库存: 常见的网络攻击和防御方法

网络攻击的类型

侦察攻击:

收集网络弱点以进一步攻击网络. 分为扫描攻击和网络监控.

扫描攻击: 端口扫描，主机扫描，漏洞扫描.

网络监视: 主要是指仅通过软件将用户计算机网卡的模式设置为混杂模式，以便通过该网络查看重要的明文信息.

端口扫描:

根据TCP协议规范，当计算机收到TCP连接建立请求消息（TCP SYN）时，将执行以下处理:

1. 如果请求的TCP端口是开放的，则以TCP ACK消息响应并建立TCP连接控制结构（TCB）；

2. 如果请求的TCP端口未打开，它将以一条TCP RST（TCP头中的RST标志设置为1）消息响应，以通知启动计算机该端口未打开.

相应地，如果IP协议栈收到UDP消息，它将执行以下操作:

1. 如果消息的目的端口是开放的，则将UDP消息发送给上层协议UDP进行处理，不响应任何消息（上层协议根据处理结果做出响应的消息除外）；

2. 如果消息的目标端口未打开，则将ICMP不可达消息返回给启动程序，告诉启动程序计算机UDP消息的端口不可达.

使用此原理，攻击者计算机可以通过发送适当的数据包来确定目标计算机的哪些TC或UDP端口已打开.

过程如下:

1. 发送端口号从0开始递增的TCP SYN或UDP数据包（端口号是16位数字，因此最大值为65535，该数字非常有限）；

2. 如果收到此TCP消息的RST消息，或此UDP消息的ICMP不可达消息，则表示该端口未打开；

3. 相反，如果接收到此TCP SYN消息的ACK消息，或未接收到UDP消息的ICMP消息，则意味着TCP端口处于打开状态，并且UDP端口可能处于打开状态（因为某些实现可能不响应ICMP无法到达的数据包，即使UDP端口未打开也是如此.

如果继续这种方式，则可以轻松确定目标计算机打开了哪些TCP或UDP端口，然后对端口的特定数量进行下一次攻击. 这就是所谓的端口扫描攻击.

主机扫描使用ICMP原理搜索网络上尚存的主机.

脚印

攻击者通常使用whois，Finger和DNS，LDAP和其他协议等工具预先收集有关目标的信息，以获得有关目标的一些信息，例如域名，IP地址，网络拓扑，相关的用户信息等等. 这通常是入侵入侵之前的第一步.

扫描攻击

扫描攻击包括地址扫描和端口扫描等. 通常，使用ping命令和各种端口扫描工具来获取目标计算机的一些有用信息，例如在计算机上打开了哪些端口，以便您知道哪些服务是开放的，所以为进一步入侵打下基础.

协议指纹

黑客将探测包发送到目标主机，因为不同操作系统制造商的IP协议栈的实现之间存在许多细微的差异（也就是说，当每个制造商编写自己的TCP / IP协议栈时，通常会有特定的RFC指南进行不同的解释），因此每个操作系统都有自己独特的响应方法，黑客通常可以确定目标主机上运行的操作系统.

经常使用的一些协议栈指纹包括: TTL值，TCP窗口大小，DF标志，TOS，IP碎片处理，ICMP处理，TCP选项处理等.

信息流监控

这是共享LAN环境中最常用的方法.

由于数据包通过共享媒体网络上的每个网络节点，因此网卡通常只接受发送到本地地址或本地所位于的广播（或多播）地址的数据包. 如果网卡设置为混杂模式电子邮件是，则网卡将接受所有通过的数据包.

基于此原理，黑客使用称为sniffer的嗅探器设备（可以是软件也可以是硬件）来监视网络的信息流，以获取感兴趣的内容，例如密码和其他秘密信息.

访问攻击

密码攻击: 蛮力密码猜测，木马程序，数据包嗅探等. 中间人攻击: 拦截数据，数据内容，向会话引入新信息，并利用会话劫持TCP协议的不足. 建立合法的通信连接后，攻击者可以通过阻止或破坏通信的一方来接管. 通过身份验证建立的连接，以伪造接收方并与另一方通信.

拒绝服务攻击

发出大量合理的服务请求以占用过多的服务资源，从而使合法用户无法获得服务响应.

从前两点开始，为了保护系统免受DoS攻击，网络管理员必须积极，谨慎地维护整个系统，以确保没有安全风险和漏洞；

针对第4点和第5点的恶意攻击需要安装防火墙和其他安全设备来过滤DoS攻击. 同时，强烈建议网络管理员定期检查安全设备的日志，以及时发现对系统的安全威胁.

常见的拒绝服务攻击行为特征和防御方法

拒绝服务攻击是最常见的网络攻击类型.

在这种攻击原理下，它衍生了许多不同的攻击方法.

正确理解了这些不同的拒绝攻击方法，您可以以正确而系统的方式为您自己的企业部署完整的安全保护系统.

入侵检测的最基本方法是使用模式匹配来发现入侵攻击.

要有效地进行反攻击，首先必须了解入侵的原理和工作机制. 只有这样，我们才能彼此了解，才能有效地防止入侵攻击的发生.

