SYN端口扫描
当一个源IP地址在规定的时间间隔内(缺省值为1秒)
将含有TCP SYN片段的IP数据包发送给位于相同目的IP地址的16个不同端口时,
即进行了一次端口扫描。
NULL扫描
TCP NULL扫描是为了获得目的主机的操作系统类型的信息以及提供服务的端口信息,
过程是向目的主机的的某端口发送一个没有任何标志位的TCP数据包,根据RFC793,
如果目的主机的相应端口是关闭的,那么应该返回一个RST数据包。
根据返回的信息的差异,可以判断目的主机的操作系统的类型。
XMAS扫描
TCP XMAS扫描是为了获得目的主机的操作系统类型的信息以及提供服务的端口信息,
过程是向目的主机的某端口发送一个设置了FIN、URG和PUSH标志位的TCP数据包,
根据RFC793,如果目的主机的相应端口是关闭的,那么应该返回一个RST数据包。
根据返回的信息的差异,可以判断目的主机的操作系统的类型。
FIN扫描
TCP FIN扫描是为了获得目的主机的操作系统类型的信息以及提供服务的端口信息,
过程是向目的主机的某端口发送一个TCP FIN数据包,如果主机没有任何反馈,那么这个主机是存在的,
而且正在监听这个端口;主机反馈一个TCP RST回来,那么说明主机存在,但是没有监听这个端口。
根据返回的信息的差异,可以判断目的主机的操作系统的类型。
IP地址扫描
IP地址扫描是将ICMP数据包(通常是echo请求)发送给各个主机,以期望获得至少一个回复,
从而查明目标的地址。
设置SYN和FIN标志
通常不会在同一TCP数据包包头中同时设置SYN和FIN控制标志。
这两种标志是互相排斥的。同时设置SYN和FIN标志的TCP包头是异常的TCP行为,
会导致来自接受者的不同响应(依赖于操作系统)。
没有ACK标志的FIN标志
通常,设置了FIN标志的TCP数据包也设置了ACK标志。
由于设置了FIN标志但未设置ACK标志的TCP包头是异常的TCP行为,
因而对此没有统一的响应。操作系统可能会通过发送设置了RST标志的TCP数据包来做出响应。
其他方面可能会忽略它。受害者的响应会给攻击者提供有关其操作系统的线索。
非SYN标志
在缺省情况下,安全设备在会话的第一个数据包检查SYN标记
并且拒绝试图发起会话的不含SYN标记的任何TCP数据包。
IP欺骗
在数据包包头中插入虚假的源地址,以使该数据包看似发自信任来源。这种技术称为IP欺骗。
向目标系统发送极大量的ICMP echo请求,使得ICMP请求超出了目标系统的最大限度,
以至于目标系统耗尽所有资源来进行响应,直至再也无法处理有效的网络信息流时,
PingFlood攻击:
向目标系统发送极大量的UDP数据报,使得UDP数据报超出了目标系统的最大处理能力,
以至于目标系统耗尽所有资源来进行响应,直至再也无法处理有效的网络信息流时,
就会发生UDPFlood攻击。
UDPFlood攻击:
攻击者向目标系统发送大量的TCP SYN数据包,这些请求数据包的源IP地址设置为目的不可达的地址,
这样对被攻击目标的第二次握手没有主机响应,造成被攻击目标内部存在大量的半连接,
以至于新的正常连接不能被建立,而造成服务的停顿甚至死机。这样就发生了SYNFlood攻击。
SYNFlood攻击:
Land攻击将SYN攻击和IP欺骗结合在了一起,攻击者发送具有欺骗性的SYN数据包,
数据包的目的IP地址和源IP地址都是目标系统的地址,这样就发生了Land攻击。
目标系统通过向自己发送SYN-ACK数据包来进行响应,同时创建一个空的连接,
该连接将会一直保持到空闲超时为止。在系统中存在过多的这种空连接会耗尽系统资源,导致拒绝服务。
Land攻击:
SMURF攻击针对的是IP标准的一个功能-直接广播寻址。
冒充被攻击者向路由器发送大量的ICMP echo请求数据包,
并且把每个数据包的目的IP地址设置为网络的广播地址,
