網路攻擊如何踩點

❶ 網路攻擊的一般原理和方法是什麼

下載：http://download.csdn.net/source/274376
常見網路攻擊原理

1.1 TCP SYN拒絕服務攻擊

一般情況下，一個TCP連接的建立需要經過三次握手的過程，即：

1、 建立發起者向目標計算機發送一個TCP SYN報文；

2、 目標計算機收到這個SYN報文後，在內存中創建TCP連接控制塊（TCB），然後向發起者回送一個TCP ACK報文，等待發起者的回應；

3、 發起者收到TCP ACK報文後，再回應一個ACK報文，這樣TCP連接就建立起來了。
利用這個過程，一些惡意的攻擊者可以進行所謂的TCP SYN拒絕服務攻擊：

1、 攻擊者向目標計算機發送一個TCP SYN報文；

2、 目標計算機收到這個報文後，建立TCP連接控制結構（TCB），並回應一個ACK，等待發起者的回應；

3、 而發起者則不向目標計算機回應ACK報文，這樣導致目標計算機一致處於等待狀態。
可以看出，目標計算機如果接收到大量的TCP SYN報文，而沒有收到發起者的第三次ACK回應，會一直等待，處於這樣尷尬狀態的半連接如果很多，則會把目標計算機的資源（TCB控制結構，TCB，一般情況下是有限的）耗盡，而不能響應正常的TCP連接請求。

1.2 ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO後，會回應一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

1.3 UDP洪水

原理與ICMP洪水類似，攻擊者通過發送大量的UDP報文給目標計算機，導致目標計算機忙於處理這些UDP報文而無法繼續處理正常的報文。

1.4 埠掃描

根據TCP協議規范，當一台計算機收到一個TCP連接建立請求報文（TCP SYN）的時候，做這樣的處理：

1、 如果請求的TCP埠是開放的，則回應一個TCP ACK報文，並建立TCP連接控制結構（TCB）；
2、 如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、 如果該報文的目標埠開放，則把該UDP報文送上層協議（UDP）處理，不回應任何報文（上層協議根據處理結果而回應的報文例外）；
2、 如果該報文的目標埠沒有開放，則向發起者回應一個ICMP不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TCP或UDP埠是開放的，過程如下：

1、 發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；
2、 如果收到了針對這個TCP報文的RST報文，或針對這個UDP報文的ICMP不可達報文，則說明這個埠沒有開放；
3、 相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP埠沒有開放）。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

1.5 分片IP報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP分片報文組裝起來。
目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文，這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時），如果攻擊者發送了大量的分片報文，就會消耗掉目標計算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

1.6 SYN比特和FIN比特同時設置

在TCP報文的報頭中，有幾個標志欄位：
1、 SYN：連接建立標志，TCP SYN報文就是把這個標志設置為1，來請求建立連接；
2、 ACK：回應標志，在一個TCP連接中，除了第一個報文（TCP SYN）外，所有報文都設置該欄位，作為對上一個報文的相應；
3、 FIN：結束標志，當一台計算機接收到一個設置了FIN標志的TCP報文後，會拆除這個TCP連接；
4、 RST：復位標志，當IP協議棧接收到一個目標埠不存在的TCP報文的時候，會回應一個RST標志設置的報文；
5、 PSH：通知協議棧盡快把TCP數據提交給上層程序處理。

正常情況下，SYN標志（連接請求標志）和FIN標志（連接拆除標志）是不能同時出現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文，因此，各個操作系統的協議棧在收到這樣的報文後的處理方式也不同，攻擊者就可以利用這個特徵，通過發送SYN和FIN同時設置的報文，來判斷操作系統的類型，然後針對該操作系統，進行進一步的攻擊。

1.7 沒有設置任何標志的TCP報文攻擊

正常情況下，任何TCP報文都會設置SYN，FIN，ACK，RST，PSH五個標志中的至少一個標志，第一個TCP報文（TCP連接請求報文）設置SYN標志，後續報文都設置ACK標志。有的協議棧基於這樣的假設，沒有針對不設置任何標志的TCP報文的處理過程，因此，這樣的協議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標計算機進行攻擊。

1.8 設置了FIN標志卻沒有設置ACK標志的TCP報文攻擊

正常情況下，ACK標志在除了第一個報文（SYN報文）外，所有的報文都設置，包括TCP連接拆除報文（FIN標志設置的報文）。但有的攻擊者卻可能向目標計算機發送設置了FIN標志卻沒有設置ACK標志的TCP報文，這樣可能導致目標計算機崩潰。

1.9 死亡之PING

TCP/IP規范要求IP報文的長度在一定范圍內（比如，0－64K），但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文，導致目標計算機IP協議棧崩潰。

1.10 地址猜測攻擊

跟埠掃描攻擊類似，攻擊者通過發送目標地址變化的大量的ICMP ECHO報文，來判斷目標計算機是否存在。如果收到了對應的ECMP ECHO REPLY報文，則說明目標計算機是存在的，便可以針對該計算機進行下一步的攻擊。

