网络安全导论 课件 （王继林）第1-9章 你的信息是如何发给对方的-密钥管理

我们的课程网络安全导论先看一个例子全国350多万大学生被骗！

2022年北京冬奥会举世瞩目。一场名为“魅力冬奥”冬奥知识传播助力大使活动”的线上答题也在全国范围内广泛传播。然而，这样一场打着“魅力冬奥”旗号的活动却是一个精心设计的骗局。骗子的网页骗子的战绩

诱骗各大中专院校在校学生进入“竞赛平台”，填写姓名、手机号码、身份证号码、联系地址等个人信息，并收取28元至36元不等的证书工本费牟利。

截至案发，该犯罪团伙依托这一“竞赛平台”，已非法获取全国大中专院校在校学生的个人信息350余万条，骗取部分参与者缴纳证书工本费总计1000万余元。我们的目的大学生在信息处理和利用方面的能力是令人满意和超出想象的，但学生对信息的安全保护能力明显不足，学生对使用信息技术的理解能力并不能保证他们有强烈的安全意识和采取适当的措施来保护自己的信息。我们的目的就是改变这种状态。我们的目的不仅仅是防诈骗着眼于素质和能力的提升着重强调学生对信息保护意识和保护能力的培养，使学生在信息安全知识、技能、价值和态度等方面得到全方位的提升，并进而为整体培养目标和素质提升做出贡献。保密性完整性加密消息摘要随机数数字签名抗否认可认证可用性安全方案朋友圈中信息是如何进行访问控制的？“支付宝”到底安全不？我能否写出攻击性代码？如何证明一个网站是真的而不是假冒的？WiFi的密码到底是如何用的谁在收集我的个人信息？网上做坏事？学院网络安全方案怎么设计？访问控制智能卡入侵检测法律与标准可控性文件删除后能否找回？我们的教学紧贴生活课程开设情况本课程为省级教改课程使用的教材王继林等编著

省优秀教材

你的分数你做主大家关心的分数分数由竞争获得如何竞争——PK基本分20分实验分30分奖励分10分期末40分

PK基本分20分每一章后思考题只需要做三题两周提交一次提交5次以上

实验分：30分

完成5个奖励分10分回答类似下面问题积分:1.朋友圈中信息是如何进行访问控制的？2.“支付宝”和“paypal”哪个更安全？3.如何证明一个网站是真的而不是假冒的?4.WiFi的密码到底是如何用的?5.如何防止发给朋友的信息被别人改了?6.文件删除后能否被找回？7.谁在收集你的个人信息?如何保护隐私?8.如何查证一封网络匿名信是谁发的?9.扫描二纬码会出现什么问题?10.如何使用C#中的密码类?期末报告分：40%___自己选题目，可以是研究论文，也可以是项目报告。___可以组队解答,但小组人数不超过2人.___每个小组期末算积分,按优\良\中\及格各20%，50%，30%，20%排序___若小组得分为优,队长为优,另一个为良..机会是给有准备之人的,请大家努力,从我们的课程开始……今天的问题你的微信是如何发给对方的?第一章

你的信息是如何发给对方的？

问题假如你坐在教室里假如你使用的是教室里的wifi假如你给妈妈发个微信“Mom,Iloveyou”,这个消息是否发给了身边的同学？1、数据是打包发送的2、即时通讯即时通讯（instantmessaging）是互联网最为成功的一大应用，QQ、微信和钉钉是其典型代表。那么我们的信息是如何到达对方的呢？从技术上来说，即时通信的基本流程可分为登录系统和进行通信两个过程。1登录系统第一步，用户A输入自己的用户名和密码登录IM服务器，服务器通过读取用户数据库中的信息来验证用户身份，如果验证通过，登记用户A的IP地址、IM客户端软件的版本号及使用的TCP/UDP端口号，然后返回用户A登录成功的标志，此时用户A在IM系统中的状态为在线。第二步，根据用户A存储在IM服务器上的好友列表，服务器将用户A在线的相关信息发送给也同时在线的IM好友，这些信息包括在线状态、IP地址、IM客户端使用的TCP端口（Port）号等，IM好友的客户端收到此信息后将予以提示。第三步是IM服务器把用户A存储在服务器上的好友列表及相关信息回送到A的客户端机，这些信息包括也在线状态、IP地址、IM客户端使用的TCP端口（Port）号等信息，用户A的IM客户端收到后将显示这些好友列表及其在线状态。

IM通讯方式1.在线直接通讯如果用户A想与其在线好友用户B聊天，A将通过服务器发送过来的用户B的IP地址、TCP端口号等信息，直接向用户B发送聊天信息，用户B的IM客户端软件收到后显示在屏幕上，然后用户B再直接回复用户A，这样双方的即时文字消息就不再经过IM服务器中转，而是直接通过网络进行点对点通讯，即对等通讯（PeerToPeer）。2.在线代理通讯用户A与用户B的点对点通讯由于防火墙、网络速度等原因难以建立或者速度很慢时，IM服务器可以承担消息中转服务，即用户A和用户B的即时消息全部先发送到IM服务器，再由服务器转发给对方。。3.离线代理通讯用户A与用户B由于各种原因不能同时在线时，如此时A向B发送消息，IM服务器可以主动寄存A用户的消息，到B用户下一次登陆的时候，自动将消息转发给B。4.扩展方式通讯用户A可以通过IM服务器将信息以扩展的方式传递给B，如短信发送方式发送到B的手机，传真发送方式传递给B的电话机，以email的方式传递给B的电子邮箱等。3、报文4、Wifi5、帧6、数据包的发送有风险数据包的发送有风险数据包的发送有风险你今天是否有收获？快试试发一封假冒邮件吧！参考文献：WIFI视频/network/ptmngsys/Web/OnlineCourse_CloudCampus/zh/mooc/s/classes_for_new_network_engineers_zh.html思考题1.你发给妈妈的信息是否发给了身边同学？2.QQ服务器是否保留了你的聊天信息？3.描述在即时通信中，间接通信带来的好处。4.网络视频会议用的是什么协议？在哪一层？5.以太网的帧格式是什么样子的？6.如何从域名地址获得IP地址？第二章什么网络安全

