单元3 网络攻击与防御

单元3 网络攻击与防御 [单元学习目标] 知识目标1．了解网络服务漏洞的基本概念2．掌握端口扫描器扫描网段的方法3．掌握综合扫描器扫描网段的
方法4．了解木马的工作原理5．了解木马的入侵方法6．掌握木马清除和防御的方法7．了解DDoS攻击的原理8．掌握DDoS攻击防御的方
法 [单元学习目标]能力目标1．具备使用端口扫描器扫描网段的能力 2．具备使用综合扫描器扫描网段的能力 3．具备使用木马工具模拟入
侵的能力 4．具备判断木马入侵的能力 5．具备木马清除和防御的能力 6．具备DDoS攻击防御的能力情感态度价值观 1．培养认真细致
的工作态度 2．逐步形成网络安全的主动防御意识[单元学习内容]网络在带给人们便利的同时，也给病毒、木马的泛滥提供了温床。网络用户在
使用网络过程中，除了会受到病毒感染的威胁外，还有可能遭受一些有特殊目的用户的有意识的攻击，企图从被攻击的计算机中获取隐私信息或破坏
正常网络工作，而这就是网络攻击。通过了解黑客攻击手段的基本原理，熟悉基本黑客工具的使用，可以掌握常见的攻击方式（如拒绝服务攻击、木
马、网络监听、扫描器等）的防御和清除方法。任务1 扫描网络漏洞 活动1 使用端口扫描器扫描网段【任务描述】为了发现系统缺陷和
漏洞，入侵者和管理员都常常使用扫描的方式来侦测系统和网络，不过两者目的不一致。入侵者是通过扫描技术来收集信息和检测漏洞，为入侵做好
前期准备工作；网络管理员则是发现系统漏洞后及时修补，以提高安全性能。但两者殊途同归，都应用了扫描功能。【任务分析】工欲善其事，必先
利其器。应该选择什么扫描工具呢？这里推荐Nmap。Nmap是一个免费的开源实用程序，它可以对网络进行探查和安全审核。Nmap可以运
行在所有主要的计算机操作系统上，并且支持控制台和图形两种版本。任务1 扫描网络漏洞 活动1 使用端口扫描器扫描网段【任务实战
】1．了解端口扫描器服务器上所开放的端口就是潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进
行端口扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同端口的服务，并记录目标给予的
回答，通过这种方法可以搜集到很多关于目标主机的各种有用的信息，如远程系统是否支持匿名登录、是否存在可写的FTP目录、是否开放Tel
net服务和HTTPD服务等。任务1 扫描网络漏洞 活动1 使用端口扫描器扫描网段2．端口扫描器Nmap的安装及使用步骤1
获得Nmap端口扫描器。Nmap扫描器可以直接从互联网下载获得，从网址http://www.nmapwin.org/可以下载Wi
ndows系统的图形化版本。步骤2 Nmap扫描器的安装。Nmap扫描器的安装也非常简单，只需要按照提示一步步安装即可，但是在安
装过程中系统会提示要安装WinPcap软件，这是需要安装的。步骤3 运行Nmap。安装好后，选择“开始”→“程序”→“nmap-
Zenmap GUI”，启动后的界面如图所示。任务1 扫描网络漏洞 活动1 使用端口扫描器扫描网段步骤4 填写扫描目标。
Target:要扫描的目标IP地址参数是必须填写的，可以是单一主机，也可以是一个子网，格式如下：一个具体的网址192.168.1.
