一:IP地址攻击

这主要是针对个人计算机用户的一种攻击手段，目前有很多种此类的黑客工具。

1．OOB攻击
    这是利用NETBIOS中一个OOB  （Out  of  Band）的漏洞而来进行的，它的原理是通过TCP／IP协议传递一个数据包到计算机某个开放的端口上（一般是137、138和139），当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象，不重新启动计算机就无法继续使用TCP／IP协议来访问网络。

2．DoS攻击
    这是针对Windows  9X所使用的ICMP协议进行的DOS（Denial  of  Service，拒绝服务）攻击，一般来说，这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包，造成对方计算机的死机。

3．WinNuke攻击
    目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机，并且可以进行连续攻击，还能够验证攻击的效果，还可以对检测和选择端口，所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。

4．SSPing
    这是一个IP攻击工具，它的工作原理是向对方的计算机连续发出大型的ICMP数据包，被攻击的机器此时会试图将这些文件包合并处理，从而造成系统死机。

5．TearDrop攻击
    这种攻击方式利用那些在TCP／IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击，由于IP分段中含有指示该分段所包含的是原包哪一段的信息，所以一些操作系统下的TCP／IP协议在收到含有重叠偏移的伪造分段时将崩溃。TeadDrop最大的特点是除了能够对Windows  9X／NT进行攻击之外，连Linux也不能幸免。
二:拒绝服务攻击
拒绝服务攻击是目前最容易实施的攻击行为，这将通过使你的服务计算机崩溃或者把它压跨来阻止你提供服务。

    1．死亡之ping（ping  of death）
    由于在早期的阶段，路由器对所传输的文件包最大尺寸都有限制，许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，一旦产生畸形即声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP／IP堆栈崩溃，致使接受方当机。这种攻击方式主要是针对Windows  9X操作系统的，而Unix、Linux、Solaris。  Mac  OS都具有抵抗一般ping  of  death攻击的能力。

    2．UDP洪水（UDP  flood）
    各种各样的假冒攻击利用简单的TCP／IP服务。如Chargen和EchQ来传送毫无用处的数据来占用所有的带宽。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的元用数据流，如果足够多的数据流就会导致带宽的服务攻击。

    3．SYN洪水（SYN  flood）
    一些TCP／IP堆栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有限度数量的内存缓冲区用于创建连接，如果这些缓冲区内充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，  SYN洪水具有类似的影响。
    不过未来的SYN洪水令人担忧，这是由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

    4．Land攻击
      在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送sYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIx实现将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。

  5。Smurf攻击
    一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此iCMP应答请求作出答复，导致网络阻塞，所以它比ping  of  deaih洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

    6．电子邮件炸弹
    电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值得防范的一个攻击手段。
    7．畸形消息攻击
    目前无论是Windows、Unix、Linux等各类操作系统上的许多服务都存在安全隐患问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，所以一旦在收到畸形的信息就有可能会崩溃。

三:利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

    1．口令猜测
    这里所说的口令不仅仅是用户账号的口令，还有一些网络常用工具的口令，比如电子邮件程序、OICO聊天等，一旦黑客获悉这些工具的口令之后，就可以冒充你作出一些有损你的事情。更严重的是，当黑客识别了一台主机而且发现了基于NETBIOS、Te1net或NFS这样的服务的可利用的用户账号，它们就能提供对机器的控制。

  2．特洛伊木马
    特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：  NetBus、BackOrifice和B02k等等；而用于控制系统的良性程序如：netcat，  vNC、PcAnywhere，通常理想的后门程序都是在你不知道的情况下透明运行。
   
  3．缓冲区溢出
      由于在很多的服务程序中大意的程序员使用像strcpy（）、strcat（）类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口，然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

四:信息收集型攻击

信息收集型攻击并不对目标本身造成危害，只是被用来为进一步入侵提供有用的信息。

    1．扫描技术
      （1）地址扫描：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。
      （2）端口扫描：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。
      （3）反响映射：黑客向主机发送虚假消息，然后根据返回“host  unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：  RESET消息。SYN一ACK消息、DNS响应包。
      （4）慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

    2．体系结构探测
    黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（比如Windows  NT和Solaris的TCP／IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

    3．利用信息服务
    （1）DNS域转换：  DNS协议不对转换或信息性的酬进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
    （2）Flnger服务：使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
    （3）LDAP服务：通过LDAP协议窥探网络内部的系统和它们的用户的信息。

五:假消息攻击

    用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

1．DNS高速缓存污染
    由于DNS服务器与其他名称服务器交换信息的并不进行身份验证，这就使得黑客可以将不正确
的信息掺进来并把用户引向黑客自己的主机。

2．伪造电子邮件
    由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你伪造电子邮件，声称是来自某个渊并相信的人，并附带上可安装的特洛伊木马程序狸是一个弓响恶意网站的链接。