博客_井中之月_百度空间

文章列表

如果你无法改变环境那么就改变你自己吧

2008年01月25日星期五 20:41

　有一只乌鸦打算飞往东方，途中遇到一只鸽子，双方停在一棵树上休息。

鸽子见乌鸦一副飞得很辛苦的样子，关心地问：你要飞到哪里去？

乌鸦愤愤不平地说：其实我不想离开，可是这个地方的居民都嫌我的叫声不好听，所以我只好飞到别的地方去。

鸽子好心地告诉乌鸦：别白费力气了！如果你不改变你的声音，飞到哪里都不会受欢迎的。

　　——如果你无法改变环境，唯一的方法就是改变你自己

类别：默认分类|评论(0) |浏览(31)

小狗猎捕斑马：措施得力科学分工团队制胜

2008年01月25日星期五 20:40

在非洲大草原上，三只瘦弱的小狗正与一只高大的斑马进行一场生死搏斗。

乍一看来，三只弱小的小狗很难是大斑马的对手。但实际情况是，一只小狗咬住斑马的尾巴，任凭斑马的尾巴如何甩动，也死死咬住不放；一只小狗咬住斑马的耳朵，任凭斑马如何摇头，也决不松口；一只稍显强壮的小狗咬住斑马的一条腿，任凭斑马如何踢弹，一点也不敢懈怠。

不一会，在三只小狗的齐心攻击下，“庞然大物”斑马终于体力不支瘫倒在地，成为三只小狗的盘中餐。

启示：只要措施得力，麻雀撞坏飞机。在组织内部，管理者一个很重要的职能就是科学分工，根据实际动态对人员进行最佳配置。只有每个员工都明确自己的岗位职责，各司其职，才不会产生推诿、扯皮等不良现象。相反，如果队伍中有人滥竽充数，给企业带来的不仅仅是工资的损失，还可能导致公司工作效率整体下降，甚至在激烈的竞争中会像斑马一样颓然倒下。

类别：默认分类|评论(0) |浏览(26)

严肃的事不妨用幽默方式表达不必羡慕别人的生活方式

2008年01月25日星期五 20:40

严肃的事不妨用幽默方式表达

作家威廉·戴维斯曾经说过："我喜欢的幽默，是能使我发笑5秒钟而沉思10分钟的那一种。"确实，将严肃的事情用轻松的方式来表现的幽默，最能够达到劝导和说服别人的效果。强势的管理作风往往容易产生反效果，倒是用"以柔克刚"的方式，最容易收服人心。

美国有位警察局长，因为辖区内的治安与交通非常差，心情非常低落。治安之所以这么差，是因为这个辖区比较偏僻，许多地方很容易成为管理的死角；至于交通方面，由于当地是货车公司的总站，许多大型货车的司机每天都在公路上驾车奔驰，在过度疲劳的情况下，交通事故就不断地发生了。虽然局长很能体谅下属的辛苦，也了解许多不得已的情况，但是上面的长官只看成绩，不管其他因素，即使他再努力，仍然不被上层肯定，所以尽管年资已够，仍然没有升迁的机会。就在治安与交通问题困扰局长的同时，州政府颁布了一道命令，将这一季定为交通安全季，为了配合这个主题，举办了一场交通安全竞赛。为了这件事，小镇局长压力顿时大增，每天一出家门便是满脸愁容。有一天，他心力交瘁地回到家里，将帽子随手一扔，便端着啤酒苦闷地坐在沙发里，孩子和老婆看见后也不敢吭声，纷纷躲回卧房里。局长打开电视，电视正演出脱口秀，表演者说起话来不但妙趣横生，而且字字珠玑，局长忍不住哈哈大笑，这一笑把心头的压力释放了不少。看完脱口秀之后，局长躺在沙发里深思，忽然间，他的眼睛为之一亮，心中有了一个灵感。隔天，局长召集所有警察，开始积极地行动起来。三个月很快地过去了，州政府派人审查各镇的交通情况，包括交通阻塞情况、车流量控制、违规件数等等，当然最重要的，还是交通事故的发生率，然而，稽查人员审查的结果，却让大家都跌破眼镜。没想到记录一向不好的小镇，居然连一次车祸的记录都没有。原来，局长想出了一个好点子，他把公路上的所有警告牌都换了，而新牌子上面则写着"请开慢一点，我们已经忙不过来了！殡仪馆启"。很有意思吧？局长通过这个幽默小语，对来往的司机进行了心理暗示，司机们看到这个幽默的提醒，不知不觉地把车速放慢，小心开车。

