黑客如何侵略網路

⑴ 黑客是怎樣通過網路入侵電腦的

雖然不是原創的，但找了個比較詳細負責的。 長了不知LZ是否看的下去呢？ 1.掃描潛在的受害者。從1997年起開始出現大量的掃描活動。目前，新的掃描工具利用更先進的掃描技術，變得更加有威力，並且提高了速度。

2.入侵具有漏洞的系統。以前，對具有漏洞的系統的攻擊是發生在大范圍的掃描之後的。現在，攻擊工具已經將對漏洞的入侵設計成為掃描活動的一部分，這樣大大加快了入侵的速度。

3.攻擊擴散。2000年之前，攻擊工具需要一個人來發起其餘的攻擊過程。現在，攻擊工具能夠自動發起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個小時之內傳遍了全球。

4.攻擊工具的協同管理。自從1999年起，隨著分布式攻擊工具的產生，攻擊者能夠對大量分布在Internet之上的攻擊工具發起攻擊。現在，攻擊者能夠更加有效地發起一個分布式拒絕服務攻擊。協同功能利用了大量大眾化的協議如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。

趨勢二：攻擊工具的不斷復雜化

攻擊工具的編寫者採用了比以前更加先進的技術。攻擊工具的特徵碼越來越難以通過分析來發現，並且越來越難以通過基於特徵碼的檢測系統發現，例如防病毒軟體和入侵檢測系統。當今攻擊工具的三個重要特點是反檢測功能，動態行為特點以及攻擊工具的模塊化。

1.反檢測。攻擊者採用了能夠隱藏攻擊工具的技術。這使得安全專家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。

2.動態行為。以前的攻擊工具按照預定的單一步驟發起進攻。現在的自動攻擊工具能夠按照不同的方法更改它們的特徵，如隨機選擇、預定的決策路徑或者通過入侵者直接的控制。

3.攻擊工具的模塊化。和以前攻擊工具僅僅實現一種攻擊相比，新的攻擊工具能夠通過升級或者對部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來越多的平台上運行。例如，許多攻擊工具採用了標準的協議如IRC和HTTP進行數據和命令的傳輸，這樣，想要從正常的網路流量中分析出攻擊特徵就更加困難了。

趨勢三：漏洞發現得更快

每一年報告給CERT/CC的漏洞數量都成倍增長。CERT/CC公布的漏洞數據2000年為1090個，2001年為2437個，2002年已經增加至4129個，就是說每天都有十幾個新的漏洞被發現。可以想像，對於管理員來說想要跟上補丁的步伐是很困難的。而且，入侵者往往能夠在軟體廠商修補這些漏洞之前首先發現這些漏洞。隨著發現漏洞的工具的自動化趨勢，留給用戶打補丁的時間越來越短。尤其是緩沖區溢出類型的漏洞，其危害性非常大而又無處不在，是計算機安全的最大的威脅。在CERT和其它國際性網路安全機構的調查中，這種類型的漏洞是對伺服器造成後果最嚴重的。

趨勢四：滲透防火牆

我們常常依賴防火牆提供一個安全的主要邊界保護。但是情況是：

* 已經存在一些繞過典型防火牆配置的技術，如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)

* 一些標榜是「防火牆適用」的協議實際上設計為能夠繞過典型防火牆的配置。

特定特徵的「移動代碼」(如ActiveX控制項，Java和JavaScript)使得保護存在漏洞的系統以及發現惡意的軟體更加困難。

另外，隨著Internet網路上計算機的不斷增長，所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進一步攻擊的工具。對於網路基礎架構如DNS系統、路由器的攻擊也越來越成為嚴重的安全威脅。

