黑客入侵技術(shù)10/9/2022端口掃描網(wǎng)絡監(jiān)聽IP電子欺瞞拒絕服務攻擊特洛伊木馬E-mail炸彈緩沖區(qū)溢出10/9/2022黑客攻擊介紹黑客與入侵者黑客攻擊的目的黑客攻擊的三個階段黑客攻擊手段10/9/2022黑客與入侵者黑客的行為沒有惡意，而入侵者的行為具有惡意。在網(wǎng)絡世界里，要想?yún)^(qū)分開誰是真正意義上的黑客，誰是真正意義上的入侵者并不簡潔，因為有些人可能既是黑客，也是入侵者。而且在大多數(shù)人的眼里，黑客就是入侵者。所以，在以后的探討中不再區(qū)分黑客、入侵者，將他們視為同一類。10/9/2022黑客攻擊的目的

1．竊取信息2．獲得口令3．限制中間站點4．獲得超級用戶權(quán)限10/9/2022黑客攻擊的3個階段

1．確定目標

2．搜集與攻擊目標相關(guān)的信息，并找出系統(tǒng)的平安漏洞

3．實施攻擊10/9/2022黑客攻擊手段

1．黑客往往運用掃描器2．黑客常常利用一些別人運用過的并在平安領(lǐng)域廣為人知的技術(shù)和工具。3．黑客利用Internet站點上的有關(guān)文章4．黑客利用監(jiān)聽程序5．黑客利用網(wǎng)絡工具進行偵察6．黑客自己編寫工具10/9/20226.1端口掃描掃描器簡介掃描器是一種自動檢測遠程或本地主機平安性弱點的程序，通過運用它掃描TCP端口，并記錄反饋信息，可以不留痕跡地發(fā)覺遠程服務器中各種TCP端口的安排、供應的服務和它們的軟件版本。這就能直觀地或間接地了解到遠程主機存在的平安問題。10/9/2022掃描器簡介 掃描器和監(jiān)聽工具一樣，不同的人運用會有不同的結(jié)果：假如系統(tǒng)管理員運用了掃描器，它將干脆有助于加強系統(tǒng)平安性；而對于黑客來說，掃描器是他們進行攻擊入手點，不過，由于掃描器不能干脆攻擊網(wǎng)絡漏洞，所以黑客運用掃描器找出目標主機上各種各樣的平安漏洞后，利用其他方法進行惡意攻擊。10/9/2022（１）端口

很多TCP/IP程序可以通過Internet啟動，這些程序大都是面對客戶/服務器的程序。當inetd接收到一個連接懇求時，它便啟動一個服務，與懇求客戶服務的機器通訊。為簡化這一過程，每個應用程序（比如FTP、Telnet）被賜予一個唯一的地址，這個地址稱為端口。在一般的Internet服務器上都有數(shù)千個端口，為了簡便和高效，為每個指定端口都設計了一個標準的數(shù)據(jù)幀。換句話說，盡管系統(tǒng)管理員可以把服務綁定（bind）到他選定的端口上，但服務一般都被綁定到指定的端口上，它們被稱為公認端口。6.1.2端口掃描的原理10/9/2022（２）端口掃描簡介①端口掃描是一種獲得主機信息的好方法。②端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個特別簡便好用的工具。③假如掃描到一些標準端口之外的端口，系統(tǒng)管理員必需清晰這些端口供應了一些什么服務，是不是允許的。10/9/2022(3)端口掃描的原理 下面介紹入侵者們?nèi)绾卫蒙鲜鲞@些信息，來隱藏自己的端口掃描。1．TCPconnect()掃描2．TCPSYN掃描3．TCPFIN掃描4．Fragmentation掃描5．UDPrecfrom()和write()掃描6．ICMP掃描10/9/2022

