非法TCP报文攻击

最新推荐文章于 2023-04-07 11:24:05 发布
最新推荐文章于 2023-04-07 11:24:05 发布
阅读量5.6k 收藏 4
点赞数 1
分类专栏: linux 文章标签: tcp
 

http://www.ruijie.com.cn/htmls/3-23/RG-S3760EP/Cap58.htm

 

在TCP报文的报头中,有几个标志字段:

1.  SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接。

2.  ACK:回应标志,在一个TCP连接中,除了第一个报文(TCP SYN)外,所有报文都设置该字段作为对上一个报文的响应。

3.  FIN: 结束标志,当一台主机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接。

4.  RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会回应一个RST标志设置的报文。

5.  PSH:通知协议栈尽快把TCP数据提交给上层程序处理。

非法TCP报文攻击是通过非法设置标志字段致使主机处理的资源消耗甚至系统崩溃,例如以下几种经常设置的非法TCP报文:

1.        SYN 比特和FIN比特同时设置的TCP报文

正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标志)不能同时出现在一个TCP报文中,而且RFC也没有规定IP协议栈如何处理这样的畸形报文。因此各个操作系统的协议栈在收到这样的报文后的处理方式也不相同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。

2.        没有设置任何标志的TCP报文

正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此这样的协议栈如果收到了这样的报文可能会崩溃。攻击者利用了这个特点,对目标主机进行攻击。

3.        设置了FIN标志却没有设置ACK标志的TCP报文

正常情况下,除了第一报文(SYN报文)外,所有的报文都设置ACK标志,包括TCP连接拆除报文(FIN 标志设置的报文)。但有的攻击者却可能向目标主机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标主机崩溃。

