豆丁微信公众号
君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
[网络安全电子教案][共6][4][恶意代码分析与防治 ,操作系统安全配置方案 ]
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口消息: [程序异常] : MySQL Query Error: SELECT * FROM ***cms_article_data WHERE id='9279306' LIMIT 1. Table './sharedoc/***cms_article_data' is marked as crashed and last (automatic?) repair failed
文件: /twcms/runtime/_runtime.php
位置: 第 1 行
&?php echo 'KongPHP, Road to Jane.'; ?&深入分析 | 恶意软件如何使用合法工具隐藏恶意代码 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
深入分析 | 恶意软件如何使用合法工具隐藏恶意代码
共279145人围观
恶意软件的作者通常会使用各种技术来规避防护机制，隐藏有害活动。其中有一种技术就是在可信进程中隐藏恶意代码。通常来说，使用隐藏技术的恶意软件会将其代码注入到系统进程中（如explorer.exe），但是有一些样本采用了其他有趣的方法，所以我们在本文中会分析这种恶意软件。
我们将目光锁定在各种.NET样本上，这些样本使用了来自Microsoft .NET Framework的可信程序InstallUtil.exe即安装程序工具。
微软的介绍：安装程序工具使您得以通过在执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具与 System.Configuration.Install 命名空间中的类一起工作。
这种技术由信息安全研究员Casey Smith做了（）。简而言之，控制台程序InstallUtil.exe运行一个恶意的.NET程序集，然后绕过程序集的入口点，如此一来所有恶意活动都可以隐藏在可信程序中了。
恶意软件样本的传播遵循一种标准模式：基本上是通过带密码保护的文件来传播给用户，并且大部分情况下可执行文件的图标是结果专门选择的，这样会使受害者将恶意文件视为普通的文档或照片。我们还遇到了伪装成软件密钥生成器的恶意程序。生成器的恶意内容会进入到％TEMP％文件夹中，并以稍后所描述的方式运行。
我们遇到的所有恶意文件都被严重混淆了，所以手动分析变得更加复杂。通过使用样本263dc85de7ec717e8940b1ccdd6ee119并加以处理以得到它的符串，类，方法和字段。以下是处理之后的样子：
InstallUtil.exe允许文件不从.NET程序集入口点开始执行，也就是从继承自System.Configuration.Install.Installer的类开始执行。为了便于手动分析，这个类在被分析的样本中被重命名为InstallUtilEntryClass。众所周知，静态类构造函数中的代码在程序集加载到内存中时首先执行，该恶意软件作者正是利用了这一个特性。
现在我们按照方法执行的顺序来检查恶意文件的行为。首先是FirstMainClass，因为它的构造函数被标记为关键字“static”，程序集的执行开始于它：
构造函数执行以下操作：
CheckSandboxieEnvironment()通过尝试加载SbieDll.dll库来确定文件是否在Sandboxie中运行。 如果可以加载库，则恶意进程终止;
CheckVirtualBoxEnvironment()搜索属于VitrualBox的vboxmrxnp.dll库。 如果可以找到这个库，这个恶意进程也会终止;
AddResourceResolver()添加一个处理资源加载事件的方法。 此方法将通过Deflate算法打包的程序集从特定资源中解包，并将程序集加载到内存中;
AssemblyResourceLoader类的UnpackAllAssemblies()方法遍历所有程序集资源，如果资源名称包含字符串“+||”，则从这些资源中解包程序集。 由这个方法解包的程序集是恶意文件运行所必需的，并且是合法的库：Interop.MSScript.Control，Interop.TaskScheduler，SevenZipS
如果该文件是从网上下载的，RemoveZoneIdentifier()就会通过命令行删除NTFS备用流Zone.Identifier，以防止启动时出现警告。 作者在命令行（“cmd.exe / c（echo。& file path:Zone.Identifier）2& Null”）中在字符2和&之间留出一个空格而犯了一个小错误。
ElevatePrivilegesProxy()方法是ElevatePrivileges()方法的封装，使用了已知的UAC绕过技术。
我们看到一个WMI对象在30秒的暂停后被检索到。 还有就是ScriptControlClassInstance对象是自定义的，其语言（Visual Basic脚本）和脚本的主体被转移到：
AddCode()方法添加并执行一个使用InstallUtil.exe运行当前程序集的VB脚本。之后通过调用Environment.Exit(0)关闭当前进程。
在下一阶段，恶意对象使用InstallUtil工具运行，并再次执行上面的FirstMainClass类的静态构造函数;&
这个类的功能包括：
将恶意文件复制到％APPDATA％\program\msexcel.EXE，为“program”文件夹设置Hidden + System属性，运行msexcel.EXE，并终止当前进程;
将复制的文件添加到自动运行(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run);
创建一个名为“filesqmaepq0d.tnk”的任务，每分钟运行msexcel.EXE，以确保在受害者的计算机上存留;
检查恶意进程是否已经在运行。 创建名称为“M”的事件，如果系统中已经存在这样的事件，则新进程终止;
创建Form5类并调用其析构函数。
让我们总结一下中期的结果：上述所有的操作（在系统中的巩固，提权，可信应用程序的启动）实质上是奠定了其主要任务的基础。我们继续分析下一阶段，这更接近恶意活动的核心。
恶意程序集包含五个从System.Windows.Forms.Form继承的类。从Form类的继承并非偶然：在继承层次中，它实现了几个接口，其中之一是IDisposable，它允许为了其他目的重写Dispose()方法。垃圾回收调用Dispose()方法，以便在关闭或卸载程序集时释放类使用的非托管资源。现在让我们看一下Form5类的Dispose()方法的源代码：
如上所示，在循环的每个迭代中执行各种方法，然后结果被保存。现在来检查详细细节：
在第一次迭代中，检索.NET Framework的RegAsm.exe程序的完整路径;
调用嵌套方法链的目的是解码存储在另一个类中的Base64的字符串，并使用SevenZipExtractor库解析结果数组。 因此，我们得到一个远程管理工具NanoCore Client的数组;
先前从资源中导入到内存的程序集加载了PERun.dll库;
在这个库中寻找一个名为“RunPE”的类和这个类的Run方法;
在最后的迭代中，传输参数并调用Run方法。
在Run()方法内部，由CREATE_SUSPENDED状态下创建一个合法的进程（第六个参数是4u）：
最后，RegAsm.exe进程被加载到地址空间并开始执行payload，只有可信进程保留在正在运行的进程列表中，即使是有经验的用户也可能无法意识到系统已经被攻破：
RegAsm.exe被选为“载体”，因为：
1）它是来自Microsoft的合法程序
2）它位于与InstallUtil.exe相同的目录中
3）来自.NET Framework的程序调用另一个程序时，调用notepad.exe这样的程序会更可疑。事实上，使不使用RegAsm.exe并不重要：“载体”可以是任何不引起安全软件和用户怀疑的程序。 涉及恶意模块的所有操作都在内存中执行也很重要，因为这可以允许其绕过文件扫描。
正如我们所提到的，这个示例包含NanoCore客户端，可以用来控制受害者的计算机，截图，记录按键，下载文件等等， 需要注意的是，这里的有效载荷可以是任何东西：比如时髦的加密软件，挖矿工具或者高级木马。
恶意软件编写者使用各种技巧来隐藏恶意行为，上述允许在两个合法程序中执行恶意代码的技术就是一个明显的例子。而检测这种隐藏方法需要对程序进行行为分析。 卡巴斯基实验室的安全解决方案将这种行为检测为PDM：Trojan.Win32.Generic和PDM：Exploit.Win32.Generic。
263DC85DE7EC717E8940B1CCDD6EE119 payload：EF8AF3D457DBE875FF4EDE9
3EE27C2E6A2 payload：D74DED404A516B7952F0
7EFD7C02D96 payload：D1A9879FFCB14DF70A430E59BFF5EF0B
8CB8F81ECF1D4CE46E5E96C payload：DD619D2E3B5D7F78827B6E
FDF03D5D87 payload：BF4A3F4B31E68B3DE4FB1FD0
*参考来源：，FB小编Covfefe编译，转载请注明来自FreeBuf.COM
必须您当前尚未登录。
必须（保密）
So incovfefeable!
