屬于網(wǎng)絡協(xié)議的攻擊有哪些？高防服務器租用-打不死服務器租用

1. TCP/IP 協(xié)議的脆弱性
1.1 不能提供可靠的身份驗證

TCP/IP 協(xié)議以 32 bit 的 IP 地址來作為網(wǎng)絡e79fa5e98193e4b893e5b19e31333431373834節(jié)點的唯一標識，而 IP 地址只是用戶軟件設置中的一個參數(shù)，因而是可以隨意修改的。

對 UDP 來說，是根據(jù)這個 IP 地址來唯一標識通信對方。 TCP 則通過三次握手，使情況稍有改善。 TCP 中的每個報文都含有一個標識本報文在整個通信流中位置的 32 bit 序列號，通信雙方通過序列號來確認數(shù)據(jù)的有效性。

由于 TCP 設計三次握手過程本身并不是為了身份驗證，只是提供同步確認和可靠通信，雖然這也能夠提供一定的身份驗證的支持，但這種支持很薄弱。

由于 TCP/IP 不能對節(jié)點上的用戶進行有效的身份認證，服務器無法鑒別登錄用戶的身份有效性，攻擊者可以冒充某個可信節(jié)點的 IP 地址，進行 IP 欺騙攻擊.

其次，由于某些系統(tǒng)的 TCP 序列號是可以預測的，攻擊者可以構造一個TCP'數(shù)據(jù)包，對網(wǎng)絡中的某個可信節(jié)點進行攻擊。

1.2 不能有效防止信息泄漏

IPv4 中沒有考慮防止信息泄漏，在 IP 、 TCP 、 UDP 中都沒有對數(shù)據(jù)進行加密。 IP 協(xié)議是無連接的協(xié)議，一個 IP 包在傳輸過程中很可能會經(jīng)過很多路由器和網(wǎng)段，在其中的任何一個環(huán)節(jié)都很容易進行竊昕 。攻擊者只需簡單地安裝一個網(wǎng)絡嗅探器，就可以看到通過本節(jié)點的所有網(wǎng)絡數(shù)據(jù)包。

1.3 沒有提供可靠的信息完整性驗證手段

在 IP 協(xié)議中，僅對 IP 頭實現(xiàn)校驗和保護

在UDP 協(xié)議中，對整個報文的校驗和檢查是一個可選項，并且對 UDP 報文的丟失不做檢查。

在 TCP 協(xié)議中，雖然每個報文都經(jīng)過校驗和檢查，并且通過連續(xù)的序列號來對包的順序和完整進行檢查，保證數(shù)據(jù)的可靠傳輸。但是，校驗算法中沒有涉及加密和密碼驗證，很容易對報文內容進行修改，再重新計算校驗和

1.4 協(xié)議沒有手段控制資源占杳和分配

TCP/IP 中，對資源占杳和分配設計的一個基本原則是自覺原則。如參加 TCP通信的一方發(fā)現(xiàn)上次發(fā)送的數(shù)據(jù)報丟失，則主動將通信速率降至原來的一半。這樣，也給惡意的網(wǎng)絡破壞者提供了機會 c 如網(wǎng)絡破壞者可以大量的發(fā) IP 報，造成網(wǎng)絡阻塞，也可以向一臺主機發(fā)送大量的 SYN 包從而大量占有該主機的資源 (SYN Flood) 。這種基于資源占用造成的攻擊被稱為拒絕服務攻擊( DOS)

2.常見 TCP/IP 協(xié)議攻擊方法分析

2.1 IP 欺騙( IP Spoofing)

IP 欺騙是指一個攻擊者假冒一個主機或合法用戶的 IP 地址，利用兩個主機之間的信任關系來達到攻擊的目的，而這種信任關系只是根據(jù)源 IP 地址來確定。所謂信任關系是指當主機 B 信任主機 A 上的 X用戶時，只要 X 在 A 上登錄， X 用戶就可以直接登錄到主機 B 上，而不需要任何口令。

IP 欺騙通常需要攻擊者能構造各種形式 IP 數(shù)據(jù)包，用虛假的源 IP 地址替代自己的真實 IP 地址。如果主機之間存在基于 IP 地址的信任關系，目標主機無法檢測出已經(jīng)被欺騙。防范措施

各個網(wǎng)絡 ISP 應該限制源地址為外部地址的 IP 數(shù)據(jù)包進入互聯(lián)網(wǎng)

合理的配置防火墻，限制數(shù)據(jù)包的源地址為內部網(wǎng)絡的數(shù)據(jù)包進入網(wǎng)絡。

2.2 TCP 會話劫持 (TCP sessJOn hijacking)

image.png

TCP 會話劫持跳過連接過程.對一個已經(jīng)建立的連接進行攻擊。攻擊者與被假冒主機和目標主機之一在同一個子網(wǎng)中，攻擊者通過一個嗅探程序可以看到被假冒主機和目標主機之間通信的數(shù)據(jù)包。