採用主動防禦措施應對新一代網路攻擊

「紅色代碼」蠕蟲病毒在網際網路上傳播的最初九小時內就感染了超過250，000個計算機系統。該感染導致的代價以每天2億美元飛速增長，最終損失高達26億美元。「紅色代碼」，「紅色代碼II」，及「尼姆達」、「求職信」快速傳播的威脅顯示出現有的網路防禦的嚴重的局限性。市場上大多數的入侵檢測系統是簡單的，對網路中新出現的、未知的、通常稱做「瞬時攻擊：Zero-day Attack」的威脅沒有足夠防禦手段。

黑客的「機會之窗」

目前大多數的入侵檢測系統是有局限性的，因為它們使用特徵碼去進行辨別是否存在攻擊行為。這些系統採用這種方式對特定的攻擊模式進行監視。它們基於貯存在其資料庫里的識別信息：類似於防病毒軟體檢查已知病毒的方式。這意味著這些系統只能檢測他們已經編入識別程序的特定的攻擊。因為「瞬時攻擊」是新出現的，尚未被廣泛認識，所以在新的特徵碼被開發出來，並且進行安裝和配置等這些過程之前，它們就能繞過這些安全系統。實際上，僅僅需要對已知的攻擊方式進行稍微的修改，這些系統就不會認識這些攻擊方式了，從而給入侵者提供了避開基於特徵碼的防禦系統的手段。

從新的攻擊的發動到開發新的特徵碼的這段時間，是一個危險的「機會之窗」，許多的網路會被攻破。這時候許多快速的入侵工具會被設計開發出來，網路很容易受到攻擊。下圖舉例說明了為什麼大多數的安全產品在該時期內實際上是無效的。CERT組織研製的這個圖表說明了一個網路攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之後，這是大多數安全產品最終開始提供保護的時候。然而「瞬時攻擊」是那些最老練的黑客在最早期階段重點展開的。

同時，現在那些快速進行的攻擊利用了廣泛使用的計算機軟體中的安全漏洞來造成分布更廣的破壞。僅僅使用幾行代碼，他們就能編寫一個蠕蟲滲透到計算機網路中，通過共享賬號克隆自己，然後開始攻擊你的同伴和用戶的網路。使用這種方式，在廠商開發出特徵碼並將其分發到用戶的這段時間內，「尼姆達蠕蟲」僅僅在美國就傳播到了超過100,000的網路站點。這些分發機制使「瞬間攻擊」像SirCam和Love Bug兩種病毒分別席捲了230萬和4000萬的計算機，而不需要多少人為干預。其中有些攻擊甚至還通過安裝一個後門來為以後的破壞建立基礎，該後門允許對手、黑客和其他未獲授權的用戶訪問一個組織重要的數據和網路資源。

⑵ 網路入侵和攻擊的常用方法

工具

⑶ 黑客是怎麼入侵別人電腦的

1、通過埠入侵

上次的勒索病毒，很多的人中招就是因為電腦默認開啟了443埠。黑客可以通過掃描目標主機開放了哪些埠，然後通過這些埠就可以入侵你的主機了。

3、通過網站入侵

如果黑客的目標主機是一台網路伺服器，ta可以通過找上傳漏洞，然後傳木馬上去。如果沒有上傳漏洞，那就找SQL注入，進入後台，上傳木馬，提取，控制目標伺服器。

⑷ 黑客進攻的主要方法及其防禦

你把電腦拆了就永遠不用怕黑客了

⑸ 黑客一般都是怎麼入侵電腦的(⊙_⊙)電腦如果不聯網會被入侵嗎(⊙_⊙)

通過埠掃描進攻。
不連入網路一般不會有什麼問題，但要小心從U盤及光碟傳播的木馬，中了這些後，一但連通網路，還是一樣的。

⑹ 黑客入侵的手法包括哪幾種...````

很多種的，明白吧，原理很簡單，你隨便就可以把你的入侵手法改成什麼名字的，現在入侵都是手工了，現在發展的速度相當的快，而且工作室也很多。每天都會出很多新東西，如果你是愛好網路的朋友，就經常注意網路就行了，網路是最好的老師

