常見網絡安全攻擊有哪些

id="conbox">

　　由於計算機網絡信息被大眾廣泛接受、認可，在一定程度上給社會、生活帶來了極大的便利，使得人們也就越來越依賴網絡的虛擬生活，那麼，常見網絡攻擊方式有哪些?應該怎麼防范?學習啦小編在這裡給大家詳細介紹。

　　在了解安全問題之前，我們先來研究一下目前網絡上存在的一些安全威脅和攻擊手段。然後我們再來了解一些出現安全問題的根源，這樣我們就可以對安全問題有一個很好的認識。迄今為止，網絡上存在上無數的安全威脅和攻擊，對於他們也存在著不同的分類方法。我們可以按照攻擊的性質、手段、結果等暫且將其分為機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰幾類。

　　竊取機密攻擊：

　　所謂竊取機密攻擊是指未經授權的攻擊者(黑客)非法訪問網絡、竊取信息的情況，一般可以通過在不安全的傳輸通道上截取正在傳輸的信息或利用協議或網絡的弱點來實現的。常見的形式可以有以下幾種：

　　1) 網絡踩點(Footprinting)

　　攻擊者事先匯集目標的信息，通常采用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網絡拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

　　2) 掃描攻擊

　　掃描攻擊包括地址掃描和端口掃描等，通常采用ping命令和各種端口掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些端口，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

　　3) 協議指紋

　　黑客對目標主機發出探測包，由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別(也就是說各個廠家在編寫自己的TCP/IP協議棧時，通常對特定的RFC指南做出不同的解釋)，因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF標志、TOS、IP碎片處理、ICMP處理、TCP選項處理等。

　　4) 信息流監視

　　這是一個在共享型局域網環境中最常采用的方法。由於在共享介質的網絡上數據包會經過每個網絡節點，網卡在一般情況下只會接受發往本機地址或本機所在廣播(或多播)地址的數據包，但如果將網卡設置為混雜模式(Promiscuous)，網卡就會接受所有經過的數據包。基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟件，也可以是硬件)就可以對網絡的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

　　5) 會話劫持(session hijacking)

　　利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

　　非法訪問

　　1) 口令破解

　　可以采用字典破解和暴力破解來獲得口令。

　　2) IP欺騙

　　攻擊者可以通過偽裝成被信任的IP地址等方式來獲取目標的信任。這主要是針對防火牆的IP包過濾以及LINUX/UNIX下建立的IP地址信任關系的主機實施欺騙。

　　3) DNS欺騙

　　由於DNS服務器相互交換信息的時候並不建立身份驗證，這就使得黑客可以使用錯誤的信息將用戶引向錯誤主機。

　　4) 重放攻擊

　　攻擊者利用身份認證機制中的漏洞先把別人有用的信息記錄下來，過一段時間後再發送出去。

　　5) 非法使用

　　系統資源被某個非法用戶以未授權的方式使用

　　6) 特洛伊木馬

　　把一個能幫助黑客完成某個特定動作的程序依附在某一合法用戶的正常程序中，這時合法用戶的程序代碼已經被改變，而一旦用戶觸發該程序，那麼依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客早已指定的任務。

　　惡意攻擊

　　惡意攻擊，在當今最為特出的就是拒絕服務攻擊DoS(Denial of Server)了。拒絕服務攻擊通過使計算機功能或性能崩潰來組織提供服務，典型的拒絕服務攻擊有如下2種形式：資源耗盡和資源過載。當一個對資源的合理請求大大超過資源的支付能力時，就會造成拒絕服務攻擊。常見的攻擊行為主要包括Ping of death、淚滴(Teardrop)、UDP flood、SYN flood、Land 攻擊、Smurf攻擊、Fraggle 攻擊、電子郵件炸彈、畸形信息攻擊等

　　1) Ping of death

　　在早期版本中，許多操作系統對網絡數據包的最大尺寸有限制，對TCP/IP棧的實現在ICMP包上規定為64KB。在讀取包的報頭後，要根據該報頭中包含的信息來為有效載荷生成緩沖區。當PING請求的數據包聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB時，就會使PING請求接受方出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方死機。

