网络安全知识—常见的攻击类型

1、网络安全知识一常见的攻击类常见的网络攻击类型一旦非正常报文或攻击报文流入内网中， 不 仅会耗尽您服务器的资源，使服务器无法正常工 作，还会影响您的整个网络，引起网络拥塞，以 下几种都是网络中最常见、最普遍使用的攻击手 段。类型简单介绍防御Floo d防 护SYN Flood （SYN共 水）SYN Flood 是 一种广为人知 的DoS （拒绝 服务攻击）与 DDoS（分布式 拒绝服务攻 击）的方式之 一，这是一种 利用TCP协议 缺陷，发送大 量伪造的TCP 连接请求，从 而使得被攻击 方资源耗尽（CPUf负荷在防火墙上过 滤来自同一主 机的后续连接。 未来的SYN共 水令人担忧，由 于释放

2、洪水的 并不寻求响应， 所以无法从一 个简单高容量 的传输中鉴别 出来。或内存不足） 的攻击方式。 攻击者向目标 服务器发送海 量包含SYN 志的TCP报 文，服务器接 收到之后会为 这些会话预留 资源，并等待 与攻击者完成 TCP三次握手 建立链接。而 攻击者发送完 海量包含SYN 标志的TCP报 文之后，不再 进行下一步操 作。导致服务 器资源被大量 占用无法释 放，甚至无法ICMPFlood再向正常用户 提供服务。拒绝服务攻击 常用手段之防火墙配置攻击者向目标服务器发 送海量ping request 的请 求报文，服务 器需要占用资 源回应这些海 量的ping报 文，导致服务 器无法处理

3、正 常数据，甚至 无法再向正常 用户提供服 务。UDPFlood（UDP共水）拒绝服务攻击 常用手段之 一。不同UDP 协议下的应关掉不必要的TCP/IP 服务, 或者对防火墙 进行配置阻断IP Flood用，差别很大, 攻击手法也不 大相同。最常 见的情况是利 用大量UDPJ、 包冲击服务 器，导致正常 用户无法访问 服务器。拒绝服务攻击 常用手段之 一。攻击者向 目标服务器发 送海量的IP来自 Internet的请求这些服 务的UDP青求对防火墙进行配置报文，服务器 需要占用资源 回应这些海量 的IP报文，导 致服务器无法 处理正常数据，甚至无法 再向正常用户电子邮件炸弹扫描/欺 骗防 护

4、IP地址扫描攻击端口扫描提供服务。电子邮件炸弹 是最古老的匿 名攻击之一， 通过设置一台 机器不断的大 量的向同一地 址发送电子邮 件，攻击者能 够耗尽接受者 网络的带宽。 利用扫描软 件，发送大量 地址请求的广 播报文，扫描 网络中的地 址。利用扫描软 件，发送大量 的端口探测报 文，扫描主机 上开启的端对邮件地址进 行配置，自动删 除来自同一主 机的过量或重 复的消息。对防火墙进行 配置对防火墙进行 配置口，是黑客攻 击时最常进行 的准备工作异常 包攻 击Ping of Death （死亡之 ping ）拒绝服务攻击 常用手段之 一。由于IP数 据包的最大长 度不能超过 65535字节，

5、Ping of Death 通过在最后分 段中，改变其 正确的偏移量 和段长度的组 合，使系统在 接收到全部分 段并重组报文 时总的长度超 过65535字 节，导致目标 服务器内存溢 现在所有的标 准TCP/IP实现 都已实现对付 超大尺寸的包， 并且大多数防 火墙能够自动 过滤这些攻击， 包括：从 windows98 之 后的 windows,NT（se rvice pack 3 之后）linux、 Solaris、和 Mac OStB 具有 抵抗一般ping ofdeath 攻击 的能力。此外，出，最终死机。对防火墙进行Teardrop（泪滴）拒绝服务攻击 常用手段之 一。Teardrop

