網(wǎng)絡(luò)黑客常用攻擊手段的分析和防范

網(wǎng)絡(luò)黑客常用攻擊手段的分析和防范談到網(wǎng)絡(luò)安全問題，就沒法不談黑客（）。黑客是指對(duì)計(jì)算機(jī)某一領(lǐng)域有著深入的理解，并且十分熱衷于潛入他人計(jì)算機(jī)、竊取非公開信息的人。每一個(gè)對(duì)互聯(lián)網(wǎng)絡(luò)的知識(shí)十分了解的人，都有可能成為黑客。翻開1998年日本出版的《新黑客字典》，可以看到上面對(duì)黑客的定義是：“喜歡探索軟件程序奧秘，并從中增長其個(gè)人才干的人。”顯然，“黑客”一語原來并沒有絲毫的貶義成分，直到后來，少數(shù)懷有不良的企圖，利用非法手段獲得的系統(tǒng)訊問權(quán)去闖入運(yùn)程機(jī)系統(tǒng)、破壞重要數(shù)據(jù)，或?yàn)榱俗约旱乃嚼圃炻闊┑木哂袗阂庑袨榈娜宋哿恕昂诳汀钡拿?，“黑客”才逐漸演變成入侵者、破壞者的代名詞。目前，“黑客”已成為一個(gè)特殊的社會(huì)群體，在歐美等國有不少合法的黑客組織，黑客們經(jīng)常召開黑客技術(shù)交流會(huì)，另一方面，黑客組織在因特網(wǎng)上利用自己的網(wǎng)站上介紹黑客攻擊手段，免費(fèi)提供各種黑客工具軟件、出版網(wǎng)上黑客雜志，這使得普通人也探測(cè)容易下載并學(xué)會(huì)使用一些簡單的黑客手段或工具對(duì)網(wǎng)絡(luò)進(jìn)行某種程序的攻擊，進(jìn)一步惡化了網(wǎng)絡(luò)安全環(huán)境。許多上網(wǎng)的用戶對(duì)網(wǎng)絡(luò)安全可能抱著無所謂的態(tài)度，認(rèn)為最多不過是被“黑客”盜用賬號(hào)，他們往往會(huì)認(rèn)為“安全”只是針對(duì)那些大中型企事業(yè)單位的，而且黑客與自己無怨無仇，干嘛要攻擊自己呢？其實(shí)，在一無法紀(jì)二無制度的虛擬網(wǎng)絡(luò)世界中，現(xiàn)實(shí)生活中所有的陰險(xiǎn)和卑鄙都表現(xiàn)得一覽無余，在這樣的信息時(shí)代

里，幾乎每個(gè)人都面臨著安全威脅，都有必要對(duì)網(wǎng)絡(luò)安全有所了解，并能夠處理

一些安全方面的問題，那些平時(shí)不注意安全的人，往往在受到安全方面的攻擊時(shí)付出慘重的代價(jià)時(shí)才會(huì)后悔不已。為了把損失降低到最低限度，我們一定要全觀念，并掌握一定的安全防范措施，禁絕讓黑客無任何機(jī)會(huì)可乘。只他們的攻擊手段，我們才能采取準(zhǔn)確的對(duì)策對(duì)付這些黑客。

黑客常用的攻擊步驟可以說變幻莫測(cè)，但縱觀其整個(gè)攻擊過程，還是有一定見下圖1示：利用系統(tǒng)漏洞，通過和ARG= a1B,EREPEED= a猜測(cè)用戶的猜測(cè)用戶的口令，從IRABL

HPHER圖1黑客常見攻擊黑客鎖定目標(biāo)、了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)，收集各種目標(biāo)系統(tǒng)的信息等。

鎖定目標(biāo)：網(wǎng)絡(luò)上有許多主機(jī)，黑客首先要尋找他找的站點(diǎn)的。當(dāng)然能真正標(biāo)識(shí)主機(jī)的是P地址，黑客會(huì)利用域名和P

了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)：確定要攻擊的目標(biāo)后，黑客就會(huì)設(shè)法了解其所在的網(wǎng)密切等，最簡單地就是t命令追蹤路由，也可以發(fā)一些數(shù)據(jù)包看其是否通過來猜測(cè)其防火墻過濾則的設(shè)定等。當(dāng)然老練的黑客在干這些的時(shí)候都別的計(jì)算機(jī)來間接的探測(cè)，從而隱藏他們真實(shí)的P地址。 收集系統(tǒng)信息：在收集到目標(biāo)的第一批網(wǎng)絡(luò)信息之后，黑客會(huì)對(duì)網(wǎng)絡(luò)上的每

臺(tái)主機(jī)進(jìn)行全面的系統(tǒng)分析，以尋求該主機(jī)的安全漏洞或安全弱點(diǎn)。首先黑客要知道目標(biāo)主機(jī)采用的是什么操作系統(tǒng)什么版本，如果目標(biāo)開放t服務(wù)，要（目標(biāo)主機(jī)），就會(huì)顯示“digitalunlx(xx.xx.xx.)(ttypl)login：這樣的系統(tǒng)信息。接著黑客還會(huì)檢查其開放端口進(jìn)行服務(wù)分析，看是否有能被用的服務(wù)。因特網(wǎng)上的主機(jī)大部分都提供www、、、t等日常網(wǎng)絡(luò)務(wù)，通常情況服務(wù)的端口是23等，www服務(wù)的端口80，p服務(wù)口是23。利用信息服務(wù)，像snmp服務(wù)、程序、s服務(wù)可用來查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其節(jié)，程序能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由數(shù)，whoi協(xié)議服務(wù)能提供所有有關(guān)dn域和相關(guān)的管理參數(shù)，協(xié)議以服務(wù)來獲取一個(gè)指一個(gè)指定主機(jī)上的所有用戶的詳細(xì)信息如用冊(cè)名、電話號(hào)碼、最后注冊(cè)時(shí)間以及他們有沒有讀郵件等等。所有如果沒有殊的需要，管理員應(yīng)該關(guān)閉這些服務(wù)利用安掃描器，收集系統(tǒng)信息當(dāng)然少不

系統(tǒng)服務(wù)漏洞，應(yīng)用軟件漏洞，弱口令用戶等等。實(shí)施攻擊

當(dāng)黑客探測(cè)到了足夠的系統(tǒng)信息，對(duì)系統(tǒng)的安全弱點(diǎn)有了了解后就會(huì)發(fā)動(dòng)攻一般，黑客攻擊的終極目的是能夠控制目標(biāo)系統(tǒng)，竊取其中的機(jī)密文件等，但并不是每次黑客攻擊都能夠得逞控制目標(biāo)主機(jī)的目的的，所以有時(shí)黑客也會(huì)發(fā)動(dòng)拒絕服務(wù)攻擊之類的干擾攻擊，使系統(tǒng)不能正常工作。關(guān)于黑客具體采用的一些攻擊方法我們?cè)谙旅婧诳凸舴椒ㄖ杏性敿?xì)的介紹，這里就不細(xì)說了。鞏固控制

黑客利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后，不是像大家想象的

那樣會(huì)馬上進(jìn)行破壞活動(dòng)，刪除數(shù)據(jù)、涂改網(wǎng)頁等，那是毛頭小伙子們干的事一般入侵成功后，黑客為了能長時(shí)間表的保留和鞏固他對(duì)系統(tǒng)的控制權(quán)，不被管理員發(fā)現(xiàn)，他會(huì)做兩件事：清除記錄和留下后門。日志往往會(huì)記錄上一些黑攻擊的蛛絲馬跡，黑客當(dāng)然不會(huì)留下這些“犯罪證據(jù)”，他會(huì)把它刪了或用假日志覆蓋它，為了日后面以不被覺察地再次進(jìn)入系統(tǒng)，黑客會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)

中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序。繼續(xù)深入

清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下

一步的行動(dòng)；竊取主機(jī)上的各種敏感信息：軟件資料、客戶名單、財(cái)務(wù)報(bào)表用卡號(hào)等等，也可能是什么都不動(dòng)，只是把你的系統(tǒng)作為他存放黑客程序或資料的倉庫，也可能黑客會(huì)利用這臺(tái)已經(jīng)攻陷的主機(jī)去繼續(xù)他下一步的攻擊，續(xù)入侵內(nèi)部網(wǎng)絡(luò)，或者利用這臺(tái)主機(jī)發(fā)s攻擊使網(wǎng)絡(luò)癱瘓。

網(wǎng)絡(luò)世界瞬息萬變，黑客們各有不同，他們的攻擊流程也不會(huì)全相同，上面

我們提的攻擊步驟是對(duì)一般情況而言的，是絕大部分黑客正常情況下采用的攻擊步驟。常見的幾種攻擊分類1入侵系統(tǒng)類攻擊

這種攻擊手法千變?nèi)f化，可是攻擊者的最終目的都是為了獲得主機(jī)系統(tǒng)的控

制權(quán)，從而破壞主機(jī)和網(wǎng)絡(luò)系統(tǒng)。這類攻擊又分為：信息收集漏洞攻擊信息收集型攻擊并不對(duì)目標(biāo)本身造成危害，這類攻擊被用來為進(jìn)一步入侵提供有用的信息。主要包括：掃描技術(shù)攻擊；體系結(jié)構(gòu)探測(cè)攻擊；利用信息服務(wù)攻擊；假消息攻擊；網(wǎng)絡(luò)監(jiān)聽攻擊等。黑客還會(huì)運(yùn)用社會(huì)工程收集信息?？诹罟羰蔷W(wǎng)上攻擊最常用的方法，入侵者通過系統(tǒng)常用服務(wù)或?qū)W(wǎng)絡(luò)通信進(jìn)行監(jiān)

聽來搜集帳號(hào)，當(dāng)找到主機(jī)上的有效帳號(hào)后，就采用字典窮舉法進(jìn)行攻擊，或者他們通過各種方法獲文件，然后用口令猜測(cè)程序破譯用戶帳號(hào)和密

