ack5渗透工具的简单介绍

导航：

• 1、当我使用proxychains渗透时，怎么验证我没暴露我的ips
• 2、ACK文件怎么打开，打不开怎么办
• 3、怎么防御 ack 攻击????????
• 4、谈谈 ：我对ack gis体系结构认识

当我使用proxychains渗透时，怎么验证我没暴露我的ips

对于任何注意网络安全评估的公司而言，定期执行边界漏洞测试是至关重要的。有一些攻击由内部发起，而有许多攻击是来自于公司外部。这意味着，公司必须能够验证边界设备，保证系统及时安装补丁，并且保持更新。边界测试一般包括网络扫描、检查入侵检测(IDS)与入侵防御系统(IPS)、防火墙测试和蜜罐技术部署与测试。网络扫描是渗透测试应该执行的第一个活动。毕竟，您应该尽量从攻击者的角度去检查网络。您对于网络的看法是由内而外，但是攻击者的角度则不同。执行边界扫描可以帮助您确定边界设备的操作系统和补丁级别，从网络外部是否能够访问设备，以及SSL和T传输层安全（TLS）证书是否存在漏洞。此外，网络扫描有助于确定可访问的设备是否具有足够的保护措施，防止在设备部署之后不会被暴露漏洞。Nmap是一个的开源安全扫描工具，它可用于监控网络；这个工具支持各种不同的交换机，能够发现开放端口、服务和操作系统。部署IDS和IPS是另一种检测恶意软件活动的方法。大多数公司都会在网络边界部署IDS或IPS，但是现在人们对于这些设备对抗攻击的效果仍然存在争议。有许多方法可以测试IDS和IPS，其中包括：插入攻击。这些攻击形式是，攻击者向终端系统发送数据包被拒绝，但是IDS却认为它们是有效的。当出现这种攻击时，攻击者会在IDS中插入数据，却不会被其他系统发现。

躲避攻击。这个方法允许攻击者使IDS拒绝一个终端系统可以接受的数据包。

拒绝服务攻击。这种攻击的形式是，攻击者向IDS发送大量的数据，使IDS完全失去处理能力。这种淹没方式可能会让恶意流量悄悄绕过防御。

假警报。还记得那个谎报军情的小男孩吗？这种攻击会故意发送大量的警报数据。这些假警报会干扰分析，使防御设备无法分辨出真正的攻击。

混淆。IDS必须检查所有格式的恶意软件签名。为了混淆这种IDS，攻击者可能会对流量进行编码、加密或拆分，从而隐藏自己的身份。

去同步化。这种方法（如连接前同步和连接后同步）都可用于隐藏恶意流量。防火墙是另一种常见的边界设备，它可用于控制入口流量和出口流量。防火墙可以是有状态或无状态的，可以通过各种方法进行测试。常见的测试方法包括：防火墙识别。开放端口可能有利于确定所使用的特定防火墙技术。

确定防火墙是有状态还是无状态的。有一些简单技术（如ACK扫描）可以帮助确定防火墙的类型。

在防火墙上拦截广告。虽然这种方法并不一定有效，但是一些较老的防火墙可能真的会在广告中添加一些版本信息。最后，还有蜜罐。这些设备可用于诱捕或“囚禁”攻击者，或者有可能更深入了解他们的活动。蜜罐分成两类：低交互和高交互。蜜罐可以通过观察它们的功能检测。一个很好的低交互蜜罐是Netcat，这个网络工具可以读写通过网络连接传输的数据。执行nc-v-l-p80，可以打开TCP80监听端口，但是如果进一步检测，则不会返回广告。高交互诱捕则不仅会返回一个开放端口，还会返回当前广告，这使得攻击者更难确定它是一个真实系统或者诱捕系统。虽然我介绍了几种方法可以让你知道攻击者眼里的网络边界是什么样，但是一定要注意，许多攻击者能够通过由内而外的方式绕过边界设备和控制。

ACK文件怎么打开，打不开怎么办

打开我的电脑-工具-文件夹选项-查看--取消隐藏已知文件类型扩展名的勾,确定,如图,查看文件那个点后面的是什么格式的文件,找对应格式的软件打开就可以.

怎么防御 ack 攻击????????