1.11 淚滴攻擊

對於一些大的IP包，需要對其進行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個4500位元組的IP包，在MTU為1500的鏈路上傳輸的時候，就需要分成三個IP包。
在IP報頭中有一個偏移欄位和一個分片標志（MF），如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個IP包中的位置。例如，對一個4500位元組的IP包進行分片（MTU為1500），則三個片斷中偏移欄位的值依次為：0，1500，3000。這樣接收端就可以根據這些信息成功的組裝該IP包。

如果一個攻擊者打破這種正常情況，把偏移欄位設置成不正確的值，即可能出現重合或斷開的情況，就可能導致目標操作系統崩潰。比如，把上述偏移設置為0，1300，3000。這就是所謂的淚滴攻擊。

1.12 帶源路由選項的IP報文

為了實現一些附加功能，IP協議規范在IP報頭中增加了選項欄位，這個欄位可以有選擇的攜帶一些數據，以指明中間設備（路由器）或最終目標計算機對這些IP報文進行額外的處理。

源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導中間設備（路由器）如何轉發該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經過三台路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的介面地址，這樣不論三台路由器上的路由表如何，這個IP報文就會依次經過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸的過程中，其源地址不斷改變，目標地址也不斷改變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的IP地址，而矇混進入網路。

1.13 帶記錄路由選項的IP報文

記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經過一台路由器，該路由器便把自己的介面地址填在選項欄位裡面。這樣這些報文在到達目的地的時候，選項數據裡面便記錄了該報文經過的整個路徑。
通過這樣的報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。

1.14 未知協議欄位的IP報文

在IP報文頭中，有一個協議欄位，這個欄位指明了該IP報文承載了何種協議 ，比如，如果該欄位值為1，則表明該IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前情況下，已經分配的該欄位的值都是小於100的，因此，一個帶大於100的協議欄位的IP報文，可能就是不合法的，這樣的報文可能對一些計算機操作系統的協議棧進行破壞。

1.15 IP地址欺騙

一般情況下，路由器在轉發報文的時候，只根據報文的目的地址查路由表，而不管報文的源地址是什麼，因此，這樣就 可能面臨一種危險：如果一個攻擊者向一台目標計算機發出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達目標計算機後，目標計算機便可能向毫無知覺的第三方計算機回應。這便是所謂的IP地址欺騙攻擊。

比較著名的SQL Server蠕蟲病毒，就是採用了這種原理。該病毒（可以理解為一個攻擊者）向一台運行SQL Server解析服務的伺服器發送一個解析服務的UDP報文，該報文的源地址填寫為另外一台運行SQL Server解析程序（SQL Server 2000以後版本）的伺服器，這樣由於SQL Server 解析服務的一個漏洞，就可能使得該UDP報文在這兩台伺服器之間往復，最終導致伺服器或網路癱瘓。

1.16 WinNuke攻擊

NetBIOS作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享，進程間通信（IPC），以及不同操作系統之間的數據交換。一般情況下，NetBIOS是運行在LLC2鏈路協議之上的，是一種基於組播的網路訪問介面。為了在TCP/IP協議棧上實現NetBIOS，RFC規定了一系列交互標准，以及幾個常用的TCP/UDP埠：

139：NetBIOS會話服務的TCP埠；
137：NetBIOS名字服務的UDP埠；
136：NetBIOS數據報服務的UDP埠。

WINDOWS操作系統的早期版本（WIN95/98/NT）的網路服務（文件共享等）都是建立在NetBIOS之上的，因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文，但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

1.17 Land攻擊

LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發送一個TCP SYN報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文後，就會向該報文的源地址發送一個ACK報文，並建立一個TCP連接控制結構（TCB），而該報文的源地址就是自己，因此，這個ACK報文就發給了自己。這樣如果攻擊者發送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，最終不能正常服務。這也是一種DOS攻擊。

1.18 Script/ActiveX攻擊

Script是一種可執行的腳本，它一般由一些腳本語言寫成，比如常見的JAVA SCRIPT，VB SCRIPT等。這些腳本在執行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機指令後，在本地計算機上運行。這種腳本的好處是，可以通過少量的程序寫作，而完成大量的功能。

這種SCRIPT的一個重要應用就是嵌入在WEB頁面裡面，執行一些靜態WEB頁面標記語言（HTML）無法完成的功能，比如本地計算，資料庫查詢和修改，以及系統信息的提取等。這些腳本在帶來方便和強大功能的同時，也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統有破壞的SCRIPT，然後嵌入在WEB頁面中，一旦這些頁面被下載到本地，計算機便以當前用戶的許可權執行這些腳本，這樣，當前用戶所具有的任何許可權，SCRIPT都可以使用，可以想像這些惡意的SCRIPT的破壞程度有多強。這就是所謂的SCRIPT攻擊。

