网络层攻击与防御

（DOS）IPspoofing攻：当通过IP协议进行通信的时候，IP协议对数据包中的源地址并没有内置的限制。通过使用一个原始套接字（一个低层编程API，他按照某种标准构造数据包）黑客通过向服务器发送虚假的包以欺骗服务器的做法。将包中的源IP地址设置为不存在或不合法的值。服务器一但接受到该包就会返回接受请求包，但实际上这个包永远返回不到来源处的计算机，这种做法使服务器必须开启自己的监听端口不断等待，也就浪费了系统各方面的资源。许多安全软件（攻击的防御的）都包括伪造源IP地址的能力。DDOS工具通常都会将IP欺骗作为其必备功能，一些著名的工具（hping、nmap）也可以伪造源地址将包中的源IP地址设置为不存在或不合法的值：服务器一但接受到该包就会返回接受请求包并开启自己的监听端口不断等待，从而浪费了系统各方面的资源。将包中的源IP地址设置为其他合法主机的值：假冒其他主机，与其他攻击技术结合进行攻击防：边界路由器配置，对源IP地址进行过滤-禁止外来的但是IP地址是本地的数据包IP分片重组将IP数据包分解为一系列较小的数据包是IP协议的一个基本功能。每当一个IP数据包被路由到一个数据链路层MTU（最大传输单元）的大小不足以容纳整个数据包的网络时，就有必要分解IP数据包，这个过程就是分片。任何连接两个具备不同MTU大小的数据链路层的路由器都有责任确保在这两个数据链路层之间传输的IP数据包大小绝不会超过任何一方MTU的值。目标主机的IP协议栈将重组IP分片以还原最初的数据包，然后在该数据包中封装的协议将交给上一层的协议栈。攻：3.1用于躲避防火墙或者网络入侵检测系统许多网络入侵检测系统的机理是单IP包检测，没有处理分片，即使是像ISS这样的公司也是在最新的5.0版本中才实现了组装功能，更不用说snort了，其IP组装插件经常造成coredump,因此大多数人都将此功能关闭了。3.1.1一个攻击者可以利用IP分片技术（通过构建攻击数据包并故意将该数据包分解为多个IP分片）来逃避IDS（入侵检测系统）的检查。任何完整实现的IP协议栈都能够重组被分片的报文，为了检测攻击，IDS也不得不使用与目标主机的IP协议栈相同的算法来重组数据包。但因为不同的IP协议栈所实现的重组算法略有不同（例如，对于重叠的分片，CiscoIOS的IP协议栈根据最新分片策略进行重组，而WindowsXP的协议栈则根据最早分片策略进行重组），这就给IDS带来了挑战。Tinyfragment攻击所谓Tinyfragment攻击是指通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作，可将TCP报头（通常为20字节）分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。对于包过滤设备或者入侵检测系统来说，首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片，决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一些智能的包过滤设备直接丢掉报头中未包含端口信息的分片3.2DOSTeardrop攻击：攻击者利用早期某些系统中TCP/IP协议栈具体实现的数据包重新组合代码中的漏洞（没有考虑到对含有重叠偏移的伪造分段的处理导致系统非法操作）通过IP碎片进行攻击，直接导致系统崩溃（Windows蓝屏症状）。jolt2jolt2是2000年五月份出现的新的利用分片进行的攻击程序，几乎可以造成当前所有的windows平台（95,98,NT,2000）死机。原理是发送许多相同的分片包，且这些包的offset值（8190*8=65520bytes）与总长度（48bytes）之和超出了单个IP包的长度限制（65536bytes）o低TTL值每个路由器都会将经过它转发的IP数据包的IP首部中的TTL值减1.如果在本地子网中出现的数据包有一个为1的TTL值，那么这很可能表明有人正在对IP地址使用traceroute程序（或它的一个变体程序，如tcptraceroute），这个IP地址可能存在于本地子网中，也可能是在一个通过本地子网路由到的子网中。