第2章黑客常用的系统攻击方法

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,主要内容,黑客概述,网络扫描工具原理与使用,网络监听原理与工具,木马,拒绝服务攻击,缓冲区溢出,第,2,章,黑客常用的系统攻击方法,2.1,黑客的由来,一名黑客,(hacker),是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。,黑客最早源自英文,hacker,，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”,(software cracker),。,黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。,黑客原理与防范措施,黑客发展的历史,网络威胁,网络扫描,网络监听,常用黑客技术的原理,（木马、缓冲区溢出等）,黑客攻击的防范,信息安全威胁的发展趋势,攻击复杂度与所需入侵知识关系图,2.1.2,黑客攻击的动机,贪心 ,偷窃或者敲诈，金融案件,恶作剧,无聊的计算机程序员,名声,显露出计算机经验与才智，以便证明他们的能力和获得名气,报复,/,宿怨,解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人,无知,失误和破坏了信息还不知道破坏了什么,黑客道德,-,这是许多构成黑客人物的动机,仇恨,-,国家和民族原因,间谍 ,政治和军事目的谍报工作,商业 ,商业竞争，商业间谍,黑客守则,1),不恶意破坏系统,2),不修改系统文档,3),不在,bbs,上谈论入侵事项,4),不把要侵入的站点告诉不信任的朋友,5),在,post,文章时不用真名,6),入侵时不随意离开用户主机,7),不入侵政府机关系统,8),不在电话中谈入侵事项,9),将笔记保管好,10),要成功就要实践,11),不删除或涂改已入侵主机的帐号,12),不与朋友分享已破解的帐号,2.1.3,黑客入侵攻击的一般过程,确定攻击的目标。,收集被攻击对象的有关信息。,被攻击对象所在网络类型、,IP,地址、操作系统类型和版本、系统管理员的邮件地址等。,利用适当的工具进行扫描。,扫描后对截获的数据进行分析，找出安全漏洞。,建立模拟环境，进行模拟攻击。,进行模拟攻击，检查被攻击方的日志，攻击者确定删除哪些文件来消除攻击过程中留下的“痕迹”。,实施攻击。,清除痕迹。,口令攻击,通过猜测或获取口令文件等方式获得系统认证口令,从而进入系统,危险口令类型,1,）用户名,2,）用户名变形,3,）生日,4,）常用英文单词,5,）,5,位,以下长度的口令,暴力破解：举例,NAT,网络安全扫描技术在网络安全行业中扮演的角色,（,1,）扫描软件是入侵者分析将被入侵系统的必备工具,（,2,）扫描软件是系统管理员掌握系统安全状况的必备工具,（,3,）扫描软件是网络安全工程师修复系统漏洞的主要工具,（,4,）扫描软件在网络安全的家族中可以说是扮演着医生的角色,2.2,网络安全扫描技术,网络安全扫描技术分类,一一般的端口扫描器,二功能强大的特殊端口扫描器,三,.,其他系统敏感信息的扫描器,1.,合法使用：检测自己服务器端口，以便给自己提供更好的服务；,2.,非法使用：查找服务器的端口，选取最快的攻击端口,预备知识,-OSI,模型和,TCP/IP,协议栈,TCP,包首部,IP,数据包,16,位总长度,8,位服务类型,4,位版本,4,位首部长度,16,位标识,32,位源,IP,地址,8,位生存时间,协议,首部校验和,13,位片偏移,标志,32,位目的,IP,地址,IP,选项（可选）,填充,数据,常用的扫描软件,X-scan,nmap,Fluxay,ipscan,端口扫描程序,Nmap,Nmap,简介,Nmap,支持的四种最基本的扫描方式：,（,1,）,Ping,扫描（,-,sP,参数）。,（,2,）,TCP connect(),端口扫描（,-,sT,参数）。,（,3,）,TCP,同步（,SYN,）,端口扫描（,-,sS,参数）。,（,4,）,UDP,端口扫描（,-,sU,参数）。,NMAP,的介绍,Nmap,是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取那台主机正在运行以及提供什么服务等信息。,nmap,支持很多扫描技术，例如：,UDP,、,TCPconnect(),、,TCPSYN(,半开扫描,),、,ftp,代理,(bounce,攻击,),、反向标志、,ICMP,、,FIN,、,ACK,扫描、圣诞树,(XmasTree),、,SYN,扫描和,null,扫描。