既然防火墙显示ack5渗透工具，就应该是防御了．

一般都是朋友开玩笑的ack5渗透工具，一般人哪有那么无聊．．．

2007/04/15 02:30拒绝服务攻击（Denial of Serviceack5渗透工具，DoS）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务。所以，DoS对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。

SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。

1.1 TCP连接建立的过程

要掌握SYN Flood攻击的基本原理，必须先介绍TCP的三次握手机制。

TCP三次握手过程如下：

1)客户端向服务器端发送一个SYN置位的TCP报文，包含客户端使用的端口号和初始序列号xack5渗透工具；

2)服务器端收到客户端发送来的SYN报文后，向客户端发送一个SYN和ACK都置位的TCP报文，包含确认号为x＋1和服务器的初始序列号yack5渗透工具；

3）

TCP客户端

客户端端口

（1024－65535）

TCP服务器端

服务器端口

（1－1023）

SYN

SYN/ACK

ACK

客户端收到服务器返回的SYN＋ACK报文后，向服务器返回一个确认号为y＋1序号为x＋1的ACK报文，一个标准的TCP连接完成。如图1所示：

1.2 攻击原理

在SYN Flood攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如图2所示。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断的向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。

TCP客户端

客户端端口

（1024－65535）

TCP服务器端

服务器端口

（1－1023）

SYN

SYN/ACK

伪造源地址

2 几种防御技术

SYN Flood攻击给互联网造成重大影响后，针对如何防御SYN Flood攻击出现了几种比较有效的技术。

2.1 SYN－cookie技术

一般情况下，当服务器收到一个TCP SYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN＋ACK报文，这时形成一个半连接。SYN Flood正是利用了这一点，发送大量的伪造源地址的SYN连接请求，而不完成连接。这样就大量的消耗的服务器的资源。

SYN－cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN报文后，不立即分配缓冲区，而是利用连接的信息生成一个cookie，并将这个cookie作为将要返回的SYN＋ACK报文的初始序列号。当客户端返回一个ACK报文时，根据包头信息计算cookie，与返回的确认序列号（初始的序列号＋1）的前24位进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接。

该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配，使SYN Flood攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息，使攻击者不能伪造cookie。cookie的计算过程如下：

1）服务器收到一个SYN包后，计算一个消息摘要mac：

mac = MAC（A，k）；

MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的hash函数，它能够提供cookie计算中需要的安全性。

A为客户和服务器双方的IP地址和端口号以及参数t的串联组合：

A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t

K为服务器独有的密钥；

时间参数t为32比特长的时间计数器，每64秒加1；

2）生成cookie：

cookie = mac（0:24）：表示取mac值的第0到24比特位；

3）设置将要返回的SYN+ACK报文的初始序列号，设置过程如下：

i. 高24位用cookie代替；

ii. 接下来的3比特位用客户要求的最大报文长度MMS代替；

iii. 最后5比特位为t mod 32。

客户端收到来自服务器SYN+ACK报文后，返回一个ACK报文，这个ACK报文将带一个cookie（确认号为服务器发送过来的SYN ACK报文的初始序列号加1，所以不影响高24位），在服务器端重新计算cookie，与确认号的前24位比较，如果相同，则说明未被修改，连接合法，然后，服务器完成连接的建立过程。

SYN-cookie技术由于在连接建立过程中不需要在服务器端保存任何信息，实现了无状态的三次握手，从而有效的防御了SYN Flood攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及了包头的部分信心，在连接建立过程中不在服务器端保存任何信息，所以失去了协议的许多功能，比如，超时重传。此外，由于计算cookie有一定的运算量，增加了连接建立的延迟时间，因此，SYN-cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制，当分配了一定的资源后再采用cookie技术，Linux就是这样实现的。还有一个问题是，当我们避免了SYN Flood攻击的同时，同时也提供了另一种拒绝服务攻击方式，攻击者发送大量的ACK报文，使服务器忙于计算验证。尽管如此，在预防SYN Flood攻击方面，SYN-cookie技术仍然是一种有效的技术。

2.2 地址状态监控的解决方法

地址状态监控的解决方法是利用监控工具对网络中的有关TCP连接的数据包进行监控，并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。

每个源地址都有一个状态与之对应，总共有四种状态：

初态：任何源地址刚开始的状态；

NEW状态：第一次出现或出现多次也不能断定存在的源地址的状态；

GOOD状态：断定存在的源地址所处的状态；

BAD状态：源地址不存在或不可达时所处的状态。

具体的动作和状态转换根据TCP头中的位码值决定：

1）监听到SYN包，如果源地址是第一次出现，则置该源地址的状态为NEW状态；如果是NEW状态或BAD状态；则将该包的RST位置1然后重新发出去，如果是GOOD状态不作任何处理。

2）监听到ACK或RST包，如果源地址的状态为NEW状态，则转为GOOD状态；如果是GOOD状态则不变；如果是BAD状态则转为NEW状态；如果是BAD状态则转为NEW状态。

3）监听到从服务器来的SYN ACK报文（目的地址为addr），表明服务器已经为从addr发来的连接请求建立了一个半连接，为防止建立的半连接过多，向服务器发送一个ACK包，建立连接，同时，开始计时，如果超时，还未收到ACK报文，证明addr不可达，如果此时addr的状态为GOOD则转为NEW状态；如果addr的状态为NEW状态则转为BAD状态；如果为addr的状态为BAD状态则不变。

