网络的安全系统的知识—常见地攻击类型

1、常见的网络攻击类型一旦非正常报文或攻击报文流入内网中，不仅会耗尽您服务器的资源，使服务器无法正常工作，还会影响您的整个网络，引起网络拥塞，以下几种都是网络中最常见、最普遍使用的攻击手段。类型简单介绍防御Flood防护SYN Flood（SYN洪水）SYN Flood是一种广为人知的DoS （拒绝服务攻击）与 DDoS （分布式拒绝服务攻击）的方 式之一，这是一种利用 TCP协 议缺陷，发送大量伪造的 TCP 连接请求，从而使得被攻击方 资源耗尽（CPU满负荷或内存 不足）的攻击方式。攻击者向 目标服务器发送海量包含SYN标志的TCP报文，服务器接收 到之后会为这些会话预留资 源，并等待与攻击者

2、完成 TCP 三次握手建立链接。而攻击者 发送完海量包含SYN标志的 TCP报文之后，不再进仃下一 步操作。导致服务器资源被大 量占用无法释放，甚至无法再 向正常用户提供服务。在防火墙上过滤来自同 一主机的后续连接。 未来的SYN洪水令人担 忧，由于释放洪水的并不 寻求响应，所以无法从一 个简单咼容量的传输中 鉴别出来。ICMP Flood拒绝服务攻击常用手段之一。 攻击者向目标服务器发送海量 ping request 的请求报文，服 务器需要占用资源回应这些海 量的ping报文，导致服务器无 法处理正常数据，甚至无法再 向正常用户提供服务。防火墙配置UDP Flood（UDP洪 水）拒绝服务

3、攻击常用手段之一。 不同UDP协议下的应用，差别 很大，攻击手法也不大相同。 最常见的情况是利用大量 UDP 小包冲击服务器，导致正常用 户无法访问服务器。关掉不必要的TCP/IP服 务，或者对防火墙进行配 置阻断来自In ternet 的 请求这些服务的 UDP请 求。IP Flood拒绝服务攻击常用手段之一。 攻击者向目标服务器发送海量 的IP报文，服务器需要占用资 源回应这些海量的IP报文，导 致服务器尢法处理正常数据， 甚至无法再向正常用户提供服 务。对防火墙进行配置电子邮件炸弹电了邮件炸弹是最古老的匿名对邮件地址进行配置，自攻击之一，通过设置一台机器 不断的大量的向同一地址发送 电子

4、邮件，攻击者能够耗尽接 受者网络的带宽。动删除来自同一主机的 过量或重复的消息。扫描/欺骗 防护IP地址扫描攻 击利用扫描软件，发送大量地址 请求的广播报文，扫描网络中 的地址。对防火墙进行配置端口扫描利用扫描软件，发送大量的端 口探测报文，扫描主机上开启 的端口，是黑客攻击时最常进 行的准备工作。对防火墙进行配置异常包攻 击Ping of Death（死亡之ping ）拒绝服务攻击常用手段之一。 由于IP数据包的最大长度不 能超过65535字节，Ping of Death通过在最后分段中，改 变其正确的偏移量和段长度的 组合，使系统在接收到全部分 段并重组报文时总的长度超过 65535字节，

5、导致目标服务器 内存溢出，最终死机。现在所有的标准TCP/IP 实现都已实现对付超大 尺寸的包，并且大多数防 火墙能够自动过滤这些 攻击，包括：从windows98 之后的win dows,NT（service pack 3 之后），linux、 Solaris、和 Mac OS都具 有抵抗一般 ping ofdeath攻击的能力。此 夕卜，对防火墙进行配置， 阻断ICMP以及任何未知 协议，都讲防止此类攻 击。Teardrop拒绝服务攻击常用手段之一。Teardrop是基于UDP的病态分 片数据包攻击方法，其工作原 理是向被攻击者发送多个分片 的IP包，某些操作系统收到含 有重叠偏移的伪造分