6.1.3常用的掃描工具（１）網(wǎng)絡分析工具SATANSATAN是一個分析網(wǎng)絡的平安管理和測試、報告工具。它用來收集網(wǎng)絡上主機的很多信息，并可以識別且自動報告與網(wǎng)絡相關(guān)的平安問題。對所發(fā)覺的每種問題類型，SATAN都供應對這個問題的說明以及它可能對系統(tǒng)和網(wǎng)絡平安造成的影響的程度。通過所附的資料，它還說明如何處理這些問題。(掃描器的鼻祖，perl編寫）10/9/2022（２）網(wǎng)絡平安掃描器NSS網(wǎng)絡平安掃描器是一個特別隱藏的掃描器。假如你用流行的搜尋程序搜尋它，你所能發(fā)覺的入口不超過20個。這并非意味著NSS運用不廣泛，而是意味著多數(shù)載有該掃描器的FTP的站點處在暗處，或無法通過WWW搜尋器找到它們。(它最根本的價值在于它的速度，它運行速度特別快)10/9/2022（３）Strobe超級優(yōu)化TCP端口檢測程序Strobe是一個TCP端口掃描器。它具有在最大帶寬利用率和最小進程資源需求下，快速地定位和掃描一臺遠程目標主機或很多臺主機的全部TCP“監(jiān)聽”端口的實力。10/9/2022（4）InternetScannerInternetScanner可以說是可得到的最快和功能最全的平安掃描工具，用于UNIX和WindowsNT。它簡潔配置，掃描速度快，并且能產(chǎn)生綜合報告。10/9/2022（5）PortScannerPortScanner是一個運行于Windows95和WindowsNT上的端口掃描工具，其起先界面上顯示了兩個輸入框，上面的輸入框用于要掃描的起先主機IP地址，下面的輸入框用于輸入要掃描的結(jié)束主機IP地址。在這兩個IP地址之間的主機將被掃描。10/9/2022（6）Nmap世界上最受黑客歡迎的掃描器，能實現(xiàn)隱私掃描、動態(tài)延遲、重發(fā)與平行掃描、欺瞞掃描、端口過濾探測、RPC干脆掃描、分布掃描等，敏捷性特別好，功能強大10/9/20226.2網(wǎng)絡監(jiān)聽6.2.1網(wǎng)絡監(jiān)聽的原理當信息以明文的形式在網(wǎng)絡上傳播時，黑客就可以運用監(jiān)聽的方式來進行攻擊。只要將網(wǎng)絡接口設置為監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。監(jiān)聽只能是同一個網(wǎng)段的主機。這里同一個網(wǎng)段是指物理上的連接，因為不是同一個網(wǎng)段的數(shù)據(jù)包，在網(wǎng)關(guān)就被濾掉了，傳不到該網(wǎng)段來。網(wǎng)絡監(jiān)聽的最大用處是獲得用戶口令。10/9/20221．監(jiān)聽的可能性

