黑客攻击主要有哪些手段？

黑客主要运用手段和攻击 ***

2004-12-02 来源: 责编: 滴滴 作者:

编者按：

不可否认, *** 已经溶入到了我们的日常工作和生活中。因此，在我们使用电脑时就得时时考虑被 *** 攻击的防范工作。俗语说“知己知彼，百战不贻”，要想尽量的免遭黑客的攻击，当然就得对它的主要手段和攻击 *** 作一些了解。闲话少说，咱这就入正题！

戴尔笔记本本周限时优惠 免费咨询800-858-2336

来源：黑客基地

不可否认, *** 已经溶入到了我们的日常工作和生活中。因此，在我们使用电脑时就得时时考虑被 *** 攻击的防范工作。俗语说“知己知彼，百战不贻”，要想尽量的免遭黑客的攻击，当然就得对它的主要手段和攻击 *** 作一些了解。闲话少说，咱这就入正题！

（一）黑客常用手段

1、 *** 扫描--在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

2、 *** 嗅探程序--偷偷查看通过Internet的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视 *** 数据流，从而获取连接 *** 系统时用户键入的用户名和口令。

3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的 *** 服务项目(例如电子邮件系统或联机功能)，称为“拒绝服务”问题。

4、欺骗用户--伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）。当一台主机的IP地址假定为有效，并为Tcp和Udp服务所相信。利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。

5、特洛伊木马--一种用户察觉不到的程序，其中含有可利用一些软件中已知弱点的指令。

6、后门--为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。

7、恶意小程序--微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。

8、竞争拨号程序--能自动拨成千上万个 *** 号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令，能触发恶意操作。

9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据，以摧毁计算机控制系统或获得计算机控制权。

10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。

11、社交工程--与公司雇员谈话，套出有价值的信息。

12、垃圾桶潜水--仔细检查公司的垃圾，以发现能帮助进入公司计算机的信息。

（二）黑客攻击的 *** ：

1、隐藏黑客的位置

典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。

更老练的黑客会使用 *** 转接技术隐蔽自己。他们常用的手法有:利用800 号 *** 的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过 *** 联接一台主机,再经由主机进入Internet。

使用这种在 *** *** 上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。

2、 *** 探测和资料收集

黑客利用以下的手段得知位于内部网和外部网的主机名。

使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mailserver 并发送 expn请求;

Finger 外部主机上的用户名。

在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个 *** 的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。

3、找出被信任的主机

黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。

一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。

黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。

分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。

4、找出有漏洞的 *** 成员

当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找 *** 速度很快的Linux 主机运行这些扫描程序。

所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。

进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。

5、利用漏洞

现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。

黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的 *** 。但这种 *** 是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。

6、获得控制权

黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。

他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。

一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网

7．窃取 *** 资源和特权

黑客找到攻击目标后,会继续下一步的攻击,步骤如下:

（1）下载敏感信息

如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。

（2）攻击其他被信任的主机和 ***

大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个 *** 才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。

（3）安装sniffers

在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。

黑客会使用上面各节提到的 *** ,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。

（4）瘫痪 ***

如果黑客已经侵入了运行数据库、 *** 操作系统等关键应用程序的服务器,使 *** 瘫痪一段时间是轻而易举的事。

如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的 *** 彻底瘫痪一段时间

我公司的服务器最近老是被攻击，如何防范？

1、当我们在发现服务器被攻击或被入侵后，建议应立即关闭所有网站服务，暂停至少3小时。

2、查看服务器日志，看下是怎么回事。并且对服务器进行整体安全扫描。检测是否存在病毒等威胁。

3、为系统升级安全补丁，包括所有运行着的服务器软件。

4、安装防火墙对攻击进行防御。市面上有很多的服务器安全软件，比如说安全狗，就是一款不错的服务器防火墙。

5、建议为服务器和网站重新配置权限，关闭删除可疑的系统账户。

6、重新设置各种管理密码，并把密码设置的复杂些。

7、对服务器日志进行备份，对所有网站的数据和程序进行备份操作，防止黑客恶意删除网站数据造成经济损失。

并且在接下来的几天里要密切关注服务器和网站的运行情况，看是否还会出现黑客攻击的情况发生，然后根据日志发现并修补那些未知的漏洞。

转~~~希望对你有用

服务器被攻击了怎么办，如果解决？

如何防御ddos攻击？

doS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前 *** 管理员对抗Dos可以采取过滤IP地址 *** 的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面是武汉网盾收集到的一些 *** ，希望可以帮到大家。

