黑客入侵與防范

黑客入侵與防范

黑客常用的攻擊手段、工具及技術(shù)1:黑客入侵概述黑客攻擊復(fù)雜度與所需入侵知識(shí)關(guān)系圖Hacker的由來:黑客一詡來自于英語HACK,在美國麻省理工學(xué)院校園俚語中是”惡作劇”的意思,尤其是指那些技術(shù)高明的惡作劇。因此，黑客是人們對(duì)那些編程高手、迷戀計(jì)算機(jī)代碼的程序設(shè)計(jì)人員的稱謂。真正的黑客有自己獨(dú)特的文化和精神，他們并不破壞別人的系統(tǒng)，他們崇拜技術(shù)，對(duì)計(jì)算機(jī)系統(tǒng)的最大潛力進(jìn)行智力上的自由探索。駭客（Cracker）：惡意闖入他人計(jì)算機(jī)或系統(tǒng)，意圖盜取敏感信息的人，對(duì)于這類人最合適的用詞是Cracker。二者不同:Hacker們創(chuàng)造新東西,Cracker們破壞東西。試圖破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的人被稱做“白帽黑客”。黑客發(fā)展的歷史黑客(駭客)攻擊的動(dòng)機(jī)貪心－偷竊或者敲詐惡作劇–

無聊的計(jì)算機(jī)程序員名聲–

顯露出計(jì)算機(jī)經(jīng)驗(yàn)與才智，以便證明他們的能力和獲得名氣報(bào)復(fù)/宿怨–

解雇、受批評(píng)或者被降級(jí)的雇員，或者其他任何認(rèn)為其被不公平地對(duì)待的人無知–

失誤和破壞了信息還不知道破壞了什么黑客道德-這是許多構(gòu)成黑客人物的動(dòng)機(jī)仇恨-國家和民族原因間諜－政治和軍事目的諜報(bào)工作商業(yè)－商業(yè)競爭，商業(yè)間諜黑客入侵攻擊的一般過程

1.

確定攻擊的目標(biāo)。2.

收集被攻擊對(duì)象的有關(guān)信息。3.

利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。4.

建立模擬環(huán)境，進(jìn)行模擬攻擊。5.

實(shí)施攻擊。6.清除痕跡。主要的技術(shù)和攻擊手段端口掃描網(wǎng)絡(luò)監(jiān)聽口令破譯IP欺騙木馬拒絕服務(wù)攻擊電子郵件攻擊緩沖區(qū)溢出網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入侵者分析被入侵系統(tǒng)的必備工具

（2）掃描軟件是系統(tǒng)管理員掌握系統(tǒng)安全狀況的必備工具（3）掃描軟件是網(wǎng)絡(luò)安全工程師修復(fù)系統(tǒng)漏洞的主要工具（4）掃描軟件在網(wǎng)絡(luò)安全的家族中可以說是扮演著醫(yī)生的角色2:網(wǎng)絡(luò)安全掃描技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)分類一．一般的端口掃描器二．功能強(qiáng)大的特殊端口掃描器三.其他系統(tǒng)敏感信息的掃描器網(wǎng)絡(luò)安全掃描技術(shù)的應(yīng)用1.合法使用：（1）檢測(cè)自己服務(wù)器端口，以便給自己提供更好的服務(wù)；（2）掃描軟件是網(wǎng)絡(luò)安全工程師修復(fù)系統(tǒng)漏洞的主要工具。如：一個(gè)系統(tǒng)存在“ASP源代碼暴露”的漏洞，防火墻發(fā)現(xiàn)不了這些漏洞，入侵檢測(cè)系統(tǒng)也只有在發(fā)現(xiàn)有試圖獲取ASP文件源代碼的時(shí)候才報(bào)警，而通過掃描工具，可以提前發(fā)現(xiàn)系統(tǒng)的漏洞，打好補(bǔ)丁，做好防范。2.非法使用：查找服務(wù)器的端口，選取最快的攻擊端口。掃描器的主要功能檢測(cè)主機(jī)是否在線掃描目標(biāo)系統(tǒng)開放的端口，測(cè)試端口的服務(wù)信息。獲取目標(biāo)系統(tǒng)的敏感信息。破解系統(tǒng)口令。掃描其他系統(tǒng)敏感信息，如：CGIScaner、ASPScaner、從各個(gè)主要端口取得服務(wù)信息的Scaner、數(shù)據(jù)庫Scaner以及木馬Scaner等。3:網(wǎng)絡(luò)監(jiān)聽(嗅探)Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。網(wǎng)卡工作原理網(wǎng)卡內(nèi)的單片程序先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為不該接收就丟棄不管；認(rèn)為該接收就在接收后產(chǎn)生中斷信號(hào)通知CPU，CPU得到中斷信號(hào)產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動(dòng)程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。網(wǎng)卡的工作模式普通方式：混雜模式（promiscuous）：能夠接收到一切通過它的數(shù)據(jù)如果一臺(tái)網(wǎng)卡被配置成混雜模式，它（包括其軟件）就是一個(gè)嗅探器。Username:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)（HUB）

