常见网络攻击手段课件

常见网络攻击手段常见网络攻击手段1目录口令攻击拒绝效劳攻击IP欺骗利用简单邮件传输协议〔SMTP〕入侵利用文件传输协议〔FTP〕进展的入侵WWW上的入侵网络文件系统〔NFS〕/远程过程调用〔RPC〕病毒、木马缓冲区溢出信息收集型攻击目录口令攻击2一攻击口令的手段方法一 网络猜测法黑客攻击目标是常常把破译普通用户的口令作为攻击的开场。先用“finger远端主机名〞或其他方法找出主机上的用户帐号，然后就采用字典穷举法进展攻击。一攻击口令的手段3原理：根据网络上的用户常采用的一些英语单词或自己的姓氏作为口令的实际情况。通过一些程序，自动地从计算机字典中取出一个单词，作为用户口令输入给远端的主机，尝试进入系统。假设口令错误，就按序取出下一个单词，进展下一个尝试，并且一直循环下去，直到找到正确的口令或直到找到正确的口令或字典的单词试完为止。原理：4利用一些端口，如·Ftp·Telnet·POP3·Rsh·Rlogin·Rexec等，对远端主机的用户进展口令尝试登录，获取口令或敏感文件。利用一些端口，如5常见网络攻击手段课件6方法二 穷举法首先夺取目标中存放口令的文件shadow或passwd现代的Unix操作系统中,用户的根本信息存放在passwd文件中,而所有的口令那么经过DES加密方法加密后专门存放在一个叫shadow(影子)的文件中老版本的Unix没有shadow文件,它所有的口令都存放在passwd文件中用专解DES加密法的程序来解口令方法二 穷举法首先夺取目标中存放口令的文件shadow或p7UNIX口令的计算量Unix一共是[0x00~0xff]共128个字符,小于0x20的都算是控制符,不能输入为口令,0x7f为转义符,不能输入.那么总共有128-32-1=95个字符可作为口令的字符.也就是10(数字)+33(标点符号)+26*2(大小写字母)=95如果passwd取任意5个字母+1位数字或符号(按顺序)可能性是:52*52*52*52*52*43=16,348,773,000(163亿种UNIX口令的计算量Unix一共是[0x00~0xff]共8UNIX口令的计算量但如果5个字母是一个常用词,设常用词5000条,从5000个常用词中取一个词与任意一个字符组合成口令,即5000*(2*2*2*2*2)(大小写)*43=6,880,000(688万种可能性)注：1.实际情况下绝大多数人都只用小写字符,可能性还要小.UNIX口令的计算量但如果5个字母是一个常用词,设常用词509UNIX口令的计算量在Pentium200上每秒可算3,4万次,象这样简单的口令要不了3分钟如果有人用P200算上一周,将可进展200亿次攻击,所以6位口令是很不可靠的,至少要用7位.hacker并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以取口令过于简单是对系统平安的不负责.UNIX口令的计算量在Pentium200上每秒可算3,410导致效劳拒绝原理：攻击者利用大量的数据包“淹没〞目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。往某远程主机发大量数据或占用远程主机资源，从而导致主机瘫痪、重启、死机或蓝屏。

导致效劳拒绝11UDP炸弹UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP效劳都产生输出，然后让这两种UDP效劳〔例如chargen效劳(UDP)和echo效劳(UDP)〕之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主时机瘫痪。UDP炸弹UDP攻击的原理是使两个或两个以上的系统之间产生巨12用户数据报〔UDP〕炸弹：

发送一个头信息错误的UDP包，可使某些计算机重起，危害很大。防御：关掉不必要的TCP/IP效劳，或者对防火墙进展配置，阻断来自Internet的针对这些效劳的UDP请求。用户数据报〔UDP〕炸弹：防御：关掉不必要的TCP/IP效劳13*Finger炸弹：Finger允许把Finger重定向到远程节点，可用命令Fingerusername@hostA@hostBFinger先通过主机A，再到主机B，可使入侵者覆盖他们的痕迹，因为主机A将注意到Finger来自主机B而不是原来的设备。当入侵者输入如下命令时，会使主机拒绝效劳：Fingerusername@@@@…..@@hostA重复的@将导致Finger命令不断Finger到同一台主机，直到内存和交换空间满，从而导致系统瘫痪或速度降至极低。*Finger炸弹：14*Ping/ICMP炸弹连续的以延迟会话方式Ping一个主机，发过量的ICMP包，可使主机重起或挂起。1.如：UNIX下，键入如下命令：Ping-t66510IP后果：未打补丁的Win95/98的机器就会瘫痪2.TFN2K更会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。*Ping/ICMP炸弹15常见网络攻击手段课件16常见网络攻击手段课件17常见网络攻击手段课件18常见网络攻击手段课件19常见网络攻击手段课件20常见网络攻击手段课件21*数据洪流〔Dataflood〕大量数据轰击一个指定端口，使端口提供的效劳无效。*日志洪流〔Logflood〕日志容量有限，向端口syslog发大量的数据包可使主机瘫痪。*E_mail炸弹发送大量邮件，使邮箱占满，冲掉正常邮件，同时占用了大量的网络资源，导致网络阻塞。*带外炸弹〔outofbandcrash〕向WindowsNT，Windows95的139端口送0字节数据导致系统死机。*数据洪流〔Dataflood〕22ICMP/SMURF攻击

