畸形報文單包攻擊常見的這些方式有:
Ping of Death攻擊:路由器對包的大小是有限制的,IP報文的長度字段為16位,即IP報文的最大長度為65535。如果遇到大小超過65535的報文,會出現內存分配錯誤,從而使接收方的計算機系統崩潰。攻擊者只需不斷的通過Ping命令向攻擊目標發送超過65535的報文,就可以使目標計算機的TCP/IP堆棧崩潰,致使接收方系統崩潰。
IP分片報文攻擊:IP報文頭中的不分段(DF)位和更多分段(MF)位用于分片控制,攻擊者通過發送分片控制非法的報文,從而導致主機接收報文時產生故障,報文處理異常,甚至導致主機崩潰。
TCP報文標志位攻擊:TCP報文標志位包括URG、ACK、PSH、RST、SYN、FIN六位,攻擊者通過發送非法TCP flag組合的報文,對主機造成危害。
Teardrop攻擊:對于一些大的IP數據包,為了迎合鏈路層的MTU(Maximum Transmission Unit)的要求,需要傳送過程中對其進行拆分,分成幾個IP包。在每個IP報頭中有一個偏移字段和一個拆分標志(MF),其中偏移字段指出了這個片段在整個IP包中的位置。如果攻擊者截取IP數據包后,把偏移字段設置成不正確的值,接收端在收到這些分拆的數據包后,就不能按數據包中的偏移字段值正確組合出被拆分的數據包,這樣,接收端會不停的嘗試,以至操作系統因資源耗盡而崩潰。
WinNuke攻擊:WinNuke攻擊又稱“帶外傳輸攻擊”,它的特征是攻擊目標端口,被攻擊的目標端口通常是139,而且URG位設為1,即緊急模式。WinNuke攻擊是利用Windows操作系統的漏洞,向端口發送一些攜帶TCP帶外(OOB)數據報文,但這些攻擊報文與正常攜帶OOB數據報文不同,其指針字段與數據的實際位置不符,即存在重合,這樣Windows操作系統在處理這些數據時,就會崩潰。
Smurf攻擊:攻擊者向網絡中的廣播地址發送源IP偽造為受害者的ICMP請求報文,使得網絡中的所有主機向受害者回應ICMP應答報文,這樣造成受害者系統繁忙,鏈路擁塞。
Land攻擊:Land攻擊是指攻擊者向受害者發送TCP報文,此TCP報文的源地址和目的地址同為受害者的IP地址。這將導致受害者向它自己的地址發送回應報文,從而造成資源的消耗。
Fraggle攻擊:當主機啟用了端口7(ECHO)和19(Chargen)時,主機在收到目的端口為7(ECHO)或19(Chargen)的UDP報文后,就會產生回應。主機在收到目的端口為7的UDP報文后,會像ICMP Echo Reply一樣回應收到的內容;而當主機收到目的端口為19的UDP報文后,會產生一串字符流。就像Smurf一樣,這兩個UDP端口都會產生大量的應答報文,占據網絡帶寬。攻擊者可以向攻擊目標所在的網絡發送UDP報文,報文的源地址為被攻擊主機的地址,目的地址為被攻擊主機所在子網的廣播地址或子網網絡地址,目的端口號為7或19。子網中啟用了端口7(ECHO)和19(Chargen)的主機都會向被攻擊主機發送回應報文,從而產生大量的流量,占滿帶寬,導致受害網絡的阻塞或受害主機的崩潰。
IP欺騙攻擊:IP欺騙攻擊是一種常用的攻擊方法,同時也是其他攻擊方法的基礎,這是由IP協議自身的特點決定的。IP協議依據IP頭中的目的地址來發送IP報文,如果目的地址是本網絡內的地址,則被直接發送到目的地址;如果目的地址不是本網絡地址,則被發送到網關,而不對IP包中提供的源地址做任何檢查,默認為IP包中的源地址就是發送IP包主機的地址。攻擊者通過向目標主機發送源IP地址偽造的報文,欺騙目標主機,從而獲取更高的訪問和控制權限。該攻擊導致危害資源,信息泄漏。
回答所涉及的環境:聯想天逸510S、Windows 10。
