拒绝服务攻击是最常见的一类网络安全问题(网络攻击类型)。在这一攻击原理下,它又派生了许多种不同的攻击方式。正确了解这些不同的拒绝攻击方式,就可以为正确、系统地为自己所在企业 部署完善的安全防护系统。
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。要有效的进行反攻击,首先必须了解入侵的原理和工作机理, 只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应的对策。
(网络安全)
死亡之Ping( Ping of death)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCPIP 栈规定ICMP包的大小限制在64KB 以内。 在对 ICMP数据包的标题头进行读取之后,是根据该标题头里包含的信息来为有效载荷生成缓冲区。当大小超过64KB 的 ICMP 包,就会出现内存分配错误,导致TCPIP 堆栈崩溃,从而使接受方计算机宕机。这就是这种“死亡之Ping”攻击的 原理所在。 根据这一攻击原理,黑客们只需不断地通过Ping 命令向攻击目标发送超过64KB 的数据包,就可使目标计算机的TCPIP 堆栈崩溃,致使接受方宕机。
防御方法:现在所有的标准TCPIP 协议都已具有对付超过64KB 大小数据包的处理能力, 并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击。
泪滴( teardrop)攻击
对于一些大的IP 数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。比如,一个6000 字节的IP 包,在MTU为 2000的链路上传输的时 候,就需要分成三个IP 包。在IP 报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表面这个IP 包是一个大IP 包的片断,其中偏移字段指出了这个片断在整个 IP包中的位置。例如,对一个6000 字节的IP包进行拆分(MTU为 2000),则三个片断中偏移字段的值依次为:0,2000 ,4000。这样接收端在全部接收完IP 数据包后,就可以根 据这些信息重新组装没正确的值, 这样接收端在收后这些分拆的数据包后就不能按数据包 中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试, 这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。泪滴攻击利用修改在TCPIP 堆栈实现中信任IP 碎片中的 包的标题头所包含的信息来实现自己的攻击。 IP分段含有指示该分段所包含的是原包的哪 一段的信息,某些操作系统(如SP4 以前的 Windows NT 4.0 )的 TCPIP 在收到含有重叠偏 移的伪造分段时将崩溃。
防御方法: 尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接 收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可 以设置当出现重叠字段时所采取的规则。
TCP SYN 洪水(TCP SYN Flood)攻击
TCPIP 只能等待有限数量ACK (应答)消息,因为每台计算机用于创建TCPIP 连 接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCP SYN 洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。 由于黑客们发送请示的IP 地址是伪造的,所以确认信息也不会到达任何计算机,当然也就 不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当达到一定数量的等待 连接后, 缓区部内存资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
防御方法: 在防火墙上过滤来自同一主机的后续连接。不过“SYN洪水攻击”还是非常令人担忧的, 由于此类攻击并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。防火墙的具体抵御TCP SYN 洪水攻击的方法将在防火墙的使用手册中有详细介绍。
Land 攻击
这类攻击中的数据包源地址和目标地址是相同的,当操作系统接收到这类数据包时,不知道该如何处理,或者循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
防御方法:这类攻击的检测方法相对来说比较容易,因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设 备或包过滤路由器的包过滤规则。并对这种攻击进行审计,记录事件发生的时间,源主机和 目标主机的MAC地址和IP地址,从而可以有效地分析并跟踪攻击者的来源。
Smurf 攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf 攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP 地址,然后由网络上所有的 路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知 地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所 有主机都对此ICMP 应答请求作出答复, 导致网络阻塞, 这也就达到了黑客们追求的目的了。
这种 Smurf攻击比起前面介绍的“Ping of Death ”洪水的流量高出一至两个数量级,更容易攻击成功。还有些新型的Smurf 攻击,将源地址改为第三方的受害者(不再采用伪装的IP地址),最终导致第三方雪崩。
防御方法:关闭外部路由器或防火墙的广播地址特性,并在防火墙上设置规则,丢弃掉ICMP协议类型数据包。
Fraggle 攻击
Fraggle 攻击只是对Smurf 攻击作了简单的修改,使用的是 UDP协议应答消息,而不再是ICMP协议了(因为黑客们清楚 UDP 协议更加不易被用户全部禁止)。同时Fraggle 攻击使用了特定的端口(通常为7号端口,但也有许多使用其他端口实施 Fraggle 攻击的),攻击与Smurf 攻击基本类似,不再赘述。
防御方法: 关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文,或者屏蔽掉一些常被黑客们用来进Fraggle攻击的端口。
电子邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台计算机不断地向同一地址发送大 量电子邮件来达到攻击目的,此类攻击能够耗尽邮件接受者网络的带宽资源。
防御方法: 对邮件地址进行过滤规则配置,自动删除来自同一主机的过量或重复的消息。
虚拟终端(VTY)耗尽攻击
这是一种针对网络设备的攻击,比如路由器,交换机等。这些网络设备为了便于远程管理, 一般设置了一些TELNET 用户界面,即用户可以通过TELNET到该设备上,对这些设备进 行管理。
一般情况下, 这些设备的TELNET用户界面个数是有限制的,比如,5 个或 10 个等。 这样, 如果一个攻击者同时同一台网络设备建立了5 个或 10 个 TELNET连接, 这些设备的远程管 理界面便被占尽,这样合法用户如果再对这些设备进行远程管理,则会因为TELNET连接资源被占用而失败。
ICMP洪水
正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文( ICMP ECHO),接收计算机接收到ICMP ECHO 后,会回应一个ICMP ECHO Reply 报文。而这个过程是需要CPU 处理的,有的情况下还可能消耗掉大量的资源,比如处理分 片的时候。 这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO 报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
WinNuke 攻击
NetBIOS 作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享, 进程间通信( IPC),以及不同操作系统之间的数据交换。一般情况下,NetBIOS 是运行在 LLC2 链路 协议之上的, 是一种基于组播的网络访问接口。为了在TCPIP协议栈上实现NetBIOS ,RFC规定了一系列交互标准
WINDOWS操作系统的早期版本(WIN9598NT )的网络服务(文件共享等)都是建立在NetBIOS之上的,因此,这些操作系统都开放了139 端口(最新版本的WINDOWS 2000XP2003 等,为了兼容,也实现了NetBIOS over TCPIP功能,开放了139 端口)。
WinNuke 攻击就是利用了WINDOWS操作系统的一个漏洞,向这个139 端口发送一些携带TCP 带外( OOB )数据报文,但这些攻击报文与正常携带OOB 数据报文不同的是,其指针字段与数据的实际位置不符,即存在重合,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。
分片 IP 报文攻击
为了传送一个大的IP 报文, IP 协议栈需要根据链路接口的MTU 对该 IP 报文进行分片,通过填充适当的IP 头中的分片指示字段,接收计算机可以很容易的把这些IP 分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续 的分片报文,这个过程会消耗掉一部分内存,以及一些IP 协议栈的数据结构。如果攻击者 给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直 等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计 算机的资源,而导致不能相应正常的IP报文,这也是一种DOS 攻击。
了解更多资讯,就进入金睿教育官网www.jinruiedu.com
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明,否则将追究法律责任。https://blog.kokojia.com/joleen1006/b-1637.html