网络的安全系统的知识常见地攻击类型.docx

1、网络的安全系统的知识常见地攻击类型常见的网络攻击类型一旦非正常报文或攻击报文流入内网中，不仅会耗尽您服务器的资源，使服务器无法正常工作，还会影响您的整个网络，引起网络拥塞，以下几种都是网络中最常见、最普遍使用的攻击手段。类型简单介绍防御Flood防护SYN Flood（SYN洪水）SYN Flood是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。攻击者向目标服务器发送海量包含SYN标志的TCP报文，服务器接收到之后会为这些会话预留资源，并等待

2、与攻击者完成TCP三次握手建立链接。而攻击者发送完海量包含SYN标志的TCP报文之后，不再进行下一步操作。导致服务器资源被大量占用无法释放，甚至无法再向正常用户提供服务。在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。ICMP Flood拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量ping request的请求报文，服务器需要占用资源回应这些海量的ping报文，导致服务器无法处理正常数据，甚至无法再向正常用户提供服务。防火墙配置UDP Flood（UDP洪水）拒绝服务攻击常用手段之一。不同UDP协议

3、下的应用，差别很大，攻击手法也不大相同。最常见的情况是利用大量UDP小包冲击服务器，导致正常用户无法访问服务器。关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。IP Flood拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量的IP报文，服务器需要占用资源回应这些海量的IP报文，导致服务器无法处理正常数据，甚至无法再向正常用户提供服务。对防火墙进行配置电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息

4、。扫描/欺骗防护IP地址扫描攻击利用扫描软件，发送大量地址请求的广播报文，扫描网络中的地址。对防火墙进行配置端口扫描利用扫描软件，发送大量的端口探测报文，扫描主机上开启的端口，是黑客攻击时最常进行的准备工作。对防火墙进行配置异常包攻击Ping of Death（死亡之ping）拒绝服务攻击常用手段之一。由于IP数据包的最大长度不能超过65535字节，Ping of Death通过在最后分段中，改变其正确的偏移量和段长度的组合，使系统在接收到全部分段并重组报文时总的长度超过65535字节，导致目标服务器内存溢出，最终死机。现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能

5、够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。Teardrop（泪滴）拒绝服务攻击常用手段之一。Teardrop是基于UDP的病态分片数据包攻击方法，其工作原理是向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。IP选项IP报文头部中含有许

6、多选项，这些选项都是为实现某一种功能而准备。攻击者通过精心构造IP报文头部中选项的数值，已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。对防火墙进行配置TCP异常TCP报文头部中含有许多选项，这些选项都是为实现某一种功能而准备。攻击者通过精心构造TCP报文头部中选项的数值，已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。对防火墙进行配置Smurf攻击者向目标服务器发送一个源地址为广播地址的ping echo请求报文，目标服务器应答这个报文时，就会回复给一个广播地址。这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的echo请求报文足够多，产生的rep

7、lay广播报文就可能把整个网络淹没。除了把echo报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受到影响。为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。FraggleFraggle攻击是攻击者向广播地址发送UDP报文，目的端口号为7(ECHO)或19(Chargen)，报文的源IP地址伪装成目标服务器的IP地址。这样，广播域中所有启用了此功能的计算机都会向服务器发送回应报文，从而产生大量的流量，导致服务器的网络阻塞或受害主机崩溃。在防火墙上过滤掉UDP应答消息

8、LandLAND攻击报文是攻击者向目标服务器发送一个源IP地址和目的IP地址都是目标服务器IP的TCP SYN报文，这样目标服务器接收到这个SYN报文后，就会向自己发送一个ACK报文，并建立一个TCP连接控制结构。如果攻击者发送了足够多的SYN报文，则目标服务器的资源可能会耗尽，甚至无法再向正常用户提供服务。打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括10域、127域、192.168域、172.16到172.31域）WinnukeWinNuke攻击利用WINDOWS操作系统的一个漏洞，向NetBIOS使用的139端口发送一些携带TCP带外OOB数据报文

9、，这些攻击报文与正常携带OOB数据报文不同，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。对防火墙进行配置Tracert攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文，报文每经过一个路由设备，其TTL都会减1，当报文的TTL为0时，路由设备会给报文的源IP设备发送一个TTL超时的ICMP报文，攻击者借此来探测网络的拓扑结构。对防火墙进行配置ICMP Redirection利用ICMP重定向技术，对网络进行攻击和网络窃听。如果主机A支持ICMP重定向，那么主机B发送一个ICMP重定向给主机A，以后主机A发出的所有到指定地址的报

10、文都会转发主机B，这样主机B就可以达到窃听目的。windows操作系统会对ICMP报文进行检查，如果这个重定向不是网关发送的，会被直接丢弃。不过伪造一个网关的数据包很容易。如果刻意伪造许多虚假的ICMP重定向报文，主机路由表就可能被改的乱七八糟。对防火墙进行配置IP SpoofingIP欺骗，利用IP地址并不是在出厂的时候与MAC固定在一起的，攻击者通过自封包和修改网络节点的IP地址，冒充某个可信节点的IP地址，进行攻击。IP欺骗的主要三种后果：1. 瘫痪真正拥有IP的可信主机，伪装可信主机攻击服务器2. 导致中间人攻击3. 导致DNS欺骗和会话劫持对防火墙进行配置IP Fragment一种基

11、于数据碎片的攻击手段，通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作，可将TCP报头(通常为20字节)分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。对于检测机制不完善的安全设备来说，首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回绕过一些入侵检测系统及一些安全过滤系统。对防火墙进行配置ICMP Fragment基于ICMP 分片的攻击手段，通常情况下，由于各个设备

12、接口限制了MTU的大小，一般为1492或1500字节，而正常的ICMP报文的长度都不会超过1500字节，因此不会被分片。对防火墙进行配置DNS 异常利用不符合RFC标准规定的DNS异常报文进行的攻击。防火墙会放通符合RFC标准的DNS报文，不符合的则丢弃。对防火墙进行配置ICMP OversizeICMP报文长度限制。超过指定长度的ICMP报文会被防火墙丢弃。对防火墙进行配置应用层 FloodDNS Flood向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络上根本不存在的域名，被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果

13、查找不到并且该域名无法直接由服务器解析的时候，DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器拒绝服务。对防火墙进行配置HTTP Flood专门针对HTTP服务的应用层攻击，攻击者通过模拟大量用户，不停的进行访问HTTP页面，甚至是不停访问那些需要大量数据操作，需要消耗大量CPU的页面，最终导致HTTP服务器超负荷工作，拒绝服务。对防火墙进行配置SYN CookieMSSMSS是指TCP传输中的最大传输大小，数值为MTU值减去IP头部20字节和TCP头部20字节，所以通常为1460。SYN Cook

14、ie是专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。对防火墙进行配置利用型攻击口令猜测一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Te

15、lnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。特洛伊木马特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。缓冲区溢出由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。