黑客攻擊及防御技術(shù)課件

第五章黑客攻擊及防御技術(shù)第五章黑客攻擊及防御技術(shù) 本章要點(diǎn)幾種常見攻擊的攻擊原理常見攻擊手段的防御方式第五章黑客攻擊及防御技術(shù)§5.1 拒絕服務(wù)攻擊§5.2 惡意軟件§5.3 郵件攻擊§5.4 電子黑餌§5.5 非法入侵者§5.6 緩沖區(qū)溢出攻擊本章內(nèi)容§5.7 實(shí)驗(yàn)5.1拒絕服務(wù)攻擊實(shí)例——Smurf第一步：攻擊者發(fā)送偽造的數(shù)據(jù)包到放大網(wǎng)絡(luò)。數(shù)據(jù)包的源地址為受害者的IP地址，目的地址為放大網(wǎng)絡(luò)的廣播地址。第二步：放大網(wǎng)絡(luò)中所有開啟了echo功能的主機(jī)會(huì)返回一個(gè)應(yīng)答給受害者，這時(shí)受害者就會(huì)被大量的響應(yīng)信息所淹沒。

5.1Smurf攻擊防御禁止路由器轉(zhuǎn)發(fā)目標(biāo)地址為廣播地址的數(shù)據(jù)包

關(guān)閉主機(jī)的echo功能也可以降低放大網(wǎng)絡(luò)的放大能力

5.1拒絕服務(wù)攻擊實(shí)例——SYN洪水（1）預(yù)備知識(shí)：TCP的三次握手過程第一步：客戶端發(fā)送一個(gè)SYN置位的包到服務(wù)器，告訴服務(wù)器它的初始序列號(hào)。第二步：服務(wù)器返回SYN/ACK包作為響應(yīng)。同時(shí)告訴客戶端它的初始序列號(hào)。第三步：客戶端返回ACK包作為應(yīng)答，完成三次握手過程。

5.1SYN洪水攻擊防御

通過判斷單位時(shí)間內(nèi)收到的SYN連接次數(shù)是否超過了系統(tǒng)的預(yù)設(shè)值，就能夠檢測(cè)出。當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí)，可通知防火墻阻斷連接請(qǐng)求或丟棄這些數(shù)據(jù)包，以達(dá)到防御效果。

5.1拒絕服務(wù)攻擊實(shí)例——LANDLAND的攻擊過程1.攻擊者發(fā)送偽造的SYN數(shù)據(jù)包給服務(wù)器，該數(shù)據(jù)包的源地址和目的地址都為服務(wù)器的IP地址2.服務(wù)器針對(duì)該偽造的SYN數(shù)據(jù)包返回SYN/ACK包。由于之前偽造的SYN包的源地址為服務(wù)器的IP地址，因此服務(wù)器會(huì)收到自己發(fā)送出的SYN/ACK包3.服務(wù)器發(fā)現(xiàn)該包的確認(rèn)號(hào)與期待的確認(rèn)號(hào)差別太大時(shí)，會(huì)將其丟棄，并重發(fā)之前的SYN/ACK包4.該過程會(huì)一直循環(huán)，導(dǎo)致服務(wù)器性能大大降低

5.1LAND攻擊防御

LAND攻擊的檢測(cè)比較容易，只需簡(jiǎn)單地判斷數(shù)據(jù)包的源地址和目的地址是否相同即可。對(duì)于這種攻擊，可通過適當(dāng)配置防火墻設(shè)置或修改路由器的過濾規(guī)則來防止。

5.1Teardrop攻擊防御

針對(duì)teardrop攻擊的特點(diǎn)，可對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，通過計(jì)算數(shù)據(jù)包的片偏移量是否有誤來對(duì)其進(jìn)行檢測(cè)。由于teardrop攻擊主要利用早期linux內(nèi)核中的缺陷，因此可通過安裝系統(tǒng)補(bǔ)丁來進(jìn)行防御。另外，還可以通過設(shè)置防火墻或路由器的過濾規(guī)則來丟棄此類病態(tài)的數(shù)據(jù)包。

