网络攻击类型

一、服务拒绝攻击
服务拒绝攻击企图经过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：

死亡之ping （ping of death）
概览：因为在早期的阶段，路由器对包的最大尺寸都有限制，许多操做系统对TCP/IP栈的实如今ICMP包上都是规定64KB，而且在对包的标题头进行读取以后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称本身的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，致使TCP/IP堆栈崩溃，导致接受方当机。
防护：如今全部的标准TCP/IP实现都已实现对付超大尺寸的包，而且大多数防火墙可以自动过滤这些攻击，包括：从windows98以后的windows,NT(service pack 3以后)，linux、Solaris、和Mac OS都具备抵抗通常ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）
概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现本身的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4之前的NT）在收到含有重叠偏移的伪造分段时将崩溃。
防护：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）
概览：各类各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。经过伪造与某一主机的Chargen服务之间的一次的UDP链接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，若是足够多的数据流就会致使带宽的服务攻击。
防护：关掉没必要要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）
概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，由于他们只有有限的内存缓冲区用于建立链接，若是这一缓冲区充满了虚假链接的初始信息，该服务器就会对接下来的链接中止响应，直到缓冲区里的链接企图超时。在一些建立链接不受限制的实现里，SYN洪水具备相似的影响。
防护：在防火墙上过滤来自同一主机的后续链接。
将来的SYN洪水使人担心，因为释放洪水的并不寻求响应，因此没法从一个简单高容量的传输中鉴别出来。

Land攻击
概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将致使接受服务器向它本身的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并建立一个空链接，每个这样的链接都将保留直到超时掉，对Land攻击反应不一样，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。
防护：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻击
概览：一个简单的smurf攻击经过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终致使该网络的全部主机都对此ICMP应答请求做出答复，致使网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改成第三方的受害者，最终致使第三方雪崩。
防护：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击
概览：Fraggle攻击对Smurf攻击做了简单的修改，使用的是UDP应答消息而非ICMP
防护：在防火墙上过滤掉UDP应答消息

电子邮件炸弹
概览：电子邮件炸弹是最古老的匿名攻击之一，经过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者可以耗尽接受者网络的带宽。
防护：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击
概览：各种操做系统上的许多服务都存在此类问题，因为这些服务在处理信息以前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。
防护：打最新的服务补丁。

二、利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最多见的有三种：

口令猜想
概览：一旦黑客识别了一台主机并且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，成功的口令猜想能提供对机器的控制。
防护：要选用难以猜想的口令，好比词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。若是该服务支持锁定策略，就进行锁定。

特洛伊木马
概览：特洛伊木马是一种或是直接由一个黑客，或是经过一个不使人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就能够直接远程控制目标系统。最有效的一种叫作后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防护：避免下载可疑程序并拒绝执行，运用网络扫描软件按期监视内部主机上的监听TCP服务。

缓冲区溢出
概览：因为在不少的服务程序中大意的程序员使用象strcpy(),strcat()相似的不进行有效位检查的函数，最终可能致使恶意用户编写一小段利用程序来进一步打开安全豁口而后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。
防护：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操做系统。

三、信息收集型攻击

信息收集型攻击并不对目标自己形成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描
概览：运用ping这样的程序探测目标地址，对此做出响应的表示其存在。
防护：在防火墙上过滤掉ICMP应答消息。

端口扫描
概览：一般使用一些软件，向大范围的主机链接一系列的TCP端口，扫描软件报告它成功的创建了链接的主机所开的端口。
防护：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射
概览：黑客向主机发送虚假消息，而后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前因为正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。
防护：NAT和非路由代理服务器可以自动抵御此类攻击，也能够在防火墙上过滤“host unreachable”ICMP应答。

慢速扫描
概览：因为通常扫描侦测器的实现是经过监视某个时间桢里一台特定主机发起的链接的数目（例如每秒10次）来决定是否在被扫描，这样黑客能够经过使用扫描速度慢一些的扫描软件进行扫描。
防护：经过引诱服务来对慢速扫描进行侦测。

体系结构探测
概览：黑客使用具备已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所做出的响应进行检查。因为每种操做系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不一样），经过将此独特的响应与数据库中的已知响应进行对比，黑客常常可以肯定出目标主机所运行的操做系统。
防护：去掉或修改各类Banner，包括操做系统和各类应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换
概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不一样的方式加以利用。若是你维护着一台公共的DNS服务器，黑客只需实施一次域转换操做就能获得你全部主机的名称以及内部IP地址。
防护：在防火墙处过滤掉域转换请求。

Finger服务
概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防护：关闭finger服务并记录尝试链接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务
概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防护：对于刺探内部网络的LDAP进行阻断并记录，若是在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

四、假消息攻击 
用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染
概览：因为DNS服务器与其余名称服务器交换信息的时候并不进行身份验证，这就使得黑客能够将不正确的信息掺进来并把用户引向黑客本身的主机。
防护：在防火墙上过滤入站的DNS更新，外部DNS服务器不该能更改你的内部服务器对内部机器的认识。

伪造电子邮件
概览：因为SMTP并不对邮件的发送者的身份进行鉴定，所以黑客能够对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。
防护：使用PGP等安全工具并安装电子邮件证书。