《網(wǎng)絡安全技術與實踐》第一篇網(wǎng)絡安全分析課件

《網(wǎng)絡安全技術與實踐》課件制作人：蔣亞軍網(wǎng)絡安全技術與實踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網(wǎng)絡安全技術與實踐》課件制作人：蔣亞軍網(wǎng)絡安全技術課程介紹課程的定位課程內容如何學習本門課程教學要求輔助教學材料課程介紹課程的定位第

一篇網(wǎng)絡安全分析第一篇網(wǎng)絡安全分析項目一認識網(wǎng)絡安全問題項目二網(wǎng)絡安全檢測第二篇網(wǎng)絡邊界安全項目一防火墻項目二入侵防護系統(tǒng)項目三統(tǒng)一安全網(wǎng)關項目四安全隔離網(wǎng)閘第一篇網(wǎng)絡安全分析第一篇網(wǎng)絡安全分析第

一篇網(wǎng)絡安全分析（續(xù)）第三篇內網(wǎng)安全項目一操作系統(tǒng)安全項目二內網(wǎng)應用服務安全項目三內網(wǎng)安全管理第四篇網(wǎng)絡安全設計項目一政務網(wǎng)安全設計項目二企業(yè)網(wǎng)安全設計項目三校園網(wǎng)安全設計第一篇網(wǎng)絡安全分析（續(xù)）第三篇內網(wǎng)安全

第一篇網(wǎng)絡安全分析項目一認識網(wǎng)絡安全問題項目二網(wǎng)絡安全檢測

第一篇網(wǎng)絡安全分析項目一認識網(wǎng)絡安全問題項目一認識網(wǎng)絡安全問題認識網(wǎng)絡安全問題的目的是什么？網(wǎng)絡安全的核心是什么？網(wǎng)絡安全問題與網(wǎng)絡安全技術的關系。項目一認識網(wǎng)絡安全問題認識網(wǎng)絡安全問題的目的是什么？項目一認識網(wǎng)絡安全問題【實施目標】

知識目標：了解病毒的類型、特點了解木馬的類型、功能特點熟悉網(wǎng)絡攻擊類型、特點了解流氓軟件類型、特點與危害項目一認識網(wǎng)絡安全問題【實施目標】項目一認識網(wǎng)絡安全問題技能目標：會典型病毒制作技術會典型木馬安裝、隱藏、啟動與清除會典型的網(wǎng)絡攻擊、檢測與防護技術會流氓軟件的編寫項目一認識網(wǎng)絡安全問題技能目標：項目一認識網(wǎng)絡安全問題【項目背景】某企業(yè)存在嚴重的網(wǎng)絡安全問題，如網(wǎng)絡病毒盛行，隨便用一個殺毒軟件可以查出很多病毒。網(wǎng)絡攻擊也時有發(fā)生，常常網(wǎng)絡出現(xiàn)阻塞，上網(wǎng)非常困難。企業(yè)員工缺乏自覺性，工作時間上網(wǎng)聊天，影響工作的效率。如果你是一位掌握了一般組網(wǎng)技術的工程技術人員，如果要想成為一名合格的網(wǎng)絡安全人員，承接上述項目，應該怎么辦？項目一認識網(wǎng)絡安全問題【項目背景】項目一認識網(wǎng)絡安全問題【需求分析】網(wǎng)絡安全是網(wǎng)絡技術的高端課程，課程的目標是培養(yǎng)計算機網(wǎng)絡技術技能中的網(wǎng)絡安全的能力。課程的教學內容與教學目標是源于對網(wǎng)絡技術專業(yè)相關工作崗位群中的“網(wǎng)管”、“安管”等工作崗位的網(wǎng)絡安全職業(yè)技能需求。該課程需要先學習計算機網(wǎng)絡基礎、網(wǎng)絡工程制圖、網(wǎng)絡互聯(lián)設備配置、服務器與網(wǎng)絡存儲、中小型網(wǎng)絡設計與集成、綜合布線實施與管理等課程。項目一認識網(wǎng)絡安全問題【需求分析】項目一認識網(wǎng)絡安全問題【預備知識】知識1計算機病毒知識2特洛伊木馬知識3網(wǎng)絡攻擊知識4流氓軟件項目一認識網(wǎng)絡安全問題【預備知識】項目一認識網(wǎng)絡安全問題知識1計算機病毒一、什么是計算機病毒？二、計算機病毒的類型