没有人喜欢强硬的手段，如果警告牌上写着"超速，罚一万！警察局启"，不仅守法的人看了不舒服，那些超速者更不用说了。利用一个小小的幽默感，把交通安全的概念以最贴近人们生活的方式传递出去，让人们不知不觉地产生了"死亡随时在身边"的恐惧感，即使车速再快的司机看了也忍不住要放慢速度。死亡，是一件再严肃不过的事了，谁说严肃的事一定要用严肃的方式表达呢？如果通过幽默的方式可以巧妙且有效地达到目的，不是别具意义吗？

不必羡慕别人的生活方式

你羡慕别人的生活比你快乐吗？你认为他的日子过得比你好吗？然而，你看过他们生活中的另一面吗？不必羡慕别人的美丽花园，因为你也有自己的乐土，只要你用心耕耘，眼前的这片花圃，终会有花团锦簇、香气四溢的一天。

在河的两岸，分别住着一个和尚与一个农夫。和尚每天看着农夫日出而作，日落而息，生活看起来非常充实，令他相当羡慕。而农夫也在对岸，看见和尚每天都是无忧无虑地诵经、敲钟，生活十分轻松，令他非常向往。因此，在他们的心中产生了一个共同念头："真想到对岸去！换个新生活！"有一天，他们碰巧见面了，两人商谈一番，并达成交换身份的协议，农夫变成和尚，而和尚则变成农夫。当农夫来到和尚的生活环境后，这才发现，和尚的日子一点也不好过，那种敲钟、诵经的工作，看起来很悠闲，事实上却非常烦琐，每个步骤都不能遗漏。更重要的是，僧侣刻板单调的生活非常枯燥乏味，虽然悠闲，却让他觉得无所适从。于是，成为和尚的农夫，每天敲钟、诵经之余都坐在岸边，羡慕地看着在彼岸快乐工作的其他农夫。至于做了农夫的和尚，重返尘世后，痛苦比农夫还要多，面对俗世的烦忧、辛劳与困惑，他非常怀念当和尚的日子。因而他也和农夫一样，每天坐在岸边，羡慕地看着对岸步履缓慢的其他和尚，并静静地聆听彼岸传来的诵经声。这时，在他们的心中，同时响起了另一个声音："回去吧！那里才是真正适合我们的生活！"

我们经常听见朋友间的抱怨："你的生活过得真好，不像我，每天都得面对老板的唠叨。"但是，你怎么知道朋友的生活过得有多好？别只看事情表面！就像故事里的两位主角，没有经历过对方的工作，自然也看不见其中的辛苦一面，就像我们只看得见成功者的笑容，却看不见他们奋斗的过程中曾经流下的眼泪。每个人都有自己必经的历程，其中的辛苦与甜美只有自己感受最深刻。只有你亲自栽种的花朵，你才知道其特性与培植的感受，当花朵嫣然绽放时，也只有你才懂得欣赏。不必羡慕别人工作时的笑容，那也许只是苦中作乐，当然，也可能是他们知道如何乐在工作中。

类别：默认分类|评论(0) |浏览(104)

功勋卓著的将军为什么输给了普普通通的士兵(转)

2008年01月25日星期五 20:39

　　 1865年，美国内战结束后，陶克将军竞选国会议员，他的对手是他当年手下的一名士兵，名叫约翰·海伦。一位是功勋卓著的将军，一位是普普通通的士兵，几乎所有的人都认为，胜利一定属于陶克将军。

　　竞选演讲开始了。陶克将军的演讲慷慨激昂，他说：“诸位同胞，还记得17年前那个激战的夜晚吗？我率领士兵到茶座山狙击敌人。那是多么艰苦的战斗呀！但我从没想过退却，因为我知道，为了我们的国家，为了正义和自由，我愿意付出所有，包括生命。我三天三夜没合眼，血战之后，我竟躺在树林里睡着了……”

　　比起陶克将军的演讲，约翰·海伦的演讲要朴实得多，他说：“亲爱的同胞们，陶克将军说得不错，他确实在那次战斗中立下了汗马功劳。我当时只不过是他手下的一名普通士兵，和他一起出生入死。那次，他在树林里入睡时，我就站在他的身旁守护他。当时我携带着武器，饱尝寒冷的滋味。还时刻准备着用我的身躯为他挡着随时会射来的子弹。我在心中说，我是一名士兵，我要保护将军的安全……”

　　约翰·海伦的演讲赢得了民众热烈的掌声，他出人意料地赢得了选票和最终的胜利。

　　约翰·海伦之所以能在竞选演讲中获胜，原因在于他的演讲听起来更真实、更亲切。他虚心地承认自己是一名普通的士兵，这样就拉近了与广大民众之间的距离；作为一名普通士兵，在恶劣的战争环境中他仍能坚守自己的岗位，兢兢业业、尽忠职守，让人觉得他更值得信赖。陶克将军在竞选演讲中，列举了自己的赫赫战功，言辞慷慨激昂，但是他的演讲始终保持着对民众的一种高姿态，不能给人以亲切、真诚的感受。因此，失利也在情理之中。

