网络攻击的主要方式

http://city.6to23.com/html/34/2005/10/1484_1.htm

来自这里的这篇文章，最近研究这个，要弄清一些问题。

网络攻击的方式要分为四类：

　　第一类是服务拒绝攻击，包括死亡之ping(ping of death)、泪滴(teardrop)、UDP洪水(UDP flood)、SYN洪水（SYN flood）、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。

　　第二类是利用型攻击，包括口令猜测、特洛伊木马、缓冲区溢出。

　　第三类是信息收集型攻击，包括地址扫描、端口扫描、反响映射、慢速扫描、体系结构探测、DNS域转换、Finger服务、LDAP服务等。

　　第四类是假消息攻击，主要包括：DNS高速缓存污染、伪造电子邮件。

　　常见的网络攻击方式：

　　一、 拒绝服务攻击（Denial of Service）

　　二、 缓冲区溢出攻击

　　1. 缓冲区溢出工作原理

　　缓冲区是内存中存放数据的地方，在程序试图将数据放到机器内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。而人为地造成溢出则是有一定企图的，攻击者写一个超过缓冲区的字符串，然后植入到缓冲区，再向一个有限空间的缓冲区中植入超长的字符串。这时可能出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统特级权限。

　　2. 缓冲区溢出漏洞攻击方式

　　（1）在程序的地址空间里安排适当的代码。

　　（2）将控制程序转移到攻击代码的形式。

　　（3）植入综合代码的流程控制。

　　3. 缓冲区溢出的防范

　　目前缓冲区溢出漏洞的保护方法有：

　　（1）正确的编写代码。编写时重复地检查代码的漏洞可以使程序更加完美和安全。

　　（2）非执行的缓冲区。

　　（3）检查数组边界。只要保证数组不溢出，那么缓冲区溢出攻击也就只能望梅止渴了。检查数组可以利用一些优化技术来进行。

　　（4）程序指针完整性检查。程序指针完整性检查在程序指针被引用之前检测到它的改变，这个时候即使有人改变了程序的指针，也会因为系统早先已经检测到了指针的改变而不会造成对指针的非法利用。

　　三、 网络监听攻击

　　1. 网络监听

　　在网络中，当信息进行传播的时候，可以利用工具将网络接口设置有监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一人位置都可进行。黑客一般都是利用网络监听来截取用户口令。

　　2. 对网络监听的防范措施

　　使用反监听工具如antisniffer等进行检测。

　　从逻辑或物理上对网络分段，将非法用户与敏感的网络资源想互隔离，从而防止可能的非法监听。例如：使用交换机，划分VLAN。

　　使用加密技术。数据经过加密后，通过监听仍然可以得到传送的消息，但显示的是乱码。

　　四、 IP欺骗攻击

　　这种攻击方式主要应用于用IP协议传送的报文中。IP欺骗就是伪造他人的源IP地址。IP欺骗技术只能实现对某些特定的、运行TCP/IP协议的计算机进行攻击。

　　五、 端口扫描

　　1. 一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从面发现系统的安全漏洞。

　　扫描大致可分为端口扫描、系统信息扫描、漏洞扫描几种。

　　2. 端口扫描的防范

　　（1）关闭闲置和有潜在危险的端口。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关掉，其对应的端口也会被关闭。NT也可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统一些网络通信需要的端口即可。

　　（2）通过防火墙或其他安全系统检查各端口，有端口扫描的症状时，立即屏蔽该端口。

　　六、 口令攻击

　　1. 口令攻击一般有三种方法

　　一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大。

　　二是知道用户账号后利用一些专门软件强行破解用户口令。

　　三是在获得一个服务器上的用户口令（Shadow）文件后，用暴力破解程序用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大。

　　强行破解口令的方法是采用逐个试口令直到成功为止，一般把这种方法叫做“字典攻击”。所谓“字典攻击”就是黑客用专门的破解软件对系统的用户名和口令进行猜测性的攻击。一般的弱口令可以很快地被破解。

　　2. 防范口令的攻击

　　防范口令攻击最根本的方法是用户做好保护口令的工作，如口令要没有规律并定期更换，字母数字符号综合使用长度不小于6位，采用加密的方式保存和传输口令，登录失败时要查清原因并记录等。

　　2004年11月17日消息称，微软公司董事长比尔-盖茨日前表示，不久以后，当前计算机用户所普遍使用的密码将不复存在。取而代之的是一些生物验证和智能卡等新型验证方式。 

　　七、 计算机病毒

　　企业局域网接入Internet，内部的文件很容易受到病毒的感染，这些带毒的文件被执行后，整个的网络很快也会受到株连，从而导致数据丢失，甚至造成网络瘫痪。

　　病毒的防范措施

　　1. 及时为操作系统打上补丁、关闭不常用的服务、对系统进行必要的设置。

　　2. 安装杀毒软件。企业内部最好选择网络杀毒软件，定期更新病毒代码及相关文件，启动实时监控。

　　3. 安装功能强的防火墙。对恶意网站、电子邮件、网页等实施过滤。

　　4. 定期游览网上安全公告。登录知名安全网站，了解安全动态，及时做好预防措施。

　　近年来造成重大破坏的病毒

　　八、 特洛伊木马

　　特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”程序隐藏在某个软件里，使用该软件的人无意识地中圈套，致使计算机成为被攻击、被控制的对象。现在这种木马程序越来越并入“病毒”的概念，大部分杀毒软件具有检查和清除“木马”的功能。

　　由于木马是客户端服务器程序，所以黑客一般是利用别的途径如邮件、共享将木马安放到被攻击的计算机中。木马的服务器程序文件一般位置是在c:windows和c:windowssystem中，因为Windows的一些系统文件在这两个位置，误删了文件系统可能崩溃。

　　典型的木马程序有BO，NetXray，流光等。

　　木马的防范措施：

　　（1）不要轻意打开来路不明的邮件之附件

　　（2）网上下载文件要小心，尽可能到正规的网站下载。

　　（3）安装杀毒软件，定时更新毒库，启动实时监控。

　　（4）查看启动程序，是否有一些不明程序在开机时自动启动。

　　九、 电子邮件攻击

　　1.电子邮件攻击指通过发送电子邮件进行的网络攻击。有两种形式：

　　一是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子 邮件服务器操作系统带来危险，甚至瘫痪。

　　二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定符串）或在貌似正常的附件中加载病毒或其他木马程序。

　　2. 电子邮件攻击的防范措施

　　一是在邮件服务器设置用户邮箱限额管理。

　　二是多个电子邮件地址合理使用，可以在公开场合使用一个公开邮箱，在私人场合使用一个秘密邮箱（只让亲朋好友同事等少数人知道）。

　　十、 网页攻击

　　网页攻击指一些恶意网页利用软件或系统操作平台等的安全等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、Javaｓｃｒｉｐｔ脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序目的。

　　常见的网页攻击现象有IE标题栏被修改、IE默认首页被修改并且锁定设置项、IE右键菜单被修改或禁用、系统启动直接开启IE并打开莫名其妙的网页、将网址添加到桌面和开始菜单，删除后开机又恢复、禁止使用注册表编辑器、在系统时间前面加上网页广告、更改“我的电脑”下的系统文件夹名称、禁止“关闭系统”、禁止“运行”，禁止DOS、隐藏C盘令C盘从系统中“消失”等。

　　防范网页攻击：安装上网助手、防火墙、杀毒软件，并启动实时监控功能。