1、常見的網絡攻擊與防范課程內容第一章 網絡攻擊類型第二章 常見網絡攻擊第三章 常見網絡攻擊防范課程內容第一章 網絡攻擊類型第二章 常見網絡攻擊第三章 常見網絡攻擊防范網絡攻擊類型DOS攻擊一般而言，DOS攻擊者會干擾服務商提供給用戶的服務。可分為耗盡資源型攻擊或導致操作系統停止服務攻擊。掃描窺探攻擊畸形報文攻擊路由攻擊轉發攻擊其他類型攻擊課程內容第一章 網絡攻擊類型第二章 常見網絡攻擊第三章 常見網絡攻擊防范常見網絡攻擊 DOS攻擊IP Spoofing攻擊IP地址欺騙攻擊；為了獲得訪問權，入侵者生成一個帶有偽造源地址的報文。對使用基于IP地址驗證的應用來說，這種攻擊導致未授權用戶可以訪問系統。

2、即使相應報文不能達到攻擊者，同樣會造成被攻擊對象的破壞。IP欺騙不是進攻的結果，而是進攻的手段； Z1 Z(b) -SYN- A 2 B A 4 Z(b) -PSH- A BASynflood攻擊由于資源限制，TCP/IP協議棧的實現只能允許有限個TCP連接。SYN Flood攻擊正是利用了這點進行攻擊。它偽造一個SYN報文，其源地址是偽造的不存在的地址，向受害主機發起連接，受害主機接收到該報文后用SYN-ACK報文應答，由于攻擊報文的源地址不可達，因此發出ACK報文后不會收到ACK報文，造成一個半連接。如果攻擊者大量發送該報文，會導致受害主機建立大量半連接，從而消耗系統資源，使正常TCP連接

3、無法建立，直到半連接超時。有些都會TCP創建連接不限制的系統，會最終導致內存耗盡而崩潰。Land攻擊實際上是SYN攻擊的一個變種； 攻擊者向一臺主機發送源與目的IP地址都為該主機的TCP SYN分組，源與目的端口也設置為相同的值。主機一旦接收到一個SYN分組，就會向自身發送一個ACK分組以完成TCP握手過程。由于源目的地址與端口號相同，因此它接收到了具有相同TCP序列號的SYN-ACK報文Smurf攻擊簡單的Smurf攻擊用來攻擊一個網絡，方法是發送ICMP應答請求報文，該請求的目的地址設置為受害網絡的廣播地址，這樣該網絡的所有主機都對ICMP應答請求報文做出答復，導致，導致網絡擁塞，這比PI

4、NG大包的流量高出一個或兩個數量級。高級的Smurf攻擊主要攻擊目標主機。方法是將上述ICMP應答請求的源地址改為受害主機地址，最終導致受害主機崩潰。攻擊報文的發送需要一定的流量和持續時間，才能真正構成攻擊。理論上，網絡的主機越多，攻擊效果越明顯Fraggle攻擊Fraggle攻擊類似Smurf攻擊，只是它使用UDP消息，而不是ICMP報文。UDP端口7（echo）和端口19（Charge）在收到UDP報文后都會產生回應。在UDP的7號端口收到報文后，會回應收到的內容，19號端口收到UDP報文后會產生一串字符。它們都同ICMP一樣，會產生大量無用的應答報文，占用網絡帶寬。攻擊者可以向子網廣播地

5、址發送源地址為受害網絡或者受害主機的UDP報文，使用端口號為7或者19。子網啟用呢功能的每一個主機都會向受害網絡或者主機發送響應報文，從而引發大量報文，導致網絡阻塞或者主機崩潰；子網上沒有啟用該功能的主機會產生ICMP端口不可達消息，仍然消耗帶寬。也可以將源端口改為19，目的端口為7，這樣會不停產生回應報文，危害性更大。泛洪攻擊ICMP Flood：正常情況下，為了對網絡進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO后，會回應一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉

6、大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP泛洪），則目標計算機會忙于處理這些ECHO報文，而無法繼續處理其它的網絡數據報文，這也是一種拒絕服務攻擊（DOS）。 UDP Flood：原理與ICMP Flood類似，攻擊者通過發送大量的UDP報文給目標計算機，導致目標計算機忙于處理這些UDP報文而無法繼續處理正常的報文。 IP分片報文攻擊為了傳送一個大的IP報文，IP協議棧需要根據鏈路接口的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示字段，接收計算機可以很容易的把這些IP分片報文組裝起來。目標計算機在處理這些分片報文的時