1、定期扫

要定期扫描现有的 *** 主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的更佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统

3、用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此 *** 需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业 *** 实际运行情况不相符。

4、充分利用 *** 设备保护 *** 资

所谓 *** 设备是指路由器、防火墙等负载均衡设备，它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而更大程度的削减了DdoS的攻击

5、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP ……只开放服务端口成为很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略

6、检查访问者的来

使用Unicast Reverse Path Forwarding等通过反向路由器查询的 *** 检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高 *** 安全性。

7、限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的 *** 访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ，虽然该 *** 对于DdoS效果不太明显了，不过仍然能够起到一定的作用

1、定期扫

要定期扫描现有的 *** 主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的更佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统

3、用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此 *** 需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业 *** 实际运行情况不相符。

4、充分利用 *** 设备保护 *** 资

所谓 *** 设备是指路由器、防火墙等负载均衡设备，它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而更大程度的削减了DdoS的攻击

5、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP ……只开放服务端口成为很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略

6、检查访问者的来

使用Unicast Reverse Path Forwarding等通过反向路由器查询的 *** 检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高 *** 安全性。

7、限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的 *** 访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ，虽然该 *** 对于DdoS效果不太明显了，不过仍然能够起到一定的作用

黑客是如何攻击服务器

1.OOB攻击 这是利用NETBIOS中一个OOB（Out of Band）的漏洞而来进行的，它的原理是通过TCP／IP协议传递一个数据包到计算机某个开放的端口上（一般是137、138和139），当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象，不重新启动计算机就无法继续使用TCP／IP协议来访问 *** 。 2.DoS攻击 这是针对Windows 9X所使用的ICMP协议进行的DOS（Denial of Service，拒绝服务）攻击，一般来说，这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包，造成对方计算机的死机。 3.WinNuke攻击 目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机，并且可以进行连续攻击，还能够验证攻击的效果，还可以对检测和选择端口，所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。 4.SSPing 这是一个IP攻击工具，它的工作原理是向对方的计算机连续发出大型的ICMP数据包，被攻击的机器此时会试图将这些文件包合并处理，从而造成系统死机。 5.TearDrop攻击 这种攻击方式利用那些在TCP／IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击，由于IP分段中含有指示该分段所包含的是原包哪一段的信息，所以一些操作系统下的TCP／IP协议在收到含有重叠偏移的伪造分段时将崩溃。TeadDrop更大的特点是除了能够对Windows 9X／NT进行攻击之外，连Linux也不能幸免。 本站转载稿件及图片均来自于互联网，版权归属其版权拥有者全权所有。骇客基地此频道仅作为展示与交流之用。作品不代表本站观点，本站不承担此类稿件侵权行为的连带责任。谢谢您的支持！

服务受到黑客的攻击！怎么办？

据相关资料介绍，服务器被攻击主要有注入和拒绝服务攻击这两种方式。前一种还算更好防御些，用独立无旁站的服务器，再加上防注入过滤系统，然后多关注关注你的管理系统的，多更新更新补丁，关闭没有必要的端口这就相对比较安全了！至于拒绝服务，每一种都很可恨，硬件防火墙是目前相当好的防御办法了。

1、服务器被攻击，应立即关闭所有网站服务，暂停至少3小时。 很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网站呢?你不妨制定一个单页面，通知所有访问者，网站在维修。

