基于tcp如何攻击服务器

1. 基于tcp 攻击有哪些

有TCP SYN 攻击，方式是伪造N多TCP握手请求，还有CC攻击，不过这就是发送大量耗费资源的HTTP查询请求来实现的了。

2. 服务器的三大攻击是什么

DDOS攻击这是网络中最普遍的攻击类型,衍生了很多其他的攻击类型,但是,其原理都是通过多台肉鸡发送大量合法的请求占用大量服务资源,以达到瘫痪网络或者服务器死机的目的。其中SYN Flood洪水攻击利用TCP协议的缺陷,发送大量伪造的TCP连接请求,即在第2次握手前断开连接,使服务器端出于等待响应的状态,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
TCP全连接攻击则是通过大量的肉机不断地和目标服务器建立大量的TCP连接,由于TCP连接数是有限的,很容易使服务器的内存等资源被耗尽而被拖跨,从而使服务器造成拒绝服务。这种攻击可以绕过一般防火墙,但是需要大量的肉机,并且由于肉机的IP是暴露的,也非常容易被追踪。
刷Script脚本攻击主要针对ASP、JSP、PHP、CGI等脚本程序。其原理是和服务器建立正常的TCP连接,同时不断向服务器提交查询列表等大量消耗数据库资源的调用指令,从而拖垮服务器。
预防的主流办法有三种。一是防火墙,也有网关防火墙和路由型防火墙之分。可以抵御大部分的DDOS攻击。再就是CDN加速,把这些攻击分散到镜像服务器上,从而使这些攻击无法对服务器产生过多的影响。最后就是流量清洗,部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。
CC攻击
攻击者控制肉机不停地发大量数据包给目标服务器,从而造成服务器资源耗尽或网络拥堵。CC可以模拟多个用户不停地进行访问那些需要大量数据操作的页面(数据查询,论坛),造成服务器资源的浪费,由于这些IP都是真实的,数据包也正常,请求都是有效的请求,服务器无法拒绝,从而让CPU长时间处于满载的专题。永远都有处理不完的请求排队,直到正常的访问被中止。预防CC攻击的办法有:把网站尽量做成静态页面、限制连接的数量、修改超时时间、以及分析可疑IP。
ARP欺骗
这类攻击则主要是以窃取用户账户数据资料为目的,通过伪造IP地址和MAC物理地址实现欺骗,也能够在网络中产生大量的ARP通信量使网络阻塞。主要发生在区域网内,攻击者通过发布错误的ARP广播包,阻断正常的网络通信,而且还将自己的电脑伪装成他人的电脑,原本是要发往他人的数据,被发到了入侵者的电脑上,从而达到窃取用户账户数据资料的目的。
预防ARP欺骗的方法有:安装专业的杀毒软件、绑定IP和MAC地址。

3. 黑客是如何攻击服务器

1. OOB攻击这是利用NETBIOS中一个OOB（OutofBand）的漏洞而来进行的，它的原理是通过TCP／IP协议传递一个数据包到计算机某个开放的端口上（一般是137、138和139），当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象，不重新启动计算机就无法继续使用TCP／IP协议来访问网络。

2. .DoS攻击这是针对Windows9X所使用的ICMP协议进行的.DOS（DenialofService，拒绝服务）攻击，一般来说，这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包，造成对方计算机的死机。

3. WinNuke攻击目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机，并且可以进行连续攻击，还能够验证攻击的效果，还可以对检测和选择端口，所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。

4.SSPing这是一个IP攻击工具，它的工作原理是向对方的计算机连续发出大型的ICMP数据包，被攻击的机器此时会试图将这些文件包合并处理，从而造成系统死机。

5.TearDrop攻击这种攻击方式利用那些在TCP／IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击，由于IP分段中含有指示该分段所包含的是原包哪一段的信息，所以一些操作系统下的TCP／IP协议在收到含有重叠偏移的伪造分段时将崩溃。TeadDrop最大的特点是除了能够对Windows9X／NT进行攻击之外，连linux也不能幸免。