ActiveX是一種控制項對象，它是建立在MICROSOFT的組件對象模型（COM）之上的，而COM則幾乎是Windows操作系統的基礎結構。可以簡單的理解，這些控制項對象是由方法和屬性構成的，方法即一些操作，而屬性則是一些特定的數據。這種控制項對象可以被應用程序載入，然後訪問其中的方法或屬性，以完成一些特定的功能。可以說，COM提供了一種二進制的兼容模型（所謂二進制兼容，指的是程序模塊與調用的編譯環境，甚至操作系統沒有關系）。但需要注意的是，這種對象控制項不能自己執行，因為它沒有自己的進程空間，而只能由其它進程載入，並調用其中的方法和屬性，這時候，這些控制項便在載入進程的進程空間運行，類似與操作系統的可載入模塊，比如DLL庫。

ActiveX控制項可以嵌入在WEB頁面裡面，當瀏覽器下載這些頁面到本地後，相應地也下載了嵌入在其中的ActiveX控制項，這樣這些控制項便可以在本地瀏覽器進程空間中運行（ActiveX空間沒有自己的進程空間，只能由其它進程載入並調用），因此，當前用戶的許可權有多大，ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的ActiveX控制項，然後嵌入在WEB頁面中，被一個瀏覽用戶下載後執行，其破壞作用是非常大的。這便是所謂的ActiveX攻擊。

1.19 Smurf攻擊

ICMP ECHO請求包用來對網路進行診斷，當一台計算機接收到這樣一個報文後，會向報文的源地址回應一個ICMP ECHO REPLY。一般情況下，計算機是不檢查該ECHO請求的源地址的，因此，如果一個惡意的攻擊者把ECHO的源地址設置為一個廣播地址，這樣計算機在恢復REPLY的時候，就會以廣播地址為目的地址，這樣本地網路上所有的計算機都必須處理這些廣播報文。如果攻擊者發送的ECHO 請求報文足夠多，產生的REPLY廣播報文就可能把整個網路淹沒。這就是所謂的smurf攻擊。

除了把ECHO報文的源地址設置為廣播地址外，攻擊者還可能把源地址設置為一個子網廣播地址，這樣，該子網所在的計算機就可能受影響。

1.20 虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的，比如，5個或10個等。這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接，這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

1.21 路由協議攻擊

網路設備之間為了交換路由信息，常常運行一些動態的路由協議，這些路由協議可以完成諸如路由表的建立，路由信息的分發等功能。常見的路由協議有RIP，OSPF，IS-IS，BGP等。這些路由協議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由協議的這些許可權，對網路進行攻擊，可能造成網路設備路由表紊亂（這足可以導致網路中斷），網路設備資源大量消耗，甚至導致網路設備癱瘓。

下面列舉一些常見路由協議的攻擊方式及原理：

1.21.1 針對RIP協議的攻擊

RIP，即路由信息協議，是通過周期性（一般情況下為30S）的路由更新報文來維護路由表的，一台運行RIP路由協議的路由器，如果從一個介面上接收到了一個路由更新報文，它就會分析其中包含的路由信息，並與自己的路由表作出比較，如果該路由器認為這些路由信息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中。

這樣如果一個攻擊者向一台運行RIP協議的路由器發送了人為構造的帶破壞性的路由更新報文，就很容易的把路由器的路由表搞紊亂，從而導致網路中斷。

如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證，則可從很大程度上避免這種攻擊。

1.21.2 針對OSPF路由協議的攻擊

OSPF，即開放最短路徑優先，是一種應用廣泛的鏈路狀態路由協議。該路由協議基於鏈路狀態演算法，具有收斂速度快，平穩，杜絕環路等優點，十分適合大型的計算機網路使用。OSPF路由協議通過建立鄰接關系，來交換路由器的本地鏈路信息，然後形成一個整網的鏈路狀態資料庫，針對該資料庫，路由器就可以很容易的計算出路由表。

可以看出，如果一個攻擊者冒充一台合法路由器與網路中的一台路由器建立鄰接關系，並向攻擊路由器輸入大量的鏈路狀態廣播（LSA，組成鏈路狀態資料庫的數據單元），就會引導路由器形成錯誤的網路拓撲結構，從而導致整個網路的路由表紊亂，導致整個網路癱瘓。

當前版本的WINDOWS 操作系統（WIN 2K/XP等）都實現了OSPF路由協議功能，因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。

跟RIP類似，如果OSPF啟用了報文驗證功能（HMAC驗證），則可以從很大程度上避免這種攻擊。

1.21.3 針對IS-IS路由協議的攻擊

IS-IS路由協議，即中間系統到中間系統，是ISO提出來對ISO的CLNS網路服務進行路由的一種協議，這種協議也是基於鏈路狀態的，原理與OSPF類似。IS-IS路由協議經過 擴展，可以運行在IP網路中，對IP報文進行選路。這種路由協議也是通過建立鄰居關系，收集路由器本地鏈路狀態的手段來完成鏈路狀態資料庫同步的。該協議的鄰居關系建立比OSPF簡單，而且也省略了OSPF特有的一些特性，使該協議簡單明了，伸縮性更強。

