- 浏览: 315041 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
JQ_AK47:
...
Linux下直接发送以太包 -
winsen2009:
谢谢分享,如果能再来一个列子就更好了,刚接触看完还是不懂的用
UNPv1_r3读书笔记: SCTP编程
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. IP包头
由于IP头的内容比较固定,来自IP层的攻击相对比较单一的,检测也相对比较容易。
为方便理解,先列出IP头结构,下面是RFC791定义的IP头结构:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
1. IP异常包
如非法协议值,现在已经分配的IP协议号在1-137之间,此外的协议号都可认为非法,已分配的协议
号可见:http://www.iana.org/assignments/protocol-numbers;非法地址,对于42亿多的IP地址
,有的是属于不可能在Internet上出现的,有的是合法但还未分配的,如果出现这些地址的包,可认
为非法,IP地址的分配情况可见:
http://www.iana.org/assignments/ipv4-address-space
2. LAND攻击
严格说是TCP层的攻击了,不过在网络层就可以防护;攻击方发送源地址和目的地址相同的TCP SYN包
,对老的某些操作系统就会发SYNACK包给自身,建立空连接,最终消耗尽自身资源,现在的操作系统
已经不会那么傻了,这种攻击标志很明显,防御也很容易,可以做到100%检测并阻断;
3. 碎片攻击
IP包的总长字段是16位,因此允许IP包的最大长度为65536字节,这个值超过各类网络的最大帧长(以
太网为1500字节),这样IP栈就需要把IP包分割为数据链路层所允许的长度,碎片包就要设置相应的
Flags和碎片偏移值,供目的端组包时使用,注意所有分片包的Identification都是相同的,表明这些
分片都属于同一个包。
碎片攻击有很多种,如ping of death, tear drop, Jolt2等,攻击原理是发送畸形的分片包,这样
目的地的IP栈在重组IP包时,会发现IP包的总长超过65536(ping of death)、或者碎片偏移重叠导致
重组错误(tear drop)等错误,老点的操作系统由于没考虑到这些情况会造成非法指针的情况而导致内
核崩溃。新点的操作系统已经都能正确处理这些情况,对于防火墙来说,防止碎片攻击的方式是在防火
墙上就进行数据包重组,只有重组成功的IP大包才重新转发,所以可以对该类攻击包100%阻断。Jolt2
是ID为0x1109的分片包,可能会误查。
对于某些协议,如TCP,在传输数据之前就会协商好最大段长MSS,一般是不会出现分片的,这类协议
出现分片包是值得怀疑包的合法性的。
4. Flood攻击
如ping flood、ping sweep,ping回应攻击等,ping flood就是大量发ping包到目的机而导致其流量
阻塞;ping sweep是同时对多个地址进行ping扫描;ping回应是伪造具有相同源地址(受害机地址)的
echo包给其他机器,其他机器就正常回应echo reply到受害机,造成受害机承受突然大量echo reply
包的流量冲击。防火墙除了ping回应攻击可以通过状态检测检测出来外,其他Flood攻击就只能通过统
计的方式来辨认,不可能对这种攻击包100%的阻断的,总会先放几个过去。除了用ICMP包进行flood攻
击外,其他任何IP协议的包都可以用来进行flood攻击,反正只要能通过发大量包阻塞受害机的网络通
信就达到攻击的目的了。
5. IP选项攻击
IP选项的目的本来是提供特殊路由、诊断或提高安全性用的,但事得其反,在正常通信中这些选项基本
很少用到,反而很多攻击就利用IP选项来进行。
以下一些IP选项可能被用于非法目的:
1) 松散源路由、严格源路由:攻击者用其来隐藏数据包的真实来源;
2) 时间戳:用于搜集目的机的信息;
3) 记录路由:用于搜集目的机的信息;
4) 安全、流ID:都是被废除了不用的选项,有的话就是非法
防火墙进行防护时可以丢弃具有这些选项的包,正常通信没有这些选项也能进行。
6. IP欺骗
IP欺骗就是用伪造的源地址构造数据包进行攻击。Flood攻击基本上都属于IP欺骗,恐怕不会再有哪个攻击者“诚实”地用自己的真实IP来构造攻击包。当然,对于DDOS来说,攻击机先控制一堆“肉鸡”,再由“肉鸡”真实地发动攻击,此类攻击不在此列。
使用IP欺骗也可以实现网络入侵,但这需要目标机的“配合”,其难度类似于盲人穿针。在早些年安全意识还很差的年代此类攻击还可以奏效,但随着防御意识的提高,大部分危险服务都被关闭,数据随机性增强,这种攻击的难度越来越大。
对于IP欺骗攻击的防御,重点在于边界路由器或防火墙,这些路由器、防火墙应该能够过滤来自内部网段内非内部网段地址的数据包。
7. 总结
