網(wǎng)絡(luò)安全知識—常見的攻擊類型

1、網(wǎng)絡(luò)安全知識一常見的攻擊類常見的網(wǎng)絡(luò)攻擊類型一旦非正常報文或攻擊報文流入內(nèi)網(wǎng)中， 不 僅會耗盡您服務(wù)器的資源，使服務(wù)器無法正常工 作，還會影響您的整個網(wǎng)絡(luò)，引起網(wǎng)絡(luò)擁塞，以 下幾種都是網(wǎng)絡(luò)中最常見、最普遍使用的攻擊手 段。類型簡單介紹防御Floo d防 護(hù)SYN Flood （SYN共 水）SYN Flood 是 一種廣為人知 的DoS （拒絕 服務(wù)攻擊）與 DDoS（分布式 拒絕服務(wù)攻 擊）的方式之 一，這是一種 利用TCP協(xié)議 缺陷，發(fā)送大 量偽造的TCP 連接請求，從 而使得被攻擊 方資源耗盡（CPUf負(fù)荷在防火墻上過 濾來自同一主 機(jī)的后續(xù)連接。 未來的SYN共 水令人擔(dān)憂，由 于釋放

2、洪水的 并不尋求響應(yīng)， 所以無法從一 個簡單高容量 的傳輸中鑒別 出來?；騼?nèi)存不足） 的攻擊方式。 攻擊者向目標(biāo) 服務(wù)器發(fā)送海 量包含SYN 志的TCP報 文，服務(wù)器接 收到之后會為 這些會話預(yù)留 資源，并等待 與攻擊者完成 TCP三次握手 建立鏈接。而 攻擊者發(fā)送完 海量包含SYN 標(biāo)志的TCP報 文之后，不再 進(jìn)行下一步操 作。導(dǎo)致服務(wù) 器資源被大量 占用無法釋 放，甚至無法ICMPFlood再向正常用戶 提供服務(wù)。拒絕服務(wù)攻擊 常用手段之防火墻配置攻擊者向目標(biāo)服務(wù)器發(fā) 送海量ping request 的請 求報文，服務(wù) 器需要占用資 源回應(yīng)這些海 量的ping報 文，導(dǎo)致服務(wù) 器無法處理

3、正 常數(shù)據(jù)，甚至 無法再向正常 用戶提供服 務(wù)。UDPFlood（UDP共水）拒絕服務(wù)攻擊 常用手段之 一。不同UDP 協(xié)議下的應(yīng)關(guān)掉不必要的TCP/IP 服務(wù), 或者對防火墻 進(jìn)行配置阻斷IP Flood用，差別很大, 攻擊手法也不 大相同。最常 見的情況是利 用大量UDPJ、 包沖擊服務(wù) 器，導(dǎo)致正常 用戶無法訪問 服務(wù)器。拒絕服務(wù)攻擊 常用手段之 一。攻擊者向 目標(biāo)服務(wù)器發(fā) 送海量的IP來自 Internet的請求這些服 務(wù)的UDP青求對防火墻進(jìn)行配置報文，服務(wù)器 需要占用資源 回應(yīng)這些海量 的IP報文，導(dǎo) 致服務(wù)器無法 處理正常數(shù)據(jù)，甚至無法 再向正常用戶電子郵件炸彈掃描/欺 騙防 護(hù)

4、IP地址掃描攻擊端口掃描提供服務(wù)。電子郵件炸彈 是最古老的匿 名攻擊之一， 通過設(shè)置一臺 機(jī)器不斷的大 量的向同一地 址發(fā)送電子郵 件，攻擊者能 夠耗盡接受者 網(wǎng)絡(luò)的帶寬。 利用掃描軟 件，發(fā)送大量 地址請求的廣 播報文，掃描 網(wǎng)絡(luò)中的地 址。利用掃描軟 件，發(fā)送大量 的端口探測報 文，掃描主機(jī) 上開啟的端對郵件地址進(jìn) 行配置，自動刪 除來自同一主 機(jī)的過量或重 復(fù)的消息。對防火墻進(jìn)行 配置對防火墻進(jìn)行 配置口，是黑客攻 擊時最常進(jìn)行 的準(zhǔn)備工作異常 包攻 擊Ping of Death （死亡之 ping ）拒絕服務(wù)攻擊 常用手段之 一。由于IP數(shù) 據(jù)包的最大長 度不能超過 65535字節(jié)，