以下是对几种典型的拒绝服务攻击原理的简要分析，并提出了相应的对策.

Ping死亡攻击

由于在早期阶段，路由器对最大数据包大小有限制，因此许多操作系统TCP / IP堆栈都规定ICMP数据包的大小限制为64KB.

读取ICMP数据包的标头后，将根据标头中包含的信息为有效负载生成一个缓冲区.

ICMP数据包的大小超过64KB时，将发生内存分配错误，导致TCP / IP堆栈崩溃，从而导致收件人的计算机崩溃.

这是“死亡之网”攻击的原理.

根据这种攻击原理，黑客只需要通过Ping命令连续向攻击目标发送超过64KB的数据包，这可能会使目标计算机的TCP / IP堆栈崩溃，从而导致收件人崩溃.

防御方法:

所有标准的TCP / IP协议现在都具有处理大于64KB的数据包的功能，大多数防火墙可以通过分析数据包中的信息和时间间隔来自动过滤这些攻击.

诸如Windows 98，Windows NT 4.0（SP3之后），Windows 2000 / XP / Server 2003，Linux，Solaris和Mac OS等系统具有抵抗一般的“ Ping of death”拒绝服务攻击的能力.

此外，配置防火墙以阻止ICMP和任何未知协议数据包也可以防止此类攻击.

泪珠攻击

对于某些大型IP数据包，需要对其进行拆分和传输，以满足链路层MTU（最大传输单元）的要求.

例如，当在MTU为2000的链路上传输6000字节的IP数据包时，需要将其分为三个IP数据包.

IP标头中有一个偏移量字段和一个分离标志（MF）.

如果MF标志设置为1，则此IP数据包是大IP数据包的片段，其中offset字段指示此片段在整个IP数据包中的位置.

例如，如果一个6000字节的IP数据包被拆分（MTU为2000），则三个片段中的offset字段的值为: 0、2000和4000.

这样，接收端接收到所有IP数据包后，可以根据该信息重新组合不正确的值，以使接收端在接收到拆分后的数据包后无法跟随数据包中的offset字段. 该值与这些拆分数据包正确地重合，但是接收端将继续尝试，这可能导致目标计算操作系统由于资源耗尽而崩溃.

泪珠攻击使用TCP / IP堆栈实现中受信任IP片段中数据包的标头中包含的信息来实施自己的攻击. <​​/ p>

IP段包含指示该段包含原始数据包的哪个段的信息. 某些操作系统（例如SP4之前的Windows NT 4.0）在TCP / IP接收到伪造的段时包含重叠的偏移量，它将在某些时候崩溃，但是新的操作系统基本上能够抵御此类攻击.

防御方法:

请尽可能使用最新的操作系统，或在防火墙上设置段重组功能. 防火墙首先接收同一原始数据包中的所有拆分数据包，然后完成重组工作，而不是直接转发.

因为当出现重叠字段时，您可以在防火墙上设置规则.

TCP SYN Flood（TCP SYN Flood）攻击

TCP / IP堆栈只能等待有限数量的ACK（确认）消息，因为每台计算机用于创建TCP / IP连接的内存缓冲区非常有限.

如果此缓冲区中充满了等待响应的初始信息，则计算机将停止对后续连接的响应，直到缓冲区中的连接超时.

TCP SYN Flood攻击利用此系统漏洞进行了攻击.

攻击者使用虚假IP地址向目标发出多个连接（SYN）请求.

目标系统在收到请求后发送确认消息，并等待答案.

由于黑客发送的IP地址是伪造的，因此确认消息将不会到达任何计算机. 当然，没有计算机会响应此确认消息.

但是，目标计算机系统在接收到响应之前不会主动放弃，并将继续将相应的连接信息保留在缓冲区中并等待.

当达到一定数量的等待连接时，缓冲区的内存资源已用尽，因此开始拒绝接受任何其他连接请求，当然包括属于普通应用程序的请求. 这是黑客的最终目标.

防御方法:

过滤来自防火墙上同一主机的后续连接.

但是，“ SYN Flood攻击”仍然非常令人担忧. 由于此类攻击不寻求响应，因此无法通过简单的高容量传输来识别它们.

防火墙手册中详细介绍了防火墙抵抗TCP SYN泛洪攻击的方法.

土地攻击

在这种类型的攻击中，数据包的源地址和目标地址相同. 当操作系统接收到此类数据包时，它不知道要做什么，或者它在循环中发送和接收数据包，这会消耗大量的系统资源，从而可能导致系统崩溃或崩溃.

防御方法:

这种攻击的检测方法相对容易，因为它可以直接确定网络包的源地址和目标地址是否相同，是否属于攻击行为.

当然电子邮件是，防攻击方法是正确配置防火墙设备或包过滤路由器的包过滤规则.

审核此攻击并记录事件发生的时间，源主机和目标主机的MAC地址和IP地址，从而可以有效地分析和跟踪攻击者的来源.

蓝精灵攻击

这是一种以滑稽的卡通人物命名的拒绝服务攻击.

