网路信息系统所面临的威胁来自很多方面，而且会随着时间的变化而变化。从巨观上看，这些威胁可分为人为威胁和自然威胁。

自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网路设备的自然老化等。这些威胁是无目的的，但会对网路通信系统造成损害，危及通信安全。而人为威胁是对网路信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。

主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造讯息数据和终端（拒绝服务）。

（1） 篡改讯息

篡改讯息是指一个合法讯息的某些部分被改变、删除，讯息被延迟或改变顺序，通常用以产生一个未授权的效果。如修改传输讯息中的数据，将“允许甲执行操作”改为“允许乙执行操作”。

（2）伪造

伪造指的是某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体，从而以欺骗方式获取一些合法用户的权利和特权。

（3）拒绝服务

拒绝服务即常说的DoS（Deny of Service），会导致对通讯设备正常使用或管理被无条件地中断。通常是对整个网路实施破坏，以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被阻止。

被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。

（1）流量分析

流量分析攻击方式适用于一些特殊场合，例如敏感信息都是保密的，攻击者虽然从截获的讯息中无法的到讯息的真实内容，但攻击者还能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及讯息的长度，获知相关的敏感信息，这种攻击方式称为流量分析。

（2）窃听

窃听是最常用的手段。目前套用最广泛的区域网路上的数据传送是基于广播方式进行的，这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时，它就可以将网路上传送的所有信息传送到上层，以供进一步分析。如果没有採取加密措施，通过协定分析，可以完全掌握通信的全部内容，窃听还可以用无限截获方式得到信息，通过高灵敏接受装置接收网路站点辐射的电磁波或网路连线设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号从而获得网路信息。儘管有时数据信息不能通过电磁信号全部恢复，但可能得到极有价值的情报。

由于被动攻击不会对被攻击的信息做任何修改，留下痕迹很好，或者根本不留下痕迹，因而非常难以检测，所以抗击这类攻击的重点在于预防，具体措施包括虚拟专用网VPN，採用加密技术保护信息以及使用交换式网路设备等。被动攻击不易被发现，因而常常是主动攻击的前奏。

被动攻击虽然难以检测，但可採取措施有效地预防，而要有效地防止攻击是十分困难的，开销太大，抗击主动攻击的主要技术手段是检测，以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应，在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。

从浅入深的分为以下几个层次：

（1）简单拒绝服务。

（2）本地用户获得非授权读许可权。

（3）本地用户获得非授权写许可权。

（4）远程用户获得非授权账号信息。

（5）远程用户获得特权档案的读许可权。

（6）远程用户获得特权档案的写许可权。

（7）远程用户拥有了系统管理员许可权。

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多，如

利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；

利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；

从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；

查看主机是否有习惯性的帐号：有经验的用户都知道，非常多系统会使用一些习惯性的帐号，造成帐号的泄露。

放置特洛伊木马程式能直接侵入用户的计算机并进行破坏，他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附属档案或从网上直接下载，一旦用户打开了这些邮件的附属档案或执行了这些程式之后，他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中，并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连线到网际网路上时，这个程式就会通知攻击者，来报告你的IP位址及预先设定的连线埠。攻击者在收到这些信息后，再利用这个潜伏在其中的程式，就能任意地修改你的计算机的参数设定、複製档案、窥视你整个硬碟中的内容等，从而达到控制你的计算机的目的。

在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、谘询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的伺服器，当用户浏览目标网页的时候，实际上是向黑客伺服器发出请求，那幺黑客就能达到欺骗的目的了。

一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都指向攻击者的Web伺服器，即攻击者能将自已的Web地址加在所有URL地址的前面。这样，当用户和站点进行安全连结时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器和某个站点边接时，能在地址栏和状态样中获得连线中的Web站点地址及其相关的传输信息，用户由此能发现问题，所以攻击者往往在URLf址重写的同时，利用相关信息排盖技术，即一般用JavaScript程式来重写地址样和状枋样，以达到其排盖欺骗的目的。

电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软体或CGI程式向目的信箱传送大量内容重複、无用的垃圾邮件，从而使目的信箱被撑爆而无法使用。当垃圾邮件的传送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。

攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们能使用网路监听方法，尝试攻破同一网路内的其他主机；也能通过IP欺骗和主机信任关係，攻击其他主机。

这类攻击非常狡猾，但由于某些技术非常难掌控，如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网路中的其他机器误将其攻击者作为合法机器加以接受，诱使其他机器向他传送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上，包括数据链路层、网路层、运输层及套用层均容易受到影响。如果底层受到损害，则套用层的所有协定都将处于危险之中。另外由于用户本身不直接和底层相互相交流，因而对底层的攻击更具有欺骗性。

网路监听是主机的一种工作模式，在这种模式下，主机能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的传送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到伺服器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网路监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网路监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