碼。利用系統(tǒng)管理策略或配置文件的漏洞，獲得比合法權(quán)限更高的操作權(quán)，電子郵件DEBUG、Decode、、Wiz；FTP的CWD~root、；P碎片攻擊、NFS猜測(cè)、NFSMknod、NFSUID檢查、t檢查等。利用系

統(tǒng)配置疏忽的入侵攻擊，如：利CG境變量配置疏忽的入侵攻擊；漏洞入侵攻擊。協(xié)議漏洞攻擊，如：FTP協(xié)議攻擊；服務(wù)程序漏洞攻擊，漏洞攻擊、漏洞攻擊；CG攻擊等。利用WEB服務(wù)器的不合理配置，或CGI獲取腳本源碼，非法執(zhí)行程序，使WWW服務(wù)器崩潰等目的。如：對(duì)NT的服務(wù)器的多種攻擊，對(duì)許多免CGI程序；對(duì)，t等。2緩沖區(qū)溢出攻擊

通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a（植入法或利用已存在的代碼），然后，通過適當(dāng)?shù)牡刂烦跏蓟?/p>

寄存器和存儲(chǔ)器，讓程序跳到黑客安排的地址空間中執(zhí)行（如激活紀(jì)錄、函數(shù)指針或長跳轉(zhuǎn)緩沖區(qū)等）。3欺騙類攻擊

P協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)P網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)欺騙的技術(shù)主要有：HoneyPot和分布式HoneyPot、欺騙空間技術(shù)等。主要方式有：P欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙（通過指定路由，以假冒身份與其它主機(jī)進(jìn)行合法通信、或發(fā)送假報(bào)文使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作；地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）欺騙攻擊為例說明如下，其的實(shí)施步驟為：選定目標(biāo)主機(jī)——發(fā)現(xiàn)主機(jī)間的信任模式——使被信任主機(jī)葬失工作能力——TC序列號(hào)的取樣和預(yù)測(cè)冒充被信任主機(jī)進(jìn)入系統(tǒng)，并留下后門供以后使用。4拒絕服務(wù)攻擊

通過網(wǎng)絡(luò)，也可使正在使用的計(jì)算機(jī)出現(xiàn)無響應(yīng)、死機(jī)的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡稱DoS（）。這種攻擊行為通過發(fā)送一定數(shù)量一定

序列的報(bào)文，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)

資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的DoS工具有：同步洪流、WinNuke、死亡之PING、Echl攻擊、ICMP/SMURF、炸彈、Lan攻擊、洪流、Rwhod、、TARGA3、UD攻擊、OOB等。分布式拒絕服務(wù)攻擊：這種攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，從而導(dǎo)致目標(biāo)癱瘓，簡稱DDoS（）。攻擊步驟如下：探測(cè)掃描大量主機(jī)以找到可以入侵的脆弱主機(jī)——入侵有安全漏洞的主機(jī)并獲取控制權(quán)——在每臺(tái)被入侵的主機(jī)上安裝攻擊程序（整個(gè)過程都是自動(dòng)化的，在短時(shí)間內(nèi)即可入侵?jǐn)?shù)千臺(tái)主機(jī)）——在控制了足夠多的主機(jī)之后，從中選擇一臺(tái)作為管理機(jī)，安裝攻擊主程序——到指定邏輯狀態(tài)后，該管理機(jī)指揮所有被控制機(jī)對(duì)目標(biāo)發(fā)起攻擊，造成目標(biāo)機(jī)癱瘓。如：TFN、、TFN2K、、、、k攻擊等。

5對(duì)防火墻的攻擊

一般來說，防火墻的抗攻擊性很強(qiáng)，可是它也不是不可攻破的。其實(shí)，防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷。對(duì)防火墻的探測(cè)攻擊技術(shù)有：技術(shù)、Hping。繞過防火墻認(rèn)證的攻擊手法有：地址欺騙和TCP序號(hào)協(xié)同攻擊、P分片攻擊、p干擾攻擊、利用v繞過防火墻認(rèn)證的攻擊。直接攻擊防火墻系統(tǒng)的常見手法有：x防火墻的安全漏洞：X防火墻的拒絕服務(wù)漏洞、CISCOPIX防火墻FTP漏洞允許非法通過防火墻。6利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬種，可通過注入技術(shù)進(jìn)行破壞和攻擊。計(jì)算機(jī)病毒攻擊的傳播途徑有電子郵件、傳統(tǒng)的軟盤、光盤BBS、WWW瀏覽、FTP文件下載、新聞組、點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信7木馬程序攻擊

特洛依木馬是一種騙子程序，提供某些功能作為誘餌，背地里干一些鬼事，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)，木馬程序隨之啟動(dòng)，然后在某一特定的端口監(jiān)聽，在通過監(jiān)聽端口收到命令后，木馬程序根據(jù)命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令，重新啟動(dòng)計(jì)算機(jī)等。常見的特洛伊木馬程序有：BO、、s等。8后門攻擊

后門是指入侵者躲過日志，使自己重返被入侵系統(tǒng)的技術(shù)，后門種類很多，常見的有：調(diào)試后門、管理后門、惡意后門、n后門、t后門、后門、服務(wù)后門、文件系統(tǒng)后門、內(nèi)核后門、Boot后門、l后門等。9信息戰(zhàn)

信息戰(zhàn)指利用現(xiàn)代信息手段，通過奪取信息優(yōu)勢(shì)來達(dá)到自己的軍事目的，它既包括了攻擊對(duì)方的認(rèn)識(shí)和信念，也包括了利用信息優(yōu)勢(shì)在實(shí)際戰(zhàn)斗中打敗方。包括：進(jìn)攻性信息戰(zhàn)（如：電子戰(zhàn)進(jìn)攻、計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)攻、截獲和利用的信息、軍事欺騙、進(jìn)攻性心理戰(zhàn)、物理摧毀、微處理芯片攻擊、利用竊取信息、高功率微波武器等）和防御性信息戰(zhàn)（如：電子戰(zhàn)防衛(wèi)、計(jì)算機(jī)通和網(wǎng)絡(luò)安全防護(hù)、反情報(bào)、防御性的軍事欺騙及反欺騙、防御性心理戰(zhàn)、防摧毀、防御性信息武器等）。常見的幾種攻擊與防范：3.1DoS與DDoS攻擊原理及其防范 拒絕服務(wù)（e，簡稱DoS）攻擊是一種利用P協(xié)議的弱

點(diǎn)和系統(tǒng)存在的漏洞，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的，對(duì)網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請(qǐng)求”信息，造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù)致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。分布式拒絕服務(wù)（，簡稱DDoS）攻擊是在拒絕服務(wù)攻擊的基礎(chǔ)上產(chǎn)生的一種分布式、協(xié)作

式的大規(guī)模拒絕服務(wù)攻擊方式。

目前，拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊已成為一種遍布全球的系統(tǒng)漏洞了解DoS與DDoS攻擊原理及基本的防范方法，對(duì)所有網(wǎng)絡(luò)用戶特別是網(wǎng)絡(luò)管理人員有著重要的意義。S攻擊

DoS攻擊的方式主要是利用合理的服務(wù)請(qǐng)求，來占用過多的網(wǎng)絡(luò)帶寬和服務(wù)器資源，致使正常的連接請(qǐng)求無法得到響應(yīng)。常見的DoS攻擊方法有：SYNFlood攻擊、Land攻擊、Smurf攻擊、UDP攻擊等。下圖2為DoS攻擊的基本過程。El2Dos攻擊的基本過SYNFlood攻擊 SYNd攻擊是一種最常見的DoS攻擊手段，它利用P連接的“三次握手”過程，通過虛假源地址發(fā)送大量SYN方的一個(gè)或多個(gè)端口。當(dāng)被攻擊方按照約定向這些虛假地址發(fā)送確認(rèn)后，等待對(duì)方連接，虛假的源地址將不給予響應(yīng)。這樣，連接請(qǐng)求將一直保存在系統(tǒng)緩存中直到超時(shí)

如果系統(tǒng)資源被大量此類未完成的連接占用系統(tǒng)性能自然會(huì)下降。后續(xù)正

常的TCP連接請(qǐng)求也會(huì)因等待隊(duì)列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象3.4Land攻擊 Land攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析Land包時(shí)占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓擊手段。其方法是將一個(gè)特別設(shè)計(jì)SYN包中的源地址和目標(biāo)地址都設(shè)置成個(gè)被攻擊服務(wù)器的地址，這樣服務(wù)器接收到該數(shù)據(jù)包后會(huì)向自己發(fā)送一個(gè)SYN—ACK回應(yīng)包，SYN—ACK又引起一個(gè)發(fā)送給自己的ACK包，并創(chuàng)建個(gè)空連接。每個(gè)這樣的空連接到將暫存在服務(wù)器中，當(dāng)隊(duì)列足夠長時(shí)接請(qǐng)求將被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。3.5Smurf攻擊

Smurf攻擊是一種放大效果的ICMP攻擊方式，其方法是攻擊者偽裝成被攻

擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請(qǐng)求，該廣播設(shè)備會(huì)將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到發(fā)大量攻擊的目的。例如，攻擊者冒充被攻擊者P使PING來對(duì)一個(gè)C

網(wǎng)絡(luò)的廣播地址發(fā)ICM包，該網(wǎng)絡(luò)上的4臺(tái)主機(jī)就會(huì)對(duì)被攻擊者P送ICMP回應(yīng)包，這樣攻擊者的攻擊行為就被放大了倍。3.6UDP攻擊

