1、第1章 入侵檢測概述目 錄1.1 入侵檢測簡介1.2 入侵檢測系統(tǒng)在信息安全中的地位1.3 入侵檢測系統(tǒng)的基本原理與工作模式1.4 入侵檢測的分類1.5 常用入侵檢測方法1.1 入侵檢測簡介 因特網(wǎng)是全球信息共享的基礎(chǔ)設(shè)施，是一種開放和面向所有用戶的技術(shù)。一方面要保證信息方便、快捷的共享，另一方面要防止垃圾、惡意信息的傳播。 根據(jù)CNNIC在2007年1月的第19次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告統(tǒng)計，中國網(wǎng)民總?cè)藬?shù)為13700萬人。這期中僅有8.4%的網(wǎng)民對于網(wǎng)絡(luò)內(nèi)容的建康性非常滿意。也就是說有91.6%的中國網(wǎng)民(12550萬人)都或多或少的對于網(wǎng)絡(luò)的建康性不滿意。網(wǎng)上的入侵事件時有發(fā)生。1.

2、1 入侵檢測簡介 圖中所示為CERT/CC統(tǒng)計到的近年來信息安全事件分析，1998年到2003年安全事件增加了23倍(1998年為3734次， 2003年為127 529次)。1.1 入侵檢測簡介 Anderson在1980年給出了入侵的定義:入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠、不可用的故意行為。 本書中的入侵是個廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對計算機系統(tǒng)造成危害的行為。什么是入侵檢測 入侵檢測（Intrusion Detection）

3、，顧名思義，就是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的發(fā)展歷史1. 概念的誕生1980年4月，James P. Anderson為美國空軍做了一份題為計算機安全威脅監(jiān)控與監(jiān)視（Computer Security Threat Monitoring and Surveillance）的技術(shù)報告，第一次詳細(xì)闡述了入侵檢測的概念。他提出了一種對計算機系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為3種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入

4、侵檢測的開山之作。入侵檢測的發(fā)展歷史2. 模型的發(fā)展19841986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL（SRI公司計算機科學(xué)實驗室）的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為入侵檢測專家系統(tǒng)（IDES）。該模型由6個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。入侵檢測的發(fā)展歷史1988年，SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個IDES。入侵檢測的發(fā)展歷史3. 百花齊放的春天1

5、990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人開發(fā)出了NSM（Network Security Monitor）。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機。從此之后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，基于網(wǎng)絡(luò)的IDS和基于主機的IDS兩大陣營正式形成。入侵檢測的發(fā)展歷史3. 百花齊放的春天入侵檢測系統(tǒng)的作用 (1) 通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生；(2) 檢測其它安全措施未能阻止的攻擊或安全違規(guī)行為；(3) 檢測黑客在攻擊前的探測行為，

6、預(yù)先給管理員發(fā)出警報；(4) 報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅；(5) 提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，利于其進(jìn)行修補；(6) 在大型、復(fù)雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。1.2 入侵檢測系統(tǒng)在信息安全中的地位P2DR2安全模型與入侵檢測系統(tǒng)關(guān)系 目前普遍采用動態(tài)網(wǎng)絡(luò)安全理論來確保網(wǎng)絡(luò)系統(tǒng)的安全,這種理論就是基于P2DR2 安全模型的動態(tài)信息安全理論。P2DR2 模型是在整體的安全策略( Policy) 的控制和指導(dǎo)下,在綜合運用防護(hù)工具(Protection ,如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段) 的同時,利用檢測工具(Dete

7、ction ,如漏洞評估、入侵檢測等系統(tǒng)) 了解和評估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)捻憫?yīng)(Response) 將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)。傳統(tǒng)安全技術(shù)的局限性(1) 防火墻無法阻止內(nèi)部人員所做的攻擊防火墻保護(hù)的是網(wǎng)絡(luò)邊界安全，對在網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為無能為力，而據(jù)調(diào)查，網(wǎng)絡(luò)攻擊事件有80%以上是由內(nèi)部人員所為。(2) 防火墻對信息流的控制缺乏靈活性防火墻是依據(jù)管理員定義的過濾規(guī)則對進(jìn)出網(wǎng)絡(luò)的信息流進(jìn)行過濾和控制的。如果規(guī)則定義過于嚴(yán)格，則限制了網(wǎng)絡(luò)的互連互通；如果規(guī)則定義過于寬松，則又帶來了安全隱患。防火墻自身無法根據(jù)情況的變化

