入侵方法与手段PPT课件

.,0,入侵检测技术分析,.,1,入侵检测技术分析,第二章入侵方法与手段,.,2,第二章入侵方法与手段,网络入侵概述网络入侵的各种手段,.,3,2.1网络入侵概述,网络入侵在流程上具有一定的规律可寻。了解网络入侵者的思路和入侵手段是防范网络入侵的第一步。网络入侵的定义：使用一定技巧来获得非法或未授权的网络或文件访问，入侵进入内部网的行为。TCP/IP是早期为科学研究而设计的，在设计之初没有考虑网络信任和信息安全因素，早期的操作系统也注重于功能而忽略了安全问题，这些因素都成为了网络入侵者滋生的土壤，,.,4,2.1网络入侵概述,网络入侵的一般流程：确定目标信息收集漏洞挖掘攻击网络攻击系统留下后门清除日志结束攻击,.,5,主要入侵攻击方法,.,6,2.1网络入侵概述,典型网络入侵方法分析主机渗透方法简析口令破解漏洞攻击特洛伊木马攻击网络攻击方法简析拒绝服务攻击IP地址欺骗网络监听其它攻击方法病毒攻击社会工程攻击等,继续,.,7,口令破解,口令是主机安全的第一道防线.猜测口令也是网络入侵者渗透主机系统行之有效的方法.口令的安全与多种因素有关:口令的强度、口令文件的安全、口令的存储格式等。弱口令是口令安全的致命弱点增强口令的强度、保护口令存储文件、服务器合理利用口令管理工具是对付口令破解的必要措施。,返回,.,8,漏洞攻击,目前发现的网络设备和操作系统的漏洞多达上万种。在操作系统渗透攻击中被网络入侵者利用的最多的一种漏洞是缓冲溢出漏洞。此外，利用漏洞的攻击还有Unicode编码漏洞、SQLInjection漏洞等。漏洞大多数是由于开发者的疏忽而造成的。,返回,.,9,特洛伊木马在古希腊人同特洛伊人的战争期间，希腊人佯装撤退并留下一只内部藏有战士的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一种特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类程序称为特洛伊木马程序(Trojans)。,特洛伊木马攻击,.,10,特洛伊木马的概念从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。一些特洛依木马程序，一旦成功侵人对方计算机就可以拥有极高的权限，可以完成复制、更改、建立和删除客户机端的任何文件和目录，可以查获启动密码、用户密码、屏保密码，还可以对用户操作键盘进行记录，这意味着你的一举一动都在对方监视下，一切密码和口令对他来说都无任何意义了，对方可随意访问你的计算机系统。,.,11,特洛伊木马程序一般分为服务器端（Server）和客户端（Client）。服务器端是攻击者传到机器上的部分，用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分，放在攻击者的机器上。特洛伊木马程序能巧妙地运行在目标计算机系统里，而不容易被发现。现在有许多这类程序，如早期的Backorifice、NetBus和最近出现的sub7等，国内的此类软件有Netspy、YAI、冰河等。,.,12,特洛伊木马攻击,特洛伊木马技术是远程控制技术的一个实现，而特洛伊木马和商业远程管理工具相比具有以下几个特点：在未经授权情况下渗透远端主机被控制端的应用程序非常短小，便于上传被控制端的应用程序在运行时不会弹出任何提示和界面被控制端的应用程序一般具有自我保护功能，因此难以查杀新型的特洛伊木马已经开始与蠕虫、病毒技术相结合,返回,.,13,特洛伊木马程序和远程控制程序、病毒等其他攻击性程序相比既有相似之处，又有其它的特点。特洛伊木马程序具有隐蔽性强、功能特殊等特点。首先，木马程序更具有隐蔽性。它和远程控制软件是有区别的，木马总是想方设法地隐藏自己，而远程控制软件则是正常地运行。例如国内的血蜘蛛，国外的PcAnywnere等程序都是远程控制软件。血蜘蛛等服务器端程序在目标机器上运行时都会出现很醒目的标志。而木马类软件的服务器端在运行时会应用各种手段隐藏自己，如有些把服务器端和正常程序绑定成一个程序,.,14,另外，通常木马程序的功能都是十分特殊的，除了普通的文件操作外，有些木马程序还能够搜索cache中的口令、设置口令、扫描IP地址并发现入侵的机器、记录键盘操作、远程注册表操作，以及颠倒屏幕、锁定鼠标等。这里谈的只是很大一部分的木马工具，还有些水马工具的功能比较“专”，而工作的方式也不是客户机、服务器的方式，例如passwusender（中译名：口令邮差）的功能就是潜伏在目标机器里，搜集各种口令的信息，在目标上网的时候，秘密发送到指定的邮箱。,.,15,未来木马的发展方向特洛伊木马程序发展到今天，已经相当完善了，可以预测，在今后相当长的时间它还会继续其发展的脚步，使其攻击性和破坏性更加强大。从现在的形势来看，木马程序未来会向以下方向发展：1木马会和病毒结合，使自身具有更强的感染模式。传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要。目前，很多水马的感染方式已经开始在转变，像前一阶段的YAI事件，就给了我们很多的启发，它会像病毒一样的感染Windows下的文件。2跨平台性会更强。