1.1 计算机网络的迅猛发展 1
第1章 引言 1
1.2 网络安全问题日渐突出 3
1.3 网络安全重要性 5
1.4 网络为什么不安全 5
1.4.1 漏洞产生的原因 6
1.4.2 漏洞多的原因 7
1.4.3 补丁不是万能的 7
1.5 拒绝服务攻击问题的严重性 10
1.6 本书的主要内容及组织 15
参考文献 16
2.1 网络协议及网络的层次结构 19
第2章 TCP/IP协议 19
2.2 ISO/OSI参考模型 23
2.3 TCP/IP参考模型及TCP/IP协议族 26
2.3.1 TCP/IP参考模型 26
2.3.2 TCP/IP协议族 27
2.3.3 OSI参考模型与TCP/IP参考模型对比 30
2.4 IP协议 31
2.4.1 IP提供的服务 31
2.4.2 IP头 32
2.5 TCP、UDP、ICMP协议 34
2.5.1 TCP协议 34
2.5.2 UDP协议 37
2.5.3 ICMP协议 38
2.6 TCP/IP协议族的安全缺陷 41
2.6.1 IP缺陷 42
2.6.2 ARP、RARP缺陷 43
2.6.3 TCP序列号预测 44
2.6.4 路由滥用 49
2.7 IP欺骗 53
小结 55
参考文献 55
第3章 拒绝服务攻击原理 57
3.1 什么是拒绝服务攻击 57
3.2 拒绝服务攻击的动机 61
3.3 拒绝服务攻击的分类 65
3.3.1 拒绝服务攻击的属性分类法 67
3.3.2 拒绝服务攻击的舞厅分类法 72
3.4 DDoS攻击的典型过程 77
3.4.1 获取目标信息 78
3.4.2 占领傀儡机和控制台 85
3.4.3 实施攻击 86
小结 86
参考文献 86
第4章 典型的拒绝服务攻击 89
4.1 剧毒包型DoS攻击 90
4.1.1 WinNuke攻击 90
4.1.2 碎片(Teardrop)攻击 93
4.1.3 Land攻击 104
4.1.4 Ping of death攻击 108
4.1.5 循环攻击 112
4.2 风暴型DoS攻击 113
4.2.1 与风暴型攻击相关的Internet的缺陷 115
4.2.2 直接风暴型攻击 116
4.2.3 反射攻击 122
小结 135
参考文献 135
第5章 DoS工具与傀儡网络 138
5.1 DoS工具分析 138
5.1.1 Trinoo 139
5.1.2 TFN 143
5.1.3 Stacheldraht 145
5.1.4 Shaft 149
5.1.5 TFN2K 152
5.1.6 Trinity 153
5.1.7 Mstream 153
5.1.8 Jolt2 155
5.1.9 Agobot 161
5.1.10 DDoS攻击者 161
5.2 傀儡网络 164
5.2.1 什么是傀儡网络 164
5.2.2 傀儡网络的危害 169
5.2.3 傀儡网络的工作原理 171
5.2.4 以傀儡网络为平台的一些攻击实现 174
5.3.1 攻击程序的安装 177
5.3 拒绝服务攻击的发展趋势 177
5.3.2 攻击程序的利用 178
5.3.3 攻击的影响 179
小结 180
参考文献 180
第6章 蠕虫攻击及其对策 184
6.1 蠕虫的历史和研究现状 184
6.1.1 蠕虫的历史 184
6.1.2 目前研究概况 189
6.2.1 蠕虫的定义 190
6.2.2 蠕虫与病毒的区别 190
6.2 蠕虫的功能结构 190
6.2.3 网络蠕虫的功能结构 192
6.3 蠕虫的常见传播策略 194
6.4 蠕虫的常见传播模型 196
6.4.1 简单传播模型 197
6.4.2 Kermack-Mckendrick模型 198
6.4.3 SIS模型 199
6.4.4 双因子模型 199
6.4.5 BCM模型——网络蠕虫对抗模型 200
6.5 蠕虫的攻击手段 204
6.5.1 缓冲区溢出攻击 204
6.5.2 格式化字符串攻击 211
6.5.5 默认设置脆弱性攻击 216
6.5.3 拒绝服务攻击 216
6.5.4 弱口令攻击 216
