基於tcp如何攻擊伺服器

1. 基於tcp 攻擊有哪些

有TCP SYN 攻擊，方式是偽造N多TCP握手請求，還有CC攻擊，不過這就是發送大量耗費資源的HTTP查詢請求來實現的了。

2. 伺服器的三大攻擊是什麼

DDOS攻擊這是網路中最普遍的攻擊類型,衍生了很多其他的攻擊類型,但是,其原理都是通過多台肉雞發送大量合法的請求佔用大量服務資源,以達到癱瘓網路或者伺服器死機的目的。其中SYN Flood洪水攻擊利用TCP協議的缺陷,發送大量偽造的TCP連接請求,即在第2次握手前斷開連接,使伺服器端出於等待響應的狀態,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
TCP全連接攻擊則是通過大量的肉機不斷地和目標伺服器建立大量的TCP連接,由於TCP連接數是有限的,很容易使伺服器的內存等資源被耗盡而被拖跨,從而使伺服器造成拒絕服務。這種攻擊可以繞過一般防火牆,但是需要大量的肉機,並且由於肉機的IP是暴露的,也非常容易被追蹤。
刷Script腳本攻擊主要針對ASP、JSP、PHP、CGI等腳本程序。其原理是和伺服器建立正常的TCP連接,同時不斷向伺服器提交查詢列表等大量消耗資料庫資源的調用指令,從而拖垮伺服器。
預防的主流辦法有三種。一是防火牆,也有網關防火牆和路由型防火牆之分。可以抵禦大部分的DDOS攻擊。再就是CDN加速,把這些攻擊分散到鏡像伺服器上,從而使這些攻擊無法對伺服器產生過多的影響。最後就是流量清洗,部署專業的設備和方案,對數據流量實時監控,清洗掉異常的流量。
CC攻擊
攻擊者控制肉機不停地發大量數據包給目標伺服器,從而造成伺服器資源耗盡或網路擁堵。CC可以模擬多個用戶不停地進行訪問那些需要大量數據操作的頁面(數據查詢,論壇),造成伺服器資源的浪費,由於這些IP都是真實的,數據包也正常,請求都是有效的請求,伺服器無法拒絕,從而讓CPU長時間處於滿載的專題。永遠都有處理不完的請求排隊,直到正常的訪問被中止。預防CC攻擊的辦法有:把網站盡量做成靜態頁面、限制連接的數量、修改超時時間、以及分析可疑IP。
ARP欺騙
這類攻擊則主要是以竊取用戶賬戶數據資料為目的,通過偽造IP地址和MAC物理地址實現欺騙,也能夠在網路中產生大量的ARP通信量使網路阻塞。主要發生在區域網內,攻擊者通過發布錯誤的ARP廣播包,阻斷正常的網路通信,而且還將自己的電腦偽裝成他人的電腦,原本是要發往他人的數據,被發到了入侵者的電腦上,從而達到竊取用戶賬戶數據資料的目的。
預防ARP欺騙的方法有:安裝專業的殺毒軟體、綁定IP和MAC地址。

3. 黑客是如何攻擊伺服器

1. OOB攻擊這是利用NETBIOS中一個OOB（OutofBand）的漏洞而來進行的，它的原理是通過TCP／IP協議傳遞一個數據包到計算機某個開放的埠上（一般是137、138和139），當計算機收到這個數據包之後就會瞬間死機或者藍屏現象，不重新啟動計算機就無法繼續使用TCP／IP協議來訪問網路。

2. .DoS攻擊這是針對Windows9X所使用的ICMP協議進行的.DOS（DenialofService，拒絕服務）攻擊，一般來說，這種攻擊是利用對方計算機上所安裝協議的漏洞來連續發送大量的數據包，造成對方計算機的死機。

3. WinNuke攻擊目前的WinNuke系列工具已經從最初的簡單選擇IP攻擊某個埠發展到可以攻擊一個IP區間范圍的計算機，並且可以進行連續攻擊，還能夠驗證攻擊的效果，還可以對檢測和選擇埠，所以使用它可以造成某一個IP地址區間的計算機全部藍屏死機。

4.SSPing這是一個IP攻擊工具，它的工作原理是向對方的計算機連續發出大型的ICMP數據包，被攻擊的機器此時會試圖將這些文件包合並處理，從而造成系統死機。

5.TearDrop攻擊這種攻擊方式利用那些在TCP／IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊，由於IP分段中含有指示該分段所包含的是原包哪一段的信息，所以一些操作系統下的TCP／IP協議在收到含有重疊偏移的偽造分段時將崩潰。TeadDrop最大的特點是除了能夠對Windows9X／NT進行攻擊之外，連linux也不能倖免。

