1、精選優(yōu)質(zhì)文檔-傾情為你奉上 網(wǎng)絡(luò)安全技術(shù)課程報(bào)告 學(xué)院： 信息（軟件）學(xué)院 班級(jí)： 嵌入1112班 學(xué)號(hào)： 0 姓名： 葉子濠 題目： 網(wǎng)絡(luò)攻擊與防范 日期： 2014年05月18日 目錄1 計(jì)算機(jī)網(wǎng)絡(luò)安全簡介計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉

2、及的全部內(nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序?！庇捎诨ヂ?lián)網(wǎng)絡(luò)的發(fā)展，整個(gè)世界經(jīng)濟(jì)正在迅速地融為一體，而整個(gè)國家猶如一部巨大的網(wǎng)絡(luò)機(jī)器。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為國家的經(jīng)濟(jì)基礎(chǔ)和命脈。計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及，整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度越來越大。眾多的企業(yè)、組織、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。網(wǎng)絡(luò)已經(jīng)成為社會(huì)和經(jīng)濟(jì)發(fā)展的強(qiáng)大動(dòng)力，其地位越來越重要。伴隨著網(wǎng)

3、絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，其中安全問題尤為突出。了解網(wǎng)絡(luò)面臨的各種威脅，防范和消除這些威脅，實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全已經(jīng)成了網(wǎng)絡(luò)發(fā)展中最重要的事情。2網(wǎng)絡(luò)安全現(xiàn)狀與隱患網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為：計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動(dòng)已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)；網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁。隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但必須看到，緊隨信息化發(fā)展而來的網(wǎng)

4、絡(luò)安全問題日漸凸出，如果不很好地解決這個(gè)問題，必將阻礙信息化發(fā)展的進(jìn)程。據(jù)統(tǒng)計(jì)，目前全球平均每20秒就會(huì)發(fā)生一起Internet主機(jī)被入侵的事件，美國75%85%的網(wǎng)站抵擋不住黑客攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中5%的企業(yè)損失在5萬美元以上。而通過網(wǎng)絡(luò)傳播的病毒無論在其傳播速度、傳播范圍和破壞性方面都比單機(jī)病毒更令人色變。目前全球已發(fā)現(xiàn)病毒5萬余種，并仍以每天10余種的速度增長。有資料顯示，病毒所造成的損失占網(wǎng)絡(luò)經(jīng)濟(jì)損失的76%。中國工程院院士沈昌祥說：“構(gòu)筑信息與網(wǎng)絡(luò)安全防線事關(guān)重大、刻不容緩?！痹诟黝I(lǐng)域的計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)方面，無論是數(shù)量、手段，還是性質(zhì)、規(guī)模，已經(jīng)到了令人咋舌的

5、地步。據(jù)有關(guān)方面統(tǒng)計(jì)，目前美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失超過170億美元，德國、英國也均在數(shù)十億美元以上，法國為100億法郎，日本、新加坡問題也很嚴(yán)重。在國際刑法界列舉的現(xiàn)代社會(huì)新型犯罪排行榜上，計(jì)算機(jī)犯罪已名列榜首。2003年，CSI/FBI調(diào)查所接觸的524個(gè)組織中，有56%遇到電腦安全事件，其中38%遇到15起、16%以上遇到11起以上。因與互聯(lián)網(wǎng)連接而成為頻繁攻擊點(diǎn)的組織連續(xù)3年不斷增加；遭受拒絕服務(wù)攻擊（DoS）則從2000年的27%上升到2003年的42%。調(diào)查顯示，521個(gè)接受調(diào)查的組織中96%有網(wǎng)站，其中30%提供電子商務(wù)服務(wù)，這些網(wǎng)站在2003年1年中有20%發(fā)現(xiàn)未

