第2章黑客常用的系统攻击方法课件

主要内容

黑客概述网络扫描工具原理与使用 网络监听原理与工具木马拒绝服务攻击缓冲区溢出

第2章

黑客常用的系统攻击方法^^主要内容

黑客概述第2章黑客常用的系统攻击方法^^12.1黑客的由来

一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(softwarecracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。^^2.1黑客的由来一名黑客(hacker)是一2黑客原理与防范措施黑客发展的历史网络威胁网络扫描网络监听常用黑客技术的原理（木马、缓冲区溢出等）黑客攻击的防范^^黑客原理与防范措施黑客发展的历史^^3信息安全威胁的发展趋势^^信息安全威胁的发展趋势^^4攻击复杂度与所需入侵知识关系图^^攻击复杂度与所需入侵知识关系图^^52.1.2黑客攻击的动机贪心－偷窃或者敲诈，金融案件恶作剧–无聊的计算机程序员名声–显露出计算机经验与才智，以便证明他们的能力和获得名气报复/宿怨–解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人无知–失误和破坏了信息还不知道破坏了什么黑客道德-这是许多构成黑客人物的动机仇恨-国家和民族原因间谍－政治和军事目的谍报工作商业－商业竞争，商业间谍^^2.1.2黑客攻击的动机贪心－偷窃或者敲诈，金融案件^6黑客守则1)不恶意破坏系统2)不修改系统文档3)不在bbs上谈论入侵事项4)不把要侵入的站点告诉不信任的朋友5)在post文章时不用真名6)入侵时不随意离开用户主机7)不入侵政府机关系统8)不在电话中谈入侵事项9)将笔记保管好10)要成功就要实践11)不删除或涂改已入侵主机的帐号12)不与朋友分享已破解的帐号^^黑客守则1)不恶意破坏系统^^72.1.3黑客入侵攻击的一般过程

确定攻击的目标。收集被攻击对象的有关信息。被攻击对象所在网络类型、IP地址、操作系统类型和版本、系统管理员的邮件地址等。利用适当的工具进行扫描。扫描后对截获的数据进行分析，找出安全漏洞。建立模拟环境，进行模拟攻击。进行模拟攻击，检查被攻击方的日志，攻击者确定删除哪些文件来消除攻击过程中留下的“痕迹”。实施攻击。清除痕迹。^^2.1.3黑客入侵攻击的一般过程确定攻击的目标。^^8口令攻击通过猜测或获取口令文件等方式获得系统认证口令从而进入系统危险口令类型1）用户名2）用户名变形3）生日4）常用英文单词5）5位以下长度的口令暴力破解：举例NAT^^口令攻击通过猜测或获取口令文件等方式获得系统认证口令^^9网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析将被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色2.2网络安全扫描技术^^网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入10网络安全扫描技术分类一．一般的端口扫描器二．功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器

1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口^^网络安全扫描技术分类一．一般的端口扫描器1.合法11预备知识-OSI模型和TCP/IP协议栈^^预备知识-OSI模型和TCP/IP协议栈^^12TCP包首部^^TCP包首部^^13IP数据包16位总长度8位服务类型4位版本4位首部长度16位标识32位源IP地址8位生存时间协议首部校验和13位片偏移标志32位目的IP地址IP选项（可选）填充数据……^^IP数据包16位总长度8位服务类型4位版本4位首部长度16位14常用的扫描软件X-scannmapFluxayipscan^^常用的扫描软件X-scan^^15端口扫描程序Nmap

Nmap简介Nmap支持的四种最基本的扫描方式：（1）Ping扫描（-sP参数）。（2）TCPconnect()端口扫描（-sT参数）。（3）TCP同步（SYN）端口扫描（-sS参数）。（4）UDP端口扫描（-sU参数）。

^^端口扫描程序NmapNmap简介^^16NMAP的介绍Nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术，例如：UDP、TCP

connect()、TCP

SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas

Tree)、SYN扫描和null扫描。从扫描类型一节可以得到细节。nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口影射)，碎片扫描，以及灵活的目标和端口设定.^^NMAP的介绍Nmap是一个网络探测和17Nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well

known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止

nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。^^Nmap运行通常会得到被扫描主机端口的列表。18nmap–sPIP地址ping扫描，有时用户只想知道某一时段的哪些主机正在运行。Nmap通过向用户指定的网络内的每个IP地址发送ICMPrequest请求数据包，若主正在运行就会作出相应。ICMP包本身是一个广播包，无端口概念，非常适合用来检测指定网段内正在运行的主机数量。Nmap扫描类型（dos系统）^^nmap–sPIP地址Nmap扫描类型（dos系统）^19^^^^20nmap–sTIP地址

TCP

connect()扫描：这是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，

connect()就会成功返回，否则这个端口是不可达的。任何UNIX用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。^^nmap–sTIP地址

