PSTN是什么意思?
PSTN ( Public Switched Telephone Network ) 定 义公共交换 *** *** ,一种常用旧式 *** 系统。 工作原理公共交换 *** *** 是一种全球语音通信电路交换 *** ,包括商业的和 *** 拥有的。发展历程它也指简单老式 *** 业务(POTS)。它是自Alexander Graham Bell发明 *** 以来所有的电路交换式 *** *** 的 *** 。如今,除了使用者和本地 *** 总机之间的最后连接部分,公共交换 *** *** 在技术上已经实现了完全的数字化。在和因特网的关系上,PSTN提供了因特网相当一部分的长距离基础设施。因特网服务供应商(ISPS)为了使用PSTN的长距离基础设施,以及在众多使用者之间通过信息交换来共享电路,需要付给设备拥有者费用。这样因特网的用户就只需要对因特网服务供应商付费。 公共交换 *** 网是基于标准 *** 线路的电路交换服务,用来做为连接远程端点的连接 *** 。典型的应用有远程端点和本地LAN之间的连接 和远程用户拨号上网。由于模拟 *** 线路 是针对话音频率30-4000Hz 而优化设计的,使通过模拟 *** 线路的数据传输速率被限制在33。4Kbps以内。请参考:
防火墙 怎么防DDoS 攻击?我没次被攻击就不能上网了?喀吧防火墙的
防DDoS攻击11招
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。
4.确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
5.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过 *** 线发现未受保护的主机,即刻就能访问极为机密的数据。
6.禁止使用 *** 访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问 *** 上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
7.限制在防火墙外与 *** 文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
8.确保手头有一张最新的 *** 拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他 *** 设备,还应该包括 *** 边界、非军事区(DMZ)及 *** 的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
10.检查所有 *** 设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
11.利用DDoS设备提供商的设备。
遗憾的是,目前没有哪个 *** 可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。
ip协议与 *** 规模的矛盾突出表现在 *** 攻击上吗
*** 攻击: *** 扫描、监听、入侵、后门、隐身;
*** 防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。
分析TCP/IP协议,说明各层可能受到的威胁及防御 *** 。
*** 层:IP欺骗攻击,保护措施;防火墙过滤、打补丁;
传输层:应用层:邮件炸弹、病毒、木马等,防御 *** :认证、病毒扫描、安全教育等。
分析 *** 安全的层次体系:
从层次体系上,可以将 *** 安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
三. 对于注重 *** 安全的大佬们一定关心如何对TCP/IP的防护,这里我们要指出,目前的防护是针对四层(传输层)和七层(应用层)。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
首先是传输层详解:
1. 异常包
TCP/UDP:端口值为0的包;校验和错误的包
TCP标志位异常包:SYN只能单独存在或只能和ACK共存,和其他标志共存就是异常包;没有标志或标志全置的包;有ACK标志但Acknowledgment Number为0的包;有SYN标志但Sequence Number为0的包;有URG标志但Urgent Pointer为0,或没有URG标志但Urgent Pointer不为0的包;RST和除ACK标志之外的其他标志共存的包;
这种攻击标志很明显,防御也很容易,可以做到100%检测并阻断;
2. LAND攻击
TCP层的攻击了,不过在 *** 层就可以防护;攻击方发送源地址和目的地址相同的TCP SYN包,对老的某些操作系统就会发SYNACK包给自身,建立空连接,最终消耗尽自身资源,现在的操作系统已经不会那么傻了,这种攻击也可以做到100%检测并阻断;
3. Flood攻击
syn flood:是TCP协议的更大弱点了,对syn flood攻击的分析在另一篇文章中详细说明了,理论上是无法真正防御的,只能进行一定程度的缓解;
UDP flood:就是发送大量UDP包阻塞目的机通信,由于UDP是非连接协议,因此只能通过统计的 *** 来判断,很难通过状态检测来发现,只能通过流量限制和统计的 *** 缓解;对于有些协议,服务器部分的计算量会远大于客户端的计算量,如DNS,野蛮模式的IKE等,这些情况下flood攻击更容易形成DOS。
4. 端口扫描
端口扫描往往是 *** 入侵的前奏,通过端口扫描,可以了解目标机器上打开哪些服务,有的服务是本来就是公开的,但可能有些端口是管理不善误打开的或专门打开作为特殊控制使用但不想公开的,通过端口扫描可以找到这些端口,而且根据目标机返回包的信息,甚至可以进一步确定目标机的操作系统类型,从而展开下一步的入侵。