ICMP/SMURF攻击利用的是网络播送的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。ICMP/SMURF攻击ICMP/SMURF攻击利用的是23现在A主机要发动对B主机的SMURF攻击。A通过向某个网络的播送地址发送ICMPECHO包，这些ICMP包的源地址即被伪造为B主机的IP地址。当这个播送地址的网段上的所有活动主机接收到该ICMP包时，将回送ICMPECHOREPLAY包。由于ICMPECHO包的源地址为B主机，所以如果能收到该播送包的机器有500台，那么B主时机接收到500个ICMPECHOREPLY包！现在A主机要发动对B主机的SMURF攻击。24IP堆栈攻击根本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不标准数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求〔即拒绝效劳〕。IP堆栈攻击根本原理是发送TCP/UDP/ICMP的碎片25DDoS攻击原理剖析分布式拒绝效劳攻击,攻击者利用因特网上成百上千的“Zombie〞(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝效劳攻击。攻击者的身份很难确认。DDoS攻击原理剖析分布式拒绝效劳攻击,26正常访问通过普通的网络连线，使用者传送信息要求效劳器予以确定。效劳器于是回复用户。用户被确定后，就可登入效劳器。正常访问通过普通的网络连线，使用者传送信息要求效劳器予以确定27“拒绝效劳〞〔DoS〕的攻击方式

“拒绝效劳〞的攻击方式为：用户传送众多要求确认的信息到效劳器，使效劳器里充满着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当效劳器试图回传时，却无法找到用户。效劳器于是暂时等候，有时超过一分钟，然后再切断连接。效劳器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致效劳器处于瘫痪状态“拒绝效劳〞〔DoS〕的攻击方式

“拒绝效劳〞的攻击方式为：28Trin00/TFN具体攻击过程MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcast攻击目标攻击者MasterMasterMasterZombieZombieZombieZombieZombieZombieMasterMasterMasterTrin00/TFN具体攻击过程MasterMasterMa29DDoS攻击过程扫描程序非安全主机黑客

黑客利用工具扫描Internet，发现存在漏洞的主机1InternetDDoS攻击过程扫描程序非安全主机黑客黑客利用工30黑客Zombies

黑客在非平安主机上安装类似“后门〞的代理程序2InternetDDoS攻击过程黑客Zombies2InternetDDoS攻31黑客

黑客选择主控主机，用来向“僵尸〞发送命令3Zombies主控主机InternetDDoS攻击过程黑客3Zombies主控主机InternetD32Hacker

通过客户端程序，黑客发送命令给主控端，并通过主控主机启动“僵尸〞程序对目标系统发动攻击4ZombiesTargeted目标SystemMasterServerInternetDDoS攻击过程Hacker4ZombiesTargetedM33目标系统SystemHacker