網(wǎng)絡監(jiān)聽是黑客們常用的一種方法。

表6.1描述了在通常的一些傳輸介質(zhì)上，信息被監(jiān)聽的可能性。10/9/2022表6.1 不同的數(shù)據(jù)鏈路上傳輸?shù)男畔⒈槐O(jiān)聽的可能性數(shù)據(jù)鏈路監(jiān)聽的可能性說明Ethernet高Ethernet網(wǎng)是一個廣播型的網(wǎng)絡，Internet的大多數(shù)包監(jiān)聽事件都是一些運行在一臺計算機中的包監(jiān)聽程序的結(jié)果，這臺計算機和其他計算機，一個網(wǎng)關(guān)或者路由器形成一個以太網(wǎng)FDDIToken_ring高盡管令牌網(wǎng)內(nèi)在的并不是一個廣播網(wǎng)絡，但實際上，帶有令牌的那些包在傳輸過程中，平均也要經(jīng)過網(wǎng)絡上一半的計算機，高的數(shù)據(jù)傳輸率可以使監(jiān)聽變得困難電話線中等電話線可以被一些與電話公司協(xié)作的人或者—些有機會在物理上訪問到線路的人搭線竊聽，在微波線路上的信息也會被截獲；在實際中，高速的調(diào)制解調(diào)器將比低速的調(diào)制解調(diào)器搭線竊聽困難一些，因為高速調(diào)制解調(diào)器中引入了許多頻率IP通過有線電視高許多已經(jīng)開發(fā)出來的、使用有線電視信號發(fā)送IP數(shù)據(jù)包的系統(tǒng)都依靠RF調(diào)制解調(diào)器，RF調(diào)制解調(diào)器使用—個TV通道用于上行；一個用于下行；在這些線路上傳輸?shù)男畔]有加密，因此，可以被一些能在物理上訪問到TV電纜的人截聽微波和無線電高無線電本來就是一個廣播型的傳輸媒介，任何有一個無線電接收機的人都可以截獲那些傳輸?shù)男畔?0/9/20222．以太網(wǎng)中可以監(jiān)聽的緣由當主機工作在監(jiān)聽模式下，那么，無論數(shù)據(jù)包中的目標物理地址是什么，主機都將接收。假如一臺主機處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同—子網(wǎng)（運用了不同的掩碼、IP地址和網(wǎng)關(guān)）的主機的那些信息包。10/9/20223.監(jiān)聽模式的設置要使主機工作在監(jiān)聽模式下，須要向網(wǎng)絡接口發(fā)送I/O限制吩咐；將其設置為監(jiān)聽模式。在UNIX系統(tǒng)中，發(fā)送這些吩咐須要超級用戶的權(quán)限。在UNIX系統(tǒng)中一般用戶是不能進行網(wǎng)絡監(jiān)聽的。但是，在上網(wǎng)的Windows95中，則沒有這個限制。只要運行這一類的監(jiān)聽軟件即可，而且具有操作便利，對監(jiān)聽到信息的綜合實力強的特點。10/9/20224.常用的監(jiān)聽工具

