常见的网络攻击类型有_网络攻击有哪几种类型

常见的网络攻击与防范

摘要

本文刨析了网络上黑客常见的攻击手段，主要分析DDOS攻击的原理和步骤。论文提出了防范DDOS攻击的一些措施。

关键词 DDOS 攻机网络安全

Abstract

This paper analyzes the sharpening network hackers common means of attack, mainly on the principle of DDOS attacks and steps. The paper presents the DDOS attack prevention measures

Key words: DDoS Attack Network Security

摘要 ……………………………………………………………………Ⅰ Abstract .................................................................................................... Ⅱ

前言 ……………………………………………………………………..4

第1章绪论 ............................................................................................. 4

1.1 黑客常见攻击步骤 ...................................................................... 4

1.1.1攻击前奏 ............................................................................ 4

1.1..2实施攻击 ............................................................................. 5

1.1..3晋级支配 ............................................................................. 6

第2章 DoS 与DDoS攻击原理 ................................................................. 6

2.1 DoS攻击 ........................................................................................ 7

2.1.1 SYN Flood攻击 ................................................................. 7

2.1.2 Land 攻击 .......................................................................... 7

2.1.3 Smurf攻击 ......................................................................... 7

2.1.4 UDP攻击 ............................................................................. 7

2.2 DDoS攻击 ...................................................................................... 8

2.2.1 DDoS攻击原理 ................................................................... 8

2.2.2 DDoS攻击的主要形式 ....................................................... 9

第3章 DoS 与DDoS攻击的检测与防范 ................................................. 9

3.1常规安全检测与防范 ................................................................. 10

3.1.1安装最小化 ...................................................................... 10

3.1.2 安装补丁程序 ................................................................. 11

3.1.3关闭非必须端口 .............................................................. 11

3.1.4删除Guest账号 .............................................................. 11

3.1.5及时备份重要数据 .......................................................... 11

3.1.6使用加密机制传输数据 ................................................ ..12

结论 ......................................................................................................... 12

致谢 ......................................................................................................... 13

参考文献 ................................................................................................... 14

前言

在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。

第1章绪论

1.1 黑客常见攻击步骤

黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。

1.1.1 攻击前奏

黑客锁定目标、了解目标的网络结构，收集各种目标系统的信息等。

锁定目标：网络上有许多主机，黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址，黑客会利用域名和IP地址就可以顺利地找到目标主机。

了解目标的网络结构：确定要攻击的目标后，黑客就会设法了解

其所在的网络结构，哪里是网关、路由，哪里有防火墙，哪些主机与要攻击的目标主机关系密切等，最简单地就是用tracert命令追踪路由，也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测，从而隐藏他们真实的IP地址。

收集系统信息：在收集到目标的第一批网络信息之后，黑客会对网络上的每台主机进行全面的系统分析，以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本，如果目标开放telnet服务，那只要telnet xx.xx.xx.xx.（目标主机），就会显示“digitalunlx(xx.xx.xx.)(ttypl)login：”这样的系统信息。接着黑客还会检查其开放端口进行服务分析，看是否有能被利用的服务。因特网上的主机大部分都提供www、mail、ftp、teinet等日常网络服务，通常情况下telnet服务的端口是23等，www服务的端口是80，ftp服务的口是23。利用信息服务，像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节，traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数，whois协议服务能提供所有有关的dns域和相关的管理参数，finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所有如果没有特殊的需要，管理员应该关闭这些服务.利用安扫描器，收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞，包括各种系统服务漏洞，应用软件漏洞，弱口令用户等等。

1.1.2实施攻击

当黑客探测到了足够的系统信息，对系统的安全弱点有了了解后就会发动攻击，当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。一般，黑客攻击的终极目的是能够控制目标系统，窃取其中的机密文件等，但并不是每次黑客攻击都能够得逞控制目标主机的目的的，所以有时黑客也会发动拒绝服务攻击之类的干扰攻击，使系统不能正常工作。关于黑客具体采用的一些攻击方法我

们在下面黑客攻击方法中有详细的介绍，这里就不细说了。

1.1.3 晋级支配

黑客利用种种手段进入目标主机系统并获得控制权之后，不是像大家想象的那样会马上进行破坏活动，删除数据、涂改网页等，那是毛头小伙子们干的事情。一般入侵成功后，黑客为了能长时间表的保留和巩固他对系统的控制权，不被管理员发现，他会做两件事：清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹，黑客当然不会留下这些“犯罪证据”，他会把它删了或用假日志覆盖它，为了日后面以不被觉察地再次进入系统，黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。

清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动；窃取主机上的各种敏感信息：软件资料、客户名单、财务报表、信用卡号等等，也可能是什么都不动，只是把你的系统作为他存放黑客程序或资料的仓库，也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击，如：继续入侵内部网络，或者利用这台主机发动d.o.s攻击使网络瘫痪。

网络世界瞬息万变，黑客们各有不同，他们的攻击流程也不会全相同，上面我们提的攻击步骤是对一般情况而言的，是绝大部分黑客正常情况下采用的攻击步骤。

第二章 DoS 与DDoS攻击原理

拒绝服务（Denial of Service，简称DoS）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。

目前，拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法，无数网络用户都受到这种攻击的侵害，造成了巨大的经济损失。因此，了解DoS 与DDoS攻击原理及基本的防范方法，

对所有网络用户特别是网络管理人员有着重要的意义。

2.1 DoS攻击

DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。

2.1.1 SYN Flood攻击

SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。

2.1.2 Land 攻击

Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。

2.1.3 Smurf攻击

Smurf攻击是一种放大效果的ICMP攻击方式，其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。

2.1.4 UDP攻击

UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。

2.2 DDoS攻击

DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时，其攻击的效果较为明显。随着计算机及网络技术的发展，计算机的处理能力迅速增长，网络带宽也从百兆发展到了千兆、万兆，DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发起攻击，攻击效果极为明显。

2.2.1 DDoS攻击原理

DDoS主要采用了比较特殊的3层客户机/服务器结构，即攻击端、主控端和代理端，这3者在攻击中各自扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构，使DDoS具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。

DDoS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。

2.2.2 DDoS攻击的主要形式

DDoS攻击的主要形式有以下几种：

①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据，造成网络拥塞，使被攻击主机无法与外界通信。

②利用被攻击主机提供的服务或传输协议上的缺陷，反复高速地发送对某特定服务的连接请求，使被攻击主机无法及时处理正常业务。

③利用被攻击主机所提供服务中数据处理上的缺陷，反复高速地发送畸形数据引发服务程序错误，大量占用系统资源，使被攻击主机处于假死状态，甚至导致系统崩溃。

第三章 DoS 与DDoS攻击的检测与防范

从 DoS 与DDoS攻击过程可以看出，其攻击的目的主要有：（1）对网络带宽的流量攻击；（2）对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理，导致资源占

用超出允许上限，使网络中断或无法提供正常服务。

由于DoS 、DDoS是利用网络协议的缺陷进行的攻击，所以要完全消除攻击的危害是非常困难的。从理论上说，只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击，即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统，但防火墙阻挡这些攻击数据包，必须付出高额的资源开支，这同样会造成网络性能下降，甚至网络中断。在实际应用中，我们可以通过一些方法检测到攻击现象的出现，并减缓攻击造成的危害。

3.1 常规安全检测与防范

常规检测与防范是面向网络中所有服务器和客户机的，是整个网络的安全基础。可以设想，如果全世界所有计算机都有较好的防范机制，大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以，在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。

在实际应用中，可以使用Ping命令和Netstat —an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢，使用Ping命令检测时出现超时或严重丢包，则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常，但无法访问服务（如无法打开网页，DNS失效等），而Ping同一交换机上的其他主机正常，则有可能是受到了资源耗尽攻击。在服务器上执行Netstat —an命令，若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态，而ESTABLISHED状态较少，则可以认定是受到了资源耗尽攻击。

要增强网络中的服务器的抵抗力可采用的方法有：

3.2.1 安装最小化

因为现在的硬盘越来越大，许多人在安装操作系统时，希望安装越多越好。岂不知装得越多，所提供的服务就越多，而系统的漏洞也就越多。如果只是要作为一个代理服务器，则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可，不要安装任何应用软件，更不可安装任何上网软件用来上网下载，甚至输入法也不要安装，更不能

让别人使用这台服务。

3.2.2 安装补丁程序

上面所讲的利用输入法的攻击，其实就是黑客利用系统自身的漏洞进行的攻击，对于这种攻击我们可以下载微软提供的补丁程序来安装，就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序，也可直接运行开始菜单中的windows update 进行系统的自动更新。

3.2.3 关闭非必须端口

计算机要进行网络连接就必须通过端口，要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的端口（但对于“黑客”却可能有用），即关闭无用的服务，来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”，也可用通过打开“TCP/IP协议” →选择“属性”，打开“常规” →选择“高级”，打开“选项” →选择“TCP/IP筛选” →选择“属性” →双击“TCP/IP筛选” →选择“只允许” →选择“添加”添加需要打开的端口；如上网必须要利用的80端口。

3.2.4 删除Guest账号

大家都知道win2000的Guest账号一般是不能更改和删除的，只能“禁用”，但是可以通过net命令（net user guest /active）将其激活，所以它很容易成为“黑客”攻击的目标，所以最好的方法就是将其删除，下载Ptsec.exe 即win2000权限提升程序。进入cmd，打入Ptsec /di回车，退出。进入注册表，搜索guest，删除它，Guest账号就被删除了。

3.2.5 及时备份重要数据

如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽

量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

3.2.6 使用加密机制传输数据

对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

结论

网络攻击越来越猖獗，对网络安全造成了很大的威胁。对于任何黑客的恶意攻击，都有办法来防御，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心，因为目前市场上也已推出许多网络安全方案，以及各式防火墙，相信在不久的将来，网络一定会是一个安全的信息传输媒体。特别需要强调的是，在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。

