&&&&黑客防线2009缓冲区溢出攻击与防范专辑
黑客防线2009缓冲区溢出攻击与防范专辑
本书由国内最早创刊的网络安全类媒体之一《黑客防线》编纂。全书秉承“在攻与防的对立统一中寻求突破”的核心理念，以3 0多个漏洞机理分析，触发机制，发掘过程，调试过程，ExPloit编写，核心ShellCode调试，实战构造为例，深入分析漏洞发掘的整个过程，详细解析Exploit的编写步骤。
本书分为“初级篇”、“分析篇”、“Sh ellC ode篇”三篇，由浅入深地进行系统全面的缓冲区溢出攻击与防范的技术探讨，适合各层次的网络安全技术爱好者阅读。
初探缓冲区溢出攻击
Windows下堆溢出初步
Windows堆栈溢出全面解析
经典WIN32堆栈溢出保护+突破技术
菜鸟版Exp Loit编写指南
简单分析IFame漏洞
免费才是我们的最爱叫eaI Server远程溢出漏洞分析
Isasrvdll远程溢出
Serv-U FTP漏洞IEl饭重炒
Hacker4-Cracker4-Sniffer的综合利用
在Windows下对比学习Linux堆栈溢出
采众家之长分析及改进CMail漏洞
从MS03-049漏洞利用看调试系统进程
我来写ShellCode生成器
Windows整数溢出初步
溢出漏洞扫描技术
新手溢出TFTPD
初探堆栈溢出
堆栈溢出点定位原理分析
巧妙分析JPEG处理漏洞
从分析MS06-040谈Metasploit攻击代码提取
分析和利用W32Dasm溢出漏洞
玩转Winamp漏洞
RealPlayer溢出分析+利用
Realplaysmil文件溢出漏洞分析
PNP溢出漏洞分析+利用
Word溢出漏洞分析与利用
Excel溢出漏洞分析+利用
亲密接触MS06--055
WinZip溢出漏洞分析+利用
迅雷5远程拒绝服务漏i同ODay分析
MS07-004分析和利用
IPMs9溢出的简单分析
WinRAR 7z文件名溢出分析和利用
ShelICode到洞悉溢出漏洞原理
Fuzzing in Word溢出分析和利用
重温MDB File文件漏洞
OllyDbg Format String ODay分析与利用
WinRAR栈溢出分析和利用
从卡巴漏洞管窥内核模式ShelICode的编写
Windows CE缓冲区溢出利用技术
隔山打牛之RealPlayer栈溢出
ShellCode篇
定制特殊的ShelICode
定制自己的ShelICode之二
ShelICode编码变形大法
编写变形的ShelICode实战篇
打造Windows下自己的ShelICode
让Shel ICode突破系统版本限制
《射雕》之突破WindowS个人防火墙
穿墙ShelICode的编写+应用
突破溢出数据包长度限制----编写分段传送的ShelICode（上）
突破溢出数据包长度限制----编写分段传送的ShelICode（下）
突破防火墙的非管道ShelICode
ShelICodel刍动化提取的设计与实现
能够生成木马的ShelICode
编写Word木马的ShellCode
不死的ShellCode
打造自己的ShelICode综合分析工具
编写全数字字母的,ShelICode
再谈全字母数字的ShelICode的编写
The短erthe better----精简你的数字字母ShelICode
打造200字节的最短通用ShelICode
编写Unicode有效的ShellCode
编写绕过卡巴主动防御的ShellCode
SP2下利用TEB执行ShelICode
安全搜索进程内存空间
再谈绕过卡巴斯基主动防御系统
若举报审核通过，可奖励20下载分
被举报人：
举报的资源分：
请选择类型
资源无法下载
资源无法使用
标题与实际内容不符
含有危害国家安全内容
含有反动***等内容
含广告内容
版权问题，侵犯个人或公司的版权
*详细原因：
VIP下载&&免积分60元/年（1200次）
您可能还需要
安全技术下载排行浅谈安全性攻击人为攻击的主要形式和防御
7个月前 (07-03)
0x01 安全性攻击主要的两种方式
当前，对信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)的攻击来自多方面，这些攻击我们可以宏观地分为人为攻击(主观因素)和自然灾害攻击(客观因素)，这两大类的攻击都会对信息安全构成威胁。造成自然灾害攻击的自然因素包括各种自然灾害：如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等；系统的环境和场地条件，如温度、湿度、电源、地线和其他防护设施不良造成的威胁；电磁辐射和电磁干扰的威胁；硬件设备自然老化，可靠性下降的威胁等。因为自然灾害往往不可预知和抗力，所以自然灾害发生而造成的攻击通常是不可避免的。虽然自然灾害攻击通常不可预知，但是我们可以做一些防患于未然的措施，比如根据信息系统的重要性对其所处的地方进行自然灾害的预测与报警，根据信息系统所处环境的情况进行隔离保护等。不过往往信息安全安全性攻击的方式主要以的是人为攻击的形式出现，因为精心设计的人为攻击威胁较大，灵活多变而难于防御，所以在这里我们主要讨论人为攻击方式。