（1）snoopsnoop可以截獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中的內(nèi)容。它運用網(wǎng)絡包過濾功能和緩沖技術(shù)來供應有效的對網(wǎng)絡通信過濾的功能。那些截獲的數(shù)據(jù)包中的信息可以在它們被截獲時顯示出來，也可以存儲在文件中，用于以后的檢查。Snoop可以以單行的形式只輸出數(shù)據(jù)包的總結(jié)信息，也可以以多行的形式對包中信息具體說明。10/9/2022(2)．Sniffit軟件Sniffit是由LawrenceBerkeley試驗室開發(fā)的，運行于Solaris、SGI和Linux等平臺的一種免費網(wǎng)絡監(jiān)聽軟件，具有功能強大且運用便利的特點。運用時，用戶可以選擇源、目標地址或地址集合，還可以選擇監(jiān)聽的端口、協(xié)議和網(wǎng)絡接口等。10/9/20226.2.2網(wǎng)絡監(jiān)聽的檢測1．簡潔的檢測方法（1）方法一對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。（2）方法二往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，會導致性能下降。通過比較前后該機器性能（icmpechodelay等方法）加以推斷。10/9/2022(3)方法三一個看起來可行的檢查監(jiān)聽程序的方法是搜尋全部主機上運行的進程。那些運用DOS、WindowsforWorkgroup或者Windows95的機器很難做到這一點。而運用UNIX和WindowsNT的機器可以很簡潔地得到當前進程的清單。10/9/2022方法四：另外一個方法就是去搜尋監(jiān)聽程序，入侵者很可能運用的是一個免費軟件。管理員就可以檢查書目，找出監(jiān)聽程序，但這很困難而且很費時間。在UNIX系統(tǒng)上，人們可能不得不自己編寫一個程序。另外，假如監(jiān)聽程序被換成另一個名字，管理員也不行能找到這個監(jiān)聽程序。用于要掃描的起先主機IP地址，下面的輸入框用于輸入要掃描的結(jié)束主機IP地址。在這兩個IP地址之間的主機將被掃描。10/9/20222．應付一個監(jiān)聽3．其他防范監(jiān)聽的方法4．ifstatus工具10/9/20226.3IP電子欺瞞6.3.1關(guān)于盜用IP地址惟一留下馬腳的是物理地址有可能被記錄下來，假如盜用的是另一網(wǎng)段—臺主機的IP地址，一般狀況下是不行的，因為在正常通信時，將收不到從對方返回的IP數(shù)據(jù)包。10/9/2022因此，只能盜用本網(wǎng)段的IP地址。緣由很簡潔：一個最簡潔的網(wǎng)段，也要有一個路由器作為出口。在路由器的配置中，要指定這個網(wǎng)段的網(wǎng)絡地址和掩碼。假如這個網(wǎng)段的主機運用了其他網(wǎng)段的IP地址，則路由器不認為這個IP地址是屬于它的網(wǎng)段，所以不給轉(zhuǎn)發(fā)。防止盜用IP地址可以綁定IP地址和物理地址。10/9/20226.3.2IP電子欺瞞的原理1．IP電子欺瞞過程IP電子欺瞞就是偽造某臺主機的IP地址的技術(shù)，通過IP地址的偽裝使得某臺主機能夠偽裝成另外的一臺主機。關(guān)于IP欺瞞技術(shù)有如下3個特征：（1）只有少數(shù)平臺能夠被這種技術(shù)攻擊。（2）這種技術(shù)出現(xiàn)的可能性比較小。（3）這種攻擊方法很簡潔防備。10/9/20222．可以實施欺瞞的對象（1）運行SunRPC的計算機。（2）基于IP地址認證的網(wǎng)絡服務。（3）MIT的X視窗系統(tǒng)。（4）供應R系列服務（如供應rlogin、rsh與rcp等服務）的計算機。10/9/20226.3.3IP電子欺瞞的實施1．關(guān)于信任關(guān)系幾乎全部的欺瞞都是基于某些計算機之間的相互信任的，黑客可以通過很多吩咐、端口掃描技術(shù)與監(jiān)聽技術(shù)來確定計算機之間的信任關(guān)系。10/9/20222.IP欺瞞技術(shù)攻擊方式（1）通過假冒為計算機B來欺瞞計算機A和C;（2）通過假冒為計算機A或C來欺瞞計算機B為了假冒C去欺瞞B，首先是攻擊原來的C，使得C癱瘓。10/9/20223．攻擊的幾個過程（1）使計算機C的網(wǎng)絡部分不能正常工作（2）找到計算機B發(fā)出的包的系列號（3）實施攻擊（4）建立一個更好的后門10/9/2022正常的三次握手10/9/2022黑客假冒計算機1須要猜出服務器的序列號10/9/20224.IP電子欺瞞出現(xiàn)的頻率較少，技術(shù)要求較高，須要精確猜出序列號,還須要知道某網(wǎng)絡內(nèi)部計算機之間的信任關(guān)系。一些專用的算法，技術(shù)得到應用，并產(chǎn)生了一些專用的c程序，如SEQ-scan,yaas等。當黑客得到這些c程序時，一切問題都將迎刃而解10/9/20226.3.4IP電子欺瞞的防范對于來自網(wǎng)絡外部的欺瞞來說，只要在路由器里面設置不允許聲稱來自內(nèi)部網(wǎng)絡的外部計算機的包通過就行了。當實施欺瞞的主機在同一網(wǎng)絡內(nèi)時，攻擊往往簡潔得手，并且不簡潔防范。10/9/20226.4拒絕服務攻擊6.4.1概述拒絕服務是一種簡潔的破壞性攻擊，攻擊者使得攻擊目標失去工作實力，使得系統(tǒng)不行訪問因而合法用戶不能剛好得到應得的服務或系統(tǒng)資源，它最本質(zhì)的特征是延長正常的應用服務的等待時間。