　　2) 淚滴

　　淚滴攻擊利用了某些TCP/IP協議棧實現中對IP分段重組時的錯誤

　　3) UDP flood

　　利用簡單的TCP/IP服務建立大流量數據流，如chargen 和Echo來傳送無用的滿帶寬的數據。通過偽造與某一主機的chargen服務之間的一次UDP連接，回復地址指向提供ECHO服務的一台主機，這樣就生成了在2台主機之間的足夠多的無用數據流，過多的數據流會導致帶寬耗盡。

　　4) SYN flood

　　一些TCP/IP協議棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存空間用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區的連接企圖超時。在一些創建連接不收限制的系統實現裡，SYN洪流具有類似的影響!

　　5) Land攻擊

　　在Land攻擊中，將一個SYN包的源地址和目標地址均設成同一個服務器地址，導致接受服務器向自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保持直到超時。對LAND攻擊反應不同，許多UNIX實現將崩潰，NT則變得極其緩慢。

　　6) Smurf攻擊

　　簡單的Smurf攻擊發送ICMP應答請求包，目的地址設為受害網絡的廣播地址，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。如果將源地址改為第三方的受害者，最終將導致第三方崩潰。

　　7) fraggle攻擊

　　該攻擊對Smurf攻擊做了簡單修改，使用的是UDP應答消息而非ICMP。

　　8) 電子郵件炸彈

　　這是最古老的匿名攻擊之一，通過設置一台機器不斷的向同一地址發送電子郵件，攻擊者能耗盡接受者的郵箱

　　9) 畸形信息攻擊

　　各類操作系統的許多服務均存在這類問題，由於這些服務在處理消息之前沒有進行適當正確的錯誤校驗，受到畸形信息可能會崩潰。

　　10) DdoS攻擊

　　DdoS攻擊(Distributed Denial of Server,分布式拒絕服務)是一種基於DOS的特殊形式的拒絕服務攻擊，是一種分布協作的大規模攻擊方式，主要瞄准比較大的站點，像商業公司、搜索引擎和政府部門的站點。他利用一批受控制的機器向一台目標機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有很大的破壞性。

　　除了以上的這些拒絕服務攻擊外，一些常見的惡意攻擊還包括緩沖區溢出攻擊、硬件設備破壞性攻擊以及網頁篡改等。

　　11) 緩沖區溢出攻擊(buffer overflow)

　　通過往程序的緩沖區寫超過其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他指令，以達到攻擊的目的。緩沖區溢出是一種非常普遍、非常危險的漏洞，在各種操作系統、應用軟件中廣泛存在，根據統計：通過緩沖區溢出進行的攻擊占所有系統攻擊總數的80%以上。利用緩沖區溢出攻擊可以導致程序運行失敗、系統死機、重新啟動等後果，更嚴重的是，可以利用他執行非授權的指令，甚至可以取得系統特權，進而進行各種非法操作。由於他歷史悠久、危害巨大，被稱為數十年來攻擊和防衛的弱點。

　　社交工程(Social Engineering)

　　采用說服或欺騙的手段，讓網絡內部的人來提供必要的信息，從而獲得對信息系統的訪問權限。

　　計算機病毒

　　病毒是對軟件、計算機和網絡系統的最大威脅之一。所謂病毒，是指一段可執行的程序代碼，通過對其他程序進行修改，可以感染這些程序，使他們成為含有該病毒程序的一個拷貝。

　　不良信息資源

　　在互聯網如此發達的今天，真可謂“林子大了，什麼鳥都有”，網絡上面充斥了各種各樣的信息，其中不乏一些暴力、色情、反動等不良信息。

　　信息戰

　　計算機技術和網絡技術的發展，使我們處與信息時代。信息化是目前國際社會發展的趨勢，他對於經濟、社會的發展都有著重大意義。美國著名未來學家托爾勒說過：“誰掌握了信息、控制了網絡，誰將擁有整個世界”。美國前總統克林頓也說：“今後的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家。”美國前陸軍參謀長沙爾文上將更是一語道破：“信息時代的出現，將從根本上改變戰爭的進