| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

系统安全

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·Windows 2000 密码破解不完全指南
·修改系统DLL文件实现禁用来防止木马病毒!
·浅谈Win2000密码的必然破解
·NTFS文件加密初探
·目前实用的几种入侵方法 以及工具防范
·防范非法用户入侵Win 2000/XP系统七招
·Windows 2000密码破解不完全指南
·守护进程的概念和建立方法
·虚拟服务器实现方法
·11个不可不知的安全保护常识

站内搜索

用SYN包特性增强网络安全

考虑下面的情形:
内部网为198.199.1.0,用linux作路由器兼防火墙连接到Internet。在防火墙上,eth0接外网,eth1接内网。

针对www服务的安全性,设置如下一组ipchains 规则:
ipchains -A input -p tcp -s 198.199.1.0/24 :1024 -d 0.0.0.0/0 www -i eth1 -j ACCEPT
ipchains -A input -p tcp -s 0.0.0.0/0 www -d 198.199.1.0/24 1024: -i eth0 -j ACCEPT
在以上的设置中,只允许内部用户用1024(非定义端口)以上的端口访问Internet中的www主机;换句话说,允许内部网主机上大于1024的端口和Internet上的80端口建立连接。试想一下,这将允许Internet上的主机用80端口连接到你内部网主机的一个大于1024的端口上,由此我们看到,系统存在安全隐患,因为有好多服务的服务端口是大于1024的。那么,怎么样来克服这一隐患呢,我们可以用SYN包的特性来消除这一隐患。

先让我们来看一看TCP数据段头的标志位。TCP共有六位标志位,分别是:URG、ACK、PSH、RST、SYN和FIN。我们着重来看一下其中的ACK、SYN和FIN标志位。
ACK:表示确认号是否合法,1表示合法,0表示确认号无效。确认号指的是希望收到的下一个字节而不是前面已经收到的字节。由此可见,发起建立连接请求的包(即第一个保)的ACK为总是置0的,其后的包则总是置1。
SYN:用来建立连接。在连接请求中,SYN=1,连接请求确认中,SYN=1。因此,SYN表示CONNECTION REQUEST和CONNECTION ACCEPTED。在其后的TCP包中,SYN总是被置成0。
FIN:用于撤销连接。

以上可以用下表来加以总结:

ACK标志位 SYN标志位 该TCP包的含义
0 1 连接请求
1 1 连接请求确认(接受连接请求)
1 0 确认连接请求确认
1 0 数据包
... ... ...

我们所谓的SYN包,就是连接请求包。如上所示,SYN包具有如下特点:SYN=1,ACK=0,FIN=0。所以,为了过滤连接请求包,只要将SYN包过滤掉即可。

在ipchains中,我们可以这样来指定SYN包:
-p tcp -s x.x.x.x/x -y
如可以这样定义所有来自192.168.1.0的SYN包:
-p tcp -s 192.168.1.0/24 -y
我们也可以在-y前面加上!来定义所有非SYN包:
-P tcp -s x.x.x.x/x ! -y

所以,在上面的例子中,我们可以这样来增强网络的安全性:

ipchains -A input -p tcp -s 198.199.1.0/24 :1024 -d 0.0.0.0/0 www -i eth1 -j ACCEPT
ipchains -A input -p tcp ! -y -s 0.0.0.0/0 www -d 198.199.1.0/24 1024: -i eth0 -j ACCEPT

这将禁止Internet上的主机用80端口连接到你内部网主机的一个大于1024的端口,从而达到增强网络安全性的目的。

参考资料:
1.IPCHANIS-HOWTO
2.Internet 防火墙域网络安全
3.计算机网络

 





相关文章
  • 遭受拒绝服务攻击事件的分析及对策
  • 通过TCP/IP堆栈特征探测远程操作系统
  • 通过IP欺骗进行攻击的原理及预防
  • 远程连接作为root的用法和总结
  • 远程shell特洛伊木马病毒
  • 运用CrackLib构建安全的Unix口令
  • 调整 TCP/IP 防范攻击
  • 设置Unix启动密码
  • 解剖恶意网站代码
  • 虚拟服务器实现方法
  • 虚拟文件系统 (VFS) 简介
  • 网络最高安全指南
  • 网络安全的几项关键技术
  • 网络安全漏洞检测
  • 系统遭受入侵后使用TCT进行紧急恢复并分析
  • 系统管理进阶-内存管理
  • 系统管理员安全(2)
  • 系统管理员安全(1)
  • 系统管理员安全
  • 系统的安全检查
  • 相关软件




    月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
    电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
    音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

    月光软件站·版权所有