类别：默认分类|评论(0) |浏览(31)

不是因为事情难我们不敢做而是因为我们不敢做才难(转)

2008年01月25日星期五 20:38

　　并不是因为事情难我们不敢做，而是因为我们不敢做事情才难的。

　　1965年，一位韩国学生到剑桥大学主修心理学。在喝下午茶的时候，他常到学校的咖啡厅或茶座听一些成功人士聊天。这些成功人士包括诺贝尔奖获得者，某一些领域的学术权威和一些创造了经济神话的人，这些人幽默风趣，举重若轻，把自己的成功都看得非常自然和顺理成章。时间长了，他发现，在国内时，他被一些成功人士欺骗了。那些人为了让正在创业的人知难而退，普遍把自己的创业艰辛夸大了，也就是说，他们在用自己的成功经历吓唬那些还没有取得成功的人。

　　作为心理系的学生，他认为很有必要对韩国成功人士的心态加以研究。1970年，他把《成功并不像你想像的那么难》作为毕业论文，提交给现代经济心理学的创始人威尔;布雷登教授。布雷登教授读后，大为惊喜，他认为这是个新发现，这种现象虽然在东方甚至在世界各地普遍存在，但此前还没有一个人大胆地提出来并加以研究。惊喜之余，他写信给他的剑桥校友--当时正坐在韩国政坛第一把交椅上的人--朴正熙。他在信中说，“我不敢说这部著作对你有多大的帮助，但我敢肯定它比你的任何一个政令都能产生震动。”

　　后来这本书果然伴随着韩国的经济起飞了。这本书鼓舞了许多人，因为他们从一个新的角度告诉人们，成功与“劳其筋骨，饿其体肤”、“三更灯火五更鸡”、“头悬梁，锥刺股”没有必然的联系。只要你对某一事业感兴趣，长久地坚持下去就会成功，因为上帝赋予你的时间和智慧够你圆满做完一件事情。后来，这位青年也获得了成功，他成了韩国泛业汽车公司的总裁。

　　温馨提示：人世中的许多事，只要想做，都能做到，该克服的困难，也都能克服，用不着什么钢铁般的意志，更用不着什么技巧或谋略。只要一个人还在朴实而饶有兴趣地生活着，他终究会发现，造物主对世事的安排，都是水到渠成的。

类别：默认分类|评论(0) |浏览(19)

考完了

2008年01月22日星期二 9:26

该干啥干啥吧。谋事在人，成事在天

反而也没有玩的欲望，不知道为啥

23还有考试，上课就去了几次，还得复习一下的

类别：默认分类|评论(0) |浏览(35)

腊八了

2008年01月15日星期二 18:30

15号是农历腊月初八。这是我过的第二十二个腊八了。刚才在百度贴吧上看到了腊八节的来由，说北京人很重视这个节的。的确，小时候每年过生日奶奶都要煮一大锅的粥，里面豆的种类也是固定的，好像有七，八种呢。不过我小时候不爱喝那粥，大部分都是老人们喝了。以前是在新疆端过来粥不愿意喝，现在是在北京想喝却又很麻烦才能喝到，呵呵。奶奶老说腊八生的孩子长大了会糊里糊涂，跟一锅粥一样。其实，糊里糊涂的挺好的，烦恼的事情不会总是记在心上。

腊八是一年中最冷的时候，看来今年也不例外。穿好衣服别感冒。

19号就要考试了，说实话，也挺没底的。不过复习了这么久，上战场杀它一把吧。来一个干一个，来两个杀一双，哈哈

另外，谢谢 Anna ^_^,我会加油的

类别：默认分类|评论(0) |浏览(27)

新年

2008年01月01日星期二 1:33

我要有新气象。

把这余下十几天弄好。

小玩一下，明天8点要起床，睡了。

类别：默认分类|评论(0) |浏览(31)

go on

2007年12月10日星期一 22:03

有的时候不想扯淡，可是不扯生活又有些无趣，诶。

偶尔看到论坛上有些讨论，很幼稚，也不参与。

人生就是这样，每个人都有自己的逻辑。如果你的逻辑与别人不同，可能他做出的事情会令你大吃一惊。

可是大部分时候，你的逻辑都必须是社会这个大类的子类.......

不怨天尤人。记得火影里的凯老师曾经说过，运气也是实力的表现。

在这个浮躁的今天，如果你能坐的住，肯定是个优势。就像老爹告诉我的，当年戈壁滩沿线上班，走后门回乌鲁木齐的结果都当了工人，没后门的后来再调回来已经是干部身份。

在下一步不明确的时候只能尽力做好本阶段该做的事情，呵呵

闲庭信步不是说现在，而是整个生活的基调才对。

和别人比没有用，有些人就是喜欢B话，没什么意思。

取其精华就OK

类别：默认分类|评论(0) |浏览(40)

说些什么呢

2007年11月25日星期日 18:24

是啊，说些什么呢？

不说，喝我的水去，嘴干

最近不少兄弟姐妹支持过我，哈哈，小弟先谢过。

自习去。

类别：默认分类|评论(0) |浏览(31)

深秋歌会回来

2007年11月16日星期五 23:55

芦苇你是最棒的

不过那两个专业的感觉不应该跟通俗的在一起比赛

嗯，我也想投票，可是没俺的份.............