参考文献

[1] 舒洁．Win2000安全审核让入侵者无处遁形[DB/OL] ．http：//www.xfocus.net/index.html（安全焦点）2004-02

[2] 胡小新、王颖、罗旭斌．一种DoS攻击的防御方案[J] ．计算机工程与应用．2004(12):160-163

[3] 吴闻．构建网络安全体系的必要措施 [J] ．网络安全技术与应用．2003(9):28-31

[4] 无琴．Win2000入侵日志分析[J] ．黑客X档案．2003．（5）P67

[5] 华勇、高健媛、韩臻．网络安全存在问题解决方法的研究[J] ．铁路计算机应用．2002（1）

[6] 宋乃平、文桦．Internet网络安全管理[J] ．天中学刊．2002．（2）

[7] 陈浩．Internet上的网络攻击与防范[J] ．电信技术．1998．（4）

[8] 《黑客防线》．http：//www.hacker.com.cn

[9] 《火狐技术联盟》．http：//www.wrsky.com

常见网络攻击的手段与防范

侯建兵

赤峰学院计算机科学与技术系，赤峰024000

摘要：现在，Intemet上的网络攻击越来越猖獗，攻击手段也越来越先进，一旦被攻破，导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题，受到全世界网络工作者的普遍重视，因此，针对黑客的网络攻击，提高网络的防护能力，保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击，将它们进行了分类，在分析其攻击原理的基础上，针对网络攻击的具体防御措施进行了讨论和分析。

关键词：网络安全；网络攻击；安全策略；手段；措施；黑客攻击；防范技术

一．引言

随着Intemet的发展．高信息技术像一把双刃剑，带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重，攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识，制订完善安全防护策略。孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，针对不同的方法采取不同的措施，做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。

二．相关基本概念和网络攻击的特点

1.计算机网络安全的含义

从本质上来讲．网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性．使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2. 网络攻击概念性描述

网络攻击是利用信息系统自身存在的安全漏洞，进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标，破坏扰乱对方信息系统的正常运行，致使对方计算机网络和系统崩溃、失效或错误工作。

3. 计算机网络攻击的特点

计算机网络攻击具有下述特点：(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

(3)手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的

计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。(4)以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。

三．网络攻击的步骤

进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报——远程攻击——远程登录——取得普通用户的权限——取得超级用户的权限——留下后门——清除日志。主要内容包括目标分析、文档获取、破解密码、日志清除等技术。

第一步：隐藏自己的位置

普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。

第二步：寻找目标主机并分析目标主机

攻击者首先要寻找目标主机并分析目标主机。在Intemet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供的服务等资料进行全面的了解。此时，攻击者会使用一些扫描工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。

第三步：获取帐号和密码，登录主机

要想入侵一台主机，首先必需要有该主机的一个帐号和密码，否则连登录都无法进行。因此，攻击者必须先设法盗窃帐户文件并进行破解，从中获取某用户的帐号和口令，然后寻找合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

第四步：获得控制权

攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，就会清除日志和留下后门，而且会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTP记录。用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。

第五步：窃取网络资源和特权

攻击者找到攻击目标后，会继续下一步的攻击，即实施真正的网络攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。

三．网络攻击技术原理和常用手段

1. Dos拒绝服务攻击

Internet最初的设计目标是开放性和灵活性，而不是安全性。目前Internet网上各种入侵手段和攻击方式大量出现，成为网络安全的主要威胁，拒绝服务(Denial of Service，DoS)是一种简单但很有效的进攻方式。其基本原理是利用合理的请求占用过多的服务资源，致使服务超载，无法响应其他的请求，从而使合法用户无法得到服务。

DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资

源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的缺乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限。所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源缺乏，像是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会使所有的资源交得非常渺小。

典型拒绝服务攻击有以下几种：

（1）Ping of Death

根据TCP／IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

（2）SYN flood

SYN flood攻击也是一种常用的拒绝服务攻击。它的工作原理是，正常的一个TCP连接需要连接双方进行三个动作，即“三次握手”，其过程如下：请求连接的客户机首先将一个带SYN标志位的包发给服务器；服务器收到这个包后产生一个自己的SYN标志，并把收到包的SYN+I作为ACK标志返回给客户机：客户机收到该包后，再发一个ACK=SYN+I的包给服务器。经过这三次握手，连接才正式建立。在服务器向客户机发返回包时，它会等待客户机的ACK确认包，这时这个连接被加到未完成连接队列中，直到收到ACK应答后或超时才从队列中删除。这个队列是有限的，一些TCP／IP堆栈的实现只能等待从有限数量的计算机发来的ACK消息、，因为他们只有有限的内存缓冲区用于创建连接，如果这些缓冲区内充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。如果客户机伪装大量SYN包进行连接请求并且不进行第三次握手，则服务器的未完成连接队列就会被塞满，正常的连接请求就会被拒绝，这样就造成了拒绝服务。

（3）缓冲区溢出攻击

缓冲区是程序运行时计算机内存中的一个连续块。大多数情况下为了不占用太多的内存，一个有动态变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据，就会发生缓冲区的溢出。此时，子程序的返回地址就有可能被超出缓冲区的数据覆盖，如果在溢出的缓存区中写入想执行的代码(SHELL-CODE)，并使返回地址指向其起始地址，CPU就会转而执行SHELL-CODE，达到运行任意指令从而进行攻击的目的。

2. 程序攻击

（1）病毒

A．病毒的主要特征

 隐蔽性：病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现。  寄生性：计算机病毒通常是依附于其它文件而存在的。

 传染性：计算机病毒在一定条件下可以自我复制，能对其它文件或系统进行一

系列非法操作，并使之成为一个新的传染源。

 触发性：病毒的发作一般都需要一个激发条件，可以是日期、时间、特定程序

的运行或程序的运行次数等等。

 破坏性：病毒在触发条件满足时，会立即对计算机系统的文件、资源等运行进

行干扰破坏。

 不可遇见性：病毒相对于防毒软件永远是超前的，理论上讲没有任何杀毒软件

能将所有的病毒杀除。

 针对性：针对特定的应用程序或操作系统，通过感染数据库服务器进行传播。

B．病毒采用的触发条件主要有以下几种：

 日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月

份触发、前半年后半年触发等。

 时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写

入时间触发等。

 键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键入时，病毒被激活，

进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。  感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有

关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。

 启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。  访问磁盘次数触发：病毒对磁盘I／O访问的次数进行计数，以预定次数做触发条件

叫访问磁盘次数触发。

 调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。

 CPU型号／主板型号触发：病毒能识别运行环境的CPU型号／主板型号，以预定CPU

型号／主板型号做触发条件，这种病毒的触发方式奇特罕见。

被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其他条件等。

（2）蠕虫

A.蠕虫的工作原理

蠕虫程序的实体结构：

蠕虫程序相对于一般的应用程序，在实体结构方面体现更多的复杂性，通过对多个蠕虫程序的分析，可以粗略的把蠕虫程序的实体结构分为如下的六大部分，具体的蠕虫可能是由其中的几部分组成：

 未编译的源代码：由于有的程序参数必须在编译时确定，所以蠕虫程序可能包含一

部分未编译的程序源代码；

 已编译的链接模块：不同的系统(同族)可能需要不同的运行模块，例如不同的硬件

厂商和不同的系统厂商采用不同的运行库，这在UNIX族的系统中非常常见；

 可运行代码：整个蠕虫可能是由多个编译好的程序组成；

 脚本：利用脚本可以节省大量的代码，充分利用系统shell的功能；

 受感染系统上的可执行程序：受感染系统上的可执行程序如文件传输等可被蠕虫作

为自己的组成部分；

 信息数据：包括已破解的口令、要攻击的地址列表、蠕虫自身压缩包。

蠕虫程序的功能结构：

鉴于所有蠕虫都具有相似的功能结构，本文给出了蠕虫程序的统

一功能模型，统一功能模型将蠕虫程序分解为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程，包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏能力。

基本功能由五个功能模块构成：

 搜索模块：寻找下一台要传染的机器，为提高搜索效率，可以采用一系列的搜索算

法。

 攻击模块：在被感染的机器上建立传输通道(传染途径)，为减少第一次传染数据传

输量，可以采用引导式结构。

 传输模块：计算机间的蠕虫程序复制。

 信息搜集模块：搜集和建立被传染机器上的信息。

 繁殖模块：建立自身的多个副本，在同一台机器上提高传染效率、判断避免重复传

染。

B.蠕虫的工作流程：

蠕虫程序的工作流程可以分为扫描、攻击、现场处理、复制四部分，当扫描到有漏洞的计算机系统后，进行攻击，攻击部分完成蠕虫主体的迁移工作；进入被感染的系统后，要做现场处理工作，现场处理部分工作包括隐藏、信息搜集等；生成多个副本后，重复上述流程。

（3）木马攻击

A.木马的结构

木马程序一般包含两个部分：外壳程序和内核程序。

外壳程序：一般是公开的，谁都可以看得到。往往具有足够的吸引力，使人在下载或拷贝时运行。

内核程序：隐藏在外壳程序之后，可以做各种对系统造成破坏的事情，如：发动攻击、破坏设备、安装后门等。

B.木马攻击原理

一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序，他所做的第一步是要把木马的服务器端程序植入到目标的电脑里面。攻击者要通过木马攻击目标系统，当植入成功以后，攻击者就对目标电脑进行非法操作。

