优创月刊

《安全月刊》2006年第三期总第二十一期出刊：2006年3月27日

本期导读：
	\|-优创动态
	\|-新品介绍——防DDOS攻击Radware DefensePro
	\|-安全咨讯——解析针对个人用户的DDoS自杀式攻击
	\|-病毒警报
	\|-用户天地——关于在windows系统中使用安全策略与东软防火墙中使用包过滤规则的比较及运用
	\|-工程师解疑空间——如何设置NETEYE防火墙与IDS联动？
	\|-谭博士专栏——黑客如何实现网络过载攻击深度解析

南京优创科技有限公司客户服务中心

服务电话：025-84808848

服务传真：025-84827970

服务邮箱：service@ultratech.com.cn

优创动态

热烈庆祝我司中标江苏省农村信用社联合社防病毒软件系统集成项目

热烈庆祝东软品牌中标苏州审计局防火墙项目

<<<< 回到本期导读

新品介绍

防DDOS攻击——Radware DefensePro

简介：
    各个机构所倚重的网络化业务应用正面临越来越多的攻击威胁，因而可能导致重大的财务损失。根据 CSI/FBI 对《财富》杂志评出的前1000位公司的调查，在2002年，因为蠕虫、病毒和 DoS 攻击，每个机构的平均损失高达170万美元。为了成功应对呈爆炸性增长而且后果日趋严重的应用级别攻击，各个机构必须重新审视自己的安全策略。
   来自各方面的挑战包括：
    1.     对分布式应用的依赖性不断增强
     2. 网络化应用容易受到攻击
   3. 呈爆炸性增长的攻击
     4. 当前的安全工具无法拦截这些攻击
    因此，一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击（比如蠕虫、病毒、木马和Dos 攻击）的内置安全解决方案，无疑已成为当务之急。
    Radware DefensePro 在业内首先提供了以3千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。
DefensePro 的功能和优点
    DefensePro 是3千兆位速度的安全交换平台，它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。
    DefensePro 具有以下性能：
     1. 攻击监测和隔离。
     2. 入侵防范。
     3. 拒绝服务攻击防范。
     4. 流量控制。
     5. 安全更新服务。
     6. 安全性报告。

<<<< 回到本期导读

安全资讯

解析针对个人用户的DDoS自杀式攻击

今年年初，一则名为“8848遭到DDoS攻击，怀疑被百度攻击”的新闻引起了用户的广泛关注。这次事件之所以引人注目，除了当事双方都是互联网中知名的企业以外，“DDoS”这个词的再次出现也极大地吸引了媒体和用户的眼球。今天我们就针对个人用户的DDoS攻击和防御进行一番深入的了解。

什么是DDoS攻击

　　DDoS是英文Distributed Denial of Service的缩写，中文意思是“分布式拒绝服务”。那什么又是拒绝服务呢？用户可以这样理解，凡是能导致合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问。
DDoS攻击主要是通过很多“傀儡主机”向远程计算机发送大量看似合法的数据包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施，攻击数据包就会犹如洪水般涌向远程计算机，从而把合法的数据包淹没，导致合法用户无法正常地访问服务器的网络资源。因此，分布式拒绝服务也被称之为“洪水攻击”。

　　DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即通过大量的攻击包导致主机的内存被耗尽，或是CPU被内核及应用程序占完而造成无法提供网络服务。
DDoS的攻击类型
    DDoS的攻击类型目前主要包括三种方式，即TCP-SYN Flood攻击、UDP Flood攻击以及提交脚本攻击。
    TCP-SYN Flood攻击又称半开式连接攻击，每当我们进行一次标准的TCP连接，都会有一个三次握手的过程，而TCP-SYN Flood在它的实现过程中只有前两个步骤。这样，服务方会在一定时间处于等待接收请求方ASK消息的状态。由于一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，则服务器可用TCP连接队列很快将会阻塞，系统资源和可用带宽急剧下降，无法提供正常的网络服务，从而造成拒绝服务。
    UDP Flood攻击在网络中的应用也是比较广泛的，基于UDP的攻击种类也是比较多的，如目前在互联网上提供网页、邮件等服务的设备一般是使用UNIX操作系统的服务器，它们默认是开放一些有被恶意利用可能的UDP服务。如果恶意攻击者将UDP服务互指，则网络可用带宽会很快耗尽造成拒绝服务。
    提交脚本攻击主要是针对存在ASP、PHP、CGI等脚本程序，并调用MSSQL、MYSQL、ACCESS等数据库的网站系统设计的。首先是和服务器建立正常的TCP连接，并不断地向数据库提交注册、查询、刷新等消耗资源的命令，最终将服务器的资源消耗掉从而导致拒绝服务。
防范DDoS的三条规范
    1.检查并修补系统漏洞

