三国杀,如何判断,反贼,内奸,忠臣

这个算是三国杀里面比较核心的内容了，但是随着打法的变多，也不存在一个完全通用的 *** 。

只说说比较基本的一些手段吧：

反贼的辨认标准最简单：

严重损害主公的状态，这种行为一般包括：对主公出杀导致主公损失体力（张角主公时有点例外）；顺拆主公的防具、+1马。

至于内奸和忠臣就比较难区分，因为如果内奸不跳明的话他们的行为很相似：不做上面这些行为的基本就是“示忠”的人。

这个时候内奸有这么几个行为可以参考：

1.内奸一般不会救忠臣，也就是说只关注主公的人很可能是内奸。

2.内奸希望反贼都不要打他，所以在杀反贼方面表现的不太积极。

3.内奸希望自己杀死反贼让自己的实力变强，这样综合第2点来看，凡是那种只在反贼血少的时候积极收人头的是内奸的几率比较大。

黑客行为的特征表现形式

黑客与骇客的区别另外还有一群人，他们大声嚷嚷着自己是黑客，实际上他们却不是。他们是一些蓄意破坏计算机和 *** 系统的人（多数是青春期的少年）。真正的黑客把这些人叫做“骇客”(cracker)，并不屑与之为伍。多数真正的黑客认为骇客们是些不负责任的懒家伙，还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客， 正如拿根铁丝能打开汽车并不能使你成为一个汽车工程师。不幸的是，很多记者和作家往往错把“骇客”当成黑客；这种做法激怒真正的黑客。 根本的区别是：黑客们建设，而骇客们破坏。 如果你想成为一名黑客，继续读下去。如果你想做一个骇客，去读 alt.2600 新闻组，并在发现你并不像自己想象的那么聪明的时候去坐5到10次监狱。 关于骇客，我只想说这么多。 编辑本段两类黑客的四大主要行为黑客分为hacker和craker;hacker专注于研究技术,一般不去做些破坏性的事,而craker则是人们常说的骇客,专门以破坏计算机为目的的人。 “黑客”大体上应该分为“正”、“邪”两类，正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善，而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于 *** 的事情，因为邪派黑客所从事的事情违背了《黑客守则》，所以他们真正的名字叫“骇客”（Cracker）而非“黑客” 无论那类黑客，他们最初的学习内容都将是本部分所涉及的内容，而且掌握的基本技能也都是一样的。即便日后他们各自走上了不同的道路，但是所做的事情也差不多，只不过出发点和目的不一样而已。 黑客的行为主要有以下几种： 一、学习技术 互联网上的新技术一旦出现，黑客就必须立刻学习，并用最短的时间掌握这项技术，这里所说的掌握并不是一般的了解，而是阅读有关的“协议”（rfc）、深入了解此技术的机理，否则一旦停止学习，那么依*他以前掌握的内容，并不能维持他的“黑客身份”超过一年。 初级黑客要学习的知识是比较困难的，因为他们没有基础，所以学习起来要接触非常多的基本内容，然而今天的互联网给读者带来了很多的信息，这就需要初级学习者进行选择：太深的内容可能会给学习带来困难；太“花哨”的内容又对学习黑客没有用处。所以初学者不能贪多，应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。 二、伪装自己 黑客的一举一动都会被服务器记录下来，所以黑客必须伪装自己使得对方无法辨别其真实身份，这需要有熟练的技巧，用来伪装自己的IP地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。 伪装是需要非常过硬的基本功才能实现的，这对于初学者来说称得上“大成境界”了，也就是说初学者不可能用短时间学会伪装，所以我并不鼓励初学者利用自己学习的知识对 *** 进行攻击，否则一旦自己的行迹败露，最终害的还是自己。 三、发现漏洞 漏洞对黑客来说是最重要的信息，黑客要经常学习别人发现的漏洞，并努力自己寻找未知漏洞，并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验，当然他们最终的目的是通过漏洞进行破坏或着修补上这个漏洞。 黑客对寻找漏洞的执著是常人难以想象的，他们的口号说“打破权威”，从一次又一次的黑客实践中，黑客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的程序。在黑客眼中，所谓的“天衣无缝”不过是“没有找到”而已。 四、利用漏洞 对于正派黑客来说，漏洞要被修补；对于邪派黑客来说，漏洞要用来搞破坏。而他们的基本前提是“利用漏洞”，黑客利用漏洞可以做下面的事情： 1、获得系统信息：有些漏洞可以泄漏系统信息，暴露敏感资料，从而进一步入侵系统； 2、入侵系统：通过漏洞进入系统内部，或取得服务器上的内部资料、或完全掌管服务器； 3、寻找下一个目标：一个胜利意味着下一个目标的出现，黑客应该充分利用自己已经掌管的服务器作为工具，寻找并入侵下一个系统； 4、做一些好事：正派黑客在完成上面的工作后，就会修复漏洞或者通知系统管理员，做出一些维护 *** 安全的事情； 5、做一些坏事：邪派黑客在完成上面的工作后，会判断服务器是否还有利用价值。如果有利用价值，他们会在服务器上植入木马或者后门，便于下一次来访；而对没有利用价值的服务器他们决不留情，系统崩溃会让他们感到无限的 *** .

