車輛網路的攻擊檢測方法綜述

1. 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(1)車輛網路的攻擊檢測方法綜述擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

2. 網路安全攻擊方法分為

1、跨站腳本-XSS
相關研究表明，跨站腳本攻擊大約占據了所有攻擊的40%，是最為常見的一類網路攻擊。但盡管最為常見，大部分跨站腳本攻擊卻不是特別高端，多為業余網路罪犯使用別人編寫的腳本發起的。
跨站腳本針對的是網站的用戶，而不是Web應用本身。惡意黑客在有漏洞的網站里注入一段代碼，然後網站訪客執行這段代碼。此類代碼可以入侵用戶賬戶，激活木馬程序，或者修改網站內容，誘騙用戶給出私人信息。
防禦方法：設置Web應用防火牆可以保護網站不受跨站腳本攻擊危害。WAF就像個過濾器，能夠識別並阻止對網站的惡意請求。購買網站託管服務的時候，Web託管公司通常已經為你的網站部署了WAF，但你自己仍然可以再設一個。
2、注入攻擊
開放Web應用安全項目新出爐的十大應用安全風險研究中，注入漏洞被列為網站最高風險因素。SQL注入方法是網路罪犯最常見的注入方法。
注入攻擊方法直接針對網站和伺服器的資料庫。執行時，攻擊者注入一段能夠揭示隱藏數據和用戶輸入的代碼，獲得數據修改許可權，全面俘獲應用。
防禦方法：保護網站不受注入攻擊危害，主要落實到代碼庫構建上。比如說：緩解SQL注入風險的首選方法就是始終盡量採用參數化語句。更進一步，可以考慮使用第三方身份驗證工作流來外包你的資料庫防護。
3、模糊測試
開發人員使用模糊測試來查找軟體、操作系統或網路中的編程錯誤和安全漏洞。然而，攻擊者可以使用同樣的技術來尋找你網站或伺服器上的漏洞。
採用模糊測試方法，攻擊者首先向應用輸入大量隨機數據讓應用崩潰。下一步就是用模糊測試工具發現應用的弱點，如果目標應用中存在漏洞，攻擊者即可展開進一步漏洞利用。
防禦方法：對抗模糊攻擊的最佳方法就是保持更新安全設置和其他應用，尤其是在安全補丁發布後不更新就會遭遇惡意黑客利用漏洞的情況下。
4、零日攻擊
零日攻擊是模糊攻擊的擴展，但不要求識別漏洞本身。此類攻擊最近的案例是谷歌發現的，在Windows和chrome軟體中發現了潛在的零日攻擊。
在兩種情況下，惡意黑客能夠從零日攻擊中獲利。第一種情況是：如果能夠獲得關於即將到來的安全更新的信息，攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是：網路罪犯獲取補丁信息，然後攻擊尚未更新系統的用戶。這兩種情況，系統安全都會遭到破壞，至於後續影響程度，就取決於黑客的技術了。
防禦方法：保護自己和自身網站不受零日攻擊影響最簡便的方法，就是在新版本發布後及時更新你的軟體。
5、路徑(目錄)遍歷
路徑遍歷攻擊針對Web
root文件夾，訪問目標文件夾外部的未授權文件或目錄。攻擊者試圖將移動模式注入伺服器目錄，以便向上爬升。成功的路徑遍歷攻擊能夠獲得網站訪問權，染指配置文件、資料庫和同一實體伺服器上的其他網站和文件。
防禦方法：網站能否抵禦路徑遍歷攻擊取決於你的輸入凈化程度。這意味著保證用戶輸入安全，並且不能從你的伺服器恢復出用戶輸入內容。最直觀的建議就是打造你的代碼庫，這樣用戶的任何信息都不會傳輸到文件系統API。即使這條路走不通，也有其他技術解決方案可用。
6、分布式拒絕服務-DDOS
DDoS攻擊本身不能使惡意黑客突破安全措施，但會令網站暫時或永久掉線。相關數據顯示：單次DDOS攻擊可令小企業平均損失12.3萬美元，大型企業的損失水平在230萬美元左右。
DDoS旨在用請求洪水壓垮目標Web伺服器，讓其他訪客無法訪問網站。僵屍網路通常能夠利用之前感染的計算機從全球各地協同發送大量請求。而且，DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDOS攻擊吸引安全系統火力，從而暗中利用漏洞入侵系統。
防禦方法：保護網站免遭DDOS攻擊侵害一般要從幾個方面著手：首先，需通過內容分發網路、負載均衡器和可擴展資源緩解高峰流量。其次，需部署Web應用防火牆，防止DDOS攻擊隱蔽注入攻擊或跨站腳本等其他網路攻擊方法。
7、中間人攻擊
中間人攻擊常見於用戶與伺服器間傳輸數據不加密的網站。作為用戶，只要看看網站的URL是不是以https開頭就能發現這一潛在風險了，因為HTTPS中的s指的就是數據是加密的，缺了S就是未加密。
攻擊者利用中間人類型的攻擊收集信息，通常是敏感信息。數據在雙方之間傳輸時可能遭到惡意黑客攔截，如果數據未加密，攻擊者就能輕易讀取個人信息、登錄信息或其他敏感信息。
防禦方法：在網站上安裝安全套接字層就能緩解中間人攻擊風險。SSL證書加密各方間傳輸的信息，攻擊者即使攔截到了也無法輕易破解。現代託管提供商通常已經在託管服務包中配置了SSL證書。
8、暴力破解攻擊
暴力破解攻擊是獲取Web應用登錄信息相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一，尤其是從用戶側加以緩解最為方便。
暴力破解攻擊中，攻擊者試圖猜解用戶名和密碼對，以便登錄用戶賬戶。當然，即使採用多台計算機，除非密碼相當簡單且明顯，否則破解過程可能需耗費幾年時間。
防禦方法：保護登錄信息的最佳辦法，是創建強密碼，或者使用雙因子身份驗證。作為網站擁有者，你可以要求用戶同時設置強密碼和2FA，以便緩解網路罪犯猜出密碼的風險。
9、使用未知代碼或第三方代碼
盡管不是對網站的直接攻擊，使用由第三方創建的未經驗證代碼，也可能導致嚴重的安全漏洞。
代碼或應用的原始創建者可能會在代碼中隱藏惡意字元串，或者無意中留下後門。一旦將受感染的代碼引入網站，那就會面臨惡意字元串執行或後門遭利用的風險。其後果可以從單純的數據傳輸直到網站管理許可權陷落。
防禦方法：想要避免圍繞潛在數據泄露的風險，讓你的開發人員分析並審計代碼的有效性。
10、網路釣魚
網路釣魚是另一種沒有直接針對網站的攻擊方法，但我們不能將它除在名單之外，因為網路釣魚也會破壞你系統的完整性。
網路釣魚攻擊用到的標准工具就是電子郵件。攻擊者通常會偽裝成其他人，誘騙受害者給出敏感信息或者執行銀行轉賬。此類攻擊可以是古怪的419騙局，或者涉及假冒電子郵件地址、貌似真實的網站和極具說服力用語的高端攻擊。
防禦方法：緩解網路釣魚騙局風險最有效的方法，是培訓員工和自身，增強對此類欺詐的辨識能力。保持警惕，總是檢查發送者電子郵件地址是否合法，郵件內容是否古怪，請求是否不合常理。

