网络攻击检测和防御(一)

IP扫描工具
(端口扫描) Port Scan
使用portScan工具，向某个IP地址的主机的 一系列TCP/UDP端口发起连接，根据应答 报文判断主机是否使用这些端口提供服务。 操作系统的缺省配置的开放端口。
Port Scan黑客工具
(TCP/UDP嗅探) Sniffer
使用xSniffer类似的软件工具，可以监视某 个网络所有的TCP连接和UDP会话。 也可以设置过滤条件，嗅探某个用户的全部 TCP/UDP会话。 窥探该用户的网络操作模式，连接情况。
Байду номын сангаас
(DoS攻击) smurf
这是一种 利用引发网络风暴进行的流量攻击。 可以攻击一个网络：发送ICMP应答请求包，目标地址设置为受 害网络的广播地址，这样该网络的所有主机都对此ICMP应 答请求作出答复，形成网络风暴，导致网络阻塞。 也可以用来攻击目标主机：方法是将上述ICMP应答请求包的源 地址改为受害主机的地址，让网络里的所有主机都给受害 主机发包。 攻击报文的发送需要一定的流量和持续时间，才能真正构成攻 击。理论上讲，网络的主机越多，攻击的效果越明显。
IP报文中有几个字段与分片有关：DF位、MF位， Fragment Offset 、Length 。 如果上述字段的值出现矛盾，而设备处理不当，会对 设备造成一定的影响，甚至瘫痪。 矛盾的情况有： DF位被置位，而MF位同时被置位或Fragment Offset 不为0； DF位为0，而Fragment Offset + Length > 65535；
xSniffer黑客工具
(路由跟踪)Tracert
很多系统都提供Tracert应用。 工作原理：它发送TTL为1、2、3…等系列包， 利用路由器收到TTL=0时返回ICMP超时报 文来发现报文到达目的地所经过的路径。
它被用来窥探网络的结构。
IP源站选路
IP源站选路：IP报文的发送方指定报文的传递 路径，中间路由器只要执行这种路由选择就可 以，不用路由器自己路由。 该技术通常用于网络故障诊断和某种特殊业务 的临时传送。 这种技术可能被用来刺探网络结构。
(协议栈攻击)超大ICMP报文攻击
原理：Ping of Death的引申攻击。 使用其它格式的ICMP报文进行的攻击。
一般来说，网络中传输的ICMP报文都不大， 而且不同的系统，能够发送和接收的最大ICMP包长也是不一样 的，因此出现超大的其它格式的ICMP报文，应该可以断定 受到攻击。
(协议栈攻击) TearDrop
(攻击的准备)扫描窥探
潜在攻击：了解网络的拓扑，寻找潜在的受害者。 具备攻击的动机 与 实施具体攻击行为的界定。 利用ping扫射（包括ICMP和TCP）寻找受害者，利用 TCP和UCP端口扫描，检测出受害者的操作系统和 潜在服务以及潜在的安全漏洞，为进一步侵入系统 做准备。 1. 地址扫描 2. 端口扫描 3. IP源站选路 4. IP路由记录选项 5. Tracert报文
IP路由记录
IP路由记录：记录IP报文从源到目的过程中 所经过的路径，也就是一个处理过此报文的 路由器的列表。
该技术通常用于网络路径的故障诊断， 也会被利用来刺探网络结构。
攻击网络协议栈
当网络协议栈本身有缺陷，或者设备实现网 络协议栈的方法有缺陷时，可能会导致系统 异常。 当这种缺陷比较严重时，攻击者发送几个异 常包，就能让设备死机、重启甚至获得设备 控制权。 良好的设计，充分的测试可以使设备对这种 形式的攻击具有良好的抵抗力。
(协议栈攻击) IGMP分片
一般情况下，IGMP报文是不会分片的， 所以，不少系统对IGMP分片报文的处理 可能会存在问题。
对于检测系统来说，收到IGMP分片报文，应该可以断 定受到了攻击。
(协议栈攻击)TCP标志1
TCP报文包含6个标志位：URG、ACK、PSH、RST、SYN、 FIN ，6个标志全部为1，就是圣诞树攻击；
探测操作系统： 6个标志全部为0，如果接受方端口关闭，回应一个RST | ACK 消息；如果端口开放，Linux和UNIX不应答，而Windows 将回答RST | ACK消息。 FIN 、URG、PUSH、URG|FIN 、URG|PUSH 、FIN|PUSH 、 URG|FIN|PUSH 几种情况下：如果接受方端口关闭，回应 一个RST | ACK消息；如果端口开放，Linux和UNIX不应 答，而Windows将回答RST | ACK消息。
