第8讲-计算机病毒、攻击

第8讲

计算机病毒

与攻击网络与信息安全Ⅰ主要内容计算机病毒概述1计算机病毒防治中的常见问题2黑客及攻击3信息时代威胁图8.1计算机病毒概述一、计算机病毒发展简史1．计算机病毒的概念对于病毒概念的起源可追溯到科幻小说。在20世纪70年代，美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制、利用通信进行传播的计算机程序，并称之为计算机病毒。“病毒”一词是借用生物学中的病毒。通过分析研究计算机病毒，人们发现它在很多方面与生物病毒有着相似之处。计算机病毒有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序都统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。现今国外流行的定义是：计算机病毒是一段依附在其他程序上，可以实现自我繁殖的程序代码。在国内，《中华人民共和国计算机信息系统安全保护条例》对病毒的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。2．计算机病毒发展简史（1）DOS病毒（2）Windows病毒（3）计算机网络病毒二、计算机病毒的分类1．按传染方式分类（1）引导型病毒（2）文件型病毒（3）复合型病毒2．按寄生方式分类（1）操作系统型病毒（2）外壳型病毒（3）入侵型病毒（4）源码型病毒3．按危害程度分类（1）良性病毒又称表现型病毒（2）恶性病毒又称破坏型病毒（3）中性病毒是指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒4．按攻击对象分类（1）攻击DOS的病毒（2）攻击Windows的病毒（3）攻击网络的病毒三、计算机病毒的特征1．传染性2．破坏性3．潜伏性4．可触发性5．演变性6．不可预见性病毒的危害情况病毒感染的途径（1）引进的计算机系统和软件中带有病毒。

（2）各类出国人员带回的机器和软件染有病毒。

（3）染有病毒的游戏软件。

（4）非法拷贝中毒。

（5）计算机生产、经营单位销售的机器和软件染有病毒。

（6）维修部门交叉感染。

（7）有人研制、改造病毒。

（8）敌对分子以病毒为媒体或武器进行宣传和破坏。（9）通过互联网（访问web、下载email和文件等）传入的。按照病毒编造者的目的，病毒大概有以下几种来源：

1．研究、兴趣等目的；2．游戏、恶作剧、表现欲等目的；

3．软件保护目的；4．破坏、报复目的；5．军事目的制造计算机病毒者，归纳起来有6类人：

1．学生、研究生和学者；2．玩家；3．电脑学会

4．软件商；5．

职员；6．恐怖组织8.2计算机病毒防治中的常见问题一、根据名称识别计算机病毒下面是对一些常见病毒前缀的解释。1．系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等，这些病毒的一般共有特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。2．蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

3．木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息；而黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的计算机，黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。

一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有比较多见的针对网络游戏的木马病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的，一般都表示这个病毒有盗取密码的功能（这些字母为“密码”的英文“password”缩写）。一些黑客程序，如网络枭雄（Hack.Nether.Client）等。4．脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5．宏病毒其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97。感染WORD97及以前版本WORD文档的病毒，采用Word97作为第二前缀，格式是：Macro.Word97；感染WORD97以后版本WORD文档的病毒，采用Word作为第二前缀，格式是：Macro.Word；感染EXCEL97及以前版本EXCEL文档的病毒，采用Excel97作为第二前缀，格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文档的病毒，采用Excel作为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：美丽莎病毒（Macro.Melissa）。6．后门病毒后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户计算机埋下安全隐患。如很多用户遇到过的IRC后门Backdoor.IRCBot。7．病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。9．玩笑病毒玩笑病毒的前缀是：Joke，也称恶作剧病毒。这类病毒的共有特性也是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10．捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，表面上是运行这些应用程序，实际上是隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。二、区别计算机病毒与计算机故障1．计算机病毒的现象与查解方法

