网络安全课程-第6章-黑客入侵与防范

第6章

黑客入侵与防范

本章主要内容：

1:黑客入侵概述重点:2:端口扫描重难点:3:网络监听

4:口令破译

5:IP欺骗重难点:6:木马重难点:7:拒绝服务攻击

8:电子邮件攻击难点:9:缓冲区溢出黑客常用的攻击手段、工具及技术1:黑客入侵概述黑客攻击复杂度与所需入侵知识关系图Hacker的由来:黑客一诩来自于英语HACK,在美国麻省理工学院校园俚语中是”恶作剧”的意思,尤其是佛那些技术高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，他们并不破坏别人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。骇客（Cracker）：恶意闯入他人计算机或系统，意图盗取敏感信息的人，对于这类人最合适的用词是Cracker。二者不同:Hacker们创造新东西,Cracker们破坏东西。试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人被称做“白帽黑客”。黑客发展的历史黑客(骇客)攻击的动机贪心－偷窃或者敲诈恶作剧–无聊的计算机程序员名声–显露出计算机经验与才智，以便证明他们的能力和获得名气报复/宿怨–解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人无知–失误和破坏了信息还不知道破坏了什么黑客道德-这是许多构成黑客人物的动机仇恨-国家和民族原因间谍－政治和军事目的谍报工作商业－商业竞争，商业间谍黑客入侵攻击的一般过程

1.

确定攻击的目标。2.

收集被攻击对象的有关信息。3.

利用适当的工具进行扫描。4.

建立模拟环境，进行模拟攻击。5.

实施攻击。6.清除痕迹。网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色

2:网络安全扫描技术网络安全扫描技术分类一．一般的端口扫描器二．功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器网络安全扫描技术的应用1.合法使用：（1）检测自己服务器端口，以便给自己提供更好的服务；（2）扫描软件是网络安全工程师修复系统漏洞的主要工具。如：一个系统存在“ASP源代码暴露”的漏洞，防火墙发现不了这些漏洞，入侵检测系统也只有在发现有试图获取ASP文件源代码的时候才报警，而通过扫描工具，可以提前发现系统的漏洞，打好补丁，做好防范。2.非法使用：查找服务器的端口，选取最快的攻击端口。扫描器的主要功能检测主机是否在线扫描目标系统开放的端口，测试端口的服务信息。获取目标系统的敏感信息。破解系统口令。扫描其他系统敏感信息，如：CGIScaner、ASPScaner、从各个主要端口取得服务信息的Scaner、数据库Scaner以及木马Scaner等。3:网络监听(嗅探)Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网卡工作原理网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢弃不管；认为该接收就在接收后产生中断信号通知CPU，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡的工作模式普通方式：混杂模式（promiscuous）：够接收到一切通过它的数据如果一台网卡被配置成混杂模式，它（包括其软件）就是一个嗅探器。Username:herma009<cr>Password:hiHKK234<cr>以太网（HUB）

FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009<cr>Password:hiHKK234<cr>网络监听原理一个sniffer需要作的：把网卡置于混杂模式。捕获数据包。分析数据包HUB工作原理在共享式网络中很容易实现网络监听。交换环境下的SNIFF由于交换机的工作原理与HUB不同，如果在B计算机上安装了Sniffer软件，它也只能收到发给自己的广播数据包无法监听别人的数据。镜像的监控端口交换环境下的监听那么，在交换环境下就不会被别人监听了吗？答案是否定的。原因：现在许多交换机都支持镜像的功能，能够把进入交换机的所有数据都映射到监控端口，这样就可以监听所有的数据包，从而进行数据分析。镜像的目的主要是为了网络管理员掌握网络运行情况，而采用的手段就是监控数据包。要实现上述功能必须对交换机进行设置才可以，所以在交换环境下对于黑客来说很难实现监听，但他们也有其他的办法，如ARP欺骗；破坏交换机的工作模式，使其广播式处理数据；等等。4:口令攻击通过猜测或获取口令文件等方式获得系统认证口令从而进入系统危险口令类型.用户名.用户名变形.生日.常用英文单词.5为以下长度的口令暴力破解：举例NAT5:IP地址欺骗一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

