有http伺服器地址如何去攻擊

『壹』 網路攻擊器的原理是什麼是怎麼向固定的ip地址發起進攻的

常見網路攻擊原理
1.1 TCP SYN拒絕服務攻擊
一般情況下，一個TCP連接的建立需要經過三次握手的過程，即：
1、 建立發起者向目標計算機發送一個TCP SYN報文；
2、 目標計算機收到這個SYN報文後，在內存中創建TCP連接控制塊（TCB），然後向發起者回送一個TCP ACK報文，等待發起者的回應；
3、 發起者收到TCP ACK報文後，再回應一個ACK報文，這樣TCP連接就建立起來了。
利用這個過程，一些惡意的攻擊者可以進行所謂的TCP SYN拒絕服務攻擊：
1、 攻擊者向目標計算機發送一個TCP SYN報文；
2、 目標計算機收到這個報文後，建立TCP連接控制結構（TCB），並回應一個ACK，等待發起者的回應；
3、 而發起者則不向目標計算機回應ACK報文，這樣導致目標計算機一致處於等待狀態。
可以看出，目標計算機如果接收到大量的TCP SYN報文，而沒有收到發起者的第三次ACK回應，會一直等待，處於這樣尷尬狀態的半連接如果很多，則會把目標計算機的資源（TCB控制結構，TCB，一般情況下是有限的）耗盡，而不能響應正常的TCP連接請求。

1.2 ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO後，會回應一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

1.3 UDP洪水

原理與ICMP洪水類似，攻擊者通過發送大量的UDP報文給目標計算機，導致目標計算機忙於處理這些UDP報文而無法繼續處理正常的報文。

1.4 埠掃描

根據TCP協議規范，當一台計算機收到一個TCP連接建立請求報文（TCP SYN）的時候，做這樣的處理：

1、 如果請求的TCP埠是開放的，則回應一個TCP ACK報文，並建立TCP連接控制結構（TCB）；
2、 如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、 如果該報文的目標埠開放，則把該UDP報文送上層協議（UDP）處理，不回應任何報文（上層協議根據處理結果而回應的報文例外）；
2、 如果該報文的目標埠沒有開放，則向發起者回應一個ICMP不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TCP或UDP埠是開放的，過程如下：

1、 發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；
2、 如果收到了針對這個TCP報文的RST報文，或針對這個UDP報文的ICMP不可達報文，則說明這個埠沒有開放；
3、 相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP埠沒有開放）。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

1.5 分片IP報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP分片報文組裝起來。
目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文，這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時），如果攻擊者發送了大量的分片報文，就會消耗掉目標計算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

1.6 SYN比特和FIN比特同時設置

在TCP報文的報頭中，有幾個標志欄位：
1、 SYN：連接建立標志，TCP SYN報文就是把這個標志設置為1，來請求建立連接；
2、 ACK：回應標志，在一個TCP連接中，除了第一個報文（TCP SYN）外，所有報文都設置該欄位，作為對上一個報文的相應；
3、 FIN：結束標志，當一台計算機接收到一個設置了FIN標志的TCP報文後，會拆除這個TCP連接；
4、 RST：復位標志，當IP協議棧接收到一個目標埠不存在的TCP報文的時候，會回應一個RST標志設置的報文；
5、 PSH：通知協議棧盡快把TCP數據提交給上層程序處理。

正常情況下，SYN標志（連接請求標志）和FIN標志（連接拆除標志）是不能同時出現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文，因此，各個操作系統的協議棧在收到這樣的報文後的處理方式也不同，攻擊者就可以利用這個特徵，通過發送SYN和FIN同時設置的報文，來判斷操作系統的類型，然後針對該操作系統，進行進一步的攻擊。

1.7 沒有設置任何標志的TCP報文攻擊

正常情況下，任何TCP報文都會設置SYN，FIN，ACK，RST，PSH五個標志中的至少一個標志，第一個TCP報文（TCP連接請求報文）設置SYN標志，後續報文都設置ACK標志。有的協議棧基於這樣的假設，沒有針對不設置任何標志的TCP報文的處理過程，因此，這樣的協議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標計算機進行攻擊。

1.8 設置了FIN標志卻沒有設置ACK標志的TCP報文攻擊

正常情況下，ACK標志在除了第一個報文（SYN報文）外，所有的報文都設置，包括TCP連接拆除報文（FIN標志設置的報文）。但有的攻擊者卻可能向目標計算機發送設置了FIN標志卻沒有設置ACK標志的TCP報文，這樣可能導致目標計算機崩潰。

