计算机网络对付主动攻击方法

Ⅰ 网络攻击和防御分别包括哪些内容

一、网络攻击主要包括以下几个方面：

1、网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 

2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

3、网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。

4、网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

二、网络防御技术主要包括以下几个方面：

1、安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。

2、加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。

3、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。

4、入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。

5、网络安全协议：保证传输的数据不被截获和监听。

(1)计算机网络对付主动攻击方法扩展阅读：

防范DDos攻击

1、及时地给系统打补丁，设置正确的安全策略；

2、定期检查系统安全：检查是否被安装了DDoS攻击程序，是否存在后门等；

3、建立资源分配模型，设置阈值，统计敏感资源的使用情况；

4、优化路由器配置；

5、由于攻击者掩盖行踪的手段不断加强，很难在系统级的日志文件中寻找到蛛丝马迹。因此，第三方的日志分析系统能够帮助管理员更容易地保留线索，顺藤摸瓜，将肇事者绳之以法；

6、使用DNS来跟踪匿名攻击；

7、对于重要的WEB服务器，为一个域名建立多个镜像主机。

Ⅱ 第七章、网络安全

1）被动式攻击

2）主动式攻击
几种常见的方式：
① 篡改：
攻击者篡改网络上传送的报文，比如，彻底中断，伪造报文；

② 恶意程序：包含的种类有：

③ 拒绝服务（DoS，Denial of Service）
攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。

④ 交换机攻击
攻击者向以太网交换机发送大量伪造源 MAC地址的帧，交换机收到MAC地址后，进行学习并记录，造成交换表很快被填满，无法正常工作。

人们一直希望能够设计出一种安全的计算机网络，但不幸的是，网络的安全性是不可判定的，只能针对具体的攻击设计安全的通信协议。

计算机网络安全的四个目标
1）保密性：要求只有信息的 发送方 和 接收方 才能懂得所发送信息的内容，而信息的截获者则看不懂所截获的内容。以此，对付 被动攻击 ；
2）端点鉴别：要求计算机网络必须能够 鉴别 信息的 发送方 和 接收方 的真实身份。对付 主动攻击 ；
3）信息的完整性：要求信息的内容没有被人篡改过；
4）运行的安全性：要求计算机系统运行时的安全性。 访问控制 是一种应对方法。对付 恶意程序 和 拒绝服务攻击 。

发送者向接受者发送明文 P，通过加密算法运算，得到密文 C。接收端通过解密算法解密，得到明文P。

如果不论截取者获得多少密文，但在密文中都没有足够的信息来唯一的确定出对应的明文，则这一密码体制称为 无条件安全的 ，或成为 理论上是不可破的 。

在无任何限制的条件下，目前几乎所有的密码体制均是可破的。

人们关心的是研制出 在计算机上（而不是理论上）是不可破的密码体制 。如果一个密码体制中的密码，不能在一定时间内被可以使用的计算机资源破译，那么这一密码体制称为 在计算上是安全的 。

2）发展史

对称密码体制，也就是， 加密密钥 与 解密密钥 使用相同的密码体制。
1）数据加密标准（DES）
属于对称密钥密码体制。1977年，由 IBM公司提出，被美国定位联邦信息标准，ISO 曾将 DES 作为数据加密标准。

2）高级加密标准（AES）

1976年，由斯坦福大学提出，使用不同的 加密密钥 和 解密密钥 ；
1）公钥密码出现的原因
① 对称密钥密码体制的密钥分配问题；
② 对数字签名的需求。

2）对称密码的挑战
对称密码体制中，加密/解密的双方使用的是 相同的密钥 。
那么，如何让双方安全的拥有相同的密钥？
① 事先约定：给密钥管理和更换带来极大的不便；
② 信使传送：不该用于高度自动化的大型计算机系统；
③ 高度安全的密钥分配中心：网络成本增加；

3）三种公钥
① RSA 体制：1978年正式发表，基于数论中的大数分解问题的体制；

4）差异：

公钥加密算法开销较大，并不会取代传统加密算法。

5）密码性质
任何加密算法的安全性取决于密钥的长度，以及攻破密文所需的计算量。

书信或文件是根据亲笔签名或印章来证明其真实性的。（伪造印章，要坐牢）

1）核实：接受者能够核实发送者对报文的签名，也就是，确定报文是否是发送者发送的；
2）无篡改：接受者确信所收到的数据和发送者发送的完全一样，没有被篡改过。称为 报文的完整性 。
3）不可否认：发送这时候不能抵赖对报文的签名，叫 不可否认 。

