此文章主要向大家講述的是Internet的攻擊的深入剖析，只要有網(wǎng)絡(luò)連接，就會(huì)有被入侵的風(fēng)險(xiǎn)存在!但現(xiàn)在使用Internet查詢數(shù)據(jù)已經(jīng)是大勢(shì)所趨，現(xiàn)代人的生活已經(jīng)離不開(kāi)Internet。因此如何在連上Internet的同時(shí)確保數(shù)據(jù)的安全，成為網(wǎng)絡(luò)時(shí)代最重要的課題。

只要有網(wǎng)絡(luò)連接，就會(huì)有被入侵的風(fēng)險(xiǎn)存在!但現(xiàn)在使用Internet查詢數(shù)據(jù)已經(jīng)是大勢(shì)所趨，現(xiàn)代人的生活已經(jīng)離不開(kāi)Internet。因此如何在連上Internet的同時(shí)確保數(shù)據(jù)的安全，成為網(wǎng)絡(luò)時(shí)代最重要的課題。

一、Internet攻擊者需要了解的資料

在Internet上，攻擊你電腦的人必須知道下列信息:

1.IP地址

無(wú)論你用電話撥號(hào)接入還是在公司使用專線，你一定會(huì)有個(gè)IP地址，才能連上Internet。這個(gè)IP地址是你和Internet連接的橋梁，通過(guò)這個(gè)地址Internet才能識(shí)別你的電腦，不過(guò)，如果有人要對(duì)你的電腦動(dòng)歪腦筋的話，你電腦所使用的IP地址也是他首先所必須知道的數(shù)據(jù)。

現(xiàn)在由于IP地址數(shù)量已經(jīng)不多，所以除非你是使用專線上網(wǎng)，否則IP地址每次上網(wǎng)時(shí)都由ISP(互聯(lián)網(wǎng)服務(wù)供應(yīng)商，如數(shù)據(jù)通信局、263等)動(dòng)態(tài)分配而不同，這也提供了一些安全性，讓你的電腦不會(huì)被特定人士“盯上”

2.可供入侵的漏洞

知道IP地址以后，如果你的電腦上沒(méi)有什么漏洞供入侵者滲透，那么入侵者是拿你沒(méi)法子的。要抓到某電腦上的安全漏洞，不外乎是判別攻擊目標(biāo)采用的是什么“操作系統(tǒng)”與“網(wǎng)絡(luò)應(yīng)用程序”，才能決定攻擊的方式。

如果你想知道那些Internet上的應(yīng)用程序有安全性的顧慮，建議你不妨到http://www.cert.org.tw/逛逛，可以獲得一些安全性參考數(shù)據(jù)，他們也有免費(fèi)電子雜志可以讓你隨時(shí)得知最新的安全信息，而且還有個(gè)新的測(cè)試程序可以幫你檢測(cè)你的電腦是否藏了什么后門程序以及可能的系統(tǒng)漏洞，Try It!

二、系統(tǒng)內(nèi)常見(jiàn)的服務(wù)及其采用的端口

有些Internet服務(wù)程序是很常見(jiàn)的，通常這些服務(wù)程序也成為入侵者的箭靶?，F(xiàn)在我們從Windows 9x的Windows目錄中找一個(gè)services文件。然后用記事本看看里面的內(nèi)容。

(以下內(nèi)容為避免占用篇幅，只列出常見(jiàn)的服務(wù)，中文部分為服務(wù)功能說(shuō)明)

這個(gè)文件的格式很簡(jiǎn)單:服務(wù)名稱/端口號(hào)碼/通訊協(xié)議，以及服務(wù)的說(shuō)明，這個(gè)文件幾乎可以在所有支持TCP/IP的操作系統(tǒng)中找到，UNIX系統(tǒng)拿它作服務(wù)的對(duì)應(yīng)，但在Windows系統(tǒng)中這個(gè)文件幾乎是沒(méi)有什么作用。因?yàn)閃indows下的Internet應(yīng)用程序一般是自己指定端口而不是參照系統(tǒng)的指示，因此刪掉它你的電腦還是照樣上Internet。但在UNIX中，如果你拿掉/ect/services，就要遇上大麻煩了。