主控端向“僵尸〞发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoS攻击过程目标系统Hacker5MasterIntern34目标黑客目标主机被“淹没〞，无法提供正常效劳，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoS攻击过程目标黑客目标主机被“淹没〞，无法提供正常效劳，35为什么DDos会有效？雅虎网站曾被每秒1000兆的垃圾信息攻击。在如此大流量的攻击下，攻击的力度被提升了几千倍，远远超过了现有网络平安设计的负荷。也就是说在网络平安设计的过程中一定要考虑未来可能承受的攻击力度。不过这种攻击并不是一般黑客所能做到的。据MSNBC报道，在对雅虎的攻击过程中，黑客在同一时间动用了3500台Unix机器和巨大的带宽资源。为什么DDos会有效？雅虎网站曾被每秒1000兆的垃圾信息攻36预防分布式拒绝效劳攻击的平安策略消除FUD心态可能会成为拒绝效劳攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、IRC效劳器和新闻杂志等预防分布式拒绝效劳攻击的平安策略消除FUD心态37要求与ISP协助和合作分布式拒绝效劳〔DDoS〕攻击主要是耗用带宽，单凭自己管理网络是无法对付这些攻击的。与ISP协商，确保他们同意帮助实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时，ISP愿意监视或允许你访问他们的路由器。要求与ISP协助和合作分布式拒绝效劳〔DDoS〕攻击主要是38优化路由和网络构造如果管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝效劳攻击的影响减到最小。为了防止SYNflood攻击，应设置TCP侦听功能。详细资料可以参阅相关路由器技术文档。制止网络不需要的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达〞消息。优化路由和网络构造如果管理的不仅仅是一台主机，而是网络，39优化对外开放访问的主机对所有可能成为目标的主机都进展优化。制止所有不必要的效劳。多IP主机也会增加攻击者的难度。优化对外开放访问的主机对所有可能成为目标的主机都进展优化。40正在受到攻击时，必须立刻应用对应策略尽可能迅速地阻止攻击数据包是非常重要的，同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址，因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被去除。对于已被或可能被入侵和安装DDoS代理端程序的主机，应该采取措施正在受到攻击时，必须立刻应用对应策略尽可能迅速地阻止攻击数据41现在的拒绝效劳攻击效劳器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系统中，但只要这些系统的平安得到足够重视，系统被入侵的可能性不大。现在的拒绝效劳攻击效劳器都只被安装到Linux和Solari42确保主机不被入侵和是平安的互联网上有许多旧的和新的漏洞攻击程序。系统管理员应检查漏洞数据库，如或或，以确保效劳器版本不受这些漏洞影响。入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查效劳器配置和平安问题，运行最新升级的软件版本，最重要的一点就是只运行必要的效劳。确保主机不被入侵和是平安的互联网上有许多旧的和新的漏洞攻击43周期性审核系统要对自己管理的系统负责。应该充分了解系统和效劳器软件是如何工作的，经常检查系统配置和平安策略。要时刻留意平安站点公布的与自己管理的操作系统及软件有关的最新平安漏洞和问题。周期性审核系统要对自己管理的系统负责。44检查文件完整性当确定系统未曾被入侵时，应该尽快将所有二进制程序和其它重要的系统文件产生文件签名，并且周期性地与这些文件比较以确保不被非法修改。另外，推荐将文件检验和保存到另一台主机或可移动介质中。文件/目录完整性检查的免费工具〔如tripwire等〕可以在许多FTP站点上下载。也可以选择购置商业软件包。检查文件完整性当确定系统未曾被入侵时，应该尽快将所有二进制45发现正在实施攻击时，必须立刻关闭系统并进展调查如果监测到〔或被通知〕网络或主机正实施攻击，应该立刻关闭系统，或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机，所以应该进展研究分析和重新安装系统。发现正在实施攻击时，必须立刻关闭系统并进展调查如果监测到46三IP欺骗原理：伪造TCP序列号或源主机IP地址，使数据包看起来来自于被信任的计算机而非正确的源计算机，从而到达隐藏源主机地址的目的。IP欺骗会危及象Rsh、Rlogin此类的效劳。〔因为Rsh和Rlogin效劳的认证是建立在IP地址之上的〕IP欺骗还可以被用于穿透防火墙。三IP欺骗47同步风暴攻击方法也用到IP欺骗流程图：〔1〕攻击主机SYN〔伪造的自己的地址〕被攻击主机〔2〕伪造的地址SYN-ACK被攻击主机〔3〕被攻击主机等待伪造端的答复同步风暴攻击方法也用到IP欺骗48四利用简单邮件传输协议〔SMTP〕入侵SendMail的主要功能是转发邮件。它解释SMTP协议，作为客户和效劳器的应用软件。SendMail在系统启动时作为一个守护进程启动，作为SMTP的效劳器监听SMTP端口，等待邮件的到来。目前，决大多数UNIX系统下的邮件效劳器都采用SendMail。WindowsNT系统下邮件效劳器有一局部采用SendMail，也有一局部采用Microsoft的ExchangeServer等其他软件。