C.木马具有的特性

由于木马所从事的是”地下工作”，因此它必须隐藏起来，它会想尽一切办法不让你发现它。它的特性主要体现在以下几个方面：

 隐蔽性：当木马植入到目标电脑中，不产生任何图标，并以”系统服务”的方式欺

骗操作系统。

 具有自动运行性：木马为了控制服务端。它必须在系统启动时即跟随启动，所以它

必须潜人在你的启动配置文件中，如win．ini、system．ini、winstart．bat以及启动组等文件之中。

 包含具有未公开并且可能产生危险后果的功能的程序。

 具备自动恢复功能，木马程序中的功能模块具有多重备份，可以相互恢复。当你删

除了其中的一个，随后马上有会出现。

 能自动打开特别的端口，当木马程序植入后，攻击者利用该程序，开启系统中别的

端口，以便进行下一次非法操作。

 通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索

cache中的口令、设置口令、扫描目标机器人的IP地址进行键盘记录、远程注册表的操作以及锁定鼠标等功能。

3. 电子欺骗攻击

（1）IP电子欺骗攻击

IP欺骗有两种基本方式，一种是使用宽松的源路由选择截取数据包，另一种是利用UNIX机器上的信任关系。

使用宽松的源路由选择时，发送端指明了流量或者数据包必须经过的IP地址清单，但如果有需要，也可以经过一些其它的地址。由于采用单向的IP欺骗时，被盗用的地址会收到返回的信息流，而黑客的机器却不能收到这样的信息流，所以黑客就在使用假冒的地址向目的

地发送数据包时指定宽松的源路由选择，并把它的IP地址填入地址清

单中，最终截取目的机器返回到源机器的流量。

在UNIX系统中，为了操作方便，通常在主机A和主机B中建立起两个相互信任的账户。黑客为了进行IP欺骗，首先会使被信任的主机丧失工作能力，同时采样目标主机向被信任的主机发出的TCP序列号，猜测出它的数据序列号，然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接，以便进行非授权操作。

（2）DNS电子欺骗攻击

主机域名与IP地址的映射关系是由域名系统DNS来实现的，现在Internet上主要使用Bind域名服务器程序。DNS协议具有以下特点：

 NDS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返

回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险；

 在DNS应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，

攻击这就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名和IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击这所指定的域名服务器上，从而对网络的完整性造成威胁。

 DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该

信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。

针对DNS协议存在的安全缺陷，目前可采用的DNS欺骗技术有：

A.内应攻击。攻击者在非法或合法地控制一台DNS服务器后，可以直接操作域名数据库，修改指定域名所对应的IP为自己所控制的主机IP。于是，当客户发出对指定域名的查询请求后，将得到伪造的IP地址。

B.序列号攻击。DNS协议格式中定义了序列号ID，用来匹配请求数据包和响应数据包，客户端首先以特定的ID向DNS服务器发送域名查询数据包，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时，客户端将收到的DNS响应数据包的ID和自己发送出去的查询数据包的ID比较，如果匹配，则使用之，否则，丢弃。利用序列号进行DNS欺骗的关键是伪装成DNS服务器向客户端发送DNS响应数据包，而且要在DNS服务器发送的真实DNs响应数据包之前到达客户端，从而是客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP。其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。

利用序列号进行DNS欺骗有两种情况：第一，当攻击者与DNS服务器，客户端均不在同一个局域网内时，攻击者可以向客户端发送大量的携有随机ID序列号的DNS响应数据包，其中包内含有攻击者伪造的IP，但ID匹配的几率很低，所以攻击的效率不高。第二，当攻击者至少与DNS服务器或者客户端某一个处在同一个局域网内时，攻击者可以通过网络监听得到DNS查询包的序列号ID，这时，攻击者就可以发送自己伪造好的DNS响应包给客户端，这种方式攻击更高效。

4. 对网络协议（TCP/IP）弱点的攻击

（1）网络监听

网络监听的原理：

网络中传输的每个数据包都包含有目的MAC地址，局域网中数据包以广播的形式发送。假设接收端计算机的网卡工作在正常模式下，网卡会比较收到数据包中的目的MAC地址是否为本计算机MAC地址或为广播地址，是，数据包将被接收，如果不是，网卡直接将其丢弃。

假设网卡被设置为混杂模式，那么它就可以接收所有经过的数据包了。也就是说，只要是发送到局域网内的数据包，都会被设置成混杂模式的网卡所接收。

现在局域网都是交换式局域网，以前广播式局域网中的监听不再有效。但监听者仍然可以通过其他途径来监听交换式局域网中的通信。

攻击手段：

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输人的密码需

要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay forWindows95／98／NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。

（2）电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件。从而使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。

四．网络攻击的防范措施

在对网络攻击进行深入分析与识别的基础上，网络管理人员或用户应认真制定有针对性的防范策略，明确安全对象，设置强有力的安全保障体系，有的放矢，在网络中层层设防，发挥网络每一层的作用，使每层都成为一道关卡，从而让攻击者无缝可钻、无计可施。当然，还必须做到预防为主，对重要的数据及时进行备份并时刻关注系统的运行状况。

1.拒绝服务攻击的防范

由于DoS攻击主要利用网络协议的特征和漏洞进行攻击，所以在防御DoS攻击时也要与之对应，分别提出相应的解决方案。防范DoS攻击可以采用以下的技术手段：．

(1)Syn—Cookie(主机)／Syn—Gate(网关)

在服务器和外部网络之间部署代理服务器，通过代理服务器发送Syn／Ack报文，在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn／Ack包，如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息，防火墙则丢弃此状态信息；如果客户端的Ack到达，防火墙代替客户端向服务器发送Syn包，并完成后续的握手，最终建立客户端到服务器的连接。通过这种Syn—Cookie技术，保证每个Syn包源的真实有效性，确保服务器不被虚假请求浪费资源，从而彻底防范对服务器的Syn—Flood攻击。

(2)应用负载均衡技术

负载均衡技术基于现有网络结构，提供了一种扩展服务器带宽和增加服务器吞吐量的廉价有效的方法，增强了网络数据处理能力。负载均衡的应用，能够有效地解决网络拥塞问题，能够就近提供服务，同时，还能提高服务器的响应速度，提高服务器及其它资源的利用效率，从而为用户提供更好的访问质量。负载均衡技术不是专门用来解决DoS问题，但它在应对拒绝服务攻击方面却起到了重大的作用。

(3)包过滤及路由设置

应用包过滤技术过滤对外开放的端口，是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击的有效方法。

(4)运行尽可能少的服务

运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了20个端口，这就

使得攻击者可以在较大的范围内尝试对每个端口进行不同的攻击。相反，如果系统只开了很少的端口，这就限制了攻击者攻击站点的类型，而且，当运行的服务和开放的端口都很少时，管理员可以很容易地进行安全设置。

(5)防患于未然

由于现有的技术还没有一项针对DoS攻击的非常有效的解决办法，所以，防止DoS攻击的最佳方法就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦内部或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险将会很大，而且，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击效果会更加明显，因此，必须保证外围主机和网络的安全，尤其是那些拥有高带宽和高性能服务器的网络。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。

2.网络监听的防范

现在网络中使用的大部分协议都是很早就设计的，没有充分考虑到网络安全问题，许多协议的实现都是基于一种非常友好的、通信双方充分信任的基础之上，而且许多信息以明文形式发送，因此给黑客的网络监听有了可乘之机。网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包，但可以采用以下措施来有效防止网络监听：

(1)划分VLAN

为了克服以太网的广播问题，可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络监听的入侵。交换机的每一个端口配置成独立的VLAN，享有独立的VID。将每个用户端口配置成独立的VLAN，利用支持VLAN的交换机进行信息的隔离，把用户的IP地址绑定在端口的VLAN号上，以保证正确的路由选择。

在集中式网络环境下，将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，可以按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。通过划分VLAN，有效地控制了广播风暴，降低了通过网络监听手段窃取诸如网络管理员等高级用户口令的风险，有效保障网络的正常运行和网络信息的安全。

(2)以交换式集线器代替共享式集线器

对局域网的中心交换机虽然可以进行网络分段，但以太网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包)还是会被同一台集线器上的其他用户所监听。因此，应该以交换式集线器代替共享式集线器(近年来，由于交换机价格的下降，使交换机的应用越来越广泛，而集线器则逐渐退出了历史舞台)，使单播包仅在两个节点之间传送，从而防止非法监听。

(3)VLAN+IP+MAC捆绑来确保网络的安全性

在所有的用户间采用VLAN隔离，从而最大限度地保护了网络和用户信息的安全，但是用户的IP地址或MAC地址可能被盗用或被仿冒，因此采用VLAN+IP+MAC捆绑的方式来认证和保证网络的安全，这意味着只有正确分配的IP地址、正确的网络接口卡并且连到特定端口的用户才能获取服务。

(4)信息加密

对一些重要数据进行加密，即使被截获，信息也不易泄露。

确认所进行的请求和数据传递是处于明文还是密文的状态(如：在Telnet、FTP、HTTP、

SMTP等传输协议中，用户帐号和密码信息都是以明文格式传输)，是明文传输的应尽可能改用密文方式来传输。例如：由于Telnet协议是明文传输的，而ssh是密文传输的，所以应该用ssh取代Telnet实现对主机的远程管理。对网络安全要求不是很高的交易或认证，可以使用SSL(Secure Sockets Layer：安全套接层通讯协议)安全机制，为IIS提供一种在其服务协议(HTIT)和TCP／IP之间提供分层数据安全性的协议，为TCP／IP连接提供数据加密、服务器身份验证和消息完整性，从而防止资料窃取者直接看到传输中的信息。

3.缓冲区溢出攻击的防范

近年来所发现的重大安全漏洞中有半数属于缓冲区溢出漏洞，因此，要完全避免缓冲区溢出漏洞造成的安全威胁是不可能的，但我们可以构建完善的防范体系来降低缓冲区溢出攻击的威胁。

(1)编写正确的代码

避免使用Gets、Sprintf等未限定边界溢出的危险函数或者使用具有类型安全的Java等语言以避免C语言的缺陷，防止缓冲区溢出的发生，同时，使用高级查错工具寻找代码中的缓冲区溢出安全漏洞，确保程序员开发出更安全的程序。

