常见网络攻击方法简介

只要看看房东的收藏

系统已将涉嫌违反此楼层的行为

TCP SYN拒绝服务攻击

通常，建立TCP连接需要三步握手过程，即:

1. 建立发起方将TCP SYN消息发送到目标计算机；

系统已将涉嫌违反此楼层的行为

2. 目标计算机收到SYN消息后，在内存中创建一个TCP连接控制块（TCB），然后将TCP ACK消息发送回启动器，等待启动器的响应；

系统已将涉嫌违反此楼层的行为

3. 启动器收到TCP ACK消息后，会以ACK消息进行响应，从而建立TCP连接.

使用此过程，一些恶意攻击者可以进行所谓的TCP SYN拒绝服务攻击:

1. 攻击者向目标计算机发送TCP SYN消息；

系统已将涉嫌违反此楼层的行为

2. 收到此消息后，目标计算机将建立一个TCP连接控制结构（TCB）并以ACK进行响应，以等待启动程序的响应；

3. 启动器不会用ACK消息响应目标计算机，这会导致目标计算机始终处于等待状态.

系统已将涉嫌违反此楼层的行为

可以看出，如果目标计算机接收到大量TCP SYN消息，但没有收到来自启动器的第三次ACK响应，它将始终等待. 如果有许多处于这种尴尬状态的半连接，将以计算机资源（TCB控制结构，TCB，通常受限制）已用尽，并且无法响应正常的TCP连接请求.

系统已将涉嫌违反此楼层的行为

第二次ICMP泛滥

在正常情况下，为了诊断网络，某些诊断过程（例如PING）将发送ICMP ECHO响应消息（ICMP ECHO）. 接收到ICMP ECHO后，接收方计算机将以ICMP ECHO回复消息作为响应.

系统已将涉嫌违反此楼层的行为

IP数据包碎片攻击

为了传输大的IP消息，IP协议栈需要根据链接接口的MTU对IP消息进行分段. 通过在适当的IP标头中填写分段指示字段，接收方计算机可以轻松地组合这些IP分段消息.

系统已将涉嫌违反此楼层的行为

在TCP数据包的标头中，有几个标志字段:

1，SYN: 连接建立标志，TCP SYN数据包将该标志设置为1，请求建立连接；

系统已将涉嫌违反此楼层的行为

2. ACK: 响应标志. 在TCP连接中，除了第一个数据包（TCP SYN）以外，所有数据包都将此字段设置为对前一个数据包的响应；

系统已将涉嫌违反此楼层的行为

3. FIN: 结束标志. 当计算机收到设置了FIN标志的TCP数据包时，它将断开TCP连接；

4. RST: 复位标志，当IP协议栈接收到目标端口上不存在的TCP数据包时，将响应由RST标志设置的数据包；

系统已将涉嫌违反此楼层的行为

5. PSH: 通知协议栈将TCP数据尽快提交给上层程序进行处理.

在通常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）不能同时出现在TCP消息中. 此外，RFC没有指定IP协议栈如何处理此类格式错误的消息.

系统已将涉嫌违反此楼层的行为

因此，每个操作系统的协议栈在接收到这样的消息后都会进行不同的处理. 攻击者可以通过同时发送由SYN和FIN设置的消息来使用此功能来确定操作系统的类型. ，然后对操作系统进行进一步的攻击. <​​/ p>

系统已将涉嫌违反此楼层的行为

未设置任何标志的TCP数据包攻击

在正常情况下，任何TCP消息将设置SYN，FIN，ACK，RST，PSH中的至少一个五个符号，第一个TCP消息（TCP连接请求消息）设置SYN标志，后续报告文本设置ACK标记.

系统已将涉嫌违反此楼层的行为

某些协议栈基于这样的假设，即没有设置任何标志的TCP数据包没有处理过程. 因此，如果这样的协议栈收到这样的数据包，则可能会崩溃. 攻击者使用此功能攻击目标计算机.

系统已将涉嫌违反此楼层的行为

IP头中有一个偏移量字段和一个碎片标记（MF）. 如果MF标志设置为1，则IP数据包是大IP数据包的片段，其中offset字段指示该片段在整个IP数据包中的位置. 例如，如果一个4500字节的IP数据包被分段（MTU为1500），则这三个分段中的offset字段的值为0、1500和3000.这样，接收端就可以成功地将根据信息获取IP数据包.

系统已将涉嫌违反此楼层的行为

如果攻击者打破了这种正常情况，并将offset字段设置为不正确的值（可能一致或断开连接），则可能导致目标操作系统崩溃. 例如，将上述偏移设置为0、1300和3000. 这称为泪滴攻击.

