電子商務(wù)安全(第7章)

第7章黑客及其防范技術(shù)本章主要內(nèi)容7.1網(wǎng)絡(luò)系統(tǒng)的缺陷7.2黑客、黑客攻擊的常用工具7.3掃描技術(shù)7.4網(wǎng)絡(luò)監(jiān)聽(tīng)7.5口令安全7.6特洛伊木馬7.7網(wǎng)絡(luò)間諜軟件7.8欺騙攻擊7.9拒絕服務(wù)攻擊7.10緩沖區(qū)溢出攻擊第一部分教學(xué)組織一、目的要求1.認(rèn)識(shí)黑客并掌握常用的黑客防御技術(shù)；2.掌握網(wǎng)絡(luò)安全防御常用工具的使用方法。二、工具器材1.Windows2000（或以上）、Unix、redhatLinux操作系統(tǒng)；2.黑客防范、掃描技術(shù)、網(wǎng)絡(luò)監(jiān)聽(tīng)、口令安全、木馬病毒防范、網(wǎng)絡(luò)攻擊等典型網(wǎng)絡(luò)安全防御工具。三、學(xué)習(xí)方式建議由于安全防御工具的都要使用一些攻擊或黑客程序樣本，建議學(xué)生使用前一定小心謹(jǐn)慎，最好在一臺(tái)專用工具使用計(jì)算機(jī)上使用網(wǎng)絡(luò)安全防御工具。另外，認(rèn)真聽(tīng)取老師講解工具的使用方法至關(guān)重要。第二部分教學(xué)內(nèi)容7.1網(wǎng)絡(luò)系統(tǒng)的缺陷

7.1.1網(wǎng)絡(luò)安全系統(tǒng)中公鑰加密安全計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重點(diǎn)是確保不被無(wú)關(guān)人員讀取,以及信息不被修改、不被傳送給其他接收者。安全性的問(wèn)題是處理合法消息被截獲和重播的問(wèn)題,以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。7.1.2認(rèn)證方面的缺陷1.認(rèn)證CA方面的缺陷2.證書(shū)作廢表(CRL)方面的缺陷3.認(rèn)證用戶方面的缺陷7.1.3公鑰系統(tǒng)引來(lái)管理負(fù)擔(dān)方面的缺陷與對(duì)稱密鑰系統(tǒng)相比，公鑰系統(tǒng)的集中管理負(fù)擔(dān)要小得多。另外公鑰系統(tǒng)中CA，證書(shū)目錄和作廢證書(shū)表所在服務(wù)器不必每次都介入安全通信，這不僅提高了網(wǎng)絡(luò)性能而且更可靠，易管理。這些優(yōu)勢(shì)是以增加管理負(fù)擔(dān)給用戶為前提：第一個(gè)負(fù)擔(dān)是要求用戶進(jìn)行大量的的本地計(jì)算。用戶盡量避免了許多網(wǎng)絡(luò)上傳輸?shù)难舆t，但在這些時(shí)間里用戶也不能等著，可以運(yùn)行大數(shù)運(yùn)算的執(zhí)行程序；第二個(gè)負(fù)擔(dān)就是用戶必須全力負(fù)責(zé)本地計(jì)算機(jī)的物理安全，高質(zhì)量口令的選取和存放，積極檢查每個(gè)證書(shū)的有效性，用戶是否嚴(yán)格履行這些職責(zé)將決定公鑰安全系統(tǒng)是否能有效運(yùn)轉(zhuǎn)。7.2黑客、黑客攻擊的常用工具7.2.1.認(rèn)識(shí)黑客黑客是由英文Hacker音譯過(guò)來(lái)的名詞。這個(gè)名詞從誕生起就與網(wǎng)絡(luò)息息相關(guān)，隨著互聯(lián)網(wǎng)應(yīng)用的日益擴(kuò)大，黑客這個(gè)名詞被在媒體上出現(xiàn)的頻率也越來(lái)越高，并且對(duì)黑客這個(gè)名詞已經(jīng)有了很多不同的解釋，總結(jié)起來(lái)有如下幾種常見(jiàn)的定義：黑客就是利用計(jì)算機(jī)進(jìn)行犯罪的人；黑客是一些以破壞別人的系統(tǒng)為樂(lè)趣的人。7.2.2黑客攻擊的一般過(guò)程1.信息的收集信息的收集并不對(duì)目標(biāo)產(chǎn)生危害，只是為進(jìn)一步的入侵提供有用信息。黑客可能會(huì)利用下列的公開(kāi)協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)主機(jī)系統(tǒng)的相關(guān)信息：（1）TraceRoute程序——能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。（2）SNMP協(xié)議——用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。（3）DNS服務(wù)器——該服務(wù)器提供了系統(tǒng)中可以訪問(wèn)的主機(jī)IP地址表和它們所對(duì)應(yīng)的主機(jī)名。（4）Whois協(xié)議——該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。（5）Ping實(shí)用程序——可以用來(lái)確定一個(gè)指定的主機(jī)的位置或網(wǎng)線是否連通。2.系統(tǒng)安全弱點(diǎn)的探測(cè)在收集到一些準(zhǔn)備要攻擊目標(biāo)的信息后，黑客們會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的每臺(tái)主機(jī)，來(lái)尋求系統(tǒng)內(nèi)部的安全漏洞，主要探測(cè)的方式如下：（1）自編程序——對(duì)某些系統(tǒng)，互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在，但用戶由于不懂或一時(shí)疏忽未打上網(wǎng)上發(fā)布的該系統(tǒng)的“補(bǔ)丁”程序，那么黒客就可以自己編寫(xiě)一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞。（2）慢速掃描——由于一般掃描偵測(cè)器的實(shí)現(xiàn)是通過(guò)監(jiān)視某個(gè)時(shí)間段里一臺(tái)特定主機(jī)發(fā)起的連接的數(shù)目來(lái)決定是否在被掃描，這樣黑客可以通過(guò)使用掃描速度慢一些的掃描軟件進(jìn)行掃描。（3）體系結(jié)構(gòu)探測(cè)——黑客利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī)，使其作出相對(duì)應(yīng)的響應(yīng)。由于每種操作系統(tǒng)的響應(yīng)時(shí)間和方式都是不一樣的，黒客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫(kù)中的資料相對(duì)照，從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息。7.2.3黑客攻擊的常用工具絕大多數(shù)攻擊者并非天才，他們經(jīng)常利用一些別人使用過(guò)的并在安全領(lǐng)域廣為人知的技術(shù)。下面介紹了黑客用于攻擊網(wǎng)絡(luò)的一些工具，通過(guò)了解這些黑客工具的使用方法，讀者可以更好地保護(hù)自己網(wǎng)絡(luò)的安全，而不是在教你如何去攻擊他人的系統(tǒng)，并提供了抵御這些攻擊的方法。另外值得注意的是，在使用這些工具時(shí)一定要慎重、小心，必須弄清楚源代碼的意思，因?yàn)檫@些工具可能會(huì)損害系統(tǒng)。1.PasswordCrackers

