05-网络入侵技术-3nd-short解析

网络入侵技术1入侵的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限2入侵攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用效劳缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络哄骗与劫持攻击后攻击阶段后门木马痕迹擦除其它攻击种类拒绝效劳攻击嗅探攻击恶意网页攻击社会工程攻击3信息收集—非技术手段合法途径从目标机构的网站猎取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，猎取第三方的信任搜寻引擎4社会工程学攻击

社交工程是使用计策和假情报去获得密码和其他敏感信息的科学，争论一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图查找更加精妙的方法从他们希望渗透的组织那里获得信息。例：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如全部秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简洁的调查是他们社会争论工作的一局部。利用这份表格这些学生能够快速的进入系统，由于网络上的大多数人是使用宠物和他们配偶名字作为密码。5社会工程学攻击

目前社会工程学攻击主要包括两种方式：打恳求密码和伪造Email打恳求密码尽管不像前面争论的策略那样聪明，打寻问密码也常常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，常常通过这种简洁的方法重新获得密码。伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，由于它发自于一个合法的用户。一个冒充系统治理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。6信息收集—技术手段PingTracert/TracerouteRusers/FingerHost/nslookup7端口扫描目的推断目标主机开启了哪些端口及其对应的效劳常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息〔例如RST〕来进展间接扫描较为隐蔽，不易被日志记录或防火墙觉察8TCPSYN扫描也叫半开式扫描利用TCP连接三次握手的第一次进展扫描被扫描主机开放的端口不提供服务的端口防火墙过滤的端口

扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他9端口扫描工具Nmap简介被称为“扫描器之王”有forUnix和forWin的两种版本需要Libpcap库和Winpcap库的支持能够进展一般扫描、各种高级扫描和操作系统类型鉴别等使用-sS：半开式扫描-sT:一般connect扫描-sU：udp端口扫描-O：操作系统鉴别-P0：强行扫描〔无论是否能够ping通目标〕-p：指定端口范围-v：具体模式10NmapWin11端口扫描工具SuperScan简介基于Windows平台速度快，图形化界面最新版本为4.0使用傻瓜化12漏洞扫描依据目标主机开放的不同应用和效劳来扫描和推断是否存在或可能存在某些漏洞乐观意义进展网络安全评估为网络系统的加固供给先期预备消极意义被网络攻击者加以利用来攻陷目标系统或猎取重要的数据信息13漏洞扫描的种类系统漏洞扫描特定效劳的漏洞扫描WEB效劳数据库效劳FTP效劳Mail效劳信息泄漏漏洞扫描用户信息共享信息人为治理漏洞扫描弱口令错误配置网络及治理设备漏洞扫描路由器、交换机SNMP设备14漏洞扫描工具Nessus构架效劳器端：基于Unix系统客户端：有GTK、Java和Win系统支持运作客户端连接效劳器端，并下载插件和扫描策略真正的扫描由效劳器端发起两者之间的通信通过加密认证优势：具有强大的插件功能完全免费，升级快速特殊适合作为网络安全评估工具链接：15漏洞扫描工具X-Scan国人自主开发完全免费16安全漏洞扫描器安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS〔InternetSecurityScanner〕：SSS〔ShadowSecurityScanner〕：RetinaNetworkSecurityScanner：LANguardNetworkSecurityScannerCyberCopScanner：NAI17SSS〔ShadowSecurityScanner〕18RetinaNetworkSecurityScanner19LANguardNetworkSecurityScanner20操作系统类型鉴别主要依据利用不同操作系统对各种连接恳求的不同反响和特征来推断远程主机操作系统的类型当使用足够多的不同特征来进展推断，操作系统的探测精度就能有很大保证21间接鉴别操作系统说明不直接进展扫描利用网络应用效劳使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息如Telnet80端口查看WEB效劳器类型从而初步推断操作系统类型这种方法难以被觉察防范对策修改效劳器上应用效劳的banner信息，到达迷惑攻击者的目的22直接鉴别操作系统类型TCP/IP栈指纹探测技术各个操作系统在实现TCP/IP栈的时候有微小的不同，可以通过下面一些方法来进展判定TTL值Windows窗口值ToS类型DF标志位初始序列号〔ISN〕采样MSS〔最大分段大小〕其他23TTL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL〔TimeToLive〕24UNIX及类UNIX操作系统 255