四利用简单邮件传输协议〔SMTP〕入侵49入侵者可以利用SendMail的漏洞入侵系统。SendMail的漏洞：·过期〔Outdated〕：旧版本的SendMail存在不同程度的漏洞。·VRFY：列出用户名及用户邮箱。·EXPN：提供用户全名信息。·后门：入侵者可通过后门程序访问到主机。它是程序员、设计者为了调试方便而留的漏洞，但是却没有去除。入侵者可以利用SendMail的漏洞入侵系统。50五利用文件传输协议〔FTP〕进展的入侵利用的漏洞：·匿名FTP：任何人都可访问到主机·FTP可写：FTP下的目录可写，有潜在的隐患·FTPCDrootlogin：回上一级目录可访问到根权限·SiteExec〔老版本的FTP〕：允许任何远程或本地用户获得根访问五利用文件传输协议〔FTP〕进展的入侵51六WWW上的入侵入侵者可利用Web效劳器上存在的一些弱点和漏洞，篡改主页，窃取保密信息。有4种重叠的风险类型：〔1〕存放于Web效劳器文件系统上的私人或保密的文件被非法用户窃取〔2〕由远程用户发送给Web效劳器的私人或保密信息〔如信用卡密码〕被截获。〔3〕有关Web效劳器主机的详细信息泄露出去，使入侵者分析、找出漏洞并闯入系统。〔4〕效劳器存在允许外来者在效劳器主机上执行命令的漏洞，使他们得以改动或破坏系统。六WWW上的入侵52〔CGIScript：脚本语言，实现HTML主页与其它Web效劳器上程序的接口函数〕CGIScript是WWW平安漏洞的主要来源，漏洞在于两个方面：〔1〕无意间泄露主机系统的信息，帮助黑客侵入。〔2〕处理远程用户输入的，如表格的内容或“搜索索引〞命令的Script，可能容易被远程用户攻击而执行命令。〔CGIScript：脚本语言，实现HTML主页与其它53典型的IIS漏洞RDS

HTR

畸形header

PWS文件访问

CGI圈套

PHP3元字符

PHPmlog.html读文件典型的IIS漏洞RDS

HTR

畸形header

P54七网络文件系统〔NFS〕/远程过程调用〔RPC〕NFS效劳器通过对外输出〔export〕一个目录，提供共享资源。NFS鉴别一个写文件的请求时是鉴别发出这个请求的机器，而不是用户，因而，在基于NFS的文件系统中运行SU命令而成为某个文件的拥有者并不是一件困难的事情。入侵者可利用的漏洞：·目录可被任何人安装·主机可写·主机可通过CD..访问到上级目录等七网络文件系统〔NFS〕/远程过程调用〔RPC〕55远程过程调用〔RPC〕：客户把自己的程序在远程效劳器上运行，此时需启动一些进程。一些RPC进程为入侵者提供了诸如系统信息，口令文件，用户名等信息，有些进程会导致平安漏洞。存在平安隐患的RPC效劳进程：·RPCStatd·BootParameter·Netstat·Admin·Rexd远程过程调用〔RPC〕：56八病毒病毒是一个程序，有时是有破坏性的，可自我复制，能以替换、插入等形式附着在操作系统或可执行文件上，这些行为在用户毫无觉察之中进展。他还可通过网络传播，发作时有危害。•蠕虫•特洛伊木马〔如NetBus〕•BO〔BackOrifice〕•CIH•W97M/Thus(感染word文件)八病毒57常见网络攻击手段课件58九缓冲区溢出〔bufferflow〕原理：缓冲区溢出指的是一种系统攻击手段，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他命令，以到达攻击的目的。据统计，通过缓冲区溢出进展的攻击占所有系统攻击总数的80%以上。九缓冲区溢出〔bufferflow〕59常见网络攻击手段课件60.缓冲区溢出例子：Voidsub(char*str){charbuf[16];strcpy(buf,str)}Voidmain(){charlarge_str[256]inti;for(i=0;i<255;i++)large_str[i]==‘A’;sub(large_str)}堆栈构造：16444[buf][ebp][ret][large_str].缓冲区溢出例子：61十、信息收集型攻击信息收集型攻击并不对目标本身造成危害，顾名思义，这类攻击被用来为进一步入侵提供有用的信息，主要包括：.扫描技术.体系构造刺探.利用信息效劳十、信息收集型攻击信息收集型攻击并不对目标本身造成危62常见网络攻击手段课件63常见网络攻击手段课件64常见网络攻击手段课件65常见网络攻击手段课件66黑客常用攻击工具—口令攻击工具JohnTheRipper1.4这个软件由著名的黑客组织--UCF出的,它支持Unix,Dos,Windows,速度超快,可以说是目前同类中最出色的作品.对于老式的passwd(就是没shadow,任何人都可以把passwd密文存下),John可以直接读取并用字典穷举击破.对于现代的passwd+shadow的方式,John提供了UNSHADOW程序直接把两者合成出老式passwd文件.黑客常用攻击工具—口令攻击工具JohnTheRipper67影子扫描器－－ShadowSecurityScanerShadowSecurityScaner是一个功能非常强大的黑客工具。由俄罗斯著名程序员Redshadow和Melcosoft合作编写。包括端口探测、端口banner探测、CGI/ASP弱点探测、Unicode/Decode/.printer探测、*nix弱点探测、(pop3/ftp)密码破解、拒绝效劳探测、操作系统探测、NT共享/用户探测……而且对于探测出的漏洞，有详细的说明和攻击方法。影子扫描器－－ShadowSecurityScanerS68Nmap—指纹技术Nmap是在免费软件基金会的GNUGeneralPublicLicense(GPL)下发布的，可从站点上免费下载。隐蔽扫描：nmap

