網(wǎng)絡(luò)攻防講座薛質(zhì)課件

網(wǎng)絡(luò)攻擊及防御技術(shù)內(nèi)容網(wǎng)絡(luò)攻擊案例網(wǎng)絡(luò)攻擊及防御技術(shù)1、嚴(yán)峻的信息安全問題2000年2月6日前后，美國YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為12億美元（網(wǎng)上拍賣“電子港灣”網(wǎng)站、亞馬遜網(wǎng)站、AOL）此次安全事故具有以下的特點(diǎn)：攻擊直接針對(duì)商業(yè)應(yīng)用攻擊造成的損失巨大信息網(wǎng)絡(luò)安全關(guān)系到全社會(huì)凱文米特尼克凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是“社會(huì)工程學(xué)”的創(chuàng)始人1979年他和他的伙伴侵入了北美空防指揮部1983年的電影《戰(zhàn)爭(zhēng)游戲》演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)莫里斯蠕蟲（MorrisWorm）

時(shí)間1988年肇事者-RobertT.Morris,美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全專家機(jī)理-利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，拒絕服務(wù)影響-Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬美元的損失CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應(yīng)付類似“蠕蟲（MorrisWorm）”事件94年末，俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元96年8月17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字96年9月18日，黑客光顧美國中央情報(bào)局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報(bào)局”改為“中央愚蠢局”96年12月29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡(jiǎn)短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址中美五一黑客大戰(zhàn)2001年5月1日是國際勞動(dòng)節(jié)，5月4日是中國的青年節(jié)，而5月7日則是中國在南斯拉夫的大使館被炸兩周年的紀(jì)念日。中國黑客在這幾個(gè)重大的紀(jì)念日期間對(duì)美國網(wǎng)站發(fā)起了大規(guī)模的攻擊美國部分被黑網(wǎng)站美國加利福尼亞能源部日美社會(huì)文化交流會(huì)白宮歷史協(xié)會(huì)UPI新聞服務(wù)網(wǎng)華盛頓海軍通信站國內(nèi)網(wǎng)站遭攻擊的分布紅色代碼2001年7月19日，全球的入侵檢測(cè)系統(tǒng)(IDS)幾乎同時(shí)報(bào)告遭到不名蠕蟲攻擊在紅色代碼首次爆發(fā)的短短9小時(shí)內(nèi)，以迅雷不及掩耳之勢(shì)迅速感染了250,000臺(tái)服務(wù)器最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點(diǎn)主頁，顯示“Welcometo!HackedbyChinese!”隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊以及格式化目標(biāo)系統(tǒng)硬盤，并會(huì)在每月20日～28日對(duì)白宮的WWW站點(diǎn)的IP地址發(fā)動(dòng)DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址。尼姆達(dá)（Nimda）尼姆達(dá)是在9·11恐怖襲擊整整一個(gè)星期后出現(xiàn)的，當(dāng)時(shí)傳言是中國為了試探美國對(duì)網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力而散布了尼姆達(dá)病毒尼姆達(dá)是在早上9:08發(fā)現(xiàn)的，明顯比紅色代碼更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。