UDP攻擊是指通過發(fā)送UDP數(shù)據(jù)包來發(fā)動(dòng)攻擊的方式。在UDPFlood攻擊中，攻擊者發(fā)送大量虛假P的UDP數(shù)據(jù)包或畸形UDP擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。由UDP是一種無連接的服務(wù)，只要被攻擊者開放有一UDP務(wù)發(fā)動(dòng)攻擊。UDP攻擊通?？煞譃閁DP攻擊、UDPe攻擊和DNSd攻擊。 ①UDPe攻擊的原理與Smurf攻擊相似，也是一種“放大”式的攻擊，不同的是它使用UDP回應(yīng)代替了ICMP回應(yīng)。 ②d攻擊是一種針對(duì)DNS服務(wù)器的攻擊行為。攻擊者向DNS

的UDP53正常的查詢請(qǐng)求。從以上4種DoS攻擊手段可以看出，DoS括以下幾個(gè)階段：①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請(qǐng)求；擊者發(fā)送響應(yīng)信息后等待回傳信息；③由于得不到回傳信息，使系統(tǒng)待處理不斷加長，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。3.7DDoS攻擊

DoS攻擊主要是采用一對(duì)一的攻擊方式。當(dāng)目標(biāo)計(jì)算機(jī)的配置較低或網(wǎng)絡(luò)帶寬較小時(shí)，其攻擊的效果較為明顯。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，網(wǎng)絡(luò)帶寬也從百兆發(fā)展到了千兆、萬兆，DoS攻擊很難奏效DDoS攻擊是DoS攻擊的一種演變，它改變了傳統(tǒng)的一對(duì)一的攻擊方式，利用網(wǎng)絡(luò)調(diào)動(dòng)大量傀儡機(jī)，同時(shí)向目標(biāo)主機(jī)發(fā)起攻擊，攻擊效果極為明顯。3.8DDoS攻擊原理

DDoS主要采用了比較特殊的3層客戶機(jī)服務(wù)器結(jié)構(gòu)，即攻擊端、主控端和代理端，這3者在攻擊中各自扮演著不同的角色。攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。主控端：主控端是攻擊者

非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以

把這些命令發(fā)送到代理主機(jī)上。代理端：代理端同樣也是攻擊者侵入并控制的一

批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。攻擊者發(fā)起DDoS攻擊的第一步就是尋找在t上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊

者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。這種層客戶機(jī)服務(wù)器結(jié)構(gòu)，使DDoS具有更強(qiáng)的攻擊能力，并且能較好地隱藏攻擊者的真實(shí)地址。下圖3為DDoS的攻擊原理。

DDo攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會(huì)像洪水般地從四面八方涌向被攻擊主S攻擊的主要形式 DDoS攻擊的主要形式有以下幾種： ①通過大量偽造的向某一固定目標(biāo)發(fā)出高流量垃圾數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法與外界通信。

②利用被攻擊主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)送對(duì)某特定服務(wù)的連接請(qǐng)求，使被攻擊主機(jī)無法及時(shí)處理正常業(yè)務(wù)。

③利用被攻擊主機(jī)所提供服務(wù)中數(shù)據(jù)處理上的缺陷，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。o攻擊軟件攻擊實(shí)例

DDo攻擊不斷出現(xiàn)，并在應(yīng)用的過程中不斷的得到完善，已有

一系列比較成熟的軟件產(chǎn)品，如、獨(dú)裁者DDoS攻擊器、DdoSer、TFN、TFN2K等，他們基本核心及攻擊思路是很相象的，下面就通o對(duì)這類軟件做一介紹。 o是基于d的攻擊軟件，它向被攻擊目標(biāo)主機(jī)隨機(jī)端口發(fā)送全

零的4字節(jié)UDP包，被攻擊主機(jī)的網(wǎng)絡(luò)性能在處理這些超出其處理能力垃圾數(shù)據(jù)包的過程中不斷下降，直至不能提供正常服務(wù)甚至崩潰。它對(duì)P地址不做假，采用的通訊端口是： 攻擊者主機(jī)到主控端主機(jī)：27665/TCP

主控端主機(jī)到代理端主機(jī)：27444/UDP

代理端主機(jī)到主服務(wù)器主機(jī)：31335/UDP

o攻擊功能的實(shí)現(xiàn)，是通過三個(gè)模塊付諸實(shí)施的：1、攻擊守護(hù)進(jìn)程（NS）；

2、攻擊控制進(jìn)程（MASTER）；3、客戶端（NETCAT，標(biāo)準(zhǔn)TELNET程序等）攻擊守護(hù)進(jìn)程N(yùn)S是真正實(shí)施攻擊的程序，它一般和攻擊控制進(jìn)程（MASTER）所在主機(jī)分離，在原始C文件NS.C編譯的時(shí)候，需要加入可控制其執(zhí)行的攻擊控制進(jìn)程MASTER所在主機(jī)，只有在NS.C中的P方可發(fā)起NS的攻擊

編譯成功后，黑客通過目前比較成熟的主機(jī)系統(tǒng)漏洞破解（如RPC.CMSDRPC.TTDBSERVER，RPC.STATD）可以方便的將大量N漏洞主機(jī)內(nèi)。NS運(yùn)行時(shí)，會(huì)首先向攻擊控制進(jìn)程（MASTER）所在主機(jī)的端口發(fā)送內(nèi)容HELLUD處于對(duì)端口27444的偵聽狀態(tài)，等待MASTER攻擊指令的到來。 攻擊控制進(jìn)程（MASTER）在收到攻擊守護(hù)進(jìn)程的HELLO包后，會(huì)在自己所在目錄生成一個(gè)加密的名為的可利用主機(jī)表文件，MASTE密碼的，在正確輸入默認(rèn)密后，MASTE聽端31335，等待攻擊守護(hù)進(jìn)程HELL包，另一方面?zhèn)陕牰?7665待客戶端對(duì)其的連接。當(dāng)客戶端連接成功并發(fā)出指令時(shí)，MASTER向攻擊守護(hù)進(jìn)程ns所在主機(jī)的4端口傳遞指令。 客戶端不是o自帶的一部分，可用標(biāo)準(zhǔn)的能提TCP連接的程序，如TELNET，NETCAT等，連接MASTE所在主機(jī)的5端口，e后，即完成了連接工作，進(jìn)入攻擊控制可操作的提示狀態(tài)。 目前版本的o有六個(gè)可用命令，：設(shè)定攻擊時(shí)長，如0，

攻擊0秒，如果不設(shè)置的話，默認(rèn)是無限。：對(duì)某一目標(biāo)主機(jī)實(shí)施攻擊，如e：停止正在實(shí)施的攻擊，使用這一功能需要輸入口mping：請(qǐng)求攻擊守護(hù)進(jìn)程N(yùn)S回應(yīng)，監(jiān)ns是否工作。mdos，對(duì)多個(gè)目標(biāo)主機(jī)實(shí)施攻擊，：設(shè)置攻擊UDP包的大小。o運(yùn)行的總體輪廓可用圖4說明：圖3phos的攻擊我們來看一次攻擊的實(shí)例：被攻擊的目標(biāo)主機(jī)P為：5

ns被植入三臺(tái)n的主機(jī)里，他們的P對(duì)應(yīng)關(guān)系分別：：2：3

r所在主機(jī)為：4

首先我們要啟動(dòng)各個(gè)進(jìn)程，在，2，3上分別執(zhí)行其次，在r所在主機(jī)啟動(dòng)master（系統(tǒng)示輸入密碼，輸入e后r成功啟動(dòng)）：14：38：（連接成功）在任意一臺(tái)與網(wǎng)絡(luò)連通的可使用t的設(shè)備上，執(zhí)行：（輸入密碼）（進(jìn)入提示符）（我們首先來監(jiān)測(cè)一下各個(gè)攻擊守護(hù)進(jìn)程是否成功啟動(dòng)）mping：（成功響應(yīng)）（設(shè)定攻擊時(shí)間為60秒）：DoS：至此一次攻擊結(jié)束，此時(shí)，會(huì)得到icmp不可到達(dá)反饋，目標(biāo)主機(jī)此時(shí)與網(wǎng)絡(luò)的正常連接已被破壞。由于o尚未采用P地址欺騙，因此在被攻擊的主機(jī)系統(tǒng)日志里我們可以看到如下紀(jì)錄：：：：：：：：：：：pdu：Thewrong：：：：：：：：：：由上述日志，我們不難看出發(fā)起攻擊地址，這一問題，通

在后期的軟件TFN，TFN2步增加了難度。與DDoS攻擊的檢測(cè)與防范 從DoS與DDoS攻擊過程可以看出，其攻擊的目的主要有：（1）對(duì)網(wǎng)絡(luò)帶寬的流量攻擊；（2）對(duì)服務(wù)器某特定服務(wù)的攻擊。攻擊的手段主要是發(fā)送大量垃圾數(shù)據(jù)交由網(wǎng)絡(luò)設(shè)備或服務(wù)器處理，導(dǎo)致資源占用超出允許上限，使網(wǎng)絡(luò)中斷或無法提供正常服務(wù)。 由DoS、DDo是利用網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)行的攻擊，所以要完全消除攻受到DoS或DDoS攻擊的威脅。對(duì)于暴力型DDoS攻擊，即使是最先進(jìn)的防墻也無能為力。攻擊者可能無法越過防火墻攻擊內(nèi)部網(wǎng)絡(luò)中的服務(wù)器系統(tǒng)，但火墻阻擋這些攻擊數(shù)據(jù)包，必須付出高額的資源開支，這同樣會(huì)造成網(wǎng)絡(luò)降，甚至網(wǎng)絡(luò)中斷。在實(shí)際應(yīng)用中，我們可以通過一些方法檢測(cè)到攻擊現(xiàn)象現(xiàn)，并減緩攻擊造成的危害。3.9ARP攻擊

網(wǎng)絡(luò)提示連接出現(xiàn)故障，P沖突，無法打開網(wǎng)頁，頻繁彈出錯(cuò)誤對(duì)話框。如果你的PC有以上的表現(xiàn)，那就要考慮是否遭到ARP攻擊了。

