攻击测试说明

1、攻击测试说明Hui.Yang1常见攻击手段介绍1.1基于网络层的攻击IP包碎片攻击 (fragroute)/ jolt2发送许多相同的分片包，且这些包的offset值与总长度之和超出了单个IP包的长度限 制(65535 Byte)。例如构造IP包，使其分片标志为MF=0，说明是最后一个分片，偏移 量为0 x1ffe,报文总长度是29,于是计算后重组的长度为(0 x1ffe * 8) + 29=65549 65535接收缓冲区产生溢出，导致系统故障。可以在一个死循环中发送此包攻击目标机解决的方法是在ip重组流程中增加检查，如果发现重组分片包后的长度大于65535则 认为数据包非法，忽略所有的分片

2、包。/ teardrop (fragroute)一种DOS攻击的方式，通过发送大量的相互重叠的IP分片来达到攻击的目的。属于 同一个IP包的两个分片的偏移量发生重叠，有可能是分片A完全与分片B重叠，也可能是 分片A部分的与分片B重叠。有些操作系统不能正确的处理这种分片重叠的情况，从而导致 系统crash .IGMPNukeIGMP是一种无连接协议，所以在向服务器连接时不需要指定连接的端口，只需要指定 IP地址即可，一些目标系统主机不能很好的处理过大的IGMP数据包，很容易出现系统崩 溃的现象。攻击可以使用socket的原始套接字编程向目标主机发送多个超过65535字节的 IGMP 包。.ICM

3、P攻击/ping of death(fragroute)与jolt2攻击类似，只是采用icmp数据包进行攻击。/ Ping flood(touch stone)是一种拒绝服务攻击的方式，通过发送大量的icmp echo请求包，消耗被攻击主机的带 宽。/ Smurf 攻击 (touch stone)一种拒绝服务攻击的方式，它通过伪造的广播ping包，在被攻击的网络产生大量的流 量。在这种攻击中，攻击者发送大量的icmp echo request数据包到一个广播地址，这些icmp echo request数据包的源地址为被攻击主机的IP地址。这样，所有接受到icmp echo broadcast

4、request的数据包都会回应给被攻击的主机icmp echo reply数据包，从而达到攻击的目的./利用icmp重定向报文进行攻击攻击者冒充初始网关向目标主机发送ICMP重定向报文，诱使目标主机更改路由表，使结果是到达某一 IP子网的报文全部丢失或者都经过一个攻击者能控制的网关。/ 利用icmp主机不可达和TTL超时报文进行攻击此类报文一般是由IP数据报传输途径中的路由器发现错误时发送给源主机的，主机接 收到此类报文后会重新建立TCP连接。攻击者可以利用此类报文干扰正常的通信。1.2基于传输层的协议的攻击TCP初始序号预测TCP协议采用确认重传机制保证数据流的可靠性，确认是以TCP的序号字

5、段为基础的 TCP在使用三次握手机制建立连接时的初始序列号有一定的随机性，但是依据其实现的机 制不同，还是有一些办法对TCP的初始序列号进行预测，有了预测出的的初始序号的范围， 攻击者可以对目标主机进行TCP欺骗的盲攻击。预防此类攻击，可以采用伪随机数的方式来产生TCP连接的初始序号。UDP flood touchstone一种DOS攻击的方式，通过向目标机发送大量的随机端口的数据包达到攻击的目的。 当被攻击主机接收到大量的UDP数据包时，它首先会检查是否有应用程序在相应的端口上 进行监听，当发现没有应用程序监听时，会回应icmp destination unreachable的数据包，大 量

6、的UDP数据包会产生大量的icmp destination unreachable的数据包，从而消耗掉被攻击主 机的资源这种攻击的防范一般是使用防火墙，过滤掉不需要的网络流量。SYN flood touchstone一种DOS攻击的方式。攻击者通过发送大量的syn包，而不回应ack包的方式，在被 攻击主机中建立大量的半开连接。当系统分配给半开连接的资源被耗尽之后，就无法建立新 的tcp连接，从而达到拒绝服务攻击的目的。防御方法如下：1缩短SYN timeout （连接等待超时）时间2根据源IP记录SYN连接，当短时间内连续收到某个IP的重复SYN报文，则认定是受 到了攻击，以后从这个IP地址来

7、的数据报都会被丢弃。以上的两种防御方式简单但不一定有效3使用防火墙，开启SYN cookie功能。 Land攻击 touchstone一种DOS攻击的方式，伪造一个syn包，使得这个包的源地址和目的地址都是被攻 击目标的IP地址，这样会导致被攻击目标给自己回应一个syn+ack,然后又给自己回应一个 ack,并创建起一个连接，这个连接会一直保持到超时，从而占用系统资源。防御方法是过滤掉源地址和目的地址相同的IP数据包。1.3基于应用层的协议的攻击主要包括电子邮件攻击，DNS欺骗，Finger,针对HTTP服务的攻击，缓冲区溢出攻击 等。这部分超出协议组的范围，这里不做具体介绍。2攻击测试方法测

8、试的网络拓扑非常简单，需要一台windows或者linux主机作为攻击机器，一台我 们的设备作为被攻击对象，使用一个集线器将他们连接到一起。测试网络需要与其它网络隔 离，以免测试数据报外泄产生不良影响。测试的难点在于寻找产生攻击流量的软件。如果没有找不到合适的工具，需要自己写 代码，就会比较麻烦。3对于增强设备安全的考虑我们的设备不是网络安全设备，我们不能用防火墙设备的标准来增强设备的安全性。 否则会造成功能的重复，并且无谓的增加我们开发的难度。我们的重点应该在于增强协议栈软件的健壮性。针对第一章中介绍的攻击手段，我们 应该关注现有的IP协议栈对于IP分片包的处理，在TCP初始序号的随机化，抗land攻 击方面做一些工作。而对于其他的抗DOS类型的攻击的工作，应该留给防火墙去做。在现在很多的lin