网络安全也称信息安全，是指采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

做好网络安全工作是维护网络空间主权和国家安全、社社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展的客观要求。导读保密性、

完整性、

不可否认性、

可用性等

导读

重点是概念讨论议题1

信息技术是一把双刃剑2什么是网络安全3

个人和组织的网络安全4

国家的网络安全5

网络安全学科36第1节

信息技术是一把双刃剑

1、正与反1、正面：人类将以更加精细和动态的方式管理生产和生活，从而使我们的生活更美好2、反面：苹果承认iPhone泄露用户隐私。3、反面：美国对微信、tiktok进行打压。百度被约谈案例1棱镜计划

美国国家安全局（NSA）和联邦调查局（FBI）于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”案例2“滴滴出行”App存违规收集使用个人信息问题

2021年7月4日，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。案例3从2010年9月开始，四川省乐山市开始进行杰出人才评选。截至2010年11月10日，20名候选人中有16人得票超过100万，7人得票超过160万，然而，乐山市当时的总人口只有350多万。对案例3的分析(1)保密性，即除了投票者自身，没有人能够知道该选票投的谁。(2)合法性，即只有合法的投票者可以投票；每个合法的投票者最多只能投一次票。(3)正确性，即必须对所有的选票正确的计数；所有的选票不能被修改、删除或者替换；不能增加非法的选票。(4)可验证性，即计数过程必须能接受任何个人、团体的检验。(5)不可强迫性，即投票者不能被强迫或收买；投票者不能向第三方证明自己确切的投票内容(以防贿选)。(6)稳健性，即任何小的团体不能破坏并中断选举。除设计者外，应当有可信赖的第三方机构对上述的系统功能符合性进行审核并出具审核报告；相关管理机构应依据可信赖第三方的审核报告做出是否允许该系统运行决定。目前看来，对软、硬件产品和系统进行可信性审核越来越显得重要，但由于涉及技术细节和开发企业的核心保密等问题，相关工作的进展非常不能令人满意。责任？设计者有什么责任？政府部门有什么责任？审查者有什么责任？今天爬虫与反爬虫是双刃剑的典型代表目前，整个互联网上大概有50%以上的流量是爬虫。深度伪造技术是大数据和人工智能时代又一把双刃剑网络与信息技术带来了新挑战如何更好地规范网络空间的秩序？如何在信息社会中更好地保证人们健康、有序、和谐地开发、传递和利用信息资源？如何阻止、防止、检测和纠正有关违反合理使用其信息资源规则的行为和意图？如何保证自己的隐私和合法权益？敌对双方都在思考如何获得信息优势，以达到制胜的目的？第2节

什么是网络安全

什么是网络?网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络的核心组成有三部分：

网络（信息）基础设施数据各种数据处理程序。网络面临的威胁什么是网络安全？是通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。如何理解？1、保护网络设施2、保护网络数据3、强调能力建设网络安全分层面网络安全国家层面网络安全组织层面网络安全个人层面网络安全信息安全信息安全技术信息安全管理第3节

个人和组织网络安全

用性来概括（1）真实性：信息系统发布的内容必须经过审核，真实无误。（2）保密性：信息与信息系统不能被非授权者所获取与使用。（3）完整性：信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改。（4）可用性：可用性是指保证信息与信息系统可被授权人正常使用。（5）可认证性：能够核实和信赖一个合法的传输、消息或消息源的真实性。（6）不可否认性：保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。（7）可控性：能够阻止未授权的访问。可认证性（authenticity)能够核实和信赖一个合法的传输、消息或消息源的真实性的性质，以建立对其的信心。不可否认性（non-repudiation)保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。信息安全的其它目标可控性（authenticityandaccesscontrol)不可否认性（non-repudiation)如何理解信息安全的目标不同业务和系统对信息安全各属性的要求可能不同。例如:网络投票系统对安全属性的需求(讨论)所谓“一个中心三重防护”，是指组织应当按照我国网络安全等级保护制度的要求进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的网络安全整体保障体系。“一个中心、三重防护”体系框架组织的网络安全靠策略来定义安全需求，靠规范来详细描述安全的具体含义，靠机制来实现安全要求，靠循环质量管理来评判和改进网络安全过程。策略：是安全目标的高层指南，是实施信息系统的组织机构对安全目标的认可。规范：是安全策略的细化，是对安全需求目标的专业化表述，这种表述一般要用数学模型来刻画，以防止歧义性。机制：是实现安全目标或上述规范的具体方法。循环质量管理：由美国管理学博士戴明(W.E.Deming)于20世纪50年代初提出，即规划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模型（简称PDCA模型），是进行质量管理的基本方法。逐渐的管理实践表明，PDCA循环管理模式是能使任何一项活动有效进行的一种合乎逻辑的工作程序，是管理学中的一个通用模型。策略、规范、机制、循环质量管理再强调安全责任信息的委托管理者应严格按照拥有者的意图和授权来管理相关信息，具有如下责任：（1）采用技术和管理方法来保护信息的完整性和可用性（防篡改技术、备份与容灾、风险评估、应急计划等）；（2）采用技术和管理方法来限定信息的使用范围和使用方式（认证、访问控制、加密等）；（3）采用技术和管理方法完成信息的更新和销毁；（4）承担违反拥有者意图所造成的后果，承担管理不善所造成的后果。第4节