6、片数据包 时将会出现系统崩溃、重启等 现象。服务器应用最新的服务 包，或者在设置防火墙时 对分段进行重组，而不是 转发它们。（泪滴）IP选项IP报文头部中含有许多选项， 这些选项都是为实现某一种功 能而准备。攻击者通过精心构 造IP报文头部中选项的数值， 已达到攻击目标服务器的目 的。不同的选项可以实现不同 的攻击手段。对防火墙进行配置TCP异常TCP报文头部中含有许多选项， 这些选项都是为实现某一种功 能而准备。攻击者通过精心构对防火墙进行配置造TCP报文头部中选项的数 值，已达到攻击目标服务器的 目的。不同的选项可以实现不 同的攻击手段。Smurf攻击者向目标服务器发送一个 源地址为广播地

7、址的pingecho请求报文，目标服务器应 答这个报文时，就会回复给一 个广播地址。这样本地网络上 所有的计算机都必须处理这些 广播报文。如果攻击者发送的 echo请求报文足够多，产生的 replay广播报文就可能把整个 网络淹没。除了把echo报文的 源地址设置为广播地址外，攻 击者还可能把源地址设置为一 个子网广播地址，这样，该子 网所在的计算机就可能受到影 响。为了防止黑客利用你的 网络攻击他人，关闭外部 路由器或防火墙的广播 地址特性。为防止被攻 击，在防火墙上设置规 则，丢弃掉ICMP包。FraggleFraggle攻击是攻击者向广播 地址发送UDP报文，目的端口 号为 7(ECHO

8、)或 19(Chargen), 报文的源IP地址伪装成目标 服务器的IP地址。这样，广播 域中所有启用了此功能的计算 机都会向服务器发送回应报 文，从而产生大量的流量，导 致服务器的网络阻塞或受害主 机崩溃。在防火墙上过滤掉 UDP应 答消息LandLAND攻击报文是攻击者向目标 服务器发送一个源IP地址和 目的IP地址都是目标服务器IP的TCP SYN报文，这样目标 服务器接收到这个 SYN报文 后，就会向自己发送一个 ACK 报文，并建立一个TCP连接控 制结构。如果攻击者发送了足 够多的SYN报文，则目标服务 器的资源可能会耗尽，甚至无 法再向正常用户提供服务。打最新的补丁，或者在防 火

9、墙进行配置，将那些在 外部接口上入站的含有 内部源地址滤掉。(包括10 域、127 域、192.168 域、172.16 到 172.31 域)Winn ukeWin Nuke 攻击利用 WINDOW操 作系统的一个漏洞，向NetBIOS 使用的139端口发送一些携带TCP带外OOB数据报文，这些对防火墙进行配置攻击报文与正常携带 OOB数据 报文不冋，其指针字段与数据 的实际位置不符，即存在重合， 这样WINDOW操作系统在处理 这些数据的时候，就会崩溃。Tracert攻击者连续发送TTL从1开始 递增的目的端口号较大的 UDP 报文，报文每经过一个路由设 备，其TTL都会减1，当报文 的T

10、TL为0时，路由设备会给 报文的源IP设备发送一个TTL 超时的ICMP报文，攻击者借此 来探测网络的拓扑结构。对防火墙进行配置ICMPRedirectio n利用ICMP重定向技术，对网络 进行攻击和网络窃听。如果主 机A支持ICMP重定向，那么主 机B发送一个ICMP重定向给主 机A,以后主机A发出的所有 到指定地址的报文都会转发主 机B,这样主机B就可以达到 窃听目的。windows操作系统 会对ICMP报文进行检查，如果 这个重定向不是网关发送的， 会被直接丢弃。不过伪造一个 网关的数据包很容易。如果刻 意伪造许多虚假的ICMP重定 向报文，主机路由表就可能被 改的乱七八糟。对防火墙进

