單包攻擊類型介紹

一、掃描窺探攻擊

1、地址掃描攻擊防范

攻擊介紹

• 運(yùn)用ping程序探測(cè)目標(biāo)地址，確定目標(biāo)系統(tǒng)是否存活。也可使用TCP/UDP報(bào)文對(duì)目標(biāo)系統(tǒng)發(fā)起探測(cè)（如TCP ping）。

防御方法

• 檢測(cè)進(jìn)入防火墻的ICMP、TCP和UDP報(bào)文，根據(jù)源IP地址獲取統(tǒng)計(jì)表項(xiàng)的索引，如果目的IP地址與前一報(bào)文的IP地址不同，則將表項(xiàng)中的總報(bào)文個(gè)數(shù)增加1。如果在一定時(shí)間內(nèi)報(bào)文的個(gè)數(shù)達(dá)到設(shè)置的闌值，記錄日志，并根據(jù)配置決定是否將源IP地址自動(dòng)加入黑名單。

2、端口掃描攻擊防范

攻擊介紹

• Port Scan攻擊通常使用一些軟件，向大范圍主機(jī)的各個(gè)TCP/UDP端口發(fā)起連接，根據(jù)應(yīng)答報(bào)文判斷主機(jī)是否使用這些端口提供服務(wù)。

防御方法

• 檢測(cè)進(jìn)入防火墻的TCP報(bào)文或UDP報(bào)文，根據(jù)源IP地址獲取統(tǒng)計(jì)表項(xiàng)的索引，如果目的端口與前一報(bào)文不同，將表項(xiàng)中的報(bào)文個(gè)數(shù)增1。如果報(bào)文的個(gè)數(shù)超過設(shè)置的闖值，記錄日志，并根據(jù)配置決定是否將源IP地址加入黑名單。

二、畸形報(bào)文攻擊

1、SUMRF攻擊防范

攻擊介紹

• Smurf攻擊方法是發(fā)送ICMP請(qǐng)求，該請(qǐng)求包的目標(biāo)地址設(shè)置為受害網(wǎng)絡(luò)的廣播地址，源地址為服務(wù)器地址。該網(wǎng)絡(luò)的所有主機(jī)都回應(yīng)此ICMP請(qǐng)求，回應(yīng)報(bào)文全部發(fā)往服務(wù)器，導(dǎo)致服務(wù)器不能正常提供服務(wù)。

防御方法

• 檢查ICMP應(yīng)答請(qǐng)求包的目的地址是否為子網(wǎng)廣播地址或子網(wǎng)的網(wǎng)絡(luò)地址，如果是，則直接拒絕，并將攻擊記錄到日志。

2、LAND攻擊防范

攻擊介紹

• 把TCP 的源地址和目標(biāo)地址都設(shè)置成某一個(gè)受害者的IP地址。這將導(dǎo)致受害者向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，占用系統(tǒng)資源或使目的主機(jī)崩潰。

防御方法

• 對(duì)每一個(gè)的IP報(bào)文進(jìn)行檢測(cè)，若其源地址與目的地址相同，或者源地址為環(huán)回地址（127.0.0.1），則直接拒絕，并將攻擊記錄到日志。

3、Fraggle攻擊防范

攻擊介紹

• Fraggle類似于Smurf攻擊，使用UDP應(yīng)答消息而非ICMP。UDP端口7（ECHO）和端口19（Chargen）在收到UDP報(bào)文后，會(huì)產(chǎn)生大量無用的應(yīng)答報(bào)文，占滿網(wǎng)絡(luò)帶寬。

防御方法

• 檢查進(jìn)入防火墻的UDP報(bào)文，若目的端口號(hào)為7或19，則直接拒絕，并將攻擊記錄到日志，否則允許通過。

4、IP Fragment攻擊

攻擊介紹

• IP報(bào)文中有幾個(gè)字段與分片有關(guān)：DF位、MF位、Fragment offsetLength 。如果上述字段的值出現(xiàn)矛盾，而設(shè)備處理不當(dāng)，會(huì)對(duì)設(shè)備造成一定的影響，甚至癱瘓。

防御方法

• 檢查IP報(bào)文中與分片有關(guān)的字段（DF位、MF位、片偏置量、總長度）是否有以下矛盾，若發(fā)現(xiàn)含有以下矛盾，則丟棄。將攻擊記錄到日志：
  • DF位為1，而MF位也為1或Fragment Offset不為0。
  • DF位為0，而Fragment Offset + Length > 65535。

DF不要分片、MF要分片偏移量。

5、IP Spoofing攻擊防范

攻擊介紹

• 為了獲得訪問權(quán)，或隱藏入侵者的身份信息，入侵者生成帶有偽造源地址的報(bào)文，并使用該偽造源地址訪問攻擊目標(biāo)，進(jìn)行掃描、窺探等預(yù)備攻擊。

防御方法

• 檢測(cè)每個(gè)接口流入的IP報(bào)文的源地址與目的地址，并對(duì)報(bào)文的源地址反查路由表，入接口與以該IP地址為目的地址的最佳出接口不相同的IP報(bào)文被視為IP Spoofing攻擊，將被拒絕，并進(jìn)行日志記錄。

一臺(tái)主機(jī)X去訪問Y，正常路由器收到報(bào)文是根據(jù)目的路由去查路由表，也就是路由表中查去往Y的路由，不關(guān)心去往源X的，啟用了IP Spoofing防護(hù)之后，X去往Y的路由從Eth1口收到后，不但會(huì)查路由表去往Y怎么走，還會(huì)反向查詢路由表去往X是否是從Eth1口學(xué)到，如果X路由是從其他接口學(xué)到或者是根本沒有X路由就會(huì)把這個(gè)訪問干掉。

