檢測攻擊:
收集網絡的弱點來進壹步攻擊網絡。分為掃描攻擊和網絡監控。
掃描攻擊:端口掃描、主機掃描、漏洞掃描。
網絡監聽:主要是指僅通過軟件將用戶電腦網卡的模式設置為混雜模式,從而通過該網絡查看重要明文信息。
端口掃描:
根據TCP協議規範,當計算機接收到TCP連接建立請求消息(TCP SYN)時,它進行以下處理:
1.如果所請求的TCP端口是開放的,則響應TCP ACK消息並建立TCP連接控制結構(TCB);
2.如果請求的TCP端口沒有打開,響應TCP RST消息(TCP報頭中的RST標誌設置為1 ),並告訴發起計算機該端口沒有打開。
相應地,如果IP協議棧接收到UDP消息,請執行以下操作:
1.如果報文的目的端口開放,則將UDP報文發送給上層協議(UDP)處理,不響應任何報文(上層協議根據處理結果響應的報文除外);
2.如果消息的目的端口沒有打開,用ICMP不可到達消息響應發起程序,並告訴發起程序計算機UDP消息的端口不可到達。
利用這壹原理,攻擊者的計算機可以通過發送適當的消息來確定目標計算機的哪些TC或UDP端口是打開的。
流程如下:
1.發送端口號從0開始遞增的TCP SYN或UDP報文(端口號是16位的數,所以最大為65535,數量非常有限);
2.如果收到該TCP報文的RST報文或該UDP報文的ICMP不可達報文,說明該端口沒有打開;
3.相反,如果收到這個TCP SYN消息的ACK消息,或者沒有收到這個UDP消息的任何ICMP消息,則意味著TCP端口是打開的,UDP端口可能是打開的(因為有些實現可能不會響應ICMP不可達消息,即使UDP端口沒有打開)。
這樣下去,就很容易判斷出目標計算機打開了哪些TCP或UDP端口,然後根據端口的具體數量進行下壹次攻擊,這就是所謂的端口掃描攻擊。
主機掃描是利用ICMP原理搜索網絡上幸存的主機。
網絡足跡
攻擊者提前收集目標的信息,通常使用whois、Finger等工具和DNS、LDAP等協議獲取目標的壹些信息,如域名、IP地址、網絡拓撲和相關用戶信息,這往往是黑客攻擊前的第壹步。
掃描攻擊
掃描攻擊包括地址掃描和端口掃描等。通常使用ping命令和各種端口掃描工具來獲取目標計算機的壹些有用信息,比如機器上開了哪些端口,從而知道開了哪些服務,從而為進壹步入侵打下基礎。
協議指紋
黑客向目標主機發送探測數據包。由於不同操作系統廠商的IP協議棧實現存在很多細微的差異(也就是說,每個廠商在編寫自己的TCP/IP協議棧時,通常會對具體的RFC準則做出不同的解讀),每個操作系統都有自己獨特的響應方式,黑客往往可以確定目標主機運行的操作系統。
壹些常用的協議棧指紋包括TTL值、TCP窗口大小、DF標誌、TOS、IP分片處理、ICMP處理、TCP選項處理等。
信息流監控
這是* * *局域網環境下最常用的方法。
因為數據包會通過有介質的網絡上的各個網絡節點,所以網卡只會接受發送到本地地址或者本地計算機所在的廣播(或組播)地址的數據包,但是如果網卡設置為混雜模式,網卡會接受所有通過的數據包。
基於這壹原理,黑客可以通過使用壹種叫做sniffer的嗅探設備來監控網絡的信息流,嗅探設備可以是軟件,也可以是硬件,從而獲取他們感興趣的內容,比如密碼等秘密信息。
訪問攻擊
密碼攻擊:密碼暴力猜測、木馬程序、數據包嗅探等。中間人攻擊:截取數據,竊聽數據內容,並在會話中引入新信息。會話劫持利用了TCP協議本身的缺點。建立合法的通信連接後,攻擊者可以通過阻塞或破壞通信方來接管經過身份驗證的連接,從而冒充被接管方與另壹方進行通信。
拒絕服務攻擊
偽裝大量合理的服務請求占用過多的服務資源,使合法用戶得不到服務響應。
要防止系統受到DoS攻擊,從前兩點出發,網絡管理員要積極謹慎地維護整個系統,確保不存在安全隱患和漏洞;
但對於第四點和第五點中的惡意攻擊,需要安裝防火墻等安全設備來過濾DoS攻擊。同時,強烈建議網絡管理員定期查看安全設備的日誌,及時發現威脅系統的行為。
常見拒絕服務攻擊的特征及防禦方法
拒絕服務攻擊是最常見的網絡攻擊類型。
在這種攻擊原理下,衍生出了許多不同的攻擊方法。
正確理解這些不同的拒絕攻擊方法,可以幫助我們正確、系統地為自己的企業部署完善的安全防護體系。
入侵檢測最基本的手段是通過模式匹配來發現入侵攻擊。
為了有效的進行反擊,首先要了解入侵的原理和工作機制,只有這樣才能做到知己知彼,從而有效的預防入侵攻擊的發生。
下面我們簡要分析幾種典型的拒絕服務攻擊原理,並提出相應的對策。
平(死亡攻擊的平。