5.1DDos攻擊

主從式的DDoS攻擊結(jié)構(gòu)

利用反彈服務(wù)器的DDoS攻擊結(jié)構(gòu)

5.1拒絕服務(wù)攻擊——防御方式加固操作系統(tǒng)：限制操作系統(tǒng)上運(yùn)行的服務(wù)、及時(shí)部署操作系統(tǒng)與應(yīng)用程序補(bǔ)丁。

使用防火墻：防火墻位可對(duì)特定的數(shù)據(jù)包進(jìn)行阻擋。特別地，還可以使用針對(duì)DoS攻擊的過濾算法，例如“隨機(jī)丟棄”和“SYN魔餅”算法。配置邊界路由器：部分DoS和DDoS攻擊利用了ICMP報(bào)文，因此可在邊界路由器上將ICMP報(bào)文過濾掉。

采用負(fù)載均衡技術(shù)：將關(guān)鍵業(yè)務(wù)分布到多臺(tái)服務(wù)器上，這樣即便其中一臺(tái)受到攻擊，其他服務(wù)器仍然可以繼續(xù)工作，以保證業(yè)務(wù)的連續(xù)性。5.2惡意軟件——計(jì)算機(jī)病毒的定義和特性 病毒的定義計(jì)算機(jī)病毒是一段程序，它能夠在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中，把自己精確地或者有修改地拷貝到其他程序內(nèi)。

病毒的特性感染性、潛伏性、可觸發(fā)性、破壞性5.2惡意軟件——計(jì)算機(jī)病毒的感染機(jī)制（1） 感染對(duì)象1：引導(dǎo)扇區(qū)這類病毒用其自身的全部或者部分代碼代替正常的引導(dǎo)記錄，并將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。在染毒系統(tǒng)的引導(dǎo)過程中，由于病毒占據(jù)了引導(dǎo)程序的物理位置，因此控制權(quán)會(huì)從BIOS轉(zhuǎn)交到病毒程序處。待病毒程序執(zhí)行完畢后，它會(huì)將控制權(quán)交還給真正的引導(dǎo)區(qū)內(nèi)容，使得這個(gè)帶病毒的系統(tǒng)看似處于正常運(yùn)行的狀態(tài)。此類病毒的例子有：“大麻”、“幽靈”、“磁盤殺手”……5.2惡意軟件——計(jì)算機(jī)病毒的感染機(jī)制（2） 感染對(duì)象2：可執(zhí)行文件可執(zhí)行文件是病毒的首要感染對(duì)象，既包括普通的應(yīng)用程序，又包括操作系統(tǒng)中可獨(dú)立執(zhí)行的程序或程序模塊。多種感染技術(shù)：伴隨式感染技術(shù)(如notepad)、覆蓋式感染技術(shù)、插入式感染技術(shù)……5.2惡意軟件——計(jì)算機(jī)病毒的傳播機(jī)制 病毒只能在本機(jī)內(nèi)尋找感染對(duì)象。為了將自己傳播到其它主機(jī)，病毒必須借助于其他介質(zhì)。可移動(dòng)磁盤電子郵件下載共享目錄5.2惡意軟件——蠕蟲的定義 蠕蟲是一段可自我復(fù)制的代碼，它通過網(wǎng)絡(luò)進(jìn)行傳播，且不需要人為的干預(yù)。