1.9 死亡之PING

TCP/IP規范要求IP報文的長度在一定范圍內（比如，0－64K），但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文，導致目標計算機IP協議棧崩潰。

1.10 地址猜測攻擊

跟埠掃描攻擊類似，攻擊者通過發送目標地址變化的大量的ICMP ECHO報文，來判斷目標計算機是否存在。如果收到了對應的ECMP ECHO REPLY報文，則說明目標計算機是存在的，便可以針對該計算機進行下一步的攻擊。

1.11 淚滴攻擊

對於一些大的IP包，需要對其進行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個4500位元組的IP包，在MTU為1500的鏈路上傳輸的時候，就需要分成三個IP包。
在IP報頭中有一個偏移欄位和一個分片標志（MF），如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個IP包中的位置。例如，對一個4500位元組的IP包進行分片（MTU為1500），則三個片斷中偏移欄位的值依次為：0，1500，3000。這樣接收端就可以根據這些信息成功的組裝該IP包。

如果一個攻擊者打破這種正常情況，把偏移欄位設置成不正確的值，即可能出現重合或斷開的情況，就可能導致目標操作系統崩潰。比如，把上述偏移設置為0，1300，3000。這就是所謂的淚滴攻擊。

1.12 帶源路由選項的IP報文

為了實現一些附加功能，IP協議規范在IP報頭中增加了選項欄位，這個欄位可以有選擇的攜帶一些數據，以指明中間設備（路由器）或最終目標計算機對這些IP報文進行額外的處理。

源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導中間設備（路由器）如何轉發該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經過三台路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的介面地址，這樣不論三台路由器上的路由表如何，這個IP報文就會依次經過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸的過程中，其源地址不斷改變，目標地址也不斷改變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的IP地址，而矇混進入網路。

1.13 帶記錄路由選項的IP報文

記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經過一台路由器，該路由器便把自己的介面地址填在選項欄位裡面。這樣這些報文在到達目的地的時候，選項數據裡面便記錄了該報文經過的整個路徑。
通過這樣的報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。

1.14 未知協議欄位的IP報文

在IP報文頭中，有一個協議欄位，這個欄位指明了該IP報文承載了何種協議 ，比如，如果該欄位值為1，則表明該IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前情況下，已經分配的該欄位的值都是小於100的，因此，一個帶大於100的協議欄位的IP報文，可能就是不合法的，這樣的報文可能對一些計算機操作系統的協議棧進行破壞。

1.15 IP地址欺騙

一般情況下，路由器在轉發報文的時候，只根據報文的目的地址查路由表，而不管報文的源地址是什麼，因此，這樣就 可能面臨一種危險：如果一個攻擊者向一台目標計算機發出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達目標計算機後，目標計算機便可能向毫無知覺的第三方計算機回應。這便是所謂的IP地址欺騙攻擊。

比較著名的SQL Server蠕蟲病毒，就是採用了這種原理。該病毒（可以理解為一個攻擊者）向一台運行SQL Server解析服務的伺服器發送一個解析服務的UDP報文，該報文的源地址填寫為另外一台運行SQL Server解析程序（SQL Server 2000以後版本）的伺服器，這樣由於SQL Server 解析服務的一個漏洞，就可能使得該UDP報文在這兩台伺服器之間往復，最終導致伺服器或網路癱瘓。

1.16 WinNuke攻擊

NetBIOS作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享，進程間通信（IPC），以及不同操作系統之間的數據交換。一般情況下，NetBIOS是運行在LLC2鏈路協議之上的，是一種基於組播的網路訪問介面。為了在TCP/IP協議棧上實現NetBIOS，RFC規定了一系列交互標准，以及幾個常用的TCP/UDP埠：

139：NetBIOS會話服務的TCP埠；
137：NetBIOS名字服務的UDP埠；
136：NetBIOS數據報服務的UDP埠。

WINDOWS操作系統的早期版本（WIN95/98/NT）的網路服務（文件共享等）都是建立在NetBIOS之上的，因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文，但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

1.17 Land攻擊

LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發送一個TCP SYN報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文後，就會向該報文的源地址發送一個ACK報文，並建立一個TCP連接控制結構（TCB），而該報文的源地址就是自己，因此，這個ACK報文就發給了自己。這樣如果攻擊者發送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，最終不能正常服務。這也是一種DOS攻擊。

