【正文】 成的破壞程度 ， 如 ， 是否已經(jīng)入侵 ？是否還滯留 ？ 是否來(lái)自?xún)?nèi)部等 。 （ 3） 分布式拒絕服務(wù)攻擊：攻擊者通?？刂贫鄠€(gè)分布的 “ 傀儡 ” 主機(jī) ， 對(duì)某一目標(biāo)發(fā)動(dòng)拒絕服務(wù)的攻擊 。 通過(guò)主機(jī)間的信任關(guān)系 ， 以 Web形式實(shí)施的一種欺騙行為 。 如 ， Ping、 Finger、 Whois、Tracerroute等 。 攻擊者如果沒(méi)有辦法通過(guò)物理入侵直接取得所需要的資料，就會(huì)通過(guò)計(jì)策或欺騙等手段間接獲得密碼等敏感信息，通常使用電子郵件、電話等形式對(duì)所需要的資料進(jìn)行騙取，再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其攻擊的目的。攻擊者的數(shù)量也不斷增加。 ? 更多的職業(yè)化黑客的出現(xiàn)，使網(wǎng)絡(luò)攻擊更加有目的性。 ? 安全脆弱的系統(tǒng)更容易受到損害； ? 從以前需要依靠人啟動(dòng)軟件工具發(fā)起的攻擊，發(fā)展到攻擊工具可以自己發(fā)動(dòng)新的攻擊； ? 攻擊工具的開(kāi)發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具，攻擊工具的特征比以前更難發(fā)現(xiàn)，攻擊工具越來(lái)越復(fù)雜。 （ 7） 不要入侵或破壞政府機(jī)關(guān)的主機(jī) 。 通常所說(shuō)的 “ 黑客 ” 指的是駭客 （ Cracker， 破壞者 ） ， 是那些懷有不良企圖 ， 強(qiáng)行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò) ， 運(yùn)用自己的知識(shí)去做出有損他人權(quán)益的事情的人 ， 也稱(chēng)入侵者 。 任何職業(yè)都有相關(guān)的職業(yè)道德 ， 黑客也有其 “ 行規(guī) ” ， 一些守則是必須遵守的 ， 歸納起來(lái)就是 “黑客守則 ”。 （ 8） 將自己的筆記放在安全的地方 。 （ 2）漏洞被利用的速度越來(lái)越快 安全問(wèn)題的技術(shù)根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了安全問(wèn)題。 ? 黑客們已經(jīng)不再滿足于簡(jiǎn)單、虛無(wú)飄渺的名譽(yù)追求，更多的攻擊背后是豐厚的經(jīng)濟(jì)利益。 1． 信息收集 黑客首先要確定攻擊的目標(biāo) ， 然后利用社會(huì)學(xué)攻擊 、 黑客技術(shù)等方法和手段 ， 收集目標(biāo)主機(jī)的各種信息 。 1．社會(huì)工程學(xué)攻擊 （ 1）打電話請(qǐng)求密碼 盡管不像前面討論的策略那樣聰明 ， 但打電話尋問(wèn)密碼卻經(jīng)常奏效 。 （ 2） 網(wǎng)絡(luò)掃描 。 （ 3） 郵件欺騙 。 4．漏洞與缺陷攻擊 5．利用型攻擊 利用型攻擊是指試圖直接對(duì)主機(jī)進(jìn)行控制的攻擊 ， 常見(jiàn)有： （ 1） 猜口令 。 （ 2） 切斷連接 立即采取行動(dòng) ， 切斷連接 ， 如 ， 關(guān)閉服務(wù)器 ， 追蹤黑客等 。 ? 利用被動(dòng)式策略掃描稱(chēng)為安全掃描 ， 利用主動(dòng)式策略掃描稱(chēng)為網(wǎng)絡(luò)安全掃描 。 ? 掃描程序發(fā)送的是一個(gè) SYN數(shù)據(jù)包，好象準(zhǔn)備打開(kāi)一個(gè)實(shí)際的連接并等待反應(yīng)一樣。 ? 這種方法在區(qū)分 Unix和 NT時(shí)，是十分有用的。 ? 這樣就將一個(gè) TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探測(cè)到。 網(wǎng)絡(luò)掃描的防范 ? 預(yù)防端口掃描的檢測(cè)是一個(gè)大的難題 ， 因?yàn)槊總€(gè)網(wǎng)站的服務(wù) （ 端口 ） 都是公開(kāi)的 ， 所以一般無(wú)法判斷是否有人在進(jìn)行端口掃描 。 網(wǎng)絡(luò)監(jiān)聽(tīng) 監(jiān)聽(tīng)的概念 1． 什么是監(jiān)聽(tīng) 網(wǎng)絡(luò)監(jiān)聽(tīng)也被稱(chēng)作網(wǎng)絡(luò)嗅探（ Sniffer）。 其中 ， 網(wǎng)絡(luò)監(jiān)聽(tīng)效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置 ， 如網(wǎng)關(guān) 、 路由器 、防火墻之類(lèi)的設(shè)備或重要網(wǎng)段；而使用最方便的地方是在網(wǎng)絡(luò)中的一臺(tái)主機(jī)中 。 監(jiān)聽(tīng)的原理 所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌?bào)文，無(wú)論其目的 MAC地址是否為該網(wǎng)卡的 MAC地址。 監(jiān)聽(tīng)的防范 1．檢測(cè)網(wǎng)絡(luò)嗅探 對(duì)于 SunOS和其他的 BSD Unix系統(tǒng)可以使用Lsof命令來(lái)檢測(cè)嗅探器的存在 。 Web攻擊的原理 Web欺騙攻擊的原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。 2．長(zhǎng)期的方法 （ 1） IP地址 、 子網(wǎng) 、 域的限制：它可以保護(hù)單個(gè)的文檔 ， 也可以保護(hù)整個(gè)的目錄 。 ? 其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器 ， 以達(dá)到蒙混過(guò)關(guān)的目的 。 