端口掃描攻擊

攻擊者進(jìn)行攻擊前采取的第一步是偵察網(wǎng)絡(luò),，偵察方式除了探測IP地址之外,，還有重要的一項(xiàng)--端口掃描。通過端口掃描可以知道被掃描的計(jì)算機(jī)開放了哪些服務(wù)和端口,，探測這些服務(wù)和端口的過程可以理解為尋找通往計(jì)算機(jī)的秘密通道的過程,。一個(gè)端口就是一個(gè)潛在的通信通道，也可以是一個(gè)入侵通道,。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描,，能得到許多有用的信息。

端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包,，并記錄目標(biāo)主機(jī)的響應(yīng),。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息,。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況,，它能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)來加強(qiáng)系統(tǒng)安全性,。

安全漏洞攻擊

許多系統(tǒng)都有各種不同的安全漏洞,，其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如緩沖溢出攻擊,。由于很多系統(tǒng)不檢查程序與緩沖區(qū)之間變化的情況,，就接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里,，系統(tǒng)還照常執(zhí)行命令,。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài),。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符,，他甚至可以訪問根目錄，從而擁有對(duì)系統(tǒng)的絕對(duì)控制權(quán),。

另一些是利用協(xié)議漏洞進(jìn)行攻擊,，例如，http協(xié)議本身的漏洞能夠?qū)е鹿粽哌M(jìn)行Dos攻擊。又如,，ICMP協(xié)議也經(jīng)常被用于發(fā)動(dòng)拒絕服務(wù)攻擊,，它的具體手法就是向目的的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶,，使其無法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理,，從而導(dǎo)致網(wǎng)站無法進(jìn)入，網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓,。

口令入侵

所謂口令入侵是指使用某些合法用戶的賬號(hào)和口令登錄到目的主機(jī),，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某和合法用戶的賬號(hào),，然后再進(jìn)行合法用戶口令的破譯,。

查看主機(jī)是否有習(xí)慣的賬號(hào)，很多系統(tǒng)會(huì)使用一些習(xí)慣的賬號(hào),，造成賬號(hào)的泄露,。有3種方法:

1.通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性,，監(jiān)聽者往往采用中途截取的方法獲取用戶賬戶和密碼,。

2.在知道用戶的賬號(hào)后，利用一些專門軟件強(qiáng)行破裂用戶口令,，這種方法不受網(wǎng)段限制,，但攻擊者要有足夠的耐心和時(shí)間。

3.利用系統(tǒng)管理員的失誤,。

在linux操作系統(tǒng)中,，用戶的基本信息存放在passwd文件中，而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個(gè)叫shadow的文件中,，攻擊者獲取口令文件后,，就會(huì)使用專門的破裂程序來破解口令。

木馬程序

當(dāng)連接到internet上時(shí),，這個(gè)程序就會(huì)通知攻擊者，報(bào)告IP地址以及預(yù)先設(shè)定的端口,。攻擊者在收到這些信息后,，再利用這個(gè)潛伏的程序，就可以任意地修改被控計(jì)算機(jī)的參數(shù)設(shè)定,、復(fù)制文件,、窺視被控主機(jī)的整個(gè)硬盤中的內(nèi)容。

下面給出兩款具有代表性的木馬程序:

BO2000:全稱BackOrifice,，據(jù)說取這個(gè)名字是為了諷刺微軟開放的Back Office系統(tǒng),。它可以搜集信息，執(zhí)行系統(tǒng)命令，重新設(shè)置機(jī)器,，重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序,。感染后，機(jī)器就會(huì)完全在別人的控制下,，攻擊者成為超級(jí)用戶,，你的所有操作都可由它自帶的秘密攝像機(jī)錄制成錄像帶。

冰河:它是一款國產(chǎn)木馬程序,，它可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化,，可以完全模擬鍵盤及鼠標(biāo)輸入，即在使被控端屏幕變化和監(jiān)控端所產(chǎn)生同步的同時(shí),，被監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在主控端的屏幕上,。它可以記錄各種口令信息，包括開機(jī)口令,，屏?？诹睿鞣N共享資源口令以及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息,。它還可以獲取系統(tǒng)信息,，還可以進(jìn)行注冊表操作，包括對(duì)主鍵的瀏覽,，增刪,，復(fù)制，重命名和對(duì)鍵值的讀寫等所有注冊表操作,。

電子郵件攻擊

主要攻擊為兩種方式:

一種是電子郵件轟炸和電子郵件“滾雪球”,，也就是郵件炸彈，用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)千萬甚至無窮多次的內(nèi)容相同垃圾郵件,，使受害人郵箱被“炸”,。

另一種是郵件欺騙，攻擊者稱自己為管理員,，給用戶發(fā)送郵件,，要求用戶修改口令或者正常附件中加載病毒或其他木馬程序，從而獲得用戶的口令實(shí)施攻擊,，通過中上木馬進(jìn)行遠(yuǎn)程控制,。