6、Ping of Death攻擊

攻擊介紹

IP報(bào)文的長度字段為16位，即IP報(bào)文的最大長度為65535 B。Ping of Death利用一些長度超大的ICMP報(bào)文對(duì)系統(tǒng)進(jìn)行攻擊。

防御方法

檢測(cè)ICMP請(qǐng)求報(bào)文長度是否超過65535 B，若超過，則丟棄報(bào)文并記錄日志。

7、TCP Flag攻擊

攻擊介紹

• TCP報(bào)文包含6個(gè)標(biāo)志位：URG、ACK、PSH、RST、SYN、FIN ，（最經(jīng)典的標(biāo)志位：ACK、RST、SYN、FIN）不同的系統(tǒng)對(duì)這些標(biāo)志位組合的應(yīng)答是不同的，可用于操作系統(tǒng)探測(cè)。

防御方法

• 檢查TCP報(bào)文的各個(gè)標(biāo)志位，若出現(xiàn)以下任意一種情況，直接丟棄該報(bào)0文并記錄日志

• • 6個(gè)標(biāo)志位全為1或6個(gè)標(biāo)志位全為0。
  • SYN和FIN位同時(shí)為1；SYN和RST同時(shí)為1。
  • FIN和URQ同時(shí)為1，RST和FIN同時(shí)為1。

8、Teardrop攻擊

攻擊介紹

• 利用在TCP/IP堆棧中信任IP碎片報(bào)文頭所包含的信息實(shí)現(xiàn)。

防御方法

• 緩存分片信息，每一個(gè)源地址、目的地址、分片ID相同的為一組，最大支持緩存10000組分片信息。

9、WinNuke攻擊范圍

攻擊介紹

• WinNuke攻擊通常向裝有Windows系統(tǒng)的特定目標(biāo)的NetBIOS端口（139）發(fā)送000B（out-of-band）數(shù)據(jù)包，引起一個(gè)NetBIOS片斷重疊，致使已與其他主機(jī)建立連接的目標(biāo)主機(jī)崩潰。還有一種是IGMP分片報(bào)文，一般情況下，IGMP報(bào)文是不會(huì)分片的，所以，不少系統(tǒng)對(duì)IGMP分片報(bào)文的處理有問題。

防御方法

• WinNuke攻擊1：檢測(cè)數(shù)據(jù)包目的端口是否為139，并且檢查TCP-URG位是否被設(shè)0置。
• WinNuke攻擊2：檢測(cè)進(jìn)入的IGMP報(bào)文是否為分片報(bào)文，如果是分片報(bào)文，則直接丟棄。

三、特殊報(bào)文攻擊

1、超大ICMP報(bào)文攻擊防范

攻擊介紹

超大ICMP報(bào)文攻擊是指利用長度超大的ICMP報(bào)文對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。對(duì)于有些系統(tǒng)，在接收到超大ICMP報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。

防御方法

用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)需要配置允許通過的ICMP報(bào)文的最大長度，當(dāng)實(shí)際ICMP報(bào)文的長度超過該值時(shí)，防火墻認(rèn)為發(fā)生了超大ICMP報(bào)文攻擊將丟棄該報(bào)文。

2、ICMP不可達(dá)報(bào)文攻擊防范

攻擊介紹

• 不同的系統(tǒng)對(duì)ICMP不可達(dá)報(bào)文的處理方式不同，有的系統(tǒng)在收到網(wǎng)絡(luò)或主機(jī)不可達(dá)的ICMP報(bào)文后，對(duì)后續(xù)發(fā)往此目的地址的報(bào)文直接認(rèn)為不可達(dá)，從而切斷了目的地與主機(jī)的連接。攻擊者利用這一點(diǎn)，偽造不可達(dá)ICMP報(bào)文，切斷受害者與目的地的連接，造成攻擊。

防御方法

• 啟動(dòng)ICMP不可達(dá)報(bào)文攻擊防范功能，防火墻對(duì)ICMP不可達(dá)報(bào)文進(jìn)行丟棄并記錄攻擊日志。

3、Tracert報(bào)文攻擊防范

攻擊介紹

• Tracert報(bào)文攻擊是攻擊者利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，和達(dá)到目的地址時(shí)返回的ICMP端口不可達(dá)報(bào)文來發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑，它可以窺探網(wǎng)絡(luò)的結(jié)構(gòu)。

防御方法

• 對(duì)于檢測(cè)到的超時(shí)的ICMP報(bào)文或UDP報(bào)文，或者目的端口不可達(dá)的報(bào)文給予丟棄處理。

四、URPF

1、URPF技術(shù)

URPF技術(shù)：單播逆向路徑轉(zhuǎn)發(fā)的簡(jiǎn)稱，其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。有兩種模式

• 嚴(yán)格模式：X訪問Y，路由器從ETH1口收到報(bào)文，路由表可以查到Y(jié)的路由，并且路由表反向查詢也有X的路由，并且X的路由也是通過入接口ETH1口學(xué)到的。
• 松散模式：X訪問Y，路由器從ETH1口收到報(bào)文，路由表可以查到Y(jié)的路由，并且路由表反向查詢也有X的路由。

2、URPF處理流程圖

URPF的處理流程如下：

• 如果報(bào)文的源地址在USG的FIB表中存在。
• 如果報(bào)文的源地址在USG的FIB表中不存在，則檢查缺省路由及URPF的allow-default-route參數(shù)。