4. tcp/ip常见攻击方式

常见 TCP/IP 协议攻击方法分析
2.1 IP 欺骗( IP Spoofing)
IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。
防范措施

各个网络 ISP 应该限制源地址为外部地址的 IP 数据包进入互联网
合理的配置防火墙，限制数据包的源地址为内部网络的数据包进入网络。
2.2 TCP 会话劫持 (TCP sessJOn hijacking)

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

攻击者看到被假冒主机和目标主机建立一个连接并进行身份认证后，通过对数据包捕获和进行分析，就可以得到连接的序列号。
一旦得到正确的序列号就可以发送一个假冒的 TCP 分段，接管已经建立的连接。这样，被假冒主机发送的数据包都会被目标主机忽略，因为它们的序列号会被目标主机认为不正确。
防范措施
最主要的方法是在传输层对数据进行加密。

2.3 拒绝服务( Denial Of Service )
拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。

2.3.1 SYN 淹没 (SYN Flooding)
当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。
防范措施

无效连接监视释放
这种方法不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种方法属于入门级的SYN Flood方法。

延缓TCB分配方法
从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的方法是使用Syn Cache和Syn Cookie技术。

Syn Cache技术：
这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYN ACK报文，并在一个专用HASH表（Cache）中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYN ACK中需要使用一个己方的Sequence Number，这个数字不能被对方猜到，否则对于某些稍微智能一点的Syn Flood攻击软件来说，它们在发送Syn报文后会发送一个ACK报文，如果己方的Sequence Number被对方猜测到，则会被其建立起真正的连接。因此一般采用一些加密算法生成难于预测的Sequence Number。
Syn Cookie技术：
对于SYN攻击，Syn Cache虽然不分配TCB，但是为了判断后续对方发来的ACK报文中的Sequence Number的正确性，还是需要使用一些空间去保存己方生成的Sequence Number等信息，也造成了一些资源的浪费。
Syn Cookie技术则完全不使用任何存储资源，这种方法比较巧妙，它使用一种特殊的算法生成Sequence Number，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比较固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其是否与对方回应报文中的（Sequence Number-1）相同，从而决定是否分配TCB资源。

5. 求基于TCP/IP协议的常见攻击方法及其原理

SYN洪水攻击 原理

SYN攻击

本文介绍了4个概念
一：介绍SYN
二：什么是SYN洪水攻击
三：什么是SYN cookie
四：什么是SYN cookie防火墙
C=client(客户器)
S=Server(服务器)
FW=Firewall(防火墙)
一：介绍SYN
SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句

，默认的stat是no）,但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网

络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当

连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。

二：什么是SYN洪水攻击？（来自CERT的警告）
当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。
这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。
首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完

整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：）
Client Server
------ ------
SYN-------------------->

<--------------------SYN-ACK

ACK-------------------->

Client and server can now
send service-specific data

在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要

耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。
通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个 。
SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。
而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放 。

连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续

攻击。
在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统

还是可能耗尽系统资源，以导致其他种种问题。
攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址

，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。

三：什么是SYN cookie？
SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回

一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接，

然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。
在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就

是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回，

S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以

避免守侯半开放连接了。
以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细

内容。
4，什么是SYN COOKIE 防火墙
SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的

一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。
下面是SYN cookie防火墙的原理
client firewall server
------ ---------- ------
1. SYN----------- - - - - - - - - - ->
2. <------------SYN-ACK(cookie)
3. ACK----------- - - - - - - - - - ->
4. - - - - - - -SYN--------------->
5. <- - - - - - - - - ------------SYN-ACK
6. - - - - - - -ACK--------------->