對該協議的攻擊與OSPF類似，通過一種模擬軟體與運行該協議的路由器建立鄰居關系，然後傳頌給攻擊路由器大量的鏈路狀態數據單元（LSP），可以導致整個網路路由器的鏈路狀態資料庫不一致（因為整個網路中所有路由器的鏈路狀態資料庫都需要同步到相同的狀態），從而導致路由表與實際情況不符，致使網路中斷。

與OSPF類似，如果運行該路由協議的路由器啟用了IS-IS協議單元（PDU）HMAC驗證功能，則可以從很大程度上避免這種攻擊。

1.22 針對設備轉發表的攻擊

為了合理有限的轉發數據，網路設備上一般都建立一些寄存器表項，比如MAC地址表，ARP表，路由表，快速轉發表，以及一些基於更多報文頭欄位的表格，比如多層交換表，流項目表等。這些表結構都存儲在設備本地的內存中，或者晶元的片上內存中，數量有限。如果一個攻擊者通過發送合適的數據報，促使設備建立大量的此類表格，就會使設備的存儲結構消耗盡，從而不能正常的轉發數據或崩潰。

下面針對幾種常見的表項，介紹其攻擊原理：

1.22.1 針對MAC地址表的攻擊

MAC地址表一般存在於乙太網交換機上，乙太網通過分析接收到的數據幀的目的MAC地址，來查本地的MAC地址表，然後作出合適的轉發決定。

這些MAC地址表一般是通過學習獲取的，交換機在接收到一個數據幀後，有一個學習的過程，該過程是這樣的：

a) 提取數據幀的源MAC地址和接收到該數據幀的埠號；
查MAC地址表，看該MAC地址是否存在，以及對應的埠是否符合；
c) 如果該MAC地址在本地MAC地址表中不存在，則創建一個MAC地址表項；
d) 如果存在，但對應的出埠跟接收到該數據幀的埠不符，則更新該表；
e) 如果存在，且埠符合，則進行下一步處理。

分析這個過程可以看出，如果一個攻擊者向一台交換機發送大量源MAC地址不同的數據幀，則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出，則交換機就不能繼續學習正確的MAC表項，結果是可能產生大量的網路冗餘數據，甚至可能使交換機崩潰。

而構造一些源MAC地址不同的數據幀，是非常容易的事情。

1.22.2 針對ARP表的攻擊

ARP表是IP地址和MAC地址的映射關系表，任何實現了IP協議棧的設備，一般情況下都通過該表維護IP地址和MAC地址的對應關系，這是為了避免ARP解析而造成的廣播數據報文對網路造成沖擊。ARP表的建立一般情況下是通過二個途徑：

1、 主動解析，如果一台計算機想與另外一台不知道MAC地址的計算機通信，則該計算機主動發ARP請求，通過ARP協議建立（前提是這兩台計算機位於同一個IP子網上）；

2、 被動請求，如果一台計算機接收到了一台計算機的ARP請求，則首先在本地建立請求計算機的IP地址和MAC地址的對應表。

因此，如果一個攻擊者通過變換不同的IP地址和MAC地址，向同一台設備，比如三層交換機發送大量的ARP請求，則被攻擊設備可能會因為ARP緩存溢出而崩潰。

針對ARP表項，還有一個可能的攻擊就是誤導計算機建立正確的ARP表。根據ARP協議，如果一台計算機接收到了一個ARP請求報文，在滿足下列兩個條件的情況下，該計算機會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存：

1、 如果發起該ARP請求的IP地址在自己本地的ARP緩存中；
2、 請求的目標IP地址不是自己的。

可以舉一個例子說明這個過程，假設有三台計算機A，B，C，其中B已經正確建立了A和C計算機的ARP表項。假設A是攻擊者，此時，A發出一個ARP請求報文，該請求報文這樣構造：

1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；
2、 請求的目標IP地址是A的IP地址。

這樣計算機B在收到這個ARP請求報文後（ARP請求是廣播報文，網路上所有設備都能收到），發現B的ARP表項已經在自己的緩存中，但MAC地址與收到的請求的源MAC地址不符，於是根據ARP協議，使用ARP請求的源MAC地址（即A的MAC地址）更新自己的ARP表。

這樣B的ARP混存中就存在這樣的錯誤ARP表項：C的IP地址跟A的MAC地址對應。這樣的結果是，B發給C的數據都被計算機A接收到。

1.22.3 針對流項目表的攻擊

有的網路設備為了加快轉發效率，建立了所謂的流緩存。所謂流，可以理解為一台計算機的一個進程到另外一台計算機的一個進程之間的數據流。如果表現在TCP/IP協議上，則是由（源IP地址，目的IP地址，協議號，源埠號，目的埠號）五元組共同確定的所有數據報文。