CompaqTru645.0 64

微软WindowsNT/2K 128

微软Windows95 32

LINUXKernel2.2.x&2.4.xICMP 64

FreeBSD4.1,4.0,3.4;

SunSolaris2.5.1,2.6,2.7,2.8;

OpenBSD2.6,2.7,

NetBSD

HPUX10.20

ICMP回显应答的TTL字段值为255TTL〔TimeToLive〕25目标主机操作系统识别技术

依据之前提到的高级扫描方式，直接进展的端口扫描，能够赐予我们绕过防火墙的力气，而且可以尽可能地隐蔽自己等等，但是，我们能够得到的信息也是有限的，或许对是否开放一个端口并不是那么直接地感兴趣，比方一个21端口，我们真正感兴趣的是这个端口被用来作什么了，运行什么版本的程序，而不是仅仅翻开一个21端口就满足了。也就是说，我们对下面得到地这个东西更感兴趣〔关系到IP的地方，用X代替〕

C:\>ftpXXX.XXX.XXX.XXX

ConnectedtoXXX.XXX.XXX.XXX.

220XXXXXX2WS_FTPServer1.0.5(1327846197)

User(XXX.XXX.XXX.XXX:(none)):26目标主机操作系统识别技术

这就是一种最简洁和最直接的判别方式，获得程序版本变相地也让我们能够估量到目标的操作系统类别。我们可以对每个翻开的端口进展相应的连接，通常这些效劳程序就会特殊欢快地显示自己的“banner”，也就让我们能够直接得到它是什么版本了。甚至，我们能够得到更好的东西：

这让我们对操作系统版本一览无余了。正像这些只对80端口感兴趣的“黑客”一样，通过对80端口的连接，我们也能得到足够多的信息。C:\>telnetXXX.XXX.XXX.XXX

RedHatLinuxrelease7.1(Seawolf)

Kernel2.4.2-2onani686

login:27目标主机操作系统识别技术

C:\>telnetXXX.XXX.XXX.XXX80

HEAD/HTTP/1.1

HTTP/1.1200OK

Via:1.1ADSL2023

Content-Length:97

Date:Thu,24Jan202313:46:56GMT

Content-Type:text/html

Server:Apache/1.3.20(Unix)PHP/4.0.6

Last-Modified:Wed,26Dec202309:22:54GMT

ETag:“8715f-61-3c2996ee“

Accept-Ranges:bytes

Keep-Alive:timeout=15,max=100可以留意到：，这里很明白地“奉献”出WEB效劳器的软件版本。

这样直接的连接探测方式，对于这些banner开放的系统是特殊简洁的。固然，负责的治理员也会屏蔽或者修改掉这些BANNER。

28目标主机操作系统识别技术

还有一种粗劣而且简洁的判别主机操作系统类型的方法就是通过Ping，然后分析得到的TTL值，略微准确点可以同时再协作Tracert来确定主机原始的TTL值，不过，这种方法很简洁被哄骗，比方，在WINDOWS系统中，对注册表的修改：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Key:DefaultTTL

通过对DefaultTTL的修改，比方：修改成为255，伪装成为一台UNIX主机，就能够造成探测者的错误推断。29目标主机操作系统识别技术

对主机使用端口的分析，同样也能够进展操作系统识别，一些操作系统使用特殊的端口，比方：WINDOWS的137、139，WIN2K的445，而且一些网络设备比方入侵检测系统、防火墙等等也都有厂商自己的端口开放。30缓冲区溢出攻击危害性据统计，缓冲区溢出攻击占全部网络攻击总数的80%以上溢出成功后大都能直接拿到目标系统的最高权限身边的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢出Wu-ftpd溢出31缓冲区溢出原理通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以到达攻击的目的缓冲区溢出攻击的对象在于那些具有某些特权〔如root或本地治理器〕运行的程序，这样可以使得攻击者取得该程序的把握权，假设该程序具有足够的权限，那么整个主机就被把握了32缓冲区溢出原理voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat、gets、scanf等33缓冲区溢出原理任凭往缓冲区填写数据使它溢出一般只会消逝“分段错误”，而不能到达攻击的目的。最常见的手段是通过制造缓冲区溢出访程序运行一个用户shell，再通过shell执行其他命令，假设该shell有治理员权限，就可以对系统进展任意操作。34缓冲区溢出示意图字符串变量数组函数返回点n字节输入数据>n字节,尾部为跳转的地址缓冲区用户输入正常流程溢出改变流程字符串变量数组函数返回点n字节输入数据<n字节缓冲区用户输入正常流程35程序溢出时的表现SegmentationFault(coredumped)36缓冲区溢出——RPC漏洞溢出