在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散的，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象，如下所列。（1）屏幕显示异常，屏幕显示出不是由正常程序产生的画面，而是显示混乱（2）程序装入时间增长，文件运行速度下降（3）用户没有访问的设备却出现工作信号（4）磁盘出现莫名其妙的文件和坏块，卷标发生变化（5）系统自行引导（6）丢失数据或程序，文件字节数发生变化（7）内存空间、磁盘空间减小（8）异常死机（9）磁盘访问时间比平时增长（10）系统引导时间增长2．与病毒现象类似的硬件故障

（1）系统的硬件配置（2）电源电压不稳定（3）插件接触不良（4）软驱故障（5）CMOS的问题3．与病毒现象类似的软件故障

（1）出现“Invaliddrivespecification”（非法驱动器号）（2）软件程序已被破坏（非病毒）（3）DOS系统配置不当（4）软件与DOS版本的兼容性（5）引导过程故障（6）用不同的编辑软件编写程序（7）有关FoxBASE问题三、计算机病毒防治策略为什么需要策略？技术不能完全解决问题策略是对技术的补充策略可以使有限技术发挥最大限度的作用计算机病毒防治策略的基本准则拒绝访问能力来历不明的各种应用软件，尤其是通过网络传过来的应用软件，不得进入计算机系统。病毒检测能力计算机病毒总是有机会进入系统，因此，系统中应设置检测病毒的机制来阻止外来病毒的侵犯。计算机病毒防治策略的基本准则清除能力如果病毒突破了系统的防护，即使它的传播受到了控制，但也要有相应的措施将它清除掉。控制病毒传播的能力被病毒感染将是一个必然事件。关键是，一旦病毒进入了系统，应该具有阻止病毒在系统中到处传播的能力和手段。恢复能力“在病毒被清除以前，就已经破坏了系统中的数据”，是非常可怕但是又非常可能发生的事件。因此，系统应提供一种高效的方法来恢复这些数据，使数据损失尽量减到最少。替代操作可能会遇到这种情况：当发生问题时，手头又没有可用的技术来解决问题，但是任务又必须继续执行下去。为了解决这种窘况，系统应该提供一种替代操作方案：在系统未恢复前用替代系统工作，等问题解决以后再换回来。计算机病毒防治策略的基本准则国家层面上的病毒防治策略第一，落实病毒防治的规章制度第二，建立我国的计算机病毒预警系统第三，建立快速、有效的病毒应急体系第四，建立动态的系统风险评估措施第五，建立病毒事故分析制度第六，制定备份和恢复计划，减少损失第七，进一步加强计算机安全培训第八，提高国内运营商自身的安全性第九，加强技术防范措施病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能及时有效的升级功能杀毒软件必备功能智能安装、远程识别功能界面友好、易于操作对现有资源的占用情况系统兼容性软件的价格软件商的实力杀毒软件必备功能四、手机病毒手机病毒其实也和计算机病毒一样，它可以通过计算机执行从而向手机乱发短信息侵袭上网手机的病毒，会自动启动电话录音功能，并将录音四处传送，病毒也会自动打出电话、删除手机上的档案内容，以及制造出金额庞大的电话账单四、手机病毒严格地讲，手机病毒应该是一种计算机病毒，这种病毒只能在计算机网络上进行传播而不能通过手机进行传播，因此所谓的手机病毒其实是计算机病毒程序启动了电信公司的一项服务，例如电子邮件到手机短信息的功能，而且它发给手机的是文档，根本就无破坏力可言。当然也有的手机病毒破坏力还是比较大的，一旦发作可能比个人计算机病毒更厉害，传播速度更快另外由于手机还有其他的数据通讯方式，例如短信息、WAP服务，以及GRPS高速因特网连接服务，一方面它们确实能给我们带来方便，只需按几个键就可以换个LOGO、下载喜爱的铃声，甚至可以实现高速的因特网连接。但也正是这些功能，可以写入系统或手机内存指令，攻击者只要找到缺口，传出一个带毒的短信息，以手机操作系统的汇编语言编写病毒指令，改变系统的机内码(machinecode)，将指令藏在记忆体中，然后再开启其他手机的电话本，大肆传播病毒，在一定时间内发作，破坏手机的开机系统手机病毒按病毒形式可以分类1．通过“无红传送”蓝牙设备传播的病毒“卡比尔”、“Lasco.A”。小知识：“卡比尔”（Cabir）是一种网络蠕虫病毒，它可以感染运行“Symbian”操作系统的手机。手机中了该病毒后，使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描，在发现漏洞手机后，病毒就会复制自己并发送到该手机上。Lasco.A病毒与蠕虫病毒一样，通过蓝牙无线传播到其它手机上，当用户点击病毒文件后，病毒随即被激活。手机病毒按病毒形式可以分类2．针对移动通讯商的手机病毒“蚊子木马”。小知识：该病毒隐藏于手机游戏“打蚊子”的破解版中。虽然该病毒不会窃取或破坏用户资料，但是它会自动拨号，向所在地为英国的号码发送大量文本信息，结果导致用户的信息费剧增。手机病毒按病毒形式可以分类3．