IP地址基础知识.docx

1、IP地址基础知识from dreamland2006 s blog1.IP地址基础知识。2.IP地址是由什么机构分配的?3.什么是公有地址和私有地址?4.为什么会受到网络攻击?5.个人用户如何拦截网络攻击?6.计算机常用端口一览表。1.IP地址基础知识。在Internet上有千百万台主机，为了区分这些主机，人们给每台主机都分配了一个专门的地址，称为IP地址。通过IP地址就可以访问到每一台主机。IP地址由4部分数字组成，每部分数字对应于8位二进制数字，各部分之间用小数点分开。如某一台主机的IP地址为：211.152.65.112 ，Internet IP地址由NIC（Internet Netwo

2、rk Information Center）统一负责全球地址的规划、管理；同时由Inter NIC、APNIC、RIPE三大网络信息中心具体负责美国及其它地区的IP地址分配。固定IP：固定IP地址是长期固定分配给一台计算机使用的IP地址，一般是特殊的服务器才拥有固定IP地址。动态IP：因为IP地址资源非常短缺，通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址，而是由ISP动态分配暂时的一个IP地址。普通人一般不需要去了解动态IP地址，这些都是计算机系统自动完成的。公有地址（Public address）由Inter NIC（Internet Network Information Ce

3、nter 因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类 10.0.0.0-10.255.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.2552.IP地址是由什么机构分配的?所有的IP地址都由国际组织NIC（Network Information Center）负责统一分配，目前全世界共有三个这样的网络信息中心。InterNIC：负责美国及其他地

4、区；ENIC：负责欧洲地区；APNIC：负责亚太地区。我国申请IP地址要通过APNIC，APNIC的总部设在日本东京大学。申请时要考虑申请哪一类的IP地址，然后向国内的代理机构提出。 3.什么是公有地址和私有地址?公有地址（Public address）由Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类 10.0.0.0-10.255

5、.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.2554.为什么会受到网络攻击?据中国公安部消息，公安部2004年全国信息网络安全状况暨计算机病毒疫情调查活动圆满结束，调查表明，中国计算机用户计算机病毒的感染率为87.9%，比去年增加了2%。调查表明，中国计算机用户计算机病毒的感染率为87.9%，比去年增加了2%。但是，3次以上感染计算机病毒的用户数量有较大回落，占全部感染用户数量的57.1%，比去年减少了26%，表明受过病毒感染用户的防范能力有所提高。2003年5月至2004年5月，中国感染率最高的计算机病毒是网络

6、蠕虫病毒和针对浏览器的病毒或者恶意代码，如“震荡波”、“网络天空”、“尼姆达”、“SQL蠕虫”等。计算机病毒造成的破坏和损失情况比往年有所下降，但针对网络的破坏呈明显上升趋势，特别是一些盗取计算机用户帐号、密码等敏感信息的计算机病毒隐蔽性强、危害性大。调查表明，被调查单位发生网络安全事件比例为58%。其中，发生1次的占总数的22%，2次的占13%， 3次以上的占23%。发生网络安全事件中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%，拒绝服务、端口扫描和篡改网页等网络攻击事件占43%，大规模垃圾邮件传播造成的安全事件占36%。54%的被调查单位网络安全事件造成的损失比

7、较轻微，损失严重和非常严重的占发生安全事件单位总数的10%。造成网络安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时，调查表明信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。造成网络安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时，调查表明信息网络使用单位对安全管

8、理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出5.个人用户如何拦截网络攻击?黑客攻击行为特征分析 反攻击技术综合性分析报告 2004-8-18 13:28:00 信息源:计算机与安全要想更好的保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析，来研究如何对黑客攻击行为进行检测与防御。一、反攻击技术的核心问题反攻击技术（入

9、侵检测技术）的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。二、黑客攻击的主要方式黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已

10、经有相应的解决方法，这些攻击大概可以划分为以下六类：1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型

11、示例包括SATAN扫描、端口扫描和IP半途扫描等。4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。三、黑客攻击行为的特征分析与反攻击技术入侵检

12、测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。1.Land攻击攻击类型：Land攻击是一种拒绝服务攻击。攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测方法：判断网络数据包的源地址和目标地址是否相同。反攻击方法：适当配置防火墙设

13、备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。2.TCP SYN攻击攻击类型：TCP SYN攻击是一种拒绝服务攻击。攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。检测方法：检查单位时间内

14、收到的SYN连接否收超过系统设定的值。反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。3.Ping Of Death攻击攻击类型：Ping Of Death攻击是一种拒绝服务攻击。攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。4.WinNuke攻击攻击类型：WinNuke攻击

15、是一种拒绝服务攻击。攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。5.Teardrop攻击攻击类型：Teardrop攻击是一种拒绝服务攻击。攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向

16、被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。6.TCPUDP端口扫描攻击类型：TCP/UDP端口扫描是一种预探测攻击。攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、80

17、80等以外的非常用端口的连接请求。反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。四、入侵检测系统的几点思考从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的

18、解决方案。从Yahoo等著名 ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴

19、技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。7.随着网络的带宽的不断增加，如

20、何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。6.计算机常用端口一览表。1 传输控制协议端口服务多路开关选择器2 compressnet 管理实用程序3 压缩进程5 远程作业登录7 回显(Echo)9 丢弃11 在线用户13 时间15 netstat17 每日引用18 消息发送协议19 字符发生器20 文件传输协议(默认数据口)21 文件传输协议(控制)22 SSH远程登录协议23 telnet 终端仿真协议24 预留给个人用邮件系统25 sm