⑺ 黑客是如何截取你所發出在信息和如何入侵你的個人計算機

1、獲取口令這又有三種方法：一是通過網路監聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監聽者往往能夠獲得其所在網段的所有用戶賬號和口令，對區域網安全威脅巨大；二是在知道用戶的賬號後（如電子郵件@前面的部分）利用一些專門軟體強行破解用戶口令，這種方法不受網段限制，但黑客要有足夠的耐心和時間；三是在獲得一個伺服器上的用戶口令文件（此文件成為Shadow文件）後，用暴力破解程序破解用戶口令，該方法的使用前提是黑客獲得口令的Shadow文件。此方法在所有方法中危害最大，因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄伺服器，而是在本地將加密後的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對那些弱智用戶(指口令安全系數極低的用戶，如某用戶賬號為zys，其口令就是zys666、666666、或乾脆就是zys等)更是在短短的一兩分鍾內，甚至幾十秒內就可以將其幹掉。
2、放置特洛伊木馬程序，特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執行了這些程序之後，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，並在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。當您連接到網際網路上時，這個程序就會通知黑客，來報告您的IP地址以及預先設定的埠。黑客在收到這些信息後，再利用這個潛伏在其中的程序，就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等，從而達到控制你的計算機的目的。
3、WWW的欺騙技術，在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問，如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網頁已經被黑客篡改過，網頁上的信息是虛假的！例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器，當用戶瀏覽目標網頁的時候，實際上是向黑客伺服器發出請求，那麼黑客就可以達到欺騙的目的了。

⑻ 黑客的入侵手段～～

死亡之ping （ping of death）

概覽：由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。

防禦：現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。

淚滴（teardrop）

概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。

防禦：伺服器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）

概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一台主機，這樣就生成在兩台主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。

防禦：關掉不必要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）

概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。

防禦：在防火牆上過濾來自同一主機的後續連接。

未來的SYN洪水令人擔憂，由於釋放洪水的並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

Land攻擊

概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址，此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鍾）。

防禦：打最新的補丁，或者在防火牆進行配置，將那些在外部介面上入站的含有內部源地址濾掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻擊

概覽：一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。

防禦：為了防止黑客利用你的網路攻擊他人，關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊

概覽：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP

防禦：在防火牆上過濾掉UDP應答消息

電子郵件炸彈

概覽：電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台機器不斷的大量的向同一地址發送電子郵，攻擊者能夠耗盡接受者網路的帶寬。

防禦：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

畸形消息攻擊

概覽：各類操作系統上的許多服務都存在此類問題，由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。

防禦：打最新的服務補丁。

利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種：

口令猜測

概覽：一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器控制。

防禦：要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。

特洛伊木馬

概覽：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權，安裝此程序的人就可以直接遠程式控制制目標系統。

最有效的一種叫做後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。

防禦：避免下載可疑程序並拒絕執行，運用網路掃描軟體定期監視內部主機上的監聽TCP服務。

緩沖區溢出

概覽：由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。

防禦：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統。

信息收集型攻擊

信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描

概覽：運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。

防禦：在防火牆上過濾掉ICMP應答消息。

埠掃描

概覽：通常使用一些軟體，向大范圍的主機連接一系列的TCP埠，掃描軟體報告它成功的建立了連接的主機所開的埠。

防禦：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射

概覽：黑客向主機發送虛假消息，然後根據返回「hostunreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。

防禦：NAT和非路由代理伺服器能夠自動抵禦此類攻擊，也可以在防火牆上過濾「hostunreachable」ICMP應答?.

