《信息安全理论与技术》课件6-网络攻击与防御

网络攻击与防御本章内容网络攻击方法案例常见的网络攻击方法常用的安全防范措施为什么要研究攻击技术知己知彼，百战不殆中国《孙子》Payattentiontoyourenemies,fortheyarethefirsttodiscoveryourmistakes.Antistthenes,440BC了解网络安全的重要手段黑客攻击技术网络防护的一部分研究网络攻击，是为了更加有效地对网络进行防护技术繁多，没有明显的理论指导一些技术，既是黑客技术，也是网络管理技术，或者是网络防护技术凯文米特尼克凯文•米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫（MorrisWorm）

时间1988年肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，拒绝服务影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似“蠕虫（MorrisWorm）”事件网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心

攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击常见的网络攻击方法提纲常见的网络攻击方法信息收集网络监听IP欺骗Web欺骗Email欺骗漏洞扫描缓冲区溢出DoS攻击和DDoS攻击信息收集—非技术手段又称：“网络踩点”，就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。合法途径从目标机构的网站获取，对主页进行分析新闻报道，出版物新闻组或论坛在域名及其注册机构的查询社会工程手段假冒他人，获取第三方的信任搜索引擎信息收集—技术手段Ping命令Tracert/Traceroute命令Rusers/Finger命令Host/nslookup命令IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息1.收集主机信息

Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间

Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径

Finger和Rusers命令收集用户信息

Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息

应用的方法：Ping命令经常用来对TCP/IP网络进行诊断。通过向目标计算机发送一个ICMP数据包，目标计算机收到后再反送回来，如果返回的数据包和发送的数据包一致，就说明网络能够连通。通过Ping命令，可以判断目标计算机是否正在运行，以及网络的大致延时（数据包从发送到返回需要的时间）。相关网络命令--Pingipconfig指令ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议（DHCP,DynamicHostConfigurationProtocol）和域名系统（DNS）设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令。tracert指令是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由

相关网络命令--finger#fingeruserS00PPPppp-122-pm1.wizaThuNov1421:29:30-stillloggedinuserS15PPPppp-119-pm1.wizaThuNov1422:16:35-stillloggedinuserS26PPPppp-124-pm1.wizaFriNov1501:26:49-stillloggedinuserS-1SatAug1015:50:03-stillloggedinuserS23PPPppp-103-pm1.wizaFriNov1500:13:53-stillloggedin相关网络命令--netnet命令net

view;显示当前工作组服务器列表net

view

查看这个ip上的共享资源net

user查看计算机上的用户帐号列表net

use

z:

\\\movie

将这个ip的movie共享目录映射为本地的z盘

在网络邻居上隐藏你的计算机:net

config

server

/hidden:yes

net

config

server

/hidden:no

则为开启查看你机器的共享资源:

net

share

相关网络命令--netnet命令手工删除共享（可以编个bat文件，开机自运行，把共享都删除）

net

share

c$

/d

net

share

d$

/d

net

share

ipc$

/d

net

share

admin$

/d

注意$后有空格。增加一个共享：

net

share

mymovie=e:\downloads\movie

/users:1

mymovie

共享成功，同时限制链接用户数为1人。

端口扫描目的判断目标主机开启了哪些端口及其对应的服务，利用来作为入侵通道。常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如RST）来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段扫瞄5.TCP反向Ident扫瞄 6.FTP代理扫瞄7.UDPICMP不到达扫瞄 7种扫瞄类型：NSS（网络安全扫描器），可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。SATAN(安全管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。Jakal扫描器，可启动而不完成TCP连接，因此可以扫描一个区域而不留下痕迹。IdengTCPscan扫描器，可识别指定TCP端口的进程的UID。扫瞄软件举例：提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听ARP攻击IP欺骗Web欺骗Email欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性