『貳』 如果網路上有這個伺服器web server，攻擊它要怎麼做

首先還是來簡單了解一下有關Web服務的基礎知識。實現篇在Windows2000中只要添加IIS（InternetInformationServer，操作系統自帶的組件），便可輕松實現Web服務。在Windows2000Server中，如果沒有添加IIS，可單擊「開始」，指向「設置」，單擊「控制面板」，雙擊「添加/刪除程序」，選擇「添加刪除Windows組件」，在彈出的「Windows組件向導」窗中「組件」下勾選「Internet信息服務（IIS）」。然後放入系統源盤，單擊「下一步」，顯示「完成'Windows組件向導'」窗後單擊「完成」即可。調試小技巧：Web伺服器有沒有設置好，可用自己的電腦先進行測試。右鍵單擊桌面上的「網上鄰居」圖標，選擇「屬性」，在「本地連接」圖標上單擊右鍵，選擇「屬性」，在連接組件中選擇「Internet協議?TCP/IP?」。單擊「屬性」鈕進入到屬性窗中，勾選「使用下面的IP地址」，如IP地址設為「192.168.0.1」，子網掩碼設為「255.255.255.0」，確定後便可在瀏覽器中輸入「:1200」。SSL埠：在信息傳送過程中，如果我們擔心別人截獲，可採用SSL加密，如我們要指定加密使用的埠，可單擊「IP地址」後的「高級」鈕，然後在「SSL埠」中修改埠號，該埠默認值為「443」，修改後，用戶在瀏覽我們的網頁時同樣需要知道該埠號，否則無法連接到該伺服器，訪問方法也是「域名+埠號」。2、修改主目錄及訪問許可權網頁究竟放在硬碟的哪個地方，可根據自己的需要進行設置。需要注意是在「本地路徑」下有一些對訪問的控制設置，簡要介紹如下：腳本資源訪問：如果用戶訪問已經設置了「讀取」或「寫入」許可權的資源代碼（資源代碼包括ASP應用程序中的腳本），要選中該選項。讀取：如想使別人能對你的網頁進行訪問應當勾選它，它允許用戶讀取或下載文件（目錄）及其相關屬性。寫入：如果允許用戶上傳或更改可寫文件的內容，應當勾選此項。目錄瀏覽：如果允許用戶查看該虛擬目錄中文件及子目錄的超文本列表，則應勾選此項，但為了安全起見，請不要選擇目錄瀏覽。3、設置默認文檔為什麼輸入地址便能打開「default.htm」或「index.htm」等網頁呢？其實這就是各伺服器中設置的默認文檔。單擊「文檔」標簽，在這我們可設定自己的默認頁面，如添加一個「index.htm」。怎麼樣，網上家園的實現並不復雜吧，經過如此一番設置，你的豪宅也裝修得差不多了，趕快進去落戶吧。基礎篇Web伺服器：在網路中為實現信息發布、資料查詢、數據處理等諸多應用搭建基本平台的伺服器。Web伺服器如何工作：在Web頁面處理中大致可分為三個步驟，第一步，Web瀏覽器向一個特定的伺服器發出Web頁面請求；第二步，Web伺服器接收到Web頁面請求後，尋找所請求的Web頁面，並將所請求的Web頁面傳送給Web瀏覽器；第三步，Web伺服器接收到所請求的Web頁面，並將它顯示出來，原理如圖1。HTTP：全名為HypertextTransferProtocol，即超文本傳輸協議，用於傳輸網頁等內容。HTML：HypertextMarkupLanguage，即超文本標記語言，是用於創建Web文檔的標准語言。

『叄』 怎麼攻擊別人網站

首先你要有大量的肉雞，用DDOS攻擊。就是讓你的肉雞全部去連接要攻擊的網站，那樣就會造成網站拒絕服務。

『肆』 網路攻擊

我來告訴你怎樣減少受到網路攻擊!!!
現在，使用ADSL的用戶越來越多，由於ADSL用戶在線時間長、速度快，因此成為黑客們的攻擊目標。現在網上出現了各種越來越詳細的「IP地址庫」，要知道一些ADSL用戶的IP是非常容易的事情。要怎麼保衛自己的網路安全呢？不妨看看以下方法。
一、取消文件夾隱藏共享

如果你使用了Windows 2000/XP系統，右鍵單擊C盤或者其他盤，選擇共享，你會驚奇地發現它已經被設置為「共享該文件夾」，而在「網上鄰居」中卻看不到這些內容，這是怎麼回事呢？

原來，在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」，就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網路安全帶來了極大的隱患。

怎麼來消除默認共享呢？方法很簡單，打開注冊表編輯器，進入「HKEY_LOCAL_」，新建一個名為「AutoShareWKs」的雙位元組值，並將其值設為「0」，然後重新啟動電腦，這樣共享就取消了。