7. -----------> relay the ------->
<----------- connection <-------
1:一个SYN包从C发送到S
2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3：C发送ACK包，接着防火墙和C的连接就建立了。
4：防火墙这个时候扮演C的角色发送一个SYN给S
5：S返回一个SYN给C
6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了
7：防火墙转发C和S间的数据
如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻 击。

6. TCP/IP攻击的基于TCP/IP协议的网络攻击方式

有三台主机：
A:IP地址 192.168.0.1；硬件地址AA:AA:AA:AA:AA:AA
B:IP地址 192.168.0.2；硬件地址BB: BB: BB: BB: BB: BB
C:IP地址 192.168.0.3；硬件地址CC:CC:CC: CC:CC:CC
一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料得知这台主机A的防火墙只对主机C有信任关系。而入侵者必须要使用telnet来进入主机A，这个时候入侵者应当如何处理？
要telnet到主机A，入侵者可以让主机A相信主机B就是主机C。如果主机A与C的信任关系是建立在IP地址上的。攻击者可以先通过各种拒绝式服务方式让C这台机器暂时宕机，同时将B的IP地址改为192.168.0.3，B就可以成功地通过23端口telnet到A上，而成功地绕过防火墙的限制。
但是，如果AC的信任关系是建立在硬件地址之上，这个时候上述的方式就不行了，需要运用ARP欺骗方式。
入侵者认为地制造一个arp_reply的响应包，发送给想要欺骗的主机A，这是可以实现的，因为ARP协议并没有规定在收到arp_echo请求后才可以发送响应包（这就是能够实现的关键，在一般的情况之下只有路由器进行了arp广播之后，主机才会回复）。这样，就可以通过发送虚假的ARP响应包来修改主机A上的动态ARP缓存来达到欺骗的目的。
具体步骤如下：
①利用工具，进行拒绝式服务攻击，让主机C宕机，暂时停止工作。
②在这段时间里，入侵者把自己的IP改为192.168.0.3(主机C的IP)。
③用工具发一个源地址为192.168.0.3，源MAC地址为BB: BB: BB: BB: BB: BB的包给主机A，要求A更新自己的ARP转换表（ARP缓存）。
④主机A更新了ARP缓存中关于主机C的IPàMAC的对应关系。
⑤防火墙失效了，现在主机B可以telnet到主机A。 2.1ICMP转向连接攻击
攻击者使用ICMP超时或者ICMP主机不可达报文，这两种报文都会使得主机迅速放弃连接。此时通信连接就会被切断。
一台主机错误地认为信息的目标地址不在本地网络之中的时候，网关通常会使用ICMP重定向消息。如果攻击者伪造一条重定向消息，就可以导致主机经过攻击者主机向特定连接发送数据包。
2.2ICMP数据包放大（ICMP Smurf）
攻击者向安全薄弱网络的广播地址发送ICMP回显请求，所有的主机都会像被攻击主机，发送ICMP应答，占用了目标系统的带宽，并导致合法通信的拒绝服务（DoS）。
2.3ICMP Ping淹没攻击
大量的ping信息广播淹没了目标系统。
2.4ICMP nuke攻击
nuke发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。
2.5通过ICMP进行攻击信息收集
可以通过ping来检查目标主机是否存活，并且根据返回的TTL值就可以判断目标主机的操作系统（Linux应答TTL为64，windows 200/NT/XP为128，其他系统未列出）。
2.6ICMP攻击防范
策略一：对ICMP数据包进行过滤
使用防火墙的功能
策略二：修改TTL值巧妙骗过黑客
系统缺省的TTL值是可以修改的，可以编写一个批处理文件来进行修改。 假设主机A和B建立TCP连接，要进行三次握手。针对TCP协议的攻击原理是：TCP协议三次握手没有完成的时候，被请求端B一般都会重试（即再给A发送SYN+ACK报文）并等待一段时间，这就可以用来进行DoS、Land、SYN flood攻击。
在SYN flood攻击中，黑客向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包；并等待源地址返回ACK包，由于源地址是伪造的所以源端永远不会发送ACK包，所以受害主机继续发送SYN+ACK包，并将半链接放入端口的积压队列之中，虽然一般主机都有超时机制和默认的重传次数，但是如果不断向受害主机发送大量的TCP SYN报文，半连接队列就会很快被填满，导致受害主机无法响应其他主机的连接请求。
防御方法：针对SYN flood的攻击防范措施主要有两种：一种是通过防火墙、路由器等过滤网关防护，另一种是通过加固TCP/IP协议栈。