利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性

网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听攻击源目的sniffer加密解密passwd$%@&)*=-~`^,{网卡的工作模式普通模式：若目的MAC地址与本机操作系统中的MAC相同，则接收，否则丢弃。混杂模式（promiscuous）：接收所有通过它的数据集线器(HUB)的工作原理（补）1、集线器工作原理：集线器是一个将共享介质干线(总线)折叠到铁盒子中的集中连接设备。它是局域网中重要部件之一，其实质上是一个多端口的中继器，它工作在OSI/RM的第一层物理层。主要功能是信号的再生与放大。交换机的工作原理（补）交换机是工作在OSI/RM的第二层数据链路层上的网络互联设备，其实质上是多端口的透明网桥。1、交换机的组成及工作原理：它主要由输入/输出端口、数据转发逻辑、学习逻辑、内存等4部分组成。例：数据一般是直接到达目的地的源地址表MAC地址端口号MAC地址A1MAC地址B2MAC地址C3MAC地址D3网络监听及防范技术

——共享式局域网下共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术

——共享式局域网下使用MAC地址来确定数据包的流向

若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式

网络监听攻击的环境基于共享（HUB）环境的监听比较普遍实现较为简单基于交换（Switch）环境的监听基础是ARP欺骗技术网络监听及防范技术

——共享式局域网下Username:herma009<cr>Password:hiHKK234<cr>以太网（HUB）

FTPLoginMail普通用户A服务器C嗅探者BUsername:herma009<cr>Password:hiHKK234<cr>口令监听交换式环境下的网络监听1、由于交换式环境下的网络数据是直达目的地的，因此，即使把网卡设置成混杂模式，正常情况下也是不能监听的。2、若要在交换环境的网络下进行监听，必须不仅要将网卡设置成混杂模式，还要将对应的交换机端口设置成镜像的监控端口。所以交换式网络更安全。提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听ARP欺骗IP欺骗Web欺骗Email欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击ARP协议的缺陷ARP欺骗典型ARP欺骗类型之一欺骗主机作为“中间人”，被欺骗主机的数据都经它中转，以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、CA-IP:MAC:AA-AA-AA-AA-AA-AAB-IP:MAC:BB-BB-BB-BB-BB-BBC-IP:MAC:CC-CC-CC-CC-CC-CCB给A应答IP是MAC是BB-BB-BB-BB-BB-BBB给C应答IP是MAC是AA-AA-AA-AA-AA-AAB对A伪装成C，对C伪装成A，A和C都被欺骗了！ARP欺骗典型ARP欺骗类型之二伪造网关，欺骗内网计算机，造成断网。建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。ARP网关欺骗-－直接断网ARP攻击ARP攻击主要是指ARP欺骗ARP攻击也包括ARP扫描（或称请求风暴）即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP攻击主要是存在于局域网中ARP攻击一般通过木马感染计算机ARP攻击ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象：不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。计算机不能正常上网，出现网络中断的症状。网络监听及防范技术

——网络窃听的被动防范

分割网段

细化网络会使得局域网中被窃听的可能性减小

使用静态ARP表

手工输入<IP—MAC>地址对

采用第三层交换方式

取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密

SSH、SSL、IPSec网络监听及防范技术

——网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包

监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较

定期探测数据包传送路径

使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较使用SNMP定期轮询ARP表

提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听ARP欺骗IP欺骗Web欺骗Email欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击IP欺骗攻击

IP欺骗就是伪造数据包源IP地址的攻击。它基于两个前提：1）TCP/IP网络在路由数据包时，不对源IP地址进行判断——可以伪造待发送数据包的源IP地址；2）主机之间有信任关系存在——存在基于IP地址的认证，不再需要用户帐号和口令。信任关系

在现实中投入应用的IPspoof一般被用于有信任关系的服务器之间的欺骗。在hosta和hostb上Tomy的home目录中创建.rhosts文件，使用任何以r开头的远程调用命令（如rlogin、rsh、rcp等）而无需口令验证既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以远程登录到hosta。IP欺骗攻击IP欺骗的形式单向IP欺骗：不考虑回传的数据包双向IP欺骗：要求看到回传的数据包更高级的欺骗：TCP会话劫持单向IP欺骗双向IP欺骗会话劫持欺骗和劫持欺骗是伪装成合法用户，以获得一定的利益劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的会话劫持分两种被动劫持，实际上就是藏在后面监听所有的会话流量。常常用来发现密码或者其他敏感信息主动劫持，找到当前活动的会话，并且把会话接管过来。迫使一方下线，由劫持者取而代之，危害更大，因为攻击者接管了一个合法的会话之后，可以做许多危害性更大的事情会话劫持示意图被劫持者A服务器B1A远程登录，建立会话，完成认证过程攻击者H2监听流量3劫持会话4迫使A下线TCP三次握手过程

