网络攻击方法分析

摘  要： 首先阐述了目前计算机网络中存在的安全问题，接着分析了各种常见的网络攻击。

关键词：网络攻击，网络攻击常见攻击方法，类型原理。

随着计算机和通信技术的发展，计算机网络已日益成为工业、农业和国防等方面重要的信息交换手段，渗透到社会生活的各个领域。在军事领域，由于大量装备采用了计算机技术，使得战争的形式由面对面的热兵器杀伤向网络战、信息战转变。因此，了解计算机网络安全的基本策略，掌握网络攻击与防范的方法，才能在未来的高科技战争中立于不败之地。据统计，开发人员在编写程序时，每写一千行代码，至少会有一个漏洞出现，再高明的程序员也不例外，因此黑客技术的出现和发展也是不足为奇的事情。黑客利用现有的方法或自己开发小工具，利用计算机系统或网络的漏洞（包括软件漏洞、硬件漏洞、网络协议漏洞、管理方面的漏洞和一些人为的错误）实施攻击。

常见网络攻击攻击方法

找到初始信息 

找到网络的地址范围 

找到活动的机器 

找到开放端口和入口点 

弄清操作系统 

弄清每个端口运行的是哪种服务

一、拒绝服务攻击

拒绝服务攻击（Denial of Service, DoS）是一种最悠久也是最常见的攻击形式。严格来说，拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的，可以是单一的手段，也可以是多种方式的组合利用，其结果都是一样的，即合法的用户无法访问所需信息。

第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包，就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击，因为没有人能够使用资源。以攻击者的角度来看，攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下，系统重新上线需要管理员的干预，重新启动或关闭系统。所以这种攻击是最具破坏力的，因为做一点点就可以破坏，而修复却需要人的干预。

第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。例如，如果一个系统无法在一分钟之内处理100个数据包，攻击者却每分钟向他发送1000个数据包，这时，当合法用户要连接系统时，用户将得不到访问权，因为系统资源已经不足。进行这种攻击时，攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时，攻击停止，系统也就恢复正常了。此攻击方法攻击者要耗费很多精力，因为他必须不断地发送数据。有时，这种攻击会使系统瘫痪，然而大多多数情况下，恢复系统只需要少量人为干预。

（一） 拒绝服务攻击类型

1 Ping of Death

根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

2 Teardrop

IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

3 Land

攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

4 Smurf

该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

5 SYN flood

该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

6 CPU Hog

一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击，利用Windows NT排定当前运行程序的方式所进行的攻击。

7 Win Nuke

是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139，即netbios发送大量的数据。因为这些数据并不是目的主机所需要的，所以会导致目的主机的死机。

8 RPC Locator

攻击者通过telnet连接到受害者机器的端口135上，发送数据，导致CPU资源完全耗尽。依照程序设置和是否有其他程序运行，这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况，要使计算机恢复正常运行速度必须重新启动。

（二） 分布式拒绝服务攻击

分布式拒绝服务攻击（DDoS）是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。所以分布式的拒绝服务攻击手段（DDoS）就应运而生了。如果用一台攻击机来攻击不再能起作用的话，攻击者就使用10台、100台…攻击机同时攻击。 DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

一个比较完善的DDoS攻击体系分成四大部分： 

1.攻击者所在机 

2.控制机（用来控制傀儡机） 

3.傀儡机 

4.受害者 

　　先来看一下最重要的控制机和傀儡机：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对受害者来说，DDoS的实际攻击包是从攻击傀儡机上发出的，控制机只发布命令而不参与实际的攻击。对控制机和傀儡机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

二、口令攻击 

※ 攻击原理

攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，这是极其危险的。

这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：

利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；

利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；

从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；

查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。

（一） 口令攻击类型

　1. 字典攻击

因为多数人使用普通词典中的单词作为口令，发起词典攻击通常是较好的开端。词典攻击使用一个包含大多数词典单词的文件，用这些单词猜测用户口令。使用一部1万个单词的词典一般能猜测出系统中70%的口令。在多数系统中，和尝试所有的组合相比，词典攻击能在很短的时间内完成。

2 .强行攻击

许多人认为如果使用足够长的口令，或者使用足够完善的加密模式，就能有一个攻不破的口令。事实上没有攻不破的口令，这只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种类型的攻击方式叫强行攻击。使用强行攻击，先从字母a开始，尝试aa、ab、ac等等，然后尝试aaa、aab、aac ……。

攻击者也可以利用分布式攻击。如果攻击者希望在尽量短的时间内破解口令，他不必购买大量昂贵的计算机。他会闯入几个有大批计算机的公司并利用他们的资源破解口令。

3. 组合攻击

词典攻击只能发现词典单词口令，但是速度快。强行攻击能发现所有的口令，但是破解时间很长。鉴于很多管理员要求用户使用字母和数字，用户的对策是在口令后面添加几个数字。如把口令ericgolf变成ericgolf55。错误的看法是认为攻击者不得不使用强行攻击，这会很费时间，而实际上口令很弱。有一种攻击使用词典单词但是在单词尾部串接几个字母和数字。这就是组合攻击。基本上，它介于词典攻击和强行攻击之间。