3. 如何檢測和預防網路攻擊

1. 首先，介紹基礎知識

確保防火牆處於活動狀態，配置正確，並且最好是下一代防火牆; 這是一個共同的責任。此外，請確保對您的IoT設備進行細分，並將它們放在自己的網路上，以免它們感染個人或商業設備。

安裝防病毒軟體(有許多備受推崇的免費選項，包括Avast，BitDefender，Malwarebytes和Microsoft Windows Defender等)

保持軟體更新。更新包含重要更改，以提高計算機上運行的應用程序的性能，穩定性和安全性。安裝它們可確保您的軟體繼續安全有效地運行。

不要僅僅依靠預防技術。確保您擁有準確的檢測工具，以便快速通知您任何繞過外圍防禦的攻擊。欺騙技術是推薦用於大中型企業的技術。不確定如何添加檢測?看看託管服務提供商，他們可以提供幫助。

2. 密碼不會消失：確保你的堅強

由於密碼不太可能很快消失，因此個人應該採取一些措施來強化密碼。例如，密碼短語已經被證明更容易跟蹤並且更難以破解。密碼管理器(如LastPass，KeePass，1password和其他服務)也可用於跟蹤密碼並確保密碼安全。還可以考慮激活雙因素身份驗證(如果可用於銀行，電子郵件和其他提供該身份驗證的在線帳戶)。有多種選擇，其中許多是免費的或便宜的。

3. 確保您在安全的網站上

輸入個人信息以完成金融交易時，請留意地址欄中的「https：//」。HTTPS中的「S」代表「安全」，表示瀏覽器和網站之間的通信是加密的。當網站得到適當保護時，大多數瀏覽器都會顯示鎖定圖標或綠色地址欄。如果您使用的是不安全的網站，最好避免輸入任何敏感信息。

採用安全的瀏覽實踐。今天的大多數主要網路瀏覽器(如Chrome，Firefox)都包含一些合理的安全功能和有用的工具，但還有其他方法可以使您的瀏覽更加安全。經常清除緩存，避免在網站上存儲密碼，不要安裝可疑的第三方瀏覽器擴展，定期更新瀏覽器以修補已知漏洞，並盡可能限制對個人信息的訪問。