6.5.6 社交工程攻击 217
6.6 蠕虫的检测与防范 217
6.6.1 基于单机的蠕虫检测 217
6.6.2 基于网络的蠕虫检测 221
6.6.3 其他 223
小结 230
参考文献 230
第7章 拒绝服务攻击的防御 234
7.1 拒绝服务攻击的终端防御 235
7.1.1 增强容忍性 235
7.1.2 提高主机系统或网络安全性 238
7.1.3 入口过滤 241
7.1.4 基于追踪的过滤 243
7.1.5 基于跳数的过滤 249
7.2 拒绝服务攻击的源端防御 254
7.2.1 出口过滤 255
7.2.2 D-WARD 258
7.2.3 COSSACK 261
7.3 拒绝服务攻击的中端防御 262
7.4 傀儡网络与傀儡程序的检测与控制 263
7.4.1 傀儡网络的发现 264
7.4.2 傀儡网络的控制 267
7.4.3 防止傀儡程序的植入 269
7.4.4 以工具检测与清除傀儡程序 270
7.4.5 傀儡程序的手工清除 274
小结 277
参考文献 277
第8章 拒绝服务攻击的检测 281
8.1 主机异常现象检测 283
8.2 主机网络连接特征检测 285
8.3 伪造数据包的检测 285
8.3.1 基于主机的主动检测 285
8.3.2 基于主机的被动检测 288
8.5 SYN风暴检测 290
8.4 统计检测 290
小结 294
参考文献 294
第9章 拒绝服务攻击的追踪 295
9.1 拒绝服务攻击的追踪问题 296
9.1.1 网络追踪的定义 296
9.1.2 网络追踪(Network TraceBack)与攻击追咎(Attack Attribute) 296
9.1.3 拒绝服务攻击追踪的重要性 297
9.2 包标记 297
9.3 日志记录 298
9.4 连接测试 300
9.5 ICMP追踪(iTrace) 301
9.6 覆盖网络(Centertrack) 302
参考文献 305
小结 305
第10章 基于包标记的追踪 308
10.1 基本包标记 308
10.2 基本包标记的分析 314
10.2.1 误报和计算复杂性 314
10.2.2 不公平概率以及最弱链 315
10.2.3 短路径伪造 316
10.2.4 按比特穿插 317
10.2.5 攻击者对基本包标记的干扰“攻击” 320
10.3 高级包标记和带认证的包标记 321
10.4 基于代数编码的包标记 323
10.5 基本包标记的进一步改进 326
参考文献 328
小结 328
第11章 基于路由器编码的自适应包标记 330
11.1 自适应包标记 330
11.1.1 固定概率标记的分析 331
11.1.2 自适应标记 332
11.1.3 固定概率标记与自适应标记的比较 338
11.2 路由器的编码 346
11.2.1 编码方案Ⅰ 346
11.2.2 编码方案Ⅱ 347
11.2.3 编码方案Ⅲ 347
11.3 基于路由器编码的标记 348
11.4.1 重构攻击路径所需数据包的数量 355
11.4 几种包标记的比较 355
11.4.2 误报数 357
11.4.3 路径重构时的工作量 360
11.4.4 路由器标记数据包时的工作量 360
11.4.6 可移植性 361
11.5 相关问题 362
11.5.1 拓扑信息服务器 362
11.5.2 攻击树的修剪 363
11.5.3 追踪的部署与实施 365
小结 367
参考文献 368
12.1 黑洞 370
第12章 应对拒绝服务攻击的商业化产品 370
12.2 天清防拒绝服务攻击系统 371
12.2.1 算法和体系结构特点 372
12.2.2 使用特点 373
12.2.3 管理功能 373
12.3 冰盾抗DDOS防火墙 374
12.3.1 冰盾防火墙采用的安全机制 374
12.3.2 冰盾防火墙的功能特点 375
12.4 Mazu Enforcer 376
12.5 TopLayer 377
小结 378
参考文献 378
附录A 一些拒绝服务相关网络资源 379