一個流緩存表一般由該五元組為索引，每當設備接收到一個IP報文後，會首先分析IP報頭，把對應的五元組數據提取出來，進行一個HASH運算，然後根據運算結果查詢流緩存，如果查找成功，則根據查找的結果進行處理，如果查找失敗，則新建一個流緩存項，查路由表，根據路由表查詢結果填完整這個流緩存，然後對數據報文進行轉發（具體轉發是在流項目創建前還是創建後並不重要）。

可以看出，如果一個攻擊者發出大量的源IP地址或者目的IP地址變化的數據報文，就可能導致設備創建大量的流項目，因為不同的源IP地址和不同的目標IP地址對應不同的流。這樣可能導致流緩存溢出

❷ 計算機網路安全知識

❸ 網路攻擊一般分為哪幾個步驟

探測，攻擊，隱藏。

網路攻擊存在攻擊門檻低、攻擊對象的范圍大、組織性高且專業性強等特點，並且擁有多種攻擊手段，如DDoS攻擊、網路監聽、惡意程序、木馬植入等。因此網路環境存在大量潛在威脅，了解網路攻擊可以採取有效的應對措施進行防護。

網路攻擊措施

網路分段 一個網路段包括一組共享低層設備和線路的機器，如交換機，動態集線器和網橋等設備，可以對數據流進行限制，從而達到防止嗅探的目的。

加密：一方面可以對數據流中的部分重要信息進行加密，另一方面也可只對應用層加密，然而後者將使大部分與網路和操作系統有關的敏感信息失去保護。選擇何種加密方式這就取決於信息的安全級別及網路的安全程度。

以上內容參考網路-網路攻擊、人民網-中國遭受的網路攻擊主要來自美國

❹ 常見的網路攻擊方法和防禦技術

網路攻擊類型

偵查攻擊：

搜集網路存在的弱點，以進一步攻擊網路。分為掃描攻擊和網路監聽。

掃描攻擊：埠掃描，主機掃描，漏洞掃描。

網路監聽：主要指只通過軟體將使用者計算機網卡的模式置為混雜模式，從而查看通過此網路的重要明文信息。

埠掃描：

根據 TCP 協議規范，當一台計算機收到一個TCP 連接建立請求報文（TCP SYN） 的時候，做這樣的處理：

1、如果請求的TCP埠是開放的，則回應一個TCP ACK 報文， 並建立TCP連接控制結構（TCB）；

2、如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、如果該報文的目標埠開放，則把該UDP 報文送上層協議（UDP ） 處理， 不回應任何報文（上層協議根據處理結果而回應的報文例外）；

2、如果該報文的目標埠沒有開放，則向發起者回應一個ICMP 不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TC 或UDP埠是開放的。

過程如下：

1、發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；

2、如果收到了針對這個TCP 報文的RST 報文，或針對這個UDP 報文 的 ICMP 不可達報文，則說明這個埠沒有開放；

3、相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP 埠沒有開放） 。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

主機掃描即利用ICMP原理搜索網路上存活的主機。

網路踩點（Footprinting）

攻擊者事先匯集目標的信息，通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網路拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

掃描攻擊

掃描攻擊包括地址掃描和埠掃描等，通常採用ping命令和各種埠掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些埠，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

協議指紋

黑客對目標主機發出探測包，由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別（也就是說各個廠家在編寫自己的TCP/IP 協議棧時，通常對特定的RFC指南做出不同的解釋），因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。

常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。

信息流監視

這是一個在共享型區域網環境中最常採用的方法。

由於在共享介質的網路上數據包會經過每個網路節點， 網卡在一般情況下只會接受發往本機地址或本機所在廣播（或多播）地址的數據包，但如果將網卡設置為混雜模式（Promiscuous），網卡就會接受所有經過的數據包。

基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟體，也可以是硬體）就可以對網路的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

訪問攻擊

密碼攻擊：密碼暴力猜測，特洛伊木馬程序，數據包嗅探等方式。中間人攻擊：截獲數據，竊聽數據內容，引入新的信息到會話，會話劫持（session hijacking）利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

拒絕服務攻擊

偽裝大量合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務響應。

要避免系統遭受DoS 攻擊，從前兩點來看，網路管理員要積極謹慎地維護整個系統，確保無安全隱患和漏洞；

而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊，同時強烈建議網路管理員定期查看安全設備的日誌，及時發現對系統存在安全威脅的行為。

常見拒絕服務攻擊行為特徵與防禦方法

拒絕服務攻擊是最常見的一類網路攻擊類型。

在這一攻擊原理下，它又派生了許多種不同的攻擊方式。

正確了解這些不同的拒絕攻擊方式，就可以為正確、系統地為自己所在企業部署完善的安全防護系統。

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。

要有效的進行反攻擊，首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。


下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析，並提出相應的對策。

死亡之Ping（ Ping of death）攻擊

由於在早期的階段，路由器對包的最大大小是有限制的，許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。

在對ICMP數據包的標題頭進行讀取之後，是根據該標題頭里包含的信息來為有效載荷生成緩沖區。

當大小超過64KB的ICMP包，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。

這就是這種「死亡之Ping」攻擊的原理所在。

根據這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包，就可使目標計算機的TCP/IP堆棧崩潰，致使接受方宕機。

