11TCPSYN拒絕服務攻擊

一般情況下，一個TCP連接的建立需要經過三次握手的過程，即：

1、建立發起者向目標計算機發送一個TCPSYN報文；

2、目標計算機收到這個SYN報文后，在內存中創建TCP連接控制塊（曲），然后

向發起者回送一個TCPACK報文，等待發起者的回應；

3、發起者收到TCPACK報文后，再回應一個ACK報文,這詳TCP連接就建立起來

了。

利用這個過程，一些惡意的攻擊者可以進行所謂的TCPSYN拒絕服務攻擊：

1、攻擊者向目標計算機發送一個TCPSYN報文；

2、目標計算機收到這個報文后，建立TCP連接控制結構（TCB）,并回應一個ACK,

等待發起者的回應；

3、而發起者則不向目標計算機回應ACK報文，這樣導致目標計算機一致處于等待狀

祝

可以看出，目標計算機如果接收到大量的TCPSYN報文，而沒有收到發起者的第三次

ACK回應，會一直等待，處于這樣尷尬狀態的半連接如果很多，則會把目標計算機的資源

（TCB控制結構，TCB，一般情況下是有限的）耗盡，而不能響應正常的TCP連接請求.

121cMp洪水

正常情況下，為了對網絡進行診斷，一些診斷程序,比如PING等，會發出ICMP響

應請求報文（ICMPECHO）才妾收計算機接收到ICMPECHO后，會回應一個ICMPECHO

Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如

處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMPECHO報文（產生ICMP

洪水），則目標計算機會忙于處理這些ECHO報文,而無法繼續處理其它的網絡數據報文,

這也是一種拒絕服務攻擊（DOS\

13UDP洪水

原理與ICMP洪水類似，攻擊者通過發送大量的UDP報文給目標計算機，導致目標

計算機忙于處理這些UDP報文而無法繼續處理正常的報文。

14端口掃描

根據TCP協議規范，當一臺計算機收到一個TCP連接建立請求報文（TCPSYN）的

時候，做這樣的處理：

L如果請求的TCP端口是開放的，則回應一個TCPACK報文,并建立TCP連接控

制結構（TCB）;

2、如果請求的TCP端口沒有開放,則回應一個TCPRST（TCP頭部中的RST標志

設為1）報文，告訴發起計算機，該端口沒有開放6

相應地,如果IP協議棧收到一個UDP報文，做如下處理：

L如果該報文的目標端口開放，則把該UDP報文送上層協議（UDP）處理，不回

應任何報文（上層協議根據處理結果而回應的報文例外）；

2、如果該報文的目標端口沒有開放，則向發起者回應一個ICMP不可達報文，告訴

發起者計算機該UDP報文的端口不可達.

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TCP

或UDP端口是開放的，過程如下；

L發出端口號從0開始依次涕增的TCPSYN或UDP報文（端口號是一個16比特

的數字，這樣最大為65535，數量很有限）；

2、如果收到了針對這個TCP報文的RST報文,或針對這個UDP報文的ICMP不可

這報文，則說明這個端口沒有開放；

3、相反，如果收到了針對這個TCPSYN報文的ACK報文,或者沒有接收到任何針

對該UDP報文的ICMP報文，則說明該TCP端口是開放的,UDP端口可能開放（因為有

的實現中可能不回應ICMP不可達報文，即使該UDP端口沒有開放I

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP端口,然

后針對端口的具體數字，進行下一步攻擊，這就是所謂的端口掃描攻擊。

15分片IP報文攻擊

為了傳送一個大的IP報文，】P協議棧需要根據鏈路接口的MTU對該IP報文進行分

片，通過填充適當的IP頭中的分片指示字段，接收計算機可以很容易的把這些IP分片報

文組裝起來。

目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然后一直等

待后續的分片報文，這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構.如果

攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文,這樣攻擊者計算機

便會一直等待（直到一個內部計時器到時），如果攻擊者發送了大量的分片報文，就會消耗

掉目標計算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

16SYN比特和FIN比特同時設置

在TCP報文的報頭中，有幾個標志字段：

1、SYN:連接建立標志，TCPSYN報文就是把這個標志設置為1,來請求建立連接;