qk_zhu
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全实验--洪泛攻击.docx
06-09
网络安全实验--洪泛攻击 网络安全实验--洪泛攻击全文共4页,当前为第1页。网络安全实验--洪泛攻击全文共4页,当前为第1页。实验目的和要求 网络安全实验--洪泛攻击全文共4页,当前为第1页。 网络安全实验--洪泛攻击全文共4页,当前为第1页。 理解带宽攻击原理 理解资源消耗攻击原理 掌握洪泛攻击网络行为特征 实验内容和原理 1.SYN Flood攻击 Dos(Denial of Service)拒绝服务攻击是指在特定攻击发生后,被攻击的对象不能及时提供应有的服务。从广义上说,任何导致服务器不能正常提供服务的攻击都是拒绝服务攻击。 SYN Flood是当前最流行的拒绝服务攻击之一,这是一种利用TCP协议缺陷,发送大量的伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 TCP协议是基于连接的,也就是说,为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接。 建立TCP连接的标准过程是这样的: 第一步,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 第二步,服务器在收到客户端的SYN报文 ,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加1,ACK即确认(Acknowledgement); 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加1,到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手。 问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN超时,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 2.ICMP Flood攻击 正常情况下,为了对网络进行诊断,一些诊断程序,比如Ping等,会发出ICMP请求报文(ICMP Request),计算机接收到ICMP请求后,会回应一个ICMP应答报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP Request报文(产生ICMP洪水),则目标计算机会忙于处理这些请求报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻网络安全实验--洪泛攻击全文共4页,当前为第2页。网络安全实验--洪泛攻击全文共4页,当前为第2页。击(DOS)。 网络安全实验--洪泛攻击全文共4页,当前为第2页。 网络安全实验--洪泛攻击全文共4页,当前为第2页。 对于诸如此类洪泛攻击,可以利用设置防火墙和关闭不必要的端口来加以防范。设置防火墙可以直接拒绝接受非法的或不可信任的用户的连接,而关闭不必要的端口可以减少半连接的可能性,从而有效的抑制洪泛攻击所带来的危害。下面给出一些具体实施办法: 监控计算资源的使用。例如建立资源分配模型图,统计敏感的计算资源使用情况。 修补漏洞。例如给操作系统或应用软件包升级。 关掉不必要的TCP/IP服务。关掉系统中不需要的服务,以防止攻击者利用。 过滤网络异常包。例如通过防火墙配置阻断来自Internet的恶意请求。 三、主要仪器设备 Windows操作系统,企业网络结构,Nmap 洪泛工具 网络协议分析器。 操作方法与实验步骤 本练习主机A、B为一组,C、D为一组,E、F为一组。实验角色说明如下: 实验主机 实验角色 主机A、C、E 攻击者(扫描主机) 主机B、D、F 靶机(被扫描主机) 首先使用"快照X"恢复Windows系统环境。 一.SYN洪水攻击 1. 捕获洪水数据 (1)攻击者单击实验平台工具栏中的"协议分析器"按钮,启动协议分析器。单击工具栏"定义过滤器"按钮,在弹出的"定义过滤器"窗口中设置如下过滤条件: 在"网络地址"属性页中输入"any<->同组主机IP地址"; 在"协议过滤"属性页中选中"协议树"
基于 Petri网的 TCP协议异常检测模型 (2006年)
05-12
该模型以 TCP 协议的状态变迁图为基础,并根据协议规范可对传输报文的标志位进行系统的分析,从而识别出标 志位非法组合构成的畸形报文(FIN?RST报文) .模型中规定了各种状态下可接收的标志位集合, 同时还细化了各状态...
TCP——TCP报文分析及TCP状态机、非法TCP报文标志组合
qq_62311779的博客
02-21 1924
TCP报文分析: TCP报文 16位源端口 16位目的端口 ...
TCP欺骗攻击
weixin_42727997的博客
03-06 2326
TCP欺骗攻击 何为TCP欺骗技术 将非法计算机伪装成合法计算机与其他正常计算机进行信息交互,达到不同种目的的一种技术手段。 何为TCP/IP三次握手 TCP/IP存在三次握手机制,故提供了安全可靠的连接技术。 第一次握手:用户发送SYN请求给服务器,请求建立连接。 第二次握手:服务器收到SYN请求并回复SYN+ACK确认给客户。 第三次握手:客户收到服务器的SYN+ACK包,向服务器发送ACK确...
伪造的ARP应答报文,阻碍对方通信
weixin_34029680的博客
11-21 343
实验原理: 对主机A发送伪造的ARP应答报文,假冒主机B的IP地址,但MAC地址设为不存在的一个硬件地址,主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系,导致主机A与主机B的网络通信中断。这种方法属于拒绝服务(DenialofService,DoS)***,网络上流行的网络执法官等软件就是采用ARP欺骗机制,发送错误的网关MAC...
TCP flag注释
bytxl的专栏
08-29 1427
http://blog.csdn.net/wisage/article/details/6049733 三次握手Three-way Handshake  一个虚拟连接的建立是通过三次握手来实现的  1. (B) --> [SYN] --> (A)  假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包,告诉A请求建立连
TCP协议网络安全攻击
