网络就像一个潘多拉魔盒，光怪陆离、无所不有。但它在给人们的生活增添无穷乐趣的同时，也充斥着太多的骗局和陷阱，不时地令冲浪者防不胜防，这个无法回避的事实告诫人们在网上要时刻保持足够的警惕，那么，如何做呢？

最“笨”的“黑客”采取的手段看起来很拙劣，他们的策略完全是“姜太公式的”，这类“黑客”往往在自己的主页上制造种种借口，要求访问者留下自己的账号、密码等，碰到这种情况，你千万要记住：不要一时冲动，将自己的资料和盘托出！不管对方吹得如何天花乱坠，只要做到心明眼亮，对方就只能徒呼奈何。

当然，“黑客”不都是如此“弱智”的，他们总是会绞尽脑汁地不断变换“作案”手法，千方百计地要攻破别人的城池。典型的做法是：“黑客”通过电子邮件，或在你下载软件的时候，神不知鬼不觉地将一些“神秘”的小程序悄悄地移植到你的机器上，这些小程序会潜伏下来，自动地修改操作系统的核心、开辟数据通道，留下一个危险的后门，当你的机器再一次联上网络时，它们就像“特洛伊木马”一样，将你的账号口令等信息传送给坐享其成的“黑客”。

对于个人来说，对电子邮件中的附件或邮件列表保持警觉；下载软件时尽量不要光顾那些不知底细的个人网站。另外，经常性地变换自己的账号口令也是必要的和明智的做法。
以上涉及的都是个人如何防备“黑客”的问题，与个人比较起来，企业网络的安全无疑要重要得多，无论是学校的机房，还是银行、商业机构以及运营商，它们组建的网络一旦被侵犯，后果往往是不堪设想的。

对于企业来说，往往会成为“专业”的“黑客”的攻击目标，那么企业应该如何做呢？其实就是“扎紧篱笆”、堵住“后门”，常用的方法就是去识别各种攻击手段，提前在自己的网络中做好防攻击措施，要么是让“黑客”攻击不了我们的网络，要么一旦发现攻击即可识别出来，并阻止或惩罚其攻击的报文。说到这里大家可能会想到网络安全策略中的一个最重要的实施手段，没错……，就是访问控制列表（Access Control List），以下简称ACL。

下面从黑客常用的攻击手段中撷取几种，让大家见识一下。

CPU攻击

概览：在网络中，存在着大量针对CPU（Central Processing Unit）的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文，从而引发其他业务的断续甚至系统的中断；大量正常的报文也会导致CPU占用率过高，性能下降，从而影响正常的业务。

防御：为了保证CPU对正常业务的处理和响应，可以通过下发特定的ACL，针对上送CPU的报文进行限制和分析统计，使单位时间内上送CPU报文的数量限制在一定的范围之内，然后对统计的报文设置一定的阈值，将超过阈值的报文判定为攻击报文，再根据攻击报文信息找出攻击源用户或者攻击源接口，最后通过日志、告警等方式提醒管理员，以便管理员采用一定的措施来保护设备，或者直接丢弃攻击报文以对攻击源进行惩罚。

ARP协议攻击

概览：ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。

例如ARP泛洪攻击、ARP欺骗攻击。ARP攻击行为存在以下危害： 会造成网络连接不稳定，引发用户通信中断。利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口令，造成被攻击者重大利益损失。

防御：为了避免上述ARP攻击行为造成的各种危害，ARP安全特性针对不同的攻击类型提供了不同的方法。

例如动态ARP检测：当设备收到ARP报文时，将此ARP报文的源IP、源MAC、收到ARP报文的接口及VLAN（Virtual Local Area Network）信息和DHCP绑定表的信息进行比较，如果信息匹配，则认为是合法用户，通过ACL允许此用户的ARP报文通过，否则认为是攻击，丢弃该ARP报文。

DHCP协议攻击

概览：目前DHCP协议在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

防御：因此必须在DHCP Client和DHCP Server之间建立一道安全访问控制策略，保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

DoS攻击

概览：拒绝服务（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

防御：基于DHCP绑定表对IP报文进行匹配检查，建立一道安全访问控制策略。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则通过ACL允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。

或者基于FIB表对IP报文进行匹配检查，建立一道安全访问控制策略。单播逆向路径转发（Unicast Reverse Path Forwarding）在FIB表中查找数据包的IP源地址是否与数据包的源接口相匹配，如果没有匹配表项将通过ACL丢弃该数据包，从而预防IP欺骗，特别是针对伪造IP源地址的DoS攻击非常有效。

畸形报文攻击

概览：畸形报文攻击是通过向目标设备发送有缺陷的IP报文，使得目标设备在处理这样的IP报文时出错和崩溃，给目标设备带来损失。畸形报文攻击主要分为以下几类：没有IP载荷的泛洪、IGMP空报、LAND攻击、Smurf攻击。

防御：针对此类攻击，就是在网络设备上启用畸形报文攻击防范功能，设备实时检测出畸形报文并予以丢弃，实现对本设备的保护。例如如果同一报文的分片数目超过8189个，则设备认为是恶意报文，丢弃该报文的所有分片；收到分片报文时判断Offset*8是否大于65528，如果大于就当作恶意分片报文直接丢弃。

泛洪攻击

概览：还有一些泛洪攻击，例如TCP SYN泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击

防御：这里攻击的防范手段也是建立安全访问控制策略，设备实时检测出泛洪报文并予以丢弃或者限速处理，实现对本设备的保护。

总之，企业和机构的网络面临着各种安全威胁，如黑客攻击、恶意软件、信息泄露、拒绝服务、内部破坏等。关闭不必要的服务、强化口令强度、管理用户的分级分权管理、以及丰富ACL策略的部署等各种网络安全防御措施不是孤立的，而是作为一个整体为一个网络提供安全保障。任何一个环节的问题都可能带来安全隐患，造成不可挽回的损失。

本文转自d1net（转载）