6、經(jīng)許可入侵或誤用網(wǎng)站現(xiàn)象。更令人不安的是，有33%的組織說他們不知道自己的網(wǎng)站是否受到損害。據(jù)統(tǒng)計(jì)，全球平均每20s就發(fā)生1次網(wǎng)上入侵事件，黑客一旦找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會(huì)遭殃。2.1潛在威脅：對(duì)計(jì)算機(jī)信息構(gòu)成不安全的因素很多，其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個(gè)方面：（1）網(wǎng)絡(luò)安全的五個(gè)特征：保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或

7、供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力。可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段（2）計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性：互聯(lián)網(wǎng)是對(duì)全世界都開放的網(wǎng)絡(luò)，任何單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息，互聯(lián)網(wǎng)這種具有開放性、共享性、國際性的特點(diǎn)就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)。互聯(lián)網(wǎng)的不安全性主要有以下幾項(xiàng)：（3）網(wǎng)絡(luò)的開放性網(wǎng)絡(luò)的技術(shù)是全開放的，使

8、得網(wǎng)絡(luò)所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。（4）網(wǎng)絡(luò)的國際性意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國家的黑客，所以，網(wǎng)絡(luò)的安全面臨著國際化的挑戰(zhàn)。（5）網(wǎng)絡(luò)的自由性大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒有技術(shù)上的約束，用戶可以自由的上網(wǎng)，發(fā)布和獲取各類信息。所以，在網(wǎng)絡(luò)中存在著很多不可預(yù)知的因素，互聯(lián)網(wǎng)是對(duì)全世界開放的網(wǎng)絡(luò)，安全就成了一個(gè)大問題，為了保護(hù)信息的安全，就必須加強(qiáng)網(wǎng)絡(luò)安全性的建設(shè)。3網(wǎng)絡(luò)攻擊與防御技術(shù)黑客攻擊和網(wǎng)絡(luò)安全的是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全不研究黑客攻擊技術(shù)簡直是紙上談兵

9、，研究攻擊技術(shù)不研究網(wǎng)絡(luò)安全就是閉門造車。某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對(duì)系統(tǒng)進(jìn)行檢測，并對(duì)相關(guān)的漏洞采取措施。網(wǎng)絡(luò)攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊、商業(yè)或個(gè)人目的獲得秘密資料、民族仇恨、利用對(duì)方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的攻擊。因此，我們每一個(gè)人都有可能面臨著安全威脅，都有必要對(duì)網(wǎng)絡(luò)安全有所了解，并能夠處理一些安全方面的問題。3.1網(wǎng)絡(luò)攻擊的步驟：下面我們就來看一下那些攻擊者是如何找到你計(jì)算機(jī)中的安全漏洞的，并了解一下他們的攻擊手法。一次成功的攻擊，都可以歸

10、納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整，歸納起來就是“黑客攻擊五部曲”。（1）第一步：隱藏IP 這一步必須做，因?yàn)槿绻约旱娜肭值暮圹E被發(fā)現(xiàn)了，當(dāng)FBI找上門的時(shí)候就一切都晚了。通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱“肉雞”），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。比如攻擊A國的站點(diǎn)，一般選擇離A國很遠(yuǎn)的B國計(jì)算機(jī)作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。（2）第二步：踩點(diǎn)掃描踩點(diǎn)就是通過各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行

11、多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動(dòng)式策略和主動(dòng)式策略。（3）第三步：獲得系統(tǒng)或管理員權(quán)限 得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對(duì)其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限；通過管理漏洞獲得管理員權(quán)限；通過軟件漏洞得到系統(tǒng)權(quán)限；通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限；通過弱口令獲得遠(yuǎn)程管理員的用戶密碼；通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼；通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺(tái)機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)；通過欺騙獲得權(quán)

