網路監聽分為哪些階段

A. 關於網路監聽

網路監聽沒你想像的那麼可怕 及時可以實現那也是相當困難的 ~~
我們通常所說的網路監聽指的是 ：
在網路中，當信息進行傳播的時候，可以利用工具，將網路介面設置在監聽的模式，便可將網路中正在傳播的信息截獲或者捕獲到，從而進行攻擊。
網路監聽在網路中的任何一個位置模式下都可實施行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後，那麼他要再想進將戰果擴大到這個主機所在的整個區域網話，監聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的許可權了。在這個時候，運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。主要包括：
數據幀的截獲
對數據幀的分析歸類
dos攻擊的檢測和預防
IP冒用的檢測和攻擊
在網路檢測上的應用
對垃圾郵件的初步過濾

更多參考網路：http://ke..com/view/644729.htm

B. 黑客攻擊的三個階段是什麼黑客在這三個階段分別完成什麼工作

1. 鎖定目標

攻擊的第一步就是要確定目標的位置，在互聯網上，就是要知道這台主機的域名或者IP地址, 知道了要攻擊目標的位置還不夠，還需要了解系統類型、操作系統、所提供的服務等全面的資料，如何獲取相關信息，下面我們將詳細介紹。

2. 信息收集

如何才能了解到目標的系統類型、操作系統、提供的服務等全面的資料呢?黑客一般會利用下列的公開協議或工具來收集目標的相關信息。

(1)SNMP 協議：用來查閱網路系統路由器的路由表，從而了解目標主機所在網路的拓撲結構及其內部細節;

(2)TraceRoute程序：用該程序獲得到達目標主機所要經過的網路數和路由器數;

(3)Whois協議：該協議的服務信息能提供所有有關的DNS域和相關的管理參數;

(4)DNS伺服器：該伺服器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名;

(5)Finger協議：用來獲取一個指定主機上的所有用戶的詳細信息(如注冊名、電話號碼、最後注冊時間以及他們有沒有讀郵件等等);

(6)ping：可以用來確定一個指定的主機的位置;

(7)自動Wardialing軟體：可以向目標站點一次連續撥出大批電話號碼，直到遇到某一正確的號碼使其MODEM響應為止。

3. 系統分析

當一個黑客鎖定目標之後，黑客就開始掃描分析系統的安全弱點了。黑客一般可能使用下列方式來自動掃描駐留在網路上的主機。

(1)自編入侵程序

對於某些產品或者系統，已經發現了一些安全漏洞，該產品或系統的廠商或組織會提供一些「補丁」程序來進行彌補。但是有些系統常常沒有及時打補丁，當黑客發現這些「補丁」程序的介面後就會自己編寫能夠從介面入侵的程序，通過這個介面進入目標系統，這時系統對於黑客來講就變得一覽無余了。

(2)利用公開的工具

像 Internet 的電子安全掃描程序 ISS(Intemet Security Scanner)、審計網路用的安全分析工具 SATAN ( Securi Ana1ysis Tool for Auditing Network)等。這些工具可以對整個網路或子網進行掃描，尋找安全漏洞。這些工具都有兩面性，就看是什麼人在使用它們了。系統管理員可以使用它們來幫助發現其管理的網路系統內部隱藏的安全漏洞，從而確定系統中哪些主機需要用「補丁」程序去堵塞漏洞，從而提高網路的安全性能。而如果被黑客所利用，則可能通過它們來收集目標系統的信息，發現漏洞後進行入侵並可能獲取目標系統的非法訪問權。

4. 發動攻擊

完成了對目標的掃描和分析，找到系統的安全弱點或漏洞後，那就是萬事具備，只欠攻擊了，接下來是黑客們要做的關鍵步驟——發動攻擊。

黑客一旦獲得了對你的系統的訪問權後，可能有下述多種選擇：

(1)試圖毀掉攻擊入侵的痕跡，並在受到損害的系統上建立另外的新的安全漏洞或後門，以便在先前的攻擊點被發現之後，繼續訪問這個系統;