(2)非执行的缓冲区

通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入到被攻击程序输入缓冲区中的代码，这种技术称为非执行的缓冲区技术。事实上，很多老的Unix系统都是这样设计的，但是近来的Unix和MSWindows系统为实现更好的性能和功能，往往在数据段中动态地放人可执行的代码。所以为了保持程序的兼容性不可

能使得所有程序的数据段不可执行。但是我们可以设定堆栈数据段不可执行，这样就可以最大限度地保证了程序的兼容性。

(3)数组边界检查

不像非执行缓冲区保护，数组边界检查完全没有了缓冲区溢出的产生和攻击。这样，只要数组不能被溢出，溢出攻击也就无从谈起。为实现数组边界检查，则所有对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。通常可以用Compaq C编译器、类型安全语言等优化技术来减少检查的次数。

(4)程序指针完整性检查

程序指针完整性检查和边界检查有略微的不同。与防止程序指针被改变不同，程序指针完整性检查在程序指针被引用之前检测到它的改变。因此，即便一个攻击者成功地改变程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。与数组边界检查相比，这种方法不能解决所有的缓冲区溢出问题，采用其他的缓冲区溢出方法就可以避免这种检测，但是这种方法在性能上有很大的优势，而且兼容性也很好。

(5)作为普通用户或系统管理员，确保及时对自己的操作系统和应用程序进行升级更新，以修补公开的漏洞，减少不必要的开放服务端口。

五．网络安全防范措施

以上这几种防范措施是针对具体的网络攻击来设计的。我们都知道，现在的网络攻击手段纷繁复杂，多的数不胜数，而且攻击的手段越来越高级，就靠这几种防范措施是远远不够得，是不能解决现实问题的。所以下面给大家从总体上强调几点防范措施：

1.利用安全防范技术

正因为网络安全问题复杂多样，所以出现了一些技术来帮助管理员来加强网络安全。其中主要分为。加密技术，身份认证技术，防火墙技术等等。管理员可以利用这些技术组合使

用来保证网络主机的安全。

（1）加密技术

加密技术主要分为公开算法和私有算法两种。私有算法是运用起来是比较简单和运算速度比较快的，但缺点是一旦被解密者追踪到算法，那么算法就彻底废了。公开算法的算法是公开的，有的是不可逆。有用公钥，私钥的。优点是非常难破解。可广泛用于各种应用。缺点是运算速度较慢。使用时很不方便。

（2）身份认证技术

身份认证技术在电子商务应用中是极为重要的核心安全技术之一。主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos，它可以使用户使用的密码在网络传送中。每次均不一样，可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。

（3）防火墙

防火墙技术是比较重要的一个桥梁。以用来过滤内部网络和外部网络环境，在网络安全方面，它的核心技术就是包过滤，高级防火墙还具有地址转换。虚拟私网等功能。

2.制订安全策略

系统管理员应提高认识，并分析做出解决办法和提出具体防范方法。更应该在保证好机器设备正常运转的同时，积极研究各种安全问题，制订安全策略。虽然没有绝对的把握阻止任何侵入，但是一个好的安全策略可以最少的机会发生入侵情况，即使发生了也可以最快的做出正确反应，最大程度减少经济损失。

（1）提高安全意识

 不随意打开来历不明的电子邮件及文件，不随意运行不明程序。

 尽量避免从Intemet下载不明软件。一旦下载软件及时用最新的病毒和木马查杀软件

进行扫描。

 密码设置尽可能使用字母数字混排，不容易穷举。重要密码最好经常更换。  及时下载安装系统补丁程序。

（2）使用防毒、防黑等防火墙

防火墙是用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进／出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。

（3）设置代理服务器，隐藏自己的IP地址。

事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。

（4）将防毒、防黑当成日常例性工作。定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。

（5）对于重要的资料做好严密的保护，并养成资料备份的习惯。

六．结束语

没有绝对安全的网络系统，安全问题是多种多样，且随着时间技术的变化而变化，所以安全防护也是非常重要的，保持清醒正确的认识，同时掌握最新的安全问题情况，再加上完善有效的安全策略，是可以阻止大部分安全事件的发生，保持最小程度的损失。

参考文献：

[1]张兴虎．黑客攻防技术内幕．清华大学出版社，2002．12．

[2]【美]Eric Cole著，苏雷等译．黑客——攻击透析与防范．电子工业出版社。2002．3．

[3][美]Cathy Cronkhite Jack McCullough著，纪新元，谭保东译．拒绝恶意访问．人民邮电出版社。2002．6．

[4]http：／／grc．com／dos／drdos．htm．

[5]余伟建防守反击一一黑客攻击手段分析与防范，北京：人

民邮电出版社，2001．8

[6]张玮．网络攻击防范技术研究与实现．学位论文．重庆大学．2007．

[7]刘远生，等．计算机网络安全[M]．北京：清华大学出版社出版。2006．229—244．

[8]姜文红．网络安全与管理[M]．北京：清华大学出版社出版。2007．100—113．批注：

网络安全——攻击分类(1)

网络安全——攻击分类

攻击的主要系列如下图所示：

制作：

张选波

z 读取攻击——在未授权的情况下查看信息操纵攻击——修改信息欺骗攻击——提供虚假信息或虚假服务泛洪攻击——使计算机资源发生溢出重定向攻击——更改后续信息混合攻击——采用不止一种所列的方法

例1 Nmap ping 扫描

一、读取攻击读取攻击包括所有主要与从受害者那里获取信息相关的攻击，此类攻击从获悉组织机构的的IP地址，对于那些地址范围进行端口扫描和弱点扫描，到侵入有弱点的系统读取信息。 1、侦察攻击侦察（reconnaissance recon）攻击：主要是为使攻击者可以获取更多有关受害者的信息而设计的，侦察攻击可采用主动方法和被动方法，在几乎所有的情况下，成功的侦察攻击可使后续攻击成功能可能性大大提高，因为攻击者获取得了更多有关受害者的信息。数据整理攻击：是所有对网络攻击的第1步，攻击者结合了各种基于网络的实用程序和internet搜索引擎查询，以获得更多的信息。常常使用网络实用程序：whois、nslookup、finger、tranceroute、ping、google等。攻击者利用此攻击获取：关键系统的IP地址、受害者所分配的地址范围、受害者的internet服务提供商。探测和扫描攻击：也常称为端口扫描或弱点扫描，攻击者利用通过数据收集攻击获得的信息来获悉有关受攻击网络的信息，一般首先要执行端口扫描，然后进行弱点扫描，通过使用工具nmap之类的工具，通过此类攻击可以获得：受攻击者网络上所有可以公共到达的IP地址，每个可达系统所运行的OS猜测结果，在所发现的每个IP地址上运行的可达服务，网络是否处于防火墙的保护之下，防火墙的类型。张选波

上面找到了10.0.0.0/24网络上有114台主机正在运行，利用默认网关的特殊扫描可以得到防火墙的出厂信息。

例2 默认网关上的OS标识扫描

也可以使用此工具扫描主机所运行的服务，如下例子所示。例3 对服务进行扫描

拔号式扫描/移位式扫描攻击：此类攻击可以在不走正门的情况下进入受攻击网络，利用拔号式扫描，攻击者拔分配给受害者或受害者地区的电话号码的前缀，搜索调制解调器连接，从可达的调制解调器列表中可以猜测出另一端的系统类型，通过拔这些号码，攻击者极有可能绕过大部分受害者安全措施，并可以以受信任的员工身份出现。

2、嗅探攻击：

当攻击者从线缆上捕捉数据包，或数据包穿过攻击者系统时，这可以称为某种形式的嗅探攻击。嗅探攻击其目的在于读取信息获得情报，以使于攻击者了解目标系统，这样受到嗅探的协议信息必须以明文而不是密文的形式发送，嗅探才得以成功，主要获得如下信息：认证信息、网络管理信息、机密事务等。

经常使用的工具比如：ethereal，如下图所示：

例4 ethereal 使用

制作：张选

嗅探并不是攻击者专用的，也是一种极好的故障排队工具，大多数网络工程师往往用其诊断各种联网问题，在UNIX上工作时，我也经常使用tcpdump工具。

3、直接攻击

直接访问涵盖攻击者试图直接访问网络资源的所有攻击。例如，攻击者找到穿越防火墙的方法后，攻击者利用直接访问攻击登录到曾受防火墙保护的系统中，此后，攻击者就可以发起不限次数的其他攻击，最常见的是操纵攻击。虽然直接访问攻击几乎总是在第七层发起的，但如果攻击不是很特殊，直接攻击可在较低层遭到阻止，例如，配置正确的防火墙可以防止对于支持在web服务上的telnet后台程序攻击，由于普通用户不应在web服务器上使用telnet，防火墙可以在第4层阻止该请求。如果攻击是针对本应用可用的服务在第七层进行的，那么阻止攻击的责任就再度由可感知应用程序的系统来承担，如IDS或应用程序的安全配置。波

网络攻击常用方法

简答题：网络攻击常用的方法有哪些？共有九种攻击方法：

1、获取口令：

包括：一是通过网络监听非法得到用户口令

二是在知道用户的账号后（如电子用户口令邮件@前面的部分）利用一些专门软件强行破解

三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令

2、放置特洛伊木马程序：

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。

3、 WWW的欺骗技术：

例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

4、电子邮件攻击：

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，这类欺骗只要用户提高警惕，一般危害性不是太大。

5、通过一个节点来攻击其他节点：

黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。

6、网络监听：

7、寻找系统漏洞：

8、利用帐号进行攻击：

9、偷取特权：

利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

常见网络攻击手段原理分析

1.1 TCP SYN拒绝服务攻击

一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：

1、建立发起者向目标计算机发送一个TCP SYN报文；

2、目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；

3、发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。

利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：

1、攻击者向目标计算机发送一个TCP SYN报文；

2、目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应；

3、而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。

可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。

1.2 ICMP洪水

正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。

1.3 UDP洪水

原理与ICMP洪水类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

1.4 端口扫描

根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCP SYN）的时

候，做这样的处理：

1、如果请求的TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB）；

2、如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

1、如果该报文的目标端口开放，则把该UDP报文送上层协议（UDP）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）；

