国家信息基础设施NII(National Information Infrastructure)，同时，建立全球的信息基础设施GII(Global Informatio

4、n Infrastructure)也已被提上了议事日程。信息技术革命不仅给人们带来工作和生活上的方便，同时也使人们处于一个更易受到侵犯和攻击的境地。安全问题是伴随人类社会进步和发展而日显其重要性的。例如，个人隐私的保密性就是在信息技术中使人们面对的最困难的问题之一。在“全球一村”的网络化时代，传统的物理安全技术和措施不再足以充分保证信息系统的安全了。政府和商业机构依赖于信息应用来管理他们的商业活动。缺乏信息和服务的机密性，完整性，可用性，责任性，真实性和可靠性会对组织产生不利影响。结果，在政府和商业机构组织内部急切需要信息保护和信息安全技术管理，在当前环境里面，这种保护信息的需要尤其重要，因为

5、许多政府和商业机构组织靠IT系统的网络连接在一起。二、影响信息系统安全的各种因素分析信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。 保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人。 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改。 可用性就是保证信息及信息系统确实为授权使用者所用。 可控性就是对信息及信息系统实施安全监控。做好信息系统的安全工作是我们面临的新课题，影响信息系统安全的有以下因素。 1、电磁波辐射泄漏一类传导发射，通过电源线和信号线辐射另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。计算是靠高频脉冲电路工作的

6、，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，犯罪分子只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。这类电磁辐射大致又分为两类：第一类是从计算机的运算控制和外部设备等部分辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其所截信息解读起来比较复杂。第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在65兆赫以下。对这种电磁波，在有效距离内，可用普通电视

7、机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，现在已成为国外情报部门的一项常用窃密技术，并已达到很高水平。 2信息系统网络化造成的泄密由于计算机网络结构中的数据是共享的，主机与用户之间、用户与用户之间通过线路联络，就存在许多泄密漏洞。（1）计算机联网后，传输线路大多由载波线路和微波线路组成，这就使计算机泄密的渠道和范围大大增加。网络越大，线路通道分支就越多，输送信息的区域也越广，截取所送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。（2）黑客通过利用网络安全中存在的问题进行网络攻击，进入联网的信息系统进行窃密。（

8、3）INTERNET造成的泄密在INTERNET上发布信息把关不严；INTERNET用户在BBS、网络新闻组上网谈论国家秘密事项等；使用INTERNET传送国家秘密信息造成国家秘密被窃取；内部网络连接INTERNET遭受窃密者从INTERNET攻击进行窃密；处理涉密信息的计算机系统没有与INTERNET进行物理隔离，使系统受到国内外黑客的攻击；间谍组织通过INTERNET搜集、分析、统计国家秘密信息。（4）在INTERNET上，利用特洛尹木马技术，对网络进行控制，如B、。（5）网络管理者安全保密意识不强，造成网络管理的漏洞。 3、计算机媒体泄密越来越多的秘密数据和档案资料被存贮在计算机里，大量

9、的秘密文件和资料变为磁性介质和光学介质，存贮在无保护的介质里，媒体的泄密隐患相当大。 （1）用过程的疏忽和不懂技术。存贮在媒体中的秘密信息在联网交换被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密。（2）大量使同磁盘、磁带、光盘等外存贮器很容易被复制。（3）处理废旧磁盘时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息。这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其它人使用。（4）计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密

10、。（5）媒体管理不规范。秘密信息和非秘密信息放在同一媒体上，明密不分，磁盘不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密。（6）媒体失窃。存有秘密信息的磁盘等媒体被盗，就会造成大量的国家秘密外泄其危害程度将是难以估量的。各种存贮设备存贮量大，丢失后造成后果非常严重。（7）设备在更新换代时没有进行技术处理。 4内部工作人员泄密（1）无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。又如由于不知道计算机软盘上剩磁可以提取还原，将曾经存贮过秘密信息的软盘交流出去或废旧不作技术处理而丢掉，因而造成泄密。不知道上INTERNET网时，会

