网络安全rst包

① rst是什么意思

rst是TCP首部中的6个标志比特之一,表示重置连接、复位连接。

TCP（Transmission Control Protocol传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。

RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。发送RST包关闭连接时，不必等缓冲区的包都发出去（不像上面的FIN包），直接就丢弃缓存区的包发送RST包。而接收端收到RST包后，也不必发送ACK包来确认。

TCP处理程序会在自己认为的异常时刻发送RST包。例如，A向B发起连接，但B之上并未监听相应的端口，这时B操作系统上的TCP处理程序会发RST包。

又比如，AB正常建立连接了，正在通讯时，A向B发送了FIN包要求关连接，B发送ACK后，网断了，A通过若干原因放弃了这个连接（例如进程重启）。

网通了后，B又开始发数据包，A收到后表示压力很大，不知道这野连接哪来的，就发了个RST包强制把连接关了，B收到后会出现connect reset by peer错误。

(1)网络安全rst包扩展阅读：

RST的攻击原理：

A和服务器B之间建立了TCP连接，此时C伪造了一个TCP包发给B，使B异常的断开了与A之间的TCP连接，就是RST攻击了。实际上从上面RST标志位的功能已经可以看出这种攻击如何达到效果了。

假定C伪装成A发过去的包，这个包如果是RST包的话，毫无疑问，B将会丢弃与A的缓冲区上所有数据，强制关掉连接。

如果发过去的包是SYN包，那么，B会表示A已经发疯了（与OS的实现有关），正常连接时又来建新连接，B主动向A发个RST包，并在自己这端强制关掉连接。

② 分析TCP/IP网络层，传输层和应用层的安全缺陷。

1. 攻击者监听B方发出的SYN/ACK报文。
2. 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。
3. B方响应新连接，并发送连接响应报文SYN/ACK。
4. 攻击者再假冒A方对B方发送ACK包。
这样攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后果更严重。
TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号（ISN）在TCP握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT，很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能伪造有害数据包，使之检验IP头源地址的特点，自己填入伪造的IP地址来进行攻击，使自己不被发现。

③ 分别列出用于应用层、传输层、网络层的一种安全协议。

传输层协议主要是采用TCP/UDP/IP这些协议了，当然还有其他的协议不常用罢了，应用层的协议也很多，他几乎包含了TCP/IP七层的所有协议，而IEC 61850只是一种标准，一种规范方式了。. 攻击者监听B方发出的SYN/ACK报文。 2. 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。 3. B方响应新连接，并发送连接响应报文SYN/ACK。 4. 攻击者再假冒A方对B方发送ACK包。