2、如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达。

利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP或UDP端口是开放的，过程如下：

1、发出端口号从0开始依次递增的TCP SYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）；

2、如果收到了针对这个TCP报文的RST报文，或针对这个UDP报文的ICMP不可达报文，则说明这个端口没有开放；

3、相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放）。

这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

1.5 分片IP报文攻击

为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。

目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

1.6 SYN比特和FIN比特同时设置

在TCP报文的报头中，有几个标志字段：

1、 SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；

2、 ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN）外，所有报文都设置该字段，作为对上一个报文的相应；

3、 FIN：结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接；

4、 RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；

5、 PSH：通知协议栈尽快把TCP数据提交给上层程序处理。

正常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文，因此，各个操作系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送SYN和FIN同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。

1.7 没有设置任何标志的TCP报文攻击

正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文（TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

1.8 设置了FIN标志却没有设置ACK标志的TCP报文攻击

正常情况下，ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。

1.9 死亡之PING

TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃。

1.10 地址猜测攻击

跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。

1.11 泪滴攻击

对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。

在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。

例如，对一个4500字节的IP包进行分片（MTU为1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。

如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。

1.12 带源路由选项的IP报文

为了实现一些附加功能，IP协议规范在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备（路由器）或最终目标计算机对这些IP报文进行额外的处理。

源路由选项便是其中一个，从名字中就可以看出，源路由选项的目的，是指导中间设备（路由器）如何转发该数据报文的，即明确指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过合适的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。

1.13 带记录路由选项的IP报文

记录路由选项也是一个IP选项，携带了该选项的IP报文，每经过一台路由器，该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。

通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。

1.14 未知协议字段的IP报文

在IP报文头中，有一个协议字段，这个字段指明了该IP报文承载了何种协议，比如，如果该字段值为1，则表明该IP报文承载了ICMP报文，如果为6，则是TCP，等等。目前情况下，已经分配的该字段的值都是小于100的，因此，一个带大于100的协议字段的IP报文，可能就是不合法的，这样的报文可能对一些计算机操作系统的协议栈进行破坏。

1.15 IP地址欺骗

一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

比较著名的SQL Server蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQL Server解析程序（SQL Server 2000以后版本）的服务器，这样由于SQL Server 解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。

1.16 WinNuke攻击

NetBIOS作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（IPC），以及不同操作系统之间的数据交换。一般情况下，NetBIOS是运行在LLC2链路协议之上的，是一种基于组播的网络访问接口。为了在TCP/IP协议栈上实现NetBIOS，RFC规定了一系列交互标准，以及几个常用的TCP/UDP端口：

139：NetBIOS会话服务的TCP端口；

137：NetBIOS名字服务的UDP端口；

136：NetBIOS数据报服务的UDP端口。

WINDOWS操作系统的早期版本（WIN95/98/NT）的网络服务（文件共享等）都是建立在NetBIOS之上的，因此，这些操作系统都开放了139端口（最新版本的WINDOWS 2000/XP/2003等，为了兼容，也实现了NetBIOS over TCP/IP功能，开放了139端口）。

WinNuke攻击就是利用了WINDOWS操作系统的一个漏洞，向这个139端口发送一些携带TCP带外（OOB）数据报文，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

1.17 Land攻击

LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文（连接建立请求报文）而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。这也是一种DOS攻击。

1.18 Script/ActiveX攻击

Script是一种可执行的脚本，它一般由一些脚本语言写成，比如常见的JAVA SCRIPT，VB SCRIPT等。这些脚本在执行的时候，需要一个专门的解释器来翻译，翻译成计算机指令后，在本地计算机上运行。这种脚本的好处是，可以通过少量的程序写作，而完成大量的功能。

这种SCRIPT的一个重要应用就是嵌入在WEB页面里面，执行一些静态WEB页面标记语言（HTML）无法完成的功能，比如本地计算，数据库查询和修改，以及系统信息的提取等。这些脚本在带来方便和强大功能的同时，也为攻击者提供了方便的攻击途径。如果攻击者写一些对系统有破坏的SCRIPT，然后嵌入在WEB页面中，一旦这些页面被下载到本地，计算机当前用户的权限执行这些脚本，这样，当前用户所具有的任何权限，SCRIPT都可以使用，可以想象这些恶意的SCRIPT的破坏程度有多强。这就是所谓的SCRIPT攻击。

ActiveX是一种控件对象，它是建立在MICROSOFT的组件对象模型（COM）之上的，而COM则几乎是Windows操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以

被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，COM提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如DLL库。

ActiveX控件可以嵌入在WEB页面里面，当浏览器下载这些页面到本地后，相应地也下载了嵌入在其中的ActiveX控件，这样这些控件便可以在本地浏览器进程空间中运行（ActiveX空间没有自己的进程空间，只能由其它进程加载并调用），因此，当前用户的权限有多大，ActiveX的破坏性便有多大。如果一个恶意的攻击者编写一个含有恶意代码的ActiveX控件，然后嵌入在WEB页面中，被一个浏览用户下载后执行，其破坏作用是非常大的。这便是所谓的ActiveX攻击。

1.19 Smurf攻击

ICMP ECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一个ICMP ECHO REPLY。一般情况下，计算机是不检查该ECHO请求的源地址的，因此，如果一个恶意的攻击者把ECHO的源地址设置为一个广播地址，这样计算机在恢复REPLY的时候，就会以广播地址为目的地址，这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO 请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。

除了把ECHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受影响。

1.20 虚拟终端（VTY）耗尽攻击

这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

1.21 路由协议攻击

网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP，OSPF，IS-IS，BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。

下面列举一些常见路由协议的攻击方式及原理：

1.21.1 针对RIP协议的攻击

RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

1.21.2 针对OSPF路由协议的攻击

OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

当前版本的WINDOWS 操作系统（WIN 2K/XP等）都实现了OSPF路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

跟RIP类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

1.21.3 针对IS-IS路由协议的攻击

IS-IS路由协议，即中间系统到中间系统，是ISO提出来对ISO的CLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。IS-IS路由协议经过扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。

对该协议的攻击与OSPF类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

与OSPF类似，如果运行该路由协议的路由器启用了IS-IS协议单元（PDU）HMAC验证功能，则可以从很大程度上避免这种攻击。

1.22 针对设备转发表的攻击

为了合理有限的转发数据，网络设备上一般都建立一些寄存器表项，比如MAC地址表，ARP表，路由表，快速转发表，以及一些基于更多报文头字段的表格，比如多层交换表，流项目表等。这些表结构都存储在设备本地的内存中，或者芯片的片上内存中，数量有限。如果一个攻击者通过发送合适的数据报，促使设备建立大量的此类表格，就会使设备的存储结构消耗尽，从而不能正常的转发数据或崩溃。

下面针对几种常见的表项，介绍其攻击原理：

1.22.1 针对MAC地址表的攻击

MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：

a) 提取数据幀的源MAC地址和接收到该数据幀的端口号；

b) 查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；

c) 如果该MAC地址在本地MAC地址表中不存在，则创建一个MAC地址表项； d) 如果存在，但对应的出端口跟接收到该数据幀的端口不符，则更新该表；

e) 如果存在，且端口符合，则进行下一步处理。

分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀，则该交换机就可能把自己本地的MAC地址表学满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。

而构造一些源MAC地址不同的数据幀，是非常容易的事情。

1.22.2 针对ARP表的攻击

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

1、主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

2、被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。

针对ARP表项，还有一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、如果发起该ARP请求的IP地址在自己本地的ARP缓存中；

2、请求的目标IP地址不是自己的。

可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：

1、源IP地址是C的IP地址，源MAC地址是A的MAC地址；

2、请求的目标IP地址是A的IP地址。

这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

这样B的ARP混存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。

1.22.3 针对流项目表的攻击

有的网络设备为了加快转发效率，建立了所谓的流缓存。所谓流，可以理解为一台计算机的一个进程到另外一台计算机的一个进程之间的数据流。如果表现在TCP/IP协议上，则是由（源IP地址，目的IP地址，协议号，源端口号，目的端口号）五元组共同确定的所有数据报文。

一个流缓存表一般由该五元组为索引，每当设备接收到一个IP报文后，会首先分析IP报头，把对应的五元组数据提取出来，进行一个HASH运算，然后根据运算结果查询流缓存，如果查找成功，则根据查找的结果进行处理，如果查找失败，则新建一个流缓存项，查路由表，根据路由表查询结果填完整这个流缓存，然后对数据报文进行转发（具体转发是在流项目创建前还是创建后并不重要）。

可以看出，如果一个攻击者发出大量的源IP地址或者目的IP地址变化的数据报文，就可能导致设备创建大量的流项目，因为不同的源IP地址和不同的目标IP地址对应不同的流。这样可能导致流缓存溢出。

网络攻击的常见手段及防范措施

　　【摘要】详细描述了常见的网络攻击手段和攻击原理,针对这些攻击手段设置网络安全防护策略。

　　【关键词】网络安全;网络攻击;安全策略

　　一、常见网络攻击的原理和手段

　　1.口令入侵。口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。

　　2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,达到控制你的计算机的目的。

　　3.电子邮件攻击。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。

　　4.网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,不管这些信息的发送方和接收方是谁。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。

　　5.安全漏洞攻击。许多系统都有这样那样的安全漏洞(B ugs)。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。

