1.泪滴攻击:
向目的主机发送改造过的IP数据包,IP报头中长度为负值,系统将该数据包长度按无符号整数处理,系统将试图复制极长的数据包,此时系统可能会崩溃或重启
详解:
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。比如,一个6 000字节的IP包,在MTU为2 000的链路上传输的时候,就需要分成3个IP包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表示这个IP包是一个大IP包的片段,其中偏移字段指出了这个片段在整个IP包中的位置。例如,对一个6 000字节的IP包进行拆分(MTU为2 000),则3个片段中偏移字段的值依次为0,2 000,4 000。这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这里就有一个安全漏洞可以利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合这些拆分的数据包,但接收端会不断尝试,这样就可能致使目标计算机操作系统因资源耗尽而崩溃。
泪滴攻击利用修改在TCP/IP堆栈中IP碎片的包的标题头,所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息?某些操作系统(如SP4以前的Windows NT 4.0)的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。
防御方法:检测这类攻击的方法是对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。反攻击的方法是添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。
本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/
2.Ping of Death:向目的主机发送大量的超长ICMP数据包(超过65500字节),消耗系统资源
死亡之ping介绍:
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测方法:判断数据包的大小是否大于65535个字节。
反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
3.Smurf攻击:
发送伪装的ICMP数据包,目的地址设为某个网络的广播地址,源地址设为要攻击的目的主机,使所有收到此ICMP数据包的主机都将对目的主机发出一个回应,使被攻击主机在某一段时间内收到成千上万的数据包
4.SYN溢出:利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽,无法及时回应或处理正常的服务请求
5.DDoS:分布式拒绝服务攻击,是DoS攻击的延伸,是一种分布式、相互协作的大规模攻击。
本文出自 “Hello_小壮” 博客,请务必保留此出处http://xiaozhuang.blog.51cto.com/4396589/907998