4. tcp/ip常見攻擊方式

常見 TCP/IP 協議攻擊方法分析
2.1 IP 欺騙( IP Spoofing)
IP 欺騙是指一個攻擊者假冒一個主機或合法用戶的 IP 地址，利用兩個主機之間的信任關系來達到攻擊的目的，而這種信任關系只是根據源 IP 地址來確定。所謂信任關系是指當主機 B 信任主機 A 上的 X用戶時，只要 X 在 A 上登錄， X 用戶就可以直接登錄到主機 B 上，而不需要任何口令。

IP 欺騙通常需要攻擊者能構造各種形式 IP 數據包，用虛假的源 IP 地址替代自己的真實 IP 地址。如果主機之間存在基於 IP 地址的信任關系，目標主機無法檢測出已經被欺騙。
防範措施

各個網路 ISP 應該限制源地址為外部地址的 IP 數據包進入互聯網
合理的配置防火牆，限制數據包的源地址為內部網路的數據包進入網路。
2.2 TCP 會話劫持 (TCP sessJOn hijacking)

TCP 會話劫持跳過連接過程.對一個已經建立的連接進行攻擊。攻擊者與被假冒主機和目標主機之一在同一個子網中，攻擊者通過一個嗅探程序可以看到被假冒主機和目標主機之間通信的數據包。

攻擊者看到被假冒主機和目標主機建立一個連接並進行身份認證後，通過對數據包捕獲和進行分析，就可以得到連接的序列號。
一旦得到正確的序列號就可以發送一個假冒的 TCP 分段，接管已經建立的連接。這樣，被假冒主機發送的數據包都會被目標主機忽略，因為它們的序列號會被目標主機認為不正確。
防範措施
最主要的方法是在傳輸層對數據進行加密。

2.3 拒絕服務( Denial Of Service )
拒絕服務坷的目的就是使受害的伺服器不能提供正常的網路服務。

2.3.1 SYN 淹沒 (SYN Flooding)
當開放了一個TCP埠後，該埠就處於Listening狀態，不停地監視發到該埠的Syn報文，一旦接收到Client發來的Syn報文，就需要為該請求分配一個TCB（Transmission Control Block），通常一個TCB至少需要280個位元組，在某些操作系統中TCB甚至需要1300個位元組，並返回一個SYN ACK命令，立即轉為SYN-RECEIVED即半開連接狀態，而操作系統在SOCK的實現上最多可開啟半開連接個數是一定的。

從以上過程可以看到，如果惡意的向某個伺服器埠發送大量的SYN包，則可以使伺服器打開大量的半開連接，分配TCB，從而消耗大量的伺服器資源，同時也使得正常的連接請求無法被相應。而攻擊發起方的資源消耗相比較可忽略不計。
防範措施

無效連接監視釋放
這種方法不停監視系統的半開連接和不活動連接，當達到一定閾值時拆除這些連接，從而釋放系統資源。這種方法對於所有的連接一視同仁，而且由於SYN Flood造成的半開連接數量很大，正常連接請求也被淹沒在其中被這種方式誤釋放掉，因此這種方法屬於入門級的SYN Flood方法。

延緩TCB分配方法
從前面SYN Flood原理可以看到，消耗伺服器資源主要是因為當SYN數據報文一到達，系統立即分配TCB，從而佔用了資源。而SYN Flood由於很難建立起正常連接，因此，當正常連接建立起來後再分配TCB則可以有效地減輕伺服器資源的消耗。常見的方法是使用Syn Cache和Syn Cookie技術。