关注我们 分享每日精选文章
可以给我们打个分吗？今天向大家讲述的是Google的又一功能：利用搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息，甚至可以直接进行傻瓜入侵……
2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google?和google attacks的主题演讲。经过安全焦点论坛原版主WLJ翻译整理后，个人觉得有必要补充完善一些细节部分。今天向大家讲述的是Google的又一功能：利用搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息，甚至可以直接进行傻瓜入侵。
  用google来进行.渗透测试.
  如今的渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们现在要谈的是：
  一、利用google查找被人安装了php web shell后门的主机，并测试能否使用；
  二、利用google查找暴露出来的INC敏感信息。
  OK，现在我们开始：
  1、查找利用phpwebshell
  我们在google的搜索框中填入：
intitle:&phpshell*&&Enablestderr&filetype:php
  (注:intitle—网页标题Enablestderr—UNIX标准输出和标准错误的缩写filetype—文件类型)。搜索结果中，你能找到很多直接在机器上执行命令的webshell来。如果找到的PHPSHELL不会利用，如果你不熟悉UNIX，可以直接看看LIST，这里就不详细说了，有很多利用价值。要说明的是，我们这里搜索出来的一些国外的PHPSHELL上都要使用UNIX命令，都是system调用出来的函数(其实用百度及其他搜索引擎都可以，只是填写搜索的内容不同)。通过我的检测，这个PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句话就把首页搞定了:
echo&召唤&&index.jsp
  在得到的
后再写上:&召唤&
现在看看首页，已经被我们改成:&召唤&了。
我们也可以用WGET上传一个文件上去(比如你要替换的叶子吧)。然后executeCommand输入：
catfile&index.htmlorecho&&&file
echo&test&&&file
这样一条条打出来，站点首页就成功被替换了。同样的也可以
uname-a;cat/etc/passwd
不过有点要注意，有些WEBSHELL程序有问题，执行不了的，比如:
这些站的php是globalregisteroff
  我们可以利用相关工具进行在互联网进行搜索，如果有信息被滥用，到http://***www.google.com/remove.html提交你希望删除的信息，控制搜索引擎机器人的查询。
  2、搜索INC敏感信息
  我们在google的搜索框中填入:
.orgfiletype:inc
  我们现在搜索的是org域名的站点的INC信息(因为google屏蔽掉了搜索&COM&信息，我们还可以搜其他gov，cn，info，tw，jp，edu等等之类的)
  PS：我在看许多PHP编程人员在编程时候，都喜欢把一些常写的代码或配臵信息，写在一个.inc的文件中，如shared.inc、global.inc、conn.inc等等，当然这是一个很好的习惯，包括PHP官方网站都是如此，但不知你有没有注意到这里面含一个安全隐患问题。我有一次在写一个PHP代码时，无意中写错了一句话，当我在浏览器里查看此
PHP文件时，竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行。(PHP错误显示配臵是开着的。此功能在PHP里是默认的!)，这就是说当我们无意写错代码(同样.inc文件也一样)或者PHP代码解析出问题时，而PHP错误显示又是开着的，客户端的用户就会看到具体url地址的.inc文件，而.url文件如同txt文本一样，当在浏览器中浏览时，就毫无保留地显示了它的内容，而且不少站点在.inc文件写了重要的信息如用户密码之类!包括国内著名海尔公司以及嘉铃摩托公司，我之所以敢公布是因为我本人测试过，
  INC的知识说完后，我们继续又搜索到了好多，找到一个暴露了MYSQL口令的，我们又可以用客户端登陆上去修改数据了。这里涉及到数据库的知识，我们不谈太多，关于&INC暴露敏感信息&就到这里结束吧；当然我们可以通过一些办法解决：
  1，你可以专门对.inc文件进行配臵，避免用户直接获取源文件。
  2，当然比较好的方法是，加上并且改文件扩展名为.php（PHP可以解析的扩展名），这样客户端就不会获取源文件了。
  这里，我将FreeMind绘制的图片用文本表示了。
  有关GoogleHack的详细信息，帮助我们分析踩点
  连接符:
  操作符:
&foo1foo2&
filetype:123
site:foo.com
intext:foo
intitle:footitle
allinurl:foo
：.indexof.
htpasswd/passwd
filetype:xlsusernamepasswordemail
&ws_ftp.log&
&config.php&
allinurl:adminmdb
servicefiletype:pwd(frontpage)
  敏感信息：
&robots.tx&
&disallow:&
filetype:txt
inurl:_vti_cnf(frontpagefiles)
allinurl:/msadc/samples/selector/showcode.asp
allinurl:/examples/jsp/snp/snoop.jsp
allinurl:phpsysinfo
ipsecfiletype:conf
intitle:&erroroccurred&odbcrequestwhere(select│insert)
&mydomain.com&nessusreport
&reportgeneratedby&
  结尾：
  如果要拿ROOT权限就要具体问题具体分析了，不过有了SHELL权限就好提了，网上有很多根据WEBSHELL提升权限的文章大家可以参照一下。
通过google我们还可以搜索到很多有用的东西，不过是细节，要通过信息收集慢慢分析、扩大、进行入侵。这些我就不具体分析了。给大家个思路，大家慢慢研究好了到这里，这篇文章就要结束了，写这篇文章的目的是为了引起大家的关注与重视，了解新的HACK手段，了解新的防护方法，事物都有两面性，在当今Google盛行的时代，在充分利用google的同时，也应该看得更全面。
  浅谈黑客入侵的4条途径
要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的……
孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的，我们更应该了解一些常见的黑客入侵手法，针对不同的方法采取不同的措施，做到有的放矢。
  1、木马入侵
  木马也许是广大电脑爱好者最深恶痛绝的东东了，相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的（例如下面会提到的ipc$共享入侵）；也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的（利用了IE漏洞）；当然，最多的情况还是我们防范意识不强，随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。
  应对措施：提高防范意识，不要随意运行别人发来的软件。安装木马查杀软件，及时更新木马特征库。推荐使用thecleaner，木马克星。
  2、ipc$共享入侵
  微软在win2000，xp中设臵的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令，那就更可怕了。一条典型的入侵流程如下：
  （1）用任何办法得到一个帐户与口令（猜测，破解），网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。如果
你的密码位数不高，又很简单，是很容易被破解的。根据我的个人经验，相当多的人都将administrator的口令设为123，2003，或者干脆不设密码。
  （2）使用命令netuse\\xxx.xxx.xxx.xxx\ipc$.密码./user:.用户名.建立一个有一定权限的ipc$连接。用copytrojan.exe\\xxx.xxx.xxx.xxx\admin$将木马程序的服务器端复制到系统目录下。
  （3）用nettime\\xxx.xxx.xxx.xxx命令查看对方操作系统的时间，然后用at\\202.xxx.xxx.xxx12：00trojan.exe让trojan.exe在指定时间运行。
  这样一来，你的电脑就完全被黑客控制了。
  应对措施：禁用server服务，TaskScheduler服务，去掉网络文件和打印机共享前的对勾。
当然，给自己的帐户加上强壮的口令才是最关键的。
3、IIS漏洞入侵
  由于宽带越来越普及，给自己的win2000或是xp装上简单易学的iis，搭建一个不定时开放的ftp或是web站点，相信是不少电脑爱好者所向往的，而且应该也已经有很多人这样做了。但是iis层出不穷的漏洞实在令人担心。远程攻击者只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击。