TCP扫描
按照RFC,当试图连接一个没有打开的TCP端口时,服务器会返回RST包;连接打开的TCP端口时,服务器会返回SYNACK包
合法连接扫描:
connect扫描:如果是打开的端口,攻击机调用connect函数完成三次握手后再主动断开;关闭的端口会连接识别
SYN扫描:攻击机只发送SYN包,如果打开的端口服务器会返回SYNACK,攻击机可能会再发送RST断开;关闭的端口返回RST;
异常包扫描:
FIN扫描:攻击机发送FIN标志包,Windows系统不论端口是否打开都回复RST;但UNIX系统端口关闭时会回复RST,打开时会忽略该包;可以用来区别Windows和UNIX系统;
ACK扫描:攻击机发送ACK标志包,目标系统虽然都会返回RST包,但两种RST包有差异;
对于合法连接扫描,如果SYN包确实正确的话,是可以通过防火墙的,防火墙只能根据一定的统计信息来判断,在服务器上可以通过netstat查看连接状态来判断是否有来自同一地址的TIME_WAIT或SYN_RECV状态来判断。
对于异常包扫描,如果没有安装防火墙,确实会得到相当好的扫描结果,在服务器上也看不到相应的连接状态;但如果安装了防火墙的话,由于这些包都不是合法连接的包,通过状态检测的 *** 很容易识别出来(注意:对于标准的Linux内核所带防火墙netfilter的TCP状态检测的实现,ACK和FIN扫描是可以通过的,需要修改才能防御)。
UDP扫描
当试图连接一个没有打开的UDP端口时,大部分类型的服务器可能会返回一个ICMP的端口不可达包,但也可能无任何回应,由系统具体实现决定;对于打开的端口,服务器可能会有包返回,如DNS,但也可能没有任何响应。
UDP扫描是可以越过防火墙的状态检测的,由于UDP是非连接的,防火墙会把UDP扫描包作为连接的之一个包而允许通过,所以防火墙只能通过统计的方式来判断是否有UDP扫描。
5. TCP紧急指针攻击
Winnuke:对老的Windows系统,对TCP139端口发送带URG标志的包,会造成系统的崩溃,特征明显,防火墙可以100%防御,但也可能误伤;
6. TCP选项攻击
相对IP选项,TCP选项利用率要高很多,很多正常包中都要用到,TCP选项攻击包括:
1) 非法类型选项:正常的选项类型值为0、1、2、3、8、11、23、13,其他类型的出现是可疑的(类型4,5,6,7虽然定义了但被类型8取代,正常情况下也是不用的);
2) 时间戳:用于搜集目的机的信息;
3) 选项长度不匹配:选项中的长度和TCP头中说明的TCP头长度计算出的选项长度不一致;
4) 选项长度为0:非0、1类型的选项长度为0,是非法的;
5) 选项缺失,一般SYN包中都要有MSS选项,没有的话反而不正常;
总结
传输层的攻击也属于特征比较明显的类型,除syn flood外防护也比较容易,由于模式固定,也适合硬件实现。syn flood是TCP永远的痛,是TCP设计之初没有仔细考虑到的,在一些新的协议如SCTP(132),已经考虑到此因素,但由于TCP应用太广泛,要取代TCP基本不太可能。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
再来是应用层:
DDOS简介
分布式拒绝服务攻击英文缩写即”Ddos”,指以分散攻击源来黑进指定网站的黑客方式。DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者 *** 带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与 *** 技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的 *** ,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的”消化能力”加强了不少。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
应用层DDOS不同于 *** 层DDOS,由于发生在应用层,因此TCP三次握手已经完成,连接已经建立,所以发起攻击的IP地址也都是真实的。但应用层DDOS有时甚至比 *** 层DDOS攻击更为可怕,因为今天几乎所有的商业Anti-DDOS设备,只在对抗 *** 层DDOS时效果较好,而对应用层DDOS攻击却缺乏有效的对抗手段。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
1、CC攻击
CC攻击的前身是一个叫fatboy的攻击程序,当时黑客为了挑战绿盟的一款反DDOS设备开发了它。挑衅叫Challenge Collapasar。
CC攻击的原理非常简单,就是对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务器端资源的目的。
在互联网中充斥着各种搜索引擎、信息收集等系统的爬虫(spider),爬虫把小网站直接爬死的情况时有发生,这与应用层DDOS攻击的结果很像。由此看来,应用层DDOS攻击与正常业务的界限比较模糊。
应用层DDOS攻击还可以通过以下方式完成:在黑客入侵了一个流浪很大的网站后,通过纂改页面,将巨大的用户流量分流到目标网站。
比如,在大流浪网站SiteA上插入一段代码:
2、限制请求频率
最常见的针对DDOS的防御措施就是针对每个“客户端”做一个请求频率的限制。
3、道高一尺,魔高一丈
上面介绍的方案用:IP地址或者Cookie来定位一个客户端。但用户的IP地址可能会发生改变,而Cookie有可能会被清空。