2.L0phtCrack3.WarDialers

4.NetCat

5.SessionHijacking

7.3掃描技術(shù)7.3.1掃描分類和步驟安全掃描技術(shù)主要分為兩類：主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。1.主機(jī)安全掃描技術(shù)主要是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。2.網(wǎng)絡(luò)安全掃描技術(shù)主要針對(duì)系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對(duì)其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等，目前網(wǎng)絡(luò)安全掃描技術(shù)中的的核心技術(shù)有：端口掃描技術(shù)和漏洞掃描技術(shù)。一次完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：（1）發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)；（2）發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息；（3）根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。

網(wǎng)絡(luò)安全掃描技術(shù)包括端口掃描(PortScan)、漏洞掃描(VulnerabilityScan)、操作系統(tǒng)探測(cè)(OperatingSystemIdentification)、探測(cè)訪問(wèn)控制規(guī)則(Firewalking)、PING掃射(PingSweep)等，這些技術(shù)在網(wǎng)絡(luò)安全掃描的三個(gè)階段中各有體現(xiàn)。3.掃描工具（1）NmapNmap，也就是NetworkMapper，是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包，其基本功能有三個(gè)，一是探測(cè)一組主機(jī)是否在線；其次是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)；還可以推斷主機(jī)所用的操作系統(tǒng)。Nmap可用于掃描僅有兩個(gè)節(jié)點(diǎn)的LAN，也可掃描500個(gè)節(jié)點(diǎn)以上的網(wǎng)絡(luò)。Nmap

還允許用戶定制掃描技巧。通常，一個(gè)簡(jiǎn)單的使用ICMP協(xié)議的ping操作可以滿足一般需求；也可以深入探測(cè)UDP或者TCP端口，直至主機(jī)所使用的操作系統(tǒng)；還可以將所有探測(cè)結(jié)果記錄到各種格式的日志中，供進(jìn)一步分析操作。例如：進(jìn)行ping掃描，打印出對(duì)掃描做出響應(yīng)的主機(jī)，不做進(jìn)一步測(cè)試(如端口掃描或者操作系統(tǒng)探測(cè))：nmap-sP/24（2）NessusNessus是一種用來(lái)自動(dòng)檢測(cè)和發(fā)現(xiàn)已知安全問(wèn)題的強(qiáng)大工具。Nessus的設(shè)計(jì)主要用來(lái)幫助IT相關(guān)人員在黑客對(duì)某些漏洞進(jìn)行利用前確定和解決已知的安全問(wèn)題。Nessus是一種在GPL（GeneralPublicLisence）許可下的開(kāi)放軟件，被認(rèn)為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。7.3.2端口掃描技術(shù)端口掃描技術(shù)是一項(xiàng)自動(dòng)探測(cè)本地和遠(yuǎn)程系統(tǒng)端口開(kāi)放情況的策略及方法，它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提供了一種手段。1.各種端口掃描端口掃描按端口連接的情況主要可分為全連接掃描、半連接掃描、秘密掃描和其它掃描。(1)全連接掃描。是TCP端口掃描的基礎(chǔ)，現(xiàn)有的全連接掃描有TCPconnect()掃描和TCP反向ident