7、候，會把先到的分片報文緩存起來，然后一直等待后續的分片報文，這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時），如果攻擊者發送了大量的分片報文，就會消耗掉目標計算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。 ICMP Redirect攻擊 網絡設備向同一個子網的主機發送ICMP重定向報文，請求主機改變路由。一般情況下，設備僅向主機而不向其它設備發送ICMP報文。但是一些惡意攻擊可能跨越網段向另外一個網絡的主機發送虛假重定向報文，以改變主機的路由表，干

8、擾主機正常的IP報文轉發。ICMP不可達報文攻擊 不同的操作系統對ICMP不可達報文的處理不同，有的系統在收到網絡或主機不可達ICMP報文后，對于后續發往此目的地的報文將直接認為不可達，這樣就切斷了到目的地的連接。這些系統就是ICMP不可達報文的攻擊目標，如果所收到的ICMP不可達報文是蓄意捏造的，便形成了攻擊。 常見網絡攻擊 掃描窺探攻擊Scan，是一切入侵的基礎，掃描探測一臺主機包括是為了確定主機是否活動、主機系統、正在使用哪些端口、提供了哪些服務、相關服務的軟件版本等等，對這些內容的探測就是為了“對癥下藥”。對主機的探測工具非常多，比如大名鼎鼎的nmap、netcat、superscan

9、，以及國內的X-Scanner等。 地址掃描攻擊利用類似PING程序探測目標地址，對此做出響應的表示存在，用來確定那些目標主機確實存活并且連在網上。也有可能使用TCP/UDP報文對一定地址發起連接（如TCP Ping），判斷是否有應答報文端口掃描攻擊向特定主機的一系列TCP/UDP端口發起連接，根據應答報文判斷主機是否使用這些端口提供服務 。當端口掃描發生時，如果掃描的目的地址，通過路由不可達，那么，網絡設備將發送目的網段不可達的ICMP報文；如果目的地址匹配直連路由，導致設備發送大量的ARP，同時發送目的地址不可達的ICMP報文；如果攻擊地址就是設備本身，導致設備發送目的端口不可達的ICMP

10、報文。因此攻擊一旦發生，對網絡設備的沖擊很大 。根據TCP協議規范，當一臺計算機收到一個TCP連接建立請求報文（TCP SYN）的時候，做這樣的處理：如果請求的TCP端口是開放的，則回應一個TCP ACK報文，并建立TCP連接控制結構（TCB）；如果請求的TCP端口沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該端口沒有開放。根據UDP協議規范，如果IP協議棧收到一個UDP報文，做如下處理：如果該報文的目標端口開放，則把該UDP報文送上層協議（UDP）處理，不回應任何報文（上層協議根據處理結果而回應的報文例外）；如果該報文的目標端口沒有開放，則向發起

11、者回應一個ICMP不可達報文，告訴發起者計算機該UDP報文的端口不可達。常見網絡攻擊 畸形報文攻擊TearDrop攻擊攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的報文頭所包含的信息來實現自己的攻擊。IP報文中通過MF位、Offset字段、Length字段指示該分段所包含的是原包的哪一段的信息，某些TCP/IP在收到含有重疊偏移的偽造分段時將崩潰 。Ping of Death攻擊TCP/IP規范要求IP報文的長度在一定范圍內（比如，065535），但有的攻擊計算機可能向目標計算機發出大于65535長度的PING報文，導致目標計算機IP協議棧崩潰 。 思考ICMP echo request

12、數據區長度超過多少認為是發生了死亡之ping攻擊？畸形TCP報文攻擊TCP報文包含6個標志位：URG、ACK、PSH、RST、SYN、FIN，不同系統對這些標志位組合的處理是不同的，由此構成對目標系統的攻擊 。利用TCP報文標志位可以進行以下攻擊：6個標志全為1，這就是圣誕樹攻擊6個標志全為0，如果端口是關閉的，會使接收方應答一個RST | ACK消息；如果端口是開放的，Linux和UNIX機器不會應答，而Windows機器將回答RST | ACK消息。這可用于操作系統探測不管端口是打開還是關閉，ACK與除RST外的其它任何一個標志位組合在一起，都會引起還沒有發送請求的接收方的發送一個RST應