二、拒絕惡意代碼

惡意網頁成了寬頻的最大威脅之一。以前使用Modem，因為打開網頁的速度慢，在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬頻的速度這么快，所以很容易就被惡意網頁攻擊。

一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序，只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。

運行IE瀏覽器，點擊「工具/Internet選項/安全/自定義級別」，將安全級別定義為「安全級-高」，對「ActiveX控制項和插件」中第2、3項設置為「禁用」，其它項設置為「提示」，之後點擊「確定」。這樣設置後，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊。

三、封死黑客的「後門」

俗話說「無風不起浪」，既然黑客能進入，那說明系統一定存在為他們打開的「後門」，只要堵死這個後門，讓黑客無處下手，便無後顧之憂！

1.刪掉不必要的協議

對於伺服器和主機來說，一般只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」，選擇「屬性」，再滑鼠右擊「本地連接」，選擇「屬性」，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對於不需要提供文件和列印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」，進入「高級TCP/IP設置」對話框，選擇「WINS」標簽，勾選「禁用TCP/IP上的NETBIOS」一項，關閉NETBIOS。

2.關閉「文件和列印共享」

文件和列印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下，我們可以將它關閉。用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。

雖然「文件和列印共享」關閉了，但是還不能確保安全，還要修改注冊表，禁止它人更改「文件和列印共享」。打開注冊表編輯器，選擇「HKEY_CURRENT_」主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為「NoFileSharingControl」，鍵值設為「1」表示禁止這項功能，從而達到禁止更改「文件和列印共享」的目的；鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。

3.把Guest賬號禁用

有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊「用戶和密碼」，單擊「高級」選項卡，再單擊「高級」按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在「常規」頁中選中「賬戶已停用」。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。

4.禁止建立空連接

在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉賬號並猜測密碼。因此，我們必須禁止建立空連接。方法有以下兩種：

方法一是修改注冊表：打開注冊表「HKEY_LOCAL_」，將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。

最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的！

四、隱藏IP地址

黑客經常利用一些網路探測技術來查看我們的主機信息，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等於為他的攻擊准備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。

與直接連接到Internet相比，使用代理伺服器能保護上網用戶的IP地址，從而保障上網安全。代理伺服器的原理是在客戶機（用戶上網的計算機）和遠程伺服器（如用戶想訪問遠端WWW伺服器）之間架設一個「中轉站」，當客戶機向遠程伺服器提出服務要求後，代理伺服器首先截取用戶的請求，然後代理伺服器將服務請求轉交遠程伺服器，從而實現客戶機和遠程伺服器之間的聯系。很顯然，使用代理伺服器後，其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理伺服器的網站有很多，你也可以自己用代理獵手等工具來查找。

五、關閉不必要的埠

黑客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用「Norton Internet Security」關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

六、更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

七、杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法，所以要杜絕基於Guest帳戶的系統入侵。

禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼，然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說，如果你要防止Guest用戶可以訪問tool文件夾，可以右擊該文件夾，在彈出菜單中選擇「安全」標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權，比方說只能「列出文件夾目錄」和「讀取」等，這樣就安全多了。

八、安裝必要的安全軟體

我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。

九、防範木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟體來檢測，起到提前預防的作用。

● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。

十、不要回陌生人的郵件

有些黑客可能會冒充某些正規網站的名義，然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼，如果按下「確定」，你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當。

做好IE的安全設置

ActiveX控制項和 Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控制項編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是：「工具」→「Internet選項」→「安全」→「自定義級別」，建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯！

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這里隱藏了「我的電腦」的安全性設定，通過修改注冊表把該選項打開，可以使我們在對待ActiveX控制項和 Applets時有更多的選擇，並對本地電腦安全產生更大的影響。

下面是具體的方法：打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe，打開注冊表編輯器，點擊前面的「+」號順次展開到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值「Flags」，默認鍵值為十六進制的21(十進制33)，雙擊「Flags」，在彈出的對話框中將它的鍵值改為「1」即可，關閉注冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊「工具→Internet選項→安全」標簽，你就會看到多了一個「我的電腦」圖標，在這里你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。