　　及早发现当前系统可能存在的攻击漏洞，及时安装系统的补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2.删除多余的网络服务

　　在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。如果你是一个单机用户，可去掉多余不用的网络协议，完全禁止NetBIOS服务，从而堵上这个危险的“漏洞”。
3. 自己定制防火墙规则

利用网络安全设备（例如：硬件防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包，这种方法适合所有Windows操作系统的用户。以天网个人防火墙为例，新建一条空规则，规定如下：“数据包方向”设置为“接收”，“对方IP地址”设置为“任何”，“协议”设置为“TCP”，“本地端口”设置为“139到139”，“对方端口”设置为“0到0”，在“标志位”中选上“SYN标志”，“动作”选择“拦截”，保存即可。另外，其他危险的端口也可以用该方法进行设置。

<<<< 回到本期导读

病毒警报

本周病毒警报

国家计算机病毒应急处理中心通过对互联网的监测，近期内没有重大病毒疫情发生，还是一些流行时间长，传播范围广和破坏力强的病毒在影响威胁着广大计算机用户，诸如：“网络天空”病毒、“贝革热”病毒和“高波”病毒等。因此，提醒计算机用户还要在相当长的时间里对这些病毒加强重视，了解这些病毒的基本特性，做好防范病毒的工作。
    另外，提醒计算机用户Office办公软件中存在着一个安全漏洞，恶意攻击者可借此控制用户计算机，微软也将该漏洞的安全级别定为“高危”，并且在本周二发布的每月安全升级公告中也包含了该漏洞补丁程序，其名称为“MS06-012: Microsoft Office Excel漏洞补丁”。该补丁程序如果一旦被恶意攻击者利用，那么攻击者就可以通过构建特制的Excel文件来进行远程的恶意代码攻击，使得受攻击的计算机系统处于严重的系统瘫痪状态中。
    因此，建议计算机用户针对自己的计算机系统的情况，及时下载安装该漏洞补丁程序，防止利用该漏洞进行恶意攻击的病毒的入侵和破坏。
专家提醒：
1、有些病毒发作以后，会破坏Windows的一些关键文件，导致无法在Windows下运行杀毒软件进行病毒的清除，所以应该制作一张DOS环境下的杀毒软件，作为应对措施，进行杀毒。
   2、很多病毒都可以通过网络中的共享文件夹进行传播，所以计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行漏洞的修补以及病毒的检测和清除，从而避免病毒大范围传播，造成更严重的危害。
   3、现在，很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。

<<<< 回到本期导读

用户天地

关于在windows系统中使用安全策略与东软防火墙中使用包过滤规则的比较及运用

    随着公司信息化建设的逐渐深化，在公司的内部网络上运行的企业关键应用也越来越多，越来越重要。但随着震荡波，冲击波等网络病毒的泛滥给公司的网络造成了很大的麻烦。
    如果企业有自己的防火墙那么可以通过封锁相关的病毒端口来阻止相关病毒的传播，我们可以通过专业的防火墙和操作系统中的安全策略相结合使用的方法来有效的遏制病毒的传播，现简单介绍这种方法的使用：
    进入控制面板/管理工具，我们会看到”本地安全策略”这个选项，我们双击这个选项，弹出如下窗口：

我们用鼠标右击上图中左边小窗口中的“IP安全策略，在本地机器”，在弹出的菜单上选择“创建安全策略”选项，这个选项有点类似东软防火墙中的“工程”的概念，此时会弹出相应的端口，在窗口中相应的输入框中输入“temp”，双击“temp”选项，在弹出的窗口中单击“添加”按钮，系统中会出现相应的“IP规则筛选器”窗口，在这个窗口中一直点击“下一步”按钮，直到出现下面的窗口：

