常见攻击及防御技术详解——进阶篇

admin 2023年5月16日07:53:11评论56 views字数 1754阅读5分50秒阅读模式
常见攻击及防御技术详解——进阶篇
01
前言

承接上文《常见攻击及防御技术详解,专业人士必知-基础篇》,本篇为大家带来的是基础DoS(Denial of Service,即拒绝服务)攻击及防御原理,主要是针对单包形式攻击防范。

02
LAND攻击
2.1 攻击原理
常见攻击及防御技术详解——进阶篇
攻击者发送源IP地址和目的IP地址相同、或者源IP地址为环回地址(127.0.0.1),源端口和目的端口相同的SYN报文给目标主机,导致被攻击者向其自己的地址发送SYN-ACK消息,因此存在大量的空连接。不同被攻击者对Land攻击反应不同:UNIX主机将崩溃,Windows NT主机的运行状态会变的极其缓慢。
2.2 防御原理
常见攻击及防御技术详解——进阶篇

检测TCP报文的源IP地址和目的IP地址是否相同,或者TCP报文的源地址是否为环回地址,如果是则丢弃该报文,否则继续向后转发。

03
Ping of Death攻击
3.1 攻击原理
常见攻击及防御技术详解——进阶篇

Ping of Death,是利用长度超大的ICMP报文对系统进行的一种攻击。IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP Echo报文,如果数据长度大于65515,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)>65535。有些路由器或系统,在接收到一个这样的报文后,由于处理发生错误,会造成系统崩溃、死机或重启。

3.2 防御原理
常见攻击及防御技术详解——进阶篇

检测ICMP报文大小是否大于65535字节,如果是则丢弃该报文,否则继续向后转发。

04
TearDrop攻击
4.1 攻击原理
常见攻击及防御技术详解——进阶篇

对于一些大的IP数据包,为了满足链路层的MTU(Maximum Transmission Unit)的要求,需要传送过程中对其进行分片,分成几个IP包。在每个IP报头中有一个偏移字段和一个分片标识(MF),其中偏移字段指出了这个片段在整个IP包中的位置。如果攻击者把偏移字段设置成不正确的值,接收端在收到这些分片报文后,不能按数据包中的偏移字段值正确地重组报文进而会不停的尝试,以至操作系统因资源耗尽而崩溃。

4.2 防御原理
常见攻击及防御技术详解——进阶篇

检测分片报文的偏移量是否有误,如果有误则直接丢弃该报文,否则继续向后转发。

05
UDP Fraggle攻击
5.1 攻击原理
常见攻击及防御技术详解——进阶篇

攻击者向攻击目标所在的网络发送UDP报文,报文的源地址为被攻击主机的地址,目的IP地址为被攻击主机所在子网的广播地址或子网网络地址,目的端口号为7或19。子网中启用了Chargen服务或Echo服务的每个系统都会向被攻击主机发送回应报文,从而产生大量的流量,占满带宽,导致受害网络的阻塞或受害主机的崩溃。若攻击者将UDP报文的源端口改为19,目的端口为7,这样会不停地产生大量回应报文,其危害性更大。

5.2 防御原理
常见攻击及防御技术详解——进阶篇

检测UDP报文的目的端口号是否为7或19,如果是则直接丢弃该报文,否则继续向后转发。

06
WinNuke攻击
6.1 攻击原理
常见攻击及防御技术详解——进阶篇

攻击者向攻击目标发送目的端口为139且TCP Flag标志位中URG字段为1(即紧急模式)的TCP报文,这些攻击报文的指针字段与数据的实际位置不符。导致Windows操作系统在处理这些数据时,就会崩溃。

6.2 防御原理
常见攻击及防御技术详解——进阶篇

检测TCP报文是否目的端口为139、TCP Flag标志位中URG位为1且URG指针非空,如果是则直接丢弃,否则继续向后转发。

07
ICMP Smurf攻击
7.1 攻击原理
常见攻击及防御技术详解——进阶篇

攻击者向攻击目标所在的网络发送ICMP Echo Request请求报文,报文的目的IP地址为被攻击主机所在子网的广播地址或子网网络地址,这样该网络的所有主机都对此ICMP Echo Request请求报文作出应答,导致网络阻塞。如果将ICMP请求报文的源IP地址也设置为广播地址,那么所有主机回复的ICMP响应报文目的IP则也是广播地址,这样一来将会再次放大攻击效果。此外,目标主机所在网络的主机越多,攻击效果就越明显。

7.2 防御原理
常见攻击及防御技术详解——进阶篇
检测ICMP请求报文的源IP地址或目的IP地址是否为A、B、C类子网的广播地址或子网网络地址,如果是则直接丢弃,否则继续向后转发。

A类地址范围:1.0.0.0~126.255.255.255

B类地址范围:128.0.0.0~191.255.255.255

C类地址范围:192.0.0.0~223.255.255.255
08
结语

本期内容就到这里,欢迎小伙伴积极互

原文始发于微信公众号(威努特工控安全):常见攻击及防御技术详解——进阶篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月16日07:53:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   常见攻击及防御技术详解——进阶篇https://cn-sec.com/archives/1733378.html

发表评论

匿名网友 填写信息