　　二、网络攻击应对策略

　　1.利用安全防范技术。(1)加密技术。加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快,缺点是一旦被解密者追踪到算法,算法就彻底废了。公开算法的算法是公开,有的是不可逆,有用公钥,私钥的,优点是非常难破解,可广泛用于各种应用;缺点是运算速度较慢,使用时很不方便。(2)身份认证技术。身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。(3)防火墙。防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。

　　2.制订安全策略。(1)提高安全意识。一是不随意打开来历不明的电子邮件及文件,不随意运行不明程序;二是尽量避免从Internet下载不明软件,一旦下载软件及时用最新的病毒和木马查杀软件进行扫描;三是密码设置尽可能使用字母数字混排,不容易穷举,重要密码最好经常更换;四是及时下载安装系统补丁程序。(2)使用防毒、防黑等防火墙。防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。(3)设置代理服务器,隐藏自己的IP地址。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法,保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。(4)将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。(5)对于重要的资料做好严密的保护,并养成资料备份的习惯。

　　参考文献

　　[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006:155～158

　　[2]刘远生.计算机网络安全[M].北京:清华大学出版社出版,2006:229～244

　　[3]姜文红.网络安全与管理[M].北京:清华大学出版社出版,2007:100～113

windows网络安全介绍以及常见网络攻击方式解读

1.网络安全的概念

网络安全的定义：网络系统的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统可以连续正常运行，网络服务不会终止

1.网络安全主要涉及3个方面：

硬件安全：即要保证网络设备的安全，如网络中的服务器、交换机、路由器等设备的安全。

软件和数据安全：即保证网络中的重要数据不被窃取和破坏，软件可以正常运行，没有被破坏。

系统正常运行：保证系统正常运行，系统不能瘫痪和停机。

2.网络安全的特性

机密性：防止未授权用户访问数据

完整性：数据在存储、传输过程中不被修改

可用性：数据在任何时候都是可用的

可控性：数据在传输过程中是可控的

可审查性：管理员能够跟踪用户的操作行为

3.网络安全的威胁

非授权访问：未经授权访问相关数据

信息泄露或丢失：信息在传输过程中泄露或丢失

破坏数据完整性：数据在传输过程中被修改

拒绝服务攻击：通过向服务器发送大量数据包，消耗服务器的资源，使服务器无法提供服务

利用网络传播计算机病毒

2.常见的网络攻击方式

端口扫描，安全漏洞攻击，口令入侵，木马程序，电子邮件攻击，Dos攻击

1.端口扫描：

通过端口扫描可以知道被扫描计算机开放了哪些服务和端口，以便发现其弱点，可以手动扫描，也可以使用端口扫描软件扫描

2.端口扫描软件

SuperScan(综合扫描器)

主要功能：

检测主机是否在线

IP地址和主机名之间的相互转换

通过TCP连接试探目标主机运行的服务

扫描指定范围的主机端口。

PortScanner(图形化扫描器软件)

比较快，但是功能较为单一

X-Scan(无需安装绿色软件，支持中文)

采用多线程方式对指定的IP地址段(或单机)进行安全漏洞检测

支持插件功能，提供图形化和命令行操作方式，扫描较为综合。

3.安全漏洞攻击

安全漏洞是硬件、软件、协议在具体实现和安全策略上存在的缺陷,安全漏洞的存在可以使攻击者在未授权的情况下访问或破坏系统

安全漏洞攻击实例：

(1)Windows2000中文输入法漏洞是指在Windows2000的最初版本中，中要使用者安装了中文输入法，就可以轻松进入Windows2000系统，获得管理员权限，可以执行作何操作，是非常严重的漏洞。后来，微软推出了相应补丁程序，弥补了该漏洞。

(2)Windows远程桌面漏洞是指微软的远程桌面协议(RDP协议)存在拒绝服务漏洞，远程攻击者可以向受影响系统发送特制的RDP消息导致系统停止响应。另外，该漏洞也可能导致攻击者获得远程桌面的账户信息，有助于进一步攻击。

(3)缓冲区溢出是一种非常普遍，非常危险的漏洞，在各种系统、应用软件中广泛存在。该漏洞可导致程序运行失败、系统宕机、系统重启等后果。所谓缓存区溢出是指当向缓冲区内填充的数据位数超过缓况区本身容量时，就会发生缓冲区溢出。发生溢出时，溢出的数据会覆盖在合法数据上。攻击者有时会故意向缓冲区中写入超长数据，进行缓况区溢出攻击，从而影响影系统正常运行。

(4)IIS的漏洞有很多。比如，FTP服务器堆栈溢出漏洞。当FTP服务器允许未授权的使用者登入并可以建立一个很长且特制的目录，就可能触发该漏洞，让黑客执行程序或进行阻断式攻击。

(5)SQL漏洞：比如SQL注入漏洞，使客户端可以向数据库服务器提交特殊代码，从而收集程序及服务的信息，从而获得想要的资料。

4.口令入侵

口令入侵是指非法获取某些合法用户的口令后，登录目标主机实施攻击的行为

非法获取口令的方式：

通过网络监听获取口令

通过暴力破解获取口令

利用管理失误获取口令

5.木马程序

它隐藏在系统内部，随系统启动而启动，在用户不知情的情况下，连接并控制被感染计算机

木马由两部分组成：服务器端和客户端

常见木马程序：

BO2000

冰河

灰鸽子

6.电子邮件攻击

攻击者使用邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用

电子邮件攻击的表现形式：

邮件炸弹

邮件欺骗

7.Dos攻击

Dos全称为拒绝服务攻击，它通过短时间内向主机发送大量数据包，消耗主机资源，造成系统过载或系统瘫痪，拒绝正常用户访问

拒绝服务攻击的类型：

攻击者从伪造的、并不存在的IP地址发出连接请求

攻击者占用所有可用的会话，阻止正常用户连接

攻击者给接收方灌输大量错误或特殊结构的数据包

Dos攻击举例

泪滴攻击

pingofDeath

smurf攻击

SYN溢出

DDoS分布式拒绝服务攻击

常见网络故障类型及诊断分析

　　摘要：随着科学技术的不断进步，网络早已走入了我们的日常工作和生活当中，已经成为了我们必不可少的一部分，与此同时，网络故障的发生频率也是越来越高，导致故障发生的原因也是愈加多样化。因此，本文笔者结合当前我国常见网络故障类型并结合个人多年来的实际工作经验，先对物理类网络故障进行分析，继而对逻辑类网络故障进行阐述，希望可以促进网络故障诊断技术的不断发展，为我国网络的安全发展提供新的动力。

　　关键词：网络故障；诊断；物理类；逻辑类；诊断方法

　　中图分类号：TP393.06

　　随着计算机的日益普及，人们之间的距离也随着网络的迅速发展而近了许多，在世界的各个角落都可以迅速进行沟通、交流，但是网络在给我们带来诸多便利条件的同时，也产生了许多附加的问题。因此，笔者结合多年的工作经验对常见网络故障的分类以及诊断方法进行详细的论述，希望可以对大家日后的工作有所帮助。

　　通常我们按照网络故障的特性将其分为两类，分别是物理类以及逻辑类故障两种，下面我们分别对其进行详细的分析：

　　1 物理类网络故障及诊断方法

　　物理类的网络故障就是由于设备或者线路出现问题而导致网络出现的故障的统称，其主要由线路故障、端口故障、集线器或路由器故障以及网卡故障等四种。下面我们分别对其进行描述：

　　1.1线路故障及诊断方法

　　根据相关部门统计，网络故障中由于线路受到严重电磁干扰以及线路损坏而导致的线路故障所占的网络故障的3/4，这是发生频率最高的一种网络故障。

　　该故障的诊断方法：如果线路非常长，不便于我们自行检查，我们就可以通过通知线路供应商来提供检查线路的服务；如果线路长度适中或者是网线不方便使用，我们就可以通过使用网线测试器来对线路进行检测；如果线路比较短，我们就可以将网线的一段插入正常的HUB断口，而另一端插入到一台确定可以正常联网的主机的RJ45插座内，通过主机的Ping线路连接到另一端的路由器或者主机，通过检查来判定网线是否正常。

　　如果怀疑线路受到强电磁干扰，我们可以通过使用带有较强屏蔽性的屏蔽线来进行测试，如果可以正常通信，则表明线路的确受到强电磁的干扰，我们就需要将线路远离线路周边具有较强电磁场的设备，如果屏蔽线不能正常通信，则表明该线路的问题不是由于强电磁场引起的。

　　1.2 端口故障及诊断方法

　　通常由端口本身或者插头松动而导致的物理故障，我们将其称为端口类故障。

　　该类故障的诊断方法：由于信号灯是设备是否有信号的直接体现，所以，我们可以通过观察信号灯来对故障的发生地点以及发生原因进行大致判断，必要时也可使用其他端口来判断是否正常。

　　1.3 路由器或集线器故障及诊断方法

　　该类故障主要是由于路由器或者集线器发生物理损坏而导致的网络故障。

　　该类故障的诊断方法：该类故障我们大多采用替换排除法进行诊断，通过使用同场通信的主机和网线来连接路由器或者集线器，如果通信正常，则表明路由器或者集线器可以正常工作；如果不能正常工作，则转换路由器的断口来判定到底是路由器或集线器的故障还是端口故障，正常情况下，路由器或集线器的对应的指示灯可以表示是都正常，如果最后均不能正常通信，则可证明是路由器或者集线器的问题。

　　1.4 网卡故障及诊断方法

　　由于网卡是安装在主机内部，所以我们也可以将网卡故障称之为主机故障。这类故障通常的表现形式为：主机本身故障、主机网卡插槽故障、网卡物理故障以及网卡松动故障等四种。

　　该类故障的诊断方法：主机故障我们就可以通过更换可以正常通信的主机来进行判定；而主机网卡插槽以及网卡松动故障我们则可以通过更换网卡插槽的方式来进行盘点过；而网卡物力故障则是在上述方法均无效的情况下，将网卡安装到可以正常通信的主机上进行测试，如果不能正常通信，则可以认定为网卡物力故障。

