ARP欺騙
|
ARP欺騙 |
|
簡介 ARP欺騙(ARP spoofing),又稱ARP毒化(ARP poisoning,網(wǎng)絡(luò)上多譯為ARP病毒)或ARP攻擊,是針對以太網(wǎng)地址解析協(xié)議(ARP)的一種攻擊技術(shù),通過欺騙局域網(wǎng)內(nèi)訪問者PC的網(wǎng)關(guān)mac地址,使訪問者PC錯以為攻擊者更改后的MAC地址是網(wǎng)關(guān)的MAC,導(dǎo)致網(wǎng)絡(luò)不通。此種攻擊可讓攻擊者獲取局域網(wǎng)上的數(shù)據(jù)包甚至可篡改數(shù)據(jù)包,且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連線 |
|
運作機制 ARP欺騙的運作原理是由攻擊者發(fā)送假的ARP數(shù)據(jù)包到網(wǎng)上,尤其是送到網(wǎng)關(guān)上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉(zhuǎn)送到真正的網(wǎng)關(guān)(被動式數(shù)據(jù)包嗅探,passive sniffing)或是篡改后再轉(zhuǎn)送(中間人攻擊,man-in-the-middle attack)。攻擊者亦可將ARP數(shù)據(jù)包導(dǎo)到不存在的MAC地址以達(dá)到阻斷服務(wù)攻擊的效果,例?.NETcut軟件 |
|
防制方法 網(wǎng)上內(nèi)的每臺計算機的ARP一律改用靜態(tài)的方式,不過這在大型的網(wǎng)上是不可行的,因為需要經(jīng)常更新每臺計算機的ARP表 另外一種方法,例如DHCP snooping,網(wǎng)上設(shè)備可借由DHCP保留網(wǎng)絡(luò)上各計算機的MAC地址,在偽造的ARP數(shù)據(jù)包發(fā)出時即可偵測到。此方式已在一些廠牌的網(wǎng)上設(shè)備產(chǎn)品所支持 有一些軟件可監(jiān)聽網(wǎng)絡(luò)上的ARP回應(yīng),若偵測出有不正常變動時可發(fā)送郵箱通知管理者。例如UNIX平臺的Arpwatch以及windows上的XArp v2或一些網(wǎng)上設(shè)備的Dynamic ARP inspection功能 |
IP地址欺騙
|
IP地址欺騙 |
|
簡介 IP地址欺騙(IPaddress spoofing)是指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址,以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式,黑客使用一臺計算機上網(wǎng),而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務(wù)器打交道,防火墻可以識別這種ip欺騙 按照Internet Protocol(IP)網(wǎng)絡(luò)互聯(lián)協(xié)議,數(shù)據(jù)包頭包含來源地和目的地信息。 而IP地址欺騙,就是通過偽造數(shù)據(jù)包包頭,使顯示的信息源不是實際的來源,就像這個數(shù)據(jù)包是從另一臺計算機上發(fā)送的 |
|
易受攻擊的服務(wù)
|
|
防御方法 IP欺騙的防范,一方面需要目標(biāo)設(shè)備采取更強有力的認(rèn)證措施,不僅僅根據(jù)源IP就信任來訪者,更多的需要強口令等認(rèn)證手段;另一方面采用健壯的交互協(xié)議以提高偽裝源IP的門檻 有些高層協(xié)議擁有獨特的防御方法,比如TCP(傳輸控制協(xié)議)通過回復(fù)序列號來保證數(shù)據(jù)包來自于已建立的連接。由于攻擊者通常收不到回復(fù)信息,因此無從得知序列號。不過有些老機器和舊系統(tǒng)的TCP序列號可以被探得 |
Smurf攻擊
|
Smurf攻擊 |
|
簡介 Smurf攻擊是一種病毒攻擊,以最初發(fā)動這種攻擊的程序“Smurf”來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng),引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù) |
|