慢速掃描

概覽：由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。

防禦：通過引誘服務來對慢速掃描進行偵測。

體系結構探測

概覽：黑客使用具有已知響應類型的資料庫的自動工具，對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧具體實現有所不同），通過將此獨特的響應與資料庫中的已知響應進行對比，黑客經常能夠確定出目標主機所運行的操作系統。

防禦：去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用於識別的埠擾亂對方的攻擊計劃。

利用信息服務

DNS域轉換

概覽：DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器，黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。

防禦：在防火牆處過濾掉域轉換請求。

Finger服務

概覽：黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。

防禦：關閉finger服務並記錄嘗試連接該服務的對方IP地址，或者在防火牆上進行過濾。

LDAP服務

概覽：黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。

防禦：對於刺探內部網路的LDAP進行阻斷並記錄，如果在公共機器上提供LDAP服務，那麼應把LDAP伺服器放入DMZ。

假消息攻擊

用於攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。

DNS高速緩存污染

概覽：由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證，這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。

防禦：在防火牆上過濾入站的DNS更新，外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。

偽造電子郵件

概覽：由於SMTP並不對郵件的發送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識並相信的人，並附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。

防禦：使用PGP等安全工具並安裝電子郵件證書。

漏洞攻擊
對微軟（Microsoft）而言，最具諷刺的是總被黑客先發現漏洞，待Windows們倒下後，微軟才站出來補充兩句：「最新的補丁已經發布，如果客戶沒有及時下載補丁程序而造成的後果，我們將不承擔責任！」

攻擊：
細細盤查，漏洞攻擊主要集中在系統的兩個部分：1.系統的對外服務上，如「沖擊波」病毒針對系統的「遠程協助」服務；「尼姆達」病毒由系統的「IPC漏洞」（資源共享）感染。2. 集成的應用軟體上， IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序，都可能成為漏洞攻擊的橋梁。

那黑客又是如何利用這些漏洞，實施攻擊的呢？首先利用掃描技術，了解對方計算機存在哪些漏洞，然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例，黑客能利用網頁惡意代碼（惡意代碼可以採用手工編寫或者工具軟體來協助完成），製作帶毒網頁，然後引誘對方觀看該網頁，未打補丁的IE將會幫助病毒進入計算機，感染後的系統利用IE通訊簿，向外發送大量帶毒郵件，最終堵塞用戶網路。

防範：
漏洞的防禦，升級自然是首選。有兩種方式可以很好的升級：

1. Update
系統的「開始」菜單上，會有「Windows Update」的鏈接，選擇後，進入Microsoft的升級主頁，網站上的程序會自動掃描當前系統存在哪些漏洞，哪些需要升級，根據「向導」即可完成，如圖所示（筆者推崇這種方式）。

漏洞攻擊
對微軟（Microsoft）而言，最具諷刺的是總被黑客先發現漏洞，待Windows們倒下後，微軟才站出來補充兩句：「最新的補丁已經發布，如果客戶沒有及時下載補丁程序而造成的後果，我們將不承擔責任！」

攻擊：
細細盤查，漏洞攻擊主要集中在系統的兩個部分：1.系統的對外服務上，如「沖擊波」病毒針對系統的「遠程協助」服務；「尼姆達」病毒由系統的「IPC漏洞」（資源共享）感染。2. 集成的應用軟體上， IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序，都可能成為漏洞攻擊的橋梁。

那黑客又是如何利用這些漏洞，實施攻擊的呢？首先利用掃描技術，了解對方計算機存在哪些漏洞，然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例，黑客能利用網頁惡意代碼（惡意代碼可以採用手工編寫或者工具軟體來協助完成），製作帶毒網頁，然後引誘對方觀看該網頁，未打補丁的IE將會幫助病毒進入計算機，感染後的系統利用IE通訊簿，向外發送大量帶毒郵件，最終堵塞用戶網路。

防範：
漏洞的防禦，升級自然是首選。有兩種方式可以很好的升級：

1. Update
系統的「開始」菜單上，會有「Windows Update」的鏈接，選擇後，進入Microsoft的升級主頁，網站上的程序會自動掃描當前系統存在哪些漏洞，哪些需要升級，根據「向導」即可完成，如圖所示（筆者推崇這種方式）。

2. 使用升級程序
使用Update雖然比較准確、全面。但它所有的升級組件都需要在Microsoft的網站上下載，「窄帶」的情況下顯然不現實；「寬頻」也需要很長的時間。Microsoft提供升級程序的打包下載，或者一些工具光碟上也帶有這些升級包。常說的「Service Pack 1」、「Service Pack 2」就是指這些升級包。

