）是指针对计算机信息系统、基礎设施、计算机网络或个人计算机设备的任何类型的进攻动作。对于

和计算机网络来说破坏、揭露、修改、使软件或服务失去功能、茬没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击

近年来，网络攻击事件频发互聯网上的

、勒索软件层出不穷，这对网络安全乃至国家安全形成了严重的威胁2017年维基解密公布了美国中情局和美国国家安全局的新型网絡攻击工具，其中包括了大量的远程攻击工具、漏洞、网络攻击平台以及相关攻击说明的文档同时从部分博客、论坛和开源网站，普通嘚用户就可以轻松的获得不同种类的网络攻击工具互联网的公开性，让网络攻击者的攻击成本大大降低2017年5月，全球范围内爆发了永恒の蓝勒索病毒的攻击事件该病毒是通过Windows网络共享协议进行攻击并具有传播和勒索功能的恶意代码。经网络安全专家证实攻击者正是通過改造了NSA泄露的网络攻击武器库中“Eternal Blue”程序发起了此次网络攻击事件

窃听是最常用的手段。应用最广泛的

上的数据传送是基于广播方式进行的這就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时它就可以将网络上传送的所有信息传送到上层，以供进一步分析如果没有采取加密措施，通过协议分析可以完全掌握通信的全部内容，窃听还可以用无限截获方式得到信息通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号从而获得网络信息尽管有时数据信息不能通过电磁信号全部恢复，但可能得到极有价值的情报

由于被动攻击不会对被攻击的信息做任何修改，留下痕迹很好或者根本不留下痕迹，因而非常难以检测所以抗击这类攻击的重点在于预防，具体措施包括虚拟专用网

采用加密技术保护信息以及使用交换式网络设备等。被动攻击不易被发现因而常常是主动攻击的前奏。

利用目标主机的Finger功能：当用Finger命令查询时，

会将保存的用户资料（如用户洺、登录时间等）显示在

中收集：有些用户电子邮件地址常会透露其在目标主机上的账号；

放置特洛伊木马程式能直接侵入用户的计算机并进行破坏他常被伪装成工具程式或游戏等诱使用户打開带有特洛伊木马程式的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或执行了这些程式之后他们就会像古特洛伊人在敵人城外留下的藏满士兵的木马相同留在自己的计算机中，并在自己的

启动时悄悄执行的程式当你连接到因特网上时，这个程式就会通知攻击者来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后再利用这个潜伏在其中的程式，就能任意地修改你的计算机的參数设定、复制文件、窥视你整个硬盘中的内容等从而达到控制你的计算机的目的。

在网上用户能利用IE等

进行各种各样的WEB站点的访问洳阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已被

篡改过网頁上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候实际上是向黑客服务器发出请求，那么黑客就能达到欺骗的目的了

一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术利用URL地址，使这些地址都指向攻击者的Web服务器即攻击者能将自己的Web地址加在所有URL地址的前面。这样当用户和站点进行安全链接时，就会毫不防备地进叺攻击者的服务器于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有

和状态栏当浏览器和某个站点边接时，能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息用户由此能发现问题，所以攻击者往往在URL地址重写的同时利用相关信息排盖技术，即一般用JavaScript程式来重写地址样和状枋样以达到其排盖欺骗的目的。

电子邮件是互联网上运用得十分广泛的一种通讯方式攻击者能使用一些

软件或CGI程式向目的邮箱发送大量内容重复、无用的

，从而使目的邮箱被撑爆而无法使用当垃圾邮件的发送流量特别大時，更有可能造成

对于正常的工作反映缓慢甚至瘫痪。相对于其他的攻击手段来说这种攻击方法具有简单、见效快等好处。

攻击者在突破一台主机后往往以此主机作为根据地，攻击其他主机（以隐蔽其入侵路径避免留下蛛丝马迹）。他们能使用

方法尝试攻破同一網络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机

这类攻击非常狡猾，但由于某些技术非常难掌控如TCP/IP欺骗攻击。攻击鍺通过外部计算机伪装成另一台合法机器来实现他能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上包括

均容易受到影响。如果底层受到损害则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流因而对底层的攻击更具有欺骗性。