4. 加密敏感數據

無論是商業記錄還是個人納稅申報表，加密最敏感的數據都是個好主意。加密可確保只有您或您提供密碼的人才能訪問您的文件。

5. 避免將未加密的個人或機密數據上傳到在線文件共享服務

Google雲端硬碟，Dropbox和其他文件共享服務非常方便，但它們代表威脅演員的另一個潛在攻擊面。將數據上載到這些文件共享服務提供程序時，請在上載數據之前加密數據。很多雲服務提供商都提供了安全措施，但威脅參與者可能不需要入侵您的雲存儲以造成傷害。威脅參與者可能會通過弱密碼，糟糕的訪問管理，不安全的移動設備或其他方式訪問您的文件。

6. 注意訪問許可權

了解誰可以訪問哪些信息非常重要。例如，不在企業財務部門工作的員工不應該訪問財務信息。對於人力資源部門以外的人事數據也是如此。強烈建議不要使用通用密碼進行帳戶共享，並且系統和服務的訪問許可權應僅限於需要它們的用戶，尤其是管理員級別的訪問許可權。例如，應該注意不要將公司計算機借給公司外的任何人。如果沒有適當的訪問控制，您和您公司的信息都很容易受到威脅。

7. 了解Wi-Fi的漏洞

不安全的Wi-Fi網路本身就很脆弱。確保您的家庭和辦公室網路受密碼保護並使用最佳可用協議進行加密。此外，請確保更改默認密碼。最好不要使用公共或不安全的Wi-Fi網路來開展任何金融業務。如果你想要格外小心，如果筆記本電腦上有任何敏感材料，最好不要連接它們。使用公共Wi-Fi時，請使用VPN客戶端，例如您的企業或VPN服務提供商提供的VPN客戶端。將物聯網設備風險添加到您的家庭環境時，請注意這些風險。建議在自己的網路上進行細分。

8. 了解電子郵件的漏洞

小心通過電子郵件分享個人或財務信息。這包括信用卡號碼(或CVV號碼)，社會安全號碼以及其他機密或個人信息。注意電子郵件詐騙。常見的策略包括拼寫錯誤，創建虛假的電子郵件鏈，模仿公司高管等。這些電子郵件通常在仔細檢查之前有效。除非您能夠驗證來源的有效性，否則永遠不要相信要求您匯款或從事其他異常行為的電子郵件。如果您要求同事進行購物，匯款或通過電子郵件付款，請提供密碼密碼。強烈建議使用電話或文本確認。

9. 避免在網站上存儲您的信用卡詳細信息

每次您想要購買時，可能更容易在網站或計算機上存儲信用卡信息，但這是信用卡信息受損的最常見方式之一。養成查看信用卡對帳單的習慣。在線存儲您的信用卡詳細信息是您的信息受到損害的一種方式。

10. 讓IT快速撥號

如果發生違規行為，您應該了解您公司或您自己的個人事件響應計劃。如果您認為自己的信息遭到入侵，並且可能包含公共關系團隊的通知，這將包括了解您的IT或財務部門的聯系人。如果您懷疑自己是犯罪或騙局的受害者，那麼了解哪些執法部門可以對您有所幫助也是一個好主意。許多網路保險公司也需要立即通知。

在違規期間有很多事情需要處理。在違規期間了解您的事件響應計劃並不是您最好的選擇。建議熟悉該計劃並進行實踐，以便在事件發生時能夠快速，自信地採取行動。這也包括個人響應計劃。如果受到損害，您知道如何立即關閉信用卡或銀行卡嗎?

即使是世界上最好的網路安全也會得到知情和准備好的個人的支持。了解任何網路中存在的漏洞並採取必要的預防措施是保護自己免受網路攻擊的重要的第一步，遵循這些簡單的規則將改善您的網路衛生，並使您成為更准備，更好保護的互聯網用戶。

4. 近年常用的幾種DDOS攻擊檢測方法

DDoS攻擊通過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的。 這種攻擊方式可分為以下幾種：
通過使網路過載來干擾甚至阻斷正常的網路通訊；
通過向伺服器提交大量請求，使伺服器超負荷；
阻斷某一用戶訪問伺服器；
阻斷某服務與特定系統或個人的通訊。
IP Spoofing
IP欺騙攻擊是一種黑客通過向服務端發送虛假的包以欺騙伺服器的做法。具體說，就是將包中的源IP地址設置為不存在或不合法的值。伺服器一旦接受到該包便會返回接受請求包，但實際上這個包永遠返回不到來源處的計算機。這種做法使伺服器必需開啟自己的監聽埠不斷等待，也就浪費了系統各方面的資源。
LAND attack
這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而死機。
ICMP floods
ICMPfloods是通過向未良好設置的路由器發送廣播信息佔用系統資源的做法。
Application
與前面敘說的攻擊方式不同，Application level floods主要是針對應用軟體層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網路服務程序提出無節制的資源申請來迫害正常的網路服務。

5. 網路攻擊類型

1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為，主要包括：

死亡之ping （ping of death）
概覽：由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。
防禦：現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。