-sS

-O

192.168.*.*

TCP扫描：nmap

-sT

-O

2

UDP扫描：nmap

-sU

-O

2

Nmap—指纹技术Nmap是在免费软件基金会的GNUGen69DDos的常用工具1、Trinoo

Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常效劳，乃至崩溃。它对IP地址不做假，采用的通讯端口是：攻击者主机到主控端主机：27665/TCP主控端主机到代理端主机：27444/UDP代理端主机到主效劳器主机：31335/UDPDDos的常用工具1、Trinoo

70

TFN由主控端程序和代理端程序两局部组成它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。

TFN由主控端程序和代理端程序两局部组成713.TFN2KTFN2K是由TFN开展而来的，在TFN所具有的特性上，TFN2K又新增一些特性。它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。3.TFN2KTFN2K是由TFN开展而来的，在TFN所具724.StacheldrahtStacheldraht也是从TFN派生出来的，因此它具有TFN的特性。它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。4.StacheldrahtStacheldraht也是从73平安站点计算机紧急响应小组：

网络平安系统：

事件反响和平安性小组：

平安站点74谢谢观赏谢谢观赏75常见网络攻击手段常见网络攻击手段76目录口令攻击拒绝效劳攻击IP欺骗利用简单邮件传输协议〔SMTP〕入侵利用文件传输协议〔FTP〕进展的入侵WWW上的入侵网络文件系统〔NFS〕/远程过程调用〔RPC〕病毒、木马缓冲区溢出信息收集型攻击目录口令攻击77一攻击口令的手段方法一 网络猜测法黑客攻击目标是常常把破译普通用户的口令作为攻击的开场。先用“finger远端主机名〞或其他方法找出主机上的用户帐号，然后就采用字典穷举法进展攻击。一攻击口令的手段78原理：根据网络上的用户常采用的一些英语单词或自己的姓氏作为口令的实际情况。通过一些程序，自动地从计算机字典中取出一个单词，作为用户口令输入给远端的主机，尝试进入系统。假设口令错误，就按序取出下一个单词，进展下一个尝试，并且一直循环下去，直到找到正确的口令或直到找到正确的口令或字典的单词试完为止。原理：79利用一些端口，如·Ftp·Telnet·POP3·Rsh·Rlogin·Rexec等，对远端主机的用户进展口令尝试登录，获取口令或敏感文件。利用一些端口，如80常见网络攻击手段课件81方法二 穷举法首先夺取目标中存放口令的文件shadow或passwd现代的Unix操作系统中,用户的根本信息存放在passwd文件中,而所有的口令那么经过DES加密方法加密后专门存放在一个叫shadow(影子)的文件中老版本的Unix没有shadow文件,它所有的口令都存放在passwd文件中用专解DES加密法的程序来解口令方法二 穷举法首先夺取目标中存放口令的文件shadow或p82UNIX口令的计算量Unix一共是[0x00~0xff]共128个字符,小于0x20的都算是控制符,不能输入为口令,0x7f为转义符,不能输入.那么总共有128-32-1=95个字符可作为口令的字符.也就是10(数字)+33(标点符号)+26*2(大小写字母)=95如果passwd取任意5个字母+1位数字或符号(按顺序)可能性是:52*52*52*52*52*43=16,348,773,000(163亿种UNIX口令的计算量Unix一共是[0x00~0xff]共83UNIX口令的计算量但如果5个字母是一个常用词,设常用词5000条,从5000个常用词中取一个词与任意一个字符组合成口令,即5000*(2*2*2*2*2)(大小写)*43=6,880,000(688万种可能性)注：1.实际情况下绝大多数人都只用小写字符,可能性还要小.UNIX口令的计算量但如果5个字母是一个常用词,设常用词5084UNIX口令的计算量在Pentium200上每秒可算3,4万次,象这样简单的口令要不了3分钟如果有人用P200算上一周,将可进展200亿次攻击,所以6位口令是很不可靠的,至少要用7位.hacker并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以取口令过于简单是对系统平安的不负责.UNIX口令的计算量在Pentium200上每秒可算3,485导致效劳拒绝原理：攻击者利用大量的数据包“淹没〞目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。往某远程主机发大量数据或占用远程主机资源，从而导致主机瘫痪、重启、死机或蓝屏。