0x02 安全性攻击人为攻击
一般而言，人为攻击都是通过寻找系统的弱点，以非授权的方式达到破坏、欺骗和窃取数据信息等目的。由于人为攻击运用的方式往往非常灵活，所以导致人为攻击方法没有规范的分类模式，从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。所以说，很难以一个统一的模式对各种攻击手段进行分类，采用不同的分类标准(如攻击手段、攻击目标等)我们可以将攻击形式分为不同的分类，这里我们参照美国国家标准局在2000年9月发布的《信息保障技术框架(IATF) 3.0》版本里的给出的参考，《信息保障技术框架(IATF) 3.0》中将攻击形式大致分为、、、和等5类。
0x03 安全性攻击人为攻击分类
(1) 被动攻击
被动攻击是指在未经用户同意和认可的情况下攻击者嗅探窃听获得信息或数据文件并对其分析，但不对数据信息做任何修改。通常被动攻击包括***未受保护的通信信息，流量分析，破解弱加密的数据流、敏感信息被动方式收集、获得认证信息(如用户账号和密码等)。
其中，流量分析的情况比较微妙，现在甲乙两者通过某种加密手段进行通信，如加密屏蔽了信息内容或其他通信量，使得攻击者从截获的消息中无法获得信息的真实内容，但攻击者还能通过观察分析这些数据包的格式或模式，分析通信双方的位置，通信的次数及信息长度等，而这些信息可能对甲乙双者来说是非常敏感的。
网络***通常的目的是实现数据窃听，比如获取用户账号和密码等，如在telnet、ftp、http、smtp等传输协议中，用户帐户和密码信息都是以明文格式传输的。网络***是通过一种监视网络状态、数据流程以及网络上信息传输的管理工具实现，它可以将网络界面设定成***模式，并且可以截获网络上所传输的信息，但是网络***只能应用于连接同一网段的主机。至于实现的工具有很多，比如著名的Sniffer***工具。
访问控制是网络安全保护和防范的核心策略之一，非法访问会造成网络资源和信息的泄露。防止非法访问可以通过多种访问控制技术来实现，当然访问控制技术所涉及内容较为广泛，通过包括网络登录控制、网络资源使用权限控制、目录文件权限控制，以及属性安全控制等多种手段。
信息收集是指通过各种方式获取所需要的信息,为了更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。信息收集分为被动式信息收集和主动式信息收集，被动式信息收集是利用第三方的服务对目标进行访问了解，具有基于公开渠道、与目标不直接接触、隐蔽性较好的特，常见的被动信息收集的方式有Google Hacking，DNS分析，whois查询，Shodan查询、ZoomEye Hacking等，一般在一个渗透测试项目下，你需要有多次的信息收集，同时也要运用不同的收集方式，才能保证信息收集的完整性。
被动攻击一般不易被发现，是主动攻击的前期阶段。此外，由于被动攻击不会对被动攻击对象做任何修改，留下的痕迹较少或根本没有留下任何痕迹，因而非常难以检测，所以抗击被动攻击的重点在于预防，具体的措施包括***(虚拟专用网络)、采用加密技术保护网络及使用加密保护的分布式网络等。
(2) 主动攻击
主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的，主动攻击主要涉及某些数据流的篡改或虚假数据流的产生，可能改变信息或危害系统，威胁信息完整性，可用性、真实性和有效性。主动攻击通常易于探测但却难于防范，因为攻击者可以通过多种方式发起，常分为中断、伪造、篡改等。
中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击。中断攻击方式主要体现为拒绝服务攻击，拒绝服务是指通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务的现象，拒绝服务按其攻击原理分为多种类型，如：SYN Flood、UDP flood等，而分布式拒绝服务攻击是在传统的拒绝服务攻击基础之上产生的一类攻击方式，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动拒绝服务攻击，从而成倍地提高拒绝服务攻击的威力。
篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性。比较出名的例子如VOIP Hacking，在通信会话中插入、修改和删除VoIP包的中间人攻击。
伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放这段信息，或者是完全伪造一段信息流，冒充接收方可信任的第三方。广义上的伪造具体表现的攻击形式有多种如跨站请求伪造（CSRF）、服务器端请求伪造(SSRF)等。
主动攻击的特点与被动攻击恰好相反，被动攻击虽然难于检测，但可以采用有效的防御策略，而要绝对防止主动攻击是十分困难的。因而应对主动攻击的主要途径是检测，以及能从此攻击造成的破坏中及时地恢复，同时入侵检测系统或工具还具有某种遏制效果，在一定程度上也能起到防止攻击扩大的作用，具体的措施包括入侵检测、安全审计和完整性恢复等。
