2.5 其他常用的攻击方式

2.5.1 电子邮件攻击

电子邮件攻击，是目前商业应用最多的一种攻击方式。我们也将它称为邮件炸弹攻击，就是对某个或多个邮箱发送大量的邮件，使网络流量加大占用处理器时间，消耗系统资源，从而使系统瘫痪。目前有许多邮件炸弹软件，虽然它们的操作有所不同，成功率也不稳定，但有一点就是它们可以隐藏攻击者以不被发现。

电子邮件因为可实现性比较广泛，所以也使网络面临着很大的安全危害。比如恶意地针对25（默认的SMTP端口）进行SYN-Flooding攻击等都会是很可怕的事情。电子邮件攻击有很多种，主要表现为以下方面。

第一，窃取、篡改数据：通过监听数据包或者截取正在传输的信息，可以使攻击者读取或者修改数据。通过网络监听程序，在Windows系统中可以使用NetXRay来实现。UNIX、Linux系统可以使用Tcpdump、Nfswatch（SGI Irix、HP/US、SunOS）来实现。而著名的Sniffer则是有硬件也有软件，这就更为专业了。

第二，伪造邮件：通过伪造的电子邮件地址可以用诈骗的方法进行攻击。

第三，拒绝服务：让系统或者网络充斥了大量的垃圾邮件，从而没有余力去处理其他的事情，造成系统邮件服务器或者网络的瘫痪病毒。在生活中，很多病毒都是通过电子邮件广泛传播的。I love you就是新千年里最为鲜明的例子。

2.5.2 网络监听

网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。例如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其他机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

2.5.3 利用黑客软件攻击

黑客工具一般是由黑客或者恶意程序安装到你的计算机中，用来盗窃信息、让计算机死机与无法使用、引起系统故障和完全控制计算机的恶意软件程序；同时也指黑客进行黑客任务时使用的工具，著名的有灰鸽子、流光等。下面来简短介绍几种攻击的软件程序。

第一种：冰河。冰河是最优秀的国产木马程序之一，同时也是被使用最多的一种木马。如果这个软件做成规规矩矩的商业用远程控制软件，绝对不会逊色于体积庞大、操作复杂的PCanywhere。但可惜的是，它最终变成了黑客常用的工具。

冰河的服务器端（被控端）和客户端（控制端）都是一个可执行文件，客户端的图标是一把瑞士军刀，服务器端则看起来是个微不足道的程序，但就是这个程序，足以让你的计算机成为别人的掌中之物。某台计算机执行了服务器端软件后，该计算机的7626号端口（默认）就对外开放了。如果在客户端输入这台计算机的IP地址，就能完全控制这台计算机。由于个人计算机每次上网的IP地址都是随机分配的，所以客户端软件有一个“自动搜索”功能，可以自动扫描某个IP段受感染的计算机，一旦找到，这台计算机就尽在黑客的掌握之中了。由于冰河程序传播比较广泛，所以一般情况下，几分钟之内就能找到一个感染了冰河的受害者。

第二种：Wnuke。Wnuke可以利用Windows系统的漏洞，通过TCP/IP协议向远程机器发送一段信息，导致一个OOB错误，使之崩溃。现象：计算机屏幕上出现一个蓝地白字的提示：“系统出现异常错误”，按【Esc】键后又回到原来的状态，或者死机。它可以攻击Windows XP、Windows7等系统，并且可以自由设置包的大小和个数，通过连续攻击导致对方死机。

第三种：ExeBind。可以将指定的黑客程序捆绑到任何一款广为传播的热门软件上，使宿主程序执行时，寄生程序（黑客程序）也在后台被执行。当你再次上网时，已经在不知不觉中被控制住了。你说这个文件捆绑专家恐怖不？而且它支持多重捆绑。实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。现象：几乎无。危害：NetSpy、HDFILL、BO2000常通过这种形式在Internet上寄生传播。如果有一天你收到一个不相识的人发来个不错的程序，请仔细检查一下，因为没准它是用ExeBind捆绑了木马程序！

2.5.4 端口漏洞攻击

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式，攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，且一次只发送一个。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。

主机常用以下端口。

HTTP协议代理服务器常用端口号为80/8080/3128/8081/9080；

SOCKS代理协议服务器常用端口号为1080；

FTP（文件传输）协议代理服务器常用端口号为21；

Telnet（远程登录）协议代理服务器常用端口号为23；

HTTP服务器默认的端口号为80/tcp（木马Executor开放此端口）；

HTTPS服务器，默认的端口号为443/tcp 443/udp；

Telnet，默认端口号为23/tcp（木马Tiny Telnet Server所开放的端口）；

FTP默认的端口号为21/tcp（木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口）；

TFTP（Trivial File Transfer Protocol），默认的端口号为69/udp；

SSH（安全登录）、SCP（文件传输）、端口重定向，默认的端口号为22/tcp；

SMTP Simple Mail Transfer Protocol（E-mail），默认的端口号为25/tcp（木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）；

POP3 Post Office Protocol（E-mail），默认的端口号为110/tcp；

WebLogic，默认的端口号为7001；

Webshpere应用程序，默认的端口号为9080；

Webshpere管理工具，默认的端口号为9090；

JBOSS，默认的端口号为8080；

TOMCAT，默认的端口号为8080；

WIN2003远程登录，默认的端口号为3389；

Symantec AV/Filter for MSE，默认端口号为8081；

Oracle数据库，默认的端口号为1521；

ORACLE EMCTL，默认的端口号为1158；

Oracle XDB（XML数据库），默认的端口号为8080；

Oracle XDB FTP服务，默认的端口号为2100；

MS SQL＊SERVER数据库server，默认的端口号为1433/tcp 1433/udp；

MS SQL＊SERVER数据库monitor，默认的端口号为1434/tcp 1434/udp；

QQ，默认的端口号为1080/udp[1]。