常见的网络攻击类型
一旦非正常报文或攻击报文流入内网中,不仅会耗尽您服务器的资源,使服务器无法正常工作,还会影响您的整个网络,引起网络拥塞,以下几种都是网络中最常见、最普遍使用的攻击手段。
类型 | 简单介绍 | 防御 | |
Flood防护 | SYN Flood (SYN洪水) | SYN Flood是一种广为人知的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。攻击者向目标服务器发送海量包含SYN标志的TCP报文,服务器接收到之后会为这些会话预留资源,并等待与攻击者完成TCP三次握手建立链接。而攻击者发送完海量包含SYN标志的TCP报文之后,不再进行下一步操作。导致服务器资源被大量占用无法释放,甚至无法再向正常用户提供服务。 | 在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。 |
ICMP Flood | 拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量ping request的请求报文,服务器需要占用资源回应这些海量的ping报文,导致服务器无法处理正常数据,甚至无法再向正常用户提供服务。 | 防火墙配置 | |
UDP Flood (UDP洪水) | 拒绝服务攻击常用手段之一。不同UDP协议下的应用,差别很大,攻击手法也不大相同。最常见的情况是利用大量UDP小包冲击服务器,导致正常用户无法访问服务器。 | 关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 | |
IP Flood | 拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量的IP报文,服务器需要占用资源回应这些海量的IP报文,导致服务器无法处理正常数据,甚至无法再向正常用户提供服务。 | 对防火墙进行配置 | |
是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送,攻击者能够耗尽接受者网络的带宽。 | 对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。 | ||
扫描/欺骗防护 | IP地址扫描攻击 | 利用扫描软件,发送大量地址请求的广播报文,扫描网络中的地址。 | 对防火墙进行配置 |
端口扫描 | 利用扫描软件,发送大量的端口探测报文,扫描主机上开启的端口,是黑客攻击时最常进行的准备工作。 | 对防火墙进行配置 | |
异常包攻击 | Ping of Death 攻击类型转换(死亡之ping) | 拒绝服务攻击常用手段之一。由于IP数据包的最大长度不能超过65535字节,Ping of Death通过在最后分段中,改变其正确的偏移量和段长度的组合,使系统在接收到全部分段并重组报文时总的长度超过65535字节,导致目标服务器内存溢出,最终死机。 | 现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 |
Teardrop (泪滴) | 拒绝服务攻击常用手段之一。Teardrop是基于UDP的病态分片数据包攻击方法,其工作原理是向被攻击者发送多个分片的IP包,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。 | 服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。 | |
IP选项 | IP报文头部中含有许多选项,这些选项都是为实现某一种功能而准备。攻击者通过精心构造IP报文头部中选项的数值,已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。 | 对防火墙进行配置 | |
TCP异常 | TCP报文头部中含有许多选项,这些选项都是为实现某一种功能而准备。攻击者通过精心构造TCP报文头部中选项的数值,已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。 | 对防火墙进行配置 | |
Smurf | 攻击者向目标服务器发送一个源地址为广播地址的ping echo请求报文,目标服务器应答这个报文时,就会回复给一个广播地址。这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的echo请求报文足够多,产生的replay广播报文就可能把整个网络淹没。除了把echo报文的源地址设置为广播地址外,攻击者还可能把源地址设置为一个子网广播地址,这样,该子网所在的计算机就可能受到影响。 | 为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。 | |
Fraggle | Fraggle攻击是攻击者向广播地址发送UDP报文,目的端口号为7(ECHO)或19(Chargen),报文的源IP地址伪装成目标服务器的IP地址。这样,广播域中所有启用了此功能的计算机都会向服务器发送回应报文,从而产生大量的流量,导致服务器的网络阻塞或受害主机崩溃。 | 在防火墙上过滤掉UDP应答消息 | |
Land | LAND攻击报文是攻击者向目标服务器发送一个源IP地址和目的IP地址都是目标服务器IP的TCP SYN报文,这样目标服务器接收到这个SYN报文后,就会向自己发送一个ACK报文,并建立一个TCP连接控制结构。如果攻击者发送了足够多的SYN报文,则目标服务器的资源可能会耗尽,甚至无法再向正常用户提供服务。 | 打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域) | |
Winnuke | WinNuke攻击利用WINDOWS操作系统的一个漏洞,向NetBIOS使用的139端口发送一些携带TCP带外OOB数据报文,这些攻击报文与正常携带OOB数据报文不同,其指针字段与数据的实际位置不符,即存在重合,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。 | 对防火墙进行配置 | |
Tracert | 攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由设备,其TTL都会减1,当报文的TTL为0时,路由设备会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构。 | 对防火墙进行配置 | |
ICMP Redirection | 利用ICMP重定向技术,对网络进行攻击和网络窃听。如果主机A支持ICMP重定向,那么主机B发送一个ICMP重定向给主机A,以后主机A发出的所有到指定地址的报文都会转发主机B,这样主机B就可以达到窃听目的。windows操作系统会对ICMP报文进行检查,如果这个重定向不是网关发送的,会被直接丢弃。不过伪造一个网关的数据包很容易。如果刻意伪造许多虚假的ICMP重定向报文,主机路由表就可能被改的乱七八糟。 | 对防火墙进行配置 | |
IP Spoofing | IP欺骗,利用IP地址并不是在出厂的时候与MAC固定在一起的,攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的IP地址,进行攻击。IP欺骗的主要三种后果: 1. 瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器 2. 导致中间人攻击 3. 导致DNS欺骗和会话劫持 | 对防火墙进行配置 | |
IP Fragment | 一种基于数据碎片的攻击手段,通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。 对于检测机制不完善的安全设备来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回绕过一些入侵检测系统及一些安全过滤系统。 | 对防火墙进行配置 | |
ICMP Fragment | 基于ICMP 分片的攻击手段,通常情况下,由于各个设备接口限制了MTU的大小,一般为1492或1500字节,而正常的ICMP报文的长度都不会超过1500字节,因此不会被分片。 | 对防火墙进行配置 | |
DNS 异常 | 利用不符合RFC标准规定的DNS异常报文进行的攻击。防火墙会放通符合RFC标准的DNS报文,不符合的则丢弃。 | 对防火墙进行配置 | |
ICMP Oversize | ICMP报文长度限制。超过指定长度的ICMP报文会被防火墙丢弃。 | 对防火墙进行配置 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论