攻擊過程 Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包,來淹沒受害主機,最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰 攻擊的過程是這樣的:Woodlly Attacker向一個具有大量主機和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個欺騙性Ping分組(echo 請求),這個目標(biāo)網(wǎng)絡(luò)被稱為反彈站點,而欺騙性Ping分組的源地址就是Woodlly希望攻擊的系統(tǒng) 這種攻擊的前提是,路由器接收到這個發(fā)送給IP廣播地址(如206.121.73.255)的分組后,會認(rèn)為這就是廣播分組,并且把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器因因特網(wǎng)上接收到該分組,會對本地網(wǎng)段中的所有主機進(jìn)行廣播 |
|
攻擊檢測
對網(wǎng)絡(luò)進(jìn)行監(jiān)控和統(tǒng)計發(fā)現(xiàn), 若出現(xiàn)Smurf 攻擊, 則會出現(xiàn)大量的echo 報文。由于存在echo 應(yīng)答風(fēng)暴, 此時,echo 報文在所有報文中所占的比例大大增加。所以,如出現(xiàn)這種情況, 就可能遭到了Smurf 攻擊
由于echo 風(fēng)暴造成網(wǎng)絡(luò)負(fù)載過重,會出現(xiàn)大量報文丟失和報文重傳現(xiàn)象。所以,若有明顯的報文丟失率和重傳率上升現(xiàn)象,就有可能遭到了Smurf 攻擊
在受到Smurf 攻擊時, 由于網(wǎng)絡(luò)重載,會使其它的網(wǎng)絡(luò)連接出現(xiàn)意外的中斷或重置的現(xiàn)象。如反復(fù)出現(xiàn)意外的中斷或重置,也可能受到了Smurf 攻擊 |
|
防御方法 挫敗一個Smurf攻擊的最簡單的方法就是對邊界路由器的回音應(yīng)答(echo reply)信息包進(jìn)行過濾,然后丟棄他們,使網(wǎng)絡(luò)避免被湮沒 |
SYN Flood攻擊
|
SYN Flood攻擊 |
|
簡介 TCP SYN泛洪發(fā)生在OSI第四層,這種方式利用TCP協(xié)議的特性,就是三次握手。攻擊者發(fā)送TCP SYN,SYN是TCP三次握手中的第一個數(shù)據(jù)包,而當(dāng)服務(wù)器返回ACK后,該攻擊者就不對其進(jìn)行再確認(rèn),那這個TCP連接就處于掛起狀態(tài),也就是所謂的半連接狀態(tài),服務(wù)器收不到再確認(rèn)的話,還會重復(fù)發(fā)送ACK給攻擊者。這樣更加會浪費服務(wù)器的資源。攻擊者就對服務(wù)器發(fā)送非常大量的這種TCP連接,由于每一個都沒法完成三次握手,所以在服務(wù)器上,這些TCP連接會因為掛起狀態(tài)而消耗CPU和內(nèi)存,最后服務(wù)器可能死機,就無法為正常用戶提供服務(wù)了 |
|
攻擊原理 如果大量的握手請求涌向TCP服務(wù)端,而它們只發(fā)出SYN報文而不以ACK響應(yīng)結(jié)束握手,服務(wù)端就要為這每一個請求都維持約一分多鐘的連接去等待ACK,也就形成所謂的“半連接”。維護(hù)這些半連接是需要消耗很多服務(wù)器的網(wǎng)絡(luò)連接資源的。如果短時間內(nèi)這些資源幾乎都被半連接占滿,那么正常的業(yè)務(wù)請求在這期間就得不到服務(wù),處于等待狀態(tài) 更進(jìn)一步的,如果這些半連接的握手請求是惡意程序發(fā)出,并且持續(xù)不斷,那么就會導(dǎo)致服務(wù)端較長時間內(nèi)喪失服務(wù)功能——這就形成了DoS(Denial of Service拒絕服務(wù))攻擊。這種攻擊方式就稱為SYN泛洪(SYN flood)攻擊 |
|
防范措施 對于SYN泛洪攻擊的防范,優(yōu)化主機系統(tǒng)設(shè)置是常用的手段。如降低SYN timeout時間,使得主機盡快釋放半連接的占用;又比如采用SYN cookie設(shè)置,如果短時間內(nèi)連續(xù)收到某個IP的重復(fù)SYN請求,則認(rèn)為受到了該IP的攻擊,丟棄來自該IP的后續(xù)請求報文。此外合理地采用防火墻等外部網(wǎng)絡(luò)安全設(shè)施也可緩解SYN泛洪攻擊 |
UDP Flood攻擊
|
UDP Flood攻擊 |
|
