2024年3月10日发(作者:)
攻击名称
Syn Flood攻击
攻击原理
TCP 连接是通过三次握手完成的。当网络中
充满了会发出无法完成的连接请求的SYN
封包,以至于网络无法再处理合法的连接请
求,从而导致拒绝服务(DoS) 时,就发生了
SYN 泛滥攻击。攻击者通过不完全的握手过
程消耗服务器的半开连接数目达到拒绝服务
攻击的目的。攻击者向服务器发送含 SYN
包,其中源 IP 地址已被改为伪造的不可达
的 IP 地址。服务器向伪造的 IP 地址发出回
应,并等待连接已建立的确认信息。但由于
该 IP 地址是伪造的,服务器无法等到确认
信息,只有保持半开连接状态直至超时。由
于服务器允许的半开连接数目有限,如果攻
击者发送大量这样的连接请求,服务器的半
开连接资源很快就会消耗完毕,无法再接受
来自正常用户的 TCP 连接请求。
TCP报文标志位为ACK标志的攻击
攻击主机与被攻击主机建立完整的三次握手
建立起tcp空连接后,并不进行数据传送,目
的在于耗尽服务器的连接资源。
采用的方法是向被攻击的服务器发送大量的
域名解析请求,通常请求解析的域名是随机
生成或者是网络世界上根本不存在的域名,
被攻击的DNS 服务器在接收到域名解析请
求的时候首先会在服务器上查找是否有对应
的缓存,如果查找不到并且该域名无法直接
由服务器解析的时候,DNS 服务器会向其上
层DNS服务器递归查询域名信息。域名解析
的过程给服务器带来了很大的负载,每秒钟
域名解析请求超过一定的数量就会造成DNS
服务器解析域名超时。
TCP报文标志位为SYN和ACK标志的攻击
Ack Flood攻击
SYN+ACK Flood攻击
连接耗尽攻击
DNS Flood攻击
TCP无标记攻击 正常数据包中,至少包含SYN、FIN、ACK、
RST四个标记中的一个,不同的OS对不包
含这四个标记中任何一个标志的数据包有不
同处理方法,攻击者可利用这种数据包判断
被攻击主机的OS类型,为后续攻击做准备。
正常数据包中,不会同时包含SYN、FIN、
ACK、RST四个标记,不同的OS对包含全
部四个标志的数据包有不同处理方法,攻击
者可利用这种数据包判断被攻击主机的OS
类型,为后续攻击做准备。
圣诞树攻击
SYN&FIN位设置攻击 正常数据包中,不会同时设置TCP Flags中的
SYN和FIN标志,因为SYN标志用于发起
TCP连接,而FIN标志用于结束TCP连接。
不同的OS对同时包含SYN和FIN标志的数
据包有不同处理方法,攻击者可利用这种数
据包判断被攻击主机的OS类型,为后续攻击
做准备。
正常数据包中,包含FIN标志的TCP数据包
同时包含ACK标志。不同的OS对包含FIN
标志但不包含ACK标志的数据包有不同处
理方法,攻击者可利用这种数据包判断被攻
击主机的OS类型,为后续攻击做准备。
当ICMP ping 产生的大量回应请求超出了系
统的最大限度,以至于系统耗费所有资源来
进行响应直至再也无法处理有效的网络信息
流时,就发生了ICMP 泛滥。
与ICMP 泛滥相似。攻击者向同一 IP 地址
发送大量的 UDP 包使得该 IP 地址无法响
应其它 UDP 请求,就发生了UDP 泛滥。
通过发送大量ARP应答报文,导致网关、主
机ARP表项占满、原有正常ARP表项被替
换。
抗无确认FIN攻击
ICMP Flood攻击
UDP flood攻击
ARP flood攻击等
Ping of death攻击
TCP/IP 规范要求用于数据包传输的封包必
须具有特定的大小。许多ping 实现允许用户
根据需要指定更大的封包大小。当攻击者发
送超长的 ICMP 包时会引发一系列负面的
系统反应,早期的操作系统可能因为缓冲区
溢出而宕机,如拒绝服务(DoS)、系统崩溃、
死机以及重新启动。
“陆地”攻击将SYN 攻击和IP 欺骗结合在
了一起,当攻击者发送含有受害方IP 地址的
欺骗性SYN 包,将其作为目的和源IP 地址
时,就发生了陆地攻击。接收系统通过向自
己发送SYN-ACK 封包来进行响应,同时创
建一个空的连接,该连接将会一直保持到达
到空闲超时值为止。向系统堆积过多的这种
空连接会耗尽系统资源,导致DoS。攻击者
发送特殊的 SYN 包,其中源 IP 地址、源
端口和目的 IP 地址、目的端口指向同一主
机,早期的操作系统收到这样的 SYN 包时
可能会当机。
数据包通过不同的网络时,有时必须根据网
络的最大传输单位(MTU) 将数据包分成更
小的部分(片断)。攻击者可能会利用IP 栈
Land攻击
Teardrop攻击
具体实现的数据包重新组合代码中的漏洞,