　　2 逻辑类网络故障及诊断方法

　　由于网络设备的配置错误也就是通常所说的配置错误而导致的网络故障，我们将其称为逻辑类故障。逻辑类网络故障主要有三种，分别是路由器逻辑故障、一些重要进程或端口关闭而导致的故障以及主机逻辑故障等

　　2.1路由器逻辑故障及诊断方法

　　该类故障的通常表现形式为：路由器内存余量不足、路由器CPU利用率过高以及路由器配置错误等三种。

　　该类故障的诊断方法：路由器内存余量不足以及CPU利用率过高两种问题的诱发原因可能是较差的网络质量导致的。我们可以通过MIB变量浏览器进行检查，通过手机路由器的内存余量、CPU的负载和温度、计费数据、端口流量数据以及路由表等数据进行判定。通常情况下，网络管理系统会对上述数据进行时刻监测、报警。所以面对这种情况时，我们可以通过重新规划网络拓扑结构、扩大内存以及升级路由器等方法来解决该问题。

　　路由器的端口参数设定错误，则会导致找不到远端地址的现象，所以我们可以使用Ping或者路由跟踪程序，即windows中的Tracert，UNIX中的Traceroute，来查看那个阶段出现问题，以便于后期的修复。

　　2.2一些重要进程或端口关闭故障及诊断方法

　　由于网络受到端口以及重要进程的支持，所以一旦重要进程或端口由于意外而关闭，网络也就会发生故障，线路发生中断，无法连接网络。

　　该故障的诊断方法：观察Ping线路近端的端口，检查是否畅通，在不同的前提下，再对端口状态进行检查，如果端口的状态为down，则表明网络故障的原因就是因为该端口，重启后线路即可恢复畅通。

　　2.3 主机逻辑故障及诊断方法

　　在所有的网络故障中，主机逻辑而导致的一直占据着较高的比例，其中包括：主机网络地址设置不当、网卡与设备存在冲突以及网卡驱动程序不当是最为常见的三种，下面我们对其进行详细的论述。

　　2.3.1网卡驱动程序不当

　　由于网卡的驱动程序未安装或者安装错误，都会导致网卡无法正常进行工作。

　　该故障的诊断方法：在设备管理器中，通过对网卡选项的检查来判断驱动程序是否安装正确，如果网卡型号钱为“X”或者“！”，则表示需要重新安装正确的驱动程序。

　　2.3.2主机网络地址设置不当

　　在主机逻辑故障中，主机网络地址设置不当是主要的一个原因，例如：当主机设置的IP地址与其他主机冲突或者不再网络范围内时，就会导致主机无法正常连接网络。

　　该故障的诊断方法：通过网络邻居属性中的连接属性来查看主机的网络地址是否设置正确，其中有IP地址、网关、子网掩码及DNS参数四种，调整为正确参数即可正常连接网络。

　　2.3.3网卡与其他设备的冲突

　　由于主机中其他设备与网卡的互相冲突，会导致网卡无法正常进行工作，主机无法正常接入网络。

　　该故障的诊断方法：通过相关设置网卡参数的程序，我们对网卡的I/O端口地址、IRQ以及接头类型等参数进行详细的检查，如果这些参数发生冲突，那么必须通过更换网卡插槽或者重新设置参数的方法，让主机认为是新设备重新分配的系统资源参数，才能够重新连接到网络。

　　3 结论

　　综上所述，随着电子科学技术的不断发展，我们的日常工作和生活早已离不开网络，所以为了保证我们工作生活质量，一定要对网络故障予以充分的重视，通过对故障类型以及诊断方法的学习，保证可以在网络故障发生后，用最短的时间，完成网络修复，在保证网络畅通的前提下，为我国经济以及社会的和谐发展注入新的活力。

　　参考文献：

　　[1]古新文.计算机网络故障的归类分析[J].科技信息（学术研究），2007（25）.

　　[2]黄高峰.网络故障诊断工具分析[J].仪表技术，2006（04）.

　　[3]何爽.论常见的网络故障及处理方法[J].才智，2010（11）.

网络黑客及其常用攻击方法

计算机网络系统面临的严重安全问题之一就是黑客攻击。黑客由产生初期的正义的“网络大侠”演变成计算机情报间谍和破坏者，他们利用计算机系统和网络存在的缺陷，使用手中计算机，通过网络强行侵入用户的计算机，肆意对其进行各种非授权活动，给社会、企业和用户的生活及工作带来了很大烦恼。

1.黑客的概念及类型

（1）黑客及其演变

“黑客”是英文“Hacker”的译音，源于Hack，本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的人的代言词。

“骇客”是英文“Cacker”的译音，意为“破坏者和搞破坏的人”。是指那些在计算机技术上有一定特长，非法闯入他人计算机及其网络系统，获取和破坏重要数据，或为私利而制造麻烦的具有恶意行为特征的人。骇客的出现玷污了黑客，使人们把“黑客”和“骇客”混为一体。

早期的“黑客”是一些专门研究、发现计算机系统和网络漏洞的计算机爱好

者。他们只对计算机系统有着狂热的兴趣和执着的追求，不断地研究计算机和网络知识，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。“黑客”不是恶意破坏者，是一群纵横于网络上的大侠，追求共享、免费，提倡自由、平等，“黑客”的出现推动了计算机和网络的发展与完善。

现在，黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人计算机系统的代言词，指少数凭借掌握的计算机技术，怀着不良的企图，采用非法手段获得系统访问权或逃过计算机网络系统的访问控制，进入计算机网络进行未授权或非法访问的人。

虚拟的网络世界里，黑客已成为一个特殊的社会群体。在世界上很多国家，有不少完全合法的黑客组织，经常召开黑客技术交流会，利用因特网在自己的网站上介绍黑客攻击手段，免费提供各种黑客工具软件，出版网上黑客杂志，致使普通用户也很容易下载并学会使用一些简单的黑客手段或工具，对网络进行某种程度的攻击，进一步地恶化了网络安全环境。有统计数据显示，世界上平均每5秒就有一起黑客事件发生，无论是政府机构、军事部门，还是各大银行和公司，只要与互联网接轨，就难逃黑客的“黑手”。

（2）中国黑客的形成与发展

1994年4月20日，中国国家计算与网络设施工程（The National Computing andNetworking Facility of China，NCFC）通过美国Sprint公司，连入Internet的64K国际专线开通，实现了与Internet的全功能连接。中国成

为直接接入Internet的国家，互联网终于面向中国人民开放了。从那时起，中国黑客开始了原始萌动。1998年，印度尼西亚爆发了大规模排华事件，中国“黑客”开始组织起来，用Ping的方式攻击印尼网站。这次行动造就了中国黑客最初的团结与合作的精神。这事件之后，有些人又回到了现实生活中，有些人则从此开始了对黑客理想的执著追求。1999年是网络泡沫高度泛滥的顶峰时期，刚刚起步的中国黑客，开始筹建规划自己的势力范围。从1999年到2000年，中国黑客联盟、中国鹰派、中国红客联盟等一大批黑客网站兴起。

目前，国内黑客中却是为了谋取暴利而散发木马等行为的“毒客”占主流。中国互联网形成了惊人完善的黑客病毒产业链，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。从反传统反商业、带着理想主义和政治热情的红客占主流到近年非法牟利的毒客横行。

（3）黑客的类型

黑客的分类众说分云，各种分类方法都有自己的道理。例如把黑客大分为“正”、“邪”两类，也就是我们经常听说的“黑客”和“红客”。把黑客分红客、破坏者和间谍三种类型，红客是指“国家利益至高无上”的、正义的“网络大侠”；破坏者也称“骇客”；间谍是指“利益至上”的计算机情报“盗猎者”。

（4）黑客的重要历史事件

有记载并有重大影响的各种黑客攻击事件很多，这里只举两个案例代表。

【案例1-1】历史上首个网络入侵案。1983年，美国的凯文·米特尼克因被发

现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教6个月。

【案例1-2】历史上第一个通过入侵银行电脑系统来获利的黑客。1995年，俄罗斯黑客VladimirLevin在互连网上进行“偷天换日”，侵入美国花旗银行，盗走1000万，并把帐户里的钱转移至美国、芬兰、荷兰、德国和爱尔兰等地。同年在英国被国际刑警逮捕。

2.黑客攻击常用方法

黑客和黑客技术对大多数用户而言显得非常模糊。在用户们看来，黑客都是很神秘的电脑高手，能强行侵入别人的计算机系统，并且肆意对其信息进行修改、窃取。为了揭开黑客的神秘面纱，下面介绍有关黑客基础知识。

（1）黑客攻击的主要原因—漏洞

漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者能够在未授权的情况下访问或破坏系统。从某种意义上来讲，黑客的产生与生存是由于计算机及通讯技术不成熟，计算机及网络系统的不健全，存在许多漏洞，才使黑客攻击有机可乘。造成漏洞的原因分析如下：

1）计算机网络协议本身的缺陷。如：目前应用的Internet基础协议TCP/IP协议组，早期没有考虑安全方面的问题，偏重于开放和互联而过分信任协议，使得协议的缺陷更加突出。

2）系统开发的缺陷。软件开发直到今天也没有很好地解决保证大规模软件

可靠性问题，致使大型系统都可能存在Bug（缺陷）。Bug是指操作系统或系统程序在设计、编写或设置时，考虑不周全，在遇到看似合理但实际上无法处理的问题时，引发了不可预见的错误。漏洞产生主要有4个方面：操作系统基础设计错误；源代码错误（缓冲区、堆栈溢出及脚本漏洞等）；安全策略施行错误；安全策略对象歧义错误。