13、答。這可用 于探測目標主機的存在性不管端口是打開還是關閉，SYN | FIN | URG組合會讓接收方發送一個RST | ACK應答，這也可用于探測目標主機的存在性如果端口是關閉的，SYN、SYN | FIN、SYN | PSH、SYN | FIN | PSH、SYN | URG、SYN | URG | PSH、SYN | FIN | URG | PSH等組合都會使 接收方應答一個RST | ACK消息；如果端口是打開的，會使接收方應答一個SYN | ACK消息，這可同時用于主機探測和端口探測如果端口是關閉的，FIN 、URG、PSH、URG | FIN 、URG | PSH 、FIN | P

14、SH 、URG | FIN | PSH等組合斗會使接收方應答一個RST | ACK消 息；如果端口是打開的，Linux和UNIX機器不會應答，而Windows機器將回答RST | ACK消息。這可用于操作系統探測畸形TCP報文攻擊 思考下列哪些報文類型屬于畸形TCP報文A 6個標志位全為1B SYN和FIN位同時為1C 6個標志位全為0D FIN和ACK同時為1WinNuke攻擊 NetBIOS作為一種基本的網絡資源訪問接口，廣泛的應用于文件共享，打印共享，進程間通信（IPC），以及不同操作系統之間的數據交換。一般情況下，NetBIOS是運行在LLC2鏈路協議之上的，是一種基于組播的網絡訪問接

15、口。為了在TCP/IP協議棧上實現NetBIOS，RFC規定了一系列交互標準，以及幾個常用的TCP/UDP端口 。139：NetBIOS會話服務的TCP端口；137：NetBIOS名字服務的UDP端口；136：NetBIOS數據報服務的UDP端口。WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139端口發送一些攜帶TCP帶外（OOB）數據報文，但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針字段與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰 常見網絡攻擊 路由協議攻擊網絡設備之間為了交換路由信息，常常運行一些動態的路由協議

16、，這些路由協議可以完成諸如路由表的建立，路由信息的分發等功能。常見的路由協議有RIP，OSPF，IS-IS，BGP等。這些路由協議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由協議的這些權限，對網絡進行攻擊，可能造成網絡設備路由表紊亂（這足可以導致網絡中斷），網絡設備資源大量消耗，甚至導致網絡設備癱瘓。 針對RIP協議的攻擊 RIP協議通過周期性（一般情況下為30S）的路由更新報文來維護路由表的，一臺運行RIP路由協議的路由器，如果從一個接口上接收到了一個路由更新報文，它就會分析其中包含的路由信息，并與自己的路由表作出比較，如果該路由器認為這些路由信息比自己所掌握的要有效

17、，它便把這些路由信息引入自己的路由表中 。這樣如果一個攻擊者向一臺運行RIP協議的路由器發送了人為構造的帶破壞性的路由更新報文，就很容易的把路由器的路由表搞紊亂，從而導致網絡中斷 針對OSPF路由協議的攻擊 如果一個攻擊者冒充一臺合法路由器與網絡中的一臺路由器建立鄰接關系，并向攻擊路由器輸入大量的鏈路狀態通告（LSA，組成鏈路狀態數據庫的數據單元），就會引導路由器形成錯誤的網絡拓撲結構，從而導致整個網絡的路由表紊亂，導致整個網絡癱瘓 。針對IS-IS路由協議的攻擊 對該協議的攻擊與OSPF類似，通過一種模擬軟件與運行該協議的路由器建立鄰居關系，然后傳頌給攻擊路由器大量的鏈路狀態數據單元（LSP

18、），可以導致整個網絡路由器的鏈路狀態數據庫不一致（因為整個網絡中所有路由器的鏈路狀態數據庫都需要同步到相同的狀態），從而導致路由表與實際情況不符，致使網絡中斷 。常見網絡攻擊 設備轉發表的攻擊 為了合理有限的轉發數據，網絡設備上一般都建立一些寄存器表項，比如MAC地址表，ARP表，路由表，快速轉發表，以及一些基于更多報文頭字段的表格，比如多層交換表，流項目表等。這些表結構都存儲在設備本地的內存中，或者芯片的片上內存中，數量有限。如果一個攻擊者通過發送合適的數據報，促使設備建立大量的此類表格，就會使設備的存儲結構消耗盡，從而不能正常的轉發數據或崩潰。 針對MAC地址表的攻擊 MAC地址表一般存在