(2)在你的系統中安裝探測軟體，包括木馬等，用以掌握你的一切活動，以收集他比較感興趣的東西(不要以為人人都想偷窺你的信件，人家更感興趣的是你的電子銀行帳號和密碼之類);

(3)如果你是在一個區域網中，黑客就可能會利用你的電腦作為對整個網路展開攻擊的大本營，這時你不僅是受害者，而且還會成為幫凶和替罪羊。

C. 什麼是網路監聽網路監聽的作用是什麼

網路監聽是一種監視網路狀態、數據流程以及網路上信息傳輸的管理工具，它可以將網路界面設定成監聽模式，並且可以截獲網路上所傳輸的信息。

也就是說，當黑客登錄網路主機並取得超級用戶許可權後，若要登錄其它主機，使用網路監聽便可以有效螞旅段地截獲網路上的數據，這是黑客使用最好的方法。但是網路監聽只能應用於連接鎮如同一網段的主機，通悶譽常被用來獲取用戶密碼等。

(3)網路監聽分為哪些階段擴展閱讀：

網路監聽技術意義：

1、我國的網路正在快速發展中，相應的問題也就顯現出來，網路管理及相應應用自然將越發重要，而監聽技術正是網路管理和應用的基礎，其意義當然重要；

放眼當前相關工具linux 有snort tcpmp ,snift 等，window 有nexray, sniffer等無一不是國外軟體，隨著中國網路的發展，監聽系統必將大有用武之地，因此監聽技術的研究已是時事的要求。

2、為什麼選擇linux作為環境？中國入世，各種針對盜版的打擊力度和對於正版軟體的保護力度都將大大加強，windows的盜版軟體隨處可見的現象將會一去不返，面對這樣的情況，大部分的公司只有兩種選擇：

要麼花大價錢向微軟購買正版軟體，要麼是用自由操作系統linux，特別是重要部門，如國家機關，政府部門，難道要把自己的辦公系統操縱在國外大公司手裡；

北京的政府辦公系統已經轉用紅旗linux，而且linux的界面也在不但的改進，更加友好易操作，我們有理由相信.linux將在我國大有作為，這也是研究Linux下網路監聽的原因。

D. 網路監聽是指

網路監聽是一種監視網路狀態、數據流程以及網路上信息傳輸的管理工具，它可以將網路界面設定成監聽模式，並且可以截獲網路上所傳輸的信息。也就是說，當黑客登錄網纖槐絡主機並取得超級用戶許可權後，若要登錄其它主機，使用網路監聽便可以有效地截獲網路上的數據，這是黑客使用最好的方法。

計算機之間相互通信的時候，分為兩種方式：一種是發送信息以後，可以困肢確認信息是否到達，也就是有應答的方式，這種方式大多採用TCP協議。在TCP傳輸控制協議中，建立端對端的連接是靠IP地址和TCP的埠號的共同作用。一種是發送以後就不管了，不去確認信息是否到達，這種方式大多採用UDP協議，UDP也是使用埠號進行連接的。

而所毀尺友謂的埠監聽，是指主機網路進程接收到IP數據包後，查看其目標埠是不是自己的埠號，如果是的話就接收該數據包進行處理。進行網路通訊的主機，既要發送數據，也要接收數據，所以就要開啟相應的埠以接收數據。一個網路上的主機有可能開啟多個網路進程，也就是監聽了多個埠。