一旦蠕蟲占領(lǐng)某臺(tái)計(jì)算機(jī)，一方面它會(huì)像病毒一樣在系統(tǒng)內(nèi)進(jìn)行破壞活動(dòng)；另一方面，它會(huì)以這臺(tái)計(jì)算機(jī)為平臺(tái)，繼續(xù)檢測(cè)網(wǎng)絡(luò)上未被感染的計(jì)算機(jī)，然后將自身程序復(fù)制到其上。5.2惡意軟件——蠕蟲與病毒的區(qū)別病毒蠕蟲存在形式寄生于其他對(duì)象中以獨(dú)立程序的形式存在傳染目標(biāo)本地文件或本地磁盤網(wǎng)絡(luò)中的主機(jī)傳播途徑通過感染文件和可移動(dòng)磁盤進(jìn)行傳播；或者借助于人的幫助通過網(wǎng)絡(luò)傳播通過網(wǎng)絡(luò)傳播5.2惡意軟件——木馬的工作原理（1） 階段一：傳播木馬主要通過電子郵件和軟件下載進(jìn)行傳播為了迷惑用戶，木馬通常會(huì)對(duì)自己進(jìn)行偽裝，常見的偽裝手段有：修改程序圖標(biāo)。例如,將程序圖標(biāo)修改成bmp、txt等文件的圖標(biāo)。偽裝成正常的應(yīng)用程序。與其他程序捆綁在一起。

5.2惡意軟件——木馬的工作原理（2） 階段二：運(yùn)行木馬當(dāng)用戶運(yùn)行木馬或捆綁了木馬的程序時(shí)，木馬就會(huì)自動(dòng)進(jìn)行安裝。在運(yùn)行過程中，木馬程序會(huì)想盡一切辦法隱藏自己。例如，在任務(wù)欄中隱藏自己。

5.2惡意軟件——病毒檢測(cè)技術(shù)（２） 模式匹配原理：通過病毒的特征值來查找病毒。例如，1575病毒代碼中包含了“06128CC0021F07A3”的字符串，因此，可通過查看目標(biāo)程序是否包含了這樣的字符串，來判斷其是否1575病毒。優(yōu)點(diǎn)：可識(shí)別出病毒的名稱、誤報(bào)率低。缺點(diǎn)：隨著病毒特征庫(kù)的擴(kuò)大，檢查速度會(huì)降低；不能檢測(cè)未知病毒和多態(tài)性病毒；對(duì)隱藏性病毒沒有作用。5.2惡意軟件——病毒檢測(cè)技術(shù)（３） 行為掃描原理：人們通過觀察與研究，發(fā)現(xiàn)病毒有一些共同行為，并且這些行為在正常的應(yīng)用程序中比較少見，因此，可通過監(jiān)測(cè)目標(biāo)程序是否表現(xiàn)出了某種行為來判斷其是否病毒。例如引導(dǎo)型病毒必然截留盜用INT13H、高端內(nèi)存駐留型病毒會(huì)修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量等。優(yōu)點(diǎn)：能夠檢測(cè)出未知病毒。缺點(diǎn)：①會(huì)產(chǎn)生過多誤報(bào)，因?yàn)樯贁?shù)正常程序也有類似病毒的行為

；②不能識(shí)別病毒的具體類型。5.2惡意軟件——病毒檢測(cè)技術(shù)（４） 啟發(fā)式掃描原理：依靠病毒的指令序列，而不是病毒模式進(jìn)行檢測(cè)。這種類型的反病毒軟件，會(huì)首先對(duì)目標(biāo)程序進(jìn)行反匯編，然后對(duì)它的指令序列進(jìn)行分析，找出其中所蘊(yùn)藏的真正動(dòng)機(jī)。例如，如果一段程序中包含了“MOVAH,5;MOVBX,500H;INT13H”的指令，表示該程序會(huì)進(jìn)行格式化磁盤的操作，需引起注意。若反病毒軟件經(jīng)過進(jìn)一步分析，發(fā)現(xiàn)這段指令之前并沒有用戶的交互輸入，也沒有命令行參數(shù)傳入，則可以認(rèn)定這是一段病毒或其它惡意代碼。

