亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

網(wǎng)絡(luò)攻擊類型

偵查攻擊：

搜集網(wǎng)絡(luò)存在的弱點(diǎn)，以進(jìn)一步攻擊網(wǎng)絡(luò)。分為掃描攻擊和網(wǎng)絡(luò)監(jiān)聽。

掃描攻擊：端口掃描，主機(jī)掃描，漏洞掃描。

網(wǎng)絡(luò)監(jiān)聽：主要指只通過軟件將使用者計(jì)算機(jī)網(wǎng)卡的模式置為混雜模式，從而查看通過此網(wǎng)絡(luò)的重要明文信息。

端口掃描：

根據(jù) TCP 協(xié)議規(guī)范，當(dāng)一臺(tái)計(jì)算機(jī)收到一個(gè)TCP 連接建立請(qǐng)求報(bào)文（TCP SYN） 的時(shí)候，做這樣的處理：

1、如果請(qǐng)求的TCP端口是開放的，則回應(yīng)一個(gè)TCP ACK 報(bào)文， 并建立TCP連接控制結(jié)構(gòu)（TCB）；

2、如果請(qǐng)求的TCP端口沒有開放，則回應(yīng)一個(gè)TCP RST（TCP頭部中的RST標(biāo)志設(shè)為1）報(bào)文，告訴發(fā)起計(jì)算機(jī)，該端口沒有開放。

相應(yīng)地，如果IP協(xié)議棧收到一個(gè)UDP報(bào)文，做如下處理：

1、如果該報(bào)文的目標(biāo)端口開放，則把該UDP 報(bào)文送上層協(xié)議（UDP ） 處理， 不回應(yīng)任何報(bào)文（上層協(xié)議根據(jù)處理結(jié)果而回應(yīng)的報(bào)文例外）；

2、如果該報(bào)文的目標(biāo)端口沒有開放，則向發(fā)起者回應(yīng)一個(gè)ICMP 不可達(dá)報(bào)文，告訴發(fā)起者計(jì)算機(jī)該UDP報(bào)文的端口不可達(dá)。

利用這個(gè)原理，攻擊者計(jì)算機(jī)便可以通過發(fā)送合適的報(bào)文，判斷目標(biāo)計(jì)算機(jī)哪些TC 或UDP端口是開放的。

過程如下：

1、發(fā)出端口號(hào)從0開始依次遞增的TCP SYN或UDP報(bào)文（端口號(hào)是一個(gè)16比特的數(shù)字，這樣最大為65535，數(shù)量很有限）；

2、如果收到了針對(duì)這個(gè)TCP 報(bào)文的RST 報(bào)文，或針對(duì)這個(gè)UDP 報(bào)文 的 ICMP 不可達(dá)報(bào)文，則說明這個(gè)端口沒有開放；

3、相反，如果收到了針對(duì)這個(gè)TCP SYN報(bào)文的ACK報(bào)文，或者沒有接收到任何針對(duì)該UDP報(bào)文的ICMP報(bào)文，則說明該TCP端口是開放的，UDP端口可能開放（因?yàn)橛械膶?shí)現(xiàn)中可能不回應(yīng)ICMP不可達(dá)報(bào)文，即使該UDP 端口沒有開放） 。

這樣繼續(xù)下去，便可以很容易的判斷出目標(biāo)計(jì)算機(jī)開放了哪些TCP或UDP端口，然后針對(duì)端口的具體數(shù)字，進(jìn)行下一步攻擊，這就是所謂的端口掃描攻擊。

主機(jī)掃描即利用ICMP原理搜索網(wǎng)絡(luò)上存活的主機(jī)。

網(wǎng)絡(luò)踩點(diǎn)（Footprinting）

攻擊者事先匯集目標(biāo)的信息，通常采用whois、Finger等工具和DNS、LDAP等協(xié)議獲取目標(biāo)的一些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

掃描攻擊

掃描攻擊包括地址掃描和端口掃描等，通常采用ping命令和各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息，例如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些服務(wù)，從而為進(jìn)一步的入侵打下基礎(chǔ)。

