文章大纲：

• 1、 *** 系统集成的基本过程有哪些。
• 2、持续集成的好处？
• 3、入侵防护系统(IPS)的原理?
• 4、黑客的入侵手段～～

*** 系统集成的基本过程有哪些。

*** 工程集成设计的一般步骤（2） 成本/效益评估 根据用户的需求和现状分析，对设计新的 *** 系统所需要投入的人力、财力、物力，以及可能产生的经济、社会效益进行综合评估。这项工作是集成商向用户提出系统设计报价和让用户接受设计方案的最有效参考依据。 书写需求分析报告 详细了解用户需求并进行现状分析和成本/效益评估后，就要以报告的形式向用户和项目经理人提出，以此作为下一步正式的系统设计的基础与前提。 （2） *** 工程初步设计。 在全面、详细地了解了用户需求，并进行了用户现状分析和成本/效益评估后，在用户和项目经理人认可的前提下，就可以正式进行 *** 工程设计了。首先需要给出一个初步的方案，其中主要包括以下几个方面： 确定 *** 的规模和应用范围 确定 *** 覆盖范围（这主要是根据终端用户的地理位置分布而定）、定义 *** 应用的边界（着重强调的是用户的特定行业应用和关键应用，如MIS系统、ERP系统、数据库系统、广域网连接、企业网站系统、邮件服务器系统、VPN连接等）。 统一建网模式 根据用户 *** 规模和终端用户地理位置分布确定 *** 的总体架构，比如是集中式还是分布式，是采用客户机/服务器模式还是对等模式等。 确定初步方案 将 *** 系统的初步设计方案用文档记录下来，并向项目经理人和用户提交，审核通过后方可进行下一步运作。 （3） *** 工程详细设计。 *** 协议体系结构的确定 根据应用需求，确定用户端系统应该采用的 *** 拓扑结构类型，可选择的 *** 拓扑通常包括总线型、星型、树型和混合型4种。如果涉及广域网系统，则还需要确定采用哪一种中继系统，确定整个 *** 应该采用的协议体系结构。 节点规模设计 确定 *** 的主要节点设备的档次和应该具备的功能，这主要是根据用户 *** 规模、 *** 应用需求和相应设备所在的 *** 位置而定。局域网中核心层设备更高档，汇聚层的设备性能次之，接入层的性能要求更低。广域网中，用户主要考虑的是接入方式的选择，因为中继传输网和核心交换网通常都是由NSP提供的，无需用户关心。 确定 *** 操作系统 一个 *** 系统中，安装在服务器中的操作系统决定了整个 *** 系统的主要应用和管理模式，也基本上决定了终端用户所能采用的操作系统和应用软件系统。 *** 操作系统方面，目前主流应用的有Microsoft公司的Windows Server 2003和Windows Server 2008系统，是目前应用面最广、最容易掌握的操作系统，在中小型企业中绝大多数是采用这两种 *** 操作系统。另外还有一些Linux系统版本，如RedHat Enterprise Linux 5.0、Red Flag DC Server 5.0等。UNIX系统品牌也比较多，目前最主要应用的是SUN公司的Solaris 10.0、IBM AIX 5L等几种。 选定通信介质 根据 *** 分布、接入速率需求和投资成本分析为用户端系统选定适合的传输介质，为中继系统选定传输资源。在局域网中，通常是以廉价的五类/超五类双绞线为传输介质，而在广域网中则主要是以 *** 铜线、光纤、同轴电缆作为传输介质，具体要视所选择的接入方式而定。 *** 设备的选型和配置 根据 *** 系统和计算机系统的方案，选择性能价格比更好的 *** 设备，并以适当的连接方式加以有效的组合。 结构化布线设计 根据用户的终端节点分布和 *** 规模设计整个 *** 系统的结构化布线（也就是通常所说的"综合布线"）图，在图中要求标注关键节点的位置和传输速率、传输介质、接口等特殊要求。结构化布线图要符合结构化布线的国际、国内标准，如EIA/TIA 568A/B、ISO/IEC 11801等。 确定详细方案 确定 *** 总体及各部分的详细设计方案，并形成正式文档交项目经理和用户审核，以便及时地发现问题，及时纠正。 （4）应用系统集成设计。 前面3个步骤是设计 *** 架构的，接下来要做的是进行应用系统集成设计。