12、限以及其他有效的方法。（4）第四步：種植后門 為了保持長期對(duì)自己勝利果實(shí)的訪問權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問的后門。（5）第五步：在網(wǎng)絡(luò)中隱身 一次成功入侵之后，一般在對(duì)方的計(jì)算機(jī)上已經(jīng)存儲(chǔ)了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)，在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。3.2 攻擊者常用的攻擊工具：3.2.1 D.O.S攻擊工具： 如WinNuke通過發(fā)送OOB漏洞導(dǎo)致系統(tǒng)藍(lán)屏；Bonk通過發(fā)送大量偽造的UDP數(shù)據(jù)包導(dǎo)致系統(tǒng)重啟；TearDrop通過發(fā)送重疊的IP碎片導(dǎo)致系統(tǒng)的TCP/IP棧崩潰；WinArp通過發(fā)特殊數(shù)據(jù)包在對(duì)方機(jī)器上產(chǎn)生大量的窗口；Land通過發(fā)送大量

13、偽造源IP的基于SYN的TCP請(qǐng)求導(dǎo)致系統(tǒng)重啟動(dòng)；FluShot通過發(fā)送特定IP包導(dǎo)致系統(tǒng)凝固；Bloo通過發(fā)送大量的ICMP數(shù)據(jù)包導(dǎo)致系統(tǒng)變慢甚至凝固；PIMP通過IGMP漏洞導(dǎo)致系統(tǒng)藍(lán)屏甚至重新啟動(dòng)；Jolt通過大量偽造的ICMP和UDP導(dǎo)致系統(tǒng)變的非常慢甚至重新啟動(dòng)。 3.2.2 木馬程序：（1）BO2000(BackOrifice)：它是功能最全的TCPIP構(gòu)架的攻擊工具，可以搜集信息，執(zhí)行系統(tǒng)命令，重新設(shè)置機(jī)器，重新定向網(wǎng)絡(luò)的客戶端服務(wù)器應(yīng)用程序。BO2000支持多個(gè)網(wǎng)絡(luò)協(xié)議，它可以利用TCP或UDP來傳送，還可以用XOR加密算法或更高級(jí)的3DES加密算法加密。感染BO2000后機(jī)器

14、就完全在別人的控制之下，黑客成了超級(jí)用戶，你的所有操作都可由BO2000自帶的“秘密攝像機(jī)”錄制成“錄像帶”。 (2)“冰河”：冰河是一個(gè)國產(chǎn)木馬程序，具有簡單的中文使用界面，且只有少數(shù)流行的反病毒、防火墻才能查出冰河的存在。冰河的功能比起國外的木馬程序來一點(diǎn)也不遜色。 它可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化，可以完全模擬鍵盤及鼠標(biāo)輸入，即在使被控端屏幕變化和監(jiān)控端產(chǎn)生同步的同時(shí)，被監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在控端的屏幕。它可以記錄各種口令信息，包括開機(jī)口令、屏保口令、各種共享資源口令以及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息；它可以獲取系統(tǒng)信息；它還可以進(jìn)行注冊(cè)表操作，包括對(duì)主鍵的瀏覽、增刪、復(fù)

15、制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作。 (3) NetSpy：可以運(yùn)行于Windows9598NT2000等多種平臺(tái)上，它是一個(gè)基于TCPIP的簡單的文件傳送軟件，但實(shí)際上你可以將它看作一個(gè)沒有權(quán)限控制的增強(qiáng)型FTP服務(wù)器。通過它，攻擊者可以神不知鬼不覺地下載和上傳目標(biāo)機(jī)器上的任意文件，并可以執(zhí)行一些特殊的操作。 (4) Glacier：該程序可以自動(dòng)跟蹤目標(biāo)計(jì)算機(jī)的屏幕變化、獲取目標(biāo)計(jì)算機(jī)登錄口令及各種密碼類信息、獲取目標(biāo)計(jì)算機(jī)系統(tǒng)信息、限制目標(biāo)計(jì)算機(jī)系統(tǒng)功能、任意操作目標(biāo)計(jì)算機(jī)文件及目錄、遠(yuǎn)程關(guān)機(jī)、發(fā)送信息等多種監(jiān)控功能，類似于BO2000。 (5) KeyboardGhost：Win