④ TCP/IP协议的安全缺陷主要表现在那几方面

TCP/IP协议的安全隐患
造成操作系统漏洞的一个重要原因，就是协议本身的缺陷给系统带来的攻击点。网络协议是计算机之间为了互联共同遵守的规则。目前的互联网络所采用的主流协议TCP/IP，由于在其设计初期人们过分强调其开发性和便利性，没有仔细考虑其安全性，因此很多的网络协议都存在严重的安全漏洞，给Internet留下了许多安全隐患。另外，有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。本文就TCP/IP协议自身所存在的安全问题和协议守护进程进行了详细讨论，指出针对这些安全隐患的攻击。
TCP协议的安全问题
TCP使用三次握手机制来建立一条连接，握手的第一个报文为SYN包；第二个报文为SYN/ACK包，表明它应答第一个SYN包同时继续握手的过程；第三个报文仅仅是一个应答，表示为ACK包。若A放为连接方，B为响应方，其间可能的威胁有：
1. 攻击者监听B方发出的SYN/ACK报文。
2. 攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接。
3. B方响应新连接，并发送连接响应报文SYN/ACK。
4. 攻击者再假冒A方对B方发送ACK包。
这样攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后果更严重。
TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号（ISN）在TCP握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT，很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能伪造有害数据包，使之被目标主机接受。
IP协议的安全问题
IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说，IP路由IP包时，对IP头中提供的源地址不作任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用IP欺骗引起的各种攻击。
以防火墙为例，一些网络的防火墙只允许网络信任的IP数据包通过。但是由于IP地址不检测IP数据包中的IP源地址是否为放送该包的源主机的真实地址，攻击者可以采用IP源地址欺骗的方法来绕过这种防火墙。另外有一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP源地址欺骗的方法获得特权，从而给被攻击者造成严重的损失。事实上，每一个攻击者都可以利用IP不检验IP头源地址的特点，自己填入伪造的IP地址来进行攻击，使自己不被发现。
六 TCP/IP协议安全问题的防范
TCP协议安全问题的防范
对于SYN Flood攻击，目前还没有完全有效的方法，但可以从以下几个方面加以防范：
1. 对系统设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包的复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。
2. 建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。
3. 建议在路由器的前端多必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可以进入该网段，这样可以有效的保护本网段内的服务器不受此类攻击。
IP协议安全问题的防范
1. 抛弃基于地址的信任策略。这是最简单的方法。
2. 进行包过滤。如果网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤。确认只有内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
3. 使用加密技术。阻止IP欺骗的一种简单的方法是在通信时要求加密传输和验证。当有多种手段并存时，加密方法可能最为适用。
七 TCP/IP各层的安全性和提高各层安全性的方法
1. 网络层的安全性
在过去的十年里，已经提出了一些方案对网络层的安全协议进行标准化。例如，安全协议3号（SP3）就是美国国家安全局以及标准技术协会作为安全数据网络系统（SDNS）的一部分而制定的。网络层安全协议（NLSP）是由国际标准化组织为无连接网络协议（CLNP）制定的安全协议标准。集成化NLSP（I-NLSP）是由美国国家科技研究所提出的包括IP和CLNP在内的统一安全机制。SWIPE是另一个网络层的安全协议，由Ioannidis和Blaze提出并实现原型。所有这些提案的共同点多于不同点。事实上，他们用的都是IP封装技术。其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。
网络安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它最主要的缺点是：网络层一般属于不间进程和相应条例的包不做区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需要的功能，也会导致性能下降。针对面向主机的密钥分配的这些问题，RFC 1825允许（甚至可以说是推荐）使用面向用户的密钥分配，其中，不同的连接会得到不同的加密密钥。但是，面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。
简而言之，网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。例如，利用它对IP包的加密和解密功能，可以简捷地强化防火墙系统的防卫能力。RSA数据安全公司已经发起了一个倡议，来推进多家防火墙和TCP/IP软件厂商联合开发虚拟私有网，该倡议被称为S-WAN（安全广域网）倡议，其目标是制定和推荐网络层的安全协议标准。
2. 传输层的安全性
在网络应用编程中，通常使用广义的进程间通信（IPC）机制来与不同层次的安全协议打交道。在Internet中提供安全服务的首先一个想法便是强化它的IPC界面，如BSD、Sockets等，具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务（如TCP/IP所提供）基础上的安全接层协议（SSL）。
网络安全机制的主要优点是它的透明性，即安全服务的提供不要求应用层做任何改变。这对传输层来是说是做不到的。原则上，任何TCP/IP应用，只要应用传输层安全协议，比如说SSL或IPC，就必定要进行若干修改以增加相应的功能，并使用不同的IPC界面。于是，传输层安全机制的主要缺点就是要对传输层IPC界面和应用程序两端都进行修改。可是，比起Internet层和应用层的安全机制来，这里修改还是相当小的。另一个缺点是，基于UDP的通信很难在传输层建立起安全机制来。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的（而不是主机对主机的）安全服务。这一成就如果再加上应用级的安全服务，就可以再向前跨越一大步了。
3. 应用层的安全性
网络层的安全协议允许为主机（进程）之间的数据通道增加安全属性，这以为着真正的数据通道还是建立在主机（或进程）之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。比如说，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就到要自动的被加密。同样，如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动的被加密。
一般来说，在应用层提供安全服务有几种可能的做法，一个是对每个应用（及应用协议）分别进行修改。一些重要的TCP/IP应用已经这样做了。在RFC1421至1424中，IETF规定了私用强化邮件（PEM）来为基于SMTP的电子邮件系统提供安全服务。Internet业界采纳PEM的步子太慢的原因是PEM依赖于一个既存的、完全可操作的PKI（公钥基础结构）。建立一个符合PEM规范的PKI需要多方在一个共同点上达成信任。作为一个中间步骤，Phil Zimmermann开发了一个软件包，叫做PGP（Pretty Good Privacy）。PGP符合PEM的绝大多数规范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，即由每个用户自己决定该信任哪些其他用户。因此，PGP不是去推广一个全局的PKI，而是让用户自己建立自己的信任之网。

