黑客在對(duì)我們的網(wǎng)絡(luò)進(jìn)行攻擊時(shí)通常會(huì)采用多種辦法來(lái)規(guī)避網(wǎng)絡(luò)安全設(shè)備的防護(hù)，從而獲取對(duì)信息的訪問(wèn)權(quán)限。因此，為了抵御黑客的攻擊，我們應(yīng)該了解黑客的攻擊方法，清楚這些攻擊方法的工作原理以及對(duì)網(wǎng)絡(luò)造成的威脅。在本文中我們將分析七種常見(jiàn)的網(wǎng)絡(luò)入侵方法，這些方法可以單獨(dú)使用，也可以互相配合來(lái)破壞網(wǎng)絡(luò)。

    1、監(jiān)聽(tīng)

    大多數(shù)通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是“文本”形式，也就是在加密成密碼文本之前的普通的可讀文本。這意味著，任何人使用網(wǎng)絡(luò)“嗅探器（例如Network Monitor 3.x或者第三方程序Wireshark等）”都可以輕松地讀取這些文本信息。

    一些保存自己用戶名和密碼列表的服務(wù)器應(yīng)用程序允許這些登錄信息以文本格式在網(wǎng)絡(luò)傳輸。網(wǎng)絡(luò)攻擊者只要簡(jiǎn)單地使用嗅探程序，接入到集線器或者交換器的可用端口就可以獲取這些信息。事實(shí)上，大部分通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是文本格式的，這使得攻擊者很容易可以獲得這些信息。而這些信息可能包含敏感數(shù)據(jù)，例如信用卡號(hào)碼、社保號(hào)碼、個(gè)人電子郵件內(nèi)容和企業(yè)機(jī)密信息等。很明顯，解決這個(gè)問(wèn)題的解決方案就是使用Ipsec或者SSL等技術(shù)，對(duì)在網(wǎng)絡(luò)傳送的數(shù)據(jù)進(jìn)行加密。

    2、欺詐

    源IP地址和目的IP地址是為T(mén)CP/IP網(wǎng)絡(luò)的計(jì)算機(jī)之間建立會(huì)話的前提條件。IP“欺詐”行為是指假冒網(wǎng)絡(luò)中合法主機(jī)計(jì)算機(jī)的身份，來(lái)獲取對(duì)內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)的訪問(wèn)權(quán)限。欺詐的另一種說(shuō)法是“模擬”，實(shí)際上，入侵者是使用合法IP地址來(lái)“模擬”合法主機(jī)計(jì)算機(jī)。

    為了防止IP欺詐攻擊，你可以使用Ipsec用于計(jì)算機(jī)間的通信，使用訪問(wèn)控制列表（ACLs）來(lái)阻止下游端口的私有IP地址，過(guò)濾入站和出站流量，并將路由器和交換機(jī)配置為阻止源自外部局域網(wǎng)而聲稱自己源自內(nèi)部網(wǎng)絡(luò)的流量。你還可以啟用路由器上的加密功能，這樣可以允許你信任的外部計(jì)算機(jī)與內(nèi)部計(jì)算機(jī)進(jìn)行通信。

    3、TCP/IP序列號(hào)攻擊

    另一種常見(jiàn)欺詐攻擊是“TCP/IP序列號(hào)攻擊”。傳輸控制協(xié)議（TCP）主要負(fù)責(zé)TCP/IP網(wǎng)絡(luò)的通信的可靠性，這包括確認(rèn)信息發(fā)送到目的主機(jī)。為了追蹤通過(guò)網(wǎng)絡(luò)發(fā)送的字節(jié)，每個(gè)段都被分配了一個(gè)“序列號(hào)”。高級(jí)攻擊者可以建立兩臺(tái)計(jì)算機(jī)之間的序列模式，因?yàn)樾蛄心Ｊ讲⒉皇请S機(jī)的。

    首先，攻擊者必須獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。在獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限后，他會(huì)連接到服務(wù)器，并分析他與他正在連接的合法主機(jī)之間的序列模式。TCP/IP序列號(hào)攻擊者然后會(huì)通過(guò)假冒合法主機(jī)的IP地址來(lái)連接服務(wù)器。為了防止合法主機(jī)做出響應(yīng)，攻擊者必須在合法主機(jī)發(fā)動(dòng)“拒絕服務(wù)攻擊”。