国家层面网络安全信息时代的国家安全观有人认为有如下5个方面国家领土完整政治制度与文化意识形态的保持经济繁荣和科技的发展国家荣誉的维护和国家影响力的发挥未来生存的前景得到保障。构成国家安全利益的内在要素美国国家安全利益界定（美国国防部《四年防务评估报告》2001对国家利益做如下表述*确保美国的安全和行动自由——美国的主权、领土完整及自由——美国公民在国内外的安全保护美国的要害基础设施*履行国际承诺——盟国和友国的安全与繁荣——防止敌人主宰关键地区——西半球的和平与稳定*对经济繁荣做出贡献——全球经济活力和生产力——国际海域、空域以及信息交流通道的安全——进入关键市场和获得战略资源传统国家安全观主要是指国家的政治安全和军事安全。

-即国家的生存不受威胁。就国家外部安全而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵。在经济全球化之前往往表现为：一个国家可以通过战争和军事威胁占领和控制其他国家的经济、社会、文化等一个国家也可以通过反侵略战争而保护自己的经济、社会、文化等的安全军事安全威胁呈现为国家安全的主要因素非传统国家安全观在经济全球化和信息网络化的时代，经济和信息在国家之间相互渗透并形成国家之间的利益相互制衡。国家之间特别是大国之间的军事制衡可能起到制约或避免战争的作用。军事安全仍然是对国家安全重要的威胁，但不是唯一的。除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁。国土安全、经济安全、文化安全、信息安全、社会安全等从不同的角度构成直接对国家安全威胁的重要因素。网络安全在国家安全中占有极其重要的战略地位，从某种意义上说已经成为国家安全的基石和核心。网络安全在国家安全中的战略地位网络安全已经成为影响国家政治安全的重要因素网络安全是否有保障直接关系到国家主权能否得到有效维护。“网络政治动员”难以控制，挑战政府权威，损害政治稳定。“颠覆性宣传”防不胜防，直接威胁国家政权。国家形象更容易遭到歪曲和破坏。网络安全在国家安全中的战略地位信息安全是国家经济安全的重要前提信息安全关乎国家经济安全的全局。信息产业发展状况令人担忧，国家经济安全遭受直接损失。网络经济犯罪严重威胁国家经济利益。金融安全面临更大挑战。网络安全在国家安全中的战略地位网络安全是国家文化安全的关键网络文化霸权主义严重危害他国文化安全。国家民族传统文化的继承和发扬遭到挑战。社会意识形态遭受重大威胁。社会价值观念和道德规范遭受冲击。网络安全在国家安全中的战略地位网络安全是国家军事安全的重要保障“信息威慑”对军事安全的影响不容忽视。网络信息战将成为21是世纪典型的战争形态。黑客攻击与军事泄密危及军事安全。“制信息权”对战争胜负意义重大。网络安全在国家安全中的战略地位例：网络安全与军事美国著名未来学家阿尔温托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。美国对“非对称威胁”的关注美国军队对非对称威胁的定义是：在利用美国弱点的同时，敌人使用大大不同于美国采取的传统军事行动模式，试图阻止或削弱美国的力量。美国战略专家认为，非对称威胁的类型有六种：——核打击——化学武器行动——信息武器行动——选择作战观念——恐怖主义行动。习总书记的高度概括国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。要坚持网络安全教育、技术、产业融合发展，形成人才培养、技术创新、产业发展的良性生态。要坚持促进发展和依法管理相统一，既大力培育人工智能、物联网、下一代通信网络等新技术新应用，又积极利用法律法规和标准规范引导新技术应用。要坚持安全可控和开放创新并重，立足于开放环境维护网络安全，加强国际交流合作，提升广大人民群众在网络空间的获得感、幸福感、安全感。我国安全保障体系建设信息安全保障工作是一项复杂的系统工程。涉及到安全策略、安全技术、安全管理等各个方面。应当把有关策略、技术、管理等有机地结合起来建立一个信息安全保障体系,使之成为一个整体的安全屏障。所谓信息安全保障体系，是由各个安全防范构件（单元）有机集成的，实现信息安全保障目标的架构。组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架网络安全保障体系网络安全保障体系由四部分构成：以信息系统安全等级保护和风险评估为手段的等级化安全管理体系，以密码技术为基础的网络信任体系，以纵横协调、部门协同为保障的信息安全监控体系，以提高响应力、处置力为目标的信息安全应急保障体系。我国网络安全等级保护制度保护对象级别重要性程度监督管理强度等级第一级一般系统自主保护级第二级一般系统指导保护级第三级重要系统/关键网络基础设施监督保护级第四级关键网络基础设施强制保护级第五级关键网络基础设施专控保护级第5节

