第一章常见网络攻击概述

前言 (2)

第一章常见网络攻击概述： (3)

一．信息收集 (3)

二．拒绝服务和分布式拒绝服务攻击(DOS&DDOS) (4)

三．利用型攻击 (4)

四．其他网络攻击： (5)

第一章网络扫描技术 (5)

一．主机扫描 (5)

二．端口扫描 (6)

三．操作系统扫描： (8)

四．扫描工具 (12)

第二章DOS/DDOS攻击和防御 (14)

一．DOS攻击： (14)

Syn flood (14)

Smurf attack (16)

Land-based attack (17)

Ping flood (18)

UDP flood (19)

Ping of death (20)

Teardrop attack (20)

Jolt2 attack (21)

Arp attack (21)

二．DDOS (21)

第三章其他类型的攻击 (26)

一．特洛伊木马(利用型攻击) (26)

二．IP地址欺骗 (27)

三．病毒和蠕虫 (28)

四．邮件炸弹 (31)

第四章防攻击能力测试 (32)

结束语 (33)

常见网络攻击和防御

前言

当今世界信息技术迅猛发展，人类社会正进入一个信息社会，社会经济的发展对信息资源，信息技术和信息产业的依赖程度越来越大。在信息社会中，信息已成为人类宝贵的资源。近年来Internet正以惊人的速度在全球发展，Internet技术已经广泛渗透到各个领域。然而，随着网络的迅猛发展，网络安全问题日趋严重，网络攻击活动日益猖獗。

根据几个月前DeloitteToucheTohmatsu所发布的调查显示，全球银行及保险业IT系统，遭到网络攻击的比例正在增加。

DeloitteToucheTohmatsu对全球100大财务机构的安全负责人进行专访，根据调查统计，83%的受访者表示在去年曾经遭到攻击。受访者并表示，在遭到攻击的情况当中，将近40%都有财务上的损失。

另外，信息安全厂商Symantec公司于6月21日公布2004年上半年网络安全威胁报告，报告中指出，从2002年下半年至今年上半年，美国一直蝉连全球最大的网络攻击来源国；中国大陆由去年下半年的第三名爬升为今年上半年的第二名，把加拿大挤到第三名，第四到第十名的网络攻击来源国多为欧洲国家。

目前，网络攻防技术已经成为当今社会关注的焦点。

第一章常见网络攻击概述：

常见的网络攻击大致包括以下几种：

一．信息收集

完成一次成功的网络攻击，第一步就是要收集目标站点的各种信息。信息收集并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息，信息收集技术是一把双刃剑，一方面攻击者在攻击之前需要收集信息，才能实施有效的攻击；另一方面，安全管理员用信息收集技术发现系统弱点并进行修复。它主要包括：利用信息服务，扫描技术和网络监听。

利用信息服务：

常用的有whois查询和DNS查询等。DNS是一个用于TCP/IP应用程序的分布式数据库，对于每一个DNS节点，包含有该节点所在的机器的信息、邮件服务器的信息和操作系统等信息。Nslookup用于对DNS服务器查询排错，是一个功能强大的客户程序，利用

nslookup，可以轻易把DNS数据库中的信息挖掘出来。Whois为internet提供目录服务，包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息。攻击者使用unix/linux，windows下的工具或直接通过Web查询也可以发现一些感兴趣的信息。

扫描技术：

主要包括主机扫描，端口扫描和操作系统扫描。主机扫描确定目标主机是否可达，主要用ICMP数据包。最常见的是利用ICMP echo和ICMP echo reply，即Ping sweep。

还可以用其他类型的ICMP报文进行扫描，比如类型为13和14，17和18的ICMP报文，另外还可以利用被探测主机产生的ICMP差错报文进行主机探测。端口扫描用于确定目标主机上开放的端口及服务，主要使用TCP和UDP报文轮询某些主机的特定端口，以确定该端口和服务是否开放。

操作系统扫描是利用操作系统对网络数据包的处理的差异来识别不同的操作系统，以便于后续的一些针对操作系统的攻击。主要手段是察看端口服务提供的信息和利用栈指纹技术

网络监听：

指截获网络上的数据包，分析其内容以获得有用信息。Windows下的sniffer pro和unix/linux下tcpdump和snort都是非常好的抓包工具。

二．拒绝服务和分布式拒绝服务攻击(DOS&DDOS)

DOS和DDOS攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。特别是DDoS攻击（分布式拒绝服务攻击），通过控制多台傀儡主机策划进攻，更加强了攻击的破坏性，甚至可以造成一些包括防火墙、路由器在内的网络设备的瘫痪。

攻击特点

1、种类繁多：有上千种之多，而且每天都会有很多新的方式出现，其中相当部分攻击类型是基于协议层缺陷，无法用升级系统和打补丁的方式预防。

2、破坏力强：全球诸多大型网络服务商都曾饱受其害，包括Yahoo(雅虎)、Amazon(亚马逊)、Microsoft(微软)、Ebay、美国白宫等等，国内受害单位也很多。

3、具有普遍性：攻击门槛低，攻击工具很多，一些具有初级安全知识的人也可以很容易策动和实施一次危害很大的攻击。

4、追查困难：高水平的DoS攻击几乎很难追查。

5、危害面广：除了导致主机宕机外，还可能导致整个网络瘫痪。

攻击类型

有两种一般的拒绝服务攻击类型。第一种是使一个系统或网络瘫痪。另一种是向系统或网络发送大量信息，使系统或网络不能响应。

三．利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令破解：

如果攻击者得到用户帐号以后能猜测或确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户所能访问到的任何资源。如果这个用户有root权限，这就更加危险了。获得口令的一个最普通的方法就是破解它，现在网上有很多基于windows和unix/linux 的口令破解的工具，比如ps.exe等，它们主要采用字典攻击和强行破解的方式。

特洛伊木马

特洛伊木马是一种直接由攻击者秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。木马的植入通常通过网络邮件和软件下载。