2、ACK:回應標志，在TTCP連接中，除了第一個報文（TCPSYN）外，所有報

文都設置該字段，作為對上一個報文的相應；

3、FIN:結束標志，當一臺計算機接收到一個設置了FIN標志的TCP報文后，會拆

除這個TCP連接；

4、RST:復位標志，當IPt辦議棧接收到一個目標端口不存在的TCP報文的時候,會

回應一個RST標志設置的報文；

5、PSH:通知協議棧盡快把TCP數據提交給上層程序處理$

正常情況下,SYN標志（連接請求標志）和FIN標志（連接拆除標志）是不能同時出

現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文，因此,

各個操作系統的協議棧在收到這樣的報文后的處理方式也不同，攻擊者就可以利用這個特

征，通過發送SYN和FIN同時設置的報文，來判斷操作系統的類型，然后針對該操作系統,

進行進一步的攻擊。

17沒有設置任何標志的TCP報文攻擊

正常情況下，任何TCP報文都會設置SYN,FIN,ACK,RST,PSH五個標志中的至

少一個標志,第一個TCP報文（TCP連接請求報文）設置SYN標志，后續報文都設置ACK

標志。有的協議?；谶@樣的假設，沒有針對不設置任何標志的TCP報文的處理過程，因

此，這樣的協議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標

計算機進行攻擊。

18設置了FIN標志卻沒有設置ACK標志的TCP報文攻擊

正常情況下，ACK標志在除了第一個報文（SYN報文）外,所有的報文都設置，包括

TCP連接拆除報文（FIN標志設置的報文\但有的攻擊者卻可能向目標計算機發送設置了

FIN標志卻沒有設置ACK標志的TCP報文,這樣可能導致目標計算機崩潰?