木马的使用者当然认为一个木马既可以在Windows9598下使用，也可以在WinNT、Windows2000下使用会更好。在9598下比较容易，但WinNT,Wndows2000都具有权限的保护，在它们下面使用木马需要更高的手段，如控制进程等。,.,16,3模块化设计思想更为明显。模块化设计是一种潮流，Winamp就是模块化设计的典范，现在的木马也有了模块化设计的程序，像BO、Netbus、Sub7等经典木马都有一些优秀的插件纷纷问世，这就是一个很好的说明。4即时通知特性。木马是否已经装入？目标在哪里？如果被攻击对象使用固定的地址，那就比较简单；如果目标使用的是动态IP地址怎么办？用扫描的方法慢了，现在的木马已经有了即时通知的功能，如IRC、ICQ通知等，但还是太少了，也许说不定某天木马程序的即时通知功能变成了一个专门的软件也说不定。5更强更多的功能。每个人都不是容易满足的，每当出现强大功能的时候，我们都会期望还有更强大的功能出现，以后的木马的功能会如何呢？究竟木马会发展到什么样的功能，谁也没法预测，但肯定会让大家大吃一惊。,.,17,木马分类,1远程访问型这是现在使用最广泛的特洛伊木马这类木马可以远程访问被攻击者的硬盘。例如RATS（一种远程访问木马），它使用起来非常简单。只需运行服务端程序并且得到受害人的IP，就可以访问到他的电脑，几乎在目标机器上干任何事。远程访问型特洛伊木马会在目标机上打开一个端口。一些特洛伊木马还可以可以改变端口的选项并且可以设置连接密码，为的是只能让攻击者来控制特洛伊木马。改变端口的选项非常必要的，因为一些常见木马的监听端口已经为广大用户所熟知了。远程访问型特洛伊木马每天都在出现，而且会继续出现。2密码发送型这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发到指定的信箱。这类特洛伊木马大多数会在每次Windows重启时重新运行，而且它们会使用25号端口发送EMail。如果目标机有隐藏密码，这些特洛伊木马是非常危险的。,.,18,3.键盘记录型这种特洛伊木马非常简单。它们只作一种事情，就是记录受害者的键盘输入并且在log文件中查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而运行。它们有像在线和离线记录这样的选项。在在线选项中，它们知道受害者在线并且记录每一件事。但在离线记录时，每一件事在Windows启动后才被记录，并且保存在受害者的磁盘上等待被移动。4毁坏型这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单，很容易使用。它能自动删除目标机的所有后缀名为dll和exe的文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。5.FTP型这类特洛伊木马程序打开目标的21号端口，使黑客可以用一个FTP客户端并且不用密码就连接到目标机，并拥有完全的上传和下载的权限。,.,19,拒绝服务攻击,拒绝服务攻击通过消耗目标主机或者网络的资源，使得目标主机无法为合法用户提供正常网络服务。分布式拒绝服务攻击则是利用多台计算机对单个或者多个目标同时发起拒绝服务攻击目前分布式拒绝服务攻击方式已经成为一个非常严峻的公共安全问题，成为网络攻击中最难应付的攻击方式之一。目前有了一些防御方法，如SynCookie、HIP（History-basedIPfiltering)、ACC控制等,返回,.,20,IP欺骗,IP欺骗包括序列号欺骗、路由攻击、源地址欺骗、授权欺骗等像rlogin、rcall、rsh等命令以IP地址为基础的验证。可以通过对IP堆栈进行修改，放入任意满足要求的IP地址，达到欺骗的目的。,返回,.,21,网络监听,网络监听工具可以提供给管理员，以监测网络的状态、数据流情况及网上传输的信息网络监听工具也是入侵者们常用的工具网络监听可以在网络上的任何位置实施，如局域网中的一台主机、网关或者交换机等。网络管理员一般选择在网关、路由器和防火墙上进行网络监听，这是监听效果最好的地方最方便部署网络监听的位置是局域网中的主机，这是大多数网络入侵者采用的方式。,返回,.,22,病毒攻击,随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了因特网发展以来面临的最大挑战之一,返回,.,23,社会工程攻击,社会工程攻击是利用社会工程学实施攻击的一种总称社会工程攻击是一个陷阱，入侵者通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。为了对付此类攻击，必须增强员工和用网人员的安全意识，加强组织和管理措施。,返回,.,24,社会工程学攻击,社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,返回,.,25,社会工程学攻击,目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。,返回,.,26,2.2漏洞扫描,扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序.