11、造成存在本地机上的数据和文件会被黑客窃走。网络管理者没有高安全知识。（2）违反规章制度泄密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。又如由于计算机媒体存贮的内容因而思想麻痹，疏于管理，造成媒体的丢失。违反规定把用于处理秘密信息的计算机，同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。（3）故意泄密。外国情报机关常常采用金钱收买、色情勾引和策反别国的计算机工作人员。窃取信息系统的秘密。如程序员和系统管理员被策反，就可以得知计算机系统软件保密措施，获得使用计算机的口令或密钥，从而打入计算机网络，窃取信息系统、数据库内的重要秘密；操

12、作员被收买，就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱，就可对用进入计算机或接近计算机终端的机会，更改程序，装置窃听器等。三、信息系统主要安全防范策略针对以上各种影响信息系统安全的各种因素，有以下主要安全防范策略1物理措施物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前的主要防护措施有两类：其一是对传导发

13、射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；其二是对辐射的防护，由于设备中的计算机处理机、显示器有较强的电磁辐射，如不采用屏蔽或干扰，就会使秘密通过电磁辐射而造成泄露，根据保密等级，可采用在全室或关键设备局部使用电磁屏蔽房，选用低辐射设备或者使用相关干扰的电磁辐射干扰器，使得难以从被截获的辐射信号中分析出有效信号。（1）使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施，这些设备在设计和生产时，已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施，把设备的信息辐射抑制到最低限度。（2）屏蔽。根据辐射量的大小和客观环境，对计算机

14、机房或主机内部件加以屏蔽，检测合格后，再开机工作。将计算机和辅助设备用金周屏蔽笼（法拉第笼）封闭起来，并将全局屏蔽笼接地，能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的，可将计算机辐射信号的区域控制起来，不许外部人员接近。 （3）干扰。根据电子对抗原理，采用一定的技术措施，利用干扰器产生噪声与计算机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行干扰，增加接收还原解读的难度，保护计算机辐射的秘密信息。主要防护低密级的信息。日前，国家保密标准电磁干扰器技术要求和测试方法已经制定完成，不久将发布。分为两个等级：一级适用于保护处理机密级以下信息的计算机，二级用于保护处理内部敏感信息

15、的计算机和自然警戒距离大干100米处理秘密级信息的计算机。主要的性能测试指标：辐射发射特性测试（发射强度和对设备的影响）、传导发射（抑制、干扰）测试、视频信息还原测试、方向性测试、声光报警测试、重复性测试。 2环境保密措施系统中的物理安全保密是指系统的环境、计算机房、数据工作区、处理区、数据存贮区、介质存放的安全保密措施，以确保系统在对信息的收集、存贮、传递、处理和使用过程中，秘密不至泄露。计算机房应选不在现代交通工具繁忙和人多拥挤的闹市、远离使馆或其它外国驻华机构的所在地，要便于警卫和巡逻，计算机房房最好设置在电梯或楼梯不能直接进入的场所、应与外部人员频繁出入的场所隔离，机房周围应在有围墙或

16、栅栏等防止非法进入的设施，建筑物周围应有足够照明度的照明设施，以防夜间非法侵入，外部容易接近的窗口应采取防范措施，如使用钢化玻璃、铁窗等，无人值守的地方应报警设备，机房内部设计应有利于出入控制和分区控制，计算中心机要部门的外部不应设置标明系统及有关设备所在位置的标志。 3访问控制技术访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。（1）入网访问控制 它控制哪些用户能够登录到服务器并获取网络资源，同时也控制准许用户入网的时间和准许他们从哪台工作站入网。用户入网访问控制通常分为

17、三步：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之于网络之外。用户口令是用户入网的关键所在，必须经过加密。，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密、基于测试模式的口令加密、基于公钥加密方案的口令加密、基于平方剩余的口令加密、基于多项式共享的口令加密以及基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员

18、也难以破解它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。 （2）网络的权限控制 网络权限控制是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源以及用户可以执行的操作。（3）客户端安全防护策略 首先，应该切断病毒的传播途径，尽可能地降低感染病毒的风险；其次，用户最好不要随便使用来路不明的程序。 4安全的信息传输网络本身就不是一种安全的信息传输通道。网络上的任何信息都是经重重中介网站分段传送至目的地的。由于网络信息的传输并