8、進(jìn)行自我調(diào)整。傳統(tǒng)安全技術(shù)的局限性 (3) 在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證在攻擊發(fā)生后，能夠進(jìn)行調(diào)查和取證，將罪犯繩之以法，是威懾網(wǎng)絡(luò)罪犯、確保網(wǎng)絡(luò)秩序的重要手段。防火墻由于自身的功能所限，難以識別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)的信息。1.3 入侵檢測系統(tǒng)的基本原理與工作模式1.3.1 入侵檢測系統(tǒng)的基本原理入侵檢測系統(tǒng)基本的工作原理如圖1.5所示。主要分為四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。1.3 入侵檢測系統(tǒng)的基本原理與工作模式(1) 數(shù)據(jù)收集：數(shù)據(jù)收集是入侵檢測的基礎(chǔ)，通過不同途徑收集的數(shù)據(jù)，很可能需要采用不同的方法進(jìn)行分析。目前的數(shù)據(jù)主要有主機日志、網(wǎng)絡(luò)數(shù)據(jù)包

9、、應(yīng)用程序數(shù)據(jù)、防火墻日志等。(2) 數(shù)據(jù)處理：數(shù)據(jù)收集過程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。為了全球下一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。(3) 數(shù)據(jù)分析：采用統(tǒng)計、智能算法行裝方法分析經(jīng)過初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。(4) 響應(yīng)處理：當(dāng)發(fā)現(xiàn)入侵時，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)及通知管理人員。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過電子郵件或電話通知等。入侵檢測系統(tǒng)的基本工作模式入侵檢測系統(tǒng)的基本工作模式為：(1)從系統(tǒng)的不同環(huán)節(jié)收集信息；(2)分析該信息，試圖尋找入侵活動的特征；(3)自動對檢測到的行為做出響應(yīng)；(4

10、)紀(jì)錄并報告檢測過程結(jié)果。如圖1.6所示。 入侵檢測的分類 入侵根據(jù)入侵檢測技術(shù)分類 根據(jù)入侵檢測系統(tǒng)所采用的技術(shù)可分為特征誤用檢測、異常檢測和協(xié)議分析三種。(1) 誤用檢測誤用檢測(Misuse detection) 又稱為特征檢測(Signature-based detection)，這一檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來。根據(jù)入侵檢測技術(shù)分類 (2) 異常檢測異常檢測(Anomaly detection)的假設(shè)是入

11、侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。根據(jù)入侵檢測技術(shù)分類 (3) 協(xié)議分析 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來的一種新的入侵檢測技術(shù)。它充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測某個攻擊特征是否存在，這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析大大減少了計算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個分析所有

12、的數(shù)據(jù)包。根據(jù)入侵檢測數(shù)據(jù)來源分類 (1) 基于主機的入侵檢測系統(tǒng)(HIDS，Host-based Intrusion Detection System) 基于主機的入侵檢測系統(tǒng)通常是安裝在被保護(hù)的主機上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時，系統(tǒng)就會向管理員報警，以便采取措施。根據(jù)入侵檢測數(shù)據(jù)來源分類 (3) 混合入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會構(gòu)架成一套完整立體的主動防御體系，綜合了基于

13、網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。根據(jù)入侵檢測數(shù)據(jù)來源分類 (4) 文件完整性檢查文件完整性檢查系統(tǒng)檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。根據(jù)入侵檢測體系結(jié)構(gòu)分類 (1) 集中式入侵檢測系統(tǒng)集中式IDS有多個分布在不同主機上的審計程序，僅有一個中央入侵檢測服務(wù)器。審計程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著服務(wù)器所承載的主機數(shù)量的增多，中央服務(wù)器進(jìn)行

14、分析處理的數(shù)量就會猛增，而且一旦服務(wù)器遭受攻擊，整個系統(tǒng)就會崩潰。 根據(jù)入侵檢測體系結(jié)構(gòu)分類 (2) 等級式（分層式）入侵檢測系統(tǒng) 等級式IDS(也叫分層式)中定義了若干個等級的監(jiān)控區(qū)域，每個IDS負(fù)責(zé)一個區(qū)域，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。等級式IDS也存在一些問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應(yīng)的調(diào)整；其次，這種結(jié)構(gòu)的IDS最后還是要將各地收集的結(jié)果傳送到最高級的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進(jìn)。根據(jù)入侵檢測體系結(jié)構(gòu)分類(3) 分布式（協(xié)作式）入侵檢測系統(tǒng) 分布式IDS是將中央檢測服務(wù)器的