1、一个网段192.168.1.1～25、一个子网192.168.1.0/24。步骤5 选择扫描的方式。单击“Profile（配
置参数）”下拉列表箭头，进行选择即可。在这里选择的是第一项“Intense scan（强力扫描）”。步骤6 参数设置完成后单击“
Scan”按钮开始扫描。任务1 扫描网络漏洞 活动1 使用端口扫描器扫描网段步骤7 查看扫描结果。① 查看网络中有多少存活
主机。通过扫描发现了网络中存在4台存活主机，显示在窗口的左侧。② 查看总体的输出结果。选择“Nmap Output”标签，查看输出
结果，以主机192.168.1.1为例加以说明。可以看到开发端口的情况、所提供的服务和服务的版本信息，如图3-5所示，主机开放了8
0端口、135端口、139端口、445端口、1025端口、1026端口等，以及它们提供的服务情况。如80端口提供HTTP服务是用M
icrosoft IIS 6.0提供的服务。我们会发现有些端口是不必要开放的，可以关闭掉，如何关闭请参看单元1中的有关内容。任务1
扫描网络漏洞 活动1 使用端口扫描器扫描网段输出结果中还包括主机的详细信息，主要包括主机的MAC地址（MAC Addres
s）、硬件类型（Device Type）、正在运行的系统（Runing）、系统的详细信息（OS Details）。③ 查看端口开放
标签。这个标签显示的内容和第一标签中输出的结果一致，只不过这里显示得更加清晰、明了。④ 查看主机的详细信息标签。这个标签显示的内容
和第一标签中输出的结果一致，只不过这里显示得更加清晰。任务1 扫描网络漏洞 活动2 使用综合扫描器扫描网段【任务描述】扫描器
除了能扫描端口外，往往还能发现系统活动情况，以及哪些服务在运行，并且用已知的漏洞测试这些系统。有些扫描器还有进一步的功能，包括操作
系统识别、应用系统识别、服务器系统识别等。【任务分析】小齐决定采用非常著名的X-Scan对公司的网站服务器进行一次全面的扫描。任务
1 扫描网络漏洞 活动2 使用综合扫描器扫描网段【任务实战】1．X-Scan功能简介X-Scan是由安全焦点开发的一个功能强
大的扫描工具。采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容
包括远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十多个大类。2．X-Sca
n的获得及安装X-Scan是完全免费的软件，无需注册，无需安装（解压缩即可运行，自动检查并安装WinPcap驱动程序）。任务1
扫描网络漏洞 活动2 使用综合扫描器扫描网段3．X-Scan的使用使用X-Scan综合扫描器扫描公司的网站服务器192.168
.1.1，看看公司的网站服务器存在哪些漏洞。步骤1 运行主程序以后和以前版本的差别不大，上方功能按钮包括 “扫描模块”、“扫描参
数”、“开始扫描”、“暂停扫描”、“终止扫描”、“检测报告”、“使用说明”、“在线升级”、“退出”，程序运行主页面如图。任务1
扫描网络漏洞 活动2 使用综合扫描器扫描网段步骤2 我们从“扫描参数”开始。打开“设置”菜单，选择“扫描参数”会出现一个“扫
描参数”对话框。选中“指定IP范围”输入要检测的目标主机的域名或IP如192.168.1.1，也可以对多个IP进行检测。如输入“1
92.168.1.1～192. 168.1.255”，这样可以对这个网段的主机进行检测。同时也可以对不连续的IP地址进行扫描，只要
在“从文件获取主机列表”项前面打上对勾就可以了，公司内部网站服务器的地址为192.168.1.1。任务1 扫描网络漏洞 活动2
使用综合扫描器扫描网段步骤3 单击“全局设置”前面的那个“+”号，展开后会有4个模块，分别是“扫描模块”、“并发扫描”、“扫
描报告”、“其他设置”。首先选择“扫描模块”，在右边的边框中会显示相应的参数选项，如果是扫描少数几台计算机的话可以全选，如果扫描的
主机比较多的话，要有目标地去扫描，只扫描主机开放的特定服务就可以，这样会提高扫描的效率。任务1 扫描网络漏洞 活动2 使用综
合扫描器扫描网段步骤4 接着，选择“并发扫描”，可以设置要扫描的最大并发主机数和最大并发线程数，也可以单独为每个主机的各个插件设
置最大线程数。步骤5 接下来是“扫描报告”，选择后会显示在右边的窗格中，它会生成一个检测IP或域名的报告文件，同时报告的文件类型