⑤ 端口号的作用是什么啊不是端口

在Internet上，各主机间通过TCP/TP协议发送和接收数据报，各个数据报根据其目的主机的ip地址来进行互联网络中的路由选择。可见，把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢？显然这个问题有待解决，端口机制便由此被引入进来。
本地操作系统会给那些有需求的进程分配协议端口（protocal port，即我们常说的端口），每个协议端口由一个正整数标识，如：80，139，445，等等。当目的主机接收到数据报后，将根据报文首部的目的端口号，把数据发送到相应端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。说到这里，端口的概念似乎仍然抽象，那么继续跟我来，别走开。
端口其实就是队，操作系统为各个进程分配了不同的队，数据报按照目的端口被推入相应的队中，等待被进程取用，在极特殊的情况下，这个队也是有可能溢出的，不过操作系统允许各进程指定和调整自己的队的大小。
不光接受数据报的进程需要开启它自己的端口，发送数据报的进程也需要开启端口，这样，数据报中将会标识有源端口，以便接受方能顺利的回传数据报到这个端口。

端口的分类:
在Internet上，按照协议类型分类，端口被分为TCP端口和UDP端口两类，虽然他们都用正整数标识，但这并不会引起歧义，比如TCP的80端口和UDP的80端口，因为数据报在标明端口的同时，还将标明端口的类型。
从端口的分配来看，端口被分为固定端口和动态端口两大类（一些教程还将极少被用到的高端口划分为第三类：私有端口）：
固定端口（0－1023）：
使用集中式管理机制，即服从一个管理机构对端口的指派，这个机构负责发布这些指派。由于这些端口紧绑于一些服务，所以我们会经常扫描这些端口来判断对方是否开启了这些服务，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的端口；
动态端口（1024－49151）：
这些端口并不被固定的捆绑于某一服务，操作系统将这些端口动态的分配给各个进程，同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口，他们有其自己的‘商标性’端口，如oicq客户端的4000端口，木马冰河的7626端口等都是固定而出名的。

端口在入侵中的作用:
有人曾经把服务器比作房子，而把端口比作通向不同房间（服务）的门，如果不考虑细节的话，这是一个不错的比喻。入侵者要占领这间房子，势必要破门而入（物理入侵另说），那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得至关重要。
入侵者通常会用扫描器对目标主机的端口进行扫描，以确定哪些端口是开放的，从开放的端口，入侵者可以知道目标主机大致提供了哪些服务，进而猜测可能存在的漏洞，因此对端口的扫描可以帮助我们更好的了解目标主机，而对于管理员，扫描本机的开放端口也是做好安全防范的第一步。
常见端口的介绍
由于本人知识有限，在这里只介绍一些浅显的内容。
1）21 ftp
此端口开放表示服务器提供了FTP服务，入侵者通常会扫描此端口并判断是否允许匿名登陆，如果能找到可写目录，还可以上传一些黑客程序做近一步入侵。要想关闭此端口，需要关闭FTP服务。
2）23 Telnet
此端口开放表示服务器提供了远程登陆服务，如果你有管理员的用户名和密码，可以通过这个服务来完全控制主机（不过要先搞定NTLM身份认证），获得一个命令行下的shell。许多入侵者喜欢开启这个服务作为后门。要想关闭此端口，需要关闭Telnet服务。
3）25 smtp
此端口开放表示服务器提供了SMTP服务，一些不支持身份验证的服务器允许入侵者发送邮件到任何地点，SMTP服务器（尤其是sendmail）也是进入系统的最常用方法之一。要想关闭此端口，需要关闭SMTP服务。
4）69 TFTP(UDP)
此端口开放表示服务器提供了TFTP服务，它允许从服务器下载文件，也可以写入文件，如果管理员错误配置，入侵者甚至可以下载密码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器，从而实现文件的传输。要想关闭此端口，需要关闭TFTP服务。
5）79 finger
用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误， 回应从自己机器到其它机器finger扫描。
6）80 http
此端口开放表示服务器提供了HTTP服务，可以让访问者浏览其网页等，大部分针对IIS服务器的溢出攻击都是通过这个端口的，可以说是入侵者最常攻击的一个端口了。要想关闭此端口，需要关闭HTTP服务。
7）110 POP3
用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统，成功登陆后还有其它缓冲区溢出错误。
8）TCP的139和445
许多人都很关心这两个端口，那我就来详细的介绍一下吧：
首先我们来了解一些基础知识：
1 SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；
2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。
有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：
对于win2000客户端（发起端）来说：
1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；
2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。
对于win2000服务器端来说：
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放（LISTENING）；
2 如果禁止NBT，那么只有445端口开放。
我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。那么如何关闭2000上这两个端口呢？
139端口可以通过禁止NBT来屏蔽
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项
445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器
9）3389 Terminal Services
此端口开放表示服务器提供了终端服务，如果你获得了管理员的用户名和密码，那么你可以通过这个服务在图形界面下完全控制主机，这的确是一件令人向往的事情，但如果你得不到密码也找不到输入法漏洞，你会感到束手无策。要想关闭此端口，需要关闭终端服务。
端口的相关工具
1 netstat -an
的确，这并不是一个工具，但他是查看自己所开放端口的最方便方法，在cmd中输入这个命令就可以了。如下：
C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*

