典型黑客攻击之拒绝优秀服务攻防

第09讲典型黑客攻击之(一)

拒绝服务攻防9.1DoS攻击的概念9.2DoS攻击的现象与原理9.3如何组织DDoS攻击9.4DDoS攻击实例9.5DDoS的防范目标、重点、难点目标：理解DoS的概念，了解DoS攻击的现象,理解如何组织一次DDoS攻击,了解DoS攻击的防范方法..重点：DDoS攻击方法\防范方法难点：DDoS攻击方法9.1DoS攻击的概念DoS是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。DoS攻击分布式拒绝服务(DDoS:DistributedDenialofService)攻击是目前黑客经常采用而难以防范的攻击手段。分布式拒绝服务攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。DDoS攻击DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。9.2DoS攻击的现象与原理被DDoS攻击时的现象:被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求严重时会造成系统死机DDoS攻击原理:如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1.考虑如何留好后门（我以后还要回来的哦）！2.如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。9.3如何组织DDoS攻击这里用“组织”这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：

1.搜集了解目标的情况下列情况是黑客非常关心的情报：被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.WWWW.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.WWW.com服务的：7

8

9

0

1

3

4

6如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使7这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://www.WWW.com的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。2.占领傀儡机黑客最感兴趣的是有下列情况的主机：链路状态好的主机性能好的主机安全管理水平差的主机这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。3.实际攻击

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。9.4DDoS攻击实例著名的DoS攻击有:1.死亡之PING2.泪滴3.UDP洪水4.SYN洪水5.LAND攻击6.IP欺骗DoS攻击7.塞满服务器的硬盘DDoS攻击实例-SYNFlood攻击SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。SynFlood原理-三次握手

SynFlood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SynFlood存在的基础。TCP连接的三次握手:

如图二，在第一步中，客户端向服务端提出连接请求。这时TCPSYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程。

SynFlood攻击者不会完成三次握手

假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYNFlood攻击（SYN洪水攻击）。在实验室中模拟的一次SynFlood攻击的实际过程:这一个局域网环境，只有一台攻击机（PIII667/128/mandrake），被攻击的是一台Solaris8.0(spark)的主机，网络设备是Cisco的百兆交换机。这是在攻击并未进行之前，在Solaris上进行snoop的记录，snoop与tcpdump等网络监听工具一样，也是一个很好的网络抓包与分析的工具。可以看到攻击之前，目标主机上接到的基本上都是一些普通的网络包。…

…

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

47->55NBTDatagramServiceType=17Source=TSC[0]

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

00->(broadcast)ARPCWhois02,02?

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

…

…接着，攻击机开始发包，DDoS开始了…，突然间sun主机上的snoop窗口开始飞速地翻屏，显示出接到数量巨大的Syn请求。这时的屏幕就好象是时速300公里的列车上的一扇车窗。这是在SynFlood攻击时的snoop输出结果：…

…

78->AUTHCport=1352

78->TCPD=114S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=115S=1352SynSeq=674711609Len=0Win=65535

78->UUCP-PATHCport=1352

78->TCPD=118S=1352SynSeq=674711609Len=0Win=65535

78->NNTPCport=1352

78->TCPD=121S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=122S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=124S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=125S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=126S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=128S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=130S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=131S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=133S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=135S=1352SynSeq=674711609Len=0Win=65535

……这时候内容完全不同了，再也收不到刚才那些正常的网络包，只有DDoS包。大家注意一下，这里所有的SynFlood攻击包的源地址都是伪造的，给追查工作带来很大困难。这时在被攻击主机上积累了多少Syn的半连接呢？我们用netstat来看一下：#netstat-an|grepSYN…

…

83.99.180100246560SYN_RCVD

83.139.180100246560SYN_RCVD

83.199.180100246560SYN_RCVD

83.219.180100246560SYN_RCVD

83.229.180100246560SYN_RCVD

83.239.180100246560SYN_RCVD

83.259.180100246560SYN_RCVD

83.379.180100246560SYN_RCVD

83.539.180100246560SYN_RCVD

…

…

其中SYN_RCVD表示当前未完成的TCPSYN队列，统计一下：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。这是在攻击发起后仅仅70秒钟左右时的情况。9.5DDoS攻击防范到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：企业网管理员ISP、ICP管理员骨干网络运营商预防DDoS攻击的十项安全策略本文是由编写分布式拒绝服务攻击工具TFN和TFN2K（这些工具曾被用于攻击Yahoo等大型网站）的德国著名黑客Mixter（年仅20岁）提供简单地说，掌握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安全漏洞是非常复杂的。详细地说，没有简单和专门的方法保护不受到这些攻击，而只能尽可能地应用各种安全和保护策略。对于每个面临安全威胁的系统，这里列出了一些简单易行和快速的安全策略以保护免受这些攻击。