扫描器不是直接实施攻击的工具,它仅能帮助网络入侵者发现目标系统的某些内在的弱点.扫描器有三项功能:发现一个主机或网络的状态可以判断处于运行的系统中有哪些服务已启动通过测试运行中的网络服务,发现漏洞按目的来分，扫描器可分为端口扫描器和漏洞扫描器.常见的端口扫描器有NMAP、portscan等；漏洞扫描器有ISS、NESSUS、SATAN等,.,27,2.2漏洞扫描,各种扫描方式TCPConnect扫描TCPSYS扫描TCPFIN扫描TCPXmas树扫描TCP空扫描TCPACK扫描UDP扫描,.,28,漏洞扫描,扫描器：扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的安全问题。扫描器有三项功能：1、发现一个主机或网络；2、一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上；3、通过测试这些服务，发现漏洞。,.,29,TCPConnect扫描,.,30,TCPSYN扫描,这种扫描方法没有建立完整的TCP连接，有时也被称为“半打开扫描（half-openscanning）”。其步骤是先往端口发送一个SYN分组。如果收到一个来自目标端口的SYN/ACK分组，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个RST/ACK分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。,.,31,TCPFIN扫描,这种扫描方法是直接往目标主机的端口上发送FIN分组。按照RFC793，当一个FIN分组到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST分组。否则，当一个FIN分组到达一个打开的端口，分组只是简单地被丢掉（不返回RST分组）。,.,32,TCPXmas扫描,无论TCP全连接扫描还是TCPSYN扫描，由于涉及TCP三次握手很容易被远程主机记录下来。Xmas扫描由于不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。这种扫描向目标端口发送一个FIN、URG和PUSH分组。按照RFC793，目标系统应该给所有关闭着的端口发回一个RST分组。,.,33,TCP空扫描,这种扫描发送一个关闭掉所有标志位的分组，按照RFC793，目标系统应该给所有关闭着的端口返回一个RST分组。,.,34,TCPACK扫描,这种扫描一般用来侦测防火墙，他可以确定防火墙是否只是支持简单的分组过滤技术，还是支持高级的基于状态检测的包过滤技术。,.,35,UDP扫描,这种扫描往目标主机的端口发送UDP数据分组，如果目标端口是关闭状态，则返回一个“ICMP端口不可达（ICMPportunreachable）”消息。否则，如果没有收到上述返回信息，可以判断该端口是开启的。,.,36,OSFingerprint探测是网络入侵者攻击中的重要环节，常见的方法如下：一些端口服务的提示信息TCP/IP栈指纹DNS泄漏OS系统等,.,37,OSFingerprint技术,许多漏洞是系统相关的，而且往往与相应的版本对应，同时从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,因此操作系统指纹探测成为了黑客攻击中必要的环节。如何辨识一个操作系统是OSFingerprint技术的关键，常见的方法有：l一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息；lTCP/IP栈指纹；lDNS泄漏出OS系统等等。,.,38,2.3口令破解,恶意黑客的目的就是以尽可能高的权限运行代码，这就需要获取最高权限的账户，而口令破解是获得系统最高权限账户的最有效的途径之一。Windows口令文件的格式及安全机制UNIX口令文件的格式及安全机制,.,39,2.3口令破解,破解原理及典型工具工具一PasswordCracker工具二LOphtCrack,.,40,口令破解提纲,口令破解方法：字典、暴力口令破解方式：离线、在线Windows登录口令验证过程Linux口令破解,.,41,口令破解提纲,口令破解方法：字典、暴力口令破解方式：离线、在线Windows登录口令验证过程Linux口令破解,.,42,字典破解，Dictionaryattack,密码破解的首选通过破解者对用户的了解，猜测其可能使用某些信息作为密码，例如姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来生成密码破解字典。