除了升級，使用一些工具軟體，也能夠達到效果，如3721的「上網助手」，它能夠很好填補IE漏洞。這些軟體一般定向保護系統的應用程序，針對「對外服務」漏洞的較少。

DDOS攻擊
DDOS（分布式拒絕服務攻擊）的本質是：利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。它實現簡單，是目前黑客常用的一種方式。

攻擊：
DDOS的實現方式較多，如多人同時向主機提出Web請求；多人同時Ping主機……這里介紹一種「先進」的「偽裝IP地址的洪水Ping攻擊」。
Ping指令是用來探測網路通訊狀況和對方主機狀況的網路指令，先前有過一些資料介紹不斷的Ping對方主機，可能會造成該主機無法承受的情況，但隨著Windows XP等新系統的普及，網路帶寬的升級、計算機硬體的升級，單純的大量Ping包基本上沒有效果了。
Ping指令的工作流程是這樣的：先由使用Ping命令的主機A發送ICMP報文給主機B；再由主機B回送ICMP報文給主機A。
網路通訊中有一種被稱為「廣播」（Broadcast）的方式，所謂廣播的意思是說有一個地址，任何區域網內的主機都會接收發往這個地址的報文（就像電台廣播一樣），以此類推。如果往一個區域網的廣播地址（利用一些「區域網嗅探軟體」就可以查找它的廣播地址）發送一個ICMP報文（就是一下Ping廣播地址），會得到非常多的ICMP報文回應。把當前計算機的地址偽裝成被攻擊主機的（SOCK_RAW就可以實現偽裝IP），向一個廣播地址發送Ping請求的時候，所有這個廣播地址內的主機都會回應這個Ping請求，被攻擊主機被迫接受大量的Ping包。這就形成了偽裝IP地址的洪水Ping攻擊形式。

防範：
對於DDOS而言，目前網路上還沒有找到什麼有效的防禦方法，對於一種使用Ping包的攻擊方式，雖然可以使用一些防火牆拒絕Ping包，但如果DDOS採用了另一種載體——合法的Web請求（打開該主機上的網頁）時，依然無法防範。現在對付DDOS的普遍方法是由管理員，手工屏蔽DDOS的來源和伺服器形式，如有一段IP對主機進行DDOS，就屏蔽該段IP的訪問；DDOS使用的是FTP、HTTP服務，就暫時停止這些服務。
最後還要提醒一下大家，高明的黑客在攻擊後都會做一些掃尾工作，掃尾工作就是要清除一些能夠發現自己的殘留信息。對於用戶而言一般只能通過日誌來捕捉這些殘留信息，如防火牆的日誌；Web伺服器的日誌（IIS、Server_U都具有日誌查看功能）。能否通過日誌找到這些殘留信息只能靠運氣了，真正夠厲害的黑客會悄然無聲地離去，而不留下一片「雲彩」。
六、ICMP Flood能防嗎？
先反問你一個問題：洪水迅猛的沖來時，你能否拿著一個臉盆來抵擋？（坐上臉盆做現代魯賓遜倒是個不錯的主意，沒准能漂到MM身邊呢）
軟體的網路防火牆能對付一些漏洞、溢出、OOB、IGMP攻擊，但是對於洪水類型的攻擊，它們根本無能為力，我通常對此的解釋是「傾倒垃圾」：「有蟑螂或老鼠在你家門前逗留，你可以把它們趕走，但如果有人把一車垃圾傾倒在你家門口呢？」前幾天看到mikespook大哥對此有更體面的解釋，轉載過來——「香蕉皮原理：如果有人給你一個香蕉和一個香蕉皮你能區分，並把沒有用的香蕉皮扔掉。（一般軟體防火牆就是這么判斷並丟棄數據包的。）但是如果有人在同一時間內在你身上倒一車香蕉皮，你再能區分有用沒用也沒啥作用了~~因為你被香蕉皮淹沒了~~~~（所以就算防火牆能區分是DoS的攻擊數據包，也只能識別，根本來不及丟棄~~死了，死了，死了~~）」
所以，洪水沒法防！能做的只有提高自己的帶寬和預防洪水的發生（雖然硬體防火牆和分流技術能做到，但那價格是太昂貴的，而且一般人也沒必要這樣做）。
如果你正在被攻擊，最好的方法是抓取攻擊者IP（除非對方用第一種，否則抓了沒用——假的IP）後，立即下線換IP！（什麼？你是固定IP？沒轍了，打電話找警察叔叔吧）