『伍』 知道了別人大IP地址.但是怎麼去攻擊它有什麼軟體嗎

恩~問題很嚴重啊 1--別人也用了類似p2p終結的軟體來企圖限制你，但他不知道一個內網一旦出現多台p2p類流量限制軟體就會造成網路的崩潰，你上不了，他照樣也上不了，等你把p2p停了，他就乘機上； 2--ip重復的解決辦法：網卡IP地址是通過區域網的伺服器自動分配的，在Windows 2000等操作系統上，可以單擊「開始」按鈕，選擇「附件」中的「命令提示符」，在命令行狀態下輸入「ipconfig /renew」，讓系統釋放當前的IP地址，重新獲得一個新的地址。在Windows 98中，則可以單擊「開始」按鈕，選擇「運行」，鍵入「winipcfg」，並在出現的對話框上選擇釋放當前IP，然後重新獲取一個； 3--不知道是否中了病毒，不過中毒的電腦應該是攻擊本身不是對外攻擊吧~ ip沖突可以肯定跟病毒沒有關系； 4--2個防火牆沒有太大區別，你看哪個比較強就用哪個，攔截能力直接關繫到你的網速，現在你能上可以說是很幸運了（在到處都用下載工具的地方生存著實不容易），如果你沒有ARP防火牆，是連網都上不了的； 5--要實現反擊，建議先檢查一下自己的電腦是否已經中了ARP病毒發作導致網速慢 這里是檢查方法太長了我就不復制了 http://..com/question/25608422.html?fr=qrl 確定狀況良好後先用金山ARP防火牆，它可以攔截ARP攻擊，而且可以記錄MAC的地址，你再用P2P軟體查詢出MAC地址相對應的IP地址． 再去下載攻擊軟體就可以了嘛．（網路執法官、P2P終結者，QQ第六感等等） 不過不建議攻擊 己所不欲 勿施於人

『陸』 如何防範伺服器被攻擊

不管哪種DDoS攻擊，，當前的技術都不足以很好的抵禦。現在流行的DDoS防禦手段——例如黑洞技術和路由器過濾，限速等手段，不僅慢，消耗大，而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊，防火牆提供的保護也受到其技術弱點的限制。其它策略，例如大量部署伺服器，冗餘設備，保證足夠的響應能力來提供攻擊防護，代價過於高昂。

黑洞技術

黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程，將改向的包引進「黑洞」並丟棄，以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄，所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務，攻擊者因而獲得勝利。

路由器

許多人運用路由器的過濾功能提供對DDoS攻擊的防禦，但對於現在復雜的DDoS攻擊不能提供完善的防禦。

路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊，例如ping攻擊。這需要一個手動的反應措施，並且往往是在攻擊致使服務失敗之後。另外，現在的DDoS攻擊使用互聯網必要的有效協議，很難有效的濾除。路由器也能防止無效的或私有的IP地址空間，但DDoS攻擊可以很容易的偽造成有效IP地址。

基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊，因為uRPF的基本原理是如果IP地址不屬於應該來自的子網網路阻斷出口業務。然而，DDoS攻擊能很容易偽造來自同一子網的IP地址，致使這種解決法案無效。

防火牆

首先防火牆的位置處於數據路徑下游遠端，不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護，從而將那些易受攻擊的組件留給了DDoS攻擊。此外，因為防火牆總是串聯的而成為潛在性能瓶頸，因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。

其次是反常事件檢測缺乏的限制，防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話，然後只接收「不幹凈」一側期望源頭發來的特定響應。然而，這對於一些開放給公眾來接收請求的服務是不起作用的，比如Web、DNS和其它服務，因為黑客可以使用「被認可的」協議（如HTTP）。

第三種限制，雖然防火牆能檢測反常行為，但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到，防火牆能停止與攻擊相聯系的某一特定數據流，但它們無法逐個包檢測，將好的或合法業務從惡意業務中分出，使得它們在事實上對IP地址欺騙攻擊無效。

IDS入侵監測

IDS解決方案將不得不提供領先的行為或基於反常事務的演算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整，而且經常誤報，並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。

作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊，但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器，但正如前面敘述的，這對於緩解DDoS攻擊效率很低，即便是用類似於靜態過濾串聯部署的IDS也做不到。

DDoS攻擊的手動響應

作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該消息來源。對於地址欺騙的情況，嘗試識別消息來源是一個長期和冗長的過程，需要許多提供商合作和追蹤的過程。即使來源可被識別，但阻斷它也意味同時阻斷所有業務——好的和壞的。

