網(wǎng)絡(luò)防火墻一般是防止黑客入侵或者防止有些程序自己訪問網(wǎng)絡(luò)的，病毒防火墻是實時監(jiān)控，防止病毒的。

【 拒絕服務(wù)攻擊 】

拒絕服務(wù)攻擊（Denial of Service, DoS）是一種最悠久也是最常見的攻擊形式。嚴(yán)格來說，拒絕服務(wù)攻擊并不是某一種具體的攻擊方式，而是攻擊所表現(xiàn)出來的結(jié)果，最終使得目標(biāo)系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務(wù)，甚至導(dǎo)致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的，可以是單一的手段，也可以是多種方式的組合利用，其結(jié)果都是一樣的，即合法的用戶無法訪問所需信息。

通常拒絕服務(wù)攻擊可分為兩種類型。

第一種是使一個系統(tǒng)或網(wǎng)絡(luò)癱瘓。如果攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包，就可以使得系統(tǒng)死機(jī)或重新啟動。本質(zhì)上是攻擊者進(jìn)行了一次拒絕服務(wù)攻擊，因為沒有人能夠使用資源。以攻擊者的角度來看，攻擊的刺激之處在于可以只發(fā)送少量的數(shù)據(jù)包就使一個系統(tǒng)無法訪問。在大多數(shù)情況下，系統(tǒng)重新上線需要管理員的干預(yù)，重新啟動或關(guān)閉系統(tǒng)。所以這種攻擊是最具破壞力的，因為做一點點就可以破壞，而修復(fù)卻需要人的干預(yù)。

第二種攻擊是向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。例如，如果一個系統(tǒng)無法在一分鐘之內(nèi)處理100個數(shù)據(jù)包，攻擊者卻每分鐘向他發(fā)送1000個數(shù)據(jù)包，這時，當(dāng)合法用戶要連接系統(tǒng)時，用戶將得不到訪問權(quán)，因為系統(tǒng)資源已經(jīng)不足。進(jìn)行這種攻擊時，攻擊者必須連續(xù)地向系統(tǒng)發(fā)送數(shù)據(jù)包。當(dāng)攻擊者不向系統(tǒng)發(fā)送數(shù)據(jù)包時，攻擊停止，系統(tǒng)也就恢復(fù)正常了。此攻擊方法攻擊者要耗費(fèi)很多精力，因為他必須不斷地發(fā)送數(shù)據(jù)。有時，這種攻擊會使系統(tǒng)癱瘓，然而大多多數(shù)情況下，恢復(fù)系統(tǒng)只需要少量人為干預(yù)。

這兩種攻擊既可以在本地機(jī)上進(jìn)行也可以通過網(wǎng)絡(luò)進(jìn)行。

※ 拒絕服務(wù)攻擊類型

1 Ping of Death

根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當(dāng)一個主機(jī)收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機(jī)的宕機(jī)。

2 Teardrop

IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動。

3 Land

攻擊者將一個包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。

4 Smurf

該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如ICMP回應(yīng)請求)的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。

5 SYN flood

該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊列，而且由于沒有收到ACK一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。

6 CPU Hog

一種通過耗盡系統(tǒng)資源使運(yùn)行NT的計算機(jī)癱瘓的拒絕服務(wù)攻擊，利用Windows NT排定當(dāng)前運(yùn)行程序的方式所進(jìn)行的攻擊。

7 Win Nuke

是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會導(dǎo)致目的主機(jī)的死機(jī)。

8 RPC Locator

攻擊者通過telnet連接到受害者機(jī)器的端口135上，發(fā)送數(shù)據(jù)，導(dǎo)致CPU資源完全耗盡。依照程序設(shè)置和是否有其他程序運(yùn)行，這種攻擊可以使受害計算機(jī)運(yùn)行緩慢或者停止響應(yīng)。無論哪種情況，要使計算機(jī)恢復(fù)正常運(yùn)行速度必須重新啟動。

※ 分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（DDoS）是攻擊者經(jīng)常采用而且難以防范的攻擊手段。DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。所以分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。如果用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者就使用10臺、100臺…攻擊機(jī)同時攻擊。

DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。

高速廣泛連接的網(wǎng)絡(luò)也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時，黑客占領(lǐng)攻擊用的傀儡機(jī)時，總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因為經(jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。

一個比較完善的DDoS攻擊體系分成四大部分：

攻擊者所在機(jī)

控制機(jī)（用來控制傀儡機(jī)）

傀儡機(jī)

受害者

先來看一下最重要的控制機(jī)和傀儡機(jī)：它們分別用做控制和實際發(fā)起攻擊。請注意控制機(jī)與攻擊機(jī)的區(qū)別，對受害者來說，DDoS的實際攻擊包是從攻擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實際的攻擊。對控制機(jī)和傀儡機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。

"為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機(jī)越多，他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機(jī)器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機(jī)。但是在攻擊傀儡機(jī)上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機(jī)，這上級的計算機(jī)如果是黑客自己的機(jī)器，那么他就會被揪出來了。但如果這是控制用的傀儡機(jī)的話，黑客自身還是安全的。控制傀儡機(jī)的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機(jī)，清理一臺計算機(jī)的日志對黑客來講就輕松多了，這樣從控制機(jī)再找到黑客的可能性也大大降低。

※ 拒絕服務(wù)攻擊工具

Targa

可以進(jìn)行8種不同的拒絕服務(wù)攻擊，作者是Mixter，可以在[url]http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]網(wǎng)站下載。Mixter把獨(dú)立的dos攻擊代碼放在一起，做出一個易用的程序。攻擊者可以選擇進(jìn)行單個的攻擊或嘗試所有的攻擊，直到成功為止。

FN2K

DDOS工具?？梢钥醋魇?/SPAN>Traga加強(qiáng)的程序。TFN2K運(yùn)行的DOS攻擊與Traga相同，并增加了5種攻擊。另外，它是一個DDOS工具，這意味著它可以運(yùn)行分布模式，即Internet上的幾臺計算機(jī)可以同時攻擊一臺計算機(jī)和網(wǎng)絡(luò)。Trinoo

DDOS工具，是發(fā)布最早的主流工具，因而功能上與TFN2K比較不是那么強(qiáng)大。Trinoo使用tcp和udp，因而如果一個公司在正常的基礎(chǔ)上用掃描程序檢測端口，攻擊程序很容易被檢測到。