远程过程调用RPC〔RemoteProcedureCall)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC效劳。可以在效劳列表中看到系统的RPC效劳，如图37缓冲区溢出——RPC漏洞溢出

远程过程调用RPC〔RemoteProcedureCall)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC效劳。可以在效劳列表中看到系统的RPC效劳。RPC效劳不能手动停顿，在Windows操作系统中可以利用工具停顿该效劳，停顿该效劳以后，最明显的特征是当复制文件时，鼠标右键菜单项“粘贴”总是禁用的。38缓冲区溢出——利用RPC漏洞建立超级用户

RPC溢出漏洞，对SP4也适用，必需打专用补丁。利用工具scanms.exe文件检测RPC漏洞，该工具是ISS安全公司2023年7月30日公布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOMRPC接口远程缓冲区溢出漏洞〔823980-MS03-026〕”补丁程序。假设没有安装补丁程序，该IP地址就会显示出“[VULN]”。首先拷贝该文件到C盘根名目，现在要检查地址段到的主机，执行命令 scanms.exe39缓冲区溢出——检查缓冲区溢出漏洞40利用工具软件attack.exe对进展攻击。攻击的结果将在对方计算机上建立一个具有治理员权限的用户，并终止了对方的RPC效劳。新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC效劳停顿操作系统将有很多功能不能使用，特殊简洁被治理员觉察，使用工具软件OpenRpcSs.exe来给对方重启RPC效劳。攻击的全过程如以以下图。缓冲区溢出——检查缓冲区溢出漏洞41缓冲区溢出——攻击的全过程

