软考:网络安全-网络攻击

安全攻击类型

1)病毒

2)蠕虫

3)木马

4)僵尸网络

5)DOS 利用大量合法的请求占用大量网络资源,以达到瘫痪网络的目的

6)DDOS 很多DOS攻击源一起攻击某台服务器就形成了DDOS攻击

7)垃圾邮件

 

防范DOS和DDOS攻击的方式有:

1)根据IP地址对数据包进行过滤

2)使用高级别的身份认证

3)检测不正常的流量

 

恶意代码命名规则:

Harm 恶意程序 对计算机进行破坏

Joke 恶作剧程序 不对计算机进行破坏,带来恐慌和麻烦

 

网络攻击分类

网络攻击一般分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类:

● 拒绝服务型攻击

拒绝服务型DoS(Denial of Service)攻击是使用大量的数据包攻击系统,使系统

无法接受正常用户的请求,或者主机挂起不能正常的工作。主要DoS攻击有SYN Flood、Fraggle等。

拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问资源或防火墙。

● 扫描窥探攻击

扫描窥探攻击是利用ping扫描(包括ICMP和TCP)来标识网络上存活着的系统,从而准确地指出潜在的目标。利用TCP和UDP等进行端口扫描,就能检测出操作系统的种类和潜在的服务种类。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类,为进一步侵入系统做好准备。

● 畸形报文攻击

畸形报文攻击是通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失。主要的畸形报文攻击有Ping of Death、Teardrop等。

 

Land攻击

Land攻击,就是把TCP的SYN包的源地址和目的地址都设置为目标计算机的IP地址。这将导致目标计算机向它自己发送SYN-ACK报文,目标计算机又向自己发回ACK报文并创建一个空连接,每一个这样的连接都将保留直到超时。

各种类型的主机对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机会变

得极其缓慢。

 

Smurf攻击

简单的Smurf攻击,用来攻击一个网络。攻击者向目标网络发送ICMP应答请求报文,

该报文的目标地址设置为目标网络的广播地址,这样,目标网络的所有主机都对此

ICMP应答请求作出答复,导致网络阻塞。

高级的Smurf攻击,主要用来攻击目标主机。攻击者向目标主机所在的网络发送ICMP

应答请求报文,该报文的源地址设置为目标主机的地址,这样,所有的应答报文都将

发送给目标主机。最终导致目标主机处理速度缓慢,甚至崩溃。

 

WinNuke攻击

NetBIOS作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享,以

及不同操作系统之间的数据交换。一般情况下,NetBIOS是运行在LLC2链路协议之上

的,是一种基于组播的网络访问接口。在TCP/IP协议栈上实现NetBIOS时,几个常用

的TCP/UDP端口如下。

● 139:NetBIOS会话服务的TCP端口。

● 137:NetBIOS名字服务的UDP端口。

● 136:NetBIOS数据报服务的UDP端口。

Windows操作系统实现了NetBIOS over TCP/IP功能,并开放了139端口。WinNuke攻击就是利用了Windows操作系统的一个漏洞,向这个139端口发送一些携带TCP带外(OOB)数据报文,但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重叠,Windows操作系统在处理这些数据的时候,就会崩溃。

 

SYN Flood攻击

SYN Flood攻击利用TCP三次握手的一个漏洞向目标计算机发动攻击。攻击者向目标计

算机发送TCP连接请求(SYN报文),然后对于目标返回的SYN-ACK报文不作回应。目

标计算机如果没有收到攻击者的ACK回应,就会一直等待,形成半连接,直到连接超

时才释放。让目标计算机上生成大量的半连接,迫使其大量资源浪费在这些半连接上。目标计算机一旦资源耗尽,就会出现速度极慢、正常的用户不能接入等情况。

攻击者还可以伪造SYN报文,其源地址是伪造的或者不存在的地址,向目标计算机发

起攻击。

 

ICMP Flood 攻击

通常情况下,网络管理员会用PING程序对网络进行监控和故障排除,大概过程如下:

1. 源计算机向接收计算机发出ICMP响应请求报文(ICMP ECHO)。

2. 接收计算机接收到ICMP响应请求报文后,会向源计算机回应一个ICMP应答报文

(ECHO Reply)。

这个过程是需要CPU处理的,在有些情况下还可能消耗掉大量的资源。

如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算

机会忙于处理这些ECHO报文,而无法继续处理其它的数据报文。

 

UDP Flood 攻击

UDP Flood攻击的原理与ICMP Flood攻击类似,攻击者通过发送大量的UDP报文给目

标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

 

Ping of Death 攻击

所谓Ping of Death,就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP回应请

求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度

(8)> 65535。对于有些防火墙或系统,在接收到一个这样的报文后,由于处理不

当,会造成系统崩溃、死机或重启。

 