状态的转换图如图3所示：

初态

GOOD

NEW

BAD

ACK/RST

SYN

ACK/RST

ACK包确认超时

ACK/RST

ACK包确认超时

下面分析一下基于地址状态监控的方法如何能够防御SYN Flood攻击。

1）对于一个伪造源地址的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，当监听到服务器的SYN+ACK报文，表明服务器已经为该源地址的连接请求建立了半连接。此时，监控程序代源地址发送一个ACK报文完成连接。这样，半连接队列中的半连接数不是很多。计时器开始计时，由于源地址是伪造的，所以不会收到ACK报文，超时后，监控程序发送RST数据包，服务器释放该连接，该源地址的状态转为BAD状态。之后，对于每一个来自该源地址的SYN报文，监控程序都会主动发送一个RST报文。

2）对于一个合法的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，服务器响应请求，发送SYN＋ACK报文，监控程序发送ACK报文，连接建立完毕。之后，来自客户端的ACK很快会到达，该源地址的状态转为GOOD状态。服务器可以很好的处理重复到达的ACK包。

从以上分析可以看出，基于监控的方法可以很好的防御SYN Flood攻击，而不影响正常用户的连接。

3 小结

本文介绍了SYN Flood攻击的基本原理，然后详细描述了两种比较有效和方便实施的防御方法：SYN-cookie技术和基于监控的源地址状态技术。SYN-cookie技术实现了无状态的握手，避免了SYN Flood的资源消耗。基于监控的源地址状态技术能够对每一个连接服务器的IP地址的状态进行监控，主动采取措施避免SYN Flood攻击的影响。这两种技术是目前所有的防御SYN Flood攻击的最为成熟和可行的技术。

谈谈 ：我对ack gis体系结构认识

1.ArcGIS的客户端

ArcGIS的客户端产品包括ArcView 8、ArcInfo Editor、ArcInfo Professional以及ArcIMS的客户端viewer（用于标准的浏览器，如：Microsoft 的IE、Netscape的Navigator中）等。其中：

ArcView 8：是ESRI的新一代桌面GIS产品。ArcView 8同ArcInfo 8、ArcSDE 8具备相同的核心技术，采用基于COM的体系结构，可以直接使用ArcInfo和ArcSDE所管理和生成的空间数据。ArcView 8提供了与ArcView 3.2相同的基本功能，同时又有显著的改进，如新的ArcCatalog数据浏览和管理的应用、动态投影、内置VBA用于客户化开发、一系列新的编辑工具、支持注记等。对于不需要高级的空间分析功能和对面向对象的空间数据进行交互定义修改的大量客户端应用，均可考虑采用ArcView 8作为其应用平台。其应用界面、开发环境、底层COM对象库等与高端的ArcInfo 8完全一致，可用内置的VBA或VB、VC++等开发平台对其进行二次开发，为系统投资的共享及系统升级和移植提供了有力的保障。

ArcInfo Editor: 该产品在ArcView 8的基础之上增加了对Coverage及Geodatabase空间数据的交互编辑功能，主要面向那些对空间数据交互编辑具有特别需求的应用。从功能强弱的角度看，是介乎ArcView 8和ArcInfo 8之间的产品。ArcInfo Editor与ArcView 8及ArcInfo 8同样具有相同的界面风格、开发环境和底层COM对象库。

ArcInfo Professional: 是ESRI的旗舰产品，其产品定位是专业化的AM/FM/GIS平台。ArcInfo Professional在ArcInfo Editor基础上又增加了对Geodatabase的结构定义和修改功能，增加了强大的空间分析功能，增加了对计算机辅助软件工程（CASE）工具的支持，可以方便、同时也是工程化地对空间数据模型进行定义和扩展。除了继续支持在7.X版本中提供的 AML、ODE、ODE FOR JAVA等开发环境外，在Windows NT和Windows 2000平台上还支持内置的VBA以及VB、VC++、Delphi等开发环境，对ArcInfo进行定制和二次开发。

以上三个客户端都有统一风格的桌面应用：ArcCatalog、ArcMap和ArcToolbox。其中：

ArcCatalog: 是一个集成化的空间数据管理器。用于空间数据的浏览，Geodatabase结构定义，数据导入导出，网络模型生成，对象关系和规则的定义、元数据的定义和编辑修改等。ArcCatalog支持大量的数据格式，包括：ESRI shapefiles, geodatabases, ArcSDE layers, ArcStorm layers, INFO tables, images, grids, TINs, CAD文件, 动态分段事件以及其它ESRI数据类型和文件等。