比较著名的SQLServer蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQLServer解析程序（SQLServer2000以后版本）的服务器，这样由于SQLServer解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。

6:木马（Trojanhorse）木马是一种基于远程控制的黑客工具,具有如下性质:隐蔽性潜伏性危害性非授权性常见的普通木马一般是客户端/服务器端（C/S）模式，客户端/服务器端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ConnectRequest）,木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。木马的工作原理木马的工作原理实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态木马传播方式主动与被动：主动种入通过E－mail文件下载浏览网页木马实施攻击的步骤1.

配置木马：成熟的木马都有木马配置程序以实现下述两个功能。（1）木马伪装：如修改图标、捆绑文件、定制端口、自我销毁等。（2）信息反馈：2.

传播木马：有两种方式，一种是通过E-mail，另一种是通过软件下载。3.

启动木马：捆绑木马的程序只要运行，木马就运行了。4.

建立连接：需要满足两个条件，一是服务器端安装了木马程序，二是控制端、服务器端都要在线。5.

远程控制：控制服务器端，实现窃取密码、文件操作、修改注册表、锁住服务器端等。木马伪装方法1.木马文件的隐藏与伪装

（1）文件的位置：C:\WINNT或C:\WINNT\system32或C:\WINNT\temp目录下。（2）文件的属性：隐藏。（3）

捆绑到其他文件上：可执行文件.EXE或.COM上。（4）

文件的名字：如，冰河木马文件名kernl132.exe,Windows系统本身正常的文件名有kernel132.dll。注意0和o的区别（5）

文件的的扩展名：如.jpg.exe，显示*.jpg,Windows默认设置不显示文件扩展名。（6）文件的图标：更改服务器端文件图标来伪装自己。木马运行中的隐藏与伪装（1）

在任务栏里隐藏：是最基本的隐藏方式，以VB为例，只要把from的visible属性设置为False,ShowInTaskBar设为False，程序就不会出现在任务栏里了。（2）

在任务管理器里隐藏：按下Ctrl+Alt+Del打开任务管理器，查看正在运行的进程，可发现木马进程,木马把自己设为”系统服务”就不会出现在任务管理器里了.添加系统服务的工具有很多,最典型的netservice,可手工添加系统服务.（3）隐藏端口:大部分木马一般在1024以上的高端口驻留,易被防火墙发现.现在许多新木马采用端口反弹技术,客户端使用80端口、21端口等待服务器端（被控制端）主动连接客户端（控制端）。端口反弹技术反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是，客户端首先到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过NAT（透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用"netstat-a"命令检查自己的端口，发现的也是类似"TCP

UserIP:3015

ControllerIP：http

ESTABLISHED"的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。木马启动方式

1、在配置文件中启动（1）在Win.ini中在一般情况下,C:\WINNT\Win.ini的”Windows”字段中有启动命令“load=”和”Run=”的后面是空白的,如果有后跟程序，例如：Run=C:\WINNT\File.exeload=C:\WINNT\File.exe,这个File.exe极可能是木马。（2）在system.ini中C:\WINNT\system.ini的2、启动组3、注册表4、捆绑方式启动:5、伪装在普通文件中6、设置在超级连接中木马启动方式发现木马的方法系统的异常情况打开文件，没有任何反应

查看打开的端口检查注册表查看进程防御

发现木马：检查系统文件、注册表、端口不要轻易使用来历不明的软件不熟悉的E-MAIL不打开常用杀毒软件并及时升级查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机木马与病毒、远程控制的区别病毒程序是以自发性的败坏为目的。木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。木马程序和远程控制的相同点：都是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它们的运行都遵照TCP/IP协议。其程序编制技术和攻击系统的手段也几乎没有什么区别。木马与远程控制的最大区别：就是木马具有隐蔽性而远程控制软件没有。例如，国内血蜘蛛，国外的PCAnywhere等都是远程控制软件，血蜘蛛等server端在目标机器上运行时，目标机器上会出现很醒目的标志。而木马类的软件的server端在运行的时候应用各种手段隐藏自己。7:拒绝服务攻击(DoS)什么叫拒绝服务攻击DOS是使计算机或网络无法提供正常的服务。DOS攻击种类：带宽攻击连通性攻击带宽攻击：指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。在上述攻击原理下，针对所攻击的服务和协议不同，它又有许多种不同的攻击方式。拒绝服务攻击(DoS)拒绝服务攻击：DoS--DenialofServiceDoS攻击的事件：