这是我没上网的时候机器所开的端口，两个135和445是固定端口，其余几个都是动态端口。

2 fport.exe和mport.exe
这也是两个命令行下查看本地机器开放端口的小程序，其实与netstat -an这个命令大同小异，只不过它能够显示打开端口的进程，信息更多一些而已，如果你怀疑自己的奇怪端口可能是木马，那就用他们查查吧。
3 activeport.exe（也称aports.exe）
还是用来查看本地机器开放端口的东东，除了具有上面两个程序的全部功能外，他还有两个更吸引人之处：图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西，推荐使用喔。
4 superscan3.0
它的大名你不会没听说过吧，纯端口扫描类软件中的NO.1，速度快而且可以指定扫描的端口，不多说了，绝对必备工具。

保护好自己的端口:
刚接触网络的朋友一般都对自己的端口很敏感，总怕自己的电脑开放了过多端口，更怕其中就有后门程序的端口，但由于对端口不是很熟悉，所以也没有解决办法，上起网来提心吊胆。其实保护自己的端口并不是那么难，只要做好下面几点就行了：
1 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口；
2 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料（网上多的很），看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断；
3 关闭：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接－TCP/IP－高级－选项－TCP/IP筛选，启用筛选机制来筛选端口；

⑥ 网络存在不安全因素

1、是否使用了代理，使用代理每次登陆地点显示不一样，qq就会显示验证，这是腾讯的保护措施。
2、你的电脑是否中毒，局域网中有谁的电脑是否中毒，一般来说很少有这种问题的，除非你自己改变了登录地点，比如前一天在湖南，后一天人在广州，登录QQ，它就会提示网络有不安全因素，然后就是验证，这种验证要持续好几天，每次登陆就要验证，很烦人，不过几天后就会恢复正常。
3、网速慢的原因，第一从自身查起，确认自己没有中毒，没有开p2p软件下载东西，再看看局域网中有谁在下载，也可以看看你自己连接网络的带宽有多少。

⑦ rst ack 是什么包

rstack是数据包。用于强制关闭TCP链接。TCP连接关闭的正常方法是四次握手。但四次握手不是关闭TCP连接的唯一方法有时，如果主机需要尽快关闭连接或连接超时，端口或主机不可达，RSTReset包将被发送注意，由于RST包不是TCP连接中的必须部分，可以只发送RST包即不带ACK标记，但在正常的TCP连接中RST包可以带ACK确认标记。

数据包说明

数据包是一个计算机词汇，是TCP/IP协议通信传输中的数据单位。有人说，局域网中传输的不是帧Frame，但是TCPIP协议是工作在OSI模型第三层网络层、第四层传输层上的，而帧是工作在第二层数据链路层。上一层的内容由下一层的内容来传输，所以在局域网中，包是包含在帧里的。

