4 P' N4 b) r. B3 f2 Q死亡之ping (ping of death) ( N a. L7 Z4 A! f: o* e5 e
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 0 J: [3 v- K" i' X, Q 7 Y8 N9 v. J2 X4 N( Z! A防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(servicepack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 " s; P: h0 O/ [! l( c! Z: K3 r8 Q2 K$ g$ x6 ?) f; `
泪滴(teardrop) " L7 Q% T4 A, A5 U. W
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。 " J6 S* j9 {) V& X7 n0 q5 v
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。 9 i Z0 b# \0 B3 v4 f# a 4 P* J7 f) {) T# [UDP洪水(UDP flood) * O% k% @+ g7 R! r) t' U% E
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 9 |+ ^4 Y! q i. A- p1 q% V
0 z. z5 q* W. Q$ q5 [
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 * O! {; @( }- k. E; B
8 v& }: L5 q& g0 k
SYN洪水(SYN flood) ' l$ O- G3 \) j" i
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。 0 }6 I5 Q) q2 y8 ^2 @3 }& d8 s% v1 o
( `. _, J* y8 d2 H3 Z- J+ X
防御:在防火墙上过滤来自同一主机的后续连接,未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。 # @2 I0 o+ m: v/ q0 z2 R* G9 o
`4 L* Q3 G% s2 d8 }
Land攻击 . Y2 {2 N F) N, z; z h: S& C概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。 : r1 p4 J% V/ s: T5 S' p5 Z2 i+ a* j! t% r! P, b- p' t7 ^
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域) ) x5 u# J; p5 I3 H" X
; ?# A8 ^7 G m9 W, m
Smurf攻击 8 }/ Y. j. i+ }8 B9 x t M6 k概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求ping数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。 - r; g4 a- O" m- P1 J1 A防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。 7 x1 D1 q% P, ` \5 ?
Y' O" t5 i) [
Fraggle攻击 6 m3 l% L1 J% a- ]概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP , g" I! b9 L: V( ~2 E
防御:在防火墙上过滤掉UDP应答消息 8 d+ E c F# o2 j" j' w0 R1 x
0 z9 @2 `6 a; Z. E' a- I/ k, K% e电子邮件炸弹 9 A# ~( ]" t! p9 n4 N1 o概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。 , | B% u d. C6 T" b# x) i防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。 8 ^8 u( u2 N. Y( H# L; A ( P5 ^' C; |' `5 @畸形消息攻击 ( N% m5 u% [! h: L
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。 # w0 B' V/ p* E6 Q防御:打最新的服务补丁。作者: 韩冰 时间: 2004-11-21 01:50
2、利用型攻击 ^+ f5 n; S; X, z* U3 t6 d9 D
9 F" W6 b V8 Z( c
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种: 9 [3 I8 N# f! F4 W6 c
% N, n% g, L. _- @7 n% J9 Z- I口令猜测 2 @# t% J" y/ \
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。 4 R, l8 i" Q* ^+ r4 b
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。 + d" b2 c4 K$ K& K
% p! E" n3 O0 H- u3 o. w特洛伊木马 0 S2 p9 l8 M! U/ {: R
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。 : ?3 e6 y' O, N3 S2 e9 s5 A* i
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。 7 C) h8 I0 s. B' L5 \' L
7 k3 j' @# y6 u h防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。 2 [7 Z+ O, K6 K+ f