要想更好的保護(hù)網(wǎng)絡(luò)不受黑客的攻擊，就必須對(duì)黑客的攻擊方法、攻擊原理、攻擊過(guò)程有深入詳細(xì)的了解，只有這樣才能更有效、更具有針對(duì)性的進(jìn)行主動(dòng)防護(hù)。下面通過(guò)對(duì)黑客攻擊方法的特征分析，來(lái)研究如何進(jìn)行檢測(cè)與防御。

　　一、反攻擊技術(shù)

　　反攻擊技術(shù)(入侵檢測(cè)技術(shù))的核心問(wèn)題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過(guò)兩種途徑來(lái)獲取信息，一種是通過(guò)網(wǎng)絡(luò)偵聽(tīng)的途徑來(lái)獲取所有的網(wǎng)絡(luò)信息，這既是黑客進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑;另一種是通過(guò)對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來(lái)發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

　　二、黑客攻擊的方式

　　黑客對(duì)網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來(lái)講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來(lái)進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式中絕大部分黑客攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下六類：

　　1.拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過(guò)使被攻擊對(duì)象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過(guò)載，從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

　　2.非授權(quán)訪問(wèn)嘗試：是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試。

　　3.預(yù)探測(cè)攻擊：在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

　　4.可疑活動(dòng)：是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng)，也可以指網(wǎng)絡(luò)上不希望有的活動(dòng)，如IP Unknown Protocol和Duplicate IP Address事件等。

　　5.協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得相應(yīng)的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動(dòng)，如FTU User和Portmapper Proxy等解碼方式。

　　6.系統(tǒng)代理攻擊：這種攻擊通常是針對(duì)單個(gè)主機(jī)發(fā)起的，而并非整個(gè)網(wǎng)絡(luò)，通過(guò)RealSecure系統(tǒng)代理可以對(duì)它們進(jìn)行監(jiān)視。