中职 网络安全技术应用单元3电子教案.pptx

《中职 网络安全技术应用单元3电子教案.pptx》由会员分享，可在线阅读，更多相关《中职 网络安全技术应用单元3电子教案.pptx（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中职 网络安全技术应用单元3电子教案 高教版单元3网络攻击与防御单元学习目标 知识目标1了解网络服务漏洞的基本概念2掌握端口扫描器扫描网段的方法3掌握综合扫描器扫描网段的方法4了解木马的工作原理5了解木马的入侵方法6掌握木马清除和防御的方法7了解DDoS攻击的原理8掌握DDoS攻击防御的方法单元学习目标能力目标1具备使用端口扫描器扫描网段的能力2具备使用综合扫描器扫描网段的能力3具备使用木马工具模拟入侵的能力4具备判断木马入侵的能力5具备木马清除和防御的能力6具备DDoS攻击防御的能力情感态度价值观 1培养认真细致的工作态度2逐步形成网络安全的主动防御意识单元学习内容网络在带给人们便利的同时，

2、也给病毒、木马的泛滥提供了温床。网络用户在使用网络过程中，除了会受到病毒感染的威胁外，还有可能遭受一些有特殊目的用户的有意识的攻击，企图从被攻击的计算机中获取隐私信息或破坏正常网络工作，而这就是网络攻击。通过了解黑客攻击手段的基本原理，熟悉基本黑客工具的使用，可以掌握常见的攻击方式（如拒绝服务攻击、木马、网络监听、扫描器等）的防御和清除方法。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段【任务描述】为了发现系统缺陷和漏洞，入侵者和管理员都常常使用扫描的方式来侦测系统和网络，不过两者目的不一致。入侵者是通过扫描技术来收集信息和检测漏洞，为入侵做好前期准备工作；网络管理员则是发现系统漏洞后及时

3、修补，以提高安全性能。但两者殊途同归，都应用了扫描功能。【任务分析】工欲善其事，必先利其器。应该选择什么扫描工具呢？这里推荐Nmap。Nmap是一个免费的开源实用程序，它可以对网络进行探查和安全审核。Nmap可以运行在所有主要的计算机操作系统上，并且支持控制台和图形两种版本。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段【任务实战】1了解端口扫描器服务器上所开放的端口就是潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行端口扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同端口的服务，并记录目标给予的回答，

4、通过这种方法可以搜集到很多关于目标主机的各种有用的信息，如远程系统是否支持匿名登录、是否存在可写的FTP目录、是否开放Telnet服务和HTTPD服务等。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段2端口扫描器Nmap的安装及使用步骤1 获得Nmap端口扫描器。Nmap扫描器可以直接从互联网下载获得，从网址http:/www.nmapwin.org/可以下载Windows系统的图形化版本。步骤2 Nmap扫描器的安装。Nmap扫描器的安装也非常简单，只需要按照提示一步步安装即可，但是在安装过程中系统会提示要安装WinPcap软件，这是需要安装的。步骤3 运行Nmap。安装好后，选择“开始

5、”“程序”“nmap-Zenmap GUI”，启动后的界面如图所示。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段步骤4 填写扫描目标。Target:要扫描的目标IP地址参数是必须填写的，可以是单一主机，也可以是一个子网，格式如下：一个具体的网址192.168.1.1、一个网段192.168.1.125、一个子网192.168.1.0/24。步骤5 选择扫描的方式。单击“Profile（配置参数）”下拉列表箭头，进行选择即可。在这里选择的是第一项“Intense scan（强力扫描）”。步骤6 参数设置完成后单击“Scan”按钮开始扫描。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段步

6、骤7 查看扫描结果。查看网络中有多少存活主机。通过扫描发现了网络中存在4台存活主机，显示在窗口的左侧。查看总体的输出结果。选择“Nmap Output”标签，查看输出结果，以主机192.168.1.1为例加以说明。可以看到开发端口的情况、所提供的服务和服务的版本信息，如图3-5所示，主机开放了80端口、135端口、139端口、445端口、1025端口、1026端口等，以及它们提供的服务情况。如80端口提供HTTP服务是用Microsoft IIS 6.0提供的服务。我们会发现有些端口是不必要开放的，可以关闭掉，如何关闭请参看单元1中的有关内容。任务1 扫描网络漏洞活动1 使用端口扫描器扫描网段

