应对攻击行为

　　让我们分析一下以上6步，看看该怎么应对攻击行为。

　　利用扫描工具批量ping一个段的地址，判断存活主机；

　　由于无谓的攻击一个不能确定是否开机的ip地址从效率上来说比较低下，在要求快速攻击/感染的情况下，常常会对目标地址进行ping检测　如著名的冲击波病毒等；换句话说，如果能让我们的主机不回应icmp包，则对方无法确定我们的存活，很可能就此放弃攻击。目前不少免费/商业的个人网络防火墙都带了这一功能；

　　判断主机的操作系统和扫描所开放端口；

　　个人用户所开主机的服务类端口不多，但由于windows自身的设置问题，例如win98共享漏洞、win2k默认开着telnet服务等原因，让攻击者有多个攻击选择。在这一步，同样可以用防火墙把必要的端口禁止掉　我常用的做法是把135、137、138、139、445端口禁止掉，这能避免很多麻烦，windows的网络共享安全性实在不怎么好，个人推荐用户考虑放弃网络共享，采用ftp等方式进行必要的文件传输；

　　根据获得的情报，决定攻击方式；

　　在这一步，攻击者将上一步扫描的资料进行汇总，然后确定攻击方式　因此上一步中，我们如果能将对外的端口开得尽量少，那么攻击者能利用的资源也就越少，出现漏洞攻击的可能行就越小；

 　　尝试攻击　在这一步，分为漏洞攻击、溢出攻击、密码破解攻击；

　　由于攻击个人用户的家伙大多是属于脚本小子一级的，只会用别人现成工具的居多，因此有了上面的防御后，能让他们利用的漏洞也不是太多了。只要密切注意自己所用操作系统的动态，随时给系统升级补丁，一般来说攻击者已经没折了。

　　进入系统，想办法提升权限；

　　进入到系统之后，对其他平台而言，攻击者获得的大多不是root权限，还要进行权限提升的步骤，利用重定向写配置文件、信任欺骗等手段来提升权限；而在windows下，个人用户大多直接以administrator的身份登陆并进行日常使用（值得一提的是天缘看到不少win2k/nt服务器的管理员在进行日常操作的时候也使用administrator帐号，甚至在服务器上浏览不可信任的web页），且windows的后台服务大多直接以administrator身份运行，因此一旦被入侵，直接获得administrator的几率相当高，客观上降低了攻击难度。漏洞多，补丁慢，服务权限设置设置不严格　这就是攻击者更喜欢攻击windows系列操作系统的原因了。

　　获得最高权限后进行破坏行为实施；

　　到这一步，基本上用户已经无力阻挡了　最好的做法是立即拔掉网线再谋对策了。

 　　对待上面这样典型的正面攻击行为，有一个好的个人用户防火墙是不错的选择，天网/金山的的偶比较好用，目前我个人的桌面系统使用的是费尔防火墙，它操作上不如天网/金山方便，但可定制性更好一些。普通用户可以下一个天网的防火墙来用，默认的规则已经可以对付上面提到的大部分攻击行为了。

　　正因为随着个人防火墙的使用，脚本小子进行正面攻击不容易得逞，因此采用欺骗的手段进行攻击成为了更为可取的方式。