其中包括各种用户计算机应用系统设计和数据库系统、MIS管理系统选择等，具体包括以下几个方面： 应用系统设计 分模块地设计出满足用户应用需求的各种应用系统的框架和对 *** 系统的要求，特别是一些行业特定应用和关键应用，如进销存数据库系统、电子商务应用系统、财务管理系统、人事管理系统等。 计算机系统设计 根据用户业务特点、应用需求和数据流量，对整个系统的服务器、工作站、终端以及打印机等外设进行配置和设计，还可根据用户 *** 管理方面的需求选择适当的MIS管理系统对整个 *** 系统设备进行集中监控和管理。 机房环境设计 确定用户端系统的服务器所在机房和一般工作站机房的环境，包括温度、湿度、通风等要求。 确定系统集成详细方案 将整个应用系统涉及的各个部分加以集成，并最终形成系统集成的正式文档。 完成好应用系统集成后，就可以开始进行工程施工了，然后再进行下面的方案测试和试运行。 （5） *** 工程方案测试。 系统设计后还不能马上投入正式的运行，而是要先做一些必要的性能测试和小范围的试运行。性能测试一般是通过专门的测试工具进行，主要测试 *** 接入性能、响应时间，以及关键应用系统的并发用户支持和稳定性等方面。试运行通常是就 *** 系统的基本性能进行评估，特别是对一些关键应用系统。试运行的时间一般不得少于一个星期。小范围试运行成功后即可全面试运行，全面试运行时间不得少于一个月。 在试运行过程中出现的问题应及时加以解决和改进，直到用户满意为止，当然这也结合用户的投资和实际应用需求等因素综合考虑。 做任何事都是有规律可循的，也必须遵守一定的原则。根据目前计算机 *** 的现状和需求分析以及未来的发展趋势，在 *** 工程设计时应遵循以下几个原则： 开放性和标准化原则 首先采用国际标准和国家标准，其次采用广为流行的、实用的工业标准，只有这样， *** 系统内部才能方便地从外部 *** 快速获取信息。同时还要求在授权后 *** 内部的部分信息可以对外开放，保证 *** 系统适度的开放性。这是非常重要而且非常必要的，同时又是许多 *** 工程设计人员经常忽视的。我们在进行 *** 工程设计时，在有标准可执行的情况下，一定要严格按照相应的标准进行设计，而不要我行我素，特别是在像网线 *** 、结构化布线和 *** 设备协议支持等方面。采用开放的标准后就可以充分保障 *** 工程设计的延续性，即使将来当前设计人员不在公司了，后来人员也可以通过标准轻松地了解整个 *** 系统的设计标准，保证互连简单易行。 实用性与先进性兼顾原则 在进行 *** 工程设计时首先应该以注重实用为原则，紧密结合具体应用的实际需求。在选择具体的 *** 技术时一定同时考虑当前及未来一段时间内主流应用的技术，不要一味追求新技术和新产品，一则新的技术和产品还有一个成熟的过程，立即选用则可能会出现各种意想不到的问题；另一方面，最新技术的产品价格肯定非常昂贵，会造成不必要的资金浪费。 如在以太局域网技术中，目前千兆以下的以太网技术都已非常成熟，产品价格也已降到了合理的水平，但万兆以太网技术还没有得到普及应用，相应的产品价格仍相当昂贵，所以如果没有十分的必要，则不要选择万兆以太网技术的产品。 另外在选择技术时，一定要选择主流应用的技术，如像同轴电缆的令牌环以太网和FDDI光纤以太网目前已很少使用，就不要选用了。目前的以太网技术基本上都是基于双绞线和光纤的，其传输速率更低都应达到10/100Mb/s。 无瓶颈原则 这个非常重要，否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。 *** 性能与 *** 安全一样，最终取决于 *** 通信链路中性能更低的那部分。 如某汇聚层交换机连接到了核心交换机的1000Mb/s双绞线以太网端口上，而该汇聚层交换机却只有100Mb/s甚至10Mb/s的端口，很显然这个汇聚层交换机上所连接的节点都只能享有10Mb/s或100Mb/s的性能。如果上联端口具有1000Mb/s性能，而各节点端口支持100Mb/s连接，则性能就完全不一样了。 还如服务器的各项硬件配置都非常高档（达到了企业级标准），但所用的网卡却只是普通的PCI 10/100Mb/s网卡，显然这又将成为服务器性能发挥的瓶颈。再好的其他配置，最终也无法正常发挥。再如，服务器的处理器达到了4个至强处理器，而内存容量却只有初始配置的1GB，或者磁盘采用了读写性能较低的IDE RAID或SATA RAID，这样配置的结果同样会使服务器的性能大打折扣，浪费了高性能配置资源。 