掃描等。下面主要介紹TCPconnect()掃描的實(shí)現(xiàn)過(guò)程。圖7.1服務(wù)器與客戶端三次握手連接

(2)半連接掃描。若端口掃描沒(méi)有完成一個(gè)完整的TCP連接，在掃描主機(jī)和目標(biāo)主機(jī)的一指定端口建立連接時(shí)只完成了前兩次握手，在第3步時(shí)，掃描主機(jī)中斷了本次連接，使連接沒(méi)有完全建立起來(lái)，這樣的端口掃描稱為半連接掃描，也稱為間接掃描。現(xiàn)有的半連接掃描有TCPSYN掃描和IPID頭dumb掃描等。(3)秘密掃描。端口掃描容易被在端口處所監(jiān)聽(tīng)的服務(wù)日志記錄：這些服務(wù)看到一個(gè)沒(méi)有任何數(shù)據(jù)的連接進(jìn)入端口，就記錄一個(gè)日志錯(cuò)誤。而秘密掃描是一種不被審計(jì)工具所檢測(cè)的掃描技術(shù)。現(xiàn)有的秘密掃描有TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、TCP分段掃描和SYN/ACK掃描等。(4)其它掃描，主要有FTP反彈攻擊和UDPICMP端口不可到達(dá)掃描兩種。7.3.3漏洞掃描技術(shù)漏洞掃描技術(shù)是建立在端口掃描技術(shù)的基礎(chǔ)之上的。從對(duì)黑客攻擊行為的分析和收集的漏洞來(lái)看，絕大多數(shù)都是針對(duì)某一個(gè)網(wǎng)絡(luò)服務(wù)，也就是針對(duì)某一個(gè)特定的端口的。所以漏洞掃描技術(shù)也是以與端口掃描技術(shù)同樣的思路來(lái)開(kāi)展掃描。漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：1.在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；2.通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。7.3.4防范入侵常用的掃描工具COPSCOPS（ComputerOracleandPasswordSystem）軟件包可以檢測(cè)UNIX系統(tǒng)中常見(jiàn)錯(cuò)誤和一系列潛在的漏洞。先于入侵者發(fā)現(xiàn)這些漏洞和錯(cuò)誤是確保系統(tǒng)安全的關(guān)鍵。ISSISS的internetScanner是一款商業(yè)性質(zhì)的漏洞掃描和弱點(diǎn)評(píng)估工具，根據(jù)企業(yè)或組織對(duì)安全的需求，對(duì)網(wǎng)絡(luò)上的一臺(tái)主機(jī)或一個(gè)域內(nèi)的所有設(shè)備進(jìn)行安全掃描，分析是否可能有安全上的漏洞，并提供詳細(xì)的報(bào)表，以幫助企業(yè)主管和系統(tǒng)管理員進(jìn)行安全評(píng)估、制定有針對(duì)性的安全政策和及時(shí)修補(bǔ)漏洞。ISS可以從以下網(wǎng)站下載得到：TCPWrappersTCP會(huì)繞程序（TCPwrappers）為多項(xiàng)服務(wù)提供訪問(wèn)控制。多數(shù)現(xiàn)代的網(wǎng)絡(luò)服務(wù)，如SSH、Telnet和FTP，都使用TCP會(huì)繞程序。該會(huì)繞程序位于進(jìn)入請(qǐng)求和被請(qǐng)求服務(wù)之間，它可以監(jiān)視和過(guò)濾對(duì)tftp、exec、ftp、rsh、telnet、rlogin、finger和systat等網(wǎng)絡(luò)服務(wù)的請(qǐng)求，提供了附加的訪問(wèn)控制和靈活性的登錄特性，可以用來(lái)檢測(cè)和防止網(wǎng)絡(luò)攻擊。7.4網(wǎng)絡(luò)監(jiān)聽(tīng)7.4.1網(wǎng)絡(luò)監(jiān)聽(tīng)的原理由于局域網(wǎng)中采用廣播方式，因此，在該局域網(wǎng)中可以監(jiān)聽(tīng)到所有的信息包。而黑客通過(guò)對(duì)信息包進(jìn)行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰ５硪环矫妫覀儗?duì)黑客入侵活動(dòng)和其他網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時(shí)，也可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)來(lái)獲取必要的信息。因此，了解局域網(wǎng)監(jiān)聽(tīng)技術(shù)的原理、實(shí)現(xiàn)方法和防范措施就顯得尤為重要。7.4.2檢測(cè)和防范網(wǎng)絡(luò)監(jiān)聽(tīng)1.對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)（1）對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的計(jì)算機(jī)，用正確的IP地址和錯(cuò)誤的物理地址進(jìn)行ping命令測(cè)試，如運(yùn)行監(jiān)聽(tīng)程序的計(jì)算機(jī)則會(huì)有響應(yīng)。這是因?yàn)檎５挠?jì)算機(jī)不接收錯(cuò)誤的物理地址，但處理監(jiān)聽(tīng)狀態(tài)的計(jì)算機(jī)的IPstack不再次反向檢查，因此能接收且會(huì)響應(yīng)；（2）向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU，這將導(dǎo)致性能下降。這種方法是通過(guò)比較前后該計(jì)算機(jī)性能加以判斷，因此難度比較大；（3）使用反監(jiān)聽(tīng)工具如anti-sniffer等進(jìn)行檢測(cè)。2.對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施（1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段（2）以交換式集線器代替共享式集線器（3）使用加密技術(shù)（4）劃分VLAN7.4.3常用的監(jiān)聽(tīng)工具常見(jiàn)的網(wǎng)絡(luò)工具有一下幾種：1.Snifferpro