畸形報文單包攻擊常見的這些方式有:
Ping of Death攻擊:路由器對包的大小是有限制的,IP報文的長度字段為16位,即IP報文的最大長度為65535。如果遇到大小超過65535的報文,會出現內存分配錯誤,從而使接收方的計算機系統崩潰。攻擊者只需不斷的通過Ping命令向攻擊目標發送超過65535的報文,就可以使目標計算機的TCP/IP堆棧崩潰,致使接收方系統崩潰。
IP分片報文攻擊:IP報文頭中的不分段(DF)位和更多分段(MF)位用于分片控制,攻擊者通過發送分片控制非法的報文,從而導致主機接收報文時產生故障,報文處理異常,甚至導致主機崩潰。
TCP報文標志位攻擊:TCP報文標志位包括URG、ACK、PSH、RST、SYN、FIN六位,攻擊者通過發送非法TCP flag組合的報文,對主機造成危害。
Teardrop攻擊:對于一些大的IP數據包,為了迎合鏈路層的MTU(Maximum Transmission Unit)的要求,需要傳送過程中對其進行拆分,分成幾個IP包。在每個IP報頭中有一個偏移字段和一個拆分標志(MF),其中偏移字段指出了這個片段在整個IP包中的位置。如果攻擊者截取IP數據包后,把偏移字段設置成不正確的值,接收端在收到這些分拆的數據包后,就不能按數據包中的偏移字段值正確組合出被拆分的數據包,這樣,接收端會不停的嘗試,以至操作系統因資源耗盡而崩潰。
WinNuke攻擊:WinNuke攻擊又稱“帶外傳輸攻擊”,它的特征是攻擊目標端口,被攻擊的目標端口通常是139,而且URG位設為1,即緊急模式。WinNuke攻擊是利用Windows操作系統的漏洞,向端口發送一些攜帶TCP帶外(OOB)數據報文,但這些攻擊報文與正常攜帶OOB數據報文不同,其指針字段與數據的實際位置不符,即存在重合,這樣Windows操作系統在處理這些數據時,就會崩潰。
Smurf攻擊:攻擊者向網絡中的廣播地址發送源IP偽造為受害者的ICMP請求報文,使得網絡中的所有主機向受害者回應ICMP應答報文,這樣造成受害者系統繁忙,鏈路擁塞。
Land攻擊:Land攻擊是指攻擊者向受害者發送TCP報文,此TCP報文的源地址和目的地址同為受害者的IP地址。這將導致受害者向它自己的地址發送回應報文,從而造成資源的消耗。
Fraggle攻擊:當主機啟用了端口7(ECHO)和19(Chargen)時,主機在收到目的端口為7(ECHO)或19(Chargen)的UDP報文后,就會產生回應。主機在收到目的端口為7的UDP報文后,會像ICMP Echo Reply一樣回應收到的內容;而當主機收到目的端口為19的UDP報文后,會產生一串字符流。就像Smurf一樣,這兩個UDP端口都會產生大量的應答報文,占據網絡帶寬。攻擊者可以向攻擊目標所在的網絡發送UDP報文,報文的源地址為被攻擊主機的地址,目的地址為被攻擊主機所在子網的廣播地址或子網網絡地址,目的端口號為7或19。子網中啟用了端口7(ECHO)和19(Chargen)的主機都會向被攻擊主機發送回應報文,從而產生大量的流量,占滿帶寬,導致受害網絡的阻塞或受害主機的崩潰。
IP欺騙攻擊:IP欺騙攻擊是一種常用的攻擊方法,同時也是其他攻擊方法的基礎,這是由IP協議自身的特點決定的。IP協議依據IP頭中的目的地址來發送IP報文,如果目的地址是本網絡內的地址,則被直接發送到目的地址;如果目的地址不是本網絡地址,則被發送到網關,而不對IP包中提供的源地址做任何檢查,默認為IP包中的源地址就是發送IP包主機的地址。攻擊者通過向目標主機發送源IP地址偽造的報文,欺騙目標主機,從而獲取更高的訪問和控制權限。該攻擊導致危害資源,信息泄漏。
回答所涉及的環境:聯想天逸510S、Windows 10。