屬于網(wǎng)絡(luò)協(xié)議的攻擊有哪些？高防服務(wù)器租用-打不死服務(wù)器租用

1. TCP/IP 協(xié)議的脆弱性
1.1 不能提供可靠的身份驗(yàn)證

TCP/IP 協(xié)議以 32 bit 的 IP 地址來(lái)作為網(wǎng)絡(luò)e79fa5e98193e4b893e5b19e31333431373834節(jié)點(diǎn)的唯一標(biāo)識(shí)，而 IP 地址只是用戶(hù)軟件設(shè)置中的一個(gè)參數(shù)，因而是可以隨意修改的。

對(duì) UDP 來(lái)說(shuō)，是根據(jù)這個(gè) IP 地址來(lái)唯一標(biāo)識(shí)通信對(duì)方。 TCP 則通過(guò)三次握手，使情況稍有改善。 TCP 中的每個(gè)報(bào)文都含有一個(gè)標(biāo)識(shí)本報(bào)文在整個(gè)通信流中位置的 32 bit 序列號(hào)，通信雙方通過(guò)序列號(hào)來(lái)確認(rèn)數(shù)據(jù)的有效性。

由于 TCP 設(shè)計(jì)三次握手過(guò)程本身并不是為了身份驗(yàn)證，只是提供同步確認(rèn)和可靠通信，雖然這也能夠提供一定的身份驗(yàn)證的支持，但這種支持很薄弱。

由于 TCP/IP 不能對(duì)節(jié)點(diǎn)上的用戶(hù)進(jìn)行有效的身份認(rèn)證，服務(wù)器無(wú)法鑒別登錄用戶(hù)的身份有效性，攻擊者可以冒充某個(gè)可信節(jié)點(diǎn)的 IP 地址，進(jìn)行 IP 欺騙攻擊.

其次，由于某些系統(tǒng)的 TCP 序列號(hào)是可以預(yù)測(cè)的，攻擊者可以構(gòu)造一個(gè)TCP'數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)中的某個(gè)可信節(jié)點(diǎn)進(jìn)行攻擊。

1.2 不能有效防止信息泄漏

IPv4 中沒(méi)有考慮防止信息泄漏，在 IP 、 TCP 、 UDP 中都沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密。 IP 協(xié)議是無(wú)連接的協(xié)議，一個(gè) IP 包在傳輸過(guò)程中很可能會(huì)經(jīng)過(guò)很多路由器和網(wǎng)段，在其中的任何一個(gè)環(huán)節(jié)都很容易進(jìn)行竊昕 。攻擊者只需簡(jiǎn)單地安裝一個(gè)網(wǎng)絡(luò)嗅探器，就可以看到通過(guò)本節(jié)點(diǎn)的所有網(wǎng)絡(luò)數(shù)據(jù)包。

1.3 沒(méi)有提供可靠的信息完整性驗(yàn)證手段

在 IP 協(xié)議中，僅對(duì) IP 頭實(shí)現(xiàn)校驗(yàn)和保護(hù)

在UDP 協(xié)議中，對(duì)整個(gè)報(bào)文的校驗(yàn)和檢查是一個(gè)可選項(xiàng)，并且對(duì) UDP 報(bào)文的丟失不做檢查。

在 TCP 協(xié)議中，雖然每個(gè)報(bào)文都經(jīng)過(guò)校驗(yàn)和檢查，并且通過(guò)連續(xù)的序列號(hào)來(lái)對(duì)包的順序和完整進(jìn)行檢查，保證數(shù)據(jù)的可靠傳輸。但是，校驗(yàn)算法中沒(méi)有涉及加密和密碼驗(yàn)證，很容易對(duì)報(bào)文內(nèi)容進(jìn)行修改，再重新計(jì)算校驗(yàn)和

1.4 協(xié)議沒(méi)有手段控制資源占杳和分配

TCP/IP 中，對(duì)資源占杳和分配設(shè)計(jì)的一個(gè)基本原則是自覺(jué)原則。如參加 TCP通信的一方發(fā)現(xiàn)上次發(fā)送的數(shù)據(jù)報(bào)丟失，則主動(dòng)將通信速率降至原來(lái)的一半。這樣，也給惡意的網(wǎng)絡(luò)破壞者提供了機(jī)會(huì) c 如網(wǎng)絡(luò)破壞者可以大量的發(fā) IP 報(bào)，造成網(wǎng)絡(luò)阻塞，也可以向一臺(tái)主機(jī)發(fā)送大量的 SYN 包從而大量占有該主機(jī)的資源 (SYN Flood) 。這種基于資源占用造成的攻擊被稱(chēng)為拒絕服務(wù)攻擊( DOS)

