《信息安全導(dǎo)論》課件第4章

1第四章

常見攻擊方法

浙江財(cái)經(jīng)學(xué)院計(jì)算機(jī)應(yīng)用研究所所長王繼林教授（博士）

Wangjilin1965@212提示1.信息攻擊的方法可以分為信息的偵察與竊取、信息欺騙和信息封鎖與破壞三個大類.2.本章要求學(xué)生對常見攻擊方法的基本原理有個較深入的理解，重點(diǎn)要求能夠描述ARP攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)和掃描攻擊的基本流程。IT專業(yè)學(xué)生應(yīng)嘗試編寫簡單的“無惡意”攻擊代碼。3討論議題攻擊方法概述病毒與惡意軟件掃描攻擊拒絕服務(wù)攻擊其它攻擊44.1攻擊方法概述5攻擊和安全的關(guān)系黑客攻擊和網(wǎng)絡(luò)安全的是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全不研究黑客攻擊技術(shù)簡直是紙上談兵，研究攻擊技術(shù)不研究網(wǎng)絡(luò)安全就是閉門造車。某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進(jìn)行檢測，并對相關(guān)的漏洞采取措施。網(wǎng)絡(luò)攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊、商業(yè)或個人目的獲得秘密資料、民族仇恨、利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的攻擊。6攻擊者隱藏通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。比如攻擊A國的站點(diǎn)，一般選擇離A國很遠(yuǎn)的B國計(jì)算機(jī)作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。7主要入侵攻擊方法網(wǎng)絡(luò)信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲特洛伊木馬8主機(jī)滲透攻擊方法口令破解漏洞攻擊特洛伊木馬攻擊自己姓名的中文拼音37%常用英文單詞23%計(jì)算機(jī)的中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%9網(wǎng)絡(luò)攻擊方法拒絕服務(wù)攻擊IP地址欺騙網(wǎng)絡(luò)監(jiān)聽10其他攻擊方法病毒攻擊隨著蠕蟲病毒的泛濫以及蠕蟲、計(jì)算機(jī)病毒、木馬和黑客攻擊程序的結(jié)合，病毒攻擊成為了互聯(lián)網(wǎng)發(fā)展以來遇到的巨大挑戰(zhàn)。社會工程攻擊社會工程學(xué)其實(shí)就是一個陷阱，黑客通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密，

11攻擊方法分類一般教科書上把信息攻擊分為主動攻擊和被動攻擊兩大類，我們這里把信息攻擊分為信息的偵察與竊取、信息欺騙和信息封鎖與破壞三個大類。

12攻擊方法分類偵查與竊取:電話竊聽、電子信息偵察、特洛伊木馬、掃描、網(wǎng)絡(luò)嗅探等是信息偵查與竊取常用方法。信息欺騙:通信內(nèi)容欺騙、IP地址欺騙、新聞媒體欺騙、雷達(dá)欺騙、社會工程學(xué)攻擊等是常見的信息欺騙方法。據(jù)軍事心理學(xué)家的分析和測試證明，當(dāng)一個人同時對一個事物接到兩種內(nèi)容完全相反的正、誤信息時，其得出正確結(jié)論的概率只有50%，最高不超過65%；當(dāng)再次接到錯誤信息時，其判斷出錯的概率又增加15%；當(dāng)其始終接受某一錯誤信息導(dǎo)向時，即使訓(xùn)練有素的人，也難以得出正確的結(jié)論。信息封鎖與破壞:是指通過一定的手段使敵方無法獲取和利用信息，如拒絕服務(wù)攻擊、計(jì)算機(jī)病毒、電子干擾、電磁脈沖、高能微波、高能粒子束和激光等。入侵方法與手段13例口令破解入侵方法與手段14口令破解帳戶是一種參考上下文，所有的用戶模式代碼在一個用戶帳戶的上下文中運(yùn)行。即使是那些在任何人都沒有登錄之前就運(yùn)行的代碼（例如服務(wù)）也是運(yùn)行在一個帳戶（特殊的本地系統(tǒng)賬戶SYSTEM）的上下文中的。如果用戶使用帳戶憑據(jù)（用戶名和口令）成功通過了登錄認(rèn)證，之后他執(zhí)行的所有命令都具有該用戶的權(quán)限?？诹钇平馐谦@得系統(tǒng)最高權(quán)限帳戶的最有效的途徑之一。入侵方法與手段15Windows口令文件的格式及安全機(jī)制