  这里的systen32就指的是对方机器的系统文件夹了，也就是说黑客此刻执行的任何命令，都是在被入侵的机器上运行的。这个时候如
果执行format命令，危害就可想而知了，用netuser命令添加帐户也是轻而易举的。
  应对措施：关注微软官方站点，及时安装iis的漏洞补丁。
  4、网页恶意代码入侵
  在我们浏览网页的时候不可避免的会遇到一些不正规的网站，它们经常会擅自修改浏览者的注册表，其直接体现便是修改IE的默认主页，锁定注册表，修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表，就一切ok了。
应对措施：安装具有注册表实时监控功能的防护软件，做好注册表的备份工作。禁用RemoteRegistryService服务，不要上一些不该上的网站。这里我推荐大家使用hackereliminator这款防火墙。
  Foxmail账户入侵原理及防范方法
防黑刀最近接到黄花菜.报案.：他使用Foxmail收发邮件，而且还设臵了密码，但是朋友却抱怨黄花菜乱发邮件，而黄花菜根本就没有给他们发送邮件，觉得非常冤枉啊！而且黄花菜还发现自己的邮件好像被删除了几封，到底是怎么回事呢，邮箱有密码怎么还是被人破解了呢？.黄花菜.百思不得其解……
案情分析：几种解除Foxmail口令.武装.的方法
  防黑刀听完黄花菜的报案，早已心中有数了！黑客要入侵有口令的Foxmail账户，方法有很多，但是他们是如何做到.来无影，去无
踪.的呢？大家知道，安装Foxmail后，会在其安装目录下生成一个Mail文件夹，里面有许多以账户名命名的文件夹，例如打开其中的.li.文件夹，里边有个名为.account.stg.的文件，这个文件就是设臵的口令的加密文件，也是破解Foxmail账户口令的关键。
  遗忘Foxmail口令后，用户通常是到别的地方复制一个未加口令的.account.stg.到你忘记了密码的账户目录里，直接覆盖该目录下原来的.account.stg.文件。这样就不会再向你问口令了，直接就可以进入该信箱！或者进入Mail文件夹下你的账户名对应的文件夹，将其中的.account.stg.文件更名或删除，然后运行Foxmail，此时不需要任何密码也可以进入该邮箱！
  但黑客显然不是使用的这种方法，因为这样被攻击的用户就会发现有人破解过他的邮箱。既破解了他人的账户，又让用户不能察觉，长期对之进行.监控.，黑客是如何.作案.的？下面防黑刀就为你分析攻击者使用的高超方法。
突击侦破：他们用UltraEdit破解了有口令的Foxmail账户
  要达到.来无影，去无踪.的攻击效果，黑手经常会使用一个工具——16进制文件编辑器，因为这类软件可以打开并修改EXE或者DLL文件中的16进制代码。这类软件常用的有UltraEdit-32、WinHex等，下面以UltraEdit-32为例，看看黑客是如何动手的。
  资深黑客可以使用UltraEdit自由定制自己的应用程序，真正做到随心所欲地使用软件。下面就看看他们是如何利用这个道具来破解有口令的Foxmail账户：首先他们会运行UltraEdit，单击工具栏上的
.打开.，在出现的对话框中找到被攻击的Foxmail账户下对应的文件夹中的.account.stg.文件。
  打开后的文件在UltraEdit-32中共分三列：左边的为偏移地址，其实可以理解为打开文件的序号；最关键的就是中间部分，也就是.account.stg.的16进制代码；右边显示的是每组16进制代码对应的ASCII代码，在编辑框中，偏移地址为.00000F89.到.00000FAF.对应的16进制数据就是经过加密的Foxmail账户密码（黑客会把这些数据都记录下来，后面还要使用），只要将这些代码全部改为16进制数据.00.，最后保存修改后的结果退出，此时该账户前的代表有口令的.小锁头.就没有了。黑客就这么轻易地解除了黄花菜的账户密码。
提示：在开始修改前以及修改过程中黑客会关掉Foxmail，否则修改时一定会出错！
  经过上面的操作，已经解除了Foxmail账户的密码，黑客就可以.探囊取物.般地查看他们的.猎物.了！他们可以像查看自己的邮箱一样打开任何邮件进行任何操作。但是如果这样必然让被攻击的用户有所察觉，高明的黑客会做到无声无息，他们通常还需要利用上面记录下来的被修改的16进制代码。
  最后他们会关闭Foxmail，再次用UltraEdit-32打开这个被修改后的.account.stg.文件，将刚才修改的地方再次用前面记录下的数据进行还原，这样，被攻击的用户一点都不会发现，除非黑客删除了被攻击者的邮件或者冒名给他的好友发送了邮件。通过以上方法，黑客
就.神不知，鬼不觉.地入侵了别人的Foxmail账户，然后还可以.全身而退.！
  看来黄花菜遇着的还是比较初级的黑客，要不然会长期监控黄花菜而不留下任何蛛丝马迹的！
防黑刀支招：如何防范账户口令被破解
  看了前面介绍的黑客攻击的几种方法，黄花菜更是整天担心自己的账户被攻击而不敢使用Foxmail！其实大可不必，下面的方案就能有效防范Foxmail账户口令被别人破解。
  如果你是自己单独用一台电脑，则完全不用担心有人会用这些方法来查看你的邮件，因为这些方法都必须在你的电脑上进行操作才行。但是如果你是和别人共用一台电脑，或者是在网吧或学校、单位机房上网，那就需要当心！
  1、首先，重要信息与信件最好另行备份。
  2、然后将你的账户所对应的文件夹删除，或者在建立账户时，邮箱路径不要选择默认的，输入一个让人猜想不到的位臵，如C:\WINNT\system32，在系统文件夹下，估计一般人都不大敢动。
  3、你还可以在找到你新建的信箱文件夹后，点击鼠标右键，在弹出菜单中选择.属性.，将文件夹设为.隐藏.，别人要找你的文件夹也就更费力气了。
  4、此外，你也可以使用WinZip等压缩软件对邮箱文件夹进行压缩，对压缩后的文件加上一个比较复杂的访问口令，使用时将它展开，使用完毕再如法炮制即可。
  5、为防止别人查看你的Foxmail安装文件夹，你也可以使用一些加密软件将整个文件夹进行加密。
有了以上的种种安全措施，黄花菜使用Foxmail时再也不用提心吊胆啦，以前的担心真变成了.明日黄花.。
  SYN攻击原理以及防范技术
TCP握手协议
SYN攻击原理
SYN攻击工具
检测SYN攻击
SYN攻击防范技术
据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。
  一、TCP握手协议
  在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。
  第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），
同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
  第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。
  完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：
  未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。Backlog参数：表示未连接队列的最大容纳数目。
  SYN-ACK重传次数：服务器发送完SYN-ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。
  半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
二、SYN攻击原理
  SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k，ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。
  三、SYN攻击工具
  SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。
  1、windows系统下的SYN工具
  以synkill.exe为例，运行工具，选择随机的源地址和源端口，并填写目标机器地址和TCP端口，激活运行，很快就会发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的TCP端口或者防火墙拒绝访问该端口，此时可选择允许访问的TCP
端口，通常，windows系统开放tcp139端口，UNIX系统开放tcp7、21、23等端口。
  四、检测SYN攻击
  检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat工具来检测SYN攻击：
  #netstat-n-pTCP
  tcp 0 010、11、11、11:23  124、173、152、8:25882 SYN_RECV -
  tcp 0 010、11、11、11:23  236、15、133、204:2577 SYN_RECV -
  tcp 0 010、11、11、11:23  127、160、6、129:51748 SYN_RECV -
  tcp 0 010、11、11、11:23  222、220、13、25:47393 SYN_RECV -
  tcp 0 010、11、11、11:23  212、200、204、182:60427SYN_RECV -
  tcp 0 010、11、11、11:23  232、115、18、38:278  SYN_RECV -
  tcp 0 010、11、11、11:23  239、116、95、96:; SYN_RECV -
  tcp 0 010、11、11、11:23  236、219、139、