7、输出结果中还包括主机的详细信息，主要包括主机的MAC地址（MAC Address）、硬件类型（Device Type）、正在运行的系统（Runing）、系统的详细信息（OS Details）。查看端口开放标签。这个标签显示的内容和第一标签中输出的结果一致，只不过这里显示得更加清晰、明了。查看主机的详细信息标签。这个标签显示的内容和第一标签中输出的结果一致，只不过这里显示得更加清晰。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段【任务描述】扫描器除了能扫描端口外，往往还能发现系统活动情况，以及哪些服务在运行，并且用已知的漏洞测试这些系统。有些扫描器还有进一步的功能，包括操作系统识别、应用系统

8、识别、服务器系统识别等。【任务分析】小齐决定采用非常著名的X-Scan对公司的网站服务器进行一次全面的扫描。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段【任务实战】1X-Scan功能简介X-Scan是由安全焦点开发的一个功能强大的扫描工具。采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容包括远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十多个大类。2X-Scan的获得及安装X-Scan是完全免费的软件，无需注册，无需安装（解压缩即可运行，自动检查并安装WinPcap驱

9、动程序）。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段3X-Scan的使用使用X-Scan综合扫描器扫描公司的网站服务器192.168.1.1，看看公司的网站服务器存在哪些漏洞。步骤1 运行主程序以后和以前版本的差别不大，上方功能按钮包括“扫描模块”、“扫描参数”、“开始扫描”、“暂停扫描”、“终止扫描”、“检测报告”、“使用说明”、“在线升级”、“退出”，程序运行主页面如图。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段步骤2 我们从“扫描参数”开始。打开“设置”菜单，选择“扫描参数”会出现一个“扫描参数”对话框。选中“指定IP范围”输入要检测的目标主机的域名或IP如192.168

10、.1.1，也可以对多个IP进行检测。如输入“192.168.1.1192.168.1.255”，这样可以对这个网段的主机进行检测。同时也可以对不连续的IP地址进行扫描，只要在“从文件获取主机列表”项前面打上对勾就可以了，公司内部网站服务器的地址为192.168.1.1。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段步骤3 单击“全局设置”前面的那个“+”号，展开后会有4个模块，分别是“扫描模块”、“并发扫描”、“扫描报告”、“其他设置”。首先选择“扫描模块”，在右边的边框中会显示相应的参数选项，如果是扫描少数几台计算机的话可以全选，如果扫描的主机比较多的话，要有目标地去扫描，只扫描主机开放

11、的特定服务就可以，这样会提高扫描的效率。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段步骤4 接着，选择“并发扫描”，可以设置要扫描的最大并发主机数和最大并发线程数，也可以单独为每个主机的各个插件设置最大线程数。步骤5 接下来是“扫描报告”，选择后会显示在右边的窗格中，它会生成一个检测IP或域名的报告文件，同时报告的文件类型可以有3种选择，分别是HTML、TXT、XML。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段步骤6 “其他设置”模块有两种条件扫描：一是“跳过没有响应的主机”，二是“无条件扫描”。如果设置了“跳过没有响应的主机”，对方如果禁止了ping或防火墙设置使对方没有响应的

12、话，X-Scan会自动跳过检测下一台主机。如果用“无条件扫描”的话，X-Scan会对目标进行详细检测，这样结果会比较详细也会更加准确，但扫描时间会延长。“跳过没有检测到开放端口的主机”和“使用Nmap判断远程操作系统”这两项一般都是需要选上的，下边的那个“显示详细进度”项可以根据自己的实际情况选择，这个主要是显示检测的详细过程。步骤7 “插件设置”模块。该模块包含针对各个插件的单独设置，如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段各插件包括“端口相关设置”、“SNMP相关设置”、“NETBIOS相关设置”、“漏洞检测

13、脚本设置”、“CGI相关设置”、“字典文件设置”。步骤8 开始扫描，选择“文件”“开始扫描”或者单击界面的快捷图标 开始扫描。在扫描过程中，可从“文件”中选择“暂停扫描”或者“停止扫描”或单击界面的快捷图标、来暂停扫描或者停止扫描。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段步骤9 查看扫描报告。扫描完成后，选择“查看”“检测报告”来打开扫描报告，以查看扫描报告。在扫描过程中，如果检测到了漏洞的话，可以在“漏洞信息”中察看。扫描结束以后会自动弹出检测报告，包括漏洞的风险级别和详细的信息，以便可以对对方主机进行详细的分析。在类型为“漏洞”的扫描结果中发现了严重的系统漏洞，就是NT-serv