单击窗口中的“添加”按钮，在新的窗口中编辑新的IP筛选器规则，这时编辑新规则的方法有点类似于配置东软防火墙中的包过滤规则的方法：在相关的选项中输入“源地址”，“目标地址”,“相关的协议类型”。其配置的规则和东软防火墙中的包滤规则类似，当我们编辑完后，把它添加到本地安全策略中，再选择是“许可”还是“禁止”，假设我们想封掉TCP协议中的445端口,我们可以依此填写如下参数：
    源地址   ：任何IP地址
    目的地址：我的IP地址
    协议类型：TCP协议
    源端口   ：从任意端口
    目的端口：445

    填写完成后，按确定按钮，将此规则保存在系统中。这时我会在本地安全策略“temp”中看到这条规则记录，当一切完成后，我们会在图1-1中看到我门所编写的本地策略。如果我们想使这条策略在系统中生效，我们只需用鼠标右击此策略，在弹出的菜单中选择“指派”选项，所编辑的选项就会立即生效。
    我们可以在编辑前，规划好整个公司的安全策略，然后编写相关的IP筛选规则，来实现制定好的安全策略。当我们做完这一切后我们可以将编辑完成的策略文件导出来，分发到公司的每一台计算机上分别导进去，再指派运行。
    当网络上爆发大规模病毒时，公司又没安装网络版的杀毒软件，我们可以使用东软的防火墙切断病毒在公司内网与外网之间的传播路径，再通过这种方法我们切断内网之间病毒传播的途径，此种方法可有效的降低网管人员的工作强度。防止病毒的重复感染。
    但在需要进行文件共享式服务的服务器或用户计算机上则需要视情况来定制端口过滤规则，否则可能导致无法共享文件。
    小知识：
    在Windows NT中SMB（Server Message Block）基于NBT（NetBIOS over TCP/IP）实现。
    而在Windows2000中，SMB除了基于NBT的实现，还有直接通过445端口实现。
    当Win2000（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。
    当Win2000（禁止NBT)作为client来连接SMB服务器时，那么它只会尝试连接445端口，如果无响应，那么连接失败。（注意可能对方是NT4.0服务器。）
    如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。如果 NBT 被禁止, 那么只有445端口开放。

芜湖博耐尔汽车电气系统公司杨静

<<<< 回到本期导读

工程师解疑空间

如何设置NETEYE防火墙与IDS联动？

我们知道，每个企业所涉及的信息都带有一定的保密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对企业的信息安全构成威胁。为保证其网络系统的安全，需要构建一个以防火墙为核心的防护--检测--响应的完整的安全防护体系。通过防火墙、IDS、病毒防护系统、信息审计系统等产品的互通与联动，以实现最大程度和最快效果的安全保证。
注意点：
    在配置防火墙与IDS联动时，IDS探测器必须与防火墙保护服务器同在一个区域；如果在配置环境中使用交换机，则必须将交换机的镜像端口设置为IDS探测器的连接端口。
知识点：
    防火墙与IDS联动：联动即通过一种组合的方式，将不同的技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。
    目前，实现入侵检测系统和防火墙之间的互动一般有两种方式：一种方式是实现紧密结合，即把入侵检测系统嵌入到防火墙中，入侵检测系统的数据来源于流经防火墙的数据流。所有通过的数据包不仅要接受防火墙的控制规则的验证，还要判断是否是有攻击，以达到真正的实时阻断。这样实际上是把两个产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度上，还是合成后的整体性能上，都会受很大的影响。
    第二种方式是通过开放接口来实现互动，即防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。例如，我们东软公司的NETEYE防火墙与IDS就是采用的第二种方式来实现联动的。

下面我们就来了解一下具体的配置步骤：
一、联动防火墙配置
1.1设置本地访问控制规则，允许防火墙接收IDS的联动请求。
如果使用管理口与IDS监控主机通讯，不需要设置本地访问控制规则。
如果使用其它口与IDS监控主机通讯，需要在本地访问控制规则中允许端口为50428的TCP协议的服务。

