第3章網(wǎng)絡(luò)攻防3.1網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊的方法十分豐富，令人防不勝防。分析和研究網(wǎng)絡(luò)攻擊活動的方法和采用的技術(shù)，對加強(qiáng)網(wǎng)絡(luò)安全建設(shè)、防止網(wǎng)絡(luò)犯罪有很好的借鑒作用。3.1.1網(wǎng)絡(luò)攻擊概述攻擊的分類從攻擊的行為是否主動來分：主動攻擊和被動攻擊從攻擊的位置來分，可分為遠(yuǎn)程攻擊、本地攻擊和偽遠(yuǎn)程攻擊。攻擊的人員黑客與破壞者、間諜、恐怖主義者、公司雇傭者、計算機(jī)犯罪、內(nèi)部人員。攻擊的目的主要包括：進(jìn)程的執(zhí)行、獲取文件和傳輸中的數(shù)據(jù)、獲得超級用戶權(quán)限、對系統(tǒng)的非法訪問、進(jìn)行不許可的操作、拒絕服務(wù)、涂改信息、暴露信息、挑戰(zhàn)、政治意圖、經(jīng)濟(jì)利益、破壞等。攻擊者常用的攻擊工具DOS攻擊工具木馬程序BO2000（BackOrifice）：它是功能最全的TCP/IP構(gòu)架的攻擊工具，可以搜集信息，執(zhí)行系統(tǒng)命令，重新設(shè)置機(jī)器，重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序。感染BO2000后機(jī)器就完全在別人的控制之下，黑客成了超級用戶，用戶的所有操作都可由BO2000自帶的“秘密攝像機(jī)”錄制成“錄像帶”?！氨印保罕邮且粋€國產(chǎn)木馬程序，具有簡單的中文使用界面，且只有少數(shù)流行的反病毒、防火墻才能查出冰河的存在。它可以自動跟蹤目標(biāo)機(jī)器的屏幕變化，可以完全模擬鍵盤及鼠標(biāo)輸入，即在使被控端屏幕變化和監(jiān)控端產(chǎn)生同步的同時，被監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在控端的屏幕。它可以記錄各種口令信息，包括開機(jī)口令、屏幕保護(hù)口令、各種共享資源口令以及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；它還可以進(jìn)行注冊表操作，包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作。分布式工具3.1.2網(wǎng)絡(luò)攻擊的原理口令入侵：所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的賬號，然后再進(jìn)行合法用戶口令的破譯。獲取用戶賬號的方法：利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢時，主機(jī)系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機(jī)上。利用目標(biāo)主機(jī)的服務(wù)：有些主機(jī)沒有關(guān)閉的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑。從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標(biāo)主機(jī)上的賬號。查看主機(jī)是否有習(xí)慣性的賬號：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習(xí)慣性的賬號，造成賬號的泄露。攻擊者常用的攻擊工具ClientSYN/ACK其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如緩沖區(qū)溢出攻擊。服務(wù)端程序任意,客戶端程序telnetRST：復(fù)位標(biāo)志，用于復(fù)位TCP連接；攻擊技術(shù)越來越先進(jìn)：網(wǎng)絡(luò)攻擊自動化、組織化、目標(biāo)擴(kuò)大化、協(xié)同化、智能化、主動化。第一，一次完整的攻擊過程可以劃分為三個階段，分別為：獲取系統(tǒng)訪問權(quán)前的攻擊過程；服務(wù)端程序bind,客戶端程序nslookup是否關(guān)心追蹤攻擊者？若打算如此，則不要關(guān)閉Internet聯(lián)接，因為這會失去攻擊者的蹤跡。經(jīng)常運(yùn)行專門的反黑客軟件，必要時應(yīng)在系統(tǒng)中安裝具有實(shí)時檢測、攔截、查找黑客攻擊程序的工具。外部攻擊者的攻擊主要利用了系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)中的漏洞；TTL=32，TTL是生存時間，報文經(jīng)過一個路由器就減一，如果減到0就會被拋棄。time<1ms表示回應(yīng)所花費(fèi)的時間，小于1毫秒。