42利用OpenRpcSs.exe重启对方RPC效劳之后，可以不引起治理员的留意，但是却在对方主机中建立了一个具有治理员权限的帐号qing10，之后就可以利用这个账户进展远程登录，猎取信息。缓冲区溢出——检查缓冲区溢出漏洞43在输入登录账户和口令后，可以连续获得对方主机信息。缓冲区溢出——检查缓冲区溢出漏洞44远程把握技术概念危害性进展历程技术类型45特洛伊木马的来历希腊人攻打特洛伊城十年，始终未获成功，后来建筑了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐蔽的希腊将士冲出来翻开城门，希腊将士里应外合消灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马来源于希腊神话中的特洛伊战斗46远程把握技术远程把握实际上是包含有效劳器端和客户端的一套程序效劳器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进展监听，假设接收到数据就对其进展识别，然后依据识别后的命令在目标计算机上执行一些操作〔比方窃取口令，拷贝或删除文件，或重启计算机等〕攻击者一般在入侵成功后，将效劳端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进展操作47远程把握技术的进展历程第一代功能简洁、技术单一，如简洁的密码窃取和发送等其次代在技术上有了很大的进步，如国外的BO2023，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比方利用ICMP协议以及承受反弹端口的连接模式第四代争论操作系统底层，在进程隐蔽方面有了很大的突破48传统的远程把握步骤49如何远程植入程序直接攻击电子邮件文件下载扫瞄网页+合并文件经过伪装的木马被植入目标机器50远程受控端程序的自启动Windows启动名目注册表启动Run(RunOnce/RunOnceEx/RunServices〕KnownDLLs修改文件关联方式系统配置文件启动Win.iniSystem.ini效劳启动其他启动51远程受控端程序的隐蔽在任务栏〔包括任务治理器〕中隐蔽自己初步隐蔽注册为系统效劳不适用于Win2k/NT启动时会先通过窗口名来确定是否已经在运行，假设是则不再启动防止过多的占用资源进程隐蔽远程线程插入其他进程〔不适用于Win9X〕Hook技术52远程把握数据传输方式ICMP协议传送反弹端口+HTTP隧道技术53反弹端口连接模式>1024反弹式的远程控制程序防火墙IP数据包过滤目标主机Windows系统骗取系统IE进程木马线程正常线程进入合法应用程序正常线程…InternetExplorer浏览网页端口监听端口传统远程控制程序54远程把握的防范远程端口扫描本地进程—端口观看Fport/VisionAntiyPortsAPorts本地进程观看PslistListdlls注册表监控Regmon文件监控Filemon使用专用的查杀工具加强使用者的安全意识55Vision56AntiyPorts57使用“冰河”进展远程把握“冰河”包含两个程序文件，一个是效劳器端，另一个是客户端。“冰河8.2”的文件列表如以以下图58使用“冰河”进展远程把握win32.exe文件是效劳器端程序，Y_Client.exe文件为客户端程序。将win32.exe文件在远程得计算机上执行以后，通过Y_Client.exe文件来把握远程得效劳器，客户端的主界面如图59使用“冰河”进展远程把握将效劳器程序种到对方主机之前需要对效劳器程序做一些设置，比方连接端口，连接密码等。选择菜单栏“设置”下的菜单项“配置效劳器程序”，如图60使用“冰河”进展远程把握在消逝的对话框中选择效劳器端程序win32.exe进展配置，并填写访问效劳器端程序的口令，这里设置为“1234567890”，如图61使用“冰河”进展远程把握点击按钮“确定”以后，就将“冰河”的效劳器种到某一台主机上了。执行完win32.exe文件以后，系统没有任何反响，其实已经更改了注册表，并将效劳器端程序和文本文件进展了关联，当用户双击一个扩展名为txt的文件的时候，就会自动执行冰河效劳器端程序。当计算机感染了“冰河”以后，查看被修改后的注册表，如图62使用“冰河”进展远程把握没有中冰河的状况下，该注册表项应当是使用notepad.exe文件来翻开txt文件，而图中的“SYSEXPLR.EXE”其实就是“冰河”的效劳器端程序。63使用“冰河”进展远程把握目标主机中了冰河了，可以利用客户端程序来连接效劳器端程序。在客户端添加主机的地址信息，这里的密码是就是刚刚设置的密码“1234567890”。如图64使用“冰河”进展远程把握点击按钮“确定”以后，查看对方计算机的根本信息了，对方计算机的名目列表如图65使用“冰河”进展远程把握从图中可以看出，可以在对方计算机上进展任意的操作。除此以外还可以查看并把握对方的屏幕等等，如图66DoS与DDoS攻击DoS(DenialofService)攻击的中文含义是拒绝效劳攻击DDoS(DistributedDenialofService)攻击的中文含义是分布式拒绝效劳攻击67拒绝效劳攻击的种类发送大量的无用恳求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的力气。利用网络效劳以及网络协议的某些特性，发送超出目标主机处理力气的效劳恳求，导致目标主机丧失对其他正常效劳恳求的响应力气。利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的瘫痪〔称之为nuke)68拒绝效劳攻击典型举例SynFloodSmurfPingFloodUDPFlooder69拒绝效劳攻击—SynFlood1996年9月以来，很多Internet站点患病了一种称为SYN风暴〔SYNFlood〕的拒绝效劳攻击。它是通过创立大量“半连接”来进展攻击，任何连接到Internet上并供给基于TCP的网络效劳〔如WWW效劳、FTP效劳、邮件效劳等〕的主机都可能患病这种攻击。70拒绝效劳攻击—SynFlood正常的TCP/IP三次握手SynFlood攻击服务器