WindowsNT及Windows2000中對用戶帳戶的安全管理使用了安全帳號管理器（SAM,SecurityAccountManager）的機(jī)制，SAM是組成注冊表的5個配置單元之一，口令在SAM中通過單向函數(shù)（One-wayFunction,OWF）加密，SAM文件存放在“%systemroot%\system32\config\sam”（在域服務(wù)器中，SAM文件存放在活動目錄中，默認(rèn)地址“%system32%\ntds\ntds.dit”）。入侵方法與手段16Unix口令文件的格式及安全機(jī)制

Unix系統(tǒng)中帳戶信息存放在passwd文件中，口令可以使用DES或MD5加密后存放在shadow文件中。passwd使用的是存文本的格式保存信息。UNIX中的passwd文件中每一行都代表一個用戶資料，每一個賬號都有七部分資料，不同資料中使用“:”分割。入侵方法與手段17密碼破解主流方法有兩種：基于字典的分析方法和暴力破解法。一個典型的密碼字典如圖所示首先設(shè)置密碼字典，設(shè)置完密碼字典以后，將會用密碼字典里的每一個密碼對目標(biāo)用戶進(jìn)行測試，如果用戶的密碼在密碼字典中就可以得到該密碼。入侵方法與手段18典型破解工具工具一：PasswordCrackers

工具二：L0phtCrack

194.2病毒與惡意軟件2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1920/37病毒病毒的明確定義是“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼21/37病毒程序的結(jié)構(gòu)病毒程序{感染模塊:

{循環(huán):隨機(jī)搜索一個文件;如果感染條件滿足則將病毒體寫入該文件;否則跳到循環(huán)處運(yùn)行;}

破壞模塊:

{執(zhí)行病毒的破壞代碼}觸發(fā)模塊:{如果觸發(fā)條件滿足返回真;否則返回假;}主控模塊:{執(zhí)行傳染模塊;執(zhí)行觸發(fā)模塊如果返回為真,執(zhí)行破壞模塊;執(zhí)行原程序;}}2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1922/37另一個簡單的病毒<html><body>test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];if(x==2){x=0;}}</script></body></html>該代碼利用死循環(huán)原理，交叉顯示紅色和黑色，造成刺眼效果2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1923/37一個簡單的病毒<html><head><title>no</title><scriptlanguage="JavaScript">;functionopenwindow(){for(i=0;i<1000;i++)window.open('');}</script></head><bodyonload="openwindow()"></body></html>代碼是一個邏輯炸彈，請以hellow1.htm存盤,然后雙擊該文件，察看并分析運(yùn)行結(jié)果2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1924/37MacroVirusesMicrosoftOfficeapplicationsallow“macros”tobepartofthedocument.Themacrocouldrunwheneverthedocumentisopened,orwhenacertaincommandisselected(SaveFile).Platformindependent.Infectdocuments,deletefiles,generateemailandeditletters.2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1925/37E-mailVirusesIftherecipientopensthee-mailattachment,theWordmacroisactivated.ThenThee-mailvirussendsitselftoeveryoneonthemailinglistintheuser’se-mailpackageThevirusdoeslocaldamageMorepowerfulandnewerversionofthee-mailviruscanbeactivatedmerelybyopeningane-mailthatcontainsthevirusratherthanopeninganattachment.Theviruspropagatesitselfassoonasactivatedtoallofthee-mailaddressknowntotheinfectedhost.2024/9/426/37Shakira’spictures郵件的附件附件(ShakiraPics.jpg.vbs)內(nèi)容(6K多)2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1927/37Shakira’spictures郵件的病毒代碼把wapwvdfgcpw解出來之后，如下(主程序部分)2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1928/37Shakira’spictures郵件病毒發(fā)作流程流程如下：改寫注冊表鍵：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Registry利用Outlook給地址簿中所有用戶發(fā)信并置上標(biāo)記：HKCU\software\ShakiraPics\mailed=1利用mirc發(fā)送病毒附件并置上標(biāo)記：HKCU\software\ShakiraPics\Mirqued=1對于當(dāng)前文件系統(tǒng)中(所有遠(yuǎn)程目錄)所有的vbs文件和vbe文件都替換成自己——循環(huán)+遞歸提醒用戶：“YouhavebeeninfectedbytheShakiraPicsWorm”2024/9/4反病毒技術(shù)過程檢測病毒。一旦系統(tǒng)被感染病毒，應(yīng)盡快檢測起來，力爭在病毒發(fā)作之前發(fā)現(xiàn)標(biāo)識出具體的病毒恢復(fù)。一旦已經(jīng)標(biāo)識出病毒類型，則采取相應(yīng)的措施來恢復(fù)到原始的狀態(tài)。如果不能恢復(fù)狀態(tài)，則可以隔離被感染的文件，或者啟動備份的系統(tǒng)文件，或者引導(dǎo)分區(qū)編寫病毒的技術(shù)和反病毒技術(shù)也是“道高一尺魔高一丈”的情況，在斗爭中提高和發(fā)展早期簡單的病毒掃描器。根據(jù)一些簡單的特征對問題區(qū)域進(jìn)行掃描，如果匹配到了，則發(fā)現(xiàn)病毒的蹤跡啟發(fā)式的掃描器。在掃描的時候，利用一些啟發(fā)式的規(guī)則，可以發(fā)現(xiàn)一些隱蔽的病毒。或者利用程序指紋(檢驗(yàn)碼)來判斷程序被修改的情況針對病毒可能的闖入點(diǎn)，在這些點(diǎn)上設(shè)置檢查關(guān)卡，一旦發(fā)現(xiàn)異常，就進(jìn)行報(bào)警并進(jìn)行干預(yù)綜合。反病毒是一個綜合的過程，各種技術(shù)需要結(jié)合起來更重要的是，在設(shè)計(jì)系統(tǒng)軟件的時候就應(yīng)該考慮盡可能地減少病毒闖入的機(jī)會，以免開放的功能被濫用2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1930/37AntivirusApproaches1stGeneration,Scanners:searchedfilesforanyofalibraryofknownvirus“signatures.”Checkedexecutablefilesforlengthchanges.2ndGeneration,HeuristicScanners:looksformoregeneralsignsthanspecificsignatures(codesegmentscommontomanyviruses).Checkedfilesforchecksumorhashchanges.3rdGeneration,ActivityTraps:stayresidentinmemoryandlookforcertainpatternsofsoftwarebehavior(e.g.,scanningfiles).4thGeneration,FullFeatured:combinethebestofthetechniquesabove.2024/9/4現(xiàn)代密碼學(xué)理論與實(shí)踐-1931/37AdvancedAntivirusTechniques32/37惡意軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。具有下列特征之一的軟件可以被認(rèn)為是惡意軟件：(1)強(qiáng)制安裝(2)難以卸載(3)瀏覽器劫持(4)廣告彈出(5)惡意收集用戶信息(6)惡意卸載：(7)惡意捆綁其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。2024/9/4惡意程序的分類入侵方法與手段344.3漏洞掃描入侵方法與手段35漏洞也稱脆弱性，是指系統(tǒng)安全過程、管理控制及內(nèi)部控制等存在的缺陷。漏洞只有被攻擊者利用才成為對系統(tǒng)的破壞條件。漏洞的成因：網(wǎng)絡(luò)協(xié)議漏洞：協(xié)議本身不安全，如TCP/IP軟件系統(tǒng)漏洞：一些程序收到一些異常或超長的數(shù)據(jù)和參數(shù)就會導(dǎo)致緩沖區(qū)溢出。配置不當(dāng)引起的漏洞36漏洞掃描掃描器：掃描器是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過使用掃描器，可以發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。這就能讓黑客或管理員間接或直接的了解到遠(yuǎn)程主機(jī)存在的安全問題。