缺點(diǎn)：①如果孤立地看這些指令，不能清晰地界定正常程序和病毒；②在查找時(shí)，無法識(shí)別指令序列的變化。5.3郵件攻擊 電子郵件作為最常用的網(wǎng)絡(luò)應(yīng)用之一，已經(jīng)成為網(wǎng)絡(luò)交流的重要工具。但與此同時(shí)，也出現(xiàn)了各種電子郵件的濫用行為，包括利用電子郵件實(shí)施攻擊。

常見的電子郵件攻擊手段包括:垃圾郵件郵件炸彈

郵件欺騙5.3郵件攻擊——垃圾郵件（1） 什么是垃圾郵件？垃圾郵件是指未請(qǐng)求的、對(duì)于收件人來說無用的郵件，其內(nèi)容包括商業(yè)廣告、電子雜志和騷擾信息等

垃圾郵件帶來各種負(fù)面影響：擁塞網(wǎng)絡(luò)、降低郵件服務(wù)器的性能惡意代碼泛濫降低員工的工作效率造成巨大經(jīng)濟(jì)損失5.3郵件攻擊——垃圾郵件（2） 反垃圾郵件技術(shù)黑名單和白名單位于黑名單中的發(fā)件人發(fā)送的任何郵件都被認(rèn)為是垃圾郵件位于白名單中的發(fā)件人發(fā)送的任何郵件都被認(rèn)為是合法郵件規(guī)則過濾郵件頭分析群發(fā)過濾關(guān)鍵詞精確匹配5.3郵件攻擊——郵件炸彈（1） 什么是郵件炸彈？攻擊者在短時(shí)間內(nèi)向某個(gè)郵箱發(fā)送大量的垃圾郵件，最終使得郵箱或者郵箱所在的系統(tǒng)不堪重負(fù)，“爆炸而亡”。

郵件炸彈是一種拒絕服務(wù)攻擊，其攻擊目標(biāo)包括：?jiǎn)蝹€(gè)用戶的郵箱郵件服務(wù)器5.3郵件攻擊——郵件炸彈（2） 郵件炸彈的三種實(shí)現(xiàn)方式直接攻擊郵箱：在短時(shí)間內(nèi)發(fā)送大量郵件到受害者郵箱利用回復(fù)郵件攻擊郵箱：以受害者的名義發(fā)送大郵件給大量用戶，這樣受害者的郵箱就會(huì)被大量憤怒的回復(fù)信息所充滿利用郵件列表攻擊郵箱：以受害者的名義申請(qǐng)多個(gè)郵件列表，這樣受害者的郵箱就會(huì)被大量合法郵件所充滿5.3郵件攻擊——郵件欺騙（1） 什么是郵件欺騙？攻擊者通過偽造發(fā)件人的姓名和地址，以達(dá)到其私人目的，例如隱藏發(fā)件人的身份、騙取收件人的信任、損害其他人的名譽(yù)等。5.3郵件攻擊——郵件欺騙（2） 郵件欺騙的三種實(shí)現(xiàn)方式使用相似的電子郵件地址：攻擊者首先針對(duì)仿冒對(duì)象的電子郵件地址，申請(qǐng)一個(gè)相似的電子郵件帳號(hào)，然后在用戶代理中將“發(fā)件人姓名”設(shè)成仿冒對(duì)象的姓名，以冒充該用戶發(fā)送電子郵件修改郵件客戶端的帳號(hào)配置：在受害者的郵件客戶端軟件中，將回復(fù)地址修改為攻擊者能夠訪問的郵件地址直接通過郵件服務(wù)器發(fā)送郵件：直接登陸到郵件服務(wù)器的SMTP端口發(fā)送郵件。由于SMTP協(xié)議沒有認(rèn)證機(jī)制，攻擊者可隨意修改發(fā)件人地址5.3安全電子郵件

電子郵件安全需求

為解決電子郵件的安全問題，提出了一系列的安全電子郵件協(xié)議，如PEM、PGP、S/MIME、MOSS等，通過這些協(xié)議和標(biāo)準(zhǔn)，可提供郵件的機(jī)密性、完整性和不可抵賴性等，使電子郵件的安全性得到了充分的保障，從而使在因特網(wǎng)上通過電子郵件傳送敏感信息成為可能。