(DoS攻击) Land
所谓Land攻击，就是把TCP SYN包的源地址和目标地址都设置 成某一个受害者的IP地址。这将导致受害者向它自己的地址 发送SYN-ACK消息，结果这个地址又发回ACK消息并创建 一个空连接，每一个这样的连接都将保留直到超时掉。
可以看到，这种攻击并不需要滚滚洪流，攻击者只需要拨号上网， 64K的Modem链路发送的Land攻击就能让一个非常快的网 络服务崩溃。因为攻击者和受害者的带宽不对称，这种攻击 是非对称攻击 预防方法：1：防火墙过滤掉源IP和目的IP地址都是保护主机的 任何报文；2：状态防火墙也可以过滤掉；3：服务器的协议 栈进行Land检测，防止和自己建立连接。
(DoS攻击) ICMP不可达报文
原理：攻击者向受害主机主机发送ICMP不 可达报文，希望引起受害主机路由表的 混乱，干扰主机正常的IP报文转发。
有些系统收到ICMP不网络可达报文（代码 为0）或主机可达报文（代码为1）后， 就会直接删除通往该目的地的路由。
恶意的攻击利用这点造成拒绝服务。
(DoS攻击) SYN flood
(协议栈攻击)TCP标志2
不管接受方端口是打开还是关闭，SYN | FIN | URG 会让接收方发送一个 RST | ACK 应答，这可用于 探测主机的存在。 如果端口是关闭的，SYN、SYN | FIN、SYN | PUSH、 SYN | FIN | PUSH、SYN|URG、SYN | URG | PUSH、SYN | FIN | URG | PUSH 会使接收方应 答一个RST | ACK消息；如果端口是打开的，会使 接收方应答一个 SYN | ACK消息，这可用于主机 探测和端口探测。
泪滴或者粘联攻击。 原理：利用TCP/IP协议栈对IP分片包头信息的 信任。IP报文中通过MF位、Offset字段、 Length字段指示该分段所包含的是原包的哪 一段的信息IP分片首部包含指示该片所包含 信息是原包哪一段的信息。某些TCP/IP收 到含有包含重叠偏移的伪造分段时崩溃。
(协议栈攻击) 异常分片
(协议栈攻击)Ping of Death
早期对cisco路由器非常著名的攻击。 攻击原理：IP首部的长度字段共16bit，表明一个IP包最大为 65535字节。所以早期的路由器对数据包的大小就要做了如 此的限制。当接收到IP包时，先读取IP头，取得总长度，生 成缓冲区，最大为65535字节。 实际上，对于ICMP ECHO Request报文，如果数据长度大于 65508，就会使ICMP数据＋IP头长度(20)＋ICMP头长度（8） > 65535。这样，收到一个这样的包后，就会出现内存分配 错误，造成TCP/IP栈崩溃。
(地址扫描) IP Scan
用来确定目标网络中存在哪些IP地址标识的设备。 1：使用ping探测目标地址，有回应表示IP地址存在。 2：使用pingWar自动大规模进行扫描。 3：使用tcpPing利用TCP报文对某个IP地址发起TCP 连接，判断是否有应答报文来进行扫描。 也可以使用udp报文进行IP地址扫描。
攻击是异常的子集
从技术层面分析，网络攻击是网络异常测试的子集， 通过网络攻击可以有效验证： 1：协议本身的功能完备性、是否有漏洞 2：设备实现协议的完备性 3：设备的性能
当网上发生攻击时，不同厂商设备的表现。 在实验室里对网络设备进行攻击测试。
网络攻击和安全的分类学
网络攻击和网络安全是一门实践科学。 研究分类标准和分类方法是一切科学研究的基础。 下面我们对历史上一些有名的网络攻击进行分类， 介绍网络攻击的原理、手段、检测和防御方法。
DoS攻击（Deny of Service）
主要针对服务器，攻击数据源。攻击者的意图很简单，不 是试图控制系统，而是阻止合法的用户访问。 采用的方法： 1：物理上的毁坏或更改； 2：逻辑配置信息的破坏或更改；（例如路由信息） 3：一定程度消耗网络资源，让网络不能继续提供正常服 务。