207:49162SYN_RECV -
  、、、
  上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。
  我们也可以通过下面的命令直接查看在LINUX环境下某个端口的未连接队列的条目数：
  ＃netstat-n-pTCP|grepSYN_RECV|grep:22|wc-l
  324
  显示TCP端口22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。
五、SYN攻击防范技术
  关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范，但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。
  1、过滤网关防护
  这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设臵，SYN网关和SYN代理
  网关超时设臵：防火墙设臵SYN转发超时参数（状态检测的防火墙可在状态表里面设臵），该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后（SYN＋ACK），防火墙如果在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删去该半连接。值得注意的是，网关超时参数设臵不宜过小也不宜过大，超时参数设臵过小会影响正常的通讯，设臵太大，又会影响防范SYN攻击的效果，必须根据所处的网络应用环境来设臵此参数。
  SYN网关：SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。事实上，服务器除了维持半连接队列外，还要有一个连接队列，如果发生SYN攻击时，将使连接队列数目增加，但一般服务器所能承受的连接数量比半连接数量大得多，所以这种方法能有效地减轻对服务器的攻击。
  SYN代理：当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强的防范SYN攻击能力。
  2、加固tcp/ip协议栈
  防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYNcookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。
（1）SynAttackProtect机制
  为防范SYN攻击，win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制，Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Win2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位臵增加SynAttackProtect键值：
  HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  当SynAttackProtect值（如无特别说明，本文提到的注册表键值都为十六进制）为0或不设臵时，系统不受SynAttackProtect保护。
  当SynAttackProtect值为1时，系统通过减少重传次数和延迟未连接时路由缓冲项（routecacheentry）防范SYN攻击。
当SynAttackProtect值为2时（Microsoft推荐使用此值），系统不仅使用backlog队列，还使用附加的半连接指示，以此来处理更多的SYN连接，使用此键值时，tcp/ip的TCPInitialRTT、windowsize和可滑动窗口将被禁止。
  我们应该知道，平时，系统是不启用SynAttackProtect机制的，仅在检测到SYN攻击时，才启用，并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢？事实上，系统根据TcpMaxHalfOpen，TcpMaxHalfOpenRetried和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。
  TcpMaxHalfOpen表示能同时处理的最大半连接数，如果超过此值，系统认为正处于SYN攻击中。Win2000 server默认值为100，Win2000 Advancedserver为500。
  TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数，如果超过此值，系统自动启动SynAttackProtect机制。Win2000 server默认值为80，Win2000 Advancedserver为400。
  TcpMaxPortsExhausted是指系统拒绝的SYN请求包的数量，默认是5。
  如果想调整以上参数的默认值，可以在注册表里修改（位臵与SynAttackProtect相同）
（2）SYNcookies技术
  我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，吞并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYNcookies技术被设计出来。
  SYNcookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYN cookies并不丢弃SYN请求，而是通过加密技术来标识
半连接状态。
  在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYNcookies中，服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。
  在RedHatlinux中，启用SYNcookies是通过在启动环境中设臵以下命令来完成：
  #echo1&/proc/sys/net/ipv4/tcp_syncookies
（3）增加最大半连接数
  大量的SYN请求导致未连接队列被塞满，使正常的TCP连接无法顺利完成三次握手，通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源，不能被无限的扩大。
  WIN2000：除了上面介绍的TcpMaxHalfOpen，TcpMaxHalfOpenRetried参数外，WIN2000操作系统可以通过设臵动
态backlog(dynamicbacklog)来增大系统所能容纳的最大半连接数，配臵动态backlog由AFD、SYS驱动完成，AFD、SYS是一种内核级的驱动，用于支持基于windowsocket的应用程序，比如ftp、telnet等。AFD、SYS在注册表的位臵：
HKLM\System\CurrentControlSet\Services\AFD\ParametersEnableDynamicBacklog值为1时，表示启用动态backlog，可以修改最大半连接数。
MinimumDynamicBacklog表示半连接队列为单个TCP端口分配的最小空闲连接数，当该TCP端口在backlog队列的空闲连接小于此临界值时，系统为此端口自动启用扩展的空闲连接（DynamicBacklogGrowthDelta），Microsoft推荐该值为20。
  MaximumDynamicBacklog是当前活动的半连接和空闲连接的和，当此和超过某个临界值时，系统拒绝SYN包，Microsoft推荐MaximumDynamicBacklog值不得超过2000。
  DynamicBacklogGrowthDelta值是指扩展的空闲连接数，此连接数并不计算在MaximumDynamicBacklog内，当半连接队列为某个TCP端口分配的空闲连接小于MinimumDynamicBacklog时，系统自动分配DynamicBacklogGrowthDelta所定义的空闲连接空间，以使该TCP端口能处理更多的半连接。Microsoft推荐该值为10。
  LINUX：Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat7.3中，该变量的值默认为256，这个值是远远不够的，一次强度不大的SYN攻击就能使半连接队列占满。
我们可以通过以下命令修改此变量的值：
  #sysctl-wnet.ipv4.tcp_max_syn_backlog=&2048&
  SunSolarisSunSolaris用变量tcp_conn_req_max_q0来定义最大半连接数，在SunSolaris8中，该值默认为1024，可以通过add命令改变这个值：
  #ndd-set /dev/tcptcp_conn_req_max_q0 2048
  HP-UX：HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数，在HP-UX 11、00中，该值默认为500，可以通过ndd命令改变默认值：
  ＃ndd-set /dev/tcptcp_syn_rcvd_max 2048
（4）缩短超时时间
  上文提到，通过增大backlog队列能防范SYN攻击；另外减少超时时间也使系统能处理更多的SYN请求。我们知道，timeout超时时间，也即半连接存活时间，是系统所有重传次数等待的超时时间总和，这个值越大，半连接数占用backlog队列的时间就越长，系统能处理的SYN请求就越少。为缩短超时时间，可以通过缩短重传超时时间（一般是第一次重传超时时间）和减少重传次数来实现。
