tcpip常见攻击方式

常见 TCP/IP 协议攻击方法分析
21 IP 欺骗( IP Spoofing)
IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。
IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。
防范措施
各个网络 ISP 应该限制源地址为外部地址的 IP 数据包进入互联网
合理的配置防火墙，限制数据包的源地址为内部网络的数据包进入网络。
22 TCP 会话劫持 (TCP sessJOn hijacking)
TCP 会话劫持跳过连接过程对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。
攻击者看到被假冒主机和目标主机建立一个连接并进行身份认证后，通过对数据包捕获和进行分析，就可以得到连接的序列号。
一旦得到正确的序列号就可以发送一个假冒的 TCP 分段，接管已经建立的连接。这样，被假冒主机发送的数据包都会被目标主机忽略，因为它们的序列号会被目标主机认为不正确。
防范措施
最主要的方法是在传输层对数据进行加密。
23 拒绝服务( Denial Of Service )
拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。
231 SYN 淹没 (SYN Flooding)
当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些 *** 作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而 *** 作系统在SOCK的实现上最多可开启半开连接个数是一定的。
从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。
防范措施
无效连接监视释放
这种方法不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种方法属于入门级的SYN Flood方法。
延缓TCB分配方法
从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的方法是使用Syn Cache和Syn Cookie技术。
Syn Cache技术：
这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYN ACK报文，并在一个专用HASH表（Cache）中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYN ACK中需要使用一个己方的Sequence Number，这个数字不能被对方猜到，否则对于某些稍微智能一点的Syn Flood攻击软件来说，它们在发送Syn报文后会发送一个ACK报文，如果己方的Sequence Number被对方猜测到，则会被其建立起真正的连接。因此一般采用一些加密算法生成难于预测的Sequence Number。
Syn Cookie技术：
对于SYN攻击，Syn Cache虽然不分配TCB，但是为了判断后续对方发来的ACK报文中的Sequence Number的正确性，还是需要使用一些空间去保存己方生成的Sequence Number等信息，也造成了一些资源的浪费。
Syn Cookie技术则完全不使用任何存储资源，这种方法比较巧妙，它使用一种特殊的算法生成Sequence Number，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比较固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其是否与对方回应报文中的（Sequence Number-1）相同，从而决定是否分配TCB资源。

尊敬的轩辕勇士们：

《 轩辕传奇手游 》开放测试以来人气沸腾，各种战斗的激烈程度也随之升级!为了让勇士们尽享更刺激、更热血的战斗，我们计划于8月11日6:00-9:00期间进行数据互通 *** 作，数据互通期间，相关服务器将暂时无法进入，造成您的不便，恳请理解与体谅。

数据互通回馈：数据互通结束后，系统将会给服务器玩家每人发放500金票。

数据互通时间：8月11日6:00-9:00(具体开服时间，请关注官网最新公告)

数据互通服务器列表：

1、安卓微信24服-天高云淡、微信25服-林海雪原合并为微信24服-天高云淡;

2、安卓QQ27服-雄鸡报晓、QQ28服-艳阳高照合并为QQ27服-雄鸡报晓;

温馨提示：数据互通后仍然保留原服务器入口一段时间，但实际上进入的是同一个服务器。

相应的充值、礼包CDK兑换入口也变更为：微信24服-天高云淡、QQ27服-雄鸡报晓;

关于数据互通规则，请参考以下说明：

服务器定义

服务器A、B、C进行数据互通，服务器B、C合入服务器A，则服务器A称为“主服务器”。服务器B、C称为“被数据互通服务器”;

角色数量限制

由于在每个服务器可创建的角色数量有其上限，玩家在数据互通后的服务器最多仅能持有5个角色，若您的角色数量超过5个，将依以下原则进行删除：

1 系统将优先保留拥有血盟领袖头衔的角色。

2 在非血盟领袖的角色中，将以等级高低为优先级排序，等级高的角色将优先保留。

3 如玩家在原服务器拥有5个角色，在并入服务器有4个角色，则这9个角色将按照以上原则进行排序，优先级最低的4个角色将被系统删除，保留其他5个角色。

4 为避免损失，请玩家及时对即将被删除的角色所持有的物品、金钱等做妥善安排。

角色重名处理

1若数据互通造成服务器角色重名情况，则重名玩家在数据互通后第一次进入游戏时将被要求改名。重名角色将会在名字后面加数字标识，角色重名的在进入游戏前必须更名。

2例如服务器A、B、C数据互通，服务器A为主服务器，则服务器A的角色名会被保留，另外两个服务器玩家如果重名会被要求改名;