14、er弱口令，用户名为Administrator、密码为123456。任务1 扫描网络漏洞活动2 使用综合扫描器扫描网段【任务拓展】一、理论题1简述端口扫描的原理。2如何扫描局域网中计算机的相关信息（主机名、IP地址、MAC地址等）？3如何发现服务器的漏洞？二、实训1使用端口扫描器扫描一个网段，并写出扫描结果。2搜索、下载、安装一款综合扫描器，然后使用该扫描器对端口、系统漏洞进行扫描，生成扫描报告。任务2 木马的清除与防护活动1 认识木马【任务实战】步骤1 获得木马软件。木马软件的获得非常容易，网上有很多木马软件可以下载使用。但是下载此软件的目的是为了学习，本实例以非常著名的木马“冰河”为例。步

15、骤2 配置木马。“冰河”木马无需安装，解压缩即可，这时可以看到文件夹下面有两个文件，名字分别为“G_Client.exe”和“G_Server.exe”。其中“G_Client.exe”为木马的控制程序，“G_Server.exe”为木马的服务端程序。任务2 木马的清除与防护活动1 认识木马（1）启动冰河木马的控制端。双击文件夹下的文件“G_Client.exe”。（2）配置服务端程序。选择“设置”菜单中的“配置服务器程序”进行木马服务器端的配置。单击“待配置文件”按钮，选择服务端程序。单击“确定”按钮后单击“关闭”按钮。这样就制作完成了木马的服务端程序。任务2 木马的清除与防护活动1 认识木

16、马步骤3 传播木马。木马的传播方式主要有两种：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。本实例是模拟木马的入侵，因此只是把服务端程序G_Server共享，然后在远程主机192.168.1.2上单击执行。步骤4 建立连接。要想用控制端连接远程的服务端，双方必须同时在线，选择“文件”菜单中的“搜索计算机”，就会搜索出已经运行服务端的计算机的IP地址。已经搜索出远程主机192.168.1.2正在线运行服务端。任

17、务2 木马的清除与防护活动1 认识木马步骤5 控制计算机。（1）左侧的树形控制台中会出现地址为192.168.1.2的那台计算机的硬盘，可以对硬盘进行完全的读写操作。（2）选择左侧的“命令控制台”选项卡。命令控制台包括口令类命令、控制类命令、网络类命令、文件类命令、注册表读写、设置类命令。这6大类命令可以实现对整个系统的完全控制，而且是在用户不知情的情况下完成的。任务2 木马的清除与防护活动2 木马的清除与防护【任务描述】小齐通过冰河木马了解了木马的工作原理，但是会放置木马和控制并不是主要目的，那么如何清除木马呢？【任务分析】小齐准备自己动手来清除冰河木马，借此总结清除木马的一般步骤。任务2

18、木马的清除与防护活动2 木马的清除与防护【任务实战】当我们发现机器无故经常重启、密码信息泄露、桌面不正常时，可能就是中了木马程序，需要进行杀毒。步骤1 查看开机启动程序的注册表项。判断是否存在木马：一般病毒都需要修改注册表，我们可以在注册表中查看到木马的痕迹。选择“开始”“运行”，输入“regedit”，这样就进入了注册表编辑器，依次打开子键目录“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”，在目录中我们发现第一项的数据“C：WINDOWSsystem32Kernel32.exe”，Kernel32.exe就是冰河木马

19、程序在注册表中加入的键值，将该项删除。任务2 木马的清除与防护活动2 木马的清除与防护步骤2 查看开机启动服务的注册表项。然后再打开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices”，在目录中也发现了一个键值“C：WINDOWSsystem32Kernel32.exe”，将其删除。删掉其在注册表中的启动项后，再删除病毒原文件。任务2 木马的清除与防护活动2 木马的清除与防护认真检查。步骤3 删除病毒源文件。打开“C:WINDWOSsystem32”，找到Kernel32.exe将其删除，然后将C:WINDW

20、OSsystem32中sysexplr.exe文件删除。之后重启机器，冰河木马就彻底被删除掉了。步骤4 连接测试。在控制端再用冰河木马搜索可连接主机，图所示是在远程主机删除木马之后搜索的结果。我们发现已经搜索不到192.168.1.2主机了。任务2 木马的清除与防护活动2 木马的清除与防护步骤5 木马的防护。为了避免木马对用户造成不必要的伤害，有必要提前采取一些措施来预防木马，即阻止木马植入系统。（1）不要随便下载来历不明的软件。为了防止在下载和执行软件时被植入木马，最好到正规网站去下载软件，这些网站的软件更新快，且大部分都经过测试，可以放心使用。假如需要下载一些非正规网站上的软件，注意不要在