2.常見(jiàn) TCP/IP 協(xié)議攻擊方法分析

2.1 IP 欺騙( IP Spoofing)

IP 欺騙是指一個(gè)攻擊者假冒一個(gè)主機(jī)或合法用戶(hù)的 IP 地址，利用兩個(gè)主機(jī)之間的信任關(guān)系來(lái)達(dá)到攻擊的目的，而這種信任關(guān)系只是根據(jù)源 IP 地址來(lái)確定。所謂信任關(guān)系是指當(dāng)主機(jī) B 信任主機(jī) A 上的 X用戶(hù)時(shí)，只要 X 在 A 上登錄， X 用戶(hù)就可以直接登錄到主機(jī) B 上，而不需要任何口令。

IP 欺騙通常需要攻擊者能構(gòu)造各種形式 IP 數(shù)據(jù)包，用虛假的源 IP 地址替代自己的真實(shí) IP 地址。如果主機(jī)之間存在基于 IP 地址的信任關(guān)系，目標(biāo)主機(jī)無(wú)法檢測(cè)出已經(jīng)被欺騙。防范措施

各個(gè)網(wǎng)絡(luò) ISP 應(yīng)該限制源地址為外部地址的 IP 數(shù)據(jù)包進(jìn)入互聯(lián)網(wǎng)

合理的配置防火墻，限制數(shù)據(jù)包的源地址為內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。

2.2 TCP 會(huì)話(huà)劫持 (TCP sessJOn hijacking)

image.png

TCP 會(huì)話(huà)劫持跳過(guò)連接過(guò)程.對(duì)一個(gè)已經(jīng)建立的連接進(jìn)行攻擊。攻擊者與被假冒主機(jī)和目標(biāo)主機(jī)之一在同一個(gè)子網(wǎng)中，攻擊者通過(guò)一個(gè)嗅探程序可以看到被假冒主機(jī)和目標(biāo)主機(jī)之間通信的數(shù)據(jù)包。

攻擊者看到被假冒主機(jī)和目標(biāo)主機(jī)建立一個(gè)連接并進(jìn)行身份認(rèn)證后，通過(guò)對(duì)數(shù)據(jù)包捕獲和進(jìn)行分析，就可以得到連接的序列號(hào)。

一旦得到正確的序列號(hào)就可以發(fā)送一個(gè)假冒的 TCP 分段，接管已經(jīng)建立的連接。這樣，被假冒主機(jī)發(fā)送的數(shù)據(jù)包都會(huì)被目標(biāo)主機(jī)忽略，因?yàn)樗鼈兊男蛄刑?hào)會(huì)被目標(biāo)主機(jī)認(rèn)為不正確。

防范措施*主要的方法是在傳輸層對(duì)數(shù)據(jù)進(jìn)行加密。

2.3 拒絕服務(wù)( Denial Of Service )

拒絕服務(wù)坷的目的就是使受害的服務(wù)器不能提供正常的網(wǎng)絡(luò)服務(wù)。

2.3.1 SYN 淹沒(méi) (SYN Flooding)

當(dāng)開(kāi)放了一個(gè)TCP端口后，該端口就處于Listening狀態(tài)，不停地監(jiān)視發(fā)到該端口的Syn報(bào)文，一旦接收到Client發(fā)來(lái)的Syn報(bào)文，就需要為該請(qǐng)求分配一個(gè)TCB（Transmission Control Block），通常一個(gè)TCB至少需要280個(gè)字節(jié)，在某些操作系統(tǒng)中TCB甚至需要1300個(gè)字節(jié)，并返回一個(gè)SYN ACK命令，立即轉(zhuǎn)為SYN-RECEIVED即半開(kāi)連接狀態(tài)，而操作系統(tǒng)在SOCK的實(shí)現(xiàn)上*多可開(kāi)啟半開(kāi)連接個(gè)數(shù)是一定的。
如果惡意的向某個(gè)服務(wù)器端口發(fā)送大量的SYN包，則可以使服務(wù)器打開(kāi)大量的半開(kāi)連接，分配TCB，從而消耗大量的服務(wù)器資源，同時(shí)也使得正常的連接請(qǐng)求無(wú)法被相應(yīng)。而攻擊發(fā)起方的資源消耗相比較可忽略不計(jì)。防范措施

無(wú)效連接監(jiān)視釋放這種方法不停監(jiān)視系統(tǒng)的半開(kāi)連接和不活動(dòng)連接，當(dāng)達(dá)到一定閾值時(shí)拆除這些連接，從而釋放系統(tǒng)資源。這種方法對(duì)于所有的連接一視同仁，而且由于SYN Flood造成的半開(kāi)連接數(shù)量很大，正常連接請(qǐng)求也被淹沒(méi)在其中被這種方式誤釋放掉，因此這種方法屬于入門(mén)級(jí)的SYN Flood方法。

