畸形报文攻击有哪些种类，遇到畸形报文攻击怎么防御

随着互联网与我们生活的紧密性越来越强，网络攻击事件也愈加频繁，常见的网络攻击活动中，犯罪分子是通过入侵或破坏服务器来进行网络攻击的。常见的网络攻击类型有：拒绝服务型攻击、畸形报文攻击、扫描窥探攻击，尽管畸形报文攻击很少见，但它带来的威胁也不小

一.什么是畸形报文攻击

畸形报文顾名思义就是有缺陷的IP报文，黑客通过向目标服务器发送大量含有缺陷的IP报文，使目标主机或服务器在处理这类报文时崩溃，这就是我们所说的畸形报文攻击。

二.畸形报文攻击种类以及防护方式

主要的畸形报文攻击有TCP标志位非法攻击、Teardrop 、Ping of Death、LAND攻击和Smurf攻击等。

1.Ping of Death攻击

路由器对包的大小是有限制的，IP报文的长度字段为16位，即IP报文的最大长度为65535。如果遇到大小超过65535的报文，会出现内存分配错误，从而使接收方的计算机系统崩溃。攻击者只需不断的通过Ping命令向攻击目标发送超过65535的报文，就可以使目标计算机的TCP/IP堆栈崩溃，致使接收方系统崩溃。

防护办法：

Anti-DDoS设备检测数据包的大小是否大于65535字节，对于大于65535字节的数据包，则丢弃。

2.IP分片报文攻击

IP报文头中的不分段（DF）位和更多分段（MF）位用于分片控制，攻击者通过发送分片控制非法的报文，从而导致主机接收报文时产生故障，报文处理异常，甚至导致主机崩溃。

防护办法：

检测到报文控制位是下列情况之一时，则直接丢弃并记录攻击日志：

DF位为1（表示不能对数据包分段），而MF位也为1（表示还有更多的分段）。

DF位为1，而分段偏移（Offset） > 0。

DF位为0，而分片Offset + Length > 65535。

3.TCP报文标志位攻击

TCP报文标志位包括URG、ACK、PSH、RST、SYN、FIN六位，攻击者通过发送非法TCP flag组合的报文，对主机造成危害。

防护办法：

将检查TCP报文的各个标志位，若出现以下情况，则视为攻击，予以丢弃并记录攻击日志：

• 6个标志位全为1。

• 6个标志位全为0。

• SYN和FIN位同时为1。

• SYN和RST位同时为1。

FIN位为1，而ACK位为0。

4.Teardrop攻击

对于一些大的IP数据包，为了迎合链路层的MTU（Maximum Transmission Unit）的要求，需要传送过程中对其进行拆分，分成几个IP包。在每个IP报头中有一个偏移字段和一个拆分标志（MF），其中偏移字段指出了这个片段在整个IP包中的位置。如果攻击者截取IP数据包后，把偏移字段设置成不正确的值，接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合出被拆分的数据包，这样，接收端会不停的尝试，以至操作系统因资源耗尽而崩溃。

防护办法：

对接收到的分片数据包进行分析，计算数据包的偏移量是否有误，如果有误则丢弃，并记录攻击日志。

5.WinNuke攻击

WinNuke攻击又称“带外传输攻击”，它的特征是攻击目标端口，被攻击的目标端口通常是139，而且URG位设为1，即紧急模式。WinNuke攻击是利用Windows操作系统的漏洞，向端口发送一些携带TCP带外（OOB）数据报文，但这些攻击报文与正常携带OOB数据报文不同，其指针字段与数据的实际位置不符，即存在重合，这样Windows操作系统在处理这些数据时，就会崩溃。

还有一种是IGMP（Internet Group Management Protocol）分片报文。一般情况下IGMP报文是不会分片的，很多系统对IGMP分片报文的处理也都存在问题。

防护办法：

首先判断数据包目标端口是否为139，并判断URG位是否为1，以及URG指针不为空，同时满足以上三个条件的报文将被丢弃，并记录攻击日志。

如果收到IGMP分片报文，则可能是受到了WinNuke攻击。Anti-DDoS设备可以对这种IGMP分片报文进行防御。

6.Smurf攻击

攻击者向网络中的广播地址发送源IP伪造为受害者的ICMP请求报文，使得网络中的所有主机向受害者回应ICMP应答报文，这样造成受害者系统繁忙，链路拥塞。

防护办法：

检查ICMP请求报文的目的地址是否为网络的A、B、C类广播地址，如果是则丢弃。

7.Land攻击

Land攻击是指攻击者向受害者发送TCP报文，此TCP报文的源地址和目的地址同为受害者的IP地址。这将导致受害者向它自己的地址发送回应报文，从而造成资源的消耗。

防护办法：

检查TCP报文的源地址和目的地址是否相同，或者TCP报文的源地址是否为环回地址，如果是则丢弃。

8.Fraggle攻击

当主机启用了端口7（ECHO）和19（Chargen）时，主机在收到目的端口为7（ECHO）或19（Chargen）的UDP报文后，就会产生回应。主机在收到目的端口为7的UDP报文后，会像ICMP Echo Reply一样回应收到的内容；而当主机收到目的端口为19的UDP报文后，会产生一串字符流。就像Smurf一样，这两个UDP端口都会产生大量的应答报文，占据网络带宽。

