网络知识|计算机网络基础|SYN FLood攻击|计网名词解释|操作系统知识|子网掩码|Cisco

网络知识|计算机网络基础|SYN FLood攻击|计网名词解释|操作系统知识|子网掩码|Cisco

服务器遭受SYN Flood 攻击怎么办？

使用：Netstat 命令能看到大量SYN_RCVD的半连接
首先，取证通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的，如果有嗅探器，或者TcpDump之类的工具，记录TCP SYN报文的所有细节也有助于以后追查和防御，需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，这些信息虽然很可能是攻击者伪造的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，我们往往能推断出攻击者与我们之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷
TTL（Time to Live）是指数据包在网络中允许传输的最大跳数，用于防止数据包在网络中无限循环，同时也可以测量数据包从源到目的地的传输时间
其次，可以通过
1、缩短SYN Timeout时间（半链接数时长），就是设置请求了资源但是并未建立连接的资源分配的保留时间。
2、设置SYN Cookie来进行SYN攻击保护。就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

常用的网站

搜索引擎：
www.google.com www.baidu.com www.yahoo.cn
经常访问的国内外网络安全方面的网站和URL（至少四个）。
http://www.phrack.org 专业级的黑客站点
http://www.sans.org 是由超过15万计算机专业人员组成的组织，提供很多安全信息和培训活动
http://www.securityfocus.com 一个内容很全的网络安全网站
http://www.cert.org 计算机应急响应小组
http://www.xfocus.net
http://www.hackbase.com

名词解释

DDoS、Worm、IP Spoof、SYN Flood、Brute Attack、Social Engineering、Honeybot、ShellCode

1. 分布式拒绝服务攻击（DDoS）：最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

2. 蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行自我复制和传播，传染途径是通过网络和电子邮件。虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

3. IP Spoof：ip电子欺骗 我们可以说是一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术

4. SYN Flood SYN洪水攻击：TCP SYN Flood是一种常见，而且有效的远程拒绝服务(Denial of Service)攻击方式，它通过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃—即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

5. Honeybot：僵尸网络跟踪工具：HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序，可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的产品。
   ps：蜜罐：蜜罐可以故意暴露一些易受攻击的端口，使这些端口保持在开放状态，主动诱使攻击者进入蜜罐环境中，而不是进入真实的系统。一旦攻击者进入蜜罐环境中，就可以连续跟踪攻击者的行为，实现对攻击者的捕获、攻击路径的溯源，并通过评估攻击者的攻击行为，获取有关如何使真实网络更安全的线索，进而通过技术和管理手段来增强实际系统的安全防护能力。

6. Shellcode实际是一段代码（也可以是填充数据），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心，提到它自然就会和漏洞联想在一起，毕竟Shellcode只对没有打补丁的主机有用武之地。

7. Brute Attack：强力攻击（仅从字面意思理解）

系统知识

Windows

8. NT最新SP版本、Windows 2000最新SP版本
   WinNT最后一次SP更新为SP6a版本，之后微软对其停止了更新服务，经常有人会把NT系统与2000混为一谈，注意他们不是同一版本。
   Windows 2000最后一次SP更新为SP4，之后微软同样对其停止了维护。
9. Windows用的组策略编辑器是哪个？按“Windows徽标键 R”组合键调出“运行”窗口，输入==“gpedit.msc”。 ==
   参考答案：

Linux

关于sendmail方面的问题
10. 修改文件的宿主、组和其他用户的读写权限，两种方法。
root权限或文件创建者权限下chmod 文件名 umask（反掩码如777）
Chown 参数 宿主名 所属组 文件名
11. 如何禁用linux的root用户登陆FTP。
参考答案：linux下默认禁止root用户远程登录FTP或telnet
相关控制文件默认在/etc/vsftpd/ftpusers和/etc/vsftpd/user_list中

网络相关

子网掩码

A、B、C三类的私有IP地址范围。
IP地址一般分为A、B、C三类，我们以w.x.y.z这个IP地址为例，说明一下三类IP地址的划分：当W的数值在1－126之间的时，IP地址为A类，默认的子网掩码是255.0.0.0。当W数值在128－191之间时，IP地址为B类，默认的子网掩码是255.255.0.0。当W的数字在192－223之间时，IP地址为C类，默认的子网掩码是255.255.255.0。

Cisco

Cisco中line配置的远程登陆密码是明文显示的，哪条命令可以使其显示为暗文。

switch(config)#>enable password 1234  明文显示
switch(config)#>enable secret cisco  加密显示

参考：https://blog.csdn.net/zqt520/article/details/7459931
https://blog.csdn.net/mmbbz/article/details/40402345