此文件還有一個(gè)特性:不管在什么操作系統(tǒng)上。長(zhǎng)得幾乎都一模一樣，你可以把Windows上的services文件拷貝到UNIX上，一樣可以工作得很好。(不過(guò)建議你不要這樣做，因?yàn)殡m然services文件大家都一樣，但Microsoft說(shuō)他們的services文件是有版權(quán)的，看看文件的第一行吧)。:-)

你的Windows 9x雖然有這么多服務(wù)，但不是所有的服務(wù)都用上，例如，你只是單純的撥號(hào)上網(wǎng)，你就不會(huì)需要裝個(gè)SMTP或POP3服務(wù)(Mail Server上的服務(wù)程序)。又如果你的電腦沒(méi)有接上網(wǎng)卡，不需要用局域網(wǎng)和別人互傳數(shù)據(jù)。那么就別裝上太多，除了可能會(huì)拖慢系統(tǒng)的速度，還增加了別人入侵你電腦的渠道——沒(méi)有設(shè)定密碼或密碼太少的網(wǎng)上鄰居可是相當(dāng)容易入侵的。

三、常見(jiàn)的Internet攻擊方式

來(lái)自網(wǎng)絡(luò)的攻擊，一般可以分為兩類:積極性的服務(wù)程序攻擊和消極性的網(wǎng)絡(luò)連線攻擊。

1.服務(wù)程序攻擊

對(duì)于服務(wù)程序的攻擊，首先要鎖定攻擊的目標(biāo)程序。通常入侵者會(huì)對(duì)目標(biāo)主機(jī)上的所有服務(wù)程序作一次掃描，測(cè)試一下目標(biāo)主機(jī)上究竟運(yùn)行了哪些程序?以及這個(gè)程序是否有漏洞可供攻擊?

掃描的動(dòng)作是很容易辨認(rèn)的，如果有人不斷地開(kāi)啟你的主機(jī)上的端口，那么你就有理由懷疑有人正對(duì)你的主機(jī)進(jìn)行剌探!有很多程序就是專門在做這件事情。一個(gè)稱為Port Scanner(端口掃描器)的程序可以去自動(dòng)連接某個(gè)IP地址上的所有端口，并且將這些端口上所傳回的訊息顯示出來(lái)。

一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師可以馬上由幾個(gè)端口看出這個(gè)IP地址上的電腦運(yùn)行的是什么操作系統(tǒng)，以及所搭配的服務(wù)程序。在互聯(lián)網(wǎng)上有許多端口掃描及刺探程序，利用這些程序任何人都可輕易得知對(duì)方的訊息，從而獲得入侵的方向。

如果你的電腦是通過(guò)專線上網(wǎng)，一般都會(huì)有個(gè)固定的IP地址，這讓入侵者更有充裕的時(shí)間去剌探并得知你電腦上的各項(xiàng)數(shù)據(jù)，對(duì)入侵者來(lái)說(shuō)，入侵一臺(tái)使用撥號(hào)上網(wǎng)的電腦比專線上網(wǎng)的電腦難多了。因?yàn)閾芴?hào)使用者的連線時(shí)間不固定，IP地址也不固定，入侵者可能沒(méi)有足夠的時(shí)間去收集到足夠的數(shù)據(jù)供判斷該使用的入侵方式。

當(dāng)有人對(duì)你的網(wǎng)絡(luò)作掃描時(shí)，你會(huì)很明顯地看到有某個(gè)IP地址不斷地對(duì)你的電腦開(kāi)啟端口，然后再關(guān)掉，通常對(duì)方偵測(cè)程序會(huì)依照順序開(kāi)啟端口，例如對(duì)方可能從端口1一直掃描到端口1023之類的……幾乎沒(méi)有什么應(yīng)用程序會(huì)需要不斷地開(kāi)啟某一范圍內(nèi)的端口，因此可以很輕易地?cái)喽ㄟ@時(shí)有人在對(duì)你的網(wǎng)絡(luò)進(jìn)行刺探。

