网络安全知识

网络安全知识

拒绝服务攻击

BIOS控制计算机安全

黑客突破防火墙常用的几种技术

妙用Windows神秘的类标识符

部署防火墙策略的十六条守则

拒绝服务攻击

入侵攻击

可以说当前是一个进行攻击的黄金时期，很多的系统都很脆弱并且很容易受到攻击，所以这是一个成为黑客的大好时代，可让他们利用的方法和工具是如此之多！在此我们仅对经常被使用的入侵攻击手段做一讨论。

【拒绝服务攻击】

拒绝服务攻击（Denial of Service, DoS）是一种最悠久也是最常见的攻击形式。严格来说，拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度

的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的，可以是单一的手段，也可以是多种方式的组合利用，其结果都是一样的，即合法的用户无法访问所需信息。

通常拒绝服务攻击可分为两种类型。

第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包，就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击，因为没有人能够使用资源。以攻击者的角度来看，攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下，系统重新上线需要管理员的干预，重新启动或关闭系统。所以这种攻击是最具破坏力的，因为做一点点就可以破坏，而修复却需要人的干预。

第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。例如，如果一个系统无法在一分钟之内处理100个数据包，攻击者却每分钟向他发送1000个数据包，这时，当合法用户要连接系统时，用户将得不到访问权，因为系统资源已经不足。进行这种攻击时，攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时，攻击停止，系统也就恢复正常了。此攻击方法攻击者要耗费很多精力，因为他必须不断地发送数据。有时，这种攻击会使系统瘫痪，然而大多多数情况下，恢复系统只需要少量人为干预。

这两种攻击既可以在本地机上进行也可以通过网络进行。

※拒绝服务攻击类型

1 Ping of Death

根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

2 Teardrop

IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

3 Land

攻击者将一个包的源地址和目的地址都设臵为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

4 Smurf

该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

5 SYN flood

该攻击以多个随机的源主机地址向目的主机发送SYN包，而在

收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

6 CPU Hog

一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击，利用Windows NT排定当前运行程序的方式所进行的攻击。

7 Win Nuke

是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139，即netbios发送大量的数据。因为这些数据并不是目的主机所需要的，所以会导致目的主机的死机。

8 RPC Locator

攻击者通过telnet连接到受害者机器的端口135上，发送数据，导致CPU资源完全耗尽。依照程序设臵和是否有其他程序运行，这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况，要使计算机恢复正常运行速度必须重新启动。

※分布式拒绝服务攻击

分布式拒绝服务攻击（DDoS）是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU 速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的

困难程度加大了目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。所以分布式的拒绝服务攻击手段（DDoS）就应运而生了。如果用一台攻击机来攻击不再能起作用的话，攻击者就使用10台、100台…攻击机同时攻击。

DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位臵可以在分布在更大的范围，选择起来更灵活了。

一个比较完善的DDoS攻击体系分成四大部分：

攻击者所在机控制机（用来控制傀儡机）

傀儡机受害者

先来看一下最重要的控制机和傀儡机：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对受害者来说，DDoS的实际攻击包是从攻击傀儡机上发出的，控制机只发布命令而不参与实际的攻击。对控制机和傀儡机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一