21、tp 简单邮件发送协议27 NSW 用户系统现场工程师29 MSGICP31 MSG验证33 显示支持协议35 预留给个人打印机服务37 时间38 路由访问协议39 资源定位协议41 图形42 WINS 主机名服务43 绰号 who is服务44 MPM(消息处理模块)标志协议45 消息处理模块46 消息处理模块(默认发送口)47 NI FTP48 数码音频后台服务49 TACACS登录主机协议50 远程邮件检查协议51 IMP(接口信息处理机)逻辑地址维护52 施乐网络服务系统时间协议53 域名服务器54 施乐网络服务系统票据交换55 ISI图形语言56 施乐网络服务系统验证57 预留个人用

22、终端访问58 施乐网络服务系统邮件59 预留个人文件服务60 未定义61 NI邮件?62 异步通讯适配器服务63 WHOIS+64 通讯接口65 TACACS数据库服务66 Oracle SQL*NET67 引导程序协议服务端68 引导程序协议客户端69 小型文件传输协议70 信息检索协议71 远程作业服务72 远程作业服务73 远程作业服务74 远程作业服务75 预留给个人拨出服务76 分布式外部对象存储77 预留给个人远程作业输入服务78 修正TCP79 Finger(查询远程主机在线用户等信息)80 全球信息网超文本传输协议(www)81 HOST2名称服务82 传输实用程序83 模块化

23、智能终端ML设备84 公用追踪设备85 模块化智能终端ML设备86 Micro Focus Cobol编程语言87 预留给个人终端连接88 Kerberros安全认证系统89 SU/MIT终端仿真网关90 DNSIX 安全属性标记图91 MIT Dover假脱机92 网络打印协议93 设备控制协议94 Tivoli对象调度95 SUPDUP96 DIXIE协议规范97 快速远程虚拟文件协议98 TAC(东京大学自动计算机)新闻协议101 usually from sri-nic102 iso-tsap103 ISO Mail104 x400-snd105 csnet-ns109 Post Of

24、fice110 Pop3 服务器(邮箱发送服务器)111 portmap 或 sunrpc113 身份查询115 sftp117 path 或 uucp-path119 新闻服务器121 BO jammerkillah123 network time protocol (exp)135 DCE endpoint resolutionnetbios-ns137 NetBios-NS138 NetBios-DGN139 win98 共享资源端口(NetBios-SSN)143 IMAP电子邮件144 NeWS - news153 sgmp - sgmp158 PCMAIL161 snmp - sn

25、mp162 snmp-trap -snmp170 network PostScript175 vmnet194 Irc315 load400 vmnet0443 安全服务456 Hackers Paradise500 sytek512 exec513 login514 shell - cmd515 printer - spooler517 talk518 ntalk520 efs526 tempo - newdate530 courier - rpc531 conference - chat532 netnews - readnews533 netwall540 uucp - uucpd543

26、 klogin544 kshell550 new-rwho - new-who555 Stealth Spy(Phase)556 remotefs - rfs_server600 garcon666 Attack FTP750 kerberos - kdc751 kerberos_master754 krb_prop888 erlogin1001 Silencer 或 WebEx1010 Doly trojan v1.351011 Doly Trojan1024 NetSpy.698 (YAI)1025 NetSpy.6981033 Netspy1042 Bla1.11047 GateCras

27、her1080 Wingate1109 kpop1243 SubSeven1245 Vodoo1269 Mavericks Matrix1433 Microsoft SQL Server 数据库服务1492 FTP99CMP (BackOriffice.FTP)1509 Streaming Server1524 ingreslock1600 Shiv1807 SpySender1981 ShockRave1999 Backdoor2000 黑洞(木马) 默认端口2001 黑洞(木马) 默认端口2023 Pass Ripper2053 knetd2140 DeepThroat.10 或 Inva

28、sor2283 Rat2565 Striker2583 Wincrash22801 Phineas3129 MastersParadise.923150 Deep Throat 1.03210 SchoolBus3389 Win2000 远程登陆端口4000 OICQ Client4567 FileNail4950 IcqTrojan5000 WindowsXP 默认启动的 UPNP 服务5190 ICQ Query5321 Firehotcker5400 BackConstruction1.2 或 BladeRunner5550 Xtcp5555 rmt - rmtd5556 mtb - m

29、tbd5569 RoboHack5714 Wincrash35742 Wincrash6400 The Thing6669 Vampire6670 Deep Throat6711 SubSeven6713 SubSeven6767 NT Remote Control6771 Deep Throat 36776 SubSeven6883 DeltaSource6939 Indoctrination6969 Gatecrasher.a7306 网络精灵(木马)7307 ProcSpy7308 X Spy7626 冰河(木马) 默认端口7789 ICQKiller8000 OICQ Server9400 InCommand9401 InCommand9402 InCommand9535 man9536 w9537 mantst9872 Portal of Doom9875 Portal of Doom9989 InIkiller10000 bnews10001 queue10002 poker10167 Portal Of Doom10607 Coma11000 Senna Spy Trojans11223 ProgenicTrojan12076 Gjamer 或 MSH.104b12223