（一）黑客常用手段

1、網絡掃描--在Internet上進行廣泛搜索，以找出特定計算機或軟件中的弱點。

2、網絡嗅探程序--偷偷查看通過Internet的數據包，以捕獲口令或全部內容。通過安裝偵聽器程序來監視網絡數據流，從而獲取連接網絡系統時用戶鍵入的用戶名和口令。

3、拒絕服務-通過反復向某個Web站點的設備發送過多的信息請求，黑客可以有效地堵塞該站點上的系統，導致無法完成應有的網絡服務項目(例如電子郵件系統或聯機功能)，稱為“拒絕服務”問題。

4、欺騙用戶--偽造電子郵件地址或Web頁地址，從用戶處騙得口令、信用卡號碼等。欺騙是用來騙取目標系統，使之認為信息是來自或發向其所相信的人的過程。欺騙可在IP層及之上發生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等）。當一臺主機的IP地址假定為有效，并為Tcp和Udp服務所相信。利用IP地址的源路由，一個攻擊者的主機可以被偽裝成一個被信任的主機或客戶。

5、特洛伊木馬--一種用戶察覺不到的程序，其中含有可利用一些軟件中已知弱點的指令。

[摘要]隨著計算機技術的不斷發展，網絡安全問題變得越來越受人關注。而了解網絡攻擊的方法和技術對于維護網絡安全有著重要的意義。本文對網絡攻擊的一般步驟做一個總結和提煉，針對各個步驟提出了相關檢測的方法。

[關鍵詞]掃描權限后門

信息網絡和安全體系是信息化健康發展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發展，現有信息網絡系統的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等，下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發生時數據流所具有的特征。

一、利用數據流特征來檢測攻擊的思路

摘要：采用確定的有限狀態自動機理論對復雜的網絡攻擊行為進行形式化描述，建立了SYN－Flooding等典型攻擊的自動機識別模型。通過這些模型的組合可以表示更為復雜的網絡攻擊行為，從而為研究網絡入侵過程提供了一種更為直觀的形式化手段。

關鍵詞：計算機網絡；有限狀態自動機；網絡攻擊

0引言

隨著計算機網絡的普及應用，網絡安全技術顯得越來越重要。入侵檢測是繼防火墻技術之后用來解決網絡安全問題的一門重要技術。該技術用來確定是否存在試圖破壞系統網絡資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規模、協同化方向發展。面對這些日趨復雜的網絡入侵行為，采用什么方法對入侵過程進行描述以便更為直觀地研究入侵過程所體現出的行為特征已成為入侵檢測技術所要研究的重要內容。顯然，可以采用自然語言來描述入侵過程。該方法雖然直觀，但存在語義不確切、不便于計算機處理等缺點。Tidwell提出利用攻擊樹來對大規模入侵建模，但攻擊樹及其描述語言均以攻擊事件為主體元素，對系統狀態變化描述能力有限[1，2]。隨著系統的運行，系統從一個狀態轉換為另一個狀態；不同的系統狀態代表不同的含義，這些狀態可能為正常狀態，也可能為異常狀態。但某一時刻，均存在某種確定的狀態與系統相對應。而系統無論如何運行最終均將處于一種終止狀態（正常結束或出現故障等），即系統的狀態是有限的。系統狀態的轉換過程可以用確定的有限狀態自動機（DeterministicFiniteAutomation，DFA）進行描述。這種自動機的圖形描述（即狀態轉換圖）使得入侵過程更為直觀，能更為方便地研究入侵過程所體現出的行為特征。下面就采用自動機理論來研究入侵過程的形式化描述方法。

1有限狀態自動機理論

有限狀態自動機M是一種自動識別裝置，它可以表示為一個五元組：

背景：本研究尋求評估精神科門診患者憤怒和攻擊的水平，并確定憤怒是否象抑郁和焦慮一樣，是這些患者突出的一種情感狀態。我們也尋求確定哪一種軸Ⅰ和軸Ⅱ障礙與主觀憤怒和攻擊行為的增加有關。