FTPLoginMail普通用戶A服務(wù)器C嗅探者B網(wǎng)絡(luò)監(jiān)聽原理Username:herma009<cr>Password:hiHKK234<cr>網(wǎng)絡(luò)監(jiān)聽原理一個(gè)sniffer需要作的：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。分析數(shù)據(jù)包HUB工作原理在共享式網(wǎng)絡(luò)中很容易實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽。交換環(huán)境下的SNIFF由于交換機(jī)的工作原理與HUB不同，如果在B計(jì)算機(jī)上安裝了Sniffer軟件，它也只能收到發(fā)給自己的廣播數(shù)據(jù)包無法監(jiān)聽別人的數(shù)據(jù)。鏡像的監(jiān)控端口交換環(huán)境下的監(jiān)聽那么，在交換環(huán)境下就不會(huì)被別人監(jiān)聽了嗎？答案是否定的。原因：現(xiàn)在許多交換機(jī)都支持鏡像的功能，能夠把進(jìn)入交換機(jī)的所有數(shù)據(jù)都映射到監(jiān)控端口，這樣就可以監(jiān)聽所有的數(shù)據(jù)包，從而進(jìn)行數(shù)據(jù)分析。鏡像的目的主要是為了網(wǎng)絡(luò)管理員掌握網(wǎng)絡(luò)運(yùn)行情況，而采用的手段就是監(jiān)控?cái)?shù)據(jù)包。要實(shí)現(xiàn)上述功能必須對(duì)交換機(jī)進(jìn)行設(shè)置才可以，所以在交換環(huán)境下對(duì)于黑客來說很難實(shí)現(xiàn)監(jiān)聽，但他們也有其他的辦法，如ARP欺騙；破壞交換機(jī)的工作模式，使其廣播式處理數(shù)據(jù)；等等。4:口令攻擊通過猜測(cè)或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令從而進(jìn)入系統(tǒng)危險(xiǎn)口令類型.用戶名.用戶名變形.生日.常用英文單詞.5位以下長度的口令暴力破解：舉例NAT5:IP地址欺騙一般情況下，路由器在轉(zhuǎn)發(fā)報(bào)文的時(shí)候，只根據(jù)報(bào)文的目的地址查路由表，而不管報(bào)文的源地址是什么，因此，這樣就可能面臨一種危險(xiǎn)：如果一個(gè)攻擊者向一臺(tái)目標(biāo)計(jì)算機(jī)發(fā)出一個(gè)報(bào)文，而把報(bào)文的源地址填寫為第三方的一個(gè)IP地址，這樣這個(gè)報(bào)文在到達(dá)目標(biāo)計(jì)算機(jī)后，目標(biāo)計(jì)算機(jī)便可能向毫無知覺的第三方計(jì)算機(jī)回應(yīng)。這便是所謂的IP地址欺騙攻擊。

比較著名的SQLServer蠕蟲病毒，就是采用了這種原理。該病毒（可以理解為一個(gè)攻擊者）向一臺(tái)運(yùn)行SQLServer解析服務(wù)的服務(wù)器發(fā)送一個(gè)解析服務(wù)的UDP報(bào)文，該報(bào)文的源地址填寫為另外一臺(tái)運(yùn)行SQLServer解析程序（SQLServer2000以后版本）的服務(wù)器，這樣由于SQLServer解析服務(wù)的一個(gè)漏洞，就可能使得該UDP報(bào)文在這兩臺(tái)服務(wù)器之間往復(fù)，最終導(dǎo)致服務(wù)器或網(wǎng)絡(luò)癱瘓。