19、无固定路径，而是取决于网络的流量状况，且通过哪些中介网站亦难以查证，因此，任何中介站点均可能拦截、读取，甚至破坏和篡改封包的信息。所以应该利用加密技术确保安全的信息传输。 5网络服务器安全策略 网络服务器的设立与状态的设定相当复杂，而一台配置错误的服务器将对网络安全造成极大的威胁。例如，当系统管理员配置网络服务器时，若只考虑高层使用者的特权与方便，而忽略整个系统的安全需要，将造成难以弥补的安全漏洞。 6.操作系统及网络软件安全策略大多数公司高度依赖防火墙作为网络安全的一道防线。防火墙通常设置于某一台作为网间连接器的服务器上，由许多程序组成，主要是用来保护私有网络系统不受外来者的威胁。一般而言，

20、操作系统堪称是任何应用的基础，最常见的WindowsNT或Unix即使通过防火墙与安全传输协议也难以保证100的安全。四、信息系统安全管理 在信息系统安全中，除了采用上述技术措施之外，加强信息系统的安全管理制定有关规章制度，对于确保网络的安全、可靠运行，将起到十分有效的作用。信息系统安全管理包括确定安全管理等级和安全管理范围、制订有关网络操作使用规程和人员出入机房管理制度和制定网络系统的维护制度和应急措施等。五、信息安全保密的基本技术1、防病毒技术近几年，病毒特别是网络蠕虫病毒更是突飞猛进，大出风头：1999年3月，暴发了“美丽杀”网络蠕虫宏病毒，欧美一些大的网站频频遭受堵塞，造成巨大经济损失

21、；2000年至今，是网络蠕虫开始大闹互联网的发展期，从“红色代码”和“尼姆达”，再到“冲击波”，至今仍令我们记忆犹新的“震荡波”病毒，和正在流行的“狙击波”短短时间迅速造成上百万台机器的瘫痪和死机随着目前形势的发展，蠕虫病毒越来越厉害，既可以感染可执行文件，通过电子邮件、局域网、聊天软件甚至浏览网页等多种途径进行传播，还兼有黑客后门功能，如进行密码猜测、实施远程控制，以及终止反病毒软件和防火墙的运行。此外，蠕虫病毒的欺骗性也很强，常利用邮件、QQ、手机、信使服务和BBS等通讯方式发送含有病毒的网址，以各种吸引人的话题和内容诱骗用户上当，有时候真让人防不胜防。为什么蠕虫病毒会成为病毒界的新宠，并

22、迅速成为病毒舞台的主角？专家认为，这与它的传播方式有着极大的关系。蠕虫病毒的传播通常不需要人为的激活，蠕虫程序常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中。或是通过邮件进行传播，并在被感染的主机上安装后门程序，并对网站发动拒绝服务攻击（DDoS）。蠕虫病毒主要是通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。一但蠕虫病毒进入一台电脑，就会迅速地吞噬大量的内存和大量的带宽，从而造成机器停止响应。信息安全问题，正

23、朝着混合威胁方向发展，而蠕虫正好代表这种趋势，并且它还在飞速地发展。所以，与蠕虫病毒的斗争将是一场比其他信息安全问题更加艰苦而漫长的斗争。基本上，防毒解决方案的做法有5种：信息服务器端、文件服务器端、客户端防毒软件、防毒网关以及网站上的在线扫毒软件。2、防火墙技术“防火墙”是一种形象的说法,它实际上是计算机硬件和软件的组合,在网络网关服务器上运作，在内部网与公共网络之间建立起一个安全网关(security gateway),保护私有网络资源免遭其他网络使用者的擅用或侵入。通常，防火墙与路由软件一起工作，负责分析、过滤经过此网关的数据封包，决定是否将它们转送到目的地。防火墙通常安装在单独的计算机

24、上，并与网络的其余部份分隔开，使访问者无法直接存取内部网络的资源。在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准；基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降；如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。3、密码技术采用密码技术对信息加密，是有效的安全保护手段。目前广泛应用的加密技术主要分为两类：（1）对称算法加密其主要特点是加解密双方在加解密过程中要使用完全相同的密码，对称算