Syn Cache技術：
這種技術是在收到SYN數據報文時不急於去分配TCB，而是先回應一個SYN ACK報文，並在一個專用HASH表（Cache）中保存這種半開連接信息，直到收到正確的回應ACK報文再分配TCB。在FreeBSD系統中這種Cache每個半開連接只需使用160位元組，遠小於TCB所需的736個位元組。在發送的SYN ACK中需要使用一個己方的Sequence Number，這個數字不能被對方猜到，否則對於某些稍微智能一點的Syn Flood攻擊軟體來說，它們在發送Syn報文後會發送一個ACK報文，如果己方的Sequence Number被對方猜測到，則會被其建立起真正的連接。因此一般採用一些加密演算法生成難於預測的Sequence Number。
Syn Cookie技術：
對於SYN攻擊，Syn Cache雖然不分配TCB，但是為了判斷後續對方發來的ACK報文中的Sequence Number的正確性，還是需要使用一些空間去保存己方生成的Sequence Number等信息，也造成了一些資源的浪費。
Syn Cookie技術則完全不使用任何存儲資源，這種方法比較巧妙，它使用一種特殊的演算法生成Sequence Number，這種演算法考慮到了對方的IP、埠、己方IP、埠的固定信息，以及對方無法知道而己方比較固定的一些信息，如MSS、時間等，在收到對方的ACK報文後，重新計算一遍，看其是否與對方回應報文中的（Sequence Number-1）相同，從而決定是否分配TCB資源。

5. 求基於TCP/IP協議的常見攻擊方法及其原理

SYN洪水攻擊 原理

SYN攻擊

本文介紹了4個概念
一：介紹SYN
二：什麼是SYN洪水攻擊
三：什麼是SYN cookie
四：什麼是SYN cookie防火牆
C=client(客戶器)
S=Server(伺服器)
FW=Firewall(防火牆)
一：介紹SYN
SYN cookie是一個防止SYN洪水攻擊技術。他由D. J. Bernstein和Eric Schenk發明。現在SYN COOKIE已經是linux內核的一部分了（我插一句

，默認的stat是no）,但是在linux系統的執行過程中它只保護linux系統。我們這里只是說創建一個linux防火牆，他可以為整個網路和所有的網

絡操作系統提供SYN COOKIE保護你可以用這個防火牆來阻斷半開放式tcp連接，所以這個受保護的系統不會進入半開放狀態(TCP_SYN_RECV)。當

連接完全建立的時候，客戶機到伺服器的連接要通過防火牆來中轉完成。

二：什麼是SYN洪水攻擊？（來自CERT的警告）
當一個系統（我們叫他客戶端）嘗試和一個提供了服務的系統（伺服器）建立TCP連接，C和服務端會交換一系列報文。
這種連接技術廣泛的應用在各種TCP連接中，例如telnet,Web,email,等等。
首先是C發送一個SYN報文給服務端，然後這個服務端發送一個SYN-ACK包以回應C，接著，C就返回一個ACK包來實現一次完

整的TCP連接。就這樣，C到服務端的連接就建立了，這時C和服務端就可以互相交換數據了。下面是上文的圖片說明：）
Client Server
------ ------
SYN-------------------->

<--------------------SYN-ACK

ACK-------------------->

Client and server can now
send service-specific data

在S返回一個確認的SYN-ACK包的時候有個潛在的弊端，他可能不會接到C回應的ACK包。這個也就是所謂的半開放連接，S需要

耗費一定的數量的系統內存來等待這個未決的連接，雖然這個數量是受限的，但是惡意者可以通過創建很多的半開放式連接來發動SYN洪水攻擊 。
通過ip欺騙可以很容易的實現半開放連接。攻擊者發送SYN包給受害者系統，這個看起來是合法的，但事實上所謂的C根本不會回應這個 。
SYN-ACK報文，這意味著受害者將永遠不會接到ACK報文。
而此時，半開放連接將最終耗用受害者所有的系統資源，受害者將不能再接收任何其他的請求。通常等待ACK返回包有超時限制，所以半開放 。

連接將最終超時，而受害者系統也會自動修復。雖然這樣，但是在受害者系統修復之前，攻擊者可以很容易的一直發送虛假的SYN請求包來持續

攻擊。
在大多數情況下，受害者幾乎不能接受任何其他的請求，但是這種攻擊不會影響到已經存在的進站或者是出站連接。雖然這樣，受害者系統

還是可能耗盡系統資源，以導致其他種種問題。
攻擊系統的位置幾乎是不可確認的，因為SYN包中的源地址多數都是虛假的。當SYN包到達受害者系統的時候，沒有辦法找到他的真實地址

，因為在基於源地址的數據包傳輸中，源ip過濾是唯一可以驗證數據包源的方法。

三：什麼是SYN cookie？
SYN cookie就是用一個cookie來響應TCP SYN請求的TCP實現，根據上面的描述，在正常的TCP實現中，當S接收到一個SYN數據包，他返回