2、下载服务器日志(如果没被删除的话)，并且对服务器进行全盘杀毒扫描。 这将花费你将近

1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，

同时分析系统日志，看黑客是通过哪个网站哪个漏洞入侵到服务器来的。找到并确认攻击源，

并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者 ***

IP地址。 

3、为系统安装最新的补丁，当然还有所有运行着的服务器软件，看看服务器被攻击的情况严不严重。

4、为网站目录重新配置权限，关闭删除可疑的系统账户，保障服务器被攻击没有更大化的传播，更容易进行抢救。关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对图片和非脚本目录做无权限处理。 

5、重新设置各种管理密码，开启防火墙进行端口过滤，基板上服务器被攻击就可以被拯救了。

6、最后一步，对所有网站进行处理。

服务器被DoS攻击后一般会发生什么现象

通常所说的DOS有两种不同的概念，即拒绝服务或一种磁盘操作系统，通常DoS(O小写)指的是拒绝服务，DOS(O大写)指的是一种磁盘操作系统

随着计算机技术的发展， *** 也在迅猛地普及和发展。人们在享受着 *** 带来的各种便利的同时，也受到了很多黑客的攻击。在众多的攻击种类中，有一种叫做 DoS（Denial of Service 拒绝服务）的攻击，是一种常见而有效的 *** 攻击技术，它通过利用协议或系统的缺陷，采取欺骗或伪装的策略来进行 *** 攻击，最终使得受害者的系统因为资源耗尽或无法作出正确响应而瘫痪，从而无法向合法用户提供正常服务。它看上去平淡无奇，但是攻击范围广，隐蔽性强、简单有效而成为了 *** 中一种强大的攻击技术，极大地影响了 *** 和业务主机系统的有效服务。其中，DDoS（Distubuted Denial of Service 分布式拒绝服务）更以其大规模性、隐蔽性和难防范性而著称。

在对Linux 2. 4 内核防火墙netfilter 的原理深入研究后，分析了在netfilter 架构下防火墙的设计、实现和开发过程。以kylix3. 0为开发环境，作者基于netfilter 架构开发了一款包过滤和应用 *** 的混合型防火墙，并对其做了测试。该防火墙系统是由包过滤管理模块、路由记录模块、应用 *** 模块（syn proxy）、扫描防御模块和日志记录模块构成。其中包过滤是基于netfilter 中的iptables 来实现的， *** 地址转换也在包过滤管理模块中实现;路由记录模块通过修改Linux 内核中TCP/IP程序和重新编译内核使内核支持路由记录功能来实现的;在应用 *** 模块中实现了HTTP *** 和一个通用 *** 服务，HTTP *** 程序基于SQUID 实现，而通用 *** 由一个 *** 进程来实现;扫描防御模块中主要是通过一个 *** 扫描防御Demo 进程来监控是否有扫描发生;日志记录模块主要是选择记录日志的位置，有本机和邮件通知两种选择方式。针对常见的IP 地址欺骗、IP 源路由欺骗、ICMP 重定向欺骗、IP 劫持等常见 *** 攻击给予了分析并在过滤管理模块中加以解决实现，其中IP 劫持实现是用一个钩子函数注入协议栈中来实现的。文中还分析了加固操作系统而关闭一些危险和不使用的服务，使防火墙架设在一个相对安全的基础上，同时也将系统编译升级为最新的稳定内核。

DoS攻击是 *** 攻击最常见的一种。它故意攻击 *** 协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或 *** 无法捉供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而在此攻击中并不入侵目标服务器或目标 *** 设备。这些服务资源包括 *** 宽带、系统堆栈、开放的进程。或者允许的连接。这种攻击会导致资源耗尽，无论计算机的处理速度多快、内存容量多大、 *** 带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以总能找到一个 *** 使请求的值大于该极限值，导致所提供的服务资源耗尽。

DoS攻击有许多种类，主要有Land攻击、死亡之ping、泪滴、Smurf攻击及SYN洪水等。

据统计，在所有黑客攻击事件中，syn洪水攻击是最常见又最容易被利用的一种DoS攻击手法。

1.攻击原理

要理解SYN洪水攻击，首先要理解TCP连接的三次握手过程(Three-wayhandshake)。在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。之一次握手:建立连接时，客户端发送SYN包((SYN=i)到服务器，并进入SYN SEND状态，等待服务器确认;

