【正文】 void functon（ char *str） { char buffer[16 ]； strcpy（ buffer， str） ； } 該程序的功能是通過(guò) strcpy函數(shù)把 str中的字符串拷貝到數(shù)組 buffer[16]中去 ， 如果 str的長(zhǎng)度超過(guò) 16就會(huì)造成數(shù)組 buffer的溢出 ， 使程序出錯(cuò) 。 緩沖區(qū)溢出的防范 （ 1） 編寫(xiě)正確的代碼 編寫(xiě)安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法 。 指針完整性檢查是指在程序指針被引用之前先檢測(cè)它是否被改變 ， 一旦改變就不會(huì)被使用 。 拒絕服務(wù)攻擊的原理 DoS攻擊 的基本原理是： ? 首先 ， 攻擊者向服務(wù)器發(fā)送大量的帶有虛假地址的請(qǐng)求 ， 服務(wù)器發(fā)送回復(fù)信息后 ， 等待回傳信息 ? 由于地址是偽造的 ， 所以服務(wù)器一直等不到回傳的信息 ， 分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放 ? 當(dāng)服務(wù)器等待一定的時(shí)間后 ， 連接會(huì)因超時(shí)而被切斷 ? 攻擊者會(huì)再傳送一批請(qǐng)求 。 ? 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包 ， 源地址為假 。 1. DDoS攻擊的一般原理 ? 分布式拒絕服務(wù)攻擊借助于客戶(hù) /服務(wù)器技術(shù) ， 將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái) ， 對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DoS攻擊 ， 從而成倍地提高拒絕服務(wù)攻擊的威力 。 1. DDoS攻擊的一般原理 ? 一個(gè)完整的 DDoS攻擊體系分成 4部分 ? 攻擊者所在機(jī) ? 控制機(jī)（用來(lái)控制傀儡機(jī)） ? 傀儡機(jī) ? 受害者 1. DDoS攻擊的一般原理 ? DDoS攻擊的基本過(guò)程是：攻擊者連接到安裝了控制程序的計(jì)算機(jī)，啟動(dòng)控制程序，然后根據(jù)一個(gè) IP地址的列表，由控制程序負(fù)責(zé)啟動(dòng)所有的代理程序。 ? DDoS攻擊可以利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以更大的規(guī)模來(lái)進(jìn)攻受害者。 4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。 ? 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)；建立邊界安全界限，確保輸出的包受到正確限制；經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。 （ 4） 應(yīng)急響應(yīng) 建立應(yīng)急機(jī)構(gòu)和制度 ， 制定緊急應(yīng)對(duì)策略 ， 以便拒絕服務(wù)攻擊發(fā)生時(shí)能夠迅速恢復(fù)系統(tǒng)和服務(wù) 。這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。 （ 2）密碼發(fā)送型木馬 ? 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。 ? 這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任何事情，比如鍵盤(pán)記錄、上傳和下載功能、發(fā)送一個(gè)“截取屏幕”等等。 （ 5） DoS攻擊木馬 ? 當(dāng)攻擊者入侵了一臺(tái)主機(jī)，并種上 DoS攻擊木馬，這臺(tái)主機(jī)就會(huì)成為攻擊者進(jìn)行 DoS攻擊的得力助手。 （ 9）反彈端口型木馬 ? 反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶(hù)端（控制端）使用被動(dòng)端口，以避開(kāi)防火墻的過(guò)濾。 （ 3） 出錯(cuò)顯示 有的木馬程序會(huì)提供一個(gè) “ 出錯(cuò)顯示 ” 的欺騙功能 ， 當(dāng)用戶(hù)打開(kāi)這個(gè)文件時(shí) ， 會(huì)彈出一個(gè)錯(cuò)誤提示框 ， 顯示 “ 無(wú)法打開(kāi) ” 之類(lèi)的信息 ， 以欺騙用戶(hù) 。 ? 服務(wù)器端程序指的是運(yùn)行在被控制的電腦的木馬程序，該程序?yàn)?.exe后綴的可執(zhí)行文件。 木馬攻擊的原理 植入連接請(qǐng)求響應(yīng)遠(yuǎn)程控制客戶(hù)端（C )客戶(hù)端（C )安裝，隱藏，打開(kāi)端口監(jiān)聽(tīng)服務(wù)端( S )客戶(hù)端（C )服務(wù)端（S )監(jiān)控，文件操作，系統(tǒng)操縱. . .服務(wù)端（S ) 木馬攻擊的原理 1．配置木馬 ? 木馬偽裝：修改圖標(biāo) 、 捆綁文件 、 出錯(cuò)顯示 、 定制端口 、 自我銷(xiāo)毀 、 隱蔽運(yùn)行 ? 信息反饋：設(shè)置信息反饋的方式 ， 如郵件地址 ， 號(hào)等 2. 傳播木馬 ? 通過(guò) E－ mail ? 文件下載 3. 運(yùn)行木馬 ? 服務(wù)端用戶(hù)運(yùn)行木馬程序或捆綁有木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝 ? 木馬被激活后進(jìn)入內(nèi)存，開(kāi)啟事先定義的端口，準(zhǔn)備與控制端建立連接 ? 