IP层的攻击相对比较简单,防护也比较容易,由于模式固定,非常适合硬件实现。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. IP包头
由于IP头的内容比较固定,来自IP层的攻击相对比较单一的,检测也相对比较容易。
为方便理解,先列出IP头结构,下面是RFC791定义的IP头结构:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version:版本,4位,固定为4 IHL:IP头长度,4位,以4个字节为一个单位,最小为5,最大15,分别表示包长为20,60字节 Type of Service:服务类型,8位,可看RFC2474 Total Length:IP包总长,16位 Identification:ID号,16位 Flags:分片标志,3位 Fragment Offset:碎片偏移,13位 Time to Live:存活时间,8位 Protocol:协议,8位 Header Checksum: IP头校验和,16位 Source Address: 源地址, 32位 Destination Address: 目的地址, 32位 Options: IP选项,长度从0到40字节 Padding: 填充字节,IP头都要是4的倍数,不够的以0填充
1. IP异常包
如非法协议值,现在已经分配的IP协议号在1-137之间,此外的协议号都可认为非法,已分配的协议
号可见:http://www.iana.org/assignments/protocol-numbers;非法地址,对于42亿多的IP地址
,有的是属于不可能在Internet上出现的,有的是合法但还未分配的,如果出现这些地址的包,可认
为非法,IP地址的分配情况可见:
http://www.iana.org/assignments/ipv4-address-space
2. LAND攻击
严格说是TCP层的攻击了,不过在网络层就可以防护;攻击方发送源地址和目的地址相同的TCP SYN包
,对老的某些操作系统就会发SYNACK包给自身,建立空连接,最终消耗尽自身资源,现在的操作系统
已经不会那么傻了,这种攻击标志很明显,防御也很容易,可以做到100%检测并阻断;
3. 碎片攻击
IP包的总长字段是16位,因此允许IP包的最大长度为65536字节,这个值超过各类网络的最大帧长(以
太网为1500字节),这样IP栈就需要把IP包分割为数据链路层所允许的长度,碎片包就要设置相应的
Flags和碎片偏移值,供目的端组包时使用,注意所有分片包的Identification都是相同的,表明这些
分片都属于同一个包。
碎片攻击有很多种,如ping of death, tear drop, Jolt2等,攻击原理是发送畸形的分片包,这样
目的地的IP栈在重组IP包时,会发现IP包的总长超过65536(ping of death)、或者碎片偏移重叠导致
重组错误(tear drop)等错误,老点的操作系统由于没考虑到这些情况会造成非法指针的情况而导致内
核崩溃。新点的操作系统已经都能正确处理这些情况,对于防火墙来说,防止碎片攻击的方式是在防火
墙上就进行数据包重组,只有重组成功的IP大包才重新转发,所以可以对该类攻击包100%阻断。Jolt2
是ID为0x1109的分片包,可能会误查。
对于某些协议,如TCP,在传输数据之前就会协商好最大段长MSS,一般是不会出现分片的,这类协议
出现分片包是值得怀疑包的合法性的。
4. Flood攻击
如ping flood、ping sweep,ping回应攻击等,ping flood就是大量发ping包到目的机而导致其流量
阻塞;ping sweep是同时对多个地址进行ping扫描;ping回应是伪造具有相同源地址(受害机地址)的
echo包给其他机器,其他机器就正常回应echo reply到受害机,造成受害机承受突然大量echo reply
包的流量冲击。防火墙除了ping回应攻击可以通过状态检测检测出来外,其他Flood攻击就只能通过统
计的方式来辨认,不可能对这种攻击包100%的阻断的,总会先放几个过去。除了用ICMP包进行flood攻
击外,其他任何IP协议的包都可以用来进行flood攻击,反正只要能通过发大量包阻塞受害机的网络通
信就达到攻击的目的了。
5. IP选项攻击
IP选项的目的本来是提供特殊路由、诊断或提高安全性用的,但事得其反,在正常通信中这些选项基本
很少用到,反而很多攻击就利用IP选项来进行。
以下一些IP选项可能被用于非法目的:
1) 松散源路由、严格源路由:攻击者用其来隐藏数据包的真实来源;
2) 时间戳:用于搜集目的机的信息;
3) 记录路由:用于搜集目的机的信息;
4) 安全、流ID:都是被废除了不用的选项,有的话就是非法
防火墙进行防护时可以丢弃具有这些选项的包,正常通信没有这些选项也能进行。
6. IP欺骗
IP欺骗就是用伪造的源地址构造数据包进行攻击。Flood攻击基本上都属于IP欺骗,恐怕不会再有哪个攻击者“诚实”地用自己的真实IP来构造攻击包。当然,对于DDOS来说,攻击机先控制一堆“肉鸡”,再由“肉鸡”真实地发动攻击,此类攻击不在此列。