TICPSH的博客
04-07 1678
本篇将介绍TCP协议的概念、主要功能、主要特点、报文格式以及相应的工作方式等。
TCP非法的校验和
weixin_34186931的博客
07-27 945
最近在处理一个专用网络通过无线设备连接应用程序连接慢的问题,使用科来 抓包,看到大量的“TCP非法的校验和”提示,不解、遂从网络中搜索问题,发现 这并不是导致连接应用程序慢的原因,抓到这些包的原因是在本机抓包,会抓到尚 没有经过网卡填充校验完的校验和,所以提示了大量的错误。解释的不是很清楚, 但是大概就是这个意思。呵呵! 哎 !应用程序连接慢的...
WEB应用安全防护系统建设方案.doc
08-09
目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于 TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在...
网络安全总结.docx
06-09
网络安全总结全文共21页,当前为第1页。网络安全总结 网络安全总结... 重传重组 一般只有超级用户才可创建1024以下端口 三次握手:SYN Flood 序号选择:序号攻击 @用户数据报文协议UDP的安全缺陷 无纠错和重传 无数据包
某校园网络安全方案设计.doc
12-25
3、防止IP地址盗用和ARP攻击 通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全 规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有 效防止安全端口上的...
畸形报文攻击有哪些种类?遇到畸形报文攻击怎么防御?
驰网飞飞的博客
07-09 530
畸形报文顾名思义就是有缺陷的IP报文,黑客通过向目标服务器发送大量含有缺陷的IP报文,使目标主机或服务器在处理这类报文时崩溃,这就是我们所说的畸形报文攻击
基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
05-31
【优质项目推荐】 1、项目代码均经过严格本地测试,运行OK,确保功能稳定后才上传平台。可放心下载并立即投入使用,若遇到任何使用问题,随时欢迎私信反馈与沟通,博主会第一时间回复。 2、项目适用于计算机相关专业(如计科、信息安全、数据科学、人工智能、通信、物联网、自动化、电子信息等)的在校学生、专业教师,或企业员工,小白入门等都适用。 3、该项目不仅具有很高的学习借鉴价值,对于初学者来说,也是入门进阶的绝佳选择;当然也可以直接用于 毕设、课设、期末大作业或项目初期立项演示等。 3、开放创新:如果您有一定基础,且热爱探索钻研,可以在此代码基础上二次开发,进行修改、扩展,创造出属于自己的独特应用。 欢迎下载使用优质资源!欢迎借鉴使用,并欢迎学习交流,共同探索编程的无穷魅力! 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发
05-31
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发 like Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for production npm run build Lints and fixes files npm run lint Customize configuration
uniapp聊天工具源码.zip
05-31
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
NX二次开发uc1603 函数介绍
05-31
NX二次开发uc1603 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域的专业人士,还是希望提高工作效率的普通用户,NX 二次开发 Ufun 都可以帮助您实现更高效的工作流程。函数覆盖了 NX 软件的各个方面,包括但不限于建模、装配、制图、编程、仿真等。这些 API 函数可以帮助用户轻松地实现自动化、定制化和扩展 NX 软件的功能。例如,用户可以通过 Ufun 编写脚本,自动化完成重复性的设计任务,提高设计效率;或者开发定制化的功能,满足特定的业务需求。语法简单易懂,易于学习和使用。用户可以快速上手并开发出符合自己需求的 NX 功能。本资源内容 提供了丰富的中英文帮助文档,可以帮助用户快速了解和使用 Ufun 的功能。用户可以通过资源中的提示,学习如何使用 Ufun 的 API 函数,以及如何实现特定的功能。
【目标检测数据集】遥感类军用飞机检测数据集3800张20类别VOC+YOLO格式.zip
05-31
【目标检测数据集】遥感类军用飞机检测数据集3800张20类别VOC+YOLO格式.zip 数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):3821 标注数量(xml文件个数):3821 标注数量(txt文件个数):3821 标注类别数:20 标注类别名称:["A1","A2","A3","A4","A5","A6","A7","A8","A9","A10","A11","A12","A13","A14","A15","A16","A17","A18","A19","A20"] 每个类别标注的框数: A1 框数 = 1646 A2 框数 = 1726 A3 框数 = 1164 A4 框数 = 642 A5 框数 = 1262 A6 框数 = 436 A7 框数 = 680 A8 框数 = 944 A9 框数 = 1073 A10 框数 = 924 A11 框数 = 501 A12 框数 = 702 A13 框数 = 1652 A14 框数 = 177
grpcio-1.64.0-cp38-cp38-win_amd64.whl
最新发布
05-31
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
modbustcp 报文
05-23
ModbusTCP报文主要包括三部分:头部、PDU(协议数据单元)和尾部。 头部包括了ModbusTCP协议的标识符、事务标识符、协议标识符、数据长度等信息; PDU包括了功能码、数据等信息,其中功能码指示了请求或响应的类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值