1.按病毒存在的媒體分類2.按病毒傳染的方式分類3.按病毒破壞的能力分類4.按照病毒攻擊的操作系統(tǒng)分類5.按照病毒的鏈結方式分類項目一認識網(wǎng)絡安全問題知識1計算機病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒三、現(xiàn)代計算機病毒的特點

易變性、人性化、

隱蔽性、

多樣性、平民化、可觸發(fā)性。項目一認識網(wǎng)絡安全問題知識1計算機病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒四、典型的計算機病毒1．文件型病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒2.宏病毒宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開放性即Word中提供的WordBASIC編程接口，專門制作的一個或多個具有病毒特點的宏的集合，這種病毒宏的集合影響到計算機使用，并能通過.DOC文檔及.DOT模板進行自我復制及傳播。項目一認識網(wǎng)絡安全問題知識1計算機病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒3.蠕蟲病毒蠕蟲是一種能傳播和拷貝其自身或某部分到其他計算機系統(tǒng)中，且能保住其原有功能，不需要宿主的病毒程序。一般認為蠕蟲是一種通過網(wǎng)絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等。項目一認識網(wǎng)絡安全問題知識1計算機病毒項目一認識網(wǎng)絡安全問題知識1計算機病毒五、計算機病毒的防護項目一認識網(wǎng)絡安全問題知識1計算機病毒計算機病毒的防護（單機）計算機病毒的防護（單機）計算機病毒的防護（系統(tǒng)）計算機病毒的防護（系統(tǒng)）【思考與練習】1. 什么是病毒？簡述計算機病毒的特征及危害。2. 簡述計算機病毒的分類及各自特點。3. 殺毒軟件的選購指標有哪些？目前常用的有哪些殺毒軟件？4. 怎樣預防和消除計算機網(wǎng)絡病毒？5.簡述檢測計算機病毒的常用方法。6.解析PE文件的格式，看看病毒如何嵌入？【思考與練習】1. 什么是病毒？簡述計算機病毒的特征及危害。項目一認識網(wǎng)絡安全問題知識2特洛伊木馬一、特洛伊木馬二、木馬的類型與功能遠程控制木馬、FTP木馬、密碼發(fā)送木馬、程序殺手木馬、鍵盤記錄木馬、反彈端口型木馬、破壞性質的木馬、DoS攻擊木馬、代理木馬。三、 木馬的安裝項目一認識網(wǎng)絡安全問題知識2特洛伊木馬項目一認識網(wǎng)絡安全問題知識2特洛伊木馬四、 木馬的隱藏與啟動