可以有3种选择，分别是HTML、TXT、XML。任务1 扫描网络漏洞 活动2 使用综合扫描器扫描网段步骤6 “其他设置”模
块有两种条件扫描：一是“跳过没有响应的主机”，二是“无条件扫描”。如果设置了“跳过没有响应的主机”，对方如果禁止了ping或防火墙
设置使对方没有响应的话，X-Scan会自动跳过检测下一台主机。如果用“无条件扫描”的话，X-Scan会对目标进行详细检测，这样结果
会比较详细也会更加准确，但扫描时间会延长。“跳过没有检测到开放端口的主机”和“使用Nmap判断远程操作系统”这两项一般都是需要选上
的，下边的那个“显示详细进度”项可以根据自己的实际情况选择，这个主要是显示检测的详细过程。步骤7 “插件设置”模块。该模块包含针
对各个插件的单独设置，如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。任务1 扫描网络漏洞 活动2
使用综合扫描器扫描网段各插件包括“端口相关设置”、“SNMP相关设置”、“NETBIOS相关设置”、“漏洞检测脚本设置”、“CGI
相关设置”、“字典文件设置”。步骤8 开始扫描，选择“文件”→“开始扫描”或者单击界面的快捷图标 开始扫描。在扫描过程中，可从“
文件”中选择“暂停扫描”或者“停止扫描”或单击界面的快捷图标 、 来暂停扫描或者停止扫描。任务1 扫描网络漏洞 活动2 使用
综合扫描器扫描网段步骤9 查看扫描报告。扫描完成后，选择“查看”→“检测报告”来打开扫描报告，以查看扫描报告。在扫描过程中，如果
检测到了漏洞的话，可以在“漏洞信息”中察看。扫描结束以后会自动弹出检测报告，包括漏洞的风险级别和详细的信息，以便可以对对方主机进行
详细的分析。在类型为“漏洞”的扫描结果中发现了严重的系统漏洞，就是NT-server弱口令，用户名为Administrator、密
码为123456。任务1 扫描网络漏洞 活动2 使用综合扫描器扫描网段【任务拓展】一、理论题1．简述端口扫描的原理。2．如何
扫描局域网中计算机的相关信息（主机名、IP地址、MAC地址等）？3．如何发现服务器的漏洞？二、实训1．使用端口扫描器扫描一个网段，
并写出扫描结果。2．搜索、下载、安装一款综合扫描器，然后使用该扫描器对端口、系统漏洞进行扫描，生成扫描报告。任务2 木马的清除与
防护 活动1 认识木马【任务实战】步骤1 获得木马软件。木马软件的获得非常容易，网上有很多木马软件可以下载使用。但是下载此软
件的目的是为了学习，本实例以非常著名的木马“冰河”为例。步骤2 配置木马。“冰河”木马无需安装，解压缩即可，这时可以看到文件夹下
面有两个文件，名字分别为“G_Client.exe”和“G_Server.exe”。其中“G_Client.exe”为木马的控制程
序，“G_Server.exe”为木马的服务端程序。任务2 木马的清除与防护 活动1 认识木马（1）启动冰河木马的控制端。
双击文件夹下的文件“G_Client.exe”。（2）配置服务端程序。 选择“设置”菜单中的“配置服务器程序”进行木马服务器端的配
置。单击“待配置文件”按钮，选择服务端程序。单击“确定”按钮后单击“关闭”按钮。这样就制作完成了木马的服务端程序。任务2 木马的
清除与防护 活动1 认识木马步骤3 传播木马。 木马的传播方式主要有两种：一种是通过E-mail，控制端将木马程序以附件的形
式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装
程序上，下载后，只要一运行这些程序，木马就会自动安装。本实例是模拟木马的入侵，因此只是把服务端程序G_Server共享，然后在远程
主机192.168.1.2上单击执行。步骤4 建立连接。 要想用控制端连接远程的服务端，双方必须同时在线， 选择“文件”菜单中的
“搜索计算机”，就会搜索出 已经运行服务端的计算机的IP地址。已经搜索出远程 主机192.168.1.2正在线运行服务端。任务2
木马的清除与防护 活动1 认识木马步骤5 控制计算机。（1）左侧的树形控制台中会出现地址为192.168.1.2的那台计算
机的硬盘，可以对硬盘进行完全的读写操作。（2）选择左侧的“命令控制台”选项卡。命令控制台包括口令类命令、控制类命令、网络类命令、文