所谓资源，就是 主机或网络的运行都需要特定的cpu时间、内存和磁 盘空间、网络带宽、对其他网络的访问等。
网络攻击和网络安全
攻击原理、检测和防御
8042测试组
网络、攻击和安全
对网络的攻击和网络本身几乎是同时产生的。 网络攻击和网络安全是矛和盾的关系。 越开放的网络，应用越广泛，越容易受到攻击，没有不会被攻 击的网络；任何攻击都可以被拦截，攻击的时效性。 网络攻击要想成功会越来越困难，但是也没有绝对的安全，网 络攻击和网络安全共同促进网络技术的进步。
(What)攻击什么部位
攻击数据源 攻击传输网络 攻击使用者 无目标攻击 (黑网页/篡改数据/ DoS ) (网络蠕虫/病毒) (TCP劫持)
有时候，攻击者自己并不知道自己在攻击什么 （黑客工具泛滥造成攻击门槛降低）
(Effect)攻击的危害程度分类
1:控制或操纵 2:篡改或窃取 3:阻塞或破坏 4:分析或监听 （完全控制受害者） （利己） （损人） （无法知道，危害性无法界定）
网络攻击的7要素(5WEH)
Who 攻击者是谁 When 攻击发起的时间 Where 在何地发起攻击 Why 为什么要攻击网络 What 攻击的网络部位 Effect 攻击的危害 How 怎样攻击
简化的网络模型
说明 Who / When / Where / Why 关系 黑客攻击 / 网络病毒 / DDoS攻击
针对网络带宽的DoS攻击：流量攻击，洪流攻击，引发网 络风暴攻击 等。
(DoS攻击) ICMP重定向报文
原理：攻击者向受害主机主机发送ICMP重定向报 文，请求主机改变路由。 希望引起受害主机路由表的混乱，干扰主机正常 的IP报文转发。 一般攻击者和受害者需要在同一子网，恶意的攻 击可能跨网段发送虚假的重定向报文。
网络攻击和安全的层次性
对网络不同层次的攻击对应不同层次的安全。可见网络安全是 一个系统工程，网络安全是整体的安全。木桶容量由最短的木 板决定。
攻击物理层
攻击链路层 攻击网络层 攻击传输层 攻击表示层 攻击应用层 攻击操作系统 攻击数据库 社会工程攻击
电气安全/电磁安全/防卫安全/ 远程灾难备份 连接安全/介质安全 协议安全/设备安全 认证和授权/访问控制安全 编码安全 应用安全/数据安全 操作系统安全 数据库安全 管理安全
(DoS攻击) Fraggle
攻击思路类似于Smurf攻击，只是使用UDP应答消息而非ICMP 应答请求消息。UDP端口7(ECHO)收到报文后，会回应收 到的内容；UDP端口19(Chargen)收到报文后，会产生一串 字符流。它们都同ICMP一样，会产生大量无用的应答报文， 占满网络带宽。 攻击者可以向子网广播地址发送源地址为受害网络或受害主机 的UDP包，端口号7或19。子网中所有启动UDP7或UDP19 服务的主机都会中招，引发网络风暴，导致受害网络阻塞 或受害主机崩溃；而没有启动这些服务的系统会产生一个 ICMP不可达消息，因而仍然消耗带宽。
我们关心的网络攻击
和数据传输有关的技术层面的网络攻击 1：针对网络设备本身的攻击：
保证设备本身的安全性，健壮性； 设备本身正确实现算法协议；
2：设备承载的服务安全性
用户认证、加密等；
3：用户的需求推动
IDS (Intrusion Detection System)入侵检测系统；
网络攻击会破坏网络设备，干扰网络服务，对运 营商和用户造成损失。抗攻击的网络设备。
TCP半连接洪流攻击，是比较著名的DoS攻击。
原理：任何系统的内存都不是无限的，协议 栈能维护的半连接数也不是无限。攻击 者制造SYN洪流，一直耗尽系统的半连 接缓冲区，在缓冲区内的连接超时前， 服务器就不会再响应任何连接请求。
预防：减少TCP半连接的老化时间，状态防火墙 过滤（ASPF/CBAC）
1、2的攻击，出于利己利益最大化考虑，攻击者总是 不希望被人察觉到。 4的攻击，防范方法是进行信息加密，让窃听者在一 定时间内无法理解窃听到的信息。
(HOW)怎样攻击、攻击手段
我们重点关注下面两种技术攻击方法：
1:利用协议栈本身或协议栈实现的漏洞发动 的攻击 2:耗尽网络资源的DoS攻击
我们在这里，不讲解黑客攻击武器使用工具发动攻击，只是介绍一些攻 击的方法、原理和相应的防御