值得注意的是 ， 并不是在任何情況下都要使被假冒的主機(jī)癱瘓 ，但在 Ether網(wǎng)上的 IP欺騙必須要這么做 ， 否則會(huì)引起網(wǎng)絡(luò)掛起 。 IP地址可以盜用 ， 但現(xiàn)代加密技術(shù)在理論上是很難可破解的 。 緩沖區(qū)溢出的防范 （ 1） 編寫(xiě)正確的代碼 編寫(xiě)安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法 。 拒絕服務(wù)攻擊的原理 DoS攻擊 的基本原理是： ? 首先 ， 攻擊者向服務(wù)器發(fā)送大量的帶有虛假地址的請(qǐng)求 ， 服務(wù)器發(fā)送回復(fù)信息后 ， 等待回傳信息 ? 由于地址是偽造的 ， 所以服務(wù)器一直等不到回傳的信息 ， 分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放 ? 當(dāng)服務(wù)器等待一定的時(shí)間后 ， 連接會(huì)因超時(shí)而被切斷 ? 攻擊者會(huì)再傳送一批請(qǐng)求 。 1. DDoS攻擊的一般原理 ? 分布式拒絕服務(wù)攻擊借助于客戶(hù) /服務(wù)器技術(shù) ， 將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái) ， 對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DoS攻擊 ， 從而成倍地提高拒絕服務(wù)攻擊的威力 。 ? DDoS攻擊可以利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以更大的規(guī)模來(lái)進(jìn)攻受害者。 ? 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)；建立邊界安全界限，確保輸出的包受到正確限制；經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。 ? 這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任何事情，比如鍵盤(pán)記錄、上傳和下載功能、發(fā)送一個(gè)“截取屏幕”等等。 （ 9）反彈端口型木馬 ? 反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶(hù)端（控制端）使用被動(dòng)端口，以避開(kāi)防火墻的過(guò)濾。 ? 服務(wù)器端程序指的是運(yùn)行在被控制的電腦的木馬程序，該程序?yàn)?.exe后綴的可執(zhí)行文件。 木馬攻擊的原理 ? 在 Windows系統(tǒng)中，木馬作為一個(gè)網(wǎng)絡(luò)服務(wù)程序在中了木馬的計(jì)算機(jī)后臺(tái)運(yùn)行，監(jiān)聽(tīng)本機(jī)一些特定端口（這個(gè)端口號(hào)多數(shù)比較大，一般在 5000以上，但也有少數(shù)是 5000以下的）。 3．木馬偽裝的方法 （ 1） 修改圖標(biāo) 木馬服務(wù)端程序?yàn)榭蓤?zhí)行文件，但為了欺騙受害者，將木馬服務(wù)端程序的圖標(biāo)修改為成其它非可執(zhí)行程序的圖標(biāo)，如修改成文本文件的圖標(biāo)。 （ 4）鍵盤(pán)記錄型木馬 ? 鍵盤(pán)記錄型木馬非常簡(jiǎn)單的，它只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在 Log文件里做完整的記錄。 2．木馬的種類(lèi) （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠(yuǎn)程訪問(wèn)型 （ 4） 鍵盤(pán)記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 （ 2） 漏洞檢查 定期使用漏洞掃描軟件 ， 對(duì)內(nèi)部網(wǎng)現(xiàn)有的 、 潛在的漏洞進(jìn)行檢查 ， 以提高系統(tǒng)安全的性能 。 2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶(hù)主機(jī)之內(nèi) (“肉機(jī)” )，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序 (端口監(jiān)督程序 )。 代理程序收到指令時(shí)就發(fā)動(dòng)攻擊 。 拒絕服務(wù)攻擊的原理 最典型的 DOS攻擊是 Synflood. ? 原理： TCP連接的三次握手和半開(kāi)連接 ? 攻擊者：發(fā)送大量偽造的 TCP連接請(qǐng)求 ? 方法 1：偽裝成當(dāng)時(shí)不在線的 IP地址發(fā)動(dòng)攻擊 ? 方法 2：在主機(jī)或路由器上阻截目標(biāo)機(jī)的 SYN/ACK分組 ? 目標(biāo)機(jī)：堆棧溢出崩潰或無(wú)法處理正常請(qǐng)求 ? 防御： ? 縮短 SYN Timeout時(shí)間 （設(shè)置為 20秒以下 ） ? 設(shè)置 SYN Cookie ? 設(shè)置路由器和防火墻 ,在給定的時(shí)間內(nèi)只允許數(shù)量有限的半開(kāi)TCP連接發(fā)往主機(jī) 拒絕服務(wù)攻擊的原理 . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻擊者 目標(biāo)主機(jī) SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待應(yīng)答 SYN/ACK . . . . . . . . . 分布式拒絕服務(wù)攻擊 DDoS（ Distributed Denial of Service） 攻擊是一種基于 DoS攻擊的特殊形式的拒絕服務(wù)攻擊 ， 是一種分布 、