类别：默认分类|评论(0) |浏览(42)

明天去确认

2007年11月10日星期六 19:51

嗯，先去做个笔试，然后去研教楼确认，照相

笔试不过是个过场而已，就算过了也不去。我是考研的人。

选择了，就要坚持。

类别：默认分类|评论(0) |浏览(50)

What is a brute force attack?什么是蛮力攻击呢

2007年11月10日星期六 19:32

一蛮力攻击构成千方百计码，组合，或密码，直到你找到正确的。

Determining the Difficulty of a Brute Force Attack定难度一个蛮力攻击

The difficulty of a brute force attack depends on several factors, such as:困难一个蛮力攻击，取决于几个因素，例如：

How long can the key be?如何能长久的关键是什么？
How many possible values can each component of the key have?有多少可能的值可各组成部分的关键是什么？
How long will it take to attempt each key?多久才能尝试每个关键？
Is there a mechanism which will lock the attacker out after a number of failed attempts?是否有一个机制，这会锁定攻击后，一些失败的尝试？

As an example, imagine a system which only allows 4 digit PIN codes.作为一个例子，想象一个系统，只允许第4位数字密码。 This means that there are a maximum of 10,000 possible PIN combinations.这意味着有超过一万尽可能销组合。

Increasing Security Against a Brute Force Attack越来越多的安全对一个蛮力攻击

From the example above, PIN security could be increased by:从上面的例子中，密码的安全，可以增加：

Increasing the length of the PIN增加长度的密码
Allowing the PIN to contain characters other than numbers, such as * or #允许个人密码，以控制字符以外的其他号码，如*或＃
Imposing a 30 second delay between failed authentication attempts制定一个30秒钟的延误之间没有认证的企图
Locking the account after 5 failed authentication attempts锁定帐户后，五日未认证尝试

类别：默认分类|评论(0) |浏览(1312)

IIS安装应注意的安全问题（转）

2007年11月10日星期六 18:21

　　1．避免安装在主域控制器上

　　在安装IIS之后，将在安装的计算机上生成IUSR_Computername匿名账户，该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户。这不仅会给IIS带来巨大的潜在危险，而且还可能牵连整个域资源的安全。要尽可能避免把IIS安装在域控制器上，尤其是主域控制器。

　　2．避免安装在系统分区上

　　把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。

　　用户控制的安全性

　　1．匿名用户

安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，可取消Web的匿名服务。具体方法如下。

（1）启动ISM（Internet Server Manager）。
（2）启动WWW服务属性页。
（3）取消其匿名访问服务。

　　2．一般用户

　　通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试及账户的生存期等方法对一般用户账户进行管理。

　　IIS对IP地址和域名的限制

　　IIS可以被设置为根据用户或工作组的IP地址或域名控制其访问Web站点、虚拟目录和单独文件。在Internet服务管理器中，选择要设置的站点，如"默认Web站点"，单击【属性】按钮，在对话框中的"目录安全性"选项卡中，单击"IP地址及域名限制"框中的【编辑】按钮，如图１所示。

图1 设置IIS中的IP地址和域名限制

　　如果是给虚拟目录或服务器下面的文件配置IP地址或域名限制，方法与上面类似。为单独文件进行配置时，在MMC窗口右边选择要操作的文件，然后单击鼠标右键，从弹出的快捷菜单中选择【属性】选项，就会看到"文件安全性"选项卡，其余步骤完全一样。

　　IIS权限的设置

　　IIS权限的设置是在Internet服务管理器中相应的虚拟服务器、虚拟目录、目录、文件的属性中的主目录、虚拟目录、目录和文件中进行。IIS 5.0提供了两种访问权限：读取和写入权限。对于应用程序而言，有3种执行许可类别：无、纯脚本、脚本和可执行程序。如图2所示。

图2 设置IIS中某一虚拟站点的应用程序的执行许可
　　对于不同的资源，推荐使用不同的IIS权限。
　　静态Web内容：使用读取权限、无执行许可。
　　动态Web内容：使用读取权限、纯脚本执行许可。
　　脚本内容：使用读取权限、纯脚本执行许可。
　　可执行程序：使用读取权限、脚本和可执行程序执行许可。
　　数据库内容：使用读取、写入权限，无执行许可。

　　IIS身份验证

　　IIS的身份验证安全机制有4种验证方法：匿名访问、基本身份验证（密码用明文送出）、Windows域的简要验证和集成Windows验证。这些验证方法的安全级别由低到高。