21、在线状态下安装软件，一旦软件中含有木马程序，就有可能导致系统信息的泄露。（2）谨慎使用电子邮件。电子邮件的使用非常广泛，为了避免木马通过电子邮件植入计算机，在收发带附件邮件时要非常小心。不要轻易地打开来历不明的邮件，如广告邮件等，打开附件时更要格外小心。（3）安装木马防火墙。前面单元2介绍恶意软件的清除时已经提到了的360安全卫士，不但清除恶意插件非常好用，它的另一大特色就是也能清除木马，关于如何操作请参看前面章节，关于软件的详细介绍可以访问官方网站获得更多资料。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马【任务描述】通过对木马原理和防御知识的学习，小齐明白了只要不下载来历不明的软件、

22、谨慎使用电子邮件就可以让计算机不中木马了。但是近期公司网站的主页一打开，立即跳转到其他网站的页面，公司责成小齐保证网站运行正常。【任务分析】小齐马上对网站服务器进行检查，安装系统漏洞、软件漏洞测试工具，进行木马检测，发现了木马程序，有人恶意攻击网站。这个黑客是如何把木马放进来的，小齐准备找台备用服务器自己一探究竟。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马【条件准备】本次模拟攻击使用两台计算机，一台计算机要求是Windows 2003操作系统。另外一台可以是Windows XP或者是Windows 2003系统。被攻击主机要求139端口开放，默认共享没有关闭。【任务实战】步骤1 使用

23、Namp进行主机和端口扫描。在目标区域输入要扫描的IP地址区域为192.168.1.121，主要是探测这个IP地址段是否有存活主机，从图中可以看出有一台主机192.168.1.21存活，而且开放了80、135、139、445、1025、1027等几个端口，运行的是Windows Sever 2003操作系统。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马步骤2 利用X-San综合扫描器探测系统漏洞。从X-Scan的扫描结果可以看出远程主机的管理员账号和密码已经被我们破解，而且139端口还在开放，那么就可以尝试利用IPC$漏洞对主机进行入侵。平时我们总能听到有人在说IPC$漏洞，IPC$漏

24、洞，其实IPC$并不是一个真正意义上的漏洞，我想之所以有人这么说，一定是指微软自己安置的那个“后门”，黑客就是利用了这一个漏洞。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马步骤3 尝试使用IPC$漏洞入侵并放置木马。（1）使用net use命令并运用上一步破解的用户名和密码探测是否可以建立IPC$远程管理连接。显示“命令成功完成”，表示连接已经成功建立了。（2）启动冰河木马的控制端，配置服务端程序G_Server.exe，并且把它复制到C盘根目录下。（3）上传木马的服务端到主机。使用copy命令把C盘根目录下的木马服务端程序G_Server.exe上传到192.168.1.21这台主机

25、，命令和运行结果如图。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马（4）定时启动木马。利用net time命令先查看远程主机的系统时间，然后利用at命令让木马服务端在规定时间自动运行。步骤4 连接木马服务端。启动冰河选择“文件”“添加计算机”，输入远程主机的IP地址192.168.1.21，单击“确定”按钮，发现主机已经显示在左侧栏中。步骤5 防御思考。看来，除了注意下载软件和注意电子邮件外，还要注意关闭那些不必要的端口。任务2 木马的清除与防护活动3 模拟黑客入侵放置木马【任务拓展】一、理论题1什么是木马？2简述木马的工作原理？3简述木马的手工清除方法？4简述木马的防御方法？二、实训

26、1下载一种木马软件（如灰鸽子等）熟悉配置过程，尝试植入木马并控制。2对植入的木马采用手工清除的方法进行清除。3使用360安全卫士查杀木马。任务3 拒绝服务攻击与防御活动1 模拟黑客发起DDoS攻击【任务描述】近期公司的网站被黑客攻击了，造成了公司的网站长时间不能访问，询问了安全专家，才知道原来遭受了DDoS攻击。【任务分析】小齐想弄明白DDoS攻击的组织方法及攻击过程。【任务环境】3台计算机，一台Web服务器，一台攻击主机，一台测试主机。任务3 拒绝服务攻击与防御活动1 模拟黑客发起DDoS攻击【任务实战】步骤1 了解DDoS攻击的原理。要了解DDoS，首先要了解什么是DoS（Denial o

