《网络安全知识—常见的攻击类型》由会员分享,可在线阅读,更多相关《网络安全知识—常见的攻击类型(7页珍藏版)》请在金锄头文库上搜索。
1、常见的网络攻击类型一旦非正常报文或攻击报文流入内网中,不仅会耗尽您服务器的资源,使服务器无法正常工作,还会影响您的整个网络,引起网络拥塞,以下几种都是网络中最常见、最普遍 使用的攻击手段。类型简单介绍防御Flood防护SYN Flood(SYN洪水)SYN Flood是一种广为人知的DoS (拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方 式之一,这是一种利用TCP协 议缺陷,发送大量伪造的TCP 连接请求,从而使得被攻击方 资源耗尽(CPU满负荷或内存 不足)的攻击方式。攻击者向 目标服务器发送海量包含SYN 标志的TCP报文,服务器接收 到之后会为这些会话预留资 源,并等待与攻击者完成
2、TCP 三次握手建立链接。而攻击者 发送完海量包含SYN标志的 TCP报文之后,不再进行下一 步操作。导致服务器资源被大 量占用无法释放,甚至无法再 向正常用户提供服务。在防火墙上过滤来自同 一主机的后续连接。 未来的SYN洪水令人担 忧,由于释放洪水的并 不寻求响应,所以无法 从一个简单高容量的传 输中鉴别出来。ICMP Flood拒绝服务攻击常用手段之一。 攻击者向目标服务器发送海量 ping request的请求报文,服 务器需要占用资源回应这些海 量的ping报文,导致服务器 无法处理正常数据,甚至无法 再向正常用户提供服务。防火墙配置UDP Flood(UDP洪水)拒绝服务攻击常用手
3、段之一。 不同UDP协议下的应用,差 别很大,攻击手法也不大相 同。最常见的情况是利用大量 UDP小包冲击服务器,导致正 常用户无法访问服务器。关掉不必要的TCP/IP服 务,或者对防火墙进行 配置阻断来自Internet的 请求这些服务的UDP请 求。IP Flood拒绝服务攻击常用手段之一。 攻击者向目标服务器发送海量 的IP报文,服务器需要占用 资源回应这些海量的IP报 文,导致服务器无法处理正常 数据,甚至无法再向正常用户 提供服务。对防火墙进行配置电子邮件炸弹电子邮件炸弹是最古老的匿名对邮件地址进行配置,攻击之一,通过设置一台机器 不断的大量的向同一地址发送 电子邮件,攻击者能够耗尽
4、接 受者网络的带宽。自动删除来自同一主机 的过量或重复的消息。扫描/欺骗 防护IP地址扫描攻 击利用扫描软件,发送大量地址 请求的广播报文,扫描网络中 的地址。对防火墙进行配置端口扫描利用扫描软件,发送大量的端 口探测报文,扫描主机上开启 的端口,是黑客攻击时最常进 行的准备工作。对防火墙进行配置异常包攻 击Ping of Death (死亡之 ping)拒绝服务攻击常用手段之一。 由于IP数据包的最大长度不 能超过65535字节,Ping of Death通过在最后分段中,改 变其正确的偏移量和段长度的 组合,使系统在接收到全部分 段并重组报文时总的长度超过 65535字节,导致目标服务器
5、内存溢出,最终死机。现在所有的标准TCP/IP 实现都已实现对付超大 尺寸的包,并且大多数 防火墙能够自动过滤这 些攻击,包括:从 windows98之后的 windows,NT(service pack 3 之后),linux、Solaris、 和Mac OS都具有抵抗一 般ping ofdeath攻击的能 力。此外,对防火墙进 行配置,阻断ICMP以及 任何未知协议,都讲防 止此类攻击。Teardrop(泪滴)拒绝服务攻击常用手段之一。Teardrop是基于UDP的病态 分片数据包攻击方法,其工作 原理是向被攻击者发送多个分 片的IP包,某些操作系统收 到含有重叠偏移的伪造分片数 据包时将