4. 其他攻击类型

社会工程学

偷窥观察别人敲口令

搜索垃圾箱

三、缓冲区溢出攻击

※ 攻击原理

几十年来，缓冲区溢出一直引起许多严重的安全性问题。缓冲区溢出（又称堆栈溢出）攻击已成为最常用的黑客技术之一。据统计，仅去年缓冲区溢出就占使 CERT/CC 提出建议的所有重大安全性错误的百分之五十以上。

引起缓冲区溢出问题的根本原因是 C（与其后代 C++）本质就是不安全的，没有边界来检查数组和指针的引用，也就是开发人员必须检查边界（而这一行为往往会被忽视），否则会冒遇到问题的风险。标准 C 库中还存在许多非安全字符串操作，包括：strcpy() 、sprintf() 、gets() 等。

缓冲区溢出源于每个程序运行的需要：放置数据的空间。多数计算机程序都在内存中创建多个地址用于信息存储。C 编程语言允许程序员在运行时在内存的两个不同部分（堆栈和堆）中创建存储器。通常，分配到堆的数据是那些 malloc() 或新建时获得的数据。而分配到堆栈的数据一般包括非静态的局部变量和所有按值传递的参数。大部分其它信息存储在全局静态存储器中。在分配同一数据类型的相邻块时，这块内存区域称为缓冲区。

在写入缓冲区时，C 程序员必须注意存储在缓冲区中的数据不能超过它所能容纳的量。缓冲区只能容纳一定数量的位，就象一个杯子只能盛一定量的水。如果放到杯子中的水太多，多余的水就会溢出到别的地方。相似地，如果试图放入缓冲区的数据比它能装入的要多，额外的数据就会溢出到别处。

当程序写入超过缓冲区的边界时，这就是所谓的"缓冲区溢出"。发生缓冲区溢出时，会覆盖下一个相邻的内存块。由于 C 语言本质上的不安全性，所以它允许程序随意（或者更准确地说是完全出于偶然）溢出缓冲区。没有运行时检查来这一防止写入超过缓冲区末尾，所以程序员必须在其自己的代码中执行这一检查，否则继续下去会出现问题。

读取或写入超过缓冲区的末尾时，会导致许多不同（并且通常是不可预料的）行为：1) 程序的执行很奇怪，2) 程序完全失败，或者 3) 程序可以继续，而且在执行中没有任何明显不同。缓冲区溢出的副作用取决于： 

1.写入的数据中有多少超过缓冲区边界

2.当缓冲区已满并且溢出时，覆盖了哪些数据（如果有的话）

3.程序是否试图读取溢出期间被覆盖的数据

4.哪些数据最终替换被覆盖的内存

存在缓冲区溢出的程序的不确定行为使得对它们的调试异常棘手。最坏的情况是：程序可能正发生缓冲区溢出，但根本没有任何副作用的迹象。因此，缓冲区溢出问题常常在标准测试期间是发现不了的。认识缓冲区溢出的重要一点是：在发生溢出时，会潜在地修改碰巧分配在缓冲区附近的任何数据。

一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过"黑客"精心设计的，覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。

最简单的情况就是考虑直接在缓冲区后面的内存中分配一个布尔标志。这个标志决定运行程序的用户是否可以访问专用文件。如果有不怀好意的用户覆盖缓冲区，则会更改标志的值，从而指出攻击者是非法访问专用文件。

缓冲区溢出导致安全性问题的另一个方法是通过摧毁堆栈。摧毁堆栈的目的是导致一个特定的编程故障：不仔细使用分配在程序运行时堆栈上的数据缓冲区，即局部变量和函数自变量。有效的摧毁堆栈所造成的后果比上一示例中提到的改变布尔访问控制标志的后果更为严重。有创造力的攻击者会通过摧毁堆栈利用缓冲区溢出的弱点，然后运行任何代码。这种想法是相当直接的：在某处插入一些攻击代码（例如，调用 shell 的代码）并以将控制传递给攻击代码的方式来覆盖堆栈。

此外，攻击者利用缓冲区溢出得到机器上的交互式会话 (shell)。如果被利用的程序以较高的优先权在运行（如 root 用户或管理员），则攻击者就会在交互式会话中得到该优先权。最惊人的缓冲区溢出是堆栈的摧毁，它会在超级用户或 root、shell 中造成后果。许多可以利用脚本都能在网络上找到，它们对特定体系结构上的堆栈进行摧毁。