隨后在全球各地侵襲了830萬部電腦，總共造成將近10億美元的經(jīng)濟(jì)損失傳播方式包括：電子郵件、網(wǎng)絡(luò)臨近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動(dòng)執(zhí)行漏洞、IIS服務(wù)器文件目錄遍歷漏洞、CodeRedII和Sadmind/IIS蠕蟲留下的后門等SQLSlammer蠕蟲Slammer的傳播數(shù)度比“紅色代碼”快兩個(gè)數(shù)量級(jí)在頭一分鐘之內(nèi)，感染主機(jī)數(shù)量每8.5秒增長一倍；3分鐘后該病毒的傳播速度達(dá)到峰值（每秒鐘進(jìn)行5500萬次掃描）；接下來，其傳播速度由于自身擠占了絕大部分網(wǎng)絡(luò)帶寬而開始下降；10分鐘后，易受攻擊的主機(jī)基本上已經(jīng)被感染殆盡30分鐘后在全球的感染面積2003年8月11日首先被發(fā)現(xiàn)，然后迅速擴(kuò)散，這時(shí)候距離被利用漏洞的發(fā)布日期還不到1個(gè)月該蠕蟲病毒針對(duì)的系統(tǒng)類型范圍相當(dāng)廣泛（包括WindowsNT/2000/XP）截至8月24日，國內(nèi)被感染主機(jī)的數(shù)目為25~100萬臺(tái)全球直接經(jīng)濟(jì)損失幾十億美金RPCDCOM蠕蟲傳播速度“大型推土機(jī)”技術(shù)(Massrooter)，是新一代規(guī)模性惡意代碼具備的顯著功能。這些惡意代碼不僅能實(shí)現(xiàn)自我復(fù)制，還能自動(dòng)攻擊內(nèi)外網(wǎng)上的其它主機(jī)，并以受害者為攻擊源繼續(xù)攻擊其它網(wǎng)絡(luò)和主機(jī)。以這些代碼設(shè)計(jì)的多線程和繁殖速度，一個(gè)新蠕蟲在一夜之間就可以傳播到互聯(lián)網(wǎng)的各個(gè)角落。受害面許多國家的能源、交通、金融、化工、軍事、科技和政府部門等關(guān)鍵領(lǐng)域的信息化程度逐年提高，這些領(lǐng)域的用戶單位的計(jì)算機(jī)網(wǎng)絡(luò)，直接或間接地與Internet有所聯(lián)系。各種病毒、蠕蟲等惡意代碼，和各種黑客攻擊，通過Internet為主線，對(duì)全球各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)用戶都造成了嚴(yán)重的影響。穿透深度蠕蟲和黑客越來越不滿足于攻擊在線的網(wǎng)站，各種致力于突破各種邊界防線的攻擊方式層出不窮。一個(gè)新的攻擊手段，第一批受害對(duì)象是那些24小時(shí)在線的網(wǎng)站主機(jī)和各種網(wǎng)絡(luò)的邊界主機(jī)；第二批受害對(duì)象是與Internet聯(lián)網(wǎng)的，經(jīng)常收發(fā)郵件的個(gè)人用戶；第三批受害對(duì)象是OA網(wǎng)或其它二線內(nèi)網(wǎng)的工作站；終極的受害對(duì)象可能會(huì)波及到生產(chǎn)網(wǎng)絡(luò)和關(guān)鍵資產(chǎn)主機(jī)。信息時(shí)代威脅圖類別攻擊舉例V敵國政府、間諜IV商業(yè)間諜III罪犯II惡意用戶、內(nèi)部人員、普通黑客I用戶誤操作網(wǎng)絡(luò)攻擊的動(dòng)機(jī)偷取國家機(jī)密商業(yè)競(jìng)爭(zhēng)行為內(nèi)部員工對(duì)單位的不滿對(duì)企業(yè)核心機(jī)密的企望網(wǎng)絡(luò)接入帳號(hào)、信用卡號(hào)等金錢利益的誘惑利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名對(duì)網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)對(duì)網(wǎng)絡(luò)的好奇心