任意一台主机都能够发送具有任意源地址的数据包。当数据包进行长距离的传输时需要经过许多中继站。每个中继站就是一台主机或路由器，他们基于路由信息，将数据包向下一个中继站传递。

在数据传输的路途上，如果路由器遇到大数据流量的情况下，它可能在没有任何提示的情况下丢掉一些数据包。

较高层的协议如TCP协议用于处理这些问题，以便为应用程序提供一条可靠的链路。如果对于下一个中继站来说数据包太大，该数据包就会被分片。也就是说，大的数据包会被分成两个或多个小数据包，每个小数据包都有自己的IP头，但其净荷仅仅是大数据包净荷的一部分。

⑧ 遇到5大安全问题应怎么 解决

在本文中，笔者重点解析了TCP/IP协议栈面临的五大网络安全问题，也介绍到企业网络安全管理人员在面临问题时所能采取的应对措施。 1. IP欺骗 IP Spoof即IP 电子欺骗，可以理解为一台主机设备冒充另外一台主机的IP地址与其他设备通信，从而达到某种目的技术。早在1985年，贝尔实验室的一名工程师Robbert Morris在他的一篇文章“A weakness in the 4.2bsd UNIX TCP/IP software”中提出了IP Spoof的概念，有兴趣的读者可参见原文：/~emv/tubed/archives/Morris_weakness_in_ TCPIP.txt 。 但要注意：单纯凭借IP Spoof技术不可能很好地完成一次完整的攻击，因为现有IP Spoof技术是属于一种“盲人”式的入侵手段。 一般来说，IP欺骗攻击有6个步骤： (1)首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰; (2)然后连接到目标机的某个端口来猜测ISN基值和增加规律; (3)接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接; (4)然后等待目标机发送SYN+ACK包给已经瘫痪的主机; (5)最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1; (6)连接建立，发送命令请求。 下面是它的两个关键步骤： (1)使被信任主机失去工作能力 为了伪装成被信任主机而不露馅，需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正的被信任主机不能收到任何有效的网络数据，否则将会被揭穿。有许多方法可以达到这个目的(如SYN洪水攻击、Land等攻击)。 (2)序列号取样和猜测 对目标主机进行攻击，必须知道目标主机的数据包序列号。通常如何进行预测呢?往往先与被攻击主机的一个端口(如25端口)建立起正常连接。通常，这个过程被重复N次，并将目标主机最后所发送的ISN存储起来。然后还需要估计他的主机与被信任主机之间的往返时间，这个时间是通过多次统计平均计算出来的。如果往返连接增加64,000，则现就可以估计出ISN的大小是128,000乘以往返时间的一半，如果此时目标主机刚刚建立过一个连接，那么再加上64,00。一旦估计出ISN的大小，就开始着手进行攻击，当然你的虚假TCP数据包进入目标主机时，如果刚才估计的序列号是准确的，进入的数据将被放置在目标机的缓冲区中。 但是在实际攻击过程中往往没这么幸运，如果估计的序列号小于正确值，那么将被放弃。而如果估计的序列号大于正确值，并且在缓冲区的大小之内，那么该数据被认为是一个未来的数据，TCP模块将等待其他缺少的数据。如果估计序列号大于期待的数字且不在缓冲区之内，TCP将会放弃它并返回一个期望获得的数据序列号。伪装成被信任的主机IP后，此时该主机仍然处在瘫痪状态，然后向目标主机的被攻击端口(如25)发送连接请求。目标主机立刻对连接请求作出反应，发更新SYN+ACK确认包给被信任主机，因为此时被信任主机仍然处于瘫痪状态，它当然无法收到这个包，紧接着攻击者向目标主机发送ACK数据包，该数据包使用前面估计的序列号加1。如果攻击者估计正确的话，目标主机将会接收该ACK。连接就正式建立起了，可以开始数据传输了。 对于来自网络外部的欺骗，防范的方法很简单，只需要在局域网的对外路由器上加一个限制设置就可以实现了，在路由器的设置里面禁止运行声称来自于网络内部的信息包。 对于来自局域网外部的IP欺骗攻击的防范则可以使用防火墙进行防范，但是对于来自内部的攻击通过设置防火墙则起不到什么作用，这个时候应该注意内部网的路由器是否支持内部接口。如果路由器支持内部网络子网的两个接口，则必须提高警惕，因为它很容易受到IP欺骗。 通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog等信息包检查工具对信息的源地址和目的地址进行验证，如果发现了信息包来自两个以上的不同地址，则说明系统有可能受到了IP欺骗攻击，防火墙外面正有黑客试图入侵系统。 2. SYN Flooding SYN Flooding是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。 在TCP会话初期，有所谓的“三次握手”过程：对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包进行编号，并需要等待这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。