因為在前期,路由器對最大數據包大小有限制,很多操作系統TCP/IP棧都規定ICMP數據包的大小限制在64KB。
在讀取互聯網控制消息協議的報頭之後,根據報頭中包含的信息為有效載荷生成緩沖區。
當壹個ICMP包的大小超過64KB時,就會出現內存分配錯誤,導致TCP/IP棧崩潰,從而使接收方的計算機宕機。
這就是死亡攻擊的原理。
根據這種攻擊原理,黑客可以通過Ping命令不斷向目標發送超過64KB的數據包,從而使目標計算機的TCP/IP協議棧崩潰,導致接收方停機。
防禦方法:
目前,所有標準的TCP/IP協議都具有處理大於64KB數據包的能力,大多數防火墻可以通過分析數據包中的信息和時間間隔來自動過濾這些攻擊。
Windows 98、Windows NT 4.0(SP3之後)、Windows 2000/XP/Server 2003、Linux、Solaris和Mac OS都有能力抵禦壹般的“Ping of death”拒絕服務攻擊。
此外,將防火墻配置為阻止ICMP和任何未知協議數據包可以防止此類攻擊。
淚滴攻擊
對於壹些大的IP包,往往需要拆分傳輸,這是為了滿足鏈路層MTU(最大傳輸單位)的要求。
例如,當壹個6000字節的IP數據包在MTU為2000的鏈路上傳輸時,它需要分成三個IP數據包。
IP報頭中有壹個偏移字段和壹個分割標誌(MF)。
如果MF標誌被設置為1,則IP分組是大IP分組的片段,並且偏移字段指示該片段在整個IP分組中的位置。
例如,如果拆分壹個6000字節的IP包(MTU為2000),三個片段中的offset字段的值依次為0、2000和4000。
這樣,接收方在接收到所有的IP包後,就可以根據這些信息重新組合不正確的值,這樣接收方在接收到這些拆分後的包後,就無法根據包中的偏移字段值正確地疊加這些拆分後的包,而是會不斷嘗試,這就有可能導致目標計算操作系統因資源耗盡而崩潰。
Teardrop攻擊通過修改TCP/IP棧實現中信任IP片段中數據包報頭所包含的信息來實現自己的攻擊。
IP段包含指示它包含原始包的哪個段的信息。部分操作系統(如SP4之前的Windows NT 4.0)的TCP/IP在接收到有重疊offset的偽造段時會崩潰,但新的操作系統基本可以自行抵禦這種攻擊。
防禦方法:
盡可能使用最新的操作系統,或者在防火墻上設置分段重組功能,讓防火墻先接收同壹原始包中的所有分片包,再完成重組工作,而不是直接轉發。
因為防火墻可以在出現重疊字段時設置規則。
TCP SYN洪水攻擊。
TCP/IP堆棧只能等待有限數量的ack消息,因為每臺計算機用來創建TCP/IP連接的內存緩沖區非常有限。
如果這個緩沖區充滿了等待響應的初始信息,計算機將停止響應下壹個連接,直到緩沖區中的連接超時。
TCP SYN flood攻擊就是利用這個系統漏洞來實施攻擊。
攻擊者使用偽造的IP地址向目標發出多個連接(SYN)請求。
收到請求後,目標系統會發送壹條確認消息,並等待答復。
因為黑客發來請示的IP地址是偽造的,所以確認消息不會到達任何壹臺電腦,當然也不會有電腦回復這條確認消息。
在收到回復之前,目標計算機系統不會主動放棄,會繼續在緩沖區中保存相應的連接信息並等待。
當達到壹定數量的等待連接時,緩沖區中的內存資源被耗盡,從而緩沖區開始拒絕接收任何其他連接請求,包括那些原本屬於正常應用的請求,這是黑客的最終目的。
防禦方法:
在防火墻上過濾來自同壹主機的後續連接。
但是“SYN flood攻擊”還是很令人擔憂,因為這類攻擊不尋求響應,所以無法從簡單的大容量傳輸中識別出來。
防火墻抵禦TCP SYN flood攻擊的具體方法在防火墻用戶手冊中有詳細介紹。
陸地攻擊
這種攻擊中數據包的源地址和目標地址是相同的。當操作系統收到這類數據包時,不知道該怎麽辦,或者循環收發數據包,消耗大量系統資源,可能造成系統崩潰或死機。
防禦方法:
這種攻擊的檢測方法比較容易,因為可以直接判斷網絡數據包的源地址和目標地址是否相同,是否是攻擊。
當然,反攻擊的方法是正確配置防火墻設備或包過濾路由器的包過濾規則。
並對這類攻擊進行審計,記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址,從而有效地分析和跟蹤攻擊者的來源。
Smurf攻擊
這是壹種以有趣的卡通人物命名的拒絕服務攻擊。
Smurf攻擊利用了大多數路由器同時向多臺計算機廣播請求的功能。
攻擊者偽造了壹個合法的IP地址,然後網絡上的所有路由器都會廣播壹個請求,要求得到被攻擊計算機地址的答案。