隱藏在應用程序

隱藏在配置文件中

隱藏在Win.ini文件中

偽裝在普通文件中

嵌入到注冊表中項目一認識網(wǎng)絡安全問題知識2特洛伊木馬知識2特洛伊木馬例：在System.ini中藏身Windows安裝目錄下的System.ini是木馬喜歡隱蔽的地方。打開這個文件可以發(fā)現(xiàn)在該文件的[boot]字段中，可能有如shell=Explorer.exefile.exe這樣的內容，如果有這樣的內容，那么這臺計算機就不幸中木馬了，這里的file.exe就是木馬的服務端程序！另外，在System.ini中的[386Enh]字段中，要注意檢查段內的“driver=路徑程序名”，這里也是隱藏木馬的地方。在System.ini中的[mic]、[drivers]、[drivers32]三個字段是加載驅動程序的地方，注意這些地方也是可以增添木馬程序的。知識2特洛伊木馬例：在System.ini中藏身知識2特洛伊木馬例：隱形于啟動組中有些木馬并不在乎自己的行蹤，它更注意的是能否自動加載到系統(tǒng)中，因為一旦木馬加載到系統(tǒng)中，清除是非常困難的。因此，啟動組也是木馬可以藏身的好地方。啟動組對應的文件夾是：C:windowsstartmenuprogramsstartup。在注冊表中的位置是：HKEY_CURRENT_SER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFoldersStartup="C:windowsstartmenuprogramsstartup"。因此，要注意經(jīng)常檢查啟動組。知識2特洛伊木馬例：隱形于啟動組中知識2特洛伊木馬例：隱蔽在Winstart.bat中木馬都喜歡能自動加載的地方。Winstart.bat就是一個能自動被Windows加載運行的文件，多數(shù)情況下由應用程序及Windows自動生成，在執(zhí)行W時，驅動程序加載之然后開始執(zhí)行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此種入的木馬完全可以像在Autoexec.bat中那樣被加載運行，因此要保證計算機系統(tǒng)安全，這些地方也是需要注意的。知識2特洛伊木馬例：隱蔽在Winstart.bat中知識2特洛伊木馬例：捆綁在啟動文件中應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。知識2特洛伊木馬例：捆綁在啟動文件中知識2特洛伊木馬例：設置在超級連接中木馬的主人在網(wǎng)頁上放置惡意代碼，引誘用戶點擊，用戶點擊被安裝和啟動木馬，這是隱藏和啟動木馬的最常見的發(fā)生。因此不要隨便點擊網(wǎng)頁上的鏈接。知識2特洛伊木馬例：設置在超級連接中知識2特洛伊木馬五、 木馬的欺騙木馬是一個軟件，它不會“長腿”自己跑到用戶的機器上，正像《特洛伊》劇情中描述的一樣，木馬往往是被攻擊者自己將其帶進計算機中的，因此，欺騙是木馬的必需具備的一個重要的特征。網(wǎng)絡上有許多木馬流行欺騙方法介紹，這里只挑選簡單的幾種。知識2特洛伊木馬五、 木馬的欺騙知識2特洛伊木馬1. 捆綁欺騙把木馬的服務端和某個游戲或者flash文件捆綁成一個文件通過QQ或郵件發(fā)給受害者，當受害者對這個游戲或者flash感興趣而下載到機器上，而且不幸打開了這個文件時，受害者會看到游戲程序正常打開，但卻不會發(fā)覺木馬程序已經(jīng)悄悄運行。這種方法有很強的迷惑作用，而且即使受害者重裝系統(tǒng)，只要用戶保存了那個捆綁文件，仍然有可能再次中招。知識2特洛伊木馬1. 捆綁欺騙知識2特洛伊木馬2. 郵件冒名欺騙現(xiàn)在上網(wǎng)的用戶很多，其中一些用戶的電腦知識并不豐富，防范意識也不強。當黑客用匿名郵件工具冒充用戶的好友或者大型網(wǎng)站、政府機構向目標主機用戶發(fā)送郵件，并將木馬程序作為附件附在這些郵件之上，而附件往往命名為調查問卷、注冊表單等，用戶就很可能在毫無戒心地情況下打開附件而受害。知識2特洛伊木馬2. 郵件冒名欺騙知識2特洛伊木馬3. 壓縮包偽裝這個方法比較簡單也比較實用。首先，將一個木馬和一個損壞的ZIP/RAR文件包（可自制）捆綁在一起，生成一個后綴名為.exe的文件。然后指定捆綁后的文件為ZIP/RAR文件圖標，這樣一來，除了后綴名與真正的ZIP/RAR文件不同，執(zhí)行起來卻和一般損壞的ZIP/RAR沒什么兩樣，根本不知道其實已經(jīng)有木馬在悄悄運行了。知識2特洛伊木馬3. 壓縮包偽裝知識2特洛伊木馬4. 網(wǎng)頁欺騙也許讀者在網(wǎng)上都有這樣的經(jīng)歷，當用戶在聊天的時候，常常有人會發(fā)給你一些陌生的網(wǎng)址，并且說明網(wǎng)站上有一些比較吸引人的東西或者談到的是熱門的話題，如果你被吸引，或者好奇心較強，點擊了這個鏈接，在網(wǎng)頁彈出的同時，用戶的機器就有可能被種下了木馬。知識2特洛伊木馬4. 網(wǎng)頁欺騙知識2特洛伊木馬5. 利用netsend命令欺騙Netsend命令是DOS提供的在局域網(wǎng)內發(fā)送消息的內部命令，命令格式如下：netsend[目標機的IP地址／目標機的機器名][消息內容]。因此如果用戶對此命令一無所知，則黑客就可以利用這個命令將自己偽裝成為系統(tǒng)用戶或網(wǎng)絡上的著名公司來發(fā)送欺騙性的消息，讓用戶跳進黑客設定好的圈套之中，這樣黑客就可以很容易地在目標機中種植木馬。知識2特洛伊木馬5. 利用netsend命令欺騙知識2特洛伊木馬六、 電腦中木馬的癥狀平時我們對自己硬盤幾百兆的空間變化是感覺不出來的，畢竟電腦運行時會產(chǎn)生許多臨時文件。但有一些現(xiàn)象會讓人警覺，如玩游戲時速度異常，會很快覺得自己的電腦感染了木馬。感覺電腦中了木馬時，一般應該馬上用殺毒軟件檢查一下，不管結果如何，就算是殺毒軟件告訴你，電腦內沒有木馬，也應該再認真作一次更深人的調查，確保自己機器安全。下面是一些中了木馬電腦后常見的癥狀。知識2特洛伊木馬六、 電腦中木馬的癥狀知識2特洛伊木馬瀏覽網(wǎng)站時，彈出一些廣告窗口是很正常的事情，可如果你根本沒有打開瀏覽器，瀏覽器就突然自己打開了，并且進入某個網(wǎng)站，這一般是中了木馬。當操作電腦時，突然彈出來一個警告框或者是詢問框，問一些你從來沒有在電腦上接觸過的間題，這也可能是中了木馬。知識2特洛伊木馬瀏覽網(wǎng)站時，彈出一些廣告窗口是很正常的事知識2特洛伊木馬如果分析Windows系統(tǒng)配置常常自動莫名其妙地被更改。比如屏保顯示的文字，時間和日期，聲音大小，鼠標的靈敏度，還有CD-ROM的自動運行配置等。硬盤老沒緣由地讀寫，U盤燈總是亮起，沒有動鼠標可動鼠在屏幕亂動，計算機被關閉或者重啟等。知識2特洛伊木馬如果分析Windows系統(tǒng)配置常常自動知識2特洛伊木馬