6:木馬（Trojan）木馬是一種基于遠(yuǎn)程控制的黑客工具,具有如下性質(zhì):隱蔽性潛伏性危害性非授權(quán)性常見的普通木馬一般是客戶端/服務(wù)器端（C/S）模式，客戶端/服務(wù)器端之間采用TCP/UDP的通信方式，攻擊者控制的是相應(yīng)的客戶端程序，服務(wù)器程序是木馬程序，木馬程序被植入了毫不知情的用戶的計(jì)算機(jī)中。以“里應(yīng)外合”的工作方式，服務(wù)程序通過打開特定的端口并進(jìn)行監(jiān)聽，這些端口好像“后門”一樣，所以也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請(qǐng)求（ConnectRequest）,木馬便和它連接起來了，攻擊者就可以使用控制器進(jìn)入計(jì)算機(jī)，通過客戶程序命令達(dá)到控服務(wù)器端的目的。木馬的工作原理木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口被植入木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)木馬實(shí)施攻擊的步驟1.

配置木馬：成熟的木馬都有木馬配置程序以實(shí)現(xiàn)下述兩個(gè)功能。（1）木馬偽裝：如修改圖標(biāo)、捆綁文件、定制端口、自我銷毀等。（2）信息反饋：2.

傳播木馬：有兩種方式，一種是通過E-mail，另一種是通過軟件下載。3.

啟動(dòng)木馬：捆綁木馬的程序只要運(yùn)行，木馬就運(yùn)行了。4.

建立連接：需要滿足兩個(gè)條件，一是服務(wù)器端安裝了木馬程序，二是控制端、服務(wù)器端都要在線。5.

遠(yuǎn)程控制：控制服務(wù)器端，實(shí)現(xiàn)竊取密碼、文件操作、修改注冊(cè)表、鎖住服務(wù)器端等。端口反彈技術(shù)反彈技術(shù)，該技術(shù)解決了傳統(tǒng)的遠(yuǎn)程控制軟件不能訪問裝有防火墻和控制局域網(wǎng)內(nèi)部的遠(yuǎn)程計(jì)算機(jī)的難題。反彈端口型軟件的原理是，客戶端首先到FTP服務(wù)器，編輯在木馬軟件中預(yù)先設(shè)置的主頁空間上面的一個(gè)文件，并打開端口監(jiān)聽，等待服務(wù)端的連接，服務(wù)端定期用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時(shí)，就主動(dòng)連接，如此就可完成連接工作。因此在互聯(lián)網(wǎng)上可以訪問到局域網(wǎng)里通過NAT（透明代理）代理上網(wǎng)的電腦，并且可以穿過防火墻。與傳統(tǒng)的遠(yuǎn)程控制軟件相反，反彈端口型軟件的服務(wù)端會(huì)主動(dòng)連接客戶端，客戶端的監(jiān)聽端口一般開為80（即用于網(wǎng)頁瀏覽的端口），這樣，即使用戶在命令提示符下使用"netstat-a"命令檢查自己的端口，發(fā)現(xiàn)的也是類似"TCP