1）A用其私钥对报文进行D运算，获得密文；
2）接收方，通过A的公钥解密，核实报文是否是A发送的。

1）核实保证：只有A有私钥，加密有唯一性；
2）无篡改：篡改后，无A的私钥，无法加密；
3）不可否认：其他人无A的私钥；
疑问：是否利用产生一个A的公钥可以解密的私钥，就可以冒充A？

上述操作，对数据进行了签名，但是，没有对数据进行加密。所有，拥有公钥的人都可以破解。

1）具有保密性的数字签名：
① 发送方，利用A的私钥对数据进行签名；
② 发送方，利用B的公钥对数据进行加密；
③ 接收方，利用B的私钥对数据进行解密；
④接收方，利用A的公钥对数据进行鉴权。

鉴别 是要验证通信的双方确实是自己所要通信的对象，而不是其他的冒充者。
并且，所传送的报文是完整的、没有被他人篡改过。

0）动机
① 数字签名：就是一种**报文鉴别技术；
② 缺陷：对较长的报文进行数字签名会给计算机增加非常大的负担，因此这就需要进行较多的时间来进行计算；
③ 需求：一种相对简单的方法对报文进行鉴别；
④ 解决办法：密码散列函数；

1）密码散列函数
作用：保护明文的完整性；
① 散列函数 的特点：

② 密码散列函数 的特点：

2）实用的密码散列函数：MD5 和 SHA-1
① MD5

② SHA
美国技术标准协会 NIST 提出 SHA 散列算法。

3）报文鉴别码
① 散列函数的缺点：可能被其他人篡改，然后，计算相应的正确散列值；
② 报文鉴别码：生成报文的散列后，对散列进行加密生成报文鉴别码；

1）差别

2）鉴别方法
A向远端的B发送带有自己身份A和口令的报文，并使用双方约定好的共享对称密钥进行加密；

3）存在的问题
可能攻击者处于中间人，冒充A向B发送口令，并发送公钥，最后，成功冒充A，获取A的重要数据；

4）总结
重要问题：公钥的分配，以及公钥的真实性。

密码算法是公开的，网络安全完全基于密钥，因此 密钥管理 十分重要；包括：

1）挑战
① 密钥数量庞大：n个人相互通信，需要的密钥数量 n(n-1)；
② 安全通信：如何让通信双方安全得到共享密钥；

2）解决方案
密钥分配中心：公共信任的机构，负责给需要秘密通信的用户临时分配一个会话密钥（使用一次）；

3）处理过程
① 用户 A 发送明文给蜜月分配中心 KDC，说明想和用户 B通信。
② KDC 随机产生 “一次一密” 的会话密钥KAB，然后，用KA加密发送给A 密钥KAB和票据。
③ B收到A转来的票据，并根据自己的密钥KB解密后，就知道A要和他通信，并知道会话密钥KAB。

4）

这一系统现在已广泛用于电子护照中，也就是下一代金融系统使用的加密系统。

移动通信带来的广泛应用，向网络提出了更高的要求。

量子计算机的到来将使得目前许多使用中的密码技术无效，后两字密码学的研究方兴未艾。

Ⅲ 简述计算机安全的三种类型

1、实体安全

计算机系统实体是指计算机系统的硬件部分，应包括计算机本身的硬件和各种接口、各种相应的外部设备、计算机网络的通讯设备、线路和信道等。

而计算机实体安全是指为了保证计算机信息系统安全可靠运行，确保在对信息进行采集、处理、传输和存储过程中，不致受到人为或自然因素的危害，而使信息丢失、泄密或破坏，对计算机设备、设施(包括机房建筑、供电、空调等)、环境、人员等采取适当的安全措施。

是防止对信息威胁和攻击的第一步，也是防止对信息威胁和攻击的天然屏障，是基础。主要包括以下内容：

环境安全。主要是对计算机信息系统所在环境的区域保护和灾难保护。要求计算机场地要有防火、防水、防盗措施和设施，有拦截、屏蔽、均压分流、接地防雷等设施;有防静电、防尘设备，温度、湿度和洁净度在一定的控制范围等等。

