网络的安全系统的知识常见地攻击类型.docx
《网络的安全系统的知识常见地攻击类型.docx》由会员分享,可在线阅读,更多相关《网络的安全系统的知识常见地攻击类型.docx(12页珍藏版)》请在冰点文库上搜索。
网络的安全系统的知识常见地攻击类型
常见的网络攻击类型
一旦非正常报文或攻击报文流入内网中,不仅会耗尽您服务器的资源,使服务器无法正常工作,还会影响您的整个网络,引起网络拥塞,以下几种都是网络中最常见、最普遍使用的攻击手段。
类型
简单介绍
防御
Flood防护
SYNFlood
(SYN洪水)
SYNFlood是一种广为人知的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
攻击者向目标服务器发送海量包含SYN标志的TCP报文,服务器接收到之后会为这些会话预留资源,并等待与攻击者完成TCP三次握手建立链接。
而攻击者发送完海量包含SYN标志的TCP报文之后,不再进行下一步操作。
导致服务器资源被大量占用无法释放,甚至无法再向正常用户提供服务。
在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
ICMPFlood
拒绝服务攻击常用手段之一。
攻击者向目标服务器发送海量pingrequest的请求报文,服务器需要占用资源回应这些海量的ping报文,导致服务器无法处理正常数据,甚至无法再向正常用户提供服务。
防火墙配置
UDPFlood
(UDP洪水)
拒绝服务攻击常用手段之一。
不同UDP协议下的应用,差别很大,攻击手法也不大相同。
最常见的情况是利用大量UDP小包冲击服务器,导致正常用户无法访问服务器。
关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
IPFlood
拒绝服务攻击常用手段之一。
攻击者向目标服务器发送海量的IP报文,服务器需要占用资源回应这些海量的IP报文,导致服务器无法处理正常数据,甚至无法再向正常用户提供服务。
对防火墙进行配置
电子邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
扫描/欺骗防护
IP地址扫描攻击
利用扫描软件,发送大量地址请求的广播报文,扫描网络中的地址。
对防火墙进行配置
端口扫描
利用扫描软件,发送大量的端口探测报文,扫描主机上开启的端口,是黑客攻击时最常进行的准备工作。
对防火墙进行配置
异常包攻击
PingofDeath
(死亡之ping)
拒绝服务攻击常用手段之一。
由于IP数据包的最大长度不能超过65535字节,PingofDeath通过在最后分段中,改变其正确的偏移量和段长度的组合,使系统在接收到全部分段并重组报文时总的长度超过65535字节,导致目标服务器内存溢出,最终死机。
现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:
从windows98之后的windows,NT(servicepack3之后),linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。
此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
Teardrop
(泪滴)
拒绝服务攻击常用手段之一。
Teardrop是基于UDP的病态分片数据包攻击方法,其工作原理是向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
IP选项
IP报文头部中含有许多选项,这些选项都是为实现某一种功能而准备。
攻击者通过精心构造IP报文头部中选项的数值,已达到攻击目标服务器的目的。
不同的选项可以实现不同的攻击手段。
对防火墙进行配置
TCP异常
TCP报文头部中含有许多选项,这些选项都是为实现某一种功能而准备。
攻击者通过精心构造TCP报文头部中选项的数值,已达到攻击目标服务器的目的。
不同的选项可以实现不同的攻击手段。
对防火墙进行配置
Smurf
攻击者向目标服务器发送一个源地址为广播地址的pingecho请求报文,目标服务器应答这个报文时,就会回复给一个广播地址。
这样本地网络上所有的计算机都必须处理这些广播报文。
如果攻击者发送的echo请求报文足够多,产生的replay广播报文就可能把整个网络淹没。
除了把echo报文的源地址设置为广播地址外,攻击者还可能把源地址设置为一个子网广播地址,这样,该子网所在的计算机就可能受到影响。
为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。
为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle
Fraggle攻击是攻击者向广播地址发送UDP报文,目的端口号为7(ECHO)或19(Chargen),报文的源IP地址伪装成目标服务器的IP地址。
这样,广播域中所有启用了此功能的计算机都会向服务器发送回应报文,从而产生大量的流量,导致服务器的网络阻塞或受害主机崩溃。
在防火墙上过滤掉UDP应答消息
Land
LAND攻击报文是攻击者向目标服务器发送一个源IP地址和目的IP地址都是目标服务器IP的TCPSYN报文,这样目标服务器接收到这个SYN报文后,就会向自己发送一个ACK报文,并建立一个TCP连接控制结构。
如果攻击者发送了足够多的SYN报文,则目标服务器的资源可能会耗尽,甚至无法再向正常用户提供服务。