件类命令、注册表读写、设置类命令。这6大类命令可以实现对整个系统的完全控制，而且是在用户不知情的情况下完成的。任务2 木马的清除
与防护 活动2 木马的清除与防护【任务描述】小齐通过冰河木马了解了木马的工作原理，但是会放置木马和控制并不是主要目的，那么如何
清除木马呢？【任务分析】小齐准备自己动手来清除冰河木马，借此总结清除木马的一般步骤。任务2 木马的清除与防护 活动2 木马的
清除与防护【任务实战】当我们发现机器无故经常重启、密码信息泄露、 桌面不正常时，可能就是中了木马程序，需要 进行杀毒。步骤1 查
看开机启动程序的注册表项。判断是否存在木马：一般病毒都需要修改注册表，我们可以在注册表中查看到木马的痕迹。选择“开始”→“运行”，
输入“regedit”，这样就进入了注册表编辑器，依次打开子键目录“HKEY_LOCAL_MACHINE\SOFTWARE\Mic
rosoft \Windows\CurrentVersion\Run”，在目录中我们发现第一项的数据“C：\WINDOWS\sys
tem32\Kernel32.exe”，Kernel32.exe就是冰河木马程序在注册表中加入的键值，将该项删除。任务2 木马的
清除与防护 活动2 木马的清除与防护步骤2 查看开机启动服务的注册表项。然后再打开“HKEY_LOCAL_MACHINE\S
OFTWARE\Microsoft\Windows\Current Version\RunServices” ，在目录中也发现了一
个键值“C：\WINDOWS\ system32\Kernel32.exe”，将其删除。删掉其在注册表中的启动项后，再删除病毒原文
件。任务2 木马的清除与防护 活动2 木马的清除与防护认真检查。步骤3 删除病毒源文件。打开“C:\WINDWOS\sys
tem32”，找到Kernel32.exe将其删除，然后将C:\WINDWOS\system32中sysexplr.exe文件删除
。之后重启机器，冰河木马就彻底被删除掉了。步骤4 连接测试。在控制端再用冰河木马搜索可连接主机，图所示是在远程主机删除木马之后搜
索的结果。我们发现已经搜索不到192.168.1.2主机了。任务2 木马的清除与防护 活动2 木马的清除与防护步骤5 木马
的防护。为了避免木马对用户造成不必要的伤害，有必要提前采取一些措施来预防木马，即阻止木马植入系统。 （1）不要随便下载来历不明的软
件。为了防止在下载和执行软件时被植入木马，最好到正规网站去下载软件，这些网站的软件更新快，且大部分都经过测试，可以放心使用。假如需
要下载一些非正规网站上的软件，注意不要在在线状态下安装软件，一旦软件中含有木马程序，就有可能导致系统信息的泄露。 （2）谨慎使用
电子邮件。电子邮件的使用非常广泛，为了避免木马通过电子邮件植入计算机，在收发带附件邮件时要非常小心。不要轻易地打开来历不明的邮件，
如广告邮件等，打开附件时更要格外小心。 （3）安装木马防火墙。前面单元2介绍恶意软件的清除时已经提到了的360安全卫士，不但清除恶
意插件非常好用，它的另一大特色就是也能清除木马，关于如何操作请参看前面章节，关于软件的详细介绍可以访问官方网站www.360.cn
获得更多资料。任务2 木马的清除与防护 活动3 模拟黑客入侵放置木马【任务描述】通过对木马原理和防御知识的学习，小齐明白了只
要不下载来历不明的软件、谨慎使用电子邮件就可以让计算机不中木马了。但是近期公司网站的主页一打开，立即跳转到其他网站的页面，公司责成
小齐保证网站运行正常。【任务分析】小齐马上对网站服务器进行检查，安装系统漏洞、软件漏洞测试工具，进行木马检测，发现了木马程序，有人
恶意攻击网站。这个黑客是如何把木马放进来的，小齐准备找台备用服务器自己一探究竟。任务2 木马的清除与防护 活动3 模拟黑客入
侵放置木马【条件准备】本次模拟攻击使用两台计算机，一台计算机要求是Windows 2003操作系统。另外一台可以是Windows
XP或者是Windows 2003系统。被攻击主机要求139端口开放，默认共享没有关闭。【任务实战】步骤1 使用Namp进行主机
和端口扫描。在目标区域输入要扫描的IP地址区域为192.168.1.1～21，主要是探测这个IP地址段是否有存活主机，从图中可以看
出有一台主机192.168.1.21存活，而且开放了80、135、139、445、1025、1027等几个端口，运行的是Windo