延緩TCB分配方法從前面SYN Flood原理可以看到，消耗服務(wù)器資源主要是因?yàn)楫?dāng)SYN數(shù)據(jù)報(bào)文一到達(dá)，系統(tǒng)立即分配TCB，從而占用了資源。而SYN Flood由于很難建立起正常連接，因此，當(dāng)正常連接建立起來(lái)后再分配TCB則可以有效地減輕服務(wù)器資源的消耗。常見(jiàn)的方法是使用Syn Cache和Syn Cookie技術(shù)。

Syn Cache技術(shù)：這種技術(shù)是在收到SYN數(shù)據(jù)報(bào)文時(shí)不急于去分配TCB，而是先回應(yīng)一個(gè)SYN ACK報(bào)文，并在一個(gè)專(zhuān)用HASH表（Cache）中保存這種半開(kāi)連接信息，直到收到正確的回應(yīng)ACK報(bào)文再分配TCB。在FreeBSD系統(tǒng)中這種Cache每個(gè)半開(kāi)連接只需使用160字節(jié)，遠(yuǎn)小于TCB所需的736個(gè)字節(jié)。在發(fā)送的SYN ACK中需要使用一個(gè)己方的Sequence Number，這個(gè)數(shù)字不能被對(duì)方猜到，否則對(duì)于某些稍微智能一點(diǎn)的Syn Flood攻擊軟件來(lái)說(shuō)，它們?cè)诎l(fā)送Syn報(bào)文后會(huì)發(fā)送一個(gè)ACK報(bào)文，如果己方的Sequence Number被對(duì)方猜測(cè)到，則會(huì)被其建立起真正的連接。因此一般采用一些加密算法生成難于預(yù)測(cè)的Sequence Number。Syn Cookie技術(shù)：對(duì)于SYN攻擊，Syn Cache雖然不分配TCB，但是為了判斷后續(xù)對(duì)方發(fā)來(lái)的ACK報(bào)文中的Sequence Number的正確性，還是需要使用一些空間去保存己方生成的Sequence Number等信息，也造成了一些資源的浪費(fèi)。Syn Cookie技術(shù)則完全不使用任何存儲(chǔ)資源，這種方法比較巧妙，它使用一種特殊的算法生成Sequence Number，這種算法考慮到了對(duì)方的IP、端口、己方IP、端口的固定信息，以及對(duì)方無(wú)法知道而己方比較固定的一些信息，如MSS、時(shí)間等，在收到對(duì)方的ACK報(bào)文后，重新計(jì)算一遍，看其是否與對(duì)方回應(yīng)報(bào)文中的（Sequence Number-1）相同，從而決定是否分配TCB資源。

使用SYN Proxy防火墻Syn Cache技術(shù)和Syn Cookie技術(shù)總的來(lái)說(shuō)是一種主機(jī)保護(hù)技術(shù)，需要系統(tǒng)的TCP/IP協(xié)議棧的支持，而目前并非所有的操作系統(tǒng)支持這些技術(shù)。因此很多防火墻中都提供一種SYN代理的功能，其主要原理是對(duì)試圖穿越的SYN請(qǐng)求進(jìn)行驗(yàn)證后才放行
防火墻在確認(rèn)了連接的有效性后，才向內(nèi)部的服務(wù)器（Listener）發(fā)起SYN請(qǐng)求，在右圖中，所有的無(wú)效連接均無(wú)法到達(dá)內(nèi)部的服務(wù)器。采用這種方式進(jìn)行防范需要注意的一點(diǎn)就是防火墻需要對(duì)整個(gè)有效連接的過(guò)程發(fā)生的數(shù)據(jù)包進(jìn)行代理
因?yàn)榉阑饓Υ姘l(fā)出的SYN ACK包中使用的序列號(hào)為c，而服務(wù)器真正的回應(yīng)包中序列號(hào)為c’，這其中有一個(gè)差值|c-c’|，在每個(gè)相關(guān)數(shù)據(jù)報(bào)文經(jīng)過(guò)防火墻的時(shí)候進(jìn)行序列號(hào)的修改。

TCP Safe Reset技術(shù)：這也是防火墻Syn代理的一種方式
這種方法在驗(yàn)證了連接之后立即發(fā)出一個(gè)Safe Reset命令包，從而使得Client重新進(jìn)行連接，這時(shí)出現(xiàn)的Syn報(bào)文防火墻就直接放行。在這種方式中，防火墻就不需要對(duì)通過(guò)防火墻的數(shù)據(jù)報(bào)文進(jìn)行序列號(hào)的修改了。這需要客戶(hù)端的TCP協(xié)議棧支持RFC 793中的相關(guān)約定，同時(shí)由于Client需要兩次握手過(guò)程，連接建立的時(shí)間將有所延長(zhǎng)。
2.3.2 死亡之 Ping(Ping O' Death )