通过IP 碎片进行攻击。Teardrop是利用早期
某些操作系统中TCP/IP协议栈对IP分片包
进行重组时的漏洞进行的攻击,受影响的系
统包括Windows 3.1/95/NT以及Linux 2.1.63
之前的版本,其结果是直接导致系统崩溃,
Windows系统则表现为典型的蓝屏症状。这
一问题存在的直接原因在于:当目标系统收
到这些封包时,一些操作系统的TCP/IP协议
栈的实现中,对接收到的IP分片进行重组时,
没有考虑到一种特殊的分片重叠,导致系统
非法操作。
攻击者伪装成被攻击主机向广播地址发送
ICMP包(以PING包为主),这样被攻击主
机就可能收到大量主机的回应,攻击者只需
要发送少量攻击包,被攻击主机就会被淹没
在ICMP回应包中,无法响应正常的网络请
求。
Smurf攻击等
ARP spoof攻击
ARP协议通过IP查找对应的MAC地址,IP
是逻辑地址,MAC是网络设备的物理地址,
只有找到真正的地址(物理地址),才能进行
数据传输。
ARP通过发送ARP广播包通知别的主机某个
IP对应的MAC,如果发送的信息包含有意的
不正确IP与MAC地址对应关系,则会影响
接收方对网络地址识别的正确性,这就是
ARP欺骗,ARP欺骗使数据发送到错误的地
点,造成的后果是数据被窃听或劫持。
是一个Smurf的变种,它改为发送UDP回响
请求包(UDP echo,而非Ping消息)。攻击
原理和Smurf一致。
IP包头信息有一个选项,目前已经废除,因
此数据包中出项这个选项则很可能是攻击行
为。
IP包头信息有一个选项,目前已经废除,因
此数据包中出现这个选项则很可能是攻击行
为。
IP包头信息有一个选项,攻击者可利用这个
选项收集被攻击主机周围的网络拓扑等信
息,为后续攻击做准备。
IP包头信息有一个选项,其中包含的路由信
息可指定与包头源路由不同的源路由。”松散
源路由选项”可允许攻击者以假的IP地址进
入网络,并将数据送回其真正的地址。
Fraggle
IP 流攻击
IP 安全选项攻击
IP 记录路由攻击
松散源路由攻击
IP 时间戳攻击
IP包头信息有一个选项,攻击者可利用这个
选项收集被攻击主机周围的网络拓扑等信
息,为后续攻击做准备。
IP包头信息有一个选项,其中包含的路由信
息可指定与包头源路由不同的源路由。”严格
源路由选项”可允许攻击者以假的IP地址进
入网络,并将数据送回其真正的地址。
严格源路由攻击
Ping sweep扫描
ping扫描(也叫做ICMP扫描)是一个基本
的网络扫瞄技术,用来决定主机(计算机)
和哪一个IP位址映射。虽然一个单个的ping
连接将会告诉你一个指定的主计算机是否在
网络上存在,由ICMP(因特网控制信息协定)
回声组成的ping扫描也可以用来同时发送给
多台主机。如果一个给定的位址是活动的,
它将会返回一个ICMP回声应答。
WinNuke 是一种常见的应用程序,其唯一目
的就是使互联网上任何运行Windows 的计算
机崩溃。这种专门针对Windows 3.1/95/NT的
攻击曾经猖獗一时,受攻击的主机可以在片
刻间出现蓝屏现象(系统崩溃)。WinNuke 通
过已建立的连接向主机发送带外(OOB) 数
据,通常发送到NetBIOS 端口(TCP139端
口),攻击者只要先跟目标主机的139端口建
立连接,继而发送一个带URG标志的带外数
据报文,引起NetBIOS 碎片重叠,目标系统
即告崩溃。重新启动后,会显示下列信息,
指示攻击已经发生:
An exception OE has occurred at
0028:[address] in VxD MSTCP(01) +
000041AE. This was called from
0028:[address] in VxD NDIS(01) +
00008660. It may be possible to continue
normally.(00008660。有可能继续正常运行。)
Press any key to attempt to continue.(请按任意
键尝试继续运行。)
Press CTRL+ALT+DEL to restart your
computer. You will lose any unsaved
information in all applications.(按
CTRL+ALT+DEL 可尝试继续运行。将丢失
所有应用程序中的未保存信息。)
Press any key to continue. (按任意键继续。)
原因是系统中某些端口的监听程序不能处理
“意外”来临的带外数据,造成严重的非法
操作。
WinNuke攻击
发布评论