那么,路由器就会把这样的ICMP echo请求以广播形式发送给网络上的所有主机。
如果有大量主机,那么这种广播就会造成巨大的ICMP echo请求以及响应流量。导致网络拥塞。
如果发送的ICMP echo请求数据包的源IP地址是一个伪造的IP地址,
那么攻击造成的ICMP流量不仅会阻塞目标网络,而且还会阻塞伪造的源IP地址所在的网络。
SMURF攻击:
攻击者伪造一个TCP RST数据包,发送给目标系统,
如果目标系统有和伪造数据包的源IP相同的合法连接的时候,
目标系统就会清空缓冲区中建立好的连接。那么此时,如果合法连接上有数据到达,
但是目标系统上已经没有这样的连接了,就需要重新建立连接。
如果攻击者伪造了大量的IP地址,向目标系统发送TCP RST数据包,
就会使目标系统不能对合法用户提供服务,导致拒绝服务攻击。
TCP RST攻击:
WinNuke是针对运行Windows的任何计算机的DoS攻击。攻击者和目标系统建立连接后,
然后发送设置了URG标志位的TCP数据包给目标系统的NetBIOS端口139。
这样就产生了NetBIOS碎片重叠,从而导致运行Windows的机器崩溃。导致目标系统的DoS攻击。
WinNuke攻击又称为带外传输攻击,被攻击的目的端口通常是139、138、137、113、53。
WinNuke攻击:
SYN Cookie是一种无状态的SYN代理机制。
其将使用含有加密cookie的SYN-ACK作为其“初始序列号”(ISN)来回复每个流入的SYN请求数据包。
cookie是初始源地址和端口号、目的地址和端口号以及来自初始SYN数据包的ISN的MD5散列。
发送cookie后,防火墙将丢弃初始SYN数据包,并将计算出的cookie从内存中删除。
如果未对包含cookie的SYN-ACK做出任何响应,则认为是SYN攻击行为,并且能够被有效的停止。
如果接收了ACK响应,那么防火墙从ACK数据包中提取cookie,并从该值中减去1,
然后重新计算cookie验证其是否是合法的ACK。如果是合法的,防火墙将创建一个会话,
并且构建一个TCP SYN发送给目的服务器,来启动TCP代理过程。
当防火墙接收到来自目的服务器的SYN-ACK后,防火墙会给目的服务器发送一个ACK数据包。
此时,连接已经建立。客户机和服务器可以直接进行通信。
在连接建立以后的数据通信过程中,防火墙的会话需要维护服务器端的序列号的有效性。
SYN Cookie:
在网络中,允许的最大的IP数据包长度是65535字节,过大的数据包会引发一系列不利的系统反应,
如拒绝服务(DoS),系统崩溃,死机以及重新启动。在防火墙中,对于IP碎片数据包,
都是需要进行IP碎片重组,如果重组的IP数据包的长度大于65535,
那么认为这些IP碎片数据包具有此类攻击行为特征,被丢弃。
Ping of Death攻击:
Teardrop攻击利用了IP碎片数据包的重组。在IP包头中,有一个碎片偏移字段,
它表示碎片数据包保护的数据相对于原始未分片数据包数据的开始位置(或“偏移”)。
当一个碎片数据包的偏移值与大小之和不同于下一个碎片数据包时,数据包发生重叠,
并且服务器尝试重组数据包时会引起系统崩溃,
特别是如果服务器正在运行还有这种漏洞的旧版操作系统时更是如此。
在防火墙中,接收到IP碎片数据包,
就需要把碎片数据包的偏移值与数据包的大小之和与下一个碎片数据包的偏移值进行比较,
如果发生数据重叠,那么去掉下一个数据包中重叠部分的数据;如果发生数据重复,
那么就丢弃下一个IP碎片数据包。
Teardrop攻击:
IP碎片数据包攻击
IP选项数据包攻击 – 记录路由选项
IP选项数据包攻击 – 时间戳选项
IP选项数据包攻击 – 宽松源路由选项
IP选项数据包攻击 – 严格源路由选项
IP选项数据包攻击 – 路由跟踪选项
其他IP选项数据包攻击