方法：對1300例精神科門診患者進行半定式訪談，評估目前DSM-Ⅳ軸Ⅰ（N=1300）和軸Ⅱ障礙（N=687）。評估最近一周內每一個患者的憤怒和攻擊水平，計算每一種障礙的比數比（Oddsratios）。采用多元回歸分析確定哪一種精神障礙是患者憤怒和攻擊行為的獨立影響因素。

結果：大約一半的樣本報告目前有中度至重度的憤怒，大約四分之一在最近一周內有攻擊行為。憤怒的水平與患者報告的抑郁心境和精神焦慮的水平相當。重性抑郁障礙、雙相Ⅰ型障礙、間歇性沖動障礙和B族人格障礙是憤怒和攻擊的獨立影響因素。“公務員之家有”版權所

結論：精神科門診患者有突出的憤怒和攻擊，其水平與抑郁和焦慮相當；這樣，常規檢查這些癥狀對于臨床醫生來說就很重要。

摘要：要保護好自己的網絡不受攻擊，就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解，只有這樣才能更有效、更具有針對性的進行主動防護。下面就對攻擊方法的特征進行分析，來研究如何對攻擊行為進行檢測與防御。

關鍵詞：網絡攻擊防御入侵檢測系統

反攻擊技術的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息，一種是通過網絡偵聽的途徑來獲取所有的網絡信息，這既是進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統和應用程序的系統日志進行分析，來發現入侵行為和系統潛在的安全漏洞。

一、攻擊的主要方式

對網絡的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統配置的缺陷”，“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前為止，已經發現的攻擊方式超過2000種，其中對絕大部分攻擊手段已經有相應的解決方法，這些攻擊大概可以劃分為以下幾類：

(一)拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

“與那些血腥的殺人武器和手段相比，網絡武器似乎是‘無害’的。即便是一場全面的網絡攻擊也不可能造成像一次常規武器空襲或地面入侵一樣的傷害，所以說網絡戰爭是沒有硝煙的戰爭。……但是，網絡戰爭帶來的損害是巨大的。一旦全面展開，遭受攻擊的一方可能面臨軍事安全或國民經濟全面崩潰的危險。”［1］(P198)在這種情況下，我們實在無法要求受害國在受到這類網絡武力攻擊時依然保持無動于衷而不行使自衛權。1945年《聯合國憲章》第2條第4款以及第51條為國家行使自衛權提供了國際法的依據和基礎，特別是第51條規定:“聯合國任何會員國受武力攻擊時，在安全理事會采取必要辦法，以維持國際和平及安全以前，本憲章不得認為禁止行使單獨或集體自衛之自然權利。會員國因行使此項自衛權而采取之辦法，應立向安全理事會報告，此項辦法于任何方面不得影響該會按照本憲章隨時采取其所認為必要行動之權責，以維持或恢復國際和平及安全。”然而，比較棘手的問題是，面對來自于網絡這種特定類型的武力攻擊，國家到底應如何合法和適當地行使國際法所賦予的自衛權?對于這個問題，事實上，我們并不能輕松自如地進行回答。在這里，依據憲章第51條的規定，有5個與自衛權行使有關的條件特別需要進行討論。