15、任務(wù)分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C的某些活動。所以，其可伸縮性、安全性都等到了顯著的提高，并且與集中式IDS相比，分布式IDS對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。但維護(hù)成本卻提高了很多，并且增加了所監(jiān)控主機的工作負(fù)荷，如通信機制、審計開銷、蹤跡分析等。根據(jù)入侵檢測系統(tǒng)時效性分類根據(jù)時效性，入侵檢測系統(tǒng)可以分為脫機分析入侵檢測系統(tǒng)、聯(lián)機分析入侵檢測系統(tǒng)。(1) 脫機分析：就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生時進(jìn)行分析。如對日志的審核、對系統(tǒng)文件的完整性檢查等。(2) 聯(lián)機分析：就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時對其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行

16、為，這種方式一般用于對網(wǎng)絡(luò)數(shù)據(jù)的實時分析，并且對系統(tǒng)資源要求比較高。常用入侵檢測方法 (1) 誤用檢測誤用檢測對已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。常用入侵檢測方法 (2) 統(tǒng)計檢測統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。常用入侵檢測方法 (3) 專家系統(tǒng)用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對

17、有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。小 結(jié) 這里主要給大家講述了入侵檢測概述。 歡迎大家提問？第2章 常見的入侵攻擊方法與手段目 錄2.1 信息系統(tǒng)的漏洞2.2 信息系統(tǒng)的威脅2.3 攻擊概述2.4 典型的攻擊技術(shù)

18、與方法常見的入侵攻擊方法與手段 據(jù)CNCERT/CC統(tǒng)計，2007 年上半年，CNCERT/CC 共發(fā)現(xiàn)8361個境外控制服務(wù)器對我國大陸地區(qū)的主機進(jìn)行控制。美國計算機應(yīng)急響應(yīng)小組(CERT)發(fā)布的數(shù)據(jù)顯示，2006年安全研究人員共發(fā)現(xiàn)了8064個軟件漏洞，與2005年相比增加2074個。各種攻擊行為是當(dāng)前信息系統(tǒng)面臨的主要安全威脅。具不完全統(tǒng)計，全球目前大約有26萬個網(wǎng)站在介紹入侵與攻擊的方法。 2.1 信息系統(tǒng)的漏洞2.1.1 漏洞的概念 信息系統(tǒng)本身的漏洞(Vulnerability)或脆弱性是誘發(fā)入侵攻擊的主要原因，也是信息系統(tǒng)入侵攻擊產(chǎn)生和發(fā)展不可回避的根源性原因之一。 漏洞是在硬件

19、、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在Intel Pentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協(xié)議中認(rèn)證方式上的弱點，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當(dāng)?shù)膯栴}，這些都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。漏洞的具體表現(xiàn) 漏洞具體而言表現(xiàn)在以下幾個方面：1. 存儲介質(zhì)不安全數(shù)據(jù)或者說信息的存儲密度高，在一張磁盤或者一條磁帶上可以存儲大量信息，而此種存儲介質(zhì)極易被攜帶出去，并且容易被有意或者無意的損壞，不管哪種情況，都將造成

20、大量信息的丟失。2. 數(shù)據(jù)的可訪問性數(shù)據(jù)可以很容易地被拷貝下來而不留任何痕跡。一臺遠(yuǎn)程終端用戶可以訪問到系統(tǒng)中的 所有數(shù)據(jù)，并可以按他的需要將其拷貝、刪改或者破壞掉。 漏洞的具體表現(xiàn) 3. 信息的聚生性當(dāng)信息以分離的少量形式出現(xiàn)時，它的價值往往不大，但當(dāng)將大量信息聚集在一起時，則顯示出它的可比較性和重要性。而信息系統(tǒng)的根本特點之一，就是能將大量信息收集在一起，進(jìn)行自動、高效的處理，并進(jìn)而產(chǎn)生有價值的結(jié)果?？梢哉f，計算機信息系統(tǒng)內(nèi)部信息 的這種聚生性特點導(dǎo)致了其被竊取的可能性大為增加。4. 保密的困難性由于計算機系統(tǒng)內(nèi)的數(shù)據(jù)都是可用的，盡管可以利用許多方法在軟件內(nèi)設(shè)置一些關(guān)卡，但是對一個熟悉的人

