反黑客技术包括（黑客技术包括哪些）

怎样防范黑客攻击？

可以通过隐藏IP地址来防止黑客攻击。

隐藏IP方法：

使用代理服务器相对于直接连接到Internet可以保护IP地址，从而确保上网的安全。代理服务器其实就是在电脑和要连的服务器之间架设的一个“中转站”，向网络服务器等发出请求数据之后，代理服务器首先会先截取这个请求，然后将请求转交给远程服务器，从而实现和网络的连接。很明显使用代理服务器后，只能检测到代理服务器的IP地址而不是用户所在地IP地址，这就实现了隐藏IP地址的目的，有效的保护了上网的安全。

黑客攻击手段：

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。

如何反黑客入侵？

如何防止黑客入侵2009-04-5 20:291、禁止IPC空连接

Cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\

CurrentControlSet\Control\

LSA-RestrictAnonymous 把这个值改成”1”即可。

2、禁止At命令

Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。

3、关闭超级终端服务

如果你开了的话，这个漏洞都烂了，我不说了。

4、关闭SSDP Discover Service服务

这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩 溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

5、关闭Remote Registry服务

看看就知道了，允许远程修改注册表？除非你真的脑子进水了。

谁知道怎么反黑客？

去下载个杀毒软件啊，也许你会问哪种杀毒软件最好，其实没有最好的杀毒软件，每个杀毒软件都有自己的长处：金山运行快但杀毒差不多

端星好但占内存 让电脑运行慢；卡巴斯基是专查杀木马病毒的；江民杀病毒好。。。。等等。。下面是2007年世界顶级杀毒软件排名揭晓：

Toptenreviews 已经发布了2007年度的世界杀毒软件排名，与2006年名单相比，这两个排名几乎没有什么区别。也许你会注意到其中惟一的区别是第九名由原来的 eTrust EZ Antivirus 变成了 CA Antivirus，但这两个不同的名字其实还是同一款产品，或许只是因为 CA 公司认为 CA Antivirus 记起来方便得多，于是改了个名字而已。所以，这两个名单还是完全一致的。

2007 年世界顶级杀毒软件排名：

金奖：BitDefender

BitDefender 杀毒软件是来自

罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。

它包括：1. 永久的防病毒保护；2. 后台扫描与网络防火墙；3. 保密控制；4. 自动快速升级模块；5. 创建计划任务；6. 病毒隔离区。

银奖：Kaspersky

Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。

它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

铜奖：F-Secure Anti-Virus

来自 Linux 的故乡芬兰的杀毒软件，集合 AVP、LIBRA、ORION、DRACO 四套杀毒引擎,其中一个就是 Kaspersky 的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比 Kaspersky 要好，该软件采用分布式防火墙技术，对网络流行病毒尤其有效。

在《PC Utilites》评测中超过 Kaspersky 名列第一，但后来 Kaspersky 增加了扩展病毒库，反超 F-secure。鉴于普通用户用不到扩展病毒库，因此 F-secure 还是普通用户很不错的一个选择。F-Secure AntiVirus 是一款功能强大的实时病毒监测和防护系统，支持所有的 Windows 平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。

第四名：PC-cillin

趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防垃圾邮件等功能于一体，最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日常使用及上网浏览时，进行"实时的安全防御监控"；

内置的防火墙不仅更方便您使用因地制宜的设定，"专业主控式个人防火墙"及"木马程序损害清除还原技术"的双重保障还可以拒绝各类黑客程序对计算机的访问请求；趋势科技全新研发的病毒阻隔技术，包含"主动式防毒应变系统"以及"病毒扫瞄逻辑分析技术"不仅能够精准侦测病毒藏匿与化身并予以彻底清除外，还能针对特定变种病毒进行封锁与阻隔，让病毒再无可趁之机；强有力的"垃圾邮件过滤功能"为您全面封锁不请自来的垃圾邮件。

趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常，从此摆脱病毒感染的恶梦。

第五名：ESET Nod32

国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 26 次 VB 100% 测试的防毒软件，高据众产品之榜首！产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

第六名：McAfee VirusScan

全球最畅销的杀毒软件之一，McAfee 防毒软件，除了操作介面更新外，也将该公司的 WebScanX 功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有 VShield 自动监视系统，会常驻在 System Tray，当你从磁盘、网络上、E-mail 夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

第七名：Norton AntiVirus

Norton AntiVirus 是一套强而有力的防毒软件，它可帮你侦测上万种已知和未知的病毒，并且每当开机时，自动防护便会常驻在 System Tray，当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性，若档案内含病毒，便会立即警告，并作适当的处理。另外它还附有 LiveUpdate 的功能，可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码，於下载完后自动完成安装更新的动作。