由于TCP要时刻跟踪，这需要额外开销，使得TCP的格式有些显得复杂。 TCP三次握手的步骤如下： (1)设主机A要与主机B通信，要建立一个TCP连接。首先，主机B(在这儿是服务器)，必须先运行一个服务器进程，发出一个“被动找开”命令给TCP。之后服务器进程便不断探测端口，看是否有客户进程有连接请求。并处于“听”状态。客户端主机A的应用进程，向其TCP发“主动打开”命令，指明要与某个IP地址的某个端口建立TCP连接。第一次主机A的TCP便向主机B的TCP发出连接请求报文。TCP报文中指明了要连接的IP地址(隐含TP数据报指明)和端口号，设置能够接受的TCP数据段最大值，以及一些用户数据，SYN=1，ACK=0。这称为“第一次握手”。 (2)主机A的连接请求到达主机B后，主机B的TCP查看是否有进程在侦听该端口，如没有，就发送一个RST=1的应答，拒绝连接，否则将到达TCP数据段留给“侦听”进程。“侦听”进程将发回一个应答TCP报文段，其中SYN=1，ACK=1，确认序号ACKSEQ=X+1，同时自己选一个发送序号SEQ=Y。这是“第二次握手”。 (3)主机A收到主机B的确认报文后，再向主机B发出一个确认TCP报文段，其中SYN=1，ACK=1，SEQ=X+1，ACKSEQ=Y+1，这就完成了“第三次握手”。 在SYN Flooding攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包，如图1所示。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN+ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断地向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。 图1 SYN Flooding攻击示意图 目前在防御SYN Flooding攻击方面有2种比较有效的技术。 (1)SYN-cookie技术 一般情况下，当服务器收到一个TCP SYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN+ACK报文，这时形成一个半连接。SYN Flooding正是利用了这一点，发送大量的伪造源地址的SYN连接请求，而不完成连接。这样就大量地消耗服务器的资源。 SYN-cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN报文后，不立即分配缓冲区，而是利用连接的信息生成一个cookie，并将这个cookie作为将要返回的SYN+ACK报文的初始序列号。当客户端返回一个ACK报文时，根据包头信息计算cookie，与返回的确认序列号(初始的序列号+1)的前24位进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接。 该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配，使SYN Flooding攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息，使攻击者不能伪造cookie。cookie的计算过程如下。 ① 服务器收到一个SYN包后，计算一个消息摘要mac： mac = MAC(A，k) MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的hash函数，它能够提供cookie计算中需要的安全性。A为客户和服务器双方的IP地址和端口号以及参数t的串联组合：A = SOURCE_IP SOURCE_PORT DST_IP DST_PORT t;K为服务器独有的密钥;时间参数t为32比特长的时间计数器，每64秒加1; ② 生成cookie： cookie = mac(0:24)：表示取mac值的第0到24比特位; ③ 设置将要返回的SYN+ACK报文的初始序列号，设置过程如下： · 高24位用cookie代替; · 接下来的3比特位用客户要求的最大报文长度MMS代替; · 最后5比特位为t mod 32。 客户端收到来自服务器SYN+ACK报文后，返回一个ACK报文，这个ACK报文将带一个cookie(确认号为服务器发送过来的SYN ACK报文的初始序列号加1，所以不影响高24位)，在服务器端重新计算cookie，与确认号的前24位比较，如果相同，则说明未被修改，连接合法，然后，服务器完成连接的建立过程。 SYN-cookie技术由于在连接建立过程中不需要在服务器端保存任何信息，实现了无状态的三次握手，从而有效地防御了SYN Flooding攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及了包头的部分信息，在连接建立过程中不在服务器端保存任何信息，所以失去了协议的许多功能，比如超时重传。