(3) 物理临近攻击
物理临近攻击是指未授权人以更改、收集或拒绝访问为目的而物理接近网络系统或设备。广义上的物理层次攻击也是现在发展的趋势，表现形式有旁信道攻击，智能家居系统入侵，汽车控制系统入侵，工业控制系统入侵。比如众所周知的震网病毒事件就是典型的工业控制系统入侵事件。
物理层面攻击步骤十分复杂，比如攻击者需要首先获取传感器的度数，操控发送到控制器的参数，最后将指令发送到执行设备上完整流程。实现物理层次攻击通常要求攻击者了解攻击目标的物理结构，具有大量的目标物理构成原理基础知识，具备设施工作原理的知识，更深层次要求攻击者了解目标设施的工程实现文档，了解目标设施的动态行为，以及其工作流程中的每个细节。下图给出了物理攻击一般步骤：
(4) 内部人员攻击
内部人员攻击分为恶意的和非恶意的，来自IBM的一个专门做安全的研究团队X-Force，一直在做着全球范围安全情报信息收集和分析工作，根据X-Force二季度报告发现，55%的攻击来自内部人员，其中恶意行为占31.5%，疏忽大意导致的占23.5%。通常内部人员知道系统的布局、有价值的数据存放在什么地方及和何种防御工具在运行，所以他们往往能指定针对性的恶意攻击计划实施攻击行为，比较出名的事件索尼被内部人员攻击。
恶意攻击是指内部人员有计划地窃听或损坏信息或拒绝其他授权用户的访问，非恶意攻击则通常是由于粗心、缺乏技术知识或为了"完成工作"等无意间绕过安全策略但对系统产了破坏行为的情况，无目的事件包括：操作失误（操作不当、误用媒体、设置错误）、意外损失（电力线搭接、电火花干扰）、编程缺陷（经验不足、检查漏项、不兼容文件）、意外丢失（被盗、被非法复制、丢失媒体）、管理不善（维护不利、管理松驰）、无意破坏（无意损坏、意外删除等）。
内部人员攻击造成的危害不可小觑，应该制定相应的安全策略防御内部人员攻击，具体的措施包括实施一套专用的数据泄漏保护(DLP)设备或软件，配置防火墙，使用网络内的数据包检查，使用带有内容过滤，安全检测功能的邮件安全产品、控制内部人员USB设备使用、内部人员变更，身份以及权限管理、提升内部人员安全意识等。
(5) 软硬件配装攻击
软硬件配装攻击是指在软硬件生成的工厂内在在产品分发过程中恶意修改硬件或软件。这种攻击可能会给一个产品引入后门程序等恶意代码，以便日后在未授权的情况下访问所需的信息或系统。比较出名的Xcode事件就是因为开发者使用非苹果公司官方渠道的XCODE开发工具开发苹果APP，导致开发正常的苹果APP时会被植入恶意代码，从而导致开发的APP变成具有信息窃取，恶意远程控制功能的恶意程序。针对此事件我们应该养成不要从非官方渠道下载开发工具，下载软件之后进行Hash校验和比对的习惯。
当然，在现实生活中一次成功的攻击过程可能会综合若干种攻击手段，在不同的入侵阶段使用不同的方法。通常是采用被动攻击手段来收集信息，指定攻击步骤和策略，然后通过主动攻击来达到目的。而我们所能做的就是采取措施保护信息资产，如及时发现并处理安全隐患、识别组织资产和风险、提升人员安全意识、采取恰当的策略和控制措施来消减风险，使信息资产不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。
blog:http://www.hackfun.org/
最热点击文章
微信公众号
扫描下方二维码或者搜索二维码下方的微信公众号六大趋势/网络攻击
&在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险，本文将对网络攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。 趋势一：自动化程度和攻击速度提高　 攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。扫描可能的受害者。自1997年起，广泛的扫描变见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可
&以自己发动新一轮攻击。像红色代码和这类工具能够自我传播，在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。 　　趋势二：攻击工具越来越复杂&攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为;攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议，从入侵者那里向受攻击的计算机发送数据或命令，使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。 　　趋势三：发现安全漏洞越来越快网络攻击