攻擊的種類預(yù)攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡(luò)拓?fù)浞治龉綦A段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應(yīng)用服務(wù)缺陷腳本程序漏洞攻擊口令攻擊錯(cuò)誤及弱配置攻擊網(wǎng)絡(luò)欺騙與劫持攻擊后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務(wù)攻擊嗅探攻擊惡意網(wǎng)頁攻擊社會(huì)工程攻擊信息收集—非技術(shù)手段合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇社會(huì)工程手段假冒他人，獲取第三方的信任搜索引擎TCPSYN掃描也叫半開式掃描利用TCP連接三次握手的第一次進(jìn)行掃描被掃描主機(jī)開放的端口不提供服務(wù)的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應(yīng)或者其他端口掃描工具Nmap簡(jiǎn)介被稱為“掃描器之王”有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進(jìn)行普通掃描、各種高級(jí)掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描-sT:普通connect()掃描-sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強(qiáng)行掃描（無論是否能夠ping通目標(biāo)）-p：指定端口范圍-v：詳細(xì)模式NmapWinv1.3.0端口掃描工具SuperScan簡(jiǎn)介基于Windows平臺(tái)速度快，圖形化界面最新版本為4.0使用傻瓜化漏洞掃描根據(jù)目標(biāo)主機(jī)開放的不同應(yīng)用和服務(wù)來掃描和判斷是否存在或可能存在某些漏洞積極意義進(jìn)行網(wǎng)絡(luò)安全評(píng)估為網(wǎng)絡(luò)系統(tǒng)的加固提供先期準(zhǔn)備消極意義被網(wǎng)絡(luò)攻擊者加以利用來攻陷目標(biāo)系統(tǒng)或獲取重要的數(shù)據(jù)信息漏洞掃描的種類系統(tǒng)漏洞掃描特定服務(wù)的漏洞掃描WEB服務(wù)數(shù)據(jù)庫服務(wù)FTP服務(wù)Mail服務(wù)信息泄漏漏洞掃描用戶信息共享信息人為管理漏洞掃描弱口令錯(cuò)誤配置網(wǎng)絡(luò)及管理設(shè)備漏洞掃描路由器、交換機(jī)SNMP設(shè)備漏洞掃描工具Nessus構(gòu)架服務(wù)器端：基于Unix系統(tǒng)客戶端：有GTK、Java和Win系統(tǒng)支持運(yùn)作客戶端連接服務(wù)器端，并下載插件和掃描策略真正的掃描由服務(wù)器端發(fā)起兩者之間的通信通過加密認(rèn)證優(yōu)勢(shì)：具有強(qiáng)大的插件功能完全免費(fèi)，升級(jí)快速非常適合作為網(wǎng)絡(luò)安全評(píng)估工具鏈接：ClientServerTargetsNessus工作流程漏洞掃描工具X-Scan國人自主開發(fā)完全免費(fèi)X-Scan使用掃描開始安全漏洞掃描器安全漏洞掃描器的種類網(wǎng)絡(luò)型安全漏洞掃描器主機(jī)型安全漏洞掃描器數(shù)據(jù)庫安全漏洞掃描器安全漏洞掃描器的選用ISS（InternetSecurityScanner）：安氏SSS（ShadowSecurityScanner）：俄羅斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAISSS（ShadowSecurityScanner）RetinaNetworkSecurityScannerLANguardNetworkSecurityScanner操作系統(tǒng)類型鑒別主要依據(jù)利用不同操作系統(tǒng)對(duì)各種連接請(qǐng)求的不同反應(yīng)和特征來判斷遠(yuǎn)程主機(jī)操作系統(tǒng)的類型當(dāng)使用足夠多的不同特征來進(jìn)行判斷，操作系統(tǒng)的探測(cè)精度就能有很大保證間接鑒別操作系統(tǒng)說明不直接進(jìn)行掃描利用網(wǎng)絡(luò)應(yīng)用服務(wù)使用過程中的信息來推斷和分析操作系統(tǒng)類型，并得到其他有用信息如Telnet