一個SYN-ACK包來應答，然後進入TCP-SYN-RECV（半開放連接）狀態來等待最後返回的ACK包。S用一個數據空間來描述所有未決的連接，

然而這個數據空間的大小是有限的，所以攻擊者將塞滿這個空間。
在TCP SYN COOKIE的執行過程中，當S接收到一個SYN包的時候，他返回一個SYN-ACK包，這個數據包的ACK序列號是經過加密的，也就

是說，它由源地址，埠源次序，目標地址，目標埠和一個加密種子計算得出。然後S釋放所有的狀態。如果一個ACK包從C返回，

S將重新計算它來判斷它是不是上個SYN-ACK的返回包。如果這樣，S就可以直接進入TCP連接狀態並打開連接。這樣，S就可以

避免守侯半開放連接了。
以上只是SYN COOKIE的基本思路，它在應用過程中仍然有許多技巧。請在前幾年的kernel郵件列表查看archive of discussions的相關詳細

內容。
4，什麼是SYN COOKIE 防火牆
SYN COOKIE 防火牆是SYN cookie的一個擴展，SYN cookie是建立在TCP堆棧上的，他為linux操作系統提供保護。SYN cookie防火牆是linux的

一大特色，你可以使用一個防火牆來保護你的網路以避免遭受SYN洪水攻擊。
下面是SYN cookie防火牆的原理
client firewall server
------ ---------- ------
1. SYN----------- - - - - - - - - - ->
2. <------------SYN-ACK(cookie)
3. ACK----------- - - - - - - - - - ->
4. - - - - - - -SYN--------------->
5. <- - - - - - - - - ------------SYN-ACK
6. - - - - - - -ACK--------------->

7. -----------> relay the ------->
<----------- connection <-------
1:一個SYN包從C發送到S
2：防火牆在這里扮演了S的角色來回應一個帶SYN cookie的SYN-ACK包給C
3：C發送ACK包，接著防火牆和C的連接就建立了。
4：防火牆這個時候扮演C的角色發送一個SYN給S
5：S返回一個SYN給C
6：防火牆扮演C發送一個ACK確認包給S，這個時候防火牆和S的連接也就建立了
7：防火牆轉發C和S間的數據
如果系統遭受SYN Flood，那麼第三步就不會有，而且無論在防火牆還是S都不會收到相應在第一步的SYN包，所以我們就擊退了這次SYN洪水攻 擊。