協(xié)議指紋

黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同操作系統(tǒng)廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微的差別（也就是說各個(gè)廠家在編寫自己的TCP/IP 協(xié)議棧時(shí)，通常對(duì)特定的RFC指南做出不同的解釋），因此各個(gè)操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。

常常被利用的一些協(xié)議棧指紋包括：TTL值、TCP窗口大小、DF 標(biāo)志、TOS、IP碎片處理、 ICMP處理、TCP選項(xiàng)處理等。

信息流監(jiān)視

這是一個(gè)在共享型局域網(wǎng)環(huán)境中最常采用的方法。

由于在共享介質(zhì)的網(wǎng)絡(luò)上數(shù)據(jù)包會(huì)經(jīng)過每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)， 網(wǎng)卡在一般情況下只會(huì)接受發(fā)往本機(jī)地址或本機(jī)所在廣播（或多播）地址的數(shù)據(jù)包，但如果將網(wǎng)卡設(shè)置為混雜模式（Promiscuous），網(wǎng)卡就會(huì)接受所有經(jīng)過的數(shù)據(jù)包。

基于這樣的原理，黑客使用一個(gè)叫sniffer的嗅探器裝置，可以是軟件，也可以是硬件）就可以對(duì)網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)視，從而獲得他們感興趣的內(nèi)容，例如口令以及其他秘密的信息。

訪問攻擊

密碼攻擊：密碼暴力猜測(cè)，特洛伊木馬程序，數(shù)據(jù)包嗅探等方式。中間人攻擊：截獲數(shù)據(jù)，竊聽數(shù)據(jù)內(nèi)容，引入新的信息到會(huì)話，會(huì)話劫持（session hijacking）利用TCP協(xié)議本身的不足，在合法的通信連接建立后攻擊者可以通過阻塞或摧毀通信的一方來接管已經(jīng)過認(rèn)證建立起來的連接，從而假冒被接管方與對(duì)方通信。

拒絕服務(wù)攻擊

偽裝大量合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)響應(yīng)。

要避免系統(tǒng)遭受DoS 攻擊，從前兩點(diǎn)來看，網(wǎng)絡(luò)管理員要積極謹(jǐn)慎地維護(hù)整個(gè)系統(tǒng)，確保無安全隱患和漏洞；

而針對(duì)第四點(diǎn)第五點(diǎn)的惡意攻擊方式則需要安裝防火墻等安 全設(shè)備過濾DoS攻擊，同時(shí)強(qiáng)烈建議網(wǎng)絡(luò)管理員定期查看安全設(shè)備的日志，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)存在安全威脅的行為。

常見拒絕服務(wù)攻擊行為特征與防御方法

 

拒絕服務(wù)攻擊是最常見的一類網(wǎng)絡(luò)攻擊類型。

在這一攻擊原理下，它又派生了許多種不同的攻擊方式。

正確了解這些不同的拒絕攻擊方式，就可以為正確、系統(tǒng)地為自己所在企業(yè)部署完善的安全防護(hù)系統(tǒng)。

入侵檢測(cè)的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為。

要有效的進(jìn)行反攻擊，首先必須了解入侵的原理和工作機(jī)理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。

 

 

下面我們針對(duì)幾種典型的拒絕服務(wù)攻擊原理進(jìn)行簡(jiǎn)要分析，并提出相應(yīng)的對(duì)策。

死亡之Ping（ Ping of death）攻擊

由于在早期的階段，路由器對(duì)包的最大大小是有限制的，許多操作系統(tǒng)TCP/IP棧規(guī)定ICMP包的大小限制在64KB 以內(nèi)。

在對(duì)ICMP數(shù)據(jù)包的標(biāo)題頭進(jìn)行讀取之后，是根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。

當(dāng)大小超過64KB的ICMP包，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，從而使接受方計(jì)算機(jī)宕機(jī)。