27、f Service，DoS）。简单地说，DoS就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的一种攻击手段。拒绝服务攻击自问世以来，衍生了多种形式，现将使用较频繁的TCPSYN Flood做简单介绍。TCPSYN Flood又称为半开式连接攻击。每当用户进行一次标准的TCP连接（如WWW浏览、下载文件等）时会有一个三次握手的过程：首先是请求方向服务方发送一个SYN消息；服务方收到SYN后，会向请求方回送一个SYNACK表示确认；当请求方收到SYNACK后再次向服务方发送一个ACK消息。至此，一次成功的TCP连接建立完成，接下来就可以进行后续工作了。任务3 拒绝

28、服务攻击与防御活动1 模拟黑客发起DDoS攻击而TCPSYN Flood在它的实现过程中只有前两个步骤。当服务方收到请求方的SYN并回送SYNACK确认消息后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间处于等待接收请求方ACK消息的状态。一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，则服务器的可用TCP连接队列将会很快阻塞，系统可用资源、网络可用带宽也会急剧下降，从而无法向用户提供正常的网络服务。DDoS攻击是在传统的DoS攻击基础之上产生的新一类攻击方式。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人计算机

29、（PC）或是窄带宽连接的网站，对拥有高带宽连接、高性能设备的网站影响不大。但在1999年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起、单兵作战的攻击方式相比较，DDoS实现是借助数百甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。在这种几百甚至几千对一的较量中，网络服务提供商所面对的破坏力是空前巨大的。任务3 拒绝服务攻击与防御活动1 模拟黑客发起DDoS攻击步骤2 模拟DDoS攻击。本例模拟的环境是从一台攻击主机对一台服务器发起的DDoS攻击。（1）搭建Web服务器，并运行Windows Server 2003，安装IIS6

30、.0，然后发布一个网站。此处制作了一个测试页面，用于测试DDoS攻击的效果，页面效果如图所示，IIS的设置本书不做详细说明。（2）攻击环境的配置。操作系统选择Windows Server 2003，下载DDoS攻击软件xdos，解压缩后将其中的xdos.exe文件复制到C:Ddos文件夹中。任务3 拒绝服务攻击与防御活动1 模拟黑客发起DDoS攻击（3）运行软件进行攻击。选择“开始”“运行”进入到命令行窗口，切换到C盘的Ddos目录下，输入“xdos”运行xdos.exe可执行文件，按Enter键可以看到此软件的使用方法。现在开始进行一次DDoS攻击，在命令行窗口输入“xdos 192.168

31、.0.137 80t 10s 10.1.1.1”，则说明攻击正在进行。任务3 拒绝服务攻击与防御活动1 模拟黑客发起DDoS攻击在窗口中可以看到，本次攻击目标主机的192.168.0.137的80端口，即攻击其Web服务，攻击采用10线程同时进行，并且伪造攻击源地址为10.1.1.1。几秒钟后，用户再次访问一下被攻击的服务器，可以看到如图所示的网站。被攻击服务器出现“您正在查找的页当前不可用。网站可能遇到支持问题，或者您需要调整您的浏览器设置”的提示，此时无论如何调整浏览器设置，用户都无法访问被攻击服务器上发布的网站，因为被攻击服务器已经无法正常提供Web服务了。任务3 拒绝服务攻击与防御活动

32、1 模拟黑客发起DDoS攻击双击被攻击服务器桌面右下角的“本地连接”图标，出现“本地连接状态”对话框，可以看到网络流量非常大。打开“Windows任务管理器”，可以看到“CPU使用”在几秒钟内由1升为100。被攻击服务器已处于瘫痪状态，至此，一次模拟的DDoS攻击完成，攻击成功。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御【任务描述】通过实验模拟，小齐终于明白了DDoS的原理和攻击过程，但是不能坐以待毙啊，如何防御呢？【任务分析】通过原理分析和设备手册掌握有效的防范DDoS攻击的一些具体措施。【任务实战】步骤1 采用高性能的网络设备。首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机

33、、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御步骤2 尽量避免NAT的使用。NAT（网络地址转换），是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPv4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。NAT功能通常被集成到路由器、防火墙、单独的NAT设备中，NAT设备（或软件）维护一个

34、状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御虽然使用NAT可以使得外部网络对内部网络的不可视，降低了外部网络对内部网络攻击的风险性。但是，无论是路由器还是硬件防护墙设备都要尽量避免NAT的使用，因为NAT需要对地址来回转换，转换过程中需要对网络包进行校验和计算，所以浪费了很多CPU的时间，降