6. TCP/IP攻擊的基於TCP/IP協議的網路攻擊方式

有三台主機：
A:IP地址 192.168.0.1；硬體地址AA:AA:AA:AA:AA:AA
B:IP地址 192.168.0.2；硬體地址BB: BB: BB: BB: BB: BB
C:IP地址 192.168.0.3；硬體地址CC:CC:CC: CC:CC:CC
一個位於主機B的入侵者想非法進入主機A，可是這台主機上安裝有防火牆。通過收集資料得知這台主機A的防火牆只對主機C有信任關系。而入侵者必須要使用telnet來進入主機A，這個時候入侵者應當如何處理？
要telnet到主機A，入侵者可以讓主機A相信主機B就是主機C。如果主機A與C的信任關系是建立在IP地址上的。攻擊者可以先通過各種拒絕式服務方式讓C這台機器暫時宕機，同時將B的IP地址改為192.168.0.3，B就可以成功地通過23埠telnet到A上，而成功地繞過防火牆的限制。
但是，如果AC的信任關系是建立在硬體地址之上，這個時候上述的方式就不行了，需要運用ARP欺騙方式。
入侵者認為地製造一個arp_reply的響應包，發送給想要欺騙的主機A，這是可以實現的，因為ARP協議並沒有規定在收到arp_echo請求後才可以發送響應包（這就是能夠實現的關鍵，在一般的情況之下只有路由器進行了arp廣播之後，主機才會回復）。這樣，就可以通過發送虛假的ARP響應包來修改主機A上的動態ARP緩存來達到欺騙的目的。
具體步驟如下：
①利用工具，進行拒絕式服務攻擊，讓主機C宕機，暫時停止工作。
②在這段時間里，入侵者把自己的IP改為192.168.0.3(主機C的IP)。
③用工具發一個源地址為192.168.0.3，源MAC地址為BB: BB: BB: BB: BB: BB的包給主機A，要求A更新自己的ARP轉換表（ARP緩存）。
④主機A更新了ARP緩存中關於主機C的IPàMAC的對應關系。
⑤防火牆失效了，現在主機B可以telnet到主機A。 2.1ICMP轉向連接攻擊
攻擊者使用ICMP超時或者ICMP主機不可達報文，這兩種報文都會使得主機迅速放棄連接。此時通信連接就會被切斷。
一台主機錯誤地認為信息的目標地址不在本地網路之中的時候，網關通常會使用ICMP重定向消息。如果攻擊者偽造一條重定向消息，就可以導致主機經過攻擊者主機向特定連接發送數據包。
2.2ICMP數據包放大（ICMP Smurf）
攻擊者向安全薄弱網路的廣播地址發送ICMP回顯請求，所有的主機都會像被攻擊主機，發送ICMP應答，佔用了目標系統的帶寬，並導致合法通信的拒絕服務（DoS）。
2.3ICMP Ping淹沒攻擊
大量的ping信息廣播淹沒了目標系統。
2.4ICMP nuke攻擊
nuke發送出目標操作系統無法處理的信息數據包，從而導致該系統癱瘓。
2.5通過ICMP進行攻擊信息收集
可以通過ping來檢查目標主機是否存活，並且根據返回的TTL值就可以判斷目標主機的操作系統（Linux應答TTL為64，windows 200/NT/XP為128，其他系統未列出）。
2.6ICMP攻擊防範
策略一：對ICMP數據包進行過濾
使用防火牆的功能
策略二：修改TTL值巧妙騙過黑客
系統預設的TTL值是可以修改的，可以編寫一個批處理文件來進行修改。 假設主機A和B建立TCP連接，要進行三次握手。針對TCP協議的攻擊原理是：TCP協議三次握手沒有完成的時候，被請求端B一般都會重試（即再給A發送SYN+ACK報文）並等待一段時間，這就可以用來進行DoS、Land、SYN flood攻擊。
在SYN flood攻擊中，黑客向受害主機發送大量偽造源地址的TCP SYN報文，受害主機分配必要的資源，然後向源地址返回SYN+ACK包；並等待源地址返回ACK包，由於源地址是偽造的所以源端永遠不會發送ACK包，所以受害主機繼續發送SYN+ACK包，並將半鏈接放入埠的積壓隊列之中，雖然一般主機都有超時機制和默認的重傳次數，但是如果不斷向受害主機發送大量的TCP SYN報文，半連接隊列就會很快被填滿，導致受害主機無法響應其他主機的連接請求。
防禦方法：針對SYN flood的攻擊防範措施主要有兩種：一種是通過防火牆、路由器等過濾網關防護，另一種是通過加固TCP/IP協議棧。

7. TCP/IP三次握手攻擊是種什麼攻擊法，這樣的攻擊名稱就什麼啊謝謝

是半連接攻擊吧？
tcp協議是一種面向連接的可靠協議，它規定在正式傳輸數據之前必須建立起連接關系，過程是a向b發送syn包，b收到後發送ack+syn包，a收到後向b發送ack包。這個過程稱為三次握手，經過三次握手後發送的數據才會被接收。
利用tcp協議的攻擊原理是a向b發送一個syn包，b返回ack+syn包，但a不再發送ack確認包，那麼b將就這樣一直等待a返回的確認包，佔用了連接資源，這樣的狀況成為半開連接，直到連接超時才會關閉連接。如果a向b發送大量的syn包，b的網路連接資源將被耗盡，就構成了攻擊。還有更壞的一種方式是在發送的syn包中把源地址設為一個不存在的地址，伺服器向一個不存在的地址發送請求包自然得不到回應。
以上就是tcp連接攻擊的方法，稱為半連接flood攻擊

8. 求教：黑客一般都是怎麼攻擊各種埠

黑客常用埠（實際上每個埠黑客都會想辦法利用的）

埠：102
服務：Message transfer agent(MTA)-X.400 over TCP/IP
說明：消息傳輸代理。
埠：113
服務：Authentication Service
說明：這是一個許多計算機上運行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，將會看到許多這個埠的連接請求。記住，如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。

埠：119
服務：Network News Transfer Protocol
說明：NEWS新聞組傳輸協議，承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制，只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送SPAM。

埠：135
服務：Location Service
說明：Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX
111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point
mapper注冊它們的位置。遠端客戶連接到計算機時，它們查找end-point
mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange
Server嗎？什麼版本？還有些DOS攻擊直接針對這個埠。