角色财产问题

角色的钻石、绑钻、坐骑、背包、装备相应的道具将被保留，下线坐标信息保留，称号(成就)，任务状态也都将予以保留。

角色优先级：角色为领袖的优先级最高;其次，在不是领袖的情况下，角色VIP等级越高，优先级越高;再其次，在VIP等级一样的情况下，角色等级越高，优先级越高;

角色关系处理

好友、夫妻关系将予以保留。

邮件处理

1数据互通时，玩家邮箱里玩家发送的邮件及含有附件的邮件系统会予以保留。已经被删除的角色的邮件及含有附件的邮件将被系统删除。

2如果系统发送邮件之后，玩家在线过，则系统发送的邮件及含有附件的邮件系统会予以保留;如果系统发送邮件之后，玩家一直未在线，则系统发送的邮件及含有附件的邮件系统被删除;

血盟重名处理

数据互通后，如果数据互通服务器中有血盟名字重复，则随机一个血盟会在血盟名称后添加一个数字以示区别。血盟成员、职位等其他属性不发生变化。对于数据互通之后被系统自动添加数字的血盟名，后续开放血盟改名功能。

血盟旗号处理

两个服务器的血盟旗号都进行清除，血盟旗号需要重新创立。刀疤信息也会进行清除。

血盟体验处理

1数据互通后，将清除所有血盟据点、城战归属。数据互通服务器的据点和城战需重新争夺。

2系统将保留血盟外交关系、血盟等级、血盟资金、个人贡献等。

3如果数据互通时处在城战报名阶段，城战报名信息会被清空，返还血盟金。

4数据互通后，城战雕像会被清除，雕像对应玩家人气值会在数据互通后发给玩家。

排行榜处理

排行榜调整规则如下：

1战力排行总榜：按照战力重新排序。

2通天英雄榜：按照通过通天塔层数及通过耗时重新排序。

3修为排行榜：按照修为积分重新排序。

4灵宠排行榜：按照灵宠战力重新排序。

5魅力排行榜：按照魅力值重新排序。

6慷慨排行榜：按照慷慨值重新排序。

73V3积分榜：按照积分重新排序 。

8玄海积分榜：按照积分重新排序 。

9主播关爱榜：按照积分重新排序 。

服务器入口

数据互通后，原服务器入口依然保留，参与数据互通服务器中的玩家依然可以选择原服务器进入，服务器列表不变;

封印等级、开服时间处理

数据互通后，封印等级、开服时间以数据互通服务器中最高的为准。

《轩辕传奇手游》运营团队

2017年8月10日

问题一：网络协议是什么 网络协议(Protocol)是一种特殊的软件，是计算机网络实现其功能的最基本机制。网络协议的本质是规则，即各种硬件和软件必须遵循的共同守则。网络协议并不是一套单独的软件，它融合于其他所有的软件系统中，因此可以说，协议在网络中无所不在。网络协议遍及OSI通信模型的各个层次，从我们非常熟悉的TCP/IP、>软件环境： 1、Windows NT40+ORACLE 804
2、ORACLE安装路径为：C:\ORANT
3、服务器A、服务器B，均装有NT 40中文版

实现方法： 1 假设A地址192111，B地址192112

2 A、B上配置好TCP/IP，互相Ping通。

3 配置initora文件，若global_name = true的话，database link 的名字必须同远程机的实例名相同，

为简便起见，请将global_name 设为 false。

4 在服务器上配置tnsnamesora，将Remote机器的地址(IP)信息加入本地的tnsnamesora

A服务器：
TNSA_B =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcpworld)
(PROTOCOL = TCP)
(Host = 192112)
(Port = 1521)
)
)
(CONNECT_DATA = (SID = ORCL)
)
)

B服务器：
TNSB_A =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcpworld)
(PROTOCOL = TCP)
(Host = 192111)
(Port = 1521)
)
)
(CONNECT_DATA = (SID = ORCL)
)
)