經(jīng)常采用掃描工具軟件掃描，以發(fā)現(xiàn)漏洞并及早采取彌補(bǔ)措施。提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換攻擊者修改網(wǎng)頁的URL地址，即攻擊者可以將自已的Web地址加在所有URL地址的前面。使用write或者talk工具詢問他們究竟想要做什么?？诹钊肭郑?）獲取用戶口令的方法：被用來竊取口令的服務(wù)包括FTP、TFTP、郵件系統(tǒng)、Finger和Telnet等。所以，系統(tǒng)管理員對口令的使用應(yīng)十分小心、謹(jǐn)慎。通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令。在知道用戶的賬號后（如電子郵件@前面的部分），利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制。利用系統(tǒng)安全漏洞。在Windows/Unix操作系統(tǒng)中，用戶的基本信息、口令分別存放在某些固定的文件中，攻擊者獲取口令文件后，就會使用專門的破解程序來解口令。同時，由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、Bug或一些其他設(shè)計缺陷，這些缺陷一旦被找出，攻擊者就可以長驅(qū)直入。放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的計算機(jī)并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的計算機(jī)中，并在自己的計算機(jī)系統(tǒng)中隱藏一個可以在Windows啟動時悄悄執(zhí)行的程序。當(dāng)用戶連接到因特網(wǎng)上時，這個程序就會通知攻擊者，并報告用戶的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改用戶的計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視用戶整個硬盤中的內(nèi)容等，從而達(dá)到控制用戶的計算機(jī)的目的。WWW的欺騙技術(shù)一般Web欺騙使用兩種技術(shù)手段，即URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。攻擊者修改網(wǎng)頁的URL地址，即攻擊者可以將自已的Web地址加在所有URL地址的前面。當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時候，實(shí)際上是向攻擊者的服務(wù)器發(fā)出請求，于是用戶的所有信息便處于攻擊者的監(jiān)視之下，攻擊者就達(dá)到欺騙的目的了。但由于瀏覽器一般均設(shè)有地址欄和狀態(tài)欄，當(dāng)瀏覽器與某個站點(diǎn)鏈接時，用戶可以在地址欄和狀態(tài)欄中獲得連接中的Web站點(diǎn)地址及其相關(guān)的傳輸信息，由此發(fā)現(xiàn)已出了問題。所以攻擊者往往在URL地址重寫的同時，利用相關(guān)信息掩蓋技術(shù)（一般用JavaScript程序來重寫地址欄和狀態(tài)欄），以掩蓋欺騙。電子郵件攻擊電子郵件是Internet上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目標(biāo)郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目標(biāo)郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。電子郵件攻擊主要表現(xiàn)為兩種方式：郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險，甚至癱瘓。電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。通過一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)攻擊者在突破一臺主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)，以隱蔽其入侵路徑，避免留下蛛絲馬跡。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。這類攻擊很狡猾，但由于某些技術(shù)很難掌握，如TCP/IP欺騙攻擊。攻擊者通過外部計算機(jī)偽裝成另一臺合法機(jī)器來實(shí)現(xiàn)。它能破壞兩臺計算機(jī)間通信鏈路上的數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其它機(jī)器誤將其攻擊者作為合法機(jī)器加以接受，誘使其它機(jī)器向他發(fā)送據(jù)或允許它修改數(shù)據(jù)。