16、dows系統(tǒng)是一個(gè)以消息循環(huán)(MessageLoop)為基礎(chǔ)的操作系統(tǒng)。系統(tǒng)的核心區(qū)保留了一定的字節(jié)作為鍵盤輸入的緩沖區(qū)，其數(shù)據(jù)結(jié)構(gòu)形式是隊(duì)列。鍵盤幽靈正是通過直接訪問這一隊(duì)列，使鍵盤上輸入你的電子郵箱、代理的賬號(hào)、密碼Password（顯示在屏幕上的是星號(hào)）得以記錄，一切涉及以星號(hào)形式顯示出來的密碼窗口的所有符號(hào)都會(huì)被記錄下來，并在系統(tǒng)根目錄下生成一文件名為KG.DAT的隱含文件。 (6) ExeBind：這個(gè)程序可以將指定的攻擊程序捆綁到任何一個(gè)廣為傳播的熱門軟件上，使宿主程序執(zhí)行時(shí)，寄生程序也在后臺(tái)被執(zhí)行，且支持多重捆綁。實(shí)際上是通過多次分割文件，多次從父進(jìn)程中調(diào)用子進(jìn)程來實(shí)現(xiàn)的。3.2

17、.3幾類攻擊與防御手法介紹攻擊類型服務(wù)拒絕攻擊定義服務(wù)拒絕攻擊企圖通過使你的服務(wù)計(jì)算機(jī)崩潰或把它壓跨來阻止你提供服務(wù)，服務(wù)拒絕攻擊是最容易實(shí)施的攻擊行為，方法概覽防御死亡之ping （ping of death）由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)?，F(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大

18、尺寸的包，并且大多數(shù)防火墻能夠自動(dòng)過濾這些攻擊，包括：從windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都講防止此類攻擊。 淚滴（teardrop）淚滴攻擊利用那些在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊偏移的偽造分段時(shí)將崩潰。服務(wù)器應(yīng)用最新的服務(wù)包，或

19、者在設(shè)置防火墻時(shí)對(duì)分段進(jìn)行重組，而不是轉(zhuǎn)發(fā)它們。UDP洪水（UDP flood）各種各樣的假冒攻擊利用簡單的TCP/IP服務(wù)，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。關(guān)掉不必要的TCP/IP服務(wù)，或者對(duì)防火墻進(jìn)行配置阻斷來自Internet的請(qǐng)求這些服務(wù)的UDP請(qǐng)求。SYN洪水（SYN flood）一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩

20、沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里，SYN洪水具有類似的影響。在防火墻上過濾來自同一主機(jī)的后續(xù)連接。 未來的SYN洪水令人擔(dān)憂，由于釋放洪水的并不尋求響應(yīng)，所以無法從一個(gè)簡單高容量的傳輸中鑒別出來。Land攻擊在Land攻擊中，一個(gè)特別打造的SYN包它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉，對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩

21、潰，NT變的極其緩慢（大約持續(xù)五分鐘）。打最新的補(bǔ)丁，或者在防火墻進(jìn)行配置，將那些在外部接口上入站的含有內(nèi)部源地址濾掉。（包括10域、127域、192.168域、172.16到172.31域）。Smurf攻擊一個(gè)簡單的smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求（ping）數(shù)據(jù)包來淹沒受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比pingof death洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。防御：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的廣播地

22、址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。Fraggle攻擊Fraggle攻擊對(duì)Smurf攻擊作了簡單的修改，使用的是UDP應(yīng)答消息而非ICMP。在防火墻上過濾掉UDP應(yīng)答消息。電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息?；蜗⒐舾黝惒僮飨到y(tǒng)上的許多服務(wù)都存在此類問題，由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，在收到畸形的信息可能會(huì)崩潰。打最新的服務(wù)補(bǔ)丁。攻擊類型利用型攻擊定義利用型攻擊是一類試圖直接對(duì)你的機(jī)器進(jìn)行