SYN包,C的序列号

Client

SYN+ACK包,S序列号,C应答号Server

ACK包,S的应答号•源端口(>1024高端口)

•目的端口(<1024熟知•源IP地址(寻址只关心端口，表明Server上

目的IP，不认证源IP地提供的服务)

址，可能是“假”地址)•目的IP地址(提供服务

假冒另一主机IP地址的服务器的IP地址)IP协议IP报文格式选项（0或更多）目的地址源地址头校验和协议生命期分段偏移MFDF标识总长服务类型IHL版本32比特TCP协议数据（可选项）可选项（0或更多）紧急指针校验和窗口大小FINSYNRSTPSHACKURGTCP头长确认号顺序号目的端口源端口32比特TCP报文格式TCP三步握手建立连接SYNxSYNy,ACKx+1ACKy+1Open主机A主机BTCP释放连接FINmACKm+1ACKn+1发送方接收方FINn会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号

关键一步，技术难点使被冒充主机下线

伪造FIN包，拒绝服务攻击接管会话进行会话劫持的工具Juggernaut可以进行TCP会话攻击的网络sniffer程序Hunt功能与Juggernaut类似TTYWatcher免费程序，针对单一主机上的连接IPWatcher(基于Windows)商用的会话劫持工具IP欺骗及防范技术——防范技术没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护——实现困难使用安全协议（SSH、VPN）——保护敏感会话对网络数据流采取限制保护措施——被动措施提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听IP欺骗Email欺骗Web欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击电子邮件欺骗电子邮件欺骗的动机隐藏发信人的身份，匿名信挑拨离间，唯恐世界不乱骗取敏感信息……欺骗的形式使用类似的电子邮件地址修改邮件客户软件的账号配置直接连到smtp服务器上发信电子邮件欺骗成功的要诀与邮局的运作模式比较基本的电子邮件协议不包括签名机制发信可以要求认证电子邮件欺骗：使用类似的地址发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信我是你的上司XX，请把XXX发送给我我在外面度假，请送到我的个人信箱他(她)能识别吗？修改邮件客户软件的帐户配置邮件帐户配置姓名(Name)属性，会出现在“From”和“Reply-To”字段中，然后显示在“发件人”信息中电子邮件地址，会出现在“From”字段中回复地址，会出现在“Reply-To”字段中，可以不填发送服务器设置接收邮件看到什么？在客户端，点击回复看邮件头能得到所有的详细信息，包括：这封信的回复将会送给谁，以及邮件传递路径邮件欺骗：直接连接smtp服务器直接连接smtp服务器的25端口，然后发送命令，常见命令为Helo(orEHLO)Mailfrom:Rcptto:DataQuit收件人接收到的邮件为电子邮件欺骗及防范技术

——防范查看电子邮件头部信息

不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源采用SMTP身份验证机制

使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密

以公钥密码学（PublicKeyCryptology）为基础的

提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听ARP欺骗IP欺骗Email欺骗Web欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击Web欺骗及防范技术

——概念Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于由于Internet的开放性，任何人都可以建立自己的Web站点Web站点名字(DNS域名)可以自由注册，按先后顺序并不是每个用户都清楚Web的运行规则Web欺骗的动机商业利益，商业竞争政治目的Web欺骗的形式使用相似的域名改写URL劫持Web会话Web欺骗及防范技术

——概念Web欺骗及防范技术

——原理（1）URL地址改写

//攻击者改写Web页中的所有URL地址，使它们指向攻击者的Web服务器不是真正的Web服务器Web欺骗及防范技术

——原理（2）欺骗过程用户单击经过改写后的//；/向/请求文档；/向/返回文档；/改写文档中的所有URL；/向用户返回改写后的文档

Web欺骗及防范技术

——原理（3）隐藏纰漏由于JavaScript能够对连接状态栏写操作，而且可以将JavaScript操作与特定事件绑定在一起。攻击者完全可以将改写的URL状态恢复为改写前的状态。JavaScript、ActiveX等技术使Web欺骗变得更为可信。

