關(guān)于傳輸層攻擊方式匯總解析精選

　　1. 異常包

　　TCP/UDP：端口值為0的包;校驗(yàn)和錯(cuò)誤的包

　　TCP標(biāo)志位異常包：SYN只能單獨(dú)存在或只能和ACK共存，和其他標(biāo)志共存就是異常包;沒(méi)有標(biāo)志或標(biāo)志全置的包;有ACK標(biāo)志但 Acknowledgment Number為0的包;有SYN標(biāo)志但Sequence Number為0的包;有URG標(biāo)志但Urgent Pointer為0，或沒(méi)有URG標(biāo)志但Urgent Pointer不為0的包;RST和除ACK標(biāo)志之外的其他標(biāo)志共存的包;

　　這種攻擊標(biāo)志很明顯，防御也很容易，可以做到100%檢測(cè)并阻斷;

　　2. LAND攻擊

　　TCP層的攻擊了，不過(guò)在網(wǎng)絡(luò)層就可以防護(hù);攻擊方發(fā)送源地址和目的地址相同的TCP SYN包，對(duì)老的某些操作系統(tǒng)就會(huì)發(fā)SYNACK包給自身，建立空連接，最終消耗盡自身資源，現(xiàn)在的操作系統(tǒng)已經(jīng)不會(huì)那么傻了，這種攻擊也可以做到100%檢測(cè)并阻斷;

　　3. Flood攻擊

　　syn flood：是TCP協(xié)議的最大弱點(diǎn)了，對(duì)syn flood攻擊的分析在另一篇文章中詳細(xì)說(shuō)明了，理論上是無(wú)法真正防御的，只能進(jìn)行一定程度的緩解;

　　UDP flood：就是發(fā)送大量UDP包阻塞目的機(jī)通信，由于UDP是非連接協(xié)議，因此只能通過(guò)統(tǒng)計(jì)的方法來(lái)判斷，很難通過(guò)狀態(tài)檢測(cè)來(lái)發(fā)現(xiàn)，只能通過(guò)流量限制和統(tǒng)計(jì)的方法緩解;對(duì)于有些協(xié)議，服務(wù)器部分的計(jì)算量會(huì)遠(yuǎn)大于客戶(hù)端的計(jì)算量，如DNS，野蠻模式的IKE等，這些情況下flood攻擊更容易形成DOS。

　　4. 端口掃描

　　端口掃描往往是網(wǎng)絡(luò)入侵的前奏,通過(guò)端口掃描，可以了解目標(biāo) 機(jī)器上打開(kāi)哪些服務(wù)，有的服務(wù)是本來(lái)就是公開(kāi)的，但可能有些端口是管理不善誤打開(kāi)的或?qū)ｉT(mén)打開(kāi)作為特殊控制使用但不想公開(kāi)的，通過(guò)端口掃描可以找到這些端 口，而且根據(jù)目標(biāo)機(jī)返回包的信息，甚至可以進(jìn)一步確定目標(biāo)機(jī)的操作系統(tǒng)類(lèi)型，從而展開(kāi)下一步的入侵。

　　4.1 TCP掃描

　　按照RFC，當(dāng)試圖連接一個(gè)沒(méi)有打開(kāi)的TCP端口時(shí)，服務(wù)器會(huì)返回RST包;連接打開(kāi)的TCP端口時(shí)，服務(wù)器會(huì)返回SYNACK包

　　合法連接掃描：

　　connect掃描：如果是打開(kāi)的端口，攻擊機(jī)調(diào)用connect函數(shù)完成三次握手后再主動(dòng)斷開(kāi);關(guān)閉的端口會(huì)連接識(shí)別

　　SYN掃描：攻擊機(jī)只發(fā)送SYN包，如果打開(kāi)的端口服務(wù)器會(huì)返回SYNACK，攻擊機(jī)可能會(huì)再發(fā)送RST斷開(kāi);關(guān)閉的端口返回RST;

　　異常包掃描：

　　FIN掃描：攻擊機(jī)發(fā)送FIN標(biāo)志包，Windows系統(tǒng)不論端口是否打開(kāi)都回復(fù)RST;但UNIX系統(tǒng)端口關(guān)閉時(shí)會(huì)回復(fù)RST，打開(kāi)時(shí)會(huì)忽略該包;可以用來(lái)區(qū)別Windows和UNIX系統(tǒng);

　　ACK掃描：攻擊機(jī)發(fā)送ACK標(biāo)志包，目標(biāo)系統(tǒng)雖然都會(huì)返回RST包，但兩種RST包有差異;

　　對(duì)于合法連接掃描，如果SYN包確實(shí)正確的話(huà)，是可以通過(guò)防火墻的，防火墻只能根據(jù)一定的統(tǒng)計(jì)信息來(lái)判斷，在服務(wù)器上可以通過(guò)netstat查看連接狀態(tài)來(lái)判斷是否有來(lái)自同一地址的TIME_WAIT或SYN_RECV狀態(tài)來(lái)判斷。

　　對(duì)于異常包掃描，如果沒(méi)有安裝防火墻，確實(shí)會(huì)得到相當(dāng)好的掃描結(jié)果，在服務(wù)器上也看不到相應(yīng)的連接狀態(tài);但如果安裝了防火墻的話(huà)，由于這些包都不是合法連接的包，通過(guò)狀態(tài)檢測(cè)的方法很容易識(shí)別出來(lái)(注意：對(duì)于標(biāo)準(zhǔn)的Linux內(nèi)核所帶防火墻netfilter的TCP狀態(tài)檢測(cè)的實(shí)現(xiàn)，ACK和 FIN掃描是可以通過(guò)的，需要修改才能防御)。

　　4.2 UDP掃描

　　當(dāng)試圖連接一個(gè)沒(méi)有打開(kāi)的UDP端口時(shí)，大部分類(lèi)型的服務(wù)器可能會(huì)返回一個(gè)ICMP的端口不可達(dá)包，但也可能無(wú)任何回應(yīng)，由系統(tǒng)具體實(shí)現(xiàn)決定;對(duì)于打開(kāi)的端口，服務(wù)器可能會(huì)有包返回，如DNS，但也可能沒(méi)有任何響應(yīng)。

　　UDP掃描是可以越過(guò)防火墻的狀態(tài)檢測(cè)的，由于UDP是非連接的，防火墻會(huì)把UDP掃描包作為連接的第一個(gè)包而允許通過(guò)，所以防火墻只能通過(guò)統(tǒng)計(jì)的方式來(lái)判斷是否有UDP掃描。

　　5. TCP緊急指針攻擊

　　Winnuke：對(duì)老的Windows系統(tǒng)，對(duì)TCP139端口發(fā)送帶URG標(biāo)志的包，會(huì)造成系統(tǒng)的崩潰，特征明顯，防火墻可以100%防御，但也可能誤傷;

　　6. TCP選項(xiàng)攻擊

　　相對(duì)IP選項(xiàng)，TCP選項(xiàng)利用率要高很多，很多正常包中都要用到，TCP選項(xiàng)攻擊包括：

　　1) 非法類(lèi)型選項(xiàng)：正常的選項(xiàng)類(lèi)型值為0、1、2、3、8、11、23、13，其他類(lèi)型的出現(xiàn)是可疑的(類(lèi)型4，5，6，7雖然定義了但被類(lèi)型8取代，正常情況下也是不用的);

　　2) 時(shí)間戳：用于搜集目的機(jī)的信息;

　　3) 選項(xiàng)長(zhǎng)度不匹配：選項(xiàng)中的長(zhǎng)度和TCP頭中說(shuō)明的TCP頭長(zhǎng)度計(jì)算出的選項(xiàng)長(zhǎng)度不一致;

　　4) 選項(xiàng)長(zhǎng)度為0：非0、1類(lèi)型的選項(xiàng)長(zhǎng)度為0，是非法的;

　　5) 選項(xiàng)缺失，一般SYN包中都要有MSS選項(xiàng)，沒(méi)有的話(huà)反而不正常。

【傳輸層攻擊方式解析】相關(guān)文章：

傳輸記憶作文09-07

網(wǎng)絡(luò)傳輸介質(zhì)的的種類(lèi)09-23

網(wǎng)絡(luò)傳輸基礎(chǔ)知識(shí)11-04

層林,靈魂的重生詩(shī)歌10-27

局高蹐厚成語(yǔ)解析10-20

有趣的燈謎及解析10-01

成王敗寇成語(yǔ)解析10-22

奚落的近義詞及解析10-24

指鹿為馬成語(yǔ)解析03-29

寢不聊寐成語(yǔ)解析05-05