【正文】 void functon（ char *str） { char buffer[16 ]； strcpy（ buffer， str） ； } 該程序的功能是通過 strcpy函數(shù)把 str中的字符串拷貝到數(shù)組 buffer[16]中去 ， 如果 str的長度超過 16就會造成數(shù)組 buffer的溢出 ， 使程序出錯 。 緩沖區(qū)溢出的防范 （ 1） 編寫正確的代碼 編寫安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法 。 指針完整性檢查是指在程序指針被引用之前先檢測它是否被改變 ， 一旦改變就不會被使用 。 拒絕服務攻擊的原理 DoS攻擊 的基本原理是： ? 首先 ， 攻擊者向服務器發(fā)送大量的帶有虛假地址的請求 ， 服務器發(fā)送回復信息后 ， 等待回傳信息 ? 由于地址是偽造的 ， 所以服務器一直等不到回傳的信息 ， 分配給這次請求的資源就始終沒有被釋放 ? 當服務器等待一定的時間后 ， 連接會因超時而被切斷 ? 攻擊者會再傳送一批請求 。 ? 網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包 ， 源地址為假 。 1. DDoS攻擊的一般原理 ? 分布式拒絕服務攻擊借助于客戶 /服務器技術 ， 將多個計算機聯(lián)合起來作為攻擊平臺 ， 對一個或多個目標發(fā)動 DoS攻擊 ， 從而成倍地提高拒絕服務攻擊的威力 。 1. DDoS攻擊的一般原理 ? 一個完整的 DDoS攻擊體系分成 4部分 ? 攻擊者所在機 ? 控制機（用來控制傀儡機） ? 傀儡機 ? 受害者 1. DDoS攻擊的一般原理 ? DDoS攻擊的基本過程是：攻擊者連接到安裝了控制程序的計算機，啟動控制程序，然后根據(jù)一個 IP地址的列表，由控制程序負責啟動所有的代理程序。 ? DDoS攻擊可以利用更多的傀儡機來發(fā)起進攻，以更大的規(guī)模來進攻受害者。 4)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。 ? 在網(wǎng)絡管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡服務；建立邊界安全界限，確保輸出的包受到正確限制；經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 （ 4） 應急響應 建立應急機構和制度 ， 制定緊急應對策略 ， 以便拒絕服務攻擊發(fā)生時能夠迅速恢復系統(tǒng)和服務 。這些權力并不是服務端賦予的，而是通過木馬程序竊取的。 （ 2）密碼發(fā)送型木馬 ? 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。 ? 這種木馬可以使遠程控制者在本地機器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。 （ 5） DoS攻擊木馬 ? 當攻擊者入侵了一臺主機，并種上 DoS攻擊木馬，這臺主機就會成為攻擊者進行 DoS攻擊的得力助手。 （ 9）反彈端口型木馬 ? 反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，以避開防火墻的過濾。 （ 3） 出錯顯示 有的木馬程序會提供一個 “ 出錯顯示 ” 的欺騙功能 ， 當用戶打開這個文件時 ， 會彈出一個錯誤提示框 ， 顯示 “ 無法打開 ” 之類的信息 ， 以欺騙用戶 。 ? 服務器端程序指的是運行在被控制的電腦的木馬程序，該程序為 .exe后綴的可執(zhí)行文件。 木馬攻擊的原理 植入連接請求響應遠程控制客戶端（C )客戶端（C )安裝，隱藏，打開端口監(jiān)聽服務端( S )客戶端（C )服務端（S )監(jiān)控，文件操作，系統(tǒng)操縱. . .服務端（S ) 木馬攻擊的原理 1．配置木馬 ? 木馬偽裝：修改圖標 、 捆綁文件 、 出錯顯示 、 定制端口 、 自我銷毀 、 隱蔽運行 ? 信息反饋：設置信息反饋的方式 ， 如郵件地址 ， 號等 2. 傳播木馬 ? 通過 E－ mail ? 文件下載 3. 運行木馬 ? 服務端用戶運行木馬程序或捆綁有木馬的程序后，木馬就會自動進行安裝 ? 木馬被激活后進入內(nèi)存，開啟事先定義的端口，準備與控制端建立連接 ? 服務端用戶可以在 MSDOS狀態(tài)下，鍵入 NETSTATAN查看端口狀態(tài)，注意是否有感染木馬 木馬攻擊的原理 4. 