7. TCP/IP三次握手攻击是种什么攻击法，这样的攻击名称就什么啊谢谢

是半连接攻击吧？
tcp协议是一种面向连接的可靠协议，它规定在正式传输数据之前必须建立起连接关系，过程是a向b发送syn包，b收到后发送ack+syn包，a收到后向b发送ack包。这个过程称为三次握手，经过三次握手后发送的数据才会被接收。
利用tcp协议的攻击原理是a向b发送一个syn包，b返回ack+syn包，但a不再发送ack确认包，那么b将就这样一直等待a返回的确认包，占用了连接资源，这样的状况成为半开连接，直到连接超时才会关闭连接。如果a向b发送大量的syn包，b的网络连接资源将被耗尽，就构成了攻击。还有更坏的一种方式是在发送的syn包中把源地址设为一个不存在的地址，服务器向一个不存在的地址发送请求包自然得不到回应。
以上就是tcp连接攻击的方法，称为半连接flood攻击

8. 求教：黑客一般都是怎么攻击各种端口

黑客常用端口（实际上每个端口黑客都会想办法利用的）

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。
端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX
111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point
mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point
mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange
Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137
说明：SQL Named Pipes encryption over other protocols name
lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name
lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins
Proxy都用这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS
Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP (Simple Network Management Protocol) （简单网络管理协议）
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：162
说明：SNMP Trap（SNMP陷阱）

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统）

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：464
说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd
Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