UserIP:3015

ControllerIP：http

ESTABLISHED"的情況，稍微疏忽一點(diǎn)你就會(huì)以為是自己在瀏覽網(wǎng)頁，而防火墻也會(huì)同樣這么認(rèn)為的。于是，與一般的軟件相反，反彈端口型軟件的服務(wù)端主動(dòng)連接客戶端，這樣就可以輕易的突破防火墻的限制。木馬與病毒、遠(yuǎn)程控制的區(qū)別病毒程序是以自發(fā)性的敗壞為目的。木馬程序是依照黑客的命令來運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。木馬程序和遠(yuǎn)程控制的相同點(diǎn)：都是一種在遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序，它們的運(yùn)行都遵照TCP/IP協(xié)議。其程序編制技術(shù)和攻擊系統(tǒng)的手段也幾乎沒有什么區(qū)別。木馬與遠(yuǎn)程控制的最大區(qū)別：就是木馬具有隱蔽性而遠(yuǎn)程控制軟件沒有。例如，國內(nèi)血蜘蛛，國外的PCAnywhere等都是遠(yuǎn)程控制軟件，血蜘蛛等server端在目標(biāo)機(jī)器上運(yùn)行時(shí)，目標(biāo)機(jī)器上會(huì)出現(xiàn)很醒目的標(biāo)志。而木馬類的軟件的server端在運(yùn)行的時(shí)候應(yīng)用各種手段隱藏自己。7:拒絕服務(wù)攻擊(DoS)什么叫拒絕服務(wù)攻擊DOS是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。DOS攻擊種類：帶寬攻擊連通性攻擊帶寬攻擊：指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求無法通過。連通性攻擊：指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。在上述攻擊原理下，針對(duì)所攻擊的服務(wù)和協(xié)議不同，它又有許多種不同的攻擊方式。死亡之ping,TCPSYNFlood,Land攻擊,淚珠（Teardrop）攻擊……行行色色的DOS攻擊死亡之ping死亡之ping原理：在早期，路由器對(duì)包的大小是有限制的，許多操作系統(tǒng)TCP/IP棧規(guī)定ICMP包的大小限制在64KB以內(nèi)。根據(jù)ICMP數(shù)據(jù)包的標(biāo)題頭里包含的信息來有效生成緩沖區(qū)。當(dāng)ICMP包大小超過64kB，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，從而使接受方計(jì)算機(jī)宕機(jī)。死亡之ping防御防御死亡之ping攻擊的基本方法：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP協(xié)議都已具有對(duì)付超過64kB大小數(shù)據(jù)包的能力，并且大多數(shù)防火墻能夠通過對(duì)數(shù)據(jù)包中的信息和時(shí)間間隔的分析自動(dòng)過濾這些攻擊。TCPSYN洪水攻擊TCPSYNFlood：

TCPSYN洪水攻擊應(yīng)用最廣、最容易實(shí)現(xiàn)TCPSYN洪水攻擊原理：TCP/IP棧只能等待有限數(shù)量的ACK應(yīng)答消息，因?yàn)槊颗_(tái)計(jì)算機(jī)里用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。如果這一緩沖區(qū)沖滿了等待響應(yīng)的初始信息，則該計(jì)算機(jī)就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接超時(shí)。TCPSYN洪水攻擊利用了TCP/IP協(xié)議的這一系統(tǒng)漏洞來進(jìn)行攻擊。要明白其具體的攻擊過程，需理解TCP協(xié)議建立連接的三次握手過程。TCP協(xié)議建立連接的三次握手過程三次握手：（1）建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCPSYN報(bào)文。（2）目標(biāo)計(jì)算機(jī)收到這個(gè)SYN報(bào)文后，在內(nèi)存中創(chuàng)建TCP連接控制塊（TCB），然后向發(fā)起者回送一個(gè)TCPACK報(bào)文，等待發(fā)起者的回應(yīng)。（3）發(fā)起者收到TCPACK報(bào)文后，再回應(yīng)一個(gè)ACK報(bào)文。攻擊原理：攻擊過程與TCP連接的三次握手過程基本一樣，只是在最后一步發(fā)起者收到TCPACK報(bào)文后不向目標(biāo)計(jì)算機(jī)回應(yīng)ACK報(bào)文，這樣導(dǎo)致目標(biāo)計(jì)算機(jī)一直處于等待狀態(tài)；如果目標(biāo)計(jì)算機(jī)接收到大量的TCPSYN報(bào)文，而沒有收到發(fā)起者的ACK回應(yīng)，會(huì)一直等待，處于這種尷尬狀態(tài)的半連接如果很多，則會(huì)把目標(biāo)計(jì)算機(jī)的資源（TCB控制結(jié)構(gòu)，TCB一般情況下是有限的）耗盡，而不能響應(yīng)正常的TCP連接請(qǐng)求。注：TCB，線程控制塊，PCB，進(jìn)程控制塊攻擊者