从扫描类型一节可以得到细节。,nmap,还提供了一些高级的特征，例如：通过,TCP/IP,协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行,ping,扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接,RPC,扫描,(,无须端口影射,),，碎片扫描，以及灵活的目标和端口设定,.,Nmap,运行通常会得到被扫描主机端口的列表。,nmap,总会给出,wellknown,端口的服务名,(,如果可能,),、端口号、状态和协议等信息。每个端口的状态有：,open,、,filtered,、,unfiltered,。,open,状态意味着目标主机能够在这个端口使用,accept(),系统调用接受连接。,filtered,状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止,nmap,探测其是否打开。,unfiltered,表示：这个端口关闭，并且没有防火墙,/,包过滤软件来隔离,nmap,的探测企图。通常情况下，端口的状态基本都是,unfiltered,状态，只有在大多数被扫描的端口处于,filtered,状态下，才会显示处于,unfiltered,状态的端口。,nmap,sP,IP,地址,ping,扫描，有时用户只想知道某一时段的哪些主机正在运行。,Nmap,通过向用户指定的网络内的每个,IP,地址发送,ICMP request,请求数据包，若主正在运行就会作出相应。,ICMP,包本身是一个广播包，无端口概念，非常适合用来检测指定网段内正在运行的主机数量。,Nmap,扫描类型（,dos,系统）,nmap,sT,IP,地址,TCPconnect(),扫描：这是最基本的,TCP,扫描方式。,connect(),是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，,connect(),就会成功返回，否则这个端口是不可达的。任何,UNIX,用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。,nmap,sS,IP,地址,TCP,同步扫描,(TCPSYN),：因为不必全部打开一个,TCP,连接，所以这项技术通常称为半开扫描,(half-open),。你可以发出一个,TCP,同步包,(SYN),，然后等待回应。如果对方返回,SYN|ACK(,响应,),包就表示目标端口正在监听；如果返回,RST,数据包，就表示目标端口没有监听程序；如果收到一个,SYN|ACK,包，源主机就会马上发出一个,RST(,复位,),数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要,root,权限来定制,SYN,数据包。,nmap,sU,IP,地址,UDP,扫描。此扫描方式用来确定被测目标主机哪个,UDP,端口开启。这一技术以发送零字节的,UDP,信息包到目标主机的各个端口，若收到一个,ICMP,端口无法到达的回应，那么此端口是关闭的，否则可以认为此端口是开启的。,windows,系统,（,1,）,CGI Scanner,（,2,）,Asp Scanner,（,3,）,从各个主要端口取得服务信息的,Scanner,（,4,）,获取操作系统敏感信息的,Scanner,（,5,）,数据库,Scanner,（,6,）,远程控制系统扫描器,专用扫描器的介绍,企业级扫描系统,一优秀网络安全扫描系统的介绍：,（,1,）,ISS,公司,的,Internet Scanner,（,2,）,NAI,公司的,cybercop,Scanner,二系统（本地）扫描器和远程扫描器,企业级扫描系统要素,（,1,）速度,（,2,）对系统的负面影响,（,3,）能够发现的漏洞数量,（,4,）清晰性和解决方案的可行性,（,5,）更新周期,（,6,）所需软硬件环境要求,（,7,）界面的直观性和易用性,（,8,）覆盖范围,网络安全扫描软件的局限性,（,1,）扫描器难以智能化 ，不能完全代替人工分析,（,2,）扫描器依赖升级工作，才能确保长期的有效性,（,3,）使用扫描器，必须考虑到有关法律的规定和限制，不能滥用,总结,（,1,） 扫描器和其它产品一样，只是一个工具，我们不能完全依赖他的工作，人的因素也是至关重要的。,（,2,） 扫描器能够发挥的功能取决于人，人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。