ARP欺騙是通過MAC翻譯錯(cuò)誤造成計(jì)算機(jī)內(nèi)的身份識(shí)別沖突，它和DOS一樣目前沒有特別系統(tǒng)的解決方案，但有一些值得探討的技術(shù)技巧。

一般我們采取安裝防火墻來查找攻擊元兇，利用t可以直接找到攻擊者以及可能參與攻擊的對(duì)象。t默認(rèn)啟動(dòng)后會(huì)自動(dòng)識(shí)別網(wǎng)絡(luò)參數(shù)，當(dāng)然用戶還是有必要進(jìn)行深入設(shè)置。首先要選擇好參與內(nèi)網(wǎng)連接的網(wǎng)卡，這點(diǎn)非常重因?yàn)橐院笏械男崽焦ぷ鞫际腔谶x擇的網(wǎng)卡進(jìn)行的。然后檢查地址、網(wǎng)關(guān)

等參數(shù)。需要提醒用戶的是，檢測(cè)范圍根據(jù)網(wǎng)絡(luò)內(nèi)P分布情況來設(shè)置，如果P段不清楚可以通過CMD下的g來查看網(wǎng)關(guān)和本機(jī)地址。不要加入過多無效，否則影響后期掃描工作。不過遺憾的是，這種方法在很多 AR病毒攻擊的情況下并不樂觀。首先我們需要管理員多做一些工作，尤其是路由器上的P地址綁并且隨時(shí)查看網(wǎng)絡(luò)當(dāng)前狀態(tài)是否存在偽裝終端，先確實(shí)找到攻擊源并采取隔離措施。

ARP攻擊一旦在局域網(wǎng)開始蔓延，就會(huì)出現(xiàn)一系列的不良反應(yīng)。r是網(wǎng)絡(luò)管理的好工具，網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包都可以通過r來檢測(cè)。同樣p欺騙數(shù)據(jù)包也逃不出r的監(jiān)測(cè)范圍。通過嗅探定位隔離封堵幾個(gè)步驟，可以很好

的排除大部分ARP攻擊。0嗅探掃描

常在網(wǎng)上漂，肯定被掃描。網(wǎng)絡(luò)掃描無處不在，也許你覺得自己長期安然那是因?yàn)槟愕慕K端不夠長期穩(wěn)定的聯(lián)在網(wǎng)上。對(duì)于服務(wù)器來說，被掃描可謂是危

險(xiǎn)的開始。這里面又以r為主。如何發(fā)現(xiàn)和防止r嗅探器呢？

通過一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況，的流到目的地，這是由于r攔截每個(gè)包導(dǎo)致的。果某臺(tái)機(jī)器長時(shí)間的占用了較大的帶寬，這臺(tái)終端就有可能在監(jiān)聽。能信任另一網(wǎng)絡(luò)段。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計(jì)，而不硬件需要。

在網(wǎng)絡(luò)上，各種攻擊層出不窮，但對(duì)于終端來說，防范管理都要注意以下幾個(gè)面：要做好路由器的保護(hù)，它是攻擊成敗的不要以為自己的口令很復(fù)雜，獲取口令不僅僅是終端的端口和服務(wù)是控制危險(xiǎn)的注意系統(tǒng)的帶寬要足夠，并且穩(wěn)定，如果資金允許，配備強(qiáng)大的硬1腳本攻擊

大家都聽過SQL注入攻擊吧，所謂SQL注入就是利用現(xiàn)有應(yīng)用程序，將惡意SQ命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力，這種攻擊腳本最直接，也最簡單，當(dāng)然，腳本攻擊更多的是建立在對(duì)方漏洞的基礎(chǔ)上，它比DOS和ARP攻擊的門檻更高。

隨著交互式網(wǎng)頁的應(yīng)用，越來越多的開發(fā)者在研究編寫交互代碼時(shí)，漏掉了一些關(guān)鍵字，同時(shí)也會(huì)造成一部分程序沖突。這里包欺騙、特殊關(guān)鍵字未過濾等等。導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回獲得一些他想得到的數(shù)據(jù)。SQ注入利用的是正常HTT服務(wù)端口，表面上看來和正常的web訪問沒有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。

雖然這項(xiàng)技術(shù)稍顯落后，國內(nèi)也是在幾年前才開始興起，但涉及到其覆蓋面廣出現(xiàn)問題的幾率大，造成很多網(wǎng)站都不行中招，甚至導(dǎo)致服務(wù)器被攻陷。

SQ注入攻擊的特點(diǎn)就是變種極多，有經(jīng)驗(yàn)的攻擊者會(huì)手動(dòng)調(diào)整攻擊參數(shù)，致使攻擊數(shù)據(jù)的變種是不可枚舉的，這導(dǎo)致傳統(tǒng)的特征匹配檢測(cè)方法僅能識(shí)別相當(dāng)少的攻擊，難以防范。因?yàn)椴扇×藚?shù)返回錯(cuò)誤的思路膠帶機(jī)白癜風(fēng)笑話電子制砂機(jī)反擊式破碎機(jī)，造成很多方式都可以給攻擊者提示信息，所以系統(tǒng)防范起來還是很困難，現(xiàn)在比較好的辦法是通過靜態(tài)頁面生成方式，將終端頁面呈現(xiàn)在用戶面前，防止對(duì)方隨意添加訪問參數(shù)。常見的網(wǎng)絡(luò)安全防范措施：網(wǎng)絡(luò)級(jí)安全檢測(cè)與防范

目前比較流行的網(wǎng)絡(luò)級(jí)安全防范措施是使用專業(yè)防火墻+入侵檢測(cè)系統(tǒng)

（IDS）為企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)筑一道安全屏障。防火墻可以有效地阻止有害數(shù)據(jù)的通過，而IDS則主要用于有害數(shù)據(jù)的分析和發(fā)現(xiàn)，它是防火墻功能的延續(xù)。2者聯(lián)動(dòng)，可及時(shí)發(fā)現(xiàn)并減緩DoS、DDoS攻擊，減輕攻擊所造成的損失。

通常人們認(rèn)為，只要安裝防火墻就可以保護(hù)處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用過程中暴露出以下的不足：

（1）防火墻在工作時(shí)，入侵者可以偽造數(shù)據(jù)繞過防火墻，或者找到防火墻中可能敞開的后門。

（2）由于防火墻通常被安裝在網(wǎng)絡(luò)出口處，所以對(duì)來自網(wǎng)絡(luò)內(nèi)部的攻擊無

能為力。

（3）由于防火墻性能上的限制，通常它不具備實(shí)時(shí)監(jiān)控入侵的能力。

（4）防止病毒入侵是防火墻的一個(gè)弱項(xiàng)。

IDS恰好彌補(bǔ)了防火墻的不足，為網(wǎng)絡(luò)提供實(shí)時(shí)的數(shù)據(jù)流監(jiān)控，并且在發(fā)現(xiàn)入侵的初期協(xié)同防火墻采取相應(yīng)的防護(hù)手段。目IDS系統(tǒng)作為必要附加手段已經(jīng)被大多數(shù)企業(yè)的安全構(gòu)架所接受。

最近市場上出現(xiàn)了一種將防火墻IDS兩者合二為一的新產(chǎn)品“入侵防御系

統(tǒng)”（m簡稱）。它不但能檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，二者的整合大幅度地提高了檢測(cè)和阻止網(wǎng)絡(luò)攻擊的效率，是今后網(wǎng)絡(luò)安全架構(gòu)的一種發(fā)展趨勢(shì)。

通過編寫防火墻規(guī)則，可以讓系統(tǒng)知道什么樣的信息包可以進(jìn)入、什么樣的應(yīng)該放棄，如此一來，當(dāng)黑客發(fā)送有攻擊性信息包的時(shí)候，在經(jīng)過防火墻時(shí)，信息就會(huì)被丟棄掉，從而防止了黑客的進(jìn)攻。如天網(wǎng)防火墻，安裝后進(jìn)入自定規(guī)則，進(jìn)行設(shè)置： （1）禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源

（2）禁止所有人的連接。 （3）禁止所有人連接低端口。

（4）允許已經(jīng)授權(quán)的程序打開端口，這樣一切需要開放的端口程序都需要

審批。但是不要勾選“系統(tǒng)設(shè)置”里的“允許所有應(yīng)用程序訪問網(wǎng)絡(luò)，并在規(guī)則記錄這些程序”，這個(gè)設(shè)置是防范反彈木馬和鍵盤記錄的秘密武器。1常規(guī)安全檢測(cè)與防范

常規(guī)檢測(cè)與防范是面向網(wǎng)絡(luò)中所有服務(wù)器和客戶機(jī)的，是整個(gè)網(wǎng)絡(luò)的安全基

礎(chǔ)。可以設(shè)想，如果全世界所有計(jì)算機(jī)都有較好的防范機(jī)制，大規(guī)模計(jì)算機(jī)病毒爆發(fā)和DDoS攻擊發(fā)生的概率將銳減。所以，在任何安全防范體系中加強(qiáng)安全教

育、樹立安全意識(shí)及采取基本的防護(hù)手段都是最重要的。

在實(shí)際應(yīng)用中，可以使用g命令和—n命令檢測(cè)是否受到了DoS、DDoS攻擊。若發(fā)現(xiàn)網(wǎng)絡(luò)速度突然變慢，使命令檢測(cè)時(shí)出現(xiàn)超時(shí)或嚴(yán)重丟包，則有可能是受到了流量攻擊。若使用g命令測(cè)試某服務(wù)器時(shí)基本正但無法訪問服務(wù)（如無法打開網(wǎng)頁，DNS失效等），而g同一交換機(jī)上的其他主機(jī)正常，則有可能是受到了資源耗盡攻擊。在服務(wù)器上執(zhí)行—n命令若顯示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)，而ESTABLISHED狀態(tài)較少，則可以認(rèn)定是受到了資源耗盡攻擊。