TCP

connect()21^^^^22nmap–sSIP地址

TCP同步扫描(TCP

SYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。你可以发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。^^nmap–sSIP地址

TCP同步扫描(TCP

S23^^^^24nmap–sUIP地址UDP扫描。此扫描方式用来确定被测目标主机哪个UDP端口开启。这一技术以发送零字节的UDP信息包到目标主机的各个端口，若收到一个ICMP端口无法到达的回应，那么此端口是关闭的，否则可以认为此端口是开启的。^^nmap–sUIP地址^^25^^^^26windows系统^^windows系统^^27^^^^28^^^^29^^^^30^^^^31^^^^32^^^^33（1）CGIScanner（2）AspScanner（3）从各个主要端口取得服务信息的Scanner（4）获取操作系统敏感信息的Scanner（5）数据库Scanner（6）远程控制系统扫描器专用扫描器的介绍^^（1）CGIScanner专用扫描器的介绍^^34企业级扫描系统一．优秀网络安全扫描系统的介绍：（1）ISS公司的InternetScanner（2）NAI公司的cybercopScanner二．系统（本地）扫描器和远程扫描器^^企业级扫描系统一．优秀网络安全扫描系统的介绍：^^35企业级扫描系统要素（1）速度（2）对系统的负面影响（3）能够发现的漏洞数量（4）清晰性和解决方案的可行性（5）更新周期（6）所需软硬件环境要求（7）界面的直观性和易用性（8）覆盖范围^^企业级扫描系统要素^^36网络安全扫描软件的局限性（1）扫描器难以智能化，不能完全代替人工分析（2）扫描器依赖升级工作，才能确保长期的有效性（3）使用扫描器，必须考虑到有关法律的规定和限制，不能滥用^^网络安全扫描软件的局限性（1）扫描器难以智能化，不能完全代37总结（1）扫描器和其它产品一样，只是一个工具，我们不能完全依赖他的工作，人的因素也是至关重要的。（2）扫描器能够发挥的功能取决于人，人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。（3）扫描器质量的好坏，在于开发公司在安全实践中积累的经验和更新能力。^^总结（1）扫描器和其它产品一样，只是一个工具，我们不能完全38补充：数据进入协议栈时的封装过程^^补充：数据进入协议栈时的封装过程^^39^^^^40SMB：ServerMessageBlockprotocol服务器信息块（SMB）协议是一种IBM协议，用于在计算机间共享文件、打印机、串口等。SMB协议可以用在因特网的TCP/IP协议之上，也可以用在其它网络协议如IPX（互联网分组交换协议）和NetBEUI（NetBiosEnhancedUserInterface，或NetBios增强用户接口）之上。SMB一种客户机/服务器、请求/响应协议。通过SMB协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。在TCP/IP环境下，客户机通过NetBIOSoverTCP/IP（或NetBEUI/TCP或SPX/IPX）连接服务器。一旦连接成功，客户机可发送SMB命令到服务器上，从而客户机能够访问共享目录、打开文件、读写文件，以及一切在文件系统上能做的所有事情。从Windows95开始，MicrosoftWindows操作系统（operatingsystem）都包括了客户机和服务器SMB协议支持。^^SMB：ServerMessageBlockproto41TCP工作过程TCP分三个阶段

第一阶段：连接建立（三次握手）

第二阶段：数据传输

第三阶段：连接拆除（四次握手）

^^TCP工作过程TCP分三个阶段

第一阶段：连接建立（三次握手42TCP三次握手

传输控制协议(TransportControlProtocol)是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。此处可靠性数据序列和确认提供保证。TCP通过数据分段(Segment)中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。要通过TCP传输数据，必须在两端主机之间建立连接。

^^TCP三次握手

传输控制协议(Tran43^^^^44^^^^45FINFIN的ACK

FINFIN的ACK客户端服务器端TCP连接的拆除TCP连接是全双工（数据在两个方向上能同时传输）^^FINFIN的ACKFINFIN的ACK客户端服务46TCP和UDP区别

TCP的传输是可靠的，UDP的传输是不可靠的。

TCP在发送数据包前都在通信双方有一个三次握手机制，确保双方准备好，在传输数据包期间，TCP会根据链路中数据流量的大小来调节传送的速率，传输时如果发现有丢包，会有严格的重传机制，从而以保证数据包可靠的传输。

对UDP来说，发送端有数据包我就发送，不会去理会对端的承受能力和链路状况。不同的应用层协议可能基于不同的传输层协议，如FTP、TELNET、SMTP、HTTP协议基于可靠的TCP协议。TFTP、SNMP、RIP基于不可靠的UDP协议。^^TCP和UDP区别TCP的传输是可靠的，47