这类现象还非常多，在此就不一一列举了。这就要求在进行 *** 工程设计时一定要全局综合考虑各部分的性能，而不能只注重局部的性能配置。特别是交换机端口、网卡和服务器组件配置等方面。 可用性原则 我们知道服务器的"四性"中有一个"可用性"， *** 系统也一样。它决定了所设计的 *** 系统是否能满足用户应用和稳定运行的需求。 *** 的"可用性"其实就表现在 *** 的"可靠性"和"稳定性"上，要求 *** 系统能长时间稳定运行，而不要经常出现这样或那样的问题。否则给用户带来的损失可能是非常巨大的，特别是大型、外贸、电子商务类型的企业。当然这里所说的"可用性"还表现在所选择的产品要能真正用得上，如所选择的服务器产品只支持UNIX系统，而用户系统中根本不打算用UNIX系统，则所选择的服务器就用不上。 *** 系统的"可用性"通常是由 *** 设备（软件系统其实也有"可用性"要求）的"可用性"决定的，主要体现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地贪图廉价，而要选择一些国内外主流品牌、应用主流技术和成熟型号的产品。对于这些关键设备千万不要选择那些杂牌，一方面性能和稳定性无法保障，另一方面售后服务更将是无法弥补的长久的痛。 另外， *** 系统的电源供应在可用性保障方面也非常重要，特别是对于关键 *** 设备和关键用户机。这时就需要为这些节点配置足够功率的不间断电源（UPS），在市电出现不稳定或者停电时可以持续一段时间供用户保存数据、退出系统，以免数据丢失。通常像服务器、交换机、路由器、防火墙之类的关键设备要接在支持数个小时以上（通常是3小时）的UPS电源上，而关键用户机则需要接在支持15分钟以上的UPS电源上。 适度安全性原则 *** 安全涉及许多方面，最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的 *** 几乎时刻受到外界的安全威胁，稍有不慎就会被那些病毒、黑客入侵，致使整个 *** 陷入瘫痪。在一个安全措施完善的计算机 *** 中，不仅要部署病毒防护系统、防火墙隔离系统，还可能要部署入侵检测、木马查杀系统和物理隔离系统等。当然所选用系统的具体等级要根据相应 *** 规模的大小和安全需求而定，并不一定要求每个 *** 系统都全面部署这些防护系统。在安全系统方面，要适度，不能片面强调什么安全之一。 除了病毒、黑客入侵外， *** 系统的安全性需求还体现在用户对数据的访问权限上，一定要根据对应的工作需求为不同用户、不同数据配置相应的访问权限，对安全级别需求较高的数据则要采取相应的加密措施。同时，用户账户，特别是高权限账户的安全也应受到高度重视，要采取相应的账户防护策略（如密码复杂性策略和账户锁定策略等），保护好用户账户，以防被非法用户盗取。 在安全性防护方面，还有一个重要的方面，就是数据备份和容灾。这非常重要，在一定程度上决定了企业的生存与发展，特别是企业数据主要是电子文档的电子商务类企业。在设计 *** 系统时，一定要充分考虑到用户对数据备份和容灾的需求，部署相应级别的备份和容灾方案。如中小型企业通常是采用Microsoft公司Windows Server 2003和Windows Server 2008系统中的备份工具进行数据备份和恢复，而对于大型企业，则可能要采用第三方专门的数据备份系统，如Veritas（维他斯，现已并入赛门铁克公司）的Backup Exec系统。 适度可扩展性原则 这是为了适应用户业务和 *** 规模发展的需求，相当重要，特别是对于中小型企业 *** 来说。这类企业一般成长较快，很可能不到三年时间， *** 用户规模就要翻倍，关键应用带宽需求也可能成倍增加。这时如果所设计的 *** 系统的可扩展性不强，就会给 *** 用户和性能的扩充带来极大的不便。 *** 的可扩展性保证主要是通过交换机端口、服务器处理器数、内存容量、磁盘架数等方面来保证。通常要求核心层或骨干层，甚至汇聚层交换机的高速端口（通常为千兆端口）要有两个以上用于维护和扩展（通常是用加连接新增加的下级交换机），不要在设计之初就只想到当前所需的这类端口数，把所有高速端口都占用完。当然也不要为将来的 *** 留有太多这样的端口或设备，否则就会给 *** 工程设计带来巨大的成本压力，也会造成巨大的投资浪费。