安全電子郵件的工作模式

5.4電子黑餌（1）

電子黑餌主要利用人們的心理作用進(jìn)行犯案。其常見形式包括：欺詐性的電子郵件：通常以各種緊迫的理由要求用戶提供敏感信息仿冒的網(wǎng)站：利用知名企業(yè)的品牌效應(yīng)，建立與仿冒對(duì)象幾乎一模一樣的網(wǎng)站捆綁了木馬程序、間諜軟件的網(wǎng)頁或郵件：這類網(wǎng)頁或郵件一旦被打開，惡意軟件就會(huì)被自動(dòng)安裝，并以各種方式來竊取用戶的帳號(hào)和密碼5.4電子黑餌（2） 電子黑餌的防御方式不要相信那些以各種緊迫理由要求收件人提供個(gè)人賬戶信息的郵件；不要直接點(diǎn)開郵件、即時(shí)消息、或者網(wǎng)絡(luò)聊天室中的鏈接，應(yīng)養(yǎng)成直接在地址欄中輸入網(wǎng)址的習(xí)慣；在通過瀏覽器提交諸如信用卡號(hào)之類的敏感信息時(shí)，應(yīng)確保該網(wǎng)站是一個(gè)安全站點(diǎn)；留意地址欄中顯示的地址，攻擊者有時(shí)會(huì)通過偽造相似的網(wǎng)址來欺騙用戶；安裝瀏覽器工具欄。5.5非法入侵者——掃描技術(shù)概述 掃描是黑客入侵的第一步，用來收集被攻擊主機(jī)或網(wǎng)絡(luò)的詳細(xì)信息。常見掃描技術(shù)包括Ping掃射：用于確定網(wǎng)絡(luò)中各主機(jī)的存活狀態(tài)端口掃描：用來檢測(cè)目標(biāo)主機(jī)上開放了哪些端口、提供了哪些服務(wù)漏洞掃描：在端口掃描的基礎(chǔ)上，集中探測(cè)某一種服務(wù)是否存在漏洞。由于不同的服務(wù)具有不同的漏洞，沒有統(tǒng)一的掃描方式

5.5非法入侵者——Ping掃射 傳統(tǒng)Ping掃射傳統(tǒng)Ping掃射使用的是ICMP類分組。包括：“ICMP回射”請(qǐng)求、“ICMP時(shí)間戳”請(qǐng)求以及“ICMP地址掩碼”請(qǐng)求等。攻擊者向目標(biāo)系統(tǒng)發(fā)送ICMP請(qǐng)求，等待片刻后，如果能收到對(duì)方返回的ICMP應(yīng)答，則表示目標(biāo)系統(tǒng)處于存活狀態(tài)，反之，表示目標(biāo)系統(tǒng)處于關(guān)閉狀態(tài)。 TCP掃射當(dāng)ICMP類分組被阻塞時(shí)，攻擊者可用TCPACK或TCPSYN分組來探測(cè)目標(biāo)主機(jī)是否處于存活狀態(tài)。5.5非法入侵者——端口掃描（1） 在獲知主機(jī)是否存活后，下一步就是確定主機(jī)上運(yùn)行了哪些服務(wù)。這是通過端口掃描來實(shí)現(xiàn)的。

什么是端口掃描？通過與目標(biāo)系統(tǒng)的TCP或UDP端口建立連接，從而判斷某個(gè)端口是否處于偵聽狀態(tài)。

常見的端口掃描方法TCP掃描、TCPSYN掃描、顯式隱蔽映射技術(shù)

5.5非法入侵者——端口掃描（2） TCP掃描流程攻擊者試圖與目標(biāo)主機(jī)上某個(gè)端口建立TCP連接連接建立成功？目標(biāo)端口處于偵聽狀態(tài)目標(biāo)端口處于關(guān)閉狀態(tài)是否由于主機(jī)通常會(huì)記錄下那些完成了三次握手的連接。因此，如果在查看系統(tǒng)的日志時(shí)發(fā)現(xiàn)大量的連接記錄，則可能有掃描攻擊發(fā)生。5.5非法入侵者——端口掃描（3） TCPSYN掃描流程攻擊者發(fā)送一個(gè)SYN包到目標(biāo)主機(jī)的某個(gè)端口上對(duì)方返回RST/ACK包?對(duì)方返回SYN/ACK包?表明目標(biāo)端口處于偵聽狀態(tài)，此時(shí)攻擊者將發(fā)送RST包關(guān)閉連接表明目標(biāo)端口處于關(guān)閉狀態(tài)是否是由于這種掃描沒有真正完成TCP的三次握手過程，因此目標(biāo)系統(tǒng)將不會(huì)記錄此連接，故此類掃描不易被發(fā)現(xiàn)。

5.5非法入侵者——端口掃描（4） 顯式隱蔽映射技術(shù)

掃描原理

根據(jù)RFC793規(guī)范中的定義：目標(biāo)系統(tǒng)應(yīng)該為所有關(guān)閉著的端口返回一個(gè)RST分組具體掃描方法

TCPACK掃描、TCPFIN掃描、TCPXmas樹掃描和TCP空掃描

5.5非法入侵者——端口掃描（5）攻擊者發(fā)送一個(gè)SYN/ACK包到目標(biāo)主機(jī)的某個(gè)端口上對(duì)方返回RST包?沒有收到響應(yīng)包?目標(biāo)端口處于關(guān)閉狀態(tài)目標(biāo)端口處于偵聽狀態(tài)因?yàn)樵谀繕?biāo)端口關(guān)閉的情況下，系統(tǒng)會(huì)代其返回RST包因此TCP是有狀態(tài)的協(xié)議，在端口打開的情況下，它會(huì)簡(jiǎn)單忽略此分組是是

顯式隱蔽映射技術(shù)示例——TCPACK掃描5.5非法入侵者——端口掃描（6） 顯式隱蔽映射技術(shù)的準(zhǔn)確性不高：部分系統(tǒng)包括Windows、HP-UX等會(huì)在端口打開的情況下仍然返回RST分組即便攻擊者收不到RST分組，也不能確定是目標(biāo)端口是打開的，因?yàn)榉阑饓赡軙?huì)過濾掉攻擊者發(fā)送的分組

5.5非法入侵者——身份竊?。?） 什么是身份竊取？身份竊取是入侵者侵入系統(tǒng)的一種方式。入侵者通過某種渠道獲得合法用戶的賬號(hào)和密碼，然后利用該賬戶登陸目標(biāo)主機(jī)并實(shí)施攻擊活動(dòng)。

具體實(shí)現(xiàn)方式包括：口令破解網(wǎng)絡(luò)竊聽通過木馬竊取5.5非法入侵者——身份竊?。?） 身份竊取手段1：口令破解入侵者首先獲取有效的用戶名，然后使用專門的軟件來破解用戶口令在嘗試破解密碼時(shí)有兩種方法遠(yuǎn)程在線猜測(cè)：針對(duì)目標(biāo)主機(jī)上某種需要驗(yàn)證的服務(wù)，不斷與其建立連接，并輸入可能的口令，直到正確為止。本地口令猜測(cè)：首先得到加密后的口令；然后采用相同加密方法對(duì)可能的口令進(jìn)行加密，通過比較加密后的字符串是否相同來進(jìn)行破解。