第八名：AVG Anti-Virus

AVG Anti-Virus 欧洲有名的杀毒软件，AVG Anti-Virus System 功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播； "病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；"开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。

在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件 (支持 ZIP、ARJ、RAR 等压缩文件即时解压缩扫描)。

在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至 AVG Virus VauIt，待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用，安装之前先去官方网站填个表，从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费)，其中有个人非营利使用的免费版本，功能完整，但是仅某部份功能是无法设定的，例如扫毒排程只能每天一次等等。

第九名：CA Antivirus

就是反病毒软件 eTrust EZ Antivirus 已经获得了国际计算机安全协会（ICSA:International Computer Security Association）的认证。ICSA 专门负责检测和认证产品对来自病毒及恶意代码的攻击的有效性。CA 公司表示，在 ICSA 的测试中，CA Antivirus 软件甚至连"In-The-Wild"恶性病毒也可以 100% 地检测出来。

CA Antivirus 是一种主要为中小型企业及 SOHO 用户提供解决方案的反病毒软件。该产品支持的操作系统包括 Windows 98、Windows ME、Windows NT 以及 Windows 2000 Professional 等。除此以外，CA 公司还提供包括 CA Antivirus 在内的反病毒解决方案组件"eTrust EZ Armor"。新版本采用全新用户界面，更加易于使用；新的文件隔离功能可有效防止系统文件被误删；改进了帮助系统；增强了"闪动"系统托盘图标功能

什么叫反黑客？

一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。

黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software

cracker)。

黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。

也有人叫黑客做Hacker。

著名黑客站点：

黑客一词一般有以下四种意义：

一个对（某领域内的）编程语言有足够了解，可以不经长时间思考就能创造出有用的软件的人。

一个恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件(1)的黑客造成严重困扰，他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。

像国内著名的黑客

“教主”则是一个专业的黑帽黑客,利用系统的漏洞来达到入侵和渗透的目的。

一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称做“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员，并在完全合法的情况下攻击某系统。

一个通过知识或猜测而对某段程序做出（往往是好的）修改，并改变（或增强）该程序用途的人。

“脚本小孩”则指那些完全没有或仅有一点点骇客技巧，而只是按照指示或运行某种骇客程序来达到破解目的的人

反黑客又叫红客

反黑客说白了就是告诉你黑客攻击的原理，

然后达到防范的目的，

有的时候不仅要防范，还要反击

怎样反黑客攻击

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

十、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

做好IE的安全设置

ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！

另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21（十进制33），双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全NT_USER\Software\等级设定高些，这样的防范更严密。

常见的网络攻击方法和防御技术

网络攻击类型

侦查攻击：

搜集网络存在的弱点，以进一步攻击网络。分为扫描攻击和网络监听。

扫描攻击：端口扫描，主机扫描，漏洞扫描。

网络监听：主要指只通过软件将使用者计算机网卡的模式置为混杂模式，从而查看通过此网络的重要明文信息。

端口扫描：

根据 TCP 协议规范，当一台计算机收到一个TCP 连接建立请求报文（TCP SYN） 的时候，做这样的处理：

1、如果请求的TCP端口是开放的，则回应一个TCP ACK 报文， 并建立TCP连接控制结构（TCB）；

2、如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

1、如果该报文的目标端口开放，则把该UDP 报文送上层协议（UDP ） 处理， 不回应任何报文（上层协议根据处理结果而回应的报文例外）；

2、如果该报文的目标端口没有开放，则向发起者回应一个ICMP 不可达报文，告诉发起者计算机该UDP报文的端口不可达。

利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TC 或UDP端口是开放的。

过程如下：

1、发出端口号从0开始依次递增的TCP SYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）；

2、如果收到了针对这个TCP 报文的RST 报文，或针对这个UDP 报文 的 ICMP 不可达报文，则说明这个端口没有开放；

3、相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP 端口没有开放） 。

这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

主机扫描即利用ICMP原理搜索网络上存活的主机。

网络踩点（Footprinting）

攻击者事先汇集目标的信息，通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。

扫描攻击

扫描攻击包括地址扫描和端口扫描等，通常采用ping命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。

协议指纹

黑客对目标主机发出探测包，由于不同操作系统厂商的IP协议栈实现之间存在许多细微的差别（也就是说各个厂家在编写自己的TCP/IP 协议栈时，通常对特定的RFC指南做出不同的解释），因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。