埠：137
說明：SQL Named Pipes encryption over other protocols name
lookup(其他協議名稱查找上的SQL命名管道加密技術)和SQL RPC encryption over other protocols name
lookup(其他協議名稱查找上的SQL RPC加密技術)和Wins NetBT name service(WINS NetBT名稱服務)和Wins
Proxy都用這個埠。

埠：137、138、139
服務：NETBIOS Name Service
說明：其中137、138是UDP埠，當通過網上鄰居傳輸文件時用這個埠。而139埠：通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS
Regisrtation也用它。

埠：143
服務：Interim Mail Access Protocol v2
說明：和POP3的安全問題一樣，許多IMAP伺服器存在有緩沖區溢出漏洞。記住：一種LINUX蠕蟲（admv0rm）會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後，這些漏洞變的很流行。這一埠還被用於IMAP2，但並不流行。

埠：161
服務：SNMP (Simple Network Management Protocol) （簡單網路管理協議）
說明：SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中，通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。

埠：162
說明：SNMP Trap（SNMP陷阱）

埠：177
服務：X Display Manager Control Protocol
說明：許多入侵者通過它訪問X-windows操作台，它同時需要打開6000埠。

埠：389
服務：LDAP、ILS
說明：輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。

埠：443
服務：Https
說明：網頁瀏覽埠，能提供加密和通過安全埠傳輸的另一種HTTP。

埠：445
說明：Common Internet File System(CIFS)（公共Internet文件系統）

埠：456
服務：[NULL]
說明：木馬HACKERS PARADISE開放此埠。

埠：464
說明：Kerberos kpasswd(v5)。另外TCP的464埠也是這個用途。

埠：500
說明：Internet Key Exchange(IKE)（Internet密鑰交換）

埠：513
服務：Login,remote login
說明：是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。

埠：544
服務：[NULL]
說明：kerberos kshell

埠：548
服務：Macintosh,File Services(AFP/IP)
說明：Macintosh,文件服務。

埠：553
服務：CORBA IIOP （UDP）
說明：使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。

埠：555
服務：DSF
說明：木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。

埠：568
服務：Membership DPA
說明：成員資格 DPA。

埠：569
服務：Membership MSN
說明：成員資格 MSN。

埠：635
服務：mountd
說明：Linux的mountd
Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的，但是基於TCP的mountd有所增加（mountd同時運行於兩個埠）。記住mountd可運行於任何埠（到底是哪個埠，需要在埠111做portmap查詢），只是Linux默認埠是635，就像NFS通常運行於2049埠。