TCP 7=Echo
TCP 20=FTP Data
TCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
TCP 23=Telnet, Tiny Telnet Server (= TTS)
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 53=DNS,Bonk (DOS Exploit)
TCP 59=DMSetup
TCP 70=Gopher
TCP 79=Firehotcker, Finger
TCP 80=Http服务器, Executor, RingZero
TCP 99=Hidden Port
TCP 110=Pop3服务器, ProMail
TCP 113=Kazimas, Auther Idnet
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 137=NetBios-NS
TCP 138=NetBios-DGN
TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 194=Irc
TCP 421=TCP Wrappers
TCP 456=Hackers paradise
TCP 531=Rasmin
TCP 555=Ini-Killer, Phase Zero, Stealth Spy
TCP 666=Attack FTP, Satanz Backdoor
TCP 808=RemoteControl
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP 1001=Silencer, WebEx
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1024=NetSpy.698(YAI)
TCP 1025=NetSpy.698
TCP 1033=Netspy
TCP 1042=Bla
TCP 1045=Rasmin
TCP 1047=GateCrasher
TCP 1080=Wingate
TCP 1090=Xtreme, VDOLive
TCP 1170=Psyber Stream Server, Streaming Audio trojan
TCP 1234=Ultors
TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
TCP 1245=VooDoo Doll
TCP 1269=Mavericks Matrix
TCP 1492=FTP99CMP(BackOriffice.FTP)
TCP 1509=Psyber Streaming Server
TCP 1600=Shivka-Burka
TCP 1807=SpySender
TCP 1981=Shockrave
TCP 1999=BackDoor, TransScout
TCP 2001=TrojanCow
TCP 2023=Ripper, Pass Ripper
TCP2115=Bugs
TCP 2140=Deep Throat, The Invasor
TCP 2155=Illusion Mailer
TCP 2283=HVL Rat5
TCP2565=Striker
TCP 2583=WinCrash
TCP 2600=Digital RootBeer
TCP2801=Phineas Phucker
TCP3024=WinCrash trojan
TCP 3128=RingZero
TCP 3129=Masters Paradise
TCP 3150=Deep Throat, The Invasor
TCP 3210=SchoolBus
TCP 3459=Eclipse 2000
TCP 3700=Portal of Doom
TCP 3791=Eclypse
TCP 4000=腾讯OICQ客户端
TCP 4092=WinCrash
TCP 4321=BoBo
TCP 4567=File Nail
TCP 4590=ICQTrojan
TCP 5000=Bubbel, Back Door Setup, Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner
TCP 5402=Blade Runner
TCP 5550=Xtcp
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5631=PCAnyWhere data
TCP 5714=Wincrash3
TCP 5742=WinCrash
TCP 6400=The Thing
TCP 6667=NT Remote Control
TCP 6669=Vampyre
TCP 6670=DeepThroat
TCP 6711=SubSeven
TCP 6771=DeepThroat
TCP 6776=BackDoor-G, SubSeven
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
TCP 7000=Remote Grab
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服务器端
TCP 7626=冰河
TCP 7789=Back Door Setup, ICKiller
TCP 8000=XDMA, 腾讯OICQ服务器端
TCP 8010=Logfile
TCP 8080=WWW 代理, Ring Zero
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 11000=Senna Spy
TCP 11223=Progenic
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12631=WhackJob
TCP 13000=Senna Spy
TCP 16969=Priority
TCP 17300=Kuang2 The Virus
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20034=NetBus 2 Pro
TCP 20203=Logged
TCP 20331=Bla
TCP 21544=Schwindler 1.82, GirlFriend
TCP 22222=Prosiak
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 27374=Sub Seven 2.0+
TCP 29891=The Unexplained
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a, NetSphere 1.31
TCP 30101=NetSphere 1.31, NetSphere 1.27a
TCP 30102=NetSphere 1.27a, NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP 30303=Sockets de Troie
TCP 30999=Kuang2
TCP 31336=Bo Whack
TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
TCP 31339=NetSpy DK
TCP 31666=BOWhack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 33333=Prosiak
TCP 33911=Spirit 2001a
TCP 34324=BigGluck, TN
TCP 40412=The Spy
TCP 40421=Agent 40421, Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40426=Masters Paradise
TCP 47878=BirdSpy2
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 53001=Remote Windows Shutdown
TCP 54320=Back Orifice 2000
TCP 54321=School Bus .69-1.11
TCP 60000=Deep Throat
TCP 61466=Telecommando
TCP 65000=Devil
UDP 1349=BO dll
UDP 2989=RAT
UDP 3801=Eclypse
UDP 10067=Portal of Doom
UDP 10167=Portal of Doom
UDP 26274=Delta Source
UDP 29891=The Unexplained
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
UDP 47262=Delta Source
UDP 54321=Back Orifice 2000

黑客常用软件以及方法
http://www..com/s?ie=gb2312&bs=%BA%DA%BF%CD%B3%A3%D3%C3%B6%CB%BF%DA&sr=&z=&cl=3&f=8&wd=%BA%DA%BF%CD%B3%A3%D3%C3%C8%ED%BC%FE&ct=0