23、控制的攻擊，口令猜測一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務(wù)的可利用的用戶帳號(hào)，成功的口令猜測能提供對(duì)機(jī)器控制。 要選用難以猜測的口令，比如詞和標(biāo)點(diǎn)符號(hào)的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍。如果該服務(wù)支持鎖定策略，就進(jìn)行鎖定。特洛伊木馬特洛伊木馬是一種或是直接由一個(gè)黑客，或是通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。 最有效的一種叫做后門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用于控制系統(tǒng)的良性程序如

24、：netcat、VNC、pcAnywhere。理想的后門程序透明運(yùn)行。 避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。緩沖區(qū)溢出由于在很多的服務(wù)程序中大意的程序員使用象strcpy(),strcat()類似的不進(jìn)行有效位檢查的函數(shù)，最終可能導(dǎo)致惡意用戶編寫一小段利用程序來進(jìn)一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取。利用SafeLib、tripwire這樣的程序保護(hù)系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)。攻擊類型信息收集型攻擊定義信息收集型攻擊并不對(duì)目標(biāo)本身造成危害，如名所

25、示這類攻擊被用來為進(jìn)一步入侵提供有用的信息。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、利用信息服務(wù)。掃描技術(shù)地址掃描運(yùn)用ping這樣的程序探測目標(biāo)地址，對(duì)此作出響應(yīng)的表示其存在。 防御：在防火墻上過濾掉ICMP應(yīng)答消息。 許多防火墻能檢測到是否被掃描，并自動(dòng)阻斷掃描企圖。端口掃描常使用一些軟件，向大范圍的主機(jī)連接一系列的TCP端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開的端口。反響映射黑客向主機(jī)發(fā)送虛假消息，然后根據(jù)返回“hostunreachable”這一消息特征判斷出哪些主機(jī)是存在的。目前由于正常的掃描活動(dòng)容易被防火墻偵測到，黑客轉(zhuǎn)而使用不會(huì)觸發(fā)防火墻規(guī)則的常見消息類型，這些類型包括：RESET

26、消息、SYN-ACK消息、DNS響應(yīng)包。 NAT和非路由代理服務(wù)器能夠自動(dòng)抵御此類攻擊，也可以在防火墻上過濾“hostunreachable”ICMP應(yīng)答。慢速掃描由于一般掃描偵測器的實(shí)現(xiàn)是通過監(jiān)視某個(gè)時(shí)間楨里一臺(tái)特定主機(jī)發(fā)起的連接的數(shù)目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進(jìn)行掃描通過引誘服務(wù)來對(duì)慢速掃描進(jìn)行偵測。體系結(jié)構(gòu)探測黑客使用具有已知響應(yīng)類型的數(shù)據(jù)庫的自動(dòng)工具，對(duì)來自目標(biāo)主機(jī)的、對(duì)壞數(shù)據(jù)包傳送所作出的響應(yīng)進(jìn)行檢查。由于每種操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法（例NT和Solaris的TCP/IP堆棧具體實(shí)現(xiàn)有所不同），通過將此獨(dú)特的響應(yīng)與數(shù)據(jù)庫中的

27、已知響應(yīng)進(jìn)行對(duì)比，黑客經(jīng)常能夠確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。去掉或修改各種BANNer，包括操作系統(tǒng)和各種應(yīng)用服務(wù)的，阻斷用于識(shí)別的端口擾亂對(duì)方的攻擊計(jì)劃。利用信息服務(wù)DNS域轉(zhuǎn)換DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。如果你維護(hù)著一臺(tái)公共的DNS服務(wù)器，黑客只需實(shí)施一次域轉(zhuǎn)換操作就能得到你所有主機(jī)的名稱以及內(nèi)部IP地址。在防火墻處過濾掉域轉(zhuǎn)換請(qǐng)求。Finger服務(wù)黑客使用finger命令來刺探一臺(tái)finger服務(wù)器以獲取關(guān)于該系統(tǒng)的用戶的信息。關(guān)閉finger服務(wù)并記錄嘗試連接該服務(wù)的對(duì)方IP地址，或者在防火墻上進(jìn)行過濾。LDAP服務(wù)黑客使用