成功率高，速度快,.,43,字典破解工具,L0PHTCrackerLC5wasdiscontinuedbySymantecin2006WIKISamInsideWindowsNT/2000/XP/2003/VistaWIKIPasswordsproforuserhashes(MD5,MD4,MySQL,SHA-1,DES),.,44,阅读,了解黑客最喜欢的五种网络口令-中国IT实验室,.,45,在常用的电子字典密码破解工具中融入了很多常规的密码设置心理首先看密码是否为空第二检查密码是否跟用户名一致对于8位密码，可在一分钟之内根据用户名排列出所有的组合管理员可以限制用户设置与用户名相同的密码采用锁定策略用户要有安全意识，使用破解较为困难的密码例如采用数字、字符（大小写）以及一些特殊符号组成不要有什么实际意义不要纯数字或纯字符的密码,.,46,暴力破解，bruteforceattack,对密码可能使用的字符和长度进行设定后，对所有可能的密码组合逐个实验例如限定为所有英文字母和所有数字，长度不超过8花费时间长，随字符集规模和长度的变化非常大,.,47,口令破解,口令破解方法：字典、暴力口令破解方式：离线、在线Windows登录口令验证过程Linux口令破解,.,48,离线破解,得到口令文件，在别的计算机上进行破解加密算法，通常与OS的类型和版本相关,候选口令产生器,口令加密,密码比较,输出匹配口令,匹配,不匹配,.,49,在线破解,攻击者不断的尝试各种口令试图登录目标主机。目标主机中，某些低级的帐号的口令往往比较容易被尝试成功，攻击者可以使用这样的帐号进入系统获取密码存放文件，然后进行离线破解高权限的口令例如Windows的SAM文件、Linux的passwd等等,.,50,口令破解,口令破解方法：字典、暴力口令破解方式：离线、在线Windows登录口令验证过程Linux口令破解,.,51,Windows登录口令验证过程,FROM：,.,52,登录Windows2000时首先尝试Kerberos作为基本验证方式若找不到KDC服务，则使用NTLM安全机制来验证本地SAM用户,关于kerberos,.,53,登录过程,WinLogon,GINA,LSA,协商,SSPI,NTLMSSP,KerberosSSP,.,54,Winlogon,1）输入用户名和密码GINALSA2）LSASSPI3）SSPIKerberosSSP，检查目的机器是本机还是域名本机：返回错误消息给SSPISSPI通知GINA4）GINALSA5）LSASSPINTLMdriverMSV1-0SSP实用netlogon服务和本地SAM来验证6）若上述都不能验证，提示用户,.,55,SAM文件,保存两个不同的口令信息LanManger（LM）口令散列算法加强版的加密NT版（NTLM）,.,56,LM散列算法,口令对齐到14位小于14位，用0补齐大于14位，尾部丢弃口令分成两组，每组7位，分别生成8位的DES密钥，再分别使用一个magic数进行加密Magic数：将0 x4B47532140232425用全是1的一个KEY加密而成（KGS!#$%）将两组加密后的字符串连在一起，组成最终的口令散列,.,57,NTLM散列算法,将用户的口令转换成unicode编码使用MD4算法将口令加密,.,58,工具：字典生成器（？）LC5口令破解程序（？）内容：口令破解暴力破解,.,59,口令破解,口令破解方法：字典、暴力口令破解方式：离线、在线Windows登录口令验证过程Linux口令破解,.,60,Linux口令破解,Passwd文件阴影口令和shadow文件Crypt函数FC5口令加密Linux口令破解对策,.,61,Linux口令破解,Passwd文件阴影口令和shadow文件Crypt函数FC5口令加密Linux口令破解对策,.,62,口令加密函数crypt函数,Linux的用户口令通过crypt函数加密产生char*crypt(constchar*key,constchar*salt);其中，key是用户输入的口令；salt是新建用户时系统随机生成的一个字符串，A-Z,a-z,0-9crypt提供两种加密算法：DES和MD5选择使用哪个加密算法，根据salt的长度决定2位时，DES，此时crypt得出的结果有4096中可能8位时，MD5，结果的可能性急剧加大,.,63,Linux口令破解,Passwd文件阴影口令和shadow文件Crypt函数FC5口令加密Linux口令破解对策,.,64,FC5口令加密,FedoraCore5Linux系统中，使用crypt函数关于/etc/shadow只有root用户可以访问破解难度大假设已经获得root权限？,.,65,Linux口令破解,Passwd文件阴影口令和shadow文件Crypt函数FC5口令加密Linux口令破解对策,.,66,Linux口令破解对策,自己使用口令破解程序，找到机器中存在的脆弱口令，并加以更改经常检查日志文件/var/log/messages，看看FAILEDLOGIN的情况使用阴影口令若没有使用阴影口令，则1）使用pwck命令检查passwd文件完整性2）使用pwconv命令转换到阴影指令,.,67,2.4拒绝服务攻击,拒绝服务攻击的方式有很多种。最基本的拒绝服务攻击就是利用合理的服务请求来占用过多的服务资源。有许多拒绝服务的程序在网络中散布：TribeFloodNetwork,tfn2k,smurf,targa等,.,68,拒绝服务攻击是由人或非人为发起的行动，使你的主机硬件、软件或者两者同时失去工作能力，使你的系统不可访问并因此拒绝合法的用户服务要求。