5 在 SQLPlus 或其它工具中创建数据库链接

A服务器：create public database link A_TO_B connect to tmp identified by tmp using 'TNSA_B';

B服务器：create public database link B_TO_A connect to tmp identified by tmp using 'TNSB_A';

说明：
tmp是一个临时用户，A服务器、B服务器上均有，它的作用是提供链接的目的地，
假如：
B服务器上有user1、user2、tmp三个用户，user1和user2把他们想要对外公开的表的权限授给tmp用户，
那么，所有能通过database link连接到tmp用户上的人就可以直接访问user1、user2上的已授权表了。

6 建立database link以后，请用这种格式select from table_name@database_link_name 的方式访问

如：在A服务器上想访问B服务器上user1用户table1表的内容（A到B的连接为A_TO_B），则

SQL> select from table1@A_TO_B;
7 如果Oracle版本为73，则数据库联接写法如下：

A服务器：create public database link A_TO_B connect to tmp identified by tmp using 't:192112:orcl';

B服务器：create public database link B_TO_A connect to tmp identified by tmp using 't:192111:orcl';

1SQL Server 2000常用的数据导入导出方法 11通过DTS的设计器进行导入或导出 DTS的设计器功能强大，支持多任务，也是可视化界面，易于 *** 作，但熟悉的人一般不多，如果只是进行SQL Server数据库中部分表的移动，用这种方法最好，当然，也可以进行全部表的移动。在SQL Server Enterprise Manager中，展开服务器左边的＋，选择数据库，右击，选择All tasks/Import Data(或All tasks/Export Data)，进入向导模式，然后按照提示一步一步进行就可以了，里面分得非常详细，可以灵活的在不同数据源之间复制数据，非常的方便，而且还可以另存成DTS包，如果以后还有相同的复制任务，直接运行DTS包就行，省时省力。也可以直接打开DTS设计器，方法是展开服务器名称下面的Data Transformation Services，选Local Packages，在右边的窗口中右击，选New Package，就打开了DTS设计器。值得注意的是：如果源数据库要拷贝的表有外键，注意移动的顺序，有时要分批移动，否则外键主键，索引可能丢失，移动的时候选项旁边的提示说的很明白，或者一次性的复制到目标数据库中，再重新建立外键，主键，索引。其实在建立数据库时，建立外键，主键，索引的文件应该和建表文件分开，而且用的数据文件也分开，并分别放在不同的驱动器上，有利于数据库的优化。 12利用Bcp工具 这种工具虽然在SQL Server 2000的版本中不推荐使用，但许多数据库管理员仍很喜欢用它，尤其是用过SQL Server早期版本的人。不过Bcp确实有其局限性，首先它的界面不是图形化的；其次它只是在SQL Server的表（视图）与文本文件之间进行复制。但是另一方面，它也有其优点：性能好，开销小，占用内存少，速度快。 13利用备份和恢复 先对源数据库进行完全备份，备份到一个设备（device）上，然后把备份文件复制到目的服务器上（恢复的速度快），进行数据库的恢复 *** 作，在恢复的数据库名中填上源数据库的名字（名字必须相同），选择强制型恢复（可以覆盖以前数据库的选项），在选择从设备中进行恢复，浏览时选中备份的文件就行了。这种方法可以完全恢复数据库，包括外键，主键，索引。 14直接拷贝数据文件 把数据库的数据文件（mdf）和日志文件（ldf）都拷贝到目的服务器，在SQL Server Query Analyzer中用语句进行恢复： EXEC sp_attach_db @dbname = ’test’, @filename1 = ’d:\mssql7\data\test_datamdf’, @filename2 = ’d:\mssql7\data\test_logldf’ 这样就把test数据库附加到SQL Server中，可以照常使用，如果不想用原来的日志文件，可以用如下的命令： EXEC sp_detach_db @dbname = ’test’ EXEC sp_attach_single_file_db @dbname = ’test’, @physname = ’d:\mssql7\data\test_datamdf’ 这个语句的作用是仅仅加载数据文件，日志文件可以由SQL Server数据库自动添加，但是原来的日志文件中记录的数据就丢失了。 