网络攻防技术-UDP泛洪攻击与防范
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
项目七 网络协议攻击与防范
1
项目七 网络协议攻击与防范
项目七 网络协议攻击与防范
2
【项目概述】
某安全运维公司接到一个任务,要求对客户公司的服务器进行渗透测试。已知 客户公司的局域网使用的是TCP/IP协议,有一台Windows服务器,运行有web、 ftp服务,一台Linux服务器,运行有Telnet服务。请使用渗透测试技术测试公司的网 络是否存在安全漏洞,并给出防范措施。
Hale Waihona Puke 项目七 网络协议攻击与防范
6
任务实施 1.使用测试工具对目标系统进行UDP泛洪攻击测试。 此次任务实施的拓扑示意图如图7-28所示。
图7-28 对目标系统进行UDP泛洪攻击测试拓扑示意图
项目七 网络协议攻击与防范
7
步骤1 在“IP/hostname”文本框中输入被攻击者的IP地址,在“Port”文本框中输入任意端 口号。在“Speed”选项区,可以移动滑块控制发包的速度,最高每秒可发送250个包。在 “Data”选项区,可以选择UDP包的内容,内容可以随机产生、固定的TXT文本或者从文件 中读取。单击“Go”按钮,开始攻击,如图7-29所示。
任务分析
UDP是一种面向无连接的协议,而且使用UDP的应用程序通常会产生较大的数据流 量。在UDP泛洪攻击中,攻击者向被攻击者的端口随机发送一个UDP报文。当被攻击者 接收到这个UDP报文时,它要确定哪个应用程序在这个目的端口上监听。如果没有应用 程序在这个端口监听,它将产生一个“ICMP目的不可达”的信息返回给发送UDP的主 机。如果向被攻击者的多个端口发送足够多的UDP报文,系统将会崩溃。UDP泛洪攻击 也是一种低技术含量、野蛮的、人海战术的攻击手段,但是这种手段也常常造成网络拥 塞和服务器负载量加大。
12
THANKS
【项目分析】
TCP/IP协议是Internet的标准协议,该协议诞生于20世纪60年代,在制定该协 议时就没有预测到攻击的发生,因此,该协议本身就存在许多漏洞。针对TCP/IP 协议常见的攻击有SYN泛洪攻击、UDP泛洪攻击、TCP会话支持等。另外,http、 ftp、telnet、pop3等协议因为是明文传输,很容易被窃听,存在着传输信息被泄露 的危险。
项目七 网络协议攻击与防范
10
图7-30 在被UDP泛洪攻击的计算机上抓包
项目七 网络协议攻击与防范
11
2.对UDP泛洪攻击的防范。 与SYN泛洪攻击相似,我们无法禁止攻击者发起UDP泛洪攻击。对UDP泛洪攻击的防范方法
是在网络入口处增加防火墙,只允许指定的目的端口的数据包通过。
项目七 网络协议攻击与防范
项目七 网络协议攻击与防范
8
图7-29 进行UDP泛洪攻击
项目七 网络协议攻击与防范
9
步骤2 在被攻击的计算机上使用抓包软件进行抓包,可以看到它收到大量的UDP包。由于 1122端口并不存在,因此它发送大量的ICMP响应包,如图7-30所示。该测试工具没有伪造 源IP地址,攻击者很容易被追踪,而且当ICMP响应包回到攻击者时也会对攻击者产生干扰 (也是一种攻击),如果被攻击者比攻击者强大,则说不清楚谁攻击谁了。
项目七 网络协议攻击与防范
3
项目主要内容: 任务一 网络嗅探攻击与防范
任务二 SYN泛洪攻击与防范 任务三 UDP泛洪攻击与防范 任务四 TCP会话劫持攻击与防范
项目七 网络协议攻击与防范
4
任务三 UDP泛洪攻击与防范
项目七 网络协议攻击与防范
5
任务描述
渗透测试团队发现Windows服务器还可能存在被UDP泛洪攻击的风险。请使用测试 工具对目标主机发起UDP泛洪攻击,测试目标网络是否具有防范UDP泛洪攻击的能力, 如果没有,请给出防范措施。