5、Ping of Death 通過在最后分 段中，改變其 正確的偏移量 和段長度的組 合，使系統(tǒng)在 接收到全部分 段并重組報文 時總的長度超 過65535字 節(jié)，導(dǎo)致目標(biāo) 服務(wù)器內(nèi)存溢 現(xiàn)在所有的標(biāo) 準(zhǔn)TCP/IP實(shí)現(xiàn) 都已實(shí)現(xiàn)對付 超大尺寸的包， 并且大多數(shù)防 火墻能夠自動 過濾這些攻擊， 包括：從 windows98 之 后的 windows,NT（se rvice pack 3 之后）linux、 Solaris、和 Mac OStB 具有 抵抗一般ping ofdeath 攻擊 的能力。此外，出，最終死機(jī)。對防火墻進(jìn)行Teardrop（淚滴）拒絕服務(wù)攻擊 常用手段之 一。Teardrop

6、 是基于UDP勺 病態(tài)分片數(shù)據(jù) 包攻擊方法， 其工作原理是 向被攻擊者發(fā) 送多個分片的 IP包，某些操 作系統(tǒng)收到含 有重疊偏移的 偽造分片數(shù)據(jù) 包時將會出現(xiàn) 系統(tǒng)崩潰、重 啟等現(xiàn)象。配置，阻斷 ICMP以及任何 未知協(xié)議，都講 防止此類攻擊。 服務(wù)器應(yīng)用最 新的服務(wù)包，或 者在設(shè)置防火 墻時對分段進(jìn) 行重組，而不是 轉(zhuǎn)發(fā)它們。IP選項IP報文頭部中 含有許多選對防火墻進(jìn)行 配置項，這些選項 都是為實(shí)現(xiàn)某 一種功能而準(zhǔn) 備。攻擊者1過精心構(gòu)造IP 報文頭部中選 項的數(shù)值，已 達(dá)到攻擊目標(biāo) 服務(wù)器的目 的。不同的選 項可以實(shí)現(xiàn)不 同的攻擊手 段。TCP異常TCP報文頭部 中含有許多選 項，這些選

7、項 都是為實(shí)現(xiàn)某 一種功能而準(zhǔn)對防火墻進(jìn)行 配置備。攻擊者1 過精心構(gòu)造TC啷文頭部 中選項的數(shù)Smurf值，已達(dá)到攻 擊目標(biāo)服務(wù)器 的目的。不同 的選項可以實(shí) 現(xiàn)不同的攻擊 手段。攻擊者向目標(biāo) 服務(wù)器發(fā)送一 個源地址為廣 播地址的ping echo請求報 文，目標(biāo)服務(wù) 器應(yīng)答這個報 文時，就會回 復(fù)給一個廣播 地址。這樣本 地網(wǎng)絡(luò)上所有 的計算機(jī)都必 須處理這些廣 播報文。如果 攻擊者發(fā)送的echo請求報文 為了防止黑客 利用你的網(wǎng)絡(luò) 攻擊他人，關(guān)閉 外部路由器或 防火墻的廣播 地址特性。為防 止被攻擊，在防 火墻上設(shè)置規(guī) 則，丟棄掉 ICMP 包。足夠多，產(chǎn)生 的replay 廣 播報文就

8、可能 把整個網(wǎng)絡(luò)淹 沒。除了把 echo報文的源 地址設(shè)置為廣 播地址外，攻 擊者還可能把 源地址設(shè)置為 一個子網(wǎng)廣播 地址，這樣， 該子網(wǎng)所在的 計算機(jī)就可能 受到影響。Fraggle在防火墻上過 濾掉UD陋答消息Fraggle 攻擊 是攻擊者向廣 播地址發(fā)送 UDN艮文,目 的端口號為 7(ECHO成 19(Chargen)報文的源IP 地址偽裝成目 標(biāo)服務(wù)器的IP 地址。這樣， 廣播域中所有 啟用了此功能 的計算機(jī)都會 向服務(wù)器發(fā)送 回應(yīng)報文，從 而產(chǎn)生大量的 流量，導(dǎo)致服 務(wù)器的網(wǎng)絡(luò)阻 塞或受害主機(jī) 崩潰。LandLAND擊報文 是攻擊者向目 標(biāo)服務(wù)器發(fā)送 一個源IP地 址和目的IP