這就是這種“死亡之Ping”攻擊的原理所在。

根據(jù)這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標(biāo)發(fā)送超過64KB的數(shù)據(jù)包，就可使目標(biāo)計(jì)算機(jī)的TCP/IP堆棧崩潰，致使接受方宕機(jī)。

防御方法：

現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP協(xié)議都已具有對(duì)付超過64KB大小數(shù)據(jù)包的處理能力，并且大多數(shù)防火墻能夠通過對(duì)數(shù)據(jù)包中的信息和時(shí)間間隔分析，自動(dòng)過濾這些攻擊。

windows 98 、Windows NT 4.0（SP3之后）、Windows 2000/XP/Server 2003 、linux 、Solaris和mac OS等系統(tǒng)都已具有抵抗一般“Ping of death ”拒絕服務(wù)攻擊的能力。

此外，對(duì)防火墻進(jìn)行配置，阻斷ICMP 以及任何未知協(xié)議數(shù)據(jù)包，都可以防止此類攻擊發(fā)生。

淚滴（ teardrop）攻擊

對(duì)于一些大的IP數(shù)據(jù)包，往往需要對(duì)其進(jìn)行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。

比如，一個(gè)6000 字節(jié)的IP包，在MTU為2000的鏈路上傳輸?shù)臅r(shí)候，就需要分成三個(gè)IP包。

在IP 報(bào)頭中有一個(gè)偏移字段和一個(gè)拆分標(biāo)志（MF）。

如果MF標(biāo)志設(shè)置為1，則表面這個(gè)IP包是一個(gè)大IP包的片斷，其中偏移字段指出了這個(gè)片斷在整個(gè) IP包中的位置。

例如，對(duì)一個(gè)6000字節(jié)的IP包進(jìn)行拆分（MTU為2000），則三個(gè)片斷中偏移字段的值依次為：0，2000，4000。

這樣接收端在全部接收完IP數(shù)據(jù)包后，就可以根據(jù)這些信息重新組裝沒正確的值，這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包，但接收端會(huì)不斷償試，這樣就可能致使目標(biāo)計(jì)算朵操作系統(tǒng)因資源耗盡而崩潰。

淚滴攻擊利用修改在TCP/IP 堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。

IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統(tǒng)（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重疊偏移的偽造分段時(shí)將崩潰，不過新的操作系統(tǒng)已基本上能自己抵御這種攻擊了。

防御方法：

盡可能采用最新的操作系統(tǒng)，或者在防火墻上設(shè)置分段重組功能，由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包，然后完成重組工作，而不是直接轉(zhuǎn)發(fā)。

因?yàn)榉阑饓ι峡梢栽O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采取的規(guī)則。

TCP SYN 洪水（TCP SYN Flood）攻擊

TCP/IP棧只能等待有限數(shù)量ACK（應(yīng)答）消息，因?yàn)槊颗_(tái)計(jì)算機(jī)用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。

如果這一緩沖區(qū)充滿了等待響應(yīng)的初始信息，則該計(jì)算機(jī)就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接超時(shí)。

TCP SYN 洪水攻擊正是利用了這一系統(tǒng)漏洞來實(shí)施攻擊的。

攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接（SYN）請(qǐng)求。

目標(biāo)系統(tǒng)在接收到請(qǐng)求后發(fā)送確認(rèn)信息，并等待回答。

由于黑客們發(fā)送請(qǐng)示的IP地址是偽造的，所以確認(rèn)信息也不會(huì)到達(dá)任何計(jì)算機(jī)，當(dāng)然也就不會(huì)有任何計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了。

而在沒有接收到應(yīng)答之前，目標(biāo)計(jì)算機(jī)系統(tǒng)是不會(huì)主動(dòng)放棄的，繼續(xù)會(huì)在緩沖區(qū)中保持相應(yīng)連接信息，一直等待。

當(dāng)達(dá)到一定數(shù)量的等待連接后，緩區(qū)部?jī)?nèi)存資源耗盡，從而開始拒絕接收任何其他連接請(qǐng)求，當(dāng)然也包括本來屬于正常應(yīng)用的請(qǐng)求，這就是黑客們的最終目的。