防禦方法：

現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力，並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析，自動過濾這些攻擊。

Windows 98 、Windows NT 4.0（SP3之後）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。

此外，對防火牆進行配置，阻斷ICMP 以及任何未知協議數據包，都可以防止此類攻擊發生。

淚滴（ teardrop）攻擊

對於一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。

比如，一個6000 位元組的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成三個IP包。

在IP 報頭中有一個偏移欄位和一個拆分標志（MF）。

如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個 IP包中的位置。

例如，對一個6000位元組的IP包進行拆分（MTU為2000），則三個片斷中偏移欄位的值依次為：0，2000，4000。

這樣接收端在全部接收完IP數據包後，就可以根據這些信息重新組裝沒正確的值，這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包，但接收端會不斷償試，這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。

淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。

IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰，不過新的操作系統已基本上能自己抵禦這種攻擊了。

防禦方法：

盡可能採用最新的操作系統，或者在防火牆上設置分段重組功能，由防火牆先接收到同一原包中的所有拆分數據包，然後完成重組工作，而不是直接轉發。

因為防火牆上可以設置當出現重疊欄位時所採取的規則。

TCP SYN 洪水（TCP SYN Flood）攻擊

TCP/IP棧只能等待有限數量ACK（應答）消息，因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。

如果這一緩沖區充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區里的連接超時。

TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。

攻擊者利用偽造的IP地址向目標發出多個連接（SYN）請求。

目標系統在接收到請求後發送確認信息，並等待回答。

由於黑客們發送請示的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。

而在沒有接收到應答之前，目標計算機系統是不會主動放棄的，繼續會在緩沖區中保持相應連接信息，一直等待。

當達到一定數量的等待連接後，緩區部內存資源耗盡，從而開始拒絕接收任何其他連接請求，當然也包括本來屬於正常應用的請求，這就是黑客們的最終目的。

防禦方法：

在防火牆上過濾來自同一主機的後續連接。

不過「SYN洪水攻擊」還是非常令人擔憂的，由於此類攻擊並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。

Land 攻擊

這類攻擊中的數據包源地址和目標地址是相同的，當操作系統接收到這類數據包時，不知道該如何處理，或者循環發送和接收該數據包，以此來消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。

防禦方法：

這類攻擊的檢測方法相對來說比較容易，因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。

反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。

並對這種攻擊進行審計，記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址，從而可以有效地分析並跟蹤攻擊者的來源。

Smurf 攻擊

這是一種由有趣的卡通人物而得名的拒絕服務攻擊。

Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。

攻擊者偽造一個合法的IP地址，然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。

由於這些數據包表面上看是來自已知地址的合法請求，因此網路中的所有系統向這個地址做出回答，最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，這也就達到了黑客們追求的目的了。

這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級，更容易攻擊成功。

還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再採用偽裝的IP地址），最終導致第三方雪崩。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性，並在防火牆上設置規則，丟棄掉ICMP協議類型數據包。

Fraggle 攻擊

Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改，使用的是UDP協議應答消息，而不再是ICMP協議了（因為黑客們清楚 UDP 協議更加不易被用戶全部禁止）。

同時Fraggle攻擊使用了特定的埠（通常為7號埠，但也有許多使用其他埠實施 Fraggle 攻擊的），攻擊與Smurf 攻擊基本類似，不再贅述。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文，或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。

電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的，此類攻擊能夠耗盡郵件接受者網路的帶寬資源。

防禦方法：

對郵件地址進行過濾規則配置，自動刪除來自同一主機的過量或重復的消息。

虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。

這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的。比如，5個或10個等。

這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。

這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO 後，會回應一個ICMP ECHO Reply 報文。

而這個過程是需要CPU 處理的，有的情況下還可能消耗掉大量的資源。

比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO 報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

WinNuke 攻擊

NetBIOS 作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享， 進程間通信（ IPC），以及不同操作系統之間的數據交換。

一般情況下，NetBIOS 是運行在 LLC2 鏈路協議之上的，是一種基於組播的網路訪問介面。

為了在TCP/IP協議棧上實現NetBIOS ，RFC規定了一系列交互標准，以及幾個常用的 TCP/UDP 埠：

139：NetBIOS 會話服務的TCP 埠；

137：NetBIOS 名字服務的UDP 埠；

136：NetBIOS 數據報服務的UDP 埠。

WINDOWS操作系統的早期版本（WIN95/98/NT ）的網路服務（文件共享等）都是建立在NetBIOS之上的。

因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003 等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文。