目標(biāo)主機(jī)SYNSYN/ACKSYN/ACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)TCPSYN洪水攻擊TCPSYN洪水攻擊....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應(yīng)答SYN/ACK.........TCPSYN洪水攻擊防御TCPSYN洪水攻擊原理：攻擊者在實(shí)施TCPSYN洪水攻擊時(shí)，首先利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接（SYN）請(qǐng)求目標(biāo)系統(tǒng)在接收到請(qǐng)求后發(fā)送確認(rèn)信息并等待回答；由于黑客發(fā)送請(qǐng)示的IP地址是仿造的，所以確認(rèn)信息不會(huì)到達(dá)任何計(jì)算機(jī)，當(dāng)然也就不會(huì)有任何計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了；而在沒有接收到任何應(yīng)答之前，目標(biāo)計(jì)算機(jī)系統(tǒng)是不會(huì)主動(dòng)放棄連接的會(huì)繼續(xù)在緩沖區(qū)中保持相應(yīng)連接信息；當(dāng)達(dá)到一定數(shù)量的的等待連接之后，緩沖區(qū)內(nèi)存資源耗盡，從而開始拒絕接收任何其他連接請(qǐng)求。防御方法：在防火墻上過濾來自同一主機(jī)的后續(xù)連接。DDoS攻擊時(shí)序(分布式拒絕服務(wù))1)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉機(jī)”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS攻擊時(shí)序(分布式拒絕服務(wù))

3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)據(jù)包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)據(jù)包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信阻塞而崩潰。虛假的連接請(qǐng)求DDoS攻擊時(shí)序(分布式拒絕服務(wù))DDoS攻擊時(shí)序(分布式拒絕服務(wù))

