实例
主要内容：
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源，来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是：利用各种手段不断向目标主机发送虚 假请求或垃圾信息等，使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3．入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 （6）外部攻击； 通常是指编程员在设计系统 时有意建立的进入手段。当 （7）内部攻击； 程序运行时，在正确的时间 （8）特洛伊木马。 按下正确的键，或提供正确 的参数，你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段，在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源，但它不一定有攻击能力，可能雇 佣攻击者来达到入侵目的。因此，攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵：成功的攻击。 提示：在某种程度上，攻击和入侵很难区别。
3．入侵者的攻击手段
在网上用户能利用IE等浏览器进 （1）冒充 行各种各样的WEB站点的访问，如 阅读新闻组、咨询产品价格、订阅 （2）篡改 报纸、电子商务等。然而一般的用 （3）重放 户恐怕不会想到有这些问题存在： 正在访问的网页已被黑客篡改过， （4）服务拒绝 网页上的信息是虚假的！例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器，当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候，实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求，那么黑客就能 web安全中的通过其他方式（非网络监听）盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。
攻击举例：2001年，微软旗下的 遭受DoS,在一天 上午和下午的部分时间只能响应2%的合法请求。
SYN Flood 1、
内容回顾
Land 攻击技术 2、
Land攻击也是DoS攻击中经常采用 的一种攻击技术，其原理是：用一个特别 打造的SYN包，它的源地址和目标地址 都被设置成某一个服务器地址。
6.3.3 网络监听技术
在传输数据时，包含MAC地址的帧从网络接口 卡（网卡）发送到物理线路上，如果局域网是由一 条电缆连接而成，则数字信号在电缆上传输，能够 到达线路上的每一台主机。 正常情况下，网络接口读入数据帧，将监听到 的数据帧所包含的MAC地址与自己的MAC地址进行比 较。如果数据帧中携带的MAC地址与自己的MAC地址 相同，则将数据帧交给上层协议软件，也就是IP层， 否则就将这个帧丢弃。
一般攻击者会在白天寻找活动的机器，然后在深夜再次查找，
这样他就能区分工作站和服务器。服务器会被一直使用，而 工作站只在正常工作日是活动的。
查找开放的端口和入口点 4、
网络通信除了需要知道目标IP地址以外，还需要知道 对方开放的端口。因此攻击者在攻击前也要知道可以利用 的端口。此时可以利用Port Scanners（端口扫描器）工具 进行，它可以在一系列端口上运行以找出哪些端口是开放 的。
数据报文。
IP欺骗的DoS攻击技术 6、
假设现在有一个合法用户（61.61.61.61）已经同服务器建 立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP 为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。 服务器接收到这样的数据后，认为从61.61.61.61发送的连接有 错误，就会清空缓冲区中建立好的连接。这时，如果合法用户 61.61.61.61再发送合法数据，服务器就已经没有这样的连接了， 该用户就必须重新开始建立连接。
分布式拒绝服务 （DDOS）
client
• Distributed Denial of Service
attack
handler
... DoS ...