『柒』 伺服器如何防禦ddos攻擊

一、確保伺服器系統安全

雲霸天下IDC高防IP

1、隱藏伺服器真實IP

2、關閉不必要的服務或埠

3、購買高防提高承受能力

4、限制SYN/ICMP流量

5、網站請求IP過濾

6、部署DNS智能解析

7、提供餘量帶寬

目前而言，DDOS攻擊並沒有最好的根治之法，做不到徹底防禦，只能採取各種手段在一定程度上減緩攻擊傷害。所以平時伺服器的運維工作還是要做好基本的保障。

『捌』 黑客是怎樣實施域名劫持攻擊的

原理：
域名解析（DNS）的基本原理是把網路地址（域名，以一個字元串的形式）對應到真實的計算機能夠識別的網路地址（IP地址，比如216.239.53.99 這樣的形式），以便計算機能夠進一步通信，傳遞網址和內容等。
由於域名劫持往往只能在特定的被劫持的網路范圍內進行，所以在此范圍外的域名伺服器(DNS)能夠返回正常的IP地址，高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址，則可以直接用此IP代替域名後進行訪問。比如訪問谷歌 ，可以把訪問改為http://216.239.53.99/ ，從而繞開域名劫持。

過程：
由於域名劫持只能在特定的網路范圍內進行，所以范圍外的域名伺服器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內封鎖正常DNS的IP地址，使用域名劫持技術，通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄，或將域名轉讓到其他組織，通過修改注冊信息後在所指定的DNS伺服器加進該域名記錄，讓原域名指向另一IP的伺服器，讓多數網民無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實施步驟如下：
一、獲取劫持域名注冊信息：首先攻擊者會訪問域名查詢站點，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳號：此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解，有能力的攻擊者將直接對該E-MAIL進行入侵行為，以獲取所需信息。
三、修改注冊信息：當攻擊者破獲了E-MAIL後，會利用相關的MAKE CHANGES功能修改該域名的注冊信息，包括擁有者信息，DNS伺服器信息等。
四、使用E-MAIL收發確認函：此時的攻擊者會在信件帳號的真正擁有者之前，截獲網路公司回饋的網路確認注冊信息更改件，並進行回件確認，隨後網路公司將再次回饋成功修改信件，此時攻擊者成功劫持域名。

缺點：
它不是很穩定，在某些網路速度快的地方，真實的IP地址返回得比竊持軟體提供的假地址要快，因為監測和返回這么巨大的數據流量也是要花費一定時間的。
在網上查詢域名的正確IP非常容易。一個是利用海外的一些在線IP地址查詢服務，可以查找到網站的真實IP地址。在Google上搜索"nslookup"，會找到更多類似的服務。
參考資料：全球互聯網的13台DNS根伺服器分布

『玖』 搭建http伺服器時應注意什麼問題，怎樣防止別人的攻擊

系統安全性重要啊，lunix的最好了，懂得人少就安全性高，反之維護起來就更麻煩。伺服器系統的配置好了就不會有什麼問題，畢竟要攻擊一台伺服器沒事別人也不會去搞。

『拾』 怎麼攻擊對方電腦以知對方IP,且對方在線

點擊開始→運行→cmd→輸入 ping 加他的IP -l size -t

以下可借鑒:
下面介紹一種WIN9X下的入侵方法: 1.取得對方IP地址如XX.XX.XX.XX，方法太多不細講了。 2.判斷對方上網的地點，開個DOS窗口鍵入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是對方的上網地點。 3.得到對方電腦的名稱，開個DOS窗口鍵入 NBTSTAT -A XX.XX.XX.XX 第一行是對方電腦名稱 第二行是對方電腦所在工作組第三行是對方電腦的說明 4.在Windows目錄下有一文件名為LMHOSTS.SAM，將其改名為LMHOSTS，刪除其內容，將對方的IP及電腦名按以下格式寫入文件： XX.XX.XX.XX 電腦名 5.開DOS窗口鍵入 NBTSTAT -R 6.在開始-查找-電腦中輸入對方電腦名，出現對方電腦點擊即可進入。以上方法請不要亂用，本人對你用上面的方法所惹出的麻煩概不負責，請慎重。 對付上面進攻的最好辦法就是隱藏你的IP地址。

