一、反攻击技术的核心问题

　　反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径(如sniffer，vpacket等程序)来获取所有的网络信息(数据包信息，网络流量信息、网络状态信息、网络管理信息等)，这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

　　二、黑客攻击的主要方式

　　黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类:

　　1.拒绝服务攻击:

　　一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有syn flood攻击、ping flood攻击、land攻击、winnuke攻击等。

　　2.非授权访问尝试:

　　是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

　　3.预探测攻击:

　　在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括satan扫描、端口扫描和ip半途扫描等。

　　4.可疑活动:

　　是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如ip unknown protocol和duplicate ip address事件等。

　　5.协议解码:

　　协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如ftu user和portmapper proxy等解码方式。

　　6.系统代理攻击:

　　这种攻击通常是针对单个主机发起的，而并非整个网络，通过realsecure系统代理可以对它们进行监视。