DOS攻擊

全稱是“拒絕服務(wù)”攻擊，從網(wǎng)絡(luò)攻擊的方法和所產(chǎn)生的破壞情況來看,，它是一種很簡單但又很有效的進(jìn)攻方式,，也是目前最常見的攻擊方式。

它是通過程序占用主機(jī)上所有的資源,，或者在短時(shí)間內(nèi)向主機(jī)發(fā)送大量數(shù)據(jù)包,，影響其他正常數(shù)據(jù)交換,，從而造成系統(tǒng)過載或系統(tǒng)癱瘓，拒絕正常用戶的服務(wù)訪問,，最終它會(huì)使internet連接和網(wǎng)絡(luò)系統(tǒng)失效,。

網(wǎng)絡(luò)蠕蟲是目前最常見影響最大的拒絕服務(wù)攻擊的方法，常見的拒絕服務(wù)攻擊有下面幾種:

1.攻擊者從偽造的,、并不存在的IP地址發(fā)出連接請(qǐng)求,，因?yàn)榻邮辗讲荒芙馕鲞@些地址，任務(wù)將被掛起,。

2.攻擊者占用了每個(gè)可用的會(huì)話,，以阻止你到達(dá)遠(yuǎn)程路由。

3.攻擊者給接收方灌輸大量的錯(cuò)誤的或是特殊結(jié)構(gòu)的數(shù)據(jù)包,，由于接收方不能正確處理這些數(shù)據(jù)包而導(dǎo)致接收方計(jì)算機(jī)癱瘓,。

比較著名Dos攻擊手段有:

淚滴攻擊:向目的主機(jī)發(fā)送改造過的IP數(shù)據(jù)包，IP報(bào)頭中長度為負(fù)值,。多數(shù)操作系統(tǒng)只檢查數(shù)據(jù)包是否超過最大長度,，并不檢查數(shù)據(jù)包是否太小。當(dāng)數(shù)據(jù)包分組重組完畢,，由于數(shù)據(jù)包長度按符號(hào)整數(shù)處理,，系統(tǒng)將試圖復(fù)制極長的數(shù)據(jù)包，此時(shí)系統(tǒng)可能奔潰或重啟,。

pingof Death:死亡之ping,，向目標(biāo)主機(jī)發(fā)送大的ICMP數(shù)據(jù)包。利用ping命令發(fā)送大的ICMP的數(shù)據(jù)包也可以認(rèn)為是一種Dos攻擊方式,。

Smurf:發(fā)出偽裝的ICMP數(shù)據(jù)包,，目的地址設(shè)為某個(gè)網(wǎng)絡(luò)的廣播地址，源地址設(shè)為要攻擊的目的主機(jī),，所有接收到此ICMP數(shù)據(jù)包的主機(jī)將對(duì)向要攻擊的目的主機(jī)發(fā)出一個(gè)回應(yīng),，這樣被攻擊主機(jī)將在某一段時(shí)間內(nèi)收到成千上萬的數(shù)據(jù)包。

目前在拒絕服務(wù)攻擊的基礎(chǔ)上又產(chǎn)生了分布式拒絕服務(wù)攻擊-DDos,。它是DOS的延伸,，是一種分布，協(xié)作的大規(guī)模攻擊方式,，主要瞄準(zhǔn)比較大的站點(diǎn),。它是從網(wǎng)絡(luò)中很多不同的地方同時(shí)實(shí)施對(duì)實(shí)驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)發(fā)動(dòng)DOS攻擊。這種攻擊會(huì)消耗大量網(wǎng)絡(luò)帶寬并使網(wǎng)絡(luò)因過載而奔潰,。

SYN Flood:這種方法利用TCP協(xié)議缺陷,，發(fā)送大量偽造的TCP連接請(qǐng)求,，似得被攻擊方資源耗盡,，無法及及時(shí)回應(yīng)或處理正常的服務(wù)請(qǐng)求。一個(gè)正常的TCP連接需要三次握手，首先客戶端發(fā)送一個(gè)包含SYN標(biāo)志的數(shù)據(jù)包,，其后服務(wù)器返回一個(gè)SYN/ACK的應(yīng)答包,，表示客戶端的請(qǐng)求被接受，最后客戶端再返回一個(gè)確認(rèn)包ACK,，這樣才完成TCP連接,。在服務(wù)器端發(fā)送應(yīng)答包后，如果客戶端不發(fā)出確認(rèn),，服務(wù)器會(huì)等待到超時(shí),，期間這些半連接狀態(tài)都保存在一個(gè)空間有限的緩存隊(duì)列中。如果大量的SYN包發(fā)送到服務(wù)器端后沒有應(yīng)答,，就會(huì)使服務(wù)器端的TCP資源迅速耗盡,，導(dǎo)致正常的連接不能進(jìn)入，最后服務(wù)器系統(tǒng)奔潰,。