网络安全学科五大方向方向1，网络空间安全基础，为其他方向的研究提供理论、架构和方法学指导；它主要研究网络空间安全数学理论、网络空间安全体系结构、网络空间安全数据分析、网络空间博弈理论、网络空间安全治理与策略、网络空间安全标准与评测等内容。方向2，密码学及应用，为后三个方向（系统安全、网络安全和应用安全）提供密码机制；它主要研究对称密码设计与分析、公钥密码设计与分析、安全协议设计与分析、侧信道分析与防护、量子密码与新型密码等内容。方向3，系统安全，保证网络空间中单元计算系统的安全；它主要研究芯片安全、系统软件安全、可信计算、虚拟化计算平台安全、恶意代码分析与防护、系统硬件和物理环境安全等内容。方向4，网络安全，保证连接计算机的中间网络自身的安全以及在网络上所传输的信息的安全；它主要研究通信基础设施及物理环境安全、互联网基础设施安全、网络安全管理、网络安全防护与主动防御（攻防与对抗）、端到端的安全通信等内容。方向5，应用安全，保证网络空间中大型应用系统的安全，也是安全机制在互联网应用或服务领域中的综合应用；它主要研究关键应用系统安全、社会网络安全（包括内容安全）、隐私保护、工控系统与物联网安全、先进计算安全等内容。1．如何理解网络安全？2．一个组织如何做好网络安全工作？3．说明网络安全在国家安全中的地位。4.我国等级保护制度是如何对保护对象进行划分的？5．网络安全保障体系的建设内容有哪些？6．美国网络安全国际战略的主要内容是什么？思考题第三章

数据的状态与攻防81讨论议题1、数据的状态2、攻防模型3、攻防概述82提示网络安全之所以又叫信息安全，就是因为网络攻防一般都是围绕信息展开。数据是信息的载体，深入研究数据从产生到完全销毁的整个生命周期中的存在形式（信息的状态）和存在环境是攻击和防守的基础。处于加工处理状态的信息是以进程的形式体现的，处于存储状态的信息是以文件的形式体现的，而处于传输状态的信息则是以协议数据单元的形式体现的。攻击者攻击成功的标志是成功破坏了防护者信息安全目标中的一个或多个。对处于加工处理状态和存储状态的信息的攻击，攻击者往往利用操作系统在进程管理、内存管理、文件管理、设备管理等方面的漏洞或应用程序的漏洞来实现相关攻击。而对传输中的信息攻击往往是利用通信协议的脆弱性来实现。83本章重点要求(1)认真体会攻、防所需知识的深度和广度;(2)能针对每一种安全服务（如保密性）列出其对应的常用实现机制;(3)对进程、线程和协议数据单元的内部结构有个大致认识。84第一节数据的状态加工处理状态传输状态数据的状态存储状态1数据处于加工处理状态

数据在内存或寄存器中数据是属于进程的.进程控制块中的数据

数据区中的数据堆栈中的数据有些数据是可以共享的数据体现在进程中现代计算机都是在操作系统的统一指挥和控制下实现对信息的加工处理的。操作系统对内存和处理器的分配和管理都是以进程为单位来实现的。因此处于加工和处理状态中的数据都是属于某一个进程的。进程–正在执行的程序,包括代码指针堆栈:whichcontainstemporarydata.数据段：whichcontainsglobalvariables数据在内存中进程控制块(PCB)

操作系统通过进程控制块来感知和调度进程进程状态指针CPU寄存器的值CPU调度信息内存管理信息记帐信息输入输出信息ProcessControlBlock(PCB)例1：查看系统当前运行的进程下面的例子（02ProcessList工程）取得了一个正在运行的进程列表。首先使用CreateToolhelp32Snapshot函数给当前系统内执行的进程拍快照（Snapshot），也就是获得一个进程列表，这个列表中记录着进程的ID、进程对应的可执行文件的名称和创建该进程的进程ID等数据。然后使用Process32First函数和Process32Next函数遍历快照中记录的列表。对于每个进程，我们都将打印出其可执行文件的名称和进程ID号。具体代码如下。#include<windows.h>#include<tlhelp32.h>//声明快照函数的头文件intmain(intargc,char*argv[]){ PROCESSENTRY32pe32; //在使用这个结构之前，先设置它的大小

pe32.dwSize=sizeof(pe32); //给系统内的所有进程拍一个快照

HANDLEhProcessSnap=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap==INVALID_HANDLE_VALUE) { printf("CreateToolhelp32Snapshot调用失败！\n"); return-1; } //遍历进程快照，轮流显示每个进程的信息

BOOLbMore=::Process32First(hProcessSnap,&pe32); while(bMore) { printf("进程名称：%s\n",pe32.szExeFile); printf("进程ID号：%u\n\n",pe32.th32ProcessID); bMore=::Process32Next(hProcessSnap,&pe32); } //不要忘记清除掉snapshot对象

::CloseHandle(hProcessSnap); return0;}例2缓冲区溢出攻击例3：获取管理员密码

Windows环境下，用户登录后，所有的用户信息都存储在系统的一个进程winlogon.exe中。可以利用软件FindPass等工具对进程进行分析，找出用户的登录名和密码Windows2000/XP

进程通信机制

信号(signal)共享存储区(sharedmemory)管道(pipe)邮件槽(mailslot)套接字(socket)2数据处于存储状态数据在硬盘数据在信箱(硬盘中)数据在移动设备中光盘

大容量便携盘数据是以文件的形式存储的96磁道扇区DiskStructure97柱面扇区磁臂磁头

文件的概念文件是指存储在外存储器上的相关数据的集合，是操作系统定义和实现的一种抽象数据类型，是操作系统为信息存储提供的一个统一视图。Types:DatanumericcharacterbinaryProgramThemajortaskfortheOSistomapthelogicalfileconceptontophysicalstoragedevices.文件的组织文件系统一个典型的文件系统一种文件分配方案链接分配索引式文件分配FileSystemMountingJustasafilemustbeopenedbeforeitisused,afilesystemmustbemounted

beforeitcanbeaccessed.E.g:Thedirectorystructurecanbebuiltoutofmultiplepartitions,whichmustbemountedtomakethemavailablewithinthefilesystemnamespace.Aun-mountedfilesystem(i.e.Fig.11-11(b))ismountedatamountpointFileSharingSharingoffilesonmulti-usersystemsisdesirable