計算機突然變得很慢，發(fā)現(xiàn)電腦的某個進程占用過高的CPU資源。發(fā)現(xiàn)你的Windows系統(tǒng)配置老是自動莫名其妙地被更改，比如屏保顯示的文字、時間和日期，還有CD-ROM的自動運行配置等。知識2特洛伊木馬計算機突然變得很慢，發(fā)現(xiàn)電腦的某個進程知識2特洛伊木馬七、 木馬的檢測清除與防范對于一些常見的木馬，如SUB7、BO2000、冰河等，它們都采用打開TCP端口監(jiān)聽和通過注冊表啟動的工作方式，可以使用木馬克星之類的軟件來檢測這些木馬，因為這些檢測軟件都可以檢測TCP連結和注冊表等信息，然后，并通過手工方法來清除這類木馬。知識2特洛伊木馬七、 木馬的檢測清除與防范知識2特洛伊木馬1.木馬的檢測與清除發(fā)現(xiàn)電腦工作異常時，也可以使用netstat-a命令查看，通過這個命令可發(fā)現(xiàn)所有網(wǎng)絡連接，如果有攻擊者通過木馬連接，可以通過這些信息發(fā)現(xiàn)異常。通過端口掃描的方法也可以發(fā)現(xiàn)一些低級的木馬，特別是一些早期的木馬，它們捆綁的端口不能更改，通過掃描這些固定的端口可以方便地發(fā)現(xiàn)木馬是否植入。知識2特洛伊木馬1.木馬的檢測與清除木馬的檢測與清除可以通過進程管理軟件檢查系統(tǒng)進程來發(fā)現(xiàn)木馬。如果發(fā)現(xiàn)可疑進程就通過禁止運行來殺死它。發(fā)現(xiàn)那個進程可疑有一個笨的辦法，就是記住正常的進程，然后進行對比。如打開IE會出現(xiàn)進程：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE，如果出現(xiàn)了其他的沒有運行過的新進程就很可能是木馬，可尋跡清除。木馬的檢測與清除可以通過進程管理軟件檢查系統(tǒng)進程來發(fā)現(xiàn)木馬。木馬的檢測與清除特洛伊木馬入侵的一個明顯證據(jù)是受害人的機器上會意外地打開了某個端口，如果發(fā)現(xiàn)這個端口正好是某個特洛伊木馬常用的端口，木馬入侵的事實就可以肯定了，應當盡快切斷網(wǎng)絡連接，減少攻擊者進一步攻擊的機會?？纱蜷_任務管理器，關閉所有連接到Internet的程序，例如Email程序、IM程序，以及系統(tǒng)托盤上所有正在運行的程序。注意暫時不要啟動安全模式，啟動安全模式通常會阻止特洛伊木馬裝入內存，給檢測木馬帶來困難。木馬的檢測與清除特洛伊木馬入侵的一個明顯證據(jù)是受害人的機器上木馬的危害檢測檢測清除了特洛伊木馬之后，一個重要的問題就是要確定攻擊對于系統(tǒng)的危害程度，竊取了那些敏感信息？要得出確切的答案是很困難的，但我們可以通過下列方法來確定危害程度。木馬的危害檢測檢測清除了特洛伊木馬之后，一個重要的問題就是要木馬的危害檢測首先，可以確定特洛伊木馬存在的時間。木馬文件創(chuàng)建日期不一定值得完全信賴，但可作參考。用Windows資源管理器查看特洛伊木馬執(zhí)行文件的創(chuàng)建日期和最近訪問日期，如果執(zhí)行文件的創(chuàng)建日期很早，最近訪問日期卻很近，那么可以確定攻擊者利用該木馬已經(jīng)有相當長的時間了。木馬的危害檢測首先，可以確定特洛伊木馬存在的時間。木馬文件創(chuàng)木馬的危害檢測其次，是了解攻擊者在入侵機器之后有哪些行動？包括確認攻擊者訪問了那些機密數(shù)據(jù)庫，發(fā)送Email的IP，訪問其他什么遠程網(wǎng)絡或共享目錄，攻擊者是否獲取管理員權限。要仔細檢查被入侵的機器尋找線索，了解文件和程序的訪問日期是否在用戶的辦公時間之外？木馬的危害檢測其次，是了解攻擊者在入侵機器之后有哪些行動？包木馬的清除之后在安全性要求比較高的場合，任何未知的潛在風險都是不可忍受的，必要時應當調整管理員或網(wǎng)絡安全的負責人，徹底檢測整個網(wǎng)絡，修改所有密碼，在此基礎上還要進行后繼風險分析。