　　匿名访问

　　这是IIS默认的用户账户。它的用户名是主机名，如名为bright的主机则显示为IUSR_BRIGHT。该用户不能更改密码，并且密码永不过期，隶属于Guests组。查看系统默认的安全策略，如图３所示。

图3 系统默认的安全策略

　　默认情况下该账户是匿名的，并且可以在本地登录，这样的设置是有很大的安全风险的，很多提升权限都是从这个账户开始的。为避免权限提升的风险，可以在验证方法中更改设置，或者更改该账户的用户名，或者禁止访问。

　　基本身份验证

　　此方式是绝大多数WWW浏览器都支持的标准HTTP方法，如果采用此验证方式，那么客户端访问时会看到如下的对话框，如图４所示。

图4 IIS采用基本身份验证的情景

　　如果输入3次都错误的话，IIS服务器将会返回下面的错误信息：HTTP 401.1页面。但这种验证方式并不是很安全的，用户名和密码是ASCII明文，可以用Sniffer之类的工具监听到。所以它只能用于安全性要求不高的环境中。

　　Windows域的简要验证

　　此验证方式不是通用的，只有Internet Explorer 5.0以上版本才能支持此方式，并且必须是有Windows 2000域控制器的站点。它是通过Hash算法转换后发送口令，将口令作为文本文件存放在域控制器上，用来比较IIS发送的散列。该方式的安全性不是很高，一旦被人获得这个文件就能破解口令了。

　　集成Windows验证

　　如果用户是合法的Windows 域用户，登录到Windows 2000域控制器的站点，验证过程对用户而言是透明的。域控制器必须可以访问，并且只有Internet Explorer 2.0以上版本才能支持这种验证方式。以上验证方式可以综合使用。

　　访问权限控制

　　文件夹和文件的访问权限

　　安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等进行审核，有效地通过监视文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。具体方法如下。

（1）启动"域用户管理器"。

（2）单击【规则】菜单下的【审核】选项。

（3）设置"审核规则"。

　　WWW目录的访问权限

　　已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件，执行权限则允许用户运行WWW目录下的程序和脚本。具体设置方法如下。

（1）启动ISM（Internet服务器管理器）。

（2）启动Web属性页并选择"目录"选项卡。

（3）选择WWW目录。

（4）选择"编辑属性"中的"目录属性"进行设置。

　　端口安全性的实现

　　对于IIS服务，无论是WWW站点、FTP站点，还是NNTP、SMTP服务等都有各自监听和接收浏览器请求的TCP端口号（Port）。一般常用的端口号为：WWW是80，FTP是21，SMTP是25。用户可以通过修改端口号提高IIS服务器的安全性。如果用户修改了端口设置，只有知道端口号的用户才可以访问，但用户在访问时需要指定新端口号。

　　IP转发的安全性

　　IIS服务可提供IP数据包转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能不失为提高安全性的好办法。具体设置如下。

（1）启动"网络属性"并选择"协议"选项卡。

（2）在TCP/IP属性中去掉"路由选择"。

　　SSL安全机制

　　IIS的身份认证除匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书。

　　SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。

　　使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端。客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器。而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。具体步骤如下：

（1）启动ISM并打开Web站点的属性页。

（2）选择"目录安全性"选项卡。

（3）单击【密钥管理器】按钮。

（4）通过密钥管理器生成密钥对文件和请求文件。

（5）从身份认证权限中申请一个证书。

（6）通过密钥管理器在服务器上安装证书。

（7）激活Web站点的SSL安全性。

　　建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://，而不是http://。SSL安全机制的实现将增大系统开销，增加了服务器CPU的额外负担，从而降低了系统性能，在规划时建议仅考虑为高敏感度的Web目录使用。另外，SSL客户端需要IE 3.0及以上版本才能使用。

类别：默认分类|评论(0) |浏览(432)

SYN Flood攻击的基本原理及防御(转)

2007年11月10日星期六 18:08

第一部分 SYN Flood的基本原理



SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。



要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：

大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。



问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。



从防御角度来说，有几种简单的解决方法，第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x   SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

     第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

     可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

















第二部份 SYN Flooder源码解读



     下面我们来分析SYN Flooder的程序实现。

首先，我们来看一下TCP报文的格式：



0         1         2         3         4         5         6

     0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4

     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |       ＩＰ首部       |     ＴＣＰ首部       |     ＴＣＰ数据段　　   |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

               图一 TCP报文结构



如上图所示，一个TCP报文由三个部分构成：20字节的IP首部、20字节的TCP首部与不定长的数据段，（实际操作时可能会有可选的IP选项，这种情况下TCP首部向后顺延）由于我们只是发送一个SYN信号，并不传递任何数据，所以TCP数据段为空。TCP首部的数据结构为：