21、或者擁有更高水平的人來說，下些功夫就可以突破這些關(guān)卡，因此要想徹底保密是非常困難的。漏洞的具體表現(xiàn) 5. 介質(zhì)的剩磁效應(yīng)存儲介質(zhì)中的信息有時是擦除不干凈或者說是不能完全擦除的，會留下可讀信息的痕跡，一旦被利用就會泄密。另外在大多數(shù)信息系統(tǒng)中，刪除文件僅僅是將文件的文件名刪除，并相應(yīng)地釋放存儲空間，而文件的真正內(nèi)容還原封不動地保留在存儲介質(zhì)上。利用這一特性竊取機密信息的案件已有發(fā)生。6. 電磁的泄露性計算機設(shè)備工作時能夠輻射出電磁波，任何人都可以借助儀器在一定的范圍內(nèi)收到它，尤其是利用高靈敏度儀器可以清晰地看到計算機正在處理的機密信息。漏洞的具體表現(xiàn) 7. 通信網(wǎng)絡(luò)的脆弱性連接信息系統(tǒng)的通信網(wǎng)絡(luò)

22、有不少弱點：通過未受保護(hù)的外部線路可以從外界訪問到系統(tǒng)內(nèi)部的數(shù)據(jù)；通信線路和網(wǎng)絡(luò)可能被搭線竊聽或者破壞等8. 軟件的漏洞在編寫許多計算機軟件的時候難免會出現(xiàn)一些漏洞等，特別是一些大型軟件，如Windows操作系統(tǒng)。經(jīng)常需要對Windows操作系統(tǒng)進(jìn)行打補丁，以減少漏洞。漏洞的分類 1. 按漏洞可能對系統(tǒng)造成的直接威脅可以大致分成以下幾類，事實上一個系統(tǒng)漏洞對安全造成的威脅遠(yuǎn)不限于它的直接可能性，如果攻擊者獲得了對系統(tǒng)的一般用戶訪問權(quán)限，他就極有可能再通過利用本地漏洞把自己升級為管理員權(quán)限：(1) 遠(yuǎn)程管理員權(quán)限攻擊者無須一個賬號登錄到本地直接獲得遠(yuǎn)程系統(tǒng)的管理員權(quán)限，通常通過攻擊以root身份

23、執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護(hù)進(jìn)程本身的邏輯缺陷。漏洞的分類 (2) 本地管理員權(quán)限攻擊者在已有一個本地賬號能夠登錄到系統(tǒng)的情況下，通過攻擊本地某些有缺陷的SUID程序，競爭條件等手段，得到系統(tǒng)的管理員權(quán)限。漏洞的分類 (3) 普通用戶訪問權(quán)限攻擊者利用服務(wù)器的漏洞，取得系統(tǒng)的普通用戶存取權(quán)限，對UNIX類系統(tǒng)通常是shell訪問權(quán)限，對Windows系統(tǒng)通常是cmd.exe的訪問權(quán)限，能夠以一般用戶的身份執(zhí)行程序，存取文件。攻擊者通常攻擊以非root身份運行的守護(hù)進(jìn)程，有缺陷的cgi程序等手段獲得這種訪問權(quán)限。漏洞的分類 (4) 權(quán)限提升 攻

24、擊者在本地通過攻擊某些有缺陷的SGID程序，把自己的權(quán)限提升到某個非root用戶的水平。獲得管理員權(quán)限可以看作是一種特殊的權(quán)限提升，只是因為威脅的大小不同而把它獨立出來。漏洞的分類 (5) 讀取受限文件 攻擊者通過利用某些漏洞，讀取系統(tǒng)中他應(yīng)該沒有權(quán)限的文件，這些文件通常是安全相關(guān)的。這些漏洞的存在可能是文件設(shè)置權(quán)限不正確，或者是特權(quán)進(jìn)程對文件的不正確處理和意外dump core使受限文件的一部份dump到了core文件中。漏洞的分類 (6) 遠(yuǎn)程拒絕服務(wù)攻擊者利用這類漏洞，無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。這類漏洞通常是系統(tǒng)本身或其守護(hù)進(jìn)程有缺陷或

25、設(shè)置不正確造成的。漏洞的分類 (7) 本地拒絕服務(wù)在攻擊者登錄到系統(tǒng)后，利用這類漏洞，可以使系統(tǒng)本身或應(yīng)用程序崩潰。這種漏洞主要因為是程序?qū)σ馔馇闆r的處理失誤，如寫臨時文件之前不檢查文件是否存在，盲目跟隨鏈接等。漏洞的分類 (8) 遠(yuǎn)程非授權(quán)文件存取利用這類漏洞，攻擊可以不經(jīng)授權(quán)地從遠(yuǎn)程存取系統(tǒng)的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的，它們對用戶輸入沒有做適當(dāng)?shù)暮戏ㄐ詸z查，使攻擊者通過構(gòu)造特別的輸入獲得對文件存取。漏洞的分類 (9) 口令恢復(fù)因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。漏洞的分類 (10