Sniffer，中文可以翻譯為嗅探器，是一種基于被動(dòng)偵聽(tīng)原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)方式進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常被黑客們用來(lái)截獲用戶的口令，如某個(gè)骨干網(wǎng)絡(luò)的路由器網(wǎng)段曾經(jīng)被黑客攻入，并嗅探到大量的用戶口令。但實(shí)際上Sniffer技術(shù)主要是被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域。2.其他網(wǎng)絡(luò)監(jiān)聽(tīng)工具自網(wǎng)絡(luò)監(jiān)聽(tīng)這一技術(shù)誕生以來(lái)，產(chǎn)生了大量的可工作在各種平臺(tái)上相關(guān)軟硬件工具，其中有商用的，也有免費(fèi)的。下面介紹幾個(gè)主流的監(jiān)聽(tīng)工具。（1）基于Windows平臺(tái)（2）基于Unix平臺(tái)7.5口令安全7.5.1口令與安全口令通過(guò)只允許知道口令的人訪問(wèn)系統(tǒng)的方法來(lái)保護(hù)系統(tǒng)的安全。典型情況下，通過(guò)下述兩個(gè)步驟獲取訪問(wèn)：1.認(rèn)證——在認(rèn)證階段，依據(jù)有效的用戶名和口令數(shù)據(jù)庫(kù)的內(nèi)容檢查用戶名和口令，如果找到匹配的用戶名和口令，那么進(jìn)入第二階段。2.授權(quán)——在此階段，依據(jù)定義授權(quán)用戶如何訪問(wèn)系統(tǒng)的數(shù)據(jù)庫(kù)的內(nèi)容，檢查用戶名和口令。認(rèn)證確定用戶是誰(shuí)，授權(quán)確定用戶能做什么。口令以明文或密文方式發(fā)送給系統(tǒng)。7.5.2創(chuàng)建強(qiáng)健的口令我們知道，幾乎所有資源和服務(wù)都可能是那些堅(jiān)定的攻擊者的“盤(pán)中餐”。但是，我們也有了許多的安全方法，有的簡(jiǎn)單；有的很復(fù)雜。首先要使用密碼作為安全策略的第一步。創(chuàng)建強(qiáng)健密碼（口令）很重要，它是對(duì)抗攻擊的第一道防線。如果攻擊者不能訪問(wèn)系統(tǒng)的話，就不能很好地和系統(tǒng)交互，因而可對(duì)系統(tǒng)采取的入侵就不多了。7.5.3在機(jī)構(gòu)內(nèi)創(chuàng)建用戶口令由于種種原因，系統(tǒng)管理員更喜歡讓用戶自行創(chuàng)建口令，然后再積極地校驗(yàn)這些口令是否可被接受，在某些情況下，通過(guò)口令老化來(lái)強(qiáng)制用戶定期改變口令。1.強(qiáng)制使用強(qiáng)健口令要保護(hù)網(wǎng)絡(luò)免受入侵攻擊，系統(tǒng)管理員應(yīng)該校驗(yàn)機(jī)構(gòu)內(nèi)使用的口令是否強(qiáng)健。當(dāng)用戶被要求創(chuàng)建或改變口令時(shí)，他們可以使用命令行程序passwd

來(lái)進(jìn)行。不過(guò)，在創(chuàng)建口令時(shí)進(jìn)行的檢查并不能像運(yùn)行口令破譯程序那樣有效地發(fā)現(xiàn)不良口令。下面介紹一些較流行的口令破譯程序：JohnTheRipper——一個(gè)快速而靈活的破譯程序。它允許使用多個(gè)詞匯列表，并且具有強(qiáng)力破譯的能力。在http:///john/

中可以獲得。Crack——它也許是最著名的口令破譯軟件。Crack雖然沒(méi)有JohnTheRipper那么容易使用，它也很快。在http:///users/alecm/

上找到它。Slurpie——Slurpie

和JohnTheRipper以及Crack相似，但是它被設(shè)計(jì)成可在多個(gè)計(jì)算機(jī)上同時(shí)進(jìn)行，創(chuàng)建了一種分布型口令破譯攻擊?？梢栽趆ttp:///distributed.htm

上找到它以及其它分布型攻擊的安全評(píng)估工具。2.口令老化7.6特洛伊木馬7.6.1木馬概念計(jì)算機(jī)木馬的名稱來(lái)源于古希臘的特洛伊木馬(TrojanHorse)的故事，希臘人圍攻特洛伊城，很多年不能得手后想出了木馬的計(jì)策，他們把士兵藏匿于巨大的木馬中。在敵人將其作為戰(zhàn)利品拖入城內(nèi)后，木馬內(nèi)的士兵爬出來(lái)，與城外的部隊(duì)里應(yīng)外合而攻下了特洛伊城。計(jì)算機(jī)網(wǎng)絡(luò)世界的木馬是一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的程序代碼，在完全控制了受害系統(tǒng)后，能進(jìn)行秘密的信息竊取或破壞。它與控制主機(jī)之間建立起連接，使得控制者能夠通過(guò)網(wǎng)絡(luò)控制受害系統(tǒng)，它的通信遵照TCP/IP協(xié)議，它秘密運(yùn)行在對(duì)方計(jì)算機(jī)系統(tǒng)內(nèi)，像一個(gè)潛入敵方的間諜，為其他人的攻擊打開(kāi)后門，這與戰(zhàn)爭(zhēng)中的木馬戰(zhàn)術(shù)十分相似，因而得名木馬程序。一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。7.6.2木馬攻擊技術(shù)在木馬植入后采用何種隱藏手段將直接影響到木馬的生存。1.木馬植入方法木馬的傳播途徑有很多種，其中最簡(jiǎn)單的是直接將木馬的服務(wù)器端程序拷貝到軟盤(pán)上，直接拿到用戶電腦上，運(yùn)行一遍就行了，以后每次開(kāi)機(jī)木馬都會(huì)自動(dòng)運(yùn)行，而用戶不會(huì)發(fā)現(xiàn)。但木馬的主要傳播途徑還是通過(guò)網(wǎng)絡(luò)。通過(guò)電子郵件傳播是一種最簡(jiǎn)單有效的方法，黑客通常給用戶發(fā)電子郵件，告訴用戶有一個(gè)很好的軟件，而這個(gè)加在附件中的軟件就是木馬的服務(wù)器端程序，如果用戶點(diǎn)擊運(yùn)行了木馬的服務(wù)器端程序，那么用戶的電腦就被植入了木馬。另外，在網(wǎng)絡(luò)上通過(guò)發(fā)送超鏈接形式進(jìn)行傳播也比較多見(jiàn)，一個(gè)常用的方法是通過(guò)聊天室或1CQ(網(wǎng)絡(luò)傳呼機(jī))發(fā)送一個(gè)超鏈接，引誘用戶點(diǎn)擊，鏈接實(shí)際指向一個(gè)木馬的服務(wù)器端程序，用戶若貿(mào)然下載，就會(huì)被植入木馬。緩沖區(qū)溢出攻擊是植入木馬最常用的手段。據(jù)統(tǒng)計(jì)，通過(guò)緩沖區(qū)滋出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上，緩沖區(qū)溢出(BufferOverflow)指的是一種系統(tǒng)攻擊的手段，通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸人的參數(shù)。例如下面程序：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}2.木馬自啟動(dòng)途徑