&&新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。 　　趋势四：越来越高的防火墙渗透率&防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，IPP(Internet打印协议)和WebD***(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。 　　趋势五：越来越不对称的威胁&　上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的将继续增加。 　　趋势六：对基础设施将形成越来越大的威胁&基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
　拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以***他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划***攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞，会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能。但是，这些蠕虫病毒的最大影响力是，由于它们传播时生成海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击，造成大量间接的破坏(这样的例子包括：DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。
　　是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器，这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括：缓存区中毒，如果使DNS缓存伪造信息的话，攻击者可以改变发向合法站点的传输流方向，使它传送到攻击者控制的站点上;破坏数据，攻击者攻击脆弱的DNS服务器，获得修改提供给用户的数据的能力;拒绝服务，对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行;域劫持，通过利用客户升级自己的域注册信息所使用的不安全机制，攻击者可以接管域注册过程来控制合法的域。路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有：将路由器作为攻击平台，入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台;拒绝服务，尽管路由器在设计上可以传送大量的传输流，但是它常常不能处理传送给它的同样数量的传输流，入侵者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统;利用路由器之间的信赖关系，路由器若要完成任务，就必须知道向哪里发送接收到的传输流，路由器通过共享它们之间的路由信息来做到这点，而这要求路由器信赖其收到的来自其他路由器的信息，因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中，将发送到一个网络的传输流改向传送到另一个网络，从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用，但是许多用户没有利用路由器提供的加密和认证特性来保护自己的安全。
几种攻击与防御手法/网络攻击
　信息收集型攻击　
&　信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务。 1.扫描技术
&（1）地址扫描
概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。
防御：在防火墙上过滤掉ICMP。
（2）端口扫描
　　概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。
　　防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。
　　（3）反响映射
　　概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。
　　防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。
　　（4）慢速扫描
　　概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
　　防御：通过引诱服务来对慢速扫描进行侦测。 　2.体系结构探测
&　概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。
　　防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。
　　利用信息服务 　3.DNS域转换
　　概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
　　防御：在防火墙处过滤掉域转换请求。 　4.
