二． 网络入侵

    1． 数据包嗅探器

    最普遍的安全威胁来自内部，同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大，很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性，使得其具有很强的隐蔽性，往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析，或者深入了解帧以检查单个的 IP 数据包。嗅探器以混合模式运行，即它们侦听物理线路上的每个数据包。

    很多应用程序（如 Telnet）都会以明文形式发送用户名和密码信息，这些内容可以被嗅探器读取，因此使用数据包嗅探器的黑客就可能会得到很多应用程序的访问权限，这种情况主要是通过确保使用强加密的密码。黑客可能在客户的系统中安装完特洛伊木马程序后安装sniffer(嗅探器)，让sniffer监听局域网内的TCP/IP数据包，并将监听到的信息形成一个文件，再由洛伊木马程序发送到外部的互联网的指定地址。

    案例：
    Sniffer是黑客们最常用的入侵手段之一，由于在一个普通的局域网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的超级用户权限，并将其网卡置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。许多用户很放心在网上使用自己的信用卡，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码等信息。

    2． IP 欺骗

    IP 欺骗是指对 IP 数据包的源地址进行更改以隐藏发送方的身份。因为 Internet 中的路由操作只使用目标地址将数据包发送到它的路径上，而会忽略源地址，所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包，而您不了解它来自何处。欺骗不一定具有破坏性，但是它表明入侵随时会出现。该地址可能位于您的网络之外（来隐藏入侵者的身份），也可能是一个具有特许权限的受信任内部地址。

    案例：
    每一个黑客都会想到：如果A主机和B主机之间的信任关系是基于IP址而建立起来的，那么假如能够冒充A主机的IP，就可以使用rlogin登录到B主机，而不需任何口令验证。另外，IP欺骗也被黑客用于进行拒绝服务攻击的手段。

    3． 拒绝服务攻击

    拒绝服务攻击是最难阻止的攻击，这些攻击与其他类型的攻击不同，因为它们不会对网络产生永久性破坏，而是通过对某个特定的计算机或者网络设备发起攻击，或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度，从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷，有些DoS攻击是消耗带宽，有些是消耗网络设备的CPU和内存。

    其中，具有代表性的攻击手段包括SYN flood、ICMP flood、UDP flood等，其原理是使用大量伪造的连接请求报文攻击网络服务所使用的端口，从而造成服务器的CPU、内存资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击，则使用真实的IP地址，发起针对网络服务的大量的真实连接来抢占带宽，也可以造成网络设备资源耗尽，导致服务中止。最严重的拒绝服务攻击是分布式 DoS (DDoS) 攻击，它从很多其他计算机发起，集中攻击某个特定服务器或网络系统。

    承担攻击任务的计算机本身不一定主动发起了这个攻击，但是由于它们自身的安全漏洞，使得它们自身被黑客渗透，黑客指示它们向网络发送大量数据，从而造成ISP 拥塞或者某个设备拥塞。

    案例：
    2007年5月，北京市公安局网监处接到了网络游戏运营商联众公司的报案，该公司托管在北京、上海、石家庄的多台服务器遭受到200万个不同程度的大流量DDOS拒绝服务攻击包，长达近一个月，公司经济损失达数百万元。由于该公司电脑服务器瘫痪，玩家无法登录网站玩网络游戏。公司工程师曾经试图修改被攻击服务器的IP地址以躲避攻击，但5分钟后攻击随即转向更改IP后的服务器。民警勘察发现这些攻击包，IP来源是伪造的218.X.X.X和219.X.X.X段。

    民警了解到，今年4月末，就在联众公司受到不明攻击后，上海一家科技公司负责人罗某主动与联众取得联系，销售其研发的价格百万元的防火墙设备。随后民警开始着手调查，一组侦查员还远赴上海调查取证，最终将罗某、黑客高手李某等4人抓获。 据了解，除了联众公司，他们还对北京、杭州的多家网络游戏运营公司的电脑服务器发动网络攻击。一旦攻击成功，就向被攻击公司销售自己的设备

    4． 应用程序层攻击

    应用程序层攻击通常是最引人注意的攻击，通常利用应用程序（如 Web 服务器和数据库服务器）中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问，这些用户是未知的并且不可信任，尤其对于 Web 服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的，因此最好的防护是安装软件生产商提供的最新更新。

    案例：
    应用程序层攻击的例子是——结构化查询语言 (SQL) Slammer 蠕虫病毒，它曾经在 2003 年 1 月份爆发，很短时间内影响了 35,000 个SQL服务器系统，造成全世界的主干互联网络出现持续多日的拥堵。这个蠕虫病毒就是利用了 Microsoft? SQL Server? 2000 中的一个已知问题，对于这个问题，Microsoft 早在Slammer 蠕虫病毒爆发四个月前，即 2002 年 8 月份就已经发布了一个补丁程序，因此它利用了很多管理员既没有应用推荐的更新也没有安装适当的防火墙的失误来进行攻击（防火墙本来可以阻止数据包发送到该蠕虫病毒所使用的端口）这一事实。软件生产商建议对于所有产品都应该及时应用升级，尤其用来防止应用程序层的攻击。

    5． 网络侦察（或称网络扫描）

    网络侦察指的是对网络进行扫描以发现有效的 IP 地址、域名系统 (DNS) 名称和服务端口，然后发起攻击。虽然网络侦察本身没有什么害处，但是可以发现哪些地址正在使用可能会帮助某些人发起恶意的攻击。实际上，如果查看防火墙的日志，则会发现大多数入侵都具有这种特征；典型的探询包括扫描传输控制协议 (TCP) 和用户数据报协议 (UDP) 侦听端口，以及一些其他的已知侦听端口所有这样的探询都会寻求一个响应，该响应将告知黑客服务器的存在并且在运行这些服务中的一种（聪明的黑客知道端口对应某个特定服务）。

    案例：
    下面两个端口容易受黑客青睐。

    3899端口入侵：众所周知，远程终端服务基于端口3389。通过3389端口入侵系统是黑客的最爱，因为通过图形界面，可以像操作本地计算机一样来控制远程计算机。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵。所需的软件是S扫描器和WINDOWS自带的远程登录器。我们用S扫描器扫一下3389端口，会出来许多开放3389端口主机，接着你就一个一个去试了哦，像XP系统可以用NEW或者是administrator作为用户名，密码空，大多数你就能够进入别人的电脑。

    4899端口入侵：首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的。所需要的软件是NTscan和Radmin。首先你用NTscan扫描4489端口，然后就可以用Radmin做你自己想做的事情了。

    另外，默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。