(1)利用INI文件實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)(2)利用注冊(cè)表實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)(3)加入系統(tǒng)啟動(dòng)組(4)利用系統(tǒng)啟動(dòng)配置文件3.木馬的隱藏技術(shù)（1）木馬程序文件隱藏木馬在未運(yùn)行之前也以文件的形式存在于操作系統(tǒng)中，對(duì)其隱藏是十分必要和重要的。在Win2k中有多種方法可以隱藏文件，可是由于Win2k中可以方便地更改文件的屬性,所以簡(jiǎn)單地將文件設(shè)置為“系統(tǒng)或者隱藏”之類的常規(guī)做法己經(jīng)無(wú)法對(duì)用戶隱藏文件了。（2）進(jìn)程隱藏進(jìn)程隱藏，就是通過(guò)某種手段，使用戶不能發(fā)現(xiàn)當(dāng)前運(yùn)行著的木馬進(jìn)程，或者當(dāng)前木馬程序不以進(jìn)程或服務(wù)的形式存在。木馬的進(jìn)程隱藏包括兩方面：偽隱藏和真隱藏。（3）內(nèi)核模塊隱藏內(nèi)核模塊隱藏，使木馬程序依附到操作系統(tǒng)部件上，或成為操作系統(tǒng)的一部分。利用這種技術(shù)雖然效率比較低，實(shí)現(xiàn)比較復(fù)雜，但其具有很好的完固性和隱藏性。（4）原始分發(fā)隱藏軟件開(kāi)發(fā)商可以在軟件的原始分發(fā)中植入木馬。如在Linux系統(tǒng)中，Thompson編譯器木馬就采用了原始分發(fā)隱藏技術(shù)。4.木馬秘密通訊技術(shù)木馬通常由控制端和被控制端軟件兩部分組成，被監(jiān)控端提供服務(wù)相當(dāng)于服務(wù)器，控制端相當(dāng)于客戶機(jī)。一般說(shuō)來(lái)，控制端和被控制端分布在不同的物理位置，木馬控制端下達(dá)的命令和被控制端執(zhí)行的結(jié)果都是通過(guò)網(wǎng)絡(luò)傳輸?shù)?。而網(wǎng)絡(luò)信道的特征會(huì)暴露木馬的位置?；诰W(wǎng)絡(luò)的木馬檢測(cè)系統(tǒng)也正是借此檢測(cè)木馬的存在的，所以如何在客戶機(jī)和服務(wù)器間建立隱蔽的通信是木馬攻擊技術(shù)的重要研究課題。（1）基于“隧道”的秘密信道（2）使用報(bào)文偽裝技術(shù)建立秘密信道圖7.3是IP幀格式，圖7.4是TCP幀格式:圖7.3IP幀格式圖7.4TCP幀格式（3）使用數(shù)字水印技術(shù)建立秘密信道數(shù)字水印是一種數(shù)字版權(quán)保護(hù)技術(shù)，可以有效地隱藏被保護(hù)的版權(quán)信息。Cox提出的基于擴(kuò)頻通信思想的數(shù)字水印方案是經(jīng)典的私有水印方案。近年來(lái)數(shù)字水印吸引了國(guó)內(nèi)外眾多研究者的興趣，提出了眾多的數(shù)字水印方案。（4）基于閡下通道建立秘密信道閾下通道的概念是由SimmonsGJ于1978年提出的，他給出了以下的描述性定義：閾下信道是這樣一個(gè)信道，它存在于諸如密碼系統(tǒng)、認(rèn)證系統(tǒng)、數(shù)字簽名方案等的加密協(xié)議中，該信道在發(fā)送者和隱藏的接受者之間傳送秘密的信息，該信息不能被公眾和信道管理者所發(fā)現(xiàn)。7.7網(wǎng)絡(luò)間諜軟件7.7.1主要特征及危害間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。ASC（反間諜軟件聯(lián)盟）于2005年8月起草“間諜軟件”這一概念，并將“間諜軟件和其他潛在的有害技術(shù)”如此定義：它能夠“削弱用戶對(duì)其使用經(jīng)驗(yàn)、隱私和系統(tǒng)安全的物質(zhì)控制能力；使用用戶的系統(tǒng)資源，包括安裝在他們電腦上的程序；或者搜集、使用、并散播用戶的個(gè)人信息或敏感信息?！?.主要特征間諜軟件其實(shí)是一個(gè)灰色區(qū)域，所以并沒(méi)有一個(gè)明確的定義；間諜軟件還有一個(gè)副產(chǎn)品就是廣告軟件，在其影響下不可避免的影響網(wǎng)絡(luò)性能，減慢系統(tǒng)速度，進(jìn)而影響整個(gè)商業(yè)進(jìn)程；間諜軟件之所以成為灰色區(qū)域，主要因?yàn)樗且粋€(gè)包羅萬(wàn)象的術(shù)語(yǔ)，包括很多與惡意程序相關(guān)的程序，而不是一個(gè)特定的類別。2.主要危害用戶的隱私數(shù)據(jù)和重要信息會(huì)被“后門程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”，這是目前網(wǎng)絡(luò)安全的重要隱患之一。例如：某些軟件會(huì)獲取用戶的軟硬件配置，并發(fā)送出去用于商業(yè)目的。7.7.2間諜軟件的防范1.預(yù)先知道有很多下載站點(diǎn)，例如ZDNet下載軟件，已經(jīng)開(kāi)始在有廣告商資助的“間諜軟件”應(yīng)用程序上貼出注意標(biāo)簽說(shuō)明。在許多情況下，一個(gè)非廣告商資助的應(yīng)用程序版本也可以得到，如流行的Go!zilla程序就是這種情況。如果在下載的時(shí)候不清楚，要特別注意在程序安裝過(guò)程中要求的許可協(xié)議和注冊(cè)信息。