Web欺骗及防范技术

——防范技术检查页面的源代码禁用JavaScrip、ActiveX等脚本语言确保应用有效和能适当地跟踪用户 会话ID使用尽可能长的随机数教育是非常重要的提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听ARP欺骗IP欺骗Email欺骗Web欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击口令攻击的方法与类型口令攻击分类本地口令猜解远程口令猜测应用程序口令猜解操作系统口令猜解主动攻击被动攻击欺骗攻击钓鱼攻击Phishing=Fishing&Phone黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”通过攻陷的网站服务器钓鱼通过端口重定向钓鱼通过伪装的网站钓鱼钓鱼攻击2004年7月"联想集团和腾讯公司联合赠送QQ币"

首放证券网站

×√嗅探攻击主机A：您的主机FTP服务器主机B：安装了“窃听程序”的主机？Username？Passwordstudent#&Ygfi15ghr89!@#Username：studentPassword：#&Ygfi15ghr89!@#如果主机B处于主机A和FTP通信的信道上，就可以“窃听到”合法的用户名及口令GETUser：studentPwd：#&Ygfi15ghr89!@#口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动获取口令的途径有：网络监听口令猜测，暴力破解利用系统管理员的失误口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为远程口令破解本地口令破解远程口令破解许多网络服务，都是通过账号/口令来认证需要访问该服务的用户POP3NetbiosTelnetFTPHTTP等可以远程进行穷举字典的方式来猜解口令破解效率很低，而且容易被记录本地口令猜解各种操作系统以自己各自的方式存放密码文件，而大多数的加密算法都比较脆弱，容易被猜解本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，本地口令破解可以说是“百发百中”候选口令产生器字典口令文件口令加密口令比较输出匹配的口令Unix系统的口令破解Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中加密算法传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度，引入了被称作Salt的附加手段猜测工具JohnTheRipper口令破解防御对策制定正确的密码策略，并贯彻实施密码长度，强度足够定期更换密码禁用类似12345678、computer……这样的简单密码提高人的安全意识很重要提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听IP欺骗Email欺骗Web欺骗漏洞攻击和口令攻击缓冲区溢出攻击DoS攻击和DDoS攻击缓冲区溢出相关概念据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上缓冲区溢出如果用户输入的数据长度超出了程序为其分配的内存空间，这些数据就会覆盖程序为其它数据分配的内存空间，形成所谓的缓冲区溢出

缓冲区溢出原理及其利用缓冲区溢出种类栈溢出堆溢出整型溢出格式化字符串溢出其他溢出栈溢出特点缓冲区在栈中分配拷贝的数据过长覆盖了函数的返回地址或其它一些重要数据结构、函数指针堆溢出堆和栈有何区别内存的动态分配与静态分配堆溢出特点缓冲区在堆中分配拷贝的数据过长覆盖了堆管理结构#defineBUFLEN32intmain(intargc,char*argv[]){char*buf1;buf1=(char*)malloc(BUFLEN);strcpy(buf1,argv[1]); printf("%s\n",buf1); free(buf1); return0;}整型溢出宽度溢出（WidthnessOverflow）尝试存储一个超过变量表示范围的大数到变量中运算溢出（ArithmeticOverflow）如果存储值是一个运算操作，稍后使用这个结果的程序的任何一部分都将错误的运行，因为这个计算结果是不正确的。符号溢出(SignednessBug)一个无符号的变量被看作有符号，或者一个有符号的变量被看作无符号其他溢出类型存储溢出运输溢出符号溢出归纳溢出的共性大object向小object复制数据(字符串或整型)，容纳不下造成溢出溢出会覆盖一些关键性数据（返回地址、管理数据、异常处理或文件指针等）利用程序的后续流程，得到程序的控制权缓冲区溢出的原因缓冲溢出漏洞大多存在于用C/C++编写的程序中，因为C语言不对缓冲区、数组及指针进行边界检查。如上面的例子中，造成缓冲区溢出的主要原因是程序中没有仔细检查用户输入的参数。因此，编程人员一定要注意检查缓冲区的边界，特别注意以下几方面：＊当直接往缓冲直接读入时＊当从一个大的缓存拷入小的缓存时＊当将其它进程的输入放入一个字符串缓存什么是缓冲区溢出攻击

