DDoS攻击究竟是什么东西

我们从DoS攻击说起，这里说的DoS可不是磁盘操作系统（Disk Operating System），而是指拒绝服务（Denial of Service）。DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。一般，攻击者需要面对的主要问题是网络带宽，因网络规模较小和网络速度较慢限制，攻击者无法发出大量访问请求。大多数DoS攻击需要的带宽相当大，黑客若以个人活动很难获取高带宽资源。攻击者未来解决这一问题，他们开发了新的攻击方式——分布式拒绝服务（DDoS,Distributed Denial of Service）。攻击者通过集合许多网络带宽来同时攻击一个或多个目标，成倍地提供拒绝服务攻击威力。

DDoS攻击改变了传统点对点攻击模式，使得攻击呈现无规律化，攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP 地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。因此也成为当今主要的黑客攻击方式。

而作为DDoS攻击的一种，CC攻击（Challenge Collapsar，“挑战黑洞”），前身名为Fatboy攻击，利用不断对网站发送连接请求致使形成拒绝服务的目的。业界赋予这种攻击名称为CC（Challenge Collapsar，挑战黑洞），是由于在DDOS攻击发展前期，绝大部分都能被业界知名的“黑洞”（Collapsar）抗拒绝服务攻击系统所防护，于是在黑客们研究出一种新型的针对http的DDOS攻击后，即命名Challenge Collapsar，声称黑洞设备无法防御，后来大家就延用CC这个名称至今。相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP，见不到特别大的异常流量，但造成服务器无法进行正常连接。最让站长们忧虑的是这种攻击技术含量低，利用更换IP代理工具和一些IP代理一个初、中级的电脑水平的用户就能够实施攻击。

第一：攻击一般分为ddos（UDP、syn）cc域名攻击、arp（内部攻击）攻击

第二：一般的高防云服务器/独立服务器他们防护的是DDOS攻击。

第三：个别机房会装有金盾，可以防护一定量的cc攻击。

第四：如果是内部arp，机房可以进行辅助处理

第五：海牛云美国云服务器含有ddos防护+cc防护，双重防护，可以有效抵御，让云服务器更加安全。

DDOS

DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击

DDoS攻击概念

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到25G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

网络中充斥着大量的无用的数据包，源地址为假

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

攻击运行原理

http://www-128ibmcom/developerworks/cn/security/se-ddos/fig1gif1

如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1 考虑如何留好后门（我以后还要回来的哦）！2 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

黑客是如何组织一次DDoS攻击的？

这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：

1 搜集了解目标的情况

下列情况是黑客非常关心的情报：

被攻击目标主机数目、地址情况

目标主机的配置、性能

目标的带宽

对于DDoS攻击者来说，攻击互联网上的某个站点，如 http://wwwmytargetcom，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供 http://wwwyahoocom服务的：

662187187

662187188

662187189

662187180

662187181

662187183

662187184

662187186

如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使662187187这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到 http://wwwyahoocom的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

2 占领傀儡机

黑客最感兴趣的是有下列情况的主机：

链路状态好的主机

性能好的主机

安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

3 实际攻击

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

一、带宽消耗攻击

DDoS带宽消耗攻击主要为直接洪流攻击，它利用了攻击方的资源优势，当大量代理发出的攻击流量汇聚于目标对象时，足以耗尽其网络接入带宽。常见的带宽消耗攻击类型包括：TCP洪水攻击，UDP以及ICMP洪流攻击，三者可以单独使用，也可同时使用。

二、系统资源消耗攻击

DDoS系统资源消耗攻击包括恶意误用TCP/IP协议通信(TCPSYN攻击与TCPPSH+ACK攻击)和畸形报文攻击两种方式，两者都能起到占用系统资源的效果。

应用层攻击，它针对特定的应用/服务缓慢地耗尽应用层上的资源。应用层攻击在低流量速率下十分有效，从协议角度看，攻击中涉及的流量可能是合法的。这使得应用层攻击比其他类型的DDoS攻击更加难以检测。HTTP洪水、CC攻击、DNS攻击等都是应用层攻击的实例。

HTTP洪水是利用看似合法的HTTPGET或POST请求攻击网页服务器或应用，通常使用僵尸网络进行。僵尸网络是通过将大量主机感染bot程序病毒所形成的一对多的控制网络，黑客可以控制这些僵尸网络集中发动对目标主机的拒绝服务攻击，这使得HTTP洪水攻击很难被检测和拦截。

CC攻击则基于页面攻击的，模拟许多用户不间断的对服务器进行访问，并且攻击对象往往是服务器上开销比较大的动态页面，涉及到数据库访问操作。由于使用代理作为攻击发起点，具有很强的隐蔽性，系统很难区分是正常的用户操作还是恶意流量，进而造成数据库及其连接池负载过高，无法响应正常请求。

DNS攻击主要有两种形式，一是通过发起大量的DNS请求，导致DNS服务器无法响应正常用户的请求;二是通过发起大量伪造的DNS回应包，导致DNS服务器带宽拥塞;两种方式都将导致正常用户不能解析DNS，从而不能获取服务。

1、获取口令

这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。

2、放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3、WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

4、电子邮件攻击

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。

5、通过一个节点来攻击其他节点

黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。

6、网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

7、寻找系统漏洞

许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

8、利用帐号进行攻击

有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。

9、偷取特权

利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

我们常见攻击类型和特征及方法

攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。

常见的攻击方法

您也许知道许多常见的攻击方法，下面列出了一些：

· 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。

· Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。

· 劫持攻击：在双方进行会话时被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。

· 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，您应当安装最新的反病毒程序，并对用户进行防病毒教育。