3）系统配置不当。有许多软件是针对特定环境配置开发的，当环境变换或资源配置不当时，就可能使本来很小的缺陷变成漏洞。

4）系统安全管理中的问题。快速增长的软件的复杂性、训练有素的安全技术人员的不足以及系统安全策略的配置不当，增加了系统被攻击的机会。

【案例1-3】网上活动要注意安全选项的设置。浏览器IE、文件传送、E-mail电子邮件、远程登录和即时通信等网络服务，不注意安全选项的设置与安全防范，出现被窃取信息、攻击和感染病毒等问题。

（2）黑客入侵通道—端口

计算机通过端口实现与外部通信的连接，黑客攻击是将系统和网络设置中的各种端口作为入侵通道。这里所指的端口是逻辑意义上的端口，是指网络中面向连接服务和无连接服务的通信协议端口（Protocolport），是一种抽象的软件结构，包括一些数据结构和I/O（输入/输出）缓冲区。

TCP/IP协议中的端口指的是什么？互联网上每个主机都有一个的IP地址,如果把IP地址比作一栋楼的一户房子，端口就是出入这间房子的门。端口通过端口

号标记（只有整数），范围从0-65535。在Internet上，各主机间通过TCP/IP协议发送和接收数据包，各数据包根据其目的主机的IP地址进行互联网络中的路由选择。但是，现在大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据包传送给众多同时运行的进程中的哪一个呢？端口机制便由此被引入进来。本地操作系统会给那些有需求的进程分配协议端口。当目的主机接收到数据包后，根据报文首部的目的端口号，把数据发送到相应端口，与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。事实上，不仅接受数据包的进程需要开启它自己的端口，发送数据包的进程也需要开启端口，这样，数据包中将会标识有源端口号，以便接受方能顺利的回传数据包到这个端口。

目的端口号用来通知传输层协议将数据送给哪个软件来处理。源端口号一般是由操作系统自己动态生成的一个从1024～65535的号码。

【案例1-4】计算机端口传输数据的过程。计算机A通过网络访问计算机B时，同时需要对方返回数据。A随机创建一个大于1023的端口（A的源端口号），告诉B返回数据时把数据送到自己的哪个端口，然后软件开始侦听这个端口，等待数据返回。B收到数据后会读取数据包的源端口号和目的端口号，然后记录下来，当软件创建了要返回的数据后就把原来数据包中的源端口号作为目的端口号，而把自己的端口号作为源端口号，再送回A。A再重复这个过程如此反复直到数据传输完成。当数据全部传输完，A就把源端口释放出来，所以同一个软件每次传输数据时不一定是同一个源端口号。

端口分类标准有多种方法，按端口号分布可分为三段。

1）公认端口(0～1023)，又称常用端口，为已经公认定义或为将要公认定义的软件保留的。这些端口紧密绑定一些服务且明确表示了某种服务协议。如80端口表示HTTP协议。

2）注册端口(1024～49151)，又称保留端口,这些端口松散绑定一些服务。

3）动态/私有端口（49152～65535)。理论上不应为服务器分配这些端口。按协议类型可以将端口划分为TCP和UDP端口。

1）TCP端口是指传输控制协议端口，需要在客户端和服务器之间建立连接，提供可靠的数据传输。如Telnet服务的23端口。

2）UDP端口是指用户数据包协议端口，不需要在客户端和服务器之间建立连接。常见的端口有DNS服务的53端口。

讨论思考：

1.什么是安全漏洞？为什么网络存在着的安全漏洞？

2.计算机网络安全面临的黑客攻击方法有哪些？举例说明。

3.网络黑客通道 -- 端口有哪些？特点是什么？

常见网站攻击及应对方法

　　摘要：随着计算机技术的普及和发展，越来越多的人使用着互联网，越来越多的应用被放置在互联网之上，人们在享受着它带来的方便快捷的同时，越来越多的网络安全问题也随之而来。本文重点对常见网站攻击及应对方法进行了分析论述。

　　关键词：网络安全漏洞 DDOS木马 SQL注入 Webshell

　　计算机系统中的漏洞已经越来越引起人们的重视，而针对这些漏洞的攻防技术始终在不断的变化中。漏洞是指任意地允许非法用户未经授权获得访问或提高其访问权限的硬件或软件特征。学校的网站由于分支较多，因此漏洞存在的可能性也较大。为此，笔者在此探讨常见网站攻击及应对方法。

　　一、网络攻击的分类

　　就网站而言，网络攻击分为四类。

　　一是对网站进行分布式拒绝服务攻击DDOS。通常，攻击者在几秒钟内激活成百上千次访问服务器的程序。同一时间大量的服务请求会占用过多的服务资源，从而使合法用户无法得到服务的响应。

　　应对DOS攻击，一般可以采取以下措施：加大服务器的响应能力、关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out时间、及时更新系统补丁。

　　二是攻击者对服务器植入木马，是服务器成为DDOS的“肉鸡”，用来攻击其他服务器。一般来说，相对于个人电脑，服务器的安全设置比较严密，服务比较单一，不容易被作为“肉鸡”使用，但也不排除这种可能性。

　　三是获得网站管理员用户名及密码。获得管理员账户和密码之后，整个网站就在攻击者的控制之中了。攻击者控制了信息的发布和修改权，对网站数据构成威胁。

　　四是通过系统漏洞获取服务器主机控制权限。通过修改网站上传文件类型的限制，将木马上传至web服务器，从而进一步获取服务器主机的控制权限，并以此为跳板威胁整个内部网络的安全。攻击者还可以利用系统漏洞塞入木马，对主机进行控制。

　　笔者在工作中，发现网站数次被上传了后门文件，并在留言板贴出管理员用户名和密码，但大多不正确，未引起实质性损失。也有更严重的情况是服务器密码被修改，这是致命的安全问题。

　　二、网络攻击顺序与防范的方法

　　通过分析攻击者上传的文件和数据库，笔者认为攻击者入侵的顺序有以下方法。

　　1.SQL注入

　　攻击者寻找网站代码的漏洞，通过SQL注入获取数据库中的信息，找到网站的用户名和密码。在网页的链接上加入查询语句，通过查看iis返回的错误信息猜测数据库结构信息。比如当入侵者猜到网站管理员的账号存在表admin中，管理员账号名为manager，他想知道manager的密码，那他可以从浏览器的地址栏输入网址：http：//localhost/shownews.asp？ID=555 and （一段sql代码），这段代码可以是（Select xxxx from yyyy where zzzz=manager）0，xxxx代表字段名，yyyy代表管理员表名，zzzz代表猜测的管理员用户名。浏览器返回的错误信息中将 varchar 值 xxxxxx&manager 转换为数据类型为 int 的列时会出现错误，里面会包含管理员manager的密码。使用SQL注入入侵工具，如NBSI 2.0能够更快地注入。防范的方法有两点。

　　第一点，使用代码检验。我们可以写一段对访问者通过浏览器提交过来的变量参数进行检验的代码，如SQL注入，必须要有SQL语言常用的关键字。比如，在查询select、插入insert、更新update等常用于SQL注入的字符时，立即停止执行ASP程序，这意味着可能正在遭受攻击，所以应当立刻转向出错页面或者给出警告信息。

　　第二点，屏蔽IIS错误提示信息。入侵者通过SQL注入入侵往往是根据IIS给出的ASP错误提示来判断数据库有什么表、表是什么结构的。例如刚才所说的，如果我们把IIS设置成所有错误都不提示详细信息，只提示一种错误，那对于入侵者来说就是一件很头疼的事。这就好像“他”在问一个人，问了半天，回答只有 “不知道”。

　　2.获得Webshell

　　Webshell是web入侵的一种脚本攻击工具。简单来说，Webshell就是一个asp、php或jsp木马后门。Webshell最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。当获得Webshell之后，再使用命令行创建用户并提升权限。

　　利用netcat（nc）把cmd.exe绑定，然后使用net user命令进行提权，通过缓冲区溢出漏洞直接获得Cmdshell或者系统权限。比如说IIS写权限漏洞，可以匿名访问IIS，并且写入ASP木马，获得Webshell。比如说Webdav溢出，先用nc监听本地端口，再去溢出对方端口，获得一个Cmdshell，然后通过管理命令获得远程控制权限。

　　网站系统管理员首先应做到以下几点。

　　第一点，严格控制fso，设置好web服务器目录的权限，让能写入的目录不能运行，能运行的不能写入。

　　第二点，对个别组件进行设置。ASP Webshell需要使用的一些组件，现在看来，比较有威胁的组件是Wscript.Shell和Shell.Application这两个组件。这两个组件是系统自带的，我们可以通过修改注册表，将此组件改名。一旦改名，入侵者就无法知道怎样调用这两个组件了。通过Wscript.Shell组件可以修改注册表，也可以执行DOS命令。而Shell.Application组件不但可以对文件进行一些操作，而且还可以执行程序，但却不能带任何参数。我们可以在注册表中把它改成我们习惯的名字，自己以后调用的时候使用自己改的新名字就可以了。

　　第三点，对提权常用到的cmd.exe进行改名。这样入侵者不知道名字就无法调用了。cmd.exe是系统自带的文件，需要在Windows文件保护中将文件保护扫描关闭后再改。

　　总之，网络安全漏洞层出不穷，作为管理员应该研究应对网络攻击的方式方法，并且想出应对方案。另外，我们还要防范自己的网站被挂马成为攻击其他网站的工具，这是个社会工程，需要广大管理员共同努力。

　　参考文献：

　　[1]科教工作室.黑客攻防实战必备[M].北京：清华大学出版社，2012.

　　[2]肖松岭.网络安全技术内幕[M].北京：科学出版社，2008.

　　[3][美]Eric Cole.网络安全宝典[M].北京：清华大学出版社，2010.

　　（作者单位：青岛市技师学院）

推荐访问:攻击常见类型网络网络攻击的4个基本类型网络遭受的攻击形式