常见网络攻击分析

防御方法
Port Security 802.1x Dynamic VLANs
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析


分片攻击分析
SYN Flood分析
UDP Flood简介

Βιβλιοθήκη Baidu
攻击原理
UDP是一种无连接协议，不需建立连接即可传输数据；
系统收到 UDP 数据包的时，确定目的端口的服务是否开启，如果发现该服务 不存在，就会产生 ICMP 数据包并发送给源地址（地址大部份是伪造）；
转发过程中通过对CAM表的查询来确定转发端口 如果无法找到数据的目的MAC，单播包当成广播处理 CAM表容量有限，超过后，新的条目不会添加到CAM表中

攻击目的
交换机瘫痪 抓取数据包

攻击手段
不断发送到未知目的且每个包的源MAC地址都不同（伪造）的包，当这样的数据
包发送的速度足够快之后，快到在刷新（老化）时间内将交换机的CAM表迅速填

攻击目的
拒绝服务

攻击手段
通过工具向被攻击系统发送足够多的UDP数据包即可
UDP Flood分析
UDP Flood分析
UDP Flood分析
UDP Flood分析
UDP Flood分析
UDP Flood分析
建议

数据过滤 禁用或过滤监控和响应服务 禁用或过滤其它的 UDP 服务
常见网络攻击分析
科来软件 电话： 028 – 85120922 传真： 028 – 85120911 邮件： support@colasoft.com.cn 网站： www.colasoft.com.cn
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析


分片攻击分析
SYN Flood分析

攻击目的
主机宕机 设备假死

攻击手段
分片攻击可以分为两大类：一类是发送异常的分片包，如teardrop等；一类是发 送海量的分片，即flood攻击，让系统不停的进行分片重组，让CPU“忙不过 来”，这是一种“低级”的攻击方式，但却是很难防御的。
分片攻击分析
分片攻击分析
分片攻击分析
建议

ARP攻击分析
ARP攻击分析
建议

IP-MAC绑定 ARP防火墙 使用具备ARP防护功能的路由器
动态ARP检测
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析


分片攻击分析
SYN Flood分析
MAC Flood简介

攻击原理
交换机基于MAC址转发数据
满。CAM表被这些伪造的MAC地址占据，真实的MAC地址条目却无法进入CAM 表，那么任何一个经过交换机的正常单播数据帧都会以广播帧的方式来处理。
分析MAC Flood
非常多的MAC地址
MAC地址、通讯内容填充明显
建议
MAC地址伪造，抓包不能定位真实源，可通过定抓包逐步定位泛 洪的交换机，然后再进行排查，在排查过程中可借助TAP设备。
如必须提供一些 UDP 服务的外部访问，建议用代理
用网络进行长期监控
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析


分片攻击分析
SYN Flood分析
分片攻击简介

攻击原理
向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程 中宕机或者重新启动。
系统请打上最新的Service Pack; 在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目;
如果防火墙有重组碎片的功能，确保自身的算法没有问题，否则被DoS就会 影响整个网络;

自定义IP安全策略，设置“碎片检查”（windows）。
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析
SYN Flood分析
SYN Flood分析
SYN Flood分析
建议

SYN－cookie技术 ISP附加服务 报警
Q&A
科来软件 电话：028 – 85120922 传真：028 – 85120911 邮件：support@colasoft.com.cn 网站： www.colasoft.com.cn


分片攻击分析
SYN Flood分析
SYN Flood简介

攻击原理
利用TCP三次握手协议的缺陷，短时间内向目标主机发送大量的伪造源地址的 SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务

攻击目的
服务器、网络拒绝服务

攻击手段
通过工具或肉机大量发送syn位置1的数据包。
SYN Flood分析
提纲

ARP攻击分析 MAC Flood分析 UDP Flood分析


分片攻击分析
SYN Flood分析
ARP攻击简介

攻击原理
通过伪造IP地址和MAC地址对应关系，或大量发送ARP数据包耗费网络带宽来 达到攻击目的。

攻击目的
广播风暴、主机暴露 断网、信息泄密

攻击手段
通过工具向网络中持续发送ARP数据包，不断刷新主机的ARP表即可。