26、) 欺騙利用這類漏洞，攻擊者可以對目標(biāo)系統(tǒng)實施某種形式的欺騙。這通常是由于系統(tǒng)的實現(xiàn)上存在某些缺陷。漏洞的分類 (11) 服務(wù)器信息泄露利用這類漏洞，攻擊者可以收集到對于進(jìn)一步攻擊系統(tǒng)有用的信息。這類漏洞的產(chǎn)生主要是因為系統(tǒng)程序有缺陷，一般是對錯誤的不正確處理。(12) 其它雖然以上的幾種分類包括了絕大多數(shù)的漏洞情況，可還是有可能存在一些上面幾種類型無法描述的的漏洞，把它們歸到這里。漏洞的分類 按漏洞的成因 (1) 輸入驗證錯誤大多數(shù)的緩沖區(qū)溢出漏洞和CGI類漏洞都是由于未對用戶提供的輸入數(shù)據(jù)的合法性作適當(dāng)?shù)臋z查。(2) 訪問驗證錯誤漏洞的產(chǎn)生是由于程序的訪問驗證部分存在某些可利用的邏輯錯誤，

27、使繞過這種訪問控制成為可能。上面提到的那個早期AIX的rlogin漏洞就是這種典型。(3) 競爭條件漏洞的產(chǎn)生在于程序處理文件等實體時在時序和同步方面存在問題，這處理的過程中可能存在一個機會窗口使攻擊者能夠施以外來的影響。漏洞的分類 (4) 意外情況處置錯誤漏洞的產(chǎn)生在于程序在它的實現(xiàn)邏輯中沒有考慮到一些意外情況，而這些意外情況是應(yīng)該被考慮到的。(5) 設(shè)計錯誤這個類別是非常籠統(tǒng)的，嚴(yán)格來說，大多數(shù)的漏洞的存在都是設(shè)計錯誤，因此所有暫時無法放入到其他類別的漏洞，先放在這。(6) 配置錯誤漏洞的產(chǎn)生在于系統(tǒng)和應(yīng)用的配置有誤，或是軟件安裝在錯誤的地方，或是錯誤的配置參數(shù)，或是錯誤的訪問權(quán)限，策略錯

28、誤。(7) 環(huán)境錯誤由一些環(huán)境變量的錯誤或惡意設(shè)置造成的漏洞。如攻擊者可能通過重置shell的內(nèi)部分界符IFS，shell的轉(zhuǎn)義字符，或其它環(huán)境變量，導(dǎo)致有問題的特權(quán)程序去執(zhí)行攻擊者指定的程序。上面提到的RedHat Linux的dump程序漏洞就是這種類型。漏洞的分類 (9) 口令恢復(fù)因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。(10) 欺騙利用這類漏洞，攻擊者可以對目標(biāo)系統(tǒng)實施某種形式的欺騙。這通常是由于系統(tǒng)的實現(xiàn)上存在某些缺陷。(11) 服務(wù)器信息泄露利用這類漏洞，攻擊者可以收集到對于進(jìn)一步攻擊系統(tǒng)有用的信息。這

29、類漏洞的產(chǎn)生主要是因為系統(tǒng)程序有缺陷，一般是對錯誤的不正確處理。(12) 其它雖然以上的幾種分類包括了絕大多數(shù)的漏洞情況，可還是有可能存在一些上面幾種類型無法描述的的漏洞，把它們歸到這里。漏洞的分類 (2.2 信息系統(tǒng)的威脅總結(jié)起來，大致有下面幾種主要威脅：1非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；2人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失；3來自外部和內(nèi)部人員的惡意攻擊和入侵。2.2 信息系統(tǒng)的威脅具體來說，信息系統(tǒng)的安全主要面臨以下威脅：1. 計算機病毒伴隨著計算機技術(shù)的推廣普及，計算機病毒也在不斷地發(fā)展演變，其危害越來越大。目前的特點是：流行廣泛、種類繁多、潛伏期長、破壞力大