通常情况下，这只是表示有人正在排除网络连接故障，但它也可能表示有人正在对该网络执行侦察工作，想找出到一个潜在目标的跳数。使用分片重组和有针对性的TTL值隐藏攻击路由路径信息与分片重组技巧相结合对隐藏网络攻击很有用处。例如，假设攻击者发现在目标主机前存在一个路由器（由traceroute确定），并且攻击者还怀疑有一个IDS正处于目标主机的子网之前并在监视着目标主机所在的子网。如果情况确实如此，那么目标主机可以被由3个IP分片（f1、f2和f3）所组成的数据包攻击，而且这里采用的攻击方式还不会被IDS检测到。攻击者首先对第2个分片（f2）创建一个重叠分片，将该分片的有效载荷替换为无效数据，然后修改它的TTL值，正好让该分片到达路由器时分片的TTL值为1o我们将这个重叠分片称为f2'o接下来，攻击者发送第1个分片（f1），其次是这个新的分片（f2'），然后是f3,最后是原来的f2分片。IDS（位于路由器之前）看到了所有4个分片，但第3个分片的到达就已可以重组整个数据包了，因此IDS将3个分片重组为f1+f2'+f3。因为f2'包含的是无效数据，所以这3个分片重组在一起构成的数据包对IDS来说并不像是一个攻击。于是，f2'到达路由器，但在它被路由器转发之前它的TTL值被减为0，因此它被路由器丢弃，目标IP地址不会看到分片f2'o但该主机会看到分片f1和f3,由于在没有接收到f2之前，它无法将f1和f3重组为一个有意义的数据包，所以它将等待f2的到达。当f2最终到达（攻击者最后发送了它），目标主机在重组了所有3个分片后将遭受真正的攻击。它提供了一种很聪明的方式以利用网络层来逃避IDS的检查。NmapICMPPing当Nmap被用于扫描不在同一子网中的系统时，它将通过发送一个ICMP回显请求数据包和一个目标端口为80的TCPACK数据包到目标主机来完成主机发现（主机发现可以使用Nmap的-P0命令行参数来禁用，但它默认是启用的）。由Nmap生成的ICMP回显请求数据包与ping程序生成的回显请求数据包不同，Nmap回显请求在ICMP首部之后不包括任何数据。因此，如果这样的数据包被iptables记录，它的IP总长度字段应为28（不带选项的20字节长的IP首部，加上8字节长的ICMP首部，再加上0字节长的数据，如下面的粗体所示）虽然在一个ICMP数据包中不包括应用层数据本身并不能表明这是一种对网络层的滥用，但如果你看到这类数据包和表明端口扫描或端口扫射这类活动的数据包相结合，这就表明有人正在使用Nmap对你的网络进行侦察。DDoS攻击攻：网络层DDOS由许多系统向目标IP地址同时发送攻击数据包，从而消耗光目标网络的带宽以阻止合法通信。防：一般而言，尝试检测与DDoS代理相关联的控制通信比检测洪泛数据包本身要更有效。例如，检测通过隐匿的端口从主控端发往僵尸节点的命令就是一个好的策略（Snort规则集中的一些签名就是用来查找这类通信一一见Snort签名集中的dos.rules文件）。这同时也有助于从一个网络中移除DDoS代理，因为通过控制通信可以发现受感染的系统。Linux内核IGMP攻击利用Linux内核中因特网组管理协议（IGMP）处理代码中的某一特定漏洞进行的攻击，可以看作是专门针对负责处理网络层通信代码实施的攻击的一个范例。它既可以被远程利用也可以被本地用户利用（某些安全漏洞只能被本地利用，所以这个漏洞令人厌恶）。内核代码有时会有安全漏洞，这些漏洞可以存在于任一层次，甚至存在于低层的网络层处理代码中或位于设备驱动程序中。