防御方法：

在防火墻上過濾來自同一主機(jī)的后續(xù)連接。

不過“SYN洪水攻擊”還是非常令人擔(dān)憂的，由于此類攻擊并不尋求響應(yīng)，所以無法從一個(gè)簡(jiǎn)單高容量的傳輸中鑒別出來。

防火墻的具體抵御TCP SYN 洪水攻擊的方法在防火墻的使用手冊(cè)中有詳細(xì)介紹。

Land 攻擊

這類攻擊中的數(shù)據(jù)包源地址和目標(biāo)地址是相同的，當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，以此來消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。

防御方法：

這類攻擊的檢測(cè)方法相對(duì)來說比較容易，因?yàn)樗梢灾苯訌呐袛嗑W(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同得出是否屬于攻擊行為。

反攻擊的方法當(dāng)然是適當(dāng)?shù)嘏渲梅阑饓υO(shè)備或包過濾路由器的包過濾規(guī)則。

并對(duì)這種攻擊進(jìn)行審計(jì)，記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址，從而可以有效地分析并跟蹤攻擊者的來源。

Smurf 攻擊

這是一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。

Smurf攻擊利用多數(shù)路由器中具有同時(shí)向許多計(jì)算機(jī)廣播請(qǐng)求的功能。

攻擊者偽造一個(gè)合法的IP地址，然后由網(wǎng)絡(luò)上所有的路由器廣播要求向受攻擊計(jì)算機(jī)地址做出回答的請(qǐng)求。

由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請(qǐng)求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個(gè)地址做出回答，最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這也就達(dá)到了黑客們追求的目的了。

這種Smurf攻擊比起前面介紹的“Ping of Death ”洪水的流量高出一至兩個(gè)數(shù)量級(jí)，更容易攻擊成功。

還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再采用偽裝的IP地址），最終導(dǎo)致第三方雪崩。

防御方法：

關(guān)閉外部路由器或防火墻的廣播地址特性，并在防火墻上設(shè)置規(guī)則，丟棄掉ICMP協(xié)議類型數(shù)據(jù)包。

Fraggle 攻擊

Fraggle 攻擊只是對(duì)Smurf 攻擊作了簡(jiǎn)單的修改，使用的是UDP協(xié)議應(yīng)答消息，而不再是ICMP協(xié)議了（因?yàn)楹诳蛡兦宄?UDP 協(xié)議更加不易被用戶全部禁止）。

同時(shí)Fraggle攻擊使用了特定的端口（通常為7號(hào)端口，但也有許多使用其他端口實(shí)施 Fraggle 攻擊的），攻擊與Smurf 攻擊基本類似，不再贅述。

防御方法：

關(guān)閉外部路由器或防火墻的廣播地址特性。在防火墻上過濾掉UDP報(bào)文，或者屏蔽掉一些常被黑客們用來進(jìn)Fraggle攻擊的端口。

電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺(tái)計(jì)算機(jī)不斷地向同一地址發(fā)送大量電子郵件來達(dá)到攻擊目的，此類攻擊能夠耗盡郵件接受者網(wǎng)絡(luò)的帶寬資源。

防御方法：

對(duì)郵件地址進(jìn)行過濾規(guī)則配置，自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息。

虛擬終端（VTY）耗盡攻擊

這是一種針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊，比如路由器，交換機(jī)等。

這些網(wǎng)絡(luò)設(shè)備為了便于遠(yuǎn)程管理，一般設(shè)置了一些TELNET用戶界面，即用戶可以通過TELNET到該設(shè)備上，對(duì)這些設(shè)備進(jìn)行管理。

一般情況下，這些設(shè)備的TELNET用戶界面?zhèn)€數(shù)是有限制的。比如，5個(gè)或10個(gè)等。

這樣，如果一個(gè)攻擊者同時(shí)同一臺(tái)網(wǎng)絡(luò)設(shè)備建立了5個(gè)或10個(gè)TELNET連接。

這些設(shè)備的遠(yuǎn)程管理界面便被占盡，這樣合法用戶如果再對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程管理，則會(huì)因?yàn)門ELNET連接資源被占用而失敗。