E. 網路監控原理！

網路監控採用的主要技術為網路監聽和通信分析技術，網路監控系統的具體構成可以分為以下幾個部分。
1.硬體
盡管有一些產品需要特殊的硬體，但大多數的產品工作在標準的網路適配器上。如果用的是特殊的網路適配器，就手戚漏能分析例如CRC錯誤，電壓錯誤，電纜問題，協商錯誤等。
2.捕包驅動
這是最重要的部分，它從線路上捕獲網路通信，並根據需要畢爛進行過濾，接下來將它存儲在緩沖區中。
3.緩沖區
一旦從網路上捕獲數據幀，它們被存在緩沖區中。存在幾種的捕獲方式：捕獲通信，直到緩沖區被添滿，或用循環的緩沖區，就是用新的數據替代老的數據。有一些產品(就像BlackIce的Sentry IDS)能以100兆比特秒的速度在硬碟上維持一個循環捕包的緩沖區。這將允許擁有數百個成G的緩沖區而不是基於內存的不足1G的緩沖區。
4.實時分析
這個特性是網路監控所倡導的，就是在數據幀離線進行一定的分析。這能發現網路性能問題和在通信捕獲中的錯誤。一些廠家正沿著這條路線在它們的產品中加入一些新的功能。網路入侵檢測系仔殲統就是這樣做的，但是它們是對於通信中黑客的行為標記進行詳細的審核而不是對錯誤/性能問題進行處理。
5.解碼
就是顯示網路通信的內容，這樣一名分析者將會十分容易地獲得相關信息並依據這些信息分析出網路上究竟發生了什麼。

F. 網路連接器的狀態的監聽是什麼

我也是這樣的，不知道是怎麼回事。。今天晚上突然就這樣了

G. 網路監聽原理

網路監聽原理：
Ethernet（乙太網，它是由施樂公司發明的一種比較流行的區域網技術，它包含一條所有計算機都連接到其上的一條電纜，每台計算機需要一種叫介面板的硬體才能連接到乙太網）協議的工作方式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址腔掘盯，因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網內有十幾台甚至上百台主機是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地散雹址的數據包直接發向目的主機，或者當網路中的一台主機同外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網路介面，也就是所說的數據鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一個物理地址。對於作為網關的主機，由於它連接了多個網路，它也就同時具備有很多個IP地址，在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。

Ethernet中填寫了物理地址的禎從網路介面中，也就是從網卡中發送出去傳送到物理的線路上。如果區域網是由一條粗網或細網連接成的，那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一台主機的網路介面時，正常狀態下網路介面對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協議軟體處理。

當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那麼要是有一台主機處於監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP地址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。

在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向Interface（網路介面）發送I/O控制命令，就可以使主機設置成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。

在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並伍和將對收集的信息進行大量的整理，這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包，在監聽到的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼多的協議，運行進起的話這個監聽程序將會十分的大哦。

現在網路中所使用的協議都是較早前設計的，許多協議的實現都是基於一種非常友好的，通信的雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協議知識就可以輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。

H. 網路監聽是什麼

計算機之間相互通信的時候，分為兩種方式：一種是發送信息以後，可以確認信息是否到達，也就是有應答的方式，這種方式大多採用TCP協議。在TCP傳輸控制協議中，建立端對端的連接是靠IP地址和TCP的埠號的共同作用。
一種是發送以後就不管了，不去確認信息是否到達，這種方式大多採用UDP協議，UDP也是使用埠號進行連接的。
對應這兩種協議的服務提供的埠，也就分為TCP埠和UDP埠。

當你要訪問別的主機上的網路應用進程（如WEB服務）時，你發送的IP數據包里除了有對方主機的IP地址外還要有你訪問程序的埠號。

而所謂的埠監聽，是指主機網路進程接受到IP數據包後，察看其的目標埠是不是自己的埠號，如果是的話就接受該數據包進行處理。進行網路通訊的主機，既要發送數據，也要接受數據，所以就要開啟相應的埠以接受數據敗橘。一個網路上的主機有可能開轎族啟多個網路進程（如即閉枯弊瀏覽網頁又上QQ），也就是監聽了多個埠。

如果你想看你電腦開啟的埠
可以 開始/運行 輸入cmd 進入命令提示符

然後輸入 netstat -a （中間有空格）
這樣你就可以看到你所監聽的TCP/UDP埠了。

I. 網路連接中的 等待 監聽 分別代表什麼意思

等待是等待連中李碰接。正在握手

監聽表示已經連接上，正擾攔在等賣談待數據傳輸。握手完畢，開始等待傳輸數據了

J. 常見的網路攻擊方法和防禦技術

網路攻擊類型

偵查攻擊：

搜集網路存在的弱點，以進一步攻擊網路。分為掃描攻擊和網路監聽。

掃描攻擊：埠掃描，主機掃描，漏洞掃描。

網路監聽：主要指只通過軟體將使用者計算機網卡的模式置為混雜模式，從而查看通過此網路的重要明文信息。

埠掃描：

根據 TCP 協議規范，當一台計算機收到一個TCP 連接建立請求報文（TCP SYN） 的時候，做這樣的處理：

1、如果請求的TCP埠是開放的，則回應一個TCP ACK 報文， 並建立TCP連接控制結構（TCB）；

2、如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、如果該報文的目標埠開放，則把該UDP 報文送上層協議（UDP ） 處理， 不回應任何報文（上層協議根據處理結果而回應的報文例外）；