11、行配置IP Spoofi ngIP欺骗，利用IP地址并不是 在出厂的时候与MAC固定在一 起的，攻击者通过自封包和修 改网络节点的IP地址，冒充某 个可信节点的IP地址，进行攻 击。IP欺骗的主要二种后果：1. 瘫痪真正拥有IP的可信主 机，伪装可信主机攻击服务器2. 导致中间人攻击3. 导致DNS欺骗和会话劫持对防火墙进行配置IP Fragme nt一种基于数据碎片的攻击手 段，通过恶意操作，发送极小 的分片来绕过包过滤系统或者 入侵检测系统的一种攻击手 段。攻击者通过恶意操作，可 将TCP报头（通常为20字节）对防火墙进行配置分布在2个分片中，这样一来， 目的端口号可以包含在第二个 分片中

12、。对于检测机制不完善的安全设 备来说，首先通过判断目的端 口号来采取允许/禁止措施。但 是由于通过恶意分片使目的端 口号位于第二个分片中，因此 通过判断第一个分片，决定后 续的分片是否允许通过。但是 这些分片在目标主机上进行重 组之后将形成各种攻击。通过 这种方法可以迂回绕过一些入 侵检测系统及一些安全过滤系 统。ICMP Fragme nt基于ICMP分片的攻击手段， 通常情况下，由于各个设备接 口限制了 MTU的大小，一般为1492或1500字节，而正常的ICMP报文的长度都不会超过 1500字节，因此不会被分片。对防火墙进行配置DNS异常利用不符合RFC标准规定的 DNS异常报文进行的攻

13、击。防 火墙会放通符合RFC标准的 DNS报文，不符合的则丢弃。对防火墙进行配置ICMP OversizeICMP报文长度限制。超过指定 长度的ICMP报文会被防火墙 丢弃。对防火墙进行配置应用层FloodDNS Flood向被攻击的服务器发送大量的 域名解析请求，通常请求解析 的域名是随机生成或者是网络 上根本不存在的域名，被攻击 的DNS服务器在接收到域名解 析请求的时候首先会在服务器 上查找是否有对应的缓存，如 果查找不到并且该域名无法直 接由服务器解析的时候，DNS服务器会向其上层 DNS服务器 递归查询域名信息。域名解析 的过程给服务器带来了很大的 负载，每秒钟域名解析请求超 过一定

14、的数量就会造成 DNS服 务器拒绝服务。对防火墙进行配置HTTP Flood专门针对HTTP服务的应用层对防火墙进行配置攻击，攻击者通过模拟大量用 户，不停的进行访问 HTTP页 面，甚至是不停访问那些需要 大量数据操作，需要消耗大量 CPU的页面，最终导致HTTP服 务器超负荷工作，拒绝服务。SYNCookieMSSMSS是指TCP传输中的最大传 输大小，数值为 MTU®减去IP 头部20字节和TCP头部20字 节，所以通常为1460。SYNCookie是专门用来防范 SYN Flood攻击的一种手段。它的 原理是，在TCP服务器收到TCPSYN包并返回 TCP SYN+ACI包

15、时，不分配一个专门的数据区， 而是根据这个SYN包计算出一 个cookie值。在收到TCP ACK 包时，TCP服务器在根据那个 cookie值检查这个TCP ACK包 的合法性。如果合法，再分配 专门的数据区进行处理未来的 TCP连接。对防火墙进行配置利用型攻 击口令猜测一旦黑客识别了一台主机而且 发现了基于 NetBIOS、Telnet 或NFS这样的服务的可利用的 用户帐号，成功的口令猜测能 提供对机器控制。要选用难以猜测的口令， 比如词和标点符号的组合。确保像 NFS NetBIOS 和Telnet这样可利用的 服务不暴露在公共范围。如果该服务支持锁定策 略，就进行锁定。特洛伊木马特洛伊木马是一种或是直接由 一个黑客，或是通过一个不令 人起疑的用户秘密安装到目标 系统的程序。一旦安装成功并 取得管理员权限，安装此程序 的人就可以直接远程控制目标 系统。最有效的一种叫做后门程序， 恶意程序包括：NetBus、 BackOrifice 和 BO2k,用于控 制系统的良性程序如：netcat、 VNC pcAnywhere。理想的后门 程序透