但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

分片 IP 報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP 分片報文組裝起來。

目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文。

這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。

如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時）。

如果攻擊者發送了大量的分片報文，就會消耗掉目標計 算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

T
分段攻擊。利用了重裝配錯誤，通過將各個分段重疊來使目標系統崩潰或掛起。

歡迎關注的我的頭條號，私信交流，學習更多的網路技術！

❺ 常見的網路攻擊應如何應對

網路攻擊是不可避免的。我們應該加強自身的網路防範安全意識，從自身杜絕不安全的來源，盡量不隨意去點擊和下載不安全的網頁鏈接。

❻ 如何預防與應對網路攻擊

如果是在Linux 系統下，可以通過設置 iptables 防火牆規則預防網路攻擊、以及通過定期更新Linux系統補丁來盡量預防各種漏洞。

❼ 什麼是網路攻擊遭到網路攻擊如何解決

隨著智能手機的興起，越來越多的人開始接入互聯網，同時，以此為基礎的灰產也在蒸蒸日上。雖然幾乎全社會都浸淫在移動互聯網中，但技術對他們來說是透明的。對於可用性上來說，這是極好的，能夠使得老幼婦孺都能享受到這種便利，但另一方面，由於對技術的不了解，就彷彿隨時有無形的殺手潛伏在周圍，毫無還手之力。

僅關於「點擊鏈接」，就有各種詐騙相關的新聞，不勝枚舉。其中最聳人聽聞的是：由於點擊了釣魚鏈接，導致銀行賬戶直接被洗劫一空。在這個新聞首次被報道時，我媽噤若寒蟬，這些在她眼中似乎都是魔法。那時的我就十分好奇，騙子真有如此神通嗎?畢竟人人都得遵循基本的物理呀。

如何解決

第一種方式，既然沒有驗證請求的發起伺服器，那麼我們能不能在通信協議中規定一個屬性，即請求者的來源?答案是肯定的，在HTTP header中，有一個Refer屬性，即記錄了請求者的地址，伺服器後端只要驗證這個Refer屬性的值是否在白名單中即可。

這種方式簡單方便，而且它可以與已有的系統解耦，不需要改動其他模塊。我以為這樣就可以了，但是現實世界往往是復雜的，還有很多其他的因素需要考量。

Refer方式不被常用的原因在於：「Referer 值會記錄下用戶的訪問來源，有些用戶認為這樣會侵犯到他們自己的隱私權，特別是有些組織擔心 Referer 值會把組織內網中的某些信息泄露到外網中。因此，用戶自己可以設置瀏覽器使其在發送請求時不再提供 Referer。當他們正常訪問銀行網站時，網站會因為請求沒有 Referer 值而認為是 CSRF 攻擊，拒絕合法用戶的訪問。」而且，現在Refer值好像也可以篡改了。

第二種方式，從上面的流程可以得知，攻擊者無法拿到用戶的Cookie，也無法拿到伺服器返回的數據(同源策略)，他能做的只是偽造用戶請求。而上文原因之二在於，服務端難以確定表單是用戶主動提交，還是在不自知的時候被動提交的。那麼，我們可以在請求中加入攻擊者難以偽造的元素。

銳速雲你身邊的網路安全專家

❽ 求網路攻擊技術和防護技術的發展歷史

如今安全漏洞越來越快，覆蓋面越來越廣

新發現的安全漏洞每年都要增加一倍之多，管理人員要不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的許多新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

攻擊工具越來越復雜

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有以下特點:

◆ 反偵破和動態行為

攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

◆ 攻擊工具的成熟性

與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。

攻擊自動化程度和攻擊速度提高，殺傷力逐步提高

掃描可能的受害者、損害脆弱的系統。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。以前，安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。

由於攻擊技術的進步，一個攻擊者可以比較容易地利用分布式系統，對一個受害者連續發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。

越來越高的防火牆滲透率

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，Internet列印協議和WebDAV(基於Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火牆。

對基礎設施將形成越來越大的威脅

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。

基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜數據機、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。

我們可以從攻擊者的角度出發，將攻擊的步驟可分為探測(Probe)、攻擊(Exploit)和隱藏(Conceal)。同時，攻擊技術據此可分為探測技術、攻擊技術和隱藏技術三大類，並在每類中對各種不同的攻擊技術進行細分。

探測技術和攻擊測試平台的發展

探測是黑客在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能詳細的了解攻擊目標安全相關的方方面面信息，以便能夠集中火力進行攻擊。

探測又可以分為三個基本步驟:踩點、掃描和查點。

如果將伺服器比作一個大樓，主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭，在大樓發生盜竊事件之後，對攝像頭中的影像進行分析，進而為報案和「亡羊補牢」做准備。