對于被入侵的機器，要進行徹底的格式化，然后重裝系統(tǒng)。木馬的清除之后在安全性要求比較高的場合，任何未知的潛在風險都2.木馬的防范木馬防范有手工防范、軟件防范與設備防范。手工防范是指人工檢查木馬隱藏的位置，如：注冊表、啟動組、Win.ini、C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat等隱藏木馬的地方，然后作相應的處理。軟件防范是指安裝如：天網(wǎng)個人版防火墻、Norton個人防火墻、thecleaner、BlackICE、Lockdown、ZoneAlarm、Mcafee等桌面防火墻安全軟件。設備防范指安裝防火墻、防病毒網(wǎng)關、IDS、IPS與UTM等網(wǎng)絡安全設備。2.木馬的防范木馬防范有手工防范、軟件防范與設備防范。手工防防范安全意識不到不受信任的網(wǎng)站上下載軟件。不隨便點擊來歷不明郵件所帶的附件。及時安裝系統(tǒng)與應用程序的補丁程序。選用合適的正版殺毒軟件，并及時升級相關的病毒庫。為系統(tǒng)所有的用戶設置合理的用戶口令，并且及時更新。防范安全意識不到不受信任的網(wǎng)站上下載軟件。知識3網(wǎng)絡攻擊網(wǎng)絡攻擊就是黑客利用被攻擊方自身網(wǎng)絡系統(tǒng)存在的安全漏洞，使用網(wǎng)絡命令或者專用軟件對網(wǎng)絡實施的攻擊。攻擊可導致網(wǎng)絡癱瘓，也可破壞信息的傳播，還可使系統(tǒng)失去控制權。網(wǎng)絡攻擊與一般的病毒、木馬的攻擊是有差別的，它對于計算機的破壞性也是不相同的。病毒與木馬是利用系統(tǒng)以及系統(tǒng)中應用程序的缺陷實施對于系統(tǒng)的破壞，網(wǎng)絡只是其傳播的途徑，而網(wǎng)絡攻擊的特點是利用網(wǎng)絡的缺陷的實現(xiàn)對于網(wǎng)絡的攻擊，以破壞網(wǎng)絡中的信息的正常傳送為目的。知識3網(wǎng)絡攻擊網(wǎng)絡攻擊就是黑客利用被攻擊方自身網(wǎng)絡系統(tǒng)存知識3網(wǎng)絡攻擊一、網(wǎng)絡攻擊的類型常見的網(wǎng)絡攻擊分為拒絕服務攻擊Dos或者DDos、利用型攻擊、信息收集型和假消息攻擊攻擊四種。知識3網(wǎng)絡攻擊一、網(wǎng)絡攻擊的類型網(wǎng)絡攻擊的類型1.拒絕服務攻擊Dos（DenialOfService）拒絕服務攻擊是目前最常見的一種攻擊類型，是指攻擊者通過某種手段，利用網(wǎng)絡協(xié)議的缺陷，通過向目標主機發(fā)送一些信息，有意地造成計算機或網(wǎng)絡不能正常運轉從而不能向合法用戶提供所需服務或者使服務質量降低的一種破壞手段。拒絕服務攻擊是最容易實施的攻擊行為。網(wǎng)絡攻擊的類型1.拒絕服務攻擊Dos（DenialOfSYN洪水（SYNflood）SYN-Flood攻擊是當前網(wǎng)絡上最為常見的DDos攻擊，也是最經(jīng)典的拒絕服務攻擊。它利用TCP協(xié)議上的一個缺陷，通過向網(wǎng)絡服務所在端口發(fā)送大量偽造的源地址攻擊報文，造成目標服務器中的半開連接隊列被占滿，從而達到阻止其他合法用戶進行訪問的目的。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來也非常困難。這種攻擊的數(shù)據(jù)包特征是網(wǎng)絡中會出現(xiàn)大量的SYN包，但缺少三次握手的最后一步握手ACK回復。這種方法是比較初級DOS攻擊，隨著寬帶的不斷提高，計算機性能越來越好，現(xiàn)在的計算機有足夠的能力來對付這種攻擊，目前這種攻擊已經(jīng)比較少見了。SYN洪水（SYNflood）SYN-Floo死亡之ping（pingofdeath）