TCP/IP欺騙可以發(fā)生TCP/IP系統(tǒng)的所有層次上，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、運(yùn)輸層及應(yīng)用層均容易受到影響。如果底層受到損害，則應(yīng)用層的所有協(xié)議都將處于危險之中。另外由于用戶本身不直接與底層相互相交流，因而對底層的攻擊更具有欺騙性。網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進(jìn)行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具如NetXRay、Sniffer等就可輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶賬號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號及口令。利用黑客軟件攻擊利用黑客軟件攻擊是Internet上比較多的一種攻擊手法。如利用特洛伊木馬程序可以非法地取得用戶計算機(jī)的超級用戶級權(quán)限，除了可以進(jìn)行完全的控制操作外，還可以進(jìn)行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端，當(dāng)黑客進(jìn)行攻擊時，會使用用戶端程序登陸上已安裝好服務(wù)器端程序的計算機(jī)，這些服務(wù)器端程序都比較小，一般會隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運(yùn)行時，黑客軟件的服務(wù)器端就安裝完成了，而且大部分黑客軟件的重生能力比較強(qiáng)，給用戶進(jìn)行清除造成一定的麻煩。特別是最近出現(xiàn)了一種TXT文件欺騙手法，表面看上去是一個TXT文本文件，但實(shí)際上卻是一個附帶黑客程序的可執(zhí)行程序，另外有些程序也會偽裝成圖片和其他格式的文件。安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，甚至可以訪問根目錄，從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。另一些是利用協(xié)議漏洞進(jìn)行攻擊。如攻擊者利用POP3一定要在根目錄下運(yùn)行的這一漏洞發(fā)動攻擊，破壞的根目錄，從而獲得超級用戶的權(quán)限。又如，ICMP協(xié)議也經(jīng)常被用于發(fā)動拒絕服務(wù)攻擊。端口掃描攻擊所謂端口掃描，就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行傳輸協(xié)議的驗證等，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。常用的掃描方式有：Connect()掃描。Fragmentation掃描。3.1.3網(wǎng)絡(luò)攻擊的步驟攻擊者在一次攻擊過程中的通常做法是：首先隱藏位置，接著網(wǎng)絡(luò)探測和資料收集、對系統(tǒng)弱點(diǎn)進(jìn)行挖掘、獲得系統(tǒng)控制權(quán)、隱藏行蹤，最后實(shí)施攻擊、開辟后門等七個步驟，如右圖所示。1．隱藏位置攻擊者經(jīng)常使用如下技術(shù)隱藏其真實(shí)的IP地址或者域名：利用被侵入的主機(jī)作為跳板，如在安裝Windows的計算機(jī)內(nèi)利用Wingate軟件作為跳板，利用配置不當(dāng)?shù)腜roxy作為跳板；使用電話轉(zhuǎn)接技術(shù)隱蔽自己，如利用800電話的無人轉(zhuǎn)接服務(wù)聯(lián)接ISP；盜用他人的賬號上網(wǎng)，通過電話聯(lián)接一臺主機(jī)，再經(jīng)由主機(jī)進(jìn)入Internet；免費(fèi)代理網(wǎng)關(guān)；偽造IP地址；假冒用戶賬號。2．網(wǎng)絡(luò)探測和資料收集網(wǎng)絡(luò)探測和資料收集主要是為了尋找目標(biāo)主機(jī)和收集目標(biāo)信息。攻擊者首先要尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)。在Internet上能真正標(biāo)識主機(jī)的是IP地址，域名是為了便于記憶主機(jī)的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)。當(dāng)然，知道了要攻擊目標(biāo)的位置還是遠(yuǎn)遠(yuǎn)不夠的，還必須將主機(jī)的操作系統(tǒng)類型及其所提供服務(wù)等資料作個全面的了解，為攻擊作好充分的準(zhǔn)備。