数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
单包攻击主要包括扫描类攻击、畸形报文类攻击和特殊报文类攻击。
扫描型攻击
是一种潜在的攻击行为,并不具有直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。例如:IP地址扫描攻击、端口扫描攻击等。数字化转型网www.szhzxw.cn
畸形报文攻击
通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。例如:Pingof Death攻击、Smurf攻击、Fraggle攻击、Land攻击等。
特殊控制报文攻击
也是一种潜在的攻击行为,不具直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发送真正的攻击做准备。例如:ICMP重定向攻击、Tracert攻击等。数字化转型网www.szhzxw.cn
地址扫描攻击原理
攻击者运用ICMP报文(如Ping和Tracert命令)探测目标地址,或者使用TCP/UDP报文对目标地址发起连接(如TCPPing),若能收到对应的响应报文,则表明目标主机处于活跃状态。
地址扫描攻击防范原理
配置IP地址扫描攻击防范后,防火墙对接收的TCP、UDP、ICMP报文进行检测,若某个源IP地址每秒发往不同目的IP地址的报文数超过设定的阈值,就认为该源IP地址在进行IP地址扫描攻击,防火墙将该IP地址加入黑名单。IP地址扫描攻击防范功能按照IP报文的首包速率进行统计,如果源IP加入了白名单,则防火墙不再对此源IP进行防御。数字化转型网www.szhzxw.cn
端口扫描攻击原理
攻击者通过对端口进行扫描,探寻被攻击对象目前开放的端口,以确定攻击方式。在端口扫描攻击中,攻击者通常使用端口扫描攻击软件,发起一系列TCP/UDP连接,根据应答报文判断主机是否使用这些端口提供服务。
端口扫描攻击防范原理
配置端口扫描攻击防范后,设备对接收的TCP、UDP报文进行检测,如果某个源IP地址每秒发出的报文中目的端口不同的报文数超过了设定的阈值时,就认为该源IP地址在进行端口扫描攻击,防火墙将该IP地址加入黑名单。端口扫描攻击防范功能按照IP报文的首包速率进行统计,如果源IP加入了白名单,则防火墙不再对此源IP进行防御。数字化转型网www.szhzxw.cn
IP欺骗攻击原理
IP欺骗攻击是一种常用的攻击方法,同时也是其他攻击方法的基础。攻击者通过向目标主机发送源IP地址伪造的报文,欺骗目标主机,从而获取更高的访问和控制权限。该攻击危害目标主机的资源,造成信息泄漏。
IP欺骗攻击防范原理
启用IP欺骗攻击防范后,设备对报文的源IP地址进行路由表反查,检查路由表中到源IP地址的出接口和报文的入接口是否一致。如果不一致,则视为IP欺骗攻击,并根据配置的动作处理该数据包。
Teardrop攻击原理
为满足链路层MTU的要求,一些大的IP报文在传送过程中需要进行分片,被分片的报文在IP报头中会携带分片标志位和分片偏移量。如果攻击者截取分片报文后,对其中的偏移量进行修改,则数据接收端在收到分片报文后,无法组装为完成的数据包。接收端会不断进行尝试,消耗大量系统资源。
Teardrop攻击防范原理
启用Teardrop攻击防范后,设备会对接收到的分片报文进行分析,计算报文的偏移量是否有误。如果有误则直接丢弃该报文,并记录攻击日志。数字化转型网www.szhzxw.cn
Smurf攻击原理
攻击者并不直接攻击目标服务器,而是通过伪造大量ICMP请求报文来实施网络攻击。伪造报文的源地址是被攻击服务器的地址,目的地址是某一个网络的广播地址,从而会造成大量主机向被攻击服务器发送ICMP应答报文,消耗网络带宽资源和服务器系统资源。此类攻击称为Srmurf攻击。
Smurf攻击防范原理
启用Smurf攻击防范后,防火墙会检查ICMP请求报文的目的地址是否为广播地址(即主机位全1)或网络地址(即主机位全0)。如果是则丢弃该报文,并记录攻击日志。数字化转型网www.szhzxw.cn
Fraggle攻击原理
类似于Smurf攻击,攻击者通过伪造大量UDP请求报文(目的端口号为7或19)来实施网络攻击。伪造报文的源地址是被攻击服务器地址,目的地址是某一个网络的广播地址,从而会造成大量主机向被攻击服务器发送UDP应答报文,消耗网络带宽资源和服务器系统资源。此类攻击称为Fraggle攻击。UDP端口7是一个知名端口,对应的协议是Echo(回显)协议,主机收到一个UDP Echo请求报文,会回复相同的内容作为响应。UDP端口19是一个知名端口,对应的协议是Chargen(字符发生器)协议,主机收到一个UDPChargen请求报文,会回复一串字符串作为响应。