1
项目七 网络协议攻击与防范
项目七 网络协议攻击与防范
2
【项目概述】
某安全运维公司接到一个任务,要求对客户公司的服务器进行渗透测试。已知 客户公司的局域网使用的是TCP/IP协议,有一台Windows服务器,运行有web、 ftp服务,一台Linux服务器,运行有Telnet服务。请使用渗透测试技术测试公司的网 络是否存在安全漏洞,并给出防范措施。
Hale Waihona Puke 项目七 网络协议攻击与防范
6
任务实施 1.使用测试工具对目标系统进行UDP泛洪攻击测试。 此次任务实施的拓扑示意图如图7-28所示。
图7-28 对目标系统进行UDP泛洪攻击测试拓扑示意图
项目七 网络协议攻击与防范
7
步骤1 在“IP/hostname”文本框中输入被攻击者的IP地址,在“Port”文本框中输入任意端 口号。在“Speed”选项区,可以移动滑块控制发包的速度,最高每秒可发送250个包。在 “Data”选项区,可以选择UDP包的内容,内容可以随机产生、固定的TXT文本或者从文件 中读取。单击“Go”按钮,开始攻击,如图7-29所示。
任务分析
UDP是一种面向无连接的协议,而且使用UDP的应用程序通常会产生较大的数据流 量。在UDP泛洪攻击中,攻击者向被攻击者的端口随机发送一个UDP报文。当被攻击者 接收到这个UDP报文时,它要确定哪个应用程序在这个目的端口上监听。如果没有应用 程序在这个端口监听,它将产生一个“ICMP目的不可达”的信息返回给发送UDP的主 机。如果向被攻击者的多个端口发送足够多的UDP报文,系统将会崩溃。UDP泛洪攻击 也是一种低技术含量、野蛮的、人海战术的攻击手段,但是这种手段也常常造成网络拥 塞和服务器负载量加大。
12
THANKS
【项目分析】
TCP/IP协议是Internet的标准协议,该协议诞生于20世纪60年代,在制定该协 议时就没有预测到攻击的发生,因此,该协议本身就存在许多漏洞。针对TCP/IP 协议常见的攻击有SYN泛洪攻击、UDP泛洪攻击、TCP会话支持等。另外,http、 ftp、telnet、pop3等协议因为是明文传输,很容易被窃听,存在着传输信息被泄露 的危险。
项目七 网络协议攻击与防范
10
图7-30 在被UDP泛洪攻击的计算机上抓包
项目七 网络协议攻击与防范
11
2.对UDP泛洪攻击的防范。 与SYN泛洪攻击相似,我们无法禁止攻击者发起UDP泛洪攻击。对UDP泛洪攻击的防范方法
是在网络入口处增加防火墙,只允许指定的目的端口的数据包通过。
项目七 网络协议攻击与防范
项目七 网络协议攻击与防范
8
图7-29 进行UDP泛洪攻击
项目七 网络协议攻击与防范
9
步骤2 在被攻击的计算机上使用抓包软件进行抓包,可以看到它收到大量的UDP包。由于 1122端口并不存在,因此它发送大量的ICMP响应包,如图7-30所示。该测试工具没有伪造 源IP地址,攻击者很容易被追踪,而且当ICMP响应包回到攻击者时也会对攻击者产生干扰 (也是一种攻击),如果被攻击者比攻击者强大,则说不清楚谁攻击谁了。
项目七 网络协议攻击与防范
3
项目主要内容: 任务一 网络嗅探攻击与防范
任务二 SYN泛洪攻击与防范 任务三 UDP泛洪攻击与防范 任务四 TCP会话劫持攻击与防范
项目七 网络协议攻击与防范
4
任务三 UDP泛洪攻击与防范
项目七 网络协议攻击与防范
5
任务描述
渗透测试团队发现Windows服务器还可能存在被UDP泛洪攻击的风险。请使用测试 工具对目标主机发起UDP泛洪攻击,测试目标网络是否具有防范UDP泛洪攻击的能力, 如果没有,请给出防范措施。