19死亡之PING

TCP/IP規范要求IP報文的長度在一定范圍內（比如，0?64K）,但有的攻擊計算機

可能向目標計算機發出大于64K長度的PING報文，導致目標計算機IP協議棧崩潰。

no地址猜測攻擊

跟端口掃描攻擊類似，攻擊者通過發送目標地址變化的大量的ICMPECHO報文,來

判斷目標計算機是否存在。如果收到了對應的ECMPECHOREPLY報文，則說明目標計算

機是存在的，便可以針對該計算機進行下一步的攻擊。

in淚滴攻擊

對于一些大的IP包,需要對其進行分片傳送，這是為了迎合鏈路層的MTU（最大傳

輸單元）的要求。比如，一個4500字節的IP包，在MTU為1500的鏈路上傳輸的時候,

就需要分成三個IP包。

在IP報頭中有一個偏移字段和一個分片標志（MF）,如果MF標志設置為1,則表面

這個IP包是一個大IP包的片斷，其中偏移字段指出了這個片斷在整個IP包中的位置。

例如，對一個4500字節的IP包進行分片（MTU為1500）,則三個片斷中偏移字段

的值依次為：0,1500,3000.這樣接收端就可以根據這些信息成功的組裝該IP包,

如果一個攻擊者打破這種正常情況,把偏移字段設置成不正確的值，即可能出現重合

或斷開的情況，就可能導致目標操作系統崩潰。比如，把上述偏移設置為0,1300,3000。

這就是所謂的淚滴攻擊。

112帶源路由選項的IP報文

為了實現一些附加功能』P協議規范在IP報頭中增加了選項字段,這個字段可以有選

擇的攜帶一些數據，以指明中間設備（路由器）或最終目標計算機對這些IP報文進行額外

的處理。

源路由選項便是其中一個,從名字中就可以看出，源路由選項的目的,是指導中間設

管（路由器）如何轉發該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報

文明確的經過三臺路由器RI,R2,R3,則可以在源路由選項中明確指明這三個路由器的

接口地址，這樣不論三臺路由器上的路由表如何，這個IP報文就會依次經過R1,R2,R3。

而且這些帶源路由選項的IP報文在傳輸的過程中，其源地址不斷改變，目標地址也不斷改

變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的IP地址，而蒙混進

入網絡。

113帶記錄路由選項的IP報文

記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經過一臺路由器，該路

日器便把自己的接口地址填在選項字段里面。這樣這些報文在到達目的地的時候,選項數

據里面便記錄了該報文經過的整個路徑。

通過這樣的報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋

找其中的攻擊弱點6

114未知協議字段的IP報文

在1P報文頭中，有一個協議字段，這個字段指明了該IP報文承載了何種協議，比如,

如果該字段值為L則表明該IP報文承載了ICMP報文，如果為6,則是TCP,等等。目

前情況下，已經分配的該字段的值都是小于100的，因此，一個帶大于100的協議字段的

IP報文，可能就是不合法的，這樣的報文可能對一些計算機操作系統的協議棧進行破壞。

115IP地址欺騙

一般情況下，路由器在轉發報文的時候，只根據報文的目的地址查路由表，而不管報

文的源地址是什么，因此，這樣就可能面臨一種危險：如果一個攻擊者向一臺目標計算機

發出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達目標

計算機后，目標計算機便可能向毫無知覺的第三方計算機回應。這便是所謂的IP地址欺騙

攻擊。

比較著名的SQLServer蠕蟲病毒，就是采用了這種原理。該病毒（可以理解為一個

攻擊者）向一臺運行SQLServer解析服務的服務器發送一個解析服務的UDP報文，該報

文的源地址填寫為另外一臺運行SQLServer解析程序（SQLServer2000以后版本）的

服務器,這樣由于SQLServer解析服務的一個漏洞，就可能使得該UDP報文在這兩臺服

務器之間往復，最終導致服務器或網絡癱瘓。

116WinNuke攻擊

NetBIOS作為一種基本的網絡資源訪問接口，廣泛的應用于文件共享，打印共享，進

程間通信（IPC），以及不同操作系統之間的數據交換。一般情況下,NetBIOS是運行在LLC2

鏈路協議之上的是一種基于組播的網絡訪問接口。為了在TCP/IP協議棧上實現NetBIOS,

RFC規定了一系列交互標準，以及幾個常用的TCP/UDP端口：

139:NetBIOS頷服務的TCP端口;

1371NetBIOS名字服務的UDP端口；

136:NetBIOS數據報服務的UDP端口.

WINDOWS操作系統的早期版本（WIN95/98/NT）的網絡服務（文件共享等）都是

建立在NetBIOS之上的，因此，這些操作系統都開放了139端口（最新版本的WINDOWS

2000/XP/2003等，為了兼容，戚現了NetBIOSoverTCP/IP功能，開放了139端口I

WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139端口發送

一些攜帶TCP帶外（00B）數據報文，但這些攻擊報文與正常攜帶00B數據報文不同的

是，其指針字段與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理

這些數據的時候,就會崩潰。

117Land攻擊

LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發送一個

TCPSYN報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCPSYN報

文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的,都是目標計算機的IP

地址。這樣目標計算機接收到這個SYN報文后，就會向該報文的源地址發送一個ACK報

文，并建立一個TCP連接控制結構（TCB）,而該報文的源地址就是自己，因此，這個ACK

報文就發給了自己.這樣如果攻擊者發送了足夠多的SYN報文,則目標計算機的TCB可

能會耗盡，最終不能正常服務6這也是一種DOS攻擊6

118Script/ActiveX攻擊

Script是一種可執行的腳本，它一般由一些腳本語言寫成,比如常見的JAVASCRIPT,

VBSCRIPT等。這些腳本在執行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機指

令后，在本地計算機上運行。這種腳本的好處是，可以通過少量睡序寫作，而完成大量

的功能

這種SCRIPT的一個重要應用就是嵌入在WEB頁面里面，執行一些靜態WEB頁面標

記語言（HTML）無法完成的功能，比如本地計算，數據庫查詢和修改，以及系統信息的

提取等。這些腳本在帶來方便和強大功能的同時，也為攻擊者提供了方便的攻擊途徑.如

昊攻擊者寫一些對系統有破壞的SCRIPT,然后嵌入在WEB頁面中，一旦這些頁面被下載

到本地，計算機便以當前用戶的權限執行這些腳本,這樣，當前用戶所具有的任何權限，

SCRIPT都可以使用，可以想象這些惡意的SCRIPT的破壞程度有多強。這就是所謂的

SCRIPT攻擊。

ActiveX是一種控件對象,它是建立在MICROSOFT的組件對象模型（COM）之上

的，而COM則幾乎是Windows操作系統的基礎結構e可以簡單的理解，這些控件對象

是由方法和屬性構成的，方法即一些操作，而屬性則是一些特定的數據這種控件對象可

以被應用程序加載，然后訪問其中的方法或屬性，以完成一些特定的功能?？梢哉f，COM

提供了一種二進制的兼容模型（所渭二進制兼容，指的是程序模塊與調用的編譯環境，甚

至操作系統沒有關系1但需要注意的是,這種對象控件不能自己執行，因為它沒有自己的

進程空間,而只能由其它進程加載，并調用其中的方法和屬性,這時候，這些控件便在加

載進程的進程空間運行，類似與操作系統的可加載模塊，比如DLL庫。

ActiveX控件可以嵌入在WEB頁面里面，當瀏覽器下載這些頁面到本地后，相應地也

下威了嵌入在其中的ActiveX控件，這樣這些控件便可以在本地瀏覽器進程空間中運行

（ActiveX空間沒有自己的進程空間,只能由其它進程加載并調用），因此，當前用戶的權

限有多大,ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的

ActiveX控件,然后嵌入在WEB頁面中，被一個瀏覽用戶下載后執行,其破壞作用是非常

天的。這便是所謂的ActiveX攻擊。

119Smurf攻擊

ICMPECHO請求包用來對網絡進行診斷，當一臺計算機接收到這樣一個報文后，會

向報文的源地址回應一個ICMPECHOREPLY,一般情況下，計算磯是不檢查該ECHO請

求的源地址的，因此，如果一個惡意的攻擊者把ECHO的源地址設置為一個廣播地址，這

樣計算機在恢復R印LY的時候,就會以廣播地址為目的地址,這樣本地網絡上所有的計算

機都必須處理這些廣播報文。如果攻擊者發送的ECHO請求報文足夠多，產生的R印LY

廣播報文就可能把整個網絡淹沒。這就是所渭的smu「f攻擊。

除了把ECHO報文的源地址設置為廣播地址外，攻擊者還可能把源地址設置為一個子

網廣播地址，這樣，該子網所在的計算機就可能受影響。

120虛擬終端（VTY）耗盡攻擊

這是一種針對網絡設備的攻擊，比如路由器，交換機等。這些網絡設備為了便于遠程

管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些

設備進行管理,

一般情況下，這些設備的TELNET用戶界面個數是有限制的，比如，5個或10個等。

這樣，如果一個攻擊者同時同一臺網絡設備建立了5個或10個TELNET連接，這些設備

的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為

TELNET連接資源被占用而失敗。

121路由協議攻擊

網絡設備之間為了交換路由信息，常常運行一些動態的路由協議,這些路由協議可以

完成諸如路由表的建立，路由信息的分發等功能。常見的路由協議有RIP,OSPF,IS-IS,

BGP等6這些路由協議在方便路由信息管理和傳遞的同時,也存在一些缺陷，如果攻擊者

利用了路由協議的這些權限，對網絡進行攻擊，可能造成網絡設備路由表紊亂（這足可以

導致網絡中斷），網絡設備資源大量消耗，甚至導致網絡設備癱瘓。

下面列舉一些常見路由協議的攻擊方式及原理：

121.1針對RIP協議的攻擊

RIP,即路由信息協議，是通過周期性（一般情況下為30S）的路由更新報文來維護路

日表的，一臺運行RIP路由協議的路由器，如果從一個接口上接收到了一個路由更新報文,

它就會分析其中包含的路由信息，并與自己的路由表作出比較，如果該路由器認為這些路

日信息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中6

這樣如果一個攻擊者向一臺運行RIP協議的路由器發送了人為構造的帶破壞性的路由

更新報文，就很容易的把路由器的路由表搞紊亂,從而導致網絡中斷。

如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證則可從很大程度

上避免這種攻擊。

121.2針對OSPF路由協議的攻擊

OSPF,即開放最短路徑優先，是一種應用廣泛的鏈路狀態路由協議。該路由協議基于

鏈路狀態算法，具有收斂速度快,平穩，杜絕環路等優點，十分適合大型的計算機網絡使

用。OSPF路由協議通過建立鄰接關系,來交換路由器的本地鏈路信息，然后形成一個整

網的鏈路狀態數據庫,針對該數據庫,路由器就可以很容易的計算出路由表。

可以看出，如果一個攻擊者冒充一臺合法路由器與網絡中的一臺路由器建立鄰接關系,

并向攻擊路由器輸入大量的鏈路狀態廣播（LSA，組成鏈路狀態數據庫的數據單元），就會

引導路由器形成錯誤的網絡拓撲結構,從而導致整個網絡的路由表紊亂，導致整個網絡癱

瘓。

當前版本的WINDOWS操作系統（WIN2K/XP等）都實現了OSPF路由協議功能,

因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。

跟RIP類似，如果OSPF啟用了報文驗證功能（HMAC驗證），則可以從很大程度上

避免這種攻擊.