攻击者可以向攻击目标所在的网络发送UDP报文，报文的源地址为被攻击主机的地址，目的地址为被攻击主机所在子网的广播地址或子网网络地址，目的端口号为7或19。子网中启用了端口7（ECHO）和19（Chargen）的主机都会向被攻击主机发送回应报文，从而产生大量的流量，占满带宽，导致受害网络的阻塞或受害主机的崩溃。

即使子网上没有启用端口7（ECHO）和19（Chargen）的主机也将产生一个ICMP不可达消息，因而仍然消耗带宽。若攻击者将UDP报文的源端口改为19，目的端口为7，这样会不停地产生大量回应报文，其危害性更大。

防护办法：

对Fraggle攻击直接拒绝，并将攻击记录到日志。

9.IP欺骗攻击

IP欺骗攻击是一种常用的攻击方法，同时也是其他攻击方法的基础，这是由IP协议自身的特点决定的。IP协议依据IP头中的目的地址来发送IP报文，如果目的地址是本网络内的地址，则被直接发送到目的地址；如果目的地址不是本网络地址，则被发送到网关，而不对IP包中提供的源地址做任何检查，默认为IP包中的源地址就是发送IP包主机的地址。

攻击者通过向目标主机发送源IP地址伪造的报文，欺骗目标主机，从而获取更高的访问和控制权限。该攻击导致危害资源，信息泄漏。

防护办法：

对此类攻击还是按照DDOS攻击的方式处理。

三.使用德迅云安全高防产品

1.德迅云安全高防服务器

德迅云安全部署的T级别数据中心，具备完善的机房设施，核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送：自主化管理平台、德迅卫士（主机安全防火墙）、WEB云防护（一站式网站安全加速）、1V1专家技术支撑，竭诚为您提供安全、可靠、稳定、高效的服务体验。

DDoS清洗：近源清洗多种流量清洗部署方案，无损防御各种DDoS攻击

CC攻击防御：5s发现恶意请求，10s快速阻断攻击，事前拦截、事后溯源、全方位防黑

WEB应用防火墙：防SQL注入、XSS跨站，后门隔离保护、WEB SHELL上传、非法HTTP协议请求。

德迅卫士：系统层安全软件，为用户远程桌面扫描登陆、手机短信验证登陆等。一键后台优化服务器权限、威胁组件、威胁端口。

2.德迅云安全抗D盾

抗D盾是新一代的智能分布式云接入系统，接入节点采用多机房集群部署模式，隐藏真实服务器IP，类似于网站CDN的节点接入，但是“抗D盾”是比CDN应用范围更广的接入方式，适合任何TCP 端类应用包括（游戏、APP、微端、端类内嵌WEB等）。用户连接状态在各机房之间实时同步，节点间切换过程中用户无感知，保持TCP连接不中断，轻松应对任何网络攻击。

DDoS防御：基于SDK接入的分布式防御体系，可精准定位恶意攻击者并主动隔离，具备自动化溯源能力。

CC攻击防御：私有化协议二次封装，非链接限速、报文检测机制，0误杀、0漏过。

集成方式：EXE封装、SDK接入，支持Windows、iOS、Android系统，分钟级集成。

网络加速：智能多线节点分布，配合独家研发的隧道填补技术，保证每条线路都是优质网络

3.德迅云安全的安全加速SCDN

1、Web攻击防护

有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击；智能语义解析引擎，提供智能语义解析功能，在漏洞防御的基础上，增强SQL注入和XXS攻击检测能力。

2、AI检测和行为分析

通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型，对用户多请求的多元因子进行智能分析，有效提高检出率，降低误报率；通过信息孤岛、行为检测分析，识别恶意攻击源，保护网站安全。

3、应用层DDoS防护

SCDN可以帮助识别和过滤恶意流量，例如僵尸网络、爬虫和其他恶意攻击。通过大数据分析平台，实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库；当请求与网站正常访问基线不一致时，启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

4、SSL/TLS加速

SSL/TLS是加密网站数据和保护用户数据隐私的重要方式。SCDN可以优化SSL/TLS的握手过程，加快加密数据的传输速度，同时保证数据安全。

5、内容保护

SCDN可以帮助实现内容访问策略，如网页防篡改、区域访问限制、IP黑白名单、非法内容风控，以及其他网站防盗链等安全措施。这些措施有助于保护网站内容免受未经授权的访问和盗版。

6、安全证书管理

管理SSL/TLS证书可能复杂且容易出错。SCDN提供商可以帮助自动化证书的更新和部署，减少因证书过期或配置不当导致的安全风险

7、安全可视化

SCDN可以提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表，满足业务汇报和趋势分析需求；提供基于均值和峰值带宽统计信息，提供攻击带宽和正常占比，随时关注业务状况。提供多种组件，了解业务监控和核心指标变化情况。这种监控有助于及时响应潜在的安全威胁。

通过这些方式，SCDN不仅增强了网站的性能，还大大提高了其安全性，保护网站免受各种网络攻击，保障用户数据的安全。