系统已将涉嫌违反此楼层的行为

具有源路由选项的IP数据包

为了实现某些附加功能，IP协议规范在IP标头中添加了一个选项字段. 该字段可以可选地携带一些数据，以指示中间设备（路由器）或最终目标计算机执行其他IP数据包. 处理.

系统已将涉嫌违反此楼层的行为

源路由选项就是其中之一. 从名称中可以看到，源路由选项的目的是指示中间设备（路由器）如何转发数据包，即，它清楚地指示了数据包的传输路径.

系统已将涉嫌违反此楼层的行为

例如，如果IP数据包显式通过三个路由器R1，R2和R3，则可以在源路由选项中指定三个路由器的接口地址，这样，无论三个路由器上的路由表如何，该IP数据包将依次通过R1，R2，R3.

系统已将涉嫌违反此楼层的行为

此外，在带有源路由选项的这些IP数据包的传输过程中，它们的源地址继续更改，并且它们的目标地址也继续更改. 因此，通过适当地设置源路由选项，攻击者可以在进入网络时伪造一些合法的IP地址.

系统已将涉嫌违反此楼层的行为

具有记录路由选项的IP数据包

记录路由选项也是IP选项. 当带有此选项的IP数据包通过路由器时，路由器会在选项字段中填充其自己的接口地址.

系统已将涉嫌违反此楼层的行为

通过这种方式，当这些消息到达目的地时，消息所经过的整个路径都记录在选项数据中.

您可以轻松确定数据包经过此类数据包的路径，从而使攻击者可以轻松地找到攻击的弱点.

系统已将涉嫌违反此楼层的行为

协议字段未知的IP数据包

在IP数据包头中，有一个协议字段. 该字段指示IP数据包携带的协议. 例如，如果该字段的值为1，则表示IP报文中携带有ICMP消息. 如果为6，则为TCP，依此类推.

系统已将涉嫌违反此楼层的行为

IP地址欺骗

在通常情况下，转发数据包时，路由器仅根据数据包的目标地址查找路由表常见的网络攻击方式，而不考虑数据包的源地址，因此可能面临危险: 如果攻击者发送了邮件发送到目标计算机，并用第三方的IP地址填充邮件的源地址，以便在邮件到达目标计算机后，目标计算机可以对无意识的第三方计算机做出响应.

系统已将涉嫌违反此楼层的行为

这就是所谓的IP地址欺骗攻击.

更著名的SQL Server蠕虫使用此原理. 该病毒将解析服务的UDP数据包发送到运行SQL Server解析服务的服务器. 数据包的源地址由另一台运行SQL Server解析程序（在SQL Server 2000版本之后）服务器的计算机填充常见的网络攻击方式，由于SQL Server解析服务中的漏洞，这可能导致UDP数据包在两个服务器之间往返，最终导致服务器或网络瘫痪.

系统已将涉嫌违反此楼层的行为

通常，NetBIOS在LLC2链接协议上运行，并且是基于多播的网络访问接口. 为了在TCP / IP协议栈上实现NetBIOS，RFC规定了一系列交互标准以及几个常用的TCP / UDP端口:

139: NetBIOS会话服务的TCP端口；

系统已将涉嫌违反此楼层的行为

137: NetBIOS名称服务的UDP端口；

136: NetBIOS数据报服务的UDP端口.

早期版本的WINDOWS操作系统（WIN95 / 98 / NT）的网络服务（文件共享等）均基于NetBIOS.

系统已将涉嫌违反此楼层的行为

因此，这些操作系统已打开端口139（最新版本的WINDOWS 2000 / XP / 2003等，出于兼容性考虑，还实现了TCP / IP功能上的NetBIOS，打开了端口139）.

系统已将涉嫌违反此楼层的行为

WinNuke攻击使用WINDOWS操作系统中的漏洞将一些带外（OOB）数据包发送到端口139. 但是，这些攻击包和普通OOB数据包之间的区别在于它们的指针该字段与数据的实际位置不匹配，也就是说，这是巧合，因此WINDOWS操作系统在处理这些数据时会崩溃.

系统已将涉嫌违反此楼层的行为

土地攻击

LAND攻击使用TCP连接建立的三向握手过程，并通过向目标计算机发送TCP SYN消息来完成对目标计算机的攻击. 与普通的TCP SYN数据包不同，LAND攻击数据包的源IP地址和目标IP地址是相同的，都是目标计算机的IP地址.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-165333-1.html