持续集成的好处？

减少风险。可以节省时间、费用和工作量。持续集成可以让您在任何时间发布可以部署的软件。增强项目的可见性。建立团队对开发产品的信心。

持续集成是一种软件开发实践，即团队开发成员经常集成他们的工作，通常每个成员每天至少集成一次，也就意味着每天可能会发生多次集成。每次集成都通过自动化的构建（包括编译，发布，自动化测试）来验证，从而尽早地发现集成错误。

减少风险

一天中进行多次的集成，并做相应的测试，有利于检查缺陷，了解软件的健康状况，减少假定。

减少重复过程

减少重复过程可以节省时间、费用和工作量。说起来简单，做起来难。这些浪费时间的重复劳动可能在我们的项目活动的任何一个环节发生，包括代码编译、数据库集成、测试、审查、部署及馈。

通过自动化的持续集成可以将这些重复的动作都变成自动化的，无需太多人工干预，让人们的时间更多地投入到动脑筋的、更高价值的事情上。

任何时间、任何地点生成可部署的软件

持续集成可以让您在任何时间发布可以部署的软件。从外界来看，这是持续集成最明显的好处，我们可以对改进软件品质和减少风险说起来滔滔不绝。

但对于客户来说，可以部署的软件产品是最实际的资产。利用持续集成，您可以经常对源代码进行一些小改动，并将这些改动和其他的代码进行集成。如果出现问题，项目成员马上就会被通知到，问题会之一时间被修复。

增强项目的可见性

持续集成让我们能够注意到趋势并进行有效的决策。如果没有真实或最新的数据提供支持，项目就会遇到麻烦，每个人都会提出他更好的猜测。

建立团队对开发产品的信心

持续集成可以建立开发团队对开发产品的信心，因为他们清楚地知道每一次构建的结果，他们知道他们对软件的改动造成了哪些影响，结果怎么样。

以上内容参考：百度百科 ——持续集成

入侵防护系统(IPS)的原理?

通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、 *** 架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有 *** 架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他 *** 基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

入侵防御系统（IPS）,属于 *** 交换机的一个子项目，为有过滤攻击功能的特种交换机。一般布于防火墙和外来 *** 的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）

黑客的入侵手段～～

死亡之ping （ping of death）

概览：由于在早期的阶段，路由器对包的更大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）

概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）

概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）

概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

防御：在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。

防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻击

概览：一个简单的 *** urf攻击通过使用将回复地址设置成受害 *** 的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该 *** 的所有主机都对此ICMP应答请求作出答复，导致 *** 阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

防御：为了防止黑客利用你的 *** 攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击

概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

防御：在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮，攻击者能够耗尽接受者 *** 的带宽。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

特洛伊木马

概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御：避免下载可疑程序并拒绝执行，运用 *** 扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由 *** 服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答?.

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应 *** （例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探 *** 内部的系统和它们的用户的信息。

防御：对于刺探内部 *** 的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于 *** TP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

漏洞攻击

对微软（Microsoft）而言，更具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成）， *** 带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户 *** 。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

漏洞攻击

对微软（Microsoft）而言，更具讽刺的是总被黑客先发现漏洞，待Windows们倒下后，微软才站出来补充两句：“最新的补丁已经发布，如果客户没有及时下载补丁程序而造成的后果，我们将不承担责任！”

攻击：

细细盘查，漏洞攻击主要集中在系统的两个部分：1.系统的对外服务上，如“冲击波”病毒针对系统的“远程协助”服务；“尼姆达”病毒由系统的“IPC漏洞”（资源共享）感染。2. 集成的应用软件上， IE、OutLook Express、MSN Messager、Media Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。

那黑客又是如何利用这些漏洞，实施攻击的呢？首先利用扫描技术，了解对方计算机存在哪些漏洞，然后有针对性地选择攻击方式。以IE的IFRAME漏洞为例，黑客能利用网页恶意代码（恶意代码可以采用手工编写或者工具软件来协助完成）， *** 带毒网页，然后引诱对方观看该网页，未打补丁的IE将会帮助病毒进入计算机，感染后的系统利用IE通讯簿，向外发送大量带毒邮件，最终堵塞用户 *** 。

防范：

漏洞的防御，升级自然是首选。有两种方式可以很好的升级：

1. Update

系统的“开始”菜单上，会有“Windows Update”的链接，选择后，进入Microsoft的升级主页，网站上的程序会自动扫描当前系统存在哪些漏洞，哪些需要升级，根据“向导”即可完成，如图所示（笔者推崇这种方式）。

2. 使用升级程序

使用Update虽然比较准确、全面。但它所有的升级组件都需要在Microsoft的网站上下载，“窄带”的情况下显然不现实；“宽带”也需要很长的时间。Microsoft提供升级程序的打包下载，或者一些工具光盘上也带有这些升级包。常说的“Service Pack 1”、“Service Pack 2”就是指这些升级包。