由于在早期的路由器對包的最大尺寸有限制，許多操作系統(tǒng)的TCP/IP棧在接收ICMP包時都規(guī)定不能超過64KB，并且在讀取了包的標題頭之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。如果黑客不斷的對某一臺主機發(fā)送Ping命令，當接收主機接收到過多ICMP包的數(shù)量使得計算機內存加載尺寸超過64K上限，就會因為內存分配錯誤而導致TCP/IP堆棧崩潰，致使被攻擊主機宕機。死亡之ping（pingofdeath）由于在早淚滴（teardrop）

淚滴攻擊是利用在TCP/IP堆棧中信任的IP碎片中包的標題頭所包含的信息來實現(xiàn)的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時將會崩潰。淚滴（teardrop）淚滴攻擊是利用在TCP/IP堆UDP洪水（UDPflood）UDPFlood是一種流量型DoS攻擊。它實施的原理比較簡單，常見的情況是大量的UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。一般100kbps流量的UDPFlood就可以將線路上的骨干設備例如防火墻打癱。UDP協(xié)議是一種無連接的服務，依靠開啟UDP的端口來提供服務，攻擊者可對開啟的端口發(fā)送大量偽造源IP地址的小UDP包進行攻擊。UDP洪水（UDPflood）UDPFlood是一Land攻擊

在Land攻擊中，一個特別打造的SYN包的原地址和目標地址都被設置成某一個服務器地址，此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時才斷掉，對Land攻擊反應不同，許多UNIX系統(tǒng)將崩潰，NT變的極其緩慢。Land攻擊在Land攻擊中，一個特別打造的SYN包的Smurf攻擊

一個簡單的smurf攻擊可通過使用將回復地址設置成受害網(wǎng)絡的廣播地址的ICMP應答請求（ping）的數(shù)據(jù)包來淹沒受害主機的方式進行，最終導致該網(wǎng)絡的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡阻塞。一般smurf攻擊要比pingofdeath洪水的流量高出一或兩個數(shù)量級。更加復雜的Smurf會將源地址改為第三方的受害者，最終導致第三方雪崩。Smurf攻擊一個簡單的smurf攻擊可通過使用將回復電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過配置一臺機器向某個IP地址的主機不斷大量地發(fā)送電子郵件，耗盡被攻擊者的網(wǎng)絡帶寬，使其不能上網(wǎng)為攻擊的目的。電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，通過畸形消息攻擊

各類操作系統(tǒng)上的許多服務都存在此類問題，由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰?；蜗⒐舾黝惒僮飨到y(tǒng)上的許多服務都存在此類問題，由DDos攻擊DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎之發(fā)展出來的一類攻擊。DoS攻擊是一對一攻擊，當攻擊目標主機的性能較差，如CPU速度較低，內存較小，網(wǎng)絡帶寬較窄時，其攻擊效果是比較明顯的。但隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內存也大大增加，網(wǎng)絡一般都是千兆級網(wǎng)絡時，使用DoS攻擊，即使每秒鐘發(fā)送3,000個攻擊包，對于可以處理10,000個攻擊包的網(wǎng)絡與主機來說也是沒有什么效果的。DDos攻擊DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎之發(fā)網(wǎng)絡攻擊的類型

2.利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊。如口令型攻擊、特洛伊木馬攻擊等等。網(wǎng)絡攻擊的類型2.利用型攻擊口令猜測

一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器的控制。這種攻擊的防御方法是要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果服務支持鎖

定策略，就要進行鎖定?？诹畈聹y一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBI特洛伊木馬

特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。最有效的一種木馬叫做后門程序，有良性與如惡性之分，惡性的有：NetBus、BackOrifice和BO2k等，良性的木馬程序有：netcat、VNC、pcAnywhere等。理想的后門程序可以透明運行。特洛伊木馬特洛伊木馬是一種或是直接由一個黑客，或是通過緩沖區(qū)溢出

由于在很多的服務程序中大意的程序員會使用象strcpy(),strcat()類似的不進行有效位檢查的函數(shù)，而這種安全漏洞很容易被惡意用戶利用，如編寫一小段程序安裝在緩沖區(qū)有效載荷末尾，當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，從而獲得系統(tǒng)的控制權。

防御方法：利用SafeLib、tripwire這樣的程序保護系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)，打上補丁。緩沖區(qū)溢出由于在很多的服務程序中大意的程序員會使用象s網(wǎng)絡攻擊的類型3. 信息收集型攻擊信息收集型攻擊并不對目標本身造成危害，這類攻擊主要用來為進一步入侵提供有用的信息。包括：掃描、體系結構刺探、信息服務利用。網(wǎng)絡攻擊的類型3. 信息收集型攻擊DNS域轉換DNS協(xié)議不對轉換或信息性的更新進行身份認證，這使得該協(xié)議可以被人以一些不同的方式加以利用，黑客只需實施一次域轉換操作就能得到所有主機的名稱以及內部IP地址。

防御方法：在防火墻處過濾掉域轉換請求。DNS域轉換DNS協(xié)議不對轉換或信息性的更新進行身份Finger服務

黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統(tǒng)的用戶的信息。

防御方法：關閉finger服務并記錄嘗試連接該服務的對方IP地址，或者在防火墻上進行過濾。Finger服務黑客使用finger命令來刺探一臺fiLDAP服務（目錄信息服務）

黑客使用LDAP協(xié)議窺探網(wǎng)絡內部的系統(tǒng)和它們的用戶的信息。

防御：對于刺探內部網(wǎng)絡的LDAP進行阻斷并記錄，如果在公共機器上提供LDAP服務，那么應把LDAP服務器放入DMZ。LDAP服務（目錄信息服務）黑客使用LDAP協(xié)議窺探網(wǎng)假消息攻擊用于攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件等。假消息攻擊用于攻擊目標配置不正確的消息，主要包括DNS高速緩存污染

由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。

防御方法：在防火墻上過濾入站的DNS更新，外部DNS服務器不應能更改你的內部服務器對內部機器的認識。DNS高速緩存污染由于DNS服務器與其他名稱服務器交換偽造電子郵件

