技术文章-网络攻击与防御-ZJ

扩展访问控制列表的两个高级选项

北京华尔思网络实验室周军zhoujun@

1.概述：

本文介绍的攻击是恶意利用网络协议的原理和缺陷而实施的，防御方法仅供参考，实乃抛砖引玉之举。

2.常见网络攻击

（1）mac flood攻击

攻击者向交换机发送大量的具有虚假源mac地址的流量，导致交换机mac地址表溢出，最终导致交换机不能学习正常主机的mac地址，从而导致正常主机的流量被交换机泛洪转发，进而导致流量嗅探。（2）vlan hopping

攻击者利用交换机的vlan trunk协议（IEEE802.1Q）协商功能，与交换机建立turnk，可以捕获每个vlan的流量；或者采用为流量进行vlan双标记的方法实现跨越vlan边界的单向访问。

（3）arp欺骗

攻击者利用构造虚假的arp应答包，造成通信双方主机的错误的arp缓存信息，从而导致信息泄露和中间人攻击。

（4）ip地址欺骗

是大多数网络攻击的一种伴随行为，攻击者使用虚假的ip地址进行各种攻击，可能造成拒绝服务或身份冒用。

（5）land攻击

是一种使用相同的源和目的主机和端口发送数据包到某台机器

的攻击。结果通常使存在漏洞的机器崩溃。

（6）Teardrop攻击

是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。（利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机当机或协议崩溃。

（7）死亡之Ping

属于拒绝服务攻击的一种，Ping是通过发送ICMP报文来判断主机是否存活。许多早期的操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，当发送超大型的包时，即发送的包超过65535字节时，就会导致接收方出现内存分配错误，导致TCP/IP堆栈崩溃或服务器死机。

（8）Smurf攻击

是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此

ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

(9)源路由欺骗(Source Routing Spoofing)

原理:利用IP数据包中的一个选项-IP Source Routing来指定路由，利用可信用户对服务器进行攻击，特别是基于UDP协议的由于其是面向非连接的，更容易被利用来攻击;该攻击能够控制流量的路径。

(10)UDP Flood

是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器，但是实际上攻击者和被攻击者双方的流量是很大的。(11)SYN Flood

是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷（利用TCP三次握手的原理），发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（维持大量的半开tcp连接，导致CPU满负荷或内存不足）的攻击方式。

(12)会话劫持(Session Hijack)

是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。TCP会

话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ack seq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。

(13)dhcp欺骗攻击

攻击者通过使用dhcp服务向客户端分配ip地址和网关，从而轻易的实现中间人攻击。

(14)DNS欺骗

就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。

3.常用防御方法

(1)mac flood攻击防御

部署交换机端口安全功能，能够同时限制交换机端口能够连接的主机的数量和mac地址，这样攻击者就无法使用

虚假mac地址通信，保护了交换机的mac地址表不会溢出。

（2）vlan hopping防御

关闭交换机端口的trunk协商功能，部署交换机vlan acl或private vlan进行访问控制。

（3）arp欺骗防御

静态配置主机的常用通信地址的arp映射，扩展性不好。

部署厂商专用技术：例如思科交换机的动态arp检查（DAI)能够检查arp应答包的真实性，并据此进行arp流量检查和过滤。

使用专用的主机安全软件如arp防火墙等。

（4）ip地址欺骗防御

在网络边界（三层交换机、路由器、防火墙等）部署ACL过滤非法地址。

在交换机部署ip地址与mac地址绑定。

（5）land攻击防御

升级主机、网络设备系统和补丁。

部署路由器、防火墙或IDS/IPS等安全策略。