攻擊者感興趣的信息主要包括：操作系統(tǒng)信息、開放的服務(wù)端口號、系統(tǒng)默認(rèn)賬號和口令、郵件賬號、IP地址分配情況、域名信息、網(wǎng)絡(luò)設(shè)備類型、網(wǎng)絡(luò)通信協(xié)議、應(yīng)用服務(wù)器軟件類型等。步驟：鎖定目標(biāo)、服務(wù)分析、系統(tǒng)分析、獲取賬號信息、獲得管理員信息信息收集分類分為三種：使用各種掃描工具對入侵目標(biāo)進(jìn)行大規(guī)模掃描，得到系統(tǒng)信息和運(yùn)行的服務(wù)信息。利用第三方資源對目標(biāo)進(jìn)行信息收集,比如我們常見的收索引擎利用各種查詢手段得到與被入侵目標(biāo)相關(guān)的一些信息，如社會工程學(xué)。 社會工程學(xué)（SocialEngineering）：通常是利用大眾的疏于防范的詭計，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取敏感的信息。-sF-sX–sN常用的掃描方式有：Connect()掃描。第一，一次完整的攻擊過程可以劃分為三個階段，分別為：獲取系統(tǒng)訪問權(quán)前的攻擊過程；攻擊者在一次攻擊過程中的通常做法是：首先隱藏位置，接著網(wǎng)絡(luò)探測和資料收集、對系統(tǒng)弱點(diǎn)進(jìn)行挖掘、獲得系統(tǒng)控制權(quán)、隱藏行蹤，最后實(shí)施攻擊、開辟后門等七個步驟，如右圖所示。常用的掃描方式有：Connect()掃描。選擇‘無條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。它能破壞兩臺計算機(jī)間通信鏈路上的數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其它機(jī)器誤將其攻擊者作為合法機(jī)器加以接受，誘使其它機(jī)器向他發(fā)送據(jù)或允許它修改數(shù)據(jù)。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。所謂端口掃描，就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行傳輸協(xié)議的驗證等，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。查看主機(jī)是否有習(xí)慣性的賬號：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習(xí)慣性的賬號，造成賬號的泄露。DNS/nslookup經(jīng)常運(yùn)行專門的反黑客軟件，必要時應(yīng)在系統(tǒng)中安裝具有實(shí)時檢測、攔截、查找黑客攻擊程序的工具。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。Ping、fping、pingsweepARP探測FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet信息收集的工具軟件ping作用和特點(diǎn)用來判斷目標(biāo)是否活動；最常用；最簡單的探測手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個用戶進(jìn)程。原理Type=8Type=0ping類型為8，表示“回響請求”類型為0，表示“回響應(yīng)答”還提供一些實(shí)用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；口令入侵：所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動。利用目標(biāo)主機(jī)的服務(wù)：有些主機(jī)沒有關(guān)閉的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑。服務(wù)端程序bind,客戶端程序nslookup當(dāng)一個ACK數(shù)據(jù)包到達(dá)一個監(jiān)聽的端口，服務(wù)器會丟棄這個數(shù)據(jù)包，并回應(yīng)一個RST數(shù)據(jù)包。盜用他人的賬號上網(wǎng)，通過電話聯(lián)接一臺主機(jī)，再經(jīng)由主機(jī)進(jìn)入Internet；Server(TTL<64)Server(TTL>64)它能破壞兩臺計算機(jī)間通信鏈路上的數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其它機(jī)器誤將其攻擊者作為合法機(jī)器加以接受，誘使其它機(jī)器向他發(fā)送據(jù)或允許它修改數(shù)據(jù)。