2000年2月份的Yahoo、亚马逊、CNN被DoS攻击

2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。

2003年1月25日的“2003蠕虫王”病毒

2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。

死亡之ping,TCPSYNFlood,Land攻击,泪珠（Teardrop）攻击……行行色色的DOS攻击死亡之ping死亡之ping原理：在早期，路由器对包的大小是有限制的，许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。根据ICMP数据包的的标题头里包含的信息来有效生成缓冲区。当ICMP包大小超过64kB，就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。死亡之ping防御防御死亡之ping攻击的基本方法：现在所有的标准TCP/IP协议都已具有对付超过64kB大小数据包的能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析自动过滤这些攻击。TCPSYN洪水攻击TCPSYNFlood：

TCPSYN洪水攻击应用最广、最容易实现TCPSYN洪水攻击原理：TCP/IP栈只能等待有限数量的ACK应答消息，因为每台计算机里用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区冲满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。TCPSYN洪水攻击利用了TCP/IP协议的这一系统漏洞来进行攻击。要明白其具体的攻击过程，需理解TCP协议建立连接的三次握手过程。TCP协议建立连接的三次握手过程三次握手：（1）建立发起者向目标计算机发送一个TCPSYN报文。（2）目标计算机收到这个SYN报文后，在内在中创建TCP连接控制块（TCB），然后向发起者回送一个TCPACK报文，等待发起者的回应。（3）发起者收到TCPACK报文后，再回应一个ACK报文。攻击原理：攻击过程与TCP连接的三次握手过程基本一样，只是在最后一步发起者收到TCPACK报文后不向目标计算机回应ACK报文，这样导致目标计算机一直处于等待状态；如果目标计算机接收到大量的TCPSYN报文，而没有收到发起者的ACK回应，会一直等待，处于这种尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。注：TCB，线和控制块，PCB，进程控制块TCPSYN洪水攻击防御TCPSYN洪水攻击原理：攻击者在实施TCPSYN洪水攻击时，首先利用伪造的IP地址向目标发出多个连接（SYN）请求目标系统在接收到请求后发送确认信息并等待回答；由于黑客发送请示的IP地址是仿造的，所以确认信息不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了；而在没有接收到任何应答之前，目标计算机系统是不会主动放弃连接的会继续在缓冲区中保持相应连接信息；当达到一定数量的的等待连接之后，缓冲区内存资源耗尽，从而开始拒绝接收任何其他连接请求。防御方法：在防火墙上过滤来自同一主机的后续连接。攻击者

目标主机SYNSYN/ACKSYN/ACK等待应答SYN：同步SYN/ACK:同步/确认TCPSYN洪水攻击TCPSYN洪水攻击....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待应答SYN/ACK.........DDoS攻击时序(分布式拒绝服务)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统攻击准备：安置代理代理程序DDoS攻击时序(分布式拒绝服务)

3)攻击者使他的全部代理程序同时发送由残缺的数据包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数据包攻击目标系统，最终将导致它因通信阻塞而崩溃。虚假的连接请求DDoS攻击时序(分布式拒绝服务)DDoS攻击时序(分布式拒绝服务)