&概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
　　防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。 　　5.LDAP服务
　　概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
　　防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。
　　假消息攻击　　用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。
　　1.DNS高速缓存污染
　　概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
　　防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
　　2.伪造电子邮件
　　概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可***的特洛伊木马程序，或者是一个引向恶意网站的连接。
　　防御：使用PGP等安全工具并***电子邮件***。 其它攻击手法 　　所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多，如 　　利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； 　　利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径； 　　从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号； 　　查看主机是否有习惯性的帐号：有经验的用户都知道，非常多系统会使用一些习惯性的帐号，造成帐号的泄露。 放置特洛伊木马程式 　　特洛伊木马程式能直接侵入用户的计算机并进行破坏，他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或执行了这些程式之后，他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中，并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时，这个程式就会通知攻击者，来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程式，就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。 WWW的欺骗技术 　　在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑***务器发出请求，那么黑客就能达到欺骗的目的了。 　　一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者能将自已的Web地址加在所有URL地址的前面。这样，当用户和站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器和某个站点边接时，能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此能发现问题，所以攻击者往往在URLf址重写的同时，利用相关信息排盖技术，即一般用JavaScript程式来重写地址样和状枋样，以达到其排盖欺骗的目的。
　　电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。 通过一个节点来攻击其他节点 　　攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们能使用网络***方法，尝试攻破同一网络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机。 　　这类攻击非常狡猾，但由于某些技术非常难掌控，如TCP/IP欺骗攻击。攻击者通过外部计算装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受，诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流，因而对底层的攻击更具有欺骗性。 网络*** 　　网络***是主机的一种工作模式，在这种模式下，主机能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据***。此时若两台主机进行通信的信息没有加密，只要使用某些网络***工具(如&for&视窗系统95/98/NT、&for&Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络***获得的用户帐号和口令具有一定的局限性，但***者往往能够获得其所在网段的所有用户帐号及口令。 利用黑客软件攻击 　　利用黑客软件攻击是互连网上比较多的一种攻击手法。Back&Orifice2000、冰河等都是比较著名的特洛伊木马，他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程式登陆上已***好服务器端程式的计算机，这些服务器端程式都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就***完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法，表面看上去是个TXT文本文件，但实际上却是个附带黑客程式的可执行程式，另外有些程式也会伪装成图片和其他格式的文件。 安全漏洞攻击 　　许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符，他甚至能访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得终极用户的权限。又如，ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。目前常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力极强，一般通过Microsoft的&Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。 端口扫描攻击 　　所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描
攻击的位置/网络攻击
　　（1）远程攻击：指外部攻击者通过各种手段，从该子网以外的地方向该子网或者该子网内的系统发动攻击。 　　（2）本地攻击：指本单位的内部人员，通过所在的局域网，向本单位的其他系统发动攻击，在本级上进行非法越权访问。 　　（3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。&
攻击者常用的攻击工具/网络攻击
1、DOS攻击工具：　　