信息泄露 木馬成功安裝后，會收集一些服務端的信息，并通過 Email等方式反饋給控制端用戶 5. 建立連接 如果服務器端已經(jīng)安裝了木馬程序，且服務端和控制端都在線，控制端就可以通過木馬端口與服務器端建立連接 6. 遠程控制 連接建立后，控制端上的控制程序通過這條通道與服務端的木馬程序取得聯(lián)系，通過木馬程序?qū)Ψ斩诉M行遠程控制。 木馬攻擊的原理 ? 在 Windows系統(tǒng)中，木馬作為一個網(wǎng)絡服務程序在中了木馬的計算機后臺運行，監(jiān)聽本機一些特定端口（這個端口號多數(shù)比較大，一般在 5000以上，但也有少數(shù)是 5000以下的）。 （ 5） 木馬更名 將木馬服務端程序的名稱改為對用戶來說非常有吸引力的名稱 。 3．木馬偽裝的方法 （ 1） 修改圖標 木馬服務端程序為可執(zhí)行文件，但為了欺騙受害者，將木馬服務端程序的圖標修改為成其它非可執(zhí)行程序的圖標，如修改成文本文件的圖標。 （ 6）代理木馬 ? 給被控制的主機種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板 ? 通過代理木馬，攻擊者可以隱蔽自己的蹤跡 （ 7） FTP型木馬 ? FTP 型木馬打開被控制計算機的 21號端口，使任何人無需密碼就可以用一個 FTP客戶端程序連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。 （ 4）鍵盤記錄型木馬 ? 鍵盤記錄型木馬非常簡單的，它只做一種事情，就是記錄受害者的鍵盤敲擊，并且在 Log文件里做完整的記錄。 （ 3）遠程訪問型木馬 ? 遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。 2．木馬的種類 （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠程訪問型 （ 4） 鍵盤記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 木馬 木馬的概念 1． 什么是木馬 特洛伊木馬（ Trojan horse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。 （ 2） 漏洞檢查 定期使用漏洞掃描軟件 ， 對內(nèi)部網(wǎng)現(xiàn)有的 、 潛在的漏洞進行檢查 ， 以提高系統(tǒng)安全的性能 。加強安全防范意識、提高網(wǎng)絡系統(tǒng)的安全性，還是當前最為有效的辦法。 2)攻擊者進入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(nèi) (“肉機” )，并且秘密地安置一個其可遠程控制的代理程序 (端口監(jiān)督程序 )。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有控制程序的計算機和所有裝有代理程序的計算機。 代理程序收到指令時就發(fā)動攻擊 。 ? 利用受害主機提供的服務或傳輸協(xié)議上的缺陷 ， 不斷地向目標主機發(fā)出服務請求 ， 使受害主機無法及時處理所有正常請求 。 拒絕服務攻擊的原理 最典型的 DOS攻擊是 Synflood. ? 原理： TCP連接的三次握手和半開連接 ? 攻擊者：發(fā)送大量偽造的 TCP連接請求 ? 方法 1：偽裝成當時不在線的 IP地址發(fā)動攻擊 ? 方法 2：在主機或路由器上阻截目標機的 SYN/ACK分組 ? 目標機：堆棧溢出崩潰或無法處理正常請求 ? 防御： ? 縮短 SYN Timeout時間 （設置為 20秒以下 ） ? 設置 SYN Cookie ? 設置路由器和防火墻 ,在給定的時間內(nèi)只允許數(shù)量有限的半開TCP連接發(fā)往主機 拒絕服務攻擊的原理 . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻擊者 目標主機 SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待應答 SYN/ACK . . . . . . . . . 分布式拒絕服務攻擊 DDoS（ Distributed Denial of Service） 攻擊是一種基于 DoS攻擊的特殊形式的拒絕服務攻擊 ， 是一種分布 、 協(xié)作的大規(guī)模攻擊方式 ，