遇到黑客攻击遭遇勒索保护费怎么办？黑客最常见的攻击手段

经常会有遇到一些客户过来咨询自己遭到了网络进犯，对方勒索钱财，要是不给就会一直继续进犯下去，许多客户遇到这种状况，找到了小蚁云安全问询这种状况有什么方法处理。

首先遇到这种事情，报警有没有用呢？不说报警有没有用反正这个是不能退让的，不能滋长违法行为，根据以往的经验，只需退让一次，对方就会愈加的肆无忌惮，就会有下次，下下次，索要的金额也会只会越来越高。即使退让交付了金钱，也无法确保对方会遵守信用，并且无法避免后续是否会遭遇别的的进犯。因而，给客户分析了状况利害后，客户果断挑选接入了德迅云安全的防护，通过专业的高防设备，小蚁云安全成功为客户防御了勒索者的进犯，让客户的事务安全平稳运行。

近年来网络安全方式日益严峻，被网络进犯敲诈勒索这种事在互联网企业是很常见到的事了，因而，面对DDoS进犯，我们决不能退让，企业应进步自身网络安全意识，加强网络安全常识的学习，提前做好防护办法，找到合适的防护方案与可信赖的安全伙伴，一起防护来自网络上的进犯，让别有用心者难以得逞

DOS是什么？分布式回绝服务(DDoS:Distributed Denial of Service)进犯指借助于客户/服务器技能，将多个计算机联合起来作为进犯渠道，对一个或多个方针发起DDoS进犯，然后成倍地进步回绝服务进犯的威力。一般，进犯者运用一个偷窃帐号将DDoS主控程序装置在一个计算机上，在一个设定的时刻主控程序将与很多署理程序通讯，署理程序现已被装置在网络上的许多计算机上。署理程序收到指令时就发起进犯。运用客户/服务器技能，主控程序能在几秒钟内激活成百上千次署理程序的运转。

DDOS进犯又是什么呢？其实DDOS便是DDOS进犯，是同一种技能。DDOS全称为Distributed Denial of Service，中文名为分布式回绝服务进犯，是一种常见的服务器进犯技能。

DDOS进犯的原理

DDOS进犯最初被人们成为DOS（Denial of Service）进犯，DOS进犯的原理是：你有一台服务器，我有一台个人电脑，我就用我的个人电脑想你的服务器发送很多的垃圾信息，拥堵你的网络，并加大你处理数据的负担，降低服务器CPU和内存的工作效率。

随着科技的告诉开展，相似DOS这样一对一的进犯现已起不了什么作用了，所以DDOS—分布式回绝服务进犯诞生了，其原理和DOS相同，不同之处在于DDOS进犯是多对一进行进犯，甚至到达数万台个人电脑在同一时刻一DOS进犯的方式进犯一台服务器，最终导致被进犯的服务器瘫痪。

1.2 DDoS进犯目的：

（1）商业恶性竞赛：

商业竞赛在互联网这个万亿市场中尤为激烈。一些职业竞赛者为了利益不择手段、不管法纪，经过DDoS进犯妨碍竞赛对手的业务活动，打击对手的声誉，从中获取竞赛优势。其间，电商职业和在线游戏职业是重灾区。

（2）敲诈勒索：

DDoS因为成本低、施行简单等特色，在较前期就开端成为黑客在网络上进行敲诈勒索、收取“保护费”的首要方式。

1.3 DDos常见进犯类型

资源耗尽型：这种进犯消耗网络带宽或运用很多数据包吞没一个或多个路由器、服务器和防火墙;带宽进犯的普遍方式是很多外表看合法的 TCP、UDP 或 ICMP 数据包被传送到特定目的地;为了使检测愈加困难，这种进犯也常常运用源地址欺骗，并不停地变化。这种进犯相对而言愈加难以防护，因为合法数据包和无效数据包看起来十分相似。,一般呈现流量性进犯时，高防服务器能够对数据进行实时的监控并进行智能的识别与分流，在高防服务器的流量防护范围内都能对流量型的进犯进行很好的防护

导致反常型：运用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常业务和恳求。HTTP 半开和 HTTP 过错便是运用进犯的两个典型例子，缓存溢出进犯-企图在一个缓存中存储超出其规划容量的数据。这种多出的数据可能会溢出到其他的缓存之中，损坏或许覆盖其间的有用数据。