ws Sever 2003操作系统。任务2 木马的清除与防护 活动3 模拟黑客入侵放置木马步骤2 利用X-San综合扫描器
探测系统漏洞。从X-Scan的扫描结果可以看出远程主机的管理员账号和密码已经被我们破解，而且139端口还在开放，那么就可以尝试利用
IPC$漏洞对主机进行入侵。平时我们总能听到有人在说IPC$漏洞，IPC$漏洞，其实IPC$并不是一个真正意义上的漏洞，我想之所以
有人这么说，一定是指微软自己安置的那个“后门”，黑客就是利用了这一个漏洞。任务2 木马的清除与防护 活动3 模拟黑客入侵放置
木马步骤3 尝试使用IPC$漏洞入侵并放置木马。（1）使用net use命令并运用上一步破解的用户名和密码探测是否可以建立IPC
$远程管理连接。显示“命令成功完成”，表示连接已经成功建立了。（2）启动冰河木马的控制端，配置服务端程序G_Server.exe，
并且把它复制到C盘根目录下。（3）上传木马的服务端到主机。 使用copy命令把C盘根目录下的木马服务端程序G_Server.exe
上传到192.168.1.21这台主机，命令和运行结果如图。任务2 木马的清除与防护 活动3 模拟黑客入侵放置木马（4）定时
启动木马。利用net time命令先查看远程主机的系统时间，然后利用at命令让木马服务端在规定时间自动运行。步骤4 连接木马服务
端。启动冰河选择“文件”→“添加计算机”，输入远程主机的IP地址192.168.1.21，单击“确定”按钮，发现主机已经显示在左侧
栏中。步骤5 防御思考。看来，除了注意下载软件和注意电子邮件外，还要注意关闭那些不必要的端口。任务2 木马的清除与防护 活动
3 模拟黑客入侵放置木马【任务拓展】一、理论题1．什么是木马？ 2．简述木马的工作原理？ 3．简述木马的手工清除方法？ 4．简述
木马的防御方法？二、实训1．下载一种木马软件（如灰鸽子等）熟悉配置过程，尝试植入木马并控制。 2．对植入的木马采用手工清除的方法进
行清除。 3．使用360安全卫士查杀木马。任务3 拒绝服务攻击与防御 活动1 模拟黑客发起DDoS攻击【任务描述】近期公司的
网站被黑客攻击了，造成了公司的网站长时间不能访问，询问了安全专家，才知道原来遭受了DDoS攻击。【任务分析】小齐想弄明白DDoS攻
击的组织方法及攻击过程。【任务环境】3台计算机，一台Web服务器，一台攻击主机，一台测试主机。任务3 拒绝服务攻击与防御 活动
1 模拟黑客发起DDoS攻击【任务实战】步骤1 了解DDoS攻击的原理。要了解DDoS，首先要了解什么是DoS（Denial
of Service，DoS）。简单地说，DoS就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的
一种攻击手段。拒绝服务攻击自问世以来，衍生了多种形式，现将使用较频繁的TCP—SYN Flood做简单介绍。TCP—SYN Flo
od又称为半开式连接攻击。每当用户进行一次标准的TCP连接（如WWW浏览、下载文件等）时会有一个三次握手的过程：首先是请求方向服务
方发送一个SYN消息；服务方收到SYN后，会向请求方回送一个SYN—ACK表示确认；当请求方收到SYN—ACK后再次向服务方发送一
个ACK消息。至此，一次成功的TCP连接建立完成，接下来就可以进行后续工作了。任务3 拒绝服务攻击与防御 活动1 模拟黑客发
起DDoS攻击而TCP—SYN Flood在它的实现过程中只有前两个步骤。当服务方收到请求方的SYN并回送SYN—ACK确认消息后
，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间处于等待接收请求方ACK消息的状态。一台服务
器可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，则服务器的可用TCP连接队列将会很快阻塞，系统可用资源、网络
可用带宽也会急剧下降，从而无法向用户提供正常的网络服务。DDoS攻击是在传统的DoS攻击基础之上产生的新一类攻击方式。在早期，拒绝
服务攻击主要是针对处理能力比较弱的单机，如个人计算机（PC）或是窄带宽连接的网站，对拥有高带宽连接、高性能设备的网站影响不大。但在
1999年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起、单兵作战的攻击方式相