导致效劳拒绝86UDP炸弹UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP效劳都产生输出，然后让这两种UDP效劳〔例如chargen效劳(UDP)和echo效劳(UDP)〕之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主时机瘫痪。UDP炸弹UDP攻击的原理是使两个或两个以上的系统之间产生巨87用户数据报〔UDP〕炸弹：

发送一个头信息错误的UDP包，可使某些计算机重起，危害很大。防御：关掉不必要的TCP/IP效劳，或者对防火墙进展配置，阻断来自Internet的针对这些效劳的UDP请求。用户数据报〔UDP〕炸弹：防御：关掉不必要的TCP/IP效劳88*Finger炸弹：Finger允许把Finger重定向到远程节点，可用命令Fingerusername@hostA@hostBFinger先通过主机A，再到主机B，可使入侵者覆盖他们的痕迹，因为主机A将注意到Finger来自主机B而不是原来的设备。当入侵者输入如下命令时，会使主机拒绝效劳：Fingerusername@@@@…..@@hostA重复的@将导致Finger命令不断Finger到同一台主机，直到内存和交换空间满，从而导致系统瘫痪或速度降至极低。*Finger炸弹：89*Ping/ICMP炸弹连续的以延迟会话方式Ping一个主机，发过量的ICMP包，可使主机重起或挂起。1.如：UNIX下，键入如下命令：Ping-t66510IP后果：未打补丁的Win95/98的机器就会瘫痪2.TFN2K更会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。*Ping/ICMP炸弹90常见网络攻击手段课件91常见网络攻击手段课件92常见网络攻击手段课件93常见网络攻击手段课件94常见网络攻击手段课件95常见网络攻击手段课件96*数据洪流〔Dataflood〕大量数据轰击一个指定端口，使端口提供的效劳无效。*日志洪流〔Logflood〕日志容量有限，向端口syslog发大量的数据包可使主机瘫痪。*E_mail炸弹发送大量邮件，使邮箱占满，冲掉正常邮件，同时占用了大量的网络资源，导致网络阻塞。*带外炸弹〔outofbandcrash〕向WindowsNT，Windows95的139端口送0字节数据导致系统死机。*数据洪流〔Dataflood〕97ICMP/SMURF攻击

ICMP/SMURF攻击利用的是网络播送的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。ICMP/SMURF攻击ICMP/SMURF攻击利用的是98现在A主机要发动对B主机的SMURF攻击。A通过向某个网络的播送地址发送ICMPECHO包，这些ICMP包的源地址即被伪造为B主机的IP地址。当这个播送地址的网段上的所有活动主机接收到该ICMP包时，将回送ICMPECHOREPLAY包。由于ICMPECHO包的源地址为B主机，所以如果能收到该播送包的机器有500台，那么B主时机接收到500个ICMPECHOREPLY包！现在A主机要发动对B主机的SMURF攻击。99IP堆栈攻击根本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不标准数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求〔即拒绝效劳〕。IP堆栈攻击根本原理是发送TCP/UDP/ICMP的碎片100DDoS攻击原理剖析分布式拒绝效劳攻击,攻击者利用因特网上成百上千的“Zombie〞(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝效劳攻击。攻击者的身份很难确认。DDoS攻击原理剖析分布式拒绝效劳攻击,101正常访问通过普通的网络连线，使用者传送信息要求效劳器予以确定。效劳器于是回复用户。用户被确定后，就可登入效劳器。正常访问通过普通的网络连线，使用者传送信息要求效劳器予以确定102“拒绝效劳〞〔DoS〕的攻击方式

“拒绝效劳〞的攻击方式为：用户传送众多要求确认的信息到效劳器，使效劳器里充满着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当效劳器试图回传时，却无法找到用户。效劳器于是暂时等候，有时超过一分钟，然后再切断连接。效劳器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致效劳器处于瘫痪状态“拒绝效劳〞〔DoS〕的攻击方式

“拒绝效劳〞的攻击方式为：103Trin00/TFN具体攻击过程MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcast攻击目标攻击者MasterMasterMasterZombieZombieZombieZombieZombieZombieMasterMasterMasterTrin00/TFN具体攻击过程MasterMasterMa104DDoS攻击过程扫描程序非安全主机黑客