死亡之 Ping 是利用 ICMP 協(xié)議的一種碎片攻擊 。攻擊者發(fā)送一個(gè)長(zhǎng)度超過(guò) 65 535Byte 的 Echo Request 數(shù)據(jù)包，目標(biāo)主機(jī)在重組分片的時(shí)候會(huì)造成事先分配的 65 535 Byt 字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會(huì)崩憤或掛起

IP 數(shù)據(jù)包的*大長(zhǎng)度是 65 535 (2 16 - 1) Byte，其中包括包頭長(zhǎng)度(如果 IP 選項(xiàng)末指定，一般為 20 B)超過(guò) MTU( Maximum Transmission Unit) 的數(shù)據(jù)包被分割成小的數(shù)據(jù)包，在接受端重新組裝。一般以太網(wǎng)的MTU 為 11500 Byte ，互聯(lián)網(wǎng)上的 MTU 通常是 576 Byte ICMP 回應(yīng)請(qǐng)求放在 IP 數(shù)據(jù)包中，其中有 8 Byt 的 ICMP頭信息，接下來(lái)是 "Ping" 請(qǐng)求的數(shù)據(jù)宇節(jié)的數(shù)目。因此數(shù)據(jù)區(qū)所允許的*大尺寸為 65 535 - 20 - 8 = 65 507Byte
分段后的 IP 包要在接收端的 IP 層進(jìn)行重組，這樣"死亡之 Ping"就可以再發(fā)送一個(gè)回應(yīng)請(qǐng)求數(shù)據(jù)包，使它的數(shù)據(jù)包中的數(shù)據(jù)超過(guò) 65 507 Byte ，使得某些系統(tǒng)的 IP 分段組裝模塊出現(xiàn)異常。因?yàn)樵?IP 分段組裝的過(guò)程中，它通過(guò)每一個(gè) IP 分段中的偏移量來(lái)決定每一個(gè)分段在整個(gè) IP 包中的位置，*后一個(gè)分段中，如果 IP 包的長(zhǎng)度大于 65 507 Byte各個(gè)分段組裝后就會(huì)超過(guò) IP 包的*大長(zhǎng)度。某些操作系統(tǒng)要等到將所有的分段組裝完后才對(duì) IP 包進(jìn)行處理，所以就存在這樣一種內(nèi)部緩沖區(qū)或內(nèi)部變量溢出的可能性，這樣會(huì)導(dǎo)致系統(tǒng)崩憤或重啟。

防范措施

可以利用防火墻來(lái)阻止 Ping ，然而這樣也會(huì)阻擋一些合法應(yīng)用。所以只要阻止被分段的 Ping ，這樣在大多數(shù)系統(tǒng)上允許一般合法的 64 Byt 的 Ping 通過(guò)，擋住了那些長(zhǎng)度大于 MTU 的 ICMP 數(shù)據(jù)包.

這種攻擊能使系統(tǒng)崩潰的原因因系統(tǒng)不同而異.有的可能因?yàn)閮?nèi)核中固定大小的緩沖區(qū)因 IP 數(shù)據(jù)包過(guò)大而越界，損壞了其它數(shù)據(jù)或編碼;有的則可能因?yàn)橛靡粋€(gè)無(wú)符號(hào)的 16 bit 變量來(lái)保存數(shù)據(jù)包的長(zhǎng)度和相關(guān)變量，當(dāng)這些變量的值超過(guò) 65 535 Byte 時(shí)，變量不再與其數(shù)值一致，從而引發(fā)異常。因此可以為相應(yīng)的系統(tǒng)打上補(bǔ)丁。

2.3.3 RST 和 FIN 攻擊( RST and FIN attack)

在 TCP 包中有 6 個(gè)標(biāo)志位來(lái)指示分段的狀態(tài)。其中 RST 用來(lái)復(fù)位一個(gè)連接， FIN 表示沒(méi)有數(shù)據(jù)要發(fā)送了攻擊者經(jīng)常利用這兩個(gè)標(biāo)志位進(jìn)行拒絕服務(wù)攻擊。他們先分析通過(guò)目標(biāo)主機(jī)和受騙主機(jī)之間的 IP 數(shù)據(jù)包，計(jì)算出從受騙主機(jī)發(fā)往目的。
遭受網(wǎng)絡(luò)攻擊，還得需要硬件防火墻，高防服務(wù)器租用bjsuncity.com宇眾網(wǎng)絡(luò)