对于面临拒绝服务攻击的目标或潜在目标，应该采取的重要措施：1、消除FUD心态FUD的意思是Fear（恐惧）、Uncerntainty（猜测）和Doubt（怀疑）。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、IRC服务器和新闻杂志等。如果不属于这类站点，大可不必过于担心成为拒绝服务攻击的直接目标。2、要求与ISP协助和合作获得你的主要互联网服务供应商（ISP）的协助和合作是非常重要的。分布式拒绝服务（DDoS）攻击主要是耗用带宽，单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商，确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的ISP愿意监视或允许你访问他们的路由器。3、优化路由和网络结构如果你管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYNflood攻击，应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达”消息。4、优化对外开放访问的主机对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多IP主机也会增加攻击者的难度。建议在多台主机中使用多IP地址技术，而这些主机的首页只会自动转向真正的web服务器。5、正在受到攻击时，必须立刻应用对应策略。尽可能迅速地阻止攻击数据包是非常重要的，同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址，因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被清除。对于已被或可能被入侵和安装DDoS代理端程序的主机，应该采取的重要措施：6、消除FUN心态为可能被入侵的对象，没必要太过紧张，只需尽快采取合理和有效的措施即可。现在的拒绝服务攻击服务器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系统中，但只要这些系统足够安全，系统被入侵的可能性不大。7、确保主机不被入侵和是安全的现在互联网上有许多旧的和新的漏洞攻击程序。以确保你的服务器版本不受这些漏洞影响。记住，入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查服务器配置和安全问题，运行最新升级的软件版本，最重要的一点就是只运行必要的服务。如果能够完全按照以上思路，系统就可以被认为是足够安全，而且不会被入侵控制。8、周期性审核系统必须意识到你要对自己管理的系统负责。应该充分了解系统和服务器软件是如何工作的，经常检查系统配置和安全策略。另外还要时刻留意安全站点公布的与自发管理的操作系统及软件有关的最新安全漏洞和问题。9、检查文件完整性当确定系统未曾被入侵时，应该尽快这所有二进制程序和其它重要的系统文件产生文件签名，并且周期性地与这些文件比较以确保不被非法修改。另外，强烈推荐将文件检验和保存到另一台主机或可移动介质中。这类文件/目录完整性检查的免费工具（如tripwire等）可以在许多FTP站点上下载。当然也可以选择购买商业软件包。10、发现正在实施攻击时，必须立刻关闭系统并进行调查如果监测到（或被通知）网络或主机正实施攻击，应该立刻关闭系统，或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机，所以应该进行研究分析和重新安装系统。建议联系安全组织。。必须记往，将攻击者遗留在入侵主机中的所有程序和数据完整地提供给安全组织或专家是非常重要，因为这能帮助追踪攻击的来源。这里主要给大家讲述了DoS攻防原理和技术。小结網路行銷推廣策略Loremipsumdolorsitamet,consecteturadipisicingelit.大綱01030204推廣組合推廣目標的設定整合性網路行銷溝通推廣金字塔0506網際網路廣告工具網際網路促銷工具推廣組合最常見的促銷活動：02LOREMIPSUMLOREMIPSUM廣告是一種付費的溝通方式，其是由可認明的廣告業主，透過大眾媒體來說服或影響消費者兩項優點：它是在輕鬆的氣氛下，將產品資訊傳遞給消費者。它不會對消費者形成心須立刻作決定的壓力傳統的廣告具有兩項限制無法達到個人化調整或修改時較缺乏彈性網路行銷最常被提到的促銷方式而網路廣告市的利潤，也是網站經營者的財務計畫中，被認為是成本回收的主要來源公共關係公共關係(PublicRelations)簡稱公關利用資訊去影響民意公眾報導(Publicity)報紙及電視上的新聞報導不用支付費用的一種方式組織並無法擁有充足的主控權具有較高的公信力若組織平時用心於公共關係的建立，與媒體廣結善緣，則可掌握較多的正面公眾報導。人員推銷最傳統的促銷方式人與人面對面接觸時，容易獲得較高的信賴感對於產品本身較複雜、需要詳細介紹及示範者，特別適合人員推銷的方式限制：(1)單位成本較高(2)同時可接觸的總數量有限虛擬人員具互動性的網站人機介面，銷售促進除了人員推銷、廣告、公眾報導以外，其他可以促進產品銷售的行銷活動諸如陳列、展售會、展覽會等等，都可泛稱銷售促進像是贈品、折價券、虛擬商展、競賽、抽獎、打折等等，都是銷售促進的有效方式網路上常見的例子，有麥當勞、肯德基、好樂迪、達美樂等公司所提供可直接從網路列印的折價券、以及PChome所提供可以在網路上使用的e-coupon等等還有一些網路社群所提供的虛擬貨弊或累積點數，除了可增加網友忠誠度，其實也具有銷售促進的功能。来自