10/9/2022主要表現(xiàn)為以下幾個方面：（1）企圖湮滅一個網(wǎng)絡，中斷正常的網(wǎng)絡流量；（2）企圖破壞兩個機器之間的連接，禁止訪問可用服務；（3）企圖阻擋某一特定用戶對網(wǎng)絡上服務的訪問；（4）企圖破壞一個特定系統(tǒng)或使其不能供應正常訪問。10/9/2022 可見拒絕服務的目的不在于闖入一個站點或更改其數(shù)據(jù)，而在于使站點無法服務于合法的懇求。入侵者并不單純?yōu)榱诉M行拒絕服務而入侵，往往是為了完成其他的入侵而必需做準備。10/9/20226.4.2拒絕服務攻擊的原理1．拒絕服務模式（1）資源消耗型（2）配置修改型（3）物理破壞型（4）服務利用型

10/9/20222．拒絕服務常用方法（1）死亡之Ping原理：ping入侵是通過向目標端口發(fā)送大量超大尺寸的ICMP包來實現(xiàn)的。吩咐：ping–l65535<目標主機IP>防衛(wèi)：主要針對Windows95,Unix,Linux，Solaris等大多數(shù)操作系統(tǒng)都具有反抗實力（2）Teardrop原理：分片IP分組中指定一個非法偏移值，可能造成某些協(xié)議軟件出現(xiàn)緩沖區(qū)溢出漏洞，導致系統(tǒng)崩潰防衛(wèi)：windows應打上最新的Servicepack;在網(wǎng)絡邊界上禁止碎片包通過，或者用Iptables限定每秒通過的碎片包數(shù)目10/9/2022（3）Land：原理：發(fā)送源和目的地址一樣的分組防衛(wèi)：打最新的補丁，防火墻進行配置，過濾掉外口上收到的含有源地址是內(nèi)部地址的數(shù)據(jù)包（4）Smurf原理：綜合利用IPSpoof和ICMP回復方法，將目標主機的地址作為源地址發(fā)送ICMP廣播報文，導致整個網(wǎng)絡的全部計算機回復ICMP給目標主機防衛(wèi)：堵塞Smurf的源頭、中間站點、防止入侵目標站點（5）PingFlood原理：偽裝目標主機1的IP發(fā)送大量ICMPecho報文給目標主機2，使得目標主機2發(fā)出大量reply報文給目標主機1防衛(wèi)：進行包過濾，關(guān)閉ICMPechoreply10/9/2022（6）SYNFlood源代碼分析原理：發(fā)送大量TCPSYN報文給目標主機，目標主機維護大量的半連接防衛(wèi)：縮短Syntimeout時間；設置SynCookie,但是對變源Syn-flood攻擊無效,可以借助IDS產(chǎn)品。（7）UDPFlood原理：向目標主機的UDP端口發(fā)送大量占用帶寬的垃圾數(shù)據(jù)防衛(wèi)：防火墻通過避開數(shù)據(jù)報文的回應來削減服務器的負荷。可以借助IDS產(chǎn)品。10/9/20226.4.3分布式拒絕服務攻擊及其防范1．分布式拒絕服務概述分布式拒絕服務（DistributedDenialofService，DDoS）運用與一般DoS相同的方法，但是發(fā)起入侵的源是多個，其目的是攻陷因特網(wǎng)上的多個計算機系統(tǒng)。10/9/20222．被DDoS入侵時的現(xiàn)象（1）被入侵主機上有大量等待的TCP連接；（2）網(wǎng)絡中充斥著大量無用的數(shù)據(jù)包，源地址為假；（3）高流量無用數(shù)據(jù)造成網(wǎng)絡擁塞，受害主機無法正常和外界通信；（4）由于供應的服務或傳輸協(xié)議上的缺陷，受害主機反復接收高速發(fā)出的特定服務懇求，以至于無法剛好處理全部正常懇求；（5）嚴峻時會系統(tǒng)死機。10/9/20223．DDoS的體系結(jié)構(gòu)三層客戶/服務器結(jié)構(gòu)，最下層是執(zhí)行者，這一層由很多網(wǎng)絡主機構(gòu)成。攻擊服務器10/9/2022有很多無關(guān)主機可供支配是入侵的前提。黑客所做的其次步是在所侵入的主機上安裝入侵軟件。這樣，入侵軟件包括入侵服務器和入侵執(zhí)行器。設置入侵服務器的目的是隔離網(wǎng)絡聯(lián)系，愛護入侵者。執(zhí)行器都是一些相對簡潔的程序，它們可以連續(xù)向目標發(fā)出大量的連接懇求而不做任何回答。黑客所做的最終一步，就是從攻擊限制臺向各個攻擊服務器發(fā)出對特定目標的吩咐。4．DDoS工作原理分析10/9/20225．DDoS的防范（1）企業(yè)網(wǎng)管理人員主機上的設置關(guān)閉不必要的服務