要增強(qiáng)網(wǎng)絡(luò)中的服務(wù)器的抵抗力可采用的方法有：

2關(guān)閉不必要的服務(wù)

因?yàn)楝F(xiàn)在的硬盤越來越大，許多人在安裝操作系統(tǒng)時(shí)，希望安裝越多越好。豈不知裝得越多，所提供的服務(wù)就越多，而系統(tǒng)的漏洞也就越多。如果只是要作為一個(gè)代理服務(wù)器，則只安裝最小化操作系統(tǒng)和代理軟件、殺毒軟件、防火墻即可，不要安裝任何應(yīng)用軟件，更不可安裝任何上網(wǎng)軟件用來上網(wǎng)下載，甚至輸入法也不要安裝，更不能讓別人使用這臺(tái)服務(wù)。3安裝補(bǔ)丁程序

上面所講的利用輸入法的攻擊，其實(shí)就是黑客利用系統(tǒng)自身的漏洞進(jìn)行的攻擊，對(duì)于這種攻擊我們可以下載微軟提供的補(bǔ)丁程序來安裝，就可較好地完善我們的系統(tǒng)和防御黑客利用漏洞的攻擊。我們可下載windows最新的補(bǔ)丁程序，也可直接運(yùn)行開始菜單中的進(jìn)行系統(tǒng)的自動(dòng)更新。4關(guān)閉無用的甚至有害的端口

計(jì)算機(jī)要進(jìn)行網(wǎng)絡(luò)連接就必須通過端口，要控制我們的電腦也必須要通過端

口。所以我們可通過關(guān)閉一些對(duì)于我們暫時(shí)無用的端口（但對(duì)于“黑客”卻用），即關(guān)閉無用的服務(wù)，來減少“黑客”的攻擊路徑。我們可通過“控制面板”的“理工具”來進(jìn)入“服務(wù)”，也可用通過打開“TCP/I協(xié)議”→選擇“屬性”，打開“常規(guī)→選擇“高級(jí)”，打開“選項(xiàng)”→選擇“TCP/IP篩選”→選擇“屬性”→雙擊篩選”→選擇“只允許”→選擇“添加”添加需要打開的端口；如上網(wǎng)必須

80端口。5刪除Guest賬號(hào)

win2000的Guest賬號(hào)一般是不能更改和刪除的，只能“禁用”，但是可以通

過t命令（）將其激活，所以它很容易成為“黑客”攻擊的標(biāo)，所以最好的方法就是將其刪除，下即win2000權(quán)限提升進(jìn)入cmd，打入i回車，退出。進(jìn)入注冊(cè)表，搜索，刪除它，賬號(hào)就被刪除了。6限制不必要的用戶數(shù)量 去掉所有的r賬號(hào)，測(cè)試賬號(hào)，共享賬號(hào)，不再使用的賬號(hào)。這些賬號(hào)常會(huì)成為黑客入侵系統(tǒng)的突破口，賬號(hào)越多，黑客得到合法用戶的權(quán)限的機(jī)會(huì)就越大。如果你的計(jì)算機(jī)賬號(hào)自動(dòng)增加，則可判斷你被入侵了7及時(shí)備份重要數(shù)據(jù)

亡羊補(bǔ)牢，如果數(shù)據(jù)備份及時(shí)，即便系統(tǒng)遭到黑客進(jìn)攻，也可以在短時(shí)間內(nèi)

修復(fù)，挽回不必要的經(jīng)濟(jì)損失。想國外很多商務(wù)網(wǎng)站，都會(huì)在每天晚上對(duì)系統(tǒng)據(jù)進(jìn)行備份，在第二天清晨，無論系統(tǒng)是否收到攻擊，都會(huì)重新恢復(fù)數(shù)據(jù)，每天系統(tǒng)中的數(shù)據(jù)庫都不會(huì)出現(xiàn)損壞。數(shù)據(jù)的備份最好放在其他電腦或者驅(qū)動(dòng)器上，這樣黑客進(jìn)入服務(wù)器之后，破壞的數(shù)據(jù)只是一部分，因?yàn)闊o法找到數(shù)據(jù)的備份，對(duì)于服務(wù)器的損失也不會(huì)太嚴(yán)重。然而一旦受到黑客攻擊，管理員不要只設(shè)法恢復(fù)損壞的數(shù)據(jù)，還要及時(shí)分析黑客的來源和攻擊方法，盡快修補(bǔ)被黑客利用的漏洞，然后檢查系統(tǒng)中是否被黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理員賬號(hào)，盡量將黑客留下的各種蛛絲馬跡和后門分析清除、清除干凈，防止客的下一次攻擊。

8使用加密機(jī)制傳輸數(shù)據(jù)

對(duì)于個(gè)人信用卡、密碼等重要數(shù)據(jù)，在客戶端與服務(wù)器之間的傳送，應(yīng)該先該尋找破解困難的，例DE選擇了一個(gè)優(yōu)秀的密碼，那么黑客的破解工作將會(huì)在無休止的嘗試后終止。網(wǎng)絡(luò)攻擊手段中幾種常見的攻擊軟件：5.1工具一：PasswordCrackersPasswordCracker因其用途廣泛而成為黑客使用的主流工具。實(shí)施口令破譯攻擊分為兩步，第一步：攻擊者首先從被攻擊對(duì)象的計(jì)算機(jī)里讀出一個(gè)加密口令檔案(大部分系統(tǒng)，包括WindowsN及UNIX，他們把口令加密后儲(chǔ)存在系統(tǒng)內(nèi)，以便當(dāng)用戶登錄時(shí)認(rèn)證)；第二步：攻擊者以字典為輔助工具，用PasswordCrackers開始嘗試去破譯口令。其辦法是把字典的每一項(xiàng)然后兩者進(jìn)行比較。假若兩個(gè)加密口令相符，黑客就會(huì)知道該口令；假若兩者符，此工具繼續(xù)重復(fù)工作，直到字典最后一項(xiàng)。有時(shí)，黑客們甚至?xí)嚤槊孔帜傅慕M合。使用該種方法，口令破譯的速度與加密及比較的速度有關(guān)5.2工具二：L0phtCrackL0phtCrac由黑客組L0phtHeavyIndustrie撰寫，于1997年推出。它以共享軟件(Shareware)的形式傳播。它專門用于破譯WindowsN口令。此工具性能強(qiáng)大，又很容易使用，初學(xué)者只需少量指點(diǎn)便能破譯口令。1999年1月推出的L0phtCrack2.5版優(yōu)化了DES密碼程序，軟件性能也隨之提高(比舊版本快450%)。據(jù)稱，一臺(tái)450MHzPentiumII計(jì)算機(jī)一天內(nèi)就可破譯所有字母數(shù)混合的口令。L0phtCrack可通過多種渠道得到加密的口令檔案。只要黑客運(yùn)行一個(gè)包含L0phtCrac的程序，或從windowN系統(tǒng)管理員的備份軟盤里拷貝一個(gè)程序，就可以得到WindowsN系統(tǒng)里的SA數(shù)據(jù)庫。L0phtCrac最新版的GU可以從網(wǎng)絡(luò)中得到加密Windows口令。當(dāng)你登錄NT域，你的口令會(huì)被用哈希算法送到網(wǎng)絡(luò)上。L0phtCrac的內(nèi)置嗅探器很容易找到這個(gè)加密值并破譯它。

因?yàn)檫@個(gè)工具I從業(yè)人員也有極大用處，所以L0phtCrack2.0版以后開始收取注冊(cè)費(fèi)。最新版可以有15天免費(fèi)試用期，超過15日則收取100美金，并且有多個(gè)破譯程序以供選擇，有些收取費(fèi)用，有些可從自由軟件庫中得到。

L0phtCrac的防范

抵御口令破譯攻擊的最好方法是執(zhí)行強(qiáng)制的口令防范政策。例如要求用戶設(shè)想的口令很難被猜到。如口令應(yīng)該至少有8位，包括數(shù)字、字母及特殊字符(如@#$%)；口令應(yīng)不包括字典字。為了進(jìn)一步保障安全，一些口令自動(dòng)設(shè)置工具可以幫助用戶設(shè)計(jì)復(fù)雜的口令。

此外，你應(yīng)該時(shí)常用口令破譯工具檢查公司的口令是否安全。當(dāng)然，只有安全管理人員或是經(jīng)他們授權(quán)的人員才能允許使用該種工具，而且必須得到書面的批準(zhǔn)。同時(shí)你也應(yīng)當(dāng)事先對(duì)口令不幸被破譯的用戶做出解決方案，選擇向他發(fā)Email，還是親自拜訪用戶，向他解釋你的口令政策。這些問題在進(jìn)行口令評(píng)估

前應(yīng)考慮完全。5.3工具三：WarDialers

很多公司非常重視防火墻的安全。然而，這個(gè)堅(jiān)固的防線只封住了網(wǎng)絡(luò)的前門，但內(nèi)部網(wǎng)中不注冊(cè)的調(diào)制解調(diào)器卻向入侵者敞開了“后門”。WarDialer能迅速地找出這些調(diào)制解調(diào)器，隨即攻入網(wǎng)絡(luò)。因此，它成為一個(gè)非常受入侵者歡迎的工具。WarDiale因電影“WarGames”而一舉成名。它的攻擊原理非常簡單：不斷以順序或亂序撥打電話號(hào)碼，尋找調(diào)制解調(diào)器接通后熟悉的回應(yīng)音。一旦WarDialers找到一大堆能接通的調(diào)制解調(diào)器后，黑客們便撥號(hào)入網(wǎng)繼續(xù)尋找系統(tǒng)內(nèi)未加保護(hù)的登錄或容易猜測(cè)的口令。WarDialers首選攻擊對(duì)象是“沒有口令”的PC遠(yuǎn)程管理軟件。這些軟件通常是由最終用戶安裝用來遠(yuǎn)程訪問公司內(nèi)部系統(tǒng)的。這些P遠(yuǎn)程控制程序當(dāng)用到不安全的調(diào)制解調(diào)器時(shí)是異常脆弱的。

