填充攻击介绍和攻击案例、解决方案

《填充攻击介绍和攻击案例、解决方案》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、填充攻击介绍和攻击1・1・原理介绍填充攻击：填充攻击指的是以故意在数据包内容部分填充一些无用的数据來消耗网络带宽和系统资源的i种网络攻击。值得指出的是数据填充在网络传输中经常会见到。例如我们知道arp协议字段长度为14+28=42byte,而42字节是不能出现在以A网络屮的（以太网准许发送字节为64-1518byte）,为了能将arp数据包正确的发送到以太网中，于是便填充了18字节，然后加上4字节的FCS正好是64字节。这个正好符合以太网最小数据包的字节数。w6■—-二一站亠—分祈工停1--002421:ELD2：F4<->FF:FhFF:

2、FF:FF:FF・“亦应ooooSHELtl太网・II(0/14)FF:FF:FF：rF:FF:Fr(0/€]矽漫毛址：00:24:21:EE:D2:F4(«/«)0x0806(12/2J"ARP・AfatwtrfWx仪(1V28]1(tl衣网)(14/2JoxoeooS/2】J-O3!竹至址长更：6(18/1)

3、-©协议维址长5?：4•佗共二：1

4、rox>[32/6]10.0.0.252(38/4]LBxtraData:(42/18]•-(3Nun-iocror3ytes:16bytea[42/:]15Z布15yrFJTXFFyyFF00二■】工二一八3.八二.1乂…二二■:22D2y<0A00017S000000oooooooaooooyc数据填充现象在一些TCPSYN数据包，和ACK中也经常出现，此类填充主要是为了让数据包能够达到以太网发送标准而做的填充。填充攻击则以消耗带宽和系统资源为主。下面我们來看两个填充攻击的案例。所以带來的直接现彖就是网络比较慢，服务器CPU利用率很高，

5、很难提供正常的服务。1.2.案例分析UDPflood攻击是DOS攻击中的--种，既能消耗网络带宽也能消耗系统资源。此类攻击主耍明显的特征有以下：■UDP会话数较多，在很短的时间内就达到成百上千，远大于TCP会话12日轴啟计74ip^®267TCP缶47UDP绍2413TCP!魁七SA■网络屮人包较多，人小包数据包失衡64064%128-255:0.86%■此外，数据包部分能看到人最填充现象明显的数据包。*分祈工程1•全35分靳-10X)4.135<->174.3653225•釵抿邸屯卩952

6、0374；0J9G03BB•33FCi241£0

7、494:；；•：hiI的一个卞〜右冃11右居2t£fi；-O分或•0••••••«可能分按1[20/1]0x40Q更歩分辰：••0•••••<£?§—个E)[20/1]3X2C&分段仗吾筐：0【20/2]OxlFFF€）空存羽直：€4W/l]Q丄St7iZ：17

8、/2]&经狂fo：0X9E42(王確)[40/2]VExtraData:[42/122】(jjHueberofBytes:1208bytea【42/：]■另外冇时候为了制造人屋流暈，数据包还会冇很多分片产生「TG.72385810Bps0bpsI[TRadius3.225KB130Bps0bpssTQQ

9、1.125KB11577Bps4.616Kbps="T*Other

10、1.125KB11577Bps4.616KbpsSTDNS403B30Bps0bpsTResponse239B10Bps0bps=TQuery164B20Bps0bpsIP

11、Fragment■1.561MB4,389726.388KBps5.811MbpsE3TTCP32.818KB10717.591KBps140.728Kbps1TOther117.908KB599.025K8os72.200Kbos816:04:28.7589000.0009020.001006218.62.111102:1429010.0.1.180:28952•UDP■•14E3■••■■0x96E2916:04:28.7589020.0000020.00100810.0.1.135:2066174.36.93.225:80UDP1.5

12、14Ox2DA31016:04:28.7589040.0000020.00101010.0.1.135:2067174.36.93.225:80UDPL5180x2DA41116