例如利用不同的 *** 服务器变换IP地址。批量导入 *** 服务器地址,然后暴利破解用户名和密码。
所以:
1)应用代码要做好性能优化:合理利用memcache
2)在 *** 架构上要做好优化:善于利用负载均衡分流。
3) 实现一些对抗手段:比如限制每个IP地址的请求频率。
三、验证码那些事儿
1)验证码消耗掉后SessionID未更新,导致使用原有的SessionID可以一直重复提交同一个验证码。
2)
四、防御应用层DDOS
除了验证码,还有
1)检查HTTP头的User-Agent,但是这是可以纂改的。
2)让客户端解析一段Javascript,因为大部分的自动化脚本都是直接构造HTTP包完成的,并非在一个浏览器环境中发起的请求。因此一段需要计算的Javascript,可以判断出客户端到底是不是浏览器。类似的,发送一个flash让客户端解析,也可以。但注意,这种 *** 不是万能的,有的自动化脚本是内嵌在浏览器中的“外挂”,就无法检测出来了。
3)配置Web Server的 Timout、KeepAliveTimeout等
五、资源耗尽攻击
1、Slowloris攻击:原理是以较低的速度往服务器发送HTTP请求。由于WebServer对于并发的连接数有一定的上限,因此若是恶意地占用住这些连接不释放,那么Web Server的所有连接都被恶意连接占用,从而无法接受新的请求,导致拒绝服务。
在正常的HTTP包头中,是以两个CLRF表示HTTP Headers部分结束的。
由于Web Server只收到了一个\r\n,因此将认为HTTP Headers没有结束,并保持此连接不释放,继续等待完整的请求。此时客户端再发送任意的HTTP头,保持住连接即可。
当构造多个连接后,服务器的连接数很快就会达到上限。
此类拒绝服务攻击的本质,实际上是对有限资源的无限制滥用。
2、HTTP POST DOS
原理是在发送HTTP POST包时,指定一个非常大的Content-Length值,然后以很低的速度发包,比如10-100s发一个字节,保持住这个连接不断开。这样当客户端连接数多了以后,占用住了Web Server的所有可用连接,从而导致DOS。
要解决此类问题,可以使用Web应用防火墙,或者一个定制的Web Server安全模块。
3、Server Limit DOS
Cookie也能造成一种拒绝服务。
Web Server对HTTP包头都有长度限制,以Apache为例,默认是8192个字节。也就是说,Apache所能接受的更大HTTP包头大小为8192字节(这里指的是Request Header,如果是Request Body,则默认的大小限制是2GB)。如果客户端发送的HTTP包头超过这个大小,服务器就会返回一个4xx错误。
加入攻击者通过XSS攻击,恶意地往客户端写入了一个超长的Cookie,则该客户端在清空Cookie之前,将无法再访问该Cookie所在域的任何页面。这是因为Cookie也是放在HTTP包头发送的,而Web Server默认会认为这是一个超长的非正常请求,从而导致“客户端”的拒绝服务。
要解决此类问题,需要调整Apache配置参数 LimitRequestFieldSize,这个参数设置为0时,对HTTP包头的大小没有限制。
六、一个正则引发的血案:ReDOS
与前面不同,ReDOS是一种代码缺陷。
正则表达式写的不好时,攻击者恶意构造输入时,这些有缺陷的正则表达式就会消耗大量的系统资源(比如CPU和内存),从而导致整台服务器的性能下降,表现的结果是系统速度很慢,有的进程或服务失去响应,与拒绝服务的后果是一样的。
ReDOS是一个埋藏在系统中的炸弹。
关注我,为你开拓更多知识点! 私信留言“知识”在线答疑哦!
总结 TCP/IP:
1.物理层:主要定义物理设备标准,如网线的接口类型、光纤的接口类型、各种传输介质的传输速率等。它的主要作用是传输比特流(就是由1、0转化为电流强弱来进行传输,到达目的地后在转化为1、0,也就是我们常说的数模转换与模数转换)。这一层的数据叫做比特。
2.数据链路层:定义了如何让格式化数据以进行传输,以及如何让控制对物理介质的访问。这一层通常还提供错误检测和纠正,以确保数据的可靠传输。
3. *** 层:在位于不同地理位置的 *** 中的两个主机系统之间提供连接和路径选择。Internet的发展使得从世界各站点访问信息的用户数大大增加,而 *** 层正是管理这种连接的层。
4.传输层:定义了一些传输数据的协议和端口号(WWW端口80等),如:TCP(传输控制协议,传输效率低,可靠性强,用于传输可靠性要求高,数据量大的数据),UDP(用户数据报协议,与TCP特性恰恰相反,用于传输可靠性要求不高,数据量小的数据,如 *** 聊天数据就是通过这种方式传输的)。 主要是将从下层接收的数据进行分段和传输,到达目的地址后再进行重组。常常把这一层数据叫做段。
5.会话层:通过传输层(端口号:传输端口与接收端口)建立数据传输的通路。主要在你的系统之间发起会话或者接受会话请求(设备之间需要互相认识可以是IP也可以是MAC或者是主机名)
6.表示层:可确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。例如,PC程序与另一台计算机进行通信,其中一台计算机使用扩展二一十进制交换码(EBCDIC),而另一台则使用美国信息交换标准码(ASCII)来表示相同的字符。如有必要,表示层会通过使用一种通格式来实现多种数据格式之间的转换。
7.应用层: 是最靠近用户的OSI层。这一层为用户的应用程序(例如电子邮件、文件传输和终端仿真)提供 *** 服务。
本文禁止转载或摘编
知识
学习
互联网
黑客
零基础
*** 安全
*** 工程师
TCP/IP
*** 协议
2021
0条大神的评论