设备安全。主要是对计算机信息系统设备的安全保护，包括设备的防毁、防盗、防止电磁信号辐射泄漏、防止线路截获;对UPS、存储器和外部设备的保护等。

媒体安全。主要包括媒体数据的安全及媒体本身的安全。目的是保护媒体数据的安全删除和媒体的安全销毁，防止媒体实体被盗、防毁和防霉等。

2、运行安全

系统的运行安全是计算机信息系统安全的重要环节，因为只有计算机信息系统的运行过程中的安全得到保证，才能完成对信息的正确处理，达到发挥系统各项功能的目的。包括系统风险管理、审计跟踪、备份与恢复、应急处理四个方面内容。

风险分析是指用于威胁发生的可能性以及系统易于受到攻击的脆弱性而引起的潜在损失步骤，是风险管理程序的基础，其最终目的是帮助选择安全防护并将风险降低到可接受的程度。

计算机信息系统在设计前和运行前需要进行静态分析，旨在发现系统的潜在安全隐患;其次对系统进行动态分析，即在系统运行过程中测试，跟踪并记录其活动，旨在发现系统运行期的安全漏洞;最后是系统运行后的分析，并提供相应的系统脆弱性分析报告。

常见的风险有后门/陷阱门、犯大错误、拒绝使用、无法使用、伪造、故意对程序或数据破坏、逻辑炸弹、错误传递、计算机病毒和超级处理等。常见分析工具有自动风险评估系统ARESH、Bayesian判决辅助系统、Livermore风险分析法等。

审计跟踪是利用对计算机信息系统审计的方法，对计算机信息系统工作过程进行详尽的审计跟踪，记录和跟踪各种系统状态的变化，如用户使用系统的时间和日期及操作，对程序和文件的使用监控等，以保存、维护和管理审计日志，实现对各种安全事故的定位。

也是一种保证计算机信息系统运行安全的常用且有效的技术手段。

备份与恢复是对重要的系统文件、数据进行备份，且备份放在异处，甚至对重要设备也有备份，以确保在系统崩溃或数据丢失后能及时准确进行恢复，保障信息处理操作仍能进行。可采取磁盘镜像、磁盘冗余阵列等技术。

应急处理主要是在计算机信息系统受到损害、系统崩溃或发生灾难事件时，应有完善可行的应急计划和快速恢复实施应急措施，基本做到反应紧急、备份完备和恢复及时，使系统能正常运行，以尽可能减少由此而产生的损失。

3、信息安全

计算机信息系统的信息安全是核心，是指防止信息财产被故意或偶然的泄漏、更改、破坏或使信息被非法系统辨识、控制，确保信息的保密性、完整性、可用性和可控性。针对计算机信息系统中的信息存在形式和运行特点，信息安全可分为操作系统安全、数据库安全、网络安全、病毒防护、访问控制和加密。

操作系统安全。是指操作系统对计算机信息系统的硬件和软件资源进行有效控制，对程序执行期间使用资源的合法性进行检查，利用对程序和数据的读、写管理，防止因蓄意破坏或意外事故对信息造成的威胁，从而达到保护信息的完整性、可用性和保密性。

操作系统安全可通过用户认证、隔离、存取控制及完整性等几种方法来实现。用户认证就是系统有一个对用户识别的方法，通过用户名和口令实现，口令机制有口令字、IC卡控制、指纹鉴别和视网膜鉴别等。

隔离技术是在电子数据处理成份的周围建立屏障，以使该环境中实施存取规则，可通过物理隔离、时间隔离、逻辑隔离和密码技术隔离来实现。

存取控制是对程序执行期间访问资源的合法性进行检查，并通过控制对数据和程序的读、写、修改、删除和执行等操作进行保护，防止因事故和有意破坏造成对信息的威胁。系统完整性涉及到程序和数据两方面，程序完整性要在整个程序设计活动中严格控制;数据完整性由错误控制进行保护。

数据库安全。数据库系统中的数据的安全性包括:完整性——只有授权用户才能修改信息，不允许用户对信息进行非法修改;可用性——当授权用户存取其有权使用的信息时，数据库系统一定能提供这些信息;保密性——只有授权用户才能存取信息。