  Win2000第一次重传之前等待时间默认为3秒，为改变此默认值，可以通过修改网络接口在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions来定义，注册表的位臵是：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parametersregistryk
  当然我们也可以把重传次数设臵为0次，这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。
  LINUX：Redhat使用变量tcp_synack_retries定义重传次数，其默认值是5次，总超时时间需要3分钟。
SunSolarisSolaris 默认的重传次数是3次，总超时时间为3分钟，可以通过ndd命令修改这些默认值。
  黑客Web欺骗的工作原理和解决方案
本文描述Internet上的一种安全攻击，它可能侵害到WWW用户的隐私和数据完整性。这种攻击可以在现有的系统上实现，危害最普通的Web浏览器用户，包括Netscape Navigator和Microsoft InternetExplorer用户。
  允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义发送数据给受攻击者。简而言之，攻击者观察和控制着受攻击者在Web上做的每一件事。
  欺骗攻击
  在一次欺骗攻击中，攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一
场虚拟游戏：攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话，那么受攻击者所做的一切都是无可厚非的。但遗憾的是，在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。
  欺骗攻击在现实的电子交易中也是常见的现象。例如，我们曾经听说过这样的事情：一些西方罪犯分子在公共场合建立起虚假的ATM取款机，该种机器可以接受ATM卡，并且会询问用户的PIN密码。一旦该种机器获得受攻击者的PIN密码，它会要么.吃卡.，要么反馈.故障.，并返回ATM卡。不论哪一种情况，罪犯都会获得足够的信息，以复制出一个完全一样的ATM卡。后面的事情大家可想而知了。在这些攻击中，人们往往被所看到的事物所愚弄：ATM取款机所处的位臵，它们的外形和装饰，以及电子显示屏的内容等等。
  人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见。例如，在访问网上银行时，你可能根据你所见的银行Web页面，从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的Web页面就是你所需要的银行的Web页面。无论是页面的外观、URL地址，还是其他一些相关内容，都让你感到非常熟悉，没有理由不相信。但是，你很可能是在被愚弄。
Web欺骗的两个组成部分
  为了分析可能出现欺骗攻击的范围和严重性，我们需要深入研究关于Web欺骗的两个部分：安全决策和暗示。
  安全决策
  安全决策，这里指的是会导致安全问题的一类决策。这类决策往往都含有较为敏感的数据，也就是意味着一个人在做出决策时，可能会因为关键数据的泄露，导致不受欢迎的结果。很可能发生这样的事情：第三方利用各类决策数据攻破某种秘密，进行破坏活动，或者导致不安全的后果。例如，在某种场合输入帐户和密码，就是我们在此谈到的安全决策问题。因为帐户和密码的泄露会产生我们不希望发生的问题。此外，从Internet上下载文件也是一类安全决策问题。不能否认，在下载的文件当中可能会包含有恶意破坏的成分，尽管这样的事情不会经常发生。
  安全决策问题无处不在，甚至在我们通过阅读显示信息做出决策时，也存在一个关于信息准确性的安全决策问题。例如，如果你决定根据网上证券站点所提供的证券价格购买某类证券时，那么你必须确保所接收信息的准确性。如果有人故意提供不正确的证券价格，那么不可避免地会有人浪费自己的财富。
  暗示
  WWW站点提供给用户的是丰富多彩的各类信息，人们通过浏览器任意翻阅网页，根据得到的上下文环境来做出相应的决定。Web页面上的文字、图画与声音可以给人以深刻的印象，也正是在这种背景下，人们往往能够判断出该网页的地址。例如，一个特殊标识的存在一般意味着处于某个公司的Web站点。
  我们都知道目标的出现往往传递着某种暗示。在计算机世界中，我们往往都习惯于各类图标、图形，它们分别代表着各类不同的含义。
富有经验的浏览器用户对某些信息的反应就如同富有经验的驾驶员对交通信号和标志做出的反应一样。
  目标的名字能传达更为充分的信息。人们经常根据一个文件的名称来推断它是关于什么的。manual.doc是用户手册的正文吗？它完全可以是另外一个文件种类，而不是用户手册一类的文档。一个microsoft.com的链接难道就一定指向我们大家都知道的微软公司的URL地址吗？显然可以偷梁换柱，改向其他地址。
  人们往往还会在时间的先后顺序中得到某种暗示。如果两个事件同时发生，你自然地会认为它们是有关联的。如果在点击银行的网页时，username对话框同时出现了，你自然地会认为你应该输入你在该银行的帐户与口令。如果你在点击了一个文档链接后，立即就开始了下载，那么你很自然地会认为该文件正从该站点下载。然而，以上的想法不一定都是正确的。
  如果你仅仅看到一个弹出窗口，那么你会和一个可视的事件联系起来，而不会认识到一个隐藏在窗口背后的不可视的事件。现代的用户接口程序设计者花费很大的精力来设计简单易懂的界面，人们感受到了方便，但潜在的问题是人们可能习惯于此，不可避免地被该种暗示所欺骗。
Web欺骗的欺骗手段
  TCP和DNS欺骗
  除了我们将要讨论的欺骗手段外，还有一些其他手段，在这里我们将不做讨论。这种攻击的例子包括TCP欺骗（在TCP包中使用伪
造的IP地址）以及DNS欺骗（攻击者伪造关于机器名称和网络信息）。读者有兴趣可以阅读有关资料。
  Web欺骗
  Web欺骗是一种电子信息欺骗，攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真，它拥有相同的网页和链接。然而，攻击者控制着错误的Web站点，这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获，其工作原理就好像是一个过滤器。
  后果
  由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息；同样地，也控制着从Web服务器至受攻击者的返回数据，这样攻击者就有许多发起攻击的可能性，包括监视和破坏。
  攻击者能够监视受攻击者的网络信息，记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后，这些数据将被传送到Web服务器，Web服务器将返回必要的信息，但不幸的是，攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的，这意味着攻击者可以获得用户的帐户和密码。下面我们将看到，即使受攻击者有一个.安全.连接（通常是通过SecureSocketsLayer来实现的，用户的浏览器会显示一把锁或钥匙来表示处于安全连接），也无法逃脱被监视的命运。
  在得到必要的数据后，攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据，来进行某些破坏活动。攻击者修改
受攻击者的确认数据，例如，如果受攻击者在线订购某个产品时，攻击者可以修改产品代码，数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据，例如，插入易于误解或者攻击性的资料，破坏用户和在线公司的关系等等。
  欺骗整个Web世界
  你可能认为攻击者欺骗整个Web世界是不可能的，但是恰恰相反，攻击者不必存储整个Web世界的内容，他只需要制造出一条通向整个Web世界的链路。当他需要提供关于某个Web站点的错误Web页面时，他只需要在自己的服务器上建立一个该站点的拷贝，由此等待受害者自投罗网。
Web欺骗的工作原理
  欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器，这种攻击种类在安全问题中称为.来自中间的攻击.。为了建立起这样的中间Web服务器，黑客往往进行以下工作。
  改写URL
  首先，攻击者改写Web页中的所有URL地址，这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是www.org，攻击者通过在所有链接前增加http://www.www.org来改写URL。例如，
1、用户点击经过改写后的http://home.xxx1.com；
  很显然，修改过的文档中的所有URL都指向了www.org，当用户点击任何一个链接都会直接进入www.org，而不会直接进入真正的URL。如果用户由此依次进入其他网页，那么他们是永远不会摆脱掉受攻击的可能。
  关于表单
  如果受攻击者填写了一个错误Web上的表单，那么结果看来似乎会很正常，因为只要遵循标准的Web协议，表单欺骗很自然地不会被察觉：表单的确定信息被编码到URL中，内容会以HTML形式来返回。既然前面的URL都已经得到了改写，那么表单欺骗将是很自然的事情。
  当受攻击者提交表单后，所提交的数据进入了攻击者的服务器。攻击者的服务器能够观察，甚至是修改所提交的数据。同样地，在得到真正的服务器返回信息后，攻击者在将其向受攻击者返回以前也可
以为所欲为。
  关于.安全连接.