   0                   1                   2                   3

   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |             十六位源端口号     |           十六位目标端口号     |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                         三十二位序列号                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                         三十二位确认号                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   | 四位   |           |U|A|P|R|S|F|                               |

   | 首部   |六位保留位 |R|C|S|S|Y|I|         十六位窗口大小         |

   | 长度   |           |G|K|H|T|N|N|                               |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |           十六位校验和         |         十六位紧急指针         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                           选项（若有）                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                           数据（若有）                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

                       图二   TCP首部结构



根据TCP报文格式，我们定义一个结构TCP_HEADER用来存放TCP首部：

typedef struct _tcphdr

{

         USHORT th_sport;               //16位源端口

     USHORT th_dport;             //16位目的端口

         unsigned int th_seq;         //32位序列号

         unsigned int th_ack;         //32位确认号

         unsigned char th_lenres;         //4位首部长度+6位保留字中的4位

         unsigned char th_flag;             //2位保留字+6位标志位

         USHORT th_win;                 //16位窗口大小

         USHORT th_sum;                 //16位校验和

         USHORT th_urp;                 //16位紧急数据偏移量

}TCP_HEADER;

通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2（二进制的00000010）我们能制造一个SYN的TCP报文，通过大量发送这个报文可以实现SYN Flood的效果。但是为了进行IP欺骗从而隐藏自己，也为了躲避服务器的SYN Cookie检查，还需要直接对IP首部进行操作：

0                   1                   2                   3

   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   | 版本   | 长度   | 八位服务类型   |         十六位总长度           |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |           十六位标识           | 标志|   十三位片偏移　　       |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   | 八位生存时间   |   八位协议     |         十六位首部校验和       |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                       三十二位源ＩＰ地址                   　　|

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                     三十二位目的ＩＰ地址                       |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                           选项（若有）                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                           　　数据　　                         |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

                         图三   IP首部结构

同样定义一个IP_HEADER来存放IP首部

typedef struct _iphdr

{

         unsigned char h_verlen;             //4位首部长度+4位IP版本号

         unsigned char tos;               //8位服务类型TOS

         unsigned short total_len;       //16位总长度（字节）

         unsigned short ident;             //16位标识

         unsigned short frag_and_flags;   //3位标志位

         unsigned char   ttl;               //8位生存时间 TTL

         unsigned char proto;         //8位协议号(TCP, UDP 或其他)

         unsigned short checksum;         //16位IP首部校验和

         unsigned int sourceIP;             //32位源IP地址

         unsigned int destIP;         //32位目的IP地址

}IP_HEADER;

然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));

     建立一个原始套接口，由于我们的IP源地址是伪造的，所以不能指望系统帮我们计算IP校验和，我们得在在setsockopt中设置IP_HDRINCL告诉系统自己填充IP首部并自己计算校验和：

     flag=TRUE;

     setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));

IP校验和的计算方法是：首先将IP首部的校验和字段设为0（IP_HEADER.checksum=0）,然后计算整个IP首部（包括选项）的二进制反码的和，一个标准的校验和函数如下所示：

USHORT checksum(USHORT *buffer, int size)

{

unsigned long cksum=0;

         while(size >1) {

             cksum+=*buffer++;

             size -=sizeof(USHORT);

         }

         if(size ) cksum += *(UCHAR*)buffer;

     cksum = (cksum >> 16) + (cksum & 0xffff);

         cksum += (cksum >>16);

         return (USHORT)(~cksum);

}

这个函数并没有经过任何的优化，由于校验和函数是TCP/IP协议中被调用最多函数之一，所以一般说来，在实现TCP/IP栈时，会根据操作系统对校验和函数进行优化。

TCP首部检验和与IP首部校验和的计算方法相同，在程序中使用同一个函数来计算。

需要注意的是，由于TCP首部中不包含源地址与目标地址等信息，为了保证TCP校验的有效性，在进行TCP校验和的计算时，需要增加一个TCP伪首部的校验和，定义如下：

struct

{

         unsigned long saddr;     //源地址

         unsigned long daddr;     //目的地址

         char mbz;                     //置空

         char ptcl;                   //协议类型

         unsigned short tcpl;     //TCP长度

}psd_header;

然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和：

memcpy(SendBuf,&psd_header,sizeof(psd_header));

     memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header));

     tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header));

计算IP校验和的时候不需要包括TCP伪首部：

memcpy(SendBuf,&ip_header,sizeof(ip_header));

     memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header));

     ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(tcp_header));

     再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了：

     memcpy(SendBuf,&ip_header,sizeof(ip_header));

     sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(DestAddr));