9、地址都是目標(biāo) 服務(wù)器IP的TCP SYN 文,打最新的補(bǔ)丁， 或者在防火墻 進(jìn)行配置，將那 些在外部接口 上入站的含有 內(nèi)部源地址濾 掉。（包括10 域、127域、Winnuke這樣目標(biāo)服務(wù) 器接收到這個 SY咐艮文后， 就會向自己發(fā) 送一個ACK民 文，并建立一 個TC建接控 制結(jié)構(gòu)。如果 攻擊者發(fā)送了 足夠多的SYN 報文，則目標(biāo) 服務(wù)器的資源 可能會耗盡， 甚至無法再向 正常用戶提供 服務(wù)。WinNuke 攻擊192.168 域、172.16 至ij172.31 域）對防火墻進(jìn)行利用WINDOWS配置 操作系統(tǒng)的一 個漏洞，向NetBIOS 使用的139端口發(fā)送一些攜帶TCP帶外OOB

10、數(shù)據(jù)報文，這 些攻擊報文與 正常攜帶OOB 數(shù)據(jù)報文不 同，其指針字 段與數(shù)據(jù)的實(shí) 際位置不符， 即存在重合， 這樣 WINDOWS 操作系統(tǒng)在處 理這些數(shù)據(jù)的 時候，就會崩 依。Tracert攻擊者連續(xù)發(fā) 送TTL從1開 始遞增的目的 端口號較大的 UD魄文，報文每經(jīng)過一個 路由設(shè)備，其對防火墻進(jìn)行 配置ICMPRedirectionTTL者B會減1, 當(dāng)報文的TTL 為0時，路由 設(shè)備會給報文 的源IP設(shè)備 發(fā)送一個TTL 超時的ICMP 報文，攻擊者 借此來探測網(wǎng) 絡(luò)的拓?fù)浣Y(jié) 構(gòu)。利用ICMP重 定向技術(shù)，對 網(wǎng)絡(luò)進(jìn)行攻擊 和網(wǎng)絡(luò)竊聽。如果主機(jī)A支 持ICMP重定 向，那么主機(jī) B發(fā)送一

11、個 ICMP重定向給 主機(jī)A,以后 主機(jī)A發(fā)出的對防火墻進(jìn)行 配置所有到指定地 址的報文都會 轉(zhuǎn)發(fā)主機(jī)B, 這樣主機(jī)B就 可以達(dá)到竊聽 弓的。windows 操作系統(tǒng)會對 ICM啷文進(jìn)行 檢查，如果這 個重定向不是 網(wǎng)關(guān)發(fā)送的， 會被直接丟 棄。不過偽造 一個網(wǎng)關(guān)的數(shù) 據(jù)包很容易。 如果刻意偽造 許多虛假的 ICMP重定向報 文，主機(jī)路由 表就可能被改 的亂七八糟。IP IP欺騙，利用對防火墻進(jìn)行Spoofing IP地址并不是在出廠的時候配置與MA喟定在 一起的，攻擊 者通過自封包 和修改網(wǎng)絡(luò)節(jié) 點(diǎn)的IP地址, 冒充某個可信 節(jié)點(diǎn)的IP地 址，進(jìn)行攻擊。 IP欺騙的主要 三種后果： 1.癱瘓

12、真正 擁有IP的可 信主機(jī)，偽裝 可信主機(jī)攻擊 服務(wù)器2 .導(dǎo)致中間 人攻擊3 .導(dǎo)致DNS 欺騙和會話劫 持IP 一種基于數(shù)據(jù)對防火墻進(jìn)行 Fragment碎片的攻擊手配置段，通過惡意 操作，發(fā)送極 小的分片來繞 過包過濾系統(tǒng) 或者入侵檢測 系統(tǒng)的一種攻 擊手段。攻擊 者通過惡意操 作，可將TCP 報頭（通常為 20字節(jié)）分布 在2個分片 中，這樣一來， 目的端口號可 以包含在第二 個分片中。對于檢測機(jī)制 不完善的安全 設(shè)備來說，首 先通過判斷目的端口號來采 取允許/禁止 措施。但是由 于通過惡意分 片使目的端口 號位于第二個 分片中，因此 通過判斷第一 個分片，決定 后續(xù)的分片是 否允許通