6、会出现系统崩溃、重 启等现象。服务器应用最新的服务 包,或者在设置防火墙 时对分段进行重组,而 不是转发它们。IP选项IP报文头部中含有许多选项, 这些选项都是为实现某一种功 能而准备。攻击者通过精心构 造IP报文头部中选项的数 值,已达到攻击目标服务器的 目的。不同的选项可以实现不 同的攻击手段。对防火墙进行配置TCP异常TCP报文头部中含有许多选 项,这些选项都是为实现某一 种功能而准备。攻击者通过精 心构造TCP报文头部中选项的对防火墙进行配置数值,已达到攻击目标服务器 的目的。不同的选项可以实现 不同的攻击手段。Smurf攻击者向目标服务器发送一个 源地址为广播地址的ping echo
7、请求报文,目标服务器 应答这个报文时,就会回复给 一个广播地址。这样本地网络 上所有的计算机都必须处理这 些广播报文。如果攻击者发送 的echo请求报文足够多,产 生的replay广播报文就可能把 整个网络淹没。除了把echo 报文的源地址设置为广播地址 夕卜,攻击者还可能把源地址设 置为一个子网广播地址,这 样,该子网所在的计算机就可 能受到影响。为了防止黑客利用你的 网络攻击他人,关闭外 部路由器或防火墙的广 播地址特性。为防止被 攻击,在防火墙上设置 规则,丢弃掉ICMP包。FraggleFraggle攻击是攻击者向广播 地址发送UDP报文,目的端 口号为7(ECHO)或 19(Char
8、gen),报文的源IP地 址伪装成目标服务器的IP地 址。这样,广播域中所有启用 了此功能的计算机都会向服务 器发送回应报文,从而产生大 量的流量,导致服务器的网络 阻塞或受害主机崩溃。在防火墙上过滤掉UDP 应答消息LandLAND攻击报文是攻击者向目 标服务器发送一个源IP地址 和目的IP地址都是目标服务 器IP的TCP SYN报文,这样目 标服务器接收到这个SYN报文 后,就会向自己发送一个ACK 报文,并建立一个TCP连接控 制结构。如果攻击者发送了足 够多的SYN报文,则目标服务 器的资源可能会耗尽,甚至无 法再向正常用户提供服务。打最新的补丁,或者在 防火墙进行配置,将那 些在外部
9、接口上入站的 含有内部源地址滤掉。(包括10域、127域、 192.168 域、172.16 到 172.31 域)WinnukeWinNuke 攻击利用 WINDOWS 操作系统的一个漏洞,向 NetBIOS使用的139端口发送 一些携带TCP带外00B数据 报文,这些攻击报文与正常携对防火墙进行配置带OOB数据报文不冋,其指 针字段与数据的实际位置不 符,即存在重合,这样 WINDOWS操作系统在处理这 些数据的时候,就会崩溃。Tracert攻击者连续发送TTL从1开始 递增的目的端口号较大的UDP 报文,报文每经过一个路由设 备,其TTL都会减1,当报文 的TTL为0时,路由设备会给 报
10、文的源IP设备发送一个TTL 超时的ICMP报文,攻击者借 此来探测网络的拓扑结构。对防火墙进行配置ICMPRedirection利用ICMP重定向技术,对网 络进行攻击和网络窃听。如果 主机A支持ICMP重定向,那 么主机B发送一个ICMP重定 向给主机A,以后主机A发出 的所有到指定地址的报文都会 转发主机B,这样主机B就可 以达到窃听目的。windows操 作系统会对ICMP报文进行检 查,如果这个重定向不是网关 发送的,会被直接丢弃。不过 伪造一个网关的数据包很容 易。如果刻意伪造许多虚假的 ICMP重定向报文,主机路由 表就可能被改的乱七八糟。对防火墙进行配置IP SpoofingI