19、于以太網交換機上，以太網通過分析接收到的數據幀的目的MAC地址，來查本地的MAC地址表，然后作出合適的轉發決定 。如果一個攻擊者向一臺交換機發送大量源MAC地址不同的數據幀，則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出，則交換機就不能繼續學習正確的MAC表項，結果是可能產生大量的網絡冗余數據，甚至可能使交換機崩潰 針對ARP表的攻擊 如果一個攻擊者通過變換不同的IP地址和MAC地址，向同一臺設備，比如三層交換機發送大量的ARP請求，則被攻擊設備可能會因為ARP緩存溢出而崩潰 ；針對ARP表項，還有一個可能的攻擊就是誤導設備建立正確的ARP表 ：攻擊者使用自己的MAC地址和

20、他人的IP地址作為源地址發送ARP請求，導致設備建立錯誤的ARP表項常見網絡攻擊 其它類型攻擊帶源路由選項的IP報文攻擊源路由選項的目的，是指導中間設備（路由器）如何轉發該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經過三臺路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的接口地址，這樣不論三臺路由器上的路由表如何，這個IP報文就會依次經過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸的過程中，其源地址不斷改變，目標地址也不斷改變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的IP地址，而蒙混進入網絡。記錄路由選項的IP報文攻擊記錄路由

21、選項也是一個IP選項，攜帶了該選項的IP報文，每經過一臺路由器，該路由器便把自己的接口地址填在選項字段里面。這樣這些報文在到達目的地的時候，選項數據里面便記錄了該報文經過的整個路徑。通過這樣的報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。未知議字段的IP報文 在IP報文頭中，有一個協議字段，這個字段指明了該IP報文承載了何種協議 ，比如，如果該字段值為1，則表明該IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前情況下，已經分配的該字段的值都是小于100的，因此，一個帶大于100的協議字段的IP報文，可能就是不合法的，這樣的報文可能對一些計算機操作

22、系統的協議棧進行破壞。 Script/ActiveX攻擊 Script是一種可執行的腳本，它一般由一些腳本語言寫成，比如常見的JAVA SCRIPT，VB SCRIPT等。這些腳本在執行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機指令后，在本地計算機上運行。這種腳本的好處是，可以通過少量的程序寫作，而完成大量的功能這種SCRIPT的一個重要應用就是嵌入在WEB頁面里面，執行一些靜態WEB頁面標記語言（HTML）無法完成的功能，比如本地計算，數據庫查詢和修改，以及系統信息的提取等。這些腳本在帶來方便和強大功能的同時，也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統有破壞的SCRIPT，

23、然后嵌入在WEB頁面中，一旦這些頁面被下載到本地，計算機便以當前用戶的權限執行這些腳本，這樣，當前用戶所具有的任何權限，SCRIPT都可以使用，可以想象這些惡意的SCRIPT的破壞程度有多強。這就是所謂的SCRIPT攻擊 。 ActiveX是一種控件對象，它是建立在MICROSOFT的組件對象模型（COM）之上的 ，不能自己執行，因為它沒有自己的進程空間，而只能由其它進程加載，并調用其中的方法和屬性 。ActiveX控件可以嵌入在WEB頁面里面，當瀏覽器下載這些頁面到本地后，相應地也下載了嵌入在其中的ActiveX控件，這樣這些控件便可以在本地瀏覽器進程空間中運行（ActiveX空間沒有自己的

24、進程空間，只能由其它進程加載并調用），因此，當前用戶的權限有多大，ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的ActiveX控件，然后嵌入在WEB頁面中，被一個瀏覽用戶下載后執行，其破壞作用是非常大的。這便是所謂的ActiveX攻擊 課程內容第一章 網絡攻擊類型第二章 常見網絡攻擊第三章 常見網絡攻擊防范IP Spoofing攻擊防范檢測每個接口流入的IP報文的源地址與目的地址，并對報文的源地址反查路由表，入接口與以該地址為目的地址的最佳出接口不同的IP報文被視為IP Spoofing攻擊，將被拒絕并進行日值記錄。 思考IP Spoofing攻擊的特征是什么？Synflood攻擊防范一種有效的防范方