针对手机BUG的病毒“移动黑客”。小知识：移动黑客（Hack.mobile.smsdos）病毒通过带有病毒程序的短信传播，只要用户查看带有病毒的短信，手机即刻自动关闭。4．利用短信或彩信进行攻击的“Mobile.SMSDOS”病毒。典型的例子就是出现的针对西门子手机的“Mobile.SMSDOS”病毒。小知识：“Mobile.SMSDOS”病毒可以利用短信或彩信进行传播，造成手机内部程序出错，从而导致手机不能正常工作。常见手机病毒及其毒发症状EPOC_ALARM：手机持续发出警告声音EPOC_BANDINFO.A：将用户信息更改为“Somefoolownthis”EPOC_FAKE.A：在手机屏幕上显示格式化内置硬盘时画面，吓人把戏，不会真格EPOC_GHOST.A：在画面上显示“Everyonehatesyou”（每个人都讨厌你）EPOC_LIGHTS.A：让背景光不停闪烁EPOC_ALONE.A：这是一种恶性病毒，会使键操作失效。常见手机病毒及其毒发症状Timofonica：给地址簿中的邮箱发送带毒邮件，还能通过短信服务器中转向手机发送大量短信。Hack.mobile.smsdos：会让手机死机或自动关机。Unavaifabie：当有来电时，屏幕上显示“Unavaifaule”（故障）字样或一些奇怪的字符。如果此时接起电话则会染上病毒，同时丢失手机内所有资料。Trojanhorse：恶意病毒，病毒发作时会利用通迅簿向外拨打电话或发送邮件。甚至打电话找警察。手机病毒的攻击方式及危害针对手机的攻击，主要可以分为以下几类：攻击WAP服务器等相关设备，使WAP手机无法接收正常信息攻击、控制接入服务器，或者利用网关漏洞，向手机发送大量垃圾信息。典型的就是利用各大门户网站的手机服务漏洞，编写程序，不停地用某个手机号码订阅某项服务或者退定某个服务，例如SMS.Flood病毒手机病毒的攻击方式及危害针对手机的攻击，主要可以分为以下几类：直接攻击手机本身，使手机无法提供服务。这种破坏方式难度相对较大，目前主要是利用手机程序的漏洞，发送精心构造的短信(SMS)或者彩信(MMS)，造成手机内部程序出错，从而导致手机不能正常工作，就像我们经常在计算机上看到的“程序出错”情况一样。典型的例子就是针对西门子手机的Mobile.SMSDOS病毒手机漏洞分析攻击手机的一个重要途径，就是利用手机漏洞。主要有以下一些手机漏洞：Nokia某些产品PDU格式漏洞Siemens35系列特殊字符漏洞Panasonic的GD87彩信手机漏洞Orange的SPV存在允许运行非认证软件漏洞Nokia的VCard存在漏洞Siemens的“%String”漏洞手机操作系统Symbians60存在漏洞手机病毒的发展趋势目前，编写手机病毒存在不少困难：手机操作系统是专用操作系统，不对普通用户开放，不像计算机操作系统，容易学习、编写和调试程序，而且它所使用的芯片等硬件也都是专用的，平时很难接触到手机系统中可以“写”的地方太少，在以前的手机中，用户是不可以往手机里面写数据的，唯一可以保存数据的只有SIM卡手机病毒的发展趋势目前，编写手机病毒存在不少困难：以前手机接收的数据基本上都是文本格式数据，我们知道文本格式也是计算机系统中最难附带病毒的文件格式，同样在手机系统中，病毒也很难附加在文本内容上手机病毒的发展趋势随着手机行业的快速发展和基于手机的应用不断增多，手机将面临更多、更大的威胁：K－JAVA大量运用于手机，使得编写用于手机的程序越来越容易基于Symbian、PocketPC和SmartPhone的操作系统的手机种类不断扩大，同时手机使用的芯片(如Intel的StrongARM)等硬件也逐渐固定下来，使手机有了比较标准的操作系统，而且这些手机操作系统厂商甚至芯片都是对用户开放API并且鼓励在他们之上做开发的，这样在方便用户的同时，也方便了病毒编写者手机病毒的发展趋势随着手机行业的快速发展和基于手机的应用不断增多，手机将面临更多、更大的威胁：手机的容量不断扩大，既增加了手机的功能，同时也使得病毒有了藏身之地手机直接传输的内容也复杂了很多，由以前只有文本的SMS发展到现在支持2进制格式文件的EMS和MMS，因此病毒就可以附加在这些文件中进行传播蓝牙等技术的应用，也为手机病毒的传播创造了条件手机病毒的防范对手机病毒的防范，分为三个方面手机厂商防止出现手机的安全漏洞手机网络运营商在WAP服务器、网关等部位设置安全系统，加强对手机病毒的防范，堵死手机病毒传播通道手机用户对病毒的防范手机病毒的防范手机用户对手机病毒采取的措施主要包括以下几种关闭乱码电话尽量少从网上下载信息删除异常短信息对手机进行查杀病毒目前应对手机病毒的主要技术措施有两种通过无线网站对手机进行杀毒通过手机的IC接入口或红外传输口进行杀毒8.3黑客及攻击1．黑客概述在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet，创造出现在使用的UNIX操作系统，使Usenet运作起来，并且让WorldWideWeb传播开来，这就是最早的Hacker。

