|
1. 異常包 TCP/UDP:端口值為0的包;校驗和錯誤的包 TCP標(biāo)志位異常包:SYN只能單獨存在或只能和ACK共存,和其他標(biāo)志共存就是異常包;沒有標(biāo)志或標(biāo)志全置的包;有ACK標(biāo)志但 Acknowledgment Number為0的包;有SYN標(biāo)志但Sequence Number為0的包;有URG標(biāo)志但Urgent Pointer為0,,或沒有URG標(biāo)志但Urgent Pointer不為0的包;RST和除ACK標(biāo)志之外的其他標(biāo)志共存的包; 這種攻擊標(biāo)志很明顯,,防御也很容易,,可以做到100%檢測并阻斷; 2. LAND攻擊 TCP層的攻擊了,不過在網(wǎng)絡(luò)層就可以防護(hù);攻擊方發(fā)送源地址和目的地址相同的TCP SYN包,,對老的某些操作系統(tǒng)就會發(fā)SYNACK包給自身,,建立空連接,最終消耗盡自身資源,,現(xiàn)在的操作系統(tǒng)已經(jīng)不會那么傻了,,這種攻擊也可以做到100%檢測并阻斷; 3. Flood攻擊 syn flood:是TCP協(xié)議的最大弱點了,對syn flood攻擊的分析在另一篇文章中詳細(xì)說明了,,理論上是無法真正防御的,,只能進(jìn)行一定程度的緩解; UDP flood:就是發(fā)送大量UDP包阻塞目的機通信,由于UDP是非連接協(xié)議,,因此只能通過統(tǒng)計的方法來判斷,,很難通過狀態(tài)檢測來發(fā)現(xiàn),只能通過流量限制和統(tǒng)計的方法緩解;對于有些協(xié)議,,服務(wù)器部分的計算量會遠(yuǎn)大于客戶端的計算量,,如DNS,野蠻模式的IKE等,,這些情況下flood攻擊更容易形成DOS,。 4. 端口掃描 端口掃描往往是網(wǎng)絡(luò)入侵的前奏,通過端口掃描,可以了解目標(biāo) 機器上打開哪些服務(wù),,有的服務(wù)是本來就是公開的,,但可能有些端口是管理不善誤打開的或?qū)iT打開作為特殊控制使用但不想公開的,通過端口掃描可以找到這些端 口,,而且根據(jù)目標(biāo)機返回包的信息,,甚至可以進(jìn)一步確定目標(biāo)機的操作系統(tǒng)類型,,從而展開下一步的入侵,。 4.1 TCP掃描 按照RFC,當(dāng)試圖連接一個沒有打開的TCP端口時,,服務(wù)器會返回RST包;連接打開的TCP端口時,,服務(wù)器會返回SYNACK包 合法連接掃描: connect掃描:如果是打開的端口,攻擊機調(diào)用connect函數(shù)完成三次握手后再主動斷開;關(guān)閉的端口會連接識別 SYN掃描:攻擊機只發(fā)送SYN包,,如果打開的端口服務(wù)器會返回SYNACK,,攻擊機可能會再發(fā)送RST斷開;關(guān)閉的端口返回RST; 異常包掃描: FIN掃描:攻擊機發(fā)送FIN標(biāo)志包,,Windows系統(tǒng)不論端口是否打開都回復(fù)RST;但XP系統(tǒng)下載UNIX系統(tǒng)端口關(guān)閉時會回復(fù)RST,打開時會忽略該包;可以用來區(qū)別Windows和UNIX系統(tǒng); ACK掃描:攻擊機發(fā)送ACK標(biāo)志包,,目標(biāo)系統(tǒng)雖然都會返回RST包,,但兩種RST包有差異; 對于合法連接掃描,如果SYN包確實正確的話,,是可以通過防火墻的,,防火墻只能根據(jù)一定的統(tǒng)計信息來判斷,在服務(wù)器上可以通過netstat查看連接狀態(tài)來判斷是否有來自同一地址的TIME_WAIT或SYN_RECV狀態(tài)來判斷,。 對于異常包掃描,,如果沒有安裝防火墻,確實會得到相當(dāng)好的掃描結(jié)果,,在服務(wù)器上也看不到相應(yīng)的連接狀態(tài);但如果安裝了防火墻的話,,由于這些包都不是合法連接的包,通過狀態(tài)檢測的方法很容易識別出來(注意:對于標(biāo)準(zhǔn)的Linux內(nèi)核所帶防火墻netfilter的TCP狀態(tài)檢測的實現(xiàn),,ACK和 FIN掃描是可以通過的,,需要修改才能防御)。 4.2 UDP掃描 當(dāng)試圖連接一個沒有打開的UDP端口時,,大部分類型的服務(wù)器可能會返回一個ICMP的端口不可達(dá)包,,但也可能無任何回應(yīng),由windows xp sp3純凈安裝版xp系統(tǒng)下載系統(tǒng)具體實現(xiàn)決定;對于打開的端口,,服務(wù)器可能會有包返回,,如DNS,但也可能沒有任何響應(yīng),。 UDP掃描是可以越過防火墻的狀態(tài)檢測的,,由于UDP是非連接的,防火墻會把UDP掃描包作為連接的第一個包而允許通過,,所以防火墻只能通過統(tǒng)計的方式來判斷是否有UDP掃描,。 5. TCP緊急指針攻擊 Winnuke:對老的Windows系統(tǒng),對TCP139端口發(fā)送帶URG標(biāo)志的包,,會造成系統(tǒng)的崩潰,,特征明顯,防火墻可以100%防御,,但也可能誤傷; 6. TCP選項攻擊 相對IP選項,,TCP選項利用率要高很多,很多正常包中都要用到,,TCP選項攻擊包括: 1) 非法類型選項:正常的選項類型值為0,、1、2、3,、8,、11、23,、13,,其他類型的出現(xiàn)是可疑的(類型4,5,,6,,7雖然定義了但被類型8取代,正常情況下也是不用的); 2) 時間戳:用于搜集目的機的信息; 3) 選項長度不匹配:選項中的長度和TCP頭中說明的TCP頭長度計算出的選項長度不一致; 4) 選項長度為0:非0,、1類型的選項長度為0,,是非法的; 5) 選項缺失,一般SYN包中都要有MSS選項,,沒有的話反而不正常,。
|
|
|