5.5非法入侵者——身份竊?。?） 身份竊取手段2：網(wǎng)絡(luò)竊聽在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，很多協(xié)議都是以明文的形式在網(wǎng)絡(luò)中傳輸用戶名和密碼。這就給攻擊者提供了可乘之機(jī)，通過使用嗅探軟件截取本地網(wǎng)絡(luò)中的數(shù)據(jù)包，從而得到在網(wǎng)絡(luò)中傳輸?shù)挠脩裘兔艽a。5.5非法入侵者——身份竊?。?） 身份竊取手段3：木馬竊取這類木馬專門用來竊取受害主機(jī)上的帳戶信息。它們或者直接訪問緩存在內(nèi)存中的用戶名和密碼；或者偽裝成其他程序，要求用戶輸入帳戶信息。5.6緩沖區(qū)溢出攻擊——攻擊原理（1） 什么是緩沖區(qū)溢出？緩存區(qū)是一片有預(yù)定長(zhǎng)度限制的臨時(shí)內(nèi)存區(qū)域，當(dāng)試著向其中寫入超出設(shè)定大小的數(shù)據(jù)時(shí)，就會(huì)發(fā)生緩存區(qū)溢出。 什么是緩存區(qū)溢出攻擊？攻擊者用超過預(yù)定長(zhǎng)度的字符串來填滿目標(biāo)程序的堆?？臻g，達(dá)到暴力修改函數(shù)的返回地址的目的，從而部分甚至完全控制對(duì)方的計(jì)算機(jī)系統(tǒng)。5.6緩沖區(qū)溢出攻擊——攻擊原理（2）......內(nèi)存高端內(nèi)存低端堆棧高端堆棧低端傳給被調(diào)函數(shù)的參數(shù)函數(shù)返回地址（EIP）調(diào)用者的堆棧基址（EBP）局部變量voidfoo(char*str){ charbuffer[16]; strcpy(buffer,str);}voidmain(){ char*str=”thecurrentstringhasmore16characters”; foo(str); return;} 緩存區(qū)溢出實(shí)例①發(fā)生函數(shù)調(diào)用時(shí)，將會(huì)用到堆棧②在執(zhí)行strcpy函數(shù)時(shí)，由于main傳入的參數(shù)大于預(yù)設(shè)長(zhǎng)度，局部變量前的內(nèi)容會(huì)被覆蓋掉從本例不難看出，我們可以通過緩沖區(qū)溢出來改變函數(shù)的返回地址，從而改變整個(gè)程序的執(zhí)行流程，使它跳轉(zhuǎn)到任意我們希望執(zhí)行的代碼處。5.6緩沖區(qū)溢出攻擊——防御方式（1）加強(qiáng)編程行為的安全性。盡管不可能設(shè)計(jì)和編寫完全沒有缺陷的程序，但是應(yīng)盡量最小化緩沖區(qū)溢出條件。在軟件的設(shè)計(jì)階段就考慮安全因素；避免使用不安全的函數(shù)，例如C庫(kù)函數(shù)中的strcpy()，這類函數(shù)不會(huì)對(duì)輸入字符串的長(zhǎng)度進(jìn)行驗(yàn)證；使用安全的編譯器；驗(yàn)證輸入?yún)?shù)；避免使用suid程序。5.6緩沖區(qū)溢出攻擊——防御方式（2）禁止堆棧執(zhí)行。由于攻擊者通常以輸入?yún)?shù)的形式將希望執(zhí)行的代碼傳遞給程序，而程序會(huì)將傳入的參數(shù)保存在堆棧中。因此，最簡(jiǎn)單的解決方式是禁止執(zhí)行堆棧中的代碼。禁止不用或危險(xiǎn)的服務(wù)

攻擊者不能攻擊處于關(guān)閉狀態(tài)的服務(wù)，因此可把系統(tǒng)中不用或者危險(xiǎn)的服務(wù)關(guān)閉，從而將系統(tǒng)的暴露程度降到最低。5.7個(gè)人電腦對(duì)黑客的防范

對(duì)瀏覽器攻擊的防范技術(shù)

對(duì)電子郵件攻擊的防范技術(shù)