&如WinNuke通过发送漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包导致系统重启；通过发送重叠的&IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特别数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP&请求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的导致系统变慢甚至凝固；PIMP通过IGMP&漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。 2、木马程式&　(1)、(BackOrifice)：他是功能最全的TCP/IP构架的攻击工具，能搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端/服务器应用程式。BO2000支持多个网络协议，他能利用TCP或UDP来传送，还能用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了终极用户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 　　(2)、“”：冰河是个国产木马程式，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程式来一点也不逊色。&他能自动跟踪目标机器的屏幕变化，能完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监视端产生同步的同时，被监视端的一切键盘及鼠标操作将反映在控端的屏幕。他能记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；他能获取系统信息；他还能进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 　　(3)、：能运行于视窗系统95/98/NT/2000等多种平台上，他是个基于TCP/IP的简单的文件传送软件，但实际上你能将他看作一个没有权限控制的增强型FTP服务器。通过他，攻击者能神不知鬼不觉地下载和上传目标机器上的任意文件，并能执行一些特别的操作。 　　(4)、：该程式能自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监视功能。类似于BO2000。　 　　(5)、：视窗系统系统是个以()为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密码Password（显示在屏幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的。 　　(6)、：这个程式能将指定的攻击程式捆绑到所有一个广为传播的热门软件上，使宿主程式执行时，寄生程式也在后台被执行，且支持多重捆绑。实际上是通过多次分割文件，多次从中调用子进程来实现的。
攻击的层次/网络攻击
&从浅入深的分为以下几个层次： 　　（1）简单拒绝服务。 　　（2）本地用户获得非授权读权限。 　　（3）本地用户获得非授权写权限。 　　（4）远程用户获得非授权账号信息。 　　（5）远程用户获得特权文件的读权限。 　　（6）远程用户获得特权文件的写权限。 　　（7）远程用户拥有了系统管理员权限。&
攻击分类/网络攻击
　　（1）主动攻击：包含攻击者访问所需要信息的故意行为。 　　（2）被动攻击。主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括： 　　1、窃听。包括键击记录、网络***、非法访问数据、获取密码文件。 　　2、欺骗。包括获取口令、恶意代码、网络欺骗。 　　3、拒绝服务。包括导致异常型、资源耗尽型、欺骗型。 　　4、数据驱动攻击：包括缓冲区溢出、、输入验证攻击、同洞攻击、信任漏洞攻击。&
攻击步骤/网络攻击
　　第一步：隐藏自已的位置 　　普通攻击者都会利用别人的计算机隐藏他们真实的IP地址。老练的攻击者还会利用800***的无人转接服务联接ISP，然后再盗用他人的帐号上网。 　　第二步：寻找目标主机并分析目标主机 　　攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和&IP地址就能顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全方面的了解。此时，攻击者们会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet&、SMTP等服务器程式是何种版本等资料，为入侵作好充分的准备。 　　第三步：获取帐号和密码，登录主机 　　攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。 　　第四步：获得控制权 　　攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程式，以便日后能不被觉察地再次进入系统。大多数后门程式是预先编译好的，只需要想办法修改时间和权限就能使用了，甚至新文件的大小都和原文件一模相同。攻击者一般会使用rep传递这些文件，以便不留下记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。 　　第五步：窃取网络资源和特权 　　攻击者找到攻击目标后，会继续下一步的攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。
网络攻击应对策略/网络攻击
　　在对网络攻击进行上述分析和识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主&，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议 　　1、提高安全意识 　　(1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程式，比如“特洛伊”类黑客程式就需要骗你运行。&中国.网管联盟 　　(2)尽量避免从Internet下载不知名的软件、游戏程式。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。 　　(3)密码设置尽可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最佳经常更换。 　　(4)及时下载***系统补丁程式。 　　(5)不随便运行黑客程式，不少这类程式运行时会发出你的个人信息。 　　(6)在支持HTML的BBS上，如发现提交警告，先看原始码，非常可能是骗取密码的陷阱。 　　2、使用防毒、防黑等防火墙软件。 　　防火墙是个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监视系统来隔离内部和外部网络，以阻档外部网络的侵入。 　　3、设置代理服务器，隐藏自已的IP地址。 　　保护自己的IP地址是非常重要的。事实上，即便你的机器上被***了木马程式，若没有你的IP地址，攻击者也是没有办法的，而地址的最佳方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，他主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，他就向内部网络转发这项请求。 　　4、将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以完全防毒。 　　5、由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。 　　6、对于重要的个人资料做好严密的保护，并养成资料备份的习惯。
视网络攻击为战争行为/网络攻击
日&据日本共同社报道，美国国防部长盖茨4日在于新加坡召开的亚洲安全会议上发表演讲，盖茨首次表明在确认遭到来自他国的网络攻击时将“视之为战争行为并予以(武力)还击”
万方数据期刊论文
计算机研究与发展
万方数据学位论文
万方数据期刊论文
国防科技大学学报
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与***联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：11次
参与编辑人数：8位
最近更新时间： 12:01:02
贡献光荣榜