埠：636
服務：LDAP
說明：SSL（Secure Sockets layer）

埠：666
服務：Doom Id Software
說明：木馬Attack FTP、Satanz Backdoor開放此埠

埠：993
服務：IMAP
說明：SSL（Secure Sockets layer）

TCP 7=Echo
TCP 20=FTP Data
TCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
TCP 23=Telnet, Tiny Telnet Server (= TTS)
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 53=DNS,Bonk (DOS Exploit)
TCP 59=DMSetup
TCP 70=Gopher
TCP 79=Firehotcker, Finger
TCP 80=Http伺服器, Executor, RingZero
TCP 99=Hidden Port
TCP 110=Pop3伺服器, ProMail
TCP 113=Kazimas, Auther Idnet
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 137=NetBios-NS
TCP 138=NetBios-DGN
TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 194=Irc
TCP 421=TCP Wrappers
TCP 456=Hackers paradise
TCP 531=Rasmin
TCP 555=Ini-Killer, Phase Zero, Stealth Spy
TCP 666=Attack FTP, Satanz Backdoor
TCP 808=RemoteControl
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP 1001=Silencer, WebEx
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1024=NetSpy.698(YAI)
TCP 1025=NetSpy.698
TCP 1033=Netspy
TCP 1042=Bla
TCP 1045=Rasmin
TCP 1047=GateCrasher
TCP 1080=Wingate
TCP 1090=Xtreme, VDOLive
TCP 1170=Psyber Stream Server, Streaming Audio trojan
TCP 1234=Ultors
TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
TCP 1245=VooDoo Doll
TCP 1269=Mavericks Matrix
TCP 1492=FTP99CMP(BackOriffice.FTP)
TCP 1509=Psyber Streaming Server
TCP 1600=Shivka-Burka
TCP 1807=SpySender
TCP 1981=Shockrave
TCP 1999=BackDoor, TransScout
TCP 2001=TrojanCow
TCP 2023=Ripper, Pass Ripper
TCP2115=Bugs
TCP 2140=Deep Throat, The Invasor
TCP 2155=Illusion Mailer
TCP 2283=HVL Rat5
TCP2565=Striker
TCP 2583=WinCrash
TCP 2600=Digital RootBeer
TCP2801=Phineas Phucker
TCP3024=WinCrash trojan
TCP 3128=RingZero
TCP 3129=Masters Paradise
TCP 3150=Deep Throat, The Invasor
TCP 3210=SchoolBus
TCP 3459=Eclipse 2000
TCP 3700=Portal of Doom
TCP 3791=Eclypse
TCP 4000=騰訊OICQ客戶端
TCP 4092=WinCrash
TCP 4321=BoBo
TCP 4567=File Nail
TCP 4590=ICQTrojan
TCP 5000=Bubbel, Back Door Setup, Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner
TCP 5402=Blade Runner
TCP 5550=Xtcp
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5631=PCAnyWhere data
TCP 5714=Wincrash3
TCP 5742=WinCrash
TCP 6400=The Thing
TCP 6667=NT Remote Control
TCP 6669=Vampyre
TCP 6670=DeepThroat
TCP 6711=SubSeven
TCP 6771=DeepThroat
TCP 6776=BackDoor-G, SubSeven
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
TCP 7000=Remote Grab
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate伺服器端
TCP 7626=冰河
TCP 7789=Back Door Setup, ICKiller
TCP 8000=XDMA, 騰訊OICQ伺服器端
TCP 8010=Logfile
TCP 8080=WWW 代理, Ring Zero
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 11000=Senna Spy
TCP 11223=Progenic
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12631=WhackJob
TCP 13000=Senna Spy
TCP 16969=Priority
TCP 17300=Kuang2 The Virus
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20034=NetBus 2 Pro
TCP 20203=Logged
TCP 20331=Bla
TCP 21544=Schwindler 1.82, GirlFriend
TCP 22222=Prosiak
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 27374=Sub Seven 2.0+
TCP 29891=The Unexplained
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a, NetSphere 1.31
TCP 30101=NetSphere 1.31, NetSphere 1.27a
TCP 30102=NetSphere 1.27a, NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP 30303=Sockets de Troie
TCP 30999=Kuang2
TCP 31336=Bo Whack
TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
TCP 31339=NetSpy DK
TCP 31666=BOWhack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 33333=Prosiak
TCP 33911=Spirit 2001a
TCP 34324=BigGluck, TN
TCP 40412=The Spy
TCP 40421=Agent 40421, Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40426=Masters Paradise
TCP 47878=BirdSpy2
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 53001=Remote Windows Shutdown
TCP 54320=Back Orifice 2000
TCP 54321=School Bus .69-1.11
TCP 60000=Deep Throat
TCP 61466=Telecommando
TCP 65000=Devil
UDP 1349=BO dll
UDP 2989=RAT
UDP 3801=Eclypse
UDP 10067=Portal of Doom
UDP 10167=Portal of Doom
UDP 26274=Delta Source
UDP 29891=The Unexplained
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
UDP 47262=Delta Source
UDP 54321=Back Orifice 2000

黑客常用軟體以及方法
http://www..com/s?ie=gb2312&bs=%BA%DA%BF%CD%B3%A3%D3%C3%B6%CB%BF%DA&sr=&z=&cl=3&f=8&wd=%BA%DA%BF%CD%B3%A3%D3%C3%C8%ED%BC%FE&ct=0

9. 如何使用UDP和TCP/IP攻擊

經過艱苦研究，終於配置出能防內網各種DDOS攻擊包括上面這種TCP
SYN
FLOOD攻擊的路由器，它採用FREEBSD操作系統，防火牆為系統自帶，運行於內核模式下，高速高效，讓目前已知的內部DDOS完全無效。
方案特點:客戶機根本不發包，你說路由器還會掉線么?當然不會啦!所有的TCP拒絕服務攻擊器都失效了，變SB了，不發包了，哈哈。
方案簡介:
所需條件:只要是我裝的軟路由就可以實現。不用在客戶機上裝任何軟體，不用更改網路結構，不用更改交換機配置。客戶機操作系統不限，不管是WIN2000，WIN2003，還是XP。
技術原理:路由器自動識別來自內網的攻擊行為，正常的上網數據包不加以過濾，不受絲毫影響。凡是TCP攻擊包不管什麼類型，不論包大小，到達路由器後，由內核自動分析出來，找出攻擊特徵，然後向發起攻擊的客戶機下發一個指令，客戶機收到這個指令後出現網路協議錯誤而停止發包，網卡流量變為0，即使攻擊程序還在運行，但已經沒有流量發往路由器了，網路不會掉線，交換機也不會收到攻擊包。客戶機這時仍然可以上網，游戲，沒任何影響。整個過程會在兩三秒內完成，攻擊流量會在幾秒內消失!此方案可以防禦完美各種TCP
SYN
FLOOD，TCP
ACK
FLOOD，TCP
CONNECTION
FLOOD等，包括最恐怖的偽造源地址為內網其它機器的真實IP和MAC地址的SYN攻擊。
至於UDP，ICMP，那就不用討論了，一般的路由只要限速就沒事了。
此方法已經在FREEBSD軟路由上實現。
查看原帖>>