掃描器有三項(xiàng)功能：1、發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)；2、一旦發(fā)現(xiàn)一臺主機(jī)，可以發(fā)現(xiàn)有什么服務(wù)程序正運(yùn)行在這臺主機(jī)上；3、通過測試這些服務(wù)，發(fā)現(xiàn)漏洞。37掃描技術(shù)分類?主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)。通過端口掃描可以得到許多有用的信息：如目標(biāo)主機(jī)正在運(yùn)行的是什么操作系統(tǒng)，正在運(yùn)行什么服務(wù)，運(yùn)行服務(wù)的版本等漏洞掃描：使用漏洞掃描程序?qū)δ繕?biāo)主機(jī)系統(tǒng)進(jìn)行信息查詢，可以發(fā)現(xiàn)系統(tǒng)中存在不安全的地方。漏洞掃描的原理就是向目標(biāo)主機(jī)發(fā)送一系列的咨詢，根據(jù)目標(biāo)主機(jī)的應(yīng)答來判斷漏洞是否存在。38掃描方法掃描方法可以分成：慢速掃描和亂序掃描。1、慢速掃描：對非連續(xù)端口進(jìn)行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。2、亂序掃描：對連續(xù)的端口進(jìn)行掃描，源地址一致，時間間隔短的掃描。39主機(jī)掃描原理（一）40主機(jī)掃描原理（二）41ICMP消息類型(部分)0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo

11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply42Ping工具發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡(luò)和外部主機(jī)的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個包，顯示響應(yīng)的輸出，計(jì)算網(wǎng)絡(luò)來回的時間最后顯示統(tǒng)計(jì)結(jié)果——丟包率43端口一個端口就是一個潛在的通信信道。端口通常分三類：眾所周知的端口；0——1023，綁定一些特殊服務(wù)注冊端口；1024——49151，松散綁定一些服務(wù)。也可用于其他目的。動態(tài)或私有端口；49152——65535，理論上講，不應(yīng)為服務(wù)分配這些端口，實(shí)際上系統(tǒng)通常從1024起分配動態(tài)端口。44回顧：TCP連接的建立和終止時序圖45TCPConnect掃描46TCPSYN掃描這種掃描方法沒有建立完整的TCP連接，有時也被稱為“半打開掃描（half-openscanning）”。其步驟是先往端口發(fā)送一個SYN分組。如果收到一個來自目標(biāo)端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個RST/ACK分組，那么它通常說明該端口不在監(jiān)聽。執(zhí)行端口的系統(tǒng)隨后發(fā)送一個RST/ACK分組，這樣并未建立一個完整的連接。這種技巧的優(yōu)勢比完整的TCP連接隱蔽，目標(biāo)系統(tǒng)的日志中一般不記錄未完成的TCP連接。入侵方法與手段47TCPFIN掃描這種掃描方法是直接往目標(biāo)主機(jī)的端口上發(fā)送FIN分組。按照RFC793，當(dāng)一個FIN分組到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST分組。否則，當(dāng)一個FIN分組到達(dá)一個打開的端口，分組只是簡單地被丟掉（不返回RST分組）。48TCPXmas掃描無論TCP全連接掃描還是TCPSYN掃描，由于涉及TCP三次握手很容易被遠(yuǎn)程主機(jī)記錄下來。Xmas掃描由于不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽得多。這種掃描向目標(biāo)端口發(fā)送一個FIN、URG和PUSH分組。按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)回一個RST分組。。49TCP空掃描這種掃描發(fā)送一個關(guān)閉掉所有標(biāo)志位的分組，按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口返回一個RST分組。50TCPACK掃描這種掃描一般用來偵測防火墻，他可以確定防火墻是否只是支持簡單的分組過濾技術(shù)，還是支持高級的基于狀態(tài)檢測的包過濾技術(shù)。51UDP掃描由于UDP協(xié)議是非面向連接的，對UDP端口的探測也就不可能像TCP端口的探測那樣依賴于連接建立過程（不能使用telnet這種tcp協(xié)議類型命令），這也使得UDP端口掃描的可靠性不高。所以雖然UDP協(xié)議較之TCP協(xié)議顯得簡單，但是對UDP端口的掃描卻是相當(dāng)困難的。下面具體介紹一下UDP掃描方案：

