网络层攻击与防御.doc

ID:53776679

大小:23.91 KB

页数:6页

时间:2020-04-06

网络层攻击与防御.doc_第1页
网络层攻击与防御.doc_第2页
网络层攻击与防御.doc_第3页
网络层攻击与防御.doc_第4页
网络层攻击与防御.doc_第5页
资源描述:

《网络层攻击与防御.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、1.(DOS)IPspoofing攻:当通过IP协议进行通信的时候,IP协议对数据包中的源地址并没有内置的限制。通过使用一个原始套接字(一个低层编程API,他按照某种标准构造数据包)黑客通过向服务器发送虚假的包以欺骗服务器的做法。将包中的源IP地址设置为不存在或不合法的值。服务器一但接受到该包就会返回接受请求包,但实际上这个包永远返回不到来源处的计算机,这种做法使服务器必须开启自己的监听端口不断等待,也就浪费了系统各方面的资源。许多安全软件(攻击的防御的)都包括伪造源IP地址的能力。DDOS工具通常都会将IP欺骗作为其必备功能

2、,一些著名的工具(hping、nmap)也可以伪造源地址•将包中的源IP地址设置为不存在或不合法的值:服务器一但接受到该包就会返回接受请求包并开启自己的监听端口不断等待,从而浪费了系统各方面的资源。•将包中的源IP地址设置为其他合法主机的值:假冒其他主机,与其他攻击技术结合进行攻击防:边界路由器配置,对源IP地址进行过滤-禁止外来的但是IP地址是本地的数据包2.IP分片重组将IP数据包分解为一系列较小的数据包是IP协议的一个基本功能。每当一个IP数据包被路由到一个数据链路层MTU(最大传输单元)的大小不足以容纳整个数据包的网络

3、时,就有必要分解IP数据包,这个过程就是分片。任何连接两个具备不同MTU大小的数据链路层的路由器都有责任确保在这两个数据链路层之间传输的IP数据包大小绝不会超过任何一方MTU的值。目标主机的IP协议栈将重组IP分片以还原最初的数据包,然后在该数据包中封装的协议将交给上一层的协议栈。攻:3.1用于躲避防火墙或者网络入侵检测系统许多网络入侵检测系统的机理是单IP包检测,没有处理分片,即使是像ISS这样的公司也是在最新的5.0版本中才实现了组装功能,更不用说snort了,其IP组装插件经常造成coredump,因此大多数人都将此功能

4、关闭了。3.1.1一个攻击者可以利用IP分片技术(通过构建攻击数据包并故意将该数据包分解为多个IP分片)来逃避IDS(入侵检测系统)的检查。任何完整实现的IP协议栈都能够重组被分片的报文,为了检测攻击,IDS也不得不使用与目标主机的IP协议栈相同的算法来重组数据包。但因为不同的IP协议栈所实现的重组算法略有不同(例如,对于重叠的分片,Cisco IOS的IP协议栈根据最新分片策略进行重组,而WindowsXP的协议栈则根据最早分片策略进行重组),这就给IDS带来了挑战。3.1.2Tinyfragment攻击所谓Tinyfrag

5、ment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一些智能的包过滤设备直

6、接丢掉报头中未包含端口信息的分片3.2DOS3.2.1Teardrop攻击:攻击者利用早期某些系统中TCP/IP协议栈具体实现的数据包重新组合代码中的漏洞(没有考虑到对含有重叠偏移的伪造分段的处理导致系统非法操作)通过IP碎片进行攻击,直接导致系统崩溃(Windows蓝屏症状)。3.2.2jolt2jolt2是2000年五月份出现的新的利用分片进行的攻击程序,几乎可以造成当前所有的windows平台(95,98,NT,2000)死机。原理是发送许多相同的分片包,且这些包的offset值(8190*8=65520bytes)与总

7、长度(48bytes)之和超出了单个IP包的长度限制(65536bytes)。1.低TTL值每个路由器都会将经过它转发的IP数据包的IP首部中的TTL值减1.如果在本地子网中出现的数据包有一个为1的TTL值,那么这很可能表明有人正在对IP地址使用traceroute程序(或它的一个变体程序,如tcptraceroute),这个IP地址可能存在于本地子网中,也可能是在一个通过本地子网路由到的子网中。通常情况下,这只是表示有人正在排除网络连接故障,但它也可能表示有人正在对该网络执行侦察工作,想找出到一个潜在目标的跳数。2.使用分片

8、重组和有针对性的TTL值隐藏攻击路由路径信息与分片重组技巧相结合对隐藏网络攻击很有用处。例如,假设攻击者发现在目标主机前存在一个路由器(由traceroute确定),并且攻击者还怀疑有一个IDS正处于目标主机的子网之前并在监视着目标主机所在的子网。如果情况确实如此,那么目标主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
正文描述:

《网络层攻击与防御.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、1.(DOS)IPspoofing攻:当通过IP协议进行通信的时候,IP协议对数据包中的源地址并没有内置的限制。通过使用一个原始套接字(一个低层编程API,他按照某种标准构造数据包)黑客通过向服务器发送虚假的包以欺骗服务器的做法。将包中的源IP地址设置为不存在或不合法的值。服务器一但接受到该包就会返回接受请求包,但实际上这个包永远返回不到来源处的计算机,这种做法使服务器必须开启自己的监听端口不断等待,也就浪费了系统各方面的资源。许多安全软件(攻击的防御的)都包括伪造源IP地址的能力。DDOS工具通常都会将IP欺骗作为其必备功能

2、,一些著名的工具(hping、nmap)也可以伪造源地址•将包中的源IP地址设置为不存在或不合法的值:服务器一但接受到该包就会返回接受请求包并开启自己的监听端口不断等待,从而浪费了系统各方面的资源。•将包中的源IP地址设置为其他合法主机的值:假冒其他主机,与其他攻击技术结合进行攻击防:边界路由器配置,对源IP地址进行过滤-禁止外来的但是IP地址是本地的数据包2.IP分片重组将IP数据包分解为一系列较小的数据包是IP协议的一个基本功能。每当一个IP数据包被路由到一个数据链路层MTU(最大传输单元)的大小不足以容纳整个数据包的网络

3、时,就有必要分解IP数据包,这个过程就是分片。任何连接两个具备不同MTU大小的数据链路层的路由器都有责任确保在这两个数据链路层之间传输的IP数据包大小绝不会超过任何一方MTU的值。目标主机的IP协议栈将重组IP分片以还原最初的数据包,然后在该数据包中封装的协议将交给上一层的协议栈。攻:3.1用于躲避防火墙或者网络入侵检测系统许多网络入侵检测系统的机理是单IP包检测,没有处理分片,即使是像ISS这样的公司也是在最新的5.0版本中才实现了组装功能,更不用说snort了,其IP组装插件经常造成coredump,因此大多数人都将此功能

4、关闭了。3.1.1一个攻击者可以利用IP分片技术(通过构建攻击数据包并故意将该数据包分解为多个IP分片)来逃避IDS(入侵检测系统)的检查。任何完整实现的IP协议栈都能够重组被分片的报文,为了检测攻击,IDS也不得不使用与目标主机的IP协议栈相同的算法来重组数据包。但因为不同的IP协议栈所实现的重组算法略有不同(例如,对于重叠的分片,Cisco IOS的IP协议栈根据最新分片策略进行重组,而WindowsXP的协议栈则根据最早分片策略进行重组),这就给IDS带来了挑战。3.1.2Tinyfragment攻击所谓Tinyfrag

5、ment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一些智能的包过滤设备直

6、接丢掉报头中未包含端口信息的分片3.2DOS3.2.1Teardrop攻击:攻击者利用早期某些系统中TCP/IP协议栈具体实现的数据包重新组合代码中的漏洞(没有考虑到对含有重叠偏移的伪造分段的处理导致系统非法操作)通过IP碎片进行攻击,直接导致系统崩溃(Windows蓝屏症状)。3.2.2jolt2jolt2是2000年五月份出现的新的利用分片进行的攻击程序,几乎可以造成当前所有的windows平台(95,98,NT,2000)死机。原理是发送许多相同的分片包,且这些包的offset值(8190*8=65520bytes)与总

7、长度(48bytes)之和超出了单个IP包的长度限制(65536bytes)。1.低TTL值每个路由器都会将经过它转发的IP数据包的IP首部中的TTL值减1.如果在本地子网中出现的数据包有一个为1的TTL值,那么这很可能表明有人正在对IP地址使用traceroute程序(或它的一个变体程序,如tcptraceroute),这个IP地址可能存在于本地子网中,也可能是在一个通过本地子网路由到的子网中。通常情况下,这只是表示有人正在排除网络连接故障,但它也可能表示有人正在对该网络执行侦察工作,想找出到一个潜在目标的跳数。2.使用分片

8、重组和有针对性的TTL值隐藏攻击路由路径信息与分片重组技巧相结合对隐藏网络攻击很有用处。例如,假设攻击者发现在目标主机前存在一个路由器(由traceroute确定),并且攻击者还怀疑有一个IDS正处于目标主机的子网之前并在监视着目标主机所在的子网。如果情况确实如此,那么目标主

显示全部收起
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
关闭