10. tcp協議是怎麼負債安全的呢

由於自身的缺陷、網路的開放性以及黑客的攻擊是造成互聯網路不安全的主要原因。TCP/IP作為Internet使用的標准協議集，是黑客實施網路攻擊的重點目標。TCP-／IP協議組是目前使用最廣泛的網路互連協議。但TCP／IP協議組本身存在著一些安全性問題。TCP/IP協議是建立在可信的環境之下，首先考慮網路互連缺乏對安全方面的考慮；這種基於地址的協議本身就會泄露口令，而且經常會運行一些無關的程序，這些都是網路本身的缺陷。互連網技術屏蔽了底層網路硬體細節，使得異種網路之間可以互相通信。這就給「黑客」們攻擊網路以可乘之機。由於大量重要的應用程序都以TCP作為它們的傳輸層協議，因此TCP的安全性問題會給網路帶來嚴重的後果。網路的開放性，TCP/IP協議完全公開，遠程訪問使許多攻擊者無須到現場就能夠得手，連接的主機基於互相信任的原則等等性質使網路更加不安全。

下面列舉幾種利用TCP/IP簇安全設計缺陷的攻擊：
（1）網路窺探（Network Snooping）利用數據在TCP/IP協議中的明文傳輸缺陷進 行在線偵聽和業務流分析。攻擊者可通過某些監控軟體或網路分析儀等進行竊聽。

（2）IP源地址欺騙（IP Source Address Spoofing）利用IP地址易於更改和偽造的缺陷，進行IP地址假冒和欺騙。

（3）路由攻擊（Routing Attacks）
1) IP源路由攻擊：利用IP報頭中的源路由選項強制性地將IP包 按指定路徑傳遞到希望的目標。

2) 路由消息協議攻擊（RIP Attacks）：攻擊者利用RIP協議無認證機制的缺陷，在網路上發布假的路由信息。

3) 攻擊路由器系統：利用路由器自身保護不嚴，攻擊者進入路由器修改其配置或使之崩潰。

（4）IP隧道攻擊（IP Tunneling Attacks）利用IP隧道技術實施特洛伊木馬攻擊。

（5）網際控制報文協議攻擊（ICMP Attacks）
1) ICMP重定向消息攻擊（破壞路由機制和提高偵聽業務流能力）。

2) ICMP回應請求/應答消息（echo request/reply message）攻擊（實現拒絕服務）。

3) ICMP目的不可達消息攻擊。

4) PING命令攻擊。

（6）IP層拒絕服務型攻擊（IP Denial of Service Attacks）利用IP 廣播發送偽造的ICMP回應請求包，導致向某一受害主機發回大量ICMP應答包，造成網路擁塞或崩潰。（如"Smurf"攻擊）。

（7）IP棧攻擊（IP Stack Attacks）利用多數操作系統不能處理相同源、宿IP地址類型IP包的缺陷，將偽造的此種類型的IP包大量發往某一目標主機，導致目標主機將其TCP/IP協議棧鎖死甚至系統崩潰。

（8）IP地址鑒別攻擊（Authentication Attacks）利用TCP/IP協議只能識別IP地址的缺陷，攻擊者通過竊取口令從該節點上非法登錄伺服器。

（9）TCP SYN Flooding攻擊。向攻擊目標發送大量不可達的TCP SYN連接請求包，以淹沒目標伺服器，使正常連接的"三次握手"永遠不能完成（拒絕服務攻擊）。

（10）TCP序列號攻擊。利用對TCP連接初始序列號的猜測、冒充可信任主機進行欺騙連接（也可造成拒絕服務）攻擊。