常常被利用的一些协议栈指纹包括：TTL值、TCP窗口大小、DF 标志、TOS、IP碎片处理、 ICMP处理、TCP选项处理等。

信息流监视

这是一个在共享型局域网环境中最常采用的方法。

由于在共享介质的网络上数据包会经过每个网络节点， 网卡在一般情况下只会接受发往本机地址或本机所在广播（或多播）地址的数据包，但如果将网卡设置为混杂模式（Promiscuous），网卡就会接受所有经过的数据包。

基于这样的原理，黑客使用一个叫sniffer的嗅探器装置，可以是软件，也可以是硬件）就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。

访问攻击

密码攻击：密码暴力猜测，特洛伊木马程序，数据包嗅探等方式。中间人攻击：截获数据，窃听数据内容，引入新的信息到会话，会话劫持（session hijacking）利用TCP协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。

拒绝服务攻击

伪装大量合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务响应。

要避免系统遭受DoS 攻击，从前两点来看，网络管理员要积极谨慎地维护整个系统，确保无安全隐患和漏洞；

而针对第四点第五点的恶意攻击方式则需要安装防火墙等安 全设备过滤DoS攻击，同时强烈建议网络管理员定期查看安全设备的日志，及时发现对系统存在安全威胁的行为。

常见拒绝服务攻击行为特征与防御方法

拒绝服务攻击是最常见的一类网络攻击类型。

在这一攻击原理下，它又派生了许多种不同的攻击方式。

正确了解这些不同的拒绝攻击方式，就可以为正确、系统地为自己所在企业部署完善的安全防护系统。

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。

要有效的进行反攻击，首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。



下面我们针对几种典型的拒绝服务攻击原理进行简要分析，并提出相应的对策。

死亡之Ping（ Ping of death）攻击

由于在早期的阶段，路由器对包的最大大小是有限制的，许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB 以内。

在对ICMP数据包的标题头进行读取之后，是根据该标题头里包含的信息来为有效载荷生成缓冲区。

当大小超过64KB的ICMP包，就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。

这就是这种“死亡之Ping”攻击的原理所在。

根据这一攻击原理，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，就可使目标计算机的TCP/IP堆栈崩溃，致使接受方宕机。

防御方法：

现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔分析，自动过滤这些攻击。

Windows 98 、Windows NT 4.0（SP3之后）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系统都已具有抵抗一般“Ping of death ”拒绝服务攻击的能力。

此外，对防火墙进行配置，阻断ICMP 以及任何未知协议数据包，都可以防止此类攻击发生。

泪滴（ teardrop）攻击

对于一些大的IP数据包，往往需要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。

比如，一个6000 字节的IP包，在MTU为2000的链路上传输的时候，就需要分成三个IP包。

在IP 报头中有一个偏移字段和一个拆分标志（MF）。

如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个 IP包中的位置。

例如，对一个6000字节的IP包进行拆分（MTU为2000），则三个片断中偏移字段的值依次为：0，2000，4000。

这样接收端在全部接收完IP数据包后，就可以根据这些信息重新组装没正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。

泪滴攻击利用修改在TCP/IP 堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。

IP分段含有指示该分段所包含的是原包的哪一段的信息，某些操作系统（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重叠偏移的伪造分段时将崩溃，不过新的操作系统已基本上能自己抵御这种攻击了。

防御方法：

尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。

因为防火墙上可以设置当出现重叠字段时所采取的规则。

TCP SYN 洪水（TCP SYN Flood）攻击

TCP/IP栈只能等待有限数量ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。

如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。

TCP SYN 洪水攻击正是利用了这一系统漏洞来实施攻击的。

攻击者利用伪造的IP地址向目标发出多个连接（SYN）请求。

目标系统在接收到请求后发送确认信息，并等待回答。

由于黑客们发送请示的IP地址是伪造的，所以确认信息也不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了。

而在没有接收到应答之前，目标计算机系统是不会主动放弃的，继续会在缓冲区中保持相应连接信息，一直等待。

当达到一定数量的等待连接后，缓区部内存资源耗尽，从而开始拒绝接收任何其他连接请求，当然也包括本来属于正常应用的请求，这就是黑客们的最终目的。

防御方法：

在防火墙上过滤来自同一主机的后续连接。

不过“SYN洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

防火墙的具体抵御TCP SYN 洪水攻击的方法在防火墙的使用手册中有详细介绍。

Land 攻击

这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

防御方法：

这类攻击的检测方法相对来说比较容易，因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。

反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。

并对这种攻击进行审计，记录事件发生的时间，源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

Smurf 攻击

这是一种由有趣的卡通人物而得名的拒绝服务攻击。

Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。

攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。

由于这些数据包表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址做出回答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。