攻擊者看到被假冒主機和目標主機建立一個連接并進行身份認證后，通過對數(shù)據(jù)包捕獲和進行分析，就可以得到連接的序列號。

一旦得到正確的序列號就可以發(fā)送一個假冒的 TCP 分段，接管已經(jīng)建立的連接。這樣，被假冒主機發(fā)送的數(shù)據(jù)包都會被目標主機忽略，因為它們的序列號會被目標主機認為不正確。

防范措施*主要的方法是在傳輸層對數(shù)據(jù)進行加密。

2.3 拒絕服務( Denial Of Service )

拒絕服務坷的目的就是使受害的服務器不能提供正常的網(wǎng)絡服務。

2.3.1 SYN 淹沒 (SYN Flooding)

當開放了一個TCP端口后，該端口就處于Listening狀態(tài)，不停地監(jiān)視發(fā)到該端口的Syn報文，一旦接收到Client發(fā)來的Syn報文，就需要為該請求分配一個TCB（Transmission Control Block），通常一個TCB至少需要280個字節(jié)，在某些操作系統(tǒng)中TCB甚至需要1300個字節(jié)，并返回一個SYN ACK命令，立即轉為SYN-RECEIVED即半開連接狀態(tài)，而操作系統(tǒng)在SOCK的實現(xiàn)上*多可開啟半開連接個數(shù)是一定的。
如果惡意的向某個服務器端口發(fā)送大量的SYN包，則可以使服務器打開大量的半開連接，分配TCB，從而消耗大量的服務器資源，同時也使得正常的連接請求無法被相應。而攻擊發(fā)起方的資源消耗相比較可忽略不計。防范措施

無效連接監(jiān)視釋放這種方法不停監(jiān)視系統(tǒng)的半開連接和不活動連接，當達到一定閾值時拆除這些連接，從而釋放系統(tǒng)資源。這種方法對于所有的連接一視同仁，而且由于SYN Flood造成的半開連接數(shù)量很大，正常連接請求也被淹沒在其中被這種方式誤釋放掉，因此這種方法屬于入門級的SYN Flood方法。

延緩TCB分配方法從前面SYN Flood原理可以看到，消耗服務器資源主要是因為當SYN數(shù)據(jù)報文一到達，系統(tǒng)立即分配TCB，從而占用了資源。而SYN Flood由于很難建立起正常連接，因此，當正常連接建立起來后再分配TCB則可以有效地減輕服務器資源的消耗。常見的方法是使用Syn Cache和Syn Cookie技術。

Syn Cache技術：這種技術是在收到SYN數(shù)據(jù)報文時不急于去分配TCB，而是先回應一個SYN ACK報文，并在一個專用HASH表（Cache）中保存這種半開連接信息，直到收到正確的回應ACK報文再分配TCB。在FreeBSD系統(tǒng)中這種Cache每個半開連接只需使用160字節(jié)，遠小于TCB所需的736個字節(jié)。在發(fā)送的SYN ACK中需要使用一個己方的Sequence Number，這個數(shù)字不能被對方猜到，否則對于某些稍微智能一點的Syn Flood攻擊軟件來說，它們在發(fā)送Syn報文后會發(fā)送一個ACK報文，如果己方的Sequence Number被對方猜測到，則會被其建立起真正的連接。因此一般采用一些加密算法生成難于預測的Sequence Number。Syn Cookie技術：對于SYN攻擊，Syn Cache雖然不分配TCB，但是為了判斷后續(xù)對方發(fā)來的ACK報文中的Sequence Number的正確性，還是需要使用一些空間去保存己方生成的Sequence Number等信息，也造成了一些資源的浪費。Syn Cookie技術則完全不使用任何存儲資源，這種方法比較巧妙，它使用一種特殊的算法生成Sequence Number，這種算法考慮到了對方的IP、端口、己方IP、端口的固定信息，以及對方無法知道而己方比較固定的一些信息，如MSS、時間等，在收到對方的ACK報文后，重新計算一遍，看其是否與對方回應報文中的（Sequence Number-1）相同，從而決定是否分配TCB資源。