蓝精灵攻击利用了大多数路由器将请求同时广播到多台计算机的能力.

攻击者伪造了一个合法的IP地址，然后网络上的所有路由器都广播了一个请求，以答复被攻击的计算机地址.

由于这些数据包似乎是来自已知地址的合法请求，因此网络上的所有系统都会对此地址进行响应，最终结果可能导致网络上的所有主机都对此ICMP响应请求做出响应. 它导致网络拥塞，已达到黑客追求的目标.

此蓝精灵攻击比之前引入的“死亡之屏”洪水高出一到两个数量级，并且更容易成功地进行攻击.

也有一些新的蓝精灵攻击将源地址更改为第三方的受害者（不再使用伪装的IP地址），最终导致了第三方的雪崩.

防御方法:

关闭外部路由器或防火墙的广播地址功能，并在防火墙上设置规则以丢弃ICMP协议类型的数据包.

脆弱的攻击

Fraggle攻击仅使用UDP协议响应消息而不是ICMP协议对Smurf攻击进行了简单的修改（因为黑客知道UDP协议不太可能被用户完全禁止）.

同时，Fraggle攻击使用特定端口（通常为端口7，但还有许多其他端口使用其他端口进行Fraggle攻击）. 该攻击基本上类似于蓝精灵攻击，因此不会重复.

防御方法:

关闭外部路由器或防火墙的广播地址功能. 过滤掉防火墙上的UDP数据包，或阻止黑客经常使用的某些端口进入Fraggle攻击.

电子邮件

电子邮件是最古老的匿名攻击之一. 可以通过将计算机设置为连续发送大量电子邮件到同一地址来实现. 此类攻击可能会耗尽电子邮件收件人网络的带宽资源.

防御方法:

为电子邮件地址配置过滤规则，以自动删除来自同一主机的过多或重复的邮件.

虚拟终端（VTY）耗尽攻击

这是对网络设备的攻击，例如路由器和交换机.

为了便于远程管理，这些网络设备通常会设置一些TELNET用户界面，即用户可以通过TELNET访问该设备来管理这些设备.

通常，这些设备的TELNET用户界面数量有限. 例如5或10等.

通过这种方式，如果攻击者同时在同一网络设备上建立5或10个TELNET连接.

这些设备的远程管理界面已占用，因此，如果合法用户远程管理这些设备，则由于TELNET连接资源被占用而将失败.

ICMP洪水

在通常情况下，为了诊断网络，某些诊断过程（例如PING）将发送ICMP ECHO响应消息（ICMP ECHO）. 接收到ICMP ECHO后，接收方计算机将以ICMP ECHO回复消息作为响应.

此过程需要CPU处理，在某些情况下可能会消耗大量资源.

例如，在处理分片时. 这样，如果攻击者向目标计算机发送大量ICMP ECHO消息（发生ICMP泛洪），则目标计算机将忙于处理这些ECHO消息，并且无法继续处理其他网络数据包. DOS）.

WinNuke攻击

NetBIOS作为基本的网络资源访问接口，已广泛用于文件共享，打印共享，进程间通信（IPC）和不同操作系统之间的数据交换.

通常，NetBIOS在LLC2链接协议上运行，并且是基于多播的网络访问接口.

为了在TCP / IP协议栈上实现NetBIOS，RFC指定了一系列交互标准以及几个常用的TCP / UDP端口:

139: NetBIOS会话服务的TCP端口；

137: NetBIOS名称服务的UDP端口；

136: NetBIOS数据报服务的UDP端口.

早期版本的WINDOWS操作系统（WIN95 / 98 / NT）的网络服务（文件共享等）全部基于NetBIOS构建.

因此，这些操作系统已打开端口139（最新版本的WINDOWS 2000 / XP / 2003等，出于兼容性考虑，还实现了TCP / IP功能上的NetBIOS，并打开了端口139）.

WinNuke攻击利用WINDOWS操作系统中的一个漏洞将一些带外（OOB）数据包发送到139端口.

但是，这些攻击数据包与普通OOB数据包之间的区别在于指针字段与数据的实际位置不匹配，也就是说，这是巧合，因此WINDOWS操作系统在处理时会崩溃这些数据.

IP数据包碎片攻击

为了传输大的IP消息，IP协议栈需要根据链接接口的MTU对IP消息进行分段. 通过在适当的IP标头中填写分段指示字段，接收方计算机可以轻松地组合这些IP分段消息.

当目标计算机处理这些碎片消息时，它将缓存第一个碎片消息，然后等待后续的碎片消息.

此过程会占用部分内存和IP协议栈的某些数据结构.

如果攻击者仅向目标计算机发送一条碎片消息，而不是发送所有碎片消息，则攻击者计算机将始终等待（直到内部计时器到期）.

如果攻击者发送了很多分段的数据包，则目标计算机的资源将被消耗，这将导致相应的普通IP数据包失败. 这也是DOS攻击.

泪珠

分段攻击. 使用重组错误，目标系统会因重叠各个段而崩溃或挂起.

欢迎关注我的头条新闻，交换私人消息并了解更多网络技术！​​

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-216647-1.html