攻击名称 | 攻击原理 | |
Syn Flood攻击 | TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包,其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应,并等待连接已建立的确认信息。但由于该 IP 地址是伪造的,服务器无法等到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用户的 TCP 连接请求。 | |
Ack Flood攻击 | TCP报文标志位为ACK标志的攻击 | |
SYN+ACK Flood攻击 | TCP报文标志位为SYN和ACK标志的攻击 | |
连接耗尽攻击 | 攻击主机与被攻击主机建立完整的三次握手建立起tcp空连接后,并不进行数据传送,目的在于耗尽服务器的连接资源。 | |
DNS Flood攻击 | 采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查是否有对应的缓存,如果查不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。 | |
TCP无标记攻击 | 正常数据包中,至少包含SYN、FIN、ACK、RST四个标记中的一个,不同的OS对不包含这四个标记中任何一个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。 | |
圣诞树攻击 | 正常数据包中,不会同时包含SYN、FIN、ACK、RST四个标记,不同的OS对包含全部四个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。 | |
SYN&FIN位设置攻击 | 正常数据包中,不会同时设置TCP Flags中的SYN和FIN标志,因为SYN标志用于发起TCP连接,而FIN标志用于结束TCP连接。不同的OS对同时包含SYN和FIN标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。 | |
抗无确认FIN攻击 | 正常数据包中,包含FIN标志的TCP数据包同时包含ACK标志。不同的OS对包含FIN标志但不包含ACK标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS类型,为后续攻击做准备。 | |
ICMP Flood攻击 | 当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。 | |
UDP flood攻击 | 与ICMP 泛滥相似。攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求,就发生了UDP 泛滥。 | |
ARP flood攻击等 | 通过发送大量ARP应答报文,导致网关、主机ARP表项占满、原有正常ARP表项被替换。 | |
Ping of death攻击 | TCP/IP 规范要求用于数据包传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。当攻击者发送超长的 ICMP 包时会引发一系列负面的系统反应,早期的操作系统可能因为缓冲区溢出而宕机,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。 | |
Land攻击 | “陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻击者发送含有受害方IP 地址的欺骗性SYN 包,将其作为目的和源IP 地址时,就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导致DoS。攻击者发送特殊的 SYN 包,其中源 IP 地址、源端口和目的 IP 地址、目的端口指向同一主机,早期的操作系统收到这样的 SYN 包时可能会当机。 | |
Teardrop攻击 | 数据包通过不同的网络时,有时必须根据网络的最大传输单位(MTU) 将数据包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的数据包重新组合代码中的漏洞,通过IP 碎片进行攻击。Teardrop是利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞进行的攻击,受影响的系统包括Windows 3.1/95/NT以及Linux 2.1.63之前的版本,其结果是直接导致系统崩溃,Windows系统则表现为典型的蓝屏症状。这一问题存在的直接原因在于:当目标系统收到这些封包时,一些操作系统的TCP/IP协议栈的实现中,对接收到的IP分片进行重组时,没有考虑到一种特殊的分片重叠,导致系统非法操作。 | |
Smurf攻击等 | 攻击者伪装成被攻击主机向广播地址发送ICMP包(以PING包为主),这样被攻击主机就可能收到大量主机的回应,攻击者只需要发送少量攻击包,被攻击主机就会被淹没在ICMP回应包中,无法响应正常的网络请求。 | |
ARP spoof攻击 | ARP协议通过IP查对应的MAC地址,IP是逻辑地址,MAC是网络设备的物理地址,只有到真正的地址(物理地址),才能进行数据传输。 ARP通过发送ARP广播包通知别的主机某个IP对应的MAC,如果发送的信息包含有意的不正确IP与MAC地址对应关系,则会影响接收方对网络地址识别的正确性,这就是ARP欺骗,ARP欺骗使数据发送到错误的地点,造成的后果是数据被窃听或劫持。 | |
Fraggle | 是一个Smurf的变种,它改为发送UDP回响请求包(UDP echo,而非Ping消息)。攻击原理和Smurf一致。 | |
IP 流攻击 | IP包头信息有一个选项,目前已经废除,因此数据包中出项这个选项则很可能是攻击行为。 | |
IP 安全选项攻击 | IP包头信息有一个选项,目前已经废除,因此数据包中出现这个选项则很可能是攻击行为。 | |
IP 记录路由攻击 | IP包头信息有一个选项,攻击者可利用这个选项收集被攻击主机周围的网络拓扑等信息,为后续攻击做准备。 | |
松散源路由攻击 | IP包头信息有一个选项,其中包含的路由信息可指定与包头源路由不同的源路由。”松散源路由选项”可允许攻击者以假的IP地址进入网络,并将数据送回其真正的地址。 | |
IP 时间戳攻击 | IP包头信息有一个选项,攻击者可利用这个选项收集被攻击主机周围的网络拓扑等信息,为后续攻击做准备。 | |
严格源路由攻击 | IP包头信息有一个选项,其中包含的路由信息可指定与包头源路由不同的源路由。”严格源路由选项”可允许攻击者以假的IP地址进入网络,并将数据送回其真正的地址。 | |
Ping sweep扫描 | 受到arp攻击ping扫描(也叫做ICMP扫描)是一个基本的网络扫瞄技术,用来决定主机(计算机)和哪一个IP位址映射。虽然一个单个的ping连接将会告诉你一个指定的主计算机是否在网络上存在,由ICMP(因特网控制信息协定)回声组成的ping扫描也可以用来同时发送给多台主机。如果一个给定的位址是活动的,它将会返回一个ICMP回声应答。 | |
WinNuke攻击 | WinNuke 是一种常见的应用程序,其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。这种专门针对Windows 3.1/95/NT的攻击曾经猖獗一时,受攻击的主机可以在片刻间出现蓝屏现象(系统崩溃)。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据,通常发送到NetBIOS 端口(TCP139端口),攻击者只要先跟目标主机的139端口建立连接,继而发送一个带URG标志的带外数据报文,引起NetBIOS 碎片重叠,目标系统即告崩溃。重新启动后,会显示下列信息,指示攻击已经发生: An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally.(00008660。有可能继续正常运行。) Press any key to attempt to continue.(请按任意键尝试继续运行。) Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.(按CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。) Press any key to continue. (按任意键继续。) 原因是系统中某些端口的监听程序不能处理“意外”来临的带外数据,造成严重的非法操作。 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论