對(duì)于單一電腦或是整個(gè)網(wǎng)絡(luò)的刺探活動(dòng)。由于并不見(jiàn)得會(huì)占用多少帶寬(除非原本的對(duì)外連線速度就不快)，幾乎不會(huì)有什么征兆讓使用者察覺(jué)，(除非用戶沒(méi)事就不斷地去查看目前網(wǎng)絡(luò)的狀態(tài))。因此，如果要自動(dòng)保護(hù)一個(gè)網(wǎng)絡(luò)，比較好的方式是裝上一個(gè)防火墻(關(guān)于防火墻的常識(shí)見(jiàn)《計(jì)算機(jī)應(yīng)用文摘》2001年第1期)，現(xiàn)在一般的防火墻系統(tǒng)都可以抵御一些常見(jiàn)攻擊，例如端口掃描。很多防火墻系統(tǒng)會(huì)把發(fā)出掃描的IP地址“冷凍”一段時(shí)間，讓該IP地址無(wú)法再和本地網(wǎng)絡(luò)連接，以避免讓對(duì)方收集到太多內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。對(duì)于一般的個(gè)人用戶，可以安裝比如Lockdown 2000、Norton Personal Firewall之類的程序，來(lái)監(jiān)測(cè)目前是否有不正當(dāng)?shù)木W(wǎng)絡(luò)活動(dòng)在進(jìn)行中。

當(dāng)然，如果沒(méi)有什么特別的需要，個(gè)人使用的電腦沒(méi)事不要裝太多服務(wù)程序是最好的，多一些服務(wù)程序，就多一些被攻擊的風(fēng)險(xiǎn)!

2.網(wǎng)絡(luò)連接攻擊

入侵者如果沒(méi)有辦法找到你的主機(jī)上是否有些可供入侵的服務(wù)程序，那么他也可以很消極地通過(guò)不斷地對(duì)你的主機(jī)開(kāi)啟許多連接來(lái)干擾你的主機(jī)正常工作。

網(wǎng)絡(luò)連接攻擊又可以分為大量數(shù)據(jù)流攻擊(Mass-Data Attack)和大量服務(wù)要求攻擊(Mass-Request Attack)，這兩種攻擊方式都是不斷發(fā)送出數(shù)據(jù)給受攻擊對(duì)象并要求其作出回應(yīng)來(lái)達(dá)到擊倒對(duì)方主機(jī)的目的。

無(wú)論是IBM PC、Macintosh或是高端的工作站和服務(wù)器，不管速度或價(jià)格的差異有多少，基本上各種電腦的架構(gòu)都一模一樣:有CPU、內(nèi)存和硬盤，一般CPU的運(yùn)算都在內(nèi)存中進(jìn)行，但由于價(jià)格因素，一臺(tái)電腦不能安裝上容量巨大的內(nèi)存，于是就有磁盤交換空間(Disk-Swap)的設(shè)計(jì)概念出現(xiàn)。操作系統(tǒng)可以將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)放到硬盤上，空出內(nèi)存空間給其他程序使用。等到程序又再次需要內(nèi)存時(shí)，會(huì)把原先放進(jìn)硬盤的內(nèi)存數(shù)據(jù)內(nèi)容重新讀回內(nèi)存。這種設(shè)計(jì)理念可以解決內(nèi)存不夠的問(wèn)題，因?yàn)閮?nèi)存總是比硬盤貴得多。

拿硬盤空間當(dāng)作內(nèi)存不足的暫時(shí)交換空間是個(gè)無(wú)奈的權(quán)宜之計(jì)，其缺點(diǎn)就是硬盤虛擬內(nèi)存慢太多了!所以只要實(shí)體內(nèi)存用完，開(kāi)始向硬盤交換數(shù)據(jù)時(shí)，系統(tǒng)速度就會(huì)明顯地變慢。

網(wǎng)絡(luò)連接攻擊就是要利用此特點(diǎn)，消耗目標(biāo)主機(jī)的系統(tǒng)資源，使目標(biāo)主機(jī)變慢或死機(jī)，而且不管對(duì)什么電腦主機(jī)都有用!唯一的一個(gè)條件就是攻擊者也必須要有相當(dāng)?shù)木W(wǎng)絡(luò)帶寬，才能有足夠的數(shù)據(jù)流量向目標(biāo)主機(jī)攻擊。

3.大量數(shù)據(jù)流攻擊

系統(tǒng)上的某些服務(wù)如POP3這類讓使用者收取電子郵件的服務(wù)，是必須經(jīng)過(guò)使用者身份的認(rèn)證才能讓他人使用，所以不會(huì)有讓任何人都可以隨意開(kāi)啟連接的問(wèn)題。