一、網絡攻擊構成武力攻擊需要滿足的條件

使用武力和武力攻擊是兩個不同的法律概念，分別出現在憲章第2條第4款和第51條之中。很顯然，就行使自衛權而言，使用武力不等同于武力攻擊。這意味著，并非所有非法使用武力的形式都可視為武力攻擊，或者換句話說，并非所有非法武力行為都可以自衛的武力來抵制。［2］(P21)然而，不幸的是，現有國際法并沒有對基于網絡攻擊行為是否可以認定為傳統意義上的“武力攻擊”作出明確的規定。《聯合國憲章》第51條的規定只是提到了“武力攻擊”一詞，沒有對什么是“武力攻擊”以及構成“武力攻擊”的條件包括哪些等問題進行回答。不過，1977年《日內瓦公約第一附加議定書》第49條對于武力攻擊的定義和適用范圍作出了規定:“一、‘攻擊’是指不論在進攻或防御中對敵人的暴力行為。二、本議定書關于攻擊的規定，適用于不論在什么領土內的一切攻擊，包括在屬于沖突一方但在敵方控制領土內的攻擊。”可見，基于人道保護的考慮，上述議定書對于什么是武力攻擊的行為的要求標準顯得比較寬松和包容，只是簡單地將“在進攻或防御中對敵人的暴力行為”都視為是武力攻擊的行為，而且主要是指在戰爭中爆發的武力攻擊行為，因而一般不能以此作為判斷網絡攻擊是否構成武力攻擊的標準。在和平時期，網絡攻擊構成武力攻擊的標準顯然要嚴格得多，因為普通的網絡攻擊并不能當然地視為武力攻擊。但當今時代網絡發展的兩個特點使得我們不能排除網絡攻擊構成武力攻擊的可能性，這主要因為:一是在現代戰爭中，各國武器系統的各類平臺越來越多地依賴于軟件、計算機硬件和戰場網絡，因而也易受到來自網絡的攻擊。雖然這些武器系統的安全措施也在隨著網絡技術的發展和使用而不斷加強，但它們受到網絡攻擊的可能性也越來越大，一旦遭受網絡攻擊，其后果將會變得不可預測。二是當今的網絡系統日益發達，互聯互通已經變得相當普遍，民用網絡基礎設施系統和軍用網絡設施系統的界限也變得日益模糊，在這種情況下，基于網絡攻擊導致的破壞性同樣難以預知。有學者認為，電腦攻擊作為一種“武力攻擊”，它的密度和后果在嚴重性上應當同傳統武力攻擊造成的后果相同。也就是說，外國發動的、一時擾亂另一國家當地電話公司，造成一小部分人不能使用電話服務的活動不能和“武裝進攻”相提并論。相反，故意更改化學或生物公司的控制系統，從而導致大量有毒氣體擴散到人口稠密區的電腦攻擊，很可能被認為與武裝進攻相同。［3］(P863)自衛權是由武力攻擊而非使用武力所引起的這一事實清楚說明，達到武力攻擊門檻的使用武力應當具有最嚴重的性質，如造成人員傷亡或重大財產損失，只有具有最嚴重性質的使用武力才構成武力攻擊，反之則不能視為武力攻擊。［2］(P22)1986年國際法院在“尼加拉瓜一案”中指出，武力攻擊不僅包括一國的正規部隊越過國際邊界的直接攻擊行為，而且，還包括一國派遣或代表該國派遣武裝團隊或雇傭兵到另一國的間接攻擊，如果他們在另一國內進行武力行為的嚴重性等同于正規部隊進行的實際武力攻擊的話。［4］(PP103－104)因此，如果一個網絡攻擊為一個國家的政府部門或軍方直接或間接所為，并且是一種非常嚴重的使用武力行為，同時導致了有關國家人員和財產大規模傷亡或巨大傷害，則該網絡攻擊行為應該視為武力攻擊。