25、法中最常用的是DES算法。对称算法的主要问题是由于加解密双方要使用相同的密码，在发送接收数据之前，就必须完成密钥的分发。因此，密钥的分发成为该加密体系中最薄弱的环节。各种基本手段均很难完成这一过程。同时，这一点也使密码更新的周期加长，给其他人破译密码提供了机会。（2）非对称算法加密与公钥体系保护信息传递的机密性，是密码学的主要方面之一，对信息发送人的身份验证与保障数据的完整性是现代密码学的另一重点。公开密钥密码体制对这两方面的问题都给出了出色的解答。在公钥体制中，加密密钥不同于解密密钥，加密密钥公之于众，谁都可以使用；解密密钥只有解密人自己知道。它们分别称为公开密钥(Public key)和私

26、有密钥(Private key)。在所有公钥密码体系中，RSA系统是最著名且使用最多的一种。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用公共密钥加密后发给该用户，信息一旦加密，只有该用户的私有密钥才能解密。使用公共密钥系统可以完成对电文的数字签名，以防止对电文的否认与抵赖，同时还可以利用数字签名来发现攻击者对电文的非法篡改，以保护数据信息的完整性。上述两种方法可以结合使用，从而生成数字签名。其他密码应用还包括数字时间戳、数字水印和数字证书等。一个电子签名就等于一个在纸上的真实的签名，是一个与信息相关联的数字，当信息的内容发生改变时，签名将不再匹配；只有知道私钥的人才能生成数

27、字签名，它被用来确定一个信息或数据包是由所要求的发送者处而来的 六、防火墙技术的原理、作用及应用实例1、防火墙技术的原理我们认为，基于密码术的安全机制不能完全解决网络中的安全问题的一个主要原因在于，尽管密码算法的安全强度是很强的，但当前的软件技术不足以证明任一个软件恰好实现的是该软件的规格说明所需要的功能。由于象操作系统这种核心的系统软件的正确性也不能形式地证明，因此不能保证任何重要的软件中没有安全漏洞。事实告诉我们，那些被黑客们发现的系统软件中的安全漏洞恰好成了他们使用的攻击点。基于网络技术本身的网络安全机制方面，主要是防火墙技术。防火墙是我们在网络安全环节中进行的一个防御步骤。在网络内进行

28、防火墙的设置，并不能保证我们的网络就绝对安全了，但是设置得当的防火墙至少会使我们的网络更为坚固一些，并且能提供更多的攻击信息供我们分析。所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡（block）某个连接时，它会将目标端口“记录在案”（logfile）。端口可分为3大类：1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。2） 注册端口（Registered Po

29、rts）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。 2、防火墙的作用：1)包过滤 具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行

30、或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。 2)包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 ServerFireWallGuest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。 3)阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将

31、其阻断，避免其进入防火墙之后的服务器中。目前网络安全的现状，互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们 4)记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的。 3、防火墙应用实例1)利用防火墙规则ACLs (Access Control Lists)阻挡DDoS攻击实例DoS阻断服务(Denial of Service)DoS泛指黑客试图妨碍正常使用者使用网络上的服务，由于频宽、网络设备和服务器主机等处理的能力都有其限制，因此当黑客产生过量的网络封包使得设备处理不及，即可让正常的使用者无法正常使用该服务。例如黑客试图用大量封包攻击使用者

32、，则受害者就会发现他要连的网站连不上或是反应十分缓慢。 DoS 攻击并非入侵主机也不能窃取机器上的资料，但是一样会造成攻击目标的伤害，如果攻击目标是个电子商务网站就会造成顾客无法到该网站购物。 DDoS分布式阻断服务(Distributed Denial of Service)则是 DoS 的特例，黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后，在被害主机上安装 DDoS 攻击程控被害主机对攻击目标展开攻击；有些 DDoS 工具采用多层次的架构，甚至可以一次控制高达上千台电脑展开攻击，利用这样的方式可以有效产生极大的网络流量以瘫痪攻击目标。早在2000年就

33、发生过针对Yahoo, eBay, B 和 CNN 等知名网站的DDoS攻击，阻止了合法的网络流量长达数个小时。有一用户小区多台主机因未更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、而被黑客和自动化的DDoS 程序植入攻击程序，成为黑客攻击的帮凶.用户内网地址为192.168.1.1/24,抓包却有如下信息 IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62896 s = 125.154.156.33, d

34、= 201.230.96.125, if = Ethernet1, ReceivedpIP: s = 125.154.156.33, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardingaIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 127, Protocol = 6, Chksum = 62896 s = 125.154.156.33, d = 201.230.96.125, if = Ethernet0, Sendi