此外，由于计算cookie有一定的运算量，增加了连接建立的延迟时间，因此，SYN-cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制，即分配了一定的资源后再采用cookie技术，Linux系统中的SYN-cookie就是这样实现的。还有一个问题是，当我们避免了SYN Flooding攻击的同时，也提供了另一种拒绝服务攻击方式，攻击者发送大量的ACK报文，使服务器忙于计算验证。尽管如此，在预防SYN Flooding攻击方面，SYN-cookie技术仍然是一种有效的技术。 (2)地址状态监控的解决方法 地址状态监控的解决方法是利用监控工具对网络中的有关TCP连接的数据包进行监控，并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。 每个源地址都有一个状态与之对应，总共有四种状态： · 初态：任何源地址刚开始的状态; · NEW状态：第一次出现或出现多次也不能断定存在的源地址的状态; · GOOD状态：断定存在的源地址所处的状态; · BAD状态：源地址不存在或不可达时所处的状态。 具体的动作和状态转换根据TCP头中的位码值决定。 ① 监听到SYN包，如果源地址是第一次出现，则置该源地址的状态为NEW状态;如果是NEW状态或BAD状态;则将该包的RST位置1然后重新发出去，如果是GOOD状态不作任何处理。 ② 监听到ACK或RST包，如果源地址的状态为NEW状态，则转为GOOD状态;如果是GOOD状态则不变;如果是BAD状态则转为NEW状态;如果是BAD状态则转为NEW状态。 ③ 监听到从服务器来的SYN ACK报文(目的地址为addr)，表明服务器已经为从addr发来的连接请求建立了一个半连接，为防止建立的半连接过多，向服务器发送一个ACK包，建立连接，同时，开始计时，如果超时，还未收到ACK报文，证明addr不可达，如果此时addr的状态为GOOD则转为NEW状态;如果addr的状态为NEW状态则转为BAD状态;如果为addr的状态为BAD状态则不变。 地址状态的转换图如图2所示。 图2 地址状态转换图 下面分析一下基于地址状态监控的方法如何能够防御SYN Flooding攻击。 对于一个伪造源地址的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，当监听到服务器的SYN+ACK报文，表明服务器已经为该源地址的连接请求建立了半连接。此时，监控程序代源地址发送一个ACK报文完成连接。这样，半连接队列中的半连接数不是很多。计时器开始计时，由于源地址是伪造的，所以不会收到ACK报文，超时后，监控程序发送RST数据包，服务器释放该连接，该源地址的状态转为BAD状态。之后，对于每一个来自该源地址的SYN报文，监控程序都会主动发送一个RST报文。 对于一个合法的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，服务器响应请求，发送SYN+ACK报文，监控程序发送ACK报文，连接建立完毕。之后，来自客户端的ACK很快会到达，该源地址的状态转为GOOD状态。服务器可以很好地处理重复到达的ACK包。 3. ACK Flooding ACK Flooding攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。 这里，服务器要做两个动作：查表、回应ACK/RST。这种攻击方式显然没有SYN Flooding给服务器带来的冲击大，因此攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，发现有一些TCP服务会对ACK Flooding比较敏感，比如说JSP Server，在数量并不多的ACK小包的打击下，JSP Server就很难处理正常的连接请求。对于Apache或者IIS来说，10kbps的ACK Flooding不会构成危胁，但是更高数量的ACK Flooding会造成服务器网卡中断频率过高，负载过重而停止响应。可以肯定的是，ACK Flooding不但可以危害路由器等网络设备，而且对服务器上的应用有不小的影响。 如果没有开放端口，服务器将直接丢弃，这将会耗费服务器的CPU资源。如果端口开放，服务器回应RST。 利用对称性判断来分析出是否有攻击存在。所谓对称性判断，就是收包异常大于发包，因为攻击者通常会采用大量ACK包，并且为了提高攻击速度，一般采用内容基本一致的小包发送。这可以作为判断是否发生ACK Flooding的依据，但是目前已知情况来看，很少有单纯使用ACK Flooding攻击，通常都会和其他攻击方法混合使用，因此，很容易产生误判。 一些防火墙应对的方法是：建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCP协议栈实现来说，状态检查的过程相对简化。例如，不作sequence number的检查，不作包乱序的处理，只是统计一定时间内是否有ACK包在该“连接”(即四元组)上通过，从而“大致”确定该“连接”是否是“活动的”。 4. UDP Flooding UDP Flooding是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器，或Radius认证服务器、流媒体视频服务器。