从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。

攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。ICMP与UDP洪水攻击ICMP洪水攻击：正常情况下为了对网络进行诊断，一些诊断程序，如PING等，会发出ICMP响应请求报文（ICMPECHO），接收计算机收到（ICMPECHO）后，会回应一个ICMPECHOReply报文，而这个过程是需要CPU处理的，有的情况下还可能消耗大量的资源，比如处理分片的时候；这样，如果攻击者向目标计算机发送大量的ICMPECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文而无法处理其他的网络数据报文，这就是ICMP洪水攻击，也是一种DOS。UDP洪水攻击：与ICMP洪水攻击类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。ICMP与UDP洪水攻击防御关掉不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的ICMP和UDP请求报文。分片IP报文攻击分片IP报文攻击原理:为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易地把这些IP分片报文重组起来.目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构.如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样被攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量这样的分片报文,就会消耗掉目标计算机的资源,而导致不能处理正常的IP报文,这也是一种DOS攻击.分片IP报文攻击防御防御分片IP报文攻击方法:对于这种攻击方式,目前还没有一种十分有效的防御方法。原因：一些包过滤设备或者入侵检测系统,首先通过判断目的端口号来采取允许/禁止措施.但是,由于通过恶意分片使目的端口位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过.但是,这些分片在目标主机上进行重组后将形成各种攻击.当然,目前一些智能的包过滤设备可直接丢掉报头中未包含端口信息的分片,但这样的设备目前价格比较昂贵,不是每个企业能承受得起的.泪滴（teardrop）攻击泪滴（teardrop）攻击原理:对于大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求,比如,一个6000字节的IP包,在MTU为2000字节的链路上传输时,就需要分成三个IP包.在IP报头中有一个偏移字段和一个拆分标志(MF),如果MF标志设置为1,则表明这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置.例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:0、2000、4000。这样，接收端在全部接收完IP数据包后，就可以根据这些信息重新组装这几个分次接收的IP数据包。在这里就出现了一个安全漏洞：如果黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后就不能按数据包中的偏移字段值正确重组这些拆分的数据包，但接收端会不断尝试，这样，就可能致使目标计算机操作系统因资源耗尽而崩溃。防御泪滴（teardrop）攻击IP分段含有指示该分段所包含的是原包的哪一段信息，某些操作系统的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃，不过，新的操作系统已基本上能自己抵御这种攻击了。防御泪滴（teardrop）攻击的基本方法：尽可能采用新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。Land攻击Land攻击原理：

Land攻击与TCPSYN洪水攻击类似，也是利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCPSYN报文（连接建立请求报文）而写成对目标计算机的攻击。与TCPSYN洪水攻击的方法不同的是，这里并不是不给TCK响应，而是给被攻击方发送一个源IP地址和目的IP地址相同的假TCPSYN报文，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的原地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源IP地址就是自己，因此，这个ACK报文就发给了自己。如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能提供正常服务，这也是一种DOS攻击。防御Land攻击防御Land攻击的基本方法：这类攻击的检测方法相对来说比较容易，因为可以直接从判断网络数据包的源IP地址与目的IP地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当的配置防火墙设备或包过滤路由器的包过滤规则，过滤掉那些源地址与目标地址一样的数据包，从而可以有效的分析并跟踪攻击来源。Smurf攻击Smurf攻击原理：

Smurf攻击利用的是多数路由器具有的同时向许多计算机广播请求的功能。ICMPECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一ICMPECHOREPLY。一般情况下，计算机是不检查该ECHO请求的源地址的。攻击者伪造一个合法的IP地址，然后由网络所有的路由器广播要求受攻击的计算机做出回答请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中所有系统向这个地址做出应答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们的目的了。这种Smurf攻击比以前介绍的PingofDeath洪水攻击的流量高出一到两个数量级，更容易攻击成功。还有些新型的Smurf攻击，将源地址改为第三方受害者（不再采用伪装的IP地址），最终导致第三方雪崩。除了把ECHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网内的计算机就可能受影响。防御Smurf攻击防御Smurf攻击的基本方法：（1）为防止系统成为smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。（2）挫败一个smurf

攻击的最简单方法对边界路由器的回音应答(echoreply)信息包进行过滤，然后丢弃它们，这样就能阻止“命中”Web服务器和内网。对于那些使用Cisco路由器的人，另一个选择是CAR(CommittedAccessRate，承诺访问速率)。