  我们都知道为了提高Web应用的安全性，有人提出了一种叫做安全连接的概念。它是在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。可是让人感到遗憾的是，它在Web欺骗中基本上无所作为。受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的.安全连接.：网页的文档可以正常地传输而且作为安全连接标志的图形（通常是关闭的一把钥匙或者锁）依然工作正常。换句话说，也就是浏览器提供给用户的感觉是一种安全可靠的连接。但正像我们前面所提到的那样，此时的安全连接是建立在www.org而非用户所希望的站点。
  攻击的导火索
  为了开始攻击，攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web。黑客往往使用下面若干种方法。
  1、把错误的Web链接放到一个热门Web站点上；
  2、如果受攻击者使用基于Web的邮件，那么可以将它指向错误的Web；
  3、创建错误的Web索引，指示给搜索引擎。
Web欺骗的细节完善
  前面描述的攻击相当有效，但是它还不是十分完美的，黑客往往还要创造一个可信的环境，包括各类图标、文字、链接等，提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时，
如果错误的Web是富有敌意的，那么无辜的用户将处于十分危险的境地。
  另外，黑客还会注意以下方面。
  1、状态线路
  连接状态是位于浏览器底部的提示信息，它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先，当鼠标放臵在Web链接上时，连接状态显示链接所指的URL地址，这样，受攻击者可能会注意到重写的URL地址。第二，当Web连接成功时，连接状态将显示所连接的服务器名称。这样，受攻击者可以注意到显示www.org，而非自己所希望的站点。
  攻击者能够通过JavaScript编程来弥补这两项不足。由于JavaScript能够对连接状态进行写操作，而且可以将JavaScript操作与特定事件绑定在一起，所以，攻击者完全可以将改写的URL状态恢复为改写前的状态，这样Web欺骗将更为可信。
  2、位臵状态行
  浏览器的位臵状态行显示当前所处的URL位臵，用户也可以在其中键入新的URL地址进入到另外的URL，如果不进行必要的更改，此时URL会暴露出改写后的URL。同样地，利用JavaScript可以隐藏掉改写后的URL。JavaScript能用不真实的URL掩盖真实的URL，也能够接受用户的键盘输入，并将之改写，进入不正确的URL。
  Web欺骗的弱点
  尽管黑客在进行Web欺骗时已绞尽脑汁，但是还是留有一些不
  文档信息
  攻击者并不是不留丝毫痕迹，HTML源文件就是开启欺骗迷宫的钥匙。攻击者对其无能为力。通过使用浏览器中.viewsource.命令，用户能够阅读当前的HTML源文件。通过阅读HTML源文件，可以发现被改写的URL，因此可以觉察到攻击。遗憾的是，对于初学者而言，HTML源文件实在是有些难懂。
  通过使用浏览器中.viewdocumentinformation.命令，用户能够阅读当前URL地址的一些信息。可喜的是这里提供的是真实的URL地址，因此用户能够很容易判断出Web欺骗。不过，绝大多数用户都很少注意以上一些属性，可以说潜在的危险还是存在的。
Web欺骗的预防解决
  逃离灾难
  受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用浏览器中提供的.Openlocation.进入其他Web页面，离开攻击者所设下的陷阱。不过，如果用户使用.Back.按键，则会重新进入原先的错误Web页面。当然，如果用户将所访问的错误Web存入Bookmark，那么下次可能会直接进入攻击者所设下的陷阱。
  关于追踪攻击者
  有人建议应当通过跟踪来发现并处罚攻击者。确实如此，攻击者如果想进行Web欺骗的话，那么离不开Web服务器的帮助。但是，
他们利用的Web服务器很可能是被攻击后的产物，就象罪犯驾驶着盗窃来的汽车去作案一样。
  预防办法
  Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。幸运的是，我们可以采取的一些保护办法。
  短期的解决方案
  为了取得短期的效果，最好从下面三方面来预防：
  1、禁止浏览器中的JavaScript功能，那么各类改写信息将原形毕露；
  2、确保浏览器的连接状态是可见的，它将给你提供当前位臵的各类信息；
  3、时刻注意你所点击的URL链接会在位臵状态行中得到正确的显示。
  现在，JavaScript、ActiveX以及Java提供越来越丰富和强大的功能，而且越来越为黑客们进行攻击活动提供了强大的手段。为了保证安全，建议用户考虑禁止这些功能。
  这样做，用户将损失一些功能，但是与可能带来的后果比较起来，每个人会得出自己的结论。
  长期的解决方案
  1、改变浏览器，使之具有反映真实URL信息的功能，而不会被蒙蔽；
  2、对于通过安全连接建立的Web——浏览器对话，浏览器还应
该告诉用户谁在另一端，而不只是表明一种安全连接的状态。比如：在建立了安全连接后，给出一个提示信息.NetscapeInc..等等。
所有的解决方案，可以根据用户的安全要求和实际条件来加以选择。
  局域网病毒入侵原理及防范方法
计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，下面将为大家介绍有关局域网病毒的入侵原理及防范方法。
  一、局域网病毒入侵原理及现象
  一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。
  （1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；
  （2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；
  （3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；
  （4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的
&无盘&（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。
  由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。
  （1）感染速度快
  在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。
  （2）扩散面广
  由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。
  （3）传播的形式复杂多样
  计算机病毒在网络上一般是通过&工作站&到&服务器&到&工作站&的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。
（4）难于彻底清除
  单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除
干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。
  （5）破坏性大
  网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。
  （6）可激发性
  网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。
  （7）潜在性
  网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。
  例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含&DOC&和&eml&文件的目录中，当用户通过Word、写字板、Outlook打开&DOC&和&eml&文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。
二、局域网病毒防范方法
  以&尼姆达&病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染&尼姆达&，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。
  计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设臵和维护对病毒的防护策略。
  一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设臵有针对性的防病毒策略。
  （1）增加安全意识
  杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传
  （2）小心邮件
  随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。
  尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。
  （3）挑选网络版杀毒软件
  选择一个功力高深的网络版病毒&杀手&就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
  黑客入侵之----过程
分析黑客常用的9种攻击方法
许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被.黑客.盗用账号，他们往往会认为.安全.只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑
鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。同志们要记住啊！防人之心不可无呀！
  为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的，只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。