100kbps的UDP Flooding经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP Flooding攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。 正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDP Flooding的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。 UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flooding的防护非常困难。其防护要根据具体情况对待。 · 判断包大小：如果是大包攻击则使用防止UDP碎片方法。根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。 · 攻击端口为业务端口：根据该业务UDP最大包的长度设置检测UDP最大包以过滤异常流量。 · 攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务;另一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。 在网络的关键之处使用防火墙对来源不明的有害数据进行过滤，可以有效减轻UDP Flooding攻击。此外，在用户的网络中还应采取如下的措施。 · 禁用或过滤监控和响应服务。 · 禁用或过滤其他的 UDP 服务。 · 如果用户必须提供一些 UDP 服务的外部访问，那么需要使用代理机制来保护那种服务，保证它不会被滥用。 · 对用户的网络进行监控以了解哪些系统在使用这些服务，并对滥用的迹象进行监控。 · 对于一些小型的服务器，可以直接用防火墙添加规则的方法屏蔽掉。 5. Connection Flooding Connection Flooding是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的连接。 其中一种攻击方法是每秒钟向服务器发起大量的连接请求，这类似于固定源IP的SYN Flooding攻击，不同的是采用了真实的源IP地址。通常这可以在防火墙上限制每个源IP地址每秒钟的连接数来达到防护目的。但现在已有工具采用慢速连接的方式，也即几秒钟才和服务器建立一个连接，连接建立成功之后并不释放并定时发送垃圾数据包给服务器使连接得以长时间保持。这样一个IP地址就可以和服务器建立成百上千的连接，而服务器可以承受的连接数是有限的，这就达到了拒绝服务的效果。 另外，蠕虫大规模爆发的时候，由于蠕虫代码比较简单，传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫，则表现为大范围扫描行为。这是在判断Connection Flooding时需要注意的。 该攻击的一般表现形式是：在受攻击的服务器上使用netstat –an命令来查看，会发现大量连接状态来自少数的几个源。如果统计的话，可以看到连接数对比平时出现异常。并且增长到某一阈值之后开始波动，说明此时可能已经接近性能极限。因此，对这种攻击的判断原则为：在流量上体现并不大，甚至可能会很小;出现大量的ESTABLISH状态;新建的ESTABLISH状态总数有波动。 防范该攻击主要有如下方法。 · 主动清除残余连接。 · 对恶意连接的IP进行封禁。 · 限制每个源IP的连接数。 · 可以对特定的URL进行防护。 · 反查Proxy后面发起HTTP Get Flood的源。

⑨ 如何屏蔽发来的RST包

是GF-W的作用
关键字这种技术叫主干路由器关键字过滤阻断

这个系统能够从计算机网路系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网路中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤，如果符合既定的规则，则向该连接两端的计算机发送IP欺骗性质（从前后IP报头TTL值相差较大可知）的RST复位包，干扰两者间正常的TCP连接，使数据流中断，而在终端主机上会显示连接失败。

再多就不说了，说多了会被 block
加密代理可以绕过墙，自行上网搜索
---------------------------------
哈哈，某个说藏文是中文人的又来和我喷了
wiki的强项在于有据可查，说政治，自然科学？强？简直是笑话

如果这位只认识中文，我就没办法再理论了，就像对英文盲说，科学文献是英文的好，他说我不认识英文，所以英文文献不好。

难道要wiki说64kill的学生好，kill的学生秒，kill的学生呱呱叫才叫不反华？你心中的正义是什么样的？历史不是由某个party说了算的，时间到了，自会真相大白。

又说到GF-W,日本也说南京大屠杀是二十世纪最大的谎言，bitch就是bitch，卖了还立贞节牌坊。南京大屠杀不是日本说没有就没有的，同样GF-W也不是ccp说没有就没有的。