客户端SYNSYN+ACKACK握手完成，开始传送数据，系统消耗很少被攻击主机攻击主机伪造源地址不存在的主机不断重试及等待，消耗系统资源不响应SYNSYN+ACK71拒绝效劳攻击—SynFlood针对不同的系统，攻击的结果可能不同，但是攻击的根本都是利用这些系统中的TCP/IP协议族的设计弱点和缺陷。只有对现有TCP/IP协议族进展重大转变才能修正这些缺陷。目前还没有一个完整的解决方案，但是可以实行一些措施尽量降低这种攻击发生的可能性，减小损失。72SynFlood的防范对策2-1优化系统配置： 缩短超时时间，使得无效的半连接能够尽快释放；增加TCP监听套接字半连接队列的最大长度，使得系统能够同时处理更多的半连接优化路由配置： 配置路由器的外网卡，丢弃那些来自外部网而源IP地址具有内部网络地址的包；配置路由器的内网卡，丢弃那些马上发到外部网而源IP地址不具有内部网络地址的包。这种方法不能完全杜绝SYN风暴攻击，但是能够有效地削减攻击的可能。73SynFlood的防范对策2-2完善根底设施： 现有网络体系构造没有对源IP地址进展检查的机制，同时也不具备追踪网络包的物理传输路径的机制，使得觉察并惩治作恶者也很难。而且很多攻击手段都是利用现有网络协议的缺陷，因此，对整个网络体系构造的再改造特殊重要。使用防火墙： 实现半透亮网关技术的防火墙能够有效地防范SYN风暴攻击主动监视： 监视TCP/IP流量74Smurf攻击是以最初发动这种攻击的程序名Smurf来命令的。这种攻击方法结合使用了IP哄骗和带有播送地址的ICMP恳求－响应方法使大量网络传输布满目标系统，引起目标系统拒绝为正常系统进展效劳，属于间接、借力攻击方式。任何连接到互联网上的主机或其他支持ICMP恳求－响应的网络设备都可能成为这种攻击的目标。拒绝效劳攻击—Smurf攻击75拒绝效劳攻击—Smurf攻击攻击者目标受害者目标机器会接收很多来自中间脆弱网络的恳求中间脆弱网络broadcastechorequest源地址被哄骗为被攻击主机地址76Smurf的防范对策3-1针对中间网络： 在路由器的每个端口关闭IP播送包的转发设置； 可能的状况下，在网络边界处使用访问把握列表ACL，过滤掉全部目标地址为本网络播送地址的包； 对于不供给穿透效劳的网络，可以在出口路由器上过滤掉全部源地址不是本网络的数据包； 配置主机的操作系统，使其不响应带有播送地址的ICMP包77Smurf的防范对策3-2针对目标受害者： 没有什么简洁的解决方法能够帮助受害主机，当攻击发生时，应尽快重新配置其所在的网络的路由器，以堵塞这些ICMP响应包。但是受害主机的路由器和受害主机ISP之间的拥塞不行避开。同时，也可以通知中间网络的治理者协同解决攻击大事。78Smurf的防范对策3-3针对发起攻击的主机及其网络： Smurf攻击通常会使用哄骗性源地址发送echo恳求，因此在路由器上配置其过滤规章，丢弃那些马上发到外部网络而源IP地址不具有内部网络地址的包。这种方法尽管不能消灭IP哄骗的包，却能有效降低攻击发生的可能性。79其它拒绝效劳攻击Fraggle〔Smurf攻击的变种〕PingofDeathLandTearDropIP哄骗80其它拒绝效劳攻击Fraggle攻击Fraggle攻击实际上就是对Smurf攻击作了简洁的修改，使用的是UDP应答消息而非ICMP。81其它拒绝效劳攻击PingofDeath攻击 攻击者有意创立一个长度大于65535〔IP协议中规定最大的IP包长为65535个字节〕ping包，并将该包发送到目标受害主机，由于目标主机的效劳程序无法处理过大的包，而引起系统崩溃、挂起或重启。 这种攻击已经不适用了，目前全部的操作系统开发商都对此进展了修补或升级。82其它拒绝效劳攻击Land攻击〔LandAttack〕 Land也是一个特殊有效的攻击工具，它对当前流行的大局部操作系统及一局部路由器都具有相当的攻击力气。攻击者利用目标受害系统的自身资源实现攻击意图。由于目标受害系统具有漏洞和通信协议的弱点，这样就给攻击者供给了攻击的时机。 如：攻击者不断地向被攻击的计算机发送具有源IP地址和目的IP地址完全一样，TCP源端口和目的端口也完全一样的的伪造TCPSYN包，导致该计算机系统向自己发送响应信息，最终被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。83其它拒绝效劳攻击Teardrop攻击 一个IP分组在网络中传播的时候，由于沿途各个链路的最大传输单元不同，路由器常常会对IP包进展分组，马上一个包分成一些片段，使每段都足够小，以便通过这个狭窄的链路。每个片段将具有自己完整的IP包头，其大局部内容和最初的包头一样。Teardrop攻击就是利用IP包的分段/重组技术在系统实现的一个的错误。84其它拒绝效劳攻击Teardrop攻击〔cont.〕攻击特征：向被攻击者发送多个分片的IP包〔IP分片数据包中包括该分片数据包属于哪个数据包，以及在数据包中的位置等信息〕，某些操作系统收到含有重叠偏移的伪造分片数据包时将会消逝系统崩溃、重启等现象。利用包重组时重叠偏移〔假设数据包中其次片IP包的偏移量小于第一片完毕的位移，而且算上其次片IP包的Data，也未超过第一片的尾部，这就是重叠现象〕的漏洞对系统主机发动拒绝效劳攻击，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP0x0000000A错误。检测方法：对接收到的分片数据包进展分析，计算数据包的片偏移量〔Offset〕是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进展审计。85IP哄骗这种攻击利用RST位来实现。假设现在有一个合法用户(0)已经同效劳器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为0，并向效劳器发送一个带有RST位的TCP数据段。效劳器接收到这样的数据后，认为从发送的连接有错误，就会清空缓冲区中建立好的连接。这时，假设合法用户再发送合法数据，效劳器就已经没有这样的连接了，该用户就必需从新开头建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使效劳器不对合法用户效劳，从而实现了对受害效劳器的拒绝效劳攻击。其它拒绝效劳攻击86分布式拒绝效劳攻击DDoS是DoS攻击的延长，威力巨大，具体攻击方式多种多样。分布式拒绝效劳攻击就是利用一些自动化或半自动化的程序把握很多分布在各个地方的主机同时拒绝效劳攻击同一目标。攻击一般会承受IP地址哄骗技术，隐蔽自己的IP地址，所以很难追查。87分布式拒绝效劳攻击示意图88分布式拒绝效劳攻击步骤探测扫描大量主机以查找可入侵的目标；入侵有安全漏洞的主机并猎取把握权，在每台入侵主机中安装DDoS代理端/分布端；构造浩大的、分布式攻击网络；通过主控端和代理端/分布端，在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃。89DoS与DDoS的区分被攻击者

