黑客攻击行为的特征分析及反攻击技术

　　入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

　　1.Land攻击

　　攻击类型:Land攻击是一种拒绝服务攻击。

　　攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

　　检测方法:判断网络数据包的源地址和目标地址是否相同。

　　反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址)。

　　2.TCP SYN攻击

　　攻击类型:TCP SYN攻击是一种拒绝服务攻击。

　　攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

　　检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

　　反攻击方法:当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

　　3.Ping Of Death攻击

　　攻击类型:Ping Of Death攻击是一种拒绝服务攻击。

　　攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

　　检测方法:判断数据包的大小是否大于65535个字节。

　　反攻击方法:使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。