服務(wù)端用戶(hù)可以在 MSDOS狀態(tài)下，鍵入 NETSTATAN查看端口狀態(tài)，注意是否有感染木馬 木馬攻擊的原理 4. 信息泄露 木馬成功安裝后，會(huì)收集一些服務(wù)端的信息，并通過(guò) Email等方式反饋給控制端用戶(hù) 5. 建立連接 如果服務(wù)器端已經(jīng)安裝了木馬程序，且服務(wù)端和控制端都在線，控制端就可以通過(guò)木馬端口與服務(wù)器端建立連接 6. 遠(yuǎn)程控制 連接建立后，控制端上的控制程序通過(guò)這條通道與服務(wù)端的木馬程序取得聯(lián)系，通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 木馬攻擊的原理 ? 在 Windows系統(tǒng)中，木馬作為一個(gè)網(wǎng)絡(luò)服務(wù)程序在中了木馬的計(jì)算機(jī)后臺(tái)運(yùn)行，監(jiān)聽(tīng)本機(jī)一些特定端口（這個(gè)端口號(hào)多數(shù)比較大，一般在 5000以上，但也有少數(shù)是 5000以下的）。 （ 5） 木馬更名 將木馬服務(wù)端程序的名稱(chēng)改為對(duì)用戶(hù)來(lái)說(shuō)非常有吸引力的名稱(chēng) 。 3．木馬偽裝的方法 （ 1） 修改圖標(biāo) 木馬服務(wù)端程序?yàn)榭蓤?zhí)行文件，但為了欺騙受害者，將木馬服務(wù)端程序的圖標(biāo)修改為成其它非可執(zhí)行程序的圖標(biāo)，如修改成文本文件的圖標(biāo)。 （ 6）代理木馬 ? 給被控制的主機(jī)種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板 ? 通過(guò)代理木馬，攻擊者可以隱蔽自己的蹤跡 （ 7） FTP型木馬 ? FTP 型木馬打開(kāi)被控制計(jì)算機(jī)的 21號(hào)端口，使任何人無(wú)需密碼就可以用一個(gè) FTP客戶(hù)端程序連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。 （ 4）鍵盤(pán)記錄型木馬 ? 鍵盤(pán)記錄型木馬非常簡(jiǎn)單的，它只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在 Log文件里做完整的記錄。 （ 3）遠(yuǎn)程訪問(wèn)型木馬 ? 遠(yuǎn)程訪問(wèn)型木馬是現(xiàn)在最廣泛的特洛伊木馬。 2．木馬的種類(lèi) （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠(yuǎn)程訪問(wèn)型 （ 4） 鍵盤(pán)記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 木馬 木馬的概念 1． 什么是木馬 特洛伊木馬（ Trojan horse）其名稱(chēng)取自希臘神話的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。 （ 2） 漏洞檢查 定期使用漏洞掃描軟件 ， 對(duì)內(nèi)部網(wǎng)現(xiàn)有的 、 潛在的漏洞進(jìn)行檢查 ， 以提高系統(tǒng)安全的性能 。加強(qiáng)安全防范意識(shí)、提高網(wǎng)絡(luò)系統(tǒng)的安全性，還是當(dāng)前最為有效的辦法。 2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶(hù)主機(jī)之內(nèi) (“肉機(jī)” )，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序 (端口監(jiān)督程序 )。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有控制程序的計(jì)算機(jī)和所有裝有代理程序的計(jì)算機(jī)。 代理程序收到指令時(shí)就發(fā)動(dòng)攻擊 。 ? 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷 ， 不斷地向目標(biāo)主機(jī)發(fā)出服務(wù)請(qǐng)求 ， 使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求 。 拒絕服務(wù)攻擊的原理 最典型的 DOS攻擊是 Synflood. ? 原理： TCP連接的三次握手和半開(kāi)連接 ? 攻擊者：發(fā)送大量偽造的 TCP連接請(qǐng)求 ? 方法 1：偽裝成當(dāng)時(shí)不在線的 IP地址發(fā)動(dòng)攻擊 ? 方法 2：在主機(jī)或路由器上阻截目標(biāo)機(jī)的 SYN/ACK分組 ? 目標(biāo)機(jī)：堆棧溢出崩潰或無(wú)法處理正常請(qǐng)求 ? 防御： ? 縮短 SYN Timeout時(shí)間 （設(shè)置為 20秒以下 ） ? 設(shè)置 SYN Cookie ? 設(shè)置路由器和防火墻 ,在給定的時(shí)間內(nèi)只允許數(shù)量有限的半開(kāi)TCP連接發(fā)往主機(jī) 拒絕服務(wù)攻擊的原理 . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻擊者 目標(biāo)主機(jī) SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待應(yīng)答 SYN/ACK . . . . . . . . . 分布式拒絕服務(wù)攻擊 DDoS（ Distributed Denial of Service） 攻擊是一種基于 DoS攻擊的特殊形式的拒絕服務(wù)攻擊 ， 是一種分布 、 協(xié)作的大規(guī)模攻擊方式 ，