这种Smurf攻击比起前面介绍的“Ping of Death ”洪水的流量高出一至两个数量级，更容易攻击成功。

还有些新型的Smurf攻击，将源地址改为第三方的受害者（不再采用伪装的IP地址），最终导致第三方雪崩。

防御方法：

关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉ICMP协议类型数据包。

Fraggle 攻击

Fraggle 攻击只是对Smurf 攻击作了简单的修改，使用的是UDP协议应答消息，而不再是ICMP协议了（因为黑客们清楚 UDP 协议更加不易被用户全部禁止）。

同时Fraggle攻击使用了特定的端口（通常为7号端口，但也有许多使用其他端口实施 Fraggle 攻击的），攻击与Smurf 攻击基本类似，不再赘述。

防御方法：

关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文，或者屏蔽掉一些常被黑客们用来进Fraggle攻击的端口。

电子邮件炸弹

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的，此类攻击能够耗尽邮件接受者网络的带宽资源。

防御方法：

对邮件地址进行过滤规则配置，自动删除来自同一主机的过量或重复的消息。

虚拟终端（VTY）耗尽攻击

这是一种针对网络设备的攻击，比如路由器，交换机等。

这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的。比如，5个或10个等。

这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接。

这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

ICMP洪水

正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO 后，会回应一个ICMP ECHO Reply 报文。

而这个过程是需要CPU 处理的，有的情况下还可能消耗掉大量的资源。

比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。

WinNuke 攻击

NetBIOS 作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享， 进程间通信（ IPC），以及不同操作系统之间的数据交换。

一般情况下，NetBIOS 是运行在 LLC2 链路协议之上的，是一种基于组播的网络访问接口。

为了在TCP/IP协议栈上实现NetBIOS ，RFC规定了一系列交互标准，以及几个常用的 TCP/UDP 端口：

139：NetBIOS 会话服务的TCP 端口；

137：NetBIOS 名字服务的UDP 端口；

136：NetBIOS 数据报服务的UDP 端口。

WINDOWS操作系统的早期版本（WIN95/98/NT ）的网络服务（文件共享等）都是建立在NetBIOS之上的。

因此，这些操作系统都开放了139端口（最新版本的WINDOWS 2000/XP/2003 等，为了兼容，也实现了NetBIOS over TCP/IP功能，开放了139端口）。

WinNuke 攻击就是利用了WINDOWS操作系统的一个漏洞，向这个139端口发送一些携带TCP带外（OOB）数据报文。

但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

分片 IP 报文攻击

为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP 分片报文组装起来。

目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文。

这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。

如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时）。

如果攻击者发送了大量的分片报文，就会消耗掉目标计 算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

T

分段攻击。利用了重装配错误，通过将各个分段重叠来使目标系统崩溃或挂起。

欢迎关注的我的头条号，私信交流，学习更多的网络技术！

防止黑客攻击的方法有哪些？

从技术上对付黑客攻击，主要采用下列方法：

使用防火墙技术，建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问，作为网络软件的补充，共同建立网络信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1／3是处于防火墙保护之下，主要目的就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理。

使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对网络和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理（如跟踪分析、反攻击等），防范于未然。

时常备份系统，若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时修复系统，将损失减少到最低。

加强防范意识，防止攻击。加强管理员和系统用户的安全防范意识，可大大提高网络、系统的安全性能，更有效地防止黑客的攻击破坏。

用身份验证法识别用户“身份验证”统指能够正确识别用户的各种方法，是为阻止非法用户的破坏所设，它一般具有如下几个特点：

可信性：信息的来源可信，即信息接收者能够确认所获得的信息不是由冒充者发出的；完整性：信息在传输过程中保持完整性，即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换；不可抵赖性：要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息；访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。

口令是当前最常用的身份认证方法。但是，众所周知，不少用户选择的口令水平太低，可以被有经验的黑客猜测出来。我们经常把口令认证叫做“知道即可”的认证方法，因为口令一旦被别人“知道”就丧失了其安全性。现在，很多公司开始转向一种名为“拿到方可”的认证方法，在这种认证方法中，用户进行身份认证时，必须使用令牌或IC卡之类的物理设备。令牌是一种小型设备，只有IC卡或计算器那么大，可以随身携带。

这类产品经常使用一种“挑战一应答”（Challenge-Response）技术。当用户试图建立网络连接时，网络上的认证服务器会发出挑战信息，用户把挑战信息键入到令牌设备后，令牌设备显示合适的应答信息，再由用户发送给认证服务器。很多令牌设备还要求用户键入PIN。IC卡认证与令牌认证比较相似，只不过前者需要使用IC卡读取器来处理挑战信息。