二、網絡武力攻擊的實施者一般應是國家

2011年5月16日，美國政府公布了一份題為《網絡空間國際戰略》的文件。這份文件稱美國將通過多邊和雙邊合作確立新的國際行為準則，加強網絡防御的能力，減少針對美國政府、企業，尤其是對軍方網絡的入侵。在這份文件中，美國高調宣布“網絡攻擊就是戰爭”，并且，美國還表示，如果網絡攻擊威脅到美國國家安全，將不惜動用軍事力量。然而，在實踐中，“網絡攻擊就是戰爭”的結論并不能輕易地做出。如何區分來自政府和普通黑客的網絡攻擊?如果處理不當，將導致自衛權行使的無針對性，進而導致防衛對象錯誤，由此將引發嚴重后果。如一國軍方黑客調用他國導彈程序攻擊第三國，在這種情況下責任如何分擔?自衛權具體如何行使?一般地，在一個國家行駛自衛權之前必須弄清楚攻擊的來源或確定實施攻擊行為的主體。對于一個國家軍方網站或政府網站受到網絡攻擊的問題，我們如何能確定到底是誰施加了這樣一個“攻擊行為”?是某個國家的軍方人士?還是一個惡作劇的黑客?或者是一個普通的網民?抑或是一個恐怖主義團體?非常明顯的一個事實是，依據《聯合國憲章》的有關規定，在國際法上行使自衛權的主體應是國家而非個人。因而個人實施的網絡攻擊行為一般不能構成國家行使自衛權的理由，這就需要著重考慮某個網絡攻擊行為是由單個黑客所為，還是犯罪團伙或者政府的故意操縱行為。當然，如果有充分的證據表明，黑客或其它個人對他國網絡實施的攻擊行為是由政府或軍方幕后指使做出的，這種個人實施的一般性網絡攻擊行為就可以歸因于國家行為，從而也可能引發受害國行使自衛權。然而，棘手的問題是，在實踐中要分析和確認網絡中襲擊者的具體身份到底是個人還是國家是非常困難的，因為大量案例表明，大規模網絡攻擊大多是借助成千上萬的“跳板機”①經過多次跳轉最終實現攻擊的，而跳板機可能遍布世界各地。因此，要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實施的網絡攻擊行為實際是非常困難的。

三、聯合國任何會員國受武力攻擊時

攻擊特征自動提取定義與分類

攻擊特征自動提取分為攻擊發現和提取特征兩個基本步驟。因此，與入侵檢測系統可以分為網絡IDS（NIDS）和主機IDS（HIDS）類似，根據發現攻擊的位置不同，攻擊特征自動提取也可以分為基于網絡和基于主機的兩大類，分別簡記為NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通過分析網絡上的可疑數據來提取字符型的特征。字符型的特征是指通過字符串（二進制串）的組成、分布或頻率來描述攻擊。NSG系統一般通過數據流分類器或Honeypot系統來發現網絡數據中可疑的攻擊行為，并獲得可能包括了攻擊樣本的可疑網絡數據；然后將其分成兩個部分，一部分NSG系統［8～9］對這些可疑數據進行聚類，使得來自同一攻擊的數據聚為一類，再對每一類提取出攻擊特征，另一部分NSG系統則沒有聚類過程，而是直接分析混合了多個攻擊樣本的數據，提取可以檢測多個攻擊的特征。最終NSG系統將提取出的攻擊特征轉化為檢測規則，應用于IDS系統的檢測。2）HSG主要是指檢測主機的異常并利用在主機上采集的信息來提取攻擊特征。根據獲得主機信息的多少，HSG又可以進一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼，通過監視程序執行發現攻擊行為的發生，進而對照源程序提取出攻擊特征；灰盒HSG方法不需要程序源代碼，但是必須密切地監視程序的執行情況，當發現攻擊后通過對進程上下文現場的分析提取攻擊特征；黑盒HSG方法最近才提出，它既不需要程序源代碼也不需要監視程序的執行，而是通過自己產生的“測試攻擊數據”對程序進行攻擊，如果攻擊成功，表明“測試數據”有效，并以該“測試數據”提取出攻擊的特征。