121.3針對IS-IS路由協議的攻擊

1S-IS路由協議，即中間系統到中間系統，是ISO提出來對ISO的CLNS網絡服務進

行路由的一種協議，這種協議也是基于鏈路狀態的，原理與OSPF類似。IS-IS路由協議經

過擴展，可以運行在IP網絡中，對IP報文進行選路。這種路由協議也是通過建立鄰居關

系，收集路由器本地鏈路狀態的手段來完成鏈路狀態數據庫同步的°該協議的鄰居關系建

立比OSPF簡單，而且也省略了OSPF特有的一些特性，使該協議簡單明了，伸縮性更強。

對該協議的攻擊與OSPF類似,通過一種模擬軟件與運行該協議的路由器建立鄰居關

系，然后傳頌給攻擊路由器大量的鏈路狀態數據單元（LSP）,可以導致整個網絡路由器的

鏈路狀態數據庫不一致（因為整個網絡中所有路由器的鏈路狀態數據庫都需要同步到相同

的狀態），從而導致路由表與實際情況不符，致使網絡中斷。

與OSPF類似,如果運行該路由協議的路由器啟用了IS-IS協議單元（PDU）HMAC

驗證功能，則可以從很大程度上避免這種攻擊,

122針對設備轉發表的攻擊

為了合理有限的轉發數據，網絡設備上一般都建立一些寄存器表項，比如MAC地址

表，ARP表，路由表，快速轉發表，以及一些基于更多報文頭字段的表格，比如多層交換

表，流項目表等.這些表結構都存儲在設備本地的內存中，或者芯片的片上內存中，數量

有限。如果一個攻擊者通過發送合適的數據報，促使設備建立大量的此類表格，就會使設

各的存儲結構消耗盡，從而不能正常的轉發數據或崩潰。

下面針對幾種常見的表項，介紹其攻擊原理：

122.1針對MAC地址表的攻擊

MAC地址表一般存在于以太網交換機上，以太網通過分析接收到的數據M的目的

MAC地址，來查本地的MAC地址表，然后作出合適的轉發決定。

這些MAC地址表一般是通過學習獲取的，交換機在接收到一個數據M后，有一個學

習的過程，該過程是這樣的：

a）提取數據帽的源MAC地址和接收到該數據M的端口號；

b）查MAC地址表，看該MAC地址是否存在，以及對應的端口是否符合；

c）如果該MAC地址在本地MAC地址表中不存在，則創建一個MAC地址表項；

d）如果存在，但對應的出端口跟接收到該數據M的端口不符，則更新該表；

e）如果存在，且端口符合，則進行下一步處理。

分析這個過程可以看出,如果一個攻擊者向一臺交換機發送大量源MAC地址不同的

數據M，則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出，則

交換機就不能繼續學習正確的MAC表項，結果是可能產生大量的網絡冗余數據，甚至可

能使交換機崩潰.而構造一些源MAC地址不同的數據帽,是非常容易的事情.

122.2針對ARP表的攻擊

ARP表是IP地址和MAC地址的映射關系表，任何實現了IP協議棧的設備，一般情

況下都通過該表維護IP地址和MAC地址的對應關系，這是為了避免ARP解析而造成的

廣播數據報文對網絡造成沖擊。ARP表的建立一般情況下是通過二個途徑：

1、主動解析，如果一臺計算機想與另外一臺不知道MAC地址的計算機通信，則該

計算機主動發ARP請求通過ARP協議建立（前提是這兩臺計算機位于同一個IP子網上）；

2、被動請求，如果一臺計算機接收到了一臺計算機的ARP請求，則首先在本地建立

請求計算機的1P地址和MAC地址的對應表。

因此，如果一個攻擊者通過變換不同的IP地址和MAC地址，向同一臺設備，比如三

層交換機發送大量的ARP請求，則被攻擊設備可能會因為ARP緩存溢出而崩潰。

針對ARP表項,還有一個可能的攻擊就是誤導計算機建立正確的ARP表。根據A