30、，對計算機信息系統(tǒng)的安全構(gòu)成了長期與現(xiàn)實的威脅。2. 黑客入侵通過技術(shù)手段，非法侵入計算機信息系統(tǒng)，獲取秘密信息或有選擇地破壞信息的有效性與完整性。這是當(dāng)前計算機信息系統(tǒng)所面臨的最大威脅，敵方攻擊和計算機犯罪主要采取這一類手法。3. 信號截取通過截收的手段，監(jiān)聽計算機、網(wǎng)絡(luò)設(shè)備的電磁信號和聲像外露信號來獲取秘密信息。2.2 信息系統(tǒng)的威脅4. 介質(zhì)失密通過竊取信息存儲介質(zhì)(如涉密的軟盤、硬盤、光盤、筆記本電腦等)來獲取秘密信息。5. 系統(tǒng)漏洞利用計算機操作系統(tǒng)、信息管理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等的安全漏洞，進(jìn)行竊密與破壞活動。各類軟件系統(tǒng)總是存在一些缺陷或漏洞，有些是疏忽造成的，有些則是軟件公司為了自便

31、而設(shè)置的，這些漏洞或“后門”一般不為人知，但一旦洞開，后果將不堪設(shè)想。2.2 信息系統(tǒng)的威脅6. 非法訪問外部人員利用非法手段進(jìn)入安全保密措施不強的計算機信息系統(tǒng)，對系統(tǒng)內(nèi)的信息進(jìn)行修改、破壞和竊取。7. 人為因素個別人員利用合法身份與國外的網(wǎng)絡(luò)非法鏈接，造成失泄密。8. 遙控設(shè)備敵方可以利用對方信息系統(tǒng)中某些設(shè)備里暗藏的遙控器材或芯片，刺探其計算機信息系統(tǒng)中的秘密信息，或擾亂系統(tǒng)的正常工作。2.3 攻擊概述2.3.1 黑客根據(jù)我國現(xiàn)行法律的有關(guān)規(guī)定，對黑客可以給出兩個定義：一是廣義的黑客，是指利用計算機技術(shù)，非法侵入或者擅自操作他人(包括國家機關(guān)、社會組織和個人，下同)計算機信息系統(tǒng)，對電子

32、信息交流安全具有不同程度的威脅性和危害性的人；二是狹義的黑客，是指利用計算機技術(shù)，非法侵入并擅自操作他人計算機信息系統(tǒng)，對系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干擾、破壞，或者非法侵入計算機信息系統(tǒng)并擅自利用系統(tǒng)資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。狹義的黑客包括在廣義的黑客之中，前者基本上是計算機犯罪的主體，后者的行為不一定都構(gòu)成犯罪。 攻擊的概念與分類 一種是主動攻擊，主動攻擊會造成網(wǎng)絡(luò)系統(tǒng)狀態(tài)和服務(wù)的改變。它以各種方式有選擇地破壞信息的有效性和完整性，這就是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者，積極侵犯者截取網(wǎng)上的信息包，并對其進(jìn)行更改使它失效，或者故意

33、添加一些有利于自己的信息，起到信息誤導(dǎo)的作用，或者登錄進(jìn)入系統(tǒng)使用并占用大量網(wǎng)絡(luò)資源，造成資源的消耗，損害合法用戶的利益，積極侵犯者的破壞作用最大。攻擊的概念與分類 另一種是被動攻擊，被動攻擊不直接改變網(wǎng)絡(luò)狀態(tài)和服務(wù)。它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息，這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的侵犯者被稱為消極侵犯者。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏攻擊的一般流程 1. 隱藏自己常見的攻擊者隱藏自身的方式有以下幾種：從已經(jīng)取得控制權(quán)的主機上通過telnet或rsh跳躍。 從windows主機上通過wingates等服務(wù)進(jìn)行跳躍。 利用

34、配置不當(dāng)?shù)拇矸?wù)器進(jìn)行跳躍。 利用電話交換技術(shù)先通過撥號找尋并連入某臺主機，然后通過這臺主機再連入internet來跳躍。攻擊的一般流程 2. 踩點或預(yù)攻擊探測 這步的主要任務(wù)是收集有關(guān)要攻擊目標(biāo)的有用的信息。這些信息包括目標(biāo)計算機的硬件信息、目標(biāo)計算機的用戶信息、存在的漏洞等。3. 采取攻擊行為 在攻擊探測中如果攻擊者發(fā)現(xiàn)目標(biāo)機器系統(tǒng)有可以被利用的漏洞或弱點，則立即采取攻擊行為。在此過程中具體采用的攻擊行為要視目標(biāo)機器系統(tǒng)而定，目前較流行的手段有暴力破解、緩沖區(qū)益出、跨站腳本、拒絕服務(wù)、欺騙等。攻擊的一般流程 4. 清除痕跡 攻擊者清除攻擊痕跡的方法主要是清除系統(tǒng)和服務(wù)日志。有些工具可以清