Sharingmaybedonethroughaprotectionscheme

Ondistributedsystems,filesmaybesharedacrossanetwork

NetworkFileSystem(NFS)isacommondistributedfile-sharingmethod例3：数据恢复软件对于不小心删除了的文件，如果原来存储位置没有被别的数据覆盖，则原则上可以恢复。数据恢复软件就是根据文件系统的基本原理做出来的。例4、注册表修改注册表在计算机中由键名和键值组成，注册表中存储了Window操作系统的所有配置。黑客90%以上对Windows的攻击手段都离不开读写注册表。在运行窗口中输入“regedit”命令可以进入注册表，注册表的界面如图所示。

注册表修改注册表的句柄可以由调用RegOpenKeyEx()和RegCreateKeyEx()函数得到的，通过函数RegQueryValueEx()可以查询注册表某一项的值通过函数RegSetValueEx()可以设置注册表某一项的值。判断是否中了“冰河”中了“冰河”的计算机注册表都将被修改了，修改了扩展名为txt的文件的打开方式，在注册表中txt文件的打开方式定义在HKEY_CLASSES_ROOT主键下的“txtfile\shell\open\command”中，如图3-40所示。判断是否中了“冰河”main(){ HKEYhKEY; LPCTSTRdata_Set="txtfile\\shell\\open\\command"; longret0=(RegOpenKeyEx(HKEY_CLASSES_ROOT, data_Set,0,KEY_READ,&hKEY)); if(ret0!=ERROR_SUCCESS)//如果无法打开hKEY，则终止程序的执行

{ return0; } //查询有关的数据

LPBYTEowner_Get=newBYTE[80]; DWORDtype_1=REG_EXPAND_SZ; DWORDcbData_1=80; longret1=RegQueryValueEx(hKEY,NULL,NULL, &type_1,owner_Get,&cbData_1); if(ret1!=ERROR_SUCCESS) { return0; }

if(strcmp((constchar*)owner_Get,"%systemroot%\\system32\\notepad.exe%1")==0) { printf("没有中冰河"); } else { printf("可能中了冰河"); } printf("\n");}3数据处于传输状态数据在传输介质中。数据的传输是遵照一定协议的。TCP/IP协议是Internet最基本的协议。数据是分块传输的。112磁介质

高带宽、低费用、高延时（小时）例：7GB/8mm，1000盘/50*50*50cm，24h可送到任何地方。总容量=7*1000*8Gbits，总时间=24*60*60=86400s

传送速率=56000Gb/86400s=648Mb/s金属导体双绞线、同轴电缆(粗、细)光纤无线介质无线电、短波、微波、卫星、光波传输介质113常用传输媒体的比较114应用层传输层网络接口网际层●IP●ICMP●ARP●RARPTCP/IP网际层的四个主要协议115TCP/IP与应用层应用层协议支持了文件传输、电子邮件、远程登录、网络管理、Web浏览等应用。应用层传输层网络接口网际层文件传输

●FTP、TFTP、NFS电子邮件

●SMTP、POP3WWW应用

●HTTP远程登录

●Telnet、rlogin网络管理

●SNMP名字管理

●DNS116应用层传输层网络接口网际层面向连接的

●TCP无连接的

●UDP传输层提供了两种传输协议117两个基本概念面向连接的服务：通信之前建立连接，通信过程中保持连接，通信结束拆除连接。无连接的服务：通信双方不需要建立和维持连接IP数据包

IPHeaderTCP（UDP）

HeaderDataIPv4IP头的结构版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）数据TCP协议的头结构和IP一样，TCP的功能受限于其头中携带的信息。因此理解TCP的机制和功能需要了解TCP头中的内容，下表显示了TCP头结构。来源端口（2字节）目的端口（2字节）序号（4字节）确认序号（4字节）头长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（2字节）校验和（16位）紧急指针（16位）选项（可选）数据TCP的三次握手（第一次握手）122第二节信息攻、防模型2024/6/1存储和加工处理状态信息的攻防模型

2024/6/1模型要求Usingthismodelrequiresusto:大门:selectappropriategatekeeperfunctionstoidentifyusers内部控制与审查:implementsecuritycontrolstoensureonlyauthorisedusersaccessdesignatedinformationorresourcesTrustedcomputersystemsmaybeusefultohelpimplementthismodel传输状态下信息攻防模型Allthetechniquesforprovidingsecurityhave:Asecurity-relatedtransformationontheinformationtobesentSomesecretinformationsharedbythetwoprincipalsand,itishoped,unknowntotheopponent模型要求Usingthismodelrequiresusto:designasuitablealgorithmforthesecuritytransformationgeneratethesecretinformation(keys)usedbythealgorithmdevelopmethodstodistributeandsharethesecretinformationspecifyaprotocolenablingtheprincipalstousethetransformationandsecretinformationforasecurityservice127第三节攻防概述