80端口查看WEB服務(wù)器類型從而初步判斷操作系統(tǒng)類型這種方法難以被發(fā)現(xiàn)防御對(duì)策修改服務(wù)器上應(yīng)用服務(wù)的banner信息，達(dá)到迷惑攻擊者的目的直接鑒別操作系統(tǒng)類型TCP/IP棧指紋探測(cè)技術(shù)各個(gè)操作系統(tǒng)在實(shí)現(xiàn)TCP/IP棧的時(shí)候有細(xì)微的不同，可以通過下面一些方法來進(jìn)行判定TTL值Windows窗口值ToS類型DF標(biāo)志位初始序列號(hào)（ISN）采樣MSS（最大分段大?。┢渌鸗TL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL（TimeToLive）緩沖區(qū)溢出攻擊危害性據(jù)統(tǒng)計(jì)，緩沖區(qū)溢出攻擊占所有網(wǎng)絡(luò)攻擊總數(shù)的80%以上溢出成功后大都能直接拿到目標(biāo)系統(tǒng)的最高權(quán)限身邊的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢出Wu-ftpd溢出緩沖區(qū)溢出原理通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的緩沖區(qū)溢出攻擊的對(duì)象在于那些具有某些特權(quán)(如root或本地管理器)運(yùn)行的程序，這樣可以使得攻擊者取得該程序的控制權(quán)，如果該程序具有足夠的權(quán)限，那么整個(gè)主機(jī)就被控制了緩沖區(qū)溢出示意圖字符串變量數(shù)組函數(shù)返回點(diǎn)n字節(jié)輸入數(shù)據(jù)>n字節(jié),尾部為跳轉(zhuǎn)的地址緩沖區(qū)用戶輸入正常流程溢出改變流程字符串變量數(shù)組函數(shù)返回點(diǎn)n字節(jié)輸入數(shù)據(jù)<n字節(jié)緩沖區(qū)用戶輸入正常流程程序溢出時(shí)的表現(xiàn)SegmentationFault(coredumped)以特權(quán)身份運(yùn)行的程序網(wǎng)絡(luò)服務(wù)程序HTTPServerMailServerRPCDaemon…suid/sgid程序Root溢出Remoterootexploit通過網(wǎng)絡(luò)，無需認(rèn)證即可獲得遠(yuǎn)程主機(jī)的root權(quán)限Localrootexploit本地普通用戶，利用系統(tǒng)程序的漏洞獲得root權(quán)限遠(yuǎn)程控制技術(shù)概念危害性發(fā)展歷程技術(shù)類型特洛伊木馬的來歷希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木馬計(jì)，木馬計(jì)中使用的里應(yīng)外合的工具叫做特洛伊木馬來源于希臘神話中的特洛伊戰(zhàn)爭(zhēng)遠(yuǎn)程控制技術(shù)遠(yuǎn)程控制實(shí)際上是包含有服務(wù)器端和客戶端的一套程序服務(wù)器端程序駐留在目標(biāo)計(jì)算機(jī)里，隨著系統(tǒng)啟動(dòng)而自行啟動(dòng)。此外，使用傳統(tǒng)技術(shù)的程序會(huì)在某端口進(jìn)行監(jiān)聽，若接收到數(shù)據(jù)就對(duì)其進(jìn)行識(shí)別，然后按照識(shí)別后的命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計(jì)算機(jī)等）攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標(biāo)計(jì)算機(jī)中，并設(shè)法使其運(yùn)行，從而留下后門。日后，攻擊者就能夠通過運(yùn)行客戶端程序，來對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行操作遠(yuǎn)程控制技術(shù)的發(fā)展歷程第一代功能簡(jiǎn)單、技術(shù)單一，如簡(jiǎn)單的密碼竊取和發(fā)送等第二代在技術(shù)上有了很大的進(jìn)步，如國外的BO2000，國內(nèi)的冰河等第三代為了躲避防火墻而在數(shù)據(jù)傳遞技術(shù)上做了不小的改進(jìn)，比如利用ICMP協(xié)議以及采用反彈端口的連接模式第四代研究操作系統(tǒng)底層，在進(jìn)程隱藏方面有了很大的突破傳統(tǒng)的遠(yuǎn)程控制步驟如何遠(yuǎn)程植入程序直接攻擊電子郵件文件下載瀏覽網(wǎng)頁+合并文件經(jīng)過偽裝的木馬被植入目標(biāo)機(jī)器遠(yuǎn)程受控端程序的自啟動(dòng)Windows啟動(dòng)目錄注冊(cè)表啟動(dòng)Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件關(guān)聯(lián)方式系統(tǒng)配置文件啟動(dòng)Win.iniSystem.ini服務(wù)啟動(dòng)其他啟動(dòng)遠(yuǎn)程受控端程序的隱藏在任務(wù)欄（包括任務(wù)管理器）中隱藏自己初步隱藏注冊(cè)為系統(tǒng)服務(wù)不適用于Win2k/NT啟動(dòng)時(shí)會(huì)先通過窗口名來確定是否已經(jīng)在運(yùn)行，如果是則不再啟動(dòng)防止過多的占用資源進(jìn)程隱藏遠(yuǎn)程線程插入其他進(jìn)程（不適用于Win9X）Hook技術(shù)遠(yuǎn)程控制數(shù)據(jù)傳輸方式ICMP協(xié)議傳送反彈端口+HTTP隧道技術(shù)反彈端口連接模式>1024反彈式的遠(yuǎn)程控制程序防火墻IP數(shù)據(jù)包過濾目標(biāo)主機(jī)Windows系統(tǒng)騙取系統(tǒng)IE進(jìn)程木馬線程正常線程進(jìn)入合法應(yīng)用程序正常線程…InternetExplorer瀏覽網(wǎng)頁端口監(jiān)聽端口傳統(tǒng)遠(yuǎn)程控制程序遠(yuǎn)程控制的防御遠(yuǎn)程端口掃描本地進(jìn)程—端口察看Fport/VisionAntiyPortsAPorts

本地進(jìn)程察看PslistListdlls注冊(cè)表監(jiān)控Regmon文件監(jiān)控使用專用的查殺工具加強(qiáng)使用者的安全意識(shí)VisionAntiyPortsDoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕服務(wù)攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務(wù)攻擊拒絕服務(wù)攻擊的種類發(fā)送大量的無用請(qǐng)求，致使目標(biāo)網(wǎng)絡(luò)系統(tǒng)整體的網(wǎng)絡(luò)性能大大降低，喪失與外界通信的能力。利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標(biāo)主機(jī)處理能力的服務(wù)請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)喪失對(duì)其他正常服務(wù)請(qǐng)求的相應(yīng)能力。利用系統(tǒng)或應(yīng)用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導(dǎo)致目標(biāo)的癱瘓（稱之為nuke)拒絕服務(wù)攻擊典型舉例SynFloodSmurfPingFloodUDPFlooder拒絕服務(wù)攻擊—SynFlood正常的TCP/IP三次握手SynFlood攻擊服務(wù)器

客戶端SYNSYN+ACKACK握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少被攻擊主機(jī)攻擊主機(jī)偽造源地址不存在的主機(jī)不斷重試及等待，消耗系統(tǒng)資源不響應(yīng)SYNSYN+ACKSynFlood的防御對(duì)策重新設(shè)置一些TCP/IP協(xié)議參數(shù)增加TCP監(jiān)聽套解字未完成連接隊(duì)列的最大長度減少未完成連接隊(duì)列的超時(shí)等待時(shí)間類似于SYNCookies的特殊措施選擇高性能的防火墻SYNThreshold類SYNDefender類SYNProxy類拒絕服務(wù)攻擊—Smurf攻擊AttackerTarget目標(biāo)機(jī)器會(huì)接收很多來自中介網(wǎng)絡(luò)的請(qǐng)求中介網(wǎng)絡(luò)放大器broadcastechorequest