35、除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修復(fù)lastlog讓其仍然顯示該用戶的上次登陸信息。有時攻擊者會自己對日志文件進(jìn)行修改，不同的unix版本的日志存儲位置不同。攻擊的一般流程 12.4 典型的攻擊技術(shù)與方法2.4.1 預(yù)攻擊掃描探測預(yù)攻擊探測技術(shù)主要可以分為Ping掃描、操作系統(tǒng)識別掃描、端口掃描以及漏洞掃描等。Ping掃描用于發(fā)現(xiàn)攻擊目標(biāo)；操作系統(tǒng)識別掃描就是對目標(biāo)主機運行的操作系統(tǒng)進(jìn)行識別；而端口掃描用于查看攻擊目標(biāo)處于監(jiān)聽或運行狀態(tài)的服務(wù)；漏洞掃描就是掃描對方系統(tǒng)有什么漏洞可以利用。2.4 典型的攻擊技術(shù)與方法1.

36、 Ping 掃描Ping是一個DOS命令，它的用途就是用來檢測網(wǎng)絡(luò)的連通情況和分析網(wǎng)絡(luò)速度的。作為一個生活在網(wǎng)絡(luò)上的管理員或者黑客來說，Ping命令是第一個必須掌握的DOS命令，它所利用的原理是這樣的：網(wǎng)絡(luò)上的機器都有唯一確定的IP地址，給目標(biāo)IP地址發(fā)送一個數(shù)據(jù)包，對方就要返回一個同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包就可以確定目標(biāo)主機的存在，可以初步判斷目標(biāo)主機的操作系統(tǒng)、可以知道與對方計算機聯(lián)接的速度等。2.4 典型的攻擊技術(shù)與方法1. Ping 掃描。2.4 典型的攻擊技術(shù)與方法Ping命令使用的是網(wǎng)絡(luò)層的ICMP協(xié)議，現(xiàn)在Windows 下的Ping工具很多，比如Pinger、Ping

37、Sweep、WS_Ping ProPack等。如圖2.8所示為采用Pinger工具來對一個網(wǎng)段進(jìn)行探測的界面。2.4 典型的攻擊技術(shù)與方法2. 端口掃描端口掃描是一個用來查找網(wǎng)絡(luò)主機開放端口的軟件，正確使用它，能夠起到防止端口攻擊的作用。管理員們可用它來執(zhí)行端口掃描測試。對一臺主機進(jìn)行端口掃描也就意味著在目標(biāo)主機上掃描各種各樣的監(jiān)聽端口。它也是黑客的常用的方法。2.4 典型的攻擊技術(shù)與方法常用的端口掃描工具有很多，WinScan，SuperScan等。如圖所示為使用SuperScan進(jìn)行端口掃描。2.4 典型的攻擊技術(shù)與方法3. 操作系統(tǒng)識別掃描黑客入侵中比較關(guān)鍵的環(huán)節(jié)就是操作系統(tǒng)的識別與掃描

38、。識別出操作系統(tǒng)的類型后，就有得黑客實施針對性的攻擊。操作系統(tǒng)掃描的工具和方法有很多，如圖2.10所示為采用工具Winfingerprint掃描工具來掃描操作系統(tǒng)類型。2.4 典型的攻擊技術(shù)與方法4. 漏洞掃描漏洞掃描主要是掃描出操作系統(tǒng)或網(wǎng)絡(luò)當(dāng)中存在什么樣的漏洞，并給出詳細(xì)漏洞報告,引導(dǎo)用戶到相關(guān)站點下載最新系統(tǒng)漏洞補丁程序，確保系統(tǒng)永遠(yuǎn)的處在最安全的狀態(tài)下，以減少攻擊的可能性?，F(xiàn)在有許多漏洞掃描工具可用，比如流光，Nessus、SSS(Shadow Security Scanner)等。下面以SSS掃描工具為例介紹預(yù)攻擊探測技術(shù)。2.4 典型的攻擊技術(shù)與方法4. 漏洞掃描密碼破解攻擊 密碼