实现数据库安全可通过用户认证、身份鉴别、访问控制和数据库内外加密等方法来实现。用户认证通过在操作系统用户认证基础上，要求用户对通行字、日期和时间检查认证。身份鉴别是数据库系统具备的独立的用户身份鉴别机制。

访问机制，运用安全级元素的确定、视图技术等方法，确保用户仅能访问已授权的数据，并可保证同一组数据的不同用户被授予不同访问权限。

数据库外加密是操作系统完成的，如采用文件加密方法等，把数据形成存储块送入数据库；数据库内加密是对数据库以数据元素、域或记录形式加密，常用加密方法有DES加密、子密钥数据库加密和秘密同态加密技术等。

访问控制。是系统安全机制的核心，对处理状态下的信息进行保护，对所有直接存取活动进行授权;同时，对程序执行期间访问资源的合法性进行检查，控制对数据和程序的读、写、修改、删除、执行等操作，防止因事故和有意破坏对信息的威胁，主要包括授权、确定存取权限和实施权限三个内容。

通过最小授权、存取权分离、实体权限的时效性和对存取访问的监督检查、访问控制表、访问控制矩阵和能力表等方法来实现。

密码技术。计算机数据信息的加密基本上属于通信加密的类型，但又不同于一般的通信保密技术，被加密的明文往往是程序或其他处理的原始数据或是运行结果，而形成的密文是静态的，一般不是执行中的程序，仅用以存储或作为通信输出。

一般密码系统包括明文、密文、加密、解密和密钥五部分，常见密码加密有换位加密、矩阵移位加密、定长置换加密、替代密码和DES加密、RAS加密、PKI和MD5等算法。

计算机网络安全。在计算机网络中传递的信息普遍面临着主动攻击的危害，主动攻击中最主要的方法就是对信息进行修改，比如对信息的内容进行更改、删除、添加；改变信息的源或目的地；改变报文分组的顺序或将同一报文反复;篡改回执等。

而在计算机网络信息系统中，信息的交换是其存在的基础。而从安全角度上考虑，就必须保证这些交换过程的安全和内容的有效性及合法性。对于网络安全的实用技术有:身份验证；报文验证；数字签名；防火墙。

计算机病毒。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。其本质是一种具有自我复制能力的程序，具有复制性、传播性和破坏性。

计算机病毒不同于生物医学上的“病毒”，计算机病毒不是天然存在的，是人故意编制的一种特殊的计算机程序。计算机病毒对信息系统有极大的危害性，轻者可以增加系统开销，降低系统工作效率;重者可使程序、数据丢失，甚至系统崩溃，无法工作，更甚者造成计算机主板毁坏，如CIH病毒等。

(3)计算机网络对付主动攻击方法扩展阅读

常用防护策略

1、安装杀毒软件

对于一般用户而言，首先要做的就是为电脑安装一套杀毒软件，并定期升级所安装的杀毒软件，打开杀毒软件的实时监控程序。

2、安装个人防火墙

安装个人防火墙（Fire Wall）以抵御黑客的袭击，最大限度地阻止网络中的黑客来访问你的计算机，防止他们更改、拷贝、毁坏你的重要信息。防火墙在安装后要根据需求进行详细配置。

3、分类设置密码并使密码设置尽可能复杂

在不同的场合使用不同的密码，如网上银行、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。对于重要的密码（如网上银行的密码）一定要单独设置，并且不要与其他密码相同。

设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符、数字和特殊符号混合的密码。建议定期地修改自己的密码，这样可以确保即使原密码泄露，也能将损失减小到最少。

4、不下载不明软件及程序

应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。

不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果下载或运行了它的附件，就会受到感染。同样也不要接收和打开来历不明的QQ、微信等发过来的文件。

5、防范流氓软件

对将要在计算机上安装的共享软件进行甄别选择，在安装共享软件时，应该仔细阅读各个步骤出现的协议条款，特别留意那些有关安装其他软件行为的语句。

6、仅在必要时共享

一般情况下不要设置文件夹共享，如果共享文件则应该设置密码，一旦不需要共享时立即关闭。共享时访问类型一般应该设为只读，不要将整个分区设定为共享。

7、定期备份

数据备份的重要性毋庸讳言，无论你的防范措施做得多么严密，也无法完全防止“道高一尺，魔高一丈”的情况出现。如果遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据就只能靠你日常的备份了。所以，无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患！