從圖可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。

2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。

3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。

攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。ICMP與UDP洪水攻擊ICMP洪水攻擊：正常情況下為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，如PING等，會(huì)發(fā)出ICMP響應(yīng)請(qǐng)求報(bào)文（ICMPECHO），接收計(jì)算機(jī)收到（ICMPECHO）后，會(huì)回應(yīng)一個(gè)ICMPECHOReply報(bào)文，而這個(gè)過程是需要CPU處理的，有的情況下還可能消耗大量的資源，比如處理分片的時(shí)候；這樣，如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMPECHO報(bào)文（產(chǎn)生ICMP洪水），則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO報(bào)文而無法處理其他的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這就是ICMP洪水攻擊，也是一種DOS。UDP洪水攻擊：與ICMP洪水攻擊類似，攻擊者通過發(fā)送大量的UDP報(bào)文給目標(biāo)計(jì)算機(jī)，導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些UDP報(bào)文而無法繼續(xù)處理正常的報(bào)文。ICMP與UDP洪水攻擊防御關(guān)掉不必要的TCP/IP服務(wù)，或者對(duì)防火墻進(jìn)行配置，阻斷來自Internet的ICMP和UDP請(qǐng)求報(bào)文。分片IP報(bào)文攻擊分片IP報(bào)文攻擊原理:為了傳送一個(gè)大的IP報(bào)文,IP協(xié)議棧需要根據(jù)鏈路接口的MTU對(duì)該IP報(bào)文進(jìn)行分片,通過填充適當(dāng)?shù)腎P頭中的分片指示字段,接收計(jì)算機(jī)可以很容易地把這些IP分片報(bào)文重組起來.目標(biāo)計(jì)算機(jī)在處理這些分片報(bào)文的時(shí)候,會(huì)把先到的分片報(bào)文緩存起來,然后一直等待后續(xù)的分片報(bào)文,這個(gè)過程會(huì)消耗掉一部分內(nèi)存,以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu).如果攻擊者給目標(biāo)計(jì)算機(jī)只發(fā)送一片分片報(bào)文,而不發(fā)送所有的分片報(bào)文,這樣被攻擊者計(jì)算機(jī)便會(huì)一直等待(直到一個(gè)內(nèi)部計(jì)時(shí)器到時(shí)),如果攻擊者發(fā)送了大量這樣的分片報(bào)文,就會(huì)消耗掉目標(biāo)計(jì)算機(jī)的資源,而導(dǎo)致不能處理正常的IP報(bào)文,這也是一種DOS攻擊.分片IP報(bào)文攻擊防御防御分片IP報(bào)文攻擊方法:對(duì)于這種攻擊方式,目前還沒有一種十分有效的防御方法。原因：一些包過濾設(shè)備或者入侵檢測(cè)系統(tǒng),首先通過判斷目的端口號(hào)來采取允許/禁止措施.但是,由于通過惡意分片使目的端口位于第二個(gè)分片中,因此包過濾設(shè)備通過判斷第一個(gè)分片,決定后續(xù)的分片是否允許通過.但是,這些分片在目標(biāo)主機(jī)上進(jìn)行重組后將形成各種攻擊.當(dāng)然,目前一些智能的包過濾設(shè)備可直接丟掉報(bào)頭中未包含端口信息的分片,但這樣的設(shè)備目前價(jià)格比較昂貴,不是每個(gè)企業(yè)能承受得起的.淚滴（teardrop）攻擊淚滴（teardrop）攻擊原理:對(duì)于大的IP數(shù)據(jù)包,往往需要對(duì)其進(jìn)行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求,比如,一個(gè)6000字節(jié)的IP包,在MTU為2000字節(jié)的鏈路上傳輸時(shí),就需要分成三個(gè)IP包.在IP報(bào)頭中有一個(gè)偏移字段和一個(gè)拆分標(biāo)志(MF),如果MF標(biāo)志設(shè)置為1,則表明這個(gè)IP包是一個(gè)大IP包的片斷,其中偏移字段指出了這個(gè)片斷在整個(gè)IP包中的位置.例如,對(duì)一個(gè)6000字節(jié)的IP包進(jìn)行拆分(MTU為2000),則三個(gè)片斷中偏移字段的值依次為:0、2000、4000。這樣，接收端在全部接收完IP數(shù)據(jù)包后，就可以根據(jù)這些信息重新組裝這幾個(gè)分次接收的IP數(shù)據(jù)包。在這里就出現(xiàn)了一個(gè)安全漏洞：如果黑客們?cè)诮厝P數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，這樣接收端在收到這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重組這些拆分的數(shù)據(jù)包，但接收端會(huì)不斷嘗試，這樣，就可能致使目標(biāo)計(jì)算機(jī)操作系統(tǒng)因資源耗盡而崩潰。防御淚滴（teardrop）攻擊IP分段含有指示該分段所包含的是原包的哪一段信息，某些操作系統(tǒng)的TCP/IP在收到含有重疊偏移的偽造分段時(shí)將崩潰，不過，新的操作系統(tǒng)已基本上能自己抵御這種攻擊了。防御淚滴（teardrop）攻擊的基本方法：盡可能采用新的操作系統(tǒng)，或者在防火墻上設(shè)置分段重組功能，由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包，然后完成重組工作，而不是直接轉(zhuǎn)發(fā)。因?yàn)榉阑饓ι峡梢栽O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采取的規(guī)則。Land攻擊Land攻擊原理：

Land攻擊與TCPSYN洪水攻擊類似，也是利用了TCP連接建立的三次握手過程，通過向一個(gè)目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCPSYN報(bào)文（連接建立請(qǐng)求報(bào)文）而形成對(duì)目標(biāo)計(jì)算機(jī)的攻擊。與TCPSYN洪水攻擊的方法不同的是，這里并不是不給TCK響應(yīng)，而是給被攻擊方發(fā)送一個(gè)源IP地址和目的IP地址相同的假TCPSYN報(bào)文，都是目標(biāo)計(jì)算機(jī)的IP地址。這樣目標(biāo)計(jì)算機(jī)接收到這個(gè)SYN報(bào)文后，就會(huì)向該報(bào)文的原地址發(fā)送一個(gè)ACK報(bào)文，并建立一個(gè)TCP連接控制結(jié)構(gòu)（TCB），而該報(bào)文的源IP地址就是自己，因此，這個(gè)ACK報(bào)文就發(fā)給了自己。如果攻擊者發(fā)送了足夠多的SYN報(bào)文，則目標(biāo)計(jì)算機(jī)的TCB可能會(huì)耗盡，最終不能提供正常服務(wù)，這也是一種DOS攻擊。防御Land攻擊防御Land攻擊的基本方法：這類攻擊的檢測(cè)方法相對(duì)來說比較容易，因?yàn)榭梢灾苯訌呐袛嗑W(wǎng)絡(luò)數(shù)據(jù)包的源IP地址與目的IP地址是否相同得出是否屬于攻擊行為。反攻擊的方法當(dāng)然是適當(dāng)?shù)呐渲梅阑饓υO(shè)備或包過濾路由器的包過濾規(guī)則，過濾掉那些源地址與目標(biāo)地址一樣的數(shù)據(jù)包，從而可以有效的分析并跟蹤攻擊來源。Smurf攻擊Smurf攻擊原理：