*《ICMPUsageinScanning》電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。bytes=32表示回應(yīng)報文的大小，這里是32字節(jié)。服務(wù)端程序bind,客戶端程序nslookup不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時會發(fā)出用戶的個人信息。步驟：鎖定目標(biāo)、服務(wù)分析、系統(tǒng)分析、獲取賬號信息、獲得管理員信息斷開調(diào)制解調(diào)器與網(wǎng)絡(luò)線的連接，或者關(guān)閉服務(wù)器。主機(jī)在線情況主機(jī)不應(yīng)答情況1）主機(jī)不在線2）防火墻阻斷ICMP探測ping表示機(jī)器不在線。舉例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回應(yīng)ping的ip地址是。bytes=32表示回應(yīng)報文的大小，這里是32字節(jié)。time<1ms表示回應(yīng)所花費(fèi)的時間，小于1毫秒。TTL=32，TTL是生存時間，報文經(jīng)過一個路由器就減一，如果減到0就會被拋棄。這里是32。舉例2：Pingwar2.0——群ping.ARP探測

能探測同一局域網(wǎng)內(nèi)的主機(jī)，因為防火墻不能阻斷ARP請求。finger作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：tcp79服務(wù)端程序fingerd,客戶端程序finger不需要認(rèn)證就提供用戶信息姓名電話最后登錄時間fingerwhois作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：tcp43服務(wù)端程序whoisd,客戶端程序finger提供目標(biāo)系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2http

常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址DNS作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：udp53服務(wù)端程序bind,客戶端程序nslookup提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換DNStelnet作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：任意服務(wù)端程序任意,客戶端程序telnet提供目標(biāo)系統(tǒng)服務(wù)的版本信息瑞士軍刀NC端口掃描掃描基礎(chǔ)掃描分類掃描工具介紹

掃描基礎(chǔ)TCP數(shù)據(jù)報首部標(biāo)志域TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原則TCP數(shù)據(jù)報首部標(biāo)志域URG：緊急數(shù)據(jù)標(biāo)志，指明數(shù)據(jù)流中已經(jīng)放置緊急數(shù)據(jù)，緊急指針有效；ACK：確認(rèn)標(biāo)志，用于對報文的確認(rèn)；PSH：推標(biāo)志，通知接收端盡可能的將數(shù)據(jù)傳遞給應(yīng)用層，在telnet登陸時，會使用到這個標(biāo)志；RST：復(fù)位標(biāo)志，用于復(fù)位TCP連接；SYN：同步標(biāo)志，用于三次握手的建立，提示接收TCP連接的服務(wù)端檢查序號；FIN：結(jié)束標(biāo)志，表示發(fā)送端已經(jīng)沒有數(shù)據(jù)再傳輸了，希望釋放連接，但接收端仍然可以繼續(xù)發(fā)送數(shù)據(jù)。

TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原則原則1：當(dāng)一個SYN或者FIN數(shù)據(jù)包到達(dá)一個關(guān)閉了的端口，服務(wù)器丟棄該數(shù)據(jù)包，并返回一個RST數(shù)據(jù)包；

TCP/IP實(shí)現(xiàn)遵循的原則原則2：當(dāng)一個RST數(shù)據(jù)包到達(dá)一個監(jiān)聽端口或者關(guān)閉的端口，RST數(shù)據(jù)包都會服務(wù)器被丟棄。

TCP/IP實(shí)現(xiàn)遵循的原則原則3：當(dāng)一個ACK數(shù)據(jù)包到達(dá)一個監(jiān)聽的端口，服務(wù)器會丟棄這個數(shù)據(jù)包，并回應(yīng)一個RST數(shù)據(jù)包。

