01 前言
承接上文《常见攻击及防御技术详解,专业人士必知-基础篇》,本篇为大家带来的是基础DoS(Denial of Service,即拒绝服务)攻击及防御原理,主要是针对单包形式攻击防范。
02 LAND攻击
2.1 攻击原理
攻击者发送源IP地址和目的IP地址相同、或者源IP地址为环回地址(127.0.0.1),源端口和目的端口相同的SYN报文给目标主机,导致被攻击者向其自己的地址发送SYN-ACK消息,因此存在大量的空连接。不同被攻击者对Land攻击反应不同:UNIX主机将崩溃,Windows NT主机的运行状态会变的极其缓慢。
2.2 防御原理
检测TCP报文的源IP地址和目的IP地址是否相同,或者TCP报文的源地址是否为环回地址,如果是则丢弃该报文,否则继续向后转发。
03 Ping of Death攻击
3.1 攻击原理
Ping of Death,是利用长度超大的ICMP报文对系统进行的一种攻击。IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP Echo报文,如果数据长度大于65515,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)>65535。有些路由器或系统,在接收到一个这样的报文后,由于处理发生错误,会造成系统崩溃、死机或重启。
3.2 防御原理
检测ICMP报文大小是否大于65535字节,如果是则丢弃该报文,否则继续向后转发。
04 TearDrop攻击
4.1 攻击原理
对于一些大的IP数据包,为了满足链路层的MTU(Maximum Transmission Unit)的要求,需要传送过程中对其进行分片,分成几个IP包。在每个IP报头中有一个偏移字段和一个分片标识(MF),其中偏移字段指出了这个片段在整个IP包中的位置。如果攻击者把偏移字段设置成不正确的值,接收端在收到这些分片报文后,不能按数据包中的偏移字段值正确地重组报文进而会不停的尝试,以至操作系统因资源耗尽而崩溃。
4.2 防御原理
检测分片报文的偏移量是否有误,如果有误则直接丢弃该报文,否则继续向后转发。
05 UDP Fraggle攻击
5.1 攻击原理
攻击者向攻击目标所在的网络发送UDP报文,报文的源地址为被攻击主机的地址,目的IP地址为被攻击主机所在子网的广播地址或子网网络地址,目的端口号为7或19。子网中启用了Chargen服务或Echo服务的每个系统都会向被攻击主机发送回应报文,从而产生大量的流量,占满带宽,导致受害网络的阻塞或受害主机的崩溃。若攻击者将UDP报文的源端口改为19,目的端口为7,这样会不停地产生大量回应报文,其危害性更大。
5.2 防御原理
检测UDP报文的目的端口号是否为7或19,如果是则直接丢弃该报文,否则继续向后转发。
06 WinNuke攻击
6.1 攻击原理
攻击者向攻击目标发送目的端口为139且TCP Flag标志位中URG字段为1(即紧急模式)的TCP报文,这些攻击报文的指针字段与数据的实际位置不符。导致Windows操作系统在处理这些数据时,就会崩溃。
6.2 防御原理
检测TCP报文是否目的端口为139、TCP Flag标志位中URG位为1且URG指针非空,如果是则直接丢弃,否则继续向后转发。
07 ICMP Smurf攻击
7.1 攻击原理
攻击者向攻击目标所在的网络发送ICMP Echo Request请求报文,报文的目的IP地址为被攻击主机所在子网的广播地址或子网网络地址,这样该网络的所有主机都对此ICMP Echo Request请求报文作出应答,导致网络阻塞。如果将ICMP请求报文的源IP地址也设置为广播地址,那么所有主机回复的ICMP响应报文目的IP则也是广播地址,这样一来将会再次放大攻击效果。此外,目标主机所在网络的主机越多,攻击效果就越明显。
7.2 防御原理
检测ICMP请求报文的源IP地址或目的IP地址是否为A、B、C类子网的广播地址或子网网络地址,如果是则直接丢弃,否则继续向后转发。
A类地址范围:1.0.0.0~126.255.255.255
B类地址范围:128.0.0.0~191.255.255.255
C类地址范围:192.0.0.0~223.255.255.255
08 结语
本期内容就到这里,欢迎小伙伴积极互动留言,更多攻防技术下期不见不散!
Copyright © 2005-2021 网信安全世界版权所有