除了升级，使用一些工具软件，也能够达到效果，如3721的“上网助手”，它能够很好填补IE漏洞。这些软件一般定向保护系统的应用程序，针对“对外服务”漏洞的较少。

DDOS攻击

DDOS（分布式拒绝服务攻击）的本质是：利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。它实现简单，是目前黑客常用的一种方式。

攻击：

DDOS的实现方式较多，如多人同时向主机提出Web请求；多人同时Ping主机……这里介绍一种“先进”的“伪装IP地址的洪水Ping攻击”。

Ping指令是用来探测 *** 通讯状况和对方主机状况的 *** 指令，先前有过一些资料介绍不断的Ping对方主机，可能会造成该主机无法承受的情况，但随着Windows XP等新系统的普及， *** 带宽的升级、计算机硬件的升级，单纯的大量Ping包基本上没有效果了。

Ping指令的工作流程是这样的：先由使用Ping命令的主机A发送ICMP报文给主机B；再由主机B回送ICMP报文给主机A。

*** 通讯中有一种被称为“广播”（Broadcast）的方式，所谓广播的意思是说有一个地址，任何局域网内的主机都会接收发往这个地址的报文（就像电台广播一样），以此类推。如果往一个局域网的广播地址（利用一些“局域网嗅探软件”就可以查找它的广播地址）发送一个ICMP报文（就是一下Ping广播地址），会得到非常多的ICMP报文回应。把当前计算机的地址伪装成被攻击主机的（SOCK_RAW就可以实现伪装IP），向一个广播地址发送Ping请求的时候，所有这个广播地址内的主机都会回应这个Ping请求，被攻击主机被迫接受大量的Ping包。这就形成了伪装IP地址的洪水Ping攻击形式。

防范：

对于DDOS而言，目前 *** 上还没有找到什么有效的防御 *** ，对于一种使用Ping包的攻击方式，虽然可以使用一些防火墙拒绝Ping包，但如果DDOS采用了另一种载体——合法的Web请求（打开该主机上的网页）时，依然无法防范。现在对付DDOS的普遍 *** 是由管理员，手工屏蔽DDOS的来源和服务器形式，如有一段IP对主机进行DDOS，就屏蔽该段IP的访问；DDOS使用的是FTP、HTTP服务，就暂时停止这些服务。

最后还要提醒一下大家，高明的黑客在攻击后都会做一些扫尾工作，扫尾工作就是要清除一些能够发现自己的残留信息。对于用户而言一般只能通过日志来捕捉这些残留信息，如防火墙的日志；Web服务器的日志（IIS、Server_U都具有日志查看功能）。能否通过日志找到这些残留信息只能靠运气了，真正够厉害的黑客会悄然无声地离去，而不留下一片“云彩”。

六、ICMP Flood能防吗？

先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢）

软件的 *** 防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）”

所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。

如果你正在被攻击，更好的 *** 是抓取攻击者IP（除非对方用之一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打 *** 找警察叔叔吧）

七、被ICMP Flood攻击的特征

如何发现ICMP Flood？

当你出现以下症状时，就要注意是否正被洪水攻击：

1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载

2.防火墙一直提示有人试图ping你

3. *** 速度奇慢无比

4.严重时系统几乎失去响应，鼠标呈跳跃状行走

如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。

1.普通ping

这种“攻击”一般是对方扫描 *** 或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:24] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:26] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:30] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这么慢的速度，很明显是由ping.exe或IcmpSendEcho发出的，如果对方一直不停的让你的防火墙吵闹，你可以给他个真正的ICMP Flood问候。

2.直接Flood

这是比较够劲的真正意义洪水了，防火墙的报警密度会提高一个数量级：

==============================================================

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

这时候你的防火墙实际上已经废了，换个IP吧。

3.伪造IP的Flood

比较厉害的ICMP Flood，使用的是伪造的IP而且一样大密度，下面是the0crat用56K拨号对我的一次攻击测试的部分数据（看看时间，真晕了，这可是56K小猫而已啊）

=============================================================

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

[18:52:13] 1.1.1.1 尝试用Ping 来探测本机，

该操作被拒绝。

=============================================================

无言…………

4、反射ICMP Flood

估计现在Smurf攻击还没有多少人会用（R-Series的RSS.EXE就是做这事的，RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射），所以这种 *** 还没有大规模出现，但Smurf是存在的！而且这个攻击 *** 比前面几种更恐怖，因为攻击你的是大网站（或一些受苦受难的服务器）！

我正在被网易、万网和新浪网站攻击中（懒得修改天网策略，直接用其他工具抓的。实际攻击中，反射的IP会多几倍！）

=======================================================================

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)

[15:26:32] RECV:ICMP Packet fro