比较，DDoS实现是借助数百甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。在这种几百甚至几千对一的较量中，网络服务
提供商所面对的破坏力是空前巨大的。任务3 拒绝服务攻击与防御 活动1 模拟黑客发起DDoS攻击步骤2 模拟DDoS攻击。本
例模拟的环境是从一台攻击主机对一台服务器发起的DDoS攻击。（1）搭建Web服务器，并运行Windows Server 2003，
安装IIS6.0，然后发布一个网站。此处制作了一个测试页面，用于测试DDoS攻击的效果，页面效果如图所示，IIS的设置本书不做详细
说明。 （2）攻击环境的配置。操作系统选择Windows Server 2003，下载DDoS攻击软件xdos，解压缩后将其中的x
dos.exe文件复制到C:\Ddos文件夹中。任务3 拒绝服务攻击与防御 活动1 模拟黑客发起DDoS攻击（3）运行软件进
行攻击。选择“开始”→“运行”进入到命令行窗口，切换到C盘的Ddos目录下，输入“xdos”运行xdos.exe可执行文件，按En
ter键可以看到此软件的使用方法。 现在开始进行一次DDoS攻击，在命令行窗口输入“xdos 192.168.0.137 80—t
10—s 10.1.1.1”，则说明攻击正在进行。任务3 拒绝服务攻击与防御 活动1 模拟黑客发起DDoS攻击在窗口中可以
看到，本次攻击目标主机的192.168.0.137的80端口，即攻击其Web服务，攻击采用10线程同时进行，并且伪造攻击源地址为1
0.1.1.1。几秒钟后，用户再次访问一下被攻击的服务器，可以看到如图所示的网站。被攻击服务器出现“您正在查找的页当前不可用。网站
可能遇到支持问题，或者您需要调整您的浏览器设置”的提示，此时无论如何调整浏览器设置，用户都无法访问被攻击服务器上发布的网站，因为被
攻击服务器已经无法正常提供Web服务了。任务3 拒绝服务攻击与防御 活动1 模拟黑客发起DDoS攻击双击被攻击服务器桌面右下
角的“本地连接”图标，出现“本地连接状态”对话框，可以看到网络流量非常大。打开“Windows任务管理器”，可以看到“CPU使用”
在几秒钟内由1％升为100％。被攻击服务器已处于瘫痪状态，至此，一次模拟的DDoS攻击完成，攻击成功。任务3 拒绝服务攻击与防御
活动2 DDoS攻击防御【任务描述】通过实验模拟，小齐终于明白了DDoS的原理和攻击过程，但是不能坐以待毙啊，如何防御呢？【
任务分析】通过原理分析和设备手册掌握有效的防范DDoS攻击的一些具体措施。【任务实战】步骤1 采用高性能的网络设备。首先要保证网
络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。任务3 拒绝服务攻击与防御
活动2 DDoS攻击防御步骤2 尽量避免NAT的使用。NAT（网络地址转换），是通过将专用网络地址（如企业内部网Intran
et）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们
转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPv4）。同时，这也隐藏了内
部网络结构，从而降低了内部网络受到攻击的风险。NAT功能通常被集成到路由器、防火墙、单独的NAT设备中，NAT设备（或软件）维护一
个状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往
下一级。与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在
将数据包转发到目的地前读取源地址和目的地址。任务3 拒绝服务攻击与防御 活动2 DDoS攻击防御虽然使用NAT可以使得外部网
络对内部网络的不可视，降低了外部网络对内部网络攻击的风险性。但是，无论是路由器还是硬件防护墙设备都要尽量避免NAT的使用，因为NA
T需要对地址来回转换，转换过程中需要对网络包进行校验和计算，所以浪费了很多CPU的时间，降低了网络通信能力，因而一旦受到DDoS攻
击，本来就有限的网络通信能力就更不够使用了。步骤3 保证充足的网络带宽。网络带宽直接决定了抵抗DDoS攻击的能力。假若仅有10M