第二次握手:服务器收到SYN包，必须确认客户的SYN (ACK=i+1 )，同}Jj’自己也发送一个SYN包((SYN j)}即SYN+ACK包，此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN十ACK包，向服务器发送确认包ACK(ACK=j+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手，客户端与服务器开始传送数据。

在上述过程中，还有一些重要的概念:

半连接:收到SYN包而还未收到ACK包时的连接状态称为半连接，即尚未完全完成三次握手的TCP连接。

半连接队列:在三次握手协议中，服务器维护一个半连接队列，该队列为每个客户端的SYN包(SYN=i )开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_ RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数:表示半连接队列的更大容纳数目。

SYN-ACK重传次数:服务器发送完SYN-ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的更大重传次数，系统将该连接信息、从半连接队列中删除。注意，每次重传等待的时间不一定相同。

半连接存活时间:是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

上面三个参数对系统的TCP连接状况有很大影响。

SYN洪水攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等 *** 系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从图4-3可看到，服务器接收到连接请求(SYN=i )将此信息加入未连接队列，并发送请求包给客户( SYN=j,ACK=i+1 )，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN 请求

被丢弃，目标系统运行缓慢，严重者引起 *** 堵塞甚至系统瘫痪。过程如下:

攻击主机C(地址伪装后为C')-----大量SYN包----彼攻击主机

C'-------SYN/ACK包----被攻击主机

由于C’地址不可达，被攻击主机等待SYN包超时。攻击主机通过发人量SYN包填满未连接队列，导致正常SYN包被拒绝服务。另外，SYN洪水攻击还可以通过发大量ACK包进行DoS攻击。

2．传统算法

抵御SYN洪水攻击较常用的 *** 为网关防火墙法、中继防火墙法和SYNcookies。为便于叙述，将系统拓扑图简化为图4-4。图中，按 *** 在防火墙内侧还是外侧将其分为内网、外网(内网是受防火墙保护的)。其次，设置防火墙的SYN重传计时器。超时值必须足够小，避免backlog队列被填满;同时又要足够大保证用户的正常通讯。

(1) 网关防火墙法

网关防火墙抵御攻击的基本思想是:对于内网服务器所发的SYN/ACK包，防火墙立即发送ACK包响应。当内网服务器接到ACK包后，从backlog队列中移出此半连接，连接转为开连接，TCP连接建成。由于服务器处理开连接的能力比处理半连接大得多，这种 *** 能有效减轻对内网服务器的SYN攻击，能有效地让backlog队列处于未满状态，同时在重传一个未完成的连接之前可以等待更长时间。

以下为算法完整描述:

之一步，防火墙截获外网客户端发向内网服务器SYN数据包，允许其通过，抵达内网服务器。同时在连接跟踪表中记录此事件.

第二步，防火墙截获服务器发向客户端的SYN/ACK响应包，用连接跟踪表中记录的相应SYN包匹配它.

第三步，防火墙让截获的SYN/ACK继续进行(发向客户端)。同时，向内网服务器发送ACK包。这样，对服务器来说，TCP连接三次握手已经完成。系统在backlog队列中删掉此半连接.

第四步，看此TCP连接是否有效，相应产生两种解决 *** 。如果客户端的连接尝试是有效的，那么防火墙将接到来自客户端的ACK包，然后防火墙将它转发到服务器。服务器会忽略这个冗余的ACK包，这在TCP协议中是允许的.

如果客户端的IP地址并不存在，那么防火墙将收不到来自客户端的ACK包，重转计时器将超时。这时，防火墙重传此连接.

(2) 中继防火墙法

中继防火墙抵御攻击的思想是:防火墙在向内网服务器发SYN包之前，首先完成与外网的三次握手连接，从而消除SYN洪水攻击的成立条件。

以下为算法完整描述:

之一步，防火墙截获外网客户端发向内网服务器SYN数据包.