相當(dāng)多的高質(zhì)量免費(fèi)應(yīng)用程序，或是免費(fèi)軟件，都擁有看似標(biāo)準(zhǔn)的用戶注冊(cè)表格，但是其中有些也是“廣告軟件”或“間諜軟件”未來(lái)統(tǒng)計(jì)數(shù)據(jù)的信息來(lái)源。原則上，該軟件的提供者應(yīng)該通知用戶這些信息可能會(huì)被用于廣告商。實(shí)踐中，這樣坦白的人非常難得，幾乎沒(méi)有。因此，用戶必須預(yù)先知道以下幾點(diǎn)：（1）任何離線應(yīng)用程序的用戶界面包含有旗幟標(biāo)欄廣告的都可能正在使用間諜軟件；（2）在連接到互聯(lián)網(wǎng)的時(shí)候，有關(guān)你點(diǎn)擊哪條廣告的信息、查看廣告站點(diǎn)的持續(xù)時(shí)間等都會(huì)送回特定的廣告商處；（3）一次新鮮的廣告補(bǔ)給——通常是基于你以前的廣告點(diǎn)擊或是應(yīng)用程序界面代替當(dāng)前廣告；（4）一般用戶認(rèn)為使用Windows的“添加/刪除程序”功能把間諜軟件從系統(tǒng)中刪除就萬(wàn)事大吉，其實(shí)間諜軟件仍然會(huì)保留在計(jì)算機(jī)上，而且深埋于Windows的系統(tǒng)注冊(cè)表里。2.刪除間諜軟件3.間諜軟件的防范防治間諜軟件，應(yīng)注意以下方面：（1）不要輕易安裝共享軟件或“免費(fèi)軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來(lái)安全風(fēng)險(xiǎn)；（2）有些間諜軟件通過(guò)惡意網(wǎng)站安裝，所以，不要瀏覽不良網(wǎng)站；（3）采用安全性比較好的網(wǎng)絡(luò)瀏覽器，并注意彌補(bǔ)系統(tǒng)漏洞。另外介紹幾種對(duì)抗間諜軟件的方式：（1）手動(dòng)或利用軟件，把它們所屬公司的網(wǎng)址放入屏障之內(nèi)；（2）謹(jǐn)慎安裝隨軟件附帶的插件。例如3721科技公司旗下的“上網(wǎng)助手”及“網(wǎng)絡(luò)實(shí)名”、百度插件、劃詞搜索、網(wǎng)絡(luò)豬等；（3）對(duì)于Windows系統(tǒng)需要經(jīng)常更新(update)，為InternetExplorer的漏洞打上補(bǔ)丁。使用非IE瀏覽器，例如Firefox、Opera等，可以避免很多網(wǎng)頁(yè)惡意代碼。使用反間諜軟件對(duì)系統(tǒng)進(jìn)行掃描和清理，例如WindowsDefender、AVGAnti-Spyware、CounterSpy等；（4）使用可以監(jiān)視程序通信情況的防火墻，例如在Windows下可以使用ZoneAlarm防火墻，禁止不明程序訪問(wèn)網(wǎng)絡(luò)；（5）檢查系統(tǒng)中是否還有殘存的不明程序，可以使用IceSword。大部分內(nèi)核級(jí)的惡意程序，都會(huì)在IceSword中現(xiàn)形，當(dāng)然也要求用戶對(duì)Windows系統(tǒng)比較熟悉。7.8欺騙攻擊在本節(jié)中將學(xué)習(xí)到有關(guān)電子欺騙攻擊的知識(shí)，了解不同類型的電子欺騙的原理、入侵者是如何進(jìn)行電子欺騙以及我們?nèi)绾蔚钟娮悠垓_這一類型的攻擊。7.8.1欺騙攻擊的類型欺騙攻擊主要類型：IP欺騙：公司使用其他計(jì)算機(jī)的IP地址來(lái)獲得信息或者得到特權(quán)。電子郵件欺騙：電子信件的發(fā)送方地址的欺騙。比如說(shuō)，電子信件看上去是來(lái)自TOM，但事實(shí)上TOM沒(méi)有發(fā)信，是冒充TOM的人發(fā)的信。WEB欺騙：越來(lái)越多的電子上午使用互連網(wǎng)。為了利用網(wǎng)站做電子商務(wù)，人們不得不被鑒別并被授權(quán)來(lái)得到信任。在任何實(shí)體必須被信任的時(shí)候，欺騙的機(jī)會(huì)出現(xiàn)了。非技術(shù)類欺騙：這些類型的攻擊是把經(jīng)理集中在攻擊攻擊的人力因素上。它需要通過(guò)社會(huì)工程技術(shù)來(lái)實(shí)現(xiàn)。7.8.2IP欺騙1.IP欺騙技術(shù)的原理IP欺騙的表現(xiàn)形式主要有兩種：一種是攻擊者偽造的IP地址不可達(dá)或者根本不存在。這種形式的IP欺騙主要用于迷惑目標(biāo)主機(jī)上的入侵檢測(cè)系統(tǒng)或者是對(duì)目標(biāo)主機(jī)進(jìn)行DOS攻擊，如圖7.6所示。圖7.6偽造無(wú)實(shí)際意義的IP圖7.7攻擊者偽裝成被目標(biāo)主機(jī)所信任的主機(jī)圖7.8IP欺騙攻擊的過(guò)程示意圖2.IP欺騙工具常見(jiàn)的IP欺騙工具有如下幾種：Mendax：Mendax是一種非常容易使用的TCP序列號(hào)預(yù)測(cè)以及rshd欺騙工具。IPSpoof：用于TCP及IP欺騙。Hunt：Hunt是一個(gè)網(wǎng)絡(luò)嗅探器，但它也同時(shí)提供很多欺騙功能。Dsniff：Dsniff是一個(gè)網(wǎng)絡(luò)審計(jì)及攻擊工具集。