黑客利用工具扫描Internet，发现存在漏洞的主机1InternetDDoS攻击过程扫描程序非安全主机黑客黑客利用工105黑客Zombies

黑客在非平安主机上安装类似“后门〞的代理程序2InternetDDoS攻击过程黑客Zombies2InternetDDoS攻106黑客

黑客选择主控主机，用来向“僵尸〞发送命令3Zombies主控主机InternetDDoS攻击过程黑客3Zombies主控主机InternetD107Hacker

通过客户端程序，黑客发送命令给主控端，并通过主控主机启动“僵尸〞程序对目标系统发动攻击4ZombiesTargeted目标SystemMasterServerInternetDDoS攻击过程Hacker4ZombiesTargetedM108目标系统SystemHacker

主控端向“僵尸〞发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoS攻击过程目标系统Hacker5MasterIntern109目标黑客目标主机被“淹没〞，无法提供正常效劳，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoS攻击过程目标黑客目标主机被“淹没〞，无法提供正常效劳，110为什么DDos会有效？雅虎网站曾被每秒1000兆的垃圾信息攻击。在如此大流量的攻击下，攻击的力度被提升了几千倍，远远超过了现有网络平安设计的负荷。也就是说在网络平安设计的过程中一定要考虑未来可能承受的攻击力度。不过这种攻击并不是一般黑客所能做到的。据MSNBC报道，在对雅虎的攻击过程中，黑客在同一时间动用了3500台Unix机器和巨大的带宽资源。为什么DDos会有效？雅虎网站曾被每秒1000兆的垃圾信息攻111预防分布式拒绝效劳攻击的平安策略消除FUD心态可能会成为拒绝效劳攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、IRC效劳器和新闻杂志等预防分布式拒绝效劳攻击的平安策略消除FUD心态112要求与ISP协助和合作分布式拒绝效劳〔DDoS〕攻击主要是耗用带宽，单凭自己管理网络是无法对付这些攻击的。与ISP协商，确保他们同意帮助实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时，ISP愿意监视或允许你访问他们的路由器。要求与ISP协助和合作分布式拒绝效劳〔DDoS〕攻击主要是113优化路由和网络构造如果管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝效劳攻击的影响减到最小。为了防止SYNflood攻击，应设置TCP侦听功能。详细资料可以参阅相关路由器技术文档。制止网络不需要的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达〞消息。优化路由和网络构造如果管理的不仅仅是一台主机，而是网络，114优化对外开放访问的主机对所有可能成为目标的主机都进展优化。制止所有不必要的效劳。多IP主机也会增加攻击者的难度。优化对外开放访问的主机对所有可能成为目标的主机都进展优化。115正在受到攻击时，必须立刻应用对应策略尽可能迅速地阻止攻击数据包是非常重要的，同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址，因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被去除。对于已被或可能被入侵和安装DDoS代理端程序的主机，应该采取措施正在受到攻击时，必须立刻应用对应策略尽可能迅速地阻止攻击数据116现在的拒绝效劳攻击效劳器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系统中，但只要这些系统的平安得到足够重视，系统被入侵的可能性不大。现在的拒绝效劳攻击效劳器都只被安装到Linux和Solari117确保主机不被入侵和是平安的互联网上有许多旧的和新的漏洞攻击程序。系统管理员应检查漏洞数据库，如或或，以确保效劳器版本不受这些漏洞影响。入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查效劳器配置和平安问题，运行最新升级的软件版本，最重要的一点就是只运行必要的效劳。确保主机不被入侵和是平安的互联网上有许多旧的和新的漏洞攻击118周期性审核系统要对自己管理的系统负责。应该充分了解系统和效劳器软件是如何工作的，经常检查系统配置和平安策略。要时刻留意平安站点公布的与自己管理的操作系统及软件有关的最新平安漏洞和问题。周期性审核系统要对自己管理的系统负责。119检查文件完整性当确定系统未曾被入侵时，应该尽快将所有二进制程序和其它重要的系统文件产生文件签名，并且周期性地与这些文件比较以确保不被非法修改。另外，推荐将文件检验和保存到另一台主机或可移动介质中。文件/目录完整性检查的免费工具〔如tripwire等〕可以在许多FTP站点上下载。也可以选择购置商业软件包。检查文件完整性当确定系统未曾被入侵时，应该尽快将所有二进制120发现正在实施攻击时，必须立刻关闭系统并进展调查如果监测到〔或被通知〕网络或主机正实施攻击，应该立刻关闭系统，或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机，所以应该进展研究分析和重新安装系统。发现正在实施攻击时，必须立刻关闭系统并进展调查如果监测到121三IP欺骗原理：伪造TCP序列号或源主机IP地址，使数据包看起来来自于被信任的计算机而非正确的源计算机，从而到达隐藏源主机地址的目的。IP欺骗会危及象Rsh、Rlogin此类的效劳。〔因为Rsh和Rlogin效劳的认证是建立在IP地址之上的〕IP欺骗还可以被用于穿透防火墙。三IP欺骗122同步风暴攻击方法也用到IP欺骗流程图：〔1〕攻击主机SYN〔伪造的自己的地址〕被攻击主机〔2〕伪造的地址SYN-ACK被攻击主机〔3〕被攻击主机等待伪造端的答复同步风暴攻击方法也用到IP欺骗123四利用简单邮件传输协议〔SMTP〕入侵SendMail的主要功能是转发邮件。它解释SMTP协议，作为客户和效劳器的应用软件。SendMail在系统启动时作为一个守护进程启动，作为SMTP的效劳器监听SMTP端口，等待邮件的到来。目前，决大多数UNIX系统下的邮件效劳器都采用SendMail。WindowsNT系统下邮件效劳器有一局部采用SendMail，也有一局部采用Microsoft的ExchangeServer等其他软件。