1.2设置IDS联动配置：
使用菜单中工具->IDS联动配置，打开IDS联动配置窗口，如下图1-1所示：

图 1-1 IDS联动配置窗口

点击左方“添加”按钮，添加允许联动的IDS监控主机, 如图1-2所示：

图1-2 添加IDS主机对话框

输入自定义的IDS标识名，如FIRSTIDS，点击”生成密钥”按钮，如下图1-3所示：
　

图1-3 配置联动IDS属性

点击确定就行了。
二、联动IDS配置
2.1 设置联动防火墙
在菜单管理->系统选项中设置防火墙联动，如下图2-1所示：
　

图2-1 设置防火墙联动选项卡

选中“启用联动功能”，输入防火墙地址，IDS ID及密钥（注意这两项要与图1－3中的相应项保持一致），以及规则有效期限，如下图2－2所示：
　

图2-2　防火墙联动设置

设置完后点击确定就行了，也可以点击测试按钮查看设置是否成功。如下图2－3所示：
　

图2－3　防火墙联动测试提示信息

然后在相应的防火墙上的IDS联动配置窗口，点击相应IDS ID （如FIRSTIDS）查看信息，如下图2－4所示：
　

图2－4　IDS联动信息显示窗口

三、联动规则设置
3.1 联动操作与选项
      针对特定的攻击，联动防火墙可以采取以下操作：
       a). 记录日志只将相应的攻击行为记录到防火墙日志中。
       b). 切断连接　实时切断攻击的连接，此项只对TCP协议有效
       c). 上载规则　加载动态规则来阻断相应的攻击行为。
    另外、每种操作都有相关的动作选项，包括源IP、源IP并目的IP、源IP并目的端口、源IP并目的IP并目的端口、目的IP、目的端口、目的IP并目的端口，用来限制操作的作用范围，如操作为上载规则，动作选项为源IP并目的端口，则将阻止攻击的源IP到任意目的IP的相应目的端口的一切连接。
3.2 设置相关规则
    以主控状态使用IDS管理器，进入策略编辑窗口（菜单　操作－＞策略设置，　再双击相应的策略），如下图3－1所示：
　

图3－1　IDS策略编辑窗口

在想要设置防火墙联动的相应策略（如rsh bin用户登录）的防火墙联运栏下鼠标单击，可以针对此攻击设置相应的防火墙联动操作，如图3-2所示：
　

图3-2 防火墙动作设置

选择相应动作及动作选项后确定即可。
    将所有想要与防火墙联动的攻击都相应设置完后，保存该策略并应用就行了。
总结：
    IDS与防火墙联动设置步骤如下：
    防火墙设置本地访问控制规则（TCP　端口50428），允许IDS监控主机与之通讯

    防火墙设置联动的IDS标识名并生成密钥

    IDS设置联动防火墙

    选择进行联动的攻击的相应规则，IDS在策略中设置防火墙联动动作及选项

    IDS应用相应策略

工程师信箱：service@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。
<<<< 回到本期导读

谭博士专栏

黑客如何实现网络过载攻击深度解析

　　在网络过载攻击中，一个共享的资源或者服务由于需要处理大量的请求，以至于无法满足从其他用户到来的请求。例如一个用户生成了大量的进程，那么其他用户就无法运行自己的进程。如果一个用户使用了大量的磁盘空间，其他用户就无法生成新的文件。有效保护系统免遭过载攻击的办法是划分计算机中的资源，将每个用户的使用量限制在自己的那一份中。另外，还可以让系统自动检查是否过载或者重新启动系统。

1.进程过载的问题

　　最简单的拒绝服务的攻击是进程攻击。在进程攻击中，―个用户可以阻止在同时间内另一个用户使用计算机。进程攻击通常发生在共享的计算机中，如果没有人与自己争夺使用计算机，就没有必要使用这种攻击方法。这种攻击对现在的UNIX系统没有多大效果，因为现在的UNIX系统限制任何UID(除了o)使用的进程数目。这个限制叫做MAXUPROC，当系统构筑时，在内核进行设置，一些系统允许在启动时设置这个值。

　　例如soIarts允许在/etc/system文件中设置这个值。set NAXUP助C;100进行这种攻击的用户消耗的是他自己的进程数目，而不是别人的。一个超级用户可以使用ps命令查看一个进程的子孙数目，使用kill命令来杀死那些无用进程。有时候不能一个又―个地杀死这些进程，因为剩余的进程会生成新的进程。一个好的办法是先用kill命令停止这些进程，然后杀死它们。另外可以同时杀死一组进程。在许多情况下，一个用户生成了许多进程，这些进程是同一组的。要找出进程组，可使用ps命令的选项，然后一次杀死这些进程。