运用层进犯——这种进犯的方针是运用或7层网络服务的某些方面。

常见的DDoS进犯类型有哪些

（1）.TCP SYN泛洪进犯

一般在进行 TCP 衔接需求进行三次握手。当客户端向服务端宣布恳求时，首先会发送一个 TCP SYN 数据包。而后，服务器分配一个操控块，并呼应一个 SYN ACK 数据包。服务器随后将等待从客户端收到一个 ACK 数据包。假如服务器没有收到ACK 数据包，TCP衔接将处于半开状况，直到服务器从客户端收到ACK数据包或许衔接因为 time-to-live(TTL)计时器设置而超时为止。在衔接超时的情况下，事前分配的操控块将被释放。当一个进犯者有意地、重复地向服务器发送 SYN 数据包，但不对服务器发回的SYN ACK 数据包答复 ACK 数据包时，就会发生 TCP SYN 泛洪进犯。这时，服务器将会失去对资源的操控，无法树立任何新的合法TCP衔接。

（2）.UDP flood

UDP flood 又称UDP洪水进犯或UDP吞没进犯，UDP是没有衔接状况的协议，因而能够发送很多的 UDP 包到某个端口，假如是个正常的UDP运用端口，则可能搅扰正常运用，假如是没有正常运用，服务器要回送ICMP，这样则消耗了服务器的处理资源，并且很简单堵塞上行链路的带宽。常见的情况是运用很多UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的主干设备例如防火墙打瘫，形成整个网段的瘫痪。在UDPFLOOD进犯中，进犯者可发送很多假造源IP地址的小UDP包。可是，因为UDP协议是无衔接性的，所以只需开了一个UDP的端口供给相关服务的话，那么就可针对相关的服务进行进犯，正常运用情况下，UDP包双向流量会基本持平，并且巨细和内容都是随机的，变化很大。呈现UDPFlood的情况下，针对同一方针IP的UDP包在一侧很多呈现，并且内容和巨细都比较固定。

（3）.ICMP flood

ICMP flood是经过 经过高速发送很多的ICMP Echo Reply数据包，导致方针网络的带宽瞬间就会被耗尽，阻止合法的数据经过网络。ICMP Echo Reply数据包具有较高的优先级，在一般情况下，网络总是答应内部主机运用PING指令。这将导致体系不断地保留它的资源，直到无法再处理有用的网络流量。进犯者能够经过发送一个假造的ICMP Destination Unreachable或Redirect消息来终止合法的网络衔接。更具歹意的进犯，如puke和smack，会给某一个范围内的端口发送很多的数据包，销毁很多的网络衔接，一起还会消耗受害主机CPU的时钟周期。还有一些进犯运用ICMP Source Quench消息，导致网络流量变慢，甚至中止。Redirect和Router Announcement消息被运用来强制受害主机运用一个并不存在的路由器，或许把数据包路由到进犯者的机器，进行进犯。

（4）.Smurf 进犯

Smurf 进犯的首要方式为进犯者会向接收站点中的一个播送地址发送一个IP ICMP ping(即“请回复我的消息”)。Ping 数据包随后将被播送到接收站点的本地网络中的所有主机。该数据包包含一个“假装的”源地址，即该DoS进犯的对象的地址。每个收到此 ping 数据包的主机都会向假装的源地址发送呼应，然后导致这个无辜的、被假装的主机收到很多的ping 回复。假如收到的数据量过大，这个被假装的主机就将无法接收或许区别真实流量。

（5）.Fraggle进犯

Fraggle进犯与Smurf进犯相似，只是运用UDP协议。进犯者掌握着很多的播送地址，并向这些地址发送假冒的UDP包，一般这些包是直接到方针主机的7号端口——也便是Echo端口，而另一些情况下它却到了Chargen端口，进犯者能够制造一个在这两个端口之间的循环来产生网络堵塞。

（6）.Land

Land首要是选用方针和源地址相同的UDP包进犯方针。在Land进犯中，一个特别打造的SYN包中的原地址和方针地址都被设置成某一个服务器地址，这时将导致承受服务器向它自己的地址发送SYN一ACK消息，成果这个地址又发回ACK消息并创建一个空衔接，每一个这样的衔接都将保留直到超时掉。对Land进犯反应不同，许多UNIX实现将溃散，而 Windows NT 会变的极端缓慢(大约继续五分钟)。Land 进犯发生的条件是进犯者发送具有相同IP源地址、方针地址和TCP端口号的假造TCP SYN数据包信息流。必须设置好SYN标记。其成果是该计算机体系将企图向自己发送呼应信息，而受害体系将会遭到搅扰并会瘫痪或重启。最近的研讨发现Windows XP SP2和Windows 2003 的体系对这种进犯的防备还是十分薄弱的。事实上，Sun的操作体系的高防服务器BSD和Mac对这种进犯的防备都是十分薄弱的，所有这些体系都共享根据 TCP/IP 协议栈的BSD。

（7）.Trinoo 进犯

的进犯办法是向被进犯方针主机的随机端口宣布全零的4字节 UDP 包，在处理这些超出 其处理才能的垃圾数据包的过程中，被进犯主机的网络性能不断下降，直到不能供给正常服务，甚至溃散。它对IP 地址不做假，选用的通讯端口是：进犯者主机到主控端主机：27665/TCP 主控端主机到署理端主机：27444/UDP 署理端主机到主服务器主机：31335/UDP.

