Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测方法:判断网络数据包的源地址和目标地址是否相同。
反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测方法:判断数据包的大小是否大于65535个字节。
反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测方法:判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
IP spoof即IP 电子欺骗,我们可以说是一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的技术。
攻击过程:第一步、Hack假冒Trust主机IP向服务方Target发送SYN,告诉Target 来自他所信任的Trust主机想发起一次TCP连接,序列号为数值X,这一步实现比较简单, Hack将IP包的源地址伪造为Trust主机IP地址即可。
Hack ->Target
SYN
SEQ:X
要注意的是,在攻击的整个过程中,必须使Trust主机与网络的正常连接中断。因为SYN请求中IP包源地址是Trust主机的,当Target收到SYN请求时,将根据IP包中源地址反馈ACK,SYN给Trust主机, 但事实上Trust并未向Target发送SYN请求, 所以Trust收到后会认为这是一次错误的连接,从而向Target回送RST,中断连接。这可不是我们所企求的。为了解决这个问题,在整个攻击过程中我们需要设法停止Trust主机的网络功能,这一实现很简单,用现在威力很强大的tfn2k之类的分布式拒绝服务软件攻击Trust主机,使之拒绝服务即可,(可参考作者另一篇文章《分布式拒绝服务软件》见www.chinabyte.com的网络学院部分)这里就不介绍了。
第二步、服务方Target产生SYN,ACK响应,并向请求方Trust主机(注意:是Trust,不是Hack,因为Target收到的IP包的源地址是Trust)发送ACK, ACK的值为X+1,表示数据成功接收到,且告知下一次希望接收到字节的SEQ是X+1。同时,Target向请求方Trust发送自己的SEQ,注意,这个数值对Hack是不可见的!!
Target -> Trust
SYN,ACK
SEQ:?
ACK:X+1
第三步、Hack再次向服务方发送ACK,表示接收到服务方的回应——虽然实际上他并没有收到服务方Targe的SYN,ACK响应。这次它的SEQ值为X+1,同时它必须猜出ACK的值!!并加一后回馈给Target。
Hack ->Target
ACK
SEQ:X+1
ACK:?+1
如果Hack能成功的猜出Target 的ACK值,那么TCP的三次握手就宣告成功, Target会将Hack看作Trust主机,IP spoof最关键的技术部分得到解决! 但有一点要清楚, Hack 主机这种连接是“盲人”式的,Hack永远不会收到来自Target的包,因为这些反馈包都被路由到Trust主机那里了(除非黑客能将相关骨干点的路由表内容做改动,记住:IP是独立的,它只是根据源地址,目的地址在互联网上路由传送。而在Hack向Target发送的三次握手IP包中源地址是宣称为Trust主机的) 我们可以不恰当的举个简单例子, Hack在Target上执行ls -l /,在Hack的屏幕上不会看到任何反馈,尽管事实上Target列出了根目录下的所有内容——Target将ls -l /结果送到了Trust主机。
由上我们可以看出, IP spoof成功的关键在于猜出在第二步服务方所回应的SEQ值,有了这个值,TCP连接方可成功的建立。在早期,这是个令人头疼的问题,但随着IP spoof攻击手段的研究日益深入,一些专用的算法,技术得到应用,并产生了一些专用的c程序,如SEQ-scan,yaas等。当黑客得到这些c程序时, 一切问题都将迎刃而解。
第三部分
在现实中投入应用的IP spoof一般被用于有信任关系的服务器之间的欺骗。假设网上有Target, Trust, Hack三台主机, Target为我们打算愚弄的主机, Trust和Target有基于IP地址的信任关系,也就是说拥有Trust主机IP地址的设备上的用户不需要账号及密码即可进入Target。(使用window操作系统比较习惯的读者可以把这种信任理解为局域网环境下的PC间无需密码的硬盘共享)既然如此,那么我们就可以在Hack上做手脚假冒Trust主机IP地址从而骗取Target的信任。 这种信任在unix中体现为r服务,比如一个大型网站的管理员除了自己的一台IP为11.22.33.44工作站外还拥有几打的sun 服务器,他厌倦了一次次在各个服务器上登录时等待并输入username,passwd,那么他可以在每台服务器的根目录下生成.rhosts文件,内容为11.22.33.44 +,这表示如果11.22.33.44这个IP有要求,服务器都无条件的提供可信的r服务。举例来讲,在11.22.33.44上执行rsh -l root server1.Yiming.com csh -i,则该管理员即直接进入server1.Yiming.com,不需要任何账号密码。除了这种为了省事的偷懒用途, r服务在目前的网络最多的被用来远程备份,远程磁带设备和需备份文件必须有信任关系。
好了,在上例中如果我们能假冒11.22.33.44这个IP,那么将会是什么样子?每一台信任它的服务器都会被控制!这才是管理员需要引起的注意的。
