现在的位置: 首页 > 综合 > 正文

目前网络中存在的攻击方式

2013年12月12日 ⁄ 综合 ⁄ 共 5478字 ⁄ 字号 评论关闭

 

目前网络中存在的攻击方式主要有如下几种:

SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。

ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设置一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。

UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,可以设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。

Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。

下面的选项可用于具有物理接口和子接口的区段:

Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。

SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包,通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您可以启用SYN-ACK-ACK
Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。

SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设置为1 或指出了偏移值时,防火墙设备会丢弃ICMP 封包。

SYN and FIN Bits Set(SYN 和FIN 位的封包):通常不会在同一封包中同时设置SYN 和FIN 标志。但是,攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答,从而确定出接收端上的系统的种类。接着,攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。

TCP Packet Without Flag(无标记的TCP 封包):通常,在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。

FIN Bit With No ACK Bit(有FIN 位无ACK 位):设置了FIN 标志的TCP 封包通常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志,但没有设置ACK 位的封包。

ICMP Fragment(ICMP 碎片):检测任何设置了“更多片断”标志,或在偏移字段中指出了偏移值的ICMP 帧。

Ping of Death:TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作,它可以检测并拒绝此类过大且不规则的封包。

Address Sweep Attack(地址扫描攻击):与端口扫描攻击类似,当一个源IP 地址在定义的时间间隔(缺省值为5,000 微秒)内向不同的主机发送ICMP 响应要求(或ping)时,就会发生地址扫描攻击。这个配置的目的是Ping 数个主机,希望有一个会回复响应,以便找到可以作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置,如果某远程主机在0.005 秒(5,000 微秒)内ping 了10 个地址,防火墙会将这一情况标记为地址扫描攻击,并在该秒余下的时间内拒绝来自于该主机的ICMP
回应要求。

Large ICMP Packet(大的ICMP 封包):防火墙设备丢弃长度大于1024 的ICMP 封包。

Tear Drop Attack(撕毁攻击,又称泪滴攻击):撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中,选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时,封包发生重叠,并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象,将会丢弃该碎片。

Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信息有一个选项,其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回到其真正的地址。

Record Route Option(记录路由选项):防火墙设备封锁IP 选项为7(记录路由)的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成,外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。

IP Security Option(IP 安全性选项):此选项为主机提供了一种手段,可发送与DOD 要求兼容的安全性、分隔、TCC(非公开用户组)参数以及“处理限制代码”。

IP Strict Source Route Option(IP 严格源路由选项):防火墙设备封锁IP 选项为9(严格源路由选择)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由,因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址,并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。

Unknown Protocol(未知协议):防火墙设备丢弃协议字段设置为101 或更大值的封包。目前,这些协议类型被保留,尚未定义。

IP Spoofing(IP 欺骗):当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,防火墙设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流通过防火墙设备进行通信,并且会丢弃来自该源的所有封包。在CLI 中,您可以指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由的,例如127.0.0.1)的封包:set zone zone screen ip-spoofing
drop-no-rpf-route。

Bad IP Option(坏的IP 选项):当IP 数据包包头中的IP 选项列表不完整或残缺时,会触发此选项。

IP Timestamp Option(IP 时戳选项):防火墙设备封锁IP 选项列表中包括选项4(互联网时戳)的封包。

Loose Source Route Option:防火墙设备封锁IP 选项为3(松散源路由)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由,因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。

IP Stream Option(IP 流选项):防火墙设备封锁IP 选项为8(流ID)的封包。此选项提供了一种方法,用于在不支持流概念的网络中输送16 位SATNET 流标识符。

WinNuke Attack(WinNuke 攻击):WinNuke 是一种常见的应用程序,其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据— 通常发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠,以此来使多台机器崩溃。重新启动后,会显示下列信息,指示攻击已经发生:

An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +

000041AE. This was called from 0028:[address] in VxD NDIS(01) +

00008660. It may be possible to continue normally.(00008660。有可能继续正常运行。)

Press any key to attempt to continue.(请按任意键尝试继续运行。)

Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.(按CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。)

Press any key to continue. (按任意键继续。)

如果启用了WinNuke 攻击防御机制,Juniper 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”(端口139)封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位,就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过,并在“事件警报”日志中创建一个WinNuke 攻击日志条目。

Land Attack:“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻击者发送含有受害方IP 地址的欺骗性SYN 封包,将其作为目的和源IP 地址时,就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起,防火墙设备将会封锁任何此类性质的企图。

   Malicious URL Protection:当启用“恶意URL 检测”时,Juniper 设备会监视每个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。

Block Java/ActiveX/ZIP/EXE Component:Web 网页中可能藏有恶意的Java 或ActiveX 组件。下载完以后,这些applet 会在您的计算机上安装特洛伊木马病毒。同样,特洛伊木马病毒2也可以隐藏在压缩文件(如.zip)和可执行(.exe)文件中。在安全区中启用这些组件的阻塞时,防火墙设备会检查每个到达绑定到该区域的接口的HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果内容类型为ActiveX、Java、.exe 或.zip,而且您将防火墙设备配置为阻塞这些组件,防火墙设备会阻塞封包。如果内容类型仅列出“八位位组流”,而不是特定的组件类型,则防火墙设备会检查负荷中的文件类型。如果文件类型为ActiveX、Java、.exe
或.zip,而且您将防火墙设备配置为阻塞这些组件,防火墙设备会阻塞封包。

Deny Fragment:封包通过不同的网络时,有时必须根据网络的最大传输单位(MTU) 将封包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的封包重新组合代码中的漏洞,通过IP 碎片进行攻击。当目标系统收到这些封包时,造成的结果小到无法正确处理封包,大到使整个系统崩溃。如果允许防火墙设备拒绝安全区段上的IP 碎片,设备将封锁在绑定到该区段的接口处接收到的所有IP 封包碎片。

对于网络层的攻击,大多数从技术角度无法判断该数据包的合法性,如SYN flood, UDP flood,通常防火墙采用阀值来控制该访问的流量。通常防火墙对这些选项提供了缺省值。对于在实际网络上该阀值的确定,通常要对实施防火墙的网络实际情况进行合理的分析,通过对现有网络的分析结果确定最终的设定值。比如,网络在正常工作的情况下的最大Syn数据包值为3000,考虑到网络突发流量,对现有值增加20%,则该值作为系统的设定值。

在实际应用中,这些参数要随时根据网络流量情况进行动态监控的更新。
 

抱歉!评论已关闭.