TCP/IP實(shí)現(xiàn)遵循的原則原則4：當(dāng)一個FIN數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包將會被丟棄。

端口掃描分類技術(shù)端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射掃描技術(shù)分析完全連接掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉掃描技術(shù)分析半連接SYN掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉*立即切斷連接掃描技術(shù)分析隱蔽掃描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：FINClientFINServerRSTClientFINServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：ACKClientFINServer(TTL<64)Server(WIN>0)ClientFINServer(TTL>64)Server(WIN=0)端口開放端口關(guān)閉掃描技術(shù)分析其它掃描：ICMP*《ICMPUsageinScanning》端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測工具王功能

NMAP是探測網(wǎng)絡(luò)主機(jī)和開放服務(wù)的佼佼者。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描。還提供一些實(shí)用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；秘密掃描、動態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。-sTTCPConnect()掃描 這是對TCP的最基本形式的偵測。對目標(biāo)主機(jī)端口進(jìn)行試探，如果該端口開放，則連接成功，否則代表這個端口沒有開放。-sSTCPSYN掃描 就是我們介紹的‘半開’式的掃描，速度會比connect掃描快。-sF-sX–sN StealthFIN,XmasTree或者Null掃描模式。-sPPing掃描 對指定的IP發(fā)送ICMP，如果對方屏蔽了echorequest，nmap還能發(fā)送一個TCPack包到80端口探測。-sUUDP掃描 確定某個UDP端口是否打開。xscan選擇‘無條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。Superscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測目標(biāo)系統(tǒng)是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通過端口掃描和操作系統(tǒng)掃描獲取操作系統(tǒng)類型和開放的端口，如果是windows2000系統(tǒng)，開放了TCP139或者TCP445端口，并且返回的數(shù)據(jù)包跟漏洞庫里的定義相匹配，則說明該主機(jī)可能可能存在MS06040漏洞，我們就可以使用MS06040漏洞利用程序?qū)ζ溥M(jìn)行遠(yuǎn)程溢出攻擊。3．弱點(diǎn)挖掘系統(tǒng)中漏洞的存在是系統(tǒng)受到各種安全威脅的根源。外部攻擊者的攻擊主要利用了系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)中的漏洞；內(nèi)部人員作案則利用了系統(tǒng)內(nèi)部服務(wù)及其配置上的漏洞，而拒絕服務(wù)攻擊主要是利用資源分配上的漏洞，長期占用有限資源不釋放，使其它用戶得不到應(yīng)得的服務(wù)，或者是利用服務(wù)處理中的漏洞，使該服務(wù)崩潰。攻擊者攻擊的重要步驟就是盡量挖掘出系統(tǒng)的弱點(diǎn)/漏洞，并針對具體的漏洞研究相應(yīng)的攻擊方法。常見的漏洞有：系統(tǒng)或應(yīng)用服務(wù)軟件漏洞。主機(jī)信任關(guān)系漏洞。尋找有漏洞的網(wǎng)絡(luò)成員。安全策略配置漏洞。通信協(xié)議漏洞。網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)漏洞。4．獲得控制權(quán)攻擊者要想入侵一臺主機(jī)，首先要有該主機(jī)的一個賬號和口令，再想辦法去獲得更高的權(quán)限，如系統(tǒng)管理賬戶的權(quán)限。