　　在现在的UNIX系统中，一个具有超级用户权限的用户仍旧可以通过使用进程攻击的方法来使系统停机。这是因为对超级用户能使进程数目没有什么限制，但是作为一个超级用户，他还是可以关闭系统，或者执行其他命令，所以这不是一个很重要的问题。除非超级用户正在运行的程序有一个极值，没有人可以得到一个进程，哪怕仅仅是登录。还有其他一些情况可能使系统过载。虽然没使一个用户到达他自己的最大进程数目，但由于太多的用户在使用计算机，系统还是达到了一个可允许的最大进程数。另外一个可能性是系统配置错误，一个用户允许使用的进程树本身已等于或者超出了系统允许的最大进程数目。当系统中有太多的进程时，没有更好的办法来纠正，只有让系统重启。这是因为:用户无法运行ps命令来决定有多少进程需要杀死，因为执行ps命令也需要生成进程。如果网络管理员当前没有登录为超级用户，则也不能使用su或者是10gin命令，因为这两个命令同样要生成新的进程。针对这种情况，可以使用exec% exec /b 2n/su　Pass word:#需要注意的是，不要敲错了口令，因为程序会执行，但执行完毕之后，将自动地退出系统。

　　如果用户遇到了rk于太多进程而造成的系统饱和，重新启动系统。最简单的方法是按机箱上的RESET键。但是，这会破坏磁盘上的文件块，因为系统还没有来得及刷新磁盘。没有多少系统被设计得能在突然关闭时，还执行正常关闭的那些工作。比较好的办法是杀死一些进程，然后进入单用户模式。

　　在现代的unix系统中，超级用户可以发送一个SIGTEBM信号给除了系统进程和自己进程之外的所有进程:#KILL-TERM-1#

　　如果当前使用的UNIX没有这一点可以执行如下命令:#KILL-TERM1向INIT进程发送一个SIGTERM信号。UNIX自动杀死所有的进程，进入单用户模式，这时，可以执行sync命令，然后重新启动系统。

2.系统过载攻击

　　另一种流行的基于进程的攻击是一个用户产生了许多进程，消耗了大量的cpu时间。这种攻击减少了其他用户可用的CPU处理时间。例如，某用户使用了十个find命令，并使用则在一些目录中查找文件，这些都可以使系统运行得像爬行一样慢。

　　比较好的办法是，教育用户合理地共享系统，鼓励用户使用nice命令降低后台运行的进程的优先级。另外，也可以使用at和batch命令，将一些长的任务安排在系统不是很繁忙的时候去执行。对那些故意或者重复这种行为的用户可以采取一些措施。

　　如果系统过载了，用root登录，将自己的优先纽设为较高的值。然后使用ps命令观察运行的进程，并使用kill命令。

3.磁盘攻击

　　攻击方式是填充磁盘空间个用户向磁盘填充了大量的文件，其他用户不能生成文件做其它有用的事。

磁盘满攻击

　　du命令可以发现系统中磁盘分区空间的使用情况。du命令递归地查找目录树，列出每一个使用了多少块。也可以使用flnd命令列出那些大文件的文件名。可以使用find命令的-size选项，列出文件大小超过一定慎的文件。

　　quot命令可以根据每一个用户来总结文件系统的使用情况。使用―f选项，quot打印出每一个用户使用的文件数量和使用的块数。

　　UNIX文件系统使用inode来存放文件的信息。一个可以便磁盘不能使用的途径是消耗所有磁盘上的空闲inode，使之不能生成新的文件。一个用户可能生成了上千个空文件。这是一个很令人困惑的问题，因为df命令提示有许多可用的空间，然而当生成文件时，却得到一个错误。这是因为每一个新文件、目录、管道文件都需要一个inode结构去描述。如果可用的inode消耗尽了，系统便无法生成新文件，但此时，系统还有可用的磁盘空间。

　　可以使用df命令的―I选项来查看有多少空闲的inode。通常，可以将磁盘划分成一些小的分区，保护磁盘满攻击。将不同用户的主目录放到不同的分区中。用这种方式，如果一个分区被充满了，别的用户并不受影响。

　　另一个有效的办法是，使用在许多现代unix系统中都有的quota系统，来保护系统不受这种攻击。通过磁盘配额系统，每一个用户可以确定有多少inode可用;有多少磁盘块可用。

防止拒绝服务的攻击

　　许多现代的UNIX允许管理员设置一些限制，如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序，而又不想偶然地使系统变得非常缓慢，或者使其它分享这台主机的用户无法使用，这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。（转自　计算机世界日报）

谭博士信箱：txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题
<<<< 回到本期导读

订阅《安全月刊》