B带宽，采取任何措施都很难对抗现在的SYN Flood攻击，至少要选择100MB的共享带宽，如果能有1000MB的主干带宽更好。需
要注意的是，主机上的网卡是1000MB并不意味着它的网络带宽就是千兆的，若把它接在100MB的交换机上，它的实际带宽不会超过100
MB，另外一点是接在100MB的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能在交换机上限制实际带宽为10MB。任务3 拒
绝服务攻击与防御 活动2 DDoS攻击防御步骤4 升级主机服务器硬件。在有网络带宽保证的前提下，尽量提升服务器的硬件配置。在
对抗DDoS攻击时，起关键作用的主要是服务器的CPU、内存及硬盘。CPU建议选择英特尔公司的至强（Xeon）处理器。Xeon是英特
尔公司生产的400MHz的奔腾微处理器，它用于“中间范围”的企业服务器和工作站。在英特尔的服务器主板上，多达8个Xeon处理器能够
共用100MHz的总线而进行多路处理。Xeon正在取代Pentium Pro而成为英特尔的主要企业微芯片。Xeon设计用于互联网以
及大量的数据处理服务，如工程、图像和多媒体等需要快速传送大量数据的应用。Xeon是奔腾生产线的高端产品。任务3 拒绝服务攻击与防
御 活动2 DDoS攻击防御目前，英特尔公司推出了新的处理器技术“酷睿”技术，“酷睿”是一款领先节能的新型微架构，设计的出发点
是提供卓然出众的性能和能效，提高每瓦特性能，也就是能效比。酷睿处理器采用800～1333MHz的前端总线频率、45nm/65nm制
程工艺、2MB/4MB/8MB/12MB/16MB L2缓存，双核酷睿处理器通过SmartCache技术使两个核心共享12MB L
2资源。硬盘建议使用SCSI或SATA接口硬盘。现在服务器上采用的硬盘接口技术主要有SCSI与SATA两种。由于SCSI具有CPU
占用率低、多任务并发操作效率高、连接设备多、连接距离远等优点，因此对于大多数的服务器应用，建议采用SCSI硬盘，并采用最新的Ult
ra320 SCSI控制器；SATA硬盘也具备热插拔能力，并且可以在接口上具有很好的可伸缩性，具有比SCSI更好的灵活性。任务3
拒绝服务攻击与防御 活动2 DDoS攻击防御步骤5 把网站做成静态页面。大量事实证明，网站尽可能采用静态页面，可以大大提高
抗攻击能力，使黑客入侵变得很难。到现在为止，关于HTML的溢出还没出现。新浪、搜狐、网易等门户网站主要都是静态页面，动态脚本调用最好安装到另外一台单独主机，避免遭受攻击时破坏主服务器。当然，适当放一些不做数据库调用的脚本还是可以的。此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理的访问80％属于恶意行为。步骤6 增强操作系统的TCP/IP栈。Windows Server 2000和Windows Server 2003作为服务器操作系统，其本身具备一定的抗DDoS攻击的能力，默认状态下没有开启该功能，若开启的话，采用双路至强2．4GHz的服务器配置，经过测试，可承受大约1万个包的攻击量。Windows Server 2003设置方法如下。任务3 拒绝服务攻击与防御 活动2 DDoS攻击防御运行regedit命令，打开注册表编辑器，找到HKEY_LOCAI_MACINE\SYSTEM\ CurrentControlSet\Services\Tcpip\ Parameters修改DeadGWDetectDefault值为0，目的是关闭无效网关的检查。为服务器设置多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。修改EnableICMPRedirect值为0，目的是禁止响应ICMP重定向报文。步骤7 安装专业抗DDoS防火墙。现在国内有很多厂商生产此类产品，比较知名的有傲盾防火墙、安易防火墙等。例如，傲盾硬件KFW—4500防火墙，可以单台防御4GB DDoS流量攻击，集群防护32GB；支持傲盾动态牵引技术，最大牵引60GB DDoS攻击流量。任务3 拒绝服务攻击与防御 活动2 DDoS攻击防御【任务拓展】一、理论题1．DDoS攻击的基本原理是什么？2．针对DDoS攻击可以采取哪些应对措施？二、实训1．用XDoS软件模拟一次DDoS攻击过程。2．小组讨论一下如何判断是否在遭受DDoS攻击（提示：如使用netstat命令）。