....中国最大的资料库下载銷售點促銷工具是廣告的延伸零售店面所張貼的促銷海報相當高比例的消費者，是屬於未經規劃而臨時決定購買者在最終銷售點，再以陳列、海報等等產品資訊來提醒或刺激消費者的購物慾在網站上一樣可以有類似的銷售點促銷工具直銷具有高度互動性、可發生在任何地點、便利、效率網路上特別適合直銷：(1)網路媒體具備雙向溝通的互動性。(2)網路上本來就不受到地理限制。(3)網路本來也具便利與效率的優勢。(4)很多網站是由製造商直接規劃經營的。(5)在網路世界裏，中間商有減少的趨勢。

人員銷售

電話行銷

型錄

展售會、研討會與教育訓練

直接郵件(DM)

公共關係

媒體廣告

窄

寬

目標客戶涵蓋率

每次接觸的成本

高

低

推廣金字塔推廣目標(1)告知(Inform)針對新產品在導入市場或在產品生命週期的導入期，賣方特別需要告知消費者新產品的用途、性能。有效的告知，可以將消費者的需要變成慾求提前告知或宣示(Preannouncement)被廣泛運用在軟體業，其中除了告知與教育的功能之外，還含有欺敵的策略意含推廣目標(2)說服(Persuade)說服通常被運用在產品生命週期的成長期，因為競爭者開始出現。說服消費者該品牌比競爭者品牌的產品優越或較符合消費者的需求。讓消費者對於品牌建立正面的態度與偏好。推廣目標(3)提醒(Remind)被運用在產品生命週期的成熟期，因為市場上競爭者開始大量出現消費者對產品的效能與品牌的認同都已建立，此時是以提醒為主要目標再次喚醒消費者使用該品牌愉悅的經驗與滿足感反應層級模式

AIDA(Attention,Interest,Desire,andAction)模式消費者在接受推廣活動時，所經驗的一系列的反應，就是所謂的反應層級模式。而其中最有名的是AIDA(Attention,Interest,Desire,andAction)模式注意(Attention)興趣(Interest)慾望(Desire)行動(Action)推廣效果的衡量消費者購買決策流程(1)需求的確認(2)資訊處理(3)產品評估(4)購買決策(5)購買行為(6)購後的評估推廣目標告知說服提醒AIDA模式注意興趣慾望行動整合性網路行銷溝通

(IntegrationMarketingCommunication,IMC)透過不同的媒體所傳播的訊息，可能造成訊息衝突而使行銷溝通無法發揮多重媒體的綜效，反而彼此相互抵消行銷溝通的效果，「整合性行銷溝通」的概念的出現。就是整合各種不同的傳播工具，傳遞出一致性的訊息給目標客戶群整合性網路行銷溝通

(IntegratedInternetMarketingI2M)產品的行銷消費者態度的形成企業形象的建立氣氛流行文化員工產品與服務垃圾公關新聞故事口耳相傳廣告符號個人經驗.整合性網路行銷溝通(IntegratedInternetMarketing)品牌廣告與直接回應廣告廣告可以影響消費者的認知、情感與態度(品牌態度與形象)，進而改變購買決策與行為，也就是所謂的品牌廣告。廣告也可以促進直接回應的銷售，消費者在看到廣告後，引發消費者主動詢問(慾望)進而購買(行動)来自

....中国最大的资料库下载品牌廣告與直接回應廣告

行銷溝通效果衡量AIDA模式注意興趣慾望行動品牌廣告直接回應廣告網路行銷溝通效果衡量I1=知覺效率指標(