淚滴（teardrop）
概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。
防禦：伺服器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）
概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一台主機，這樣就生成在兩台主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦：關掉不必要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）
概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。
防禦：在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂，由於釋放洪水的並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

Land攻擊
概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址，此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鍾）。
防禦：打最新的補丁，或者在防火牆進行配置，將那些在外部介面上入站的含有內部源地址濾掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻擊
概覽：一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。
防禦：為了防止黑客利用你的網路攻擊他人，關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊
概覽：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP
防禦：在防火牆上過濾掉UDP應答消息

電子郵件炸彈
概覽：電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網路的帶寬。
防禦：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

畸形消息攻擊
概覽：各類操作系統上的許多服務都存在此類問題，由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。
防禦：打最新的服務補丁。

2、利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種：

口令猜測
概覽：一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器的控制。
防禦：要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。

特洛伊木馬
概覽：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權，安裝此程序的人就可以直接遠程式控制制目標系統。最有效的一種叫做後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦：避免下載可疑程序並拒絕執行，運用網路掃描軟體定期監視內部主機上的監聽TCP服務。

緩沖區溢出
概覽：由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。
防禦：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統。

3、信息收集型攻擊

信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描
概覽：運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。
防禦：在防火牆上過濾掉ICMP應答消息。

埠掃描
概覽：通常使用一些軟體，向大范圍的主機連接一系列的TCP埠，掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射
概覽：黑客向主機發送虛假消息，然後根據返回「host unreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。
防禦：NAT和非路由代理伺服器能夠自動抵禦此類攻擊，也可以在防火牆上過濾「host unreachable」ICMP應答。

慢速掃描
概覽：由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦：通過引誘服務來對慢速掃描進行偵測。

體系結構探測
概覽：黑客使用具有已知響應類型的資料庫的自動工具，對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧具體實現有所不同），通過將此獨特的響應與資料庫中的已知響應進行對比，黑客經常能夠確定出目標主機所運行的操作系統。
防禦：去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用於識別的埠擾亂對方的攻擊計劃。

利用信息服務

DNS域轉換
概覽：DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器，黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦：在防火牆處過濾掉域轉換請求。

Finger服務
概覽：黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。
防禦：關閉finger服務並記錄嘗試連接該服務的對方IP地址，或者在防火牆上進行過濾。

LDAP服務
概覽：黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。
防禦：對於刺探內部網路的LDAP進行阻斷並記錄，如果在公共機器上提供LDAP服務，那麼應把LDAP伺服器放入DMZ。

4、假消息攻擊
用於攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。

DNS高速緩存污染
概覽：由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證，這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。
防禦：在防火牆上過濾入站的DNS更新，外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。

偽造電子郵件
概覽：由於SMTP並不對郵件的發送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識並相信的人，並附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。
防禦：使用PGP等安全工具並安裝電子郵件證書。

6. 網路攻擊入侵方式主要有幾種

網路安全是現在熱門話題之一，我們如果操作設置不當就會受到網路攻擊，而且方式多種，那麼有哪些網路攻擊方式呢?下面一起看看!

常見的網路攻擊方式

埠掃描，安全漏洞攻擊，口令入侵，木馬程序，電子郵件攻擊，Dos攻擊

1>.埠掃描：

通過埠掃描可以知道被掃描計算機開放了哪些服務和埠，以便發現其弱點，可以手動掃描，也可以使用埠掃描軟體掃描

2>.埠掃描軟體

SuperScan(綜合掃描器)

主要功能：

檢測主機是否在線

IP地址和主機名之間的相互轉換

通過TCP連接試探目標主機運行的服務

掃描指定范圍的主機埠。

PortScanner(圖形化掃描器軟體)

比較快，但是功能較為單一

X-Scan(無需安裝綠色軟體，支持中文)

採用多線程 方式對指定的IP地址段(或單機)進行安全漏洞檢測

支持插件功能，提供圖形化和命令行操作方式，掃描較為綜合。

3>.安全漏洞攻擊

安全漏洞是硬體、軟體、協議在具體實現和安全策略上存在的缺陷,安全漏洞的存在可以使攻擊者在未授權的情況下訪問或破壞系統

4>.口令入侵

口令入侵是指非法獲取某些合法用戶的口令後，登錄目標主機實施攻擊的行為

非法獲取口令的方式：

通過網路監聽獲取口令

通過暴力解除獲取口令

利用管理失誤獲取口令

5>.木馬程序

它隱藏在系統內部，隨系統啟動而啟動，在用戶不知情的情況下，連接並控制被感染計算機

木馬由兩部分組成：伺服器端和客戶端

常見木馬程序：

BO2000

冰河

灰鴿子

6>.電子郵件攻擊

攻擊者使用郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用

電子郵件攻擊的表現形式：

郵件炸彈

郵件欺騙

7>.Dos攻擊

Dos全稱為拒絕服務攻擊，它通過短時間內向主機發送大量數據包，消耗主機資源，造成系統過載或系統癱瘓，拒絕正常用戶訪問

拒絕服務攻擊的類型：

攻擊者從偽造的、並不存在的IP地址發出連接請求

攻擊者佔用所有可用的會話，阻止正常用戶連接

攻擊者給接收方灌輸大量錯誤或特殊結構的數據包

Dos攻擊舉例

淚滴攻擊

ping of Death

smurf 攻擊

SYN溢出

DDoS分布式拒絕服務攻擊

補充：校園網安全維護技巧

校園網路分為內網和外網，就是說他們可以上學校的內網也可以同時上互聯網，大學的學生平時要玩游戲購物，學校本身有自己的伺服器需要維護;