ping 命令的用法Ping
��Ping是個使用頻率極高的實用程序，用於確定本地主機是否能與另一台主機交換（發送與接收）數據報。根據返回的信息，你就可以推斷TCP/IP參數是否設置得正確以及運行是否正常。需要注意的是：成功地與另一台主機進行一次或兩次數據報交換並不表示TCP/IP配置就是正確的，你必須執行大量的本地主機與遠程主機的數據報交換，才能確信TCP/IP的正確性。
��簡單的說，Ping就是一個測試程序，如果Ping運行正確，你大體上就可以排除網路訪問層、網卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的范圍。但由於可以自定義所發數據報的大小及無休止的高速發送，Ping也被某些別有用心的人作為DDOS（拒絕服務攻擊）的工具，前段時間Yahoo就是被黑客利用數百台可以高速接入互聯網的電腦連續發送大量Ping數據報而癱瘓的。
��按照預設設置，Windows上運行的Ping命令發送4個ICMP（網間控制報文協議）回送請求，每個32位元組數據，如果一切正常，你應能得到4個回送應答。
��Ping能夠以毫秒為單位顯示發送回送請求到返回回送應答之間的時間量。如果應答時間短，表示數據報不必通過太多的路由器或網路連接速度比較快。Ping還能顯示TTL（Time To Live存在時間）值，你可以通過TTL值推算一下數據包已經通過了多少個路由器：源地點TTL起始值（就是比返回TTL略大的一個2的乘方數）-返回時TTL值。例如，返回TTL值為119，那麼可以推算數據報離開源地址的TTL起始值為128，而源地點到目標地點要通過9個路由器網段（128-119）；如果返回TTL值為246，TTL起始值就是256，源地點到目標地點要通過9個路由器網段。
通過Ping檢測網路故障的典型次序
��正常情況下，當你使用Ping命令來查找問題所在或檢驗網路運行情況時，你需要使用許多Ping命令，如果所有都運行正確，你就可以相信基本的連通性和配置參數沒有問題；如果某些Ping命令出現運行故障，它也可以指明到何處去查找問題。下面就給出一個典型的檢測次序及對應的可能故障：
ping 127.0.0.1--這個Ping命令被送到本地計算機的IP軟體，該命令永不退出該計算機。如果沒有做到這一點，就表示TCP/IP的安裝或運行存在某些最基本的問題。
ping 本機IP--這個命令被送到你計算機所配置的IP地址，你的計算機始終都應該對該Ping命令作出應答，如果沒有，則表示本地配置或安裝存在問題。出現此問題時，區域網用戶請斷開網路電纜，然後重新發送該命令。如果網線斷開後本命令正確，則表示另一台計算機可能配置了相同的IP地址。
ping 區域網內其他IP--這個命令應該離開你的計算機，經過網卡及網路電纜到達其他計算機，再返回。收到回送應答表明本地網路中的網卡和載體運行正確。但如果收到0個回送應答，那麼表示子網掩碼（進行子網分割時，將IP地址的網路部分與主機部分分開的代碼）不正確或網卡配置錯誤或電纜系統有問題。
ping 網關IP--這個命令如果應答正確，表示區域網中的網關路由器正在運行並能夠作出應答。
ping 遠程IP--如果收到4個應答，表示成功的使用了預設網關。對於撥號上網用戶則表示能夠成功的訪問Internet（但不排除ISP的DNS會有問題）。
ping localhost--localhost是個作系統的網路保留名，它是127.0.0.1的別名，每太計算機都應該能夠將該名字轉換成該地址。如果沒有做到這一帶內，則表示主機文件（/Windows/host）中存在問題。
ping www.yahoo.com--對這個域名執行Pin ... 地址，通常是通過DNS 伺服器 如果這里出現故障，則表示DNS伺服器的IP地址配置不正確或DNS伺服器有故障（對於撥號上網用戶，某些ISP已經不需要設置DNS伺服器了）。順便說一句：你也可以利用該命令實現域名對IP地址的轉換功能。
��如果上面所列出的所有Ping命令都能正常運行，那麼你對你的計算機進行本地和遠程通信的功能基本上就可以放心了。但是，這些命令的成功並不表示你所有的網路配置都沒有問題，例如，某些子網掩碼錯誤就可能無法用這些方法檢測到。
Ping命令的常用參數選項
ping IP -t--連續對IP地址執行Ping命令，直到被用戶以Ctrl+C中斷。
ping IP -l 2000--指定Ping命令中的數據長度為2000位元組，而不是預設的32位元組。
ping IP -n--執行特定次數的Ping命令。
Netstat ��Netstat用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用於檢驗本機各埠的網路連接情況。
如果你的計算機有時候接受到的數據報會導致出錯數據刪除或故障，你不必感到奇怪，TCP/IP可以容許這些類型的錯誤，並能夠自動重發數據報。但如果累計的出錯情況數目佔到所接收的IP數據報相當大的百分比，或者它的數目正迅速增加，那麼你就應該使用Netstat查一查為什麼會出現這些情況了。
---------------------
ping的幾個常見用法
用了這么久的ping命令，這是我第一次把相關的經驗總結寫出來，希望大家喜歡。
先來說說ping的工作原理：
ping的過程實際上就是一個發送icmp echo請求的過程，發送該數據包到被ping 的一方，要求對方響應並回答該數據包，對方收到後，當然就老老實實地答復你了，也許大家奇怪，為什麼從ping的結果中會得到ip地址，這是因為，對方做出的icmp響應並不能簡單地用icmp進行封包就進行傳輸，而是要經過ip協議進行封裝並傳輸的，學過tcp/ip的人都知道，在ip協議對數據包進行封裝的時候，會自動將目的地址和源地址寫進包頭，這樣一來，在回應的信息中我們就可以看到對方的ip地址了 。
一個ping的返回結果：
c:\>ping python
