传输层攻击方式汇总解析

  1. 异常包

  TCP/UDP:端口值为0的包;校验和错误的包

  TCP标志位异常包:SYN只能单独存在或只能和ACK共存,和其他标志共存就是异常包;没有标志或标志全置的包;有ACK标志但 Acknowledgment Number为0的包;有SYN标志但Sequence Number为0的包;有URG标志但Urgent Pointer为0,或没有URG标志但Urgent Pointer不为0的包;RST和除ACK标志之外的其他标志共存的包;

  这种攻击标志很明显,防御也很容易,可以做到100%检测并阻断;

  2. LAND攻击

  TCP层的攻击了,不过在网络层就可以防护;攻击方发送源地址和目的地址相同的TCP SYN包,对老的某些操作系统就会发SYNACK包给自身,建立空连接,最终消耗尽自身资源,现在的操作系统已经不会那么傻了,这种攻击也可以做到100%检测并阻断;

  3. Flood攻击

  syn flood:是TCP协议的最大弱点了,对syn flood攻击的分析在另一篇文章中详细说明了,理论上是无法真正防御的,只能进行一定程度的缓解;

  UDP flood:就是发送大量UDP包阻塞目的机通信,由于UDP是非连接协议,因此只能通过统计的方法来判断,很难通过状态检测来发现,只能通过流量限制和统计的方法缓解;对于有些协议,服务器部分的计算量会远大于客户端的计算量,如DNS,野蛮模式的IKE等,这些情况下flood攻击更容易形成DOS。

  4. 端口扫描

  端口扫描往往是网络入侵的前奏,通过端口扫描,可以了解目标 机器上打开哪些服务,有的服务是本来就是公开的,但可能有些端口是管理不善误打开的或专门打开作为特殊控制使用但不想公开的,通过端口扫描可以找到这些端 口,而且根据目标机返回包的信息,甚至可以进一步确定目标机的操作系统类型,从而展开下一步的入侵。

  4.1 TCP扫描

  按照RFC,当试图连接一个没有打开的TCP端口时,服务器会返回RST包;连接打开的TCP端口时,服务器会返回SYNACK包

  合法连接扫描:

  connect扫描:如果是打开的端口,攻击机调用connect函数完成三次握手后再主动断开;关闭的端口会连接识别

  SYN扫描:攻击机只发送SYN包,如果打开的端口服务器会返回SYNACK,攻击机可能会再发送RST断开;关闭的端口返回RST;

  异常包扫描:

  FIN扫描:攻击机发送FIN标志包,Windows系统不论端口是否打开都回复RST;但UNIX系统端口关闭时会回复RST,打开时会忽略该包;可以用来区别Windows和UNIX系统;

  ACK扫描:攻击机发送ACK标志包,目标系统虽然都会返回RST包,但两种RST包有差异;

  对于合法连接扫描,如果SYN包确实正确的话,是可以通过防火墙的,防火墙只能根据一定的统计信息来判断,在服务器上可以通过netstat查看连接状态来判断是否有来自同一地址的TIME_WAIT或SYN_RECV状态来判断。

  对于异常包扫描,如果没有安装防火墙,确实会得到相当好的扫描结果,在服务器上也看不到相应的连接状态;但如果安装了防火墙的话,由于这些包都不是合法连接的包,通过状态检测的方法很容易识别出来(注意:对于标准的Linux内核所带防火墙netfilter的TCP状态检测的实现,ACK和 FIN扫描是可以通过的,需要修改才能防御)。

  4.2 UDP扫描

  当试图连接一个没有打开的UDP端口时,大部分类型的服务器可能会返回一个ICMP的端口不可达包,但也可能无任何回应,由系统具体实现决定;对于打开的端口,服务器可能会有包返回,如DNS,但也可能没有任何响应。

  UDP扫描是可以越过防火墙的状态检测的,由于UDP是非连接的,防火墙会把UDP扫描包作为连接的第一个包而允许通过,所以防火墙只能通过统计的方式来判断是否有UDP扫描。

  5. TCP紧急指针攻击

  Winnuke:对老的Windows系统,对TCP139端口发送带URG标志的包,会造成系统的崩溃,特征明显,防火墙可以100%防御,但也可能误伤;

  6. TCP选项攻击

  相对IP选项,TCP选项利用率要高很多,很多正常包中都要用到,TCP选项攻击包括:

  1) 非法类型选项:正常的选项类型值为0、1、2、3、8、11、23、13,其他类型的出现是可疑的(类型4,5,6,7虽然定义了但被类型8取代,正常情况下也是不用的);

  2) 时间戳:用于搜集目的机的信息;

  3) 选项长度不匹配:选项中的长度和TCP头中说明的TCP头长度计算出的选项长度不一致;

  4) 选项长度为0:非0、1类型的选项长度为0,是非法的;