ICMP洪水

正常情況下，為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，比如PING等，會(huì)發(fā)出ICMP響應(yīng)請(qǐng)求報(bào)文（ICMP ECHO），接收計(jì)算機(jī)接收到ICMP ECHO 后，會(huì)回應(yīng)一個(gè)ICMP ECHO Reply 報(bào)文。

而這個(gè)過程是需要CPU 處理的，有的情況下還可能消耗掉大量的資源。

比如處理分片的時(shí)候。這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMP ECHO報(bào)文（產(chǎn)生ICMP洪水），則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO 報(bào)文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)攻擊（DOS）。

WinNuke 攻擊

NetBIOS 作為一種基本的網(wǎng)絡(luò)資源訪問接口，廣泛的應(yīng)用于文件共享，打印共享， 進(jìn)程間通信（ IPC），以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。

一般情況下，NetBIOS 是運(yùn)行在 LLC2 鏈路協(xié)議之上的，是一種基于組播的網(wǎng)絡(luò)訪問接口。

為了在TCP/IP協(xié)議棧上實(shí)現(xiàn)NetBIOS ，RFC規(guī)定了一系列交互標(biāo)準(zhǔn)，以及幾個(gè)常用的 TCP/UDP 端口：

139：NetBIOS 會(huì)話服務(wù)的TCP 端口；

137：NetBIOS 名字服務(wù)的UDP 端口；

136：NetBIOS 數(shù)據(jù)報(bào)服務(wù)的UDP 端口。

WINDOWS操作系統(tǒng)的早期版本（WIN95/98/NT ）的網(wǎng)絡(luò)服務(wù)（文件共享等）都是建立在NetBIOS之上的。

因此，這些操作系統(tǒng)都開放了139端口（最新版本的WINDOWS 2000/XP/2003 等，為了兼容，也實(shí)現(xiàn)了NetBIOS over TCP/IP功能，開放了139端口）。

WinNuke 攻擊就是利用了WINDOWS操作系統(tǒng)的一個(gè)漏洞，向這個(gè)139端口發(fā)送一些攜帶TCP帶外（OOB）數(shù)據(jù)報(bào)文。

但這些攻擊報(bào)文與正常攜帶OOB數(shù)據(jù)報(bào)文不同的是，其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重合，這樣WINDOWS操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。

分片 IP 報(bào)文攻擊

為了傳送一個(gè)大的IP報(bào)文，IP協(xié)議棧需要根據(jù)鏈路接口的MTU對(duì)該IP報(bào)文進(jìn)行分片，通過填充適當(dāng)?shù)腎P頭中的分片指示字段，接收計(jì)算機(jī)可以很容易的把這些IP 分片報(bào)文組裝起來。

目標(biāo)計(jì)算機(jī)在處理這些分片報(bào)文的時(shí)候，會(huì)把先到的分片報(bào)文緩存起來，然后一直等待后續(xù)的分片報(bào)文。

這個(gè)過程會(huì)消耗掉一部分內(nèi)存，以及一些IP協(xié)議棧的數(shù)據(jù)結(jié)構(gòu)。

如果攻擊者給目標(biāo)計(jì)算機(jī)只發(fā)送一片分片報(bào)文，而不發(fā)送所有的分片報(bào)文，這樣攻擊者計(jì)算機(jī)便會(huì)一直等待（直到一個(gè)內(nèi)部計(jì)時(shí)器到時(shí)）。

如果攻擊者發(fā)送了大量的分片報(bào)文，就會(huì)消耗掉目標(biāo)計(jì) 算機(jī)的資源，而導(dǎo)致不能相應(yīng)正常的IP報(bào)文，這也是一種DOS攻擊。

Teardrop

分段攻擊。利用了重裝配錯(cuò)誤，通過將各個(gè)分段重疊來使目標(biāo)系統(tǒng)崩潰或掛起。