使用IP欺骗也可以实现网络入侵,但这需要目标机的“配合”,其难度类似于盲人穿针。在早些年安全意识还很差的年代此类攻击还可以奏效,但随着防御意识的提高,大部分危险服务都被关闭,数据随机性增强,这种攻击的难度越来越大。
对于IP欺骗攻击的防御,重点在于边界路由器或防火墙,这些路由器、防火墙应该能够过滤来自内部网段内非内部网段地址的数据包。
7. 总结
IP层的攻击相对比较简单,防护也比较容易,由于模式固定,非常适合硬件实现。
发表评论
-
Linux内核中流量控制(24)
2011-01-10 16:33 2210本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(23)
2011-01-10 16:30 1492本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(22)
2011-01-10 16:29 1939本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(21)
2011-01-10 16:28 1357本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(20)
2011-01-10 16:27 1525本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(19)
2011-01-10 16:27 1979本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(18)
2011-01-10 16:26 1572Linux内核中流量控制(18) ... -
Linux内核中流量控制(17)
2011-01-10 16:25 1951本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(16)
2011-01-10 16:25 1807本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(15)
2011-01-10 16:24 1892本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(14)
2011-01-10 16:23 1961本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(13)
2011-01-10 16:22 2638本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(12)
2011-01-10 16:21 2110本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(11)
2011-01-10 16:21 3236本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(10)
2011-01-10 16:20 2007本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(9)
2011-01-10 16:19 1833本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(8)
2011-01-10 16:18 1498本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(7)
2011-01-10 16:18 2926本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(6)
2011-01-10 16:17 1495本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(5)
2011-01-10 16:16 1730本文档的Copyleft归yfydz所有,使用GPL发布,可以 ...
相关推荐
由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由Wang Haining 等人提出的HCF在...
第4 卷: 攻击检测和防御机制介绍 ScreenOS 中可用的 Juniper Networks 安全选 项。这些选项很多都是可在安全区段级启用的 SCREEN 选项。SCREEN 选项适用于 通过绑定到区段 ( 已为其启用了这些选项) 上的任一接口而...
只能实现检测效果、并不能缓解攻击的问题,提出利用SDN架构的集中控制等特点,在攻击的源头实现流量实时监控,使用源IP防伪、接入层异常检测、链路流量异常检测形成多重防御体系,尽可能早地发现攻击,逐渐过滤异常...