在大環境下，首先在校園網之間及其互聯網接入處，需要設置防火牆設備，防止外部攻擊，並且要經常更新抵禦外來攻擊;

由於要保護校園網所有用戶的安全，我們要安全加固，除了防火牆還要增加如ips，ids等防病毒入侵檢測設備對外部數據進行分析檢測，確保校園網的安全;

外面做好防護 措施 ，內部同樣要做好防護措施，因為有的學生電腦可能帶回家或者在外面感染，所以內部核心交換機上要設置vlan隔離，旁掛安全設備對埠進行檢測防護;

內網可能有ddos攻擊或者arp病毒等傳播，所以我們要對伺服器或者電腦安裝殺毒軟體，特別是學校伺服器系統等，安全正版安全軟體，保護重要電腦的安全;

對伺服器本身我們要安全server版系統，經常修復漏洞及更新安全軟體，普通電腦一般都是撥號上網，如果有異常上層設備監測一般不影響其他電腦。做好安全防範措施，未雨綢繆。

相關閱讀：2018網路安全事件：

一、英特爾處理器曝「Meltdown」和「Spectre漏洞」

2018年1月，英特爾處理器中曝「Meltdown」(熔斷)和「Spectre」 (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統和處理器在內，幾乎近20年發售的所有設備都受到影響，受影響的設備包括手機、電腦、伺服器以及雲計算產品。這些漏洞允許惡意程序從 其它 程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲於內存中的信息均可能因此外泄。

二、GitHub 遭遇大規模 Memcached DDoS 攻擊

2018年2月，知名代碼託管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創新高，達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 伺服器進行攻擊。網路安全公司 Cloudflare 的研究人員發現，截止2018年2月底，中國有2.5萬 Memcached 伺服器暴露在網上 。

三、蘋果 iOS iBoot源碼泄露

2018年2月，開源代碼分享網站 GitHub(軟體項目託管平台)上有人共享了 iPhone 操作系統 的核心組件源碼，泄露的代碼屬於 iOS 安全系統的重要組成部分——iBoot。iBoot 相當於是 Windows 電腦的 BIOS 系統。此次 iBoot 源碼泄露可能讓數以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

四、韓國平昌冬季奧運會遭遇黑客攻擊

2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網路中斷，廣播系統(觀眾不能正常觀看直播)和奧運會官網均無法正常運作，許多觀眾無法列印開幕式門票，最終未能正常入場。

五、加密貨幣采礦軟體攻擊致歐洲廢水處理設施癱瘓

2018年2月中旬，工業網路安全企業 Radiflow 公司表示，發現四台接入歐洲廢水處理設施運營技術網路的伺服器遭遇加密貨幣采礦惡意軟體的入侵。該惡意軟體直接拖垮了廢水處理設備中的 HMI 伺服器 CPU，致歐洲廢水處理伺服器癱瘓 。

Radiflow 公司稱，此次事故是加密貨幣惡意軟體首次對關鍵基礎設施運營商的運營技術網路展開攻擊。由於受感染的伺服器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統癱瘓，是因為這種惡意軟體會嚴重降低 HMI 的運行速度。

網路攻擊相關 文章 ：

1. 網路攻擊以及防範措施有哪些

2. 企業級路由器攻擊防護的使用方法

3. 區域網ARP欺騙和攻擊解決方法

4. 網路arp攻擊原理

5. 關於計算機網路安全專業介紹

7. 區域網ARP攻擊檢測方法有哪些

同路由的用戶就可能會因為網速問題使用各種網路控制軟體，對區域網內的用戶進行ARP斷網攻擊，導致內網下所有用戶都不能正常上網，怎麼解決呢?怎麼檢測arp攻擊?