这种攻击往往是针对TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻致使攻击目标无法向合法的用户提供正常的服务。拒绝服务攻击简单有效，能够产生迅速的效果。2000年2月9日，美国著名的搜索引擎Yahoo、新闻网站CNN、Amazon、eBay等大网站都受到大规模的分布式拒绝服务攻击，服务器连续十几个小时无法工作，造成高达12亿美元的经济损失。,.,69,攻击者并不单纯为了进行拒绝服务攻击而攻击，往往是为了完成其他的攻击而必须做的。例如：在目标主机上放了木马，需要让目标主机重启；为了完成IP欺骗，而使被冒充的主机瘫痪；在正式攻击之前，使目标主机的日志系统不能正常工作。,.,70,2.4拒绝服务攻击,典型拒绝服务攻击的手段SYN湮没Land攻击Smurf攻击TeardropPingofDeath,.,71,常用的拒绝服务攻击,1.ping拒绝服务攻击“ping”攻击是向目标端口发送大量的超大尺寸的ICMP包来实现的。当这些ICMP包在目标机的缓冲区重新组合时，由于这些包的尺寸实在太大以致造成缓冲区溢出，从而导致系统崩溃。这类攻击只要简单地使用命令：pingl65510目标主机IP。,.,72,2.Land攻击Land攻击由著名黑客组织rootshell发现，原理比较简单，就是向目标机发送源地址与目的地址一样的数据包，造成目标机解析Land包占用太多资源，从而使网络功能完全瘫痪。,.,73,3.SYNflood攻击SYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：（Three-wayHandshake）。,.,74,大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手,.,75,问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。,.,76,Smurf攻击,Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量数据充斥目标系统，引起目标系统不能为正常系统进行服务。简单的Smurf攻击将ICMP应答请求（ping）数据包的回复地址设置成受害网络的广播地址，最终导致该网络的所有主机都对此ICMP应答请求作出答复，从而导致网络阻塞。因此它比pingofdeath攻击的流量高出一到两个数量级。复杂的Smurf攻击将源地址改为第三方的受害者，最终导致第三方崩溃。,.,77,Teardrop攻击,Teardrop是一种拒绝服务攻击，可以令目标主机崩溃或挂起。目前多数操作系统已经升级或有了补丁程序来避免受到这种攻击。Teardrop攻击和其他类似的攻击发出的TCP或UDP包包含了错误的IP重组信息，这样主机就会使用错误的信息来重新组合成一个完整的包。结果造成崩溃、挂起或者执行速度极其缓慢。,.,78,PingofDeath攻击,PingofDeath攻击是利用网络操作系统（包括UNIX的许多变种、windows和MacOS等）的缺陷，当主机接收到一个大的不合法的ICMP回应请求包（大于64KB）时，会引起主机挂起或崩溃。,.,79,2.5分布式拒绝服务攻击,DDos攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式被DDos攻击时的现象被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假IP地址制造高流量无用数据，造成网络拥塞利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求。严重时会造成系统死机,.,80,DDoS(分布式拒绝服务攻击)分布式拒绝服务攻击(DistributedDenialofService，DDoS)是一种崭露头角的攻击方法。分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以，对这种攻击还无计可施。为了找出这种攻击的漏洞，从而有效地监测和捕获这种入侵，必须对其所用的工具进行具体分析。,.,81,DDoS采用一种三层客户服务器结构。如图所示：,.,82,攻击者首先控制多个攻击服务器，然后再由攻击服务器去控制多个攻击器，执行器都是一些相对简单的程序，它们接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，无法识别它的来源。而且，这些包所请求的服务往往要消耗较大的系统资源，如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。这样，目标主机根本无法为用户提供任何服务。,.,83,现在已知的能够执行这种任务的程序主要包括trin00、TFN(TribeFloodNetwork)、randomizer以及它们的一些改进版本，如TFN2k等。由于攻击主控台的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽，难以定位。一旦攻击的命令传送到服务器，主控台就可以关闭或脱离网络，以逃避追踪。接着，攻击服务器将命令发布到各个攻