Fraggle攻击Fraggle攻击原理：Fraggle攻击实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。因为黑客们清楚UDP协议更不易被用户们全部禁止。同时，Fraggle攻击

使用了特定的端口（通常为7号端口，但也有许多使用其他端口实施Fraggle攻击的），攻击方式与Smurf攻击基本类似，这里不再赘述。

WinNuke

攻击NetBIOS作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（IPC），以及不同操作系统之间的数据交换。一般情况下，NetBIOS是运行在LLC2链路协议之上的，是一种基于组播的网络访问接口。为了在TCP/IP协议栈上实现NetBIOS，RFC规定了一系列交互标准，以及几个常用的TCP/UDP端口：

139：NetBIOS会话服务的TCP端口；

137：NetBIOS名字服务的UDP端口；

136：NetBIOS数据报服务的UDP端口。

WINDOWS操作系统的早期版本（WIN95/98/NT）的网络服务（文件共享等）都是建立在NetBIOS之上的，因此，这些操作系统都开放了139端口（最新版本的WINDOWS2000/XP/2003等，为了兼容，也实现了NetBIOSoverTCP/IP功能，开放了139端口）。

WinNuke攻击就是利用了WINDOWS操作系统的一个漏洞，向这个139端口发送一些携带TCP带外（OOB）数据报文，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

虚拟终端（VTY）耗尽攻击这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

逻辑炸弹逻辑炸弹其本质是一种数据欺骗。1996年7月31日，美国一家大型制造商的计算机系统管理员罗依德，因不受公司器重而报复公司，将自己编写的逻辑炸弹提前30天埋在了公司的计算机生产系统中，在收到解雇通知后随即引爆了逻辑炸弹，不仅给公司造成1千万美元的直接经济损失，更严重的是使公司在本领域的名声从此一蹶不振。畸形消息攻击如果收到畸形的信息各类操作系统上的许多服务都会崩溃，由于这些服务在处理信息之前不能对他们进行适当的错误检验。目前无论是Windows、Unix、Linux等各类操作系统上的许多服务都存在安全隐患问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，所以一旦在收到畸形的信息就有可能会崩溃。防御畸形消息攻击:安装最新的服务补丁.

Script攻击

Script是一种可执行的脚本，它一般由一些脚本语言写成，比如常见的JAVASCRIPT，VBSCRIPT等。这些脚本在执行的时候，需要一个专门的解释器来翻译，翻译成计算机指令后，在本地计算机上运行。这种脚本的好处是，可以通过少量的程序写作，而完成大量的功能。

这种SCRIPT的一个重要应用就是嵌入在WEB页面里面，执行一些静态WEB页面标记语言（HTML）无法完成的功能，比如本地计算，数据库查询和修改，以及系统信息的提取等。这些脚本在带来方便和强大功能的同时，也为攻击者提供了方便的攻击途径。如果攻击者写一些对系统有破坏的SCRIPT，然后嵌入在WEB页面中，一旦这些页面被下载到本地，计算机便以当前用户的权限执行这些脚本，这样，当前用户所具有的任何权限，SCRIPT都可以使用，可以想象这些恶意的SCRIPT的破坏程度有多强。这就是所谓的SCRIPT攻击。

ActiveX攻击ActiveX是一种控件对象，它是建立在MICROSOFT的组件对象模型（COM）之上的，而COM则几乎是Windows操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，COM提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至与操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如DLL库。ActiveX控件可以嵌入在WEB页面里面，当浏览器下载这些页面到本地后，相应地也下载了嵌入在其中的ActiveX控件，这样这些控件便可以在本地浏览器进程空间中运行（ActiveX空间没有自己的进程空间，只能由其它进程加载并调用），因此，当前用户的权限有多大，ActiveX的破坏性便有多大。如果一个恶意的攻击者编写一个含有恶意代码的ActiveX控件，然后嵌入在WEB页面中，被一个浏览用户下载后执行，其破坏作用是非常大的。这便是所谓的ActiveX攻击。