因为整个TCP报文中的所有部分都是我们自己写入的（操作系统不会做任何干涉），所以我们可以在IP首部中放置随机的源IP地址，如果伪造的源IP地址确实有人使用，他在接收到服务器的SYN+ACK报文后会发送一个RST报文（标志位为00000100），通知服务器端不需要等待一个无效的连接，可是如果这个伪造IP并没有绑定在任何的主机上，不会有任何设备去通知主机该连接是无效的（这正是TCP协议的缺陷），主机将不断重试直到SYN Timeout时间后才能丢弃这个无效的半连接。所以当攻击者使用主机分布很稀疏的IP地址段进行伪装IP的SYN Flood攻击时，服务器主机承受的负荷会相当的高，根据测试，一台PIII 550MHz+128MB+100Mbps的机器使用经过初步优化的SYN Flooder程序可以以16,000包/秒的速度发送TCP SYN报文，这样的攻击力已经足以拖垮大部分WEB服务器了。

     稍微动动脑筋我们就会发现，想对SYN Flooder程序进行优化是很简单的，从程序构架来看，攻击时循环内的代码主要是进行校验和计算与缓冲区的填充，一般的思路是提高校验和计算的速度，我甚至见过用汇编代码编写的校验和函数，实际上，有另外一个变通的方法可以轻松实现优化而又不需要高深的编程技巧和数学知识，（老实说吧，我数学比较差:P），我们仔细研究了两个不同源地址的TCP SYN报文后发现，两个报文的大部分字段相同（比如目的地址、协议等等），只有源地址和校验和不同（如果为了隐蔽，源端口也可以有变化，但是并不影响我们算法优化的思路），如果我们事先计算好大量的源地址与校验和的对应关系表（如果其他的字段有变化也可以加入这个表），等计算完毕了攻击程序就只需要单纯的组合缓冲区并发送（用指针来直接操作缓冲区的特定位置，从事先计算好的对应关系表中读出数据，替换缓冲区相应字段），这种简单的工作完全取决于系统发送IP包的速度，与程序的效率没有任何关系，这样，即使是CPU主频较低的主机也能快速的发送大量TCP SYN攻击包。如果考虑到缓冲区拼接的时间，甚至可以定义一个很大的缓冲区数组，填充完毕后再发送（雏鹰给这种方法想了一个很贴切的比喻：火箭炮装弹虽然很慢，但是一旦炮弹上膛了以后就可以连续猛烈地发射了:）。











第三部分 SYN Flood攻击的监测与防御初探

     对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击系统的负荷，减轻负面的影响。（这正是我撰写本文的主要目的）

     一般来说，如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat 命令能看到大量SYN_RCVD的半连接（数量>500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了SYN Flood攻击。

     遭到SYN Flood攻击后，首先要做的是取证，通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的，如果有嗅探器，或者TcpDump之类的工具，记录TCP SYN报文的所有细节也有助于以后追查和防御，需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，这些信息虽然很可能是攻击者伪造的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，我们往往能推断出攻击者与我们之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）

     前面曾经提到可以通过缩短SYN Timeout时间和设置SYN Cookie来进行SYN攻击保护，对于Win2000系统，还可以通过修改注册表降低SYN Flood的危害，在注册表中作如下改动：

首先，打开regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2；

增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，这个值很难确定，取决于服务器TCP负荷的状况和可能受到的攻击强度，具体的值需要经过试验才能决定。

     增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0xFFFF，默认情况下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，这个值决定了在什么情况下系统会打开SYN攻击保护。



     我们来分析一下Win2000的SYN攻击保护机制：正常情况下，Win2K对TCP连接的三次握手有一个常规的设置，包括SYN Timeout时间、SYN-ACK的重试次数和SYN报文从路由器到系统再到Winsock的延时等，这个常规设置是针对系统性能进行优化的（安全和性能往往相互矛盾）所以可以给用户提供方便快捷的服务；一旦服务器受到攻击，SYN半连接的数量超过TcpMaxHalfOpenRetried的设置，系统会认为自己受到了SYN Flood攻击，此时设置在SynAttackProtect键值中的选项开始作用，SYN Timeout时间被减短，SYN-ACK的重试次数减少，系统也会自动对缓冲区中的报文进行延时，避免对TCP/IP堆栈造成过大的冲击，力图将攻击危害减到最低；如果攻击强度不断增大，超过了TcpMaxHalfOpen值，此时系统已经不能提供正常的服务了，更重要的是保证系统不会崩溃，所以系统将会丢弃任何超出TcpMaxHalfOpen值范围的SYN报文（应该是使用随机丢包策略），保证系统的稳定性。

     所以，对于需要进行SYN攻击保护的系统，我们可以测试/预测一下访问峰值时期的半连接打开量，以其作为参考设定TcpMaxHalfOpenRetried的值（保留一定的余量），然后再以TcpMaxHalfOpenRetried的1.25倍作为TcpMaxHalfOpen值，这样可以最大限度地发挥WIN2K自身的SYN攻击保护机制。