如果电脑被黑客攻击，会有什么反应和表现

那要看黑客打算用你的电脑干吗了 如果是呀盗号 那基本上会出现例如 *** 突然掉线 游戏突然掉线 但是网还没掉的情况或者啥软件也没装 突然电脑就很慢 过会又好了 或者网速突然很慢 一会又好了 或者是网速在每天的固定时间段内都要慢得很 断开重连会好一下 没多久又慢了这样的情况都是电脑被植入病毒或者木马了 还有更危险的情况是黑客只不过在你电脑里开了后门 这样你啥也感觉不到 对黑客来说这个情况最多了 一般他是要用到你的电脑的时候才进来 不用的时候你电脑很安全还有一种情况 嘿嘿 当初俺去肉别人的时候常干的 肉完之后给他打好补丁 封好端口 防止被其他人再肉这种情况的表现就是你电脑从没开启自动安装补丁的功能 也没手动装补丁 但是电脑还是自动安装了补丁 那就是黑客替你干的

黑客的行为特征。

这些多百度一下，就可以得到答案。以下仅供参考。

要想更好的保护 *** 不受黑客的攻击，就必须对黑客的攻击 *** 、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击 *** 的特征分析，来研究如何对黑客攻击行为进行检测与防御。

一、反攻击技术的核心问题

反攻击技术（入侵检测技术）的核心问题是如何截获所有的 *** 信息。目前主要是通过两种途径来获取信息，一种是通过 *** 侦听的途径（如Sniffer，Vpacket等程序）来获取所有的 *** 信息（数据包信息， *** 流量信息、 *** 状态信息、 *** 管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、黑客攻击的主要方式

黑客对 *** 的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决 *** ，这些攻击大概可以划分为以下六类：

1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得 *** 内部的信息及 *** 周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动：是通常定义的“标准” *** 通信范畴之外的活动，也可以指 *** 上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

5.协议解码：协议解码可用于以上任何一种非期望的 *** 中， *** 或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

6.系统 *** 攻击：这种攻击通常是针对单个主机发起的，而并非整个 *** ，通过RealSecure系统 *** 可以对它们进行监视。

三、黑客攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的 *** 来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

攻击类型：Land攻击是一种拒绝服务攻击。

攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

检测 *** ：判断 *** 数据包的源地址和目标地址是否相同。

反攻击 *** ：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。

2.TCP SYN攻击

攻击类型：TCP SYN攻击是一种拒绝服务攻击。

攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

检测 *** ：检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击 *** ：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

攻击类型：Ping Of Death攻击是一种拒绝服务攻击。

攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

检测 *** ：判断数据包的大小是否大于65535个字节。

反攻击 *** ：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

攻击类型：WinNuke攻击是一种拒绝服务攻击。

攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

检测 *** ：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

反攻击 *** ：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。

5.Teardrop攻击

攻击类型：Teardrop攻击是一种拒绝服务攻击。

攻击特征：Teardrop是基于UDP的病态分片数据包的攻击 *** ，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

检测 *** ：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。

反攻击 *** ：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP／UDP端口扫描

攻击类型：TCP/UDP端口扫描是一种预探测攻击。

攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。

检测 *** ：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击 *** ：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的 *** ，还需要利用状态转移、 *** 拓扑结构等 *** 来进行入侵检测。

四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：

1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的 *** 和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

2. *** 入侵检测系统通过匹配 *** 数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的 *** 对于加密过的数据包就显得无能为力。

3. *** 设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证 *** 的安全性。

5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

7.随着 *** 的带宽的不断增加，如何开发基于高速 *** 的检测器（事件分析器）仍然存在很多技术上的困难。

入侵检测系统作为 *** 安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的 *** 发展提供有效的安全手段。

黑客的入侵手段～～

死亡之ping （ping of death）

概览：由于在早期的阶段，路由器对包的更大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）

概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）

概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）

概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

防御：在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。

防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻击

概览：一个简单的 *** urf攻击通过使用将回复地址设置成受害 *** 的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该 *** 的所有主机都对此ICMP应答请求作出答复，导致 *** 阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

防御：为了防止黑客利用你的 *** 攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击

概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

防御：在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮，攻击者能够耗尽接受者 *** 的带宽。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

特洛伊木马

概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御：避免下载可疑程序并拒绝执行，运用 *** 扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由 *** 服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答?.