由上我们看到,因为TCP/IP本身的漏洞,IP spoof是有实现条件的,但在目前的互联网中,假冒它人IP,然后利用这个IP去攻击和这个IP无信任的关系的主机从理论上依然很难行的通。
IP spoof即IP 电子欺骗,我们可以说是一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的技术。
攻击过程:第一步、Hack假冒Trust主机IP向服务方Target发送SYN,告诉Target 来自他所信任的Trust主机想发起一次TCP连接,序列号为数值X,这一步实现比较简单, Hack将IP包的源地址伪造为Trust主机IP地址即可。
Hack ->Target
SYN
SEQ:X
要注意的是,在攻击的整个过程中,必须使Trust主机与网络的正常连接中断。因为SYN请求中IP包源地址是Trust主机的,当Target收到SYN请求时,将根据IP包中源地址反馈ACK,SYN给Trust主机, 但事实上Trust并未向Target发送SYN请求, 所以Trust收到后会认为这是一次错误的连接,从而向Target回送RST,中断连接。这可不是我们所企求的。为了解决这个问题,在整个攻击过程中我们需要设法停止Trust主机的网络功能,这一实现很简单,用现在威力很强大的tfn2k之类的分布式拒绝服务软件攻击Trust主机,使之拒绝服务即可,(可参考作者另一篇文章《分布式拒绝服务软件》见www.chinabyte.com的网络学院部分)这里就不介绍了。
第二步、服务方Target产生SYN,ACK响应,并向请求方Trust主机(注意:是Trust,不是Hack,因为Target收到的IP包的源地址是Trust)发送ACK, ACK的值为X+1,表示数据成功接收到,且告知下一次希望接收到字节的SEQ是X+1。同时,Target向请求方Trust发送自己的SEQ,注意,这个数值对Hack是不可见的!!
Target -> Trust
SYN,ACK
SEQ:?
ACK:X+1
第三步、Hack再次向服务方发送ACK,表示接收到服务方的回应——虽然实际上他并没有收到服务方Targe的SYN,ACK响应。这次它的SEQ值为X+1,同时它必须猜出ACK的值!!并加一后回馈给Target。
Hack ->Target
ACK
SEQ:X+1
ACK:?+1
如果Hack能成功的猜出Target 的ACK值,那么TCP的三次握手就宣告成功, Target会将Hack看作Trust主机,IP spoof最关键的技术部分得到解决! 但有一点要清楚, Hack 主机这种连接是“盲人”式的,Hack永远不会收到来自Target的包,因为这些反馈包都被路由到Trust主机那里了(除非黑客能将相关骨干点的路由表内容做改动,记住:IP是独立的,它只是根据源地址,目的地址在互联网上路由传送。而在Hack向Target发送的三次握手IP包中源地址是宣称为Trust主机的) 我们可以不恰当的举个简单例子, Hack在Target上执行ls -l /,在Hack的屏幕上不会看到任何反馈,尽管事实上Target列出了根目录下的所有内容——Target将ls -l /结果送到了Trust主机。
由上我们可以看出, IP spoof成功的关键在于猜出在第二步服务方所回应的SEQ值,有了这个值,TCP连接方可成功的建立。在早期,这是个令人头疼的问题,但随着IP spoof攻击手段的研究日益深入,一些专用的算法,技术得到应用,并产生了一些专用的c程序,如SEQ-scan,yaas等。当黑客得到这些c程序时, 一切问题都将迎刃而解。
第三部分
在现实中投入应用的IP spoof一般被用于有信任关系的服务器之间的欺骗。假设网上有Target, Trust, Hack三台主机, Target为我们打算愚弄的主机, Trust和Target有基于IP地址的信任关系,也就是说拥有Trust主机IP地址的设备上的用户不需要账号及密码即可进入Target。(使用window操作系统比较习惯的读者可以把这种信任理解为局域网环境下的PC间无需密码的硬盘共享)既然如此,那么我们就可以在Hack上做手脚假冒Trust主机IP地址从而骗取Target的信任。 这种信任在unix中体现为r服务,比如一个大型网站的管理员除了自己的一台IP为11.22.33.44工作站外还拥有几打的sun 服务器,他厌倦了一次次在各个服务器上登录时等待并输入username,passwd,那么他可以在每台服务器的根目录下生成.rhosts文件,内容为11.22.33.44 +,这表示如果11.22.33.44这个IP有要求,服务器都无条件的提供可信的r服务。举例来讲,在11.22.33.44上执行rsh -l root server1.Yiming.com csh -i,则该管理员即直接进入server1.Yiming.com,不需要任何账号密码。除了这种为了省事的偷懒用途, r服务在目前的网络最多的被用来远程备份,远程磁带设备和需备份文件必须有信任关系。
好了,在上例中如果我们能假冒11.22.33.44这个IP,那么将会是什么样子?每一台信任它的服务器都会被控制!这才是管理员需要引起的注意的。
由上我们看到,因为TCP/IP本身的漏洞,IP spoof是有实现条件的,但在目前的互联网中,假冒它人IP,然后利用这个IP去攻击和这个IP无信任的关系的主机从理论上依然很难行的通。
扫一扫
984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