  5) 选项缺失,一般SYN包中都要有MSS选项,没有的话反而不正常。

时间: 2024-10-29 07:44:45

传输层攻击方式汇总解析的相关文章

全面解析:黑客常规攻击方式之DDoS攻击

本文讲的是 :  全面解析:黑客常规攻击方式之DDoS攻击  , 谈及DDoS攻击已非陌生话题,最早的DDoS攻击可以追溯到1996年,而中国的DDoS攻击自2002年开始频繁出现,到2003年已 经初具规模.尽管是个老生常谈的网络攻击方式,近几年却以新的攻击方式,给企业/用户带来巨大的网络安全威胁,并且已从TCP/IP层上升到了应用层. 何为DDoS攻击? DDoS(分 布式拒绝服务),英文全称Distributed Denial of Service,一种基于DoS的特殊形式的拒绝服务攻击,

我们为何需要安全传输层协议(TLS)

网上说TLS的文章很多,要学习TLS技术有很多不错的选择.本文并不是一个权威的教程,只是我个人学习TLS后基于自己理解的一个总结而已.如果有读者通过阅读此文后加深了对TLS的理解,不胜荣幸. 要聊TLS,还得从HTTP说起,HTTP可以说是作为目前最流行的一个网络协议,可以说是网络的基石之一.一般来说可以理解为从浏览器看到的所有东西,都是构建于HTTP之上的. 早期HTTP协议被设计成在一个可信网络环境中运行,其设计理念以简单为主--通过一个通用格式的明文请求就能够获取到各种文档.样式.脚本.富

Linux内核协议栈-从BSD socket接口层到传输层1

本文接上一篇Linux内核协议栈-初始化流程分析,在上一篇中主要分析了了Linux内核协议栈涉及到的关键初始化函数,在这一篇文章中将分析协议栈的BSD socket和到传输层的流程.采取的方式是分析socket相关的主要系统调用.针对不同的系统调用,其到达的协议层深度可能不同,有的基本只到sock层就够了,但是有些可能需要会涉及到比如tcp的具体细节和更底层的细节.本文基本追溯到传输层的开始,再深入的细节后续文章分析. 1.准备 协议的基本分层: (A代表socket的某个系统调用) BSD s

学习手册:DDoS的攻击方式及防御手段

现如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都开始离不开网络了.但是网际空间带来了机遇的同时,也带来了威胁,其中DDoS就是最具破坏力的攻击,通过这些年的不断发展,它已经成为不同组织和个人的攻击,用于网络中的勒索.报复,甚至网络战争. 先聊聊DDoS的概念和发展 在说发展之前,咱先得对分布式拒绝服务(DDoS)的基本概念有个大体了解. 啥叫"拒绝服务"攻击呢? 其实可以简单理解为:让一个公开网站无法访问.要达到这个目的的方法也很简单:不断地提出服务请求,

网络最常见的攻击方式竟然是SQL注入

NTT研究表明,尽管SQL注入(SQLi)型攻击记录详尽且为人熟知,但目前网络应用程序仍然是SQLi攻击的重灾区. 信息安全和风险管理公司NTTCom Security发布的<2015全球智能威胁风险报告>表明,目前黑客攻击网络应用程序方式中最流行的,要数SQLi攻击.报告对去年发生的60亿攻击行为进行分析,指出SQLi攻击是最常见的网络应用程序攻击方式.全球网络应用程序攻击中,SQLi攻击占26%. SQLi攻击包括在可入侵的网站上输入恶意命令到URL和文本字段,通常是为了窃取数据库中存储的

针对基础类软件的攻击正成为黑客最青睐攻击方式之一

在近期Linux Mint被攻击事件发生之前,很少有人能意识到,自己刚刚安装操作系统的PC,可能就已经沦为黑客的"肉鸡".而且大多数人也无法想象,这只"肉鸡"的来源,是Linux官网上完全符合Hash值验证的操作系统镜像文件.事实上,这类针对基础类软件的攻击在近年来正在不断增多,影响了越来越多的个人及企业用户.百度安全旗下的百度安全实验室(X-lab)专家xi4oyu在分析此类事件后做出评论:针对基础类软件的攻击正在成为黑客最青睐的攻击方式之一,因为其更隐蔽.也更有

黑客攻击方式的四种最新趋势_安全相关

   从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势.  趋势一:攻击过程的自动化与攻击工具的快速更新  攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化.  1.扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度.  2.入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围

黑客入侵攻击方式的 四种最新趋势_网络冲浪

从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1. 扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2. 入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后

《Linux防火墙(第4版)》——1.3 传输层机制

1.3 传输层机制 IP协议定义了OSI模型中的网络层协议.其实仍有一些其他的网络层协议,但我只聚焦在IP上,因为它是目前最流行的网络层协议.OSI模型中,网络层之上的是传输层.正如您所料,传输层有它自己的一组协议簇.我们对两个传输层的协议比较感兴趣:UDP和TCP.本节将分别详细介绍这些协议. 1.3.1 UDP用户数据报协议(User Datagram Protocol,UDP)是无连接协议,用于DNS查询.SNMP(简单网络管理协议)和RADIUS(远程用户拨号认证系统)等.作为无连接协议