THC-Scan是TheHacker’sChoice(THC)Scanner的縮寫。這個(gè)WarDialers工具是由“vanHauser”撰寫的。它的功能非常齊全。THC-Scan2.0版于1998年圣誕節(jié)推出，THC-ScanToneloc(由“MinorThreat”及“MuchoMaas”撰寫)用途近似。THC-Sca與其他普通WarDialer工具不同，它能自動(dòng)檢測(cè)調(diào)制解調(diào)器的速度、數(shù)據(jù)位、校驗(yàn)位及停止位。此工具也嘗試去判斷被發(fā)現(xiàn)的計(jì)算機(jī)所使用的操作系統(tǒng)。而且，THC-Scan有能力確認(rèn)什么時(shí)候能再有撥號(hào)音，這樣，黑客們便可以不經(jīng)過你的PB就可以撥打免費(fèi)電話。WarDialer的防范

當(dāng)然，最有效防范措施就是使用安全的調(diào)制解調(diào)器。取消那些沒有用途的調(diào)制解調(diào)器。且用戶必須向IT部門注冊(cè)后才能使用調(diào)制解調(diào)器。對(duì)那些已注冊(cè)并

且只用作外發(fā)的調(diào)制解調(diào)器，就將公司PBX的權(quán)限調(diào)至只允許外撥。每個(gè)公司應(yīng)有嚴(yán)格的政策描述注冊(cè)的調(diào)制解調(diào)器并控PBX。由于市場零售店內(nèi)有使用方便、價(jià)格便宜的數(shù)字調(diào)制解調(diào)器出售,用戶也能把調(diào)制解調(diào)器安裝在只有數(shù)字線的PB上使用。

除此之外，你還要定期作滲透測(cè)試，找出電話交換器內(nèi)不合法選用一個(gè)好的工具去尋找與網(wǎng)絡(luò)連接的調(diào)制解調(diào)器。對(duì)于被發(fā)現(xiàn)、但未登記的調(diào)制解調(diào)器，要么拿掉它們，要么重新登記。5.4工具四：NetCatNetCa是一個(gè)用途廣泛TCUDP連接工具。它是由“Hobbit”于年為UNI編寫的，于1997年推出。對(duì)系統(tǒng)管理人員及網(wǎng)絡(luò)調(diào)試人員而言，它一個(gè)非常有用的工具。當(dāng)然，它也是一個(gè)攻擊網(wǎng)絡(luò)的強(qiáng)大工具。NetCat有許多功能，號(hào)稱黑客們的“瑞士軍刀”。與功能強(qiáng)大UNIX語言結(jié)合時(shí)，NetCa是制造網(wǎng)絡(luò)工具的基本組件。NetCa的基本程序可以以聆聽式和客戶式兩種方式運(yùn)行。當(dāng)以聆聽式運(yùn)行時(shí)，NetCa是一個(gè)服務(wù)器進(jìn)程等待與指定的TCUD端口連接。而以客戶式運(yùn)行時(shí)，NetCa能連接到戶指定的任何端口。NetCa在一個(gè)系統(tǒng)內(nèi)以聆聽式運(yùn)行，同時(shí)在另一系統(tǒng)內(nèi)以客戶式運(yùn)行時(shí)，NetCa可以發(fā)動(dòng)很多攻擊。它可以在任何端口提供后門登錄，如UD端口53從網(wǎng)絡(luò)包角度來分析，這種登錄被看成是一系列DNS問答，其實(shí)這是真正的后門登錄。當(dāng)在兩系統(tǒng)內(nèi)以兩種方式同時(shí)運(yùn)行時(shí)，NetCa可以在任何端口架構(gòu)快

捷、簡單的檔案傳輸機(jī)制。NetCa也可以是源路包。當(dāng)NetCa以客戶方式運(yùn)行時(shí)，它是個(gè)UD及端口掃描器。當(dāng)它發(fā)現(xiàn)系統(tǒng)內(nèi)有打開的端口時(shí)，NetCa口連接。NetCatN利用這一功能可以非常有效地向服務(wù)器Web服務(wù)器發(fā)動(dòng)攻擊。這種連接也可以因拒絕服務(wù)攻擊（Denial-of-serviceDoS）而被斷掉。有時(shí)黑客把自己的請(qǐng)求送到正當(dāng)?shù)姆?wù)器進(jìn)程前，編寫特別的程序用來尋找敏感數(shù)據(jù)（口令、銀行帳號(hào)等）。NetCa防范最佳防范NetCa的方法是“最小特權(quán)原理”（昵稱為“polyp”）（PrincipleofLeastPriviledges）。也就是說，不讓不需要的端口經(jīng)過防火墻，只有那些你允許通過的端口可以與指定的主機(jī)連接。例如：經(jīng)過防火墻的DNS查詢，只打開需要此服務(wù)的UDP53端口（通常是一個(gè)內(nèi)部DNS服務(wù)器把這些查詢轉(zhuǎn)出到Interne）t。這樣就可以防止攻擊者有機(jī)會(huì)把NetCa包送到你內(nèi)部網(wǎng)的任何主機(jī)上。至于那些可以被外部訪問的系統(tǒng)，在防范NetCa攻擊時(shí)，你要清楚這些機(jī)

器上已運(yùn)行的進(jìn)程，并且仔細(xì)調(diào)查那些不尋常進(jìn)程，因?yàn)樗鼈兛赡苁呛箝T聆聽者。你必須定期檢查端口，以便發(fā)現(xiàn)有沒有聆聽者侵入你的機(jī)器。

為了防止回放攻擊，所有應(yīng)用系統(tǒng)應(yīng)該為每條消息（包webcookies、表單或者是原始數(shù)據(jù)）蓋上時(shí)間印及順序號(hào)碼。所有消息的時(shí)間印及順序號(hào)應(yīng)經(jīng)過密碼完整性測(cè)試，確保沒有被修改或回放。5.5工具五：SessionHijacking

很多應(yīng)用系統(tǒng)采用命令行登錄是不安全的，尤其是telnet、rsh、rlogin及FT程式，它們?nèi)呛诳凸魧?duì)象。任何一個(gè)黑客在連接了客戶與服務(wù)器之間的網(wǎng)段后，可以用SessionHijackin工具接管會(huì)話。

當(dāng)一個(gè)合法用戶登錄到命令行進(jìn)行會(huì)話時(shí)，黑客可以找到此會(huì)話并馬上代表用戶接管此會(huì)話，重新連接客戶，這樣黑客便完全控制這個(gè)登錄，進(jìn)而黑客成為

合法用戶。而真正的用戶會(huì)簡單地認(rèn)為網(wǎng)絡(luò)出故障了，從而會(huì)斷掉會(huì)話。

黑客圈里有大量此種黑客工具，最新的有“Kra”于1998年11月編寫的Hunt還有“daemon9”編寫的juggernaut，它們均提供基本的SessionHijackinSessionHijackin防范

對(duì)于敏感的會(huì)話通信（如防火墻的遠(yuǎn)程管理、PKI或是其他重要部件的管理），選用一個(gè)有密碼認(rèn)證功能的工具把整個(gè)會(huì)話加密是一個(gè)好選擇。SecureShell(SSH)就提供這些功能。VP產(chǎn)品也提供認(rèn)證及會(huì)話加密。黑客沒有在SSH或VP工具里所用的鑰匙便無法進(jìn)行會(huì)話攻擊?？鞓返慕Y(jié)局讓我們回顧一下三個(gè)月前篇首所描述的攻擊情節(jié)。

當(dāng)你調(diào)查這次攻擊時(shí)，你發(fā)現(xiàn)入侵者使wardialin找出一個(gè)供用戶使用

的不受保護(hù)的調(diào)制解調(diào)器。隨后他接管了這個(gè)系統(tǒng)，并掃描……

介紹一下硬件防護(hù)技術(shù)：IDS

摘自百度詞條，因?yàn)閷懙亩绦【罚匀空獊砹恕?/p>

定義：ID最早出現(xiàn)在1980年4月。該年，JamesP.Anderso為美國空

軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》的技

術(shù)報(bào)告，在其中他提出了ID的概念。1980年代中期，ID逐漸發(fā)展成為入侵

檢測(cè)專家系統(tǒng)（IDES）。1990年，ID分化為基于網(wǎng)絡(luò)的ID和基于主機(jī)的IDS

后又出現(xiàn)分布式IDS。目前，ID發(fā)展迅速，已有人宣稱ID可以完全取代防火

墻。

我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門衛(wèi)，那么IDS就是這

幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)

時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。IDS入侵檢測(cè)系統(tǒng)以信息來源的不同和

檢測(cè)方法的差異分為幾類。根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS

根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和濫用入侵檢測(cè)。不同于防火墻，ID入侵

檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以

工作。因此，對(duì)IDS的部署，唯一的要求是：ID應(yīng)當(dāng)掛接在所有所關(guān)注流量都

必須流經(jīng)的鏈路上。在這里，必須流經(jīng)的鏈路上。在這里，所關(guān)注流指的是來自高危網(wǎng)絡(luò)區(qū)域的和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，ID在必須流經(jīng)的鏈路上。在這里，所 （1）盡可能靠近攻擊源 （2）盡可能靠近受保護(hù)資源 這些位置通常是： 服務(wù)器區(qū)域的交換機(jī)上 Interne接入路由器之后的第一臺(tái)交換機(jī)上

重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

由于入侵檢測(cè)系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域

上來。Venustech(啟明星辰）、InternetSecuritySystem（ISS）、思科、賽門鐵克等公司都推出了自己的產(chǎn)品。[編輯本段]系統(tǒng)組成