打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。
(包括10域、127域、192.168域、172.16到172.31域)
Winnuke
WinNuke攻击利用WINDOWS操作系统的一个漏洞,向NetBIOS使用的139端口发送一些携带TCP带外OOB数据报文,这些攻击报文与正常携带OOB数据报文不同,其指针字段与数据的实际位置不符,即存在重合,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。
对防火墙进行配置
Tracert
攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由设备,其TTL都会减1,当报文的TTL为0时,路由设备会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构。
对防火墙进行配置
ICMPRedirection
利用ICMP重定向技术,对网络进行攻击和网络窃听。
如果主机A支持ICMP重定向,那么主机B发送一个ICMP重定向给主机A,以后主机A发出的所有到指定地址的报文都会转发主机B,这样主机B就可以达到窃听目的。
windows操作系统会对ICMP报文进行检查,如果这个重定向不是网关发送的,会被直接丢弃。
不过伪造一个网关的数据包很容易。
如果刻意伪造许多虚假的ICMP重定向报文,主机路由表就可能被改的乱七八糟。
对防火墙进行配置
IPSpoofing
IP欺骗,利用IP地址并不是在出厂的时候与MAC固定在一起的,攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
IP欺骗的主要三种后果:
1.瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器
2.导致中间人攻击
3.导致DNS欺骗和会话劫持
对防火墙进行配置
IPFragment
一种基于数据碎片的攻击手段,通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。
攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。
对于检测机制不完善的安全设备来说,首先通过判断目的端口号来采取允许/禁止措施。
但是由于通过恶意分片使目的端口号位于第二个分片中,因此通过判断第一个分片,决定后续的分片是否允许通过。
但是这些分片在目标主机上进行重组之后将形成各种攻击。
通过这种方法可以迂回绕过一些入侵检测系统及一些安全过滤系统。
对防火墙进行配置
ICMPFragment
基于ICMP分片的攻击手段,通常情况下,由于各个设备接口限制了MTU的大小,一般为1492或1500字节,而正常的ICMP报文的长度都不会超过1500字节,因此不会被分片。
对防火墙进行配置
DNS异常
利用不符合RFC标准规定的DNS异常报文进行的攻击。
防火墙会放通符合RFC标准的DNS报文,不符合的则丢弃。
对防火墙进行配置
ICMPOversize
ICMP报文长度限制。
超过指定长度的ICMP报文会被防火墙丢弃。
对防火墙进行配置
应用层Flood
DNSFlood
向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息。
域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器拒绝服务。
对防火墙进行配置
HTTPFlood
专门针对HTTP服务的应用层攻击,攻击者通过模拟大量用户,不停的进行访问HTTP页面,甚至是不停访问那些需要大量数据操作,需要消耗大量CPU的页面,最终导致HTTP服务器超负荷工作,拒绝服务。
对防火墙进行配置
SYNCookie
MSS
MSS是指TCP传输中的最大传输大小,数值为MTU值减去IP头部20字节和TCP头部20字节,所以通常为1460。
SYNCookie是专门用来防范SYNFlood攻击的一种手段。
它的原理是,在TCP服务器收到TCPSYN包并返回TCPSYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。
在收到TCPACK包时,TCP服务器在根据那个cookie值检查这个TCPACK包的合法性。
如果合法,再分配专门的数据区进行处理未来的TCP连接。
对防火墙进行配置
利用型攻击
口令猜测
一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
要选用难以猜测的口令,比如词和标点符号的组合。
确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。
如果该服务支持锁定策略,就进行锁定。
特洛伊木马
特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。
一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:
NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:
netcat、VNC、pcAnywhere。
理想的后门程序透明运行。
避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
升级会员 