Fraggle攻击防范原理
启用Fraggle攻击防范后,设备会对收到的UDP报文进行检测。若目的端口号为7或19,设备拒绝该报文,并记录攻击日志。数字化转型网www.szhzxw.cn
Land攻击原理
攻击者伪造TCPSYN数据包发送至被攻击主机,伪造报文的源地址和目的地址相同,或者源地址为环回地址(即127.0.0.0/8),导致被攻击主机向自己的地址发送SYN-ACK消息,产生大量的TCP空连接,消耗主机系统资源。此类攻击称为Land攻击,又称为环回攻击。
Land攻击防范原理
防火墙启用环回攻击防范后,设备会检查TCP报文的源地址:和目的地址是否相同,或者TCP报文的源地址是否为环回地址。如果是则丢弃该报文,并记录攻击日志。数字化转型网www.szhzxw.cn
Ping of Death攻击原理
IP报文的长度字段为16位,即IP报文的最大长度为65535字节。Ping cpf Death利用一些长度超大的ICMP报文对系统进行攻击。对于某些网络设备或主机系统,在接收到超大ICMP报文后,由于处理不当,会造成系统崩溃、死机或重启。
Ping of Death攻击防范原理
防火墙启用Pingof Death攻击防范后,设备会检测IP报文的大小是否大于65535字节,对大于65535字节的报文直接丢弃,并记录攻击日志。
ICMP不可达报文攻击原理
不同的系统对ICMP不可达报文的处理方式不同,有的系统在收到网络或主机不可达的ICMP报文后,对后续发往此目的地址的报文直接认为不可达,从而断开正常的业务连接。攻击者利用这一点,伪造不可达ICMP报文,切断受害者与目的地的连接,造成攻击。数字化转型网www.szhzxw.cn
ICMP不可达报文攻击防范原理
防火墙启用ICMP不可达报文攻击防范后,设备将直接丢弃ICNMP不可达报文,并记录攻击日志。
ICMP重定向报文攻击原理
网络设备通常通过向同一个子网的主机发送ICMP重定向报文来请求主机改变路由。一般情况下,设备仅向同一个子网的主机发送ICMP重定向报文,但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以改变主机的路由表,干扰主机正常的IP报文发送。数字化转型网www.szhzxw.cn
ICMP重定向报文攻击防范原理
启用ICMP重定向报文攻击防范后,防火墙将直接丢弃所有接收到的ICMP重定向报文,并记录攻击日志。
Tracert攻击原理
Tracert攻击是攻击者利用TTL为0时返回的ICMP超时报文,以及到达目的地址时返回的ICMP端口不可达报文,来发现报文到达目的地所经过的路径,主要用于窥探目标网络的结构。
Tracert攻击防范原理
启用Tracert攻击防范后,防火墙将检测到的超时的ICMP报文或UDP报文,或者目的端口不可达报文,直接丢弃,并记录攻击日志。数字化转型网www.szhzxw.cn
DDOS攻击
DDOS攻击是一种分布式的DoS攻击。DoS即拒绝服务,其利用TCP/IP协议缺陷,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者带宽资源的目的。不同于其他的留有木马后门或劫持数据的方式,DoS攻击并不威胁敏感数据,使合法用户不能获得应有的服务。
DDOS即分布式拒绝服务,在DoS攻击的基础上,将多个计算机联合起来作为政击平台,对一个或多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力,使目标服务器无法提供正常服务。
攻击防范技术的应用场景
通常情况下,防火墙部署在企业内网出口,开启攻击防范功能后防火墙能够区分出正常流量和攻击流量。对正常流量进行放行,对于攻击流量进行阻断,从而有效保障企业业内网服务器和PC的正常运行,使服务器能够响应正常用户的业务需求,内网用户的PC能够正常工作。数字化转型网www.szhzxw.cn
SYN Flood攻击原理
攻击者伪造大量的SYN请求报文发送给服务器,服务器每收到一个SYN就会响应一个SYN-ACK报文,但是攻击者并不会理会此SYN-ACK报文,所以服务器端会存在大量TCP半开连接,维护这些链接需要消耗大量的CPU及内存资源,最终导致服务器无暇处理正常的SYN请求而拒绝服务。此攻击称为SYN Flood攻击。与SYN Flood攻击相似的攻击还有FIN Flood攻击、RST Flood攻击、ACK Flood攻击等,其攻击原理都是伪造带有特殊标志位的TCP报文,对目标服务器发起攻击,消耗其系统资源,最终导致服务器无法提供正常的服务。
SYN Flood防范原理
