FAQ-防火墙中各种单包攻击的含义

发布时间:  2014-09-19 浏览次数:  897 下载次数:  0
问题描述
防火墙中各种单包攻击的含义
解决方案
 Smurf攻击:攻击者向网络中的广播地址发送源IP伪造为受害者的ICMP请求报文,使得网络中的所有主机向受害者回应ICMP应答报文。
 Land攻击:Land攻击是指攻击者向受害者发送TCP报文,此TCP报文的源地址和目标地址同为受害者的IP地址,这将导致受害者向它自己的地址发送回应报文。
 Ping of Death攻击:IP报文的长度字段为16位,即IP报文的最大长度为65535。如果遇到大小超过65535的报文,会出现内存分配错误,从而使接收方的计算机死机。攻击者只需不断的通过Ping命令向攻击目标发送超过65535的报文,就可以使目标计算机的TCP/IP堆栈崩溃,致使接收方死机。
 Large Icmp攻击:报文长度超过设定值(默认为4000字节)的ICMP报文,其中4000字节包括IP层的长度。超大ICMP报文攻击是指利用长度超大的ICMP报文对目标系统进行攻击。对于有些系统,在接收到超大ICMP报文后,由于处理不当,会造成系统崩溃、死机或重启。
 icmp-redirect攻击:报文是ICMP重定向报文(类型为5)。网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其他设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以改变主机的路由表,干扰主机正常的IP报文转发。
 icmp-unreachable攻击:报文是类型号为3,代码不是4的ICMP不可达报文。不同的系统对ICMP不可达报文的处理方式不同,有的系统在收到网络或主机不可达的ICMP报文后,对于后续发往此目的地址的报文直接认为不可达,从而切断了目的地与主机的连接。攻击者利用这一点,伪造不可达ICMP报文,切断受害者与目的地的连接,造成攻击。
 Tracert攻击:ICMP报文是否为超时(类型为11)或者目的端口不可达报文(类型号为3,代码号为3)。Tracert报文攻击是攻击者利用TTL为0时返回的ICMP超时报文,和达到目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,它可以窥探网络的结构。
 Fraggle攻击:目的端口为7或19的UDP报文。主机在收到目的端口为7(ECHO)或19(Chargen)的UDP报文后,都会产生回应。主机在收到目的端口为7的UDP报文后,会像ICMP Echo Reply一样回应收到的内容;而当主机收到目的端口为19的UDP报文后,会产生一串字符流。就像Smurf一样,这两个UDP端口都会产生大量的应答报文,占据网络带宽。攻击者可以向攻击目标所在的网络发送UDP报文,报文的源地址为被攻击主机的地址,目的地址为被攻击主机所在子网的广播地址或子网网络地址,目的端口号为7或19。子网中启用了此功能的每个系统都会向被攻击主机发送回应报文,从而产生大量的流量,占满带宽,导致受害网络的阻塞或受害主机的崩溃。
 WinNuke攻击:WinNuke攻击又称“带外传输攻击”,它的特征是攻击目标端口,被攻击的目标端口通常是139,而且URG位设为1,即紧急模式。WinNuke攻击是利用Windows操作系统的漏洞,向端口发送一些携带TCP带外(OOB)数据报文,但这些攻击报文与正常携带OOB数据报文不同,其指针字段与数据的实际位置不符,即存在重合,这样Windows操作系统在处理这些数据时,就会崩溃。
 tcp-flag攻击: TCP报文的各个标志位全1;或者TCP报文的各个标志位全0;或者SYN和FIN位同时为1;或者RST和SYN位同为1;或者FIN和URG位同为1的报文。攻击者通过发送非法TCP flag组合的报文,对主机造成危害。
 ip-fragment攻击:DF位为1,并且MF位为1或Fragment Offset不为0;DF位为0,并且IP报文偏移加上长度大于65535的IP报文。攻击者通过发送分片控制非法的报文,从而导致主机接收报文时产生故障,报文处理异常,甚至导致主机崩溃。
 IP Spoofing攻击:IP协议依据IP头中的目的地址来发送IP报文,如果IP报文是本网络内的地址,则被直接发送到目的地址;如果该IP地址不是本网络地址,则被发送到网关,而不对IP包中提供的源地址做任何检查,默认为IP包中的源地址就是发送IP包主机的地址。攻击者通过向目标主机发送源IP地址伪造的报文,欺骗目标主机,从而获取更高的访问和控制权限。该攻击导致危害资源,信息泄漏。

END