限制同時打開的Syn半連接數(shù)目

縮短Syn半連接的timeout時間

剛好更新系統(tǒng)補丁網(wǎng)絡設備上的設置10/9/2022①

防火墻可以進行如下方面的設置：

禁止對主機的非開放服務的訪問；

限制同時打開的SYN最大連接數(shù)；

限制特定IP地址的訪問；

啟用防火墻的防DDoS的屬性；

嚴格限制對外開放的服務器的向外訪問。10/9/2022②路由器以Cisco路由器為例：運用CiscoExpressForwarding（CEF）；運用Unicastreverse-path；訪問限制列表（ACL）過濾；設置SYN數(shù)據(jù)包流量速率；升級版本過低的ISO；為路由器建立logserver。路由器是網(wǎng)絡的核心設備，進行設置修改時可以先不保存?？梢宰屵@個配置運行一段時間，覺得可行后再保存配置到startupconfig10/9/2022（2）ISP/ICP管理員（3）骨干網(wǎng)絡運營商10/9/20226.5特洛伊木馬

特洛伊木馬程序并不是一種病毒，因為它不具有病毒的可傳染性、自我復制實力等特性，但是特洛伊木馬程序具有很大的破壞力和危害性。6.5.1特洛伊木馬程序簡介特洛伊木馬程序是指任何供應了隱藏的與用戶不希望的功能的程序。10/9/20226.5.2特洛伊木馬程序的位置和危急級別特洛伊木馬程序代表了—種很高級別的威逼危急，主要是有以下幾個緣由。（1）特洛伊木馬程序很難被發(fā)覺。（2）在很多狀況下，特洛伊木馬程序是在二進制代碼中發(fā)覺的，它們大多以無法閱讀的形式存在。（3）特洛伊木馬程序可以作用于很多機器中。10/9/20226.5.3特洛伊木馬的類型1．遠程訪問型特洛伊木馬2．密碼發(fā)送型特洛伊木馬3．鍵盤記錄型特洛伊木馬4．毀壞型特洛伊木馬5．FTP型特洛伊木馬10/9/20226.5.4特洛伊木馬的檢測若要檢測在文件或操作系統(tǒng)中特洛伊木馬程序是否存在，首先用戶必需對所用的操作系統(tǒng)有比較深化的相識，此外還應對加密學問和一些加密算法有確定的了解。1．檢測的基本方法文件完整性檢查器，檢查文件的大小變更2．檢測工具MD510/9/20226.5.5特洛伊木馬的防范