第一步:踩點。是指攻擊者結合各種工具和技巧，以正常合法的途徑對攻擊目標進行窺探，對其安全情況建立完整的剖析圖。

在這個步驟中，主要收集的信息包括:各種聯系信息，包括名字、郵件地址和電話號碼、傳真號;IP地址范圍;DNS伺服器;郵件伺服器。

對於一般用戶來說，如果能夠利用互聯網中提供的大量信息來源，就能逐漸縮小范圍，從而鎖定所需了解的目標。

幾種實用的流行方式有:通過網頁搜尋和鏈接搜索、利用互聯網域名注冊機構進行Whois查詢、利用Traceroute獲取網路拓撲結構信息等。

❾ 怎樣進行網路攻擊

第一步：隱藏自已的位置 普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP，然後再盜用他人的帳號上網。 第二步：尋找目標主機並分析目標主機 攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便於記憶主機的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標主機。當然，知道了要攻擊目標的位置還是遠遠不夠的，還必須將主機的操作系統類型及其所提供服務等資料作個全面的了解。此時，攻擊者們會使用一些掃描器工具，輕松獲取目標主機運行的是哪種操作系統的哪個版本，系統有哪些帳戶，WWW、FTP、Telnet 、SMTP等伺服器程序是何種版本等資料，為入侵作好充分的准備。 第三步：獲取帳號和密碼，登錄主機 攻擊者要想入侵一台主機，首先要有該主機的一個帳號和密碼，否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件，進行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時機以此身份進入主機。當然，利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。 第四步：獲得控制權 攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後，就會做兩件事：清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序，以便日後可以不被覺察地再次進入系統。大多數後門程序是預先編譯好的，只需要想辦法修改時間和許可權就可以使用了，甚至新文件的大小都和原文件一模一樣。攻擊者一般會使用rep傳遞這些文件，以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後，攻擊者就開始下一步的行動。 第五步：竊取網路資源和特權 攻擊者找到攻擊目標後，會繼續下一步的攻擊。如：下載敏感信息；實施竊取帳號密碼、信用卡號等經濟偷竊；使網路癱瘓。而好的黑客會通知管理員修補相關漏洞

❿ 網站有過被惡意攻擊的情況，有什麼方法可以防護

1.入侵防護原理

hei客入侵伺服器有三條途徑：系統、軟體、網站
針對每一條途徑，我們都做好完善的防護措施，讓黑客無從得手
1 系統漏洞

首先更新系統補丁，修復已經存在的系統漏洞；
然後再禁用危險服務、刪除危險組件、關閉危險埠，全面排除暴露的系統危險。
2 軟體漏洞

常用的SQL Server、MySQL、Apache、Nginx、Tomcat、Serv-u等等軟體，都存在漏洞，hei客通過這些軟體可以輕松入侵伺服器。 對軟體做降權處理，防止hei客通過這些軟體提權；然後再限制軟體的訪問軌跡，禁止訪問安裝目錄以外的任何路徑，防止非法獲取數據。軟體漏洞防護 網站漏洞防護
3 網站漏洞
一般是通過上傳木馬和SQL注入兩種方式入侵網站。
我們首先部署強大的木馬查殺引擎，自動查殺hei客上傳的網頁木馬，讓木馬無處遁形。然後再安裝SQL注入保護模塊，實時攔截hei客的SQL注入行為。同時還會部署"賬戶提權防護"、"網站提權攔截"、"遠程桌面保護"、"網頁篡改保護"等多項安全模塊，多重防護確保伺服器安全。神卓伺服器安全衛士，有效防止上傳病毒、木馬，提權防護、還有一點，就算把主機防護好了真的就高枕無憂了嗎！其實是錯誤的，既然主機入侵不成功、那麼他們就會以另一種入侵的方式，進行破壞！其後果非常嚴重，這種方式就是網路攻擊
2.DDOS、cc攻擊、防禦原理
在現在的法律慢慢健全的情況下，現在黑客入侵將逐漸下降態勢，但是他們選擇另一種途徑，對目標伺服器，進行干擾，以非法的手段打亂目標伺服器運行狀態，謀取暴利，擾亂伺服器有哪些方法，和手段呢！總結有以下幾點：

1.對目標伺服器，進行資源惡意佔用，造成目標伺服器CPU、內存。磁碟大量負載，後果是造成伺服器宕機。
2.對目標伺服器，流量帶寬進行惡意的侵佔，大家都知道，寬頻的流量情況，一旦造成，網路堵塞，後果是給真實的用戶帶來了，不好體驗，網路卡頓，延遲。
以上這些手段，目前是無法根除的，因為有些手段是合法的，當然了，有些是不合法的，像這樣的情況，神卓雲盾對其網路層進行24小時不間斷的，監控，一旦發現有惡意流量，及時進行清洗，把攻擊流量，以及偽攻擊的流量、進行分流清洗，減少伺服器、帶寬、負載、黑客一般入侵前都會進行一個精心設計一套方案！不管多麼厲害的黑客都要首先對目標伺服器進行踩點，什麼是踩點呢！就是對目標伺服器進行全方位的檢查，看看有存在哪些漏洞，可以用來入侵和攻擊的，神卓雲盾有效的對其非法檢查，進行清洗，一旦無法對目標伺服器掃描檢查，就無法得知，目標伺服器，有哪些漏洞存在，也不知道目標伺服器，運行什麼服務，大大的減輕入侵的風險，綜合以上情況，建議；伺服器入侵防護+網路層防禦