ping-of-death攻击
ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。
配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。
“ping ofdeath"攻击就是我们常说的"死亡Ping” 这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出,引起拒绝服务攻击。有些时候导致telne和http服务停止,有些时候路由器重启。
Land-base攻击
Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。
配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。
在Land攻击中,黑客利用一个特别打造的SYN包–它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢(大约持续五分钟)。
IP欺骗: 这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设有一个合法用户(100.100.100.100)已经同服务器建了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为100.100.100.100,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从100.100.100.100发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户100.100.100.100再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
tear-drop攻击
tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。
因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。比如,一个6 000字节的IP包,在MTU为2 000的链路上传输的时候,就需要分成3个IP 包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表示这个IP包是一个大IP包的片段,其中偏移字段指出了这个片段在整个IP包中的位置。例如,对一个6000字 节的IP包进行拆分(MTU为2000),则3个片段中偏移字段的值依次为0,2000,4 000。这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这 里就有一个安全漏洞可以利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合这些拆分的数据包,但接收端会不断尝试,这样就可能致使目标计算机操作系统因资源耗尽而崩溃。
TCP 异常攻击
TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。
TCP 异常攻击防护功能开启后,默认情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。当安全网关检测到以下各种情况,就会判断为受到TCP 异常攻击:
TCP 包仅设置了FIN flag;
TCP 包没有设置flag;
TCP 包的FIN 和RST flag 同时被设置;
TCP 包的SYN 和URG flag 同时被设置;
TCP 包的SYN 和RST flag 同时被设置;
TCP 包的SYN 和FIN flag 同时被设置;
在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.
其中,对于我们日常的分析有用的就是前面的五个字段。
它们的含义是:
SYN表示建立连接,
FIN表示关闭连接,
ACK表示响应,
PSH表示有 DATA数据传输,
RST表示连接重置。
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,
如果只是单个的一个SYN,它表示的只是建立连接。
TCP的几次握手就是通过这样的ACK表现出来的。
但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。
一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。
PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。
TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。
Winnuke攻击
Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。
配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。
紧急数据的作用
紧急标志可以用来通知对端:我放了一个紧急数据在数据流中,你看着办吧!这个特性往往可以来达到通知的目的。
一旦 TCP 知道了你要发送紧急数据,那么在接下来的数据发送中,TCP 会将所有的 TCP 报文段中的 URG 标志置位,哪怕该报文段中不包含紧急数据,这个行为会持续到紧急数据被发送出去为止。也就是接下来发送的TCP报文的URG都被置为1,直到紧急数据被发送出去
TCP协议没有真正意义上的带外数据.为了发送重要协议,TCP提供了一种称为紧急模式(urgentmode)的机制.TCP协议在数据段中设置URG位,表示进入紧急模式.接收方可以对紧急模式采取特殊的处理.很容易看出来,这种方式数据不容易被阻塞,可以通过在我们的服务器端程序里面捕捉SIGURG信号来及时接受数据或者使用带OOB标志的recv函数来接受。
也 许我们已经意识到了,有时数据会以一定的方式变得紧急。一个流套接口会有一个大量的数据队列等待发送到网络。在远程端点,也会有大量已接收的,却还没有被 程序读取的数据。如果发送客户端程序由于一些原因需要取消已经写入服务器的请求,那么他就需要向服务器紧急发送一个标识取消的请求。如果向远程服务器发送 取消请求失败,那么就会无谓的浪费服务器的资源。
使用带外数据的实际程序例子就是telnet,rlogin,ftp命令。前两个程序会将中止字符作为紧急数据发送到远程端。这会允许远程端冲洗所有未处理 的输入,并且丢弃所有未发送的终端输出。这会快速中断一个向我们屏幕发送大量数据的运行进程。ftp命令使用带外数据来中断一个文件的传输。
IP-Spoof 攻击
IP-Spoof 防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。
Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。
IP碎片攻击
IP首部有两个字节表示整个IP数据包的长度,所以IP数据包最长只能为0xFFFF,就是65535字节。如果有意发送总长度超过65535的IP碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。所以说,漏洞的起因是出在重组算法上。
jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片,可以使Windows系统的机器死锁。我测试了没打SP的Windows 2000,CPU利用率会立即上升到100%,鼠标无法移动。
曾经有人利用jolt2模拟网络流量,测试IDS在高负载流量下的攻击检测效率,就是利用这个特性。
tcp sack攻击
tcp sack 当tcp 的mss很小,并且不停发布连续报文时,会触发漏洞。
在早期的TCP拥塞控制中,通过收到duplicate ack(默认为3个),连续三次ack某一个包来告诉sender某个丢包了,然后进入fast retransmition state,sender重传这个包,当receiver收到这个重传包后,便会发一个ack(ack新的包)给sender,告诉sender下一个要发送的包是哪一个。可以看到,通过duplicate ack每次只能重传一个包,如果有多个丢包,在等待重传过程中,很容易timeout,造成带宽利用率下降(underutilized)。
5141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
