2.意外组合——程序通常是用很多层代码构造而成的，入侵者可能会经常发送一些对于某一层毫无意义，但经过适当构造后对其他层有意义的输入。

　　3.未处理的输入——大多数程序员都不考虑输入不符合规范的信息时会发生什么。

　　五、利用人为因素

　　黑客使用高级手段使用户打开电子邮件附件的例子包括双扩展名、密码保护的Zip文件、文本欺骗等。

　　六、特洛伊木马及自我传播

　　结合特洛伊木马和传统病毒的混合攻击正日益猖獗。黑客所使用的特洛伊木马的常见类型有:

　　1.远程访问——过去，特洛伊木马只会侦听对黑客可用的端口上的连接。而现在特洛伊木马则会通知黑客，使黑客能够访问防火墙后的机器。有些特洛伊木马可以通过IRC命令进行通信，这表示从不建立真实的TCP/IP连接。

　　2.数据发送——将信息发送给黑客。方法包括记录按键、搜索密码文件和其他秘密信息。

　　3.破坏——破坏和删除文件。

　　4.拒绝服务——使远程黑客能够使用多个僵尸计算机启动分布式拒绝服务(DDoS)攻击。

　　5.代理——旨在将受害者的计算机变为对黑客可用的代理服务器。使匿名的TelNet、ICQ、IRC等系统用户可以使用窃得的信用卡购物，并在黑客追踪返回到受感染的计算机时使黑客能够完全隐匿其名。

　　典型的黑客攻击情况

　　尽管并非所有的黑客攻击都是相似的，但以下步骤简要说明了一种“典型”的攻击情况。

　　步骤1:外部侦察

　　入侵者会进行‘whois’查找，以便找到随域名一起注册的网络信息。入侵者可能会浏览DNS表(使用‘nslookup’、‘dig’或其他实用程序来执行域传递)来查找机器名。

　　步骤 2:内部侦察

　　通过“ping”扫描，以查看哪些机器处于活动状态。黑客可能对目标机器执行UDP/TCP 扫描，以查看什么服务可用。他们会运行“rcpinfo”、“showmount”或“snmpwalk”之类的实用程序，以查看哪些信息可用。黑客还会向无效用户发送电子邮件，接收错误响应，以使他们能够确定一些有效的信息。此时，入侵者尚未作出任何可以归为入侵之列的行动。

　　步骤 3:漏洞攻击

　　入侵者可能通过发送大量数据来试图攻击广为人知的缓冲区溢出漏洞，也可能开始检查密码易猜(或为空)的登录帐户。黑客可能已通过若干个漏洞攻击阶段。

　　步骤 4:立足点

　　在这一阶段，黑客已通过窃入一台机器成功获得进入对方网络的立足点。他们可能安装为其提供访问权的“工具包”，用自己具有后门密码的特洛伊木马替换现有服务，或者创建自己的帐户。通过记录被更改的系统文件，系统完整性检测(SIV)通常可以在此时检测到入侵者。

　　步骤 5:牟利

　　这是能够真正给企业造成威胁的一步。入侵者现在能够利用其身份窃取机密数据，滥用系统资源(比如从当前站点向其他站点发起攻击)，或者破坏网页。

　　另一种情况是在开始时有些不同。入侵者不是攻击某一特定站点，而可能只是随机扫描Internet地址，并查找特定的漏洞。

　　邮件网关对付黑客

　　由于企业日益依赖于电子邮件系统，它们必须解决电子邮件传播的攻击和易受攻击的电子邮件系统所受的攻击这两种攻击的问题。解决方法有:

　　1.在电子邮件系统周围锁定电子邮件系统——电子邮件系统周边控制开始于电子邮件网关的部署。电子邮件网关应根据特定目的与加固的操作系统和防止网关受到威胁的入侵检测功能一起构建。

　　2.确保外部系统访问的安全性——电子邮件安全网关必须负责处理来自所有外部系统的通信，并确保通过的信息流量是合法的。通过确保外部访问的安全，可以防止入侵者利用Web邮件等应用程序访问内部系统。

　　3.实时监视电子邮件流量——实时监视电子邮件流量对于防止黑客利用电子邮件访问内部系统是至关重要的。检测电子邮件中的攻击和漏洞攻击(如畸形MIME)需要持续监视所有电子邮件。

　　在上述安全保障的基础上，电子邮件安全网关应简化管理员的工作、能够轻松集成，并被使用者轻松配置。