9. 如何使用UDP和TCP/IP攻击

经过艰苦研究，终于配置出能防内网各种DDOS攻击包括上面这种TCP
SYN
FLOOD攻击的路由器，它采用FREEBSD操作系统，防火墙为系统自带，运行于内核模式下，高速高效，让目前已知的内部DDOS完全无效。
方案特点:客户机根本不发包，你说路由器还会掉线么?当然不会啦!所有的TCP拒绝服务攻击器都失效了，变SB了，不发包了，哈哈。
方案简介:
所需条件:只要是我装的软路由就可以实现。不用在客户机上装任何软件，不用更改网络结构，不用更改交换机配置。客户机操作系统不限，不管是WIN2000，WIN2003，还是XP。
技术原理:路由器自动识别来自内网的攻击行为，正常的上网数据包不加以过滤，不受丝毫影响。凡是TCP攻击包不管什么类型，不论包大小，到达路由器后，由内核自动分析出来，找出攻击特征，然后向发起攻击的客户机下发一个指令，客户机收到这个指令后出现网络协议错误而停止发包，网卡流量变为0，即使攻击程序还在运行，但已经没有流量发往路由器了，网络不会掉线，交换机也不会收到攻击包。客户机这时仍然可以上网，游戏，没任何影响。整个过程会在两三秒内完成，攻击流量会在几秒内消失!此方案可以防御完美各种TCP
SYN
FLOOD，TCP
ACK
FLOOD，TCP
CONNECTION
FLOOD等，包括最恐怖的伪造源地址为内网其它机器的真实IP和MAC地址的SYN攻击。
至于UDP，ICMP，那就不用讨论了，一般的路由只要限速就没事了。
此方法已经在FREEBSD软路由上实现。
查看原帖>>

10. tcp协议是怎么负债安全的呢

由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标。TCP-／IP协议组是目前使用最广泛的网络互连协议。但TCP／IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下，首先考虑网络互连缺乏对安全方面的考虑；这种基于地址的协议本身就会泄露口令，而且经常会运行一些无关的程序，这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等等性质使网络更加不安全。

下面列举几种利用TCP/IP簇安全设计缺陷的攻击：
（1）网络窥探（Network Snooping）利用数据在TCP/IP协议中的明文传输缺陷进 行在线侦听和业务流分析。攻击者可通过某些监控软件或网络分析仪等进行窃听。

（2）IP源地址欺骗（IP Source Address Spoofing）利用IP地址易于更改和伪造的缺陷，进行IP地址假冒和欺骗。

（3）路由攻击（Routing Attacks）
1) IP源路由攻击：利用IP报头中的源路由选项强制性地将IP包 按指定路径传递到希望的目标。

2) 路由消息协议攻击（RIP Attacks）：攻击者利用RIP协议无认证机制的缺陷，在网络上发布假的路由信息。

3) 攻击路由器系统：利用路由器自身保护不严，攻击者进入路由器修改其配置或使之崩溃。

（4）IP隧道攻击（IP Tunneling Attacks）利用IP隧道技术实施特洛伊木马攻击。

（5）网际控制报文协议攻击（ICMP Attacks）
1) ICMP重定向消息攻击（破坏路由机制和提高侦听业务流能力）。

2) ICMP回应请求/应答消息（echo request/reply message）攻击（实现拒绝服务）。

3) ICMP目的不可达消息攻击。

4) PING命令攻击。

（6）IP层拒绝服务型攻击（IP Denial of Service Attacks）利用IP 广播发送伪造的ICMP回应请求包，导致向某一受害主机发回大量ICMP应答包，造成网络拥塞或崩溃。（如"Smurf"攻击）。

（7）IP栈攻击（IP Stack Attacks）利用多数操作系统不能处理相同源、宿IP地址类型IP包的缺陷，将伪造的此种类型的IP包大量发往某一目标主机，导致目标主机将其TCP/IP协议栈锁死甚至系统崩溃。

（8）IP地址鉴别攻击（Authentication Attacks）利用TCP/IP协议只能识别IP地址的缺陷，攻击者通过窃取口令从该节点上非法登录服务器。

（9）TCP SYN Flooding攻击。向攻击目标发送大量不可达的TCP SYN连接请求包，以淹没目标服务器，使正常连接的"三次握手"永远不能完成（拒绝服务攻击）。

（10）TCP序列号攻击。利用对TCP连接初始序列号的猜测、冒充可信任主机进行欺骗连接（也可造成拒绝服务）攻击。