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应 *** （例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探 *** 内部的系统和它们的用户的信息。

防御：对于刺探内部 *** 的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于 *** TP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

漏洞攻击

对微软（Microsoft）而言，更具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成）， *** 带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户 *** 。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

漏洞攻击

对微软（Microsoft）而言，更具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成）， *** 带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户 *** 。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

2. 使用升级程序

使用Update虽然比较准确、全面。但它所有的升级组件都需要在Microsoft的网站上下载，“窄带”的情况下显然不现实；“宽带”也需要很长的时间。Microsoft提供升级程序的打包下载，或者一些工具光盘上也带有这些升级包。常说的“Service Pack 1”、“Service Pack 2”就是指这些升级包。

除了升级，使用一些工具软件，也能够达到效果，如3721的“上网助手”，它能够很好填补IE漏洞。这些软件一般定向保护系统的应用程序，针对“对外服务”漏洞的较少。

DDOS攻击

DDOS（分布式拒绝服务攻击）的本质是：利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。它实现简单，是目前黑客常用的一种方式。

攻击：

DDOS的实现方式较多，如多人同时向主机提出Web请求；多人同时Ping主机……这里介绍一种“先进”的“伪装IP地址的洪水Ping攻击”。

Ping指令是用来探测 *** 通讯状况和对方主机状况的 *** 指令，先前有过一些资料介绍不断的Ping对方主机，可能会造成该主机无法承受的情况，但随着Windows XP等新系统的普及， *** 带宽的升级、计算机硬件的升级，单纯的大量Ping包基本上没有效果了。

Ping指令的工作流程是这样的：先由使用Ping命令的主机A发送ICMP报文给主机B；再由主机B回送ICMP报文给主机A。

*** 通讯中有一种被称为“广播”（Broadcast）的方式，所谓广播的意思是说有一个地址，任何局域网内的主机都会接收发往这个地址的报文（就像电台广播一样），以此类推。如果往一个局域网的广播地址（利用一些“局域网嗅探软件”就可以查找它的广播地址）发送一个ICMP报文（就是一下Ping广播地址），会得到非常多的ICMP报文回应。把当前计算机的地址伪装成被攻击主机的（SOCK_RAW就可以实现伪装IP），向一个广播地址发送Ping请求的时候，所有这个广播地址内的主机都会回应这个Ping请求，被攻击主机被迫接受大量的Ping包。这就形成了伪装IP地址的洪水Ping攻击形式。

防范：

对于DDOS而言，目前 *** 上还没有找到什么有效的防御 *** ，对于一种使用Ping包的攻击方式，虽然可以使用一些防火墙拒绝Ping包，但如果DDOS采用了另一种载体——合法的Web请求（打开该主机上的网页）时，依然无法防范。现在对付DDOS的普遍 *** 是由管理员，手工屏蔽DDOS的来源和服务器形式，如有一段IP对主机进行DDOS，就屏蔽该段IP的访问；DDOS使用的是FTP、HTTP服务，就暂时停止这些服务。

最后还要提醒一下大家，高明的黑客在攻击后都会做一些扫尾工作，扫尾工作就是要清除一些能够发现自己的残留信息。对于用户而言一般只能通过日志来捕捉这些残留信息，如防火墙的日志；Web服务器的日志（IIS、Server_U都具有日志查看功能）。能否通过日志找到这些残留信息只能靠运气了，真正够厉害的黑客会悄然无声地离去，而不留下一片“云彩”。

六、ICMP Flood能防吗？

先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢）

软件的 *** 防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）”

所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。

如果你正在被攻击，更好的 *** 是抓取攻击者IP（除非对方用之一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打 *** 找警察叔叔吧）

七、被ICMP Flood攻击的特征

如何发现ICMP Flood？

当你出现以下症状时，就要注意是否正被洪水攻击：

1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载

2.防火墙一直提示有人试图ping你

3. *** 速度奇慢无比

4.严重时系统几乎失去响应，鼠标呈跳跃状行走

如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。

1.普通ping

这种“攻击”一般是对方扫描 *** 或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:24] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:26] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:30] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这么慢的速度，很明显是由ping.exe或IcmpSendEcho发出的，如果对方一直不停的让你的防火墙吵闹，你可以给他个真正的ICMP Flood问候。

2.直接Flood

这是比较够劲的真正意义洪水了，防火墙的报警密度会提高一个数量级：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这时候你的防火墙实际上已经废了，换个IP吧。

3.伪造IP的Flood

比较厉害的ICMP Flood，使用的是伪造的IP而且一样大密度，下面是the0crat用56K拨号对我的一次攻击测试的部分数据（看看时间，真晕了，这可是56K小猫而已啊）

=============================================================

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:13] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

无言…………

4、反射ICMP Flood

估计现在Smurf攻击还没有多少人会用（R-Series的RSS.EXE就是做这事的，RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射），所以这种 *** 还没有大规模出现，但Smurf是存在的！而且这个攻击 *** 比前面几种更恐怖，因为攻击你的是大网站（或一些受苦受难的服务器）！

我正在被网易、万网和新浪网站攻击中（懒得修改天网策略，直接用其他工具抓的。实际攻击中，反射的IP会多几倍！）

=======================================================================

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet fro

如果电脑被黑客，病毒入侵了会有何反常表现？，木马

入侵的话，如果对方获得了你的权限，则你会发现有时候电脑会进入远程控制状态。而如果是留有小后门，则可以获得对方想要的资料。能够记录你的聊天记录啊。使用过程啊。电脑的反应的话呢，有：CPU异常，电脑莫名死机。关机，文件损坏。甚至杀毒软件无法使用。电脑文件丢失，资料失窃，很多很多