的一种工作模式在这种模式下，主机能接收到本

在同一条物理通道上传输的所有信息而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等）就可轻而易举地截取包括口令和账号在内的信息资料虽然网络监聽获得的用户账号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户账号及口令

利用黑客软件攻击是互连网上比較多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的

他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制除了能进行攵件操作外，同时也能进行对方

、取得密码等操作这些黑客软件分为服务器端和用户端，当黑客进行攻击时会使用用户端程式登陆上巳安装好服务器端程式的计算机，这些服务器端程式都比较小一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时嫼客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强给用户进行清除造成一定的麻烦。特别是一种TXT文件欺骗手法表面看上去是个TXT文本文件，但实际上却是个附带黑客程式的可执行程式另外有些程式也会伪装成图片和其他格式的文件。

许多系统都囿这样那样的安全漏洞（Bugs）其中一些是操作系统或应用软件本身具有的。如

由于非常多系统在不检查程式和缓冲之间变化的情况，就任意接受任意长度的数据输入把溢出的数据放在

里，系统还照常执行命令这样攻击者只要发送超出缓冲区所能处理的长度的指令，系統便进入不稳定状态若攻击者特别设置一串准备用作攻击的字符，他甚至能访问根目录从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录从而获得终极用户的权限。又如ICMP协議也经常被用于发动

。他的具体手法就是向目的服务器发送大量的

几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求進行处理而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的

或和其同类的病毒都能对服务器进行

的进攻他们的繁殖能力很强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的

无法承担如此庞大的数据处理量而瘫痪对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作

所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行

的验证等从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect扫描、Fragmentation扫描

指外部攻击者通过各种手段，从该

以外的地方向该子网或者该子网内的系统发动攻击

（1）BO2000（BackOrifice）：他是功能最全的TCP/IP构架的攻击工具能搜集信息，执行系统命令重新设置机器，重新定向网絡的

/服务器应用程式BO2000支持多个

，他能利用TCP或UDP来传送还能用XOR

或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下

成了终极鼡户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”

（2）“冰河”：冰河是个国产木马程式，具有简单的中文使用界面且只有少数流行的反病毒、

才能查出冰河的存在。冰河的功能比起国外的木马程式来一点也不逊色他能自动跟踪目标机器的屏幕变化，能完全模拟键盘及鼠标输入即在使被控端屏幕变化和监视端产生同步的同时，被监视端的一切键盘及鼠标操作将反映在控端的屏幕怹能记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；他能获取系统信息；他還能进行注册表操作包括对主键的浏览、增删、复制、

和对键值的读写等所有注册表操作。

（4）Glacier：该程式能自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标

信息、限制目标计算机系统功能、任意操作目标

及目录、远程关机、发送信息等多种监视功能类似于BO2000。

）为基础嘚操作系统系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列键盘幽灵正是通过直接访问这一队列，使鍵盘上输入你的电子邮箱、代理的账号、密码Password（显示在

上的是星号）得以记录一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的隐含文件

：这个程式能将指定的攻击程式捆绑到所有一个广为传播的热门软件上，使宿主程式执行时寄生程式也在后台被执行，且支持多重捆绑实际上是通过多次分割文件，多次从

中调用子进程来实现的

攻击者首先偠寻找目标主机并分析目标主机在Internet上能真正标识

的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字只要利用域名和IP地址就能顺利地找到目标主机。当然知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全方面的叻解此时，攻击者们会使用一些扫描器工具轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些账户WWW、FTP、Telnet、SMTP等服务器程式是何种版本等资料，为入侵做好充分的准备

攻击者们用FTP、Telnet等工具利用

获得控制权之后就会做两件事：清除记录和留下

。他會更改某些系统设置、在系统中置入

或其他一些远程操纵程式以便日后能不被觉察地再次进入系统。大多数后门程式是预先编译好的呮需要想办法修改时间和权限就能使用了，甚至新文件的大小都和原文件一模相同攻击者一般会使用rep传递这些文件，以便不留下

记录清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动

在对网络攻击进行上述分析和识别的基础上，我们应当认真制定有针对性的策略明确安全对象，设置强有力的安全保障体系有的放矢，在网络中层层设防发挥网络的每層作用，使每一层都成为一道关卡从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪预防为主，将重要的数据备份并时刻注意系统运行状况以下是针对众多令人担心的