攻击任何危及信息安全的行为都称为攻击，攻击者攻击成功的标志是成功破坏了防护者信息安全目标中的一个或多个，例如破坏数据的保密性、完整性等。对处于加工处理状态和存储状态的信息的攻击，攻击者往往利用操作系统在进程管理、内存管理、文件管理、设备管理等方面的漏洞或应用程序的漏洞来实现相关攻击。而对传输中的信息攻击往往是利用通信协议的脆弱性来实现。PassiveAttack--releaseofcontentsPassiveAttack—trafficanalysisActiveAttack—MasqueradeActiveAttack—ReplayActiveAttack—ModificationofmessagesActiveAttack—Denialofservice对安全的攻击Interruption:ThisisanattackonavailabilityInterception:ThisisanattackonconfidentialityModification:ThisisanattackonintegrityFabrication:Thisisanattackonauthenticity防护——安全服务RFC2828:“aprocessingorcommunicationserviceprovidedbyasystemtogiveaspecifickindofprotectiontosystemresources”安全机制Featuredesignedtodetect,prevent,orrecoverfromasecurityattackNosinglemechanismthatwillsupportallservicesrequiredSecurityMechanismsspecificsecuritymechanismsencipherment,digitalsignatures,accesscontrols,dataintegrity,authenticationexchange,trafficpadding,routingcontrol,notarizationpervasivesecuritymechanismstrustedfunctionality,securitylabels,eventdetection,securityaudittrails,securityrecovery思考题（1）

说明网络安全与数据安全的区别与联系。（2）

什么是进程？进程控制块中的主要信息有哪些？（3）

简述缓冲区溢出攻击的基本原理。（4）

说明数据库存储和文件存储的区别与联系。（5）

计算机系统中的数据主要面临哪些攻击？传输中

的数据主要面临哪些攻击？（6）

什么是安全机制？什么是安全服务？什么是可信计算？141第四章

常见攻击方法

142摘要1.网络与信息攻击的方法可以分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三个大类.2.本章要求学生对常见攻击方法的基本原理有个较深入的理解，重点要求能够描述ARP攻击、缓冲区溢出攻击、拒绝服务和扫描攻击的基本流程。IT专业学生应尝试编写简单的“无恶意”攻击代码。143攻击和安全的关系黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。144讨论议题4.1攻击方法概述 4.2信息侦察与窃取的典型方

4.3信息欺骗的典型方法 4.4信息的封锁与破坏典型方法4.5不容低估的攻击者 1454.1攻击方法概述146攻击者隐藏通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。147攻击方法分很多网络信息丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马148攻击方法分类一般教科书上把信息攻击分为主动攻击和被动攻击两大类，我们这里把信息攻击分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三个大类。149我们的分法偷：信息的侦察与窃取骗：信息欺骗破环：信息封锁与破坏150攻击方法分类侦查与窃取:电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦查与窃取常用方法。信息欺骗:通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷达欺骗、社会工程学攻击等是常见的信息欺骗方法。信息封锁与破坏:是指通过一定的手段使敌方无法获取和利用信息，如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。入侵方法与手段1514.2

信息侦察与窃取的典型方法入侵方法与手段152口令破解帐户是一种参考上下文，所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码（例如服务）也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。口令破解是获得系统最高权限帐户的最有效的途径之一。入侵方法与手段153Windows口令文件的格式及安全机制

Windows对用户帐户的安全管理使用了安全帐号管理器（SAM,SecurityAccountManager）的机制，口令在SAM中通过单向函数（One-wayFunction,OWF）形成摘要。C:\Windows\System32\config下SAM,Security，System三个文件。不必删除，可以拷个没密码或者知道密码的文件覆盖。入侵方法与手段154Unix口令文件的格式及安全机制

Unix系统中帐户信息存放在passwd文件中，口令可以使用DES或MD5加密后存放在shadow文件中。passwd使用的是存文本的格式保存信息。UNIX中的passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料，不同资料中使用“:”分割。155口令破解主流方法有两种：基于字典的分析方法和暴力破解法。一个典型的密码字典如图所示首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。156口令破解彩虹表矿机入侵方法与手段157典型破解工具工具一：PasswordCrackers

工具二：L0phtCrack

入侵方法与手段158扫描入侵方法与手段159漏洞也称脆弱性，是指系统安全过程、管理控制及内部控制等存在的缺陷。漏洞只有被攻击者利用才成为对系统的破坏条件。漏洞的成因：网络协议漏洞：协议本身不安全，如TCP/IP软件系统漏洞：一些程序收到一些异常或超长的数据和参数就会导致缓冲区溢出。配置不当引起的漏洞160漏洞扫描扫描器：扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的安全问题。

扫描器有三项功能：1、发现一个主机或网络；2、一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上；3、通过测试这些服务，发现漏洞。161扫描技术分类•主机扫描：确定在目标网络上的主机是否可达，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务。通过端口扫描可以得到许多有用的信息：如目标主机正在运行的是什么操作系统，正在运行什么服务，运行服务的版本等漏洞扫描：使用漏洞扫描程序对目标主机系统进行信息查询，可以发现系统中存在不安全的地方。漏洞扫描的原理就是向目标主机发送一系列的咨询，根据目标主机的应答来判断漏洞是否存在。162扫描方法扫描方法可以分成：慢速扫描和乱序扫描。1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。163主机扫描原理（一）164主机扫描原理（二）165ICMP消息类型(部分)0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo

11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply166Ping工具发送ICMPEcho消息，等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间最后显示统计结果——丢包率167端口一个端口就是一个潜在的通信信道。端口通常分三类：众所周知的端口；0——1023，绑定一些特殊服务注册端口；1024——49151，松散绑定一些服务。也可用于其他目的。动态或私有端口；49152——65535，理论上讲，不应为服务分配这些端口，实际上系统通常从1024起分配动态端口。168回顾：TCP连接的建立和终止时序图169TCPConnect扫描170TCPSYN扫描这种扫描方法没有建立完整的TCP连接，有时也被称为“半打开扫描（half-openscanning）”。其步骤是先往端口发送一个SYN分组。如果收到一个来自目标端口的SYN/ACK分组，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个RST/ACK分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。入侵方法与手段171TCPFIN扫描这种扫描方法是直接往目标主机的端口上发送FIN分组。按照RFC793，当一个FIN分组到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST分组。否则，当一个FIN分组到达一个打开的端口，分组只是简单地被丢掉（不返回RST分组）。172TCPXmas扫描无论TCP全连接扫描还是TCPSYN扫描，由于涉及TCP三次握手很容易被远程主机记录下来。Xmas扫描由于不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。这种扫描向目标端口发送一个FIN、URG和PUSH分组。按照RFC793，目标系统应该给所有关闭着的端口发回一个RST分组。。173TCP空扫描这种扫描发送一个关闭掉所有标志位的分组，按照RFC793，目标系统应该给所有关闭着的端口返回一个RST分组。174TCPACK扫描这种扫描一般用来侦测防火墙，他可以确定防火墙是否只是支持简单的分组过滤技术，还是支持高级的基于状态检测的包过滤技术。175UDP扫描由于UDP协议是非面向连接的，对UDP端口的探测也就不可能像TCP端口的探测那样依赖于连接建立过程（不能使用telnet这种tcp协议类型命令），这也使得UDP端口扫描的可靠性不高。所以虽然UDP协议较之TCP协议显得简单，但是对UDP端口的扫描却是相当困难的。下面具体介绍一下UDP扫描方案：

176UDP扫描方案1：利用ICMP端口不可达报文进行扫描本方案的原理是当一个UDP端口接收到一个UDP数据报时，如果它是关闭的，就会给源端发回一个ICMP端口不可达数据报；如果它是开放的，那么就会忽略这个数据报，也就是将它丢弃而不返回任何的信息。优点：可以完成对UDP端口的探测。缺点：需要系统管理员的权限，扫描的速度很慢。177UDP扫描方案二:

不具备系统管理员权限的时候可以通过使用recvfrom（）和write（）这两个系统调用来间接获得对方端口的状态。对一个关闭的端口第二次调用write（）的时候通常会得到出错信息。而对一个UDP端口使用recvfrom调用的时候，如果系统没有收到ICMP的错误报文通常会返回一个EAGAIN错误，错误类型码13，含义是“再试一次（Try

Again）”；如果系统收到了ICMP的错误报文则通常会返回一个ECONNREFUSED错误，错误类型码111，含义是“连接被拒绝（Connect

refused）”。通过这些区别，就可以判断出对方的端口状态如何178常见的扫描器nmapSATANstrobePingerPortscanSuperscan……开放端口扫描使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图4-8所示。

入侵方法与手段180nmapByFyodor作者研究了诸多扫描器，每一种扫描器都有自己的优点，它把所有这些技术集成起来，写成了nmap，当前版本为2.53/2.54源码开放，C语言两篇技术文档TheArtofPortScanningRemoteOSdetectionviaTCP/IPStackFingerPrinting除了扫描功能，更重要的是，可以识别操作系统，甚至是内核的版本入侵方法与手段181OSFingerprint技术许多漏洞是系统相关的，而且往往与相应的版本对应，同时从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,因此操作系统指纹探测成为了黑客攻击中必要的环节。如何辨识一个操作系统是OSFingerprint技术的关键，常见的方法有：l

一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息；l

TCP/IP栈指纹；l

DNS泄漏出OS系统等等。入侵方法与手段182端口服务提供的信息Telnet服务Http服务Ftp服务入侵方法与手段183栈指纹识别技术做法：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos,byShokQueso,bySavageNmap,byFyodor4.3信息欺骗的典型方法社交媒体欺骗通过互联网社交平台（朋友圈、抖音、微信群、QQ群、APP等）、搜索引擎、短信、电话，发布虚假网络贷款、虚拟投资、刷单返利、购物退款、虚假婚恋等网络诈骗违法犯罪行为近年来十分猖獗。重放攻击把以前窃听到的数据原封不动地重新发送给接收方，以达到欺骗接收方的目的。中间人攻击ARP欺骗攻击深度伪造欺诈网络犯罪分子使用深度伪造的面孔来欺骗生物识别验证，已经被确定为增长最快的金融犯罪类型。4.4信息的封锁与破坏典型方法2024/6/1现代密码学理论与实践-19191/37病毒病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码192/37病毒程序的结构病毒程序{感染模块:

{循环:随机搜索一个文件;如果感染条件满足则将病毒体写入该文件;否则跳到循环处运行;}

破坏模块:

{执行病毒的破坏代码}触发模块:{如果触发条件满足返回真;否则返回假;}主控模块:{执行传染模块;执行触发模块如果返回为真,执行破坏模块;执行原程序;}}2024/6/1现代密码学理论与实践-19193/37另一个简单的病毒<html><body>test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];if(x==2){x=0;}}</script></body></html>该代码利用死循环原理，交叉显示红色和黑色，造成刺眼效果2024/6/1现代密码学理论与实践-19194/37一个简单的病毒<html><head><title>no</title><scriptlanguage="JavaScript">;functionopenwindow(){for(i=0;i<1000;i++)window.open('');}</script></head><bodyonload="openwindow()"></body></html>代码是一个逻辑炸弹，请以hellow1.htm存盘,然后双击该文件，察看并分析运行结果2024/6/1现代密码学理论与实践-19195/37MacroVirusesMicrosoftOfficeapplicationsallow“macros”tobepartofthedocument.Themacrocouldrunwheneverthedocumentisopened,orwhenacertaincommandisselected(SaveFile).Platformindependent.Infectdocuments,deletefiles,generateemailandeditletters.2024/6/1现代密码学理论与实践-19196/37E-mailVirusesIftherecipientopensthee-mailattachment,theWordmacroisactivated.ThenThee-mailvirussendsitselftoeveryoneonthemailinglistintheuser’se-mailpackageThevirusdoeslocaldamageMorepowerfulandnewerversionofthee-mailviruscanbeactivatedmerelybyopeningane-mailthatcontainsthevirusratherthanopeninganattachment.Theviruspropagatesitselfassoonasactivatedtoallofthee-mailaddressknowntotheinfectedhost.2024/6/1197/37Shakira’spictures邮件的附件附件(ShakiraPics.jpg.vbs)内容(6K多)2024/6/1现代密码学理论与实践-19198/37Shakira’spictures邮件的病毒代码把wapwvdfgcpw解出来之后，如下(主程序部分)2024/6/1现代密码学理论与实践-19199/37Shakira’spictures邮件病毒流程流程如下：改写注册表键：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Registry利用Outlook给地址簿中所有用户发信并置上标记：HKCU\software\ShakiraPics\mailed=1利用mirc发送病毒附件并置上标记：HKCU\software\ShakiraPics\Mirqued=1对于当前文件系统中(所有远程目录)所有的vbs文件和vbe文件都替换成自己——循环+递归提醒用户：“YouhavebeeninfectedbytheShakiraPicsWorm”2024/6/1反病毒技术过程检测病毒。一旦系统被感染病毒，应尽快检测起来，力争在病毒发作之前发现标识出具体的病毒恢复。一旦已经标识出病毒类型，则采取相应的措施来恢复到原始的状态。如果不能恢复状态，则可以隔离被感染的文件，或者启动备份的系统文件，或者引导分区编写病毒的技术和反病毒技术也是“道高一尺魔高一丈”的情况，在斗争中提高和发展早期简单的病毒扫描器。根据一些简单的特征对问题区域进行扫描，如果匹配到了，则发现病毒的踪迹启发式的扫描器。在扫描的时候，利用一些启发式的规则，可以发现一些隐蔽的病毒。或者利用程序指纹(检验码)来判断程序被修改的情况针对病毒可能的闯入点，在这些点上设置检查关卡，一旦发现异常，就进行报警并进行干预综合。反病毒是一个综合的过程，各种技术需要结合起来更重要的是，在设计系统软件的时候就应该考虑尽可能地减少病毒闯入的机会，以免开放的功能被滥用2024/6/1现代密码学理论与实践-19201/37AntivirusApproaches1stGeneration,Scanners:searchedfilesforanyofalibraryofknownvirus“signatures.”Checkedexecutablefilesforlengthchanges.2ndGeneration,HeuristicScanners:looksformoregeneralsignsthanspecificsignatures(codesegmentscommontomanyviruses).Checkedfilesforchecksumorhashchanges.3rdGeneration,ActivityTraps:stayresidentinmemoryandlookforcertainpatternsofsoftwarebehavior(e.g.,scanningfiles).4thGeneration,FullFeatured:combinethebestofthetechniquesabove.2024/6/1现代密码学理论与实践-19202/37AdvancedAntivirusTechniques203/37恶意软件恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。具有下列特征之一的软件可以被认为是恶意软件：(1)强制安装(2)难以卸载(3)浏览器劫持(4)广告弹出(5)恶意收集用户信息(6)恶意卸载：(7)恶意捆绑其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。入侵方法与手段204拒绝服务攻击拒绝服务攻击的主要目的是使被攻击的网络或服务器不能提供正常的服务。有很多方式可以实现这种攻击，最简单的方法是切断网络电缆或摧毁服务器；当然利用网络协议的漏洞或应用程序的漏洞也可以达到同样的效果。DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，象是无法满足需求。入侵方法与手段205SYN湮没

SYN是TCP/IP协议建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN-ACK应答表示接收到了这个消息，最后客户机以再ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。这种攻击向一台服务器发送许多SYN消息，该消息中携带的源地址根本不可用，但是服务器会当真的SYN请求处理，当服务器尝试为每个请求消息分配连接来应答这些SYN请求时，服务器就没有其它资源来处理来真正用户的合法SYN请求了。这就造成了服务器不能正常的提供服务。入侵方法与手段206Land攻击

Land攻击和其它拒绝服务攻击相似，也是通过利用某些操作系统在TCP/IP协议实现方式上的漏洞来破坏主机。在Land攻击中，一个精心制造的SYN数据包中的源地址和目标地址都被设置成某一个服务器地址，这将导致接收到这个数据包的服务器向它自己发送SYN-ACK消息，结果又返回ACK消息并创建一个空连接……每个这样的连接都将一直保持到超时。不同的操作系统对Land攻击反应不同，多数UNIX操作系统将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。入侵方法与手段207Smurf攻击

Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量数据充斥目标系统，引起目标系统不能为正常系统进行服务。简单的Smurf攻击将ICMP应答请求（ping）数据包的回复地址设置成受害网络的广播地址，最终导致该网络的所有主机都对此ICMP应答请求作出答复，从而导致网络阻塞。因此它比pingofdeath攻击的流量高出一到两个数量级。复杂的Smurf攻击将源地址改为第三方的受害者，最终导致第三方崩溃。入侵方法与手段208Teardrop攻击

Teardrop是一种拒绝服务攻击，可以令目标主机崩溃或挂起。目前多数操作系统已经升级或有了补丁程序来避免受到这种攻击。Teardrop攻击和其他类似的攻击发出的TCP或UDP包包含了错误的IP重组信息，这样主机就会使用错误的信息来重新组合成一个完整