也存在另外一个团体，其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统，真正的Hacker称他们为入侵者（Cracker），并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位Hacker。基本上，Hacker和Cracker之间最主要的不同是，Hacker创造新东西，Cracker破坏东西。现在，人们所说的黑客是指Cracker。2．黑客常用的攻击方法（1）获取口令（2）放置特洛伊木马程序（3）WWW的欺骗技术（4）电子邮件攻击（5）通过一个节点来攻击其他节点（6）网络监听（7）寻找系统漏洞（8）利用账号进行攻击（9）偷取特权网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心

攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击攻击的种类后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击信息收集—非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎信息收集—技术手段PingTracert/TracerouteRusers/FingerHost/nslookup远程控制技术的发展历程第一代功能简单、技术单一，如简单的密码窃取和发送等第二代在技术上有了很大的进步，如国外的BO2000，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比如利用ICMP协议以及采用反弹端口的连接模式第四代研究操作系统底层，在进程隐藏方面有了很大的突破传统的远程控制步骤如何远程植入程序直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的木马被植入目标机器远程受控端程序的自启动Windows启动目录注册表启动Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件关联方式系统配置文件启动Win.iniSystem.ini服务启动其他启动远程受控端程序的隐藏在任务栏（包括任务管理器）中隐藏自己初步隐藏注册为系统服务不适用于Win2k/NT启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏远程线程插入其他进程（不适用于Win9X）Hook技术DoS与DDoS攻击DoS(DenialofService)攻击的中文含义是拒绝服务攻击。常见攻击方法有：

