几种常见网络攻击介绍以及分析实例

《几种常见网络攻击介绍以及分析实例》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、几种常见网络攻击介绍及通过科来分析定位的实例科来安徽办王超目录MACFLOODSYNFLOODIGMPFLOOD分片攻击蠕虫攻击MACFLOOD（MAC洪乏）MAC洪乏：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满攻击的后果：1.交换机忙于处理MAC表的更新，数据转发缓慢2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上攻击的目的：1.让交换机瘫痪2.抓取全网数据包攻击后现象：网络缓慢科来分析MACFLOOD实例1.MAC地址多2.源MAC地址明显填充特征3.额

2、外数据明显填充特征通过节点浏览器快速定位MACFLOOD的定位定位难度：源MAC伪造，难以找到真正的攻击源定位方法：通过抓包定位出MAC洪乏的交换机在相应交换机上逐步排查，找出攻击源主机SYNFLOOD（syn洪乏）SYNFLOOD攻击：利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务攻击后果：1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源攻击目的：1.服务器拒绝服务2.网络拒绝服务攻击后现象：1.服务器死机2.网络瘫痪科来分

3、析SYNFLOOD攻击实例1.根据初始化TCP连接与成功建立连接的比例可以发现异常2.根据网络连接数与矩阵视图，可以确认异常IP3.根据异常IP的数据包解码，我们发现都是TCP的syn请求报文，至此，我们可以定位为synflood攻击SYNFLOOD定位定位难度：Synflood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机定位方法：只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。IGMPFLOODIGMPFLOOD

4、攻击：利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包攻击后果：网关设备（路由、防火墙等）内存耗尽、CPU过载攻击后现象：网络缓慢甚至中断科来分析IGMPFLOOD攻击实例1.通过协议视图定位IGMP协议异常2.通过数据包视图定位异常IP4.通过时间戳相对时间功能，可以发现在0.018秒时间内产生了3821个包，可以肯定是IGMP攻击行为3.通过科来解码功能，发现为无效的IGMP类型IGMPFLOOD定位定位难度：源IP一般是真实的，因此没有什么难度定位方法：直接根据源IP即可定位异常主机分片攻击分片攻

5、击：向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动攻击后果：1.目标主机宕机2.网络设备假死被攻击后现象：网络缓慢，甚至中断利用科来分析分片攻击实例1.通过协议视图定位分片报文异常2.数据包：源在短时间内向目的发送了大量的分片报文3.数据包解码：有规律的填充内容分片攻击定位定位难度：分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的定位方法：直接根据源IP即可定位故障源主机蠕虫攻击蠕虫攻击：感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用

6、目的主机收集相应的机密信息等攻击后果：泄密、影响网络正常运转攻击后现象：网络缓慢，网关设备堵塞，业务应用掉线等利用科来分析蠕虫攻击实例1.通过端点视图，发现连接数异常的主机1.通过数据包视图，发现在短的时间内源主机（固定）向目的主机（随机）的445端口发送了大量大小为66字节的TCPsyn请求报文，我们可以定位其为蠕虫引发的扫描行为蠕虫攻击定位定位难度：蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快定位方法：结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可谢谢！科来安

7、徽办王超Tel:15855101000Mail:shujuhua@163.comQQ:349932999欢迎各位交流技术问题！