IET將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫（Eventdatabases）。

事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)

也可以只是簡單的報(bào)警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。[編輯本段]系統(tǒng)分類

根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。

系統(tǒng)通信協(xié)議ID系統(tǒng)內(nèi)部各組件之間需要通信，不同廠商的ID系統(tǒng)之間也需要通信。因此，有必要定義統(tǒng)一的協(xié)議。目前，IETF目前有一個(gè)專門的小組IntrusionDetectionWorkingGroup（IDWG）負(fù)責(zé)定義這種通信格式，稱作IntrusionDetectionExchangeFormat（IDEF），但還沒有統(tǒng)一的標(biāo)準(zhǔn)。

以下是設(shè)計(jì)通信協(xié)議時(shí)應(yīng)考慮的問題：

1.系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔?，因此必須要保持?jǐn)?shù)據(jù)的真實(shí)性和完整性。必須有一定的機(jī)制進(jìn)行通信雙方的身份驗(yàn)證和保密傳輸（同時(shí)防止主動(dòng)和被動(dòng)攻擊）。

2.通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外

措施保證系統(tǒng)正常工作。 入侵檢測(cè)技術(shù) 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類：一種基于標(biāo)志（signature-based），一種基于異常情況（anomaly-based）。 對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來說，首先要定義違背安全策略的事件的特征，

如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CP利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！陛^，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正常情況。 兩種檢測(cè)技術(shù)的方法、所得出的結(jié)論有非常大的差異。基于異常的檢測(cè)技

術(shù)的核心是維護(hù)一個(gè)知識(shí)庫。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫必須不斷更新?；诋惓５臋z測(cè)技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）甚至未發(fā)覺的攻擊。入侵檢測(cè)系統(tǒng)（Intrusion-detectionsystem，下稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，ID是一種積極主動(dòng)的技術(shù)。備注：IDS入侵檢測(cè)系統(tǒng)在安全標(biāo)準(zhǔn)中是B+而現(xiàn)在的網(wǎng)絡(luò)應(yīng)用比如WINDOWSUNI等X操作系統(tǒng)包括防火墻在安全標(biāo)準(zhǔn)中等級(jí)皆為C-

看下百zhidaoccc舉的這個(gè)例子吧，防火墻是規(guī)則性的安全防護(hù)措施就好像

小區(qū)里的保衛(wèi)按照定的規(guī)則辦事有小區(qū)出入證便可入內(nèi)而這里邊的最大問題是所定的規(guī)則合理么？其實(shí)大部分的黑客行為都是合法的就是鉆了防火墻的規(guī)則漏洞進(jìn)入網(wǎng)絡(luò)后進(jìn)行破壞的，而IDS則根B+等級(jí)的安全標(biāo)準(zhǔn)判斷你現(xiàn)

在的規(guī)則是否有不合理的地方-通過網(wǎng)絡(luò)檢測(cè)-而制定更為合理的建議

入侵檢測(cè)系統(tǒng)，英文簡寫為IDS，顧名思義，它是用來實(shí)時(shí)檢測(cè)攻擊行為以及報(bào)告攻擊的。如果把防火墻比作守衛(wèi)網(wǎng)絡(luò)大門的門衛(wèi)的話，那么入侵檢測(cè)系統(tǒng)（IDS）就是可以主動(dòng)尋找罪犯的巡警。因而尋求突破ID腳本注入、UR攻擊等有著非凡的意義，同時(shí)也是為了使IDSnort是很多人都在用的一IDS了，其實(shí)它也并不是萬能的，筆者下面就來談?wù)勍黄浦T如Snor這類基于網(wǎng)絡(luò)的ID的方法：多態(tài)UR技術(shù)。

提起多態(tài)二字，大家可能會(huì)聯(lián)想到編寫病毒技術(shù)中的“多態(tài)”、“變形”等加密技術(shù)，其實(shí)我這里所要講URL多態(tài)編碼技術(shù)和病毒的多態(tài)變形技術(shù)也有神似之處，就是用不同的表現(xiàn)形式來實(shí)現(xiàn)相同的目的。

對(duì)于同一URL，我們可以用不同形式的編碼來表示。IDS在實(shí)時(shí)檢測(cè)時(shí)，將它檢測(cè)到的數(shù)據(jù)與其本身規(guī)則集文件中規(guī)定為具有攻擊意圖的字符串進(jìn)行對(duì)比，如果相匹配的話，則說明系統(tǒng)正在受攻擊，從而阻止攻擊以及發(fā)出警報(bào)。因?yàn)閷?shí)現(xiàn)同一目的URL可以用不同的形式來表示，所以經(jīng)過變形編碼后URL可能就不IDS的規(guī)則集文件中，也就擾亂IDS的識(shí)別標(biāo)志分析引擎，從而就實(shí)現(xiàn)了突破、繞過ID的效果！

多態(tài)UR編碼技術(shù)有許多種，筆者在此介紹9種常用且有一定代表性的方法。為msadcs.dll的URL來作為例了便于講解，這msadcs.dll的URL來作為例“/msadc/msadcs”.dl已經(jīng)被收集到snor等各大ID的規(guī)則集文件中，因而們向目標(biāo)機(jī)器直接提交/msadc/msadcs.dl時(shí)都會(huì)被ID截獲并報(bào)警。

第一招：“/./”字符串插入法

鑒于“./”的特殊作用，我們可以把它插入U(xiǎn)RL中來實(shí)URL的變形對(duì)于/msadc/msadcs.dll，我們可以將它改寫為/././msadc/././msadcs.dll/./msadc/.//./msadcs.dl等形式來擾亂了ID的識(shí)別標(biāo)志分析引擎，實(shí)現(xiàn)了IDS的目的。而且改寫后編碼后URL與未修改時(shí)在訪問效果上是等效者曾經(jīng)通過實(shí)驗(yàn)表明這種方法可以繞過“/msadc/msadcs”.dl第二招：“00”ASCI碼

前段時(shí)間動(dòng)網(wǎng)上傳漏洞就是利用的這一特性，大家肯定對(duì)此很熟悉了。它的就是計(jì)算機(jī)處理字符串時(shí)在ASCII碼為00處自動(dòng)截?cái)?。我們就可?msadc/msadcs.dll改寫為/msadc/msadcs.dllIloveheikefangxianIloveheikefangxian，用Winhex

將.dl與Ilov之間的空格換為00的ASCI碼，保存后再用N配合管道符提交這樣在有IDS看來/msadc/msadcs.dllIloveheikefangxian并不與它的

文件中規(guī)定為具有攻擊意圖的字符串相同，從而它就會(huì)對(duì)攻擊者的行為無

衷。瞧！“計(jì)算機(jī)處理字符串時(shí)在ASCI碼為00處自動(dòng)截?cái)唷边@一原理的應(yīng)

廣泛??！從哲學(xué)上講，事物之間相互存在著聯(lián)系，我們應(yīng)該多思考，挖掘出內(nèi)

規(guī)律，這樣就會(huì)有新的發(fā)現(xiàn)。第三招：使用路徑分隔符“”

對(duì)于像微軟II這類We服務(wù)器，““也可以當(dāng)“/”一樣作為路徑分隔符。有些

IDS在設(shè)置規(guī)則集文件時(shí)并沒有考慮到非標(biāo)準(zhǔn)路徑分隔符“”。如果我們把

/msadc/msadcs.d改ll寫為寫為 寫為 就可以逃過snor的法眼snort的規(guī)則集文件里沒有規(guī)則集文件里沒有 msadcs.dll這一識(shí)別標(biāo)志。值得一提的是路徑分隔符“”還有個(gè)妙用，就是前段時(shí)間《黑客防線》上提到的“%5c”暴庫“%5c”就是“”的16進(jìn)制表現(xiàn)形式。

第四招：十六進(jìn)制編碼對(duì)于一個(gè)字符,我們可以用轉(zhuǎn)義符號(hào)“%”加上其十六進(jìn)制的ASCI碼來表示。比如/msadc/msadcs.dll中第一個(gè)字符“/”可以表示為%2F，接下來的字符可以用它們對(duì)應(yīng)的16進(jìn)制的ASCI碼結(jié)合“%”來表示，經(jīng)過此法編碼后的UR就不再是原先的模樣了，ID的規(guī)則集文件里可能沒有編碼后的字符串，從而就可以繞過IDS。但是這種方法對(duì)采用了HTT預(yù)處理技術(shù)的ID是無效的。

第五招.非法Unicod編碼

UTF-8編碼允許字符集包含多余256個(gè)字符，因此也就允許編碼位數(shù)多于8位?！?”字符的十六進(jìn)制ASCII碼是2F，用黑客動(dòng)畫吧數(shù)表示就是00101111。UTF-8格式中表示2F的標(biāo)準(zhǔn)方法仍然是2F，但是也可以使用多字UTF-8來表示2F。字符“/”可以像下表中所示使用單字節(jié)、雙字節(jié)、三字節(jié)的UTF-8編碼來表示：“/”字符表示方式黑客動(dòng)畫吧十六進(jìn)制單字節(jié)0xxxxxxx001011112F雙字節(jié)110xxxxx10xxxxxx1100000010101111C0AF三字節(jié)1110xxxx10xxxxxx10xxxxxx111000001000000010101111E080AF

按照此方法，我們可以對(duì)整個(gè)字符串都進(jìn)行相應(yīng)的編碼。雖然編碼后URL的最終指向的資源都相同，但它們的表達(dá)方式不同，IDS的規(guī)則集文件中就可能不存在此過濾字符串，從而就實(shí)現(xiàn)了突破ID的目的。第六招：多余編碼法