源地址被欺騙為被攻擊主機(jī)地址其它拒絕服務(wù)攻擊FragglePingofDeathUdpFloodTearDrop電子郵件炸彈Nuke類拒絕服務(wù)攻擊WinNukeRPCNukeSMBDie分布式拒絕服務(wù)攻擊DDoS是DoS攻擊的延伸，威力巨大，具體攻擊方式多種多樣。分布式拒絕服務(wù)攻擊就是利用一些自動(dòng)化或半自動(dòng)化的程序控制許多分布在各個(gè)地方的主機(jī)同時(shí)拒絕服務(wù)攻擊同一目標(biāo)。攻擊一般會(huì)采用IP地址欺騙技術(shù)，隱藏自己的IP地址，所以很難追查。分布式拒絕服務(wù)攻擊示意圖分布式拒絕服務(wù)攻擊步驟探測(cè)掃描大量主機(jī)以尋找可入侵的目標(biāo)；入侵有安全漏洞的主機(jī)并獲取控制權(quán)，在每臺(tái)入侵主機(jī)中安裝攻擊程序；構(gòu)造龐大的、分布式攻擊網(wǎng)絡(luò)；在同一時(shí)刻，由分布的成千上萬臺(tái)主機(jī)向同一目標(biāo)地址發(fā)出攻擊，目標(biāo)系統(tǒng)全線崩潰；典型的分布式拒絕服務(wù)攻擊工具TrinooTFNStacheldrahtTFN2K分布式拒絕服務(wù)攻擊防御對(duì)策對(duì)于分布式攻擊，目前仍無非常有效的方法來防御基本的防御對(duì)策做好各種基本的拒絕服務(wù)攻擊防御措施，打好補(bǔ)?。宦?lián)系ISP對(duì)主干路由器進(jìn)行限流措施；利用各種安全防御系統(tǒng)進(jìn)行輔助記錄工作。使用軟件來幫助管理員搜索ddos客戶端find_ddosZombieZapperddosping網(wǎng)絡(luò)監(jiān)聽攻擊源目的sniffer加密解密passwd$%@&)*=-~`^,{網(wǎng)絡(luò)監(jiān)聽攻擊的環(huán)境基于共享（HUB）環(huán)境的監(jiān)聽比較普遍實(shí)現(xiàn)較為簡(jiǎn)單基于交換（Switch）環(huán)境的監(jiān)聽基礎(chǔ)是ARP欺騙技術(shù)基于共享環(huán)境的監(jiān)聽共享以太網(wǎng)環(huán)境中，所有物理信號(hào)都會(huì)被傳送到每一個(gè)主機(jī)節(jié)點(diǎn)上去如將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式(Promiscuous)，則就能接受到一切監(jiān)聽到的數(shù)據(jù)幀，而不管其目的MAC地址是什么共享環(huán)境監(jiān)聽的意義積極意義：方便網(wǎng)絡(luò)管理員進(jìn)行管理和網(wǎng)絡(luò)故障分析消極意義：常被用來竊聽在網(wǎng)絡(luò)上以明文方式傳輸?shù)目诹詈唾~號(hào)密碼POP3郵件口令Ftp登錄口令Telnet登錄口令共享環(huán)境監(jiān)聽的檢測(cè)基于主機(jī)的檢測(cè)簡(jiǎn)單的ifconfig命令，包括各種UNIX系統(tǒng)基于網(wǎng)絡(luò)的檢測(cè)針對(duì)系統(tǒng)硬件過濾和軟件過濾的檢測(cè)針對(duì)DNS反向域名解析的檢測(cè)針對(duì)網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間的檢測(cè)使用專業(yè)的檢測(cè)工具AntiSniff（有forwin和forunix的版本）PromiscanAntiSniff（LOpht）口令入侵口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)獲取口令的途徑有：網(wǎng)絡(luò)監(jiān)聽口令猜測(cè)，暴力破解利用系統(tǒng)管理員的失誤口令猜測(cè)攻擊口令猜測(cè)攻擊原理現(xiàn)行很多加密算法都單向不可逆攻擊者每次從攻擊字典中取出一個(gè)條目作為口令，使用相同的加密算法進(jìn)行加密，然后同密文進(jìn)行比對(duì)，如不同則繼續(xù)下一次嘗試，否則則猜測(cè)成功。口令猜測(cè)可分為遠(yuǎn)程口令破解本地口令破解遠(yuǎn)程口令破解許多網(wǎng)絡(luò)服務(wù)，都是通過賬號(hào)/口令來認(rèn)證需要訪問該服務(wù)的用戶POP3NetbiosTelnetFTPHTTP等可以遠(yuǎn)程進(jìn)行窮舉字典的方式來猜解口令破解效率很低，而且容易被記錄本地口令猜解各種操作系統(tǒng)以自己各自的方式存放密碼文件，而大多數(shù)的加密算法都比較脆弱，容易