TCP和UDP的端口号的编号都是独立的，都是0~65535。例如DNS，可以是TCP的53号端口，也可以是UDP的53号端口。端口号只具有本地意义，是拿来标识程序的。只有0~1023是公认的系统占用，其他在通信过程中是随机生成，此次传输完成即撤消。EchoProtocol应答协议

注解：主要用于调试和检测中。它可以基于TCP协议，服务器就在TCP端口7检测有无消息，如果使用UDP协议，基本过程和TCP一样，检测的端口也是7。是路由也是网络中最常用的数据包，可以通过发送echo包知道当前的连接节点有那些路径，并且通过往返时间能得出路径长度。

TCP和UDP的端口号^^TCP和UDP的端口号的编号都是独立的，48补充：网卡工作原理

网卡工作在数据链路层，数据以帧为单位传输。（帧头包括源和目的MAC地址）网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。2.3网络监听原理与工具^^补充：网卡工作原理网卡工作在数据链路层，49网卡的工作模式普通方式：前面所讲。混杂模式（promiscuous）：能够接收到所有通过它的数据。网卡不管数据包头的内容，让所有经过的数据包都传给操作系统处理，这样网卡就可以捕获所有经过网卡的数据帧。^^网卡的工作模式^^50Sniffer原理Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。^^Sniffer原理Sniffer，中文可以翻译为嗅探器,也就51Username:herma009<cr>Password:hiHKK234<cr>以太网（HUB）

FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009<cr>Password:hiHKK234<cr>^^Username:herma009<cr>Passwor52网络监听原理一个sniffer需要做的工作：把网卡置于混杂模式。捕获数据包。分析数据包^^网络监听原理一个sniffer需要做的工作：^^53HUB工作原理^^HUB工作原理^^54交换机的工作原理：存储/转发转发数据包前，交换机首先发送广播，让所有与交换机相连的主机都把自己的mac地址发送给他，这样交换机就知道哪个mac地址对应哪个端口（mac地址表)，假如你要给端口8发信息，你先把信息发给交换机，交换机先接收并存储起来，然后他通过mac地址表，查找与端口8相连的电脑，然后把信息传给相应的端口，这样就完成了信息的转发。^^交换机的工作原理：存储/转发转发数据包前55交换机不支持镜像时的SNIFF^^交换机不支持镜像时的SNIFF^^56交换机支持镜像时的SNIFF^^交换机支持镜像时的SNIFF^^57ARPspoofUsername:herma009<cr>Password:hiHKK234<cr>switch

FTP普通用户AIP:MAC:20-53-52-43-00-02服务器CIP:MAC:20-53-52-43-00-01

嗅探者BIP:MAC:20-53-52-43-00-03Switch的MAC地址表router^^ARPspoofUsername:herma009<c58常用的SNIFF

（1）windows环境下：图形界面的SNIFFnetxraysnifferpro（2）UNUX环境下：UNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit，snoop,tcpdump,dsniffEttercap(交换环境下)^^常用的SNIFF（1）windows环境下：图形界面的S59常用的SNIFFSnifferProEtherealNetmonitorEffTechHTTPSnifferIris^^常用的SNIFFSnifferPro^^60如何防止SNIFF进行合理的网络分段

用SSH（SecureSocketLayer）加密Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。防止内部攻击。AntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）^^如何防止SNIFF进行合理的网络分段^^61Ethereal/Wireshark分析数据包步骤：（1）选择数据包（2）分析数据包（3）分析数据包内容^^Ethereal/Wireshark分析数据包步骤：^^62^^^^63^^^^64^^^^65^^^^66^^^^67^^^^68^^^^69^^^^70^^^^71^^^^72^^^^73^^^^742.4木马（Trojanhorse）木马是一种基于远程控制的黑客工具隐蔽性潜伏性危害性非授权性^^2.4木马（Trojanhorse）木马是一种75木马与病毒的区别病毒程序是以自发性的败坏为目的木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。^^木马与病毒的区别病毒程序是以自发性的败坏为目的^^762.4.1木马的工作原理常见木马是C/S(Client/Server)模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口端口处于监听状态控制端^^2.4.1木马的工作原理常见木马是C/S(Client/S77

Server程序通过打开特定的端口（后门）进行监听(Listen)，攻击者掌握的client程序向该端口发出请求(connectrequest)，木马便和他连接起来，攻击者就可以使用控制器进入计算机，通过client程序命令对服务器端进行控制。^^Server程序通过打开特定的端口（后门）进782.4.2木马的分类远程访问型木马远程访问被攻击者的硬盘、进行屏幕监视等，当运行server程序时，若client获知服务器端IP地址，就可以实行远程控制。利用程序可以实现观察“受害者”正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。密码发送型木马找到隐藏的密码，在被攻击者不知情的情况下将密码发到指定的邮箱。^^2.4.2木马的分类远程访问型木马^^79键盘记录木马记录被攻击者的键盘敲击并在LOG文件查找密码。破坏型木马惟一的功能就是破坏、删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。（威胁计算机安全）^^键盘记录木马^^80代理木马黑客找到一台毫不知情的计算机，给它种上代理木马，让该计算机变成攻击者发动攻击的跳板。黑客会隐藏自己的踪迹。FTP木马打开21端口，等待用户连接。^^代理木马^^81^^^^822.4.3木马实施攻击的步骤