52UDP掃描方案1：利用ICMP端口不可達(dá)報(bào)文進(jìn)行掃描本方案的原理是當(dāng)一個UDP端口接收到一個UDP數(shù)據(jù)報(bào)時，如果它是關(guān)閉的，就會給源端發(fā)回一個ICMP端口不可達(dá)數(shù)據(jù)報(bào)；如果它是開放的，那么就會忽略這個數(shù)據(jù)報(bào)，也就是將它丟棄而不返回任何的信息。優(yōu)點(diǎn)：可以完成對UDP端口的探測。缺點(diǎn)：需要系統(tǒng)管理員的權(quán)限，掃描的速度很慢。53UDP掃描方案二:

不具備系統(tǒng)管理員權(quán)限的時候可以通過使用recvfrom（）和write（）這兩個系統(tǒng)調(diào)用來間接獲得對方端口的狀態(tài)。對一個關(guān)閉的端口第二次調(diào)用write（）的時候通常會得到出錯信息。而對一個UDP端口使用recvfrom調(diào)用的時候，如果系統(tǒng)沒有收到ICMP的錯誤報(bào)文通常會返回一個EAGAIN錯誤，錯誤類型碼13，含義是“再試一次（Try

Again）”；如果系統(tǒng)收到了ICMP的錯誤報(bào)文則通常會返回一個ECONNREFUSED錯誤，錯誤類型碼111，含義是“連接被拒絕（Connect

refused）”。通過這些區(qū)別，就可以判斷出對方的端口狀態(tài)如何54常見的掃描器nmapSATANstrobePingerPortscanSuperscan……開放端口掃描使用工具軟件PortScan可以到得到對方計(jì)算機(jī)都開放了哪些端口，主界面如圖4-8所示。

入侵方法與手段56nmapByFyodor作者研究了諸多掃描器，每一種掃描器都有自己的優(yōu)點(diǎn)，它把所有這些技術(shù)集成起來，寫成了nmap，當(dāng)前版本為2.53/2.54源碼開放，C語言兩篇技術(shù)文檔TheArtofPortScanningRemoteOSdetectionviaTCP/IPStackFingerPrinting除了掃描功能，更重要的是，可以識別操作系統(tǒng)，甚至是內(nèi)核的版本入侵方法與手段57OSFingerprint技術(shù)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)，同時從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng),因此操作系統(tǒng)指紋探測成為了黑客攻擊中必要的環(huán)節(jié)。如何辨識一個操作系統(tǒng)是OSFingerprint技術(shù)的關(guān)鍵，常見的方法有：l