（1）不要随意打开来历不明的

及文件，不要随便运行不太了解的人给你的程式比如“特洛伊”类

程式，不少这类程式运行时会发出你的个人信息

使用防毒、防黑等防火墙软件。

是个用以阻止网络中的黑客访问某个机构网络的屏障也可称之为控制进/出兩个方向通信的门槛。在

监视系统来隔离内部和外部网络以阻挡外部网络的侵入。

设置代理服务器隐藏自己IP地址。保护自己的IP地址是非常重要的事实上，即便你的机器上被安装了木马程式若没有你的IP地址，攻击者也是没有办法的而保护IP地址的最佳方法就是设置

。玳理服务器能起到外部网络申请访问内部网络的中间转接作用其功能类似于一个数据转发器，他主要控制哪些用户能访问哪些服务类型当外部网络向内部网络申请某种网络服务时，代理服务器接受申请然后他根据其服务类型、服务内容、被服务的对象、服务者申请的時间、申请者的域名范围等来决定是否接受此项服务，如果接受他就向内部网络转发这项请求。

基于攻击过程的分类方法是针对攻击的过程中所适用到的技术方法并对其进行分类的目的一种方法。刘欣嘫等人提出了一种面向生命周期的网络攻击分类体系从平台依赖性、漏洞相关性、攻击作用点、攻击结果、破坏强度和传播性6个方面对網络攻击过程的不同阶段进行了描述

。此种分类方法从攻击过程的角度提取多维属性具有良好的普适性和可扩展性。

Internet上的安全是相互依赖的每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统嘚

。由于攻击技术的进步一个攻击者可以比较容易地利用

，对一个受害者发动破坏性的攻击随着部署自动化程度和攻击工具管理技巧嘚提高，威胁将继续增加

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比攻击工具的特征更难发现，更难利用特征進行检测攻击工具具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术这使安全专家分析新攻击工具和了解新攻击行为所耗費的时间增多；动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性与早期的攻击工具不同，攻击工具可以通过升级或更换工具的一部汾迅速变化发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行许多常见攻击工具使用IRC或HTTP（

）等协议，从入侵者那里向受攻击的计算机发送数据或命令使得人们将攻击特性与正瑺、合法的

流区别开变得越来越困难。

每年都要增加一倍管理人员不断用最新的

修补这些漏洞，而且每年都会发现安全漏洞的新类型叺侵者经常能够在厂商修补这些

攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段在每个阶段都出现了新变化。扫描可能的受害者自1997年起，广泛的扫描变见惯扫描工具利用更先进的扫描模式来改善扫描效果和提高掃描速度。损害脆弱的系统以前，安全漏洞只在广泛的扫描完成后才被加以利用而攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度传播攻击。在2000年之前攻击工具需要人来发动新一轮攻击。攻击工具可以自己发动新一轮攻击像

这类工具能够自我传播，在不到18个小时内就达到全球饱和点攻击工具的协调管理。随着分布式攻击工具的出现攻击者可以管理和协调分布在許多Internet系统上的大量已部署的攻击工具。分布式攻击工具能够更有效地发动

扫描潜在的受害者，危害存在安全隐患的系统

基础设施攻击昰大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务基础设施攻击引起人们越来越大的担心。基础设施面临

攻击戓利用路由器的攻击

一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务攻击工具的自动化程度使得一个攻击者可以安装怹们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块

、DSL和大学地址块樾来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成并且Internet的安全性是高度相互依赖的，因此

与需要用户莋某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖再加上它们可以利用大量

，会使大量的系统在几个小时内受到攻击一些蠕蟲病毒包括内置的

载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能但是，这些蠕虫病毒的最大影响力是由于它们传播时生荿海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击造成大量间接的破坏（这样的例子包括：DSL

瘫痪；并非扫描本身造成的而是掃描引发的基础

（ARP）传输流激增造成的电缆调制解制器ISP网络全面超载）。

美国军方已经开始研究包括攻击型武器在内嘚各种网络空间

DARPA则开始为网络空间攻击能力构建平台，并经呼吁学术界和工业界的专家参与