但有些服務(wù)是測(cè)試性的，不管任何人都可以使用，以用來(lái)測(cè)試網(wǎng)絡(luò)連線狀況。讀者請(qǐng)參閱上面所附近的常用端口列表，有一個(gè)服務(wù)是echo(端口7)，這個(gè)服務(wù)是只要有人連上這個(gè)端口以后，對(duì)方對(duì)這個(gè)端口輸入任何字符，本地主機(jī)都要回應(yīng)一樣的字符。

此端口一般用作測(cè)試網(wǎng)絡(luò)連接速度。這個(gè)端口并不會(huì)對(duì)開(kāi)啟連接的人作任何身分確認(rèn)，只要一連上就會(huì)開(kāi)始作這個(gè)動(dòng)作。因此，如果“居心叵測(cè)之人”開(kāi)啟了這個(gè)端口，則可以不斷地塞入大量數(shù)據(jù)要求被攻擊的目標(biāo)回應(yīng)一樣的數(shù)據(jù)，進(jìn)而將對(duì)方的網(wǎng)絡(luò)帶寬耗盡造成系統(tǒng)死機(jī)。由于這個(gè)問(wèn)題，echo端口在最近的操作系統(tǒng)上幾乎都已不再開(kāi)放。

ping(Packet Internet Groper)這個(gè)命令也是一個(gè)有問(wèn)題的地方，由于ping是用來(lái)測(cè)試網(wǎng)絡(luò)連接狀況與速度，而受測(cè)主機(jī)一定要回應(yīng)一個(gè)數(shù)據(jù)包才能讓測(cè)試者知道網(wǎng)絡(luò)的狀況，因此如果有人把ping的測(cè)試數(shù)據(jù)包加大，就會(huì)造成受測(cè)者也得回應(yīng)一個(gè)一樣大的數(shù)據(jù)包，同樣導(dǎo)致受測(cè)端系統(tǒng)失誤而導(dǎo)致系統(tǒng)停止回應(yīng)。在某些系統(tǒng)上還存有更恐怖的Flood ping程序(洪水?dāng)?shù)據(jù)包測(cè)試程序)，一般的ping程序每次送出一個(gè)數(shù)據(jù)包，都會(huì)暫停一秒，但此種程序卻是連續(xù)不斷的送出數(shù)據(jù)包，像洪水一樣完全不停頓，不讓受測(cè)主機(jī)有休息的機(jī)會(huì)，更容易導(dǎo)致系統(tǒng)失誤。

4.大量服務(wù)要求攻擊

Internet上有很多提供數(shù)據(jù)查詢的主機(jī)，如各種搜索引擎的數(shù)據(jù)庫(kù)，這類主機(jī)和單純的網(wǎng)頁(yè)主機(jī)不同，一般主機(jī)只是單純地將使用者要求的網(wǎng)頁(yè)傳送出去，而數(shù)據(jù)查詢主機(jī)可能要在一個(gè)龐大的數(shù)據(jù)庫(kù)中作出各種搜索、比較以及排序的動(dòng)作。因此此類主機(jī)的CPU運(yùn)算速度，內(nèi)存容量，以及硬盤周邊外設(shè)的I/O動(dòng)作都必須非?？焖伲脖仨毮芡瑫r(shí)承載相當(dāng)多數(shù)的使用者連接要求。

當(dāng)有使用者連上該類站點(diǎn)時(shí)，服務(wù)主機(jī)就必須要向數(shù)據(jù)庫(kù)系統(tǒng)查詢，再作出使用者所要求的各種數(shù)據(jù)處理(排序，關(guān)鍵字過(guò)濾……)每一個(gè)動(dòng)作都需要耗費(fèi)許多的CPU、內(nèi)存與硬盤的工作時(shí)間，這類主機(jī)都相當(dāng)重視反應(yīng)速度。

如果某位使用者今天連上yahoo.com查詢某某字串卻很久沒(méi)有回應(yīng)，搞不好他就會(huì)因?yàn)榈炔荒蜔┒D(zhuǎn)向lycos.com或者其他網(wǎng)站上查詢數(shù)據(jù);更糟糕的是，如果服務(wù)主機(jī)干脆死掉了，那肯定是會(huì)招來(lái)用戶的嚴(yán)重抗議并導(dǎo)致大量用戶的流失。

以上的相關(guān)內(nèi)容就是對(duì)剖析來(lái)自Internet攻擊的介紹，望你能有所收獲。