由於這些數據包看起來是來自壹個已知地址的合法請求,網絡中的所有系統都回復這個地址,最終的結果可能導致網絡中的所有主機都回復這個ICMP回復請求,造成網絡擁塞,達到了黑客所追求的目的。
這種藍精靈攻擊比上面說的“死亡之平”洪水高壹兩個數量級,更容易攻擊成功。
還有壹些新的Smurf攻擊,將源地址改為第三方的受害者(不再使用偽裝的IP地址),最終導致第三方的雪崩。
防禦方法:
關閉外部路由器或防火墻的廣播地址功能,並在防火墻上設置規則以丟棄ICMP協議類型的數據包。
脆弱攻擊
Fraggle攻擊只是對Smurf攻擊做了壹個簡單的修改,用UDP協議回復消息代替ICMP協議(因為黑客知道UDP協議更難被用戶完全禁止)。
同時,Fraggle攻擊使用特定的端口(通常是端口7,但也有很多其他端口實現Fraggle攻擊),攻擊方式基本類似於Smurf攻擊,在此不再贅述。
防禦方法:
關閉外部路由器或防火墻的廣播地址功能。在防火墻上過濾UDP包,或者屏蔽壹些黑客經常用來攻擊Fraggle的端口。
電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之壹,它可以通過設置計算機向同壹地址連續發送大量電子郵件來實現。這種攻擊會耗盡郵件接收者網絡的帶寬資源。
防禦方法:
為電子郵件地址配置過濾規則,並自動刪除來自同壹主機的過多或重復郵件。
虛擬終端(VTY)耗盡攻擊
這是針對路由器和交換機等網絡設備的攻擊。
為了方便對這些網絡設備進行遠程管理,壹般會設置壹些TELNET用戶界面,即用戶可以TELNET到設備,管理這些設備。
壹般來說,這些設備的TELNET用戶界面的數量是有限的。比如5或者10等等。
這樣,如果攻擊者同時建立5個或10個TELNET連接到同壹個網絡設備。
這些設備的遠程管理接口被占用,這樣如果合法用戶再遠程管理這些設備,就會因為TELNET連接資源被占用而失敗。
ICMP洪水
正常情況下,為了診斷網絡,壹些診斷程序,如PING,會發出ICMP ECHO請求消息。收到ICMP回應後,接收計算機將響應ICMP回應回復消息。
這個過程需要CPU處理,在某些情況下可能會消耗大量資源。
例如在處理碎片化時。這樣,如果攻擊者向目標計算機發送大量ICMP ECHO消息(導致ICMP泛濫),目標計算機將忙於處理這些ECHO消息,無法繼續處理其他網絡數據消息,這也是壹種拒絕服務攻擊(DOS)。
溫努克攻擊
NetBIOS作為壹種基本的網絡資源訪問接口,廣泛應用於文件共享、打印共享、IPC(進程間通信)以及不同操作系統之間的數據交換。
壹般來說,NetBIOS運行在LLC2 link協議上,是基於組播的網絡訪問接口。
為了在TCP/IP協議棧上實現NetBIOS,RFC規定了壹系列交互標準和幾個常用的TCP/UDP端口:
139:NetBIOS會話服務的TCP端口;
137:NetBIOS名稱服務的UDP端口;
136:NetBIOS數據報服務的UDP端口。
網絡服務(文件共享等。)早期版本的WINDOWS操作系統(WIN95/98/NT)都是基於NetBIOS的。
所以這些操作系統都開放了139的端口(最新版本的WINDOWS 2000/XP/2003等。,為了兼容,還實現了NetBIOS over TCP/IP功能,開放了139的端口)。
WinNuke攻擊利用了WINDOWS操作系統中的壹個漏洞,將壹些帶有TCP帶外(OOB)數據的數據包發送到這個139端口。
但是,這些攻擊消息與正常攜帶OOB數據的消息不同,因為它們的指針字段與數據的實際位置不壹致,即存在重疊,以至於WINDOWS操作系統在處理這些數據時會崩潰。
碎片化IP消息攻擊
為了傳輸大型IP消息,IP協議棧需要根據鏈路接口的MTU對IP消息進行分段。通過在適當的IP報頭中填充片段指示字段,接收計算機可以容易地組裝這些IP片段消息。
當目標計算機處理這些碎片消息時,它將緩存第壹個碎片消息,然後等待後續的碎片消息。
這個過程會消耗壹些內存和IP協議棧的壹些數據結構。
如果攻擊者只向目標計算機發送壹個片段消息,而不是所有的片段,攻擊者的計算機將等待(直到內部計時器超時)。
如果攻擊者發送大量碎片化的報文,會消耗目標計算機的資源,導致相應的正常IP報文失效,這也是壹種DOS攻擊。
T
分段攻擊。利用重組錯誤,目標系統通過重疊每個段而崩潰或掛起。
歡迎關註我的頭條號,私信交流,學習更多網絡技術!