39、破解是用以描述在使用或不使用工具的情況下滲透網(wǎng)絡(luò)、系統(tǒng)或資源以解鎖用密碼保護(hù)的資源的一個術(shù)語。一般的密碼破解不一定涉及復(fù)雜的技術(shù)手段。有人甚至這樣形象地說過：“密碼破解與找一張寫有密碼的貼紙一樣簡單，而這張紙就貼在顯示器上或者藏在鍵盤底下。”根據(jù)不同情況運用不同的方法和一些小工具，密碼就可以迎刃而解。 常見的密碼破解有三種方式，即：字典攻擊、混合攻擊和暴力攻擊。常見的碼破解有賬戶密碼破解、文件密碼破解、郵箱密碼破解、通信信息密碼破解等。密碼破解工具也有許多，如LC5賬號破解、黑雨郵箱破解器、網(wǎng)絡(luò)嗅探器等。下面分別對這三種典型密碼破解工具做簡單介紹。密碼破解攻擊 1. LC5賬號密碼破解 密碼破

40、解攻擊 2. 黑雨郵箱破解器破解郵箱密碼密碼破解攻擊 3. 網(wǎng)絡(luò)嗅探器Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件，使用這類網(wǎng)絡(luò)嗅探器軟件可以嗅探到通過網(wǎng)絡(luò)上傳播的一些密碼。如圖2.14所示為使用Sniffer軟件嗅探到的網(wǎng)絡(luò)上的密碼。緩沖區(qū)溢出攻擊導(dǎo)致內(nèi)存緩沖區(qū)溢出問題的原因有很多，比如： (1) 使用非類型安全(non-type-safe)的語言如 C/C+ 等。 (2) 以不可靠的方式存取或者復(fù)制內(nèi)存緩沖區(qū)。 (3) 編譯器設(shè)置的內(nèi)存緩沖區(qū)太靠近關(guān)鍵數(shù)據(jù)結(jié)構(gòu)。 欺騙攻擊 1. IP欺騙攻擊 IP欺騙技術(shù)就是通過偽造某臺主機的IP地址騙取特權(quán)從而進(jìn)行攻擊的技術(shù)。許多應(yīng)用程序認(rèn)

41、為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。 欺騙攻擊 2. ARP欺騙攻擊地址解析協(xié)議（ARP，Address Resolution Protocol）是在僅知道主機的IP地址時確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應(yīng)用，其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址，但其也能在ATM和FDDI IP網(wǎng)絡(luò)中使用。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的

42、第二層）的MAC地址。拒絕服務(wù)攻擊 1. 拒絕服務(wù)攻擊概述拒絕服務(wù)(DoS，Denial of Service)攻擊即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。 拒絕服務(wù)攻擊 2. 拒絕服務(wù)攻擊原理(1) SYN Foold攻擊SYN Flood是當(dāng)前最流行的DoS與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。 拒絕服務(wù)攻擊 (

43、2) IP欺騙DOS攻擊 這種攻擊利用RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶(1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)，從而實現(xiàn)了對受害服務(wù)器的拒絕服務(wù)攻擊。拒絕服務(wù)攻擊 (3) UDP洪水攻擊攻擊者利用簡單的TCP/IP服務(wù)，如Chargen和Ech

44、o來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺主機，這樣就生成在兩臺主機之間存在很多的無用數(shù)據(jù)流，這些無用數(shù)據(jù)流就會導(dǎo)致帶寬的服務(wù)攻擊。拒絕服務(wù)攻擊 (4) Ping洪流攻擊由于在早期的階段，路由器對包的最大尺寸都有限制。許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機。

45、拒絕服務(wù)攻擊 (5) 淚滴(teardrop)攻擊 淚滴攻擊是利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。 拒絕服務(wù)攻擊 (6) Land攻擊 Land攻擊原理是：用一個特別打造的SYN包，它的原地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接。被攻擊的服務(wù)器每接收一個這樣的連接都將保留，直到超時，對Land攻

46、擊反應(yīng)不同，許多UNIX實現(xiàn)將崩潰，NT變的極其緩慢(大約持續(xù)5分鐘)。拒絕服務(wù)攻擊 (7) Smurf攻擊一個簡單的Smurf攻擊原理就是：通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包來淹沒受害主機的方式進(jìn)行。最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。它比ping of death洪水的流量高出1或2個數(shù)量級。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。(8) Fraggle攻擊 原理：Fraggle攻擊實際上就是對Smurf攻擊作了簡單的修改，使用的是UDP應(yīng)答消息而非ICMP。拒絕服務(wù)攻擊 (7) Sm

47、urf攻擊一個簡單的Smurf攻擊原理就是：通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包來淹沒受害主機的方式進(jìn)行。最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。它比ping of death洪水的流量高出1或2個數(shù)量級。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。(8) Fraggle攻擊 原理：Fraggle攻擊實際上就是對Smurf攻擊作了簡單的修改，使用的是UDP應(yīng)答消息而非ICMP。分布式拒絕服務(wù)攻擊DDoS DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也