ArcMap: 是集空间数据显示、编辑、查询检索、统计、报表生成、空间分析和高级制图等众多功能于一体的桌面应用平台。ArcMap提供面向对象的类似CAD的空间数据编辑工具，全面支持空间数据的可视化交互操作。ArcMap提供了所见即所得的符号编辑器，令使用者可以随心所欲地生成任意复杂的点线面符号。ArcMap进一步拓展了ESRI强大的空间数据直接读取能力，多种格式的数据无需进行转换或利用中间交换格式即可动态地直接使用。ArcMap支持的确空间数据格式包括：ArcInfo coverages, ESRI shapefiles, ArcSDE layers, map libraries, ArcStorm layers, DXF and DWG, DGN, 大量的图像格式, GRIDs、TIN，等等。ArcMap还支持空间数据的动态投影（on-the-fly projection）。

ArcToolbox: 是用于空间数据格式转换、叠加处理、缓冲区生成、坐标转换等的集成化“工具箱”。ArcToolbox以树形结构方式组织了120多个不同的空间数据处理工具，并且都是以菜单驱动的方式提供出来，这为我们以一种确定的、轻松的方式去完成哪怕是很复杂的工作提供了前所未有的方便。

2.ArcGIS的服务器端

GIS的企业化和网络化特征，随着近年来社会信息化的长足发展变得日益鲜明起来。ESRI充分把握了这一发展趋势，在ArcGIS系列中提供了两大服务器端产品：ArcSDE 和ArcIMS，以满足GIS的企业化和网络化需求。

ArcSDE：是ESRI的空间数据库引擎，用于对海量空间数据及其属性数据的管理和驱动，为并发访问的多客户端提供快速、安全的数据服务。ArcSDE支持工业标准的DBMS平台（如：ORACLE、SQL Server、DB2、Informix等），同时引入了其独有的异步缓冲机制和协同操作机制，使得空间数据服务的响应效率空前提高，真正起到了“引擎”的作用，而非仅仅是提供一种空间数据存储方式而已。另外，ArcSDE具有丰富的客户端可供用户选用，如：ArcInfo、ArcView、ArcIMS、MapObjects、ArcExplorer、ArcSDE CAD Client等。同时，还提供了开放的API应用编程接口供用户或开发商开发自己的客户端应用或产品。

ArcIMS: 是ESRI的第二代Web GIS产品。用户的空间数据和应用可通过ArcIMS在Intranet/Internet环境中进行发布和共享。ArcIMS提供用户在服务器端可选的影像方式或矢量数据流方式进行数据发布。客户端用户通过工业标准的通用浏览器即可对ArcIMS服务站点进行访问和交互操作。ArcIMS支持包括Servlet、ColdFusion、ASP等多种Web Server端技术，同时开发了有望成为未来Internet环境中GIS通用语言的ArcXML，为空间数据跨厂商、跨平台的广泛交流和共享打下了坚实的基础。

3.ArcGIS的功能扩展

除了ArcGIS系列中各个产品的核心部分以外，ArcGIS还有大量的功能扩展模块供用户根据实际应用的需求进行选择。这些扩展模块包括：

3D：为用户提供三维数据的生成、显示、编辑和分析功能。它集中了Arc/Info 7.X的TIN模块的强大功能和ArcView 3.x的3D扩展模块的易用性。在3D扩展模块中，还提供了一个独立的三维景观生成、显示和飞行的应用程序，可方便地对地上、空中和地下的各种（矢量、栅格和影像）空间要素进行三维叠加、透视观察、旋转飞行等。

Spatial: 提供对栅格数据的转换、显示、处理和分析功能。集成了Arc/Info 7.X的GRID模块的强大功能和ArcView 3.x的Spatial扩展模块的易用性。可完成矢量数据到栅格数据的转换、点密度图生成、连续表面生成、坡度坡向及光照模型生成、等高线生成、邻近及区域分析、栅格分类及显示等功能。

GeoStatistical: 是GIS界第一个空间统计软件包，提供空间离散数据的统计表面生成、结果预测误差评估等。所有操作均以菜单驱动的方式完成，十分直观方便。

ArcPress: 提供地图输出的栅格化转换，可将大数据量地图输出时对输出设备端内存的需求降至最低。

4.ArcGIS的公共组件库

ArcGIS完全基于工业标准的组件对象模型技术进行构建。而ArcObjects则正是用于构造ArcGIS系列平台的一个COM组件对象库。有了ArcObjects，ArcGIS中的各个不同的产品就有了共同的基础部件和工业标准的接口，这对于ArcGIS自身的定制和扩展以及ArcGIS与其它系统和平台之间的连接或融合起到了致关重要的作用。正因为ArcObjects，我们才能说ArcGIS是现今最开放、最易于扩展的GIS平台。ArcObjects COM组件对象库中定义并实现了1800多个在GIS应用中涉及到的空间数据对象，供用户和开发商客户化定制、扩展或构造不同应用领域的GIS应用。