多余編碼又稱雙解碼。還記的2000-2001年II的Unicod解碼漏洞和雙解碼漏洞鬧得沸沸揚(yáng)揚(yáng)，那時(shí)有許多朋友稀里糊涂的以為Unicod解碼漏洞就是雙解碼漏洞，其實(shí)它們兩者是兩回事，前者的原理筆者已在上述的“非法Unicod編碼”中有所描述。而多余編碼就是指對(duì)字符進(jìn)行多次編碼。比如“/”字符可以用%2f表示，“%2f”中的“%”、“2”、“f”字符又都可以分別用它ASCII碼的十六進(jìn)制來表示，根據(jù)數(shù)學(xué)上的排列組合的知識(shí)可知，其編碼的形式有2的3次方，于是

“%2f”可以改寫為：“%25%32%66”、“%252f”等等來實(shí)現(xiàn)UR的多態(tài)，編碼后的字符串可能沒被收集ID的規(guī)則集文件中，從而可以騙過有些IDS。第七招.加入虛假路徑

URL中加入“../”字符串后，在該字符串后的目錄就沒有了意義，作廢了。因

此利用“../”字符串可以達(dá)到擾亂了識(shí)別標(biāo)志分析引擎、突ID的效果！第八招：插入多斜線我們可以使用多個(gè)“/”來代替單個(gè)的“/”。替代后的UR仍然能像原先一樣工作比如對(duì)/msadc/msadcs.dl的請(qǐng)求可以改為////msadc////msadcs.dll，經(jīng)筆者曾經(jīng)實(shí)驗(yàn)，這種方法可以繞過某些IDS。第九招：綜合多態(tài)編碼

聰明的你一看這個(gè)小標(biāo)題就知道了，所謂綜合，就是把以上介紹的幾種多態(tài)變形編碼技術(shù)結(jié)合起來使用，這樣的話效果會(huì)更好。后記：當(dāng)我剛才提到“00ASCII碼”以及非標(biāo)準(zhǔn)路徑分隔符“”時(shí)，大家可能感熟悉，因?yàn)檫@與前段時(shí)間流行的動(dòng)網(wǎng)上傳漏洞以及暴庫大法有著密切聯(lián)系客是門藝術(shù)，黑客講究的是靈感是思路，我們通過深入思考，舊的知識(shí)也可以

校園網(wǎng)絡(luò)安全建設(shè)的必要性：1校園網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)生命在于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

網(wǎng)絡(luò)的發(fā)展極大的改變了人們的生活方式，更是給人們帶來了無勁的便捷。我們教育也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著“校校桶”工程的深入開展，許多學(xué)校都投資建設(shè)了校園網(wǎng)絡(luò)并投入使用。校園網(wǎng)絡(luò)在我們校園管理、日常教學(xué)等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網(wǎng)絡(luò)的強(qiáng)大功能時(shí)，還應(yīng)當(dāng)清醒的看到，網(wǎng)絡(luò)世界并不是一方凈土。“網(wǎng)絡(luò)天空（）”、“高波（）”、“愛情后門（）”及“震蕩波（）”等病毒，使人們更加深刻的認(rèn)識(shí)到如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理員的一個(gè)重要的課題。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)

的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而造成的破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷2校園網(wǎng)概述

信息技術(shù)已引起了全面而深刻的社會(huì)變革，為此，世界各國政府都對(duì)教育的發(fā)展

給予了前所未有的關(guān)注，把信息化教育放到重要的位置上，紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的

問題，而且十分重要的是，學(xué)校應(yīng)該處于影響整個(gè)社會(huì)深刻變革的中心地位。因此校園網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)是非常必要的，也是可行的。主要表現(xiàn)在

1、當(dāng)前校園網(wǎng)絡(luò)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作階段，發(fā)展對(duì)學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。

2、教育信息量的不斷增多，使各級(jí)各類學(xué)校、家庭和教育管理部門對(duì)教育信息計(jì)算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。

3、我國各級(jí)教育研究部門、軟件開發(fā)單位、加血設(shè)備供應(yīng)商和各級(jí)學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并越來越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。4、現(xiàn)代教育改革的需要。

5、計(jì)算機(jī)技術(shù)的飛速發(fā)展，使響應(yīng)的產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識(shí)水平和經(jīng)濟(jì)實(shí)力的不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。3校園網(wǎng)絡(luò)安全概述

自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)的安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而

的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國FBI的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。所以，校園網(wǎng)絡(luò)可能存在安全威脅來自以下方面：

1、操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及WINDOWS桌面PC；

23、來自內(nèi)部的網(wǎng)絡(luò)用戶的安全威脅；

4、缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)路系統(tǒng)的安全性；

5、采用的TCP／P協(xié)議族軟件，本身缺乏安全性；

6、應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，

并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。4校園網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在大部門學(xué)校都建立了校園網(wǎng)絡(luò)并投入使這對(duì)加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起到了無法估量的作用，但在積極發(fā)展辦公自動(dòng)化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí)，網(wǎng)絡(luò)安全問題越來越成為一個(gè)非常嚴(yán)重的隱患，就像一科定時(shí)炸彈一樣，伸伸的埋在教育現(xiàn)代化的進(jìn)程中，如果這一隱患不除，那么也許有一天，學(xué)校信息平臺(tái)服務(wù)器遭到攻擊而停止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。比如2003年爆發(fā)的“震蕩波、沖擊波、FORM.A”等病毒，雖沒有造成很大的損失，但足以使認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。隱刺，如何在現(xiàn)有的條件下避免這樣的事情發(fā)生，搞好網(wǎng)絡(luò)安全工作已成為了一個(gè)重要的

課題。

7年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各個(gè)省市都把建設(shè)校園網(wǎng)絡(luò)做為現(xiàn)代教育的頭等大事來抓。

199月，教育部決定正式啟動(dòng)國家現(xiàn)在遠(yuǎn)程教育工程，清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。目前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手短。

各校在時(shí)間中逐漸意識(shí)到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度有一定的關(guān)系，教學(xué)手段對(duì)學(xué)校整體發(fā)展有著直接影響。

在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府的興建速度現(xiàn)代教育的實(shí)施程度與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計(jì)劃將全國122所以留大學(xué)與社會(huì)廣泛連接，構(gòu)建一個(gè)教育與研究的專用網(wǎng)絡(luò)；英國提出要在2000年成立網(wǎng)上工業(yè)大學(xué)，到2002年所有中小學(xué)、圖書館、學(xué)院和大學(xué)全部介入全國學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童嫩上網(wǎng)。

1996年，教育部提出要以全國0所中小學(xué)校作為試點(diǎn)，建立起各自的校園網(wǎng)絡(luò)。截至0年年初，教育部宣布有500多家已建立?？梢哉f，在國家政策扶持下，我國校園網(wǎng)建設(shè)取得了飛速的發(fā)展。但現(xiàn)實(shí)中，個(gè)地在建設(shè)校園網(wǎng)絡(luò)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項(xiàng)目交給一些實(shí)力較若或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護(hù)費(fèi)用偏高；還有的學(xué)校認(rèn)為校園網(wǎng)就是“一攬子”

計(jì)劃，忽視了后期維護(hù)和配套設(shè)施工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運(yùn)作，為了解決上述問題，在建網(wǎng)時(shí)應(yīng)注意：

1設(shè)計(jì)自身的校園網(wǎng)絡(luò)；

2、校園網(wǎng)絡(luò)建設(shè)是一個(gè)周期較長，規(guī)模龐大的系統(tǒng)工程，不能“一蹴而就”，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃；3、重視對(duì)教師的培訓(xùn)，避免因教室素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪費(fèi)。

隨著計(jì)算機(jī)忘了的廣泛使用和網(wǎng)絡(luò)之間的信息傳輸量的極具增長，一些機(jī)構(gòu)和部門在得意與網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞，或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，更改考試成績；更改四六級(jí)考試成績；更改考研成績；非法盜取學(xué)生招生分配機(jī)密等。

綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是公眾還是校園中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。5校園網(wǎng)絡(luò)安全威脅1、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌

入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類繁多，形形色色，但就已發(fā)現(xiàn)的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性

和激發(fā)性幾大特征。破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行，或者無限地占用系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞系統(tǒng)，導(dǎo)致系統(tǒng)的崩潰。傳染性是計(jì)算機(jī)病毒能通過自我復(fù)制傳染到內(nèi)存、甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在，而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計(jì)算機(jī)病毒長時(shí)間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計(jì)算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照設(shè)計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。計(jì)算機(jī)病毒的傳染性證明其具有傳播性，防止病毒的傳播，有先必須認(rèn)識(shí)其傳播途徑和傳播機(jī)理。計(jì)算機(jī)病毒最初傳播主要通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用傳播。這時(shí)候的病毒傳播還是線下傳播。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此，網(wǎng)絡(luò)利用軟件的破綻和研制時(shí)因疏忽而留下的“后門”大肆發(fā)起攻擊。2、網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。

廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全特點(diǎn)，重點(diǎn)介紹拒絕服務(wù)（Dos，）攻擊。之所以介紹拒絕服務(wù)攻擊，因?yàn)楣粼谛@網(wǎng)發(fā)生更為普遍。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大，為

務(wù)攻擊提供了天然的條件。加之學(xué)生的好奇心因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。

拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊變現(xiàn)為攻擊者向被攻擊的網(wǎng)絡(luò)大量發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。拒絕服務(wù)攻擊方法多樣。攻擊者在發(fā)起攻擊時(shí)，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用模式。究其手段來說，主要有以下幾種：1）死亡之包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以至癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，種方式已經(jīng)不再出現(xiàn)。2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝，導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。3）UDP洪水攻擊。攻擊利用n和等簡單服務(wù)，相互發(fā)送大量的數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。4）SY洪水攻擊。攻擊者通過向服務(wù)器發(fā)送連續(xù)SY握手信息來癱瘓服務(wù)器的攻擊方式。5）LAND攻擊該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息，以達(dá)到癱瘓主機(jī)的目的。6）Smur攻擊。攻擊者將報(bào)文地址設(shè)Ech地址，這Echo7地址就必須不斷的響應(yīng)該報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。