计算机安全管理制度

为加强组织企事业单位计算机安全管理，保障计算机系统的正常运行，发挥办公自动化的效益，保证工作正常实施，确保涉密信息安全，一般需要指定专人负责机房管理，并结合本单位实际情况，制定计算机安全管理制度，提供参考如下：

1、计算机管理实行“谁使用谁负责”的原则。爱护机器，了解并熟悉机器性能，及时检查或清洁计算机及相关外设。

2、掌握工作软件、办公软件和网络使用的一般知识。

3、无特殊工作要求，各项工作须在内网进行。存储在存储介质（优盘、光盘、硬盘、移动硬盘）上的工作内容管理、销毁要符合保密要求，严防外泄。

4、不得在外网或互联网、内网上处理涉密信息，涉密信息只能在单独的计算机上操作。

5、涉及到计算机用户名、口令密码、硬件加密的要注意保密，严禁外泄，密码设置要合理。

6、有无线互联功能的计算机不得接入内网，不得操作、存储机密文件、工作秘密文件。

7、非内部计算机不得接入内网。

8、遵守国家颁布的有关互联网使用的管理规定，严禁登陆非法网站；严禁在上班时间上网聊天、玩游戏、看电影、炒股等。

9、坚持“安全第一、预防为主”的方针，加强计算机安全教育，增强员工的安全意识和自觉性。计算机进行经常性的病毒检查，计算机操作人员发现计算机感染病毒，应立即中断运行，并及时消除。确保计算机的安全管理工作。

10、下班后及时关机，并切断电源。

Ⅳ 网络攻击的种类分为哪几种

01 网络攻击分为主动攻击和被动攻击。主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端。被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。

主动攻击包括篡改消息、伪造、拒绝服务。

篡改消息是指一个合法消息的某些部分被改变、删除，消息被延迟或改变顺序，通常用以产生一个未授权的效果。如修改传输消息中的数据，将“允许甲执行操作”改为“允许乙执行操作”。

伪造指的是某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体，从而以欺骗方式获取一些合法用户的权利和特权。

拒绝服务即常说的DoS（Deny of Service），会导致对通讯设备正常使用或管理被无条件地中断。通常是对整个网络实施破坏，以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被阻止。

被动攻击包括流量分析和窃听。

流量分析攻击方式适用于一些特殊场合，例如敏感信息都是保密的，攻击者虽然从截获的消息中无法的到消息的真实内容，但攻击者还能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及消息的长度，获知相关的敏感信息，这种攻击方式称为流量分析。

窃听是最常用的手段。应用最广泛的局域网上的数据传送是基于广播方式进行的，这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时，它就可以将网络上传送的所有信息传送到上层，以供进一步分析。如果没有采取加密措施，通过协议分析，可以完全掌握通信的全部内容，窃听还可以用无限截获方式得到信息，通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号从而获得网络信息。尽管有时数据信息不能通过电磁信号全部恢复，但可能得到极有价值的情报。

被动攻击虽然难以检测，但可采取措施有效地预防，而要有效地防止攻击是十分困难的，开销太大，抗击主动攻击的主要技术手段是检测，以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应，在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。

Ⅳ 如何拦截网络攻击

黑客攻击行为特征分析 反攻击技术综合性分析报告 www.rising.com.cn 信息源:计算机与安全 要想更好的保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析，来研究如何对黑客攻击行为进行检测与防御。一、反攻击技术的核心问题反攻击技术（入侵检测技术）的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。二、黑客攻击的主要方式黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。三、黑客攻击行为的特征分析与反攻击技术入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。1.Land攻击攻击类型：Land攻击是一种拒绝服务攻击。攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测方法：判断网络数据包的源地址和目标地址是否相同。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。2.TCP SYN攻击攻击类型：TCP SYN攻击是一种拒绝服务攻击。攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。3.Ping Of Death攻击攻击类型：Ping Of Death攻击是一种拒绝服务攻击。攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。4.WinNuke攻击攻击类型：WinNuke攻击是一种拒绝服务攻击。攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。5.Teardrop攻击攻击类型：Teardrop攻击是一种拒绝服务攻击。攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。6.TCP／UDP端口扫描攻击类型：TCP/UDP端口扫描是一种预探测攻击。攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。四、入侵检测系统的几点思考从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等着名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。