其中的arpspoof，dnsspoof以及macof工具可以在網(wǎng)絡(luò)中攔截普通攻擊者通常無(wú)法獲得的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行修改，從而達(dá)到欺騙以及劫持會(huì)話的目的。ISNPrint：一個(gè)用于查看目標(biāo)主機(jī)當(dāng)前連接的ISN的工具，但是它并不提供ISN預(yù)測(cè)功能。可以在它的基礎(chǔ)上添加適當(dāng)?shù)乃惴ǖ玫絀SN的估計(jì)值。3.防止和檢測(cè)IP欺騙的方法IP欺騙攻擊雖然在原理上講得通，但實(shí)際操作起來(lái)卻非常困難，例如確定信任關(guān)系、猜測(cè)序列號(hào)等等。然而，要成功實(shí)現(xiàn)IP欺騙攻擊并不是沒(méi)有可能。著名黑客凱文·米特尼克就曾經(jīng)成功地運(yùn)用IP欺騙攻擊攻破了SanDiego超級(jí)計(jì)算中心的一臺(tái)主機(jī)。并且，這一攻擊過(guò)程被一位名叫TsutomuShimomura的工程師用tcpdump完全記錄了下來(lái)。7.8.3電子郵件欺騙1.電子郵件欺騙目的攻擊者使用電子郵件欺騙有三個(gè)目的：（1）隱藏自己的身份；（2）如果攻擊者想冒充別人，他能假冒那個(gè)人的電子郵件。使用這種方法，無(wú)論誰(shuí)接受到這封郵件，他會(huì)認(rèn)為它時(shí)攻擊者冒充的那個(gè)人發(fā)的；（3）電子郵件欺騙能被看作是社會(huì)工程的一種表現(xiàn)形式。例如，如果攻擊者想讓用戶發(fā)給他一份機(jī)密文件，攻擊者偽裝一個(gè)用戶的上司郵件地址，使用戶認(rèn)為這是上司的要求，這樣用戶可能會(huì)發(fā)送這封機(jī)密郵件。2.電子郵件欺騙方法及防范執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級(jí)別，執(zhí)行不同層次的隱蔽：相似的電子郵件地址；修改郵件客戶；遠(yuǎn)程登錄到端口25。7.8.4WEB欺騙1.基本的網(wǎng)站欺騙攻擊者會(huì)利用現(xiàn)在注冊(cè)一個(gè)域名沒(méi)有任何要求的現(xiàn)狀，搶先或特別設(shè)計(jì)注冊(cè)一個(gè)非常類似的有欺騙性的站點(diǎn)。當(dāng)某個(gè)用戶瀏覽了這個(gè)假冒地址，并與站點(diǎn)作了一些信息交流，如填寫(xiě)了一些表單，站點(diǎn)會(huì)給出一些響應(yīng)的提示和回答，同時(shí)記錄下用戶的信息，并給這個(gè)用戶一個(gè)cookie，以便能隨時(shí)跟蹤這個(gè)用戶。典型的例子是假冒金融機(jī)構(gòu)，偷盜客戶的信用卡信息。2.中間人（man-in-the-middle）攻擊man-in-the-middle攻擊原理是，攻擊者通過(guò)某種方法（比如攻破DNS服務(wù)器，DNS欺騙，控制路由器）把目標(biāo)機(jī)器的IP對(duì)應(yīng)到攻擊者所控制的機(jī)器，這樣所有外界對(duì)目標(biāo)機(jī)器的請(qǐng)求將涌向攻擊者的機(jī)器，這時(shí)攻擊者可以轉(zhuǎn)發(fā)所有的請(qǐng)求到目標(biāo)機(jī)器，讓目標(biāo)機(jī)器進(jìn)行處理，再把處理結(jié)果發(fā)回到發(fā)出請(qǐng)求的客戶機(jī)。實(shí)際上，就是把攻擊者的機(jī)器設(shè)成目標(biāo)機(jī)器的代理服務(wù)器，這樣，所有外界進(jìn)入目標(biāo)機(jī)器的數(shù)據(jù)流都在攻擊者的監(jiān)視之下了，攻擊者可以任意竊聽(tīng)甚至修改數(shù)據(jù)流里的數(shù)據(jù)，收集到大量的信息。3.URL重寫(xiě)7.8.5非技術(shù)類欺騙通常把基于非計(jì)算機(jī)的技術(shù)叫做社會(huì)工程。在社會(huì)工程中，攻擊者設(shè)法設(shè)計(jì)讓被欺騙人相信他。這就像攻擊者在給別人打電話時(shí)說(shuō)自己是某人一樣的簡(jiǎn)單，因?yàn)樗f(shuō)了一些大概只有那個(gè)人知道的信息，所以受害人相信他。社會(huì)工程的核心是，攻擊者設(shè)法偽裝自己的身份并設(shè)計(jì)讓受害人泄密私人信息。這些攻擊的目標(biāo)是搜集信息和侵入他人計(jì)算機(jī)系統(tǒng)，通常通過(guò)欺騙某人使之泄露出口令或者在系統(tǒng)中建立個(gè)新帳號(hào)。還有些攻擊者偵察他人系統(tǒng)環(huán)境，找出安裝了什么硬件和軟件，服務(wù)器上裝載了什么補(bǔ)丁等等。通過(guò)社會(huì)工程得到的信息是無(wú)限的。7.9拒絕服務(wù)攻擊7.9.1什么是拒絕服務(wù)的攻擊拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接7.9.2破壞性攻擊有許多種方式，可以破壞或毀壞信息，呈現(xiàn)拒絕服務(wù)的攻擊的樣子。幾乎所有的攻擊都可以通過(guò)限制訪問(wèn)關(guān)鍵帳戶和文件，保護(hù)它們不受那些未受權(quán)的用戶訪問(wèn)的方式來(lái)防止。如果采用了好的安全策略，來(lái)保護(hù)系統(tǒng)的整體安全，也可以防止破壞性的拒絕服務(wù)攻擊。在表7.1中，我們列出了一些可能的攻擊和如何去防止他們。表7.1幾種破壞性的拒絕服務(wù)的攻擊