第二步，防火墙并不直接向内网发SYN数据包，而是代替内网服务器向外网发SYNIACK数据包.

第三步，只有接到外网的ACK包，防火墙向内网发SYN包.

第四步，服务器应答SYN/ACK包.

第五步，防火墙应答ACK包.

(3) 分析

首先分析算法的性能，可以看出:为了提高效率，上述算法使用了状态检测等机制(可通过本系统的基本模块层得以实现)

对于非SYN包(CSYN/ACK及ACK包)，如果在连线跟踪信息表未查找到相应项，则还要匹配规则库，而匹配规则库需比较诸多项(如IP地址、端口号等)，花费较大，这会降低防火墙的流量。另外，在中继防火墙算法中，由于使用了SYN包 *** ，增加了防火墙的负荷，也会降低防火墙的流量。

其次，当攻击主机发ACK包，而不是SYN包，算法将出现安全漏洞。一般地，TCP连接从SYN包开始，一旦 SYN包匹配规则库，此连接将被加到连接跟踪表中，并且系统给其60s延时。之后，当接到ACK包时，此连接延时突然加大到3600s。如果，TCP连接从ACK包开始，同时此连接未在连接跟踪表中注册，ACK包会匹配规则库。如匹配成功，此连接将被加到连接跟踪表中，同时其延时被设置为3600s。即使系统无响应，此连接也不会终止。如果攻击者发大量的ACK包，就会使半连接队列填满，导致无法建立其它TCP连接。此类攻击来自于内网。因为，来自于外网的ACK包攻击，服务器会很快发RST包终止此连接(SOs。而对于内网的外发包，其限制规则的严格性要小的多。一旦攻击者在某时间段内从内网发大量ACK包，并且速度高于防火墙处理速度，很容易造成系统瘫痪。

(4) SYN cookies

Linux支持SYN cookies，它通过修改TCP协议的序列号生成 *** 来加强抵御SYN洪水攻击能力。在TCP协议中，当收到客户端的SYN请求时，服务器需要回复SYN-SACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie(回复包的SYN序列号)给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到。cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。

此算法的优点是:半连接队列满时，SYN cookies仍可以处理新SYN请求。缺点是:某些TCP选项必须禁用，如大窗口等。计算cookies有花销。

/*一个IP包，其分片都被放入到一个链表中，作为每一个分片的链表节点用ipfrag结构表示。IP分片的中心组装在此链表进行。*/

内核抵御攻击的代码结构如下：

// From

/*IP分片结构体*/

struct ipfrag

{

int offset; //ip包中此分片的偏移值

int end; //此分片最后一个株距在ip包中的位置

int len; //此分片长度

struct sk_buff *skb; //分片数据包

unsigned ........

if(end= offset)(iskb-len)

return NF_DRDP;

}

}

return NF_ACCEPT;

组成规则的三个结构体具体解释如下:

(1)ipt......

unsigned int nfcache ; //用此位域表示数据报的哪些部分由这个规则检查

.......

; //包含数据包及匹配此规则数据包的计算数值

以下仅列出ipt_entry_match结构体:

struce ipt_entry_match

{

union

{

struct{

u_int16_t target_size;

......

......

{

struct list_head list;//链表

struct

u int32 ipaddr; //地址

u_ int16 port; //端口

}src; //源端信息

struct

{

u_ int32 ipaddr;

u_ int 16 port;

} dst; //目的端信息

u_intl6 protonum; //协议号

`常用语法

dir＋＊ 浏览

cls 清屏

cd 打开子目录

cd.＋＊ 退出子目录

rd＋＊ 删除子目录

del＋＊ 删除文件

服务器为什么被攻击？怎么防御？

服务器会被攻击的原因可能是同行的恶意竞争或者一些黑客的攻击练习对象。

要怎么防御呢？

1、确保系服务器统安全；

2、购买防火墙，云防护等防御产品；

3、使用高防服务器，自带防御，更好地防御攻击。