網絡攻擊類型

一、服務拒絕攻擊
服務拒絕攻擊企圖經過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行爲，主要包括：

死亡之ping （ping of death）
概覽：因爲在早期的階段，路由器對包的最大尺寸都有限制，許多操做系統對TCP/IP棧的實如今ICMP包上都是規定64KB，而且在對包的標題頭進行讀取以後，要根據該標題頭裏包含的信息來爲有效載荷生成緩衝區，當產生畸形的，聲稱本身的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，致使TCP/IP堆棧崩潰，導致接受方當機。
防護：如今全部的標準TCP/IP實現都已實現對付超大尺寸的包，而且大多數防火牆可以自動過濾這些攻擊，包括：從windows98以後的windows,NT(service pack 3以後)，linux、Solaris、和Mac OS都具備抵抗通常ping of death攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。

淚滴（teardrop）
概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現本身的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4之前的NT）在收到含有重疊偏移的僞造分段時將崩潰。
防護：服務器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）
概覽：各類各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的佔滿帶寬的數據。經過僞造與某一主機的Chargen服務之間的一次的UDP鏈接，回覆地址指向開着Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數據流，若是足夠多的數據流就會致使帶寬的服務攻擊。
防護：關掉沒必要要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）
概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，由於他們只有有限的內存緩衝區用於建立鏈接，若是這一緩衝區充滿了虛假鏈接的初始信息，該服務器就會對接下來的鏈接中止響應，直到緩衝區裏的鏈接企圖超時。在一些建立鏈接不受限制的實現裏，SYN洪水具備相似的影響。
防護：在防火牆上過濾來自同一主機的後續鏈接。
將來的SYN洪水使人擔心，因爲釋放洪水的並不尋求響應，因此沒法從一個簡單高容量的傳輸中鑑別出來。

Land攻擊
概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址，此舉將致使接受服務器向它本身的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並建立一個空鏈接，每個這樣的鏈接都將保留直到超時掉，對Land攻擊反應不一樣，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鐘）。
防護：打最新的補丁，或者在防火牆進行配置，將那些在外部接口上入站的含有內部源地址濾掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻擊
概覽：一個簡單的smurf攻擊經過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終致使該網絡的全部主機都對此ICMP應答請求做出答覆，致使網絡阻塞，比ping of death洪水的流量高出一或兩個數量級。更加複雜的Smurf將源地址改成第三方的受害者，最終致使第三方雪崩。
防護：爲了防止黑客利用你的網絡攻擊他人，關閉外部路由器或防火牆的廣播地址特性。爲防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊
概覽：Fraggle攻擊對Smurf攻擊做了簡單的修改，使用的是UDP應答消息而非ICMP
防護：在防火牆上過濾掉UDP應答消息

電子郵件炸彈
概覽：電子郵件炸彈是最古老的匿名攻擊之一，經過設置一臺機器不斷的大量的向同一地址發送電子郵件，攻擊者可以耗盡接受者網絡的帶寬。
防護：對郵件地址進行配置，自動刪除來自同一主機的過量或重複的消息。

畸形消息攻擊
概覽：各種操做系統上的許多服務都存在此類問題，因爲這些服務在處理信息以前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。
防護：打最新的服務補丁。

二、利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最多見的有三種：

口令猜想
概覽：一旦黑客識別了一臺主機並且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶賬號，成功的口令猜想能提供對機器的控制。
防護：要選用難以猜想的口令，好比詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共範圍。若是該服務支持鎖定策略，就進行鎖定。

特洛伊木馬
概覽：特洛伊木馬是一種或是直接由一個黑客，或是經過一個不使人起疑的用戶祕密安裝到目標系統的程序。一旦安裝成功並取得管理員權限，安裝此程序的人就能夠直接遠程控制目標系統。最有效的一種叫作後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防護：避免下載可疑程序並拒絕執行，運用網絡掃描軟件按期監視內部主機上的監聽TCP服務。

緩衝區溢出
概覽：因爲在不少的服務程序中大意的程序員使用象strcpy(),strcat()相似的不進行有效位檢查的函數，最終可能致使惡意用戶編寫一小段利用程序來進一步打開安全豁口而後將該代碼綴在緩衝區有效載荷末尾，這樣當發生緩衝區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。
防護：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操做系統。

三、信息收集型攻擊

信息收集型攻擊並不對目標自己形成危害，如名所示這類攻擊被用來爲進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描
概覽：運用ping這樣的程序探測目標地址，對此做出響應的表示其存在。
防護：在防火牆上過濾掉ICMP應答消息。

端口掃描
概覽：一般使用一些軟件，向大範圍的主機鏈接一系列的TCP端口，掃描軟件報告它成功的創建了鏈接的主機所開的端口。
防護：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射
概覽：黑客向主機發送虛假消息，而後根據返回「host unreachable」這一消息特徵判斷出哪些主機是存在的。目前因爲正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。
防護：NAT和非路由代理服務器可以自動抵禦此類攻擊，也能夠在防火牆上過濾「host unreachable」ICMP應答。

慢速掃描
概覽：因爲通常掃描偵測器的實現是經過監視某個時間楨裏一臺特定主機發起的鏈接的數目（例如每秒10次）來決定是否在被掃描，這樣黑客能夠經過使用掃描速度慢一些的掃描軟件進行掃描。
防護：經過引誘服務來對慢速掃描進行偵測。

體系結構探測
概覽：黑客使用具備已知響應類型的數據庫的自動工具，對來自目標主機的、對壞數據包傳送所做出的響應進行檢查。因爲每種操做系統都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧具體實現有所不一樣），經過將此獨特的響應與數據庫中的已知響應進行對比，黑客常常可以肯定出目標主機所運行的操做系統。
防護：去掉或修改各類Banner，包括操做系統和各類應用服務的，阻斷用於識別的端口擾亂對方的攻擊計劃。

利用信息服務

DNS域轉換
概覽：DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不一樣的方式加以利用。若是你維護着一臺公共的DNS服務器，黑客只需實施一次域轉換操做就能獲得你全部主機的名稱以及內部IP地址。
防護：在防火牆處過濾掉域轉換請求。

Finger服務
概覽：黑客使用finger命令來刺探一臺finger服務器以獲取關於該系統的用戶的信息。
防護：關閉finger服務並記錄嘗試鏈接該服務的對方IP地址，或者在防火牆上進行過濾。

LDAP服務
概覽：黑客使用LDAP協議窺探網絡內部的系統和它們的用戶的信息。
防護：對於刺探內部網絡的LDAP進行阻斷並記錄，若是在公共機器上提供LDAP服務，那麼應把LDAP服務器放入DMZ。

四、假消息攻擊 
用於攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、僞造電子郵件。

DNS高速緩存污染
概覽：因爲DNS服務器與其餘名稱服務器交換信息的時候並不進行身份驗證，這就使得黑客能夠將不正確的信息摻進來並把用戶引向黑客本身的主機。
防護：在防火牆上過濾入站的DNS更新，外部DNS服務器不該能更改你的內部服務器對內部機器的認識。

僞造電子郵件
概覽：因爲SMTP並不對郵件的發送者的身份進行鑑定，所以黑客能夠對你的內部客戶僞造電子郵件，聲稱是來自某個客戶認識並相信的人，並附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的鏈接。
防護：使用PGP等安全工具並安裝電子郵件證書。