利用黑客软体攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较着名的特洛伊木马，他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行档案操作外，同时也能进行对方桌面抓图、取得密码等操作。这些黑客软体分为伺服器端和用户端，当黑客进行攻击时，会使用用户端程式登入上已安装好伺服器端程式的计算机，这些伺服器端程式都比较小，一般会随附带于某些软体上。有可能当用户下载了一个小游戏并运行时，黑客软体的伺服器端就安装完成了，而且大部分黑客软体的重生能力比较强，给用户进行清除造成一定的麻烦。特别是一种TXT档案欺骗手法，表面看上去是个TXT文本档案，但实际上却是个附带黑客程式的可执行程式，另外有些程式也会伪装成图片和其他格式的档案。

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是作业系统或套用软体本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆叠里，系统还照常执行命令。这样攻击者只要传送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别设定一串準备用作攻击的字元，他甚至能访问根目录，从而拥有对整个网路的绝对控制权。另一些是利用协定漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得终极用户的许可权。又如，ICMP协定也经常被用于发动拒绝服务攻击。他的具体手法就是向目的伺服器传送大量的数据包，几乎占取该伺服器所有的网路宽频，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站回响速度大大降低或伺服器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对伺服器进行拒绝服务攻击的进攻。他们的繁殖能力极强，一般通过Microsoft的 Outlook软体向众多信箱发出带有病毒的邮件，而使邮件伺服器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网路操作。

所谓连线埠扫描，就是利用Socket编程和目标主机的某些连线埠建立TCP连线、进行传输协定的验证等，从而侦知目标主机的扫描连线埠是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描

指外部攻击者通过各种手段，从该子网以外的地方向该子网或者该子网内的系统发动攻击。

指本单位的内部人员，通过所在的区域网路，向本单位的其他系统发动攻击，在本级上进行非法越权访问。

指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。

DOS攻击例如：WinNuke通过传送OOB漏洞导致系统蓝屏；Bonk通过传送大量伪造的UDP数据包导致系统重启；TearDrop通过传送重叠的IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特别数据包在对方机器上产生大量的视窗；Land通过传送大量伪造源IP的基于SYN的TCP请求导致系统重启动；FluShot通过传送特定IP包导致系统凝固；Bloo通过传送大量的ICMP数据包导致系统变慢甚至凝固；PIMP通过IGMP 漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。

(1)BO2000(BackOrifice)：他是功能最全的TCP/IP构架的攻击工具，能蒐集信息，执行系统命令，重新设定机器，重新定向网路的客户端/伺服器套用程式。BO2000支持多个网路协定，他能利用TCP或UDP来传送，还能用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了终极用户，你的所有操作都可由BO2000自带的“秘密摄像机”录製成“录像带”。

(2)“冰河”：冰河是个国产木马程式，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程式来一点也不逊色。 他能自动跟蹤目标机器的萤幕变化，能完全模拟键盘及滑鼠输入，即在使被控端萤幕变化和监视端产生同步的同时，被监视端的一切键盘及滑鼠操作将反映在控端的萤幕。他能记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；他能获取系统信息；他还能进行注册表操作，包括对主键的浏览、增删、複製、重命名和对键值的读写等所有注册表操作。

(3)NetSpy：能运行于视窗系统95/98/NT/2000等多种平台上，他是个基于TCP/IP的简单的档案传送软体，但实际上你能将他看作一个没有许可权控制的增强型FTP伺服器。通过他，攻击者能神不知鬼不觉地下载和上传目标机器上的任意档案，并能执行一些特别的操作。

(4)Glacier：该程式能自动跟蹤目标计算机的萤幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机档案及目录、远程关机、传送信息等多种监视功能。类似于BO2000。

(5)KeyboardGhost：视窗系统系统是个以讯息循环(MessageLoop)为基础的作业系统。系统的核心区保留了一定的位元组作为键盘输入的缓冲区，其数据结构形式是伫列。键盘幽灵正是通过直接访问这一伫列，使键盘上输入你的电子信箱、代理的账号、密码Password（显示在萤幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码视窗的所有符号都会被记录下来，并在系统根目录下生成一档案名称为KG.DAT的隐含档案。

(6)ExeBind：这个程式能将指定的攻击程式捆绑到所有一个广为传播的热门软体上，使宿主程式执行时，寄生程式也在后台被执行，且支持多重捆绑。实际上是通过多次分割档案，多次从父进程中调用子进程来实现的。

普通攻击者都会利用别人的计算机隐藏他们真实的IP位址。老练的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。

攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP位址，域名是为了便于记忆主机的IP位址而另起的名字，只要利用域名和 IP位址就能顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的作业系统类型及其所提供服务等资料作个全方面的了解。此时，攻击者们会使用一些扫描器工具，轻鬆获取目标主机运行的是哪种作业系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet 、SMTP等伺服器程式是何种版本等资料，为入侵作好充分的準备。

攻击者要想入侵一台主机，首先要该获取主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户档案，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设定、在系统中置入特洛伊木马或其他一些远程操纵程式，以便日后能不被觉察地再次进入系统。大多数后门程式是预先编译好的，只需要想办法修改时间和许可权就能使用了，甚至新档案的大小都和原档案一模相同。攻击者一般会使用rep传递这些档案，以便不留下FTB记录。清除日誌、删除拷贝的档案等手段来隐藏自己的蹤迹之后，攻击者就开始下一步的行动。

攻击者找到攻击目标后，会继续下一步的攻击，窃取网路资源和特权。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网路瘫痪。

在对网路攻击进行上述分析和识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设定强有力的安全保障体系。有的放矢，在网路中层层设防，发挥网路的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主 ，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网路安全问题，提出的几点建议

(1)不要随意打开来历不明的电子邮件及档案，不要随便运行不太了解的人给你的程式，比如“特洛伊”类黑客程式就需要骗你运行。 中国.网管联盟

(2)儘量避免从Internet下载不知名的软体、游戏程式。即使从知名的网站下载的软体也要及时用最新的病毒和木马查杀软体对软体和系统进行扫描。

(3)密码设定儘可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设定不同，防止被人查出一个，连带到重要密码。重要密码最佳经常更换。

(4)及时下载安装系统补丁程式。

(5)不随便运行黑客程式，不少这类程式运行时会发出你的个人信息。

(6)在支持HTML的BBS上，如发现提交警告，先看原始码，非常可能是骗取密码的陷阱。

使用防毒、防黑等防火墙软体。防火墙是个用以阻止网路中的黑客访问某个机构网路的屏障，也可称之为控制进/出两个方向通信的门槛。在网路边界上通过建立起来的相应网路通信监视系统来隔离内部和外部网路，以阻档外部网路的侵入。

设定代理伺服器，隐藏自已IP位址。保护自己的IP位址是非常重要的。事实上，即便你的机器上被安装了木马程式，若没有你的IP位址，攻击者也是没有办法的，而保护IP位址的最佳方法就是设定代理伺服器。代理伺服器能起到外部网路申请访问内部网路的中间转接作用，其功能类似于一个数据转发器，他主要控制哪些用户能访问哪些服务类型。当外部网路向内部网路申请某种网路服务时，代理伺服器接受申请，然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名範围等来决定是否接受此项服务，如果接受，他就向内部网路转发这项请求。

将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软体保持在常驻状态，以完全防毒；

由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒；

对于重要的个人资料做好严密的保护，并养成资料备份的习惯。

在最近几年里，网路攻击技术和攻击工具有了新的发展趋势，使藉助Internet运行业务的机构面临着前所未有的风险，本文将对网路攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连线到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分散式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁将继续增加。

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特徵更难发现，更难利用特徵进行检测。攻击工具具有三个特点：反侦破，攻击者採用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为;攻击工具的成熟性，与早期的攻击工具不同，攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种作业系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协定)等协定，从入侵者那里向受攻击的计算机传送数据或命令，使得人们将攻击特性与正常、合法的网路传输流区别开变得越来越困难。

网路攻击 新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

防火墙是人们用来防範入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，IPP(Internet列印协定)和WebDAV(基于Web的分散式创作与翻译)都可以被攻击者利用来绕过防火墙。

攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。扫描可能的受害者。自1997年起，广泛的扫描变见惯。扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分散式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。分散式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分散式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。

拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜寻已知包含大量具有高速连线的易受攻击系统的地址块，电缆数据机、DSL和大学地址块越来越成为计画安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞，会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能。但是，这些蠕虫病毒的最大影响力是，由于它们传播时生成海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击，造成大量间接的破坏(这样的例子包括：DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网路管理(ARP)传输流激增造成的电缆调製解制器ISP网路全面超载)。

据防务新闻网站2012年10月4日报导，一名军方官员表示，美国需要发展网路空间攻击性武器，以保护国家免受网路攻击。

美国网路司令部司令兼美国国家安全局局长基思·亚历山大表示，“如果防御仅仅是在尽力阻止攻击，那幺这永远不算成功。政府需要在攻击发生之前将其扼杀，採取何种防御措施部分归因于攻击手段。”

亚历山大在美国商会举办的网路安全峰会上表示，任何赛博攻击行为都需要遵循其它军事态势中相似的交战原则。

美国军方已经开始研究包括攻击型武器在内的各种网路空间策略。DARPA则开始为网路空间攻击能力构建平台，并经呼吁学术界和工业界的专家参与。