區域網ARP攻擊檢測方法

一、首先診斷是否為ARP病毒攻擊

1、當發現上網明顯變慢，或者突然掉線時，我們可以用：arp -a 命令來檢查ARP表：

點擊“開始”按鈕-選擇“運行”-輸入“cmd”點擊“確定”按鈕，在窗口中輸入：arp -a 命令。

如何排查內網ARP斷網攻擊禍首?區域網ARP攻擊檢測方法

2、如果手頭一下沒這個軟體怎麼辦呢?這時也可在客戶機運行路由跟蹤命令 馬上就發現第一條不是網關機的內網IP，而是本網段內的另外一台機器的IP，再下一跳才是網關的內網IP;正常情況是路由跟蹤執行後的輸出第一條應該是默認網關地址，由此判定第一跳的那個非網關IP地址的主機就是罪魁禍首。

查找訪問外網路徑

當然找到了IP之後，接下來是要找到這個IP具體所對應的機子了，如果你每台電腦編了號，並使用固定IP，IP的設置也有規律的話，那麼就很快找到了。但如果不是上面這種情況，IP設置又無規律，或者IP是動態獲取的那該怎麼辦呢?難道還是要一個個去查?非也!你可以這樣：把一台機器的IP地址設置成與作祟機相同的相同，然後造成IP地址沖突，使中毒主機報警然後找到這個主機。

補充：防火牆實用技巧

1、首先我們需要依次點擊【開始】【控制面板】【系統和安全】【windows防火牆】，來查看我們的防火牆的狀態。

2、如果你防火牆的配置存在問題，那麼你可以通過點擊【自定義】設置來查看防火牆的配置情況。

3、在我們開啟了防火牆之後，如果你需要讓某個程序允許通過防火牆測率，你可以通過點擊【控制面板】【系統和安全】，單擊右側的【允許程序或功能通過windows防火牆】。

4、在彈出的【允許的程序】對話框中設置允許你通過防火牆的程序。

5、我們需要在【家庭/工作】、【公用】對話框中打鉤。

6、如果你想更改你程序的網路位置，你可以在下圖中更改程序的網路位置。

相關閱讀：防火牆相關知識

防火牆在網路中經常是以兩種圖標出現的。一種圖標非常形象，真正像一堵牆一樣。而另一種圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有“單向導通”性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢?當火災發生時，這些人又如何逃離現場呢?這個門就相當於我們這里所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

8. 智能網聯汽車典型攻擊方式有哪些

一、DDoS攻擊/ DDoS攻擊

DDoS攻擊是指來自不同地點(IP地址)的多個攻擊者定期向同一個目標發送伺服器請求，請求過載導致伺服器資源癱瘓。其中，可以偽造不同的源IP地址，使得入侵檢測非常困難。

六、黑洞攻擊

黑洞攻擊在通信系統中非常常見。黑洞攻擊是指攻擊者丟棄數據包而不是將數據包轉發到目的地，從而造成數據包無法通過網路的漏洞。如果攻擊者位於兩組用戶之間的關鍵路徑上，且不存在其他路徑，則黑洞攻擊實際上是指兩組用戶之間無法通信，相互隔離。

七、Sybil攻擊

Sybil攻擊，有時被稱為模仿攻擊，涉及用戶創建大量的假名。傳統上，Sybil攻擊主要用於P2P網路，因為P2P網路中用戶較多，攻擊者對網路的影響較大。此外，Sybil攻擊還可以用來改變特定方向的路由流量。

9. 常見的網路攻擊方法和防禦技術

網路攻擊類型

偵查攻擊：

搜集網路存在的弱點，以進一步攻擊網路。分為掃描攻擊和網路監聽。

掃描攻擊：埠掃描，主機掃描，漏洞掃描。

網路監聽：主要指只通過軟體將使用者計算機網卡的模式置為混雜模式，從而查看通過此網路的重要明文信息。

埠掃描：

根據 TCP 協議規范，當一台計算機收到一個TCP 連接建立請求報文（TCP SYN） 的時候，做這樣的處理：

1、如果請求的TCP埠是開放的，則回應一個TCP ACK 報文， 並建立TCP連接控制結構（TCB）；

2、如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、如果該報文的目標埠開放，則把該UDP 報文送上層協議（UDP ） 處理， 不回應任何報文（上層協議根據處理結果而回應的報文例外）；

2、如果該報文的目標埠沒有開放，則向發起者回應一個ICMP 不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TC 或UDP埠是開放的。

過程如下：

1、發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；

2、如果收到了針對這個TCP 報文的RST 報文，或針對這個UDP 報文 的 ICMP 不可達報文，則說明這個埠沒有開放；

3、相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP 埠沒有開放） 。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

主機掃描即利用ICMP原理搜索網路上存活的主機。

網路踩點（Footprinting）

攻擊者事先匯集目標的信息，通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網路拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

掃描攻擊

掃描攻擊包括地址掃描和埠掃描等，通常採用ping命令和各種埠掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些埠，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

協議指紋

黑客對目標主機發出探測包，由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別（也就是說各個廠家在編寫自己的TCP/IP 協議棧時，通常對特定的RFC指南做出不同的解釋），因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。

常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。

信息流監視

這是一個在共享型區域網環境中最常採用的方法。

由於在共享介質的網路上數據包會經過每個網路節點， 網卡在一般情況下只會接受發往本機地址或本機所在廣播（或多播）地址的數據包，但如果將網卡設置為混雜模式（Promiscuous），網卡就會接受所有經過的數據包。