使用SYN Proxy防火墻Syn Cache技術和Syn Cookie技術總的來說是一種主機保護技術，需要系統(tǒng)的TCP/IP協(xié)議棧的支持，而目前并非所有的操作系統(tǒng)支持這些技術。因此很多防火墻中都提供一種SYN代理的功能，其主要原理是對試圖穿越的SYN請求進行驗證后才放行
防火墻在確認了連接的有效性后，才向內部的服務器（Listener）發(fā)起SYN請求，在右圖中，所有的無效連接均無法到達內部的服務器。采用這種方式進行防范需要注意的一點就是防火墻需要對整個有效連接的過程發(fā)生的數(shù)據(jù)包進行代理
因為防火墻代替發(fā)出的SYN ACK包中使用的序列號為c，而服務器真正的回應包中序列號為c’，這其中有一個差值|c-c’|，在每個相關數(shù)據(jù)報文經(jīng)過防火墻的時候進行序列號的修改。

TCP Safe Reset技術：這也是防火墻Syn代理的一種方式
這種方法在驗證了連接之后立即發(fā)出一個Safe Reset命令包，從而使得Client重新進行連接，這時出現(xiàn)的Syn報文防火墻就直接放行。在這種方式中，防火墻就不需要對通過防火墻的數(shù)據(jù)報文進行序列號的修改了。這需要客戶端的TCP協(xié)議棧支持RFC 793中的相關約定，同時由于Client需要兩次握手過程，連接建立的時間將有所延長。
2.3.2 死亡之 Ping(Ping O' Death )

死亡之 Ping 是利用 ICMP 協(xié)議的一種碎片攻擊 。攻擊者發(fā)送一個長度超過 65 535Byte 的 Echo Request 數(shù)據(jù)包，目標主機在重組分片的時候會造成事先分配的 65 535 Byt 字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會崩憤或掛起

IP 數(shù)據(jù)包的*大長度是 65 535 (2 16 - 1) Byte，其中包括包頭長度(如果 IP 選項末指定，一般為 20 B)超過 MTU( Maximum Transmission Unit) 的數(shù)據(jù)包被分割成小的數(shù)據(jù)包，在接受端重新組裝。一般以太網(wǎng)的MTU 為 11500 Byte ，互聯(lián)網(wǎng)上的 MTU 通常是 576 Byte ICMP 回應請求放在 IP 數(shù)據(jù)包中，其中有 8 Byt 的 ICMP頭信息，接下來是 "Ping" 請求的數(shù)據(jù)宇節(jié)的數(shù)目。因此數(shù)據(jù)區(qū)所允許的*大尺寸為 65 535 - 20 - 8 = 65 507Byte
分段后的 IP 包要在接收端的 IP 層進行重組，這樣"死亡之 Ping"就可以再發(fā)送一個回應請求數(shù)據(jù)包，使它的數(shù)據(jù)包中的數(shù)據(jù)超過 65 507 Byte ，使得某些系統(tǒng)的 IP 分段組裝模塊出現(xiàn)異常。因為在 IP 分段組裝的過程中，它通過每一個 IP 分段中的偏移量來決定每一個分段在整個 IP 包中的位置，*后一個分段中，如果 IP 包的長度大于 65 507 Byte各個分段組裝后就會超過 IP 包的*大長度。某些操作系統(tǒng)要等到將所有的分段組裝完后才對 IP 包進行處理，所以就存在這樣一種內部緩沖區(qū)或內部變量溢出的可能性，這樣會導致系統(tǒng)崩憤或重啟。

防范措施

可以利用防火墻來阻止 Ping ，然而這樣也會阻擋一些合法應用。所以只要阻止被分段的 Ping ，這樣在大多數(shù)系統(tǒng)上允許一般合法的 64 Byt 的 Ping 通過，擋住了那些長度大于 MTU 的 ICMP 數(shù)據(jù)包.

這種攻擊能使系統(tǒng)崩潰的原因因系統(tǒng)不同而異.有的可能因為內核中固定大小的緩沖區(qū)因 IP 數(shù)據(jù)包過大而越界，損壞了其它數(shù)據(jù)或編碼;有的則可能因為用一個無符號的 16 bit 變量來保存數(shù)據(jù)包的長度和相關變量，當這些變量的值超過 65 535 Byte 時，變量不再與其數(shù)值一致，從而引發(fā)異常。因此可以為相應的系統(tǒng)打上補丁。

2.3.3 RST 和 FIN 攻擊( RST and FIN attack)

在 TCP 包中有 6 個標志位來指示分段的狀態(tài)。其中 RST 用來復位一個連接， FIN 表示沒有數(shù)據(jù)要發(fā)送了攻擊者經(jīng)常利用這兩個標志位進行拒絕服務攻擊。他們先分析通過目標主機和受騙主機之間的 IP 數(shù)據(jù)包，計算出從受騙主機發(fā)往目的。
遭受網(wǎng)絡攻擊，還得需要硬件防火墻，高防服務器租用yelaoxs.com宇眾網(wǎng)絡