【网络安全】网络设备可能面临哪些攻击？

网络设备通常是网络基础设施的核心，并控制着整个网络的通信和安全，同样面临着各种各样的攻击威胁。
对网络设备的攻击一旦成功，并进行暴力破坏，将会导致网络服务不可用，且可以对网络流量进行控制，利用被攻陷的交换机、路由器等设备发动分布式拒绝服务攻击其他目标等等。

那么，我们在网的网络设备具体会面临什么样的攻击呢？接下来会列出常见和可能的攻击类型：

畸形报文攻击

畸形报文攻击是通过向目标设备发送有缺陷的IP报文，使得目标设备在处理这样的IP报文时出错和崩溃，影响目标设备承载的业务正常运行。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃，实现对设备的保护。畸形报文种类如下表所示。

分片报文攻击

分片报文攻击是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源，影响目标设备承载的业务正常运行。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理，实现对本设备的保护。

分片报文攻击主要分类

1. 分片数量巨大攻击：同一IP报文中的分片数目超过8189个，造成设备重组分片报文时消耗大量CPU资源。
2. 巨大Offset攻击：攻击者向目标设备发送一个Offset值大于8189的分片报文，导致目标设备需要分配巨大的内存空间来存放所有分片报文，消耗大量资源。
3. 重复分片攻击 ：重复分片攻击就是把同样的分片报文多次向目标主机发送，造成目标主机的CPU和内存使用不正常。同样的分片包括完全相同的分片和报文不相同但offset相同的分片。
4. Syndrop攻击：IP分片错误，第二片包含在第一片之中。即数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部。Syndrop攻击使用了TCP协议，Flag为SYN，而且带有载荷。
5. 分片错误攻击：IP报文分片第二片包含在第一片之中，即数据包中第二片IP包的偏移量小于第一片结束的位移。根据采用的协议不同和有效荷载长度不同可分为Syndrop攻击、NewTear攻击、Bonk攻击和Nesta攻击。

分片报文攻击防范方法

对于分片数量巨大攻击、巨大Offset攻击、Syndrop攻击和分片错误攻击，直接丢弃所有分片报文。对于重复分片攻击，设备实现对分片报文进行CAR（Committed Access Rate）限速，保留首片，丢弃其余所有相同的重复分片，保证不对CPU造成攻击。

TCP SYN泛洪攻击

TCP SYN攻击利用了TCP三次握手的漏洞。

在TCP的3次握手期间，当接收端（目标设备）收到来自发送端（攻击者）的初始SYN报文时，向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时，该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包，则重新发送一个SYN+ACK到发送端。如果经过多次重试，发送端始终没有返回ACK报文，则接收端关闭会话并从内存中刷新会话，从传输第一个SYN+ACK到会话关闭大约需要30秒。

在这段时间内，攻击者可能发送大量SYN报文到开放的端口，并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷，且无法再接收任何新的连接，并将现有的连接断开。

TCP SYN泛洪攻击防范即设备对TCP SYN报文进行速率限制，当目标设备每秒收到的SYN报文数量超过限速值就启动丢弃动作，保证设备受到攻击时资源不被耗尽。

UDP泛洪攻击

UDP泛洪攻击是指攻击者在短时间内向目标设备发送大量的UDP报文，导致目标设备负担过重而不能处理正常的业务。UDP泛洪攻击分为两类：

• Fraggle攻击：攻击者发送源地址为目标设备IP地址，目的地址为广播地址，目的端口号为7的UDP报文。如果该广播网络中有很多主机都启用了UDP响应请求服务，目标设备将会收到很多主机发送的UDP回应报文，设备处理这些报文会消耗CPU资源，造成系统繁忙，从而达到攻击效果。
  
  对于Fraggle攻击，设备开启UDP泛洪攻击防范功能后，默认UDP端口号为7的报文是攻击报文，直接将其丢弃。

• UDP诊断端口攻击：攻击者向目标设备的UDP诊断端口（7-echo，13-daytime，19-Chargen等UDP端口）发送大量UDP请求报文，形成泛洪，消耗网络带宽资源，并且目标设备为这些请求提供服务回应UDP报文时会消耗CPU资源，造成负担过重而不能处理正常的业务。

开启泛洪攻击防范功能后，设备将UDP端口为7、13和19的报文认为是攻击报文，直接丢弃。

ICMP泛洪攻击

网络管理员一般用Ping程序对网络进行监控和故障排除，大概过程如下：

• 源设备向接收设备发出ICMP请求报文；
• 接收设备接收到ICMP请求报文后，会向源设备回应一个ICMP响应报文。

如果攻击者向目标设备发送大量的ICMP请求报文，则目标设备会忙于处理这些请求，而无法继续处理其他的数据报文，造成对正常业务的冲击。

ICMP泛洪攻击防范即设备对ICMP报文进行速率限制，当目标设备每秒收到的ICMP报文数量超过限速值就启动丢弃动作，保证设备受到攻击时资源不被耗尽。

推荐阅读

• 如何在Linux中安装和使用dig工具
• 【网络安全】零日漏洞（0day）是什么？如何防范零日攻击？
• 局域网协议：ICMP (Internet Control Message Protocol，互联网控制消息协议)
• 安全知识普及：了解端点检测与响应 (EDR)对企业的重要性
• 安全知识普及：什么是垃圾邮件和网络钓鱼欺诈
• VRRP（虚拟路由器冗余协议）标准协议工作机制与优势介绍