獲取系統(tǒng)管理權(quán)限通常有以下途徑：獲得系統(tǒng)管理員的口令，如專門針對root用戶的口令攻擊；利用系統(tǒng)管理上的漏洞：如錯誤的文件許可權(quán)，錯誤的系統(tǒng)配置，某些程序中存在的緩沖區(qū)溢出問題等；讓系統(tǒng)管理員運(yùn)行一些特洛伊木馬程序，使計算機(jī)內(nèi)的某一端口開放，再通過這一端口進(jìn)入用戶的計算機(jī)。5．隱藏行蹤作為一個入侵者，攻擊者總是惟恐自己的行蹤被發(fā)現(xiàn)，所以在進(jìn)入系統(tǒng)之后，聰明的攻擊者要做的第一件事就是隱藏自己的行蹤，攻擊者隱藏自己的行蹤通常要用到如下技術(shù)：連接隱藏，如冒充其他用戶、修改LOGNAME環(huán)境變量、修改utmp日志文件、使用IPSPOOF技術(shù)等；進(jìn)程隱藏，如使用重定向技術(shù)減少PS給出的信息量、用特洛伊木馬代替PS程序等；篡改日志文件中的審計信息；改變系統(tǒng)時間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。6．實(shí)施攻擊不同的攻擊者有不同的攻擊目的，可能是為了獲得機(jī)密文件的訪問權(quán)，也可能是為了破壞系統(tǒng)數(shù)據(jù)的完整性，也可能是為了獲得整個系統(tǒng)的控制權(quán)（系統(tǒng)管理權(quán)限），以及其他目的等。一般說來，可歸結(jié)為以下幾種方式：下載敏感信息；在目標(biāo)系統(tǒng)中安裝探測器軟件，以便進(jìn)一步收集攻擊者感興趣的信息，或進(jìn)一步發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級；攻擊其它被信任的主機(jī)和網(wǎng)絡(luò)；使網(wǎng)絡(luò)癱瘓；修改或刪除重要數(shù)據(jù)。7．開辟后門一次成功的入侵通常要耗費(fèi)攻擊者的大量時間與精力，所以精于算計的攻擊者在退出系統(tǒng)之前會在系統(tǒng)中制造一些后門，以方便自己的下次入侵，攻擊者設(shè)計后門時通常會考慮以下方法：放寬文件許可權(quán)；重新開放不安全的服務(wù)，如REXD、TFTP等；修改系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)配置文件等；替換系統(tǒng)本身的共享庫文件；安裝各種特洛伊木馬程序，修改系統(tǒng)的源代碼；安裝sniffers。小結(jié)第一，一次完整的攻擊過程可以劃分為三個階段，分別為：獲取系統(tǒng)訪問權(quán)前的攻擊過程；獲得系統(tǒng)控制權(quán)的攻擊過程；獲得系統(tǒng)訪問權(quán)或控制權(quán)之后的攻擊活動。完成第一階段的攻擊過程，獲得了系統(tǒng)的訪問權(quán)，攻擊者就已成功了一半，而完成第二階段的攻擊過程，獲得系統(tǒng)的管理權(quán)限之后，攻擊者已近于完全成功。此時，管理員已經(jīng)很難阻止攻擊者的破壞活動，但可以盡早地采取一些補(bǔ)救措施，如備份系統(tǒng)、關(guān)掉系統(tǒng)的網(wǎng)絡(luò)連接、關(guān)機(jī)等。第二，攻擊者攻擊成功的關(guān)鍵在于第一、第二階段的成功，在于盡早地發(fā)現(xiàn)或者利用目標(biāo)系統(tǒng)的安全漏洞或弱點(diǎn)的能力。第三，內(nèi)部的攻擊者可以減少攻擊步驟，他只要找到系統(tǒng)的漏洞、弱點(diǎn)或缺陷，想法獲取系統(tǒng)管理權(quán)限，就可以隨心所欲地進(jìn)行破壞活動了。黑客攻擊實(shí)例黑客攻擊撥號上網(wǎng)計算機(jī)實(shí)例(左)

黑客攻擊企業(yè)內(nèi)部局域網(wǎng)實(shí)例(右)網(wǎng)絡(luò)攻擊的防范措施

及處理對策防范措施提高安全意識

使用能防病毒、防黑客的防火墻軟件設(shè)置代理服務(wù)器，隱藏自已的IP地址安裝過濾器路由器，防止IP欺騙建立完善的訪問控制策略采用加密技術(shù)做好備份工作提高安全意識1不要隨意打開來歷不明的電子郵件及文件，不要運(yùn)行來歷不明的軟件和盜版軟件。不要隨便從Internet上下載軟件，尤其是不可靠的FTP站點(diǎn)和非授權(quán)的軟件分發(fā)點(diǎn)。即使從知名的網(wǎng)站下載的軟件也要及時用最新的殺病毒軟件進(jìn)行掃描。防字典攻擊和口令保護(hù)。選擇12~15個字符組成口令，盡可能使用字母數(shù)字混排，并且在任何字典上都查不到，那么口令就不能被輕易竊取了。不要用個人信息（如生日、名字等），口令中要有一些非字母（數(shù)字、標(biāo)點(diǎn)符號、控制字符等），還要好記一些，不能寫在紙上或計算機(jī)中的文件中，選擇口令的一個好方法是將兩個相關(guān)的詞用一個數(shù)字或控制字符相連。重要的口令最好經(jīng)常更換。提高安全意識2及時下載安裝系統(tǒng)補(bǔ)丁程序。不隨便運(yùn)行黑客程序，不少這