,（,3,） 扫描器质量的好坏，在于开发公司在安全实践中积累的经验和更新能力。,补充： 数据进入协议栈时的封装过程,SMB,：,Server Message Block protocol,服务器信息块（,SMB,）协议是一种,IBM,协议，用于在计算机间共享文件、打印机、串口等。,SMB,协议可以用在因特网的,TCP/IP,协议之上，也可以用在其它网络协议如,IPX,（互联网分组交换协议 ）和,NetBEUI,（,NetBios,Enhanced User Interface,，或,NetBios,增强用户接口 ）之上。,SMB,一种客户机,/,服务器、请求,/,响应协议。通过,SMB,协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。,在,TCP/IP,环境下，客户机通过,NetBIOS over TCP/IP,（或,NetBEUI/TCP,或,SPX/IPX,）连接服务器。一旦连接成功，客户机可发送,SMB,命令到服务器上，从而客户机能够访问共享目录、打开文件、读写文件，以及一切在文件系统上能做的所有事情。,从,Windows 95,开始，,Microsoft Windows,操作系统（,operating system,）都包括了客户机和服务器,SMB,协议支持。,TCP,工作过程,TCP,分三个阶段第一阶段：连接建立（三次握手）第二阶段：数据传输第三阶段：连接拆除（四次握手）,TCP,三次握手,传输控制协议,(Transport Control Protocol),是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的,TCP,传输需要通过在,TCP,客户端和,TCP,服务端建立特定的,虚电路,连接来完成，该过程通常被称为“三次握手”。此处可靠性数据序列和确认提供保证。,TCP,通过数据分段,(Segment),中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。要通过,TCP,传输数据，必须在两端主机之间建立连接。,FIN,FIN,的,ACK,FIN,FIN,的,ACK,客户端,服务器端,TCP,连接的拆除,TCP,连接是全双工（数据在两个方向上能同时传输）,TCP,和,UDP,区别,TCP,的传输是可靠的，,UDP,的传输是不可靠的。,TCP,在发送数据包前都在通信双方有一个三次握手机制，确保双方准备好，在传输数据包期间，,TCP,会根据链路中数据流量的大小来调节传送的速率，传输时如果发现有丢包，会有严格的重传机制，从而以保证数据包可靠的传输。 对,UDP,来说，发送端有数据包我就发送，不会去理会对端的承受能力和链路状况。,不同的应用层协议可能基于不同的传输层协议，如,FTP,、,TELNET,、,SMTP,、,HTTP,协议基于可靠的,TCP,协议。,TFTP,、,SNMP,、,RIP,基于不可靠的,UDP,协议。,TCP,和,UDP,的端口号的编号都是独立的，都是,065535,。例如,DNS,，可以是,TCP,的,53,号端口，也可以是,UDP,的,53,号端口。端口号只具有本地意义，是拿来标识程序的。只有,01023,是公认的系统占用，其他在通信过程中是随机生成，此次传输完成即撤消。,Echo Protocol,应答协议注解：主要用于调试和检测中。它可以基于,TCP,协议，服务器就在,TCP,端口,7,检测有无消息，如果使用,UDP,协议，基本过程和,TCP,一样，检测的端口也是,7,。是路由也是网络中最常用的数据包，可以通过发送,echo,包知道当前的连接节点有那些路径，并且通过往返时间能得出路径长度。,TCP,和,UDP,的端口号,补充：网卡工作原理,网卡工作在数据链路层，数据以帧为单位传输。（帧头包括源和目的,MAC,地址）,网卡先接收数据头的目的,MAC,地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知,CPU,，,认为不该接收就丢弃不管。,CPU,得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。,2.3,网络监听原理与工具,网卡的工作模式,普通方式：前面所讲。,混杂模式（,promiscuous,）：能够接收到所有通过它的数据。网卡不管数据包头的内容，让所有经过的数据包都传给操作系统处理，这样网卡就可以捕获所有经过网卡的数据帧。