1、利用传输协议上的缺陷，发送出畸形的数据包，导致目标主机无法处理而拒绝服务。

2、利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务

3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信

4、利用受害主机上服务的缺陷，提交大量的请求将主机的资源耗尽，使受害主机无法接受新的请求DoS与DDoS攻击DDoS(DistributedDenialofService)攻击的中文含义是分布式拒绝服务攻击。是在传统DoS攻击基础之上产生的一类攻击方式。也是现在最常用，最难以防御的一种拒绝服务攻击。它借助于C/S技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍提高拒绝服务攻击的威力DoS与DDoS攻击攻击来自于众多来源，发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过度地利用网络资源拒绝合法用户访问在线资源洪水般的攻击包堵塞住企业与互联网的全部连接终端客户的内部设备都不能有效抵御这种攻击DDOS攻击原理mbehringISPCPEInternetZombie(僵尸)发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备Hacker(黑客)

DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大MasterServer如何组织一次DDoS攻击1.搜集了解目标的情况下列情况是黑客非常关心的情报：被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽如何组织一次DDoS攻击对于DDoS攻击者来说，攻击互联网上的某个站点，首先要确定到底有多少台主机在支持这个站点，一个大的网站一般有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供服务的：78901346如何组织一次DDoS攻击如果要进行DDoS攻击的话，应该攻击哪个地址呢？使7这台机器瘫掉，但其他的主机还是能向外提供服务，所以想让别人访问不到，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。如何组织一次DDoS攻击所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。如果黑客不进行情报的搜集而直接进行DDoS的攻击，盲目性就很大。一般来讲，在相同的条件下，攻击同一站点的主机需要相同台傀儡机的话，但做攻击的傀儡机越多越好，不管有多少台主机，用尽量多的傀儡机来攻就是了，傀儡机超过了时候效果更好。如何组织一次DDoS攻击2.占领傀儡机黑客最感兴趣的是有下列情况的主机：性能好的主机负载轻的主机安全管理水平差的主机如何组织一次DDoS攻击首先，黑客做的工作是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…，然后有针对性尝试入侵。占领一台傀儡机后，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击傀儡机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。如何组织一次DDoS攻击3.实际攻击经过前2个阶段的精心准备之后，实际攻击过程反而比较简单。黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令；埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。如：开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。流量型攻击—SYNFloodSYN（我可以连接吗？）攻击者受害者伪造地址发送大量SYN请求就是让你白等SYNFlood攻击原理攻击表现SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）SYN（我可以连接吗？）SYN（我可以连接吗？）SYN（我可以连接吗？）正常连接请求得不到响应正常SYN（我可以连接吗？）SynFlood的防御对策重新设置一些TCP/IP协议参数增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYNCookies的特殊措施选择高性能的防火墙SYNThreshold类SYNDefender类SYNProxy类连接型攻击—CCProxy攻击者受害者(WebServer)大量非正常HTTPGet请求不能建立正常的连接非正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表现非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFloodDB连接池用完啦！！受害者(DBServer)DB连接池占用占用占用HTTPGetFlood攻击原理利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求漏洞型攻击—Teardrop攻击UDPFragments受害者发送大量UDP病态分片数据包Teardrop攻击原理攻击表现发送大量的UDP病态分片数据包操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象无暇理睬正常的连接请求—拒绝服务UDPFragmentsUDPFragmentsUDPFragmentsUDPFragments服务器宕机，停止响应正常SYN（我可以连接吗？）攻击者服务器系统崩溃拒绝服务攻击—Smurf攻击AttackerTarget目标机器会接收很多来自中介网络的请求中介网络放大器broadcastechorequest

源地址被欺骗为被攻击主机地址其它拒绝服务攻击FragglePingofDeathUdpFloodTearDrop电子邮件炸弹DDOS攻击—”丰功伟绩“篇2009年7月DDOS攻击—”丰功伟绩“篇DDOS攻击—”丰功伟绩“篇DDOS攻击形式严峻2010年2009年2008年2007年2006年2005年2004年2003年2002年65%54%40%33%29%20%16%10%6%年占网络报警的百分比%攻击流量越来越大百G攻击流量10G攻击流量1G攻击流量100M攻击流量攻击规模不断增大攻击防护原理连接跟踪协议分析攻击过