13、過。 但是這些分片 在目標(biāo)主機(jī)上 進(jìn)行重組之后 將形成各種攻 擊。通過這種 方法可以迂回 繞過一些入侵 檢測系統(tǒng)及一 些安全過濾系 統(tǒng)。ICMP基于ICMP分對防火墻進(jìn)行FragmentDNS異常片的攻擊手 段，通常情況 下，由于各個 設(shè)備接口限制 了 MTU 勺大 小，一般為 1492 或 1500 字節(jié)，而正常 的ICMP報文 的長度都不會 超過1500字 節(jié)，因此不會 被分片。利用不符合 RFC準(zhǔn)規(guī)定 的DN第常報 文進(jìn)行的攻 擊。防火墻會 放通符合RFC 標(biāo)準(zhǔn)的DNS民 文，不符合的 則丟棄。配置對防火墻進(jìn)行 配置ICMPOversizeICMP報文長度 限制。超過指對防火墻進(jìn)行 配置

14、定長度的ICMP報文會被防火 墻丟棄。應(yīng)用 層Floo dDNSFlood向被攻擊的服對防火墻進(jìn)行 務(wù)器發(fā)送大量配置的域名解析請 求，通常請求 解析的域名是 隨機(jī)生成或者 是網(wǎng)絡(luò)上根本 不存在的域 名，被攻擊的 DNSI艮務(wù)器在 接收到域名解 析請求的時候 首先會在服務(wù) 器上查找是否 有對應(yīng)的緩 存，如果查找 不到并且該域名無法直接由 服務(wù)器解析的 時候，DNSI艮 務(wù)器會向其上 層DNSI艮務(wù)器 遞歸查詢域名 信息。域名解 析的過程給服 務(wù)器帶來了很 大的負(fù)載，每 秒鐘域名解析 請求超過一定 的數(shù)量就會造 成DNSI艮務(wù)器 拒絕服務(wù)。HTTP專門針對HTTP對防火墻進(jìn)行Flood配置服務(wù)的應(yīng)

15、用層 攻擊，攻擊者 通過模擬大量 用戶，不停的 進(jìn)行訪問HTTP 頁面，甚至是不停訪問那些 需要大量數(shù)據(jù) 操作，需要消 耗大量CPU1勺 頁面，最終導(dǎo) 致HTTP!艮務(wù) 器超負(fù)荷工 作，拒絕服務(wù)。SYN MSS MS醍指TCP對防火墻進(jìn)行Cook ie傳輸中的最大 傳輸大小，數(shù)值為MTU1減 去IP頭部20 字節(jié)和TCP頭 部20字節(jié)，所 以通常為1460。SYN Cookie是專門 用來防范SYNFlood攻擊的 一種手段。它 的原理是，在TCP服務(wù)器收至ij TCP SYNfe并返回TCP SYN+ACK 時， 不分配一個專 門的數(shù)據(jù)區(qū)， 而是根據(jù)這個 SYNfe計算出 一個 cookie

16、 值。在收到TCP AC他日寸,TCP 服務(wù)器在根據(jù) 那個cookie 值檢查這個 TCP AC府的 合法性。如果 合法，再分配 專門的數(shù)據(jù)區(qū) 進(jìn)行處理未來 的TCP1接。利用 口令猜測 一旦黑客識別要選用難以猜型攻了一臺主機(jī)而測的口令，比如且發(fā)現(xiàn)了基于NetBIOS、Telnet 或 NFS這樣的服務(wù)的 可利用的用戶 帳號，成功的 口令猜測能提 供對機(jī)器控 制。詞和標(biāo)點(diǎn)符號 的組合。確保像 NFS NetBIOS 和Telnet這樣 可利用的服務(wù) 不暴露在公共 范圍。如果該服 務(wù)支持鎖定策 略，就進(jìn)行鎖7E °特洛伊木馬特洛伊木馬是 一種或是直接 由一個黑客， 或是通過一個 不令人起疑的 用戶秘密安裝 到目標(biāo)系統(tǒng)的 程序。一旦安 裝成功并取得 管理員權(quán)限， 安裝此程序的 人就可以直接 避免下載可疑 程序并拒絕執(zhí) 行，運(yùn)用網(wǎng)絡(luò)掃 描軟件定期監(jiān) 視內(nèi)部主機(jī)上 的監(jiān)聽TCP服 務(wù)。遠(yuǎn)程控制目標(biāo) 系統(tǒng)。緩沖區(qū)溢出利用 SafeLib、 tripwire 這樣 的程序保護(hù)系 統(tǒng)，或者瀏覽最 新的安全公告 不斷更新操作