7.9.3針對(duì)網(wǎng)絡(luò)的拒絕服務(wù)的攻擊網(wǎng)絡(luò)對(duì)拒絕服務(wù)攻擊的抵抗力是有限，在這種攻擊中，攻擊者將阻止合法的用戶使用網(wǎng)絡(luò)和服務(wù)。下面我們簡(jiǎn)要介紹幾種常見(jiàn)的典型拒絕服務(wù)攻擊。1.SYN-Flooding攻擊SYNFlooding是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(DistributedDenialOfService分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SYNFlooding攻擊的過(guò)程在TCP協(xié)議中被稱為三次握手(Three-wayHandshake)，而SYNFlood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的。(1)攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN(Synchronize)即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手。(2)受害服務(wù)器在收到攻擊者的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示攻擊者的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK(Acknowledgment)即確認(rèn)，這樣就同被攻擊服務(wù)器建立了第二次握手。(3)攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成，三次握手完成。2.IP欺騙DOS攻擊3.UDP洪水攻擊4.Ping洪流攻擊5.淚滴(teardrop)攻擊6.Land攻擊7.Smurf攻擊8.Fraggle攻擊7.9.4防止拒絕服務(wù)的攻擊對(duì)于拒絕服務(wù)攻擊而言，目前還沒(méi)有比較完善的解決方案。拒絕服務(wù)攻擊(尤其是分布式風(fēng)暴型拒絕服務(wù)攻擊)是與目前使用的網(wǎng)絡(luò)協(xié)議密切相關(guān)的，它的徹底解決即使不是不可能的，至少也是極為困難的。此外安全具有整體、全面、協(xié)同的特性，這一特性在拒絕服務(wù)攻擊方面體現(xiàn)得尤為突出，沒(méi)有整個(gè)網(wǎng)絡(luò)社會(huì)的齊心協(xié)力，共同對(duì)付，拒絕服務(wù)攻擊始終是擺在我們面前的難題。雖然如此，我們也不是對(duì)拒絕服務(wù)攻擊沒(méi)有對(duì)策，研究人員也在不斷地尋求新的解決方案。目前拒絕服務(wù)攻擊的對(duì)策主要可以分為三個(gè)方面：檢測(cè)、增強(qiáng)容忍性和追蹤。7.10緩沖區(qū)溢出攻擊7.10.1緩沖區(qū)溢出1.緩沖區(qū)定義緩沖區(qū)是用戶為程序運(yùn)行時(shí)在計(jì)算機(jī)中申請(qǐng)的一段連續(xù)內(nèi)存，它保存了指定類型的數(shù)據(jù)。在一些高級(jí)語(yǔ)言（如C／C++、Pascal等）的函數(shù)調(diào)用中，緩沖區(qū)是在堆棧上進(jìn)行分配的。2.緩沖區(qū)溢出的產(chǎn)生大多時(shí)候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。若程序不對(duì)用戶輸入的數(shù)據(jù)作長(zhǎng)度檢查，用戶又對(duì)程序進(jìn)行了非法操作或者錯(cuò)誤