6、 是基于UDP勺 病态分片数据 包攻击方法， 其工作原理是 向被攻击者发 送多个分片的 IP包，某些操 作系统收到含 有重叠偏移的 伪造分片数据 包时将会出现 系统崩溃、重 启等现象。配置，阻断 ICMP以及任何 未知协议，都讲 防止此类攻击。 服务器应用最 新的服务包，或 者在设置防火 墙时对分段进 行重组，而不是 转发它们。IP选项IP报文头部中 含有许多选对防火墙进行 配置项，这些选项 都是为实现某 一种功能而准 备。攻击者1过精心构造IP 报文头部中选 项的数值，已 达到攻击目标 服务器的目 的。不同的选 项可以实现不 同的攻击手 段。TCP异常TCP报文头部 中含有许多选 项，这些选

7、项 都是为实现某 一种功能而准对防火墙进行 配置备。攻击者1 过精心构造TC啷文头部 中选项的数Smurf值，已达到攻 击目标服务器 的目的。不同 的选项可以实 现不同的攻击 手段。攻击者向目标 服务器发送一 个源地址为广 播地址的ping echo请求报 文，目标服务 器应答这个报 文时，就会回 复给一个广播 地址。这样本 地网络上所有 的计算机都必 须处理这些广 播报文。如果 攻击者发送的echo请求报文 为了防止黑客 利用你的网络 攻击他人，关闭 外部路由器或 防火墙的广播 地址特性。为防 止被攻击，在防 火墙上设置规 则，丢弃掉 ICMP 包。足够多，产生 的replay 广 播报文就

8、可能 把整个网络淹 没。除了把 echo报文的源 地址设置为广 播地址外，攻 击者还可能把 源地址设置为 一个子网广播 地址，这样， 该子网所在的 计算机就可能 受到影响。Fraggle在防火墙上过 滤掉UD陋答消息Fraggle 攻击 是攻击者向广 播地址发送 UDN艮文,目 的端口号为 7(ECHO成 19(Chargen)报文的源IP 地址伪装成目 标服务器的IP 地址。这样， 广播域中所有 启用了此功能 的计算机都会 向服务器发送 回应报文，从 而产生大量的 流量，导致服 务器的网络阻 塞或受害主机 崩溃。LandLAND击报文 是攻击者向目 标服务器发送 一个源IP地 址和目的IP

9、地址都是目标 服务器IP的TCP SYN 文,打最新的补丁， 或者在防火墙 进行配置，将那 些在外部接口 上入站的含有 内部源地址滤 掉。（包括10 域、127域、Winnuke这样目标服务 器接收到这个 SY咐艮文后， 就会向自己发 送一个ACK民 文，并建立一 个TC建接控 制结构。如果 攻击者发送了 足够多的SYN 报文，则目标 服务器的资源 可能会耗尽， 甚至无法再向 正常用户提供 服务。WinNuke 攻击192.168 域、172.16 至ij172.31 域）对防火墙进行利用WINDOWS配置 操作系统的一 个漏洞，向NetBIOS 使用的139端口发送一些携带TCP带外OOB

10、数据报文，这 些攻击报文与 正常携带OOB 数据报文不 同，其指针字 段与数据的实 际位置不符， 即存在重合， 这样 WINDOWS 操作系统在处 理这些数据的 时候，就会崩 依。Tracert攻击者连续发 送TTL从1开 始递增的目的 端口号较大的 UD魄文，报文每经过一个 路由设备，其对防火墙进行 配置ICMPRedirectionTTL者B会减1, 当报文的TTL 为0时，路由 设备会给报文 的源IP设备 发送一个TTL 超时的ICMP 报文，攻击者 借此来探测网 络的拓扑结 构。利用ICMP重 定向技术，对 网络进行攻击 和网络窃听。如果主机A支 持ICMP重定 向，那么主机 B发送一

11、个 ICMP重定向给 主机A,以后 主机A发出的对防火墙进行 配置所有到指定地 址的报文都会 转发主机B, 这样主机B就 可以达到窃听 弓的。windows 操作系统会对 ICM啷文进行 检查，如果这 个重定向不是 网关发送的， 会被直接丢 弃。不过伪造 一个网关的数 据包很容易。 如果刻意伪造 许多虚假的 ICMP重定向报 文，主机路由 表就可能被改 的乱七八糟。IP IP欺骗，利用对防火墙进行Spoofing IP地址并不是在出厂的时候配置与MA喟定在 一起的，攻击 者通过自封包 和修改网络节 点的IP地址, 冒充某个可信 节点的IP地 址，进行攻击。 IP欺骗的主要 三种后果： 1.瘫痪