ICMP1.DOS◊针对带宽：利用漏洞：ICMPEchoReply数据包具有较高的优先级攻：-高速发送大量的ICMPEchoReply数据包-目标网络的带宽瞬间就会被耗尽-阻止合法的数据通过网络-升级：smurf防：-路由过滤规则-基于状态检测的防火墙◊针对主机：-利用漏洞：操作系统TCP/IP栈对ICMP包大小的规定（64KB）-攻：（egpingofdeath）-发送一个非法的ICMPEchoRequest数据包-系统内存分配错误，导致TCP/IP堆栈崩溃-接受方宕机•防：-打补丁-能执行详细数据包完整性检测的防火墙◊针对连接：•利用漏洞：使用合法的ICMP消息，影响所有网络设备-攻：-如，伪造的ICMPDestinationUnreachable或Redirect消息3终止合法的网络连接-伪造的ICMPSourceQuench消息3网络流量变慢，甚至停止•防：通过防火墙过滤适当的ICMP消息类型2.ICMP重定向利用漏洞：主机服从ICMP重定向攻：-攻击者对内核设置为与受害主机相连的“路由器”-伪造ICMP重定向报文给受害主机-受害主机将数据包转发到攻击者主机-中间人，对流量监听防：-配置主机不受理ICMP重定向报文-验证ICMP重定向消息9.ARP攻击ARP是一种独特的协议样本，它在第二层运行，但逻辑上位于数据链路层和网络层之间的边界上。ARP请求或答复中包含设备的第二层标识信息MAC地址和第三层标志信息IP地址，并且没有核实机制。攻：APR欺骗攻击者发送虚假对应关系ARP报文刷新网段中主机的ARP缓存，形成中间人攻击。ARP恶作剧和1原理一样，但目的不是窃取信息，而是使网络中的合法PC无法正常上网，通信中断。攻击者发送伪造的网关ARP报文，欺骗同网段内的其他主机，主机访问外网的流量被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。攻击者伪造虚假的ARP报文，欺骗网关，网关发给该用户的所有数据全部重定向到一个错误的Mac地址，导致该用户无法正常访问外网。攻击者伪造虚假的ARP报文，欺骗相同网段的其他主机，网段内的其他主机发给该用户的所有数据都被重定向到错误的Mac地址，同网段内的用户无法正常互访。ARPflood攻击网络病毒利用ARP协议，在网络中大量发送伪造ARP报文，扰乱网络中主机和设备的ARP缓存，原有正常ARP表项被替换，导致无法正常访问网络的攻击行为。防：网关：合法ARP绑定，防御网关被欺骗；ARP数量限制，防御ARP洪泛攻击接入设备：网关IPMac绑定，过滤掉仿冒网关的报文；合法用户IPMac绑定，过滤掉终端仿冒报文；ARP限速◊客户端：绑定网关信息DHCPSNOOPING（监控用户动态申请IP的过程，IP-MAC-PORT对应关系绑定）vs认证绑定（利用认证客户端在终端上绑定网关ARP表项）动态主机控制协议DHCP攻击DHCP地址资源耗尽攻：（DOS）攻击者向DHCP服务器伪造多个MACclient地址，申请多个IP,直至DHCP服务器储备地址完全耗光。导致服务器负荷过重，局域网内主机无法获得IP上网防：利用交换机端口安全功能：当交换机的一个端口得MAC地址的数目已经达到允许的最大个数后，或者该端口收到一个源地址不属于端口上的Mac安全地址的包时，交换机则采取措施伪装DHCP服务器攻：攻击者耗尽真DHCP服务器IP之后，自己伪装成DHCP服务器，分配IP，并且把局域网内主机网关指向自己，自己也开启路由功能。可能导致交换机DOS；可以截获敏感信息；影响局域网其他主机通信。防：交换机启用DHCPrelay功能并配置DHCP服务器的IP地址，使从客户端发来的DHCP请求单播到DHCP服务器，防止非法主机收到。收到响应报文后，交换机CPU会判定报文中的源IP地址是否是DHCP服务器的，从而保证DHCP响应报文的合法性。（DHCPsnooping，DHCP安全特性）CDP攻击攻：Cisco专用协议，运行在R、S、H上，可以获得目标网络拓补结构信息，可以利用这些信息进行攻击，如DOS防：如不需要，在设备上禁止CDP功能HSRP攻：不断发优先级更高的HELLO数据包，使活跃主路由器变为备用路由器，主路由器指向攻击者主机。攻击者主机通过丢弃数据包造成黑洞，实现DOS。（由于HSRPTTL值为1，所以不能实现跨网段攻击）。防：使用强认证：攻击者之所以可以伪造hello包是因为采用了明文认证，易窃取。所以应采用MD5加密认证。针对路由协议的攻击手段RIP路由信息协议欺诈IGRP内部网关路由协议OSPF开放最短路径优先BGP边界网关协议注入伪造的BGP数据包I