七、被ICMP Flood攻擊的特徵
如何發現ICMP Flood？
當你出現以下症狀時，就要注意是否正被洪水攻擊：
1.傳輸狀態里，代表遠程數據接收的計算機圖標一直亮著，而你沒有瀏覽網頁或下載
2.防火牆一直提示有人試圖ping你
3.網路速度奇慢無比
4.嚴重時系統幾乎失去響應，滑鼠呈跳躍狀行走

如果出現這些情況，先不要慌張，冷靜觀察防火牆報警的頻率及IP來確認是否普通的Ping或是洪水，做出相應措施（其實大多數情況也只能換IP了）。
1.普通ping
這種「攻擊」一般是對方掃描網路或用ping -t發起的，沒多大殺傷力（這個時候，防火牆起的作用就是延遲攻擊者的數據報發送間隔時間，請別關閉防火牆！否則後果是嚴重的！），通常表現如下：
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:24] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:26] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:30] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
這么慢的速度，很明顯是由ping.exe或IcmpSendEcho發出的，如果對方一直不停的讓你的防火牆吵鬧，你可以給他個真正的ICMP Flood問候。

2.直接Flood
這是比較夠勁的真正意義洪水了，防火牆的報警密度會提高一個數量級：
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
這時候你的防火牆實際上已經廢了，換個IP吧。

3.偽造IP的Flood
比較厲害的ICMP Flood，使用的是偽造的IP而且一樣大密度，下面是the0crat用56K撥號對我的一次攻擊測試的部分數據（看看時間，真暈了，這可是56K小貓而已啊）
=============================================================
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:13] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
無言…………

4、反射ICMP Flood
估計現在Smurf攻擊還沒有多少人會用（R-Series的RSS.EXE就是做這事的，RSA.EXE和RSC.EXE分別用作SYN反射和UDP反射），所以這種方法還沒有大規模出現，但Smurf是存在的！而且這個攻擊方法比前面幾種更恐怖，因為攻擊你的是大網站（或一些受苦受難的伺服器）！
我正在被網易、萬網和新浪網站攻擊中（懶得修改天網策略，直接用其他工具抓的。實際攻擊中，反射的IP會多幾倍！）
=======================================================================
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet fro

⑼ 黑客是怎樣侵入的，該如何防範

下面的辦法你試試:
一、取消文件夾隱藏共享

如果你使用了Windows 2000/XP系統，右鍵單擊C盤或者其他盤，選擇共享，你會驚奇地發現它已經被設置為「共享該文件夾」，而在「網上鄰居」中卻看不到這些內容，這是怎麼回事呢？

原來，在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」，就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網路安全帶來了極大的隱患。

怎麼來消除默認共享呢？方法很簡單，打開注冊表編輯器，進入「HKEY_LOCAL_」，新建一個名為「AutoShareWKs」的雙位元組值，並將其值設為「0」，然後重新啟動電腦，這樣共享就取消了。

二、拒絕惡意代碼

惡意網頁成了寬頻的最大威脅之一。以前使用Modem，因為打開網頁的速度慢，在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬頻的速度這么快，所以很容易就被惡意網頁攻擊。