基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟體，也可以是硬體）就可以對網路的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

訪問攻擊

密碼攻擊：密碼暴力猜測，特洛伊木馬程序，數據包嗅探等方式。中間人攻擊：截獲數據，竊聽數據內容，引入新的信息到會話，會話劫持（session hijacking）利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

拒絕服務攻擊

偽裝大量合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務響應。

要避免系統遭受DoS 攻擊，從前兩點來看，網路管理員要積極謹慎地維護整個系統，確保無安全隱患和漏洞；

而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊，同時強烈建議網路管理員定期查看安全設備的日誌，及時發現對系統存在安全威脅的行為。

常見拒絕服務攻擊行為特徵與防禦方法

拒絕服務攻擊是最常見的一類網路攻擊類型。

在這一攻擊原理下，它又派生了許多種不同的攻擊方式。

正確了解這些不同的拒絕攻擊方式，就可以為正確、系統地為自己所在企業部署完善的安全防護系統。

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。

要有效的進行反攻擊，首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。


下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析，並提出相應的對策。

死亡之Ping（ Ping of death）攻擊

由於在早期的階段，路由器對包的最大大小是有限制的，許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。

在對ICMP數據包的標題頭進行讀取之後，是根據該標題頭里包含的信息來為有效載荷生成緩沖區。

當大小超過64KB的ICMP包，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。

這就是這種「死亡之Ping」攻擊的原理所在。

根據這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包，就可使目標計算機的TCP/IP堆棧崩潰，致使接受方宕機。

防禦方法：

現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力，並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析，自動過濾這些攻擊。

Windows 98 、Windows NT 4.0（SP3之後）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。

此外，對防火牆進行配置，阻斷ICMP 以及任何未知協議數據包，都可以防止此類攻擊發生。

淚滴（ teardrop）攻擊

對於一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。

比如，一個6000 位元組的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成三個IP包。

在IP 報頭中有一個偏移欄位和一個拆分標志（MF）。

如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個 IP包中的位置。

例如，對一個6000位元組的IP包進行拆分（MTU為2000），則三個片斷中偏移欄位的值依次為：0，2000，4000。

這樣接收端在全部接收完IP數據包後，就可以根據這些信息重新組裝沒正確的值，這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包，但接收端會不斷償試，這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。

淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。

IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰，不過新的操作系統已基本上能自己抵禦這種攻擊了。

防禦方法：

盡可能採用最新的操作系統，或者在防火牆上設置分段重組功能，由防火牆先接收到同一原包中的所有拆分數據包，然後完成重組工作，而不是直接轉發。

因為防火牆上可以設置當出現重疊欄位時所採取的規則。

TCP SYN 洪水（TCP SYN Flood）攻擊

TCP/IP棧只能等待有限數量ACK（應答）消息，因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。

如果這一緩沖區充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區里的連接超時。

TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。

攻擊者利用偽造的IP地址向目標發出多個連接（SYN）請求。

目標系統在接收到請求後發送確認信息，並等待回答。

由於黑客們發送請示的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。

而在沒有接收到應答之前，目標計算機系統是不會主動放棄的，繼續會在緩沖區中保持相應連接信息，一直等待。

當達到一定數量的等待連接後，緩區部內存資源耗盡，從而開始拒絕接收任何其他連接請求，當然也包括本來屬於正常應用的請求，這就是黑客們的最終目的。

防禦方法：

在防火牆上過濾來自同一主機的後續連接。

不過「SYN洪水攻擊」還是非常令人擔憂的，由於此類攻擊並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。

Land 攻擊

這類攻擊中的數據包源地址和目標地址是相同的，當操作系統接收到這類數據包時，不知道該如何處理，或者循環發送和接收該數據包，以此來消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。

防禦方法：

這類攻擊的檢測方法相對來說比較容易，因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。

反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。

並對這種攻擊進行審計，記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址，從而可以有效地分析並跟蹤攻擊者的來源。

Smurf 攻擊

這是一種由有趣的卡通人物而得名的拒絕服務攻擊。

Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。

攻擊者偽造一個合法的IP地址，然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。

由於這些數據包表面上看是來自已知地址的合法請求，因此網路中的所有系統向這個地址做出回答，最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，這也就達到了黑客們追求的目的了。

這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級，更容易攻擊成功。

還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再採用偽裝的IP地址），最終導致第三方雪崩。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性，並在防火牆上設置規則，丟棄掉ICMP協議類型數據包。

Fraggle 攻擊

Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改，使用的是UDP協議應答消息，而不再是ICMP協議了（因為黑客們清楚 UDP 協議更加不易被用戶全部禁止）。

同時Fraggle攻擊使用了特定的埠（通常為7號埠，但也有許多使用其他埠實施 Fraggle 攻擊的），攻擊與Smurf 攻擊基本類似，不再贅述。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文，或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。