基于網絡的攻擊特征自動提取技術

下面介紹幾種NSG方法。基于最長公共子串方法早期的NSG系統［10～11］大多采用提取“最長公共子串”（LCS）的方法，即在可疑數據流中查找最長的公共子字符串。雖然基于后綴樹計算兩個序列的LCS可在線性時間內完成［12］，但是LCS方法僅僅提取單個最長的特征片段，并不足以準確描述攻擊。基于固定長度負載出現頻率方法Autograph［13］按照不同的方法將可疑數據流劃分為固定長度的分片，然后基于Rabinfingerprints算法［14］計算分片在所有可疑數據流中出現的頻繁度，最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問題是難以選取固定長度的大小、計算開銷和存儲開銷大、沒有考慮攻擊變形情況。YongTang等人將可疑數據流中含有多個特征片段的固定長度部分定義為“關鍵區域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］這兩種迭代計算算法查找關鍵區域。但是“關鍵區域"長度選取困難、算法不能確保收斂限制了該方法的有效性。基于可變長度負載出現頻率基于可變長度負載出現頻率的方法是當前比較有效的特征提取方法，由Newsome等人在本世紀初Polygraph［17］的研究中首次提出。可變長度負載出現頻率是指長度大于1的在可疑數據流中頻繁出現的字符串，可變長度負載出現頻率長度不固定，每一個可變長度負載出現頻率可能對應于攻擊中的一個特征片段。因此，基于可變長度負載出現頻率的方法的核心是提取出數據流中頻繁度大于一定閥值的所有可變長度負載出現頻率，一般都采用遍歷前綴樹的算法［18～19］。以可變長度負載出現頻率為核心，Poly－graph輸出三類攻擊特征：1）可變長度負載出現頻率組成的集合，稱為ConjunctionSignature；2）可變長度負載出現頻率組成的序列，稱為Token－subsequenceSignature；3）可變長度負載出現頻率附加貝葉斯概率值，稱為BayesSigna－ture。Polygraph在設計時考慮了攻擊變形的情況，并且首次引入聚類過程，因此大大提高了提取特征的準確性。基于有限狀態自動機Vinod等人提出的有限狀態自動機［20］首先對可疑數據流進行聚類，然后對每一類中的數據流應用sk－strings［21］算法生成一個有限狀態自動機，最后將有限狀態自動機轉化為攻擊特征。有限狀態自動機的主要創新是在特征提取過程中考慮了網絡協議的語義，因而可以在網絡層和會話層分別提取特征。然而因為需要協議的語義，所以有限狀態自動機只對特定的幾種協議有效，而通用性較差。