四利用简单邮件传输协议〔SMTP〕入侵124入侵者可以利用SendMail的漏洞入侵系统。SendMail的漏洞：·过期〔Outdated〕：旧版本的SendMail存在不同程度的漏洞。·VRFY：列出用户名及用户邮箱。·EXPN：提供用户全名信息。·后门：入侵者可通过后门程序访问到主机。它是程序员、设计者为了调试方便而留的漏洞，但是却没有去除。入侵者可以利用SendMail的漏洞入侵系统。125五利用文件传输协议〔FTP〕进展的入侵利用的漏洞：·匿名FTP：任何人都可访问到主机·FTP可写：FTP下的目录可写，有潜在的隐患·FTPCDrootlogin：回上一级目录可访问到根权限·SiteExec〔老版本的FTP〕：允许任何远程或本地用户获得根访问五利用文件传输协议〔FTP〕进展的入侵126六WWW上的入侵入侵者可利用Web效劳器上存在的一些弱点和漏洞，篡改主页，窃取保密信息。有4种重叠的风险类型：〔1〕存放于Web效劳器文件系统上的私人或保密的文件被非法用户窃取〔2〕由远程用户发送给Web效劳器的私人或保密信息〔如信用卡密码〕被截获。〔3〕有关Web效劳器主机的详细信息泄露出去，使入侵者分析、找出漏洞并闯入系统。〔4〕效劳器存在允许外来者在效劳器主机上执行命令的漏洞，使他们得以改动或破坏系统。六WWW上的入侵127〔CGIScript：脚本语言，实现HTML主页与其它Web效劳器上程序的接口函数〕CGIScript是WWW平安漏洞的主要来源，漏洞在于两个方面：〔1〕无意间泄露主机系统的信息，帮助黑客侵入。〔2〕处理远程用户输入的，如表格的内容或“搜索索引〞命令的Script，可能容易被远程用户攻击而执行命令。〔CGIScript：脚本语言，实现HTML主页与其它128典型的IIS漏洞RDS

HTR

畸形header

PWS文件访问

CGI圈套

PHP3元字符

PHPmlog.html读文件典型的IIS漏洞RDS

HTR

畸形header

P129七网络文件系统〔NFS〕/远程过程调用〔RPC〕NFS效劳器通过对外输出〔export〕一个目录，提供共享资源。NFS鉴别一个写文件的请求时是鉴别发出这个请求的机器，而不是用户，因而，在基于NFS的文件系统中运行SU命令而成为某个文件的拥有者并不是一件困难的事情。入侵者可利用的漏洞：·目录可被任何人安装·主机可写·主机可通过CD..访问到上级目录等七网络文件系统〔NFS〕/远程过程调用〔RPC〕130远程过程调用〔RPC〕：客户把自己的程序在远程效劳器上运行，此时需启动一些进程。一些RPC进程为入侵者提供了诸如系统信息，口令文件，用户名等信息，有些进程会导致平安漏洞。存在平安隐患的RPC效劳进程：·RPCStatd·BootParameter·Netstat·Admin·Rexd远程过程调用〔RPC〕：131八病毒病毒是一个程序，有时是有破坏性的，可自我复制，能以替换、插入等形式附着在操作系统或可执行文件上，这些行为在用户毫无觉察之中进展。他还可通过网络传播，发作时有危害。•蠕虫•特洛伊木马〔如NetBus〕•BO〔BackOrifice〕