缓冲区溢出攻击是最为常见的黑客攻击技术，是一种有效进行系统攻击的手段，它是通过往程序的缓冲区写入超长的、特殊的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。缓冲区溢出攻击的结果缓冲区溢出的结果：一是过长的字符口中覆盖了相信的存储单元，引起程序运行失败，严重的可导致系统崩溃；二是利用这种漏洞可以执行其他指令，甚至可以取得系统特权，由此而引发多种攻击方法。常见的缓冲区溢出攻击2003年的“冲击波”病毒，它是利用微软公司的Windows操作系统的RPC部分在通过TCP/IP处理信息交换时，存在多个远程堆栈缓冲区溢出问题引起的，溢出后可执行任意可执行代码。2000年，利用微软IIS4.0/5.0存在的一个缓冲区溢出漏洞进行攻击，可使WEB服务崩溃，甚至获取超级权限执行任意的代码。1988年11月，罗伯特.莫里写的蠕虫病毒所携带的攻击代码，是利用fingerd程序的缓冲区溢出漏洞，给用户带来了很大危害。缓冲区溢出攻击的预防缓冲区溢出的漏洞一直以来都是网络安全领域的最大隐患，要想有效预防这种攻击，应采取一定的预防措施：1、编写严格的代码2、不可执行堆栈数据段3、利用程序编译器的边界检查4、指针完整性检查提纲常见的网络攻击方法网络攻击方法概述信息收集网络监听IP欺骗Email欺骗Web欺骗漏洞攻击和口令攻击缓冲区溢出DoS攻击和DDoS攻击拒绝服务攻击(DoS)

拒绝服务攻击的定义拒绝服务，英文为DenialofService，缩写成DoS。DoS攻击是指任何导致网络上的计算机或网络设备（包括服务器、防火墙、交换机、路由器等）不能正常提供服务的攻击。DoS攻击的危害性DoS攻击是一种很简单但又很有效的进攻方式，其影响都是非常大的。例如近几年的

DoS攻击事件有：2000年2月份的Yahoo、亚马逊、CNN等著名网站被DoS攻击。黑客们向网站发送成千上万的信息，阻塞互联网的通道，最终导致无法访问这些网站。才三天时间，就造成10美元的经济损失。一加拿大16岁的少年在对CNN发动DoS攻击时被捕，真正的元凶可能永远都没法捉到。但DoS的攻击的威力仍然让人们担忧，并可能导致在线电子商务停滞不前2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本那段时间里共有上百网站遭到黑客DoS的袭击。DoS攻击的目的DoS攻击的目的是使计算机或网络无法提供正常的服务。有此人认为这种攻击是没用的，是损人不利己的。其实不然，黑客使用DoS攻击有以下的目的：（1）黑客为了冒充某个服务器，就会对它进行DoS攻击，使其瘫痪。（2）黑客为了使安装的木马能启动，就会对它进行DoS攻击，用于强制服务器重启。DoS的类型粗略来看，分为三种形式使一个系统或网络瘫痪，发送一些非法数据包，使系统死机或重起。向系统发送大量信息，使系统或网络不能响应物理部件的移除，或破坏DoS的技术分类1从表现形式来看带宽消耗用足够的资源消耗掉有限的资源利用网络上的其他资源(恶意利用Internet共享资源)，达到消耗目标系统或网络的目的。系统资源消耗，

针对操作系统中有限的资源，如进程数、磁盘、CPU、内存、文件句柄，等等程序实现上的缺陷，异常行为处理不正确，比如PingofDeath修改(篡改)系统策略，使得它不能提供正常的服务DoS的技术分类2从攻击原理来看通用类型的DoS攻击，这类攻击往往是与具体系统无关的，比如针对协议设计上的缺陷攻击。系统相关的攻击，这类攻击往往与具体的实现有关，如利用系统漏洞攻击。说明：最终，所有的攻击都是系统相关的，因为有些系统可以针对协议的缺陷提供一些补救措施，从而免受此类攻击。DoS攻击的历史早期的Internet蠕虫病毒消耗网络资源分片装配，非法的TCP标志，SYNFlood，等利用系统实现上的缺陷，点对点形式PingofDeath,IP分片重叠分布式DoS(DDoS)攻击最著名的smurf攻击典型拒绝服务攻击利用系统缺陷攻击OOB攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝服务攻击DDoS1.

OOB攻击（