     通过设置注册表防御SYN Flood攻击，采用的是“挨打”的策略，无论系统如何强大，始终不能光靠挨打支撑下去，除了挨打之外，“退让”也是一种比较有效的方法。

     退让策略是基于SYN Flood攻击代码的一个缺陷，我们重新来分析一下SYN Flood攻击者的流程：SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析，我们的切入点正是这里：假设一台服务器在受到SYN Flood攻击后迅速更换自己的IP地址，那么攻击者仍在不断攻击的只是一个空的IP地址，并没有任何主机，而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内（取决于DNS的刷新时间）恢复用户通过域名进行的正常访问。为了迷惑攻击者，我们甚至可以放置一台“牺牲”服务器让攻击者满足于攻击的“效果”（由于DNS缓冲的原因，只要攻击者的浏览器不重起，他访问的仍然是原先的IP地址）。

     同样的原因，在众多的负载均衡架构中，基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，攻击者攻击的永远只是其中一台服务器，虽然说攻击者也能不断去进行DNS请求从而打破这种“退让”策略，但是一来这样增加了攻击者的成本，二来过多的DNS请求可以帮助我们追查攻击者的真正踪迹（DNS请求不同于SYN攻击，是需要返回数据的，所以很难进行IP伪装）。



     对于防火墙来说，防御SYN Flood攻击的方法取决于防火墙工作的基本原理，一般说来，防火墙可以工作在TCP层之上或IP层之下，工作在TCP层之上的防火墙称为网关型防火墙，网关型防火墙与服务器、客户机之间的关系如下图所示：



外部TCP连接                 内部TCP连接

     [客户机] =================>[防火墙] =================>[服务器]



     如上图所示，客户机与服务器之间并没有真正的TCP连接，客户机与服务器之间的所有数据交换都是通过防火墙代理的，外部的DNS解析也同样指向防火墙，所以如果网站被攻击，真正受到攻击的是防火墙，这种防火墙的优点是稳定性好，抗打击能力强，但是因为所有的TCP报文都需要经过防火墙转发，所以效率比较低由于客户机并不直接与服务器建立连接，在TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP连接，所以攻击者无法越过防火墙直接攻击后台服务器，只要防火墙本身做的足够强壮，这种架构可以抵抗相当强度的SYN Flood攻击。但是由于防火墙实际建立的TCP连接数为用户连接数的两倍（防火墙两端都需要建立TCP连接），同时又代理了所有的来自客户端的TCP请求和数据传送，在系统访问量较大时，防火墙自身的负荷会比较高，所以这种架构并不能适用于大型网站。（我感觉，对于这样的防火墙架构，使用TCP_STATE攻击估计会相当有效:）

     工作在IP层或IP层之下的防火墙（路由型防火墙）工作原理有所不同，它与服务器、客户机的关系如下图所示：

[防火墙] 数据包修改转发

     [客户机]========|=======================>[服务器]

TCP连接



     客户机直接与服务器进行TCP连接，防火墙起的是路由器的作用，它截获所有通过的包并进行过滤，通过过滤的包被转发给服务器，外部的DNS解析也直接指向服务器，这种防火墙的优点是效率高，可以适应100Mbps-1Gbps的流量，但是这种防火墙如果配置不当，不仅可以让攻击者越过防火墙直接攻击内部服务器，甚至有可能放大攻击的强度，导致整个系统崩溃。

     在这两种基本模型之外，有一种新的防火墙模型，我个人认为还是比较巧妙的，它集中了两种防火墙的优势，这种防火墙的工作原理如下所示：

第一阶段，客户机请求与防火墙建立连接：

SYN                           SYN+ACK                           ACK

     [客户机]---- >[防火墙]   =>   [防火墙]-------- >[客户机]   =>   [客户机]--- >[防火墙]



第二阶段，防火墙伪装成客户机与后台的服务器建立连接

[防火墙]< =========== >[服务器]

TCP连接



     第三阶段，之后所有从客户机来的TCP报文防火墙都直接转发给后台的服务器

防火墙转发

[客户机]< ======|======= >[服务器]

                     TCP连接

     这种结构吸取了上两种防火墙的优点，既能完全控制所有的SYN报文，又不需要对所有的TCP数据报文进行代理，是一种两全其美的方法。

近来，国外和国内的一些防火墙厂商开始研究带宽控制技术，如果能真正做到严格控制、分配带宽，就能很大程度上防御绝大多数的拒绝服务攻击，我们还是拭目以待吧。

类别：默认分类|评论(0) |浏览(164)

[首页] [上一页] [12] [13] [14] [15] [16] 17 [18] [19] [20] [21] [下一页] [尾页]

文章分类

默认分类(296)

心情颜色(39)

技术胡侃(42)

电脑拾遗(7)

英语hello(13)

生活调料(17)

文章存档