基于主機的特征自動提取技術

HSG的研究也是目前研究比較多的技術，經過幾年的發展也取得了很好的進展，產生了一些重要的研究成果。下面針對三類方法分別進行介紹。白盒方法因為需要程序源代碼，適用性較差，所以基于白盒方法的HSG系統較少。一種典型的技術是指令集隨機化（ISR）技術［22］，這種技術主要原理是可以將程序的二進制代碼隨機打亂，使得攻擊者實施緩沖區攻擊后極有可能導致程序崩潰并產生異常。指令集隨機化技術是一種新型的保護系統免遭任何類型注入碼攻擊的通用方法。對系統指令集經過特殊的隨機處理，就可以在該系統上運行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統的語言，如果攻擊者對這種語言無法理解則很難進行攻擊，攻擊者在不知道隨機化算法密鑰的情況下，注入的指令是無法正確執行的。FLIPS［23］是一個基于ISR技術構建的HSG系統，當攻擊導致程序崩潰后，FLIPS對于此相關的網絡輸入數據用LCS算法提取出攻擊片段由于ISR技術要求具有程序的源代碼，所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼，這在很多場是不可能的事情，因此需要一種不需要了解源程序代碼的方法，這種情況下黑盒方法面世。HACQIT［24］是最早的一個黑盒方法。當受保護程序發生意外崩潰后，通過將可疑的網絡請求重新發往該程序并判斷是否再次導致程序崩潰，HAC－QIT檢測出那些被稱為“bad－request”的請求。然而，HACQIT沒有進一步區分“bad－request”中哪些部分才是真正的攻擊特征。因為一個進程的虛擬地址空間范圍是有限的，緩沖區溢出攻擊成功后必然立刻執行一個跳轉指令，而該跳轉指令的目標地址一定位于虛擬地址空間范圍內。如果將該跳轉目標地址改變，將很可能造成攻擊的溢出失敗并導致程序崩潰。WANGX等基于這樣的思想提出了一個黑盒HSG系統PacketVaccine［25］：將可疑報文中那些類似跳轉目標地址（其值屬于虛擬地址空間范圍內）的字節進行隨機改變，構造出新報文，稱為“報文疫苗”（packvaccine），然后將“報文疫苗”輸入給受保護程序如果程序崩潰，則說明之前改變的字節就是攻擊溢出后的跳轉地址，可以作為攻擊特征。隨著現代技術的不斷推進，黑盒方面和白盒方法都只能應用于特征提取中的一些環節，一種新興技術介于兩種技術之間，而且還可以得到很好的應用，因此，灰盒技術應運而生。灰盒方法是指通過緊密跟蹤程序的執行從而發現攻擊并提取特征。因為灰盒方法并不需要程序的源代碼，所以適用于各種商業軟件。其分析的結果也比較準確，目前大多數HSG系統屬于這類方法。灰盒方法有以下幾種具體實現方式。1）基于動態數據流跟蹤TaintCheck［26］和Vigilante［27］都使用動態數據流跟蹤（taintanalysis）來檢測緩沖區溢出攻擊。其基本思想是：認為來自網絡上的數據是不可信的，因此跟蹤它們在內存中的傳播（稱為“污染”）情況如果函數指針或返回地址等被“受污染”的數據所覆蓋，則說明發生了攻擊；此后，從該“受污染”的數據開始，反向查詢“污染”的傳播過程，直到定位到作為“污染源”的具體的網絡輸入。不同的是TaintCheck選取3byte，而Vigilante選取偏移量作為輸出特征。2）基于地址空間隨機化（ASR）技術［28～29］是將進程的一些地址（如跳轉地址、函數返回地址、指針變量地址等）隨機化，使得攻擊者難以知道溢出目標的準確位置。使用ASR技術后，攻擊者將難以對程序成功實施緩沖區溢出攻擊，而溢出失敗后會導致程序崩潰及產生異常。與ISR技術相比，ASR技術的優點是不需要源代碼。

摘要：從高職網絡攻防競賽入手，詳細介紹了攻防競賽中常用的3種攻擊手段：弱口令、后門端口、Web攻擊，針對不同的手段給出了相應的防范方法：提高口令的復雜度、利用防火墻限制端口、對網站Web代碼進行審計等。實踐表明，這樣的攻擊和防范方法對提高高職院校學生網絡攻防水平有著一定的幫助。

關鍵詞：高職；網絡攻防

目前各級各類的網絡攻防競賽正在高職院校間如火如荼地開展，在攻防競賽中所有參賽隊伍都被分配若干靶機，這些靶機都存在著漏洞，在規定時間內參賽隊伍要盡力加固自己的靶機，并利用漏洞攻擊對方靶機以獲得flag（flag是靶機root目錄下flagvalue.txt文件的內容），具有很強的對抗性。通過參與網絡對攻競賽，學生的網絡技術水平得到了提高，網絡安全意識得到了培養，也為今后成為一名合格的“網絡強國”技能人才打下良好的基礎。目前高職網絡攻防競賽中網絡靶機的漏洞大致分為3類：弱口令、后門、Web漏洞。