配置木马（1）木马伪装：木马配置程序在服务器端采用修改图标、捆绑文件、定制端口等伪装手段将自己隐藏。（2）信息反馈：木马配置程序对信息反馈或地址进行设置（邮件地址、IRC号（InternetRelayChat）、ICQ号(聊天软件，名称来自Iseekyou

)）。^^2.4.3木马实施攻击的步骤配置木马^^83传播木马传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，一运行这些程序，木马就会自动安装。

启动木马服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。^^传播木马^^84建立连接

木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种：信息反馈和IP扫描。远程控制^^建立连接^^85远程控制木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现窃取密码、文件操作、修改注册表、系统操作、锁住服务器等。^^远程控制^^862.4.4木马伪装方法1.木马文件的隐藏与伪装（1）文件的位置木马的服务器程序文件一般在系统文件所处的目录下，这样不敢随意删除，如果误删会导致计算机崩溃。（2）文件的属性木马文件属性设置为隐藏。（3）

捆绑到其他文件上将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

^^2.4.4木马伪装方法1.木马文件的隐藏与伪装^^87（4）

文件的名字木马文件名使用常见的文件名和扩展名，或者仿制一些不易被区别的文件名（如仿制系统文件名kernel32.dll）。（5）

文件的图标^^（4）

文件的名字^^88木马运行中的隐藏（1）在任务栏里隐藏（2）在任务管理器里隐藏木马将自己设为“系统服务”就不会出现在任务管理器了。（3）隐藏端口由木马的服务端主动连接客户端所在IP对应的电脑的80端口。相信没有哪个防火墙会拦截这样的连接（因为它们一般认为这是用户在浏览网页），所以反弹端口型木马可以穿过防火墙。

^^木马运行中的隐藏^^89木马启动方式

win.inisystem.ini启动组注册表捆绑方式启动伪装在普通文件中设置在超级连接中^^木马启动方式win.ini^^902.4.6木马的检测查看端口检查注册表检查配置文件^^2.4.6木马的检测查看端口^^91^^^^92发现木马的方法系统的异常情况打开文件，没有任何反应

查看打开的端口检查注册表查看进程^^发现木马的方法系统的异常情况^^93防御

发现木马：检查系统文件、注册表、端口不要轻易使用来历不明的软件不熟悉的E-MAIL不打开常用杀毒软件并及时升级查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机^^防御发现木马：检查系统文件、注册表、端口^^94木马传播方式主动与被动：主动种入通过E－mail文件下载浏览网页^^木马传播方式主动与被动：^^95^^^^96流行木马简介冰河backorificeSubseven网络公牛(Netbull)网络神偷(Nethief)Netspy(网络精灵)^^流行木马简介冰河^^97拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。2.5拒绝服务攻击(DoS)^^拒绝服务攻击即攻击者想办法让目标机器停止98从网络攻击的各种方法和所产生的破坏情况来看，DoS攻击对ISP、电信部门、DNS服务器、Web服务器、防火墙的影响非常大。DoS攻击的目的就是拒绝服务访问，破坏组织的正常运行，最终使部分Internet连接和网络系统失效。黑客DoS攻击的目的：（1）使服务器崩溃，其他人不能访问（2）黑客为了冒充某个服务器，将之瘫痪（3）DoS攻击重启服务器，便于安装的木马启动^^从网络攻击的各种方法和所产生的破坏情况99DoS--DenialofServiceDoS攻击的事件：2000年2月份的Yahoo、亚马逊、CNN被DoS攻击2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。^^DoS--DenialofService^^100DoS攻击分类死亡之ping：“ICMP风暴”SYNFlood攻击：疯狂发SYN包，不返回ACK包Land攻击：特别的SYN包（源IP地址和目的IP地址设置成被攻击服务器的IP）泪珠攻击（Teardrop）^^DoS攻击分类死亡之ping：“ICMP风暴”^^101拒绝服务攻击(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待应答SYN/ACK.........SYN：同步SYN/ACK:同步/确认^^拒绝服务攻击(DoS)(控制)....SYN/ACKSYN/102分布式拒绝服务攻击DDoSDDoS全名是DistributedDenialofservice(分布式拒绝服务攻击),很多DoS攻