    由于合法主機(jī)不能響應(yīng)，攻擊者將等待服務(wù)器發(fā)來(lái)的正確序列號(hào)，現(xiàn)在服務(wù)器就開(kāi)始相信欺詐計(jì)算機(jī)是合法主機(jī)，攻擊者就可以開(kāi)始進(jìn)行數(shù)據(jù)傳輸了。

    4、密碼盜用

    攻擊者只要成功盜用網(wǎng)絡(luò)密碼就能訪問(wèn)不能訪問(wèn)的資源，他們可以通過(guò)很多方法來(lái)獲取密碼。

    社會(huì)工程學(xué)攻擊：攻擊者使用一個(gè)假的身份聯(lián)系對(duì)目標(biāo)信息擁有訪問(wèn)權(quán)限的用戶，然后他要求用戶提供密碼。

    嗅探：很多網(wǎng)絡(luò)應(yīng)用程序允許用戶名和密碼以未加密文本形式在網(wǎng)絡(luò)傳輸，這樣的話，攻擊者就可以使用網(wǎng)絡(luò)嗅探應(yīng)用程序來(lái)攔截這個(gè)信息。

    破解：“破解者”使用很多不同的技術(shù)來(lái)“猜測(cè)”密碼，嘗試所有可能的數(shù)字字母組合，直到猜出正確的密碼。破解技術(shù)包括字典攻擊和暴力攻擊等。

    如果管理員密碼被盜用，攻擊者將能夠訪問(wèn)所有受訪問(wèn)控制保護(hù)的網(wǎng)絡(luò)資源，入侵者現(xiàn)在可以訪問(wèn)整個(gè)用戶賬戶數(shù)據(jù)庫(kù)了。有了這些信息，現(xiàn)在他可以訪問(wèn)所有文件和文件夾，更改路由信息，在用戶不知情的情況下，修改用戶需要的信息。

    抵御密碼盜用攻擊需要一個(gè)多方面的戰(zhàn)略，教導(dǎo)用戶關(guān)于社會(huì)工程學(xué)的知識(shí)，制定密碼保護(hù)制度，規(guī)定密碼復(fù)雜度和長(zhǎng)度要求，要求用戶定期修改密碼。部署多因素身份驗(yàn)證，這樣攻擊者不能僅憑一個(gè)密碼就獲得訪問(wèn)權(quán)限。

    5、拒絕服務(wù)攻擊

    有許多不同類型的拒絕服務(wù)攻擊，這些技術(shù)的共同點(diǎn)就是擾亂正常計(jì)算機(jī)或者目標(biāo)機(jī)器運(yùn)行的操作系統(tǒng)的能力。這些攻擊可以將大量無(wú)用的數(shù)據(jù)包塞滿網(wǎng)絡(luò)，損壞或者耗盡內(nèi)存資源，或者利用網(wǎng)絡(luò)應(yīng)用程序的漏洞。分布式拒絕服務(wù)攻擊源自多臺(tái)機(jī)器（例如，由幾十、幾百甚至成千上萬(wàn)臺(tái)分布在不同地理位置的“僵尸”電腦組成的僵尸網(wǎng)絡(luò)）。

    傳統(tǒng)拒絕服務(wù)攻擊的例子包括：

    TCP SYN攻擊

    SMURF攻擊

    Teardrop攻擊

    Ping of Death攻擊

    6、TCP SYN攻擊

    當(dāng)TCP/IP網(wǎng)絡(luò)的計(jì)算機(jī)建立會(huì)話時(shí)，他們會(huì)通過(guò)“三次握手”過(guò)程，這三步握手包括：

    源主機(jī)客戶端發(fā)送一個(gè)SYN（同步/開(kāi)始）數(shù)據(jù)包，這臺(tái)主機(jī)在數(shù)據(jù)包中包括一個(gè)序列號(hào)，服務(wù)器將在下一步驟中使用該序列號(hào)。

    服務(wù)器會(huì)向源主機(jī)返回一個(gè)SYN數(shù)據(jù)包，數(shù)據(jù)包的序列號(hào)為請(qǐng)求計(jì)算機(jī)發(fā)來(lái)的序列號(hào)+1

    客戶端接收到服務(wù)端的數(shù)據(jù)包后，將通過(guò)序列號(hào)加1來(lái)確認(rèn)服務(wù)器的序列號(hào)