11、P欺骗,利用IP地址并不是 在出厂的时候与MAC固定在 一起的,攻击者通过自封包和 修改网络节点的IP地址,冒 充某个可信节点的IP地址, 进行攻击。IP欺骗的主要三种 后果:1. 瘫痪真正拥有IP的可信主 机,伪装可信主机攻击服务器2. 导致中间人攻击3. 导致DNS欺骗和会话劫持对防火墙进行配置IP Fragment一种基于数据碎片的攻击手 段,通过恶意操作,发送极小 的分片来绕过包过滤系统或者 入侵检测系统的一种攻击手 段。攻击者通过恶意操作,可对防火墙进行配置将TCP报头(通常为20字节)分 布在2个分片中,这样一来, 目的端口号可以包含在第二个 分片中。对于检测机制不完善的安全设 备
12、来说,首先通过判断目的端 口号来米取允许/禁止措施。但是由于通过恶意分片使目的 端口号位于第二个分片中,因 此通过判断第一个分片,决定 后续的分片是否允许通过。但 是这些分片在目标主机上进行 重组之后将形成各种攻击。通 过这种方法可以迂回绕过一些 入侵检测系统及一些安全过滤 系统。ICMP Fragment基于ICMP分片的攻击手段, 通常情况下,由于各个设备接 口限制了 MTU的大小,一般 为1492或1500字节,而正常 的ICMP报文的长度都不会超 过1500字节,因此不会被分 片。对防火墙进行配置DNS异常利用不符合RFC标准规定的 DNS异常报文进行的攻击。防 火墙会放通符合RFC标
13、准的 DNS报文,不符合的则丢弃。对防火墙进行配置ICMP OversizeICMP报文长度限制。超过指 定长度的ICMP报文会被防火 墙丢弃。对防火墙进行配置应用层FloodDNS Flood向被攻击的服务器发送大量的 域名解析请求,通常请求解析 的域名是随机生成或者是网络 上根本不存在的域名,被攻击 的DNS服务器在接收到域名 解析请求的时候首先会在服务 器上查找是否有对应的缓存, 如果查找不到并且该域名无法 直接由服务器解析的时候, DNS服务器会向其上层DNS 服务器递归查询域名信息。域 名解析的过程给服务器带来了 很大的负载,每秒钟域名解析 请求超过一定的数量就会造成对防火墙进行配置
14、DNS服务器拒绝服务。HTTP Flood专门针对HTTP服务的应用层 攻击,攻击者通过模拟大量用 户,不停的进行访问HTTP页 面,甚至是不停访问那些需要 大量数据操作,需要消耗大量 CPU的页面,最终导致HTTP 服务器超负荷工作,拒绝服 务。对防火墙进行配置SYN CookieMSSMSS是指TCP传输中的最大传 输大小,数值为MTU值减去 IP头部20字节和TCP头部20 字节,所以通常为1460。SYN Cookie是专门用来防范SYN Flood攻击的一种手段。它的 原理是,在TCP服务器收到 TCP SYN包并返回TCPSYN+ACK包时,不分配一个专 门的数据区,而是根据这个
15、SYN包计算出一个cookie值。 在收到TCP ACK包时,TCP服 务器在根据那个cookie值检 查这个TCP ACK包的合法性。 如果合法,再分配专门的数据 区进行处理未来的TCP连接。对防火墙进行配置利用型攻 击口令猜测一旦黑客识别了一台主机而且 发现了基于 NetBIOS、Telnet 或NFS这样的服务的可利用的 用户帐号,成功的口令猜测能 提供对机器控制。要选用难以猜测的口 令,比如词和标点符号 的组合。确保像NFS、NetBIOS 和 Telnet 这样可 利用的服务不暴露在公 共范围。如果该服务支 持锁定策略,就进行锁 定。特洛伊木马特洛伊木马是一种或是直接由 一个黑客,或是通过一个不令 人起疑的用户秘密安装到目标 系统的程序。一旦安装成功并 取得管理员权限,安装此程序 的人就可以直接远程控制目标 系统。最有效的一种叫做后门程序, 恶意程序包括:NetBus、 BackOrifice 和 B02k,用于控制 系统的良性程序如:netcat、避免下载可疑程序并拒 绝执行,运用网络扫描 软件定期监视内部主机 上的监听TCP服务。VNC、pcAnywhere。理想的后 门程序透明运行。缓冲区溢出