1．特洛伊木馬的基本工作原理特洛伊木馬程序一般存在于注冊表、win.ini文件或system.ini文件中，因為系統(tǒng)啟動的時候須要裝載這3個文件。10/9/2022下面從幾個方面具體說明特洛伊木馬程序是怎樣自動加載的。在win.ini文件中的[WINDOWS]下面，“run=”和“l(fā)oad=”是可能加載特洛伊木馬程序的途徑。在system.ini文件中，“shell=explorer.exe程序名”，那么后面跟著的那個程序就是特洛伊木馬程序。10/9/20222．清除特洛伊木馬的一般方法假如發(fā)覺有特洛伊木馬存在，首要的一點是馬上將計算機與網(wǎng)絡斷開，首先編輯win.ini文件，接下來編輯system.ini文件，對注冊表進行編輯。10/9/2022在應付特洛伊木馬程序方面，綜合起來，有以下幾種方法和措施。（1）提高防范意識。（2）多讀readme.txt文件。（3）運用殺毒軟件。（4）馬上掛斷。（5）視察書目。（6）在刪除特洛伊木馬之前，最重要的一項工作是備份文件和注冊表。10/9/20226.6E-mail炸彈6.6.1E-mail炸彈的原理E-mail炸彈是一種在網(wǎng)絡上的惡意入侵行為，在短時間內(nèi)連續(xù)寄發(fā)大量郵件給同一收件人，使得收件人的信箱容量不堪負荷而無法收發(fā)郵件。郵件炸彈與所謂的垃圾郵件（Spammail）不同，垃圾郵件是將同一封郵件一次寄給多個收件人，并不會對收件人的信箱造成損害。10/9/20226.6.2郵件炸彈的防范為了有效地防范郵件炸彈的入侵，用戶在平常應當留意以下幾點。（1）不要將自己的郵箱地址到處傳播，特殊是申請上網(wǎng)賬號時ISP送的電子信箱，那是按字節(jié)收費的。（2）最好用pop3收信，可以用Outlook或Foxmail等收信工具收取E-mail。（3）當有人不停地轟炸信箱時，可以先打開一封信，看清對方地址，然后在收件工具的過濾器中選擇不再接收這個地址的信，干脆從服務器刪除。10/9/2022（4）在收信時，一旦望見郵件列表的數(shù)量超過平常正常郵件數(shù)量的很多倍，應當立刻停止下載郵件，然后再從服務器刪除炸彈郵件。（5）不要認為郵件發(fā)送有回復功能，就可以報復發(fā)炸彈的人，發(fā)件人有可能是用的假地址發(fā)信，這個地址或許填得和收件人地址相同。（6）可以用一些工具軟件來防止郵件炸彈，下面介紹常見的防范郵件炸彈工具軟件。10/9/2022①BombSquad②E-mailChomper③Spammerslammer④BounceSpamMail⑤SpamHater10/9/20226.7緩沖區(qū)溢出6.7.1緩沖區(qū)溢出簡介緩沖區(qū)溢出的攻擊之所以危急是因為它可以獲得系統(tǒng)的最高限制權(quán)，此外它還很難被檢測出來。緩沖區(qū)溢出的攻擊指的是一種系統(tǒng)攻擊的手段，通過在程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達到攻擊的目的。造成緩沖區(qū)溢出的緣由是在程序中沒有細致檢查用戶輸入的參數(shù)，所以說緩沖區(qū)溢出的缺陷屬于輸入確認錯誤。10/9/2022緩沖區(qū)溢出攻擊voidfunction(char*szPara1){ charbuff[16]; strcpy(buff,szPara1);}程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問題的C語言函數(shù)還有：strcat()、gets()、scanf()等。10/9/20226.7.2制造緩沖區(qū)溢出圖6.3一個程序在內(nèi)存中的存放10/9/2022制造緩沖區(qū)溢出一個程序在內(nèi)存中通常分為程序段、數(shù)據(jù)段和堆棧三個部分。程序段里為程序的機器碼和只讀數(shù)據(jù)，這個段通常是只讀代碼。靜態(tài)變量安排在數(shù)據(jù)段中，動態(tài)變量安排在堆棧段中當C程序調(diào)用函數(shù)的時候，首先將參數(shù)壓入堆棧，然后保存指令寄存器（IP）中的內(nèi)容作為返回地址（RET），放入堆棧的是地址寄存器（FP），然后把當前的棧指針（SP）拷貝到FP，作為新的基地址，并為本地變量留出確定的空間，把SP減去適當?shù)臄?shù)值。10/9/2022圖6.4調(diào)用一個函數(shù)后的堆棧10/9/2022緩沖區(qū)溢出舉例Voidmain(){inti;charbuffer[128];for(i=0;i<127;i++) buffer[i]=‘A’;buffer[127]=0;function(buffer);printf(“Thisi