• 传统的拒绝服务是一台机
器向受害者发起攻击，DDOS 不是仅仅一台机器而是多台 主机合作，同时向一个目标 发起攻击。
agent
ICMP Flood / SYN Flood / UDP Flood
查看操作系统类型 5、
攻击者知道哪些机器是活动的和哪些端口是开放的后，下 一步是识别每台主机运行哪种操作系统。有一些探测远程主机 并确定在运行哪种操作系统的程序。这些程序通过向远程主机 发送不平常的或者没有意义的数据包来完成。这些工具软件中 比较著名的有Queso、Nmap、CheckOS等。
扫描目标网络弱点 6、
Smurf 攻击技术 7、
原理：向广播地址发送伪造地址的ICMP Echo 数 据 包 。 攻 击 者 向 一 个 广 播 地 址 发 送 ICMP Echo请求，并且用受害者的IP地址作为 源地址，于是，广播地址网络上的每台机器响 应 这 些 Echo 请 求 ， 同 时 向 受 害 者 主 机 发 送 ICMP Echo-Reply应答。于是，受害者主机会 被这些大量的应答包淹没。
IP地址分段技术 4、
IP分段攻击是指采用数据分组分段的办法来处理仅 支持给定最大IP分组长度的网络部分，一旦被发送，并 不立即重新组装单个的分段，而是把它们路由到最终目 的地，并在这时才把它们放在一块给出原始的IP分组。 因此，被分段的分组是对基于分组过滤防火墙系统的一 个威胁。
WinNuke攻击技术 5、
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.1网络入侵与攻击概述
6.1.1入侵和攻击的基本概念
1．入侵和攻击
入侵是指任何威胁和破坏系统资源的行为（如 非授权或越权访问系统资源、搭线窃听信息），实 施入侵行为的‚人‛称为入侵者。而攻击是入侵者 进行入侵所采取的技术手段和方法。入侵的整个过 程（包括入侵准备、进攻、侵入）都伴随着攻击， 因此有时也把入侵者称为攻击者。
29
G. Mark Hardy
三、常见攻击
“拒绝服务”的例子: LAND 攻击
攻击者
172.18.1.1
Code
Internet
目标 204.241.161.12
崩溃
IP包欺骗
源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 包被送回它自己
攻击者
172.18.1.1
LAND 攻击: 程序发送一个TCP SYN包，源 地址与目的地址相同，源端口与目的端口 相同，从而产生DoS攻击。
目标 204.241.161.12
Code
Internet
欺骗性的 IP 包
源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 TCP Open
Smuff攻击示意图
第一步：攻击者向被利用 网 络 A的 广 播 地 址 发 送 一 个ICMP 协议的’echo’请 求数据报，该数据报源地 址被伪造成10.254.8.9
第二步：网络A上的所有 主机都向该伪造的源地 址返回一个 ‘ echo’响 应 ，造成该主机服务中断 。
36
分布式服务拒绝服务攻击 8、
缓冲区溢出攻击的原理 1、 例如下面程序： Void f1(char *str) { char buf[16]; Strcpy(buf,str); } 上面的程序strcpy(buf, str)将直接把 str中的内容复制到buf中。这样只要str 的长度大于16，就会造成溢出，使程序 运行出错。
target
38
6.3.2 缓冲区溢出攻击技术
缓冲区溢出攻击的原理 1、
缓冲区溢出的原理很简单，类似于把水倒入杯子中， 而杯子容量有限，如果到入的水超过杯子容量，就会溢出。 缓冲区溢出就是将长度超过缓冲区大小的数据写入程 序的缓冲区，造成缓冲区溢出，从而破坏程序的堆栈，使 程序转而执行其他指令。
30
G. Mark Hardy
广播风暴技术 3、
当某台主机使用广播地址发送一个ICMP echo请求包 时，其他一些主机会向该主机回应ICMP echo应答包。如 果不断地发送这样的数据包，则会有大量的数据包被回应 到相应的主机上，导致该主机一直处于接收响应数据包的 状态而无法做其他的事。广播风暴就是基于这样一个原理。
WinNuke攻击（剧毒包攻击）又称为‚带外输出攻 击‛，它的特征是攻击目标端口，被攻击的目标端口通常 是139、138、137、113、53，而且URG（Urgent Pointer Field Significant）位设为1，即紧急模式。WinNuke攻 击就是利用了Windows操作系统的一个漏洞，向这些端口 发送一些携带TCP带外（OoB（Out of Band）的意思是 ‚束缚数据脱离‛，这是一种破坏Windows系统的过程）
http ftp telnet smtp
端口扫描
黑客攻击一般过程2
用户名:john 口令:john1234 口令暴力攻击
黑客攻击一般过程3
利用漏洞获得 超级用户权限
留后门 隐藏用户
更改主页信息 用john登录 服务器
踩点（初始信息收集） 1、
从目标机构的网页入手 踩点就是通过各种途径对所要攻击的目标进行
多方面的了解（包括任何可得到的蛛丝马迹，但要 – 也许会泄露一些信息：机构的位置、联系人电话姓名和 电子邮件 地址、所用安全机制及策略、网络拓扑结构； 确保信息的准确），确定攻击的时间和地点。
新闻报道、出版发行物
公开信息 – 例如：XX公司采用XX系统，… – XX公司发生安全事件（多次） Whois 新闻组或论坛