（8）.Stacheldraht

Stacheldraht是根据TFN和trinoo相同的客户机/服务器形式，其间Master程序与潜在的成千个署理程序进行通讯。在发起进犯时，侵入者与master程序进行衔接。Stacheldraht增加了新的功用：进犯者与master程序之间的通讯是加密的，对指令来历做假，并且能够防备一些路由器用RFC2267过滤，若查看出有过滤现象，它将只做假IP地址最终8位，然后让用户无法了解到底是哪几个网段的哪台机器被进犯;一起运用rcp (remote copy，远程仿制)技能对署理程序进行自动更新。Stacheldraht 同TFN相同，能够并行发起不计其数的DoS进犯，类型多种多样，并且还可树立带有假装源IP地址的信息包。Stacheldraht所发起的进犯包含UDP 冲击、TCP SYN 冲击、ICMP 回音应对冲击

（9）.TFN2K

TFN2K 是由德国著名黑客Mixter编写的同类进犯东西 TFN 的后续版本，在 TFN 所具有的 特性上，TFN2K 又新增一些特性，TFN2K 经过主控端运用很多署理端主机的资源进行对一个 或多个方针进行协同进犯。当前互联网中的 UNIX、Solaris 和 Windows NT 等渠道的主机能被 用于此类进犯，并且这个东西十分简单被移植到其它体系渠道上。

（10）.Ping of Death

是一种回绝服务进犯，办法是由进犯者故意发送大于65535字节的ip数据包给对方。 TCP/IP的特征之一是碎裂;它答应单一IP包被分为几个更小的数据包。在1996年，进犯者开端运用那一个功用，当他们发现一个进入运用碎片包能够将整个IP包的巨细增加到ip协议答应的65536比特以上的时分。当许多操作体系收到一个特大号的ip包时分，它们不知道该做什么，因而，服务器会被冻住、当机或重新发动。ICMP的回送恳求和应对报文一般是用来查看网路连通性，对于大多数体系而言，发送ICMP echo request 报文的指令是ping ，因为ip数据包的最大长度为65535字节。而ICMP报头坐落数据报头之后，并与ip数据包封装在一起，因而ICMP数据包最大尺度不超过65515字节运用这一规定，能够向主机发起 ping of death 进犯。ping of death 进犯 是经过在最终分段中，改变其正确的偏移量和段长度的组合,使体系在接收到全部分段并重组报文时总的长度超过了65535字节，导致内存溢出，这时主机就会呈现内存分配过错而导致TCP/IP堆栈溃散，导致死机。

(11).Tear drop

进犯运用UDP包重组时堆叠偏移(假设数据包中第二片IP包的偏移量小于榜首片结束的位移，并且算上第二片IP包的Data，也未超过榜首片的尾部，这便是堆叠现象。)的缝隙对体系主机发起回绝服务进犯，最终导致主机菪掉;对于Windows体系会导致蓝屏死机，并显示STOP 0x0000000A过错。对付这种类型得进犯最好的办法便是要及时为操作体系打补丁了，可是Teardrop进犯仍然会消耗处理器的资源和主机带宽。

(12).WinNuke进犯

WinNuke进犯又称“带外传输进犯”，它的特征是进犯方针端口，被进犯的方针端口一般是139，并且URG位设为1，即紧急形式。WinNuke进犯便是运用了Windows操作体系的一个缝隙，向这些端口发送一些带着TCP带外(OOB)数据报文，但这些进犯报文与正常带着OOB数据报文不同的是，其指针字段与数据的实际方位不符，即存在重合。这样Windows操作体系在处理这些数据的时分，就会溃散。

（13）.jolt2

根据因特网协议(IP)分组损坏的回绝服务(DoS)进犯，运用一个死循环不停的发送一个ICMP/UDP的IP碎片，让设备不断的处理这些分片，jolt2的影响相当大，经过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows体系，一起也大大增加了网络流量。

（14）.ICMP重定向进犯

ICMP重定向报文是当主机选用非最优路由发送数据报时，设备会发回ICMP重定向报文来告诉主机最优路由的存在。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文，但一些歹意的进犯可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以改变主机的路由表，损坏路由，搅扰主机正常的IP报文转发，并以此增强其窃听才能。

（15）.蠕虫

蠕虫是一些独立的程序，能够自行进犯体系和企图运用方针的缝隙。在 成功地运用缝隙之后，蠕虫会自动地将其程序从进犯主机仿制到新发现的体系， 然后再次发动循环。蠕虫会将本身的多个复本发送到其他的计算机，例如经过 电子邮件或许互联网多线交谈(IRC)。有些蠕虫(例如众所周知的红色代码和 NIMDA 蠕虫)具有 DDoS 进犯的特征，可能导致终端和网络基础设施的中止