電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的，此類攻擊能夠耗盡郵件接受者網路的帶寬資源。

防禦方法：

對郵件地址進行過濾規則配置，自動刪除來自同一主機的過量或重復的消息。

虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。

這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的。比如，5個或10個等。

這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。

這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO 後，會回應一個ICMP ECHO Reply 報文。

而這個過程是需要CPU 處理的，有的情況下還可能消耗掉大量的資源。

比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO 報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

WinNuke 攻擊

NetBIOS 作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享， 進程間通信（ IPC），以及不同操作系統之間的數據交換。

一般情況下，NetBIOS 是運行在 LLC2 鏈路協議之上的，是一種基於組播的網路訪問介面。

為了在TCP/IP協議棧上實現NetBIOS ，RFC規定了一系列交互標准，以及幾個常用的 TCP/UDP 埠：

139：NetBIOS 會話服務的TCP 埠；

137：NetBIOS 名字服務的UDP 埠；

136：NetBIOS 數據報服務的UDP 埠。

WINDOWS操作系統的早期版本（WIN95/98/NT ）的網路服務（文件共享等）都是建立在NetBIOS之上的。

因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003 等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文。

但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

分片 IP 報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP 分片報文組裝起來。

目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文。

這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。

如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時）。

如果攻擊者發送了大量的分片報文，就會消耗掉目標計 算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

T
分段攻擊。利用了重裝配錯誤，通過將各個分段重疊來使目標系統崩潰或掛起。

歡迎關注的我的頭條號，私信交流，學習更多的網路技術！

10. 網路中常見針對操作系統攻擊方法有哪些

目前造成網路不安全的主要因素是系統、協議及資料庫等的設計上存在缺陷。由於當今的計算機網路操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性，導致了系統在遠程訪問、許可權控制和口令管理等許多方面存在安全漏洞。網路互連一般採用TCP/IP協議，它是一個工業標準的協議簇，但該協議簇在制訂之初，對安全問題考慮不多，協議中有很多的安全漏洞。同樣，資料庫管理系統（DBMS）也存在數據的安全性、許可權管理及遠程訪問等方面問題，在DBMS或應用程序中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。 由此可見，針對系統、網路協議及資料庫等，無論是其自身的設計缺陷，還是由於人為的因素產生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用並發起攻擊。因此若要保證網路安全、可靠，則必須熟知黑客網路攻擊的一般過程。只有這樣方可在黒客攻擊前做好必要的防備，從而確保網路運行的安全和可靠。
一、黑客攻擊網路的一般過程
1、信息的收集 信息的收集並不對目標產生危害，只是為進一步的入侵提供有用信息。黑客可能會利用下列的公開協議或工具，收集駐留在網路系統中的各個主機系統的相關信息：
（1）TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網路數和路由器數。
（2）SNMP協議 用來查閱網路系統路由器的路由表，從而了解目標主機所在網路的拓撲結構及其內部細節。
（3）DNS伺服器 該伺服器提供了系統中可以訪問的主機IP地址表和它們所對應的主機名。
（4）Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。
（5）Ping實用程序 可以用來確定一個指定的主機的位置或網線是否連通。
2、系統安全弱點的探測 在收集到一些准備要攻擊目標的信息後，黑客們會探測目標網路上的每台主機，來尋求系統內部的安全漏洞，主要探測的方式如下：
（1）自編程序 對某些系統，互聯網上已發布了其安全漏洞所在，但用戶由於不懂或一時疏忽未打上網上發布的該系統的「補丁」程序，那麼黒客就可以自己編寫一段程序進入到該系統進行破壞。
（2）慢速掃描 由於一般掃描偵測器的實現是通過監視某個時間段里一台特定主機發起的連接的數目來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
（3）體系結構探測 黑客利用一些特殊的數據包傳送給目標主機，使其作出相對應的響應。由於每種操作系統的響應時間和方式都是不一樣的，黒客利用這種特徵把得到的結果與准備好的資料庫中的資料相對照，從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息。
（4）利用公開的工具軟體 像審計網路用的安全分析工具SATAN、Internet的電子安全掃描程序IIS等一些工具對整個網路或子網進行掃描，尋找安全方面的漏洞。
3、建立模擬環境，進行模擬攻擊 根據前面兩小點所得的信息，建立一個類似攻擊對象的模擬環境，然後對此模擬目標進行一系列的攻擊。在此期間，通過檢查被攻擊方的日誌，觀察檢測工具對攻擊的反應，可以進一步了解在攻擊過程中留下的「痕跡」及被攻擊方的狀態，以此來制定一個較為周密的攻擊策略。
4、具體實施網路攻擊 入侵者根據前幾步所獲得的信息，同時結合自身的水平及經驗總結出相應的攻擊方法，在進行模擬攻擊的實踐後，將等待時機，以備實施真正的網路攻擊。