由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由Wang Hai-ning等人提出的HCF在...
在没有修复windows系统漏洞的情况下,微点主动防御软件能够有效检测到黑客利用windows系统漏洞进行的溢出攻击和入侵,实时保护计算机的安全。避免因为用户没有及时修补系统漏洞给不法行为可乘之机。 7)准确定位...
1、防御肉机、代理:自动检测通过肉机、代理对服务器发起的攻击,占用资源少; 2、规则灵活:灵活的规则设置,适合不同服务器的防御要求; 3、攻击转移:可以设置对被攻击页面的重定向,避开攻击; 4、白名单:对...
利用碎片穿透技术突破防火墙和欺骗IDS已经成为黑客们常用的手段,萨客嘶入侵检测系统能够进行完全的IP碎片重组,发现所有的基于IP碎片的攻击。 TCP状态跟踪及流重组 通过对TCP协议状态的跟踪,能够完全避免因单包...
分析TCP/IP协议,说明各层可能受到的威胁及防御方法。 答:网络层:IP欺骗欺骗攻击,保护措施:防火墙过滤、打补丁;传输层:应用层:邮 件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。 5.读图,...
本文通过对攻击 者常使用的监听、截获和恶意攻击等ARP欺骗方法的分析,对基于ARP欺骗原理的匹配IP法、数据帧检测法、 Echo时间法、ARP应答分析法和工具软件检测法等检测方法进行总结,提出制定ARP缓存更新策略、利用...
书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、fwsnort、fwknop 3个开源软件最大限度地发挥iptables检测和防御攻击的效力。大量真实例子以及源代码更有助于读者理解安全防御的原理、技术和实际作。 ...
针对这种情况,提出使用WAY机制作为防御手段,WAY机制使用逆向地址确认、自我声明及WAY-table检查的方法,对欺骗报文进行过滤,使欺骗节点攻击成本增加且无法进行二次欺骗。仿真实验表明,WAY机制弥补了邻居发现协议...
随着无线技术和网络技术的发展,...为了更好地检测和防御这些潜在的威胁,本文中我们阐述了假冒设备(包括AP和Client)的检测技术,并给出了如何在基于Infrastructure架构的WLAN中实施入侵检测策略,防止黑客的攻击。
在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping,这样所有端口都是非信任端口,都将丢弃dhcp offer报文,如果是使用三层交换机提供dhcp服务,就不比单独...
Web攻击及防御技术.png XSS利用架构图.jpg XSS攻击点汇总.png nmap.jpg pentest_method.jpg powershell语法.png web渗透.jpg web应用测试.jpg xml安全汇总.png 渗透流程.jpg 进阶渗透.png 社会工程学....
市场对业务的需求促进了现代电信网从传统语音网络向...本文首先剖析了融合网络环境下针对电信业务进行DoS攻击的原理及特点,比较了其与传统网络DoS攻击的不同,提出了有效的电信业务DoS攻击检测方法和防御DoS攻击模型。
作为服务器安全专家,这套软件已通过公安部信息安全产品检测中心的检测,并获检验合格证书。 服务器安全狗主要有以下几个核心功能: DDOS攻击防护: 1、设置TCP响应连接请求最高值,防止黑客利用TCP协议缺陷发起...
WEB应用安全防护系统建设方案.doc ...所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出
仿真实验结果表明, 该方法能准确地统计出网络中数据包和新源IP数据包的出现次数, 具有较好的检测率和较低的误报率, 能够较准确地预测出下一时间段甚至几个时间段的网络流量, 能为有效防御SYN Flooding攻击提供有力的...
本课题设计并实现了一个对...在设计的基础上,基于Windows 2000平台,用Visual C++实现了IP冒用的检测和攻击、TCP SYN Flood攻击的检测和防御,网络带宽的测量和警报,从而初步形成了一个实时监控网络工具的原型。