四、欺骗攻击

※ 欺骗攻击类型 

（1）IP欺骗：公司使用其他计算机的IP地址来获得信息或者得到。 

（2）电子信件欺骗：电子信件的发送方地址的欺骗。比如说，电子信件看上去是来自TOM，但事实上TOM没有发信，是冒充TOM的人发的信。 

（3）WEB欺骗：越来越多的电子上午使用互连网。为了利用网站做电子商务，人们不得不被鉴别并被授权来得到信任。在任何实体必须被信任的时候，欺骗的机会出现了。

（4）非技术类欺骗：这些类型的攻击是把经理集中在攻击攻击的人力因素上。它需要通过社会工程技术来实现。 

※ IP欺骗

IP欺骗的三种基本形式是： 

基本地址变化 

使用源路由选择截取数据包 

利用UNIX机器上的信息关系 

1. 基本地址变化

IP欺骗的最基本形式是搞清楚一个网络的配置，然后改变自己的IP地址，伪装成别人机器的IP地址。这样做会使所有被发送的数据包都带有假冒的源地址。这是非常低等级的技术，因为所有的应答都回到了被盗用了地址的机器上，而不是攻击者的机器。这被叫做盲目飞行攻击（flying blind attack）,或者叫做单向攻击（one-way attack）。

这种攻击虽有一些，但就某一特定类型的拒绝服务攻击而言，只需要一个数据包去撞击机器，而且地址欺骗会让人们更难于找到攻击者的根源。对某些特定的攻击，如果系统受到了意想不到的数据包，说明对系统的攻击仍然在进行。而且因为UDP是无连接的，所以单独的UDP数据包会被发送到受害方的系统中。

2. 源路由攻击

有关欺骗的一个重要问题是被盗用的地址会收到返回的信息流，而攻击者从来不会接受到它们。但是对于更高级的攻击，攻击者更愿意看到对话的双方。

　　为了得到从目的机器返回到源机器的流量，一个方法是攻击者插入到正常情况下流量经过的通路上。这是非常困难的，因为攻击者必须攻击受害网络上的一台机器，而且不存在任何保障措施让流量继续通过攻击者的机器。我们知道互联网是采用动态路由的，它每天、每小时，甚至每分钟都会有变化。有一种方法能够保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。这么做需要使用源路由，它被包含在TCP/IP协议组中。源路由允许指定一条数据包必须经过的路径。它包括两种类型的源路由：

  (1) 宽松的源路由选择（LSR）：

发送端指明了流量或者数据包必须经过的IP地址清单，但如果它需要，也可以经过一些其他的地址。换句话说，不用考虑数据包经过的确切地址，只要它经过这些地址就可以。

(2) 严格的源路由选择（SRS）：

发送端指明IP数据包必须经过的确切地址。如果没有经过这一确切路径，数据包会被丢弃，并返回一个ICMP差错报文。换句话说，必须考虑数据包经过的确切路径，而且如果由于某种原因没有经过这条路径，这个数据包就不能被发送。

源站路由使用IP首部一个39个字节的源路由选项地址来工作。因为源站路由被放入了IP首部，所以对指定的IP地址数目会有。因为源路由选项字段是39个字节，其中3个字节是附加信息，那么剩下的36个字节是地址信息。每一个地址是4个字节。如果36除4，会有9个地址的空间，但情况不是那么简单。因为最后一个地址必须是目的地址，所以它只留下8个地址的空间。可知随着互联网的发展，会出现IP地址的数目大于8的情况。在这些情况下，就只能使用宽松的源站选路，因为如果不能找到确切的路径，那么严格的源路由选路就会丢弃那个数据包。

基本上源路由的工作过程是这样的：取出源站路由清单中第一个地址，使它成为目的地址。如果是严格的源路由选择，那么它必须是下一跳；如果不是，它就会被丢弃。对于宽松的源路由选择，在数据包到达清单上指出的地址以前，它经过多少跳是没有关系的。在它到达目的地址后，它从清单中取出下一个地址，使它变为目的地址。接下来它继续重复这个过程，直到找到目的地址或者数据包不能被路由为止。

需要指出的重要的一点是如果发送端指定了到达目的地址的源路由，那么目的机器能够自动地使用源路由返回到发送端，这就是为什么它那么危险的原因，可能不知道有人正在使用它。可能回答一个数据包，而且如果发送端使用了源路由，就会在未知的情况下使用它。

源路由为欺骗带来了巨大的利益。攻击者使用假冒的地址向目的地发送数据包，但指定了宽松的源路由选择，并把他的IP地址填入地址清单中。那么，当接受端回应时，数据包返回到假冒的IP地址处，而不是前面它经过的攻击者的机器。攻击者没有盲目飞行，因为他能看到对话双方。