一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序，只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。

運行IE瀏覽器，點擊「工具/Internet選項/安全/自定義級別」，將安全級別定義為「安全級-高」，對「ActiveX控制項和插件」中第2、3項設置為「禁用」，其它項設置為「提示」，之後點擊「確定」。這樣設置後，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊。

三、封死黑客的「後門」

俗話說「無風不起浪」，既然黑客能進入，那說明系統一定存在為他們打開的「後門」，只要堵死這個後門，讓黑客無處下手，便無後顧之憂！

1.刪掉不必要的協議

對於伺服器和主機來說，一般只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」，選擇「屬性」，再滑鼠右擊「本地連接」，選擇「屬性」，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對於不需要提供文件和列印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」，進入「高級TCP/IP設置」對話框，選擇「WINS」標簽，勾選「禁用TCP/IP上的NETBIOS」一項，關閉NETBIOS。

2.關閉「文件和列印共享」

文件和列印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下，我們可以將它關閉。用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。

雖然「文件和列印共享」關閉了，但是還不能確保安全，還要修改注冊表，禁止它人更改「文件和列印共享」。打開注冊表編輯器，選擇「HKEY_CURRENT_」主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為「NoFileSharingControl」，鍵值設為「1」表示禁止這項功能，從而達到禁止更改「文件和列印共享」的目的；鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。

3.把Guest賬號禁用

有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊「用戶和密碼」，單擊「高級」選項卡，再單擊「高級」按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在「常規」頁中選中「賬戶已停用」。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。

4.禁止建立空連接

在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉賬號並猜測密碼。因此，我們必須禁止建立空連接。方法有以下兩種：

方法一是修改注冊表：打開注冊表「HKEY_LOCAL_」，將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。

最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的！

四、隱藏IP地址

黑客經常利用一些網路探測技術來查看我們的主機信息，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等於為他的攻擊准備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。

與直接連接到Internet相比，使用代理伺服器能保護上網用戶的IP地址，從而保障上網安全。代理伺服器的原理是在客戶機（用戶上網的計算機）和遠程伺服器（如用戶想訪問遠端WWW伺服器）之間架設一個「中轉站」，當客戶機向遠程伺服器提出服務要求後，代理伺服器首先截取用戶的請求，然後代理伺服器將服務請求轉交遠程伺服器，從而實現客戶機和遠程伺服器之間的聯系。很顯然，使用代理伺服器後，其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理伺服器的網站有很多，你也可以自己用代理獵手等工具來查找。

五、關閉不必要的埠

黑客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用「Norton Internet Security」關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

六、更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

七、杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法，所以要杜絕基於Guest帳戶的系統入侵。

禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼，然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說，如果你要防止Guest用戶可以訪問tool文件夾，可以右擊該文件夾，在彈出菜單中選擇「安全」標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權，比方說只能「列出文件夾目錄」和「讀取」等，這樣就安全多了。

八、安裝必要的安全軟體

我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。

九、防範木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟體來檢測，起到提前預防的作用。

● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。

十、不要回陌生人的郵件

有些黑客可能會冒充某些正規網站的名義，然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼，如果按下「確定」，你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當。

做好IE的安全設置

ActiveX控制項和 Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控制項編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是：「工具」→「Internet選項」→「安全」→「自定義級別」，建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯！

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這里隱藏了「我的電腦」的安全性設定，通過修改注冊表把該選項打開，可以使我們在對待ActiveX控制項和 Applets時有更多的選擇，並對本地電腦安全產生更大的影響。

下面是具體的方法：打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe，打開注冊表編輯器，點擊前面的「+」號順次展開到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值「Flags」，默認鍵值為十六進制的21(十進制33)，雙擊「Flags」，在彈出的對話框中將它的鍵值改為「1」即可，關閉注冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊「工具→Internet選項→安全」標簽，你就會看到多了一個「我的電腦」圖標，在這里你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。