· 非法服务：非法服务是任何未经同意便运行在您的操作系统上的进程或服务。您会在接下来的课程中学到这种攻击。

· 拒绝服务攻击：利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。

容易遭受攻击的目标

最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。

路由器

连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。

过滤Telnet

为了避免未授权的路由器访问，您应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口

技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，您可以建立物理连接。

路由器和消耗带宽攻击

最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的：

· Tribal Flood Network(TFN)

· Tribal Flood Network(TFN2k)

· Stacheldraht(TFN的一个变种)

· Trinoo(这类攻击工具中最早为人所知的)

因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在您对系统进行审计时，要确保网络对这类消耗带宽式攻击的反映速度。您将在后面的课程中学习如何利用路由器防范拒绝服务攻击。

数据库

黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：

· 雇员数据，如个人信息和薪金情况。

· 市场和销售情况。

· 重要的研发信息。

· 货运情况。

黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，您应该确保防火墙能够对该种数据库进行保护。您会发现，很少有站点应用这种保护，尤其在网络内部。

服务器安全

WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括：

· 用户通过公网发送未加密的信息;

· 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统;

· 旧有操作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便可以在产生的命令解释器中运行任意的代码。

Web页面涂改

近来，未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击(使用包嗅探器)和利用缓冲区溢出。有时，还包括劫持攻击和拒绝服务攻击。

邮件服务

广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再利用它攻击其它的资源，例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。您已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。

与邮件服务相关的问题包括：

· 利用字典和暴力攻击POP3的login shell;

· 在一些版本中sendmail存在缓冲区溢出和其它漏洞;

· 利用E-mail的转发功能转发大量的垃圾信件

名称服务

攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为攻击的目标。DNS攻击包括：

· 未授权的区域传输;

· DNS 毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息;

· 拒绝服务攻击;

其它的一些名称服务也会成为攻击的目标，如下所示：

· WINS，“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。

· SMB服务(包括Windows的SMB和UNIX的Samba)这些服务易遭受Man-in-the-middle攻击，被捕获的数据包会被类似L0phtCrack这样的程序破解。

· NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。

在审计各种各样的服务时，请考虑升级提供这些服务的进程。

审计系统BUG

作为安全管理者和审计人员，您需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，您必须广泛地阅读和与其他从事安全工作的人进行交流，这样，您才能跟上最新的发展。这些工作会帮助您了解更多的操作系统上的特定问题。

虽然大多数的厂商都为其产品的问题发布了修补方法，但您必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。因此，您需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合您的需求。当然也需要参照值得信赖的网络刊物和专家的观点。

审计Trap Door和Root Kit

Root kit是用木马替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。

虽然root kit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，您可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。

审计拒绝服务攻击

Windows NT 易遭受拒绝服务攻击，主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统，主要因为它被设计来供那些技巧!

审计和后门程序

通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象您已经知道的RedButton，它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号，即使账号的名称已经更改。后门(back door)也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。

从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在您进行审计时，请花费一些时间仔细记录任何您不了解它的由来和历史的程序。

企业邮件安全网关是一种用于保护企业邮件系统硬件或是软件网关，靠谱反垃圾云网关作为企业邮件的安全网关具有以下几个方面的优势功能：

1邮件过滤和检测：靠谱反垃圾云网关可以对所有进出企业邮件系统的邮件进行实时检测和过滤，通过多种技术手段，如反病毒、反垃圾邮件、反钓鱼、内容过滤等，识别和拦截恶意邮件和垃圾邮件，防止它们进入企业网络和员工的收件箱。

2威胁防护：可以实时监测邮件系统中的威胁和攻击，如病毒、木马、蠕虫、恶意链接等，通过多种技术手段防范和拦截这些威胁，从而保障企业邮件系统的安全。

3安全策略管理：可以制定和执行多种邮件安全策略，如发信规则、收信规则、访问控制、审计日志等，帮助企业管理邮件安全，提高系统的安全性和可控性。

4数据备份和恢复：靠谱反垃圾云网关可以定期备份企业邮件系统中的数据，并支持数据恢复和紧急灾难恢复，保障企业邮件系统数据的完整性和可靠性。

5邮件入站加速：采用智能DNS技术分流国内外流量，国内邮件走国内带宽，国际邮件直接走海外专用带宽，靠谱反垃圾云网关加速邮件入站效果明显。

总之，企业邮件安全网关是企业邮件系统中重要的安全防护设施，通过靠谱反垃圾云网关强大的安全功能和管理能力，可以有效防范和减少企业邮件系统中的各种安全威胁和风险。

解决方法：

速度修改邮箱密码，很可能是密码泄露了，导致别人使用你账号批量在发信。

如果修改密码还是解决不了的话，那就是有人在攻击你的邮箱，那把返邮件垃圾提升到最高级别就好了。

163邮箱是中国最大的电子邮件服务商网易公司的经典之作，致力于向用户提供安全、稳定、快速、便捷的电子邮件服务，目前已拥有超过23亿的用户，是全球使用人数最多的中文邮箱。

2000年10月，网易推出163免费邮箱。2001年11月，163邮箱升级至25MB，为当时国内最大容量。2002年，中国互联网兴起了一股邮箱收费的热潮。263、新浪等率先对免费电子邮箱叫停，并开始“强制收费”。网易尽管也推出了收费的200M大容量VIP邮箱，但依然坚持了免费战略，163邮箱依然免费开放互联网用户注册使用。2003年5月，网易163邮箱市场占有率跃居全国第一。之后，冠军的宝座就一直被网易占据。