3. 信任关系

在Unix领域中，信任关系能够很容易得到。假如在主机A和B上各一个帐户，在使用当中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home目录中创建.rhosts 文件。从主机A上，在你的home目录中输入'echo " B username "＞ ～/.rhosts'；从主机B上，在你的home目录中输入'echo " A username " ＞～/.rhosts'。至此， 你能毫无阻碍地使用任何以r＊开头的远程调用命令,如：rlogin，rcall，rsh 等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。

这里的信任关系是基于IP地址的。

(1) Rlogin

Rlogin是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上所举的例子，我们能利用Rlogin来从B远程登录到A，而且不会被提示输入口令。

(2) IP欺骗

IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释。先做以下假定：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力 。由于攻击者将要代替真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。这里介绍"TCP SYN淹没"。

前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN 请求。通常，服务器将向客户端发送SYN/ACK信号。这里客户端是由IP 地址确定的。客户端随后向服务器发送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上限，它可以 看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有 连接请求，直至处理了部分连接链路。因此，这里是有机可乘的。

黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的 源地址是使用一个合法的但是虚假的IP地址（可能使用该合法IP地址 的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的， 但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP：该主机 不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接 （比如继续对该IP地址进行路由，发出SYN/ACK数据包等等），直至 确信无法连接。当然，这时已流逝了大量的宝贵时间。值得注意的是， 黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP 持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为如下模式。

1 Z（X）－－－SYN－－－> B

Z（X）－－－SYN－－－＞B

Z（X）－－－SYN－－－＞B

2 X＜－－－SYN/ACK－－B

X＜－－－SYN/ACK－－B

3 X＜－－－RST－－－B

在时刻1时，攻击主机把大批SYN请求发送到受攻击目标（在此阶段，是那个被信任的主机），使其TCP队列充满。在时刻2时，受攻击目标向它所相信的IP地址（虚假的IP）作出SYN/ACK反应。在这一期间，受攻击主机的TCP模块会对所有新的请求予以忽视。不同的TCP保持连接队列的长度是有所不同的。BSD一般是5，Linux一般是6。使被信任主机失去处理新连接的能力，所赢得的宝贵空隙时间就是黑客进行攻击目标主机的时间，这使其伪装成被信任主机成为可能。

五、会话劫持攻击

※ 攻击原理

会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成 有黑客联系。

会话劫持利用了TCP/IP工作原理来设计攻击。TCP使用端到端的连接，即TCP用（源IP，源TCP端口号，目的IP，目的TCP端号）来唯一标识每一条已经建立连接的TCP链路。另外，TCP在进行数据传输时，TCP报文首部的两个字段序号（seq）和确认序号（ackseq）非常重要。序号（seq）和确认序号（ackseq）是与所携带TCP数据净荷（payload）的多少有数值上的关系：序号字段（seq）指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号，而确认序号字段（ackseq）指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。因此，对于一台主机来说，其收发的两个相临TCP报文之间的序号和确认序号的关系为：它所要发出的报文中的seq值应等于它所刚收到的报文中的ackseq的值，而它所要发送报文中ackseq的值应为它所收到报文中seq的值加上该报文中所发送的TCP净荷的长度。图-2是两台主机进行TCP数据传输时序号（seq）、确认序号（ackseq）以及所携带TCP数据净荷（payload）之间的数值关系的一个例子（以八位组octet为单位）。

TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。

六、其它一些常见攻击

※ 非技术类欺骗

通常把基于非计算机的技术叫做社交工程（也有叫社会工程的）。社交工程中，攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己时某人一样的简单。因为他说了一些大概只有那个人知道的信息，所以受害人相信他。

※ WEB欺骗

1．基本的网站欺骗

2．man-in-the-middle攻击

3．URL重写

※ 电子邮件欺骗

1．相似的电子邮件地址

2．修改邮件客户

3．远程联系，登录到端口25

※ 后门和特洛伊木马

简单地说，后门（backdoor）就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。最简单的方法就是打开一个被端口监听代理所监听的代理，有很多软件可以做到这一点。

※　隐藏网络上的踪迹

随着网络入侵检测系统和防火墙的广泛使用，攻击者需要注意如何隐藏网络上的踪迹。如果攻击者能够隐藏自己的攻击或者将它们假扮成网络上的合法的通信信息，使它们看起来不那么引人注目，就有可能逃脱被追捕的命运。

由上述可见，无论是其本身的设计缺陷，还是由于人为因素造成的各种漏洞，都可能被一些另有图谋的黑客利用进行网络攻击，因此要保证网络信息的安全，必须熟知黑客网络攻击的一般过程，在此基础上才能制定防范策略，确保网络安全。

参考文献: ［1］肖军模，网络信安全与对抗，出版社. 

［2］胡昌振等，面向21世纪网络安全与防护，北京希望电子出版社

［3］杨守君, 黑客技术与网络安全