Large-ICMP 攻击

同ping of death类似,Large-ICMP也是利用一些大尺寸的ICMP报文对系统进行的一

种攻击,与ping of death不同的是,Large-ICMP报文的长度不会超过IP报文的最大长

度65535,但是对一些操作系统也会造成破环。需要在防火墙上配置允许通过的ICMP报文的最大长度。

 

ICMP-Unreachable 攻击

某些系统在收到网络(报文类型字段为3,代码字段为0)或主机(报文类型字段为3,代码字段为1)不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达。

攻击者利用这种机制,向目标主机发送虚假的ICMP-Unreachable报文,干扰了目标主

机的路由信息,影响了报文发送。

 

ICMP-Redirect 攻击

ICMP-Redirect攻击和ICMP-Unreachable攻击类似。

网络设备可以向同一个子网的主机发送ICMP重定向报文,请求主机修改路由。

攻击者利用这个原理,跨越网段向另外一个网络的目标主机发送虚假的重定向报文,以改变目标主机的路由表。这种攻击干扰了目标主机的路由信息,影响了报文发送。

 

IP-fragment 攻击

IP报文中有几个字段与分片有关:DF(Don’t Fragment)位、MF位、Fragment

Offset、Length。

如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,甚至瘫

痪。矛盾的情况有:

● DF位被置位,而MF位同时被置位或Fragment Offset不为0。

● DF位为0,而Fragment Offset + Length > 65535。

另外,由于分片报文可以增加目的设备缓冲和重组的负担,应直接丢弃目的地址为设

备本身的分片报文。

 

Teardrop 攻击

在网络传输的过程中,如果IP报文的长度超过链路层的MTU(最大传输单元),就会

进行分片。在IP报头中有一个偏移字段(OFFSET)和一个分片标志(MF),如果MF

标志设置为1,则表明这个IP报文是一个大IP包的分片,其中偏移字段指出了这个片断

在整个IP包中的位置。接收端可以根据报文头中的这些信息还原该IP包。

比如,一个较大的报文在MTU较小的链路上传输的时候,被分成了两个IP报文,这两

个IP报文将在目的端进行组装,还原为原始的IP报文。

如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合

或断开的情况。某些TCP/IP协议栈在收到类似这种含有重叠偏移的伪造分段时会崩溃,这就是所谓的Teardrop攻击。

 

Fraggle攻击

Fraggle攻击的原理与Smurf攻击的原理类似,不过,Fraggle攻击发送的是UDP报文而

非ICMP报文。因为发送的是UDP报文,Fraggle攻击可以穿过一些阻止ICMP报文进入的防火墙。

Fraggle攻击利用的原理是:UDP端口7(ECHO)和端口19(Chargen)在收到UDP报文后,都会产生回应。如下:

● UDP的7号端口收到报文后,会象ICMP Echo Reply一样回应收到的内容。

● UDP的19号端口在收到报文后,会产生一串字符流。

这两个UDP端口都会产生大量应答报文,挤占网络带宽。

攻击者可以向目标主机所在的网络发送源地址为被攻击主机、而目的地址为其所在子

网的广播地址或子网网络地址的UDP报文,目的端口号为7(ECHO)或19(Chargen)。子网中启用了此功能的每个系统都会向受害主机发送回应报文,从而产生大量的流量,导致受害网络的阻塞或受害主机崩溃。

如果目标主机所在网络上的主机没有启动这些功能,这些主机将产生一个ICMP不可达

消息,仍然消耗带宽。也可将源端口改为端口19(Chargen),目的端口为7(ECHO),这样会自动不停地产生回应报文,其危害性更大。

 

畸形 TCP 报文攻击

畸形TCP报文是通过故意错误设置TCP头中的6个标记位,造成接收方TCP协议栈的处理错误,达到攻击的目的。

 

APT攻击:

集合多种攻击方式,针对特定对象,长期、有计划性和组织性地渗透入侵行为

 

SQL攻击

利用WEB应用程序过滤不严,通过输入精心构造的字符串去执行SQL语句或系统命令

 

跨站脚本(cross-site scripting,XSS

攻击者在看上去来源可靠的链接中恶意嵌入代码。当有人点击链接,嵌入程序作为客户网络要求的一部分提交并且会在用户电脑上执行,一般来说会被攻击者盗取信息。

 

跨站请求伪造CSRF(Cross-site request forgery

攻击者盗用了你的身份,以你的名义发送恶意请求,原理用户带着A网站的cookie访问攻击者的B网站,B网站诱导用户操作A网站的链接,比如转账操作

你可能感兴趣的:(软考)