35、低了网络通信能力，因而一旦受到DDoS攻击，本来就有限的网络通信能力就更不够使用了。步骤3 保证充足的网络带宽。网络带宽直接决定了抵抗DDoS攻击的能力。假若仅有10MB带宽，采取任何措施都很难对抗现在的SYN Flood攻击，至少要选择100MB的共享带宽，如果能有1000MB的主干带宽更好。需要注意的是，主机上的网卡是1000MB并不意味着它的网络带宽就是千兆的，若把它接在100MB的交换机上，它的实际带宽不会超过100MB，另外一点是接在100MB的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能在交换机上限制实际带宽为10MB。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御步骤

36、4 升级主机服务器硬件。在有网络带宽保证的前提下，尽量提升服务器的硬件配置。在对抗DDoS攻击时，起关键作用的主要是服务器的CPU、内存及硬盘。CPU建议选择英特尔公司的至强（Xeon）处理器。Xeon是英特尔公司生产的400MHz的奔腾微处理器，它用于“中间范围”的企业服务器和工作站。在英特尔的服务器主板上，多达8个Xeon处理器能够共用100MHz的总线而进行多路处理。Xeon正在取代Pentium Pro而成为英特尔的主要企业微芯片。Xeon设计用于互联网以及大量的数据处理服务，如工程、图像和多媒体等需要快速传送大量数据的应用。Xeon是奔腾生产线的高端产品。任务3 拒绝服务攻击与防御活

37、动2 DDoS攻击防御目前，英特尔公司推出了新的处理器技术“酷睿”技术，“酷睿”是一款领先节能的新型微架构，设计的出发点是提供卓然出众的性能和能效，提高每瓦特性能，也就是能效比。酷睿处理器采用8001333MHz的前端总线频率、45nm/65nm制程工艺、2MB/4MB/8MB/12MB/16MB L2缓存，双核酷睿处理器通过SmartCache技术使两个核心共享12MB L2资源。硬盘建议使用SCSI或SATA接口硬盘。现在服务器上采用的硬盘接口技术主要有SCSI与SATA两种。由于SCSI具有CPU占用率低、多任务并发操作效率高、连接设备多、连接距离远等优点，因此对于大多数的服务器应用，建

38、议采用SCSI硬盘，并采用最新的Ultra320 SCSI控制器；SATA硬盘也具备热插拔能力，并且可以在接口上具有很好的可伸缩性，具有比SCSI更好的灵活性。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御步骤5 把网站做成静态页面。大量事实证明，网站尽可能采用静态页面，可以大大提高抗攻击能力，使黑客入侵变得很难。到现在为止，关于HTML的溢出还没出现。新浪、搜狐、网易等门户网站主要都是静态页面，动态脚本调用最好安装到另外一台单独主机，避免遭受攻击时破坏主服务器。当然，适当放一些不做数据库调用的脚本还是可以的。此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理的访问

39、80属于恶意行为。步骤6 增强操作系统的TCP/IP栈。Windows Server 2000和Windows Server 2003作为服务器操作系统，其本身具备一定的抗DDoS攻击的能力，默认状态下没有开启该功能，若开启的话，采用双路至强24GHz的服务器配置，经过测试，可承受大约1万个包的攻击量。Windows Server 2003设置方法如下。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御运行regedit命令，打开注册表编辑器，找到HKEY_LOCAI_MACINESYSTEM CurrentControlSetServicesTcpip Parameters修改DeadGWD

40、etectDefault值为0，目的是关闭无效网关的检查。为服务器设置多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。修改EnableICMPRedirect值为0，目的是禁止响应ICMP重定向报文。步骤7 安装专业抗DDoS防火墙。现在国内有很多厂商生产此类产品，比较知名的有傲盾防火墙、安易防火墙等。例如，傲盾硬件KFW4500防火墙，可以单台防御4GB DDoS流量攻击，集群防护32GB；支持傲盾动态牵引技术，最大牵引60GB DDoS攻击流量。任务3 拒绝服务攻击与防御活动2 DDoS攻击防御【任务拓展】一、理论题1DDoS攻击的基本原理是什么？2针对DDoS攻击可以采取哪些应对措施？二、实训1用XDoS软件模拟一次DDoS攻击过程。2小组讨论一下如何判断是否在遭受DDoS攻击（提示：如使用netstat命令）。