Smurf攻擊利用的是多數(shù)路由器具有的同時(shí)向許多計(jì)算機(jī)廣播請(qǐng)求的功能。ICMPECHO請(qǐng)求包用來對(duì)網(wǎng)絡(luò)進(jìn)行診斷，當(dāng)一臺(tái)計(jì)算機(jī)接收到這樣一個(gè)報(bào)文后，會(huì)向報(bào)文的源地址回應(yīng)一ICMPECHOREPLY。一般情況下，計(jì)算機(jī)是不檢查該ECHO請(qǐng)求的源地址的。攻擊者偽造一個(gè)合法的IP地址，然后由網(wǎng)絡(luò)所有的路由器廣播要求受攻擊的計(jì)算機(jī)做出回答請(qǐng)求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請(qǐng)求，因此網(wǎng)絡(luò)中所有系統(tǒng)向這個(gè)地址做出應(yīng)答，最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這也就達(dá)到了黑客們的目的了。這種Smurf攻擊比以前介紹的PingofDeath洪水攻擊的流量高出一到兩個(gè)數(shù)量級(jí)，更容易攻擊成功。還有些新型的Smurf攻擊，將源地址改為第三方受害者（不再采用偽裝的IP地址），最終導(dǎo)致第三方雪崩。除了把ECHO報(bào)文的源地址設(shè)置為廣播地址外，攻擊者還可能把源地址設(shè)置為一個(gè)子網(wǎng)廣播地址，這樣，該子網(wǎng)內(nèi)的計(jì)算機(jī)就可能受影響。防御Smurf攻擊防御Smurf攻擊的基本方法：（1）為防止系統(tǒng)成為smurf攻擊的平臺(tái)，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能并不需要。（2）挫敗一個(gè)smurf

攻擊的最簡單方法對(duì)邊界路由器的回音應(yīng)答(echoreply)信息包進(jìn)行過濾，然后丟棄它們，這樣就能阻止“命中”Web服務(wù)器和內(nèi)網(wǎng)。對(duì)于那些使用Cisco路由器的人，另一個(gè)選擇是CAR(CommittedAccessRate，承諾訪問速率)。

Fraggle攻擊Fraggle攻擊原理：Fraggle攻擊實(shí)際上就是對(duì)Smurf攻擊作了簡單的修改，使用的是UDP應(yīng)答消息而非ICMP。因?yàn)楹诳蛡兦宄DP協(xié)議更不易被用戶們?nèi)拷?。同時(shí)，F(xiàn)raggle攻擊

使用了特定的端口（通常為7號(hào)端口，但也有許多使用其他端口實(shí)施Fraggle攻擊的），攻擊方式與Smurf攻擊基本類似。

虛擬終端（VTY）耗盡攻擊這是一種針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊，比如路由器，交換機(jī)等。這些網(wǎng)絡(luò)設(shè)備為了便于遠(yuǎn)程管理，一般設(shè)置了一些TELNET用戶界面，即用戶可以通過TELNET到該設(shè)備上，對(duì)這些設(shè)備進(jìn)行管理。

一般情況下，這些設(shè)備的TELNET用戶界面?zhèn)€數(shù)是有限制的，比如，5個(gè)或10個(gè)等。這樣，如果一個(gè)攻擊者同時(shí)同一臺(tái)網(wǎng)絡(luò)設(shè)備建立了5個(gè)或10個(gè)TELNET連接，這些設(shè)備的遠(yuǎn)程管理界面便被占盡，這樣合法用戶如果再對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程管理，則會(huì)因?yàn)門ELNET連接資源被占用而失敗。

