2022年常见网络攻击分析 .pdf

《2022年常见网络攻击分析 .pdf》由会员分享，可在线阅读，更多相关《2022年常见网络攻击分析 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、常见网络攻击分析（一）任何一个网络都不是安全的，无论你是否接入internet，下面我们谈论下常见的网络攻击行为，大家可以一起学习下1.1 TCP SYN 拒绝服务攻击一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：1、 建立发起者向目标计算机发送一个TCP SYN报文；2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（ TCB ），然后向发起者回送一个TCP ACK报文，等待发起者的回应；3、 发起者收到 TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：1、 攻击者向

2、目标计算机发送一个TCP SYN报文；2、 目标计算机收到这个报文后，建立TCP连接控制结构（ TCB ），并回应一个ACK ，等待发起者的回应；3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构， TCB ，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。1.2 ICMP 洪水正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出 ICMP响应请求报文（ ICMP

3、 ECHO ），接收计算机接收到ICMP ECHO 后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标计算机发送大量的 ICMP ECHO 报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS ）。1.3 UDP 洪水原理与 ICMP洪水类似， 攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。1.4 端口扫描名师资料总结 - - -精品资料欢迎下载 - -

4、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 根据 TCP协议规范， 当一台计算机收到一个TCP连接建立请求报文 （TCP SYN ）的时候，做这样的处理：1、 如果请求的 TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB ）；2、 如果请求的TCP端口没有开放，则回应一个TCP RST （TCP头部中的 RST标志设为 1）报文，告诉发起计算机，该端口没有开放。相应地，如果IP 协议栈收到一个UDP报文，做如下处理：1、 如果该报文的目标

5、端口开放，则把该UDP报文送上层协议（UDP ）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）；2、 如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达。利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP或 UDP端口是开放的，过程如下：1、 发出端口号从0 开始依次递增的TCP SYN或 UDP报文（端口号是一个16 比特的数字， 这样最大为65535，数量很有限）；2、 如果收到了针对这个TCP报文的 RST报文，或针对这个UDP报文的 ICMP不可达报文， 则说明这个端口没有开放；3、 相反

6、，如果收到了针对这个TCP SYN报文的 ACK报文，或者没有接收到任何针对该UDP 报文的 ICMP报文，则说明该TCP端口是开放的， UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该 UDP端口没有开放）。这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或 UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。1.5 分片 IP 报文攻击为了传送一个大的IP 报文， IP 协议栈需要根据链路接口的MTU对该 IP 报文进行分片，通过填充适当的 IP 头中的分片指示字段，接收计算机可以很容易的把这些IP 分片报文组装起来。目标计算机在

7、处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文， 这个过程会消耗掉一部分内存，以及一些 IP 协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP 报文， 这也是一种 DOS攻击1.6 SYN 比特和 FIN 比特同时设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4

8、 页 - - - - - - - - - 在 TCP报文的报头中，有几个标志字段：1、 SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；2、 ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN ）外，所有报文都设置该字段，作为对上一个报文的相应；3、 FIN ：结束标志，当一台计算机接收到一个设置了FIN 标志的 TCP报文后，会拆除这个TCP连接；4、 RST：复位标志，当IP 协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；5、 PSH：通知协议栈尽快把TCP数据提交给上层程序处理。正常情况下， SYN标志

9、（连接请求标志）和FIN 标志（连接拆除标志）是不能同时出现在一个TCP报文中的。 而且 RFC也没有规定IP 协议栈如何处理这样的畸形报文，因此，各个操作系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送SYN和 FIN 同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。1.7 没有设置任何标志的TCP报文攻击正常情况下，任何TCP报文都会设置SYN ，FIN，ACK ，RST ，PSH五个标志中的至少一个标志，第一个TCP报文（ TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任

10、何标志的TCP报文的处理过程， 因此， 这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。1.8 设置了 FIN 标志却没有设置ACK标志的 TCP报文攻击正常情况下， ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN 标志设置的报文） 。但有的攻击者却可能向目标计算机发送设置了FIN 标志却没有设置ACK标志的 TCP报文，这样可能导致目标计算机崩溃。1.9 死亡之 PINGTCP/IP 规范要求 IP 报文的长度在一定范围内（比如，064K），但有的攻击计算机可能向目标计算机发出大于 64K 长度的 PIN

11、G报文，导致目标计算机IP 协议栈崩溃。1.10 地址猜测攻击跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的ICMP ECHO 报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - - - - - 1.11 泪滴攻击对于一些大的IP 包，需要对其进行分片传送，这是为了迎合链路层的MTU （最大传输单

12、元）的要求。比如，一个 4500 字节的 IP 包，在 MTU为 1500 的链路上传输的时候，就需要分成三个IP 包。在 IP 报头中有一个偏移字段和一个分片标志（MF ），如果 MF标志设置为1，则表面这个IP 包是一个大 IP 包的片断，其中偏移字段指出了这个片断在整个IP 包中的位置。例如，对一个4500 字节的 IP包进行分片（ MTU为 1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP 包。如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -