网络安全知识—常见的攻击类型.doc

常见的网络攻击类型 一旦非正常报文或攻击报文流入内网中，不仅会耗尽您服务器的资源，使服务器无法正常工作，还会影响您的整个网络，引起网络拥塞，以下几种都是网络中最常见、最普遍使用的攻击手段。 类型 简单介绍 防御 Flood防护 SYN Flood （SYN洪水） SYN Flood是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。攻击者向目标服务器发送海量包含SYN标志的TCP报文，服务器接收到之后会为这些会话预留资源，并等待与攻击者完成TCP三次握手建立链接。而攻击者发送完海量包含SYN标志的TCP报文之后，不再进行下一步操作。导致服务器资源被大量占用无法释放，甚至无法再向正常用户提供服务。 在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。 ICMP Flood 拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量ping request的请求报文，服务器需要占用资源回应这些海量的ping报文，导致服务器无法处理正常数据，甚至无法再向正常用户提供服务。 防火墙配置 UDP Flood （UDP洪水） 拒绝服务攻击常用手段之一。不同UDP协议下的应用，差别很大，攻击手法也不大相同。最常见的情况是利用大量UDP小包冲击服务器，导致正常用户无法访问服务器。 关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 IP Flood 拒绝服务攻击常用手段之一。攻击者向目标服务器发送海量的IP报文，服务器需要占用资源回应这些海量的IP报文，导致服务器无法处理正常数据，甚至无法再向正常用户提供服务。 对防火墙进行配置 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。 扫描/欺骗防护 IP地址扫描攻击 利用扫描软件，发送大量地址请求的广播报文，扫描网络中的地址。 对防火墙进行配置 端口扫描 利用扫描软件，发送大量的端口探测报文，扫描主机上开启的端口，是黑客攻击时最常进行的准备工作。 对防火墙进行配置 异常包攻击 Ping of Death （死亡之ping） 拒绝服务攻击常用手段之一。由于IP数据包的最大长度不能超过65535字节，Ping of Death通过在最后分段中，改变其正确的偏移量和段长度的组合，使系统在接收到全部分段并重组报文时总的长度超过65535字节，导致目标服务器内存溢出，最终死机。 现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。 Teardrop （泪滴） 拒绝服务攻击常用手段之一。Teardrop是基于UDP的病态分片数据包攻击方法，其工作原理是向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。 服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。 IP选项 IP报文头部中含有许多选项，这些选项都是为实现某一种功能而准备。攻击者通过精心构造IP报文头部中选项的数值，已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。 对防火墙进行配置 TCP异常 TCP报文头部中含有许多选项，这些选项都是为实现某一种功能而准备。攻击者通过精心构造TCP报文头部中选项的数值，已达到攻击目标服务器的目的。不同的选项可以实现不同的攻击手段。 对防火墙进行配置 Smurf 攻击者向目标服务器发送一个源地址为广播地址的ping echo请求报文，目标服务器应答这个报文时，就会回复给一个广播地址。这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的echo请求报文足够多，产生的replay广播报文就可能把整个网络淹没。除了把echo报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受到影响。 为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。 Fraggle Fraggle攻击是攻击者向广播