1弱口令攻擊

1.1弱口令攻擊的表現

高職攻防競賽中弱口令攻擊是最為常見和直接的攻擊形式，靶機系統一般開放SSH、Telnet、VNC等遠程登錄服務，攻防中利用已知的用戶名和破解出的口令便能滲透進對方系統。實際對戰中爆破口令的方式有多種，如利用滲透機kali中的相關工具hydra、medusa、sparta、msf等；利用Python腳本進行口令爆破，破解SSH登錄口令代碼如下:此外，由于攻防時間有限，人工猜測口令也較為常見，如123456、root、admin等。當利用已知的用戶和猜測的口令進入靶機系統后，往往需要對用戶進行提權才能查看root目錄下的flag值，常見的提取方式如sudo提權即給定的用戶如ad-min，在/etc/sudoers文件中已經寫入了adminALL=（ALL：ALL）ALL，此時用戶admin執行root指令時，只需在執行的指令前加入sudo即可；find提權即利用find文件擁有的suid權限，普通用戶執行指令如find/usr/bin/find-execcat/etc/shadow，即可看到只有root用戶才能看到的shadow文件；臟牛提權，Linux靶機往往存在著系統內核漏洞如2.6.22到3.9之間的Linux，利用臟牛exp就能在該系統生成一個后門用戶fireflat（權限與root一致），密碼可自定；隱藏用戶提權，/etc/pass-wd、/etc/shadow是兩個Linux存放用戶名、密碼的文件，如果給定用戶有權限查看這兩個文件，便可以利用工具如ophcrack、john等破解root口令或隱藏用戶的口令，隱藏用戶往往具有root一樣的權限。

摘要文章介紹了ARP地址解析協議的含義和工作原理，分析了ARP協議所存在的安全漏洞，給出了網段內和跨網段ARP欺騙的實現過程。最后，結合網絡管理的實際工作，重點介紹了IP地址和MAC地址綁定、交換機端口和MAC地址綁定、VLAN隔離等技術等幾種能夠有效防御ARP欺騙攻擊的安全防范策略，并通過實驗驗證了該安全策略的有效性。

關健詞ARP協議ARP欺騙MAC地址IP地址網絡安全

1ARP協議簡介

ARP(AddressResolutionProtocol)即地址解析協議，該協議將網絡層的IP地址轉換為數據鏈路層地址。TCPIP協議中規定，IP地址為32位，由網絡號和網絡內的主機號構成，每一臺接入局域網或者Internet的主機都要配置一個IP地址。在以太網中，源主機和目的主機通信時，源主機不僅要知道目的主機的IP地址，還要知道目的主機的數據鏈路層地址，即網卡的MAC地址，同時規定MAC地址為48位。ARP協議所做的工作就是查詢目的主機的IP地址所對應的MAC地址，并實現雙方通信。

2ARP協議的工作原理

源主機在傳輸數據前，首先要對初始數據進行封裝，在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段，我們能夠知道目的主機的IP地址，而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網段內，源主機會以第二層廣播的方式發送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址，以及目的主機的IP地址。當該報文通過廣播方式到達目的主機時，目的主機會響應該請求，并返回ARP響應報文，從而源主機可以獲取目的主機的MAC地址，同樣目的主機也能夠獲得源主機的MAC地址。如果目的主機和源主機地址不在同一個網段內，源主機發出的IP數據包會送到交換機的默認網關，而默認網關的MAC地址同樣可以通過ARP協議獲取。經過ARP協議解析IP地址之后，主機會在緩存中保存IP地址和MAC地址的映射條目，此后再進行數據交換時只要從緩存中讀取映射條目即可。ARP協議工作原理詳見圖1和圖2。

一、電子商務

電子商務(EC)是英文“ElectronicCommerce”的中譯文。電子商務指的是通過簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進行的各種商務活動。由于電子商務擁有巨大的商機,從傳統產業到專業網站都對開展電子商務有著十分濃厚的興趣,電子商務熱潮已經在全世界范圍內興起。電子商務內容包括兩個方面:一是電子方式。不僅指互聯網,還包括其他各種電子工具。二是商務活動。主要指的是產品及服務的銷售、貿易和交易活動;電子化的對象是針對整個商務的交易過程,涉及信息流、商流、資金流和物流四個方面。

二、電子商務網絡攻擊的主要形式

1.截獲或竊取信息

攻擊者通過互聯網、公共電話網、搭線、電磁波輻射范圍內安裝截收裝置或在數據包通過網關和路由器時截獲數據等方式,獲取傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數的分析,推出諸如消費者的銀行賬號、密碼,以及企業的商業機密等有用信息。

2.違反授權原則