35、ng14C IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62895 s = 125.154.156.34, d = 201.230.96.125, if = Ethernet1, ReceivedIP: s = 125.154.156.34, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardinguIP: Version = 4, HdrLen = 5, TOS =

36、 0, Total Len = 40 ID = 256, Offset = 0, TTL = 127, Protocol = 6, Chksum = 62895 s = 125.154.156.34, d = 201.230.96.125, if = Ethernet0, SendingnIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62894 s = 125.154.156.35, d = 201.230.96.125,

37、if = Ethernet1, ReceiveddIP: s = 125.154.156.35, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardingoIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 127, Protocol = 6, Chksum = 62894 s = 125.154.156.35, d = 201.230.96.125, if = Ethernet0, Sending IP: Version = 4

38、, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62893 s = 125.154.156.36, d = 201.230.96.125, if = Ethernet1, ReceiveddIP: s = 125.154.156.36, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardingeIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 I

39、D = 256, Offset = 0, TTL = 127, Protocol = 6, Chksum = 62893 s = 125.154.156.36, d = 201.230.96.125, if = Ethernet0, SendingbIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62892 s = 125.154.156.37, d = 201.230.96.125, if = Ethernet1, Rece

40、ived IP: s = 125.154.156.37, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardingiIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 127, Protocol = 6, Chksum = 62892 s = 125.154.156.37, d = 201.230.96.125, if = Ethernet0, SendingpIP: Version = 4, HdrLen = 5, TOS =

41、0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62891 s = 125.154.156.38, d = 201.230.96.125, if = Ethernet1, Received IP: s = 125.154.156.38, d = 201.230.96.125, len = 40, if = Ethernet0, ForwardingpIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0,

42、 TTL = 127, Protocol = 6, Chksum = 62891 s = 125.154.156.38, d = 201.230.96.125, if = Ethernet0, SendingaIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 40 ID = 256, Offset = 0, TTL = 128, Protocol = 6, Chksum = 62890 s = 125.154.156.39, d = 201.230.96.125, if = Ethernet1, Received显然这些 DDoS 还伪装攻击来

43、源，假造封包的来源ip，使人难以追查，由于多台主机发起 DDoS 持续攻击因此会瞬间产生大量流量,网络设备如边缘路由器不堪负荷，时断时续。我们利用路由器添加的以下防火墙规则ACLs阻挡到201.230.96.125的攻击rule normal deny tcp source any destination 201.230.96.125 255.255.255.255随后边缘路由器运行正常，大量异常流量被阻止。2)利用路由器的防火墙规则ACLs (Access Control Lists)阻挡扫描攻击实例有一用户小区有台主机被植入蠕虫病毒攻击程序，用户内网地址为192.168.1.1/24,抓包

44、却有如下信息IP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 92 ID = 42983, Offset = 0, TTL = 128, Protocol = 1, Chksum = 28395 s = 192.168.1.127, d = 192.168.160.254, if = Ethernet1, ReceivedIP: s = 192.168.1.127, d = 192.168.160.254, len = 92, if = Ethernet0, ForwardingIP: Version = 4, HdrLen = 5, TOS

45、= 0, Total Len = 92 ID = 42983, Offset = 0, TTL = 127, Protocol = 1, Chksum = 34000 s = 219.138.208.183, d = 192.168.160.254, if = Ethernet0, SendingIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 92 ID = 42984, Offset = 0, TTL = 128, Protocol = 1, Chksum = 28393 s = 192.168.1.127, d = 192.168.160

46、.255, if = Ethernet1, ReceivedIP: s = 192.168.1.127, d = 192.168.160.255, len = 92, if = Ethernet0, ForwardingIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 92 ID = 42984, Offset = 0, TTL = 127, Protocol = 1, Chksum = 33998 s = 219.138.208.183, d = 192.168.160.255, if = Ethernet0, SendingIP: Version = 4, HdrLen = 5, TOS = 0, Total Len = 92 ID = 42985, Offset = 0, TTL = 128, Protocol = 1, Chksum = 28391 s = 192.168.1.127, d = 192.168.161.0, if = Ethernet1, ReceivedIP: s = 192.168.1.127, d = 192.168.161.0, len = 92, if = Ethernet0, ForwardingIP: Version =