12、真正 拥有IP的可 信主机，伪装 可信主机攻击 服务器2 .导致中间 人攻击3 .导致DNS 欺骗和会话劫 持IP 一种基于数据对防火墙进行 Fragment碎片的攻击手配置段，通过恶意 操作，发送极 小的分片来绕 过包过滤系统 或者入侵检测 系统的一种攻 击手段。攻击 者通过恶意操 作，可将TCP 报头（通常为 20字节）分布 在2个分片 中，这样一来， 目的端口号可 以包含在第二 个分片中。对于检测机制 不完善的安全 设备来说，首 先通过判断目的端口号来采 取允许/禁止 措施。但是由 于通过恶意分 片使目的端口 号位于第二个 分片中，因此 通过判断第一 个分片，决定 后续的分片是 否允许通

13、过。 但是这些分片 在目标主机上 进行重组之后 将形成各种攻 击。通过这种 方法可以迂回 绕过一些入侵 检测系统及一 些安全过滤系 统。ICMP基于ICMP分对防火墙进行FragmentDNS异常片的攻击手 段，通常情况 下，由于各个 设备接口限制 了 MTU 勺大 小，一般为 1492 或 1500 字节，而正常 的ICMP报文 的长度都不会 超过1500字 节，因此不会 被分片。利用不符合 RFC准规定 的DN第常报 文进行的攻 击。防火墙会 放通符合RFC 标准的DNS民 文，不符合的 则丢弃。配置对防火墙进行 配置ICMPOversizeICMP报文长度 限制。超过指对防火墙进行 配置

14、定长度的ICMP报文会被防火 墙丢弃。应用 层Floo dDNSFlood向被攻击的服对防火墙进行 务器发送大量配置的域名解析请 求，通常请求 解析的域名是 随机生成或者 是网络上根本 不存在的域 名，被攻击的 DNSI艮务器在 接收到域名解 析请求的时候 首先会在服务 器上查找是否 有对应的缓 存，如果查找 不到并且该域名无法直接由 服务器解析的 时候，DNSI艮 务器会向其上 层DNSI艮务器 递归查询域名 信息。域名解 析的过程给服 务器带来了很 大的负载，每 秒钟域名解析 请求超过一定 的数量就会造 成DNSI艮务器 拒绝服务。HTTP专门针对HTTP对防火墙进行Flood配置服务的应

15、用层 攻击，攻击者 通过模拟大量 用户，不停的 进行访问HTTP 页面，甚至是不停访问那些 需要大量数据 操作，需要消 耗大量CPU1勺 页面，最终导 致HTTP!艮务 器超负荷工 作，拒绝服务。SYN MSS MS醍指TCP对防火墙进行Cook ie传输中的最大 传输大小，数值为MTU1减 去IP头部20 字节和TCP头 部20字节，所 以通常为1460。SYN Cookie是专门 用来防范SYNFlood攻击的 一种手段。它 的原理是，在TCP服务器收至ij TCP SYNfe并返回TCP SYN+ACK 时， 不分配一个专 门的数据区， 而是根据这个 SYNfe计算出 一个 cookie

16、 值。在收到TCP AC他日寸,TCP 服务器在根据 那个cookie 值检查这个 TCP AC府的 合法性。如果 合法，再分配 专门的数据区 进行处理未来 的TCP1接。利用 口令猜测 一旦黑客识别要选用难以猜型攻了一台主机而测的口令，比如且发现了基于NetBIOS、Telnet 或 NFS这样的服务的 可利用的用户 帐号，成功的 口令猜测能提 供对机器控 制。词和标点符号 的组合。确保像 NFS NetBIOS 和Telnet这样 可利用的服务 不暴露在公共 范围。如果该服 务支持锁定策 略，就进行锁7E °特洛伊木马特洛伊木马是 一种或是直接 由一个黑客， 或是通过一个 不令人起疑的 用户秘密安装 到目标系统的 程序。一旦安 装成功并取得 管理员权限， 安装此程序的 人就可以直接 避免下载可疑 程序并拒绝执 行，运用网络扫 描软件定期监 视内部主机上 的监听TCP服 务。远程控制目标 系统。缓冲区溢出利用 SafeLib、 tripwire 这样 的程序保护系 统，或者浏览最 新的安全公告 不断更新操作