由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的連接。

防御方法：使用PGP等安全工具并安裝電子郵件證書。偽造電子郵件由于SMTP并不對郵件的發(fā)送者的身份進行鑒二、典型網(wǎng)絡攻擊分析1.SYNFlood攻擊這種因為假連接而導致打開網(wǎng)頁緩慢或服務器無法響應情況，就是我們常說的服務器端SYNFlood攻擊。二、典型網(wǎng)絡攻擊分析1.SYNFlood攻擊SYNFlood攻擊SYNFlood攻擊的監(jiān)測對于SYNFlood攻擊，目前尚沒有很好的監(jiān)測和防御方法，不過如果系統(tǒng)管理員熟悉攻擊方法和系統(tǒng)架構，通過一系列的設定，也能從一定程度上降低被攻擊的負面影響。一般來說，如果一個主機的負荷突然升高甚至失去響應，使用Netstat命令看到大量SYN_RCVD的半連接（數(shù)量>500或占總連接數(shù)的10%以上），就基本可以認定，這個主機遭到了SYNFlood攻擊。

SYNFlood攻擊SYNFlood攻擊（取證）當遭到SYNFlood攻擊時，首先要做的就是取證，可通過Netstat–n–ptcp>resaul.txt記錄目前所有TCP連接狀態(tài)。當然，如果用嗅探器或者TcpDump之類的工具，可記錄TCPSYN報文的所有細節(jié)，將有助于追查和防御SYNFlood攻擊（取證）當遭到SYNFlood攻擊時SYNFlood攻擊（取證）需要記錄的字段有：源地址、IP首部中的標識、TCP首部中的序列號、TTL值等。這些信息雖然很可能是攻擊者偽造的，但有助于分析攻擊者的心理狀態(tài)和攻擊程序。特別是TTL值，如果大量的攻擊包來自不同的IP但TTL值卻相同，就可以推斷出攻擊者與我們之間的路由器距離，至少可以通過過濾特定TTL值的報文，降低攻擊的效果，保證TTL值與攻擊報文不同用戶的正常訪問。SYNFlood攻擊（取證）需要記錄的字段有：源地址、IPSYNFlood攻擊的防護

可縮短SYNTimeout時間和設置SYNCookie來進行SYN攻擊保護。對早期的Win系統(tǒng)，可修改注冊表來降低SYNFlood的危害，在注冊表中作如下改動：打開regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統(tǒng)受到SYN攻擊時采取的保護措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認值是0（沒有任何保護措施），推薦設置是2。SYNFlood攻擊的防護可縮短SYNTimeouSYNFlood攻擊防護技術

通過設置注冊表防御SYNFlood攻擊，采用的是“挨打”的策略，無論系統(tǒng)如何強大，始終不能光靠挨打支撐下去，除了挨打之外，“退讓”也是一種比較有效的方法。

如：更換自己的IP地址。SYNFlood攻擊防護技術SYNFlood攻擊防護采用網(wǎng)關型防火墻

客戶機并不直接與服務器建立連接，在TCP連接沒有完成時防火墻不會去向后臺的服務器建立新的TCP連接，所以攻擊者無法越過防火墻直接攻擊后臺服務器，只要防火墻本身做的足夠強壯，這種架構可以抵抗相當強度的SYNFlood攻擊。SYNFlood攻擊防護采用網(wǎng)關型防火墻2．ARP攻擊ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。ARP是用來完成IP地址轉換為第二層物理地址（即MAC地址）的協(xié)議。2．ARP攻擊ARP協(xié)議是“AddressResolutARP欺騙的過程如果要對目標A進行欺騙，假如主機A要去Ping主機C，主機A會通過ARP協(xié)議在網(wǎng)上發(fā)送請求數(shù)據(jù)報，以獲得主機C的MAC地址，這時只要設法在網(wǎng)上給主機A發(fā)送D的MAC地址，那么就可以使主機A把要發(fā)送到C的數(shù)據(jù)包，發(fā)送給D。如果主機接收了主機A傳送來的數(shù)據(jù)包而不處理，那么主機A到主機C的連接就會終止。要使這個游戲一直進行下去的話，就要求主機D必須成為一個中間角色，它要將主機A傳來的信息再傳送至主機C，即進行ARP的重定向。當然，主機D要實現(xiàn)重定向必須直接修改由主機A傳送了的數(shù)據(jù)包，然后再轉發(fā)給C，只有當C接收到的數(shù)據(jù)包并且完全認為是從主機A發(fā)送來的時候，這場游戲才可能延續(xù)。這樣做的結果是主機D可以完全掌握主機A與C之間的通信內容，