路由协议攻击网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP，OSPF，IS-IS，BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。

针对RIP协议的攻击

RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。针对OSPF路由协议的攻击

OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

当前版本的WINDOWS操作系统（WIN2K/XP等）都实现了OSPF路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

跟RIP类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

针对IS-IS路由协议的攻击

IS-IS路由协议，即中间系统到中间系统，是ISO提出来对ISO的CLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。IS-IS路由协议经过扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。

对该协议的攻击与OSPF类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

与OSPF类似，如果运行该路由协议的路由器启用了IS-IS协议单元（PDU）HMAC验证功能，则可以从很大程度上避免这种攻击。针对设备转发表的攻击为了合理有限的转发数据，网络设备上一般都建立一些寄存器表项，比如MAC地址表，ARP表，路由表，快速转发表，以及一些基于更多报文头字段的表格，比如多层交换表，流项目表等。这些表结构都存储在设备本地的内存中，或者芯片的片上内存中，数量有限。如果一个攻击者通过发送合适的数据报，促使设备建立大量的此类表格，就会使设备的存储结构消耗殆尽，从而不能正常的转发数据而崩溃针对MAC地址表的攻击

MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：

a)提取数据幀的源MAC地址和接收到该数据幀的端口号；

b)查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；

c)如果该MAC地址在本地MAC地址表中不存在,则创建一个MAC地址表项；

d)如果存在，但对应的输出端口跟接收到该数据幀的端口不符，则更新该表；

e)如果存在，且端口符合，则进行下一步处理。

分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀，则该交换机就可能把自己本地的MAC地址表填满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。而构造一些源MAC地址不同的数据幀，是非常容易的事情。针对ARP表的攻击（1）

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

1、主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

2、被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。针对ARP表的攻击（2）针对ARP表项，另一个可能攻击是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、如果发起该ARP请求的IP地址在自己本地的ARP缓存中；

2、请求的目标IP地址不是自己的。

针对ARP表的攻击实例可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：

1、源IP地址是C的IP地址，源MAC地址是A的MAC地址；

2、请求的目标IP地址是A的IP地址。

这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

这样B的ARP缓存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。防御针对ARP表和MAC地址的攻击MAC地址与IP地址绑定ARP欺骗原因

ARP就是地址解析协议,地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址,它就会发送ARP请求.ARP请求通常以广播形式发送，以便所有主机都能收到.

在电信一般接终端的交换机都是2层交换机,交换原理是通过IP寻找对应的MAC网卡地址,由于TCP/IP协议决定了只会通过MAC寻址到对应的交换机的物理端口,所以才会遭到ARP欺骗攻击.ARP欺骗实例

现在我们做下比方,更能形象点解释ARP欺骗过程及原理：

假设有主机A，被ARP欺骗的主机B。主机A不断告诉主机B它是网关,结果主机B也认为它是网关,于是把连接数据发送给它.主机A再做一个连接的角色，把主机B的信息包加上木马发到真正的网关,结果用户得到的信息都是带了木马的网页,而主机B本身没木马.

目前IDC机房可以用类似思科2950及华为3026之类以上的交换机，并启动ARP广播屏蔽功能的话,应该可以阻止ARP欺骗.防御ARP欺骗我们根据解析协议(ARP)的工作原理,将网关IP和MAC地址绑定成静态不可修改,这样就不会出现ARP欺骗了,因为地址解析协议(ARP)是利用第2层物理MAC地址来映射第3层逻辑IP地址,也就是MAC寻址来实现的.当然在我们每一个主机上也要绑定网关的MAC和IP，新建一个批处理文件，内容如下：@echoOFFarp-s默认网关IP地址、网关的MAC地址，将这个批处理放到启动里。可以临时解决问题。

ARP与IP的绑定绑定命令例如:arp-s900-aa-00-62-c6-09

1、开启AntiARPSniffer3,输入网关IP地址,点击〔枚取MAC〕

如你网关填写正确将会显示出网关的MAC地址.

2、点击[自动保护]即可保护当前网卡与网关的通信不会被第三方监