  1、获取口令
  这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。
  2、放臵特洛伊木马程序
  特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。
3、WWW的欺骗技术
  在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
  电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件.滚雪球.，也就是通常所说的邮件炸弹，指的是用伪造的IP地址
和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被.炸.，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。
  5、通过一个节点来攻击其他节点
  黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。
  6、网络监听
  网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXrayforwindows95/98/nt，sniffitforlinux、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限
性，但监听者往往能够获得其所在网段的所有用户帐号及口令。
  7、寻找系统漏洞
  许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配臵错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。
  8、利用帐号进行攻击
  有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
  9、偷取特权
  利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效危害性极大。
未来可能出现的五种攻击手段
现在大部分的企业或组织至少也都在信息安全方面采取了一定的基本防御措施，用户的安全意识也得到了加强，一些独创性的安全技术为应对未来更加强大的攻击提供了支持。但是仅仅这些就足够了吗？这是不可能的。
  至少仅仅靠安全意识上的加强是远远不够的，而且很少有人将历史教训放在心上。红色代码的爆发就充分地说明人们常常即使已经知道存在某种安全威胁，但却事不关己，高高挂起，自己还没有遭到攻击就赖得补救。而企业有限的安全预算也制约着信息安全领域的发展。另外，一些人还会出于某种目的花费大量的时间去研究新的攻击方法和手段，尽管如此，我们还是可以尝试着去预测隐伏着的可能的这些攻击。
  笔者时常被问，&什么样的潜在性网络攻击会使你在半夜醒来?&
笔者想可能下面的这些就足以使我半夜惊醒：
  1、超级蠕虫
  无论是手段的高明性，还是破坏的危害性，计算机网络受到蠕虫的威胁都在激增。在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面临的最大威胁之一，有超过36%的人认为超级蠕虫的威胁应该摆在第一位。
  超级蠕虫，它一般被认为是混合蠕虫。它通常能自我繁殖，并且繁殖速度会变得更快，传播的范围会变得更广。更可怕的是它的一次攻击就能针对多个漏洞。例如，超级蠕虫潜入系统后，不是仅仅攻击某个漏洞，而是会尝试某个已知漏洞，然后尝试一个又一个漏洞。
  超级蠕虫的一枚弹头针对多个漏洞发动攻击，所以总有一个会有效果。如果它发现你未打补丁的地方，那你就在劫难逃了。而事实上没有哪家公司的系统完全打上了所有的补丁。
  很多安全专家逐渐看到的通过IM(即时消息)进行传播的蠕虫就可以说是一种超级蠕虫。黑客将一个链接发给IM用户后，如果用户点击链接，蠕虫就会传播给该用户的IM地址簿上的所有人。有了IM，用户将随时处于连接状态，所以也随时会受到攻击。
为对付未来的超级蠕虫我们所能做的将是:
  对外部可访问系统进行安全加固，像Web服务器，邮件服务器和DNS服务器等，尽量将它们所需要开放的服务减少到最小。
  给系统及时打上补丁、及时更新防病毒软件，对员工进行安全宣传和教育。
  使用基于主机的入侵检测系统和预防工具，例如Symantec的IntruderAlert3.6可以阻断或迅速发现蠕虫的攻击。
  2、隐秘攻击(StealthierAttacks)
  现在越来越多的黑客把攻击后成功地逃匿IDS的检测看作是一种艺术，有许多新工具将能使他们在攻击用户的系统后，不会留下任何蛛丝马迹，有多种高级黑客技术将能使之成为可能，而这些技术已经被广泛地为专业黑客和一些高级的脚本菜鸟(ScriptsKids)所采用：
  多变代码
  这些恶意软件其本身可能是一种病毒，蠕虫，后门或漏洞攻击脚本，它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测
(Signature-baseddetection，也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
  Antiforensics
  攻击者可操作文件系统的特性和反侦测伎俩进行攻击来逃避IDS的检测。
  例如通过利用像Burneye这样一个工具，可以掩盖黑客对系统的攻击企图，使用Defiler的工具Toolkit可以覆盖黑客对目标文件系统所做的修改留下的蛛丝马迹。
  隐蔽通道
  为了和后门或者恶意软件进行通讯，攻击者必须建立一条非常隐蔽的通信通道。为此，攻击者常常将通讯端口建立在一些非常常用的通信协议端口上，像HTTPS或者SSH。
内核级后门(Kernel-levelrootkits)
  通过从系统内核控制一个系统，攻击者获得对目标系统的完全控制权限，而对受害者来说却一切都似乎风平浪静。
  嗅探式后门(Sniffingbackdoors)
  通过将后门和用户使用的嗅探器捆绑在一起，攻击者能够巧妙地绕过用户使用的传统的通过查看正在监听的端口来发现后门的检测方法，使受害者被种了后门却还一直蒙在鼓里。
  反射式/跳跃式攻击
  与其直接向目标系统发送数据，很多攻击者觉得还不如利用
TCP/IP欺骗技术去以误导正常的检测，隐蔽攻击者的真实地址，像反射式DoS攻击就是例证。有关反射式DoS攻击的详细信息，请参见安络科技七月巨献：网络攻击机制和技术发展综述。
  针对以上这些诡秘的攻击，作为用户又该如何防范和阻止呢？
  如果你的系统遭到这种攻击，你需要能够迅速地检测出来，而且要知道攻击者具体在你的系统上干了些什么。为了能够察觉出这种入侵，需要同时使用基于网络和基于主机上的入侵检测系统和防病毒产品，并仔细检查你的系统日志。一般用户可能不具备这种专业能力，可以寻找一家高专业水准的信息安全签约服务商，为您提供高水平的反入侵服务。
  一旦你发现自己的系统有什么异常，你必须确保你的事件紧急响应小组在取证分析上有丰富的经验，能够熟练使用像@stake的免费TASK工具或者GuidanceSoftware的商业软件EnCase，因为这两个工具都能非常仔细对系统进行分析，并且非常精确地隔离攻击者的真实破坏活动。重点部门的事件响应小组可以和专业安全服务商共建，明确分工，及时处理。
  3、利用程序自动更新存在的缺陷
  主流软件供应商，像Microsoft和AppleComputer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁，这些自动更新工具可以减少配臵安全补丁所耽误的时间。
  但是程序允许自动更新的这个特征却好比一把双刃剑，有有利的一面，也有不利的一面。攻击者能够通过威胁厂商Web站点的安全
性，迫使用户请求被重定向到攻击者自己构建的机器上。然后，当用户尝试连接到厂商站点下载更新程序时，真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。
  在过去的六个月中，Apple和WinAmp的Web站点自动更新功能都被黑客成功利用过，所幸的是发现及时(没有被报道)。Apple和WinAmp后来虽然修复了网站的缓冲溢出缺陷，并使用了代码签名(CodeSigning)技术，但基于以上问题的攻击流一直没有被彻底清除。
  为了预防这种潜在的攻击威胁，需要严格控制和管理安装在你的内部网机器上的软件，禁止公司职员随意地安装任何与工作无关的应用软件。在这里，你可以使用软件管理工具来强迫执行，像Microsoft的SMS，LANDeskSOFTware的LANDesk。这两个工具只要二者择其一，你就可以配臵你的内部升级服务器，如通过在工具中对微软软件升级服务器相关选项进行配臵，你可以具体选择哪个修复程序和补丁允许被安装。为保护你的网络，可使用sniffer测试所有的补丁，如发现网络流量不正常或发现开放了陌生的端口则需引起警觉。
4、针对路由或DNS的攻击
  Internet主要由两大基本架构组成：路由器构成Internet的主干，DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议（BGP），或者更改网络中的DNS服务器，将能使Internet陷入一片混乱。
  攻击者通常会从头到脚，非常仔细地检查一些主流路由器和DNS
服务器的服务程序代码，寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂，目前已经发现并已修复了许多重要的安全问题，但是仍旧可能存在许多更严重的问题，并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题，在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞，并对其进行大举攻击的话，大部分因特网将会迅速瘫痪。
  为了防止遭到这种攻击，确保你的系统不会被作为攻击他人的跳板，应采取如下措施：
  对公共路由器和外部DNS服务器进行安全加固。如果公司的DNS服务器是为安全敏感的机器提供服务，则应为DNS服务器配臵防火墙和身份验证服务器。
  确保DNS服务器安装了最新补丁，对DNS服务器严格监控。