,Sniffer,原理,Sniffer,，,中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。,采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。,Username:,herma009,Password:,hiHKK234,以太网（,HUB,）,FTP,Login,Mail,普通用户,A,服务器,C,嗅探者,B,网络监听原理,Username:,herma009,Password:,hiHKK234,网络监听原理,一个,sniffer,需要做的工作：,把网卡置于混杂模式。,捕获数据包。,分析数据包,HUB,工作原理,交换机的工作原理：存储,/,转发,转发数据包前，交换机首先发送广播，让所有与交换机相连的主机都把自己的,mac,地址发送给他，这样交换机就知道哪个,mac,地址对应哪个端口（,mac,地址表,),，假如你要给端口,8,发信息，你先把信息发给交换机，交换机先接收并存储起来，然后他通过,mac,地址表，查找与端口,8,相连的电脑，然后把信息传给相应的端口，这样就完成了信息的转发。,交换机不支持镜像时的,SNIFF,交换机支持镜像时的,SNIFF,ARP spoof,Username:,herma009,Password:,hiHKK234,switch,FTP,普通用户,A,IP:10.1.1.2,MAC:,20-53-52-43-00-02,服务器,C,IP:10.1.1.1,MAC:,20-53-52-43-00-01,嗅探者,B,IP:10.1.1.3,MAC:20-53-52-43-00-03,Switch,的,MAC,地址表,router,常用的,SNIFF,（,1,）,windows,环境下,：,图形界面,的,SNIFF,netxray,sniffer,pro,（,2,）,UNUX,环境下,：,UNUX,环境,下的,sniff,可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的,。,如,sniffit,，,snoop,tcpdump,dsniff,Ettercap,(,交换环境,下,),常用的,SNIFF,Sniffer,Pro,Ethereal,Net monitor,EffTech,HTTP,Sniffer,Iris,如何防止,SNIFF,进行合理的网络分段,用,SSH,（,Secure Socket Layer,）加密,Sniffer,往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。,防止内部攻击,。,AntiSniff,工具用于检测局域网中是否有机器处于混杂模式,（不是免费的）,Ethereal/,Wireshark,分析数据包步骤：,（,1,）选择数据包,（,2,）分析数据包,（,3,）分析数据包内容,2.4,木马,（,Trojan horse,）,木马是一种基于远程控制的黑客工具,隐蔽性,潜伏性,危害性,非授权性,木马与病毒的区别,病毒程序是以,自发性,的败坏为目的,木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。,2.4.1,木马的工作原理,常见木马是,C/,S(Client,/Server),模式的程序（里应外合）,操作系统,被植入木马的,PC,（,server,程序）,TCP/IP,协议,端口,被植入木马的,PC,（,client,程序）,操作系统,TCP/IP,协议,端口,端口,处于监听状态,控制端,Server,程序通过打开特定的端口（后门）进行,监听,(Listen),，攻击者掌握的,client,程序向该端口发出请求,(connect request),，木马便和他连接起来，攻击者就可以使用,控制器,进入计算机，通过,client,程序命令对服务器端进行控制。,2.4.2,木马的分类,远程访问型木马,远程访问被攻击者的硬盘、进行屏幕监视等，当运行,server,程序时，若,client,获知服务器端,IP,地址，就可以实行远程控制。利用程序可以实现观察,“,受害者,”,正在干什么， 当然这个程序完全可以用在正道上的，比如监视学生机的操作。,密码发送型木马,找到隐藏的密码，在被攻击者不知情的情况下将密码发到指定的邮箱。,键盘记录木马,记录被攻击者的键盘敲击并在,LOG,文件查找密码。,破坏型木马,惟一的功能就是破坏、删除文件，可以自动的删除电脑上的,DLL,、,INI,、,EXE,文件。