90分布式拒绝效劳攻击

防范对策2-1对于分布式攻击，目前仍无特殊有效的方法来防范根本的防范对策准时地给系统打补丁，设置正确的安全策略定期检查系统安全：检查是否被安装了DDoS攻击程序，是否存在后门等建立资源安排模型，设置阈值，统计敏感资源的使用状况使用DNS来跟踪匿名攻击对于重要的WEB效劳器，为一个域名建立多个镜像主机91分布式拒绝效劳攻击

防范对策2-2根本的防范对策优化路由器配置，包括：配置路由器的外网卡，丢弃那些来自外部网而源IP地址具有内部网络地址的包；配置路由器的内网卡，丢弃那些马上发到外部网络而源IP地址不具有内部网络地址的包；设置TCP拦截；限制TCP连接超时阈值；制止IP播送包流入内部网络；制止外出的ICMP不行达信息。由于攻击者掩盖行踪的手段不断加强，很难在系统级的日志文件中查找到蛛丝马迹。因此，第三方的日志分析系统能够防止治理员更简洁地保存线索92网络监听攻击源目的sniffer加密解密Password$%@&)*=-~`^,{93网络监听攻击的环境基于共享〔HUB〕环境的监听比较普遍实现较为简洁基于交换〔Switch〕环境的监听根底是ARP哄骗技术94基于共享环境的监听共享以太网环境中，全部物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式(Promiscuous)，则就能承受到一切监听到的数据帧，而不管其目的MAC地址是什么95共享环境监听的意义乐观意义：便利网络治理员进展治理和网络故障分析消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令96共享环境监听的检测基于主机的检测简洁的ifconfig命令，包括各种UNIX系统基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具AntiSniff〔有forwin和forunix的版本〕Promiscan97AntiSniff〔LOpht〕98口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动猎取口令的途径有：网络监听口令猜测，暴力破解利用系统治理员的失误99口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不行逆攻击者每次从攻击字典中取出一个条目作为口令，使用一样的加密算法进展加密，然后同密文进展比对