15在应用程序中定制 可以在应用程序（PB、VB）中执行自己编写的程序，也可以在Query Analyzer中执行，这种方法比较灵活，其实是利用一个平台连接到数据库，在平台中用的主要是SQL语句，这种方法对数据库的影响小，但是如果用到远程链接服务器，要求网络之间的传输性能好，一般有两种语句： 151select into new_tablename where 152insert (into) old_tablename select from where 这两种方式的区别是前者把数据插入一个新表（先建立表，再插入数据），而后者是把数据插入已经存在的一个表中，一般来说，第二条语句强于前者。 16SQL Server的复制功能 SQL Server提供了强大的数据复制功能，也是最不易掌握的，具体应用请参考相关资料，值得注意的是要想成功进行数据的复制工作，有些条件是必不可少的： 161 SQL Server Agent必须启动，MSDTC必须启动。 162 所有要复制的表必须有主键。 163 如果表中有text或image数据类型，必须使用with log选项，不能使用with no_log选项。 另外max text repl size选项控制可以复制的文本和图像数据的最大规模，超过这个限制的 *** 作将失败。 164 在要进行复制的计算机上，应该至少是隐含共享，即共享名是C$或D$…。 165 为SQL Server代理使用的Windows NT账号不能是一个本地的系统账号，因为本地的系统账号不允许网络存取。 166 如果参与复制的服务器在另外的计算机域中，必须在这些域之间建立信任关系。 2实现基于网页的数据库数据导入 那么，如何实现基于网页的数据库数据导入呢，下面利用一个比较简单的网络介绍一下。 假设某局域网的网络拓扑结构如下所示： 其中服务器A 和工作站B位于局域网内，工作站C 与服务器D 位于Internet内，局域网与Internet是物理隔离的，工作站C与工作站D 在同一个办公室内，服务器A上的数据库管理系统是Oracle， 服务器D上的数据库管理系统是SQL Server 2000。由于工作需要，要求把服务器A 的有关数据导入到服务器D上。 21通常的工作流程： 211 在工作站B上运行客户端软件，将服务器A上数据导入到本地的dbf文件。 212 用移动硬盘 把dbf文件从工作站B拷贝到工作站C上。 213 在工作站C上，用ftp软件将dbf文件上传到服务器D上。 214 在工作站C上，运行远程桌面软件登录到服务器D上。 215 在服务器D上，执行DTS，将dbf文件中的数据导入到SQL Server 数据库。 216 在服务器D上,运行相关存储过程,做数据的后期处理工作。 在许多情况下，因为各种不同情况的需要，这个工作流程每天（甚至更短的时间内）就要执行一次，非常繁琐，而且使用手工 *** 作，很容易出错。下面提出一种改进的方案。 22改进后的工作流程 221 在工作站B上运行客户端软件，将服务器A上数据导入到本地的dbf文件。 222 用移动硬盘 把dbf文件从工作站B拷贝到工作站C上。 223 在工作站C上，打开服务器D上的相关网页，利用网页将dbf文件的数据导入到服务器D上的SQL Server数据库中。 首先，要在网页里实现上传功能，把dbf文件从工作站C上传到服务D上，这里就不多介绍了。要通过网页把dbf文件导入到SQL Server 中，需要借助DTS可编程对象。DTS包含一组可编程COM对象，主要包含：DTSPackage、DTSConnection、DTSStep、DTSExecuteSQLTask、DTSDataPumpTask、DTSTransformation。 在ASP网页里，通过用VBScript脚本创建调用DTS可编程COM对象,可以完成数据导入任务。SQL Server 2000有比较详细的文档资料介绍DTS编程 ，但没有给一个具体的例子，如果仅参考文档资料，难度比较大，开发时间也会相当长。这里大概的介绍一下开发程序的过程。首先，在SQL Sever 2000的DTS设计器里，创建DTS包，实现从dbf文件到SQL Server 2000的数据导入，把后期处理的存储过程也添加到DTS包里。将这个DTS包另存为VBScript文件。有了这个VBScript文件，开发程序就容易多了，加入所需要的其他代码，就可以在网页里实现数据库的数据导入。 参考文献 1张莉，等SQL Server数据库原理及应用教程［M］北京：清华大学出版社，2003 2梁方明SQL Server2000数据库编程［M］北京：北京希望电子出版社，2002 3Louis Davidson（美）SQL Server2000数据库设计权威指南［M］中国电力出版社，2002[