（威胁计算机安全）,代理木马,黑客找到一台毫不知情的计算机，给它种上代理木马，让该计算机变成攻击者发动攻击的跳板。黑客会隐藏自己的踪迹。,FTP,木马,打开,21,端口，等待用户连接。,2.4.3,木马实施攻击的步骤,配置木马,（,1,）木马伪装：木马配置程序在服务器端采用修改图标、捆绑文件、定制端口等伪装手段将自己隐藏。,（,2,）信息反馈：木马配置程序对信息反馈或地址进行设置（邮件地址、,IRC,号（,Internet Relay Chat,）,、,ICQ,号,(,聊天软件，名称来自,I seek you,),）。,传播木马,传播方式主要有两种：一种是通过,E-MAIL,，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，一运行这些程序，木马就会自动安装。,启动木马,服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到,WINDOWS,的系统文件夹中,(C:WINDOWS,或,C:WINDOWSSYSTEM,目录下,),，然后在注册表，启动组，非启动组中设置好木马的,触发条件,这样木马的安装就完成了。安装后就可以启动木马了。,建立连接,木马连接的建立首先必须满足两个条件：,一是服务端已安装了木马程序；,二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。,假设,A,机为控制端，,B,机为服务端，对于,A,机来说要与,B,机建立连接必须知道,B,机的木马端口和,IP,地 址，由于木马端口是,A,机事先设定的，为已知项，所以最重要的是如何获得,B,机的,IP,地址。获得,B,机的,IP,地址的方法主要有两种：,信息,反馈和,IP,扫描。,远程控制,远程控制,木马连接建立后，控制端端口和木马端口之间将会出现一条通道。,控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现窃取密码、文件操作、修改注册表、系统操作、锁住服务器等。,2.4.4,木马,伪装,方法,1.,木马文件的隐藏与伪装,（,1,）文件的位置,木马的服务器程序文件一般在系统文件所处的目录下，这样不敢随意删除，如果误删会导致计算机崩溃。,（,2,）,文件的属性,木马文件属性设置为隐藏。,（,3,）捆绑到其他文件上,将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件,(,即,EXE,COM,一类的文件,),。,（,4,）文件的名字,木马文件名使用常见的文件名和扩展名，或者仿制一些不易被区别的文件名（如仿制系统文件名,kernel32.dll,）。,（,5,）,文件的,图标,木马运行中的隐藏,（,1,）在任务栏里隐藏,（,2,）在任务管理器里隐藏,木马将自己设为“,系统服务,”就不会出现在任务管理器了。,（,3,）,隐藏端口,由木马的服务端主动连接客户端所在,IP,对应的电脑的,80,端口。相信没有哪个防火墙会拦截这样的连接（因为它们一般认为这是用户在浏览网页），所以反弹端口型木马可以穿过防火墙。,木马,启动方式,win.ini,system.ini,启动,组,注册表,捆绑方式启动,伪装在普通文件中,设置在超级连接中,2.4.6,木马的检测,查看端口,检查注册表,检查配置文件,发现木马的方法,系统的异常情况,打开文件，,没有任何反应,查看打开的端口,检查注册表,查看进程,防御,发现木马：检查系统文件、注册表、端口,不要轻易使用来历不明的软件,不熟悉的,E-MAIL,不打开,常用杀毒软件并及时升级,查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀,Windows,文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机,木马传播方式,主动与被动：,主动种入,通过,E,mail,文件下载,浏览网页,流行木马简介,冰 河,back orifice,Subseven,网络公牛,(,Netbull,),网络神偷,(,Nethief,),Netspy,(,网络精灵,),拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。 攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用,IP,欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。