  如果你认为是由ISP的安全缺陷造成的威胁，确保你的事件紧急响应小组能够迅速和你的ISP取得联系，共同对付这种大规模的网络攻击。
  5、同时发生计算机网络攻击和恐怖袭击
  这可以说是一场双重噩梦：一场大规模的网络攻击使数百万的系统不能正常使用，紧接着，恐怖分子袭击了一个或者更多城市，例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。在9/11恐怖袭击事件后，美国东部的几个海岸城市，电话通信被中断，惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。由于这次袭击，人
们发现Internet是一种极好的传媒(还有电视传媒)。但是我们不妨假设一下，如果此时爆发超级蠕虫，BGP和DNS被遭到大举攻击，那么在我们最需要它的时候它也将离我们而去，可以想象将是一种什么样的糟糕场面。但是这又并不是不可能发生的。
  我们要居安思危，为这种灾难的可能发生作好应急准备是相当困难的：
  作好计算机的备份工作；
  除给紧急响应小组配备无线电话外，还需配备全双工传呼设备；
  要确保你的计算机紧急响应小组有应付恐怖袭击的能力；
  要假想可能出现的恐怖袭击场面以进行适当的演习，以确保真正同时发生网络攻击和恐怖袭击时，他们能够迅速、完全地进入角色。
也许有人会认为我们这样做可能都是杞人忧天，但是，笔者有理由相信这样的事情在未来的5年中是完全有可能发生的，只不过所使用的攻击技术可能是我们在上面所列举出来的，可能是我们所没有预计到的。
  黑客攻击方式的四种趋势
  从1988年开始，位于美国卡内基梅隆大学的CERTCC（计算机紧急响应小组协调中心）就开始调查入侵者的活动。CERTCC给出一些关于最新入侵者攻击方式的趋势。
  趋势一：攻击过程的自动化与攻击工具的快速更新
  攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个
阶段都发生了变化。
  1．扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前，新的扫描工具利用更先进的扫描技术，变得更加有威力，并且提高了速度。
  2．入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在，攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样大大加快了入侵的速度。
  3．攻击扩散。2000年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。
  4．攻击工具的协同管理。自从1999年起，随着分布式攻击工具的产生，攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC（InternetRelayChat）、IR（InstantMessage）等的功能。
  趋势二：攻击工具的不断复杂化
  攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统发现，例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能，动态行为特点以及攻击工具的模块化。
  1．反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击的过程变得更加困难
  2．动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控制。
  3．攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输，这样，想要从正常的网络流量中分析出攻击特征就更加困难了。
趋势三：漏洞发现得更快
  每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个，2001年为2437个，2002年已经增加至4129个，就是说每天都有十几个新的漏洞被发现。可以想象，对于管理员来说想要跟上补丁的步伐是很困难的。而且，入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞，其危害性非常大而又无处不在，是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中，这种类型的漏洞是对服务器造成后果最严重的。
  趋势四：渗透防火墙
  我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是：
  *已经存在一些绕过典型防火墙配臵的技术，如IPP（theInternetPrintingProtocol）和WebDAV（Web-basedDistributedAuthoringandVersioning）
  *一些标榜是.防火墙适用.的协议实际上设计为能够绕过典型防火墙的配臵。
  特定特征的.移动代码.（如ActiveX控件，Java和JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。
  另外，随着Internet网络上计算机的不断增长，所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。
  采用主动防御措施应对新一代网络攻击
  .红色代码.蠕虫病毒在因特网上传播的最初九小时内就感染了超过250，000个计算机系统。该感染导致的代价以每天2亿美元飞速增长，最终损失高达26亿美元。.红色代码.，.红色代码II.，及.尼姆达.、.求职信.快速传播的威胁显示出现有的网络防御的严重的局限性。市场上大多数的入侵检测系统是简单的，对网络中新出现的、未知的、通常称做.瞬时攻击：Zero-dayAttack.的威胁没有足够防御手段。
  黑客的.机会之窗.
  目前大多数的入侵检测系统是有局限性的，因为它们使用特征码去进行辨别是否存在攻击行为。这些系统采用这种方式对特定的攻击
模式进行监视。它们基于贮存在其数据库里的识别信息：类似于防病毒软件检查已知病毒的方式。这意味着这些系统只能检测他们已经编入识别程序的特定的攻击。因为.瞬时攻击.是新出现的，尚未被广泛认识，所以在新的特征码被开发出来，并且进行安装和配臵等这些过程之前，它们就能绕过这些安全系统。实际上，仅仅需要对已知的攻击方式进行稍微的修改，这些系统就不会认识这些攻击方式了，从而给入侵者提供了避开基于特征码的防御系统的手段。
  从新的攻击的发动到开发新的特征码的这段时间，是一个危险的.机会之窗.，许多的网络会被攻破。这时候许多快速的入侵工具会被设计开发出来，网络很容易受到攻击。下图举例说明了为什么大多数的安全产品在该时期内实际上是无效的。CERT组织研制的这个图表说明了一个网络攻击的典型的生命周期。该曲线的波峰就在攻击的首次袭击之后，这是大多数安全产品最终开始提供保护的时候。然而.瞬时攻击.是那些最老练的黑客在最早期阶段重点展开的。
  同时，现在那些快速进行的攻击利用了广泛使用的计算机软件中的安全漏洞来造成分布更广的破坏。仅仅使用几行代码，他们就能编写一个蠕虫渗透到计算机网络中，通过共享账号克隆自己，然后开始攻击你的同伴和用户的网络。使用这种方式，在厂商开发出特征码并将其分发到用户的这段时间内，.尼姆达蠕虫.仅仅在美国就传播到了超过100，000的网络站点。这些分发机制使.瞬间攻击.像SirCam和LoveBug两种病毒分别席卷了230万和4000万的计算机，而不需要多少人为干预。其中有些攻击甚至还通过安装一个后门来为以后的
破坏建立基础，该后门允许对手、黑客和其他未获授权的用户访问一个组织重要的数据和网络资源。
  网络常见攻击技术与防范
在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。
  也许有人会对网络安全抱着无所谓的态度，认为最多不过是被攻击者盗用账号，造不成多大的危害。他们往往会认为.安全.只是针对那些大中型企事业单位和网站而言。其实，单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配臵、安臵.特洛伊.程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？更何况这些攻击者的动机也不都是那么单纯。因此，我们每一个人都有可能面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题。
  下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的，并了解一下他们的攻击手法。
  二、网络攻击的步骤
  第一步：隐藏自已的位臵
  普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练
的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。
  第二步：寻找目标主机并分析目标主机
  攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位臵还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。此时，攻击者们会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。
  第三步：获取帐号和密码，登录主机
  攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
  第四步：获得控制权
  攻击者们用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设臵、在系统中臵入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好
的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。
  第五步：窃取网络资源和特权
  攻击者找到攻击目标后，会继续下一步的攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。
  三、网络攻击的原理和手法
1、口令入侵