一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息；l

TCP/IP棧指紋；l

DNS泄漏出OS系統(tǒng)等等。入侵方法與手段58端口服務(wù)提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)入侵方法與手段59棧指紋識別技術(shù)做法：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本技術(shù)導(dǎo)向可辨識的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor入侵方法與手段604.4拒絕服務(wù)攻擊入侵方法與手段61拒絕服務(wù)攻擊拒絕服務(wù)攻擊的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。有很多方式可以實(shí)現(xiàn)這種攻擊，最簡單的方法是切斷網(wǎng)絡(luò)電纜或摧毀服務(wù)器；當(dāng)然利用網(wǎng)絡(luò)協(xié)議的漏洞或應(yīng)用程序的漏洞也可以達(dá)到同樣的效果。DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因?yàn)槿魏问露加幸粋€極限，所以，總能找到一個方法使請求的值大于該極限值，因此就會使所提供的服務(wù)資源匱乏，象是無法滿足需求。入侵方法與手段62SYN湮沒

SYN是TCP/IP協(xié)議建立連接時使用的握手信號。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時，客戶機(jī)首先發(fā)出一個SYN消息，服務(wù)器使用SYN-ACK應(yīng)答表示接收到了這個消息，最后客戶機(jī)以再ACK消息響應(yīng)。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞。這種攻擊向一臺服務(wù)器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，但是服務(wù)器會當(dāng)真的SYN請求處理，當(dāng)服務(wù)器嘗試為每個請求消息分配連接來應(yīng)答這些SYN請求時，服務(wù)器就沒有其它資源來處理來真正用戶的合法SYN請求了。這就造成了服務(wù)器不能正常的提供服務(wù)。入侵方法與手段63Land攻擊

Land攻擊和其它拒絕服務(wù)攻擊相似，也是通過利用某些操作系統(tǒng)在TCP/IP協(xié)議實(shí)現(xiàn)方式上的漏洞來破壞主機(jī)。在Land攻擊中，一個精心制造的SYN數(shù)據(jù)包中的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址，這將導(dǎo)致接收到這個數(shù)據(jù)包的服務(wù)器向它自己發(fā)送SYN-ACK消息，結(jié)果又返回ACK消息并創(chuàng)建一個空連接……每個這樣的連接都將一直保持到超時。不同的操作系統(tǒng)對Land攻擊反應(yīng)不同，多數(shù)UNIX操作系統(tǒng)將崩潰，而WindowsNT會變的極其緩慢（大約持續(xù)五分鐘）。入侵方法與手段64Smurf攻擊

Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量數(shù)據(jù)充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)不能為正常系統(tǒng)進(jìn)行服務(wù)。簡單的Smurf攻擊將ICMP應(yīng)答請求（ping）數(shù)據(jù)包的回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，從而導(dǎo)致網(wǎng)絡(luò)阻塞。因此它比pingofdeath攻擊的流量高出一到兩個數(shù)量級。復(fù)雜的Smurf攻擊將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。入侵方法與手段65Teardrop攻擊

Teardrop是一種拒絕服務(wù)攻擊，可以令目標(biāo)主機(jī)崩潰或掛起。目前多數(shù)操作系統(tǒng)已經(jīng)升級或有了補(bǔ)丁程序來避免受到這種攻擊。Teardrop攻擊和其他類似的攻擊發(fā)出的TCP或UDP包包含了錯誤的IP重組信息，這樣主機(jī)就會使用錯誤的信息來重新組合成一個完整的包。結(jié)果造成崩潰、掛起或者執(zhí)行速度極其緩慢。入侵方法與手段66PingofDeath攻擊

PingofDeath攻擊是利用網(wǎng)絡(luò)操作系統(tǒng)（包括UNIX的許多變種、windows和MacOS等）的缺陷，當(dāng)主機(jī)接收到一個大的不合法的ICMP回應(yīng)請求包（大于64KB）時，會引起主機(jī)掛起或崩潰。入侵方法與手段67分布式拒絕服務(wù)攻擊入侵方法與手段684.5其它攻擊緩沖區(qū)溢出攻擊的原理緩沖區(qū)溢出攻擊向程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，以達(dá)到攻擊的目的。根本原因是使用c和c++語言摧毀堆棧攻擊（stacksmashingattack）函數(shù)指針攻擊（functionpointerattack）70BufferOverflow(a)Situationwhenmainprogramisrunning(