,2.5,拒绝服务攻击,(,DoS,),从网络攻击的各种方法和所产生的破坏情况来看，,DoS,攻击对,ISP,、电信部门、,DNS,服务器、,Web,服务器、防火墙的影响非常大。,DoS,攻击的目的就是拒绝服务访问，破坏组织的正常运行，最终使部分,Internet,连接和网络系统失效。,黑客,DoS,攻击的目的：,（,1,）使服务器崩溃，其他人不能访问,（,2,）黑客为了冒充某个服务器，将之瘫痪,（,3,）,DoS,攻击重启服务器，便于安装的木马启动,DoS,-Denial of Service,DoS,攻击的事件 ：,2000,年,2,月份的,Yahoo,、,亚马逊、,CNN,被,DoS,攻击,2002,年,10,月全世界,13,台,DNS,服务器同时受到了,DDoS,（,分布式拒绝服务）攻击。,2003,年,1,月,25,日的“,2003,蠕虫王”病毒,2004,年,8,月，,共同社报道：日本近期共有上百网站遭到黑客袭击。,DoS,攻击分类,死亡之,ping,： “,ICMP,风暴”,SYN Flood,攻击： 疯狂发,SYN,包，不返回,ACK,包,Land,攻击：特别的,SYN,包（源,IP,地址和目的,IP,地址设置成被攻击服务器的,IP,）,泪珠攻击（,Teardrop,）,拒绝服务攻击,(,DoS,)(,控制,),.,.,.,.,SYN/ACK,SYN/ACK,SYN/ACK,SYN,SYN,SYN,攻击者,目标主机,SYN,SYN/ACK,1,n,SYN/ACK,SYN/ACK,SYN/ACK,SYN/ACK,.,.,.,.,等待应答,SYN/ACK,.,.,.,.,.,.,.,.,.,SYN,：,同步,SYN/ACK:,同步,/,确认,分布式拒绝服务攻击,DDoS,DDoS,全名是,Distributed Denial of service (,分布式拒绝服务攻击,),很多,DoS,攻击源一起攻击某台服务器就组成了,DDoS,攻击。,1),攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。,攻击者,各种客户主机,目标系统,2,),攻击者进入其已经发现的最弱的客户主机之内(,“,肉机,”,)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序,demon)。,攻击准备：,安置,代理,代理程序,DDoS,攻击时序,3),攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。,攻击者,目标系统,发起攻击：,指令,攻击的代理程序,4),包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。,虚假的连接请求,DDoS,攻击时序(分布式拒绝服务),一个病毒被发给许多的客户。只要他们打开并且启动该病毒，,.,.,该病毒将再继续传播，传送它本身到别的客户，诸如此类,(,病毒感染呈指数增长,),。,按指数率增长,自我传播的电子邮件,e-mail,病毒,缓冲区溢出是一种系统攻击的手段，通过往程序,(,数据,),的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。利用缓冲区溢出攻击，可以导致程序运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。,2.6,缓冲区溢出（,buffer overflow),缓冲区溢出实例,void function(char *,str,), char buffer16;,strcpy(buffer,str,); ,void main() char large_string256;,int,i; for( i = 0; i 256; i+) large_stringi = A; function(large_string); ,程序中利用,strcpy,函数将,szPara1,中的内容拷贝到,buff,中，只要,szPara1,的长度大于,16,，就会造成缓冲区溢出。存在,strcpy,函数这样问题的,C,语言函数还有：,strcat,(),、,gets(),、,scanf,(),等。,在,C/C+,中，不对缓冲区、数组、指针进行边界检查。,缓冲区溢出原理,缓冲,区,溢出,出现情况,缓冲溢出安全问题在下列环境中能出现：, 当直接往缓冲直接读入时, 当从一个大的缓存拷贝入小的缓存时, 当将其它进程的输入放入一个字符串缓存,课后作业,教材,P56,练习题一大题、二大题的,1,、,3,、,5,、,12,、,13,小题。,