在连续一段时间内,防火墙收到的具有相同目的地址的SYN报文数如果超过阈值,则启动SYN报文源认证。防火墙拦截SYN报文,并伪造一个带有错误序列号的SYN-ACK报文回应给客户端。
如果客户端是虚假源,则不会对错误的SYN-ACK报文进行回应,认证失败,防火墙丢弃后续此源地址的SYN报文;数字化转型网www.szhzxw.cn
如果客户端是真实源,则会响应一个RST报文,认证通过,防火墙把此源地址加入白名单,并放行后续的SYN报文。
HTTP Flood攻击原理
攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP Get/Post请求报文,这些请求报文一般都会消耗大量的服务器系统资源(如请求数据库操作),最终导致服务器系统资源耗尽,无法响应正常请求。这类攻击称为HTTP Flood攻击。数字化转型网www.szhzxw.cn
HTTP Flood防范原理(基本模式)
在连续一段时间内,防火墙收到具有相同目的地址的HTTP请求报文数如果超过阈值,则启动HTTP报文源认证。防火墙拦截HTTP请求报文,并返回一个HTTP重定向报文给客户端:
如果是虚假源,不会对HTTP重定向报文进行相应,认证失败,防火火墙丢弃后续此源地址的HTTP请求报文;
如果是真实源,则会正常响应HTTP重定向报文,认证通过,源地址上加入防火墙白名单,后续HTTP请求报文自动放行。
基本模式中的重定向功能只能对整个网页进行重定向,不能针对网页中的内嵌资源(比如:图片)进行重定向。当用户请求的页面与页面内嵌资源不在同一个服务器上,内嵌资源所在服务器发生异常时,可以对嵌套资源服务器厂启动302重定向防御,探测访问源是否为真实浏览器。真实浏览器支持重定向功能,可以自动完成重定向过程,不会影响客户体验。
HTTP Flood防范原理(增强模式)
在连续一段时间内,防火墙收到的具有相同目的地址的HTTP请求报文数如果超过阈值,则启动HTTP报文源认证。防火墙拦截HTTP请求报文,并返回一个HTTP页面给客户端,并请求用户输入页面中的验证码:
如果是虚假源,不会输入验证码信息,认证失败,防火墙丢弃后续此源地址的HTTP请求报文;
如果是真实源,输入正确的验证码信息,认证通过,源地址加入防火墙白名单,后续HTTP请求报文自动放行。
HTTPS Flood攻击原理
攻击者通过代理、僵尸主机或者直接向目标服务器发起大量的HTTPS连接,造成服务器资源耗尽,无法响应正常的请求。这类攻击称为HTTPSFlood攻击。数字化转型网www.szhzxw.cn
HTTPS Flood防范原理
防火墙基于目的地址对目的端口为443的HTTPS报文(不区分请求或响应报文)速率进行统计,当目的IP相同且目的端口为443的HTTPS报文速率达到阈值时,启动源认证访御。防火墙代替服务器与客户端完成三次握手,随后对客户端发送的Hello报文的关键字段进行检查,丢弃攻击者报文,放通正常用户报文(并加入白名单)。
DNS Request Flood攻击原理
攻击者向DNS服务器发送大量的域名解析请求(通常都是不下存在的域名解析请求),导致DNS缓存服务器/授权服务器消耗大量系统资源,最终导致服务器瘫痪,无法对正常DNS请求作出回应。这类攻击称为DNS Request Flood攻击。
DNS Request Flood防范原理(针对DNS缓存服务器)
针对DNS缓存服务器,在连续一段时间内,防火墙收到的具有相同同目的地址的DNS请求报文数如果超过阈值,则启动DNS报文源认证。防火墙强制让客户端以TCP报文发送DNS请求:
如果是虚假源,则客户端不会切换至TCP报文格式发送DNS请求,认证失败,防火墙拒绝后续DNS请求报文;
如果是真实源,则客户端会以TCP报文发送DNS请求,认证通过,加入白名单,防火墙放行后续DNS请求报文。
在DNS源认证过程中,防火墙会触发客户端以TCP报文发送DNS请求,用以验证源IP的合法性,但在一定程度上会消耗DNS缓存服务器的TCP连接资源原。数字化转型网www.szhzxw.cn
此方式可以很好的防御针对缓存服务器的DNS请求攻击,但是在见网使用过程中,并不是所有场景都适用。因为在源探测过程中,防火墙会要求客户端通过TCP方式发送
DNS请求,但是并不是所有的客户端都支持以TCP方式发送DNS请求,所以这种方式在使用过程中也有限制。如果有正常客户端不支持以TCP方式发送DNS请求,使用此功能时,就会影响正常业务。
DNS Request Flood防范原理(针对DNS授权服务器)
针对DNS授权服务器,在连续一段时间内,防火墙收到的具有相同目的地址的DNS请求报文数如果超过阈值,
则启动DNS报文源认证。防火墙向客户端发送DNS重定向报文:
如果是虚假源,则不会回应DNS重定向报文,认证失败,防火墙拒绝后续DNS请求报文;
如果是真实源,则会正常响应DNS重定向报文,认证通过,加入白名单,防火墙放行后续DNS请求报文。
DNS Reply Flood攻击原理
攻击者向DNS服务器发送大量的DNS Reply报文,进而消耗服务器资资源,此类攻击称为DNS Reply Flood攻击,攻击可能造成的影响有:
DNS Reply报文把正常域名指向恶意IP地址,影响正常的DNS解析功能。数字化转型网www.szhzxw.cn
大量DNS Reply报文消耗带宽资源、服务器系统资源,导致DNS服务器瘫换,无法提供正常服务。
DNS ReplyFlood防范原理
在连续一段时间内,防火墙收到的具有相同目的地址的DNS响应报文数如果超过阈值,则启动DNS报文源认证。防火墙构造新的DNS Request报文(包含Query ID和源端口)发送至源端:。数字化转型网www.szhzxw.cn
如果是虚假源,则不会回应此DNS Request报文,认证失败,防火墙拒绝DNS咱应报文;
如果是真实源,则会正常响应此DNS Request报文,认证通过,加入白名名单,防火墙放行后续DNS响应报文。
SIP Flood攻击原理
攻击者通过发送大量的SIP呼叫请求消息到SIP服务器,导致SIP服务器分配大量的资源用以记录和跟踪会话,最终资源耗尽而无法响应合法用户的呼叫请求。此类攻击称为SIP Flood攻击。
SIP Flood防范原理
在连续一段时间内,防火墙收到的具有相同目的地址的SIP请求报文数如果超过阈值,则启动SIP报文源认证。防火墙发送带有branch值的Option请求报文至源端:数字化转型网www.szhzxw.cn
如果是虚假源,则不会响应此Option请求,认证失败,防火墙拒绝SIP请求报文;
如果是真实源,则会正常响应此Option请求,认证通过,加入白名单,防火墙放行后续SIP响应报文。
UDP Flood攻击原理
UDP协议是一种无连接的服务,攻击者向服务器发送大量UDP协议数据包,如发送大量UDP报文冲击DNS服务器、Radius认证服务器、流媒体视频服务器等,导致服务器带宽和系统资源耗尽,无法提供正常服务。此类攻击称为UDP Flood攻击。
UDP Flood攻击包括小包和大包两种方式进行攻击:
小包是指64字节大小的数据包,这是以太网上传输数据帧的最小值,在相同流量下,单包体积越小,数据包的数量就越多。由于交换机、路由器等网络设备需要对每一个数据包进行检查和校验,因此使用UDP小包攻击能够最有效的增大网络设备处理数据包的压力,造成处理速度的缓慢和传输延迟等拒绝服务攻击的效果。
大包是指1500字节以上的数据包,其大小超过了以太网的最大传输单元,使用UDP大包攻击,能够有效的占用网络接口的传输宽带,并迫使被攻击目标在接收到UDP数据时进行分片重组,造成网络拥堵,服务器响应速度变慢。UDP Fragment Flood攻击原理与UDPFlood类似,不再赘述。数字化转型网www.szhzxw.cn
UDP Flood防范原理(指纹学习)
UDP Flood攻击报文具有一定的特点,这些攻击报文通常都拥有相同的特征字段,可以通过指纹学习的方式防御UDP Flood攻击。
在连续一段时间内,防火墙收到的具有相同目的地址的UDP报文数如果超过阈值,则触发指纹学习。防火墙将攻击报文的一段显著特征学习为指纹后,匹配指纹的报文会被丢弃。数字化转型网www.szhzxw.cn
UDP Flood防范原理(限流)
如果通过指纹学习方式仍然无法抵御UDP Flood攻击,可以采用限流技术防范UDP Flood攻击。限流技术将去往同一目的地址的UDP报文速率限制在一定阈值之内,直接丢弃超过阈值的UDP报文,以避免网络拥塞。
限流技术本身无法区分正常报文和攻击报文,使用时可能影响正常业务,推荐使用UDP指纹学习方式。
ICMP Flood攻击原理
实施ICMP Flood攻击的攻击者一般通过控制大量主机,在短时间内发送大量的超大ICMP报文到被攻击目标,占用被攻击目标的网络带宽和系统资源,最终导致资源耗尽业务不可用。此类型攻击也会导致依靠会话转发的网络设备会话耗尽,引发网络瘫痪。数字化转型网www.szhzxw.cn
ICMP Flood防范原理
针对ICMP Flood攻击,防火墙可以对ICMP报文进行限流,将ICIMP报文速率限制在一个较小的阈值范围内,超出阈值的ICMP报文被防火墙直接丢弃。防火墙可以基于接口对ICMP报文进行限流,也可基于目的IP地址对ICMP报文进行限流。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于计算机科学与信息化;编辑/翻译:数字化转型网Jerry。