2、如果該報文的目標埠沒有開放，則向發起者回應一個ICMP 不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TC 或UDP埠是開放的。

過程如下：

1、發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；

2、如果收到了針對這個TCP 報文的RST 報文，或針對這個UDP 報文 的 ICMP 不可達報文，則說明這個埠沒有開放；

3、相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP 埠沒有開放） 。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

主機掃描即利用ICMP原理搜索網路上存活的主機。

網路踩點（Footprinting）

攻擊者事先匯集目標的信息，通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網路拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

掃描攻擊

掃描攻擊包括地址掃描和埠掃描等，通常採用ping命令和各種埠掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些埠，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

協議指紋

黑客對目標主機發出探測包，由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別（也就是說各個廠家在編寫自己的TCP/IP 協議棧時，通常對特定的RFC指南做出不同的解釋），因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。

常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。

信息流監視

這是一個在共享型區域網環境中最常採用的方法。

由於在共享介質的網路上數據包會經過每個網路節點， 網卡在一般情況下只會接受發往本機地址或本機所在廣播（或多播）地址的數據包，但如果將網卡設置為混雜模式（Promiscuous），網卡就會接受所有經過的數據包。

基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟體，也可以是硬體）就可以對網路的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

訪問攻擊

密碼攻擊：密碼暴力猜測，特洛伊木馬程序，數據包嗅探等方式。中間人攻擊：截獲數據，竊聽數據內容，引入新的信息到會話，會話劫持（session hijacking）利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

拒絕服務攻擊

偽裝大量合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務響應。

要避免系統遭受DoS 攻擊，從前兩點來看，網路管理員要積極謹慎地維護整個系統，確保無安全隱患和漏洞；

而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊，同時強烈建議網路管理員定期查看安全設備的日誌，及時發現對系統存在安全威脅的行為。

常見拒絕服務攻擊行為特徵與防禦方法

拒絕服務攻擊是最常見的一類網路攻擊類型。

在這一攻擊原理下，它又派生了許多種不同的攻擊方式。

正確了解這些不同的拒絕攻擊方式，就可以為正確、系統地為自己所在企業部署完善的安全防護系統。

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。

要有效的進行反攻擊，首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。


下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析，並提出相應的對策。

死亡之Ping（ Ping of death）攻擊

由於在早期的階段，路由器對包的最大大小是有限制的，許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。

在對ICMP數據包的標題頭進行讀取之後，是根據該標題頭里包含的信息來為有效載荷生成緩沖區。

當大小超過64KB的ICMP包，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。

這就是這種「死亡之Ping」攻擊的原理所在。

根據這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包，就可使目標計算機的TCP/IP堆棧崩潰，致使接受方宕機。

防禦方法：

現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力，並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析，自動過濾這些攻擊。

Windows 98 、Windows NT 4.0（SP3之後）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。

此外，對防火牆進行配置，阻斷ICMP 以及任何未知協議數據包，都可以防止此類攻擊發生。

淚滴（ teardrop）攻擊

對於一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。

比如，一個6000 位元組的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成三個IP包。

在IP 報頭中有一個偏移欄位和一個拆分標志（MF）。

如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個 IP包中的位置。

例如，對一個6000位元組的IP包進行拆分（MTU為2000），則三個片斷中偏移欄位的值依次為：0，2000，4000。

這樣接收端在全部接收完IP數據包後，就可以根據這些信息重新組裝沒正確的值，這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包，但接收端會不斷償試，這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。

淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。

IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰，不過新的操作系統已基本上能自己抵禦這種攻擊了。

防禦方法：

盡可能採用最新的操作系統，或者在防火牆上設置分段重組功能，由防火牆先接收到同一原包中的所有拆分數據包，然後完成重組工作，而不是直接轉發。

因為防火牆上可以設置當出現重疊欄位時所採取的規則。

TCP SYN 洪水（TCP SYN Flood）攻擊

TCP/IP棧只能等待有限數量ACK（應答）消息，因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。

如果這一緩沖區充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區里的連接超時。

TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。

攻擊者利用偽造的IP地址向目標發出多個連接（SYN）請求。

目標系統在接收到請求後發送確認信息，並等待回答。

由於黑客們發送請示的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。

而在沒有接收到應答之前，目標計算機系統是不會主動放棄的，繼續會在緩沖區中保持相應連接信息，一直等待。

當達到一定數量的等待連接後，緩區部內存資源耗盡，從而開始拒絕接收任何其他連接請求，當然也包括本來屬於正常應用的請求，這就是黑客們的最終目的。

防禦方法：

在防火牆上過濾來自同一主機的後續連接。

不過「SYN洪水攻擊」還是非常令人擔憂的，由於此類攻擊並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。

Land 攻擊

這類攻擊中的數據包源地址和目標地址是相同的，當操作系統接收到這類數據包時，不知道該如何處理，或者循環發送和接收該數據包，以此來消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。

防禦方法：

這類攻擊的檢測方法相對來說比較容易，因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。

反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。

並對這種攻擊進行審計，記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址，從而可以有效地分析並跟蹤攻擊者的來源。

Smurf 攻擊

這是一種由有趣的卡通人物而得名的拒絕服務攻擊。

Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。

攻擊者偽造一個合法的IP地址，然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。

由於這些數據包表面上看是來自已知地址的合法請求，因此網路中的所有系統向這個地址做出回答，最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，這也就達到了黑客們追求的目的了。

這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級，更容易攻擊成功。

還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再採用偽裝的IP地址），最終導致第三方雪崩。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性，並在防火牆上設置規則，丟棄掉ICMP協議類型數據包。

Fraggle 攻擊

Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改，使用的是UDP協議應答消息，而不再是ICMP協議了（因為黑客們清楚 UDP 協議更加不易被用戶全部禁止）。

同時Fraggle攻擊使用了特定的埠（通常為7號埠，但也有許多使用其他埠實施 Fraggle 攻擊的），攻擊與Smurf 攻擊基本類似，不再贅述。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文，或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。

電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的，此類攻擊能夠耗盡郵件接受者網路的帶寬資源。

防禦方法：

對郵件地址進行過濾規則配置，自動刪除來自同一主機的過量或重復的消息。

虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。

這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的。比如，5個或10個等。

這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。

這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO 後，會回應一個ICMP ECHO Reply 報文。

而這個過程是需要CPU 處理的，有的情況下還可能消耗掉大量的資源。

比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO 報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

WinNuke 攻擊

NetBIOS 作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享， 進程間通信（ IPC），以及不同操作系統之間的數據交換。

一般情況下，NetBIOS 是運行在 LLC2 鏈路協議之上的，是一種基於組播的網路訪問介面。

為了在TCP/IP協議棧上實現NetBIOS ，RFC規定了一系列交互標准，以及幾個常用的 TCP/UDP 埠：

139：NetBIOS 會話服務的TCP 埠；

137：NetBIOS 名字服務的UDP 埠；

136：NetBIOS 數據報服務的UDP 埠。

WINDOWS操作系統的早期版本（WIN95/98/NT ）的網路服務（文件共享等）都是建立在NetBIOS之上的。

因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003 等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文。

但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

分片 IP 報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP 分片報文組裝起來。

目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文。

這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。

如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時）。

如果攻擊者發送了大量的分片報文，就會消耗掉目標計 算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

T
分段攻擊。利用了重裝配錯誤，通過將各個分段重疊來使目標系統崩潰或掛起。

歡迎關注的我的頭條號，私信交流，學習更多的網路技術！