針對(duì)MAC地址表的攻擊

MAC地址表一般存在于以太網(wǎng)交換機(jī)上，以太網(wǎng)通過分析接收到的數(shù)據(jù)幀的目的MAC地址，來查本地的MAC地址表，然后作出合適的轉(zhuǎn)發(fā)決定。

這些MAC地址表一般是通過學(xué)習(xí)獲取的，交換機(jī)在接收到一個(gè)數(shù)據(jù)幀后，有一個(gè)學(xué)習(xí)的過程，該過程是這樣的：

a)提取數(shù)據(jù)幀的源MAC地址和接收到該數(shù)據(jù)幀的端口號(hào)；

b)查MAC地址表，看該MAC地址是否存在，以及對(duì)應(yīng)的端口是否符合；

c)如果該MAC地址在本地MAC地址表中不存在,則創(chuàng)建一個(gè)MAC地址表項(xiàng)；

d)如果存在，但對(duì)應(yīng)的輸出端口跟接收到該數(shù)據(jù)幀的端口不符，則更新該表；

e)如果存在，且端口符合，則進(jìn)行下一步處理。

分析這個(gè)過程可以看出，如果一個(gè)攻擊者向一臺(tái)交換機(jī)發(fā)送大量源MAC地址不同的數(shù)據(jù)幀，則該交換機(jī)就可能把自己本地的MAC地址表填滿。一旦MAC地址表溢出，則交換機(jī)就不能繼續(xù)學(xué)習(xí)正確的MAC表項(xiàng)，結(jié)果是可能產(chǎn)生大量的網(wǎng)絡(luò)冗余數(shù)據(jù)，甚至可能使交換機(jī)崩潰。而構(gòu)造一些源MAC地址不同的數(shù)據(jù)幀，是非常容易的事情。針對(duì)ARP表的攻擊（1）

ARP表是IP地址和MAC地址的映射關(guān)系表，任何實(shí)現(xiàn)了IP協(xié)議棧的設(shè)備，一般情況下都通過該表維護(hù)IP地址和MAC地址的對(duì)應(yīng)關(guān)系，這是為了避免ARP解析而造成的廣播數(shù)據(jù)報(bào)文對(duì)網(wǎng)絡(luò)造成沖擊。ARP表的建立一般情況下是通過二個(gè)途徑：

1、主動(dòng)解析，如果一臺(tái)計(jì)算機(jī)想與另外一臺(tái)不知道MAC地址的計(jì)算機(jī)通信，則該計(jì)算機(jī)主動(dòng)發(fā)ARP請(qǐng)求，通過ARP協(xié)議建立（前提是這兩臺(tái)計(jì)算機(jī)位于同一個(gè)IP子網(wǎng)上）；

2、被動(dòng)請(qǐng)求，如果一臺(tái)計(jì)算機(jī)接收到了一臺(tái)計(jì)算機(jī)的ARP請(qǐng)求，則首先在本地建立請(qǐng)求計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表。

因此，如果一個(gè)攻擊者通過變換不同的IP地址和MAC地址，向同一臺(tái)設(shè)備，比如三層交換機(jī)發(fā)送大量的ARP請(qǐng)求，則被攻擊設(shè)備可能會(huì)因?yàn)锳RP緩存溢出而崩潰。針對(duì)ARP表的攻擊（2）

針對(duì)ARP表項(xiàng)，另一個(gè)可能攻擊是誤導(dǎo)計(jì)算機(jī)建立不正確的ARP表。根據(jù)ARP協(xié)議，如果一臺(tái)計(jì)算機(jī)接收到了一個(gè)ARP請(qǐng)求報(bào)文，在滿足下列兩個(gè)條件的情況下，該計(jì)算機(jī)會(huì)用ARP請(qǐng)求報(bào)文中的源IP地址和源MAC地址更新自己的ARP緩存：

1、如果發(fā)起該ARP請(qǐng)求的IP地址在自己本地的ARP緩存中；

2、請(qǐng)求的目標(biāo)IP地址不是自己的。

防御針對(duì)ARP表和MAC地址的攻擊MAC地址與IP地址綁定8:電子郵件攻擊電子郵件炸彈指的是郵件發(fā)送者，