pinging python [192.168.0.2] with 32 bytes of data:
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
ping statistics for 192.168.0.2:
packets: sent = 4, received = 4, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
從上面這個結果中我們除了獲得ip地址，還可以獲得ttl（time to life，生命周期），ttl是每經過一個路由器就會被減一的一個值，通過ttl的值我們可以簡單地判斷對方的操作系統和經過的路由器的個數。
默認情況下ttl=128為windows，而ttl=255為unix
接下來看一下ping的幾個參數（這里針對幾個比較有用的講一講）：
options:
-t 加上該參數，就是不斷地ping對方，直到按ctrl+c結束
-a 這個參數是解析主機名到ip地址，如下例：
c:\>ping -a 192.168.0.2 -n 1
pinging python [192.168.0.2] with 32 bytes of data:
reply from 192.168.0.2: bytes=32 time<10ms ttl=255
ping statistics for 192.168.0.2:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
注意看這一行「pinging python [192.168.0.2] with 32 bytes of data:」得到主機名python
注意：這個參數只有在區域網內才起作用的
-n count 這個參數可以定製數據echo請求數據包的發送個數，例如上面，我使用-n 1
-l size 該參數定製發送數據包的大小，windows中最大為65500，命令格式：ping ip -l 65500
默認發送的數據包大小為32bytes
-f 在網路上傳輸數據的時候，當數據包的大小超過網路的允許大小的時候，就要進行分段， 然而，該參數的作用就是不允許發送的數據包分段。建議不要使用這個，因為，如果不了 解網路對數據包大小的要求的話，設置該位可能會導致數據無法傳輸，下面兩個結果大家 可以比較一下：
例1：
c:\>ping 192.168.0.1 -l 64 -n 1 -f
pinging 192.168.0.1 with 64 bytes of data:
reply from 192.168.0.1: bytes=64 time<10ms ttl=128
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
例2：
c:\>ping 192.168.0.1 -l 1500 -n 1 -f
pinging 192.168.0.1 with 1500 bytes of data:
packet needs to be fragmented but df set.（這句話的意思就是，網路要求分段，而該數據中的分段位又被 設置為不允許分段，這就導致數據無法傳送）
ping statistics for 192.168.0.1:
packets: sent = 1, received = 0, lost = 1 (100% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
大家有興趣可以試試，這樣多試幾次可以試出在你的網路中數據包每段大概被分為多大（不過很辛苦哦）。
-i ttl 這是用來設置生命周期（ttl）的，沒什麼好說的吧，如果不懂的再問吧
-v tos 設置tos（服務類型）的，對此不多闡述，因為關於tos雖然見的不多，但是，其實是有很 多東西值得講的，如果多說就說不完了，而且也不好敘述，所以大家看一下相關書籍了解 一下，關於這方面有不懂的再提問吧。
-r count 這個參數很有意思，有點類似tracert了，作用就是記錄經過的路由器，拿個例子來：
c:\>ping 192.168.0.1 -r 1 -n 1
pinging 192.168.0.1 with 32 bytes of data:
reply from 192.168.0.1: bytes=32 time<10ms ttl=128
route: 192.168.0.1
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
注意這一行「route: 192.168.0.1」這就是經過的路由器，因為我這里只有兩台計算機，沒有路由器，所以記錄下來的就是默認路由了（也就是被ping主機本身）。大家可以這樣做：ping http://www.sina.com.cn -r 9
會記錄經過的9部路由器的地址哦 ……
注意：-r參數後面的值最小為1，最大為9，也就是說，最多隻能記錄9台（這就不如tracert命令了）。
-w timeout 這個就是用來設置超時的。
c:\>ping 192.168.0.1 -w 1 -n 1
pinging 192.168.0.1 with 32 bytes of data:
reply from 192.168.0.1: bytes=32 time<10ms ttl=128
ping statistics for 192.168.0.1:
packets: sent = 1, received = 1, lost = 0 (0% loss),
approximate round trip times in milli-seconds:
minimum = 0ms, maximum = 0ms, average = 0ms
這個沒有什麼好說的吧，如果感覺線路不怎麼樣，傳輸速度比較慢，那麼，把這個值設置得大一些。
注意：該值後面的timeout的單位是毫秒（ms）