增强网络整体安全
很多网管往往在维护网络安全方面存在这样的误区，认为只要将服务器单机打好补丁，安装好防护墙
、 *** 作系统定期升级就可以安枕无忧了。可实际上，很多黑客和病毒并非直接攻击服务器，而是通过入侵
其他计算机作为跳板来攻击整个网络的。目前很多网络都是通过域的方式来管理，一旦黑客或病毒成功入
侵与服务器有信任关系的一台计算机，那么从这台计算机攻击服务器将会变得非常简单。所以要办证整个
网络的安全要从根本来考虑。
首先是安全管理，要从管理角度出发，利用规章制度等文字性的材料规范，约束各种针对计算机网络
的行为，例如禁止员工随便下载非法程序，禁止网络管理员以外的人员进入中心机房，完善网络管理员的
值班制度等等。
其次是安全技术，要从技术角度出发，利用各种软件和硬件，各种技巧和方法来管理整个计算机网络，
杀毒软件与防火墙双管齐下力保网络的安全。
这两方面缺一不可，试想如果只有安全技术的支持而在规章制度上没有进行任何约束，即使刚开始安
全做的很到位，但员工随意下载非法软件，随便关闭杀毒软件的保护的话，整个网络安全形同虚设。而只
有严格的规章没有技术作为支持的话病毒和黑客也会通过网络漏洞轻松入侵。因此安全管理与安全技术两
方面相辅相成，网络管理员对于这两方面都要抓，力度都要硬。
加强服务器本地文件格式安全级别
目前服务器都采用的是windows 2000以上版本，所以在加强安全级别上需要利用windows 2000 server
提供的用户权限功能，根据每个用户的特点单独地为其制定访问服务器的特殊使用权限，从而避免因使用
统一的访问服务器权限而带来的安全隐患。
为了确保服务器的安全首先要在本地文件格式上做文章，即将FAT格式转换为安全系数更高的NTFS文
件格式。毕竟对于黑客来说存储在FAT格式的磁盘分区里的数据要比存储在NTFS格式的磁盘分区的数据更容
易访问，也更容易破坏，另外目前所有安全软件及加密软件也都是针对NTFS格式来说的，对FAT格式的保护
非常薄弱。
另外最好使用专门的网络检测软件对整个网络的运行情况进行724小时的不间断监视，尤其要关注“
非法入侵”和“对服务器的 *** 作”两方面的报告，笔者做在的公司就使用IISLOCK来监视网页服务器的正常
运行和MRTG来检测整个网络的流量。
定期备份数据
数据的保护是一个非常重要的问题，也许服务器的系统没有崩溃但里面存储的数据发生了丢失，这种
情况所造成的损失会更大，特别对于数据库服务器来说也许存储的是几年的珍贵数据。怎么才能有效的保
护数据备份是唯一的选择。以往对于数据的备份都是采取在服务器上另外一个区建立备份文件夹甚至是建
立一个备份区。不过这样备份方法有一个非常大的弊端，那就是一旦服务器的硬盘出现问题所有分区的数
据都将丢失，从而备份没有了保证。按照“不要把所有鸡蛋放到同一个篮子”的理论我们应该使用单独的
专门设备保存这些珍贵数据。
使用B服务器保存A服务器的数据，同时用A服务器保存B服务器的文件，这种交叉备份的方法在一段时
间非常流行。另外还有一个有效的方法就是使用磁带来保存珍贵数据，不过这样的投资会比较大。
就拿采用的备份方式来说，采用的备份方式是通过网络存储设备NAS来保存的，将单独的NAS设备连接
到网络中，定期通过工具将珍贵数据写入到NAS的硬盘中，由于NAS设备自身使用了RAID方式进行数据的冗
余，所以数据得到了最好的保证。
但是数据备份也存在巨大的安全漏洞，因为备份好的数据也有可能被盗窃，所以在备份时应该对备份
介质进行有效的密码保护，必要时还需要使用加密软件对这些数据进行加密，这样即使数据被盗也不会出现
数据泄露的问题。易信科技，望采纳。

交互式协议是指主机之间对多种协议进行交互的一种协议。主机之间要成功地进行通信，多种协议必须进行交互。这些协议是在每台主机和网络设备加载的软件和硬件中实现的。
协议之间的交互被称为协议栈。协议栈以分层结构表示协议，每个上层协议都依赖于下层协议提供的服务。

---