簡介 UDPFlood是日漸猖厥的流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱,造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù),在UDPFLOOD攻擊中,攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是,由于UDP協(xié)議是無連接性的,所以只要開了一個UDP的端口提供相關(guān)服務(wù)的話,那么就可針對相關(guān)的服務(wù)進(jìn)行攻擊。 正常應(yīng)用情況下,UDP包雙向流量會基本相等,而且大小和內(nèi)容都是隨機的,變化很大。出現(xiàn)UDPFlood的情況下,針對同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn),并且內(nèi)容和大小都比較固定 |
|
防范措施 UDP協(xié)議與TCP協(xié)議不同,是無連接狀態(tài)的協(xié)議,并且UDP應(yīng)用協(xié)議五花八門,差異極大,因此針對UDPFlood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對待
|
緩沖區(qū)溢出攻擊
|
緩沖區(qū)溢出攻擊 |
|
簡介 緩沖區(qū)溢出攻擊有多種英文名稱:buffer overflow,buffer overrun,smash the stack,trash the stack,scribble the stack, mangle the stack, memory leak,overrun screw;它們指的都是同一種攻擊手段。第一個緩沖區(qū)溢出攻擊--Morris蠕蟲,發(fā)生在二十年前,它曾造成了全世界6000多臺網(wǎng)絡(luò)服務(wù)器癱瘓 緩沖區(qū)溢出是指當(dāng)計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量,溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理想的情況是:程序會檢查數(shù)據(jù)長度,而且并不允許輸入超過緩沖區(qū)長度的字符。但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的儲存空間相匹配,這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū),又被稱為“堆棧”,在各個操作進(jìn)程之間,指令會被臨時儲存在“堆棧”當(dāng)中,“堆棧”也會出現(xiàn)緩沖區(qū)溢出 |
|
原理 通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù) |
Ping of Death
|
Ping of Death |
|
簡介 Ping of Death:死亡之Ping 在因特網(wǎng)上,ping of death是一種畸形報文攻擊,方法是由攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對方。 TCP/IP的特征之一是碎裂;它允許單一IP包被分為幾個更小的數(shù)據(jù)包。在1996年,攻擊者開始利用那一個功能,當(dāng)他們發(fā)現(xiàn)一個進(jìn)入使用碎片包可以將整個IP包的大小增加到ip協(xié)議允許的65536比特以上的時候。當(dāng)許多操作系統(tǒng)收到一個特大號的ip包時候,它們不知道該做什么,因此,服務(wù)器會被凍結(jié)、宕機或重新啟動 ICMP的回送請求和應(yīng)答報文通常是用來檢查網(wǎng)路連通性,對于大多數(shù)系統(tǒng)而言,發(fā)送ICMP echo request 報文的命令是ping ,由于ip數(shù)據(jù)包的最大長度為65535字節(jié)。而ICMP報頭位于數(shù)據(jù)報頭之后,并與ip數(shù)據(jù)包封裝在一起,因此ICMP數(shù)據(jù)包最大尺寸不超過65535字節(jié)利用這一規(guī)定,可以向主機發(fā)動 ping of death 攻擊。ping of death 攻擊 是通過在最后分段中,改變其正確的偏移量和段長度的組合,使系統(tǒng)在接收到全部分段并重組報文時總的長度超過了65535字節(jié),導(dǎo)致內(nèi)存溢出,這時主機就會出現(xiàn)內(nèi)存分配錯誤而導(dǎo)致TCP/IP堆棧崩潰,導(dǎo)致死機 |
